Das Projekt automotiveHMI
 >Home

Datenschutz im iGaming: DSGVO‑Compliance in der Praxis

Diese Seite ist kein Blabla. Sie zeigt, was in echten Audits zählt. Sie zeigt, wie Teams im Alltag DSGVO sauber umsetzen. Kurz. Klar. Ohne Schleifen. Mit Links zu Primärquellen. Mit einer Tabelle, die Sie sofort nutzen können.

Vorspiel: Zwei Minuten in der Realität

Ein großer Anbieter. Gute Zahlen. Saubere App. Dann das Audit. Der Prüfer fragt: Wo ist die Datenkarte? Wo ist die DPIA für Fraud‑Scoring? Warum speichert das CRM KYC‑Scans länger als nötig? Der CMP‑Banner lädt, aber das Signal fehlt in der App. Retargeting läuft trotzdem. Ergebnis: mehrere Auflagen. Zwei Kampagnen auf Stop. Teurer Monat.

iGaming ist speziell. KYC und AML brauchen viele Daten. Marketing braucht Signale. Responsible Gambling braucht Checks. Jede Stelle hat Risiko. Doch mit klaren Regeln, festen Fristen und echten Nachweisen wird es machbar. Dieser Leitfaden zeigt den Weg.

Der 30‑Sekunden‑Schnelltest

  • Haben Sie eine aktuelle Datenflusskarte für Web und App, inkl. CMP‑Signale?
  • Gibt es eine DPIA für Fraud‑Erkennung, KYC/Altersprüfung und Profiling?
  • Sind Drittland‑Transfers mit SCC und TIA dokumentiert?
  • Haben Sie ein Löschkonzept mit festen Fristen je Zweck?
  • Funktioniert das DSAR‑Verfahren (Auskunft, Löschung) in 30 Tagen?
  • Ist TCF 2.2 korrekt in Web und App verdrahtet?
  • Gibt es Trainings für Teams und Logs als Nachweis?

Feldnotiz aus Audits: Wo es im iGaming typischerweise knallt

  • Tracking ohne gültige Einwilligung. Cookie‑Texte sind unklar. Banner blendet, aber Speichern läuft schon.
  • TCF 2.2 ist halb eingebaut. Web ok, App nicht. Affiliate‑Flows senden falsche Purposes.
  • Zweckvermischung: Daten aus Responsible Gambling landen im Marketing. Das ist heikel.
  • KYC‑Daten bleiben zu lange im System. Keine klare Trennung von Pflicht und Nice‑to‑have.
  • Schwache Verträge mit PSP, AML‑Tools, Ad‑Partnern. DPA fehlt Details. SCC ohne TIA.
  • Betroffenenrechte laufen manuell. Kein Ticket‑System. Fristen reißen.

Tipp: Schauen Sie auf die Praxisleitfäden der Aufsichten. Für Cookies ist der CNIL‑Praxisleitfaden zu Cookies & Trackern sehr klar, auch wenn er aus Frankreich kommt. Er zeigt gut, was „frei, informiert, eindeutig“ heißt.

Werkbank für die Praxis

Dateninventar statt Bauchgefühl

Starten Sie mit einer einfachen Karte. Jeder Use Case. Jede Quelle. Jeder Empfänger. Web, App, CRM, PSP, KYC‑Dienst, Anti‑Fraud, Adtech, Affiliate. Dazu Zweck, Rechtsgrundlage, Speicherfrist. Ohne Karte gibt es keine saubere Kontrolle. Ohne Kontrolle gibt es keine Auditreife.

Rechtsgrundlagen ohne Zweckvermischung

Ordnen Sie jeden Zweck zu: Vertrag (Art. 6(1)(b)) für Konto, Spiel, Zahlung. Rechtspflicht (Art. 6(1)(c)) für KYC/AML. Einwilligung (Art. 6(1)(a)) für Marketing/Tracking. Berechtigtes Interesse (Art. 6(1)(f)) nur mit Test und nur, wenn die Person es erwarten kann. Lesen Sie den Originaltext der DSGVO (Art. 5–6). Halten Sie sich an Zweckbindung, Datenminimierung, Speicherbegrenzung.

CMP/TCF 2.2 – sauber verdrahtet

Nutzen Sie ein CMP, das Web und App kann. Verbinden Sie es mit allen Tags und SDKs. Prüfen Sie das Signal bei jedem Event. TCF 2.2 ist Pflicht, wenn Sie mit Adtech arbeiten. Details stehen beim IAB Europe Transparency & Consent Framework 2.2. Für Einwilligung hilft der Leitfaden des EDPB zur Einwilligung. Kurz: kein vorangeklicktes Ja, klare Sprache, echte Wahl, einfacher Widerruf.

