Zum Hauptinhalt springen

Datenschutz

1 Kurzüberblick zur Datenverarbeitung

Mit dieser Datenschutzerklärung möchten wir Ihnen verständlich erklären, wie LOTTO Schleswig-Holstein personenbezogene Daten in seinen digitalen Angeboten verarbeitet.

Verantwortlich für die Datenverarbeitung ist die LOTTO Schleswig-Holstein GmbH & Co. KG. Wenn Sie Fragen zum Datenschutz haben oder Ihre Rechte geltend machen möchten, können Sie sich jederzeit an uns oder an unseren Datenschutzbeauftragten wenden.

Wir verarbeiten personenbezogene Daten insbesondere, um

  • unsere Website, Apps und digitalen Angebote bereitzustellen,

  • ein Kundenkonto einzurichten und zu verwalten,

  • die Online-Spielteilnahme und Gewinnabwicklung durchzuführen,

  • Kontaktanfragen und Kundenanliegen zu bearbeiten,

  • unseren telefonischen Kundenservice zu unterstützen,

  • Newsletter und freiwillige Benachrichtigungen bereitzustellen,

  • sowie gesetzliche Vorgaben, insbesondere aus dem Glücksspielrecht und zum Spielerschutz, einzuhalten.

Je nach Verarbeitungsvorgang stützen wir die Verarbeitung auf Ihre Einwilligung, auf die Erfüllung eines Vertrags, auf gesetzliche Verpflichtungen oder auf berechtigte Interessen.

Weitere Informationen zu den einzelnen Verarbeitungsvorgängen finden Sie in den folgenden Kapiteln. Dort erläutern wir insbesondere, welche Daten wir verarbeiten, zu welchen Zwecken dies geschieht, welche Dienstleister beteiligt sein können, wie lange Daten gespeichert werden und welche Rechte Sie haben.

2 Geltungsbereich dieser Datenschutzerklärung

Diese Datenschutzerklärung gilt für die digitalen Angebote von LOTTO Schleswig-Holstein, insbesondere für

  • unsere Website,

  • die Online-Spielteilnahme,

  • das Kundenkonto,

  • unsere mobilen Anwendungen,

  • unsere Social-Media-Auftritte,

  • sowie weitere digitale Angebote, auf die diese Datenschutzerklärung verlinkt ist.

Für einzelne Angebote und Verarbeitungssituationen gelten ergänzende oder gesonderte Datenschutzhinweise. Dies betrifft insbesondere das Bewerbungsverfahren. Auf die jeweils einschlägigen Datenschutzhinweise weisen wir im jeweiligen Zusammenhang gesondert hin.

3 Verantwortlicher

LOTTO Schleswig-Holstein GmbH & Co. KG

Fleethörn 35

24103 Kiel

Tel. 0431/9805-0

E-Mail: info@lotto-sh.de

Website: www.lotto-sh.de

4 Datenschutzbeauftragter

LOTTO Schleswig-Holstein GmbH & Co. KG

Datenschutzbeauftragter

Fleethörn 35

24103 Kiel

Tel. 0431/9805-0

E-Mail: datenschutz@lotto-sh.de

5 Rechtliche Grundlagen der Datenverarbeitung

5.1 Allgemeine Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten nur, wenn hierfür eine gesetzliche Grundlage besteht. Je nach Verarbeitungsvorgang stützen wir die Verarbeitung insbesondere auf folgende Rechtsgrundlagen:

- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung),

- Art. 6 Abs. 1 lit. b DSGVO (Erfüllung eines Vertrags oder Durchführung vorvertraglicher Maßnahmen),

- Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung) und

- Art. 6 Abs. 1 lit. f DSGVO (Wahrung berechtigter Interessen).

Soweit wir eine Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO stützen, benennen wir in den jeweiligen Verarbeitungsszenarien die von uns oder einem Dritten verfolgten berechtigten Interessen. Diese können insbesondere in der sicheren Bereitstellung unserer digitalen Angebote, der Verhinderung von Missbrauch und Betrug, der Gewährleistung der IT-Sicherheit, der Bearbeitung und Dokumentation von Anliegen sowie der Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche liegen.

Stützen wir eine Verarbeitung auf berechtigte Interessen, wägen wir diese vorab mit Ihren Interessen, Grundrechten und Grundfreiheiten ab. Wir verarbeiten dabei nur die Daten, die für den jeweiligen Zweck erforderlich sind. Sie können einer Verarbeitung auf Grundlage berechtigter Interessen jederzeit widersprechen (Kapitel 14.3).

Welche Rechtsgrundlage im Einzelnen für einen bestimmten Verarbeitungsvorgang einschlägig ist, erläutern wir in den jeweiligen Verarbeitungsszenarien in Kapitel 7 sowie – soweit einschlägig – in den weiteren themenspezifischen Kapiteln dieser Datenschutzerklärung.

5.2 Besondere Anforderungen aus dem Spielerschutz und Glücksspielrecht

Einzelne Verarbeitungsvorgänge unterliegen besonderen gesetzlichen Vorgaben aus dem Glücksspielrecht. Dies betrifft insbesondere Anforderungen des Spieler- und Jugendschutzes, gesetzliche Identitäts- und Altersprüfungen sowie Vorgaben zur Einhaltung von Sperren und Limits.

Die jeweils einschlägigen Rechtsgrundlagen und Verarbeitungsvorgänge erläutern wir in den einzelnen Verarbeitungsszenarien in Kapitel 7.

6 Herkunft personenbezogener Daten

Wir verarbeiten personenbezogene Daten grundsätzlich, die wir direkt von Ihnen erhalten, etwa bei der Registrierung, Nutzung Ihres Kundenkontos, Spielteilnahme, Kontaktaufnahme oder Nutzung unserer digitalen Angebote.

In bestimmten Fällen erhalten oder erheben wir personenbezogene Daten auch von Dritten oder aus gesetzlich vorgesehenen Systemen. Dies kann insbesondere der Fall sein bei

  • Identitäts-, Alters- oder Kontoverifizierungen durch hierfür eingesetzte Dienstleister,

  • Abgleichen mit gesetzlich vorgesehenen Sperrsystemen, Kontrollsystemen oder Sanktionslisten,

  • Zahlungsabwicklung über Zahlungsdienstleister, Banken oder vergleichbare Stellen,

  • Rückmeldungen von App-Store-Betreibern, Plattformbetreibern oder technischen Dienstleistern,

  • Informationen, die uns im Rahmen gesetzlicher Pflichten oder zur Missbrauchsverhinderung zur Verfügung gestellt werden.

Die jeweils betroffenen Datenkategorien, Zwecke und Empfänger ergeben sich aus den einzelnen Verarbeitungsszenarien und der Dienstleisterübersicht in Kapitel 10.

7 Verarbeitungsszenarien im Einzelnen

7.1 Nutzung der Website

Zwecke der Verarbeitung

Bei der Nutzung unserer Website verarbeiten wir personenbezogene Daten, um unsere Website technisch bereitzustellen und sicher betreiben zu können.

Dies umfasst insbesondere folgende Zwecke:

  • Auslieferung der von Ihnen aufgerufenen Webseiten, Inhalte und Funktionen,

  • Herstellung und Aufrechterhaltung der technischen Verbindung,

  • Sicherstellung der Funktionsfähigkeit, Stabilität und Sicherheit unserer Website,

  • Erkennung und Abwehr technischer Störungen, automatisierter Zugriffe, Manipulationsversuche und sonstiger missbräuchlicher Nutzung,

  • Speicherung und Verwaltung Ihrer Cookie- und Datenschutzeinstellungen,

  • statistische Auswertung der Nutzung unserer Website, soweit Sie hierin eingewilligt haben,

  • Messung der Reichweite und Wirksamkeit von Online-Kampagnen, soweit Sie hierin eingewilligt haben.

Rechtsgrundlagen

Die Verarbeitung technisch erforderlicher Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt darin, unsere Website funktionsfähig, stabil und sicher bereitzustellen sowie Angriffe, Störungen und Missbrauch zu erkennen und zu verhindern. Ihre Interessen haben wir dabei berücksichtigt: Wir verarbeiten nur technisch erforderliche Daten und speichern Server-Logdaten nur für kurze Zeit (Kapitel 9.2). Ein sicherer Betrieb schützt zugleich Ihre Daten.

Soweit wir Informationen auf Ihrem Endgerät speichern oder auslesen und dies für den von Ihnen ausdrücklich gewünschten digitalen Dienst unbedingt erforderlich ist, erfolgt dies auf Grundlage von § 25 Abs. 2 TDDDG.

Soweit wir Cookies oder vergleichbare Technologien zu Analyse-, Statistik-, Marketing- oder Komfortzwecken einsetzen, geschieht dies nur mit Ihrer Einwilligung. Rechtsgrundlagen sind in diesen Fällen Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG.

Verarbeitete Datenarten

Hierbei können insbesondere folgende Daten verarbeitet werden:

  • IP-Adresse,

  • Datum und Uhrzeit des Zugriffs,

  • aufgerufene Seiten und Inhalte,

  • Referrer-URL,

  • Browsertyp und Browserversion,

  • verwendetes Betriebssystem,

  • Geräteinformationen,

  • übertragene Datenmengen,

  • technische Status- und Fehlermeldungen,

  • Session-Kennungen,

  • Cookie- und Consent-Informationen.

Betroffene Personengruppen

Besucherinnen und Besucher unserer Website.

Empfänger / Dienstleister

Unsere Website wird bei der Vercel Inc. gehostet und über deren globales Content-Delivery-Netzwerk (Edge-Netzwerk) ausgeliefert. Vercel ist dabei als Auftragsverarbeiter für uns tätig und verarbeitet die vorgenannten technischen Verbindungsdaten (insbesondere Ihre IP-Adresse), um die Inhalte sicher und zuverlässig bereitzustellen; zu Übermittlungen in Drittländer siehe Kapitel 11. Soweit darüber hinaus erforderlich, setzen wir weitere technische Dienstleister ein. Weitere Informationen finden Sie in Kapitel 8 sowie Kapitel 10.

Speicherdauer

Informationen zur Speicherdauer finden Sie in Kapitel 9 und zu Cookies und vergleichbaren Technologien in Kapitel 8.

Pflicht zur Bereitstellung / Folgen der Nichtbereitstellung

Die Bereitstellung technisch erforderlicher Daten ist für den sicheren und funktionsfähigen Betrieb der Website erforderlich. Ohne diese Daten kann die Website ganz oder teilweise nicht bereitgestellt werden.

7.2 Registrierung und Kundenkonto

Zwecke der Verarbeitung

Wenn Sie ein Kundenkonto anlegen oder nutzen, verarbeiten wir personenbezogene Daten zur Einrichtung, Verwaltung und sicheren Nutzung Ihres Kundenkontos.

Dies umfasst insbesondere folgende Zwecke:

  • Anlage und Verwaltung Ihres Kundenkontos,

  • Prüfung der Registrierungsberechtigung,

  • Durchführung und Dokumentation gesetzlich oder vertraglich erforderlicher Identitäts-, Alters- und Verifizierungsprüfungen,

  • Abgleich der von Ihnen angegebenen Identitätsdaten mit hierfür eingesetzten Verifizierungsdienstleistern oder Auskunfteien, soweit dies zur Identitätsprüfung, Altersprüfung oder Missbrauchsverhinderung erforderlich ist.

