Der Glücksspielstaatsvertrag 2021 sieht zur Verhinderung von Glücksspielsucht und zur Bekämpfung des Betrugs- und Kriminalitätsgefährdungspotenzials von Glücksspielen zahlreiche Maßnahmen vor, die in Konflikt mit dem Datenschutzrecht geraten. In diesem Beitrag wollen wir einen Blick in einige der aus datenschutzrechtlicher Sicht relevantesten Aspekte dieser Norm werfen.
Der Inhalt im Überblick
Glücksspiele unterliegen strengen Marktregulierungen
Glücksspiele werden seit Jahrhunderten aufgrund ihrer zahlreichen sozialschädlichen Folgen von der Staatsmacht als demeritorische Güter betrachtet, deren Konsum durch Marktregulierungen kontrolliert und verringert werden soll. Denn Glücksspiele bergen Suchtgefahren, die den Spielern, ihrem sozialen Umfeld und der Gesellschaft insgesamt erheblichen Schaden zufügen können. Ziel der staatlichen Markteingriffe ist allerdings nicht nur die Verhinderung von Glücksspielsucht und Wettsucht, sondern auch die Bekämpfung ihrer Betrugs- und Kriminalitätsgefährdungspotentialen. Glücksspiele zeigen insbesondere eine ausgeprägte Anfälligkeit für Geldwäsche.
Zur Eindämmung der von den Glücksspielen ausgehenden Gefahren haben die 16 Bundesländer mit dem Glücksspielstaatsvertrag 2021 (GlüStV 2021) einen gesetzlichen Rahmen für die Veranstaltung von Glücksspielen in Deutschland geschaffen. Neben den Bestimmungen des Glücksspielstaatsvertrages 2021 sind zudem die im jeweiligen Land geltenden länderspezifischen Regelungen und Ausführungsgesetze zu beachten, die den Glücksspielstaatsvertrag näher konkretisieren.
Der Begriff des Glücksspiels ist in § 3 GlüStV 2021 legal definiert. Danach liegt ein Glücksspiel vor, wenn im Rahmen eines Spiels für den Erwerb einer Gewinnchance ein Entgelt verlangt wird und die Entscheidung über den Gewinn ganz oder überwiegend vom Zufall abhängt. Der Anwendungsbereich des GlüStV 2021 erstreckt sich auf Spielbanken, Spielhallen, Gaststätten, Pferdewetten, Sportwetten, virtuelle Automatenspiele, Online-Poker, Online-Casinospiele, Lotterien, Gewinnspiele im Rundfunk, usw.
Kollision zwischen dem GlüStV 2021 und der DSGVO
Um die Bürger und Bürgerinnen der Bundesrepublik vor Spielsucht zu schützen, erlegt der Glücksspielstaatsvertrag 2021 der zuständige Glücksspielbehörde der Länder die Pflicht auf, drei Zentraldateien mit zahlreichen personenbezogenen Daten von Spielern zu führen.
Die Limitdatei
Gemäß § 6a und 6b GlüStV müssen Veranstalter und Vermittler von öffentlichen Glücksspielen im Internet für jeden Spieler ein Spielkonto einrichten. Die Spieler müssen sich beim Anbieter registrieren, welcher die Angaben des Spielers anhand geeigneter Maßnahmen zu überprüfen hat. Damit soll es verhindert werden, dass Minderjährige an den Spielen teilnehmen.
Bei der Registrierung müssen Spieler gemäß § 6c Abs. 1 S. 2 GlüStV 2021 ein anbieterübergreifendes Einzahlungslimit festlegen, welches aber das Einzahlungslimit von 1000 Euro im Monat nicht übersteigen darf. Zur Überwachung des Einzahlungslimits ist die zuständige Behörde gemäß Art. 6c Abs. 4 GlüStV 2021 dazu verpflichtet, in einer zentralen Datei zur Limitüberwachung personenbezogene Daten von jedem Spieler zu verarbeiten. Die Anbieter von Glücksspielen haben nach § 6c Abs. 5 GlüStV 2021 vor Abschluss jedes Einzahlungsvorgangs die Identifikationsdaten des Spielers sowie die Höhe der beabsichtigten Einzahlung an die Limitdatei zu übermitteln.
Folgende personenbezogene Daten müssen in der Datei verarbeitet werden:
- Familiennamen, Vornamen, Geburtsnamen,
- Geburtsdatum,
- Geburtsort,
- Anschrift,
- Höhe des vom Spieler festgelegten anbieterübergreifenden Einzahlungslimits,
- Datum der Festlegung des Limits,
- Höhe und Datum der getätigten Einzahlungen und
- Gesamtbetrag der getätigten Einzahlungen
Die Übermittlung dieser personenbezogenen Daten durch die Anbieter von Online-Glücksspielen in die Limitdatei stellt damit eine rechtfertigungsbedürftige Datenverarbeitung dar. Diese erfolgt vorliegend zur Erfüllung einer rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit Art. 6c Abs. 4 GlüStV 2021.
