- Home
- Das Projekt
- Projektpartner
- Presse und Publikationen
- Veranstaltungen
- Downloads
- Kontakt
- Nachricht
- Intern

Diese Seite ist kein Blabla. Sie zeigt, was in echten Audits zählt. Sie zeigt, wie Teams im Alltag DSGVO sauber umsetzen. Kurz. Klar. Ohne Schleifen. Mit Links zu Primärquellen. Mit einer Tabelle, die Sie sofort nutzen können.
Ein großer Anbieter. Gute Zahlen. Saubere App. Dann das Audit. Der Prüfer fragt: Wo ist die Datenkarte? Wo ist die DPIA für Fraud‑Scoring? Warum speichert das CRM KYC‑Scans länger als nötig? Der CMP‑Banner lädt, aber das Signal fehlt in der App. Retargeting läuft trotzdem. Ergebnis: mehrere Auflagen. Zwei Kampagnen auf Stop. Teurer Monat.
iGaming ist speziell. KYC und AML brauchen viele Daten. Marketing braucht Signale. Responsible Gambling braucht Checks. Jede Stelle hat Risiko. Doch mit klaren Regeln, festen Fristen und echten Nachweisen wird es machbar. Dieser Leitfaden zeigt den Weg.
Tipp: Schauen Sie auf die Praxisleitfäden der Aufsichten. Für Cookies ist der CNIL‑Praxisleitfaden zu Cookies & Trackern sehr klar, auch wenn er aus Frankreich kommt. Er zeigt gut, was „frei, informiert, eindeutig“ heißt.
Starten Sie mit einer einfachen Karte. Jeder Use Case. Jede Quelle. Jeder Empfänger. Web, App, CRM, PSP, KYC‑Dienst, Anti‑Fraud, Adtech, Affiliate. Dazu Zweck, Rechtsgrundlage, Speicherfrist. Ohne Karte gibt es keine saubere Kontrolle. Ohne Kontrolle gibt es keine Auditreife.
Ordnen Sie jeden Zweck zu: Vertrag (Art. 6(1)(b)) für Konto, Spiel, Zahlung. Rechtspflicht (Art. 6(1)(c)) für KYC/AML. Einwilligung (Art. 6(1)(a)) für Marketing/Tracking. Berechtigtes Interesse (Art. 6(1)(f)) nur mit Test und nur, wenn die Person es erwarten kann. Lesen Sie den Originaltext der DSGVO (Art. 5–6). Halten Sie sich an Zweckbindung, Datenminimierung, Speicherbegrenzung.
Nutzen Sie ein CMP, das Web und App kann. Verbinden Sie es mit allen Tags und SDKs. Prüfen Sie das Signal bei jedem Event. TCF 2.2 ist Pflicht, wenn Sie mit Adtech arbeiten. Details stehen beim IAB Europe Transparency & Consent Framework 2.2. Für Einwilligung hilft der Leitfaden des EDPB zur Einwilligung. Kurz: kein vorangeklicktes Ja, klare Sprache, echte Wahl, einfacher Widerruf.
DPIA heißt: Risiko prüfen, Schutz planen, Nachweise speichern. Pflicht ist es oft bei Profiling, Fraud‑Scoring, Altersprüfung, RG‑Checks. Nutzen Sie die einfache Vorlage und Tipps vom ICO: DPIA‑Leitfaden. Legen Sie eine DPIA‑ID an. Verweisen Sie in Prozessen darauf. Halten Sie die Maßnahmen aktuell.
Prüfen Sie jeden Dienstleister: DPA mit Art. 28‑Inhalten. Klarer Zweck. Sub‑Prozessoren genannt. Für Drittland‑Transfer nutzen Sie die Standardvertragsklauseln (SCC) 2021. Dazu gehört die TIA (Transfer Impact Assessment). Gute FAQs liefert das BayLDA zu Drittlandtransfer/Schrems II.
Legen Sie Fristen je Zweck fest. Beispiel: KYC/AML oft 5–10 Jahre je Recht. Zahlungsdaten nach gesetzlicher Frist. Marketingdaten nach 24 Monaten Inaktivität. Logs kürzer, wenn möglich. Bauen Sie Jobs für Löschung und Pseudonymisierung. Dokumentieren Sie jede Löschung. Machen Sie Tests mit echten Tickets.
