ISO 27701: Datenschutz-Management

1) Was ist ISO 27701 und warum ist es ein iGaming-Betreiber?

ISO 27701 ist ein Add-On zu ISO 27001 und 27002, das ISMS zu PIMS (Privacy Information Management System) erweitert.
Für iGaming: die beweisbare Übereinstimmung mit den Forderungen priwatnosti (GDPR/UK GDPR/ePrivacy u.a.m.), die beschleunigte Arbeit mit den Reglern/Banken/Partnern KYC/PSP, die Senkung des Risikos der Strafen und die Vereinfachung des wendor-Managements.

2) Bereich und Kontext von PIMS

• Rollen und Grenzen: In welchen Prozessen sind Sie Controller, wo sind Sie Processor; welche Marken/Regionen/Prozesse in Scope enthalten sind.
• Datenkategorien: Registrierung, Zahlungen, KYC/AML/Sanktionen, Verhaltensereignisse, RG-Signale, Sapport, Marketing/SDK.
• Rechtliche Verpflichtungen: lokale Datenschutzgesetze, Lizenzbedingungen, Verträge mit Partnern.

Ergebnis: PIMS Scope & Context Dokument + Stakeholder Map.

3) Hauptrollen und Verantwortlichkeiten

4) Bündel von ISO 27701 ↔ ISO 27001

ISMS (27001/27002): Sicherheitsbasis (Vermögenswerte, Risiken, Kontrollen).
PIMS (27701): fügt die Datenschutzpolitik, die Rechtmäßigkeit der Verarbeitung, die Rechte der betroffenen Personen, den Datenlebenszyklus, vertragliche und grenzüberschreitende Mechanismen hinzu.
SoA/Statement of Applicability: erweitert um private PIMS-Kontrollen.

5) Verarbeitungsregister (RoPA) und Datenkarte

Für jeden Prozess: Zweck, Rechtsgrundlage, Kategorien von Personen/Daten, Speicherdauer, Empfänger/Unterauftragsverarbeiter, Geografien, TOMs, DPIA-Flag.

yaml process: account_registration controller_role: controller purpose: account creation and contract execution lawful_basis: contract data_categories: [PII_basic, contact, device_fingerprint]
recipients: [psp, kyc_provider]
retention: P + 5y # storage policy locations: [EU, UK]
toms: [mTLS, encryption_at_rest, RBAC+ABAC, MFA, masking]
dpia_required: false

6) Rechtsgrundlage und Einwilligung (Lawful Basis & Consent)

Vertrag/Rechtliche Verpflichtung: Zahlungen, KYC/AML, Betrugsprävention.
Legitimes Interesse: grundlegende Analytik/Sicherheit (mit Lead-Bewertung und Opt-out, wo erforderlich).
Consent: Marketing, Cookies/SDK für lose notwendige Zwecke, bestimmte Arten von Profiling.
Sonderkategorien: nur mit klaren Grundlagen und verstärkten Maßnahmen.

SMR/Consent Management: Aufzeichnung der Richtlinien-/Bannerversion, Granularität nach Zielen, Nachweisbarkeit des Widerrufs.

7) DPIA/PIA - Datenschutz-Folgenabschätzung

Wann: neue Technologie, großflächige Verarbeitung, sensible Daten, systematisches Profiling, Grenzüberschreitung.
Inhalt: Beschreibung der Verarbeitung, Notwendigkeit und Verhältnismäßigkeit, Risiken für die Betroffenenrechte, Minderungsmaßnahmen.
Exit: Lösung (gehen/verfeinern/ablehnen) + CAPA-Plan und Datumskontrolle.

8) Betroffenenrechte (DSAR)

Rechte: Zugang, Berichtigung, Löschung, Einschränkung, Portabilität, Widerspruch, Verzicht auf Profiling/Marketing.
SLA: Bestätigung der Anfrage schnell und Ausführung innerhalb der regulären Frist.
Ausführungsablauf: Erhalt → Verifizierung der Identität → Datenerfassung → Antwort/Ausführung → Protokoll.

