GH GambleHub

DSGVO und Verarbeitung personenbezogener Daten

1) Was die DSGVO regelt und wer das Subjekt ist

Die DSGVO schützt die Rechte natürlicher Personen in der EU/im EWR bei der Verarbeitung ihrer personenbezogenen Daten (PD). Sie gilt, wenn:
  • Sie in der EU/im EWR ansässig sind oder auf Nutzer in der EU abzielen (Waren/Dienstleistungen, Verhaltensüberwachung);
  • Sie sind der Verantwortliche (bestimmen die Zwecke/Mittel der Verarbeitung) oder der Auftragsverarbeiter (verarbeiten die PD im Auftrag des Verantwortlichen).
Schlüsselrollen:
  • Controller: Eigentümer der Ziele/Mittel, verantwortlich für Rechtmäßigkeit und Transparenz.
  • Auftragsverarbeiter: handelt nach dokumentierten Anweisungen des Verantwortlichen, schließt DPA.
  • DSB (Datenschutzbeauftragter): unabhängige Aufsicht, DPIA/DSR, Beratung, Kommunikation mit Aufsicht.

2) Grundsätze der Verarbeitung (Art. 5)

1. Rechtmäßigkeit, Fairness, Transparenz.
2. Beschränkung des Zwecks. Klar beschriebene, kompatible Ziele.
3. Datenminimierung. Nur das Notwendige.
4. Präzision. Aktualisierung und Korrektur.
5. Speicherbeschränkung. Retention und Löschung/Anonymisierung.
6. Integrität und Vertraulichkeit. Die Standardsicherheit.
7. Rechenschaftspflicht. Nachweisbarkeit der Konformität (Policies, Logs, DPIA).

3) Rechtsgrundlage (Art. 6) - Matrix für iGaming/Fintech

ZielBeispiele für DatenDie Gründung
Kontoerstellung, Transaktionen, AuszahlungenIdentifikation, ZahlungContract
KYC/AML/Steuern, AlterskontrollenDokumente, Biometrie (falls erforderlich), TransaktionsprotokollLegal obligation
Betrugsbekämpfung, Sicherheit, ServicequalitätDevice/IP, VerhaltenssignaleLegitimate interest (LIA)
Marketing (E-Mail/SMS/Push), optionale AnalytikKontakt, Cookie/IDConsent
RG (Verantwortungsvolles Spielen) - Zwingende gesetzliche AnforderungenVerhalten/GrenzenRechtliche Pflichten/LIA (nach Gerichtsbarkeit)
💡 Führen Sie für LIA eine Interessenabwägung durch; consent - Sorgen Sie für eine freie, informierte, eindeutige Zustimmung und ein einfaches Opt-out.

4) Besondere Kategorien und Biometrie (Art. 9)

Die Verarbeitung besonderer Kategorien (Gesundheit, Überzeugungen usw.) ist verboten, es sei denn, es liegt ein gesonderter Grund vor.
Biometrie zur eindeutigen Identifizierung (z.B. Face-Template für Liveness/Face-Match) erfordert eine ausdrückliche Zustimmung oder einen anderen engen Rechtsrahmen (länderabhängig). Speichern Sie Muster, nicht „rohe“ Bilder, wo möglich.

5) Profiling und automatisierte Entscheidungen (Art. 22)

iGaming/Fintech verwenden Profiling für Betrug, Responsible Gaming (RG), Risikolimits. Anforderungen:
  • transparente Offenlegung von Logik (innerhalb vernünftiger Grenzen), Bedeutung und Konsequenzen;
  • Recht auf menschliches Eingreifen und Anfechtung der Entscheidung;
  • DPIA bei hoher Risikowahrscheinlichkeit von Rechten/Freiheiten (Scale Profiling).
  • Empfehlungen: Reason-Codes speichern, Modelle/Regeln versionieren, Bias-Audit durchführen.

6) DPIA/DTIA: wenn erforderlich

DPIAs werden durchgeführt, wenn das Risiko hoch ist: groß angelegte Profilierung, Biometrie, „systematische Überwachung“, neue Datenquellen.
DPIA-Vorlage: Zweck und Beschreibung der Verarbeitung → Rechtsgrundlage → Risiken der Unternehmen → Minderungsmaßnahmen → Restrisiko → Plan.
DTIA (Bewertung der grenzüberschreitenden Übertragung): rechtliches Umfeld des Empfängerlandes + vertragliche/solche Maßnahmen (SCC/gleichwertig, Verschlüsselung, Schlüsseltrennung).

