P.I.A.: Datenschutz-Folgenabschätzung

1) Zweck und Anwendungsbereich

Das Ziel: Risiken für die Rechte und Freiheiten betroffener Personen bei Produkt-/Infrastrukturänderungen von iGaming systematisch zu erkennen und zu reduzieren.
Reichweite: neue/wesentlich veränderte Features, Anti-Fraud- und RG-Modelle, Einführung von SDK/PSP/KYC-Anbietern, Datenmigration, A/B-Tests mit Personalisierung, grenzüberschreitende Übertragungen, Profiling.

2) Wenn P.I.A./DPIA erforderlich ist

• Groß angelegte Profilerstellung/Beobachtung (Verhaltensanalyse, Risikoscoring, RG-Trigger).
• Umgang mit speziellen Kategorien (Lebenszeitbiometrie, Gesundheit/RG Schwachstellen).
• Eine Kombination von Datensätzen, die neue Risiken schafft (Zusammenführung von Marketing- und Zahlungsdaten).
• Systematische Überwachung des öffentlich zugänglichen Bereichs (z.B. Stream-Chats).
• Grenzüberschreitende Übertragungen außerhalb des EWR/UK (in Verbindung mit DTIA).
• Wesentliche Änderungen der Zwecke/Gründe oder das Auftreten neuer Anbieter/Unterauftragsverarbeiter.
• Wenn das Risiko gering ist, reicht ein PIA-Screening und ein kurzer Eintrag in die RoPA aus.

3) Rollen und Verantwortung

DPO - Eigentümer der Methodik, unabhängige Bewertung, Abstimmung des Restrisikos, Kontakt mit der Aufsicht.
Produkt/Engineering - Initiator, beschreibt Ziele/Abläufe, setzt Maßnahmen um.
Sicherheit/SRE - TOMs: Verschlüsselung, Zugriffe, Protokollierung, DLP, Tests.
Data/BI/ML - Minimierung, Anonymisierung/Pseudonymisierung, Modellmanagement.
Legal/Compliance - Rechtsgrundlage, DPA/SCCs/IDTA, Einhaltung lokaler Vorschriften.
Marketing/CRM/RG/Payments - Domain-Eigentümer von Daten und Prozessen.

4) P.I.A./DPIA-Prozess (Ende-zu-Ende)

1. Initiierung und Screening (in CAB/Change): Kurzfragebogen "Ist eine DPIA notwendig? ».
2. Die Kartierung der Daten (Data Map): die Quellen → die Felder → die Ziele → die Gründungen → die Empfänger → die Aufbewahrungsfristen → Geografie → die Subprozessoren.
3. Beurteilung der Rechtmäßigkeit und Notwendigkeit: Wahl der Rechtsgrundlagen (Vertrag/Gesetzliche Verpflichtung/LI/Consent), LIA-Test (Interessenabwägung) bei Legitimate Interests.
4. Identifizierung von Risiken: Bedrohungen der Vertraulichkeit, Integrität, Verfügbarkeit, Rechte der Akteure (automatisierte Entscheidungen, Diskriminierung, Sekundärnutzung).
5. Risikobewertung: Wahrscheinlichkeit (L 1-5) × Auswirkung (I 1-5) → R (1-25); Farbzonen (zel/yellow/orange/red).
6. Maßnahmenplan (TOMs): präventiv/detektivisch/korrektiv - mit Eigentümern und Fristen.
7. Restrisiko: Re-Scoring nach Maßnahmen; go/conditioned go/no-go-Lösung; mit einem hohen Restrisiko - Konsultation mit Aufsicht.
8. Fix und Launch: DPIA-Report, RoPA/Richtlinien/Cookies/CMP-Updates, Vertragsdokumente.
9. Monitoring: KRIs/KPIs, Revue DPIA bei Änderungen oder Vorfällen.

5) Datenschutzrisikomatrix (Beispiel)

Wahrscheinlichkeit (L): 1 - selten; 3 - periodisch; 5 - häufig/konstant.
Einfluss (I): berücksichtigt PII-Volumen, Sensitivität, Geographie, Anfälligkeit der Probanden, Reversibilität des Schadens, regulatorische Auswirkungen.

