Datenschutzrichtlinie bei NV Casino

Geltungsbereich und Begriffsverständnis

Diese Datenschutzrichtlinie regelt die Bearbeitung personenbezogener Daten im Zusammenhang mit den Online Angeboten von NV Casino unter nvgames.ch. Sie konkretisiert, welche Informationen in welchen Konstellationen bearbeitet werden und welche Grundsätze dabei verbindlich sind. Der Begriff personenbezogene Daten umfasst alle Angaben, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als Bearbeitung gilt jeder Umgang mit Daten, insbesondere das Erheben, Speichern, Verwenden, Bekanntgeben oder Löschen. Soweit anwendbar, werden Grundprinzipien der DSGVO als Auslegungshilfe berücksichtigt, ohne dass dadurch eine allgemeine Anwendbarkeit begründet wird.

Regulatorischer Rahmen und Verantwortlichkeit

Die Bearbeitung erfolgt nach den Vorgaben des schweizerischen Datenschutzgesetzes in der revidierten Fassung sowie den dazugehörigen Ausführungsbestimmungen. Wo Sachverhalte einen Bezug zum Europäischen Wirtschaftsraum aufweisen, werden zusätzlich Grundsätze wie Rechtmässigkeit, Zweckbindung, Datenminimierung und Transparenz in der Prozessgestaltung berücksichtigt. Verantwortliche Stelle für die Datenbearbeitung im Sinne des Schweizer Rechts ist NV Casino, soweit nicht ausdrücklich ein Dritter als eigenständig Verantwortlicher handelt. Auftragsbearbeiter werden nur eingesetzt, wenn vertraglich eine Bearbeitung nach dokumentierten Weisungen und angemessenen Sicherheitsstandards zugesichert ist. Diese Datenschutzrichtlinie wird als verbindliche Informationsgrundlage für betroffene Personen und interne Compliance Prozesse geführt.

Kategorien personenbezogener Daten

Unter Personendaten werden insbesondere Identifikationsdaten wie Name, Geburtsdatum, Wohnsitzstaat, Staatsangehörigkeit und verifizierte Kontaktdaten verstanden, soweit diese für Kontoführung und gesetzliche Pflichten erforderlich sind. Hinzu treten Konto und Transaktionsdaten, wie Einzahlungen, Auszahlungen, verwendete Zahlungsarten, Zeitpunkte, Beträge und Referenzen, soweit dies zur Abwicklung und Nachweisführung nötig ist. Technische Daten umfassen IP Adresse, Gerätekennungen, Protokolldaten, Browserinformationen, Spracheinstellungen sowie sicherheitsrelevante Ereignisse, die bei der Nutzung anfallen. Kommunikationsdaten entstehen bei Anfragen, Meldungen oder Support Vorgängen und können Inhalte, Metadaten sowie Zustellinformationen enthalten. Für bestimmte gesetzliche Prüfungen können zusätzliche Verifikationsdaten anfallen, etwa Kopien von Identitätsdokumenten oder Nachweise zur Mittelherkunft.

Erhebungswege und Quellen

Die Datenerhebung erfolgt operativ über Eingabemasken, Kontoregistrierung, Verifikationsprozesse, Zahlungsabwicklungen und Interaktionen mit dem Kundendienst. Daneben werden Daten automatisiert aus Systemprotokollen, Sicherheitsmonitoring und Betrugsprävention gewonnen, um Integrität, Stabilität und Nachvollziehbarkeit zu gewährleisten. Externe Quellen können Zahlungsdienstleister, Identitätsprüfstellen oder Compliance Dienstleister sein, soweit eine gesetzliche Pflicht oder ein überwiegendes berechtigtes Interesse besteht und eine Datenübermittlung rechtlich zulässig ist. Es werden nur jene Daten übernommen, die für den jeweiligen Zweck nach dem Grundsatz der Datenminimierung erforderlich sind. Eine Datenerhebung aus öffentlich zugänglichen Quellen erfolgt nur in begründeten Fällen, etwa zur Abklärung von Sanktionsrisiken.