7) Grenzüberschreitende Übertragungen (hl.V)

Mechanismen: SCC, BCR, Angemessenheitsentscheidungen, lokale Gegenstücke.
Techniker: Ende-zu-Ende-Verschlüsselung, Schlüsseltrennung, Feldminimierung, Pseudonymisierung vor der Übertragung.
Dokumentation des Übertragungsregisters und der DTIA-Ergebnisse; Überprüfen Sie die Risiken regelmäßig.

8) Betroffenenrechte (DSR)

Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Portabilität, Widerspruch, Ablehnung des Marketings.
Fristen: in der Regel bis zu 30 Tage (kann bei Schwierigkeiten mit Vorankündigung um weitere 60 Tage verlängert werden).
Überprüfen Sie die Identität des Antragstellers (ohne zu viel preiszugeben).
Ausnahmen: Aufbewahrung wegen AML/Steuerpflicht etc. dokumentieren.

9) Cookie/SDK und Marketing

Teilen Sie Cookies in folgende Kategorien ein: erforderlich/funktional/Analytics/Marketing.
Für Analytik/Marketing in der EU/EEZ - Opt-in (echte Wahl), Zustimmungsprotokoll, detaillierte Beschreibungen.
Respektieren Sie Do Not Track/Opt-out; Verwenden Sie Serveranalysen und Datenminimierung.
E-Mail/SMS-Marketing - separate Zustimmung; Bewahren Sie den Proof of Consent und die Zeitstempel auf.

10) Sicherheit und „privacy by design/default“

Verschlüsselung in Transit und at Rest, Tokenisierung von Zahlungsdaten, Isolierung von Datenbereichen (PII ↔ Analytics).
Zugriffskontrolle RBAC/ABAC, MFA, JIT-Zugriffe, Aktivitätsprotokoll, WORM-Archiv.
DLP-Kontrolle von Entladungen und Austauschen; Verbot nicht autorisierter Kopien von Prod-Daten auf dev/stage.
Minimieren Sie Felder, aggregieren und anonymisieren Sie, wo keine Identifizierung erforderlich ist.

11) Betriebsregister (RoPA) und Retention

Führen Sie RoPA: Zweck, Gründe, Kategorien von Daten und Personen, Empfänger, Aufbewahrungsfristen, Sicherheitsmaßnahmen, Übertragungen ins Ausland.
Retention-Matrix: für jede PD-Kategorie - Zeitraum (z. B. AML/KYC ≥5 Jahre nach Ende der Beziehung), Lösch-/Anonymisierungsmethode, verantwortlicher Eigentümer.

12) Lecks und Meldungen (Art. 33/34)

Bewerten Sie das Risiko für Rechte und Freiheiten: Wenn die Wahrscheinlichkeit eines Schadens besteht, benachrichtigen Sie die Aufsichtsbehörde innerhalb von 72 Stunden und bei hohem Risiko die Probanden ohne unangemessene Verzögerung.
Reaktionsplan: Isolierung, Vorensik, Korrektur, Kommunikation, Post-Sea; Speichern Sie Artefakte und Lösungen.

13) Prozessoren, DPA und Vendor Management

Schließen Sie mit jedem Prozessor einen DPA ab: Betreff, PD-Kategorien, Unterprozessoren, Sicherheit, Hilfe bei DSR/Vorfällen, Audit, Datenlöschung/Rückgabe.
Führen Sie Due Diligence durch: Standort, Zertifizierungen (ISO/SOC), Vorfälle, Sicherheitsmaßnahmen, Subprozessoren.
Neubewertung jährlich und mit Änderungen (Sanktionen, M&A, Geographie).

14) Matrix „Zwecke → Gründe → Aufbewahrungsfristen“

ZielDie GründungBeispiel für eine Laufzeit
Konto/TransaktionenContractSolange gilt der Vertrag + N Monate.
AML/KYCLegal obligation≥5 Jahre nach Ende der Beziehung
Betrugsbekämpfung/SicherheitLIARollfenster 12-24 Monate (Pseudonymisierung)
MarketingConsentSolange die Einwilligung gültig ist oder bis zum Widerruf
RG/ComplianceLegal obligation/LIAZu Kommunalrecht und Politik

15) Dokumentation für Ihr Wiki (Skelette)

1. Datenschutzrichtlinie (Schicht): Kurzversion + vollständig.
2. Cookie/Consence Management Politik.
3. Behandlungsregister (RoPA).
4. DPIA/DTIA Template + Triggerkriterien.
5. DSR-Richtlinie (SLAs/Prozeduren/Vorlagen).
6. Retenche und Löschrichtlinie + Job-Pipeline.
7. Incident- und Benachrichtigungspolitik (RACI, Formulare).
8. DPA Vorlage und Checkliste Due Diligence der Anbieter.
9. Regeln für Profiling und automatisierte Entscheidungen (Erklärbarkeit, Berufungen).

