Allgemeine Bestimmungen und Geltungsbereich
Diese Datenschutzrichtlinie regelt die Bearbeitung von Personendaten im Zusammenhang mit dem Angebot von Slotsvader Casino unter der Domain slotsvader-casino-ch.ch. Sie gilt für Zugriffe auf die Website, für die Nutzung von Kontofunktionen sowie für damit verbundene Kommunikationskanäle. Massgebend sind die Anforderungen des schweizerischen Datenschutzgesetzes (DSG) und der dazugehörigen Verordnung, ergänzt durch anerkannte Grundsätze der DSGVO, soweit diese bei grenzüberschreitenden Sachverhalten oder Dienstleistern relevant werden. Die Regelungen erfassen sowohl automatisierte Bearbeitungen als auch manuelle Vorgänge, sofern Personendaten in einem Dateisystem abgelegt werden. Die Verantwortlichkeit richtet sich nach den in dieser Erklärung bezeichneten Zuständigkeiten und den tatsächlich eingesetzten Bearbeitungsmitteln. Soweit besondere Bestimmungen für einzelne Dienste gelten, gehen diese Spezialregelungen im Umfang ihrer Abweichung vor.
Begriffsbestimmungen und Rollen
Personendaten sind alle Angaben, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als Bearbeitung gilt jeder Umgang mit Personendaten, namentlich das Erheben, Speichern, Verwenden, Bekanntgeben, Archivieren oder Löschen. Verantwortlicher ist jene Stelle, die Zweck und Mittel der Bearbeitung festlegt, während Auftragsbearbeiter Personendaten im Auftrag und nach Weisung bearbeiten. Unter Empfänger werden Stellen verstanden, denen Personendaten bekanntgegeben werden, unabhängig davon, ob es sich um Dritte oder Auftragsbearbeiter handelt. Diese Definitionen sind für das Verständnis der in dieser Erklärung beschriebenen Pflichten und Verfahren verbindlich. Bei der Nutzung des casino Slotsvader können je nach Funktion unterschiedliche Rollenlagen vorliegen, etwa wenn externe Identitätsprüfungen oder Zahlungsabwicklungen eingebunden sind.
Kategorien von Personendaten
Im Rahmen des Plattformbetriebs können Identifikationsdaten wie Name, Geburtsdatum, Staatsangehörigkeit sowie Wohnsitzangaben bearbeitet werden, soweit diese für Registrierung, Altersprüfung und gesetzliche Sorgfaltspflichten erforderlich sind. Ferner können Kontaktdaten wie E Mail Adresse, Telefonnummer oder Postadresse anfallen, sofern diese für Kommunikation, Sicherheitsmeldungen oder Zustellung gesetzlich gebotener Informationen benötigt werden. Nutzungs und Gerätedaten wie IP Adresse, Zeitstempel, Browserinformationen, Log Daten und Interaktionsdaten können zur Gewährleistung der Systemsicherheit sowie zur Fehleranalyse bearbeitet werden. Zahlungsbezogene Daten wie Transaktionsreferenzen, Zahlungsstatus und auszahlungsrelevante Angaben werden im Zusammenhang mit Einzahlungen und Auszahlungen verarbeitet, wobei vollständige Karten oder Kontonummern in der Regel nicht dauerhaft gespeichert werden. Bei Einhaltung von Compliance Pflichten können zudem Verifikationsdaten wie Dokumentenprüfresultate oder Abgleichindikatoren entstehen, ohne dass mehr Daten als erforderlich erhoben werden. Im Kontext des casino Slotsvader können einzelne Datenkategorien kumulativ anfallen, wobei eine Zweckbindung gemäss den nachfolgenden Bestimmungen gilt.
Besondere Personendaten und erhöhte Schutzbedürftigkeit
Als besonders schützenswerte Personendaten im Sinne des DSG gelten unter anderem Angaben, aus denen religiöse, weltanschauliche oder politische Ansichten hervorgehen, sowie Gesundheitsdaten. Solche Daten werden grundsätzlich nicht für den regulären Betrieb benötigt und sollen weder verlangt noch absichtlich erhoben werden. Falls im Einzelfall Inhalte durch Mitteilungen übermittelt werden, die als besonders schützenswert einzustufen sind, erfolgt eine Bearbeitung nur, soweit dies zur Bearbeitung des konkreten Anliegens erforderlich ist und gesetzliche Vorgaben eingehalten werden. Gleiches gilt für Daten von Personen, die unter 18 Jahren sind, wobei der Dienst auf die Verhinderung einer Nutzung durch Minderjährige ausgerichtet ist. Entsprechende Schutzmassnahmen können Prüfmechanismen und Sperrprozesse umfassen, die auf Risikominimierung ausgerichtet sind.
