GH GambleHub

Software- und API-Lizenzierung

1) Warum es für iGaming wichtig ist

Die Plattform basiert auf proprietärem Code, Bibliotheken von Drittanbietern, SDKs von Spiele-/Zahlungsanbietern und öffentlichen/privaten APIs. Lizenzfehler führen zu Ansprüchen, Integrationsblöcken, IP-Leaks und regulatorischen Risiken (Datenschutz/Sanktionen/Kryptoexport). Ziel ist es, eine transparente Rechtekontur aufzubauen: Was kann veröffentlicht, integriert, an Partner weitergegeben und wie können eigene APIs geschützt werden.

2) Softwarelizenzierungsmodelle (Übersicht)

Proprietary (Closed License): Exklusivrechte beim Anbieter; für B2B (Betreiber, Studios, PSP).

Open Source (OSS):
  • Permissive: MIT, BSD, Apache-2. 0 (Patentzuschuss).
  • Copyleft: GPL/LGPL/AGPL - „infizierende“ Kompatibilität; Vorsicht bei geschlossenen Modulen.
  • Dual/Multi-Licensing: Kostenloser OSS-Zweig + kommerzielle Lizenz mit erweiterten Rechten/Support.
  • SaaS-Lizenzierung: Zugang als Service; Code wird nicht übertragen, Nutzungsrechte.

Auswahlregeln: kritische Dienste (Spielengine, Betrugsbekämpfung, Berechnungen) - vermeiden Sie Copyleft; UI-Bibliotheken - permissive; Interne Tulzen - GPL möglich, wenn isoliert.

3) Rechte und Einschränkungen: Was in Lizenzen zu sehen ist

Umfang der Rechte (Scope): Territorien, Laufzeit, Benutzer/Installationen, Umgebungen (prod/stage/dev).
Modifikationen und Ableitungen: ist es möglich, zu forken, zu ändern, zu verteilen.
Unterlizenzierung/Übertragung: Ist für Affiliates/White-Label zulässig?
Patent Grant und Defensive Termination (Apache-2. 0, MPL): Patentrisiken und Cross-Lizenzen.
Prüfung und Berichterstattung: Das Recht des Verkäufers, Lizenzprüfungen durchzuführen.
Sicherheit/Export: Kryptografiebeschränkungen, Länder/Sanktionen.
Indemniti und Haftung: Wer deckt IP-Ansprüche/Schäden ab.

4) Open Source: Politik und Kontrolle

Weiße Liste: MIT/BSD/Apache-2. 0, MPL-2. 0.
Gelb: LGPL-3. 0 (bei dynamischer Verknüpfung und Einhaltung der Bedingungen).
Rot: AGPL/GPL-3. 0 in geschlossenen Diensten, wenn keine Isolierung vorhanden ist (Service-Borders, Network Copyleft).
SBOM (Software Bill of Materials): obligatorische Liste von Abhängigkeiten mit Versionen/Lizenzen.
Verfahren für die Eintragung von OSS: Antrag → JUR/TE-Kompatibilitätsbewertung → Registrierung im Register → regelmäßige Prüfung.
Beitrag zum OSS (Upstream): CLA/DCO, Überprüfung der IP-Offenlegung, Abstimmung mit Legal.

5) SDK und Anbieterlizenzen (Spiele, Zahlungen, KYC)

Typische Anforderungen: Verbot der Rückentwicklung, Verbot des Caching außerhalb der Bedingungen, Logo/Branding-Kontrolle, Mindestversionen, Audit-Recht.
Daten: Grenzen „Betreiberdaten“ vs „Anbieterdaten“, wer die Metriken und abgeleiteten Daten besitzt.
Export-/Sanktionsbeschränkungen: Geo-Blöcke, PER/Sanktionslisten - Überprüfung in ToS/Lizenz obligatorisch.
Support/Updates: SLA auf Patches, Breaking-Changes, Timing von Migrationen.

6) API: Rechtliche Bedingungen für die Gewährung des Zugangs (für Partner/Affiliates/B2B)

