My Сasino
My Сasino

Allgemeine Bestimmungen und Geltungsbereich

Diese Datenschutzrichtlinie regelt die Bearbeitung von Personendaten im Zusammenhang mit der Nutzung von Angeboten unter digitalkompetenz50plus.ch durch My Сasino. Sie beschreibt, welche Daten zu welchen Zwecken bearbeitet werden, welche Rechtsgrundlagen zur Anwendung gelangen und welche Rechte betroffene Personen geltend machen können. Massgebend sind die anwendbaren Bestimmungen des Schweizer Datenschutzrechts, insbesondere das Bundesgesetz über den Datenschutz, sowie, soweit anwendbar, die Grundsätze der Datenschutz Grundverordnung. Der sachliche Geltungsbereich umfasst die Website, zugehörige Unterseiten, Formularstrecken sowie Kommunikationskanäle, die mit dem Domainbetrieb verbunden sind. Der räumliche Geltungsbereich richtet sich nach dem Sitz der verantwortlichen Stelle sowie nach dem Ort, an dem die Bearbeitung stattfindet oder Auswirkungen entfaltet. Diese Regelung gilt nicht für Inhalte oder Dienste Dritter, auf die gegebenenfalls verlinkt wird und für die eigene Datenschutzinformationen massgebend sind.

Verantwortliche Stelle und Rollenverständnis

Als verantwortliche Stelle im Sinne des Schweizer Datenschutzrechts entscheidet My Сasino über Zwecke und Mittel der Bearbeitung im Zusammenhang mit dem Betrieb von digitalkompetenz50plus.ch. Soweit Auftragsbearbeiter beigezogen werden, erfolgt dies gestützt auf vertragliche Vereinbarungen, die Vertraulichkeit, Weisungsbindung und angemessene Sicherheitsmassnahmen vorsehen. Die verantwortliche Stelle kann interne Funktionen zur Einhaltung von Governance Vorgaben definieren, einschliesslich der Zuständigkeit für Datenschutz Anfragen und Dokumentationspflichten. Eine gemeinsame Verantwortlichkeit mit Dritten wird nur angenommen, wenn Zwecke und Mittel der Bearbeitung gemeinsam festgelegt werden und dies in geeigneter Form transparent gemacht wird. Im Rahmen der Nutzung können auch eigenständige Verantwortliche auftreten, beispielsweise bei eingebetteten Drittinhalten, wodurch deren separate Verantwortlichkeit ausgelöst wird. Für die Beurteilung der Rollen ist die konkrete Verarbeitungssituation massgebend und nicht allein die technische Einbindung.

Kategorien von Personendaten und besondere Daten

Personendaten sind alle Angaben, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wobei My Сasino die Datenminimierung als Leitprinzip anwendet. Im Rahmen von digitalkompetenz50plus.ch können Stammdaten wie Name, Benutzerkennung, Spracheinstellung und Kontaktangaben bearbeitet werden, sofern sie aktiv übermittelt werden. Weiter können Kommunikationsdaten wie Inhalte von Anfragen, Korrespondenzverlauf, Metadaten der Kommunikation sowie Nachweise über Zustellungen erfasst werden. Technische Daten wie IP Adresse, Geräte und Browserinformationen, Zeitstempel, Log Daten, Referrer URL sowie Sicherheitsereignisse können im Rahmen des Systembetriebs anfallen. Je nach Nutzung können auch Zahlungs oder Abrechnungsdaten übermittelt werden, wobei die konkrete Ausgestaltung von den angebundenen Diensten abhängt. Besondere Personendaten werden grundsätzlich nicht gezielt erhoben; falls solche Daten ausnahmsweise im Rahmen einer Kommunikation übermittelt werden, erfolgt die Bearbeitung nur soweit erforderlich und unter erhöhten Schutzvorkehrungen.