Die Sperrdatei
Aus Gründen der Suchtprävention sind Veranstalter und Vermittler von Glücksspielen dazu verpflichtet, gesperrte Spieler von der Teilnahme an öffentlichen Glücksspielen auszuschließen. Zum Spielerschutz wird das spielformübergreifende, bundesweite Instrument des Spielersperrsystems OASIS gemäß § 8 Abs. 1 GlüStV 2021 geschaffen, welches eine Liste mit den bundesweit gesperrten Spielern enthält.
Gemäß Art. 8 Abs. 3 S. 1 GlüStV 2021 sind Veranstalter von Glücksspielen verpflichtet, spielwillige Personen anhand eines Ausweises oder einer ähnlichen Identitätskontrolle zu identifizieren und einen Abgleich mit dem Spielersperrsystem OASIS nach § 23 GlüStV 2021 durchzuführen. Beim Spielersperrsystem OASIS erhält der Veranstalter nach Eingabe des Namens, des Vornamens und des Geburtsdatums des Spielers entweder die Antwort „Der Spieler ist nicht gesperrt“ oder „Der Spieler ist gesperrt“. Sowohl die Selbstsperre als auch die Fremdsperre sind möglich, aber die Dauer der Sperre muss mindestens ein Jahr betragen.
Dies stellt somit eine Verarbeitung von personenbezogenen Daten dar, die zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen nach Art. 6 Abs. 1 lit. c DSGVO erfolgt. Gemäß dem Datenminimierungsprinzip und dem Speicherbegrenzungsgrundsatz müssen die in diesem Zusammenhang erhobenen personenbezogenen Daten gelöscht werden, sobald die Identifizierung des Spielers und der Abgleich mit der Sperrdatei vollzogen ist.
Die Aktivitätsdatei
Zur Vermeidung von parallelen Spielen im Internet müssen die zuständigen Behörden gemäß §6h GlüStV 2021 eine Datei mit folgenden personenbezogenen Daten über die Spieler führen: Familienname, Vorname, Geburtsname, Geburtsdatum, Geburtsort, Anschrift und ob er aktiv geschaltet ist.
Umfangreiche Speicherung auf Vorrat?
Gemäß dem Prinzip der Datenminimierung müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Eine anlasslose Vorratsspeicherung von personenbezogenen Daten ist unzulässig. In diesem Zusammenhang erscheint es fraglich, ob die Führung von drei umfangreichen Zentraldateien mit Informationen zu allen Spielern (auch zu denjenigen, die keine Spielsucht gezeigt haben) mit den Anforderungen des Datenschutzes vereinbar ist.
Financial Blocking
Die Veranstaltung von Glücksspielen in Deutschland ist gemäß § 4 GlüStV 2021 zur Eindämmung der Glücksspielgefahren monopolartig organisiert: Glücksspiele dürfen nur dann veranstalten werden, wenn eine Erlaubnis oder Konzession der zuständigen Landesbehörde erteilt wurde. Zur Verhinderung von illegalen Glücksspielen sieht § 9 Abs. 1 Nr. 4 GlüStV 2021 seinerseits vor, dass die zuständige Glücksspielaufsicht
„den am Zahlungsverkehr Beteiligten, insbesondere den Kredit- und Finanzdienstleistungsinstituten, nach vorheriger Bekanntgabe unerlaubter Glücksspielangebote die Mitwirkung an Zahlungen für unerlaubtes Glücksspiel und an Auszahlungen aus unerlaubtem Glücksspiel untersagen kann.“
An wen richtet sich das Gesetz und was umfasst das Verbot?
Normadressaten des § 9 Abs. 1 Nr. 4 GlüStV 2021 sind alle am Zahlungsverkehr Beteiligten. Darunter fallen unter anderem Zahlungsdienstleister im Sinne von § 1 ZAG, Kreditinstitute gemäß § 1 Abs. 1 KWG und Finanzdienstleistungsinstitute nach § 1 Abs. 1 lit a KWG.
Das Verbot umfasst sowohl Einzahlungen beim illegalen Glücksspielanbieter für die Teilnahme an Glücksspielen als auch Auszahlungen an Spieler im Falle eines Gewinnes. Für die Umsetzung dieses Verbots kommen unterschiedliche Maßnahmen in Betracht: die Veröffentlichung von schwarzen Listen, die Sperrung des Bankkontos von Veranstaltern und von Spielern, die Unterbindung von Überweisungen und das Verbot der Durchführung von Transaktionen mit bestimmten Merchant Category Codes.