  • Identifizierung und Authentifizierung bei Anmeldung und Nutzung des Kundenkontos,

  • Verwaltung Ihrer Stamm-, Kontakt- und Zugangsdaten,

  • Durchführung von Sicherheitsverfahren, insbesondere Passwortverwaltung, Zwei-Faktor-Authentifizierung und Erkennung ungewöhnlicher Anmeldeversuche,

  • Anzeige und Verwaltung kontobezogener Informationen, insbesondere Spielaufträge, Transaktionen, Gewinne, Limits und Kommunikationseinstellungen,

  • Kommunikation mit Ihnen zu vertrags- oder kontobezogenen Vorgängen, etwa Registrierungsbestätigungen, Sicherheitsinformationen, Änderungen oder Servicehinweisen,

  • Verhinderung und Aufklärung von Missbrauch, Identitätsmissbrauch, Mehrfachregistrierungen oder unberechtigter Nutzung.

Rechtsgrundlagen

Die Verarbeitung erfolgt, soweit sie für die Einrichtung, Verwaltung und Nutzung des Kundenkontos erforderlich ist, auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO.

Soweit wir gesetzlich verpflichtet sind, insbesondere Alters-, Identitäts- oder Teilnahmevoraussetzungen zu prüfen, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO.

Soweit wir Daten zur Sicherheit unserer Systeme, zur Erkennung ungewöhnlicher Anmeldeversuche oder zur Verhinderung von Missbrauch verarbeiten, erfolgt dies auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der sicheren Bereitstellung des Kundenkontos, dem Schutz vor unberechtigter Nutzung und der Verhinderung von Missbrauch. Diese Sicherheitsmaßnahmen schützen vor allem Sie selbst: Sie verhindern, dass Unbefugte auf Ihr Kundenkonto und Ihre Daten zugreifen. Wir verarbeiten dafür nur die erforderlichen Protokoll- und Sicherheitsdaten.

Verarbeitete Datenarten

Es können insbesondere Stammdaten, Kontaktdaten, Bankverbindungsdaten, Zugangsdaten, Kundennummern, Verifizierungs- und Authentifizierungsdaten, sowie Protokoll- und Sicherheitsdaten verarbeitet werden. Bei alternativen Identitätsverifizierungsverfahren können auch Ausweisdaten sowie bei videobasierter Identifizierung Bild- und Videoaufnahmen verarbeitet werden. Es können außerdem Prüf-, Bestätigungs- und Statusinformationen aus Identitäts-, Alters- oder Verifizierungsverfahren verarbeitet werden.

Betroffene Personengruppen

Registrierte Nutzerinnen und Nutzer sowie Interessentinnen und Interessenten eines Kundenkontos.

Empfänger / Dienstleister

Je nach Nutzungskontext können technische Dienstleister, Identitäts- und Verifizierungsdienstleister sowie Anbieter sicherer Anmeldeverfahren eingebunden sein. Weitere Informationen finden Sie in Kapitel 10.

Für Identitäts-, Alters- und Verifizierungsprüfungen können wir externe Dienstleister und Auskunfteien einsetzen, insbesondere die in Kapitel 10 genannten Identitäts- und Verifizierungsdienstleister. Zur Prüfung Ihrer Identität und Ihres Alters nutzen wir den SCHUFA-IdentitätsCheck der SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden. Dabei übermitteln wir Ihren Namen, Ihre Anschrift und Ihr Geburtsdatum an die SCHUFA. Die SCHUFA teilt uns mit, ob diese Angaben übereinstimmen. Wir fragen dabei keine Bonitätsdaten und keine Score-Werte ab. Die Prüfung hat keinen Einfluss auf Ihre Kreditwürdigkeit. Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit § 4 Abs. 5 i.V.m. § 6a GlüStV 2021. Informationen zur Datenverarbeitung durch die SCHUFA selbst finden Sie unter www.schufa.de/datenschutz.

Können wir Ihre Identität über den SCHUFA-IdentitätsCheck nicht bestätigen, bieten wir Ihnen eine alternative Identitätsprüfung an. Sie können dabei zwischen zwei Anbietern wählen.

Bei der Deutsche Post AG nutzen wir das Verfahren POSTIDENT in der Filiale: Sie weisen sich persönlich in einer Postfiliale mit Ihrem Ausweisdokument aus, und die Mitarbeitenden der Deutschen Post prüfen Ihre Identität.

Bei der WebID Solutions GmbH stehen Ihnen die Verfahren TrueID, AutoID, eID und VideoID zur Verfügung. Je nach gewähltem Verfahren prüfen wir Ihre Identität anhand der Daten Ihres Ausweisdokuments, über die Online-Ausweisfunktion (eID) oder – bei VideoID und AutoID – anhand von Bild- und Videoaufnahmen von Ihnen und Ihrem Ausweisdokument. Welche Daten im Einzelnen verarbeitet werden, hängt vom gewählten Verfahren ab.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit § 4 Abs. 5 i.V.m. § 6a GlüStV 2021. Soweit bei den videobasierten Verfahren (VideoID, AutoID) biometrische Daten zur eindeutigen Identifizierung verarbeitet werden, stützen wir dies zusätzlich auf Ihre ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO). Sie können stattdessen jederzeit ein Verfahren ohne biometrische Verarbeitung wählen (eID oder POSTIDENT in der Filiale).

Wenn Sie eine Bankverbindung angeben – etwa bei der Registrierung, bei einer späteren Änderung oder wenn Sie am Lastschriftverfahren teilnehmen möchten – prüfen wir diese, um Fehlbuchungen und Missbrauch zu vermeiden. Zunächst prüfen wir die Bankverbindung auf formale Richtigkeit, zum Beispiel die Prüfziffer der IBAN. Hierfür nutzen wir den Dienst cKonto der NetSlave GmbH, Simon-Dach-Straße 12, 10245 Berlin. Dabei übermitteln wir ausschließlich die Bankverbindung – keine Namen oder weiteren Kundendaten. Möchten Sie am Lastschriftverfahren teilnehmen, prüfen wir zusätzlich, ob die Bankverbindung tatsächlich Ihnen gehört. Dazu veranlassen wir über die Commerzbank AG eine Überweisung über einen Cent-Betrag auf das angegebene Konto. Im Verwendungszweck dieser Überweisung übermitteln wir einen Code, den Sie uns anschließend bestätigen. Stimmt der Code überein, gilt die Inhaberschaft des Kontos als bestätigt.

Außerdem gleichen wir Ihre Angaben bei der Einrichtung des Lastschriftverfahrens mit dem Datenbestand der SCHUFA Holding AG ab (SCHUFA-KontonummernCheck plus IBAN). Dabei übermitteln wir Ihren Namen, Ihre Anschrift, Ihr Geburtsdatum und Ihre Bankverbindung; die SCHUFA teilt uns mit, ob diese Angaben zueinander plausibel sind. Diese Prüfung dient dazu, Rücklastschriften und den missbräuchlichen Einsatz fremder Bankverbindungen zu vermeiden. Auch hierbei fragen wir keine Bonitäts- oder Score-Werte ab.

Rechtsgrundlage für diese Prüfungen ist Art. 6 Abs. 1 lit. b DSGVO. Soweit die Prüfungen zugleich der Verhinderung von Missbrauch dienen, stützen wir sie auf Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse: Zahlungsvorgänge über ein Konto sollen nur erfolgen, wenn das Konto tatsächlich der berechtigten Person gehört und wir wollen Rücklastschriften und Missbrauch vermeiden.

Für die Verwaltung Ihres Kundenkontos und die sichere Anmeldung (Authentifizierung, einschließlich Zwei-Faktor-Authentifizierung) setzen wir den Dienst der Okta Inc. ein. Dabei werden Ihre Zugangs- und Authentifizierungsdaten verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO für die Bereitstellung und Verwaltung Ihres Kundenkontos sowie Art. 6 Abs. 1 lit. f DSGVO für die Sicherheit der Anmeldung. Informationen zu Übermittlungen in Drittländer finden Sie in Kapitel 11.

Speicherdauer

Informationen zur Speicherdauer finden Sie in Kapitel 9.

Pflicht zur Bereitstellung / Folgen der Nichtbereitstellung

Die Bereitstellung der für Registrierung, Identitätsprüfung, Altersprüfung, Kontoführung und Spielteilnahme erforderlichen Daten ist vertraglich erforderlich und teilweise gesetzlich vorgeschrieben. Ohne diese Daten können wir kein Kundenkonto einrichten, keine Online-Spielteilnahme ermöglichen und gesetzliche Vorgaben aus dem Glücksspielrecht nicht erfüllen.

7.3 Online‑Spielteilnahme

Zwecke der Verarbeitung

Im Rahmen der Online-Spielteilnahme verarbeiten wir personenbezogene Daten, um Ihre Spielteilnahme durchführen, dokumentieren und gesetzliche Vorgaben einhalten zu können.

Dies umfasst insbesondere folgende Zwecke:

  • Entgegennahme, Prüfung, Durchführung und Dokumentation Ihrer Spielaufträge,

  • Zuordnung von Spielaufträgen zu Ihrem Kundenkonto,

  • Berechnung, Verbuchung und Anzeige von Einsätzen, Gewinnen, Gebühren und Kontobewegungen,

  • Abwicklung von Einzahlungen und Auszahlungen,

  • Beitreibung offener Forderungen, etwa nach einer Rücklastschrift,

  • Prüfung der Teilnahmeberechtigung, insbesondere Alters- und Identitätsprüfung,

  • Abgleich mit gesetzlich vorgesehenen Sperr- und Kontrollsystemen, insbesondere zur Prüfung, ob eine Spielteilnahme aufgrund einer Sperre ausgeschlossen ist,

  • Prüfung und Einhaltung gesetzlicher Vorgaben zu Spiel-, Einsatz- und Einzahlungslimits,

  • Prüfung gesetzlicher Vorgaben zum parallelen Spiel im Internet,

  • Dokumentation der durchgeführten Sperr-, Limit- und Kontrollprüfungen, soweit dies gesetzlich erforderlich ist,

  • Erkennung und Verhinderung von Manipulation, Betrug, Mehrfachregistrierungen, unberechtigter Nutzung oder sonstigem Missbrauch,

  • Erfüllung gesetzlicher Dokumentations-, Nachweis- und Aufbewahrungspflichten.

Rechtsgrundlagen

Die Verarbeitung erfolgt, soweit sie für die Durchführung der Online-Spielteilnahme, die Verwaltung des Spielkontos sowie die Abwicklung von Einsätzen, Gewinnen und Zahlungen erforderlich ist, auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO.

Soweit gesetzliche Verpflichtungen bestehen, insbesondere aus dem Glücksspielrecht, dem Spieler- und Jugendschutz, Identitäts- und Altersprüfungen, Sperrdateiabgleichen, Limitprüfungen sowie Vorgaben zum parallelen Spiel im Internet, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO.

Soweit wir Daten zur Systemsicherheit, zur Missbrauchsverhinderung, zur Betrugsprävention oder zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche verarbeiten, erfolgt dies auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der sicheren und ordnungsgemäßen Durchführung des Internetspielbetriebs, dem Schutz vor Missbrauch und der Wahrung unserer rechtlichen Interessen. Ihre Interessen haben wir berücksichtigt: Die Erkennung von Manipulation und Betrug dient einem fairen und sicheren Spielbetrieb und damit auch dem Schutz aller Spielteilnehmerinnen und Spielteilnehmer. Wir verarbeiten dafür nur die erforderlichen Daten.

