Geltungsbereich und Begriffsbestimmungen
Diese Datenschutzrichtlinie regelt die Bearbeitung personenbezogener Daten im Zusammenhang mit den Online Angeboten unter nv-casinoch.com sowie allen damit verbundenen Diensten. Sie gilt für jede Verarbeitung, die im Rahmen der Nutzung der Plattform erfolgt, unabhängig davon, ob der Zugriff über Desktop, Mobile oder Applikationsschnittstellen erfolgt. Personenbezogene Daten sind alle Angaben, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wobei auch Online Kennungen und Nutzungskennungen erfasst sein können. Verantwortlicher im datenschutzrechtlichen Sinn ist die für den Betrieb zuständige Stelle, welche Zwecke und Mittel der Bearbeitung festlegt und die Einhaltung der anwendbaren Vorgaben sicherstellt. Soweit die Bearbeitung dem Schweizer Datenschutzgesetz sowie, nach Massgabe der Anwendbarkeit, den Grundsätzen der DSGVO unterliegt, werden die entsprechenden Prinzipien wie Rechtmässigkeit, Transparenz, Zweckbindung und Datenminimierung berücksichtigt.
Regulatorischer Rahmen und Grundsätze der Bearbeitung
Die Bearbeitung personenbezogener Daten erfolgt nach den Vorgaben des Schweizer Datenschutzrechts, insbesondere nach dem Bundesgesetz über den Datenschutz und den dazugehörigen Ausführungsbestimmungen. Wo eine grenzüberschreitende Bezugnahme eine Anwendung europäischer Standards nahelegt, werden auch die einschlägigen Grundsätze der DSGVO als Referenz für Verantwortlichkeit und Schutzmassnahmen herangezogen. Die Verarbeitung orientiert sich an den Leitprinzipien der Verhältnismässigkeit, der Integrität und Vertraulichkeit sowie der Rechenschaftspflicht. Es werden nur solche Daten bearbeitet, die für die definierten Zwecke erforderlich sind, und es werden interne Prüfmechanismen eingesetzt, um eine zweckwidrige Weiterverarbeitung zu verhindern. Eine automatisierte Entscheidfindung mit rechtlicher oder ähnlich erheblicher Wirkung wird nur eingesetzt, sofern eine Rechtsgrundlage besteht und geeignete Garantien, einschliesslich einer Möglichkeit zur Stellungnahme, vorgesehen sind.
Kategorien personenbezogener Daten
Unter die bearbeiteten Daten fallen Identifikations und Kontaktdaten wie Name, Wohnsitzstaat, E Mail Adresse, Telefonnummer sowie Kundennummern, soweit diese im Rahmen einer Registrierung oder Kommunikation erforderlich werden. Für die Erfüllung regulatorischer Pflichten können zusätzlich Verifikationsdaten bearbeitet werden, etwa Geburtsdatum, Dokumenteninformationen und Nachweise zur Identitätsprüfung, wobei die Bearbeitung auf das erforderliche Minimum beschränkt wird. Finanz und Transaktionsdaten wie Ein und Auszahlungsbeträge, Zahlungsstatus, Zeitpunkte von Transaktionen sowie die verwendete Zahlungsart können zur Abwicklung und zur Betrugsprävention verarbeitet werden. Technische Nutzungsdaten wie IP Adresse, Gerätekennungen, Log Daten, Browserinformationen und Sitzungsdaten werden für Sicherheitszwecke, Stabilität und Fehleranalyse erhoben. Kommunikationsinhalte, die bei Support Anfragen anfallen, werden als Teil der Korrespondenz bearbeitet, wobei sensible Inhalte nach Möglichkeit vermieden werden.
Erhebungswege und Quellen der Daten
Die Erhebung erfolgt operativ insbesondere durch Eingaben bei der Kontoeröffnung, bei der Nutzung von Funktionen sowie bei der Kommunikation mit dem Support. Weitere Daten entstehen automatisch durch den Zugriff auf die Systeme, etwa durch Server Protokolle, Authentifizierungseinträge und sicherheitsrelevante Ereignisdaten. Dritte Quellen können einbezogen werden, wenn dies zur Erfüllung gesetzlicher Sorgfaltspflichten oder zur Zahlungsabwicklung erforderlich ist, beispielsweise Zahlungsdienstleister oder Identitätsprüfstellen. Werden Daten aus Drittquellen bezogen, erfolgt dies unter Beachtung der Zweckbindung und, soweit angezeigt, unter Information der betroffenen Person über den Bezug und die betroffenen Datenkategorien. Bei der Nutzung von casino NV können gewisse Angaben auch aus Geräte oder Browser Einstellungen resultieren, etwa Spracheinstellungen oder Zeitzone, sofern diese für die ordnungsgemässe Darstellung oder Sicherheitsmassnahmen benötigt werden.