Erhebungsmethoden und Datenquellen

Die Bearbeitung erfolgt einerseits durch aktive Übermittlung, wenn eine Person Daten in Formularen eingibt, eine Anfrage stellt oder eine sonstige Nachricht an My Сasino sendet. Andererseits fallen Daten automatisiert an, wenn Systeme von digitalkompetenz50plus.ch aus technischen Gründen Verbindungsdaten, Fehlerprotokolle oder sicherheitsrelevante Ereignisse registrieren. Für einzelne Funktionen kann eine Erhebung über eingebundene Technologien erfolgen, etwa wenn Inhalte von externen Plattformen geladen werden und dabei technische Identifikatoren übertragen werden. Die Datenschutz-Bestimmungen verlangen, dass Datenquellen nachvollziehbar bleiben, weshalb My Сasino Herkunft und Zugriffspfade dokumentiert, soweit dies im Rahmen der betrieblichen Möglichkeiten zumutbar ist. Daten können zudem von Dritten stammen, wenn eine Person deren Übermittlung veranlasst oder wenn Vertragspartner erforderliche Angaben bereitstellen, wobei die Zulässigkeit jeweils geprüft wird. Sofern Daten aus öffentlich zugänglichen Quellen beigezogen werden, geschieht dies nur, wenn ein rechtlicher Grund besteht und die Bearbeitung für den vorgesehenen Zweck erforderlich ist.

Zwecke der Bearbeitung im Betrieb von digitalkompetenz50plus.ch

Die Bearbeitung von Personendaten erfolgt zur Bereitstellung, Administration und technischen Stabilisierung der Website und ihrer Funktionen. Dazu zählen die Bearbeitung zur Bearbeitung von Anfragen, zur Identitäts und Zugriffsverwaltung, zur Betrugs und Missbrauchsprävention sowie zur Sicherstellung der Integrität von Systemen. Die Datenschutzrichtlinie umfasst auch Bearbeitungen zur Einhaltung gesetzlicher Pflichten, beispielsweise zur Aufbewahrung von Geschäftsunterlagen oder zur Reaktion auf behördliche Anordnungen. Soweit Interaktionen mit casino My stattfinden, erfolgt die Bearbeitung zur Vertragsdurchführung, zur Abwicklung von Transaktionen sowie zur Erfüllung von Sorgfaltspflichten, soweit solche einschlägig sind. Ebenso kann eine Bearbeitung zur Verbesserung der Nutzerfreundlichkeit erfolgen, etwa durch Analyse aggregierter Nutzungsdaten, wobei eine Identifizierung soweit möglich vermieden wird. Für Zwecke, die nicht mit dem ursprünglichen Erhebungszweck vereinbar sind, wird eine separate rechtliche Grundlage geprüft und gegebenenfalls eine zusätzliche Information bereitgestellt.

Funktionale Kommunikation und Support

Bei Kontaktaufnahmen werden Inhalte der Mitteilung, Kontaktdaten sowie der Zeitpunkt der Anfrage bearbeitet, um eine sachgerechte Bearbeitung sicherzustellen. Die Datenbearbeitung kann interne Zuweisungen, Rückfragen und Dokumentation von Lösungsschritten umfassen, wobei der Zugriff nach dem Need to know Prinzip eingeschränkt wird. Je nach Komplexität kann die Bearbeitung über mehrere Kommunikationskanäle erfolgen, was eine Zusammenführung von Gesprächsnotizen und Zustellnachweisen erforderlich machen kann. Die Bearbeitung erfolgt grundsätzlich solange, bis der Zweck erfüllt ist, und anschliessend nur soweit gesetzliche Aufbewahrungspflichten oder überwiegende berechtigte Interessen eine weitere Aufbewahrung rechtfertigen.

Systembetrieb, Fehleranalyse und Sicherheit

Im Rahmen des Systembetriebs werden technische Protokolle erstellt, um Verfügbarkeit, Belastung und Fehlersituationen zu überwachen. Dabei können IP Adressen, Gerätekennungen, Zeitstempel und Statusmeldungen bearbeitet werden, um Angriffe zu erkennen, Störungen zu beheben und die Sicherheit zu erhöhen. Für die Auswertung werden soweit möglich Pseudonymisierung und Aggregation eingesetzt, um die Rückführbarkeit auf einzelne Personen zu reduzieren. Sicherheitsereignisse können zur Nachverfolgung und Beweissicherung dokumentiert werden, wenn ein konkreter Anlass besteht und die Massnahme verhältnismässig bleibt.

