GH GambleHub

Datenschutzerklärung und DSGVO

1) Zweck und Umfang

Zweck: Gewährleistung der rechtmäßigen, transparenten und sicheren Verarbeitung personenbezogener Daten (PII) von Spielern, Partnern und Mitarbeitern in allen Gerichtsbarkeiten der Präsenz des Betreibers.
Reichweite: Web/Mobile Apps, CRM/BI/DWH, Fraud/AML/KYC, PSP/CUS/Sanktionsanbieter, Saport, Marketing, Affiliates, Live-Studios, Hosting und Logging.

2) Rollen und Verantwortung (RACI)

Datenschutzbeauftragter (DSB) - A: Compliance-Überwachung, RoPA, DPIA/DTIA, Antworten an die Aufsichtsbehörden.
Head of Compliance - A: Politik, Risikoappetit, Eskalationen und Reporting.
Legal - C: Rechtsgrundlagen, DPA/SCCs-Verträge, Banner und Hinweistexte.
Security/SRE - R: Technische und organisatorische Maßnahmen (TOMs), Access Log, Incidents.
Data/BI - R: Datenkatalog, Minimierung, Maskierung/Pseudonymisierung.
Marketing/CRM - R: Einwilligungen, Präferenzen, Abmeldungen, Cookies.
Product/Engineering - R: Privacy by Design/Default, Speichern und Löschen.
Support/VIP - R: Subject Requests (DSAR), Identitätsprüfung.

3) Rechtsgrundlage der Verarbeitung (Lawful Bases)

Consent (Zustimmung) - Marketing, Analyse/Werbe-Cookies, nicht-obligatorische Personalisierungen.
Vertrag (Vertrag) - Registrierung, Verarbeitung von Raten/Schlussfolgerungen, Saport.
Rechtliche Verpflichtung - KYC/AML/Sanktionen, Buchhaltung und Berichterstattung.
Legitime Interessen - Betrugsbekämpfung, Sicherheit, Produktverbesserung (mit Lead Balancing Test - LIA).
Vital/Public Interest - seltene Fälle von RG/Sicherheit, falls zutreffend und gesetzlich zulässig.

4) Betroffenenrechte (DSR/DSAR)

Zugang (Art. 15), Korrektur (Art. 16), Löschen (Art. 17), Einschränkung (Art. 18), Übertragbarkeit (Art. 20), Einspruch (Art. 21), nicht Gegenstand einer ausschließlich automatisierten Entscheidung (Art. 22).
SLA DSAR-Verarbeitung: Bestätigung ≤ 7 Tage, Ausführung ≤ 30 Tage (Verlängerung um weitere 60, wenn es schwierig ist, das Subjekt zu benachrichtigen).
Verifikation: multifaktoriell; Verbot der Offenlegung sensibler Daten über offene Kanäle.
Protokolle: Speichern Sie die Anfrage, die Identitätsprüfung, das ausgestellte Datenpaket und die Antwortfrist.

5) Register der Verarbeitungsvorgänge (RoPA)

Mindestfelder: Zweck, Kategorien von Personen/Daten, Rechtsgrundlage, Aufbewahrungsfristen, Empfänger/Drittländer, Sicherheitsmaßnahmen, Datenquelle, automatisierte Entscheidungen/Profiling, DPIA/DTIA, falls vorhanden.

6) DPIA/DTIA: wann und wie

DPIA - mit hohem Risiko: Scale Profiling, neue Betrugsbekämpfungsmodelle, Geodatenverarbeitung, RG-Trigger, systematische Beobachtung.
DTIA/TIA - bei grenzüberschreitenden Übertragungen außerhalb des EWR/UK: Bewertung des lokalen Zugangs von Behörden, vertragliche/technische Maßnahmen.
Prozess: Screening → Bewertung von Risiken und Maßnahmen → Abstimmung DPO/Legal → Implementierung von Kontrollen → das Protokoll der Annahmen.

7) Cookies, Pixel, SDK und Einwilligungsbanner

Kategorien: unbedingt notwendig, funktional, analytisch, Marketing.

Anforderungen:
  • Vor der Zustimmung - wir versenden nur streng notwendig.
  • Granulare Zustimmung und separate Ablehnung; Versions- und Zeitstempelprotokoll.
  • CMP mit IAB TCF (falls zutreffend); Automatische Aktualisierung des Banners bei Änderung der Ziele/Lieferanten.
  • Einfache Abmeldung/Änderung der Auswahl jederzeit.

8) Verarbeiter und Unterverarbeiter

DPA mit jedem Anbieter: Betreff, Ziele, Datenkategorien, Fristen, TOMs, Subprozessoren, Audits.
Öffentliches Register der Unterauftragsverarbeiter (Versionsfähigkeit); Änderungsmitteilung und Widerspruchsrecht.
Inspektionen: Due Diligence (ISO/SOC2), Testvorfälle, Pentest-Berichte auf Anfrage, Offboarding-Plan.