Erhebungsmethoden und Datenquellen
Die Bearbeitung von Personendaten erfolgt auf Grundlage unterschiedlicher Erhebungswege, wobei der Umfang vom genutzten Dienstmodul abhängt. Daten werden direkt erhoben, wenn sie im Rahmen der Kontoeröffnung, bei Verifikationsschritten oder bei Kontaktaufnahmen übermittelt werden. Zusätzlich können Daten indirekt über Dienstleister anfallen, etwa wenn Identitätsprüfungen durchgeführt oder Zahlungen abgewickelt werden, wobei diese Stellen als Auftragsbearbeiter oder eigenständige Verantwortliche handeln können. Technische Protokolldaten entstehen automatisch beim Zugriff auf die Website und werden durch Server und Sicherheitskomponenten generiert. Für den reibungslosen Betrieb werden gewisse Informationen aus Cookies oder ähnlichen Technologien ausgelesen, soweit dies rechtlich zulässig ist. Soweit die Datenschutzrichtlinie auf Einwilligungen abstellt, erfolgt eine Bearbeitung erst nach entsprechender Auswahl in den angebotenen Einstellungen.
Automatisierte Protokollierung im Betrieb
Aus betrieblichen Gründen werden Zugriffe in Log Dateien erfasst, um unbefugte Zugriffe, Angriffsmuster und Systemfehler zu erkennen. Dabei können Zeit, angefragte Ressource, Fehlercodes sowie technische Parameter festgehalten werden, ohne dass daraus zwingend ein direktes Nutzerprofil abgeleitet wird. Solche Protokolle sind ein wesentlicher Bestandteil von Sicherheits und Nachweispflichten und dienen auch der Wiederherstellung der Systemintegrität nach Störungen. Die Auswertung erfolgt nach dem Grundsatz der Verhältnismässigkeit und wird auf Fälle beschränkt, in denen ein konkreter Sicherheits oder Betriebszweck besteht. Im casino Slotsvader kann die Protokollierung auch zur Betrugsprävention sowie zur Absicherung von Kontofunktionen erforderlich sein.
Zwecke der Bearbeitung und Zweckbindung
Die Bearbeitung dient der Bereitstellung und Verwaltung von Konten, der Durchführung von Transaktionen und der Erbringung der angeforderten Dienstleistungen. Sie ermöglicht die Alters und Identitätsprüfung, die Einhaltung von Sorgfaltspflichten sowie die Bearbeitung von Auszahlungsanfragen und Sicherheitsabklärungen. Weiter kann die Bearbeitung der Fehlerdiagnose, der Systemstabilität sowie der Abwehr von Angriffen und missbräuchlichen Nutzungen dienen. Kommunikationsdaten werden verwendet, um Anfragen zu beantworten, rechtliche Hinweise zu übermitteln oder sicherheitsrelevante Informationen zuzustellen. Für statistische Auswertungen können Daten in aggregierter oder pseudonymisierter Form verarbeitet werden, um Leistung und Belastbarkeit der Systeme zu beurteilen. Eine Verwendung für mit dem ursprünglichen Zweck unvereinbare Ziele erfolgt nur, wenn eine rechtliche Grundlage besteht oder eine erforderliche Einwilligung vorliegt.