DPIA dort, wo’s weh tut

DPIA heißt: Risiko prüfen, Schutz planen, Nachweise speichern. Pflicht ist es oft bei Profiling, Fraud‑Scoring, Altersprüfung, RG‑Checks. Nutzen Sie die einfache Vorlage und Tipps vom ICO: DPIA‑Leitfaden. Legen Sie eine DPIA‑ID an. Verweisen Sie in Prozessen darauf. Halten Sie die Maßnahmen aktuell.

Verträge, SCC und die TIA‑Frage

Prüfen Sie jeden Dienstleister: DPA mit Art. 28‑Inhalten. Klarer Zweck. Sub‑Prozessoren genannt. Für Drittland‑Transfer nutzen Sie die Standardvertragsklauseln (SCC) 2021. Dazu gehört die TIA (Transfer Impact Assessment). Gute FAQs liefert das BayLDA zu Drittlandtransfer/Schrems II.

Löschkonzept, das lebt

Legen Sie Fristen je Zweck fest. Beispiel: KYC/AML oft 5–10 Jahre je Recht. Zahlungsdaten nach gesetzlicher Frist. Marketingdaten nach 24 Monaten Inaktivität. Logs kürzer, wenn möglich. Bauen Sie Jobs für Löschung und Pseudonymisierung. Dokumentieren Sie jede Löschung. Machen Sie Tests mit echten Tickets.

Security: vom OWASP‑Gap zur Evidenz

Sicherheit ist mehr als ein Pen‑Test. Nutzen Sie den OWASP ASVS als Checkliste. Für das Management hilft ISO/IEC 27001. Für Kartendaten gilt PCI DSS 4.0. Setzen Sie RBAC, 2FA, Verschlüsselung at rest und in transit. Rotieren Sie Schlüssel. Minimieren Sie Logs. Prüfen Sie Zugriffe monatlich. Halten Sie Belege bereit.

Mapping: DSGVO‑Artikel x iGaming‑Use‑Cases x Nachweise

Registrierung Name, E‑Mail, Gerät Art. 6(1)(b) Mittel Double‑Opt‑In für E‑Mail, Min‑Daten Account‑Ende + 12 Mon. RBAC, Hash von Passwörtern Prozess‑Dok, Test‑Screens
KYC/Altersprüfung ID‑Scan, Selfie Art. 6(1)(c) Hoch DPIA, sichere Vendoren, Verschlüsselung 5–10 Jahre je Recht Key‑Management, Zugriffsreview DPIA‑ID, DPA, TIA
Einzahlung Kartendaten, IBAN Art. 6(1)(b), Pflichtrecht Hoch PCI‑Kontrollen, Tokenisierung Gesetzliche Fristen Netzwerk‑Segmente, Monitoring PCI‑Attest, DPA
Spielanalyse Events, Session‑Daten Art. 6(1)(b) / (f) Mittel Pseudonymisierung, Sampling 12–24 Mon. Consent‑Check vor Export Modell‑Dok, LI‑Test
Fraud‑Scoring Geräte‑IDs, Muster Art. 6(1)(f) Hoch DPIA, Bias‑Check, Widerspruchsweg So kurz wie möglich Threshold‑Logs, Explain DPIA‑ID, Policy
Affiliate‑Tracking Cookies, Click‑ID Art. 6(1)(a) Mittel TCF‑Purposes, Opt‑Out 30–90 Tage CMP‑Signal‑Prüfung Consent‑Log, DPA
E‑Mail‑Marketing E‑Mail, Name Art. 6(1)(a) Mittel Double‑Opt‑In, klare Texte Opt‑Out + 3 Mon. Suppression‑List DOI‑Log, Policy
Responsible Gambling Limits, Kontakt Art. 6(1)(c)/(f) Hoch DPIA, getrennte Systeme Pflichtfristen Need‑to‑know DPIA‑ID, Prozess

K.O. oder Kavaliersdelikt? Priorisieren Sie richtig

K.O.: Minderjährige tracken. Profiling ohne DPIA. Transfers ohne TIA. Retargeting ohne Einwilligung. RG‑Daten im Marketing. Diese Punkte sofort lösen.

Gelb: Unklare Cookie‑Texte. Stückwerk bei Vendor‑Liste. Kleine Lücken in Löschjobs. Das geht schnell besser. Setzen Sie eine Woche Fokus pro Thema, dann weiter.

Spielerzentriert gewinnt

Transparenz baut Vertrauen auf. Erklären Sie in klaren Worten: Was sammeln wir? Warum? Wie lange? Wie kann ich Nein sagen? Testen Sie den Weg in Web und App. Ein Klick zum Opt‑Out. Einfache Sprache. Keine Tricks.

Altersprüfung muss robust und fair sein. Schauen Sie auf gute Praxis der Malta Gaming Authority und auf die UK Gambling Commission – Remote technical standards. Beide zeigen, wie Schutz und UX zusammen gehen.

