GH GambleHub

Cookie-Richtlinie und CMP-Systeme

1) Ziel und Bereich

Einheitliche Regeln für das rechtmäßige Speichern/Lesen von Kennungen (Cookies, Local Storage, SDK) und das Zustimmungsmanagement über CMP in allen Oberflächen: Web, iOS/Android, E-Mail/SMS/Push, Affiliate-Landings, Streams. Das Dokument ergänzt: „DSGVO: Einwilligungsmanagement“, „Altersüberprüfung“, „Werbestandards“.

2) Rechtliche Grundlagen (kurz)

ePrivacy: Alle locker notwendigen Cookies/SDKs - nur nach Einwilligung. „Unbedingt erforderlich“ (Authentifizierung, Warenkorb/Guthaben, Sicherheit/Betrugsbekämpfung) - ohne Zustimmung zulässig.
DSGVO: Einwilligung als Rechtsgrundlage für die Verarbeitung (Art. 6(1)(a)); für Dienstleistungsvorgänge - vertragliche Notwendigkeit (Art. 6(1)(b)); berechtigtes Interesse - begrenzt und mit Widerspruchsrecht.
Kinder/Schutzbedürftige: Marketing-/Personalisierungs-IDs sind verboten.

3) Grundsätze

1. Prior Consent: keine nicht-notwendigen Tags vor der Auswahl in CMP.
2. Getrennte Ziele: Analytics, Personalisierung, Marketing, Remarketing, Geolocation, A/B - separate Kippschalter.
3. Widerruf = per Klick: so einfach wie Zustimmung; sofortige Beendigung der Verarbeitung.
4. Keine dunklen Muster: gleiche Sichtbarkeit „Alles akzeptieren “/„ Alles ablehnen “/„ Anpassen“.
5. Nachweisbarkeit: Textversionen, Hashes, UI-Screenshots, Firing-Regelprotokolle.
6. Minimierung/Lokalisierung: Wir setzen und speichern nur das, was in den zulässigen Regionen benötigt wird.

4) Rollen und RACI

DPO/Compliance (Owner) - Politik, DPIA, Antworten auf Beschwerden. (A)

Legal - Texte, lokale Anforderungen und Aufbewahrungsfristen. (R)

Produkt/UX - Banner/Panels, Verfügbarkeit und Locals. (R)

Engineering/CMP Owner - Tag Sperren, SDK, API, Versionen. (R)

Data/Analytics - De-Identification-Modi, Messung unter Berücksichtigung von Zustimmungen. (C)

CRM/Ads - Unterstützung bei widerrufenen Einwilligungen. (R)

InfoSec - Verschlüsselung, Schlüssel, Zugriff auf Zustimmungsprotokolle. (C)

Internal Audit - Stichproben von Beweisen, CAPA. (C)

5) Taxonomie Cookies/SDK

Unbedingt erforderlich (ohne Zustimmung):
  • Session/Authentifizierung, Balance/Korb, Schutz vor Betrug und Lastverteilung, Beibehaltung der Privatsphäre Wahl.
Einvernehmlich (getrennte Ziele):
  • Analytik (User-Level, geräteübergreifende ID).
  • Personalisierung (Inhalte/Spiele, Empfehlungen).
  • Marketing (E-Mail/SMS/Push - Kanäle separat).
  • Remarketing/Anzeigen (Pixel/SDK von Drittanbietern).
  • A/B-Tests (wenn IDs verwendet werden).
  • Geolokalisierung „Stadt/Region“ (lax).

6) CMP: UX-Muster und Texte

Erste Ebene (Banner): kurzes Ziel, 3 äquivalente Schaltflächen: Alle ablehnen/Anpassen/Alle akzeptieren.
Zweite Schicht (Panel): Zielknöpfe, Liste der Anbieter und Aufbewahrungsfristen, Link zur Richtlinie.
Präferenzzentrum: Im Spielerprofil befinden sich Channel-Marketing-Flags (E-Mail/SMS/Push/Telefon), „Alles abmelden“.
Verfügbarkeit: AA + Kontrast, Fokusfalle, Bildschirmleser, Lokalisierung, mobile Anpassung.
GPC/Do Not Track: globales Signal = alles ablehnen (außer unbedingt notwendig).
Apps: in-app CMP + System OS-prompts; Synchronisation mit dem Serverprofil.