Verarbeitete Datenarten

Es können insbesondere Stammdaten, Kontaktdaten, Identitäts- und Verifizierungsdaten, Spiel- und Transaktionsdaten, Zahlungsdaten, Limit- und Aktivitätsdaten sowie Sperr- und Prüfdatensätze verarbeitet werden. Hierzu können insbesondere Informationen darüber gehören, ob eine Sperre besteht, ob gesetzliche oder selbst gesetzte Limits erreicht sind oder ob gesetzliche Vorgaben zum parallelen Spiel im Internet einer Spielteilnahme entgegenstehen.

Betroffene Personengruppen

Spielteilnehmerinnen und Spielteilnehmer sowie registrierte Nutzerinnen und Nutzer.

Empfänger / Dienstleister

Je nach Nutzungskontext können Zahlungsdienstleister, Identitäts- und Verifizierungsdienstleister, Kontoverifizierungsdienste sowie gesetzlich vorgesehene Empfänger im Zusammenhang mit Spieler- und Sperrschutz eingebunden sein. Zur Einhaltung gesetzlicher Vorgaben aus dem Glücksspielrecht können gesetzlich vorgesehene Sperr- und Kontrollsysteme eingebunden werden. Hierzu gehören insbesondere OASIS für den Abgleich mit der bundesweiten Sperrdatei sowie LUGAS für gesetzlich vorgesehene Limit- und Kontrollprüfungen. Weitere Informationen finden Sie in Kapitel 10. Soweit Sie im Rahmen der Spielteilnahme eine Bankverbindung angeben oder ändern, prüfen wir diese wie in Kapitel 7.2 beschrieben.

Wenn eine Zahlung fehlschlägt – etwa wenn eine Lastschrift von Ihrem Konto zurückgebucht wird (Rücklastschrift) – entsteht eine offene Forderung. Wir versuchen zunächst selbst, diese mit Ihnen zu klären. Gelingt dies nicht, können wir die Forderung zur weiteren Bearbeitung an einen externen Dienstleister übergeben. Hierfür arbeiten wir mit der KSP Kanzlei Dr. Seegers, Dr. Frankenheim Rechtsanwaltsgesellschaft mbH zusammen, die für uns Mahn- und Inkassoverfahren durchführt. Dabei übermitteln wir die für die Beitreibung erforderlichen Daten, insbesondere Ihre Stammdaten, Ihre Kontaktdaten, die betroffene Bankverbindung sowie Angaben zur offenen Forderung und zum bisherigen Zahlungsverlauf. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO für die der Forderung zugrunde liegende Vertragsbeziehung sowie Art. 6 Abs. 1 lit. f DSGVO für die Beitreibung. Unser berechtigtes Interesse liegt in der wirtschaftlichen Durchsetzung berechtigter Forderungen. Ihre Interessen haben wir berücksichtigt: Wir geben nur die für die Beitreibung erforderlichen Daten weiter – und erst, nachdem eine Klärung mit Ihnen nicht zustande gekommen ist.

Speicherdauer

Informationen zur Speicherdauer finden Sie in Kapitel 9.

Pflicht zur Bereitstellung / Folgen der Nichtbereitstellung

Die Bereitstellung der für die Online-Spielteilnahme, Identitäts- und Altersprüfung, Zahlungsabwicklung sowie Sperr-, Limit- und Kontrollprüfungen erforderlichen Daten ist vertraglich erforderlich und teilweise gesetzlich vorgeschrieben. Ohne diese Daten und Prüfungen können wir keine Online-Spielteilnahme ermöglichen.

7.4 Gewinnabwicklung

Zwecke der Verarbeitung

Im Gewinnfall verarbeiten wir personenbezogene Daten, um Gewinne prüfen, zuordnen, auszahlen und dokumentieren zu können.

Dies umfasst insbesondere folgende Zwecke:

  • Feststellung und Prüfung des Gewinnanspruchs,

  • Zuordnung des Gewinns zum jeweiligen Spielauftrag und Kundenkonto,

  • Benachrichtigung der Gewinnerin oder des Gewinners,

  • Vorbereitung und Durchführung der Gewinnauszahlung,

  • Prüfung und Aktualisierung der für die Auszahlung erforderlichen Zahlungs- und Kontodaten,

  • Dokumentation der Gewinnauszahlung,

  • Erfüllung buchhalterischer, steuerlicher und sonstiger gesetzlicher Nachweis- und Aufbewahrungspflichten,

  • Bearbeitung etwaiger Rückfragen, Reklamationen oder Ansprüche im Zusammenhang mit dem Gewinn.

Rechtsgrundlagen

Die Verarbeitung erfolgt insbesondere auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Soweit gesetzliche Aufbewahrungs-, Nachweis- oder Abrechnungspflichten bestehen, erfolgt die Verarbeitung zusätzlich auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO.

Verarbeitete Datenarten

Es können insbesondere Stammdaten, Kontaktdaten, Gewinn- und Spielauftragsdaten, Zahlungs- und Kontodaten sowie abrechnungsbezogene Daten verarbeitet werden.

Betroffene Personengruppen

Gewinnerinnen und Gewinner sowie Spielteilnehmerinnen und Spielteilnehmer.

Empfänger / Dienstleister

Je nach Fall können Zahlungsdienstleister oder weitere an der Auszahlung beteiligte Stellen eingebunden sein. Weitere Informationen finden Sie in Kapitel 10.

Speicherdauer

Informationen zur Speicherdauer finden Sie in Kapitel 9.

Pflicht zur Bereitstellung / Folgen der Nichtbereitstellung

Die Bereitstellung der für die Gewinnabwicklung erforderlichen Daten ist notwendig, um Gewinne prüfen, auszahlen und dokumentieren zu können. Ohne diese Daten kann eine Gewinnabwicklung ganz oder teilweise nicht erfolgen.

7.5 Sanktionslistenprüfung

Zwecke der Verarbeitung

Wir sind gesetzlich verpflichtet sicherzustellen, dass wir keine Gelder oder wirtschaftlichen Ressourcen an Personen bereitstellen, die auf Sanktionslisten der Europäischen Union geführt werden. Dazu gleichen wir Kundendaten mit den jeweils geltenden Sanktionslisten ab.

Die Prüfung erfolgt:

  • nach Ihrer Registrierung,

  • in regelmäßigen Abständen über alle Kundenkonten unseres Onlinespielbetriebs, weil sich die Sanktionslisten laufend ändern,

  • zusätzlich anlassbezogen vor Gewinnauszahlungen ab 10.000 Euro.

Wir dokumentieren die durchgeführten Prüfungen, um unsere gesetzlichen Pflichten nachweisen zu können.

Mögliche Treffer werden immer von unseren Mitarbeitenden geprüft, bevor wir Maßnahmen ergreifen. Eine bloße Namensähnlichkeit führt nicht automatisch zu einer Sperrung oder Ablehnung. Es erfolgt kein Profiling und keine automatisierte Entscheidung.

Rechtsgrundlagen

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit den unmittelbar geltenden Sanktionsverordnungen der Europäischen Union.

Verarbeitete Datenarten

Wir verarbeiten dabei vor allem Ihre Stammdaten (insbesondere Name, Geburtsdatum, Anschrift), Ihre Kundennummer sowie das Ergebnis und die Dokumentation der Prüfung. Bei Prüfungen vor einer Gewinnauszahlung verarbeiten wir zusätzlich den Bezug zum jeweiligen Auszahlungsvorgang.

Betroffene Personengruppen

Registrierte Nutzerinnen und Nutzer, Spielteilnehmerinnen und Spielteilnehmer sowie Gewinnerinnen und Gewinner.

Empfänger / Dienstleister

Die Prüfung erfolgt mit einer Software, die auf unseren eigenen Systemen betrieben wird. Der Hersteller der Software unterstützt uns bei Wartung und Support. Soweit er dabei personenbezogene Daten verarbeitet, geschieht dies in unserem Auftrag nach Art. 28 DSGVO und nur nach unseren Weisungen. Weitere Informationen finden Sie in Kapitel 10.

Bestätigt sich ein Treffer, sind wir gesetzlich verpflichtet, den Vorgang den zuständigen Behörden zu melden, für Finanzsanktionen ist das die Deutsche Bundesbank, Servicezentrum Finanzsanktionen.

Speicherdauer

Nachweise über durchgeführte Sanktionslistenprüfungen speichern wir 12 Monate.

Pflicht zur Bereitstellung / Folgen der Nichtbereitstellung

Für die Prüfung müssen Sie keine zusätzlichen Angaben machen — wir verwenden die Daten, die wir bereits bei Registrierung und Auszahlung erheben. Die Prüfung selbst ist gesetzlich vorgeschrieben. Bei einem bestätigten Treffer dürfen wir gesetzlich keine Gelder bereitstellen, insbesondere keine Auszahlungen vornehmen.

7.6 Kontaktanfragen

Zwecke der Verarbeitung

Wenn Sie uns kontaktieren, verarbeiten wir personenbezogene Daten, um Ihr Anliegen entgegenzunehmen, zu prüfen und zu beantworten.

Dies umfasst insbesondere folgende Zwecke:

  • Entgegennahme und Zuordnung Ihrer Anfrage,

  • Prüfung und Bearbeitung Ihres Anliegens,

  • Kommunikation mit Ihnen über den von Ihnen gewählten Kontaktkanal,

  • Weiterleitung an den zuständigen internen Fachbereich, soweit dies zur Bearbeitung erforderlich ist,

  • Dokumentation des Anfrageverlaufs zur Nachvollziehbarkeit der Bearbeitung,

  • Bearbeitung von Beschwerden, Rückfragen oder Serviceanliegen,

  • Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche, soweit dies im Einzelfall erforderlich ist.

Rechtsgrundlagen

Die Verarbeitung erfolgt – je nach Anlass der Anfrage – insbesondere auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, wenn Ihre Anfrage auf den Abschluss oder die Durchführung eines Vertrags gerichtet ist.

Soweit die Verarbeitung nicht zur Durchführung eines Vertrags oder vorvertraglicher Maßnahmen erforderlich ist, erfolgt sie auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt darin, Anfragen entgegenzunehmen, sachgerecht zu beantworten, die Bearbeitung nachvollziehbar zu dokumentieren und unsere rechtlichen Interessen zu wahren. Ihre Interessen haben wir berücksichtigt: Sie wenden sich selbst mit Ihrem Anliegen an uns und können erwarten, dass wir Ihre Angaben zur Bearbeitung verwenden. Wir verarbeiten nur die Angaben, die Sie uns mitteilen, und speichern sie nur so lange wie nötig (Kapitel 9.2).

Soweit Sie uns eine Einwilligung erteilt haben, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO.

Verarbeitete Datenarten

Es können insbesondere Kontaktdaten, Inhaltsdaten Ihrer Anfrage, Kommunikationsdaten, CRM-bezogene Vorgangsdaten sowie technische Begleitdaten verarbeitet werden.

Betroffene Personengruppen

Anfragende Personen, Kundinnen und Kunden sowie sonstige Kontaktpersonen.

Empfänger / Dienstleister

Je nach Kommunikationsweg können technische Kommunikationsdienstleister oder CRM-Dienstleister eingebunden sein. Weitere Informationen finden Sie in Kapitel 10.

Speicherdauer

Informationen zur Speicherdauer finden Sie in Kapitel 9.