Rechtsgrundlagen der Bearbeitung
Die Bearbeitung stützt sich nach schweizerischem Recht insbesondere auf überwiegende private oder öffentliche Interessen, auf gesetzliche Pflichten sowie auf Einwilligungen, soweit diese im Einzelfall erforderlich sind. Vertragsbezogene Bearbeitungen erfolgen, wenn sie für die Erfüllung des Nutzungsverhältnisses oder für vorvertragliche Massnahmen notwendig sind. Gesetzliche Pflichten können insbesondere aus Vorgaben zur Sorgfalt, zur Prävention von Missbrauch oder zur Aufbewahrung von Nachweisen resultieren. Einwilligungen werden vor allem für optionale Technologien oder Kommunikationsformen eingeholt und können jederzeit mit Wirkung für die Zukunft widerrufen werden. Bei Bezug zur DSGVO werden als Rechtsgrundlagen zusätzlich Vertragserfüllung, rechtliche Verpflichtung, berechtigtes Interesse oder Einwilligung herangezogen, soweit anwendbar. Diese Datenschutzrichtlinie beschreibt die jeweiligen Bearbeitungen so, dass eine Zuordnung zu den Rechtsgrundlagen nachvollziehbar bleibt.
Interessenabwägung und Compliance Nachweis
Soweit Bearbeitungen auf berechtigten Interessen beruhen, erfolgt eine dokumentierte Abwägung zwischen den Schutzinteressen der betroffenen Personen und den Interessen an einem sicheren und funktionsfähigen Betrieb. Dabei werden Art, Umfang, Kontext und Zweck der Bearbeitung sowie die Eintrittswahrscheinlichkeit und Schwere möglicher Risiken berücksichtigt. Technische und organisatorische Massnahmen werden so ausgestaltet, dass die Auswirkungen auf die Privatsphäre reduziert werden, etwa durch Pseudonymisierung oder Zugriffsbeschränkungen. Ein besonderes Gewicht kommt der Integrität der Systeme, der Betrugsprävention und der Nachvollziehbarkeit von sicherheitsrelevanten Ereignissen zu. Die Dokumentation wird periodisch überprüft, mindestens alle 12 Monate, oder anlassbezogen bei wesentlichen Änderungen der Verarbeitung.
Weitergabe, Empfänger und Offenlegung
Personendaten können an Auftragsbearbeiter weitergegeben werden, soweit diese für Hosting, Wartung, Support, Identitätsprüfung, Zahlungsabwicklung oder Sicherheitsleistungen erforderlich sind. Solche Dienstleister werden vertraglich verpflichtet, Personendaten nur nach Weisung zu bearbeiten, geeignete Sicherheitsmassnahmen umzusetzen und Vertraulichkeit zu wahren. Eine Offenlegung gegenüber Behörden kann erfolgen, wenn eine gesetzliche Verpflichtung besteht oder eine verbindliche Anordnung vorliegt. Ferner kann eine Bekanntgabe erforderlich sein, um Rechtsansprüche durchzusetzen, Missbrauch abzuklären oder die Sicherheit des Dienstes zu schützen, wobei die Verhältnismässigkeit gewahrt bleibt. Eine Weitergabe im Rahmen von Unternehmensumstrukturierungen ist möglich, wenn dies zur Fortführung des Betriebs erforderlich ist und angemessene Datenschutzgarantien bestehen. Im Zusammenhang mit dem casino Slotsvader wird keine Offenlegung zu Werbezwecken zugesichert, sofern nicht eine spezifische Einwilligung vorliegt.
Internationale Datenbekanntgabe
Eine Bearbeitung kann auch ausserhalb der Schweiz erfolgen, wenn Dienstleister oder technische Infrastrukturen in anderen Staaten betrieben werden. In solchen Fällen werden geeignete Garantien eingesetzt, insbesondere anerkannte Standardvertragsklauseln, vertragliche Zusatzmassnahmen oder andere nach DSG zulässige Instrumente. Bei Staaten ohne angemessenes Datenschutzniveau wird die Bekanntgabe auf das erforderliche Minimum beschränkt und zusätzlich abgesichert, etwa durch Verschlüsselung und strenge Zugriffskontrollen. Soweit die Übermittlung für die Vertragserfüllung notwendig ist, kann sie auch auf dieser Grundlage erfolgen, sofern die gesetzlichen Bedingungen eingehalten sind. Eine Transparenz über die Kategorien von Empfängern und die Schutzmechanismen bleibt Bestandteil dieser Erklärung. Die Datenschutzrichtlinie wird so angewendet, dass auch bei grenzüberschreitenden Bearbeitungen ein vergleichbares Schutzniveau angestrebt wird.
