UX der Compliance Dashboards

1) Zweck und Grundsätze

• gibt Signale und priorisiert Risiken;
• bietet Erklärbarkeit („warum hat es funktioniert“);
• beschleunigt die Reaktion (Aktionsschaltflächen, Eskalationswege);
• behält die Spuren des Audits (wer wann was getan hat).

• Signale über raw: zuerst Status/Anomalien, dann Details.
• Time-to-decision <60 sec: Filtervoreinstellungen, kurze Fallzusammenfassungen, schnelles Handeln.
• Explain & Next: Neben dem Signal - „was ist das“ und „was ist als nächstes“.
• Einheitliche Kritikalitätsskala: Info/Low/Medium/High/Critical mit Farbkonsistenz.
• Feste Zeitzone und Analysefenster, explizites Datum der Berichtserstellung.
• Null PD-Leckage: Minimum PII; Standard sind Aliase/Hashes.

2) Rollen und Schlüsselszenarien

Head of Compliance: Überprüfung von Risiken, Belastungen, SLA-Untersuchungen, Remediationsfortschritt.
Compliance Analyst (L1/L2): Alert Triage, Case Management, Vorbereitung der Evidenzbasis.
AML-Beauftragter: verdächtige Transaktionen, SAR/STR-Vorbereitung, Sanktionslisten/RER.
RG (Responsible Gaming): Verhaltensmuster des Risikos, Grenzen/Selbstausschluss, Interventionen.
Datenschutzbeauftragter (DSO): DSAR, Lecks, Anonymisierung, Zugriffe.
Tech/QA: Stabilität der Integration von Screening-Anbietern, Fehler/Retrays, Latenz.
Legal: Fristen für regulatorische Berichte, Status von Audit-Dateien.

1. „Kritische Alerts für heute“ → auf die Darsteller verteilt werden.

2. „Überfällige Fälle“ → eskalieren.

3. „RTP ging über den Korridor“ → sperren Sie das Spiel/Betreiber, eine Untersuchung.

4. „Übereinstimmung mit der Sanktionsliste“ → KYC halten, Dokumente anfordern.

5. „Hohes RG-Risiko“ → weiche/harte Intervention, Einfrieren von Einlagen.

3) Informationsarchitektur

1. Globales Panel: Zeitraum, Geo/Gerichtsbarkeit, Marke/Betreiber, Produkt, Kritikalität, Fallstatus, Performer.
2. Home („Today“): Zusammenfassung von KRI/KCI, Alerts, Burn-Down SLA, „Top Movers“.
3. Risiken (Risk Hub): Kategorienmatrix (KYC/AML/RG/Privacy/Certification/Payments).
4. Fälle: Warteschlange, Kanban/Tabelle, Lösungsvorlagen, Aktionsverlauf.
5. Reporting: Regulatorische Berichte, Deadlines, Dateistatus und Validierungen.
6. Integrationen: Gesundheit der Anbieter (Sanktionen, PEP, Dokumentenprüfung, Behavioral Scoring).
7. Richtlinien und Kontrolle: Regelversionen, Changelog, Experimente/Sandboxes.

4) Metriken: KRI, KCI und SLA

4. 1 KRI (Key Risk Indicators)

Sanktionen/PEP Hit Rate = hits/checks.
False Positive Rate = falsche Übereinstimmungen/alle Übereinstimmungen.
Nicht verifizierte Benutzer% = unvollständige KYCs/alle neuen.
SAR/STR per 1k Users = Anzahl SAR/STR/1000 User.
RG High-Risk% = nach Verhaltensregeln geflaggte/aktive Spieler.

4. 2 KCI (Key Control Indicators)

KYC Turnaround (p50/p95) ist das Median/Quantil der Verifikationszeit.
Alert → Case Conversion% - der Anteil der Signale, die zu einem Fall werden.
Case Resolution Time (p50/p95).
Investigation Reopen% - Anteil der wiederentdeckten Fälle.
Data Access Violations - Versuche, PDs nicht autorisiert anzuzeigen.

4. 3 SLA/SLO (operativ)

Triage SLA: kritische Alert in Betrieb genommen ≤ 15 min.
Auflösung SLA: nach Typ (KYC - 24h, AML - 72h, RG - 24h, Privacy Incident - 72h).
Anbieter Uptime/Latenz: Screening-Endpunkte p95.
ETL Freshness: Datenvitrine lag ≤ X Minuten.

