mycasino-logo.

My Casino Datenschutzerklärung

Geltungsbereich und Begriffsbestimmungen

Diese My Casino Datenschutzerklärung regelt die Bearbeitung von personenbezogenen Daten im Zusammenhang mit der Nutzung von mycasinoos.com und den damit verbundenen Funktionen. Als personenbezogene Daten gelten sämtliche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, einschliesslich Identifikationsdaten und Anmeldedaten. Diese Regelung orientiert sich am schweizerischen Datenschutzrecht, namentlich am Bundesgesetz über den Datenschutz, sowie an anerkannten Grundsätzen der DSGVO, soweit diese für die Auslegung herangezogen werden können. Verantwortlicher im Sinne des Datenschutzrechts ist diejenige Stelle, welche Zwecke und Mittel der Datenverarbeitung festlegt, wobei die konkrete Kontaktstelle in dieser Erklärung bezeichnet wird. Der sachliche Umfang umfasst Registrierungsprozesse, Zahlungsabwicklungen, Sicherheitsprüfungen, Kommunikationskanäle, Dateien und Cookies sowie die Aufbewahrung und Löschung im Rahmen gesetzlicher Pflichten.

Regulatorischer Rahmen und Grundsätze der Datenbearbeitung

Unter dem in der Schweiz anwendbaren Datenschutz sind insbesondere Rechtmässigkeit, Transparenz, Zweckbindung, Verhältnismässigkeit sowie Datensicherheit zu gewährleisten. Die Bearbeitung erfolgt nach dem Grundsatz der Datenminimierung, wonach nur solche personenbezogene Daten erhoben werden, die für definierte Zwecke erforderlich sind. Für bestimmte Vorgänge kann eine ausdrückliche Einwilligung massgeblich sein, etwa für optionale Kommunikationspräferenzen oder bestimmte Cookies. Soweit eine Bearbeitung durch überwiegende private Interessen gerechtfertigt wird, erfolgt eine dokumentierte Interessenabwägung unter Berücksichtigung möglicher Auswirkungen auf die Privatsphäre. Bei hohem Risiko werden angemessene organisatorische und technische Massnahmen definiert, und Prozesse zur Nachweisbarkeit werden so ausgestaltet, dass Rechenschaftspflichten erfüllt werden.

Kategorien personenbezogener Daten im Betrieb

Im Rahmen der Kontoerstellung und -führung werden Registrierungsdaten wie Name, Geburtsdatum, Wohnsitzangaben und Kontaktinformationen bearbeitet, damit eine eindeutige Zuordnung und Vertragsabwicklung möglich ist. Zusätzlich können Identifikationsdaten aus Dokumentenprüfungen verarbeitet werden, sofern dies zur Erfüllung gesetzlicher Pflichten oder zur Betrugsprävention erforderlich ist. Für den sicheren Zugang werden Anmeldedaten wie Benutzerkennung, Passwort-Hash sowie Zeitpunkte von Logins erfasst, wobei Passwörter nicht im Klartext gespeichert werden. Im Zusammenhang mit Ein- und Auszahlungen können Finanzdaten, Transaktionsreferenzen sowie Angaben zu Zahlungsmitteln bearbeitet werden, wobei die konkrete Ausgestaltung von den eingebundenen Zahlungsdienstleistern abhängen kann. Ferner können technische Nutzungsdaten wie IP Adresse, Gerätekennungen, Browserdaten und Protokolldaten anfallen, welche der Datensicherheit, der Fehleranalyse und der Stabilität dienen.