Rechtsgrundlagen der Bearbeitung nach Datenschutzrichtlinie
Die Bearbeitung erfolgt gestützt auf gesetzliche Pflichten, insbesondere soweit regulatorische Anforderungen an Identitätsprüfung, Betrugsprävention, Transaktionsdokumentation oder Aufbewahrungspflichten zu erfüllen sind. Soweit die Bearbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Massnahmen erforderlich ist, dient dies als rechtliche Grundlage für die Verarbeitung der notwendigen Daten. Darüber hinaus kann die Bearbeitung auf überwiegenden berechtigten Interessen beruhen, namentlich zur Sicherstellung der IT Sicherheit, zur Abwehr missbräuchlicher Nutzung und zur Durchsetzung von Rechtsansprüchen. Eine Einwilligung wird dort eingeholt, wo dies für bestimmte Verarbeitungen angezeigt ist, insbesondere bei optionalen Technologien oder Kommunikationsarten, und sie kann mit Wirkung für die Zukunft widerrufen werden. Diese Rechtsgrundlagen werden im Sinn der Datenschutzrichtlinie dokumentiert, um die Rechenschaftspflicht gegenüber Aufsichtsstellen und betroffenen Personen zu erfüllen.
Zwecke der Datenbearbeitung im Betrieb von casino NV
Die Bearbeitung dient der Bereitstellung und Verwaltung des Nutzerkontos, der Authentifizierung, der Kontosicherheit sowie der Abwicklung von Transaktionen. Weiter werden Daten zur Einhaltung gesetzlicher Sorgfalts und Aufzeichnungspflichten verarbeitet, einschliesslich der Nachweisführung über durchgeführte Prüfungen. Technische Daten werden zur Sicherstellung der Systemstabilität, zur Fehlerbehebung, zur Missbrauchserkennung sowie zur Erstellung von Sicherheitsprotokollen genutzt. Kommunikationsdaten werden verarbeitet, um Anfragen zu beantworten, Beschwerden zu bearbeiten und die Nachvollziehbarkeit von Support Vorgängen sicherzustellen. Für casino NV kann zudem eine Verarbeitung zur Durchsetzung der Hausregeln, zur Prävention von Mehrfachkonten sowie zur Erkennung von Unregelmässigkeiten erforderlich sein, wobei die Verhältnismässigkeit gewahrt bleibt.
Aufbewahrungsfristen und Löschkonzept
Die Speicherdauer richtet sich nach dem Zweck der Bearbeitung und nach anwendbaren gesetzlichen Aufbewahrungspflichten. Vertrags und Transaktionsunterlagen werden im Regelfall für 10 Jahre aufbewahrt, sofern handels oder steuerrechtliche Vorgaben oder Nachweispflichten dies erfordern. Identitäts und Verifikationsdaten werden nur solange gespeichert, wie dies zur Erfüllung der Prüfpflichten und zur Abwehr von Missbrauch erforderlich ist, und werden danach gemäss internem Löschkonzept gelöscht oder anonymisiert. Technische Log Daten werden grundsätzlich für 180 Tage vorgehalten, sofern keine sicherheitsrelevanten Ereignisse eine längere Aufbewahrung zur Abklärung oder Beweissicherung notwendig machen. Anfragen von betroffenen Personen werden in der Regel für 24 Monate dokumentiert, um die korrekte Bearbeitung nachweisen zu können, wobei eine weitergehende Aufbewahrung nur bei Streitigkeiten oder gesetzlichen Pflichten erfolgt.
Weitergabe, Offenlegung und Auftragsbearbeitung
Eine Weitergabe erfolgt nur, soweit dies zur Vertragserfüllung, zur Erfüllung gesetzlicher Pflichten oder zur Wahrung überwiegender berechtigter Interessen erforderlich ist. Empfänger können Zahlungsdienstleister, IT Dienstleister, Hosting Anbieter, Identitätsprüfstellen, Betrugspräventionsdienstleister sowie Rechts und Beratungsstellen sein, sofern deren Einbindung sachlich begründet ist. Diese Stellen werden, soweit sie als Auftragsbearbeiter tätig sind, vertraglich verpflichtet, Daten nur nach Weisung zu bearbeiten und angemessene technische und organisatorische Massnahmen umzusetzen. Eine Offenlegung gegenüber Behörden kann erfolgen, wenn eine gesetzliche Verpflichtung besteht oder eine verbindliche Anordnung vorliegt, wobei der Umfang der Datenübermittlung auf das Notwendige begrenzt wird. Für casino NV gilt, dass interne Zugriffe nach Need to know Prinzip gesteuert werden und dass Zugriffsvorgänge protokolliert werden, um unberechtigte Zugriffe nachvollziehbar zu machen.
