Operationen und Compliance → Regulatorische Karte der iGaming-Märkte

Regulatorische Karte der iGaming-Märkte

1) Warum eine regulatorische Karte benötigt wird

Die Arbeit in mehreren Märkten beruht auf der Vergleichbarkeit und Relevanz der Anforderungen. Die „Karte“ ist ein einheitlicher Katalog von Ländern mit normalisierten Feldern: Lizenztyp, KYC/AML-Anforderungen, RG-Beschränkungen, Werbe-/Affiliate-Regeln, Zahlungsmethoden, Steuermodell, Berichterstattung, Anbieter und lokale „rote Linien“.

Die Ziele sind:

Beschleunigung von Go-/No-Go und Priorisierung der Länder.
Vereinfachen Sie On-Boarding-Anbieter, Werbung und Zahlungen für lokale Vorschriften.
Reduzieren Sie Straf-/Reputationsrisiken und Compliance-Kosten.
Geben Sie Ops/Compliance eine einzige Quelle der Wahrheit (SSOT).

2) Taxonomie der Felder (was wir für jedes Land erfassen)

Grundlegende Metadaten

Land/Region, Marktstatus (reguliert/grau/verboten), verfügbare Vertikale (Casino, Live, Wetten, Poker, Lotto).
Anmeldemodell: Lokale Lizenz/.com eingeschränkt/Partnerschaft mit dem lokalen Inhaber.

Lizenzierung und Überwachung

Regulierungsbehörde (en), Arten von Lizenzen (B2C/B2B/Unterkategorien), Anforderungen an die lokale Präsenz.
Auditverfahren (technisch, finanziell, RNG) und Periodizität.

KYC/AML

Grundüberprüfung (Identität, Adresse), EDD-Trigger, PR-/Sanktionsprüfung, Datenspeicherungsfristen.
Quellen-, Velocity-Limit- und Eskalationsregeln.

Responsible Gaming (RG)

Altersgrenzen, Einzahlungs-/Verlust-/Zeitlimits, Selbstausschluss, Cooling-off, lokale Register.

Anzeigen und Affiliates

Erlaubte Kanäle/Zeitfenster/Inhalte Wikidks, Alter Marker, Verbote von „risikofreien“ Formulierungen.
Anforderungen an Affiliates (Verträge, Offenlegungen, echte UTMs, schwarze Listen von Praktiken).

Zahlungen und Anbieter

Zulässige Methoden (Karten, Banken, Wallets, Gutscheine), lokale Prozessoren, Chargeback/Retouren-Anforderungen.
Anforderungen an B2B-Spiele-/Zahlungsanbieter (Lizenzen, Reporting, SLAs).

Daten/Datenschutz und Sicherheit

Art der personenbezogenen Daten (DSGVO-ähnliche Regelungen/lokal).
Lokalisierung/grenzüberschreitende Übermittlung, Aufbewahrungsfristen, Rechte der betroffenen Person.

Steuern und Berichterstattung

Steuerbemessungsgrundlage (oft GGR/Turnover/Zahlungsgebühren), Berichtszeiträume, Entladeformate.
Finmonitoring, obligatorische RG/AML-Berichte, Incident-Reporting.

Einschränkungen und „rote Linien“

Schwarze/graue Marketingpraktiken, Verbote von Bonusmechaniken, Jackpot-Limits, nächtliche Beschränkungen usw.

3) Datenmodell (Rahmen)

yaml country: <ISO-2>
market_status: regulated    restricted    prohibited    grey verticals: [casino, live, betting, poker, lotto]
entry_model: local_license    partner. com_limited regulator:
name: <...>
site: <ref>
licenses:
b2c: [<type_a>, <type_b>]
b2b: [<rng>, <platform>, <payment_provider>]
kyc_aml:
base: [id, address, pep_sanctions]
edd_triggers: [amount_spike, multiple_methods, high_risk_geo]
retention_days: <int>
rg:
limits: {deposit: required    optional, loss: required    optional, time: optional}
self_exclusion: registry    internal    none ads_affiliates:
allowed_channels: [tv, ooh, digital, influencer]
disclaimers_required: true    false affiliate_rules: [kyb_required, utm_registry]
payments:
methods_allowed: [cards, bank_transfer, wallet, voucher, cash]
withdrawals_rule: source_to_source    required_checks privacy_security:
regime: gdpr_like    local data_localization: required    not_required tax_reporting:
tax_model: ggr    turnover    mixed reporting: {frequency: monthly    quarterly    realtime, formats: [csv, api]}
providers:
game_providers_requirements: [license, testing, rng]
payment_providers_requirements: [local_presence, settlement_rules]
red_lines: [no_risk_free_claims, minors_targeting_ban]
last_review: YYYY-MM-DD owner: compliance_team