Zwecke der Bearbeitung und betriebliche Abläufe

Die Bearbeitung dient der Kontoeröffnung, der Authentifizierung, der Kontoführung und der Durchführung von Zahlungen sowie der korrekten Zuordnung von Transaktionen. Die Daten werden auch zur Erfüllung regulatorischer Pflichten eingesetzt, etwa zur Alters und Identitätsprüfung, zur Einhaltung von Sperrlisten, zur Geldwäschereiprävention und zur Beantwortung behördlicher Anfragen. Ferner werden technische Daten zur Gewährleistung der Verfügbarkeit, zur Fehleranalyse, zur Missbrauchserkennung und zur Abwehr unbefugter Zugriffe bearbeitet. Kommunikationsdaten werden zur Bearbeitung von Anliegen, zur Dokumentation von Vorgängen und zur Qualitätssicherung des Support Prozesses verwendet. Für interne Governance Zwecke kann eine revisionssichere Protokollierung bestimmter Vorgänge erforderlich sein, soweit dies verhältnismässig ist.

Rechtsgrundlagen der Bearbeitung nach Schweizer Recht

Die Bearbeitung erfolgt auf Grundlage der gesetzlichen Erlaubnistatbestände des Schweizer Datenschutzrechts sowie auf Basis vertraglicher Notwendigkeit für die Bereitstellung des Dienstes. Soweit Einwilligungen eingeholt werden, geschieht dies freiwillig, informiert und nachweisbar, wobei ein Widerruf für die Zukunft berücksichtigt wird. Ein überwiegendes privates Interesse kann insbesondere bei IT Sicherheit, Betrugsbekämpfung, Abwehr von Rechtsansprüchen sowie der Gewährleistung der Systemintegrität vorliegen. Gesetzliche Verpflichtungen können die Bearbeitung und Aufbewahrung bestimmter Datenkategorien erforderlich machen, selbst wenn eine Kontoschliessung erfolgt ist. Diese Datenschutzrichtlinie erläutert die wesentlichen Grundlagen, ohne einzelne Spezialnormen im Detail zu zitieren.

Datenschutzrichtlinie zu Cookies und Tracking Technologien

Cookies und ähnliche Technologien dienen der technischen Bereitstellung, der Sitzungsverwaltung, der Sicherheitssteuerung sowie der Präferenzspeicherung. Die Datenschutzrichtlinie unterscheidet zwischen technisch notwendigen Cookies und solchen, die der Reichweitenmessung oder Funktionsanalyse dienen, soweit solche Funktionen eingesetzt werden. Technisch notwendige Cookies können für die Dauer einer Sitzung oder für definierte Zeiträume gespeichert werden, um Login Prozesse und Schutzmechanismen zuverlässig zu betreiben. Soweit für Analysezwecke eine Einwilligung erforderlich ist, wird diese vor der entsprechenden Speicherung oder dem Auslesen eingeholt und protokolliert. Protokolldaten zu Sicherheitsereignissen können unabhängig von Cookie Einstellungen anfallen, wenn dies zur Abwehr konkreter Risiken erforderlich ist.

Datenweitergabe, Offenlegung und Empfänger

Eine Weitergabe erfolgt nur, soweit sie zur Vertragserfüllung, zur Einhaltung gesetzlicher Pflichten oder zur Wahrung überwiegender Interessen erforderlich und rechtlich zulässig ist. Empfänger können Zahlungsdienstleister, Banken, Identitätsprüfstellen, IT Dienstleister, Hosting Anbieter sowie spezialisierte Compliance Partner sein, jeweils in der Rolle als Auftragsbearbeiter oder als eigenständig Verantwortliche. Behörden können Daten im Rahmen gesetzlicher Auskunfts und Meldepflichten erhalten, wobei Umfang und Dokumentation nach dem Grundsatz der Verhältnismässigkeit ausgerichtet werden. Interne Zugriffe sind rollenbasiert beschränkt und erfolgen nur für legitimierte Zwecke innerhalb definierter Prozesse. Das casino NV wird in diesem Kontext als Anbieterplattform verstanden, deren technische und organisatorische Abläufe eine selektive Datenweitergabe an notwendige Stellen bedingen.

Auftragsbearbeitung und vertragliche Sicherungen

Auftragsbearbeiter werden auf ihre Eignung und Sicherheitsstandards geprüft und durch vertragliche Regelungen zur Vertraulichkeit, Integrität und Verfügbarkeit verpflichtet. Verträge enthalten insbesondere Vorgaben zu Unterauftragsverhältnissen, Audit Rechten, Meldepflichten bei Sicherheitsvorfällen und Löschkonzepten. Soweit möglich werden Daten in der Schweiz oder im EWR verarbeitet, sofern dies mit Leistungs und Sicherheitsanforderungen vereinbar ist. Der Zugriff durch Unterauftragnehmer wird nur nach dokumentierter Freigabe und unter gleichwertigen Verpflichtungen zugelassen. Die Einhaltung wird durch risikobasierte Kontrollen und periodische Überprüfungen begleitet.