Verbot von „Blindentladungen“: nur durch Schaufenster mit Maskierung und Protokollen; Einschränkung kleiner Stichproben (Privacy Thresholds).

9) Minimierung, Maskierung und Retention

Datenminimierung: Speichern Sie nur, was für die Zwecke erforderlich ist; „tote“ Felder regelmäßig löschen/anonymisieren.
Maskierung/Pseudonymisierung: Standard für PII; Enttarnung - JIT + 'purpose' + Audit.
Retention-Matrix: Aufbewahrungsfristen pro Prozess/Kategorie, Stop-Faktoren (legal), Auto-Delete/Archiv.

10) Grenzüberschreitende Übertragungen und Unterauftragsverarbeiter

Vertragliche Mechanismen: DPA, SCCs/IDTA, DTIA (Getriebebewertung).
Ort der Daten/Schlüssel: wo die Daten/Schlüssel physisch sind (KMS/HSM), VUOC-Richtlinie/regionale Schlüssel.
Register der Unterauftragsverarbeiter: Benachrichtigung über Änderungen, Widerspruchsrecht, TOMs-Ebene nicht niedriger als unsere.

11) Privacy by Design / by Default

In der Entwurfsphase: Datenschutzanforderungen in PRD, Threat Modeling Template mit privaten Bedrohungen.
In der Implementierung: RLS/CLS, Tokenisierung, Verschlüsselung, minimale API-Mikroskope, Telemetrie ohne PII.
Default: Optionale Tracker, einzelne Schlüssel/Nijmspaces pro Region/Tenant sind ausgeschaltet.

12) PIMS Protokollierung, Nachweisbarkeit und Audit

Логи (WORM+подпись): `READ_PII`, `EXPORT_DATA`, `PII_UNMASK`, `CONSENT_UPDATE`, `DSAR_`, `BREACH_`.
Berichterstattung: RoPA-Status, DPIA-Kampagnen, DSAR-SLA/Backlog, Retention-Löschungen, Vendor-Änderungen, Unregelmäßigkeiten/Vorfälle.
Audit: jährlich (oder bei Änderungen), Überprüfung der Design/Operating Effectiveness der privaten Kontrollen.

13) Kennzahlen (KPI/KRI) PIMS

• DSAR on-time ≥ 95%
• Relevanz von RoPA ≥ 98%
• DPIA-Deckung nach Risikopositionen = 100%
• Anteil der automatischen Löschungen nach Retention ≥ 95%
• CMP-Aktivierungsrate (aufgezeichnete Zustimmungseinträge) = 100%

• Zugang zur PII ohne' purpose'= 0
• Unerlaubte Ausfuhr/Verbringung = 0
• Vorfälle/Lecks nach Ablauf der Frist gemeldet = 0
• Fehlende DPA/SCCs für aktives Getriebe = 0

14) Integration in bestehende Kontrollen

IGA/RBAC/ABAC/JIT/PAM: Rechteminimierung und kontextbezogene Zugangsbedingungen.
Log Policy und Audit Logs: Nachweisbarkeit von Aktionen mit PII.

TPRM und Verträge: DPA/SCCs/DTIA, Prüfungsrechte, SLA-Benachrichtigungen ≤ 72 Stunden

ISO 27001/ISMS: Allgemeines Risikomodell, SoA und interne Audits.
Vorfälle und Lecks: Playbook breach, gemeinsame Kriegsräume mit Anbietern.