Erhebungswege und technische Quellen

Die Daten werden primär durch Angaben der betroffenen Person erhoben, etwa im Rahmen der Registrierung, der Verifizierung oder bei Supportanfragen. Daneben entstehen Daten automatisiert durch die Nutzung der Systeme, etwa durch Serverprotokolle, Sicherheitsereignisse oder die Verwaltung von Dateien und Cookies im Browser. Drittquellen können beigezogen werden, wenn eine Identitätsprüfung oder Betrugsprüfung erforderlich ist, wobei die Datenkategorien auf das notwendige Minimum beschränkt werden. Zur Einhaltung von Alters- und Identitätsanforderungen können Prüfresultate verarbeitet werden, ohne dass mehr Informationen als erforderlich gespeichert werden. Für die Nachvollziehbarkeit werden bestimmte Ereignisse, etwa fehlgeschlagene Loginversuche, mit Zeitstempel erfasst, wobei diese Protokolle in der Regel nach 90 Tagen turnusgemäss überprüft und bereinigt werden.

Zwecke der Bearbeitung und Funktionsnotwendigkeit

Die Datenbearbeitung dient der Vertragsbegründung und -durchführung, insbesondere der Kontoverwaltung, der Bereitstellung von Funktionen sowie der Abwicklung von Auszahlungen und Einzahlungen. Weitere Zwecke bestehen in der Aufrechterhaltung der Datensicherheit, der Verhinderung unbefugter Zugriffe und der Erkennung von Missbrauchsmustern, wofür technische Nutzungsdaten und Protokolle erforderlich sein können. Supportprozesse setzen die Bearbeitung von Kommunikationsinhalten voraus, soweit diese zur Bearbeitung des Anliegens oder zur Qualitätssicherung notwendig sind. Gesetzliche und regulatorische Pflichten können eine Bearbeitung zur Identitätsprüfung, zur Dokumentation bestimmter Vorgänge und zur Aufbewahrung von Nachweisen verlangen. Für interne Prüfungen und statistische Auswertungen werden Daten soweit möglich aggregiert oder pseudonymisiert verarbeitet, um die Privatsphäre zu schützen.

Rechtsgrundlagen und Rechtfertigungen der Datenverarbeitung

Diese My Casino Datenschutzerklärung stützt die Bearbeitung auf unterschiedliche Rechtfertigungsgründe nach schweizerischem Datenschutzrecht und auf vergleichbare Grundsätze der DSGVO. Soweit die Bearbeitung für die Erfüllung eines Vertrags oder für vorvertragliche Massnahmen erforderlich ist, bildet dies eine zentrale Grundlage, insbesondere für die Bereitstellung des Kontos und die Zahlungsabwicklung. Für die Erfüllung gesetzlicher Pflichten, etwa zur Aufbewahrung von Nachweisen oder zur Durchführung bestimmter Kontrollen, werden Daten verarbeitet, soweit dies zwingend erforderlich ist. Für sicherheitsrelevante Zwecke kann ein überwiegendes privates Interesse bestehen, insbesondere zur Betrugsprävention, zur Sicherstellung der Integrität der Systeme und zur Durchsetzung von Ansprüchen. Sofern eine Einwilligung eingeholt wird, kann diese jederzeit mit Wirkung für die Zukunft widerrufen werden, wobei die Rechtmässigkeit der bis dahin erfolgten Bearbeitung unberührt bleibt.

Weitergabe, Offenlegung und Empfängerkategorien

Die Weitergabe personenbezogener Daten erfolgt nur, wenn dies für die genannten Zwecke erforderlich ist oder eine rechtliche Grundlage besteht. Empfänger können Zahlungsdienstleister, Identitätsprüfstellen, Hostinganbieter, Sicherheitsdienstleister sowie Supportdienstleister sein, welche Daten als Auftragsbearbeiter unter vertraglichen Pflichten zur Vertraulichkeit und Datensicherheit bearbeiten. Eine Offenlegung an Behörden oder Gerichte kann erfolgen, wenn eine gesetzliche Verpflichtung besteht oder eine rechtmässige Anordnung vorliegt, wobei die Daten auf den erforderlichen Umfang beschränkt werden. Im Rahmen von Rechtsdurchsetzungen können Daten an Rechtsberater oder Inkassostellen übermittelt werden, sofern dies zur Geltendmachung oder Abwehr von Ansprüchen notwendig ist. Eine Weitergabe zur eigenständigen Nutzung durch Dritte zu Werbezwecken findet nicht statt, soweit keine separate Einwilligung oder spezifische Rechtsgrundlage vorliegt.