Die wichtigsten Abschnitte der Terms API sind:
  • Zugriff und Authentifizierung: OAuth2/HMAC/mutual-TLS; Verbot der Schlüsselübergabe an Dritte.
  • Ratenlimits und Quoten: RPS/Minuten/pro Tag; „faire Nutzung“; Politik burst.
  • SLA und Support: Verfügbarkeit (z.B. 99. 9%), Wartungsfenster, Störfall-/Kommunikationsplan.
  • Versionierung/Deprection: SemVer, EOL-Timing (z. B. ≥ 9-12 Monate), Versand von Benachrichtigungen.
Rechte an den Daten:
  • Service-Generated Data (Protokolle, Metriken) - beim API-Besitzer;
  • Kunden-/Spielerdaten - beim Kunden/Betreiber;
  • Abgeleitete Daten - vertraglich (erlaubt/eingeschränkt, Anonymisierung).
  • Cache und Speicherung: Was und wie kann zwischengespeichert werden (TTL, Verbot der Speicherung persönlicher/sensibler Felder).
  • Privacy/AML/KYC: Rollen (Controller/Prozessor), DPA/DSA, grenzüberschreitende Übertragungen, DPIA für High-Risk-Szenarien.
  • Sicherheit: Verschlüsselung im Transit/at-Rest, Secret Management, Anforderungen an SOC2/ISO 27001 (falls zutreffend).
  • Verbote: Reverse Engineering, Scraping, Messung/Benchmarking ohne Einwilligung, Modifikation von API-Antworten.
  • Audit und Protokolle: Recht auf Überprüfung, Anforderungen an Anforderungsprotokolle.
  • Sanktionen und Export: Verbot der Verwendung in Ländern/mit Benutzern aus Listen, Screening.
  • Ausschluss von Garantien und Haftungsbegrenzung: cap (z.B. 12 × Mittelmaß. Zahlung).
  • Beendigung des Zugangs: sofort mit Sicherheitsrisiko/Gesetz; Datenausgabeplan.

7) Versions- und Kompatibilitätsrichtlinien

SemVer: MAJOR (breaking), MINOR (features), PATCH (fix).
Scheme-Verträge: JSON Schema/OpenAPI; Vertragstests für Kunden.
Deprecation-Verfahren: Ankündigung → Zeitraum der Kompatibilität (≥ 6 Monate) → EOL → Entfernung; Migration Hyde.
Feature flags: für „weiche“ Rollen.

8) Exportkontrolle, Sanktionen, Kryptographie

Kryptographie-Export: Überprüfung lokaler Regeln; Benachrichtigungen/ECC-Code/Bitlängen.
Sanktionen: Verbot des Dienstes/des Zugangs für Einwohner von Teilsanktionsgerichtsbarkeiten/Personen; periodisches Rescrining.
Ausfallsicherheit der Gesetzgebung: Klauseln zur Aussetzung des Dienstes bei regulatorischem Risiko.

9) Risikomatrix (RAG)

ZoneR (kritisch)A (muss bearbeitet werden)G (ok)
OSS-KompatibilitätAGPL/GPL im geschlossenen DienstLGPL ohne BedingungenPermissive/isoliert
API-DatenPII ohne Rechte/TTL speichernTeilweise AnonymisierungKlare Rechte, TTL, DPA
PatenteKein Zuschuss/defensive KlauselUnvollständiger TextApache-2. 0/Lycenz. Beihilfe
Sanktionen/ExporteKein ScreeningEinmaliges ScreeningPolitik + Verfahren
VersionierungWir reißen Verträge ohne Fristen abFristen <6 MonateSemVer + EOL ≥ 9-12 Monate
LizenzprüfungKeine SBOM/RegistrierungDer UnvollständigeVoller SBOM + Quart. Audit

10) Checkliste vor Release/Integration

  • Die SBOM wird zusammengestellt. Lizenzen geprüft (keine inkompatiblen).
  • Vendor/SDK-Lizenzen unterzeichnet; Daten- und Markenrechte.
  • DPA/DSA formalisiert; Controller/Prozessor Rollen sind definiert.
  • Terms/EULA APIs aktualisiert; rate limits/SLA/deprection sind vorgeschrieben.
  • Sanktions-/Export-Screening in Prozessen.
  • Sicherheit: Schlüssel, Rotation, Verschlüsselung, Protokollierung.
  • Der Incident Plan und der Access Recall (Killswitch) sind fertig.

11) Register und Artefakte (empfohlene Formate)

11. 1 SBOM/Lizenzregister

yaml component: "payment-gateway-sdk"
version: "4. 2. 1"
license: "Apache-2. 0"
source: "maven"
usage: "runtime"
notes: "requires notice file"
dependencies:
- name: "okhttp"
version: "4. 12. 0"
license: "Apache-2. 0"
- name: "commons-io"
version: "2. 16. 1"
license: "Apache-2. 0"
owner: "Engineering"

11. 2 Registrierung von API-Clients

yaml client_id: "aff-778"
app_name: "AffTrack"
scopes: ["reports:read","players:read_limited"]
rate_limit_rps: 5 quota_daily: 50_000 dpa_signed: true sanctions_screened_at: "2025-11-05"
status: "active"
owner: "API Ops"

11. 3 Registry SDK/Anbieter

yaml vendor: "GameProviderX"
agreement: "SDK-License-2025-10"
audit_rights: true brand_rules: true data_rights:
provider_metrics: "vendor"
operator_metrics: "shared"
derived_data: "anonymized_allowed"
sla:
incidents: "P1:2h,P2:8h"
updates: "quarterly"

12) Muster (Fragmente)

12. 1 EULA (inneres Fragment)

💡 Der Lizenznehmer erhält eine nicht ausschließliche, nicht übertragbare Lizenz zur Nutzung des Produkts innerhalb des Gebiets und der Laufzeit zum Zwecke der Erbringung von Dienstleistungen für Endbenutzer. Verboten sind: i) Reverse Engineering, Dekompilierung; Umgehung technischer Maßnahmen; (iii) Übertragung von Rechten an Dritte ohne schriftliche Zustimmung. Das Produkt wird „wie besehen“ bereitgestellt; Die Haftung des Lizenzgebers ist auf die Höhe der Zahlungen in den 12 Monaten vor dem Ereignis begrenzt.