Beispiel für Bannertext:
💡 Wir verwenden Dateien und IDs für Analysen, Personalisierung und Marketing. Wählen Sie, was zu Ihnen passt. Die Einstellungen können jederzeit geändert werden.
[Alle ablehnen] [Anpassen] [Alle akzeptieren]

7) IAB TCF 2. 2 (Rahmen)

Generierung und Speicherung von TC-Strings, Vendor-List-Version, Target-Mapping ↔ unsere Flaggen.
Sperren Sie dritte Tags, bis Sie TC (prior consent) erhalten.
Respekt für Genehmigungen/Verbote für jeden Anbieter und Zweck.
Für Märkte außerhalb von TCF - Custom CMP mit ähnlicher Protokollierung.

8) Tags, Tag Manager und Server-Seite

Deny by default: Regeln in TM blockieren alle nicht notwendigen Tags bis zur Zustimmung.
Server-Side-Tagging: Proxy-Pfad mit Nullen/Maskieren von IDs bei fehlender Zustimmung; Die Konfiguration wird in der zulässigen Region gespeichert.
SDK-Gates: Initialisierung von Marketing/Analyse-SDKs nur bei True-Target-Flag.
Firing-Logs: wer/was/wann „geschossen“ wurde, mit welchem Zustimmungsstatus.

9) Daten, Artefakte und Retention (Minimalmodell)


consent_id, user_id/device_id, market, locale,
ui_variant_id, policy_version, tcf_string, vendors[],
purpose_id, status{accept    deny    withdraw}, source{web    app    sdk    api},
captured_at_utc, ip_hash, ua_hash, gpc{true    false},
evidence{banner_screenshot_id, copy_hash}, expires_at

WORM-Protokolle von Einwilligungen/Bewertungen, Textversionen, Screenshots von UI-Varianten.
Retention: solange das Ziel/die Beziehung gültig ist + lokale Fristen; Marketing - begrenzt (oft ≤ 24 Monate der Inaktivität).

10) Integrationen: CRM/Anzeigen/Affiliates

Unterdrückung: Rückruf → sofortige Deaktivierung von Kanälen und Remarketing (Near-Real-Time + Night-Batches).
E-Mail/SMS: Versand nur bei explizit true für den Kanal (double opt-in für Märkte).
Affiliates: Leads ohne GMR/gültiger Zustimmungsstatus - nicht qualifiziert; version/hash Bedingungen - erforderlich.

11) Regionale Profile (Vorlage)


Market: ______
Required banner elements:...
Retention and localization:...
Requirements for TCF/vendor lists:...
GPC/DNT status:...
Documents/mandatory links:...

12) Kontrollen, Tests und Audits

CI-Linter: Überprüfen Sie, ob „Alles ablehnen“, GPC-Verarbeitung, Tag-Blockierung bis zur Zustimmung vorhanden ist.
E2E-Tests: accept/deny/withdraw-Skripte → Überprüfung von Firing-Logs und Suppression im CRM.
Stichproben: vierteljährliche Prüfung von Zustimmungsaufzeichnungen und UI-Screenshots; Abgleich der Textversionen.
Vorfälle: Jeder Start eines Tags ohne Zustimmung → sofortige Takedown, Ursache/Fix, CAPA.

13) KPI/KRI und Dashboard

Opt-in Rate nach Zielen/Märkten/Geräten.
Withdraw Rate und Time-to-Apply (Median).
GPC Honor Rate (korrekte Globe-Verarbeitung. Signal).
Tag Firing Violations (auf 1k Downloads).
Suppression Integrity (Marketing bei Rückruf = 0).
Complaint Rate / Reg Findings.
Auditability Score (% der Datensätze mit einem vollständigen Artefakt-Paket).

14) Checklisten

Vor dem Start

  • Banner mit „Alles ablehnen“, Locals, AA + Verfügbarkeit.
  • Die Zielkategorien und die Liste der Anbieter werden vereinbart (Legal/DSB).
  • Tag Manager: deny-by-default; SDK-Gates.
  • GPC wird erkannt und angewendet.
  • Präferenzzentrum mit Kanalfahnen und „Alles abmelden“.
  • WORM-Beweisspeicher enthalten.

In Operationen

  • Überwachung von Firing-Verstößen und GPC.
  • Überleitung der Suppression in CRM/Ads.
  • DSAR gibt den aktuellen Status und das Protokoll zurück.

Prüfung/Verbesserung

  • Vierteljährliche Stichproben von Einwilligungen und UI-Screenshots.
  • A/B-Revue-Banner auf das Fehlen von dunklen Mustern.
  • Aktualisierung der regionalen Profile und Texte.

