GH GambleHub

AML-Politik und Geldwäschebekämpfung

1) Zweck und Reichweite

Ziel der AML-Politik ist es, Geldwäsche und Terrorismusfinanzierung zu verhindern, die Einhaltung der Vorschriften sicherzustellen und die Plattform, Spieler und Partner zu schützen. Die Richtlinie gilt für alle Konzerngesellschaften, Mitarbeiter, außenstehenden Teams sowie für Dritte (PSPs, Affiliates, Content Provider), die mit Cashflows und Kundendaten interagieren.

Reichweite:
  • Produkte: Casino/Wetten, P2P-Transfers, Turniere, Boni/Cashback, Marktplatzdienste.
  • Kanäle: Web, mobile Anwendungen, API-Integrationen, Krypto-on/off-Rump.
  • Geografien: Alle Länder/Staaten bedient unter Berücksichtigung der lokalen Anforderungen.

2) Normative Säule und Prinzipien

Grundlage der Politik sind FATF-Empfehlungen (risikobasierter Ansatz, KYC/KYB, Sanktionen, Überwachung, Berichterstattung), lokale AML/CFT-Gesetze (Europa - AMLD-Richtlinien, Großbritannien - MLR, USA - BSA/Patriot Act, etc.) sowie Datenschutzanforderungen (DSGVO/ähnlich).

Grundprinzipien:
  • RBA (Risk-Based Approach): Ressourcen konzentrieren sich auf höhere Risiken.
  • Proportionalität: Die Maßnahmen entsprechen dem Kunden-/Transaktions-/Produktrisiko.
  • Accountability: Fixierung von Entscheidungen, Audit und Traceability.
  • Privacy by Design: Minimum an Daten, Rechtmäßigkeit der Verarbeitung, Sicherheit.

3) Rollen und Verantwortlichkeiten (Governance)

Vorstand/Verwaltungsrat: genehmigt Politik, Risikoappetit, periodischer Bericht.
Senior Management: bietet Ressourcen, KPIs, Implementierung.
MLRO/AML-Beauftragter: Prozessverantwortlicher, Berichterstattung an Regulierungsbehörden, SAR/STR, Überwachungsmethodik, Interaktion mit LEA.
Compliance Team: KYC/KYB, Sanktion/RER, Fallmanagement, Training.
Risk & Analytics: Scoring-Modelle, Szenarien, Regelkalibrierung.
Engineering/Security: Provider-Integrationen, Logs, Zutrittskontrolle, Verschlüsselung.
Operations/Payments: Leadkontrolle, manuelle Kontrollen, Datenqualität.

RACI (упрощенно): Board — A, MLRO — R/A, Compliance — R, Risk — R, Eng — C/R, Ops — C/R, Internal Audit — I/C.

4) RBA: Risikomodell

Profilkomponenten:
  • Kunde (Land, Wohnsitz, Beruf, EVR/Sanktionen, Verhaltensrisiko).
  • Produkt (Casino/Wetten, P2P, Krypto, High Limits, Cross Border).
  • Kanal (Online-Onboarding, keine Präsenz, anonyme Tools).
  • Geographie (Hochrisikogerichtsbarkeiten, Sanktionsregime).
  • Transaktionen (Volumen, Umsatzgeschwindigkeit, Auszahlungsmodelle).

Bewertung: anfänglicher Onboarding-Score + dynamische Faktoren (Historie, Geräte, Zahlungsmuster) ⇒ Segmentierung in niedriges/mittleres/hohes Risiko und Auswahl der Maßnahmenebene: CDD/EDD/SOW.

5) KYC/KYB und Sanktionsscreening (Kommunikation mit AML)

KYC für Einzelpersonen: Dokument + Lebendigkeit, Adresse, Alter, Sanktionen/RER, Adverse Media.
KYB für Unternehmen/Affiliates/Anbieter: Registrierung, UBO/Directors, Sanktionen/Peer, Überprüfung der Aktivitäten und Geldquellen.
Sanktionen/RER: primäres und periodisches Screening, Fuzzy-Match, manuelles Clearing.
SOW/SOF: bei hohen Limits und Anomalien - Bestätigung der Herkunft der Mittel/des Reichtums.
Re-KYC: nach Zeitplan und ereignisgesteuert (Trigger).

6) Transaktionsüberwachung und Verhaltensanalyse

Szenarien (Regeln):
  • Ein schneller Einzahlungszyklus → ein Rückzug ohne echtes Spielrisiko.
  • Spikes nach Beträgen/Häufigkeit, Zahlungsaufschlüsselung („Smurfing“).
  • Nichtübereinstimmung des IP/BIN-Landes/der Adresse, häufige Änderung der Zahlungsmethoden.
  • Atypischer Nacht-/Massenverkehr, Gerätecluster (Device Graph).
  • Verwendung von Anonymisierern/VPNs, Proxy-Farmen, Betriebssystem/Browser-Spoofing.
  • Verdächtige Bonusmuster, Multiaccounting, Charjback-Loops.