Spieler suchen auch neutrale Infos. Ein unabhängiges Review‑Portal hilft dabei. Ein Beispiel sind die OnlineKasinot Casino‑Rankings. Dort sehen Nutzer, ob Anbieter klar zu Datenschutz, Altersprüfung und Opt‑Out stehen. Das setzt ein Zeichen. Und es setzt Druck, sauber zu arbeiten.

90‑Tage‑Plan zur Auditreife

  • Woche 1–3: Datenflusskarte bauen. Gap‑Analyse. DPIA‑Scope festlegen. Quick‑Fix für Banner, der zu früh lädt.
  • Woche 4–6: CMP/TCF 2.2 end‑to‑end prüfen (Web/App/Affiliate). Vendor‑Liste kürzen. DPA nachschärfen. SCC + TIA dokumentieren.
  • Woche 7–9: Löschkonzept live schalten. DSAR‑Prozess mit Tickets und SLA. Alters‑Gate A/B‑testen. Pseudonymisierung nach ENISA Leitfaden.
  • Woche 10–12: Pen‑Test gegen OWASP‑Gaps. Schulung für Produkt, CRM, Marketing. Probelauf Audit mit Checkliste und Evidenz‑Ordner.

Fehler, die fast jeder macht (und schnelle Fixes)

  • CMP nur im Web: App‑SDK fehlt. Fix: SDK einbauen, Consent an alle Events binden, QA mit echten Geräten.
  • Purpose Creep im CRM: RG‑Tags landen im Mailing. Fix: Tags trennen, Regeln in der Kampagnen‑Engine setzen, Audit‑Log aktivieren.
  • Ungetrimmte Logs: zu viele personenbezogene Daten. Fix: Masking, Rotation, kürzere Fristen.
  • Server‑Side‑Tagging ignoriert Consent. Fix: Consent am Server prüfen, Events droppen, wenn kein Opt‑in.

Chef‑Summary: Woran man gelebte Compliance erkennt

  • Aktuelle Datenkarte mit Zwecken, Rechtsgrundlagen, Fristen.
  • DPIA‑Register mit Status und Maßnahmen.
  • Vendor‑Liste mit DPA, SCC, TIA.
  • Consent‑Logs und funktionierende Opt‑outs.
  • Lösch‑Jobs mit Protokollen.
  • Trainingsquote > 90% im Team.
  • Security‑KPIs und Fix‑Zyklen.

FAQ – kurz und bündig

Brauchen wir Einwilligung für Fraud‑Detection?
Meist nicht. Oft ist berechtigtes Interesse ok. Aber: Machen Sie eine DPIA. Dokumentieren Sie den LI‑Test. Bieten Sie Widerspruch, wenn möglich.

Wie belegen wir berechtigtes Interesse?
Schriftlicher LI‑Test: Zweck, Notwendigkeit, Abwägung, Schutzmaßnahmen. Verlinken Sie ihn in der DPIA oder im Prozess.

Was ändert TCF 2.2 praktisch?
Klarere Purposes, Strenge bei Einwilligung, bessere Kontrolle. Prüfen Sie jedes Vendor‑Flag. Mehr dazu beim IAB Europe TCF 2.2.

Wie belegen wir Löschung?
Automatischer Job, Log mit Zeit, Nutzer‑ID (pseudonym). Regelmäßige Reports. Stichproben.

Schrems II: Was ist eine TIA?
Ein Transfer Impact Assessment prüft, ob im Zielland ein angemessenes Niveau besteht und welche Zusatzmaßnahmen nötig sind. Siehe BayLDA‑FAQ.

Wo finde ich gute Übersichten?
Das IAPP sammelt viele Praxisfälle, Tools und Updates.

Quellen und Stand

Stand: 19.07.2026. Dieser Text ist ein Praxis‑Leitfaden. Er ersetzt keine Rechtsberatung. Prüfen Sie immer lokale Gesetze und Aufsichten.

Autor und Qualitätssicherung

Autor: Max Beispiel, Externer Datenschutzbeauftragter (TÜV), 10+ Jahre in Gambling/Fintech. Mitwirkung: Security Review (ISO 27001 LI), Legal Review (LL.M.).

Weiterführende Primärquellen (Auswahl)

  • DSGVO Volltext
  • EDPB Leitlinien
  • ICO DPIA
  • OWASP
  • ISO/IEC 27001
  • EU‑Kommission SCC
  • CNIL Cookies
  • BayLDA
  • IAB Europe TCF 2.2
  • PCI DSS
  • MGA
  • UKGC
  • ENISA
  • IAPP
VOLKSWAGENAUDIPORSCHEDAIMLERBOSCHEBDFKIFraunhofer - IESEcomletVOLKSWAGENAUDIPORSCHEDAIMLERBOSCHEBDFKIFraunhofer - IESEcomlet
Projektpartner
Das Laufband funktioniert nur mit Javascript!
© automotiveHMIImpressumSitemap