Erfüllung der Anforderungen der DSGVO bei der Verarbeitung von E-Sport-Daten

Die DSGVO definiert „Verarbeitung“ allgemein als jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten oder mit Reihen von personenbezogenen Daten durchgeführt werden, unabhängig davon, ob dies automatisiert geschieht oder nicht, einschließlich Erhebung, Erfassung, Organisation, Speicherung und Nutzung. Folglich findet eine „Verarbeitung“ im Sinne der DSGVO zwangsläufig statt, wenn Spieler Spiele spielen, kaufen oder sogar diskutieren, sofern personenbezogene Daten während oder im Zusammenhang mit solchen Aktivitäten von Datenerfassern („Datenerfasser“) verarbeitet werden.

Personenbezogene Daten umfassen alle Informationen, die sich auf eine betroffene Person beziehen, darunter Name, Identifikationsnummer, Standortdaten und IP-Adresse der betroffenen Person. Darüber hinaus schützt die DSGVO Faktoren, die für die physische, physiologische und mentale Identität der betroffenen Person spezifisch sind. Letztendlich bedeutet dies, dass alles, was persönlich mit einer betroffenen Person in Verbindung steht, unter den Schutz der DSGVO fällt.

Die Berücksichtigung dieser Faktoren ist im Zusammenhang mit E-Sport besonders wichtig, da die Branche seit jeher Telemetrie einsetzt, um das Spielerlebnis zu verbessern – wobei Telemetrie die Analyse aufgezeichneter Datensätze ist. Im Zusammenhang mit der Gaming-Branche werden diese Datensätze vom Zeitpunkt der Anmeldung eines Spielers bis zu seiner Abmeldung erfasst. Wenn diese Datensätze richtig organisiert und analysiert werden, liefern sie wertvolle Erkenntnisse über die betroffenen Personen, was zu einem verbesserten Spielerlebnis für die Spieler und höheren Gewinnen für die Spieleunternehmen führen kann.

Unternehmen wie DotaBuff, eine Website, die Spielstatistiken für Dota 2 Database-Link-e1521645463907 sammelt, erfassen und verarbeiten Millionen von Datensätzen aus der gesamten EU und der ganzen Welt. Nutzer können Statistiken aus ihrer persönlichen Spielhistorie, ihren Ergebnissen mit bestimmten Charakteren und den Gegenständen, die sie tendenziell kaufen, einsehen. Diese Datensätze ermöglichen es E-Sport-Analysten, die KDA (Kills-Deaths-Assists) eines E-Sport-Spielers ähnlich wie die PER (Player Efficiency Rating) eines Basketballspielers zu verfolgen. Mit der zunehmenden Beliebtheit von E-Sport-Metriken wird auch die Menge der Daten steigen, die zur Bereitstellung dieser Metriken verarbeitet werden. Folglich müssen Datenerfasser sicherstellen, dass sie über geeignete Richtlinien und Verfahren verfügen, um die Konformität ihrer Aktivitäten mit der DSGVO zu gewährleisten.

Gemäß Artikel 5 der DSGVO müssen personenbezogene Daten (1) rechtmäßig, fair und transparent verarbeitet werden; (2) für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden; und (3) auf das für den Verarbeitungszweck erforderliche Maß beschränkt sein. Die DSGVO verlangt von Datenerfassern mehr Transparenz darüber, welche Informationen sie erfassen, warum sie diese erfassen und wie sie diese verwenden. Zu diesem Zweck sollten Datenerfasser zum Zeitpunkt der Erfassung personenbezogener Daten die folgenden Anforderungen der DSGVO berücksichtigen und erfüllen:

Identität und Kontaktdaten des Auftragsverarbeiters. Datenerfasser sind verpflichtet, ihre Identität und Kontaktdaten sowie die Kontaktdaten ihrer Vertreter und, soweit zutreffend, ihrer Datenschutzbeauftragten anzugeben.

Rechtsgrundlage. Datenerfasser müssen für jede Datenverarbeitung über eine „rechtmäßige“ Grundlage verfügen. Dies kann unter anderem Situationen umfassen, in denen (i) die betroffene Person der Verarbeitung zugestimmt hat oder (ii) der Datenerfasser ein berechtigtes Interesse an der Verarbeitung personenbezogener Daten hat, das nicht durch die Interessen der betroffenen Person überwiegt. Wenn sie sich auf Letzteres als Grundlage für die Verarbeitung stützen, müssen Datenerfasser nachweisen können, dass (a) ein berechtigtes Interesse besteht, (b) die Verarbeitung zur Erreichung dieses Interesses erforderlich ist und (c) dieses Interesse die Interessen, Rechte und Freiheiten der betroffenen Person überwiegt.