Aufbewahrung, Löschung und Archivierung
Personendaten werden nur so lange aufbewahrt, wie es für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Protokoll und Sicherheitsdaten werden in der Regel für 180 Tage gespeichert, sofern kein sicherheitsrelevanter Vorfall eine längere Aufbewahrung zur Abklärung oder Beweissicherung rechtfertigt. Vertrags und Transaktionsdaten können bis zu 10 Jahre aufbewahrt werden, soweit dies zur Erfüllung gesetzlicher Nachweis und Dokumentationspflichten erforderlich ist. Verifikationsunterlagen werden grundsätzlich nur so lange gespeichert, wie die Prüfung und die anschliessenden Compliance Anforderungen dies notwendig machen, und werden danach gelöscht oder irreversibel anonymisiert. Anfragen über Kontaktkanäle werden je nach Gegenstand typischerweise für 24 Monate aufbewahrt, sofern keine gesetzliche Pflicht oder ein laufendes Verfahren eine längere Sicherung verlangt. Diese Datenschutzrichtlinie stellt klar, dass Löschungen auch aus Backup Systemen zeitverzögert erfolgen können, wobei eine Wiederherstellung nur zu Integritätszwecken und unter Zugriffsbeschränkungen zulässig ist.
Cookies und vergleichbare Technologien
Für den Betrieb der Website werden technische Cookies oder ähnliche Speichermechanismen eingesetzt, um Grundfunktionen wie Sitzungsverwaltung, Spracheinstellungen und Sicherheitsprüfungen zu ermöglichen. Darüber hinaus können Analyse und Komfortfunktionen verwendet werden, soweit diese nach den anwendbaren Regeln eine Einwilligung erfordern oder auf ein überwiegendes Interesse gestützt werden können. Es werden, wo möglich, datensparsame Einstellungen gewählt, etwa durch gekürzte IP Verarbeitung oder kurze Lebensdauern für nicht zwingende Kennungen. Einwilligungsbasierte Einstellungen können über das jeweilige Consent Werkzeug angepasst werden, wobei der Widerruf die Rechtmässigkeit früherer Bearbeitungen nicht berührt. Bei Ablehnung nicht notwendiger Technologien kann die Funktionalität einzelner Bereiche eingeschränkt sein, ohne dass dies zu einer unzulässigen Benachteiligung führen soll. Im casino Slotsvader werden Tracking Technologien nicht so eingesetzt, dass ohne Rechtsgrundlage umfassende Nutzungsprofile erstellt werden.
Analyse und Reichweitenmessung
Soweit Reichweitenmessungen genutzt werden, erfolgt die Auswertung in erster Linie zur Verbesserung der Stabilität, zur Kapazitätsplanung und zur Erkennung von Fehlfunktionen. Die dabei verarbeiteten Daten werden nach Möglichkeit aggregiert und nur so detailliert geführt, wie es zur Erreichung des Messzwecks erforderlich ist. Werden Drittanbieter Tools eingesetzt, wird vertraglich geregelt, dass diese Daten nicht für eigene Zwecke verwenden, soweit dies rechtlich und technisch durchsetzbar ist. Für die Speicherdauer einzelner Kennungen können je nach Tool Werte zwischen 7 Tagen und 13 Monaten gelten, wobei die tatsächlich gewählten Einstellungen dokumentiert werden. Diese Regelungen werden in der Datenschutzrichtlinie so beschrieben, dass die eingesetzten Mechanismen nachvollziehbar bleiben.
Datensicherheit und Schutzmassnahmen
Die Sicherheit der Bearbeitung wird durch technische und organisatorische Massnahmen nach dem Stand der Technik gewährleistet. Dazu gehören Zugriffskontrollen, Berechtigungskonzepte, Protokollierung, Verschlüsselung bei der Übertragung sowie Schutzmechanismen gegen unbefugte Zugriffe. Kritische Systeme werden segmentiert betrieben, und administrative Zugriffe werden auf ein notwendiges Minimum beschränkt. Sicherheitsupdates und Schwachstellenmanagement werden nach einem risikobasierten Ansatz organisiert, wobei die Wirksamkeit von Massnahmen regelmässig überprüft wird. Interne Prozesse berücksichtigen das Vertraulichkeitsprinzip und definieren Zuständigkeiten für Incident Response, inklusive Eskalationswegen. Ziel ist es, ein hohes Schutzniveau zu erreichen, beispielsweise durch eine Abdeckung von mindestens 99 % der bekannten kritischen Schwachstellen in den relevanten Komponenten innerhalb definierter Wartungsfenster, soweit dies betrieblich realisierbar ist.
