Gambiva Casino Datenschutzrichtlinie

Anwendungsbereich und Begriffsbestimmungen

Diese Datenschutzerklärung regelt die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung der unter atelierelvira.de bereitgestellten Inhalte und Funktionen. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, einschließlich Online Kennungen und Nutzungskennungen. Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist der Betreiber der Website, soweit nicht in dieser Erklärung abweichend ausgewiesen. Soweit in dieser Erklärung von Betroffenenrechten, Auftragsverarbeitung oder gemeinsamen Verantwortlichen die Rede ist, gelten die Begriffe im Sinne der Datenschutz Grundverordnung und des Bundesdatenschutzgesetzes. Die nachfolgenden Regelungen erfassen sowohl automatisierte als auch nicht automatisierte Verarbeitungsvorgänge, sofern die Daten in einem Dateisystem gespeichert werden.

Regulatorischer Rahmen und Grundsätze der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt nach den Grundsätzen der Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit gemäß Art. 5 DSGVO. Die nachfolgenden Angaben erläutern, welche Daten in welchen Kontexten verarbeitet werden und auf welche Rechtsgrundlagen sich die Verarbeitung stützt. Soweit besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO betroffen sein könnten, erfolgt eine Verarbeitung nur unter den gesetzlichen Voraussetzungen und regelmäßig nur, soweit die betroffene Person diese Daten selbst bereitstellt. Für die Einhaltung der Anforderungen werden technische und organisatorische Maßnahmen implementiert, die sich am Risiko für Rechte und Freiheiten natürlicher Personen orientieren. Diese Grundsätze gelten unabhängig davon, ob der Zugriff über Desktop, mobile Endgeräte oder Anwendungen Dritter erfolgt.

Kategorien personenbezogener Daten

Verarbeitet werden können Identifikations und Kontaktdaten wie Name, E Mail Adresse, Telefonnummer sowie Inhalte von Mitteilungen, soweit solche Angaben im Rahmen von Kontaktaufnahmen übermittelt werden. Darüber hinaus können Nutzungsdaten wie aufgerufene Seiten, Zugriffszeiten, Referrer URL, Interaktionen mit Funktionen, Spracheinstellungen und Geräteinformationen verarbeitet werden. Technische Protokolldaten wie IP Adresse, Log Daten, Browsertyp und Betriebssystem werden zur Gewährleistung des Betriebs sowie zur Abwehr von Angriffen verarbeitet, wobei eine Speicherung in Server Logs zeitlich begrenzt erfolgt. Soweit Zahlungs und Transaktionsdaten betroffen sein können, werden nur die zur Durchführung und Dokumentation erforderlichen Angaben verarbeitet, und Zahlungsdaten werden nach Möglichkeit über spezialisierte Zahlungsdienstleister abgewickelt. Die Verarbeitung kann außerdem pseudonyme Kennungen umfassen, die der Sitzungssteuerung, der Betrugsprävention oder der statistischen Auswertung dienen.

Besondere Datenkontexte

Soweit die Nutzung von Angeboten altersbezogene Prüfungen oder Identitätsnachweise erforderlich machen sollte, können Ausweisdaten oder Nachweisdokumente verarbeitet werden, jedoch nur, soweit dies rechtlich geboten ist und eine sichere Übermittlung vorgesehen wird. Daten, die Rückschlüsse auf Spielverhalten oder Risikomuster zulassen, werden, sofern sie anfallen, ausschließlich zu den in dieser Erklärung benannten Zwecken verarbeitet und nicht zu werblichen Profilen zusammengeführt. Gesundheitsdaten werden nicht aktiv erhoben; sofern solche Informationen in einer freien Mitteilung enthalten sind, werden sie nur zur Bearbeitung des konkreten Anliegens verarbeitet und danach nach Maßgabe der Aufbewahrungsregeln gelöscht oder gesperrt. Minderjährige sind von der Nutzung nicht vorgesehen; sollte eine Verarbeitung dennoch festgestellt werden, erfolgt eine unverzügliche Prüfung und Löschung im Rahmen der rechtlichen Möglichkeiten.