Internationale Datenübermittlungen

Sofern eine Bearbeitung ausserhalb der Schweiz erfolgt, wird vorab geprüft, ob ein angemessenes Datenschutzniveau besteht oder geeignete Garantien implementiert werden. Geeignete Garantien können vertragliche Klauseln, technische Schutzmassnahmen sowie organisatorische Vorgaben umfassen, die den Zugriff unbefugter Dritter begrenzen. Bei Übermittlungen in Staaten ohne angemessenen Schutz werden zusätzliche Massnahmen geprüft, etwa Verschlüsselung mit Schlüsselverwaltung unter kontrollierten Bedingungen. Eine Übermittlung wird nur vorgenommen, soweit sie für die Leistungserbringung oder gesetzliche Pflichten erforderlich ist. Das casino NV kann dabei auf internationale Dienstleister zurückgreifen, soweit die vorgenannten Voraussetzungen erfüllt sind.

Aufbewahrung, Löschung und Archivierung

Personendaten werden nur so lange aufbewahrt, wie dies für die Zwecke der Bearbeitung oder aufgrund gesetzlicher Aufbewahrungspflichten erforderlich ist. Für abrechnungs und transaktionsbezogene Daten kann eine Aufbewahrung von 10 Jahren vorgesehen sein, sofern handels, steuer oder geldwäschereirechtliche Vorgaben dies verlangen. Support und Kommunikationsdaten werden typischerweise 24 Monate aufbewahrt, sofern keine längere Aufbewahrung zur Beweissicherung oder zur Abwehr von Ansprüchen erforderlich ist. Technische Protokolle zur IT Sicherheit werden in der Regel 180 Tage gespeichert, sofern keine konkrete Untersuchung eine längere Sicherung rechtfertigt. Nach Ablauf der jeweiligen Fristen werden Daten gelöscht, anonymisiert oder in ein gesichertes Archiv überführt, soweit dies rechtlich zulässig und technisch angemessen ist.

Sperrung statt Löschung in Sonderfällen

Wenn eine Löschung mit gesetzlichen Pflichten kollidiert, werden Daten gesperrt und nur noch für die zwingend erforderlichen Zwecke bearbeitet. Eine Sperrung wird auch vorgenommen, wenn die Richtigkeit bestritten wird und eine Prüfung aussteht. In solchen Fällen werden Zugriffe restriktiv begrenzt und die Nutzung zu operativen Zwecken ausgeschlossen. Die Dauer der Sperrung richtet sich nach dem Prüfbedarf und den einschlägigen Fristen. Nach Klärung erfolgt entweder eine Berichtigung, eine Löschung oder eine weitere gesetzlich begründete Aufbewahrung.

Technische und organisatorische Sicherheitsmassnahmen

Die Sicherheitsarchitektur verfolgt das Ziel, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme dauerhaft zu gewährleisten. Es werden Massnahmen wie Transportverschlüsselung, Zugriffskontrollen, Protokollierung, Netzwerksegmentierung und Schutz vor automatisierten Angriffen eingesetzt. Kritische Daten können zusätzlich im Ruhezustand verschlüsselt werden, wobei Schlüssel nach dem Prinzip der minimalen Berechtigung verwaltet werden. Interne Berechtigungen werden nach Rollenmodell vergeben und regelmässig überprüft, wobei ein Entzug bei Rollenwechsel zeitnah umgesetzt wird. Die Wirksamkeit zentraler Kontrollen wird mindestens zu 95 Prozent der relevanten Systeme durch automatisierte Compliance Checks erfasst, soweit dies technisch abbildbar ist.

Umgang mit Datenschutzverletzungen

Bei Verdacht auf eine Verletzung der Datensicherheit werden definierte Incident Prozesse ausgelöst, welche Eindämmung, Ursachenanalyse und Wiederherstellung umfassen. Betroffene Systeme können isoliert werden, um weitere Risiken zu reduzieren, und Beweise werden nachvollziehbar gesichert. Wenn eine Meldung an eine Aufsichtsbehörde oder eine Information betroffener Personen erforderlich ist, erfolgt dies nach den massgeblichen gesetzlichen Kriterien und innerhalb angemessener Fristen. Interne Berichte werden zur Rechenschaftspflicht dokumentiert und für Audits bereitgehalten. Präventive Massnahmen werden nach Lessons Learned in Sicherheitskonzepte integriert.