5) Widgets und Muster

Startseite („Heute“)

Heatmap Risiken: Kategorien × Kritikalität; klickbar zur Fallliste.
SLA Burn-down: Wie viele Fälle gibt es in der Green/Yellow/Red Zone nach Terminen?
Top Movers: Metriken geändert> Schwellenwerte (FPR, RG High-Risk%, RTP Dev).
Provider Health: Vorlaufzeit, Verzögerungen, Integrationsfehler.

Risk Hub

Matrix „Kategorie × Gerichtsbarkeit“ mit Hinweisen auf Richtlinien und lokale Anforderungen.
Anomaly Explainers: Beitrag der Märkte/Spiele/Anbieter zur Abweichung der Metrik.
Drill-through: vom Aggregat → zur Ereignisliste → zur Benutzerkarte (ohne PII, nur Pseudo-ID).

Fälle

Fallkarte: Status, Kritikalität, Checkliste, letzte Aktivität, Besitzer, SLA-Timer, „Warum die Regel funktioniert hat“.
Aktionsleiste: „Dokument anfordern“, „Limit setzen“, „Halten/Unhold“, „Eskalieren“, „Mit Ergebnis schließen“.
Audit Trail: unveränderliches Protokoll, Anhänge, Links zu Regeln/Ereignissen.
Entscheidungsvorlagen (Playbooks): Vorgefüllte Schritte und Benachrichtigungstexte.

Berichterstellung

Terminkalender: regulatorische Berichte, Unterschriften, Bestätigungen.
Validator: Status der Datei-/Schemaprüfungen, Fehler und Korrekturen.
Export: Dateiversionen mit Hashes, Zeitsignaturen und Verantwortlichen.

6) Regeln, Erklärbarkeit und Versionen

Regelkatalog: Liste der Regeln (ID, Version, Eigentümer, Jurisdiktionen, Beschreibung der Logik).
Erklärbarkeit: Neben dem Auslöser steht „welcher Sachverhalt zur Auslösung geführt hat“ (z.B. „Zufall auf Sanktionsalias, Quelle: EU-Liste“).
Versionierung: Die Regel gibt die genaue Version des Modells/der Liste an; Der Fall speichert den Logik-Snap.
Szenario Testing: „Run on Stories“ für die neue Version vor dem Einschalten.
Änderungsprotokoll: Wer hat geändert, was hat geändert, warum (Link zu Ticket).

7) Daten und Verträge

• `kyc_check` (user_pid, provider, result, reason_codes, ts).
• `sanctions_screen` (user_pid, list_name, match_score, match_fields, ts).
• `rg_signal` (user_pid, risk_level, features_snapshot, ts).
• `rtp_sample` (game_id, market, spins, rtp_observed, window, ts).
• `case_event` (case_id, action, actor, ts, payload_ref).
• `privacy_incident` (type, scope, status, ts).

• Daily_Risk (Kategorie × Tag × Gerichtsstand).
• Case_Flow (SLA/Meilensteine/Ergebnisse).
• Provider_Health (Aptime/Latency/Integrationsfehler)
• Rule_Versions (aktiv/zurückgezogen)

• Pflichtfelder, zulässige Bereiche, Ereignisidempotenz, Deduplizierung, Überwachung von Verzögerungen.

8) Datenschutz, RBAC und PII-Minimierung

Vorbild: Legal/Head sehen Aggregate und Cases, L1 anonymisierte Karten, PII-Zugriff nur über justify-Button mit Logging.
Standard-PII-Modus: versteckte Namen/Adressen; nur Pseudo-IDs/Masken werden angezeigt.
Just-in-Time-Zugriff: temporärer Zugriff auf PII per Case; Auto-Rückruf.
Data Lineage: Feldpfad von der Quelle zum Schaufenster; die Rechtmäßigkeit der Verarbeitung schnell zu überprüfen.
Export Guard: Kennzeichnung bei Exporteuren (PII/No-PII), Warnung vor Richtlinienverstößen.

9) Untersuchungsprozesse (Case Ops)

Этапы: Detect → Triage → Investigate → Decide → Remediate → Report → Learn.

• Checklisten nach Falltyp;
• SLA-Timer und „erwartete nächste Schritte“;
• „ähnliche Fälle/Lösungen“;
• „Abschlussbegründung“ und Berichtsvorlagen.

• Unmöglichkeit, den Fall ohne ausgefüllte Rechtfertigungsfelder zu schließen;
• Warnung, wenn die Schritte des Playbooks nicht ausgeführt werden;
• automatisches Follow-up (nach N Tagen) zur Überprüfung der Wirksamkeit der Maßnahme.