Methoden und Quellen der Datenerhebung

Die Erhebung erfolgt einerseits durch aktive Übermittlung, etwa wenn eine Person über ein Formular oder per E Mail Kontakt aufnimmt und dabei Angaben macht. Andererseits werden bestimmte Daten automatisiert bei der Nutzung der Website erhoben, insbesondere technische Informationen, die für die Auslieferung der Inhalte, die Stabilität und die IT Sicherheit erforderlich sind. Außerdem können Daten aus Systemen von Dienstleistern stammen, die im Auftrag Leistungen erbringen, etwa Hosting Anbieter oder Anbieter von Sicherheitsdiensten, wobei diese Datenverarbeitung vertraglich abgesichert wird. Sofern Einwilligungen für bestimmte Technologien oder Funktionen eingeholt werden, wird die Einwilligung protokolliert, um die Nachweisbarkeit nach Art. 7 Abs. 1 DSGVO sicherzustellen. Die Protokollierung kann Zeitstempel, Einwilligungsstatus und eine pseudonyme Kennung umfassen.

Zwecke der Verarbeitung nach der Datenschutzrichtlinie

Die Verarbeitung erfolgt zur Bereitstellung, Aufrechterhaltung und Optimierung der Website, einschließlich der Auslieferung von Inhalten, der Fehleranalyse und der Sicherstellung der Funktionsfähigkeit. Ferner dient sie der Bearbeitung von Anfragen, der Kommunikation zu administrativen oder rechtlichen Themen sowie der Dokumentation der Bearbeitungsschritte. Unter der Datenschutzrichtlinie werden außerdem Zwecke der IT Sicherheit erfasst, etwa die Abwehr von unberechtigten Zugriffen, die Erkennung von Missbrauch und die Sicherung der Vertraulichkeit der Systeme. Soweit gesetzliche Pflichten einschlägig sind, erfolgt eine Verarbeitung zur Erfüllung handels und steuerrechtlicher Aufbewahrungspflichten sowie zur Durchsetzung oder Abwehr von Rechtsansprüchen. Die Verarbeitung zu statistischen Zwecken kann auf aggregierter oder pseudonymer Basis erfolgen, um die Stabilität zu verbessern und Kapazitäten zu planen.

Betriebsnotwendige Verarbeitungsvorgänge

Technische Daten werden verarbeitet, um Verbindungen zu ermöglichen, Inhalte auszuliefern und Sitzungen zu verwalten, wobei hierfür regelmäßig Cookies oder vergleichbare Speichermechanismen eingesetzt werden. Sicherheitsrelevante Ereignisse können mit Zeitstempeln dokumentiert werden, um Angriffe nachzuvollziehen und Schutzmaßnahmen anzupassen. Fehlermeldungen können Informationen zum Endgerät oder zur konkreten Anfrage enthalten; diese werden nur so lange gespeichert, wie sie zur Fehlerbehebung erforderlich sind. Für die Wartung kann ein eingeschränkter Zugriff durch autorisierte Personen erfolgen, der anhand von Rollen und Berechtigungen gesteuert und protokolliert wird. Eine Zusammenführung von Nutzungsdaten mit identifizierenden Kontaktdaten findet nur statt, soweit dies zur Bearbeitung eines konkreten Vorgangs erforderlich und rechtlich zulässig ist.

Rechtsgrundlagen der Verarbeitung

Die Verarbeitung erfolgt, soweit sie zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, insbesondere bei der Bearbeitung leistungsbezogener Anfragen. Soweit eine rechtliche Verpflichtung besteht, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO, beispielsweise im Rahmen gesetzlicher Dokumentations oder Aufbewahrungspflichten. Für betriebsnotwendige Zwecke wie IT Sicherheit, Missbrauchsprävention oder die wirtschaftliche und technische Optimierung kann eine Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgen, wobei eine Interessenabwägung vorgenommen wird. Eine Verarbeitung auf Grundlage einer Einwilligung erfolgt nach Art. 6 Abs. 1 lit. a DSGVO, insbesondere im Kontext von nicht notwendigen Cookies oder vergleichbaren Technologien. Soweit ein Widerruf erfolgt, bleibt die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung unberührt.