12. 2 API-Begriffe (internes Fragment)

💡 Der Kunde verpflichtet sich, die im Zugangsschlüssel angegebenen Kontingente und Geschwindigkeitsbegrenzungen einzuhalten. Das Zwischenspeichern von Antworten ist unter Ausschluss personenbezogener Daten für maximal [N Stunden] zulässig. Alle Service-Generated Data sind Eigentum des API-Anbieters; Der Kunde erhält eine eingeschränkte Lizenz zur internen Nutzung. Der Anbieter ist berechtigt, Endpoint zu modifizieren oder zu kündigen, indem er mindestens [9 Monate] vor EOL eine Benachrichtigung abgibt.

12. 3 Lizenzierung von Beispielcode/Docks

💡 Beispielcode und Snippets werden unter MIT veröffentlicht; Textdokumentation - CC BY-4. 0 (sofern nicht anders angegeben). Brand Assets - gemäß einer separaten Markenrichtlinie.

13) Datenschutz und Daten (API/SDK)

Minimierung: Geben Sie keine zusätzlichen Felder (PII) ab, verwenden Sie „semitransparente“ IDs.
TTL-Cache: streng festgelegt; Verbot des lokalen Kopierens vollständiger Dumps.
Rechte der betroffenen Personen: Weiterleitung von Anfragen (Zugang/Erasure) über den Betreiber; Protokollierung.
Pseudonymisierung/Anonymisierung: für Analysen/Abgeleitete Daten - vor der Veröffentlichung.

14) Playbooks

P-LIC-01: Copyleft im Prod-Service entdeckt

SBOM Audit → Migration/Isolation Option → Jura-Bewertung → Release-Plan → Retrospektive.

P-API-02: API-Schlüsselleck

Schlüsselrücknahme → Benachrichtigung des Kunden → forensica → Rotation der Geheimnisse → Aktualisierung der Politik.

P-SDK-03: Anbieter bricht Kompatibilität

Übergangsadapter → temporärer API-Zweig → Verhandlungen über Fensterverlängerung → Versand an Kunden.

P-XPORT-04: Sanktionsflagge

Auto-Block-Zugang → Bestätigung der Spiele → rechtliche Bewertung → Dokumente für die Regulierungsbehörde.

15) KPIs/Metriken

SBOM Coverage% und Anteil der zugelassenen Komponenten.
Zeitpunkt des Abschlusses des Lizenzvorfalls (Copyleft/Inkompatibilität).
Deprecation Compliance% (Kunden auf aktuellem Stand).
Time-to-Revoke des undichten Schlüssels und MTTR bei API-Vorfällen.
Anteil der Kunden mit signiertem DPA/DSA und bestandenem Sank-Screening.

16) Mini-FAQ

Kann ich eine LGPL einbetten? Ja, mit dynamischem Link und Einhaltung der Bedingungen, wir fixieren in SBOM.
Wer besitzt API-Analysen? Standardmäßig ist der Besitzer der API (Service-Generated), der Client ist eine eingeschränkte Lizenz.
Kann ich ML auf API-Daten trainieren? Nur auf anonymisierte/aggregierte und wenn erlaubt ToS/DPA.
Wie viel halten EOL? Es ist 9-12 Monate mit dem Migrationsweg empfehlenswert.

17) Fazit

Die Lizenzierung von Software und APIs ist keine „einmalige Unterzeichnung“, sondern ein ständiger Zyklus: Auswahl kompatibler Lizenzen, Pflege von SBOMs, klare APIs von Terms (Daten/Quoten/SLAs/Deprection), DPAs/Sanktionen und operative Playbooks. Standardisieren Sie Register und Vorlagen - und Sie reduzieren rechtliche Risiken, vereinfachen Integrationen und schützen Ihre eigenen IP- und Spielerdaten.

Contact

Kontakt aufnehmen

Kontaktieren Sie uns bei Fragen oder Support.Wir helfen Ihnen jederzeit gerne!

Integration starten

Email ist erforderlich. Telegram oder WhatsApp – optional.

Ihr Name optional
Email optional
Betreff optional
Nachricht optional
Telegram optional
@
Wenn Sie Telegram angeben – antworten wir zusätzlich dort.
WhatsApp optional
Format: +Ländercode und Nummer (z. B. +49XXXXXXXXX).

Mit dem Klicken des Buttons stimmen Sie der Datenverarbeitung zu.