Pflicht zur Bereitstellung / Folgen der Nichtbereitstellung

Die Bereitstellung der für Ihr Anliegen erforderlichen Angaben ist notwendig, damit wir Ihre Anfrage bearbeiten können. Sie sind nicht verpflichtet, darüber hinausgehende oder für Ihr Anliegen nicht erforderliche Angaben zu machen.

7.7 KI‑gestützter Telefon‑Kundenservice

Zwecke der Verarbeitung

Außerhalb unserer Servicezeiten nimmt ein KI-gestütztes Telefonsystem Ihren Anruf entgegen. Zu Beginn des Gesprächs informiert Sie eine Ansage darüber, dass Sie mit einem KI-System sprechen. Während unserer Servicezeiten erreichen Sie unsere Mitarbeitenden direkt.

Wir verarbeiten personenbezogene Daten in diesem Zusammenhang, um telefonische Kundenanliegen entgegenzunehmen, strukturiert zu erfassen, zur weiteren Bearbeitung an zuständige Mitarbeitende oder Fachbereiche weiterzuleiten und Servicevorgänge nachvollziehbar zu dokumentieren.

Dies umfasst insbesondere folgende Zwecke:

  • Entgegennahme telefonischer Kundenanliegen,

  • Erfassung und strukturierte Zusammenfassung des von Ihnen geschilderten Anliegens,

  • Zuordnung Ihres Anliegens zu einem bestehenden Kundenkonto oder Servicevorgang, soweit dies für die Bearbeitung erforderlich ist,

  • Beantwortung einfacher Servicefragen, soweit dies ohne rechtlich erhebliche Entscheidung möglich ist,

  • Weiterleitung komplexer, sensibler oder rechtlich erheblicher Anliegen an Mitarbeitende unseres Kundenservice oder zuständige Fachbereiche,

  • Nachverfolgung und Dokumentation der Bearbeitung,

  • Verbesserung der Erreichbarkeit unseres Kundenservice, insbesondere außerhalb der regulären Geschäftszeiten,

  • Erkennung technischer Störungen oder missbräuchlicher Nutzung des Telefonservices.

Das KI‑gestützte Telefonsystem trifft keine ausschließlich automatisierten Entscheidungen mit rechtlicher Wirkung oder vergleichbarer erheblicher Beeinträchtigung. Insbesondere entscheidet das System nicht abschließend über Spielteilnahmen, Auszahlungen, Sperren, Limits, Beschwerden, Vertragsansprüche oder sonstige rechtlich erhebliche Anliegen.

Rechtsgrundlagen

Die Verarbeitung erfolgt – je nach Inhalt Ihres Anliegens – auf folgenden Rechtsgrundlagen:

Soweit die Verarbeitung zur Bearbeitung vertragsbezogener Kundenanliegen oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, erfolgt sie auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO.

Soweit wir gesetzliche Pflichten erfüllen müssen, etwa im Zusammenhang mit Spielteilnahme, Gewinnen, Spielerschutz, Sperren, gesetzlichen Prüf-, Dokumentations- oder Nachweispflichten, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO.

Im Übrigen erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt darin, die telefonische Erreichbarkeit unseres Kundenservice zu verbessern, Kundenanliegen effizient entgegenzunehmen, vorzusortieren und zu dokumentieren, Servicevorgänge nachvollziehbar zu bearbeiten sowie die Sicherheit und Funktionsfähigkeit des Telefonservices zu gewährleisten. Ihre Interessen haben wir berücksichtigt: Sie werden zu Beginn des Gesprächs über den Einsatz des Systems informiert, Audioaufzeichnungen werden nicht dauerhaft gespeichert, und Sie können uns jederzeit auch über andere Kontaktwege erreichen (Kapitel 7.6).

Verarbeitete Datenarten

Je nach Inhalt Ihres Anliegens können insbesondere folgende Daten verarbeitet werden:

  • Telefonnummer und technische Verbindungsdaten,

  • Datum, Uhrzeit und Dauer des Anrufs,

  • von Ihnen im Gespräch mitgeteilte Inhalte,

  • Angaben zu Ihrem Anliegen,

  • Kunden-, Vorgangs- oder Auftragsnummern, soweit Sie diese mitteilen,

  • Kunden- und Kontaktdaten, soweit diese für die Bearbeitung des Anliegens benötigt werden,

  • Service-, Vorgangs- und CRM-Daten,

  • Gesprächsnotizen, automatisch erzeugte Zusammenfassungen oder Transkripte, soweit diese zur Bearbeitung und Dokumentation des Anliegens erstellt werden,

  • Bearbeitungsstatus und Folgekommunikation,

  • technische Protokolldaten zur Sicherstellung des Betriebs, zur Fehleranalyse und zur Missbrauchsvermeidung.

Soweit zur Bearbeitung Ihres Anliegens eine technische Umwandlung von Sprache in Text oder eine automatische Zusammenfassung des Gesprächsinhalts erfolgt, verwenden wir diese nur zur Bearbeitung, Dokumentation und Nachverfolgung des jeweiligen Servicevorgangs.

Die im Rahmen des KI‑gestützten Telefonservices verarbeiteten Gesprächsinhalte werden nicht verwendet, um allgemeine KI‑Modelle zu trainieren.

Betroffene Personengruppen

Betroffen sind anrufende Personen, Kundinnen und Kunden, registrierte Nutzerinnen und Nutzer, Interessentinnen und Interessenten sowie sonstige Kontaktpersonen, die den telefonischen Kundenservice nutzen.

Empfänger / Dienstleister

Für den KI‑gestützten Telefon‑Kundenservice setzen wir technische Dienstleister ein, insbesondere die telli technologies GmbH. Der Dienstleister unterstützt uns bei der automatisierten Entgegennahme, strukturierten Erfassung und Weiterleitung telefonischer Kundenanliegen.

Soweit der Dienstleister personenbezogene Daten in unserem Auftrag verarbeitet, erfolgt dies auf Grundlage eines Vertrags über Auftragsverarbeitung nach Art. 28 DSGVO. Der Dienstleister verarbeitet personenbezogene Daten in diesem Fall nur nach unseren Weisungen.

Weitere Informationen zu den eingesetzten Dienstleistern finden Sie in Kapitel 10.

Speicherdauer

Informationen zur allgemeinen Speicherdauer finden Sie in Kapitel 9.

Gesprächsnotizen, automatisch erzeugte Zusammenfassungen oder Transkripte speichern wir nur so lange, wie dies zur Bearbeitung und Dokumentation des jeweiligen Anliegens erforderlich ist.

Soweit der Vorgang einem Kundenkonto, einer Beschwerde, einem Gewinn-, Zahlungs-, Sperr- oder sonstigen rechtlich relevanten Vorgang zugeordnet wird, richtet sich die Speicherdauer nach den für diesen Vorgang geltenden Speicherfristen in Kapitel 9.

Reine technische Verbindungs- und Protokolldaten werden nur so lange gespeichert, wie dies für Betrieb, Sicherheit, Fehleranalyse und Missbrauchsvermeidung erforderlich ist.

Audioaufnahmen werden ausschließlich vorübergehend zur Spracherkennung verarbeitet und nach Erstellung der Transkription unverzüglich gelöscht.

Pflicht zur Bereitstellung / Folgen der Nichtbereitstellung

Die Bereitstellung der für Ihr Anliegen erforderlichen Angaben ist notwendig, damit wir Ihre telefonische Anfrage bearbeiten können. Sie sind nicht verpflichtet, besondere oder für Ihr Anliegen nicht erforderliche Informationen mitzuteilen.

Ohne die für die Bearbeitung erforderlichen Angaben kann Ihr Anliegen gegebenenfalls nicht oder nur eingeschränkt bearbeitet werden.

Wenn Sie den KI‑gestützten Telefonservice nicht nutzen möchten, können Sie uns auch über die in dieser Datenschutzerklärung genannten anderen Kontaktwege erreichen.

7.8 Newsletter

Zwecke der Verarbeitung

Wenn Sie unseren Newsletter abonnieren, verarbeiten wir personenbezogene Daten, um Ihnen den Newsletter zuzusenden und Ihre Einwilligung zu verwalten.

Dies umfasst insbesondere folgende Zwecke:

  • Anmeldung zum Newsletter,

  • Durchführung und Dokumentation des Double-Opt-In-Verfahrens,

  • Versand des Newsletters an die von Ihnen angegebene E-Mail-Adresse,

  • Verwaltung Ihrer Einwilligung, Präferenzen und Abmeldung,

  • Nachweis der erteilten Einwilligung,

  • technische Sicherstellung des Newsletterversands,

  • Auswertung von Zustellbarkeit und technischen Versandfehlern.

Rechtsgrundlagen

Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.

Verarbeitete Datenarten

Es können insbesondere Kontaktdaten, Anmeldedaten, Einwilligungs- und Präferenzdaten sowie technische Versand- und Nachweisdaten verarbeitet werden sowie technische Versand- und Nachweisdaten und Nutzungs- bzw. Interaktionsdaten (insbesondere Öffnungen des Newsletters und Klicks auf Links im Newsletter) verarbeitet werden..

Betroffene Personengruppen

Newsletter-Abonnentinnen und -Abonnenten sowie interessierte Nutzerinnen und Nutzer.

Empfänger / Dienstleister

Für den Versand und die Verwaltung des Newsletters setzen wir technische Dienstleister ein. Weitere Informationen finden Sie in Kapitel 10.

Erfolgsmessung (Öffnungs- und Klicktracking)

Unsere Newsletter enthalten einen Zählpixel sowie Verlinkungen, deren Nutzung wir auswerten. Über den Zählpixel erfassen wir, ob und wann Sie einen Newsletter öffnen; wenn Sie einen Link im Newsletter anklicken, erfassen wir, welche Links zu welchem Zeitpunkt angeklickt wurden. Diese Informationen ordnen wir Ihrer Newsletter-Anmeldung zu. So können wir nachvollziehen, welche Inhalte für Sie relevant sind, die Reichweite und den Erfolg unserer Newsletter messen und unsere Inhalte verbessern.

Diese Auswertung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die Sie bei der Anmeldung zum Newsletter erteilen. Sie können der Erfolgsmessung jederzeit widersprechen, indem Sie den Newsletter abbestellen; mit der Abmeldung endet auch die Auswertung.

Speicherdauer

Solange Sie den Newsletter abonniert haben, speichern wir Ihre E-Mail-Adresse und Ihre Einstellungen. Unser Newslettersystem ist dabei so eingerichtet, dass ein Versand ausschließlich erfolgt, wenn für Ihre E-Mail-Adresse eine gültige Einwilligung vorliegt.

Wenn Sie sich abmelden, widerrufen wir Ihre Einwilligung und beenden den Versand sofort. Auch wenn Ihre E-Mail-Adresse technisch noch in unserem System gespeichert ist, erhalten Sie keine weiteren Newsletter, weil ohne gültige Einwilligung kein Versand ausgelöst wird.

Den Nachweis Ihrer Einwilligung und Ihres Widerrufs bewahren wir darüber hinaus auf (Art. 7 Abs. 1 DSGVO); die Speicherung des Widerruf-Status dient zugleich dazu, Ihren Widerruf dauerhaft zu beachten (Art. 6 Abs. 1 lit. f DSGVO). Die Fristen finden Sie in Kapitel 9.2.