Aufbewahrung, Löschung und Speicherbegrenzung

Die Speicherdauer richtet sich nach dem jeweiligen Zweck, der Rechtsgrundlage und etwaigen gesetzlichen Aufbewahrungspflichten. Server Logs werden in der Regel für 7 Tage gespeichert und anschließend gelöscht oder anonymisiert, sofern keine sicherheitsrelevante Auswertung erforderlich ist. Anfragen, die per E Mail oder Formular eingehen, werden regelmäßig bis zu 6 Monate nach Abschluss der Bearbeitung aufbewahrt, um Anschlussfragen zu ermöglichen und die Bearbeitung nachweisen zu können. Handels und steuerrechtlich relevante Unterlagen können für 10 Jahre aufbewahrt werden, soweit entsprechende Pflichten bestehen, wobei während der Aufbewahrungszeit eine Zugriffsbeschränkung implementiert wird. Daten können darüber hinaus für die Dauer der gesetzlichen Verjährungsfristen gespeichert werden, wenn dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Sperrung statt Löschung

Soweit eine unmittelbare Löschung rechtlich ausgeschlossen ist, werden die Daten gesperrt und nur noch für die gesetzlich vorgesehenen Zwecke verarbeitet. Eine Sperrung bedeutet insbesondere, dass Zugriffe organisatorisch und technisch beschränkt werden und eine Nutzung für andere Zwecke ausgeschlossen ist. Nach Wegfall der Aufbewahrungsgründe erfolgt eine Löschung in definierten Löschläufen, die regelmäßig geprüft und dokumentiert werden. Bei Datenträgern oder Backups kann eine vollständige physische Löschung erst mit der turnusmäßigen Überschreibung erfolgen, wobei in der Zwischenzeit Zugriffsschutzmaßnahmen gelten. Die Löschkonzepte werden mindestens alle 12 Monate auf Aktualität und Wirksamkeit überprüft.

Weitergabe, Empfänger und Offenlegung

Eine Weitergabe personenbezogener Daten erfolgt nur, soweit dies zur Erfüllung der Zwecke erforderlich ist, eine Einwilligung vorliegt oder eine gesetzliche Verpflichtung besteht. Empfänger können insbesondere Hosting Provider, IT Sicherheitsdienstleister, Kommunikationsdienstleister sowie ggf. Zahlungsdienstleister sein, die als Auftragsverarbeiter im Sinne von Art. 28 DSGVO tätig werden. Mit solchen Dienstleistern werden Verträge abgeschlossen, die Vertraulichkeit, technische und organisatorische Maßnahmen, Unterstützungspflichten und Kontrollrechte regeln. Eine Offenlegung gegenüber Behörden erfolgt nur bei Vorliegen einer rechtlichen Verpflichtung oder einer vollziehbaren behördlichen Anordnung. Eine Übermittlung an Dritte zur eigenständigen Verwendung findet nicht statt, sofern nicht ausdrücklich und rechtlich zulässig anderweitig beschrieben.

Internationale Datenübermittlungen

Soweit Dienstleister oder Unterauftragnehmer außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums eingesetzt werden, erfolgen Datenübermittlungen nur unter den Voraussetzungen der Art. 44 ff. DSGVO. Eine Übermittlung kann insbesondere auf einem Angemessenheitsbeschluss der Europäischen Kommission oder auf geeigneten Garantien wie Standardvertragsklauseln beruhen. Ergänzend werden, soweit erforderlich, zusätzliche technische und organisatorische Maßnahmen implementiert, um ein im Wesentlichen gleichwertiges Schutzniveau sicherzustellen. Die Notwendigkeit und Angemessenheit internationaler Übermittlungen wird im Rahmen von Risikoanalysen und Dienstleisterprüfungen bewertet und dokumentiert. Soweit eine Übermittlung stattfindet, werden betroffene Personen über die maßgeblichen Garantien und Möglichkeiten zur Erhaltung einer Kopie der relevanten Regelungen informiert.

Cookies und ähnliche Technologien gemäß der Datenschutzrichtlinie

Unter der Datenschutzrichtlinie werden Cookies, Local Storage und vergleichbare Technologien eingesetzt, soweit sie technisch erforderlich sind oder auf einer wirksamen Einwilligung beruhen. Technisch erforderliche Cookies dienen der Sitzungssteuerung, der Lastverteilung, der Sicherheit und der Darstellung grundlegender Funktionen und werden nach Ende der Sitzung oder nach einer definierten Frist gelöscht. Nicht erforderliche Technologien, etwa zur Reichweitenmessung oder zur komfortorientierten Analyse, werden nur nach Einwilligung aktiviert und können jederzeit mit Wirkung für die Zukunft deaktiviert werden. Die Protokollierung der Einwilligung umfasst regelmäßig Zeitpunkt, Auswahl und eine pseudonyme Kennung, um die Einhaltung der Nachweispflichten zu gewährleisten. Soweit Drittanbieter Technologien eingesetzt werden, werden deren Rollen und Verantwortlichkeiten geprüft und in den Einwilligungsdialogen abgebildet.