Internationale Datenübermittlungen und Schutzmechanismen

Werden Dienstleister eingesetzt, deren Serverstandorte ausserhalb der Schweiz liegen, kann eine Übermittlung in Drittstaaten erfolgen. In solchen Fällen wird geprüft, ob ein angemessenes Datenschutzniveau besteht oder ob geeignete Garantien implementiert werden, etwa durch vertragliche Verpflichtungen und technische Schutzmassnahmen. Wo erforderlich, werden zusätzliche Massnahmen eingesetzt, um Risiken bei der Übermittlung zu reduzieren, beispielsweise durch Verschlüsselung und Zugriffsbeschränkungen. Die Auswahl von Dienstleistern berücksichtigt Sicherheitskriterien und Compliance Nachweise, wobei Audits oder Bescheinigungen herangezogen werden können. Die Übermittlung erfolgt nur in dem Umfang, der zur Leistungserbringung notwendig ist, und wird dokumentiert, um Rechenschaftspflichten zu erfüllen.

Aufbewahrung, Löschung und Datenlebenszyklus

Die Aufbewahrungsdauer richtet sich nach dem Zweck der Bearbeitung, vertraglichen Notwendigkeiten sowie gesetzlichen Pflichten in der Schweiz. Kontodaten werden grundsätzlich für die Dauer der Vertragsbeziehung bearbeitet und danach im Rahmen gesetzlicher Aufbewahrungspflichten weiter gespeichert, soweit dies erforderlich ist. Für bestimmte Nachweise kann eine Mindestaufbewahrung von 10 Jahren gelten, sofern einschlägige Vorschriften oder berechtigte Dokumentationsinteressen dies verlangen. Supportkommunikation wird in der Regel für 24 Monate aufbewahrt, sofern keine längere Aufbewahrung zur Nachweisführung oder zur Bearbeitung von Folgeanfragen notwendig ist. Protokolldaten zur Sicherheit werden abhängig vom Risiko und der Systemarchitektur gespeichert und nach einer angemessenen Frist gelöscht oder anonymisiert, wobei eine Überprüfung spätestens nach 180 Tagen vorgesehen ist.

Datensicherheit und organisatorische Massnahmen

Datensicherheit umfasst technische und organisatorische Massnahmen zur Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit der Systeme. Dazu zählen Zugriffskontrollen, Rollen- und Berechtigungskonzepte, Protokollierung sicherheitsrelevanter Ereignisse sowie regelmässige Überprüfungen der Systemkonfigurationen. Sensible Daten werden nach dem Stand der Technik verschlüsselt übertragen, und es werden Verfahren eingesetzt, die eine unbefugte Kenntnisnahme erschweren. Für besonders schutzwürdige Prozesse werden Mehrfaktormechanismen eingesetzt, und Sicherheitsupdates werden zeitnah eingespielt, um bekannte Schwachstellen zu reduzieren. Interne Richtlinien sehen vor, dass mindestens 95 % der sicherheitsrelevanten Patches innerhalb definierter Wartungsfenster umgesetzt werden, soweit dies mit Stabilitätsanforderungen vereinbar ist.

Umgang mit Zugriffsereignissen und Missbrauchsprävention

Zur Erkennung und Abwehr von Angriffen werden Anomalien wie wiederholte Fehlversuche bei Logins ausgewertet und gegebenenfalls automatisierte Schutzmassnahmen ausgelöst. Dabei werden nur jene Daten bearbeitet, die für die Risikobeurteilung und die Abwehr erforderlich sind, und es wird eine Protokollierung mit Zeitstempel geführt. Bei Verdacht auf unberechtigte Nutzung kann eine temporäre Kontosperre erfolgen, um Schaden abzuwenden und die Integrität des Zugangs zu gewährleisten. Solche Vorgänge werden nach internen Vorgaben dokumentiert, um spätere Nachvollziehbarkeit zu sichern. Die Auswertung dient ausschliesslich Sicherheitszwecken und nicht der Profilbildung zu Werbezwecken.