Umgang mit Datenschutzvorfällen
Ein Datenschutzvorfall liegt vor, wenn Personendaten unbeabsichtigt oder unrechtmässig verloren gehen, verändert, offengelegt oder zugänglich gemacht werden. Vorfälle werden anhand vordefinierter Kriterien bewertet, dokumentiert und, falls erforderlich, den zuständigen Stellen gemeldet. Betroffene Personen werden informiert, wenn ein hohes Risiko für ihre Persönlichkeit oder ihre Grundrechte besteht und die gesetzlichen Voraussetzungen erfüllt sind. Die Ursachenanalyse umfasst technische Befunde, Prozessprüfungen und die Bewertung möglicher Folgerisiken, um Wiederholungen zu verhindern. Die getroffenen Massnahmen werden revisionsfähig festgehalten und bei Bedarf in Sicherheitsrichtlinien überführt.
Rechte betroffener Personen
Betroffene Personen haben nach DSG und, soweit anwendbar, nach DSGVO das Recht auf Auskunft über die Bearbeitung ihrer Personendaten. Sie können die Berichtigung unrichtiger Daten verlangen sowie unter bestimmten Voraussetzungen die Löschung, Einschränkung der Bearbeitung oder die Herausgabe beziehungsweise Übertragung von Daten beantragen. Ein Widerspruch gegen Bearbeitungen, die auf überwiegenden Interessen beruhen, ist möglich, sofern die gesetzlichen Bedingungen erfüllt sind und keine vorrangigen Gründe entgegenstehen. Erteilte Einwilligungen können jederzeit für die Zukunft widerrufen werden, ohne dass daraus eine Rückwirkung auf bereits erfolgte Bearbeitungen entsteht. Für Anträge kann ein Identitätsnachweis erforderlich sein, um unbefugte Offenlegungen zu vermeiden. Die Beantwortung erfolgt grundsätzlich innerhalb von 30 Tagen, wobei eine Verlängerung zulässig sein kann, sofern die Komplexität oder Anzahl der Anfragen dies erfordert und dies begründet kommuniziert wird.
Kontakt, Verfahren für Datenschutzanfragen und Aktualisierungen
Die nachstehenden Bestimmungen legen fest, wie Datenschutzanfragen eingereicht, geprüft und beantwortet werden, und wie Änderungen dieser Datenschutzrichtlinie publiziert werden. Anfragen sind über die auf slotsvader-casino-ch.ch verfügbaren Kontaktkanäle einzureichen, wobei eine hinreichend genaue Beschreibung des Begehrens erforderlich ist, damit eine sachgerechte Prüfung erfolgen kann. Zur Vermeidung von Datenabflüssen kann eine zusätzliche Verifikation verlangt werden, insbesondere wenn Auskünfte sensible Kontoinformationen betreffen oder eine Zustellung an neue Kontaktdaten gewünscht wird. Nach Eingang einer Anfrage wird geprüft, ob gesetzliche Ausnahmen greifen, etwa wenn Rechte Dritter betroffen sind oder gesetzliche Aufbewahrungspflichten eine sofortige Löschung ausschliessen. Diese Datenschutzrichtlinie wird bei wesentlichen Änderungen der Bearbeitung, bei neuen gesetzlichen Anforderungen oder bei Anpassungen der eingesetzten Dienstleister aktualisiert, wobei die neue Fassung mit dem Datum des Inkrafttretens veröffentlicht wird. Sofern eine Änderung eine Einwilligungspflicht auslöst oder den Charakter der Bearbeitung wesentlich verändert, wird eine erneute Auswahlmöglichkeit bereitgestellt, soweit dies rechtlich erforderlich ist. Slotsvader Casino bekräftigt mit dieser Datenschutzrichtlinie die Verpflichtung zu rechtmässiger, verhältnismässiger und zweckgebundener Bearbeitung und stellt sicher, dass der Änderungsprozess dokumentiert wird, mindestens einmal pro 12 Monate überprüft wird und dass betroffene Personen innerhalb der vorgesehenen Fristen, einschliesslich der 30 Tage für Auskunftsbegehren, eine nachvollziehbare Rückmeldung erhalten.