9) Grenzüberschreitende Übertragungen

SCCs/IDTA + DTIA; gegebenenfalls zusätzliche Maßnahmen: E2EE, Client-Verschlüsselung, Quasi-Anonymisierung, Schlüssel in der EU.
Wir erfassen den rechtlichen Mechanismus, Länder und Empfänger in der Politik/Register.

10) Aufbewahrung und Löschung (Retention & Deletion)

Terminmatrix (Beispiel):
KategorieDie FristDie Gründung
SpielerkontoBis zu 5 Jahre nach SchließungAML/Buchführung in einer Reihe von Jurisdiktionen
KYC/AML-Dokumente5-10 JahreLegal Obligation
PII-Zugriffsprotokolle1-3 JahreLegitime Interessen/Sicherheit
Marketingveranstaltungen24 MonateConsent/LI
Sapport-Einträge24-36 MonateContract/LI

Löschrichtlinie: automatische Aufgaben (Job) in DWH/Depots; Löschen in Backups nach Zyklus; Fixierung in Zeitschriften. Pseudonymisierung der ID für Analysen.

11) Sicherheit (TOMs)

Technisch: Verschlüsselung bei Rest/Transit, Netzsegmentierung, Rechteminimierung, KMS/Schlüsselrotation, DLP, EDR/IDS/WAF, SSO/MFA, Secret Manager, WORM Journaling.
Organisatorisch: Zugriffsrichtlinien, Schulungen, NDA, Clean Desk, Vendor Inspection, Incident Management (SANS/NIST).
Privacy by Design/Default: Auswertung in Änderungsprozessen, minimale Standarddatensätze, Testdaten ohne PII.

12) Benachrichtigungen über Lecks und Vorfälle

Bewertung: Bestätigung von Tatsache, Umfang und Risiko.
Fristen (Richtlinien): für die Aufsichtsbehörde gemäß den Daten - bis zu 72 Stunden mit dem Risiko von Rechten/Freiheiten; Nutzer ohne unnötige Verzögerung.
Inhalt der Meldung: Beschreibung des Vorfalls, Kategorien und ungefähre Anzahl der Einträge, Kontakt des DSB, Konsequenzen, ergriffene Maßnahmen, Empfehlungen an die Akteure.
Protokolle: Zeitleiste, Lösungen, Brief-/Antwortvorlagen, CAPAs.

13) Marketing und Kommunikation

Trennung von Transaktionsnachrichten (ohne Zustimmung) und Marketing (nur mit Zustimmung).
Präferenzverwaltung: Einstellungszentrum, Abonnements nach Thema/Kanal, Double-Opt-In (wo erforderlich).
Affiliates und Tracking: vertragliche Beschränkungen für die PII-Sammlung/-Übertragung, Verbot der Übertragung von Identifikatoren ohne Grund und Zustimmung.

14) Öffentliche Datenschutzerklärung - Struktur

1. Wer wir sind und die Ansprechpartner des DPO.
2. Welche Daten wir sammeln (nach Kategorien und Quellen).
3. Zweck/Rechtsgrundlage (Tabelle „Zweck → Daten → Grundlage → Dauer“).
4. Cookies/SDK und Einwilligungsmanagement.
5. Empfänger und grenzüberschreitende Transfers (Mechanismen und Maßnahmen).
6. Die Rechte der Subjekte und wie man sie umsetzt.
7. Datensicherheit (TOMs auf hohem Niveau).
8. Aufbewahrungsfristen und Kriterien.
9. Automatisierte Entscheidungen/Profiling und Logik in groben Zügen.
10. Änderungen der Politik (Versionsfähigkeit) und wie wir benachrichtigen.
11. Kontakt für Beschwerden (DPA nach Gerichtsbarkeit, falls erforderlich).

💡 Sprache - einfach und verständlich; Vermeiden Sie Jargon und übermäßige technische Details.

15) Vorlagen und Formulierungsbeispiele

15. 1 Tabelle der Ziele/Gründe (Fragment):

ZielDie DatenDie GründungDie Frist
Registrierung und KontoIdentifikation, KontaktDer VertragKontolebensdauer + X
KYC/AMLDokumente, Fotos, Liveness, Sankz-HitsLegal Obligation5-10 Jahre
Betrugsbekämpfung/SicherheitGeräte-ID, IP, VerhaltenLegitimate Interests24 Monate
MarketingE-Mail/Push/Cookie-IDConsentbis zum Widerruf

15. 2 Cookie-Banner (Minimum):