Vertraulichkeit und Schulung

Personen mit Zugriff auf personenbezogene Daten werden auf Vertraulichkeit verpflichtet und erhalten rollenbezogene Zugriffsrechte. Schulungen zur sicheren Datenbearbeitung und zur Erkennung von Phishing oder Social Engineering werden in regelmässigen Abständen durchgeführt. Zugriffe werden nach dem Need to know Prinzip vergeben und bei Rollenwechsel oder Austritt unverzüglich entzogen. Dienstleister werden vor Beauftragung und während der Laufzeit auf geeignete Sicherheitsstandards überprüft. Verstösse gegen interne Vorgaben können zu disziplinarischen Massnahmen und zu technischen Einschränkungen führen.

Cookies, Dateien und vergleichbare Technologien

Diese My Casino Datenschutzerklärung erläutert den Einsatz von Cookies und ähnlichen Technologien, die für den technischen Betrieb und die Sicherheit erforderlich sein können. Cookies sind kleine Dateien, die im Browser gespeichert werden und bestimmte Einstellungen oder Sitzungsinformationen enthalten können. Technisch notwendige Cookies dienen der Sitzungssteuerung, der Stabilität und der Abwehr von Missbrauch, während optionale Cookies Analysezwecken dienen können, sofern hierfür eine Einwilligung vorliegt. Werden optionale Cookies eingesetzt, erfolgt dies unter Beachtung der Transparenzanforderungen und mit einer Möglichkeit zur Anpassung der Einstellungen, soweit dies technisch bereitgestellt wird. Eine Speicherung kann je nach Cookie Typ zwischen 1 Tag und 12 Monaten betragen, wobei die konkrete Dauer von der Funktion und den Systemeinstellungen abhängt.

Protokolldaten und Reichweitenmessung

Neben Cookies können Protokolldaten verarbeitet werden, um technische Fehler zu beheben und die Verfügbarkeit zu sichern. Soweit Reichweitenmessung oder statistische Auswertung erfolgt, werden Daten soweit möglich aggregiert oder pseudonymisiert verarbeitet, um den Eingriff in die Privatsphäre zu reduzieren. Dabei werden keine sensiblen Inhalte aus Zahlungsprozessen oder Identifikationsprüfungen für Analysezwecke verwendet. Die Auswertung erfolgt nach dem Grundsatz der Zweckbindung und wird auf das erforderliche Mass beschränkt. Eine Zusammenführung verschiedener Datenquellen zu umfassenden Persönlichkeitsprofilen ist nicht Zweck dieser Verarbeitung.

Rechte der betroffenen Personen und Ausübung

Aus den anwendbaren Datenschutzvorschriften ergeben sich Rechte der betroffenen Personen, insbesondere auf Auskunft, Berichtigung, Löschung, Einschränkung der Bearbeitung sowie Widerspruch, soweit die gesetzlichen Voraussetzungen erfüllt sind. Diese Rechte sind im Lichte der konkreten Datenverarbeitung, der Identifikationsanforderungen und allfälliger Aufbewahrungspflichten zu beurteilen. Die Auskunft kann Angaben zu Kategorien personenbezogener Daten, Verarbeitungszwecken, Empfängern, Aufbewahrungsdauern sowie zur Herkunft der Daten umfassen. Für die Bearbeitung von Anfragen kann eine angemessene Identifikation erforderlich sein, um unberechtigte Offenlegungen zu verhindern. Eine Beantwortung erfolgt grundsätzlich innerhalb von 30 Tagen, wobei eine Verlängerung möglich ist, wenn die Komplexität oder Anzahl der Anfragen dies sachlich rechtfertigt.