15) Vorlagen (Schnelleinfügungen)

A) Banner (erste Schicht)

💡 Wir verwenden Dateien und IDs für Analysen, Personalisierung und Marketing. Sie können nach Kategorien akzeptieren, ablehnen oder anpassen.
[Alle ablehnen] [Anpassen] [Alle akzeptieren]

B) Panel (Ziel „Remarketing/Anzeigen“)

💡 Erlauben Sie die Verwendung von IDs, um personalisierte Werbung auf externen Websites anzuzeigen. Andernfalls werden wir keine Pixel/SDKs von Dritten verwenden.

C) Widerruf der Einwilligung (Bestätigung)

💡 Ihre Einstellungen wurden aktualisiert. Personalisierte Werbung und Marketing-IDs sind deaktiviert. Sie können weiterhin spielen und den Service nutzen.

D) Antwort auf die Beschwerde „kann nicht abgelehnt werden“

💡 Opt-out ist von jedem Bildschirm aus über die „Privacy Settings“ und im CMP-Banner verfügbar. Wir haben das Verhalten der N-Seite überprüft und das Problem behoben. Sorry für die Unannehmlichkeiten.

16) Technischer Rahmen und Veranstaltungen

События: `cmp_banner_shown`, `consent_given/denied/withdrawn`, `gpc_detected`, `tag_fired_blocked`, `sdk_initialized/blocked`, `marketing_unsubscribed`, `dsar_fulfilled`.

API:
  • `GET /consents? user_id=…`
  • `POST /consents` (create/withdraw/update)
  • `POST /marketing/preferences`
  • `POST /gpc/signal`
  • Infrastruktur: Server-Zustimmungs-Cache, Geo-Logbindung, ID-Maskierung bei deny.

17) Risiken und Prävention

Ausführen von Tags bis zur Zustimmung. → Deny-by-default, E2E-Tests, Alarme.
Dunkle Muster im Banner. → Design-Revue, gleiche Sichtbarkeit der Tasten.
Nicht übereinstimmende Status in CRM/Ads. → Ein einziger Suppressionsservice und tägliche Abstimmungen.
Sammeln Sie zusätzliche IDs. → Minimierung, Maskierung, regionale Profile.
Keine Beweise. → Screenshots/Hashes/Logs in WORM.

18) 30-tägiger Implementierungsplan

Woche 1

1. Genehmigen Sie die Taxonomie von Cookies/Zielen und Texten (Locales); DPIA.
2. CMP auswählen/konfigurieren (TCF 2. 2 + benutzerdefinierte Ziele), aktivieren Sie GPC.
3. Spezifizieren Sie das Daten-/Artefaktmodell, WORM-Speicher.

Woche 2

4) Implementieren Sie deny-by-default im Tag Manager, Server-Zustimmungs-Cache, SDK-Gates.
5) Bauen Sie ein Präferenzzentrum (Kanalflaggen, „Alles abmelden“).
6) Konfigurieren Sie die Suppression in CRM/Anzeigen und Affiliate-Feeds.

Woche 3

7) Pilot auf 10-20% des Verkehrs: Opt-in/Withdraw/GPC Ehre, Firing Logtest.
8) Korrekturen von UX/Copyright/TM-Regeln zu Feedback und Incidents.

Woche 4

9) Vollständige Freigabe; KPI/KRI Dashboards und Alerts einschließen.
10) Vierteljährlicher Plan für Audits und CAPA.
11) Plan v1. 1: Server-Side-Tagging für alle Märkte, Auto-Reports nach Zustimmung.

Verwandte Abschnitte:
  • DSGVO: Verwaltung der Einwilligung der Nutzer
  • Altersüberprüfung und Altersfilter
  • Werbestandards und Verbote/Disclaimer und Wahrhaftigkeit der Werbung
  • Transparenz der Bonusbedingungen
  • Datenlokalisierung nach Jurisdiktion
  • Compliance Dashboards und Monitoring/Interne und externe Audits
Contact

Kontakt aufnehmen

Kontaktieren Sie uns bei Fragen oder Support.Wir helfen Ihnen jederzeit gerne!

Telegram
@Gamble_GC
Integration starten

Email ist erforderlich. Telegram oder WhatsApp – optional.

Ihr Name optional
Email optional
Betreff optional
Nachricht optional
Telegram optional
@
Wenn Sie Telegram angeben – antworten wir zusätzlich dort.
WhatsApp optional
Format: +Ländercode und Nummer (z. B. +49XXXXXXXXX).

Mit dem Klicken des Buttons stimmen Sie der Datenverarbeitung zu.