ML/Verhaltensmodelle: probabilistische Anomalien, graphische Verknüpfungen, Risiko-Score von Spielern/Affiliates, High-Roller-Segmentierung.

Fallmanagement: Alert-Generierung → Qualifizierung → Anforderung von Dokumenten/Erklärungen → Lösung (Eskalation/Sperrung/SAR).

7) „Rote Fahnen“ (iGaming-spezifisch)

Regelmäßige Einzahlungen von Dritten/viele Einzelkarten pro Spieler.
P2P/Turniertransfers zwischen verknüpften Konten.
Starke Fehlausrichtung der Profile (Alter, Beruf vs Umsatz).
Migration zwischen Jurisdiktionen ohne erklärbaren Grund.
Systematische Auszahlung ohne Spielaktivität oder mit minimaler Marge.
Versuche, die Grenzen von CUS/Leads/Boni, „Farm“ -Konten zu umgehen.
Aphiliate mit unklarer Verkehrsquelle oder ungewöhnlich hoher CR→WD.

8) SAR/STR: interne Untersuchungen und Berichterstattung

Vermutungsschwelle: „begründeter Verdacht“ unabhängig von der Höhe.
Prozess: alert → Faktensammlung → MLRO-Entscheidung → SAR/STR fristgerecht einreichen, ohne „tipping-off“.
Eskalationen: vorübergehende Sperrung, Einfrieren von Geldern auf Anforderung der LEA/Regulierungsbehörde, Kommunikationsplan mit dem Kunden.
Dokumentation: Zeitlinie von Ereignissen, Datenquellen, Teamaktionen, Entscheidungen und Begründungen.

9) Datenspeicherung und Sicherheit

Fristen: in der Regel mindestens 5 Jahre nach Beendigung der Beziehung (vor Ort geklärt).
Gezielte Speicherung: Profile, Dokumente, Alerts, SAR/STR, Access Log, Evidenzbasis.
Sicherheit: At-Rest/In-Transit-Verschlüsselung, HSM/Secret-Storage, RBAC/ABAC, unveränderliche Protokolle (WORM), Überwachung des Zugriffs und der Aktivitäten der Mitarbeiter.

10) Schulung, Qualitätskontrolle und Audit

Training: jährlich für alle, vertiefend - für Mitarbeiter von Risikofunktionen; Tests und Zertifizierung.
QS/Diagnose: Selektive Reviewfälle, Doppelprüfungen (4-Augen), Retro auf Fehlentscheidungen.
Interne Revision: Unabhängige Bewertung der Einhaltung von Richtlinien, regulatorischen Anforderungen und Prozesseffizienz.
Stresstests: Übungen zu Vorfällen (Sanktionen, große Typologie, massive Alerts).

11) Krypto und VASP (falls zutreffend)

Travel Rule: Austausch von Sender-/Empfängerattributen zwischen Anbietern.
Blockchain-Analyse: Risiko-Score-Adressen, Cluster, Sanktions-/Mixer-Tags.
Er/Off-Rump-Kontrolle: Wallet Owner Compliance, Datenübereinstimmung, Limits und externes Adressprotokoll.
Preisentwicklung/Volatilität: Sonderregeln für Beträge, Kennzeichnung „ungewöhnlicher“ Umrechnungen.

12) Interaktion mit Dritten

PSPs/Banken/KYC-Anbieter: Verträge, SLAs, DPIAs, Fehlertoleranztestpläne.
Affiliates: KYB, Überwachung der Verkehrsqualität, Verbot von Risikoquellen, Post-Click-Audit.
Korrespondenzbeziehungen: eingehende Überprüfung der Partner, regelmäßige Überprüfung.

13) Architektur der AML-Lösung (Empfehlungen)

Integrationen: CUS/Sanktionsanbieter, PSP, Betrugsbekämpfung, Blockchain-Analyse.
Ereignisbus: Alle Transaktionen/Ereignisse fallen in einen Stream (Kafka/analog) mit unveränderlichem Speicher.
Rules Engine + ML: Online-Scoring (Millisekunden) und Offline-Revisionen (Batch/Near-Real-Time).
Fallsystem: Warteschlangen mit Priorisierung, Kundenanforderungsvorlagen, SLA, Integration mit Mail/Messenger.
Beobachtbarkeit: Protokolle, Metriken, Traces; Version der Regeln/Modelle und deren Wirkung.
Degradierung: sichere Vereinfachung (fail-open/close per Policy), Back-up-Anbieter, Retrays/Quorum.

14) Leistungskennzahlen und KPIs

SAR Conversion Rate: Anteil der zu SAR/STR gewordenen Alert.
Time-to-Alert/Time-to-Decision: Geschwindigkeit der Detektion und Lösung.
False Positive Rate/Precision-Recall in alert.
Coverage: Anteil der überwachten/gescreenten Transaktionen.
Rework/Appeals: Anteil der Fälle mit Revision der Entscheidung.
Schulung Abschluss:% der Mitarbeiter mit aktueller Schulung.
Vendor SLA: Anbieter-Uptime, TTV nach KUS/Sanktionen.

