GH GambleHub

Lizenz von Spanien

1) Übersicht und Positionierung

Die DGOJ (Dirección General de Ordenación del Juego) ist eine der anspruchsvollsten Regulierungsbehörden der EU. Der Modus konzentriert sich auf einen hohen Verbraucherschutz: strenge Responsible Gaming-Regeln, klare Grenzen für Werbung und Boni, ausgereifte KYC/AML-Anforderungen und nachweisbare IT-Kontrollen. Die Lizenz wird von Banken/PSPs und großen Content-Anbietern geschätzt, erfordert jedoch eine „evidence-first“ -Disziplin.

Wer ist relevant:
  • Betreiber, die eine langfristige Marke in der EU mit Schwerpunkt auf Compliance und Reputation aufbauen.
  • B2B-Plattformen/Aggregatoren/Studios, die mit einem europäischen Pool von Betreibern zusammenarbeiten.

2) Lizenztypen und Umfang

B2C (Betreiber): Casino/Slots, Wetten, Poker, Bingo usw. für Spieler in Spanien. Voller Umfang: Kasse/Zahlungen, KYC/AML, RG, Werbung/Affiliates, Support, regulatorische und steuerliche Berichterstattung.
B2B/Anbieter: Anforderungen abhängig von der Rolle (Plattform, Inhalt, Hosting); Interoperabilität, Integrationsakte und Telemetrieexporte für Lizenznehmer sind obligatorisch.
Persönliche Rollen: MLRO/AMLO, DPO, RG-Lead, Heads (Compliance/Plattform/SRE/Sicherheit/Zahlungen).

💡 Bei einem B2C + B2B Portfolio werden Prozesse, Logs und Reporting getrennt.

3) Responsible Gaming (Modus-Kern)

RGIAJ - nationales Selbstausschlusssystem: der Betreiber ist verpflichtet, jeden Spieler zu überprüfen; Der Zugriff wird gesperrt, wenn die Aufzeichnung aktiv ist.
Spieler-Tools: Einzahlungs-/Verlust-/Zeitlimits, Reality-Checks, Timeouts/Chill-Out, Aktivitätsverlauf, nächtliche Aktivitätsbeschränkungen (nach internen Richtlinien und Anforderungen).
Verhaltensüberwachung: frühe Anzeichen eines problematischen Spiels, Soft/Hard-Interventionsprotokolle, Kontakt- und Outcome-Log, Eskalationen zum RG-Service.
Boni und Promo: streng reguliert; Verbot irreführender Mechaniker, transparente T&C, Einschränkungen aggressiver Retargete.

4) KYC/AML und Sanktionen

KYC: Überprüfung der Identität/des Alters der Bürger durch DNI, Ausländer durch NIE/Pass; Adresse/Wohnsitz - nach Dokumenten/Quellen.
Risikobasierte AML/CTF: Spielerprofile/Geo/Zahlungsmethoden, PER/Sanktionslisten, EDD-Trigger, Entscheidungsprotokoll, STR/SAR-Verfahren.
Transaktionsüberwachung: Velocity/Anomalien, Kontrolle der Geldquellen bei Verdacht, Limitregeln und Verhaltensmuster.
Crypto/On-Chain (falls zutreffend): Wallet-Richtlinien, Analytics-Anbieter, Kontrolle der Ergebnisse.

5) Werbung, Affiliates und Kommunikation

Altersschranken und Standorte: strenge Targeting-Kontrollen; Verbote von irreführenden Versprechungen, Kennzeichnungsvorschriften.
Zeitfenster und Inhalte: Begrenzung der Sendezeit/Werbeformate; erhöhte Aufmerksamkeit für den Schutz von Minderjährigen und schutzbedürftigen Gruppen.
Affiliates: vertragliche Verantwortung für RG/AML/Daten; White-List-Kanäle, Audits von Kreativen, Stop-Verfahren und Traceability des Verkehrs.
Influencer/Streams: Zusätzliche Anforderungen an das Publikum, Transparenz bei Platzierungen und T & C.

6) Daten und Datenschutz (DSGVO/AEPD)

Legalität und Minimierung: DPIA für risikoreiche Prozesse; PII/PAN-Speicherung minimal und zielorientiert; Zugriffskontrolle und Protokollierung.
Rechte des Subjekts: Zugang/Berichtigung/Löschung/Übertragbarkeit innerhalb der gesetzlichen Fristen; Verfahrenshinweise zur Unterstützung.
Incidents/Brich: Notifizierungspläne für Regulierungsbehörden/-stellen, Prüf- und Remediationsprotokoll.
Grenzüberschreitende Streams: DPAs mit Prozessoren, kontrollierte Übertragungen und der Aufenthalt kritischer Datensätze.