10) Alerts und Eskalationen

• Critical: sanction true match; massive KYC-Ablehnung durch den Anbieter; RTP Dev> δ bei N Spins PD-Leck.
• High: RG High-Risk surge > Xσ; FPR-Sanktionsscreening ↑ über der Schwelle; überfällige SLA.
• Medium: Anbieter Latenz> p95 SLO; Wachstum von Reopen%; Anomalie auf dem Markt.

• Kompaktkarte (Typ, Quelle, Vertrauen, Konsequenzen), 2 Tasten: „In Betrieb nehmen“, „Mit Ursache ablehnen“.
• Massenaktionen für Batch Alert.
• „Warum ich es sehe“ ist der Besitzer der Richtlinie/Regel.

• Matrix „Risikotyp × -niveau“ → rechtliche, exec, technische Unterstützung;
• Auto-Eskalation bei Verletzung von SLA.

11) Verantwortungsvolles Spielen (RG) - UX-Spezifität

Frühe Marker: nächtliche Aktivität, steigende Einlagen, häufige Rücknahmen von Schlussfolgerungen, Chase-Verhalten.
Widgets: RG Risk Funnel (Marker → Kontakt → Limit/Pause → Outcome), Interventionskarte und deren Wirksamkeit.
Interventionen: weich (Benachrichtigungen, Reality-Check), hart (Limits, Timeout, Selbstausschluss).
Gültigkeit: Neben der Maßnahmenkarte steht „warum diese Wirkungsstufe gewählt wurde“.

12) Verfügbarkeit und Lokalisierung

Kontrast und Schriftarten nach WCAG, vorhersehbarer Fokus, Hotkeys;

Lokalisierung von Compliance-Begriffen (Glossar in der UI);

einheitliche Datums-/Zahlenformate, explizite Währung und Zeitzone;

„Präsentationsmodus“ - Bildschirme ohne PII für Audit-/Board-Demonstrationen.

13) Antipatterns

Eine „Tischwand“ ohne Signale und Erklärungen.
Rollenmischung: Rechtliche Daten sind für L1 ohne justify verfügbar.
Pop-ups für jeden Klick (Ermüdung der Schnittstelle).
Verschiedene Formeln für die gleichen Metriken in verschiedenen Widgets.
Gesichtslose Alerts ohne die Aktion „was kommt als nächstes“.
Export mit PD ohne Warnung und Protokollierung.

14) Checkliste Umsetzung (nach Sprints)

Sprint 1: grundlegende Vitrinen (Daily_Risk, Case_Flow), Haupt- „Heute“, Risikomatrix.
Sprint 2: Fallkarte + Playbooks, SLA-Timer, Audit Trail.
Sprint 3: Anbieterintegrationen (Sanktionen, KYC, RG), Provider Health, Retrays.
Sprint 4: Reporting und Validator, Terminkalender, Export mit Guardrails.
Sprint 5: Erklärer, „ähnliche Fälle“, Change-Log-Regeln, Szenariotestung.
Sprint 6: Lokalisierung, Verfügbarkeit, Präsentationsmodus, JIT-Zugriff auf PII.

15) Glossar

KRI/KCI - Risiko-/Kontrollindikatoren.
SLA/SLO - Ziel-/Vertragsreaktions-/Lösungszeiten.
PEP/Sanktionen sind politisch exponierte Personen/Sanktionslisten.
SAR/STR - Berichte über verdächtige Aktivitäten.
RG ist ein verantwortungsvolles Spiel.
FPR/TPR ist ein falsch positiver/wahrhaft positiver Anteil.
PII - personenbezogene Daten.
Playbook ist eine Fallaktionsvorlage.

16) Das Ergebnis

1. Signale mit Erklärbarkeit,

2. schnelles und sicheres Handeln,

3. strenge Zugangskontrollen und Prüfspuren,

4. konsistente Metrik auf allen Bildschirmen,

5. Unterstützung von Untersuchungs- und Berichterstattungsprozessen.

Beginnen Sie mit „Heute“ (Signale, SLAs, Integrationen Gesundheit), fügen Sie Case Ops und Erklärbarkeit hinzu und erweitern Sie dann die Berichts- und Versionierungspolitik - so wird das Dashboard zu einem echten Werkzeug zur Risikominderung und nicht nur zu einem Schaufenster für Zahlen.