Pflicht zur Bereitstellung / Folgen der Nichtbereitstellung

Die Bereitstellung Ihrer E-Mail-Adresse und der erforderlichen Einwilligungsdaten ist freiwillig. Ohne diese Daten können wir Ihnen keinen Newsletter zusenden.

7.9 Bewerbungsverfahren

Für das Bewerbungsverfahren gelten gesonderte Datenschutzhinweise. Sie finden diese auf unserer Karriereseite unter www.karriere-lotto-sh.de.

7.10 Mobile Anwendungen

Zwecke der Verarbeitung

Wenn Sie unsere mobilen Anwendungen nutzen, verarbeiten wir personenbezogene Daten, um die App bereitzustellen und die von Ihnen genutzten Funktionen auszuführen.

Dies umfasst insbesondere folgende Zwecke:

  • Bereitstellung, Anzeige und technische Ausführung der App-Funktionen,

  • Anmeldung und Nutzung Ihres Kundenkontos innerhalb der App,

  • Durchführung und Anzeige von Spielaufträgen, Transaktionen, Gewinnen und Limits,

  • Gewährleistung der technischen Stabilität, Sicherheit und Kompatibilität der App,

  • Fehleranalyse und Behebung technischer Störungen,

  • Verwaltung Ihrer App-, Datenschutz- und Benachrichtigungseinstellungen,

  • Versand von Push-Benachrichtigungen, soweit Sie hierin eingewilligt haben,

  • Erfüllung gesetzlicher Vorgaben aus dem Glücksspielrecht, soweit Sie über die App an Spielen teilnehmen.

Rechtsgrundlagen

Die Verarbeitung erfolgt insbesondere auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, soweit die Nutzung der App mit Ihrem Kundenkonto oder der Spielteilnahme zusammenhängt. Soweit gesetzliche Anforderungen einzuhalten sind, erfolgt die Verarbeitung zusätzlich auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO. Für Push-Benachrichtigungen erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO. Soweit dies der Sicherheit und Stabilität der Anwendungen dient, erfolgt die Verarbeitung zudem auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der sicheren, stabilen und funktionsfähigen Bereitstellung unserer mobilen Anwendungen, der Fehleranalyse, der Missbrauchsverhinderung und der Gewährleistung der Kompatibilität der App. Ihre Interessen haben wir berücksichtigt: Die Verarbeitung beschränkt sich auf das technisch Erforderliche und sorgt dafür, dass die App stabil läuft und Ihre Daten geschützt bleiben.

Verarbeitete Datenarten

Es können insbesondere Kontostammdaten, Nutzungsdaten, Geräte- und App-Daten, technische Verbindungsdaten, Push-Präferenzen sowie Spiel- und Transaktionsdaten verarbeitet werden.

Betroffene Personengruppen

Nutzerinnen und Nutzer unserer mobilen Anwendungen.

Empfänger / Dienstleister

Je nach Nutzung unserer mobilen Anwendungen können App-Store-Betreiber, Push-Dienstleister und weitere technische Dienstleister eingebunden sein. Dies betrifft insbesondere die Bereitstellung unserer Apps, den Versand von Push-Benachrichtigungen sowie den technischen Betrieb und die Sicherheit der Anwendungen. Weitere Informationen finden Sie in Kapitel 10 und Kapitel 11.

Speicherdauer

Informationen zur Speicherdauer finden Sie in Kapitel 9.

Pflicht zur Bereitstellung / Folgen der Nichtbereitstellung

Die Bereitstellung technisch und funktional erforderlicher Daten ist notwendig, um die App bereitstellen und nutzen zu können. Ohne diese Daten können einzelne Funktionen eingeschränkt oder nicht verfügbar sein.

7.11 Social Media

Zwecke der Verarbeitung

Wir sind derzeit auf folgenden Plattformen vertreten: Facebook und Instagram (beide betrieben von Meta Platforms Ireland Ltd.) sowie YouTube (betrieben von der Google Ireland Limited). Dort informieren wir über unsere Angebote, Aktionen und Unternehmensneuigkeiten, kommunizieren mit Nutzerinnen und Nutzern und gestalten unsere öffentliche Präsenz im digitalen Raum.

Wenn Sie unsere Social-Media-Auftritte besuchen oder mit uns über soziale Netzwerke interagieren, verarbeiten wir personenbezogene Daten insbesondere zu folgenden Zwecken:

  • Bereitstellung und Pflege unserer Unternehmensprofile,

  • Veröffentlichung von Informationen über unsere Angebote, Aktionen und Unternehmensneuigkeiten,

  • Beantwortung von Kommentaren, Nachrichten und Anfragen,

  • Kommunikation mit Nutzerinnen und Nutzern über die jeweiligen Plattformfunktionen,

  • Moderation von Beiträgen, insbesondere zur Verhinderung rechtswidriger, missbräuchlicher oder unangemessener Inhalte,

  • Auswertung aggregierter Reichweiten- und Interaktionsstatistiken, soweit uns diese von den Plattformbetreibern bereitgestellt werden,

  • Wahrnehmung unserer Rechte und Abwehr von Missbrauch oder rechtswidrigen Handlungen.

Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten im Zusammenhang mit unseren Social-Media-Auftritten erfolgt grundsätzlich auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt darin, über unsere Angebote und unser Unternehmen zu informieren, mit Nutzerinnen und Nutzern zu kommunizieren, unsere Social-Media-Auftritte zu pflegen, rechtswidrige oder missbräuchliche Inhalte zu moderieren, die Reichweite unserer Kommunikation zu verstehen und unsere Rechte zu wahren. Ihre Interessen haben wir berücksichtigt: Die Nutzung unserer Social-Media-Auftritte ist freiwillig. Wir erhalten von den Plattformbetreibern in der Regel nur aggregierte Statistiken und keine vollständigen Nutzungsprofile einzelner Personen. Sie können uns auch ohne soziale Netzwerke erreichen.

Soweit Sie über soziale Netzwerke mit uns Kontakt aufnehmen und Ihre Anfrage auf den Abschluss oder die Durchführung eines Vertrags gerichtet ist, kann die Verarbeitung zusätzlich auf Art. 6 Abs. 1 lit. b DSGVO gestützt sein.

Soweit für einzelne Verarbeitungen eine Einwilligung erforderlich ist, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO.

Verarbeitete Datenarten

Je nach Nutzung und Interaktion können insbesondere folgende Daten verarbeitet werden:

  • öffentlich sichtbare Profilinformationen,

  • von Ihnen veröffentlichte Kommentare, Beiträge, Bewertungen oder Reaktionen,

  • von Ihnen an uns gesendete Nachrichten und Kommunikationsinhalte,

  • Interaktionsdaten, etwa Likes, geteilte Inhalte, Markierungen oder sonstige Reaktionen,

  • Nutzungs- und Reichweitendaten, soweit uns diese von den Plattformbetreibern bereitgestellt werden,

  • technische Informationen und Nutzungsdaten, die durch den jeweiligen Plattformbetreiber verarbeitet werden.

Wir erhalten von den Plattformbetreibern in der Regel keine vollständigen Nutzungsprofile einzelner Personen, sondern insbesondere aggregierte oder statistische Informationen zur Nutzung unserer Auftritte.

Gemeinsame Verantwortlichkeit bei Seiten-Insights

Soweit wir für unsere Facebook- und Instagram-Auftritte sogenannte Seiten-Insights oder vergleichbare Statistiken erhalten, kann hierfür eine gemeinsame Verantwortlichkeit mit Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Irland, nach Art. 26 DSGVO bestehen.

Seiten-Insights sind zusammengefasste Statistiken, die uns Informationen darüber geben können, wie Personen mit unseren Social-Media-Auftritten und den dort veröffentlichten Inhalten interagieren. Hierzu können beispielsweise Angaben zu Reichweite, Aufrufen, Interaktionen oder demografischen Merkmalen in aggregierter Form gehören.

Für die Verarbeitung von Insights-Daten stellt Meta eine Vereinbarung zur gemeinsamen Verantwortlichkeit bereit, die sogenannte Seiten-Insights-Ergänzung beziehungsweise das Page Insights Controller Addendum. Diese Vereinbarung ist abrufbar unter https://www.facebook.com/legal/terms/page_controller_addendum. Darin ist geregelt, welche datenschutzrechtlichen Pflichten Meta und der jeweilige Seitenbetreiber im Zusammenhang mit Insights-Daten übernehmen.

Meta übernimmt nach dieser Vereinbarung wesentliche Pflichten im Zusammenhang mit der Verarbeitung von Insights-Daten, insbesondere hinsichtlich der Wahrnehmung von Betroffenenrechten und der Bereitstellung von Informationen zur Datenverarbeitung. Unabhängig davon können Sie Ihre Betroffenenrechte sowohl gegenüber uns als auch gegenüber Meta geltend machen.

Weitere Informationen zur Verarbeitung personenbezogener Daten durch Meta finden Sie in der Datenschutzrichtlinie von Meta unter https://www.facebook.com/privacy/policy/.

Betroffene Personengruppen

Betroffen sind Besucherinnen und Besucher unserer Social-Media-Auftritte sowie Personen, die mit uns oder unseren Inhalten über soziale Netzwerke interagieren oder über diese Plattformen mit uns kommunizieren.

Empfänger / Dienstleister

Empfänger personenbezogener Daten können insbesondere die Betreiber der jeweiligen sozialen Netzwerke sein. Diese verarbeiten personenbezogene Daten im Rahmen der Bereitstellung ihrer Plattformen grundsätzlich in eigener datenschutzrechtlicher Verantwortung.

Bei YouTube ist dies die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Statistiken, die uns YouTube zu unserem Kanal bereitstellt, sind aggregiert und lassen keinen Rückschluss auf einzelne Personen zu.

Bei Facebook und Instagram ist dies insbesondere Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Irland.

Soweit eine gemeinsame Verantwortlichkeit für Seiten-Insights oder vergleichbare Statistikfunktionen besteht, richtet sich die Verarbeitung nach der hierfür bereitgestellten Vereinbarung zur gemeinsamen Verantwortlichkeit.

Weitere Informationen zu eingebundenen Dienstleistern und Empfängern finden Sie in Kapitel 10.

Speicherdauer

Informationen zur Speicherdauer finden Sie in Kapitel 9. Im Übrigen richtet sich die Speicherdauer auch nach den Vorgaben und Einstellungen der jeweiligen Plattformbetreiber.

Von uns selbst verarbeitete Kommunikationsinhalte, etwa Direktnachrichten oder Anfragen über soziale Netzwerke, speichern wir nur so lange, wie dies zur Bearbeitung des jeweiligen Anliegens erforderlich ist, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

Pflicht zur Bereitstellung / Folgen der Nichtbereitstellung

Die Nutzung unserer Social-Media-Auftritte ist freiwillig. Wenn Sie mit uns über soziale Netzwerke kommunizieren oder mit unseren Inhalten interagieren möchten, ist die Bereitstellung der hierfür erforderlichen Daten notwendig.

Sie können uns auch über andere in dieser Datenschutzerklärung genannte Kontaktwege erreichen, ohne soziale Netzwerke zu nutzen.

7.12 Meldewesen

Wir betreiben zwei getrennte Meldewege: ein Hinweisgebersystem für Hinweise auf Rechts- und Regelverstöße sowie einen Responsible-Disclosure-Kanal für Meldungen technischer Schwachstellen.

