Die Herkunft eines Spieleunternehmens entscheidet längst nicht mehr allein darüber, welche Regeln für Datenschutz und Jugendschutz gelten. Aktuell hängt die rechtliche Bewertung vielmehr davon ab, wo eine Plattform aktiv ist und welche Nutzergruppen sie anspricht. Damit geraten internationale Publisher und Online-Gaming-Dienste automatisch in den Geltungsbereich mehrerer Rechtsordnungen.
Wie sich Spielregeln verändern
Die Regulierung digitaler Spiele war lange Zeit national geprägt. In den 2000er-Jahren dominierten in Europa freiwillige Altersfreigaben und Selbstkontrollen wie die USK in Deutschland oder PEGI auf EU-Ebene. Sie orientierten sich vor allem an Inhalten – Gewalt, Sprache, Sexualität – und weniger an ökonomischen Mechanismen oder Datenerfassung. Mit der zunehmenden Digitalisierung, In-Game-Monetarisierung und globalen Vernetzung verschoben sich jedoch die Risikofelder: Heute stehen Datenschutz, algorithmische Steuerung und finanzielle Anreize im Mittelpunkt.
Ein zentrales Beispiel für diesen Wandel sind Lootboxen – virtuelle Schatzkisten, deren Inhalte zufallsbasiert vergeben werden. Was als harmlose Spielmechanik begann, rückte ab 2017 in den Fokus von Aufsichtsbehörden, nachdem Studien Parallelen zu Glücksspielelementen belegten. Belgien stuft bestimmte zahlpflichtige Lootboxen als Glücksspiel ein und untersagt sie; in den Niederlanden hat das höchste Verwaltungsgericht 2022 entschieden, dass Lootboxen nicht automatisch unter das Glücksspielrecht fallen – die Bewertung hängt vom konkreten Design ab. Die Europäische Kommission und mehrere nationale Verbraucherschutzbehörden erarbeiteten daraufhin Leitlinien für Transparenzpflichten, Wahrscheinlichkeitsangaben und Jugendschutzfilter. Auch die DSA-Leitlinien 2025 greifen diese Debatte auf, indem sie „glücksspielähnliche Designs“ als Risiko für Minderjährige einordnen.
Parallel dazu wurden Verfahren zur Spieler-Identifizierung stärker reguliert. Während klassische Online-Casinos schon seit Jahren Know-Your-Customer-Prüfungen durchführen müssen, etabliert sich diese Praxis zunehmend auch in legalen iGaming-Segmenten und hybriden Plattformen. Casinos ohne Verifizierung bieten zwar ein schnelles, anonymes Spielerlebnis mit hohem Komfort und attraktiven Boni, sind aber rechtlich nicht in Deutschland lizenziert. Stattdessen agieren sie unter einer Reihe von Lizenzen, die als unterschiedlich seriös bewertet werden, wer hier klicken und weiterlesen möchte, erfährt unter anderem, welche dies sind.
Im Glücksspiel geht es um die Überprüfung der Identität und Zahlungsquelle, während im Jugendschutzkontext eher eine altersbezogene Verifikation gefordert ist. Technisch nähern sich beide Verfahren an – etwa durch digitale Wallet-Prüfungen, Identitäts-Gateways oder biometrische Altersabschätzung, wie sie 2025 von mehreren großen Gaming-Portalen getestet werden.
Diese Entwicklung zeigt, dass sich die Grenzen zwischen Gaming und iGaming, Freizeit und Finanztransaktion, zunehmend auflösen. Mit jedem Schritt in Richtung Echtgeld-Mechaniken oder Blockchain-basierter In-Game-Währungen geraten auch klassische Spiele in den Blick der Regulierungsbehörden. Während Plattformen früher nur nach freiwilligen Branchenrichtlinien agierten, gilt heute: Wer global operiert, muss Datenschutz-, Verbraucherschutz- und Jugendschutzvorgaben mehrerer Rechtsräume zugleich erfüllen.
DSA und Datenschutz-Grundverordnung
In der EU bildet der Digital Services Act das Fundament für den Schutz Minderjähriger im digitalen Raum. Am 14. Juli 2025 hat die Europäische Kommission Leitlinien zur praktischen Umsetzung veröffentlicht. Sie konkretisieren, wie Plattformen Risiken analysieren und technische Schutzmechanismen in ihre Systeme integrieren müssen.