6) Technische und organisatorische Maßnahmen (TOMs)

Minimierung und Integrität: Sammeln Sie nur die richtigen Felder; Trennung von Identifikatoren und Ereignissen; Data Vault/Zone RAW→CURATED.
Pseudonymisierung/Anonymisierung: stabile Pseudo-IDs, Tokenisierung, k-Anonymität dla Berichte.
Sicherheit: Verschlüsselung bei Rest/in Transit, KMS und Schlüsselrotation, SSO/MFA, RBAC/ABAC, WORM-Logs, DLP, EDR, Secret Manager.
Vendor Control: DPA, Subprozessorregister, Audit, Incident Test, Verbot der Sekundärnutzung.
Betroffenenrechte: DSAR-Verfahren, Einspruchsmechanismen, „Non-Tracking“ wo möglich, Human-Review für kritische Entscheidungen.
Transparenz: Aktualisierung der Richtlinien, Cookie-Banner, Präferenzzentrum, Version der Lieferantenlisten.
Qualität und Fairness der Modelle: Bias-Tests, Erklärbarkeit, periodische Rekalibrierung.

7) Kommunikation mit LIA und DTIA

LIA (Legitimate Interests Assessment): wird durchgeführt, wenn die Basis LI ist; umfasst einen Test des Zwecks, der Notwendigkeit und des Gleichgewichts (Schaden/Nutzen, Erwartungen der Nutzer, mildernde Maßnahmen).
DTIA (Data Transfer Impact Assessment): obligatorisch unter SCCs/IDTA für Länder ohne Angemessenheit; erfasst das rechtliche Umfeld, den Zugang der Behörden, technische Maßnahmen (E2EE/Kundenschlüssel), das Gebiet der Schlüssel.

8) DPIA-Berichtsvorlage (Struktur)

1. Kontext: Initiator, Beschreibung des Spiels/Prozesses, Ziele, Publikum, Zeitrahmen.
2. Rechtsgrundlage: Contract/LO/LI/Consent; LIA-Zusammenfassung.
3. Datenkarte: Kategorien, Quellen, Empfänger, Subprozessoren, Geographie, Aufbewahrungsfristen, Profiling/Automatisierung.
4. Risikobewertung: Bedrohungsliste, L/I/R, betroffene Rechte, möglicher Schaden.
5. Maßnahmen: TOMs, Eigentümer, Termine, Leistungskriterien (KPI).
6. Restrisiko und Lösung (go/conditional/no-go); wenn hoch - der Plan der Konsultation mit der Aufsicht.
7. Monitoringplan: KRIs, Ereignisse zur Überarbeitung, Verknüpfung mit dem Incident-Prozess.
8. Signaturen und Zustimmungen: Produkt, Sicherheit, Legal, DPO (erforderlich).

9) Integration mit Releases und CABs

DPIA-Gate: Für risikoreiche Änderungen ein obligatorisches Artefakt in der CAB.
Feature-Flags/Kanarienvögel: Aufnahme von Fich mit begrenztem Publikum, Sammeln von Datenschutzsignalen.
Datenschutz-Änderungsprotokoll: Version der Richtlinien, Liste der Anbieter/SDKs, CMP-Updates, Einstiegsdatum.
Rollback-Plan: Deaktivierung des SDK/Files, Löschung/Archivierung von Daten, Rückruf von Schlüsseln/Zugriffen.

10) P.I.A./DPIA Leistungskennzahlen

Coverage:% der von PIA gescreenten Veröffentlichungen ≥ 95%;% der Risikoänderungen mit DPIA ≥ 95%.
Zeit-zu-DPIA: Die mediane Zeit von der Initiierung bis zur Lösung ≤ X Tage.
Qualität: Anteil der DPIA mit messbaren Maßnahmen KPIs ≥ 90%.
DSAR SLA: Bestätigung ≤ 7 Tage, Ausführung ≤ 30; Kommunikation mit DPIA für neue fitch.
Incidents: Anteil der Lecks/Beschwerden im Zusammenhang mit Bereichen ohne DPIA → 0;% der Benachrichtigungen in 72 Stunden - 100%.
Vendor readiness:% der Risikoanbieter mit DPA/SCCs/DTIA - 100%.

11) Domain-Fälle (iGaming)

A) Neuer KYC-Anbieter mit Biometrie

Risiken: spezielle Kategorien, Libido, sekundäre Verwendung von Bildern.
Maßnahmen: Speicherung beim Anbieter, strenge DPA (Data Learning Ban), Verschlüsselung, Löschung per SLA, Fallback-Anbieter, DSAR-Kanal.