Steuerung und Widerruf

Einwilligungen können über die Einstellungen des Einwilligungsmanagements oder über die Browserkonfiguration geändert werden, wobei die konkrete Verfügbarkeit von Einstellungen vom Endgerät abhängt. Bei Deaktivierung bestimmter Technologien kann es zu Funktionseinschränkungen kommen, soweit die betreffenden Funktionen auf diesen Technologien beruhen. Der Widerruf wirkt für die Zukunft; zuvor erfolgte Verarbeitungsvorgänge bleiben rechtmäßig, soweit sie auf einer zum Zeitpunkt der Verarbeitung gültigen Einwilligung beruhten. Eine erneute Einholung der Einwilligung kann erfolgen, wenn sich Zwecke, Anbieter oder wesentliche Rahmenbedingungen ändern. Die Einwilligungszustände werden nicht zu Marketingprofilen zusammengeführt.

Schutzmaßnahmen und organisatorische Kontrollen

Die Verarbeitung erfolgt unter Anwendung geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO, die dem Risiko angemessen sind. Hierzu können Zugriffskontrollen, Rollen und Berechtigungskonzepte, Protokollierung administrativer Zugriffe sowie die Trennung von Daten nach Verarbeitungszwecken gehören. Übertragungen erfolgen grundsätzlich verschlüsselt, soweit dies technisch verfügbar und angemessen ist, und gespeicherte Daten werden nach Möglichkeit durch Verschlüsselung oder vergleichbare Schutzmechanismen gesichert. Zur Reduktion des Risikos werden Systeme regelmäßig aktualisiert und es werden Verfahren zur Erkennung und Behandlung von Sicherheitsvorfällen betrieben. Interne Kontrollen sehen vor, dass mindestens 95 % der sicherheitsrelevanten Updates innerhalb definierter Wartungsfenster eingespielt werden, soweit keine Kompatibilitätsgründe entgegenstehen.

Betroffenenrechte und Durchsetzung

Betroffene Personen haben nach Maßgabe der DSGVO das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie das Recht auf Widerspruch gegen bestimmte Verarbeitungen. Rechtebezogene Anträge werden nur nach angemessener Identitätsprüfung bearbeitet, um eine unbefugte Offenlegung zu verhindern, wobei der Umfang der Prüfung vom Risiko des Antrags abhängt. Die Bearbeitung erfolgt grundsätzlich innerhalb von 30 Tagen nach Eingang des Antrags, wobei eine Verlängerung unter den Voraussetzungen des Art. 12 Abs. 3 DSGVO möglich ist. Ein Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen wird geprüft und umgesetzt, sofern keine zwingenden schutzwürdigen Gründe entgegenstehen. Zudem besteht das Recht, eine Beschwerde bei einer zuständigen Datenschutzaufsichtsbehörde einzureichen, insbesondere am gewöhnlichen Aufenthaltsort oder am Ort des mutmaßlichen Verstoßes.

Rechtebezogene Einschränkungen

Soweit Anträge offensichtlich unbegründet oder exzessiv sind, kann nach Art. 12 Abs. 5 DSGVO ein angemessenes Entgelt verlangt oder die Bearbeitung abgelehnt werden, wobei die Gründe dokumentiert werden. In Fällen, in denen gesetzliche Aufbewahrungspflichten oder überwiegende Rechte Dritter entgegenstehen, kann eine Löschung eingeschränkt und stattdessen eine Sperrung vorgenommen werden. Bei Daten, die zur Verteidigung gegen Rechtsansprüche erforderlich sind, kann eine Verarbeitung bis zum Abschluss des Verfahrens fortgeführt werden, ohne dass eine darüberhinausgehende Nutzung erfolgt. Die Ausübung von Rechten berührt nicht die Rechtmäßigkeit bereits abgeschlossener Verarbeitungen. Eine Kommunikation zu Rechten erfolgt in klarer und nachweisbarer Form.