4) Risikokarte und Priorisierung der Länder

Auswertungsachsen:

Regulatorisches Risiko (Härte/Unsicherheit/Strafen).
Go-To-Market Effort (Lizenzlaufzeit/Lokalisierung/Integration).
Unit Economics (die Steuerbelastung/Zahlungskommission/ARPPU die Prognose).
Operational Complexity (RG-ограничения/отчетность/вендоры).

Scoring (Beispiel): 'Score = (Economics - Risk - Complexity) × Readiness', wobei Readiness die Reife unserer Prozesse (KYC/AML/RG/Reporting) unter einer bestimmten Gerichtsbarkeit ist.

Prioritätscluster: A (Start 6-9 Monate), B (Vorbereitung), C (Studie).

5) Übereinstimmungsmatrix (conformance map)

Wir vergleichen unsere Richtlinien/Kontrollen mit den Anforderungen des Landes:

Forderung des Landes	Unsere Politik/Kontrolle	Der Status	Lücke/Plan
Selbstausschluss über das staatliche Register	RG-POL-001 / CTRL:RG-EXC-002	Teilweise	Integration mit Register, ETA Q1
AML-Bericht zu SAR in N Tagen	AML-POL-003 / SOP:AML-SAR	Entspricht	—
Beschränkung auf Kreative	ADS-POL-002	Klärungsbedarf	Vorlagen/Checkliste nach Kanal

6) Controls-/Policy-as-Code (Fragmente)

Kontrolle der RG-Grenzwerte (länderspezifisch einschalten/anpassen):

yaml control_id: RG-LIM-DAILY judgments: [""] # defaults, redefined in trigger country: loss_today> limit_loss_daily actions:
- block: betting
- notify: player_template_rg_7 overrides:
- when: country==<ISO>
set: {limit_loss_daily: <local_rule>, cool_off_hours: <N>}

Marketingklauseln (Disclaimer-Regeln):

yaml policy_id: ADS-DISCL-001 require:
- on_all_creatives: age_restriction
- on_bonus: wagering_conditions ban:
- wording: ["risk-free", "guaranteed win"]
overrides:
- country: <ISO>
additions: {time_window: "22:00-06:00 ban TV"}

Berichterstattung (Formate/Frequenzen):

yaml reporting:
frequency: monthly exports: [revenue_by_vertical, rg_cases, aml_sar]
transport: sftp    api overrides:
- country: <ISO>
frequency: realtime exports: [bet_level, session_level]

7) Dashboards der regulatorischen Karte (was zu zeigen)

Marktbereitschaft: Status der Lizenzierung/Integration/Politik nach Land.
Compliance Heatmap: KYC/AML/RG/Ads/Privacy - „grün/gelb/rot“.
Evidence Coverage: Anteil der Operationen mit korrekt gesammelten Beweisen.
Reporting SLA: Aktualität der Entladungen/Schaltungsfehler/Validierung.
Risikoregister: Top-Risiken nach Ländern, Lockerungsplan, ETA.

8) Prozesse und RACI

SOP: Hinzufügen oder Aktualisieren eines Landes

1. Jura-Bewertung und Mapping-Anforderungen → Länderkarte.
2. Einrichtung von Policy-/Controls-as-Code und Reporting.
3. Anbieter/Zahlungen: Due Diligence und Tests.
4. Battle-Test auf dem Stapel → der Pilot 1-5% des Verkehrs.
5. Inbetriebnahme + Überwachung von KPIs und regulatorischen Alerts.