7.12.1 Hinweisgebersystem

Zwecke der Verarbeitung

Über unser Hinweisgebersystem nehmen wir Hinweise auf Rechts- und Regelverstöße entgegen, prüfen und klären die gemeldeten Sachverhalte auf, ergreifen erforderliche Folgemaßnahmen und dokumentieren das Verfahren entsprechend den gesetzlichen Vorgaben.

Verfahren

Hinweise können Sie über den Dienst Hinweis.de über eine verschlüsselte Verbindung abgeben – auf Wunsch anonym. Alternativ steht der Postweg zur Verfügung (LOTTO Schleswig-Holstein GmbH & Co. KG, Hinweisgebermanagement, Postfach 3446, 24033 Kiel). Aus rechtlichen Gründen können Hinweise nach dem Hinweisgeberschutzgesetz nicht per E-Mail entgegengenommen werden.

Rechtsgrundlagen

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit den Vorgaben des Hinweisgeberschutzgesetzes (HinSchG) zur Einrichtung und zum Betrieb einer internen Meldestelle. Soweit ein Hinweis besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) enthält, verarbeiten wir diese, soweit für die Bearbeitung erforderlich, auf Grundlage von Art. 9 Abs. 2 lit. g DSGVO in Verbindung mit § 10 HinSchG.

Verarbeitete Datenarten

Inhalt des Hinweises; soweit Sie nicht anonym bleiben, Ihre Identitäts- und Kontaktdaten; Angaben zu von einem Hinweis betroffenen Personen sowie zu weiteren genannten Personen; die im Rahmen der Bearbeitung anfallende Kommunikation und Dokumentation.

Vertraulichkeit

Die Identität der hinweisgebenden Person sowie der von einem Hinweis betroffenen Personen behandeln wir vertraulich (§ 8 HinSchG). Der Zugriff ist auf die für die Bearbeitung zuständigen Personen beschränkt.

Betroffene Personengruppen. Hinweisgebende Personen, von einem Hinweis betroffene Personen sowie weitere im Hinweis genannte Personen.

Empfänger / Dienstleister

Für den Betrieb des Hinweisgebersystems setzen wir den Dienst Hinweis.de der digitalNORD GmbH als Auftragsverarbeiter ein. Eine Weitergabe an interne oder externe Stellen erfolgt nur, soweit dies zur Aufklärung und Bearbeitung erforderlich oder gesetzlich vorgesehen ist.

Speicherdauer

Die Dokumentation eines Hinweises löschen wir drei Jahre nach Abschluss des Verfahrens, sofern keine längere Aufbewahrung erforderlich und verhältnismäßig ist (§ 11 Abs. 5 HinSchG).

Pflicht zur Bereitstellung

Die Nutzung des Hinweisgebersystems ist freiwillig. Sie können einen Hinweis auch anonym abgeben; in diesem Fall sind Rückfragen nur über das System möglich.

7.12.2 Responsible Disclosure

Zwecke der Verarbeitung

Über unseren Responsible-Disclosure-Kanal nehmen wir Hinweise auf Schwachstellen oder technische Probleme unserer Internetseite oder unseres Online-Spielangebots entgegen, prüfen diese und beheben gemeldete Schwachstellen.

Verfahren

Sie können uns Schwachstellen per E-Mail an responsible.disclosure@lotto-sh.de melden, auf Wunsch verschlüsselt mit unserem Public Key, oder auf dem Postweg (LOTTO Schleswig-Holstein GmbH & Co. KG, Responsible Disclosure, Postfach 3446, 24033 Kiel).

Rechtsgrundlagen

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Sicherheit und Funktionsfähigkeit unserer Systeme sowie in der Erkennung und Behebung von Schwachstellen.

Verarbeitete Datenarten

Inhalt Ihrer Meldung; soweit Sie diese angeben, Ihre Kontaktdaten (z. B. E-Mail-Adresse); die im Rahmen der Bearbeitung anfallende Kommunikation.

Betroffene Personengruppen

Personen, die uns technische Schwachstellen melden.

Speicherdauer

Wir speichern die Meldung und die zugehörige Kommunikation so lange, wie dies für die Bearbeitung und Behebung der Schwachstelle sowie zu deren Dokumentation erforderlich ist.

Pflicht zur Bereitstellung

Die Meldung ist freiwillig. Ohne Kontaktdaten können wir Ihnen jedoch keine Rückmeldung geben.

8 Cookies und vergleichbare Technologien

8.1 Allgemeines

Wir verwenden auf unserer Website und in unseren digitalen Angeboten Cookies und vergleichbare Technologien. Dabei handelt es sich um kleine Textdateien oder technische Informationen, die auf Ihrem Endgerät gespeichert oder ausgelesen werden. Sie dienen dazu, bestimmte Funktionen bereitzustellen, die Nutzung unserer Angebote zu analysieren, Inhalte und Funktionen nutzerfreundlicher zu gestalten oder die Reichweite und Wirksamkeit unserer Angebote zu messen.

Eine aktuelle Übersicht der von uns eingesetzten Cookies und vergleichbaren Technologien einschließlich Anbieter, Zweck, Kategorie, Rechtsgrundlage, Speicherdauer und etwaiger Drittlandübermittlungen finden Sie jederzeit in unseren Cookie- und Datenschutzeinstellungen. Dort können Sie auch Ihre Einwilligungen erteilen, ändern oder widerrufen. [URL einfügen]

8.2 Technisch erforderliche Cookies

Technisch erforderliche Cookies und vergleichbare Technologien sind notwendig, damit unsere Website und unsere digitalen Angebote ordnungsgemäß funktionieren. Dazu gehören insbesondere Funktionen zur Seitennavigation, zur Sicherheit und Stabilität unserer Systeme, zur Speicherung Ihrer Cookie-Einstellungen sowie zur Bereitstellung angeforderter Inhalte und Dienste.

Hierzu setzen wir die Usercentrics GmbH ein, um Ihre Einwilligungen und Datenschutzeinstellungen zu verwalten.

Zum Schutz unserer Formulare vor Missbrauch und automatisierten Angriffen setzen wir – soweit entsprechende Formulare bereitgestellt werden – die Friendly Captcha GmbH ein. Dabei werden Ihre IP-Adresse sowie technische Informationen zu Ihrer Anfrage (z. B. Browser- und Geräteinformationen) verarbeitet, um über einen kryptografischen Rechentest (Proof-of-Work) zwischen menschlichen Nutzern und automatisierten Zugriffen zu unterscheiden. Friendly Captcha setzt dabei keine Cookies ein und führt kein Nutzertracking durch. Die Abfrage erfolgt über einen global bereitgestellten Dienst; abhängig von Ihrem Standort kann die Anfrage einschließlich Ihrer IP-Adresse dabei auch außerhalb der EU verarbeitet werden. Informationen zu Übermittlungen in Drittländer finden Sie in Kapitel 11.

Ohne diese Technologien können einzelne Funktionen unserer Website oder unserer digitalen Angebote nicht oder nicht ordnungsgemäß bereitgestellt werden.

8.3 Statistik- und Analyse-Cookies

Soweit Sie eingewilligt haben, verwenden wir Statistik- und Analyse-Technologien, um die Nutzung unserer Website und unserer digitalen Angebote auszuwerten und unser Angebot weiterzuentwickeln. Dabei können insbesondere Informationen über die Nutzung einzelner Seiten, Funktionen und Inhalte verarbeitet werden.

Hierfür setzen wir die etracker GmbH ein, um die Nutzung unserer Website zu analysieren und Inhalte sowie Funktionen weiter zu verbessern.

8.4 Marketing- und Komfortfunktionen

Soweit Sie eingewilligt haben, verwenden wir Cookies und vergleichbare Technologien auch für Marketing- und Komfortfunktionen. Diese können dazu dienen, Inhalte und Funktionen nutzerfreundlicher zu gestalten, Reichweiten zu messen oder die Wirksamkeit von Kampagnen zu bewerten.

Wir setzen Dienste der Meta Platforms Ireland Ltd. ein, um die Reichweite unserer Online-Angebote und die Wirksamkeit von Kampagnen zu messen.

Auf einzelnen Seiten binden wir Erklärvideos ein, die das Spielangebot erläutern. Diese Videos werden über den Dienst YouTube bereitgestellt, der von der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, betrieben wird. Die Videos sind standardmäßig deaktiviert. Erst wenn Sie ein Video aktiv starten, wird eine Verbindung zu den Servern von YouTube hergestellt. Dabei kann YouTube Informationen über Ihr Endgerät und Ihre Nutzung verarbeiten, einschließlich Ihrer IP-Adresse, und gegebenenfalls Cookies oder vergleichbare Technologien einsetzen. Sind Sie zugleich bei einem Google- oder YouTube-Konto angemeldet, kann YouTube den Videoaufruf Ihrem Konto zuordnen. Die Einbindung erfolgt nur, wenn Sie eingewilligt haben. Wir binden die Videos im erweiterten Datenschutzmodus von YouTube ein. Dabei setzt YouTube nach eigenen Angaben erst dann Cookies, wenn Sie ein Video abspielen.

8.5 Rechtsgrundlagen

Technisch erforderliche Cookies und vergleichbare Technologien verwenden wir auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO, soweit dies zur Bereitstellung unserer Website und der von Ihnen ausdrücklich gewünschten Funktionen erforderlich ist. Soweit hierfür ein Zugriff auf Informationen in Ihrem Endgerät oder eine Speicherung von Informationen auf Ihrem Endgerät erfolgt, richtet sich dies ergänzend nach § 25 Abs. 2 TDDDG. Unser berechtigtes Interesse liegt in der technisch fehlerfreien, sicheren und nutzerfreundlichen Bereitstellung unserer Website und digitalen Angebote sowie in der Verwaltung Ihrer Cookie- und Datenschutzeinstellungen. Ihre Interessen haben wir berücksichtigt: Technisch erforderliche Cookies sind auf das Notwendige beschränkt und ermöglichen erst die von Ihnen gewünschte Nutzung der Website. Alle weiteren Cookies setzen wir nur mit Ihrer Einwilligung ein.

Statistik-, Analyse-, Marketing- und Komforttechnologien setzen wir nur ein, wenn Sie uns hierzu Ihre Einwilligung erteilt haben. Die Verarbeitung personenbezogener Daten erfolgt in diesen Fällen auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO. Soweit hierfür ein Zugriff auf Informationen in Ihrem Endgerät oder eine Speicherung von Informationen auf Ihrem Endgerät erfolgt, richtet sich dies ergänzend nach § 25 Abs. 1 TDDDG.

8.6 Speicherdauer

Die Speicherdauer von Cookies und vergleichbaren Technologien hängt von ihrer jeweiligen Funktion ab. Einige werden nur für die Dauer Ihres Besuchs gespeichert und nach dem Schließen des Browsers gelöscht. Andere bleiben für einen längeren Zeitraum auf Ihrem Endgerät gespeichert, bis sie gelöscht werden oder ihre Gültigkeit abläuft.

Einzelheiten zu den konkret eingesetzten Cookies, vergleichbaren Technologien und deren Speicherdauer finden Sie in unserem Datenschutz- bzw. Cookie-Präferenzcenter.

8.7 Cookie-Einstellungen / Widerruf

Ihre Einwilligungen und Einstellungen können Sie jederzeit über unser Datenschutz- bzw. Cookie-Präferenzcenter anpassen oder mit Wirkung für die Zukunft widerrufen.

Dort finden Sie auch weitere Informationen zu den konkret eingesetzten Cookies, vergleichbaren Technologien, Anbietern und Speicherdauern.