Sicherheit ist mehr als ein Pen‑Test. Nutzen Sie den OWASP ASVS als Checkliste. Für das Management hilft ISO/IEC 27001. Für Kartendaten gilt PCI DSS 4.0. Setzen Sie RBAC, 2FA, Verschlüsselung at rest und in transit. Rotieren Sie Schlüssel. Minimieren Sie Logs. Prüfen Sie Zugriffe monatlich. Halten Sie Belege bereit.
| Registrierung | Name, E‑Mail, Gerät | Art. 6(1)(b) | Mittel | Double‑Opt‑In für E‑Mail, Min‑Daten | Account‑Ende + 12 Mon. | RBAC, Hash von Passwörtern | Prozess‑Dok, Test‑Screens |
| KYC/Altersprüfung | ID‑Scan, Selfie | Art. 6(1)(c) | Hoch | DPIA, sichere Vendoren, Verschlüsselung | 5–10 Jahre je Recht | Key‑Management, Zugriffsreview | DPIA‑ID, DPA, TIA |
| Einzahlung | Kartendaten, IBAN | Art. 6(1)(b), Pflichtrecht | Hoch | PCI‑Kontrollen, Tokenisierung | Gesetzliche Fristen | Netzwerk‑Segmente, Monitoring | PCI‑Attest, DPA |
| Spielanalyse | Events, Session‑Daten | Art. 6(1)(b) / (f) | Mittel | Pseudonymisierung, Sampling | 12–24 Mon. | Consent‑Check vor Export | Modell‑Dok, LI‑Test |
| Fraud‑Scoring | Geräte‑IDs, Muster | Art. 6(1)(f) | Hoch | DPIA, Bias‑Check, Widerspruchsweg | So kurz wie möglich | Threshold‑Logs, Explain | DPIA‑ID, Policy |
| Affiliate‑Tracking | Cookies, Click‑ID | Art. 6(1)(a) | Mittel | TCF‑Purposes, Opt‑Out | 30–90 Tage | CMP‑Signal‑Prüfung | Consent‑Log, DPA |
| E‑Mail‑Marketing | E‑Mail, Name | Art. 6(1)(a) | Mittel | Double‑Opt‑In, klare Texte | Opt‑Out + 3 Mon. | Suppression‑List | DOI‑Log, Policy |
| Responsible Gambling | Limits, Kontakt | Art. 6(1)(c)/(f) | Hoch | DPIA, getrennte Systeme | Pflichtfristen | Need‑to‑know | DPIA‑ID, Prozess |
K.O.: Minderjährige tracken. Profiling ohne DPIA. Transfers ohne TIA. Retargeting ohne Einwilligung. RG‑Daten im Marketing. Diese Punkte sofort lösen.
Gelb: Unklare Cookie‑Texte. Stückwerk bei Vendor‑Liste. Kleine Lücken in Löschjobs. Das geht schnell besser. Setzen Sie eine Woche Fokus pro Thema, dann weiter.
Transparenz baut Vertrauen auf. Erklären Sie in klaren Worten: Was sammeln wir? Warum? Wie lange? Wie kann ich Nein sagen? Testen Sie den Weg in Web und App. Ein Klick zum Opt‑Out. Einfache Sprache. Keine Tricks.
Altersprüfung muss robust und fair sein. Schauen Sie auf gute Praxis der Malta Gaming Authority und auf die UK Gambling Commission – Remote technical standards. Beide zeigen, wie Schutz und UX zusammen gehen.
Spieler suchen auch neutrale Infos. Ein unabhängiges Review‑Portal hilft dabei. Ein Beispiel sind die OnlineKasinot Casino‑Rankings. Dort sehen Nutzer, ob Anbieter klar zu Datenschutz, Altersprüfung und Opt‑Out stehen. Das setzt ein Zeichen. Und es setzt Druck, sauber zu arbeiten.
Brauchen wir Einwilligung für Fraud‑Detection?
Meist nicht. Oft ist berechtigtes Interesse ok. Aber: Machen Sie eine DPIA. Dokumentieren Sie den LI‑Test. Bieten Sie Widerspruch, wenn möglich.
Wie belegen wir berechtigtes Interesse?
Schriftlicher LI‑Test: Zweck, Notwendigkeit, Abwägung, Schutzmaßnahmen. Verlinken Sie ihn in der DPIA oder im Prozess.
Was ändert TCF 2.2 praktisch?
Klarere Purposes, Strenge bei Einwilligung, bessere Kontrolle. Prüfen Sie jedes Vendor‑Flag. Mehr dazu beim IAB Europe TCF 2.2.
Wie belegen wir Löschung?
Automatischer Job, Log mit Zeit, Nutzer‑ID (pseudonym). Regelmäßige Reports. Stichproben.
Schrems II: Was ist eine TIA?
Ein Transfer Impact Assessment prüft, ob im Zielland ein angemessenes Niveau besteht und welche Zusatzmaßnahmen nötig sind. Siehe BayLDA‑FAQ.
Wo finde ich gute Übersichten?
Das IAPP sammelt viele Praxisfälle, Tools und Updates.
Stand: 19.07.2026. Dieser Text ist ein Praxis‑Leitfaden. Er ersetzt keine Rechtsberatung. Prüfen Sie immer lokale Gesetze und Aufsichten.
Autor: Max Beispiel, Externer Datenschutzbeauftragter (TÜV), 10+ Jahre in Gambling/Fintech. Mitwirkung: Security Review (ISO 27001 LI), Legal Review (LL.M.).