Zweck der Verarbeitung. Zusätzlich zur Angabe der rechtlichen Grundlage für die Erhebung personenbezogener Daten müssen Datenerheber ausdrücklich den konkreten Zweck angeben, zu dem die personenbezogenen Daten erhoben werden. Mit wenigen Ausnahmen dürfen Datenerheber die Daten nur für den angegebenen Zweck verarbeiten. Datenerheber dürfen die Daten jedoch für einen anderen Zweck verarbeiten, sofern dieser mit dem ursprünglichen Zweck vereinbar ist.

Angemessene, relevante und begrenzte Daten. Datenerfasser sollten nur personenbezogene Daten erfassen, die angemessen und relevant sind und sich auf die Erreichung des beabsichtigten Zwecks der Verarbeitung beschränken. Sofern dies mit den geltenden Gesetzen und Richtlinien zur Datenaufbewahrung vereinbar ist, sollten Datenerfasser alle personenbezogenen Daten löschen, die für die Erfüllung des beabsichtigten Zwecks nicht mehr erforderlich sind.

Aufbewahrungsfrist für die Daten. Die DSGVO sieht zwar keine konkreten Fristen vor, doch vertritt die Europäische Kommission den Standpunkt, dass Datenerheber personenbezogene Daten so kurz wie möglich speichernund Fristen für die Löschung oder Überprüfung der gespeicherten Daten festlegen sollten.

Rechte der betroffenen Person. Unter anderem müssen Datenerfasser (i)das Recht der betroffenen Personauf Berichtigung (Korrektur unrichtiger personenbezogener Daten), (ii)das Recht auf Löschung („Recht auf Vergessenwerden“) und (iii) das Recht auf Einschränkung der Verarbeitung respektieren.

Beschränkung der Datenübermittlung außerhalb der EU. Die DSGVO schränkt die Übermittlung personenbezogener Daten außerhalb der EU ein, insbesondere in Regionen, in denen die Europäische Kommission den Datenschutz als unzureichend erachtet. Bislang hat die Europäische Kommission 12 Länder, darunter die Vereinigten Staaten, als Länder mit angemessenem Datenschutz anerkannt.

Meldung von Datenschutzverletzungen. Innerhalb von 72 Stunden nach Bekanntwerden einer Datenschutzverletzung muss ein Datenerfasser die Verletzung der zuständigen Aufsichtsbehörde melden (z. B. derKommission für den Schutz personenbezogener Daten in der Tschechischen Republik oder der Nationalen Behörde für Datenschutz und Informationsfreiheit in Ungarn). Falls ein Datenerfasser eine Datenschutzverletzung nicht innerhalb von 72 Stunden meldet, muss er die Gründe für die Verzögerung der Meldung angeben. Die Meldung muss Folgendes enthalten: (i) eine Beschreibung der Art der Verletzung (einschließlich der ungefähren Anzahl der betroffenen betroffenen Personen und personenbezogenen Datensätze), (ii) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder eines anderen Vertreters des Datenerfassers, (iii) eine Beschreibung der wahrscheinlichen Folgen der Verletzung und (iv) eine Beschreibung der Korrekturmaßnahmen, die der Datenerfasser ergriffen hat oder zu ergreifen beabsichtigt, um die Verletzung zu beheben und mögliche nachteilige Auswirkungen zu mindern.

Aufgrund des breiten Spektrums der von der DSGVO abgedeckten Aktivitäten und der umfangreichen Anforderungen der DSGVO müssen Datenerfasser ihre Richtlinien und Verfahren aktualisieren, um: (i) die Grundlage und den Zweck der Datenerfassung und -verarbeitung zu klären, (ii) zu bestimmen, welche Daten für die Erreichung dieses Zwecks relevant sind, (iii) angemessene Aufbewahrungsfristen für diese Daten festzulegen, (iv) Verfahren zur Wahrung der Rechte der betroffenen Personen einzurichten, (v) die Übermittlung dieser Daten außerhalb der EU zu beschränken und (vi) einen Mechanismus zur Meldung von Datenschutzverletzungen einzurichten.

Angesichts der Millionen von Datensätzen, die von Spielern in der gesamten EU übertragen werden, ist die E-Sport-Branche besonders anfällig für die DSGVO. Beispielsweise unterliegt Riot Games mit seiner Sammlung von Leistungsdaten für League of Legends Database-Link-e1521645463907 und negativen Spielerverhalten zur Durchsetzung seines „Summoner’s Code” sowie andere Spieleentwickler, die ähnliche Praktiken anwenden, den Anforderungen der DSGVO. Letztendlich erstreckt sich die DSGVO aufgrund der gesammelten und verarbeiteten Datensätze natürlich über die Spieleentwickler hinaus auch auf andere Akteure der E-Sport-Branche, darunter Streaming-Websites, Glücksspiel-Websites (wie Unikrn) und Trainer.

Der dritte Teil dieser Reihe befasst sich mit den globalen Auswirkungen der DSGVO, da Länder außerhalb der EU eigene Versionen der DSGVO verabschiedet haben oder deren Verabschiedung in Erwägung ziehen.

Dieser Artikel wurde ursprünglich veröffentlicht in The Esports Observer.