Einschränkungen durch gesetzliche Pflichten

Rechte auf Löschung oder Herausgabe können eingeschränkt sein, wenn gesetzliche Pflichten zur Aufbewahrung oder zur Dokumentation entgegenstehen. In solchen Fällen werden Daten gesperrt oder in ihrer Nutzung eingeschränkt, soweit dies technisch möglich und rechtlich angemessen ist. Bestehen überwiegende Interessen an der Aufbewahrung, etwa zur Geltendmachung oder Abwehr von Ansprüchen, kann eine Löschung bis zum Wegfall dieser Interessen aufgeschoben werden. Betroffene Personen erhalten in der Regel eine begründete Mitteilung, soweit keine gesetzliche Geheimhaltungspflicht besteht. Die Bearbeitung solcher Konstellationen erfolgt nach dem Grundsatz der Verhältnismässigkeit.

Beschwerdemöglichkeiten

Soweit nach anwendbarem Recht vorgesehen, kann eine Beschwerde bei der zuständigen Aufsichtsbehörde in Betracht kommen. In der Schweiz ist dies regelmässig der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte, soweit dessen Zuständigkeit gegeben ist. Unabhängig davon wird empfohlen, zuerst eine Kontaktaufnahme mit der verantwortlichen Stelle vorzunehmen, um Unklarheiten zu klären und eine effiziente Bearbeitung zu ermöglichen. Die Bearbeitung von Beschwerden wird dokumentiert, um interne Verbesserungen ableiten zu können. Eine Benachteiligung aufgrund der Ausübung von Rechten ist nicht vorgesehen.

Kontaktstelle, Verantwortlicher und Verfahren für Datenanfragen

Für Fragen zum Datenschutz, zur Privatsphäre und zur Ausübung von Rechten stellt My Kasino eine Kontaktstelle zur Verfügung, über welche Anfragen entgegengenommen und geprüft werden. Anfragen sollen so konkret wie möglich formuliert werden, damit eine zielgerichtete Abklärung erfolgen kann, insbesondere hinsichtlich der betroffenen Datenkategorien und Zeiträume. Zur Vermeidung unberechtigter Auskünfte kann eine Identifikation erforderlich sein, beispielsweise durch Abgleich von Registrierungsdaten oder durch zusätzliche Nachweise in Einzelfällen. Wird ein Gesuch im Namen einer anderen Person gestellt, kann eine Vollmacht verlangt werden, um die rechtmässige Vertretung sicherzustellen. Eingehende Anfragen werden protokolliert und nach internen Vorgaben bearbeitet, wobei eine Rückmeldung in der Regel innerhalb der vorgesehenen Fristen erfolgt.

Änderungen der Erklärung und fortlaufende Compliance

Diese My Casino Datenschutzerklärung kann angepasst werden, wenn sich rechtliche Vorgaben, technische Verfahren, Sicherheitsanforderungen oder interne Prozesse ändern. My Kasino verpflichtet sich, Anpassungen so vorzunehmen, dass die Grundsätze von Datenschutz, Zweckbindung und Datensicherheit weiterhin eingehalten werden und die Bearbeitung nachvollziehbar bleibt. Wesentliche Änderungen werden nach Massgabe der betrieblichen Möglichkeiten bekannt gemacht, wobei der aktualisierte Stand mit Datum versehen wird und ältere Fassungen zu Nachweiszwecken intern dokumentiert werden können. Soweit eine Änderung eine Einwilligung betrifft oder neue Bearbeitungszwecke einführt, wird geprüft, ob eine erneute Einwilligung erforderlich ist und welche Übergangsfristen sachlich angemessen sind. Für die Bearbeitung von Auskunfts- oder Löschgesuchen gelten auch nach Änderungen die definierten Verfahren, und eine Rückmeldung erfolgt grundsätzlich innert 30 Tagen, sofern keine rechtlich begründete Verlängerung nötig ist. Diese My Casino Datenschutzerklärung bestätigt fortlaufend den Anspruch, die anwendbaren Vorgaben in der Schweiz einzuhalten, geeignete technische und organisatorische Massnahmen zu überprüfen und den Schutz personenbezogener Daten über den gesamten Datenlebenszyklus sicherzustellen.