7) Technische Standards: SDLC/Beobachtbarkeit/Sicherheit/DR

SDLC und Releases: Staging-Pipelines, Änderungskontrolle, Artefakt-Signaturen und SBOMs, Rollback-Policy, "no humans in prod', nachweisbares Releaseprotokoll.
Observability: strukturierte Protokolle (ohne PAN und überflüssige PII), Metriken und Traces (OTel), SLO/SLI, synthetische „Deposit/CUS/Output“ Checks, geführte Retention.
Sicherheit: Segmentierung, mTLS, WAF/Bot-Management, SSO/MFA/PAM, SAST/SCA/DAST auf CI/CD, regelmäßiger Pentest und kein überfälliges Critical/High.
DR/BCP: regelmäßige RTO/RPO-bestätigte Restore-Tests, Übungshandlungen und Degradationsszenarien (graceful).
Anti-Missbrauch: Schutz vor Bonus-Missbrauch, Verhaltensbewertung, Gerätesignale, Velocity-Regeln, Überwachung von Beschwerden.

8) Zahlungen und der „Weg ins Portemonnaie“

Methoden: Karten, A2A/Open Banking (PSD2), lokale Instant Rails (einschließlich beliebter Lösungen in Spanien), Banküberweisungen.
Integrationsanforderungen: Idempotenz, HMAC-Signaturen von Webhooks, DLQ/Event-Replikationen, Time-to-Wallet-Überwachung und Berechtigungs-/Erfolgsanteile.
Sanktionen/PER und Velocity: Kontrolle der eingehenden/ausgehenden Ströme, spezielle Verfahren für Retouren/Chargeback.

9) Berichterstattung, Steuern und Verlängerung (High-Level)

Regulatorisches Reporting: Finanzkennzahlen und GGR nach Verticals, RG-Metriken, Reklamationen/Incidents, Strukturänderungen/Keu Persons, Werbeverstöße und Maßnahmen.
Steuerlicher Teil: Aufbau auf der Grundlage des Spieleinkommens; Abgleich mit Spielprotokollen/Auszahlungen und PSP/Bankdaten.
Verlängerung/Audit: regelmäßige Überprüfungen von Richtlinien, technischen Kontrollen, RG/AML und Werbung; „evidence-first“ -Pakete (Releases/SBOMs, Schwachstellen, DR-Acts, RG-Telemetrie).

💡 Spezifische Gebote/Formen und Häufigkeiten sollten nach aktuellen Vorschriften und Ihrer Unternehmensstruktur abgeklärt werden.

10) Lizenzprozess: Phasen und Zeitvorgaben

1. Pre-fit & Gap (1-8 Wochen): Zielvertikale/Kanäle, Anbieterkarte (Content/PSP/KYC), IT-Readiness-Audit, Remediationsplan.
2. Dokumentenpaket (4-12 Wochen): Corporate/Finance/SoF/SoW, Key Persons, AML/RG Policies/Advertising/Data/Incidents/DR, Verträge, IT Architektur.
3. Technische Kontrollen (4-16 Wochen): SDLC/Beobachtbarkeit/Sicherheit/DR, Schwachstellen/Pentest, Wiederherstellungstesthandlungen, Integrations-/Laboranforderungen (falls zutreffend).
4. Prüfung und Q&A: Fragen zu Begünstigten/Politik/IT/Daten/Werbung; Interview mit Schlüsselpersonen; Demonstrationen von Zeitschriften/Dashboards und RG-Prozessen.
5. Ausgabe/Eingabe (2-6 Wochen): Aufnahme von Reporting, On-Boarding PSP/Content, Dry-Run RG/AML/Zahlungsszenarien.
6. Nachaufgaben: regelmäßige Berichte/Audits, Verlängerungen, Variationen (Begünstigte/Vertikale/Standorte).

Kritischer Pfad: Schlüsselpersonen → „Live“ -Richtlinien → SDLC/Beobachtbarkeit/DR (Evidence) → Q & A/Demo.

11) Vor- und Nachteile der DGOJ

Plusse

Hohe Verbrauchervollmacht und Anerkennung bei Banken/PSP/Medien.
Klare RG/Werbe-Standards; starke KYC-Qualität (DNI/NIE).
Ein Plus an Markenkapitalisierung und Partnerschaftsmöglichkeiten in der EU.

Nachteile

Strenge Bonus-/Werbebeschränkungen und hohe OPEX-Compliance.
Starre Nachweisbarkeit von Prozessen (Richtlinien ohne Artefakte funktionieren nicht).
Geringe Toleranz gegenüber „Grauzonen“ und aggressivem Marketing.

12) Checklisten der Bereitschaft

12. 1 Definition of Ready (vor der Einreichung)

  • Umfang (Vertikale/Kanäle/Zahlungsmethoden) ist definiert; Zahlungsrealität bestätigt (PSP/Banken/lokale Schienen).
  • Назначены MLRO/AMLO, DPO, RG-Lead, Heads (Compliance/Platform/SRE/Security/Payments); SoF/SoW und Referenzen gesammelt.
  • AML/RG/advertising/data/incidents/DR policies approved; Schulungen wurden durchgeführt, es gibt ein Revisionsprotokoll.
  • SDLC: Artefakt-Signaturen und SBOMs, Veröffentlichungsprotokoll, "no humans in prod', Rollback-Richtlinie.
  • Observability: SLO/SLI-Dashboards, synthetische Checks „Deposit/CUS/Output“, Retention Logs.
  • Sicherheit: Pentest/Scans geschlossen; kritisch/hoch ohne überfällige Ausnahmen.
  • Content/PSP/KYC/Labor-/Hosting-Verträge; SLA/OLA vereinbart.
  • Werbemodell: White-List-Kanäle, Audit von Kreativen, Stop-Verfahren.
  • Integration mit RGIAJ - Technische und Prozessartefakte stehen bereit.