Rechte betroffener Personen und Ausübung

Betroffene Personen haben im Rahmen des anwendbaren Rechts Anspruch auf Auskunft, Berichtigung, Löschung, Einschränkung der Bearbeitung sowie auf Herausgabe oder Übertragung von Daten, soweit die gesetzlichen Voraussetzungen erfüllt sind. Ebenso kann einer Bearbeitung widersprochen werden, wenn sich die Bearbeitung auf überwiegende Interessen stützt und keine vorrangigen Gründe entgegenstehen. Die Bearbeitung von Gesuchen richtet sich nach einem standardisierten Verfahren, das die Identitätsprüfung zur Verhinderung unbefugter Offenlegungen einschliesst. Antworten erfolgen grundsätzlich innerhalb von 30 Tagen, wobei bei komplexen Fällen eine angemessene Verlängerung begründet werden kann. Diese Datenschutzrichtlinie legt fest, dass die Bearbeitung von Gesuchen dokumentiert wird, um Nachvollziehbarkeit und Rechenschaft zu gewährleisten.

Einschränkungen der Rechte

Rechte können eingeschränkt werden, wenn gesetzliche Aufbewahrungspflichten, überwiegende öffentliche Interessen oder Rechte Dritter entgegenstehen. Eine Einschränkung wird begründet und auf das notwendige Minimum beschränkt. Falls eine vollständige Auskunft nicht möglich ist, kann eine Teilauskunft erfolgen, soweit dies rechtlich zulässig ist. Bei offenkundig unbegründeten oder exzessiven Gesuchen kann eine angemessene Bearbeitungsgebühr erhoben oder die Bearbeitung abgelehnt werden, sofern das Recht dies erlaubt. Das casino NV berücksichtigt solche Konstellationen im Rahmen eines dokumentierten Abwägungsprozesses.

Kontakt, Anfragen und Verfahren zur Datenanfrage

Anfragen zur Bearbeitung personenbezogener Daten werden über die in diesem Dokument vorgesehenen Kontaktkanäle entgegengenommen und fallbezogen zugeordnet. Für die Identifikation können geeignete Nachweise verlangt werden, um eine Offenlegung an unberechtigte Dritte zu verhindern, wobei nur verhältnismässige Daten erhoben werden. Eine Eingangsbestätigung kann innert 7 Tagen erfolgen, sofern dies zur Transparenz des Verfahrens zweckmässig ist. Für Beschwerden steht zudem der Rechtsweg nach anwendbarem Schweizer Recht offen, sowie gegebenenfalls die Kontaktaufnahme mit der zuständigen Datenschutzaufsicht. Diese Datenschutzrichtlinie wird bei jeder wesentlichen Prozessanpassung als Referenz für die korrekte Bearbeitung von Anfragen herangezogen.

Datenschutzrichtlinie, Änderungen und Compliance Zusicherung

Diese Datenschutzrichtlinie wird bei organisatorischen, technischen oder rechtlichen Änderungen überprüft und bei Bedarf angepasst, um die fortlaufende Rechtmässigkeit der Bearbeitung sicherzustellen. Änderungen können insbesondere erforderlich werden, wenn neue Kategorien von Daten eingeführt werden, neue Auftragsbearbeiter eingesetzt werden oder sich gesetzliche Anforderungen in der Schweiz oder in relevanten Drittstaaten ändern. Die jeweils aktuelle Fassung wird auf nvgames.ch/privacy-policy publiziert, wobei das Datum der letzten Aktualisierung nachvollziehbar geführt wird. Soweit wesentliche Änderungen eine erhöhte Transparenz erfordern, wird eine geeignete Information bereitgestellt, ohne dass dadurch eine Zustimmungspflicht in jedem Fall begründet wird. NV Casino verpflichtet sich zur Einhaltung der Grundsätze von Zweckbindung, Datenminimierung, Verhältnismässigkeit und Integrität sowie zur nachweisbaren Umsetzung angemessener technischer und organisatorischer Massnahmen. Diese Datenschutzrichtlinie bestätigt zudem, dass Gesuche betroffener Personen nach dokumentierten Verfahren bearbeitet werden und dass die Antwort in der Regel innerhalb von 30 Tagen erfolgt, sofern keine rechtlich begründete Verlängerung erforderlich ist. Eine fortlaufende Compliance Kontrolle kann periodische interne Reviews vorsehen, etwa im Turnus von 12 Monaten, um die Wirksamkeit von Löschkonzepten, Zugriffskontrollen und Incident Prozessen zu verifizieren. Wenn eine Anpassung zu geänderten Aufbewahrungsfristen führt, wird dies in der jeweiligen Fassung dieser Datenschutzrichtlinie transparent abgebildet und in die internen Archivierungsregeln überführt.