9 Speicherdauer und Löschung

9.1 Allgemeine Grundsätze

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke der Verarbeitung erforderlich ist. Sobald der Zweck der Verarbeitung entfällt, löschen wir die Daten, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

Eine längere Speicherung kann insbesondere erforderlich sein, wenn gesetzliche Pflichten aus dem Handels- oder Steuerrecht bestehen oder wenn Daten noch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt werden.

Soweit eine sofortige Löschung im Einzelfall nicht möglich oder nicht zulässig ist, schränken wir die Verarbeitung der betroffenen Daten ein und löschen sie, sobald die gesetzlichen oder sachlichen Gründe für die weitere Speicherung entfallen.

9.2 Konkrete Speicherfristen nach Verarbeitungskategorien

Spielteilnahme / Spiel- und Transaktionsdaten
Daten zur Spielteilnahme, zu Spielaufträgen, Gewinnen, Einsätzen, Kontobewegungen sowie zu limit- und aktivitätsbezogenen Vorgängen speichern wir grundsätzlich für die Dauer des Vertragsverhältnisses. Soweit gesetzliche Aufbewahrungs- oder Nachweispflichten bestehen, erfolgt eine darüber hinausgehende Speicherung für die jeweils gesetzlich vorgeschriebene Dauer.

Buchhaltung / Abrechnung / steuerrelevante Daten
Buchungsbelege, Rechnungen und vergleichbare abrechnungsbezogene Unterlagen speichern wir grundsätzlich 8 Jahre. Die Frist beginnt jeweils mit Ablauf des Kalenderjahres, in dem die Unterlage entstanden ist oder die letzte Eintragung erfolgt ist. Eine längere Aufbewahrung kann erforderlich sein, wenn Unterlagen für laufende steuerliche oder rechtliche Verfahren weiterhin benötigt werden.

Kundenkonto / Stammdaten
Daten des Kundenkontos und zugehörige Stammdaten speichern wir grundsätzlich für die Dauer des Vertragsverhältnisses. Nach Beendigung des Vertragsverhältnisses löschen wir diese Daten, sobald sie für die Durchführung des Vertrags nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.

Identitäts- und Verifizierungsdaten
Daten aus Alters-, Identitäts- und Verifizierungsverfahren speichern wir grundsätzlich nur so lange, wie dies für den jeweiligen Nachweis- und Prüfzweck erforderlich ist. Soweit solche Daten Bestandteil gesetzlich aufbewahrungspflichtiger Unterlagen sind, richtet sich die Speicherdauer nach den jeweils einschlägigen gesetzlichen Vorgaben.

Kommunikationsdaten
Daten aus Kontaktanfragen, E-Mail-Kommunikation, telefonischen Kundenanliegen, dem KI‑gestützten Telefon-Kundenservice sowie sonstigen Kommunikationsprozessen speichern wir grundsätzlich nur so lange, wie dies zur Bearbeitung und Dokumentation des jeweiligen Anliegens erforderlich ist.

Gesprächsnotizen, automatisch erzeugte Zusammenfassungen oder Transkripte aus dem KI‑gestützten Telefon-Kundenservice speichern wir nur so lange, wie dies für die Bearbeitung und Nachverfolgung des jeweiligen Servicevorgangs erforderlich ist.

Soweit Kommunikationsdaten einem Kundenkonto, einer Beschwerde, einem Gewinn-, Zahlungs-, Sperr- oder sonstigen rechtlich relevanten Vorgang zugeordnet werden, richtet sich die Speicherdauer nach den für diesen Vorgang geltenden Speicherfristen.

Nicht weiter zugeordnete Chatverläufe, Gesprächszusammenfassungen oder vergleichbare Kommunikationsverläufe löschen wir grundsätzlich nach 30 Tagen, sofern keine längere Speicherung aus rechtlichen, vertraglichen oder organisatorischen Gründen erforderlich ist.

Log-, Sicherheits- und Missbrauchsdaten
Server-Logdaten speichern wir grundsätzlich 12 Tage. Sicherheits- und Missbrauchsdaten speichern wir nur so lange, wie dies zur Gewährleistung des sicheren Betriebs, zur Fehleranalyse oder zur Abwehr von Missbrauch erforderlich ist. Soweit solche Daten zur Aufklärung konkreter Sicherheitsvorfälle benötigt werden, kann eine längere Speicherung erforderlich sein.

Einwilligungs- und Präferenzdaten
Daten zu erteilten Einwilligungen, Widerrufen sowie Cookie- und Datenschutzeinstellungen speichern wir, soweit dies zur Nachweisbarkeit und Verwaltung der jeweiligen Erklärung erforderlich ist. Cookie- und Consent-Einstellungen können je nach eingesetztem Tool für einen begrenzten Zeitraum auf dem Endgerät gespeichert werden. Nachweisdaten zu erteilten Einwilligungen speichern wir grundsätzlich 6 Jahre; Daten zu Widerrufen grundsätzlich 3 Jahre, soweit keine längere Aufbewahrung erforderlich ist.

Sanktionslistenprüfung
Nachweise über durchgeführte Prüfungen speichern wir 12 Monate.

Hinweisgebersystem
Daten und Nachweise speichern wir 3 Jahre nach Abschluss des Verfahrens (§ 11 Abs. 5 HinSchG)

10 Empfänger von Daten und eingesetzte Dienstleister

10.1 Allgemeine Kategorien von Empfängern

Wir geben personenbezogene Daten nur weiter, wenn dies für die Erfüllung unserer Aufgaben, zur Durchführung unserer Leistungen, zur Erfüllung gesetzlicher Pflichten oder auf Grundlage einer Einwilligung erforderlich ist.

Empfänger können insbesondere interne Fachbereiche, technische Dienstleister, Zahlungsdienstleister, Identitäts- und Verifizierungsdienstleister, Anbieter von Kommunikations- und Marketingdiensten sowie gesetzlich vorgesehene Empfänger oder öffentliche Stellen sein.

10.2 Auftragsverarbeiter

Soweit wir externe Dienstleister einsetzen, die personenbezogene Daten in unserem Auftrag und nach unseren Weisungen verarbeiten, handelt es sich um Auftragsverarbeiter nach Art. 28 DSGVO.

Diese Dienstleister werden von uns sorgfältig ausgewählt, vertraglich gebunden und nur im Rahmen der jeweils erforderlichen Verarbeitung eingesetzt.

Eine namentliche Übersicht der von uns eingesetzten Dienstleister finden Sie in Kapitel 10.4.

10.3 Eigenständig Verantwortliche

Soweit personenbezogene Daten an Stellen übermittelt werden, die die Verarbeitung in eigener datenschutzrechtlicher Verantwortung durchführen, handelt es sich nicht um Auftragsverarbeiter.

Dies betrifft insbesondere gesetzlich vorgesehene Empfänger, Zahlungsdienstleister, Plattformanbieter oder sonstige Stellen, die eigenständig über Zwecke und Mittel der Verarbeitung entscheiden.

Eine namentliche Übersicht der von uns eingesetzten Dienstleister und Empfänger finden Sie in Kapitel 10.4.

10.4 Namentliche Dienstleisterliste

Nachfolgend sind externe Stellen aufgeführt, die LOTTO Schleswig-Holstein im Rahmen der Datenverarbeitung einsetzt oder an die personenbezogene Daten – je nach Nutzungskontext – übermittelt werden können. Dabei kann es sich insbesondere um Auftragsverarbeiter, eigenständig Verantwortliche oder gesetzlich vorgesehene Empfänger handeln.

Die Beschreibungen dienen der allgemeinen Information und stellen keine abschließende oder vollständige Darstellung der jeweiligen Verarbeitungsvorgänge dar. Ob und in welchem Umfang personenbezogene Daten verarbeitet werden, hängt vom jeweiligen Nutzungskontext ab (z. B. Spielteilnahme, App-Nutzung, Zahlungsabwicklung). Weitere Informationen zu den jeweiligen Verarbeitungsvorgängen, Datenarten, Rechtsgrundlagen und Empfängern finden Sie in den Verarbeitungsszenarien in Kapitel 7.

Amazon Web Services EMEA SARL
38 Avenue John F. Kennedy, L-1855 Luxembourg
Zweck: System-E-Mails (AWS SES)
Beschreibung: Versand von Service- und System-E-Mails (z. B. Registrierungsbestätigungen, Passwort-Zurücksetzungen, Sicherheitsinformationen und vertragsbezogene Benachrichtigungen).

Apple
Hollyhill Industrial Estate Hollyhill Ln Knocknaheeney, Cork, Irland
Zweck: App-Bereitstellung
Beschreibung: Bereitstellung unserer App über den Apple App Store. Beim Download gelten zusätzlich die Datenschutzbestimmungen von Apple.

Bex Components AG
Gartenstraße 97, 73430 Aalen
Zweck: Sanktionslistenprüfung
Beschreibung: Bereitstellung, Wartung und Support der Software für den Abgleich mit Sanktionslisten. Die Software wird auf unseren eigenen Systemen betrieben.

Commerzbank AG
Kaiserplatz, 60261 Frankfurt am Main
Zweck: Zahlungsverkehr
Beschreibung: Ausführung von SEPA-Lastschriften, Überweisungen sowie Testüberweisung zur Kontobestätigung.

Commerz Globalpay GmbH
Cäcilienkloster 2-10, 50676 Köln
Zweck: Zahlungsabwicklung
Beschreibung: Abwicklung von Zahlungen per Kreditkarte, Apple Pay und Google Pay.

Deutsche Post AG
Charles-de-Gaulle-Straße 20, 53113 Bonn
Zweck: Identitätsprüfung
Beschreibung: Prüfung Ihrer Identität in einer Postfiliale durch Vorlage eines Ausweisdokuments.

digitalNORD GmbH
Zeppelinring 35a, 24146 Kiel
Zweck: Hinweisgebersystem
Beschreibung: Betrieb unseres Hinweisgebersystems zur verschlüsselten und anonymen Entgegennahme von Hinweisen.

etracker GmbH
Erste Brunnenstraße 1, 20459 Hamburg
Zweck: Webanalyse
Beschreibung: Analyse der Nutzung unserer Website zur Verbesserung von Inhalten und Funktionen.

Friendly Captcha GmbH
Am Anger 3-5, 82237 Wörthsee
Zweck: Schutz vor Missbrauch
Beschreibung: Schutz vor automatisierten Angriffen und Spam.

Google Ireland Limited
Gordon House, Barrow Street, Dublin 4, Ireland
Zweck: App-Bereitstellung
Beschreibung: Bereitstellung unserer App über den Google Play Store unter Einhaltung der Google-Datenschutzbestimmungen.

Google Ireland Limited
Gordon House, Barrow Street, Dublin 4, Ireland
Zweck: Push-Nachrichten
Beschreibung: Versand von Push-Benachrichtigungen nach Einwilligung.

Google Ireland Limited
Gordon House, Barrow Street, Dublin 4, Ireland
Zweck: Videos / YouTube
Beschreibung: Eingebettete Videos und Betrieb eines YouTube-Kanals (nur nach Einwilligung).

KSP Kanzlei Dr. Seegers, Dr. Frankenheim Rechtsanwaltsgesellschaft mbH
Kaiser Wilhelm Straße 40, 20355 Hamburg
Zweck: Forderungsmanagement
Beschreibung: Durchführung anwaltlicher Mahn- und Inkassoverfahren.

