Beim jüngsten Merkur-Datenskandal wurden über 200 GB Kundendaten sichergestellt. Nach ersten Analysen sind mehr als 800.000 Spieler betroffen. Allerdings müssen die Betreiber der Casinos eventuell keine Konsequenzen befürchten. Die umstrittene Bill 55 könnte dafür sorgen, dass die maltesischen Glücksspielanbieter unbehelligt bleiben. Die deutsche Glücksspielregulierung hat an dieser Stelle anscheinend eine erhebliche Lücke.
Datenskandal in Merkur-Casinos: Keine Strafen in Malta?
In jeder anderen Branche würde der sorglose Umgang mit sensiblen Kundendaten nicht nur zu einem öffentlichen Aufschrei, sondern auch zu erheblichen juristischen Konsequenzen führen. Doch in der Glücksspielbranche ist alles ein wenig anders, insbesondere wenn es sich um Online-Casinos mit maltesischer Lizenz handelt.
Die Kundendaten von über 800.000 Spielern standen ungesichert im Netz. Kopien von Personalausweisen, Wohnsitznachweisen, Zahlungsdaten und einiges mehr waren frei verfügbar. Die Hackerin Lilith Wittmann hat diesen Skandal aufgedeckt und die Daten gesichert. Die Gemeinsame Glücksspielbehörde der Länder (GGL) ist längst informiert. Aber was kann die Behörde unternehmen?
Normalerweise müsste von heftigen Geldbußen oder Geldstrafen bis zum Lizenzentzug und Strafverfahren alles auf dem Tisch liegen. Aber die Betreiber der Merkur-Casinos sitzen in Malta. Und Malta ist gewillt, die Glücksspielbranche, die erheblich zum Bruttoinlandsprodukt beiträgt, mit allen Mitteln zu schützen.
Deswegen wurde die Bill 55 geschaffen, die Glücksspielanbieter in Malta vor dem Zugriff ausländischer Behörden geschützt. Wenn die GGL eine Geldbuße gegen einen Betreiber eines Merkur-Casinos verhängt, wäre es wahrscheinlich unmöglich, die Geldbuße einzutreiben. Die Bill 55 sorgt dafür, dass die deutsche Behörde keine realistische Möglichkeit hat, die Vollstreckung in Malta durchzusetzen.
Spieler in betroffenen Merkur-Casinos sind die großen Verlierer
Für die Spieler, die ihre Daten verloren haben, geht es nicht nur um eine kleine Unannehmlichkeit. Wenn ein Spieler etwa seine Kreditkarten-Daten für eine Einzahlung verwendet hat, kann es sein, dass die Kreditkartendaten nun frei im Netz zirkulieren. Betrüger, die gezielt nach derartigen Daten suchen, können mit derartigen Daten große Schäden anrichten. Vom klassischen Kreditkartenbetrug bis zum Identitätsdiebstahl gibt es viele Möglichkeiten.
Die GGL muss bei der Aufarbeitung des Merkur-Datenskandals zeigen, dass sie dazu in der Lage ist, derartige Verstöße massiv zu bestrafen. Wenn dies nicht gelingt, gibt es nicht den geringsten Anlass für Glücksspielanbieter mit maltesischem Firmensitz, den Datenschutz zu verbessern. Der nächste Datenskandal wäre sonst vorprogrammiert.
GGL steht unter Druck: Lizenzentzug unvermeidbar?
Sollte sich herausstellen, dass Geldbußen durch die Bill 55 keine Wirkung haben, wäre ein Lizenzentzug wahrscheinlich die geeignete Maßnahme, um auf den Datenskandal in Merkur-Casinos zu reagieren. Vielleicht müsste aber auch grundsätzlich die gesamte Glücksspielregulierung an dieser Stelle überdacht werden.
Wie kann es sein, dass die deutsche Merkur AG, bis 2023 als Gauselmann-Gruppe bekannt, Online-Casinos in Deutschland über maltesische Tochterfirmen betreibt? Wo sind die Journalisten, die in Espelkamp die Merkur AG belagern, um in Erfahrung zu bringen, warum in Merkur-Casinos die Kundendaten so schlecht geschützt sind? Ohne öffentlichen Druck wird sich wahrscheinlich nicht viel ändern.
Wieder einmal zeigt sich, dass die deutsche Glücksspielregulierung nur auf dem Papier gut aussieht. Es ist kein Wunder, dass es immer mehr Spieler gibt, die in internationalen Krypto-Casinos spielen. Wer mit Bitcoin und Co. einzahlt, muss wenigstens nicht befürchten, dass eines Tages sensible Zahlungsdaten im Netz auftauchen.