12. 2 Definition of Done (nach Ausstellung)

  • Regulatorische/steuerliche Berichterstattung enthalten; KPI-Besitzer werden zugewiesen.
  • PSP/Onborden-Inhalt; Webhooks sind signiert (HMAC), Idempotenz und DLQ funktionieren.
  • RG-Tools sind aktiv; Die Telemetrie der Interventionen und das Protokoll der Lösungen werden geführt; Anfragen an RGIAJ sind im Fluss.
  • DR/BCP: Wiederherstellungstests durchgeführt und Urkunden ausgestellt; RTO/RPO ist normal.
  • Werbung/Affiliates: Whitelists, Audits von Kreativen, Protokoll von Verstößen und Maßnahmen.

13) RACI (Beispiel)

GebietResponsibleAccountableConsultedInformed
AML/RG/Daten/Werbung (Richtlinien)Compliance LeadCOO/Head of ComplianceLegal, SecurityProduct, Support
Key Persons/SoF/SoWLegal LeadCEOComplianceBoard
SDLC/Beobachtbarkeit/DRPlatform/SRE LeadCTOSecurityAlle Teams
Pentest/SchwachstellenSecurity LeadCTOVendors, SRECompliance
Verträge (PSP/KYC/Inhalt)Payments/Content OpsCOOLegal, SecurityFinance
Paket/Q & A/DemoProgram ManagerCOOAlle LeadsStakeholders

14) Risiken und Abschwächung

RisikoDas MerkmalMitigierende Maßnahme
Verzögerungen bei Key PersonsDop. Anfragen/InterviewsVorzeitige Abholung, Reservekandidaten
Werbe-/BonusverstößeBeschwerden/BußgelderWhitelists, Creative Audits, harte T&C
„Papier“ RG-RichtlinienKlarstellungen/VorschriftenTelemetrie-Interventionen, Berichte, Runbooks
Schwachstellen/PentestÜberfällige Critical/HighSAST/SCA/DAST in CI, Policy-as-Code, Quick Fixes
ZahlungsvorfälleVerlust/doppelte WebhooksIdempotenz, HMAC, DLQ/Replikate, TtW-Monitoring
RGIAJ-Fehler im ThreadZugriff auf Spieler aus der RegistrierungObligatorische Online-Überprüfung, Fallback-Szenarien

15) Fahrplan 90-180 Tage (Beispiel)

Monat 1-2: Gap-Analyse, Ernennung von Schlüsselpersonen, SDLC/Beobachtbarkeit/Sicherheit Remediation, Laborreservierung.
Monat 2-3: Sammlung von Unternehmenspaket/Richtlinien, Pentest/Scans, DR-Acts, Verträge mit PSP/KYC/Content, Integration mit RGIAJ.
Monat 3-4: Bewerbung, Vorbereitung auf Q & A/Interviews, Dry-Run-Demos (Dashboards, Magazine, RG/AML/Werbeszenarien).
Monat 4-6: Q & A/Variationen, abschließende Verbesserungen, On-Boarding Zahlungen/Inhalte, einschließlich Berichterstattung.

Zusammenfassung

Die spanische DGOJ-Lizenz ist ein strenger, aber vorhersehbarer Modus mit Schwerpunkt auf Responsible Gaming (RGIAJ), der Werbe-/Bonusdisziplin, reifem KYC/AML und nachweisbaren IT-Kontrollen. Wenn Sie auf eine „evidence-first“ -Kultur (SDLC/Observability/Security/DR, RG-Telemetrie, transparente Berichterstattung) vorbereitet sind und die lokalen Marketingregeln respektieren, ermöglicht Spanien den Zugang zu einem Zahlungsökosystem mit hohem Vertrauen und stärkt die Markenkapitalisierung in der EU.

Contact

Kontakt aufnehmen

Kontaktieren Sie uns bei Fragen oder Support.Wir helfen Ihnen jederzeit gerne!

Telegram
@Gamble_GC
Integration starten

Email ist erforderlich. Telegram oder WhatsApp – optional.

Ihr Name optional
Email optional
Betreff optional
Nachricht optional
Telegram optional
@
Wenn Sie Telegram angeben – antworten wir zusätzlich dort.
WhatsApp optional
Format: +Ländercode und Nummer (z. B. +49XXXXXXXXX).

Mit dem Klicken des Buttons stimmen Sie der Datenverarbeitung zu.