15) Checklisten

Onboarding des Kunden:
  • KYC/KYB, age/geo, sanctions/RER, Adverse Media.
  • RBA-Scoring, Basislimits, Fingerprint des Geräts.
  • Einwilligungen, Privatsphäre, Kommunikation von Kontrollen.
Vor einer großen Ausgabe/einem hohen Limit:
  • Wiederholtes Sanktionsscreening, SOF/SOW falls erforderlich.
  • Zuordnung des Inhabers eines Zahlungsinstruments.
  • Verhaltensüberprüfung und Transaktionsverlauf.
SAR/STR-Prozess:
  • Sammlung von Fakten und Dokumenten.
  • MLRO Internal Opinion.
  • fristgerechte Einreichung des Berichts; Tipping-off-Verbot.
  • Post-Sea, Aktualisierung der Regeln/Modelle.

16) Typische Fehler und wie man sie vermeidet

Blindes KYC-Tick ohne RBA: Verbessern Sie dynamische Analysen und Grenzen.
Mangel an Feedback in Modellen: Implementieren Sie eine Lernschleife (Entscheidung → Outcome).
Superhartes „Derisking“ statt Risikomanagement: Verwenden Sie EDD/SOW und kontrollierte Limits, keine totalen Verbote.
Missachtung regionaler Regeln/Sanktionen: Pflegen Sie „Geo-Profile“.
Schwaches Entscheidungsprotokoll: Standardisieren Sie Begründungen und speichern Sie Artefakte.

17) AML-Richtlinien-Strukturvorlage (für Ihr Wiki)

1. Einführung und Geltungsbereich

2. Definitionen und Begriffe (AML/CFT, CDD/EDD, SOF/SOW, PEP, etc.)

3. Rechtsrahmen und Verweise auf lokale Gesetze

4. Management und Rollen (Vorstand, MLRO, RACI)

5. RBA-Methodik und Risikoappetit

6. KYC/KYB und Sanktionsscreening

7. Transaktionsüberwachung (rules + ML) und Fallmanagement

8. „Rote Fahnen“ und iGaming-Szenarien

9. SAR/STR-Verfahren und Interaktion mit Regulatoren/LEA

10. Datenspeicherung, Privatsphäre, Sicherheit

11. Mitarbeiterschulung und -bewusstsein

12. Anbieter und Dritte (SLA, Audit)

13. Audit, QA und kontinuierliche Verbesserung

14. Anwendungen: Checklisten, Formulare, Briefvorlagen, Metriken

18) Beispiel einer Risikomatrix (Ausschnitt)

FaktorDer NiedrigeDer MittlereDer Hoche
GeoRechtsprechung mit geringem RisikoGemischtes ProfilHochrisiko/Sanktion
ProduktF2P/niedrige LimitsCasinos/Wetten mit durchschnittlichen LimitsP2P/Crypto/High Limits
KundeStabile Erträge, kein PEPInkonsistenzen, dünne DateiPEP/Adverse Media/Anomalien
TransaktionenDie EbenenVerwachsungen, ZerkleinerungSchnelle Cash-Out-Zyklen, Dritte

Ergebnis: geringes/mittleres/hohes Risiko → Maßnahmen: CDD/EDD + SOF/SOW/Restriktionen/Output.

19) Umsetzungs- und Instandhaltungsplan

Identifizieren Sie Prozesseigentümer und SLAs.
Integrationskarte (PSP, KYC, Sanktionen, Analysen).
Start mit Grundregelsatz + FP/FN-Steuerung.
Vierteljährliche Kalibrierung der Szenarien, jährliche Überprüfung der Richtlinien.
Trainingsprogramme und Passkontrolle.
Regelmäßige Berichte an Vorstand/Management (KPIs, Vorfälle, Risikoänderungen).

Summe

Eine effektive AML-Politik ist kein „Dokument im Regal“, sondern ein lebendiger Kreislauf: Risikobewertung → Kontrollen → Überwachung → Untersuchung → Berichterstattung → Verbesserung. Bauen Sie einen Prozess um RBA auf, sorgen Sie für einen starken KYC/KYB und Sanktionskreis, implementieren Sie eine qualitativ hochwertige Transaktionsüberwachung mit Fallmanagement und befolgen Sie die Disziplin der Datenspeicherung, Schulung und Prüfung - so reduzieren Sie regulatorische und Reputationsrisiken, während Sie die Konversion und Nachhaltigkeit des Unternehmens beibehalten.

Contact

Kontakt aufnehmen

Kontaktieren Sie uns bei Fragen oder Support.Wir helfen Ihnen jederzeit gerne!

Integration starten

Email ist erforderlich. Telegram oder WhatsApp – optional.

Ihr Name optional
Email optional
Betreff optional
Nachricht optional
Telegram optional
@
Wenn Sie Telegram angeben – antworten wir zusätzlich dort.
WhatsApp optional
Format: +Ländercode und Nummer (z. B. +49XXXXXXXXX).

Mit dem Klicken des Buttons stimmen Sie der Datenverarbeitung zu.