"Wir verwenden Cookies. Durch Klicken auf „Alle akzeptieren“ stimmen Sie der Speicherung von Analyse- und Marketing-Cookies zu. Sie können die Auswahl nach Kategorie ändern. "Ablehnen optional" - nur unbedingt notwendige Cookies"

15. 3 Abschnitt über Profiling (Beispiel):

"Wir verwenden Profiling, um Betrug zu verhindern und verantwortungsvoll zu spielen (RG). Dies ist aus Sicherheitsgründen notwendig und entspricht unseren berechtigten Interessen. Sie können Widerspruch einlegen, sofern das Gesetz nichts anderes vorschreibt (z.B. AML)"

16) Prozessorientierte SOPs

SOP-1: Aktualisierung der Richtlinie

Auslöser: neue Ziele/Anbieter/SDKs/Jurisdiktionen.
Schritte: Inventarisierung der LIA/DPIA- → → Textaktualisierung → Lokalisierung → CMP-Aktualisierung → Kommunikation mit Benutzern → Version/Einführungsdatum.

SOP-2: DSAR

Anforderungskanal → Überprüfung der Identität → Bewertung der Datenmenge → Paketsammlung (Export aus Systemen) → rechtliche Prüfung → Ausstellung/Ablehnung mit Begründung → Protokoll.

SOP-3: Neuer Subprozessor

Due Diligence → DPA/SCCs → DTIA → einen Ereignistest → die Aufnahme in ein öffentliches Register → die Benachrichtigung der Benutzer (falls erforderlich).

17) Schulung und Audit

Onboarding + jährliche Datenschutzschulung für alle; Zusatzschulungen für Support/Marketing/Engineering.
Internes Audit einmal jährlich: RoPA, Aufbewahrungskonformität, DSAR-Stichprobenprüfung, SMR/Cookie-Revue, Testanwendungen, Pentest/Forensik der Zugriffsprotokolle.
KPI:% der geschulten Mitarbeiter; SLA DSAR; Anteil der Systeme mit eingeschlossener Pseudonymisierung; abgeschlossene CAPAs.

18) Lokalisierung und Multi-Jurisdiktion

GDPR/UK GDPR als Basisstandard; berücksichtigen ePrivacy/PECR für Kommunikation und Cookies.
Lokale Nuancen (Beispiel): Alter der Zustimmung zur Verarbeitung der Daten des Kindes, Aufbewahrungsfristen für KYC, Benachrichtigungsformulare, Anforderungen an die Sprache des Dokuments.
Pflegen Sie eine länderspezifische Abweichungsmatrix und verweisen Sie auf geltende Normen/Lizenzen.

19) Umsetzungsfahrplan (Beispiel)

Woche 1-2: Daten-/Systeminventar, RoPA, Flow Map, Policy Draft.
Wochen 3-4: SMR/Banner, Subprozessorregister, DPA/SCCs, DPIA für risikoreiche Prozesse.
Monat 2: Start des Preference Centers, Automatisierung der Löschung/Anonymisierung, Schulung der Mitarbeiter.
Monat 3 +: regelmäßige Audits, DSAR-Tests, Aktualisierungen von Lokalisierungen und Registern.

20) Kurze Checkliste der Bereitschaft

  • Vom DSB ernannt, Kontakte veröffentlicht
  • Aktuelle RoPA und Datenflusskarte
  • Politik veröffentlicht, lokalisiert, mit Versionsfähigkeit
  • CMP mit nachweisbaren Zustimmungs-/Fehlerprotokollen
  • DPA/SCCs und öffentliches Register der Unterauftragsverarbeiter
  • DPIA/DTIA für Risikoprozesse abgeschlossen
  • Retention-Jobs und Lösch-/Anonymisierungsverfahren
  • SOP auf DSAR und Incidents, trainierte Besitzer
  • Metriken/KPIs und jährliche Datenschutzprüfung

TL; DR

Starke Politik = klare Ziele und Grundlagen + Bestandsaufnahme und RoPA + Einwilligungen/Cookies unter Kontrolle + sichere grenzüberschreitende Übertragungen + Register der Unterauftragsverarbeiter + klare Aufbewahrungsfristen und Löschung + DSAR-Training/Vorfälle. Das mindert Rechts- und Reputationsrisiken und stärkt das Vertrauen der Spieler.

Contact

Kontakt aufnehmen

Kontaktieren Sie uns bei Fragen oder Support.Wir helfen Ihnen jederzeit gerne!

Integration starten

Email ist erforderlich. Telegram oder WhatsApp – optional.

Ihr Name optional
Email optional
Betreff optional
Nachricht optional
Telegram optional
@
Wenn Sie Telegram angeben – antworten wir zusätzlich dort.
WhatsApp optional
Format: +Ländercode und Nummer (z. B. +49XXXXXXXXX).

Mit dem Klicken des Buttons stimmen Sie der Datenverarbeitung zu.