Spielerschutz und Datenschutz

Datenschutzrechtliche Aspekte des Glücksspielrechts

Prof. Dr. Dieter Kugelmann 

Montag, 22.06.2026

Glücksspiel und Datenschutz

Kommerzielles Glücksspiel geht nicht ohne Datenverarbeitungen. Schon beim stationären Glücksspiel müssen sich Spielende identifizieren, wozu auf Dateisysteme zurückgegriffen wird. Im Fall des Online-Glücksspiels treffen die Anbieter vielfältige Verpflichtungen bei dem Führen von Dateien, dem Kontakt mit den Spielenden und den Beziehungen zu den zuständigen Behörden. Die Spielenden müssen die Verarbeitung ihrer personenbezogenen Daten in unterschiedlichem Ausmaß akzeptieren, um überhaupt spielen zu können. Demnach gibt es zahlreiche Ansatzpunkte für den Datenschutz.

Der Schutz personenbezogener Daten ist grundrechtlich verankert. Im deutschen Verfassungsrecht gilt das Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG). Mit weit gehend übereinstimmenden Gehalten gewährleistet auf europäischer Ebene der Art. 8 der Europäischen Grundrechtecharta das Grundrecht auf Datenschutz. Konkretisiert werden die grundrechtlichen Garantien durch die Datenschutz-Grundverordnung (DS-GVO). Sie enthält in Art. 5, 6 DS-GVO eine Reihe von grundlegenden Prinzipien wie das Erfordernis der Rechtmäßigkeit von Datenverarbeitungen, die demnach einer rechtlichen Grundlage bedürfen, die Zweckbindung, wonach die Daten nur für festgelegte Zwecke erhoben werden dürfen, die Datenminimierung, also das Begrenzen der Verarbeitung auf die für den Zweck erforderlichen Daten und die Richtigkeit der Daten. Für das Glücksspielrecht in Deutschland werden die Vorgaben der DS-GVO zuvörderst im Glücksspielstaatsvertrag (GlüStV) bereichsspezifisch konkretisiert.

Grundzüge der Erhebung und Verarbeitung von Daten der Spielenden

Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten der Spielenden durch den Anbieter des Glücksspiels ist der Vertrag, ggf. ergänzend die Einwilligung (Art. 6 Abs. 1 lit. a und b DS-GVO). Die zuständige Behörde kann Daten zur Erfüllung ihrer Aufgaben nach dem GlüStV bzw. dem Landesgesetz verarbeiten (Art. 6 Abs. 1 lit. e i.V.m. Abs. 3 DS-GVO).

Die Anbieter von Glücksspiel sind datenschutzrechtlich Verantwortliche. Sie müssen dafür sorgen, dass ihre Angebote den rechtlichen und damit auch den datenschutzrechtlichen Anforderungen genügen. Daher treffen sie zumal im Online-Glückspiel Pflichten zu technisch-organisatorischen Maßnahmen nach Art. 32 DS-GVO. Dies präzisiert der GlüStV z.B. durch das Erfordernis des Schutzes vor unbefugtem Zugriff auf die Daten (§ 6g Abs. 2 GlüStV). Es soll nur der die personenbezogenen Daten kennen und nutzen dürfen, der dazu berechtigt ist. Dies hat zur Folge, dass die Anbieter, die nach dem GlüStV eine Reihe informationstechnischer Systeme einrichten müssen, jeweils auch technische und organisatorische Maßnahmen vorzusehen haben. Dies betrifft zuvörderst die von den Anbietern nach dem GlüStV einzurichtenden Dateien.

Datenschutz bei OASIS, Limitdatei und Aktivitätsdatei

Für das Führen von Dateien gelten die allgemeinen Regeln, die durch den GlüStV konkretisiert werden. Im Fall des Spielersperrsystems (OASIS) legt § 23 Abs. 6 GlüStV fest, dass der Eintragende datenschutzrechtlich verantwortlich ist. Er muss also etwa die Information der Spielenden übernehmen. Für die Identifikation des Spielenden sind Daten zu erheben und zwar in durchaus erheblichem Maße, so werden auch Lichtbilder gespeichert (§ 23 Abs. 1 GlüStV). Um ein Totalverbot des Online-Glücksspiels zu vermeiden, bedarf es angemessener Maßnahmen, die eine erforderliche Datenverarbeitung und damit den Eingriff in das Grundrecht auf Datenschutz rechtfertigen. Zu nennen sind die lediglich lokale Abfrage in einer zentralen Datei, um die Einrichtung eines übergreifenden Systems zu vermeiden und die Sicherstellung des Auskunftsrechts gegenüber der Behörde (§ 23 Abs. 7 GlüStV, Art. 15 DS-GVO). Zweifel an der Bestimmtheit wirft § 23 Abs. 2, 3 GlüStV auf, der die Übermittlung an Stellen, die Spielverbote überwachen „in erforderlichem Umfang“ zulässt, ohne dies einzuengen. Die Löschung 6 Jahre nach Ablauf der Sperre (§ 23 Abs. 5 GlüStV) wirft die Frage nach der Notwendigkeit einer so langen Speicherfrist auf. Dafür müssen gute Gründe sprechen, die sich aus den Besonderheiten des Glücksspiels speisen.