Rechtsgrundlagen und Grundsätze der Bearbeitung

Die Bearbeitung stützt sich auf die Grundsätze der Rechtmässigkeit, Treu und Glauben, Verhältnismässigkeit, Zweckbindung und Datensicherheit nach Schweizer Recht. Soweit eine Bearbeitung im Anwendungsbereich der Datenschutz Grundverordnung erfolgt, werden zusätzlich die dort vorgesehenen Grundsätze wie Transparenz, Integrität und Rechenschaftspflicht berücksichtigt. Als Rechtsgrundlagen kommen insbesondere die Durchführung vorvertraglicher Massnahmen und die Vertragserfüllung, die Einhaltung rechtlicher Verpflichtungen sowie überwiegende berechtigte Interessen in Betracht. Eine Einwilligung wird nur dort herangezogen, wo sie erforderlich ist oder wo die Bearbeitung ohne Einwilligung nicht zulässig wäre; sie kann mit Wirkung für die Zukunft widerrufen werden. Bei der Interessenabwägung werden Art, Umfang, Zweck und erwartbare Auswirkungen auf betroffene Personen einbezogen, ebenso bestehende Schutzmassnahmen. Für besonders schützenswerte Konstellationen kann eine Datenschutz Folgenschätzung geprüft werden, wenn ein erhöhtes Risiko für die Persönlichkeit oder Grundrechte naheliegt.

Cookies, vergleichbare Technologien und Messverfahren

Diese Datenschutzrichtlinie behandelt den Einsatz von Cookies und ähnlichen Technologien, soweit sie für den Betrieb und die Sicherheit von digitalkompetenz50plus.ch verwendet werden. Es können technisch notwendige Cookies eingesetzt werden, um Sitzungen zu verwalten, Präferenzen zu speichern und Schutzmechanismen wie CSRF Abwehr umzusetzen. Darüber hinaus können optionale Messverfahren verwendet werden, um Reichweite und Nutzungsmuster zu analysieren, wobei nach Möglichkeit mit verkürzten Identifikatoren und begrenzter Aufbewahrung gearbeitet wird. Bei der Einbindung von Dritttechnologien kann es zu einer Übermittlung technischer Daten an externe Anbieter kommen, was unter Umständen eine eigenständige Verantwortlichkeit dieser Anbieter auslöst. Soweit Einwilligungen erforderlich sind, werden sie vor der Speicherung oder dem Zugriff auf Endgeräteinformationen eingeholt und dokumentiert, wobei die Ablehnung keine weitergehenden Nachteile für die Nutzung der Kernfunktionen bewirken soll. Einstellungen können über die Browserkonfiguration gesteuert werden; die Deaktivierung kann jedoch dazu führen, dass bestimmte Funktionen nicht oder nur eingeschränkt verfügbar sind.

Protokollierung und Session Steuerung

Für die Session Steuerung können kurzlebige Identifikatoren eingesetzt werden, die nach Beendigung der Sitzung oder nach einer definierten Zeitspanne automatisch ungültig werden. Protokolldaten werden so ausgestaltet, dass sie für die Fehleranalyse und Sicherheitsüberwachung ausreichen, ohne eine unnötige Detailtiefe zu erzeugen. Wo möglich werden IP Adressen gekürzt oder anderweitig reduziert, um eine direkte Identifizierbarkeit zu verringern. Die Verarbeitung folgt den Datenschutz-Bestimmungen, wonach technische Notwendigkeit und Datenminimierung kumulativ zu berücksichtigen sind.