Unvereinbarkeit des Financial Blockings mit dem Datenschutzrecht
Zur Implementierung des Financial Blockings müssen Finanzdienstleister und Zahlungsdienstleister personenbezogene Daten verarbeiten. Zahlungsinstitute sind gemäß dem Geldwäschegesetz und dem sogenannten Know-Your-Customer-Prinzip verpflichtet, zahlreiche personenbezogene Daten von natürlichen Personen zu erheben. Die Weiterverarbeitung dieser zunächst zu anderen Zwecken erhobenen personenbezogenen Daten stellt dann eine Zweckänderung dar, für die die Voraussetzungen des Art. 6 Abs. 4 DSGVO erfüllt sein müssen. Ob dies hier der Fall ist, können wir dahinstehen lassen, da es anhand der ursprünglich erhobenen Daten für den Zahlungsdienstleister nicht erkennbar sein wird, ob die Voraussetzungen für die Untersagung einer Transaktion gegeben sind oder nicht. Denn er muss auch wissen, ob das Spiel im Ausland oder Inland stattgefunden hat, ob die Teilnahme am Spiel legal war, ob eine Erlaubnis für das Spiel erteilt wurde oder nicht, usw.
Die Verarbeitung dieser zusätzlichen personenbezogenen Daten kann nicht auf die Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen gemäß Art. 6 Abs. 1 lit. c DSGVO gestützt werden, da § 9 Abs. 1 S.3 Nr. 4 GlüStV die Anforderungen des Art. 6 Abs. 3 DSGVO nicht erfüllt. Denn eine ständige und prophylaktische Überwachung sämtlicher Kunden durch die Finanzdienstleister im Hinblick auf die Teilnahme an illegalen Glücksspielen ist in jedem Fall unverhältnismäßig. Eine solche Datenverarbeitung kann auch nicht auf Grundlage eines berechtigten Interesses im Sinne von Art. 6 Abs. 1 lit. f DSGVO erfolgen, weil die Grundrechte und Grundfreiheiten der Betroffenen angesichts der Intensität des Engriffes vorliegend überwiegen.
Aus dem Gesagten folgt, dass die zusätzliche Erhebung von personenbezogenen Daten zur Umsetzung des Financial Blockings auf keine Rechtsgrundlage gestützt werden kann, sodass eine datenschutzkonforme Umsetzung des Financial Blockings unmöglich erscheint.
Verantwortliche müssen ihre Datenschutzpflichten im Blick haben
Glücksspielanbieter sind verpflichtet, umfangreiche personenbezogene Daten von Spielern zu erheben und zu übermitteln. Darüber hinaus unterliegen sie in diesem Zusammenhang zahlreichen datenschutzrechtlichen Normen. Sie sind daher gut beraten, frühzeitig einen Datenschutzbeauftragten einzuschalten. Aufgrund der geschilderten datenschutzrechtlichen Probleme erscheint die Finanzsperre nicht als wirksames Mittel zur Bekämpfung des illegalen Glücksspiels, da sie in hohem Maße in die Grundrechte und -freiheiten der Kunden eingreift. Es bleibt abzuwarten, inwieweit diese Bestimmung zur Anwendung kommen wird.
Nach meinem Eindruck wird in dem Beitrag einiges durcheinander geworfen. Es geht darum, Zahlungsströme an einen Anbieter unerlaubten Glückspiels zu unterbinden, wobei dies die vorherige Bekanntgabe durch die Glücksspielaufsicht voraussetzt. Bereits durch die 4. Geldwäscherichtlinie (EU) 2015/849 des Europäischen Parlaments und des Rates sind Spielbanken, Veranstalter und Vermittler von Glücksspiel im Internet sowie alle Veranstalter und Vermittler von Glücksspielen zu besonderer Sorgfalt Verpflichtete. Zur Geldwäscheprävention müssen Banken die Zahlungstransaktionen zu solchen Verpflichteten sorgfältig beobachten und erst recht von Anbietern unerlaubten Glücksspiels. Eine Beobachtung solcher Transaktionen mit dem Ziel des Schutzes vor Suchtgefahren, der Verhinderung von Geldwäsche etc., erscheint auch geeignet, erforderlich und angemessen, also verhältnismäßig. Es ist nicht ersichtlich, warum Anbieter oder Teilnehmer unerlaubten Glückspiels vor Financial Blockings unter Berufung auf den Datenschutz geschützt werden sollten. Das allgemeine Persönlichkeitsrecht ist ja kein schrankenloses Grundrecht und kann bzw. muss insoweit auch beschränkt werden. Für die übrigen Kunden, die solche Zahlungstransaktionen nicht aufweisen, ist schließlich überhaupt kein Eingriff in deren Grundrechte erkennbar.