LUGAS
Gemeinsame Glücksspielbehörde der Länder (AöR), Hansering 15, 06108 Halle (Saale)
Zweck: Spielerschutz
Beschreibung: Überprüfung gesetzlicher Spiel- und Einzahlungslimits.

Meta Platforms Ireland Ltd.
4 Grand Canal Square, Dublin 2, Irland
Zweck: Online-Werbung
Beschreibung: Reichweitenmessung und Kampagnenoptimierung (nur nach Einwilligung).

Microsoft Ireland Operations Limited
One Microsoft Place, South County Business Park, Dublin D18 P521, Ireland
Zweck: Newsletter-Versand
Beschreibung: Versand von Newslettern per E-Mail (nur nach Einwilligung).

Microsoft Ireland Operations Limited
One Microsoft Place, South County Business Park, Dublin D18 P521, Ireland
Zweck: CRM/Kundenmanagement
Beschreibung: Verwaltung von Kunden- und Kommunikationsdaten in Microsoft Dynamics 365.

NetSlave GmbH (cKonto)
Simon-Dach-Straße 12, 10245 Berlin
Zweck: Prüfung von Bankverbindungen
Beschreibung: Prüfung von IBAN und Bankverbindungen zur Vermeidung von Fehlüberweisungen.

Okta Inc.
100 1st Street, San Francisco, CA 94105, USA
Zweck: Nutzerkonten
Beschreibung: Verwaltung von Benutzerkonten und sicheren Anmeldeverfahren (z. B. 2FA).

PayPal Europe Services Limited
Ballycoolin Business Park, Dublin 15, Irland
Zweck: Zahlungsabwicklung
Beschreibung: Abwicklung von Zahlungen über PayPal.

OASIS
Regierungspräsidium Darmstadt, Wilhelminenstr. 1-3, 64283 Darmstadt
Zweck: Spielerschutz
Beschreibung: Abgleich mit der bundesweiten Sperrdatei.

SCHUFA Holding AG
Kormoranweg 5, 65201 Wiesbaden
Zweck: Identitäts-, Alters- und Kontoprüfung
Beschreibung: Prüfung von Identität, Alter und Bankverbindung.

telli technologies GmbH
Knaackstraße 78, 10435 Berlin
Zweck: KI-Telefonservice
Beschreibung: Automatisierter telefonischer Kundenservice außerhalb der Geschäftszeiten.

Usercentrics GmbH
Sendlinger Straße 7, 80331 München
Zweck: Einwilligungsverwaltung
Beschreibung: Verwaltung von Cookie- und Datenschutzeinstellungen.

Vercel Inc.
440 N Barranca Avenue #4133, Covina, CA 91723, United States
Zweck: Hosting / Auslieferung der Website
Beschreibung: Hosting unserer Website und Auslieferung über ein globales Content-Delivery-Netzwerk.

WebID Solutions GmbH
Unter den Linden 10, 10117 Berlin
Zweck: Online-Identitätsprüfung
Beschreibung: Identitätsprüfung via TrueID, AutoID, eID und VideoID.

11 Datenübermittlungen in Drittländer

Wir verarbeiten personenbezogene Daten grundsätzlich in Deutschland, in der Europäischen Union oder im Europäischen Wirtschaftsraum (EWR).

Bei einzelnen Dienstleistern kann es zu einer Übermittlung personenbezogener Daten in die USA kommen oder ein Zugriff aus den USA möglich sein – zum Beispiel im Supportfall. Für diese Fälle gilt:

Okta Inc. (Verwaltung von Benutzerkonten und sicheren Anmeldeverfahren): Okta ist nach dem EU-US Data Privacy Framework zertifiziert. Die Übermittlung stützen wir auf den Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO).

Vercel Inc. (Hosting und Auslieferung unserer Website): Vercel ist nach dem EU-US Data Privacy Framework zertifiziert. Die Übermittlung stützen wir auf den Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO); ergänzend hat Vercel mit uns die Standardvertragsklauseln der Europäischen Kommission vereinbart (Art. 46 Abs. 2 lit. c DSGVO).

Amazon Web Services, Google, Meta und Microsoft: Unsere Vertragspartner sind europäische Konzerngesellschaften dieser Anbieter. Kommt es im Einzelfall zu einem Zugriff aus den USA, sind die jeweiligen US-Muttergesellschaften nach dem EU-US Data Privacy Framework zertifiziert. Ergänzend haben wir mit diesen Anbietern die Standardvertragsklauseln der Europäischen Kommission vereinbart (Art. 46 Abs. 2 lit. c DSGVO).

Die Liste der nach dem EU-US Data Privacy Framework zertifizierten Unternehmen ist öffentlich einsehbar unter www.dataprivacyframework.gov.

Apple und PayPal verarbeiten personenbezogene Daten in eigener datenschutzrechtlicher Verantwortung. Für ihre konzerninternen Übermittlungen in die USA setzen diese Anbieter eigene Garantien ein, insbesondere Standardvertragsklauseln. Näheres erläutern die Anbieter in ihren eigenen Datenschutzhinweisen.

Friendly Captcha (Schutz unserer Formulare vor automatisierten Angriffen): Den Captcha-Dienst beziehen wir über die Friendly Captcha GmbH mit Sitz in Deutschland. Der Dienst wird über ein global verteiltes Netzwerk bereitgestellt; abhängig vom Standort der Nutzerin oder des Nutzers kann dabei die IP-Adresse auch außerhalb der EU bzw. des EWR verarbeitet werden. Soweit eine solche Übermittlung erfolgt, ist sie durch die mit Friendly Captcha vereinbarten Standardvertragsklauseln der Europäischen Kommission abgesichert (Art. 46 Abs. 2 lit. c DSGVO).

In andere Länder außerhalb der EU und des EWR übermitteln wir personenbezogene Daten nur, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Das bedeutet: Es liegt ein Angemessenheitsbeschluss der Europäischen Kommission vor (Art. 45 DSGVO) oder wir vereinbaren geeignete Garantien, insbesondere die Standardvertragsklauseln der Europäischen Kommission (Art. 46 DSGVO).

Setzen wir Standardvertragsklauseln ein, prüfen wir zusätzlich, ob weitere technische oder organisatorische Schutzmaßnahmen erforderlich sind, und ergreifen diese bei Bedarf.

Eine Kopie der Standardvertragsklauseln erhalten Sie auf Anfrage bei uns oder unserem Datenschutzbeauftragten. Einzelne Vertragsanlagen können dabei geschwärzt sein, soweit sie Geschäftsgeheimnisse oder schutzwürdige Informationen enthalten.

Weitere Informationen zu den von uns eingesetzten Dienstleistern und Empfängern finden Sie in Kapitel 10.

12 Automatisierte Entscheidungen und Profiling

Eine ausschließlich automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt, findet nicht statt.

Dies gilt insbesondere für Entscheidungen über Spielteilnahme, Gewinne, Auszahlungen, Sperren, Limits, Beschwerden oder sonstige rechtlich erhebliche Anliegen. Solche Entscheidungen werden nicht ausschließlich automatisiert getroffen.

Soweit wir automatisierte Prüfungen oder Abgleiche einsetzen, etwa zur Identitäts- und Altersprüfung, zur Authentifizierung, zur Sicherheit, zur Missbrauchsverhinderung oder zur Einhaltung gesetzlicher Vorgaben aus dem Glücksspielrecht, dienen diese der Vorbereitung, Unterstützung oder Durchführung der jeweiligen Verarbeitung. Eine abschließende rechtlich erhebliche Entscheidung erfolgt dabei nicht ausschließlich automatisiert.

13 Datensicherheit

Wir treffen technische und organisatorische Maßnahmen, um Ihre personenbezogenen Daten vor Verlust, Veränderung, unberechtigtem Zugriff und sonstigem Missbrauch zu schützen.

Dazu gehören insbesondere Maßnahmen zum Schutz des Zugriffs auf unsere Systeme, zur Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten sowie der Einsatz von Verschlüsselung, soweit dies erforderlich ist.

Unsere Sicherheitsmaßnahmen werden regelmäßig überprüft und an die technische Entwicklung angepasst.

14 Rechte der betroffenen Personen

14.1 Allgemein

Soweit wir Ihre personenbezogenen Daten verarbeiten, haben Sie im Rahmen der gesetzlichen Voraussetzungen folgende Rechte:

  • Recht auf Auskunft über die von uns verarbeiteten Daten

  • Recht auf Berichtigung unrichtiger oder unvollständiger Daten

  • Recht auf Löschung Ihrer Daten

  • Recht auf Einschränkung der Verarbeitung

  • Recht auf Datenübertragbarkeit

  • Recht auf Widerspruch gegen die Verarbeitung

  • Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft

  • Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde

Wenn Sie eines dieser Rechte geltend machen möchten, können Sie sich jederzeit an uns oder an unseren Datenschutzbeauftragten wenden – formlos per E-Mail an datenschutz@lotto-sh.de, per Post an LOTTO Schleswig-Holstein GmbH & Co. KG, Datenschutzbeauftragter, Fleethörn 35, 24103 Kiel, oder über unser Kontaktformular.

Um Ihre Daten zu schützen, können wir zusätzliche Informationen anfordern, um Ihre Identität zu bestätigen (Art. 12 Abs. 6 DSGVO). Wir beantworten Ihre Anfrage in der Regel innerhalb eines Monats. Ist Ihr Anliegen besonders komplex oder liegen mehrere Anfragen vor, kann sich diese Frist um bis zu zwei weitere Monate verlängern; in diesem Fall informieren wir Sie darüber (Art. 12 Abs. 3 DSGVO).

Informationen zum Beschwerderecht bei einer Datenschutzaufsichtsbehörde finden Sie in Kapitel 15.

Soweit eine Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der Verarbeitung, die bis zum Widerruf aufgrund der Einwilligung erfolgt ist, bleibt vom Widerruf unberührt.

14.2 Einschränkungen aufgrund gesetzlicher Pflichten

In bestimmten Fällen können Ihre Rechte eingeschränkt sein. Das gilt insbesondere dann, wenn wir personenbezogene Daten aufgrund gesetzlicher Vorgaben verarbeiten oder aufbewahren müssen. Solche Pflichten können sich zum Beispiel aus dem Handelsgesetzbuch, der Abgabenordnung, aus Anforderungen des Spielerschutzes und aus gesetzlichen Vorgaben des Glücksspielrechts ergeben.

14.3 Widerspruchsrecht nach Art. 21 DSGVO

Wenn wir personenbezogene Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeiten, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen diese Verarbeitung Widerspruch einzulegen.

Wir verarbeiten Ihre personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche.

Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zweck derartiger Werbung einzulegen. Dies gilt auch für Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.

Wenn Sie der Verarbeitung für Zwecke der Direktwerbung widersprechen, werden Ihre personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.

15 Beschwerderecht bei der Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen Datenschutzrecht verstößt, können Sie sich bei jeder Datenschutzaufsichtsbehörde beschweren.

Zuständige Aufsichtsbehörde für LOTTO Schleswig-Holstein ist:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Holstenstraße 98

24103 Kiel

Telefon: 0431 988-1200

E-Mail: mail@datenschutzzentrum.de

16 Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich gesetzliche Vorgaben, unsere Online-Angebote oder die Art der Datenverarbeitung ändern. Die jeweils aktuelle Fassung ist auf unserer Website veröffentlicht.

Stand: 22.06.2026