Weitergabe, Offenlegung und Empfängerkategorien

Eine Weitergabe von Personendaten erfolgt nur, wenn sie für die definierten Zwecke erforderlich ist, eine gesetzliche Pflicht besteht oder eine zulässige Grundlage dies erlaubt. Empfänger können IT Dienstleister, Hosting Anbieter, Sicherheitsdienstleister, Kommunikationsdienstleister sowie professionelle Berater wie Rechts und Revisionsstellen sein, soweit sie für die Leistungserbringung beigezogen werden. Im Kontext von casino My kann eine Weitergabe an Zahlungsdienstleister oder Identitätsprüfer stattfinden, sofern dies für die Abwicklung notwendig ist und die entsprechenden vertraglichen und regulatorischen Anforderungen eingehalten werden. Behörden kann eine Offenlegung erfolgen, wenn eine verbindliche Anfrage vorliegt oder wenn dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Auftragsbearbeiter werden vertraglich verpflichtet, Personendaten nur nach Weisung zu bearbeiten, angemessene technische und organisatorische Massnahmen umzusetzen und Unterauftragsverhältnisse nur unter definierten Bedingungen einzugehen. Eine Veräusserung von Personendaten im Sinne eines Datenhandels findet nicht statt.

Aufbewahrung, Löschung und Datenlebenszyklus

Die Datenschutzrichtlinie legt fest, dass Personendaten nur so lange aufbewahrt werden, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten dies verlangen. Protokoll und Sicherheitsdaten werden in der Regel für 90 Tage aufbewahrt, sofern kein konkreter Sicherheitsvorfall eine längere Sicherung zur Abklärung oder Beweissicherung rechtfertigt. Korrespondenz und Supportunterlagen können je nach Sachverhalt bis zu 24 Monate aufbewahrt werden, um Nachvollziehbarkeit und Qualitätssicherung zu gewährleisten, wobei eine frühere Löschung erfolgt, wenn keine Notwendigkeit mehr besteht. Vertrags und Buchhaltungsunterlagen können gestützt auf gesetzliche Pflichten bis zu 10 Jahre aufbewahrt werden, wobei der Zugriff während der Aufbewahrungsdauer organisatorisch eingeschränkt wird. In Einzelfällen kann eine Sperrung anstelle einer Löschung erfolgen, wenn Daten aus rechtlichen Gründen nicht gelöscht werden dürfen, jedoch für operative Zwecke nicht mehr benötigt werden. Nach Ablauf der relevanten Fristen werden Daten gelöscht oder irreversibel anonymisiert, wobei Backup Zyklen berücksichtigt werden und eine endgültige Entfernung innerhalb von 30 Tagen nach regulärem Backup Ablauf angestrebt wird.

Datensicherheit und organisatorische Massnahmen

My Сasino setzt angemessene technische und organisatorische Massnahmen ein, um Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sicherzustellen. Dazu gehören Zugriffskontrollen, Rollen und Berechtigungskonzepte, Protokollierung sicherheitsrelevanter Zugriffe sowie Verschlüsselung bei der Übertragung mittels TLS. Bei der Speicherung werden je nach Schutzbedarf Verschlüsselung oder Schlüsselmanagement Verfahren eingesetzt, wobei administrative Zugriffe restriktiv verwaltet werden. Sicherheitsupdates und Schwachstellenmanagement werden nach einem risikobasierten Verfahren durchgeführt, wobei kritische Patches in der Regel innert 72 Stunden geprüft und nach Möglichkeit eingespielt werden. Interne Prozesse berücksichtigen das Vier Augen Prinzip in sensiblen Bereichen sowie Schulungen, die mindestens 1 Mal pro Jahr wiederholt werden. Für ausgewählte Kontrollmechanismen wird eine Wirksamkeitsquote von mindestens 95 Prozent als internes Ziel definiert, wobei Abweichungen dokumentiert und mit Korrekturmassnahmen adressiert werden.

Incident Management und Meldewege

Im Fall eines Sicherheitsvorfalls werden Ereignisse bewertet, eingedämmt und dokumentiert, um Auswirkungen zu begrenzen und Ursachen zu beheben. Besteht ein Risiko für die Persönlichkeit oder Grundrechte, werden betroffene Personen und gegebenenfalls zuständige Stellen nach Massgabe der gesetzlichen Vorgaben informiert. Die Dokumentation umfasst Zeitpunkt, Art des Vorfalls, betroffene Systeme, ergriffene Massnahmen sowie eine Nachanalyse zur Vermeidung künftiger Ereignisse. Eine Zusammenarbeit mit spezialisierten Dienstleistern kann erfolgen, sofern Vertraulichkeit und Weisungsbindung sichergestellt sind.