Dies sehe ich anders. Ich bearbeite beruflich jeden Tag Zahlungsblockierungs-Fälle. Dabei geht es weder um Geldwäsche, noch um die Unterbindung von Zahlungsströmen für unerlaubte Online-Glücksspielanbieter – also um die Unterbindung von Zahlungsströmen, die durch letztere ausgelöst worden sind oder von Zahlungsströmen zugunsten von deren Unternehmen – sondern um die Blockierung von Transaktionen der Spieler – also von Einzahlungen auf deren Spielerkonten und von Auszahlung von deren Spielerkonten. Dies erkennt der vorstehende Beitrag zutreffend und wirft diesbezüglich auch nichts durcheinander.
Im Übrigen besagt die bisherige Rechtsprechung (die aufgrund der früheren Zuständigkeit des IM Niedersachsen bislang allein vom VG Hannover stammt), dass den Online-Glücksspielanbietern gerade nicht die einzelnen unerlaubten Online-Glücksspielangebote genannt werden müssen, in deren Zusammenhang sie angeblich an Zahlungen mitwirken, sondern nur allgemein, dass sie an Zahlungen im Zusammenhang mit unerlaubten Glücksspielen mitwirken. Konkrete Informationen zu bestimmten Anbietern erhielten die Online-Glücksspielanbieter im Zusammenhang mit den Anhörungen und/oder der Untersagungsverfügungen daher in der Vergangenheit vom IM Niedersachsen gerade nicht. Dies ist bei der GGL mittlerweile deutlich besser geworden ist. Letztere benennt in der Regel die konkret betroffenen unerlaubten Online-Glücksspielangebote.
Ich bin eine Rechtsanwältin, die in diesem Bereich tätig ist und daher täglich mit Zahlungsblockierungsfällen zu tun hat. Gerne stehe ich für einen vertieften Austausch diesbezüglich zu Verfügung.
Vielen Dank für Ihren Kommentar. § 9 Abs. 1 Nr. 4 GlüStV 2021 gibt der Glücksspielaufsichtsbehörde die Befugnis, den am Zahlungsverkehr Beteiligten die Tätigung von Zahlung für unerlaubte Glücksspiele und von Auszahlungen aus unerlaubten Glücksspielen zu untersagen. Problematisch bei der Umsetzung eines solchen Verbots durch Finanzinstitute und Banken ist, dass das Finanzinstitut anhand der ihm vorliegenden Daten (einschließlich personenbezogener Daten, die aufgrund des Geldwäschegesetzes verarbeitet werden) die Verfügung nicht erfüllen kann. Denn die Untersagung umfasst nur Zahlungsvorgänge, bei denen es sich um Zahlungen für unerlaubtes Glücksspiel bzw. Auszahlungen aus unerlaubtem Glücksspiel handelt. Um eine Zahlung als Zahlungsvorgang eines unerlaubten Glücksspiels zu identifizieren, benötigt das Finanzinstitut zusätzliche Daten. Glücksspielanbieter können neben illegalen Glücksspielen auch legale Glücksspiele anbieten. Außerdem kann das illegale Glücksspiel im Ausland stattgefunden haben. Finanzinstitute müssen daher prüfen, ob die Tatbestandsmerkmale der Norm bei einem bestimmten Zahlungsvorgang erfüllt sind oder nicht. Wenn das Finanzinstitut die geforderten zusätzlichen Daten nicht erhebt und dennoch der Verfügung nachkommen will, kann dies dazu führen, dass das Finanzinstitut rechtmäßige Zahlungsvorgänge blockiert. Für die Verarbeitung dieser zusätzlichen Daten ist eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO erforderlich. In Betracht kommt vorliegend die Erfüllung einer rechtlichen Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO. Allerdings müsste § 9 Abs. 1 Nr. 4 GlüStV 2021 den Anforderungen aus Art. 6 Abs. 3 DSGVO genügen, um als Rechtsgrundlage nach Art. 6 Abs. 1 lit. c DSGVO herangezogen werden zu können. Die Rechtsgrundlage (§ 9 Abs. 1 Nr. 4 GlüStV 2021) muss gemäß Art. 6 Abs. 3 S. 2 DSGVO und Erwägungsgrund 40 DSGVO klar und präzise formuliert sein und den Zweck der Verarbeitung festlegen. Aus § 9 Abs. 1 Nr. 4 GlüStV 2021 geht allerdings nicht einmal hervor, dass die Adressaten zu einer Datenverarbeitung verpflichtet werden. Es ist auch nicht festgelegt, welche Daten zu verarbeiten sind. Aus diesem Grund wird hier die Auffassung vertreten, dass § 9 Abs. 1 Nr. 4 GlüStV 2021 nicht den Anforderungen des Art. 6 Abs. 3 Satz 2 DSGVO entspricht und somit nicht als Rechtsgrundlage im Sinne des Art. 6 Abs. 1 c DSGVO herangezogen werden kann. Andere Meinungen sind vertretbar.