Verantwortlichkeiten, Auftragsverarbeitung und Bezug zu Gambiva Kasino

Soweit Dienstleistungen über externe Anbieter erbracht werden, werden diese als Auftragsverarbeiter oder eigenständig Verantwortliche eingeordnet und entsprechend vertraglich und organisatorisch eingebunden. Die Auswahl erfolgt anhand von Kriterien wie Vertraulichkeitszusagen, nachgewiesenen Sicherheitsstandards und der Fähigkeit zur Unterstützung bei Betroffenenrechten und Sicherheitsvorfällen. Gambiva Kasino kann in bestimmten Betriebskonstellationen als interne Bezeichnung für eine Leistungs oder Funktionsumgebung auftreten, ohne dass daraus eine eigenständige Verantwortlichkeit Dritter folgt. Sofern mehrere Einheiten an der Verarbeitung beteiligt sind, werden Zuständigkeiten für Informationspflichten, Sicherheitsmaßnahmen und die Bearbeitung von Anträgen eindeutig zugeordnet. Eine gemeinsame Verantwortlichkeit wird nur angenommen, wenn Zwecke und Mittel der Verarbeitung gemeinsam festgelegt werden und eine entsprechende Vereinbarung nach Art. 26 DSGVO besteht.

Kontakt, Antragsverfahren und Schlussbestimmungen zur Datenschutzrichtlinie

Die Datenschutzrichtlinie sieht vor, dass Anfragen zur Verarbeitung personenbezogener Daten sowie die Ausübung von Betroffenenrechten über die im Impressum der Website angegebenen Kontaktwege eingereicht werden. Für eine zügige Bearbeitung sollen Anträge hinreichend konkret sein und den Bezug zur Website atelierelvira.de erkennen lassen; eine Pflicht zur Angabe bestimmter Formulierungen besteht nicht. Soweit erforderlich, wird eine Identitätsprüfung durchgeführt, die sich auf das notwendige Maß beschränkt und regelmäßig innerhalb von 7 Tagen nach Anforderung abgeschlossen werden kann, sofern die Informationen vollständig vorliegen. Gambiva Kasino verarbeitet in diesem Zusammenhang nur diejenigen Angaben, die zur Zuordnung des Antrags, zur Prüfung der Berechtigung und zur Erfüllung der gesetzlichen Pflichten erforderlich sind. Änderungen dieser Erklärung erfolgen, wenn rechtliche Anforderungen, technische Abläufe oder Verarbeitungszwecke angepasst werden, wobei die jeweils aktuelle Fassung unter atelierelvira.de/privacy-policy bereitgestellt wird.

Diese Datenschutzrichtlinie wird in regelmäßigen Abständen auf Aktualität, Vollständigkeit und Übereinstimmung mit der DSGVO sowie dem BDSG überprüft und bei Bedarf angepasst, ohne dass dadurch eine Erweiterung der Zwecke ohne Rechtsgrundlage erfolgt. Soweit eine wesentliche Änderung eine erneute Einwilligung erfordert, wird ein entsprechender Mechanismus bereitgestellt, bevor die betroffene Verarbeitung aufgenommen wird. Die Dokumentation der Änderungen umfasst mindestens Datum der Anpassung, Beschreibung des Änderungsgegenstands und eine interne Freigabe, um Nachweisbarkeit und Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zu gewährleisten. Für Anträge, die aufgrund komplexer Sachverhalte eine Verlängerung der Bearbeitungsfrist erfordern, wird die betroffene Person innerhalb der gesetzlichen Frist informiert, wobei die Gründe und der voraussichtliche Abschluss mitgeteilt werden. Gambiva Kasino verpflichtet sich zur fortlaufenden Verbesserung der Schutzmaßnahmen und zur Umsetzung datenschutzfreundlicher Voreinstellungen, soweit dies unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Risiken angemessen ist. Im Rahmen von Sicherheitsvorfällen werden geeignete Prozesse zur Bewertung, Eindämmung und Meldung angewendet, einschließlich der Benachrichtigung der Aufsichtsbehörde binnen 72 Stunden, sofern die Voraussetzungen des Art. 33 DSGVO vorliegen. Die vorstehenden Regelungen bilden den maßgeblichen Rahmen für den datenschutzkonformen Betrieb und die transparente Information, wobei im Konfliktfall die zwingenden gesetzlichen Vorschriften in Deutschland Vorrang haben.