Datenübermittlungen ins Ausland
Soweit Dienstleister oder Konzernstrukturen eine Bearbeitung ausserhalb der Schweiz erforderlich machen, können personenbezogene Daten in andere Staaten übermittelt werden. In solchen Fällen wird geprüft, ob ein angemessenes Datenschutzniveau besteht oder ob geeignete Garantien implementiert werden, etwa vertragliche Schutzklauseln und zusätzliche Sicherheitsmassnahmen. Bei Übermittlungen in Staaten ohne anerkanntes angemessenes Schutzniveau werden risikobasierte Zusatzmassnahmen eingesetzt, beispielsweise Verschlüsselung, Zugriffsbeschränkungen und organisatorische Kontrollen. Die Übermittlung erfolgt nur in dem Umfang, der für den jeweiligen Zweck erforderlich ist, und sie wird dokumentiert, um die Nachvollziehbarkeit sicherzustellen. Soweit die Datenschutzrichtlinie anwendbar ist, werden Informationspflichten über wesentliche Auslandübermittlungen nach Massgabe des Einzelfalls erfüllt.
Sicherheitsmassnahmen und Integrität der Systeme
Zum Schutz personenbezogener Daten werden technische und organisatorische Massnahmen umgesetzt, die dem Stand der Technik und dem jeweiligen Risiko angemessen sind. Dazu gehören Verschlüsselung bei der Übertragung, Rollen und Berechtigungskonzepte, Protokollierung sicherheitsrelevanter Zugriffe sowie Massnahmen zur Erkennung von ungewöhnlichen Aktivitäten. Ein Teil der Schutzarchitektur ist darauf ausgerichtet, mindestens 99.5 Prozent der kritischen Systemkomponenten in überwachten Betriebszuständen zu halten, wobei dies als internes Ziel und nicht als Zusicherung gegenüber Dritten zu verstehen ist. Sicherheitsvorfälle werden nach internen Prozessen bewertet, dokumentiert und, sofern erforderlich, an zuständige Stellen gemeldet, wobei die Meldefristen nach anwendbarem Recht berücksichtigt werden. Regelmässige Reviews, Tests und Schulungen unterstützen die Wirksamkeit der Massnahmen, und Anpassungen erfolgen bei geänderten Risiken oder technischen Entwicklungen.
Cookies, Protokolle und Tracking im Rahmen der Datenschutzrichtlinie
Cookies und ähnliche Technologien dienen der Sitzungskontrolle, der Authentifizierung, der Betrugsprävention sowie der technischen Bereitstellung zentraler Funktionen. Dabei können sowohl notwendige Cookies als auch optionale Technologien zum Einsatz kommen, wobei optionale Kategorien nur genutzt werden, wenn eine entsprechende Rechtsgrundlage besteht. Server Protokolle und Sicherheitslogs werden verarbeitet, um Angriffe abzuwehren, Fehlfunktionen zu analysieren und die Integrität von Konten zu schützen. Eine Zusammenführung von Tracking Daten mit direkt identifizierenden Daten erfolgt nur, soweit dies für Sicherheitszwecke oder zur Erfüllung rechtlicher Pflichten erforderlich ist und die Verhältnismässigkeit gewahrt bleibt. Die Einstellungen zu Cookies können über die jeweiligen Browser oder Gerätefunktionen angepasst werden, wobei die Deaktivierung notwendiger Cookies die Funktionsfähigkeit einschränken kann.
Rechte betroffener Personen und Fristen
Betroffene Personen haben nach anwendbarem Recht Anspruch auf Auskunft über die Bearbeitung ihrer personenbezogenen Daten sowie auf Berichtigung unrichtiger Daten. Soweit die gesetzlichen Voraussetzungen erfüllt sind, besteht zudem ein Anspruch auf Löschung, Einschränkung der Bearbeitung oder Herausgabe beziehungsweise Übertragung von Daten, soweit dies technisch möglich und rechtlich zulässig ist. Ein Widerspruch gegen bestimmte Bearbeitungen kann möglich sein, insbesondere wenn die Verarbeitung auf überwiegenden Interessen basiert, wobei eine Interessenabwägung im Einzelfall vorgenommen wird. Gesuche werden grundsätzlich innerhalb von 30 Tagen beantwortet, sofern die Komplexität oder die Anzahl der Anfragen keine angemessene Fristverlängerung erfordert, und es kann eine geeignete Identitätsprüfung verlangt werden. Die Ausübung von Rechten darf die Erfüllung gesetzlicher Aufbewahrungs oder Nachweispflichten nicht unterlaufen, weshalb gewisse Daten trotz Löschbegehren weiterhin gespeichert bleiben können.
