Seit Mai 2018 gelten strenge Datenschutz-Regeln in ganz Europa. Die sogenannte Datenschutzgrundverordnung zwang Unternehmen dazu, den Umgang und Einwilligungen mit Kundendaten neu aufzusetzen. Ein Unternehmen, dem dies laut vorliegender Recherche-Ergebnisse offenbar gleichgültig war: Amatic.
Sensibles Regelwerk seit Mai 2018
Unternehmen kamen ordentlich ins Schwitzen, als die Frist für Inkrafttreten der neuen Datenschutz-Regelungen nahte. Spezialisierte Anwälte waren hoffnungslos ausgebucht. Die geforderten Anpassungen waren umfangreich: ausführliche Zustimmungserklärungen, Auflistung aller Sub-Datenverarbeiter und vieles mehr. Durch einen Zufall entdeckte die Spielerhilfe bei den Unternehmen Amatic Entertainment, PG Enterprise und Fair Games, dass etwas unschlüssig ist. Vorausgegangen sind Mystery Shopping-Besuche in den Filialen dieser Unternehmen.
Monate später überprüfte man, welche Unternehmen die Bonität dieser Kontrolleure abgefragt haben. Siehe da: die Firma Fair Games aus Kärnten, welche die Spielsalons Wettpunkt betreibt, fragte bei einigen Testkunden ab – obwohl diese aber nie dort zu Gast waren und folglich auch nie Kunden dieses Unternehmens waren. Das Unternehmen Fair Games erklärte auf Anfrage, dass sie deshalb an die Kundendaten gekommen sind, da es einen “Freiwilligen Sperrverbund” zwischen diesen Unternehmen gibt.
Datenschutz-Ausführungen nicht gesetzeskonform
Dieser Sperrverbund interessierte die Spielerhilfe schließlich. Man stellte Recherchen an, sprach mit Behörden, anderen Glücksspiel-Betreibern die auch angeblich Teil davon sind. Dazu bald mehr. Im Laufe der Untersuchungen zu diesem Thema analysierte der Verein die Datenschutz-Bestimmungen der betreffenden Firmen und stellte dabei fest, dass diese gar nicht dem aktuellen Gesetz entsprechen. Das soll jedoch nicht die letzte Baustelle gewesen sein, die die Spielerhilfe gefunden hat. Im Bereich Datenschutz liegen die Unternehmen PG Enterprise und Amatic Entertainment jedenfalls im Argen.
Getrennte Datenschutz-Bestimmungen gibt es nicht – weder in den Anmeldeformularen für spielende Gäste angemerkt oder auf deren Website abrufbar. Im Registrierungsformular der Unternehmen sind lediglich wenige Sätze dazu eingefügt, die rechtlich unvollständig und unzulässig sind. Auf Nachfrage bei den jeweiligen Unternehmen, ob es noch separate Datenschutzbestimmungen gibt, erhielt man keine Antwort. Eine spezielle Rechtsberatung im Bereich Datenschutz haben die genannten Firmen offensichtlich nicht herangezogen. Und das, obwohl die Firmen im hoch sensiblen Glücksspiel-Bereich tätig sind und Lizenzen für den Betrieb ihrer Spielsalons von Aufsichtsbehörden beantragen müssen.
Beschwerde eingebracht
Ein für Datenschutzrecht spezialisierter Rechtsanwalt aus Oberösterreich brachte im Namen des Vereins und eines Betroffenen deshalb nun eine Beschwerde gegen alle drei Unternehmen bei der Datenschutzbehörde ein. Die Verstöße sind eklatant, wie sich der 9-seitigen Sachverhaltsdarstellung entnehmen lässt. So verstoßen die Unternehmen Amatic Entertainment AG und PG Enterprise AG gegen gleich mehrere grundlegende Punkte beim Datenschutz. So kommt es etwa zu einem Kopplungsverbot, bei dem der Konsument keine Möglichkeit hat, einzelne Punkte betreffend Verarbeitung seiner Daten abzulehnen. Das Unternehmen Fair Games etwa machte Bonitätsabfragen, ohne vorhandene Rechtsgrundlage.
Weiters gibt es keinen benannten Datenschutzbeauftragten. Dieser Punkt ist insofern brisant, da die beiden Unternehmen PG Enterprise und Amatic Entertainment in einer eigenen Zustimmungserklärung anmerken, dass sie biometrische Daten ihrer Kunden verarbeiten (Fingerprint) und es zur Erfassung gesundheitsrelevanter Daten kommt, etwa dem Spielverhalten im Sinne der Spielsuchtprävention (Gesundheitsdaten). Auch bei Fair Games wird in den vorliegenden Datenschutzbestimmungen kein Datenschutzbeauftragter angeführt. Bei Verarbeitung dieser sensiblen Daten erfordert die Datenschutzgrundverordnung zwingend die Bestellung eines entsprechenden Datenschutzverantwortlichen. Doch die Liste der Verstöße ist noch länger.
„Zum Zeitpunkt der Einführung der neuen Datenschutzgrundverordnung war ich selbst in einer Konzerngesellschaft für Datenschutz verantwortlich. Was wir bei der Amatic und ihrer Muttergesellschaft vorgefunden haben, spottet einer jeden Beschreibung. Die Baustelle ist groß – die Verstöße eklatant.“
sagt Christoph Holubar, Sprecher der Spielerhilfe.
Medienanfragen blieben unbeantwortet
Das von dem Unternehmen Fair Games behauptete Vorhandensein eines freiwilligen Sperrverbundes zwischen diesen Unternehmen würde das Schließen eines Auftragsverabeitungsvertrages zwischen diesen Firmen im Rahmen der geltenden Datenschutzgesetze erfordern. Die Spielerhilfe fragte bei allen 3 involvierten Unternehmen um Übermittlung dieser Vereinbarung, wollte ebenso abklären, wer für den Betrieb des Sperrverbundes datenschutzrechtlich hauptverantwortlich ist. Die Unternehmen Amatic Entertainment und PG Enterprise antworten auf Nachfrage nicht. Lediglich die Fair Games gab eine Rückmeldung dazu: Man bitte um Verständnis, dass man keine Auskünfte erteilen kann, da es sich um Betriebsinterna handle.
Die Unternehmen werden sich schließlich mit der Datenschutzbehörde auseinandersetzen und die am Tisch liegenden Verfehlungen erklären müssen. Sollte auch die Datenschutzbehörde dieselbe Ansicht der vorliegenden Verstöße bestätigen, drohen empfindliche Bußgelder. Außerdem scheint es laut Rechtsansicht erforderlich, dass die Unternehmen ihre datenschutzrechtlichen Themen komplett überarbeiten und mit sämtlichen Kunden neue Vereinbarungen schließen werden müssen. Ein enormer Aufwand für die beteiligten Glücksspielbetriebe.