Auch in der Limitdatei sind personenbezogene Daten enthalten, da sie die Erfassung des selbst gesetzten Limits und die getätigten Einzahlungen des laufenden Monats erfordert. Allerdings erfolgt keine Erfassung des Spielverhaltens. Die Voraussetzungen der Erhebung der Daten regelt § 6c Abs. 4 GlüStV. Eine Pseudonymisierung ist möglich (§ 6 Abs. 4 S. 5 GlüStV) und aus datenschutzrechtlicher Sicht zu empfehlen. Hier erfolgt die Löschung der Beträge nach Ablauf des Monats (§ 6c Abs. 7 GlüStV) und die Löschung der Identitätsdaten ein Jahr nach Inaktivität (§ 6c Abs. 8 GlüStV). Diese Löschfristen erscheinen angemessen.

Die Aktivitätsdatei dient der Verhinderung parallelen Spiels (§ 6h GlüStV), enthält aber keine Speicherung vergangener Aktivitäten. Zwar ist erkennbar, dass der Spieler aktiv geschaltet ist, aber nicht, ob und was er spielt. Unter dem Gesichtspunkt der Datenminimierung trägt das Konzept insoweit. Jedoch ist ein Verknüpfen mit der Limitdatei möglich. Eine Verknüpfung von unterschiedlichen Dateien muss sich stets der Frage nach der Erforderlichkeit stellen, zumal wenn sie unterschiedlichen Zwecken dienen, denn aus datenschutzrechtlicher Perspektive lauert die Gefahr der Profilbildung. Dem begegnet zumindest die strenge Zweckbindung der Daten nach § 6h Abs. 5 S. 2, Abs. 6 GlüStV.

Die Spielsuchtfrüherkennung des § 6i GlüStV ist von besonderer datenschutzrechtlicher Relevanz. Denn ein auf Algorithmen basierendes automatisiertes System verarbeitet hier die Daten aller Spielenden, also gerade auch der großen Mehrheit nicht spielsüchtiger Personen. Hinzu tritt, dass Gesundheitsdaten betroffen sind, die besonderem Schutz unterliegen (Art. 9 DS-GVO). Zwingend notwendig sind Maßnahmen zur Verringerung der Eingriffstiefe in das Grundrecht. Dem trägt der GlüStV Rechnung, indem mittels der Pflicht zur Einführung durch den jeweiligen Anbieter keine zentrale Stelle eingerichtet wird, die anbieterübergreifend eine große Menge sensibler Daten verarbeiten müsste. Die Daten sind zudem zwingend zu pseudonymisieren (§ 6i Abs. 2 S. 2 GlüStV).

Rechte der Spielenden

Angesichts der komplexen Dateistrukturen und der vielfältigen Situationen von Datenverarbeitungen müssen den Spielenden Rechte zustehen, die es ihnen ermöglichen, ihre individuellen Rechtspositionen zu wahren. Im Verhältnis zum Anbieter besteht Vertragsfreiheit, aber das Datenschutzrecht fordert Transparenz über die Datenverarbeitungen. Diese wird insbesondere durch die datenschutzrechtlichen Informationspflichten des Verantwortlichen, also des Anbieters verwirklicht (Art. 13, 14 DS-GVO). Spezifische Informationsrechte und Informationspflichten enthält der GlüStV, insbesondere § 6d, § 6f Abs. 3. Den Spielenden stehen zudem die Betroffenenrechte gegenüber Anbieter und Behörde zu. Sie verfügen über die Rechte auf Berichtigung (Art. 16 DS-GVO) und Löschung (Art. 17 DS-GVO). Von großer Bedeutung ist das Recht auf Auskunft (Art. 15 DS-GVO). Es wird in der Praxis gelegentlich gegenüber dem Anbieter genutzt, um zivilrechtliche Ansprüche vorzubereiten. Dies ist dem Grunde nach zulässig. Gegenüber der Behörde besteht das Auskunftsrecht gemäß § 23 Abs. 7 GlüStV.

Fazit

Datenschutz heißt Abwägungen vorzunehmen, die ihre Argumente für die Einschränkung des Grundrechts aus dem jeweiligen Fachrecht nehmen. Die legitimen Regelungsziele des § 1 GlüStV können die Eingriffe rechtfertigen. Zur Unterbindung unerlaubter Glücksspielangebote oder zur Bekämpfung der Spielsucht, zur Spielsuchtfrüherkennung oder zum Jugend- und Spielerschutz können auch weit reichende Verarbeitungen personenbezogener Daten in Betracht kommen. Dies regelt an vielen Stellen der GlüStV. Seine Regelungen bieten einige Ansatzpunkte für datenschutzrechtliche Zweifel, sind aber überwiegend nachvollziehbar. Dies folgt aus einer Reihe von Maßnahmen zur Wahrung des Datenschutzes, die sich in umfangreichen Anforderungen an die Anbieter von Glücksspiel niederschlagen und daraus, dass Spielende über datenschutzrechtlich gesicherte und durchsetzbare Positionen verfügen.