Schutzmaßnahmen sollen bereits im Entwicklungsprozess verankert sein und nicht erst nachträglich ergänzt werden. Gleichzeitig wird betont, dass Plattformen keine personenbezogenen Daten erheben müssen, nur um das Alter eines Nutzers zu prüfen. Alternative, datensparsame Verfahren gelten als ausreichend. Diese Auslegung stärkt den europäischen Ansatz, Datenschutz und Jugendschutz in Einklang zu bringen, ohne übermäßige Datensammlung zu fördern.
Altersfreigaben und neue Risikokriterien
In Deutschland greifen die europäischen Regelungen unmittelbar, werden jedoch durch das nationale Jugendschutzrecht ergänzt. Die Unterhaltungssoftware Selbstkontrolle ist weiterhin die maßgebliche Instanz für Altersfreigaben, die seit der Novelle des Jugendschutzgesetzes auch für Online-Angebote verpflichtend sind. Parallel hat sich das IARC-System etabliert, das internationale Altersbewertungen automatisiert auf digitale Stores überträgt und seit 2025 offiziell in Deutschland anerkannt ist.
Neu ist, dass Altersfreigaben nicht mehr allein auf verstörenden Inhalten, Gewaltdarstellungen oder Sprache beruhen, sondern auch sogenannte Nutzungsrisiken berücksichtigen. Dazu zählen etwa unbeaufsichtigte Kommunikationskanäle, Kaufoptionen, Standort-Sharing oder Spielzeit-Anreize. Diese erweiterte Definition bringt Online-Spiele und Plattformen stärker in die Verantwortung, präventive Maßnahmen zu ergreifen, um den Schutz junger Spielerinnen und Spieler sicherzustellen.
Der Children’s Code als verbindlicher Standard
Das Vereinigte Königreich hat mit dem Age-Appropriate Design Code, auch „Children’s Code“ genannt, bereits 2021 einen eigenen verbindlichen Rahmen geschaffen. Dieser verpflichtet alle Dienste, die wahrscheinlich von Minderjährigen genutzt werden, zu einer kindgerechten Gestaltung. 2025 wurde der Code durch den Data (Use and Access) Act rechtlich weiter gestärkt.
Der Kodex verlangt, dass Kinderinteressen Vorrang vor wirtschaftlichen Erwägungen haben. Plattformen müssen standardmäßig hohe Datenschutz-Einstellungen aktivieren, Ortungsdaten und Profilfunktionen einschränken und dürfen nur die Daten erheben, die für den Betrieb zwingend notwendig sind. Auch Spiele, die nicht gezielt an Kinder gerichtet sind, fallen unter die Regelung, sofern sie für Minderjährige leicht zugänglich bleiben. Für global agierende Publisher bedeutet das: Wer Spielerinnen und Spieler im Vereinigten Königreich anspricht, muss diese Vorgaben technisch und organisatorisch erfüllen – unabhängig vom Firmensitz.
Mehrfach-Compliance als Normalzustand
Das Zusammenspiel führt 2025 zu einer Situation, in der Gaming-Plattformen mehrere Regime gleichzeitig erfüllen müssen. Für Spielerinnen und Spieler in der EU bleibt jedoch entscheidend, dass europäische Vorgaben – insbesondere der DSA, die Datenschutz-Grundverordnung und nationale Bestimmungen wie die USK-Einstufungen – auch für ausländische Anbieter gelten.
Die Herkunfts- oder Registrierungsländer bestimmen längst nicht mehr, ob ein Anbieter Schutzpflichten hat, sondern wie diese technisch und organisatorisch umgesetzt werden. In der Praxis bedeutet das, dass ein globales Spiel verschiedene Alterskennzeichnungen und Datenschutz-Mechanismen parallel einsetzen kann – etwa PEGI in der EU, ESRB in Nordamerika und IARC für internationale Stores.
Verantwortung bleibt global
Das Gaming-Ökosystem ist rechtlich enger verzahnt als je zuvor. Datenschutz- und Jugendschutzregeln gelten über nationale Grenzen hinweg, und Plattformen müssen sich auf eine Welt einstellen, in der mehrere Rechtsräume gleichzeitig maßgeblich sind. Für Nutzerinnen und Nutzer in Deutschland bedeutet das mehr Schutz, mehr Transparenz und zugleich komplexere Regelwerke im Hintergrund.
Das Herkunftsland eines Unternehmens verliert damit an Gewicht. Entscheidend ist, dass die Plattformen nachweislich sichere, faire und altersgerechte Umgebungen bieten. Datenschutz, Datensparsamkeit und verantwortungsbewusstes Design sind längst keine freiwilligen Qualitätsmerkmale mehr, sondern verpflichtende Voraussetzungen für den Zugang zum europäischen Markt.