B) Betrugsbekämpfungsmodell des Behavioral Scoring

Risiken: automatisierte Entscheidungen, Diskriminierung, Erklärbarkeit.
Maßnahmen: Human-Review für High-Impact-Lösungen, Erklärbarkeit, Bias-Audits, Ursachenprotokoll, Minimierung von Stichworten.

C) Marketing-SDK/Retargeting

Risiken: Tracking ohne Einwilligung, verdeckte Weitergabe von Kennungen.
Maßnahmen: CMP (granular consent), Server-Side-Tagging, Anon-IP-Modus, vertragliches Verbot von Sekundärzielen, Transparenz in der Politik.

D) Responsible Gaming (RG) Warnungen

Risiken: Datenempfindlichkeit, falsche Flags → Schaden für den Benutzer.
Maßnahmen: sanfte Eingriffe, Beschwerderecht, eingeschränkter Zugang, Entscheidungsprotokoll, Sapport-Training.

E) Datenmigration in die Cloud/neue Region

Risiken: Grenzübergreifend, neuer Subprozessor.
Maßnahmen: SCCs/IDTA + DTIA, Schlüssel in der EU, Segmentierung der Umgebungen, Störfalltest, Aktualisierung des Subprozessorregisters.

12) Checklisten

12. 1 PIA-Screening (schnell)

• Gibt es Profiling/Lösungsautomatisierung?
• Werden Sonderkategorien/Kinderdaten verarbeitet?
• Neue Anbieter/Subprozessoren/Länder?
• Ändern sich die Zwecke/Grundlagen der Verarbeitung?
• Sind große Mengen/vulnerable Gruppen beteiligt?

→ Wenn ja ≥1 -2 Punkte - starten Sie DPIA.

12. 2 DPIA-Berichtsbereitschaft

• Datenkarte und RoPA aktualisiert
• LIA/DTIA (falls zutreffend) abgeschlossen
• Maßnahmen (TOMs) zugeordnet und messbar
• Restrisiko vom DSB bewertet und vereinbart
• Richtlinie/Cookies/GMR aktualisiert
• Dock-Footprint und Versionen erhalten

13) Muster (Fragmente)

13. 1 Zielformulierung (Beispiel):

„Sicherstellung der Betrugsprävention bei Abhebungen von Geldern durch Behavioral Scoring im berechtigten Interesse, mit Datenminimierung und Human-Review für Entscheidungen, die den Zugang zu Geldern einschränken“.

13. 2 Kennzahlen der Maßnahmen (Beispiel):

FNR-Modellreduktion auf P95 ohne FPR-Wachstum> 2 pp

Die Antwortzeit von DSAR auf neue Daten ≤ 20 Tage.
Entfernung der Biometrie 24 Stunden nach der Verifizierung, Bestätigungsprotokoll - 100%.

13. 3 Feld in RoPA (Ergänzung):

`automated_decision: true | legal_basis: LI | LIA_ref: LIA-2025-07 | dpia_ref: DPIA-2025-19 | dpo_sign: 2025-11-01`

14) Lagerung von Artefakten und Audit

DPIA/LIA/DTIA, Lösungen, Richtlinien-/Bannerversionen, DPA/SCCs/Subprozessorregister, CMP-Zustimmungsprotokolle - zentral zu speichern (WORM/Versionierung).
Audit einmal jährlich: DPIA-Stichprobe, Überprüfung der umgesetzten Maßnahmen, Kontrolle der Metriken, DSAR-Test.

15) Fahrplan für die Umsetzung

Wochen 1-2: PIA-Screening in CAB implementieren, DPIA-Vorlage genehmigen, Eigentümer schulen.
Woche 3-4: Führen Sie Data Map/RoPA, SMR/Banner, Vendor Registers aus und bereiten Sie DPA/SCCs/DTIA vor.
Monat 2: Erste DPIAs zu High-Risk-Streams (CUS/Fraud/Marketing) durchführen, KPIs binden.
Monat 3 +: vierteljährliche DPIA-Reviews, Bias-Modellaudits, Lecktest-Übungen, kontinuierliche Verbesserungen.

TL; DR

PIA/DPIA = early screening + data map + legality (LIA/DTIA) + Risiko- und Maßnahmenbewertung (TOMs) + harmonisiertes Restrisiko unter DPO-Kontrolle + Metriküberwachung. Wir bauen in CABs und Releases ein - und verwandeln die Privatsphäre in einen überschaubaren, überprüfbaren Prozess, nicht in „Feuerwehrarbeiten“.