Internationale Datenübermittlungen und Schutzinstrumente

Soweit Personendaten ausserhalb der Schweiz oder des Europäischen Wirtschaftsraums bearbeitet werden, erfolgt eine Übermittlung nur unter Einhaltung der gesetzlichen Vorgaben. Als Schutzinstrumente kommen insbesondere Angemessenheitsentscheide, Standardvertragsklauseln sowie ergänzende technische und organisatorische Massnahmen in Betracht. Vor einer Übermittlung wird geprüft, ob das Empfängerland ein angemessenes Schutzniveau bietet oder ob zusätzliche Garantien erforderlich sind, wobei die konkrete Datenkategorie und das Risiko berücksichtigt werden. Bei der Nutzung von casino My können einzelne Dienstleister global operieren, weshalb Datenflüsse regelmässig überprüft und dokumentiert werden. Falls eine Übermittlung auf ausdrücklicher Einwilligung beruht, wird sie auf den konkreten Zweck begrenzt und kann jederzeit für die Zukunft widerrufen werden. Eine automatisierte Übermittlung in Drittstaaten ohne geeignete Schutzmassnahmen findet nicht statt, soweit dies organisatorisch und technisch kontrollierbar ist.

Rechte betroffener Personen und Ausübung

Betroffene Personen haben nach anwendbarem Recht Anspruch auf Auskunft über die Bearbeitung ihrer Personendaten, einschliesslich Informationen zu Kategorien, Zwecken und Empfängern. Sie können unter den gesetzlichen Voraussetzungen die Berichtigung unrichtiger Daten, die Löschung, die Einschränkung der Bearbeitung sowie Widerspruch gegen bestimmte Bearbeitungen verlangen. Soweit die Datenschutz Grundverordnung anwendbar ist, können zusätzlich Rechte wie Datenübertragbarkeit einschlägig sein, sofern die gesetzlichen Bedingungen erfüllt sind. Die Datenschutzrichtlinie sieht vor, dass Anfragen identifiziert und verifiziert werden, um unbefugte Offenlegungen zu verhindern, wobei nur die hierfür notwendigen Nachweise verlangt werden. Eine Beantwortung erfolgt grundsätzlich innert 30 Tagen, wobei eine Verlängerung zulässig ist, wenn Komplexität oder Anzahl der Anfragen dies erfordern und eine entsprechende Information erteilt wird. Ungeachtet der internen Bearbeitung bleibt das Recht bestehen, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen.

Einschränkungen und Abwägungen

Rechte können eingeschränkt sein, wenn überwiegende Interessen Dritter, gesetzliche Geheimhaltungspflichten oder zwingende gesetzliche Aufbewahrungspflichten entgegenstehen. In solchen Fällen wird die Einschränkung begründet und auf das notwendige Minimum beschränkt, wobei alternative Massnahmen wie eine Teilauskunft geprüft werden. Bei offensichtlich unbegründeten oder exzessiven Anfragen kann eine angemessene Bearbeitungsgebühr erhoben oder die Bearbeitung abgelehnt werden, soweit dies gesetzlich zulässig ist. Die Entscheidung orientiert sich an dokumentierten Kriterien und wird nachvollziehbar begründet.

Automatisierte Entscheidungen und Profiling

Automatisierte Einzelentscheidungen mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung werden grundsätzlich nicht als Standardverfahren eingesetzt. Sofern in einzelnen Prozessschritten eine automatisierte Bewertung erfolgt, dient sie primär der Sicherheits und Betrugsprävention sowie der Stabilisierung der Systeme. Dabei werden Parameter wie ungewöhnliche Zugriffsmuster, technische Anomalien oder wiederholte Fehlversuche berücksichtigt, ohne dass daraus zwingend eine endgültige Entscheidung über eine Person abgeleitet wird. Wo ein erhöhtes Risiko für betroffene Personen besteht, werden geeignete Schutzmassnahmen vorgesehen, etwa manuelle Überprüfung, Transparenz über die Logik sowie Möglichkeiten zur Stellungnahme, soweit dies rechtlich erforderlich ist. Die Bearbeitung wird regelmässig auf Zweckmässigkeit und Verhältnismässigkeit überprüft, um eine ungerechtfertigte Benachteiligung zu vermeiden. Für den Kontext von casino My können zusätzliche Prüfmechanismen notwendig sein, wenn regulatorische Anforderungen dies verlangen, wobei deren Einsatz jeweils zweckgebunden erfolgt.