RACI (Fragment):

Aktivität	R	A	C	I
Ländermodell/Karte	Compliance Analyst	Head of Compliance	Legal, Security	Ops
Einrichten von Kontrollen	SRE/Platform	Head of Ops	Compliance	Domains
Berichtswesen	Data/BI	Head of Compliance	Legal	Finance
Werbung/Affiliates	Marketing Compliance	CMO	Legal/Brand	Finance

9) Checklisten Due Diligence

Das neue Land

Regulator und Lizenztyp, Vertikale sind erlaubt.
KYC/AML/RG Mupping und Overrides in den Kontrollen.
Anzeigen/Affiliates Regeln und Muster von Reservierungen.
Datenschutz/Datenlokalisierung, Aufbewahrungsfristen.
Zahlungen: verfügbare Methoden, Rückgabe-/Auszahlungsregeln.
Berichterstattung: Formate, Transport, Frequenzen; Testentladung.
Anbieter: Anforderungen und Audit.
Die Risiken/„ roten Linien “sind festgelegt.

Neuer Affiliate/Channel

KYB, Vertrag, UTM-Register, Bibliotheken der Kreativen.
Targeting-Einschränkungen (Alter/Geo).
Claim-Politik und verbotene Formulierungen.
Mechanismus zur Einstellung des Verkehrs bei Verstößen.

10) Anti-Muster

„Zwei Versionen der Wahrheit“: Excel-Tabellen getrennt von Prod-Kontrollen.
Nicht verifizierte lokale Interpretationen ohne Jur-Bestätigung.
Allgemeine Werberegeln ohne Country-Overrides.
Kein Evidence Storage und SLA Reporting.
Karte ohne Besitzer und regelmäßige Revision.

11) Reifegradkennzahlen

Länderabdeckung: Länderkarten mit ausgefüllten Feldern ≥ 90%.
Controls Alignment: Anteil der Kontrollen mit Country-Overrides, bei denen 95% ≥ werden müssen.
Reporting SLA: Pünktlichkeit der Entladungen ≥ 98%.
Evidence Completeness: Evidence Completeness ≥ 98%.
Audit Findings TTR: Schließen Sie die Kommentare ≤ 90 Tage.
Incident Leakage: Anteil an Marketing-/RG-Verstößen → Abwärtstrend.

12) Integration

Docs-/Policy-/Controls-as-Code: ein einziges Repository mit Revue/CI-Lint.
CRM/Zahlungen/DWH: Country-Aware-Regeln, Berichtsvitrinen.
Observability: Warnungen über Compliance-Drift (Kontrolle hat nicht funktioniert, Bericht ist nicht weg).
KI-Compliance-Assistent: Länderkarten-Suche, Overrides-Tipps und Berichtsentwürfe.

13) 30/60/90 - Umsetzungsplan

30 Tage (Fundament):

Genehmigen Sie die Feldtaxonomie und die Länderkartenvorlage.
Erweitern Sie das Repository „reg-map/“ (docs/policies/controls/reports).
Bringen Sie 5-7 Schlüsselländer in das aktuelle Portfolio ein und richten Sie grundlegende Overrides ein.
Erhöhen Sie die Coverage/Heatmap/Reporting SLA Dashboards.

60 Tage (Skalierung):

Fügen Sie Zahlungs-/Werbe-/Anbieterregister und Bündel hinzu.
Aktivieren Sie evidence storage für RG/AML/Ads.
Automatisieren Sie den Testexport der Berichterstattung und Validierung von Schemata.
Einbinden von Alerts in regulatorische „Drifts“.

90 Tage (Fixierung):

Decken Sie ≥ 90% der Zielländer ab und führen Sie ein internes Audit des Kontrolldesigns durch.
Ordnen Sie die KPIs der regulatorischen Karte OKR zu (Reporting SLA, Evidence, Audit TTR).
Regelmäßige vierteljährliche Updates der Länder- und Prozesskarten.

14) FAQ

F: Wie halte ich die Karte aktuell?
A: Revision der Karten alle 90-180 Tage, CI-Erinnerungen durch 'last _ review', Warnungen über Nichtübereinstimmungen der Berichterstattung/Kontrollen.

F: Was tun bei Widersprüchen zwischen den Normen der Länder?
A: Wenden Sie eine strengere Norm an oder teilen Sie Geo-Food-Flows mit separaten Overrides.

F: Wie verknüpfe ich die Karte mit dem Produkt?
A: Durch Controls-as-Code: Die Regeln werden durch 'country '/' brand '/' vertical' aktiviert und die Berichtsvitrinen sammeln automatisch die gewünschten Felder.