15) Artefaktmuster (Fragmente)

15. 1 Datenschutzrichtlinie (interner Auszug)

yaml privacy_policy:
principles: [lawfulness, fairness, transparency, minimization, accuracy, storage_limitation, integrity_confidentiality, accountability]
roles: {controller: true, processor: true}
data_subject_rights: enabled consent_management: CMP_v2 retention_policy: matrix_ref:v1. 4

15. 2 Politik der Enttarnung

yaml pii_unmask:
allowed_roles: [aml_officer, dpo, fraud_analyst_jit]
approvals: [data_owner, privacy]
ttl_minutes: 30 logging: [PII_UNMASK, READ_PII]

15. 3 DSAR-Prozess

yaml dsar:
intake_channels: [portal, email]
verification: kyc_level>=2 sla_days: 30 export_mechanism: curated_vitrines_only audit_events: [DSAR_OPEN, DSAR_VERIFY, DSAR_FULFILL, DSAR_CLOSE]

15. 4 Retention-Matrix (Fragment)

yaml retention:
registration_logs: {basis: legal, period: "P5Y"}
marketing_events: {basis: consent, period: "P12M", on_withdraw: "delete"}
kyc_documents:   {basis: legal, period: "P5Y", storage: "vault_encrypted"}

16) SOP (Verfahren)

16. 1 RoPA-Aktualisierung

1. Der Initiator der Änderung (Product/Owner) → die Prozesskarte → Legal/Privacy Review → Security TOMs → Veröffentlichung und Version.

16. 2 Durchführung der DPIA

1. Risikoscreening → DPIA-Vorlage → DPO- → CAPA-Beratung → Entscheidung und Terminkontrolle.

16. 3 DSAR

1. Akzeptieren → verifizieren → sammeln und filtern Sie durch die Schaufenster → Antwort/Ausführung → Protokollierung und Schließung.

16. 4 Anbieter/Getriebe

1. Due Diligence → DPA/SCCs/DTIA → die Registrierung von Subprozessoren → Überwachung von Änderungen → Offboarding und Bestätigung der Löschung.

17) RACI (vergrößert)

18) Umsetzungsfahrplan (8-10 Wochen)

Woche 1-2: Scope/Kontext, Rollen und RACI, Prozess/Dateninventar, RoPA-Entwurf und Retention-Matrix.
Wochen 3-4: Datenschutzrichtlinie, CMP/Consent-Flow, DSAR-Prozess, DPIA-Vorlagen, DPA/SCCs/DTIA-Update mit Anbietern.
Woche 5-6: Implementierung von TOMs (Masking, RLS/CLS, JIT/PAM), Showcases für DSAR, WORM-Logs, KPI/KRI Reporting.
Woche 7-8: DPIA für hohes Risiko durchführen, CAPA schließen, internes PIMS-Audit, Management Review (PIMS).
Woche 9-10: Anpassungen, regelmäßige Berichterstattung, Vorbereitung einer externen Bewertung (falls erforderlich).

19) Häufige Fehler und wie man sie vermeidet

RoPA „for a tick“: Verknüpfen Sie jeden Eintrag mit Zielen, Gründen und Retention; Halten Sie die Live-Version.
DSAR durch „rohe“ DBs: nur durch Schaufenster/Exporte mit Maskierung und Protokollen.
Keine DTIA bei Grenzüberschreitung: Vorab anmelden, Standort der Daten/Schlüssel erfassen.
Marketing SDKs ohne CMP: Verbot vor Aufnahme von CMPs und vertraglichen TOMs.
Kein Pbd/PbD: Privacy-Anforderungen in PRD und Definition of Done einbeziehen.

20) Einhaltung der Vorschriften (Run PIMS)

Monatlich: KPI/KRI-Berichte, RoPA-Änderungsaudit, Subprozessorüberwachung, DSAR SLA.
Vierteljährlich: Revue-Retention/Umzüge, thematische Checks (Marketing, SDK, KYC).
Jährlich: PIMS internes Audit, Kontext/Risiko-Update, Mitarbeiterschulung, Management Review.

TL; DR

ISO 27701 = PIMS über ISMS: RoPA + gesetzliche Grundlagen/Zustimmungen + DPIA/DSAR + Minimierung/Retention + grenzüberschreitende und Subprozessoren + nachweisbare TOMs. Wir bauen in bestehende RBAC/ABAC/JIT/Logs und TPRM ein - und erhalten eine überschaubare, messbare Privatsphäre, bereit für interne und externe Prüfungen.