Kontakt, Gesuche und Verfahren

Anfragen zur Datenbearbeitung, zur Ausübung von Rechten oder zu dieser Datenschutzrichtlinie sind schriftlich an die verantwortliche Stelle über die auf digitalkompetenz50plus.ch publizierten Kontaktmöglichkeiten zu richten. Für die Bearbeitung eines Gesuchs können Angaben zur Identifikation erforderlich sein, etwa Name, Kontaktadresse sowie ein geeigneter Nachweis, wenn begründete Zweifel an der Identität bestehen. Gesuche werden nach Eingang registriert, einer zuständigen Stelle zugewiesen und entlang eines internen Prozesses dokumentiert, um Rechenschaftspflichten zu erfüllen. Die Kommunikation erfolgt in der Regel in deutscher Sprache, wobei ein Wechsel auf eine andere Sprache nur soweit möglich und zumutbar erfolgt. Wenn eine Anfrage casino My betrifft und ein anderer Verantwortlicher zuständig ist, wird die Anfrage soweit zulässig weitergeleitet oder es werden Hinweise zur zuständigen Stelle gegeben. Für datenschutzrechtliche Anliegen im Zusammenhang mit Sicherheitsvorfällen kann eine priorisierte Bearbeitung erfolgen, um Risiken zeitnah zu reduzieren.

Änderungen, Gültigkeit und Schlussbestimmungen der Datenschutzrichtlinie

Diese Datenschutzrichtlinie kann angepasst werden, wenn sich rechtliche Anforderungen, behördliche Praxis, technische Verfahren oder interne Prozesse ändern, wobei die Änderungen verhältnismässig und zweckbezogen ausgestaltet werden. My Сasino dokumentiert wesentliche Anpassungen und veröffentlicht die jeweils aktuelle Fassung unter digitalkompetenz50plus.ch/privacy-policy, damit der Inhalt in nachvollziehbarer Weise zugänglich bleibt. Die Datenschutzrichtlinie gilt ab dem Datum der Veröffentlichung und ersetzt alle früheren Fassungen, soweit sie denselben Regelungsgegenstand betreffen. Bei wesentlichen Änderungen, die eine erhöhte Transparenz erfordern, wird eine geeignete Information vorgesehen, etwa durch einen Hinweis auf der Website oder im Rahmen der relevanten Interaktionsstrecken, ohne dass daraus eine werbliche Ansprache abgeleitet wird. Soweit eine Bearbeitung auf Einwilligung beruht, wird bei einer Änderung, die den Umfang oder Zweck der Einwilligung wesentlich betrifft, eine erneute Einwilligung eingeholt, sofern dies erforderlich ist. Diese Datenschutzrichtlinie bestätigt die Verpflichtung von My Сasino, die datenschutzrechtlichen Vorgaben der Schweiz und, soweit einschlägig, die Grundsätze der Datenschutz Grundverordnung einzuhalten, inklusive Rechenschaft, Datensparsamkeit und angemessener Sicherheit. Die Einhaltung wird durch interne Kontrollen und periodische Überprüfungen unterstützt, wobei festgestellte Abweichungen mit dokumentierten Massnahmen innerhalb angemessener Fristen behoben werden. Für die Auslegung dieser Datenschutzrichtlinie ist das anwendbare materielle Recht massgebend; sollte eine Bestimmung unwirksam sein, bleibt die Wirksamtkeit der übrigen Bestimmungen unberührt und die unwirksame Bestimmung wird durch eine zulässige Regelung ersetzt, die dem Zweck am nächsten kommt.