Verfahren zur Identitätsprüfung bei Gesuchen
Zur Vermeidung unbefugter Datenherausgabe kann eine Identitätsprüfung durchgeführt werden, bevor Auskünfte erteilt oder Änderungen umgesetzt werden. Dabei werden nur jene Informationen verlangt, die zur eindeutigen Zuordnung erforderlich sind, und es wird darauf geachtet, keine übermässigen zusätzlichen Daten zu erheben. Erfolgt die Anfrage über ein bereits authentifiziertes Konto, kann die Prüfung in vereinfachter Form erfolgen, sofern das Risiko als niedrig beurteilt wird. Wenn Dokumente eingereicht werden, sollen nicht erforderliche Angaben, soweit möglich, geschwärzt werden, wobei die Lesbarkeit der relevanten Prüfmerkmale gewährleistet bleiben muss.
Einschränkungen und rechtliche Vorbehalte
Rechte können eingeschränkt sein, wenn überwiegende öffentliche oder private Interessen entgegenstehen oder wenn gesetzliche Bestimmungen dies vorsehen. Dies kann insbesondere bei laufenden Abklärungen zu Betrug, Sicherheitsvorfällen oder bei der Durchsetzung von Rechtsansprüchen der Fall sein. In solchen Fällen wird die Einschränkung begründet und, soweit zulässig, über die wesentlichen Gründe informiert. Es wird sichergestellt, dass eine Einschränkung nicht weiter reicht als erforderlich und dass nach Wegfall der Gründe eine ordentliche Bearbeitung der Gesuche erfolgt.
Kontakt, Anfragen und interne Verantwortlichkeiten
Anfragen zur Datenbearbeitung, zur Ausübung von Rechten oder zu dieser Erklärung sind an die im Impressum oder in den Kontaktangaben auf nv-casinoch.com genannten Stellen zu richten. Eingehende Anfragen werden einem dokumentierten Prozess zugeführt, der Zuständigkeiten, Prüfungen und Antwortschritte regelt, um eine konsistente Bearbeitung sicherzustellen. Für casino NV werden Support und Compliance Funktionen so koordiniert, dass datenschutzrechtliche Anliegen prioritär geprüft werden, insbesondere wenn es um Identitätsmissbrauch oder Sicherheitsrisiken geht. Für die Bearbeitung kann eine Referenznummer vergeben werden, und die Kommunikation erfolgt grundsätzlich über nachvollziehbare Kanäle, um Verwechslungen zu vermeiden. Soweit es zur Klärung erforderlich ist, können Rückfragen gestellt werden, wobei nur zweckdienliche Informationen verlangt werden.
Beschwerdemöglichkeiten
Betroffene Personen können sich bei vermuteten Datenschutzverletzungen an die zuständige Stelle wenden und um Klärung ersuchen. Zusätzlich besteht die Möglichkeit, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen, soweit die gesetzlichen Voraussetzungen gegeben sind. Eine interne Prüfung erfolgt unabhängig davon, ob eine externe Meldung gemacht wird, und festgestellte Mängel werden dokumentiert sowie nach Risikogewicht priorisiert behoben. Die Kommunikation zu Beschwerden wird so geführt, dass keine unnötigen Personendaten in frei formulierten Texten offengelegt werden.
Änderungen, Aktualisierung und Gültigkeit der Datenschutzrichtlinie
Diese Datenschutzrichtlinie wird angepasst, wenn sich die Rechtslage, die technischen Systeme, die Prozesse oder die Kategorien der bearbeiteten Daten wesentlich ändern. Änderungen erfolgen nach einem dokumentierten Verfahren, das eine rechtliche Prüfung, eine Risikoabschätzung und eine Freigabe durch zuständige Stellen vorsieht, damit die Einhaltung des Schweizer Datenschutzrechts sowie relevanter DSGVO Grundsätze sichergestellt bleibt. Wird eine Anpassung vorgenommen, wird die aktualisierte Fassung auf nv-casinoch.com/privacy-policy publiziert, und es kann ein Hinweis mit dem Datum der letzten Aktualisierung aufgenommen werden, damit der Änderungszeitpunkt nachvollziehbar ist. Wesentliche Änderungen, die die Rechte oder die Art der Bearbeitung erheblich betreffen, können zusätzlich über geeignete Kanäle kommuniziert werden, soweit dies erforderlich oder angemessen ist, ohne dabei unnötige Personendaten offenzulegen. NV Casino verpflichtet sich zur fortlaufenden Überprüfung der Wirksamkeit der Massnahmen und zur dokumentierten Nachführung der Prozesse, wobei die Datenschutzrichtlinie als verbindlicher Rahmen für die interne Rechenschaftspflicht dient und die konsequente Einhaltung der datenschutzrechtlichen Anforderungen ausdrücklich bestätigt.