KYC's widersprüchliche Regeln
Know Your Customer (KYC) Regeln erzeugen eine echte Spannung für Fintech-Firmen. Regulatoren wollen gründliche Identitätsprüfungen. Sie verlangen, dass Firmen persönliche Dokumente sammeln und prüfen. Aber Datenschutzgesetze drücken in die andere Richtung. Sie verlangen, dass Firmen diese Daten nach der Sammlung minimieren.
Eine Bank, die ein neues Konto eröffnet, sammelt viele Dokumente. Dazu gehören nationale Ausweise, Pässe und Führerscheine. Sie sammelt auch Adressnachweise und Finanzunterlagen. Diese Dateien enthalten dichte personenbezogene Daten. DSGVO, AML-Regeln und Bankaufsichten verlangen alle eine strenge Handhabung.
Wenn diese Daten in Betrugssysteme oder Analysen übertragen werden, gelten zusätzliche Regeln. Die Datenschutzregeln der DSGVO greifen. Personenbezogene Daten müssen vor jeder Zweitnutzung maskiert oder de-identifiziert werden.
Das 2-Tage-Rückstandsproblem
Eine digitale Bank bearbeitete 5.000 KYC-Anträge täglich in 15 EU-Ländern. Ihr PII-Scan-Schritt verursachte ein ernstes Problem. Die Falsch-Positiv-Rate war zu hoch. Prüfwarteschlangen wuchsen, bis sie einen 2-tägigen Rückstand erreichten.
Die Ursache war klar. Ihr ML-basiertes Tool kennzeichnete etwa 8% des Nicht-PII-Textes als personenbezogene Daten. Jede Datei hatte viele Seiten. Das tägliche Falsch-Positiv-Volumen war zu groß für das Team, um es an einem Tag zu bewältigen. Sie gerieten immer weiter in Rückstand.
Die Falsch-Positive fielen in drei Gruppen:
- Firmennamen als Personennamen gekennzeichnet (das Modell verwechselte Eigennamen)
- Referenzcodes als ID-Nummern gekennzeichnet (keine Prüfsummenprüfung verwendet)
- Häufige Vornamen wie "Chase" in Banknamen als Personen-PII gekennzeichnet
Jedes Falsch-Positiv benötigte eine manuelle Prüfung. Bei 8% über 5.000 tägliche Dateien entstanden täglich Tausende von Aufgaben. Keine konnte automatisiert werden.
Was die ACL-Forschung zeigt
ACL 2024 Forschung testete mehrsprachige NLP-Modelle für PII-Erkennung. Der Befund war eindeutig. Nur 5% der mehrsprachigen NLP-Modelle erreichen besser als 85% F1-Score für nicht-englisches PII über alle 24 EU-Sprachen.
F1-Score kombiniert Präzision und Recall. Niedrige Präzision bedeutet viele Falsch-Positive. Niedriger Recall bedeutet viele verpasste Elemente. Beide Ergebnisse schneiden schlecht ab. Die 95%-Versagensrate, 85% F1 zu erreichen, zeigt, wie schwer die sprachübergreifende PII-Erkennung in der Praxis ist.
Im Gegensatz dazu erreicht XLM-RoBERTa einen 91,4% sprachübergreifenden F1 für PII-Aufgaben. Diese Zahl stammt aus dem HuggingFace 2024 Benchmarking. Die Lücke zwischen 91,4% und dem Median-Modell erklärt, warum handelsübliche Tools beim mehrsprachigen KYC versagen.
Hybrides Design für High-Volume-KYC
Das Falsch-Positiv-Problem ist lösbar. Drei Designentscheidungen beheben es.
Regex mit Prüfsummenprüfung: Nationale ID-Nummern haben feste Regeln. Deutsches Steuer-ID, niederländisches BSN und polnisches PESEL verwenden jeweils Prüfsummen-Mathematik. Wenn eine Nummer die Prüfsumme nicht besteht, ist sie keine nationale ID. Format plus Prüfsumme erzeugt nahezu keine Falsch-Positive für diese IDs.
Kontextbewusstes NLP für Namen: Personennamen in KYC-Dateien erscheinen an bekannten Stellen. Dazu gehören "Name:", "Nachname:" und feste Formularfelder. Das Verlangen eines Kontextworts vor der Kennzeichnung eines Namens reduziert Falsch-Positive. Es verhindert, dass Firmennamen Personen-Warnungen auslösen.
Schwellenwert-Einstellung nach Dateityp: KYC-Dateien unterscheiden sich von Support-E-Mails oder medizinischen Notizen. Jeder Typ hat eine andere PII-Mischung. Das Setzen von Schwellenwerten pro Dateityp lässt Teams für ihre Bedürfnisse abstimmen. High-Volume-KYC erhält höhere Präzision. Medizinische De-Identifizierung erhält höheren Recall.
Der 2-Tage-Rückstand ist kein unvermeidlicher Preis der PII-Erkennung. Es ist der Preis der Verwendung generischer Tools für einen spezifischen Workflow. Die Lösung ist die Einrichtung, nicht ein größeres Team.
Unser DSGVO-Leitfaden behandelt Datenminimierungsregeln. Unsere Sicherheits- und Compliance-Übersicht erklärt die technischen Kontrollen, die konforme KYC-Workflows unterstützen.