16) Metriken und Kontrolle

DSR SLA: Der Anteil der Anfragen ist ≤30 Tage geschlossen.
Consent Coverage: Anteil der Ereignisse mit gültigem Opt-in/Opt-out.
Data Minimization Index: Durchschnittliche Anzahl der PDs pro Abschnitt.
Access Violations/Exports: Zugriffs- und Entladevorfälle, Trend.
Verschlüsselung Coverage:% der Tabellen/Baquets/Backups in der Verschlüsselung.
Incident MTTR/MTTD und Wiederholbarkeit.
Vendor Compliance Rate und Auditergebnisse.
RoPA Completeness и Retention Adherence.

17) Checklisten

Vor dem Ausführen eines Fichi (Privacy by Design):
  • DPIA/Legalitätsgrundlagen werden vom DSB bestätigt.
  • Ziele/Grundlagen/Retention sind im RoPA eingetragen.
  • die Minimierung der Felder/psewdonimisazija/Isolierungen der Zonen der Daten.
  • Consence Banner und Cookie-Kategorien sind konfiguriert.
  • DPA/Anbieter vereinbart, Unterauftragsverarbeiter aufgeführt.
  • Protokolle, Alerts, Audit, Löschung/Anonymisierung - enthalten.
Operational (vierteljährlich):
  • Revue Zugriffe (RBAC/ABAC), Rückruf überflüssig.
  • Wiederherstellungstest für Backups.
  • Überarbeitung von DTIA/SCC und Subprozessorliste.
  • Retenschnal-Audit (fristgerecht gelöscht) und DSR-Register.
  • IR-Plan-Training und Aktualisierung der Playbooks.
DSR-Prozess:
  • Überprüfung des Antragstellers.
  • Sammlung von Daten aus RoPA-Systemen.
  • Fristgerechte Antwort mit Festlegung der Ausschlussgründe.
  • Aktualisierung der Aufzeichnungen und Benachrichtigung der Parteien (falls übertragbar).

18) Fahrplan für die Umsetzung

1. Inventarisierung von PD-Systemen und -Flüssen; Bildung von RoPA.
2. DPO-Zuweisung, Richtliniengenehmigung und RACI.
3. Inbetriebnahme der DPIA/DTIA-Schaltung und des Konsensmanagements.
4. Trennung von Datenzonen, Verschlüsselung, DLP, Logs und WORM-Archiv.
5. Retention-Pipeline und Löschung/Anonymisierung.
6. Reviewanbieter, DPA, Register der Unterverarbeiter.
7. Profiling: reason codes, Appelle, Erklärbarkeit.
8. Regelmäßige Metriken, Board-Bericht, externe/interne Audit-Sitzungen.

Ergebnis

GDPR-Compliance ist nicht nur eine Richtlinie auf der Website, sondern ein Lifecycle-Management-System für PD: korrekte Grundlagen, Minimierung und Standardsicherheit, DPIA/DTIA, Achtung der Rechte der Unternehmen, kontrollierte Anbieter und messbare Metriken. Durch die Integration von Privatsphäre in Architektur und Prozesse behalten Sie Lizenzen, Partnerschaften und das Vertrauen der Spieler - ohne Kompromisse bei Produktgeschwindigkeit und Konvertierung einzugehen.

Contact

Kontakt aufnehmen

Kontaktieren Sie uns bei Fragen oder Support.Wir helfen Ihnen jederzeit gerne!

Telegram
@Gamble_GC
Integration starten

Email ist erforderlich. Telegram oder WhatsApp – optional.

Ihr Name optional
Email optional
Betreff optional
Nachricht optional
Telegram optional
@
Wenn Sie Telegram angeben – antworten wir zusätzlich dort.
WhatsApp optional
Format: +Ländercode und Nummer (z. B. +49XXXXXXXXX).

Mit dem Klicken des Buttons stimmen Sie der Datenverarbeitung zu.