Wie Compliance-Daten tatsächlich verarbeitet werden
Die meisten Compliance-Lösungen funktionieren nach dem gleichen Prinzip. Ein Kunde initiiert eine Transaktion. Die Plattform fasst die Details, Wallet-Adressen, Beträge und Identitätsmerkmale zusammen und sendet sie über eine API an einen externen Analyseanbieter. Der Anbieter gleicht die Daten mit seinen Modellen ab, gibt einen Risikowert zurück, und die Plattform reagiert darauf.
Damit sind die AML-Anforderungen erfüllt. Aus datenschutzrechtlicher Sicht bedeutet dies jedoch in der Regel, dass personenbezogene Daten an Server in Drittländern übertragen werden. Gemäß der DSGVO hängen diese Übermittlungen von Standardvertragsklauseln (SCCs) und Folgenabschätzungen zur Datenübermittlung (TIAs) ab. Die Verwaltung all dieser ergänzenden Maßnahmen verursacht einen erheblichen Mehraufwand für die Daten-Governance eines Unternehmens.
Es gibt ein zweites Problem, das weniger Beachtung findet. Probabilistische Clustering-Modelle, der Industriestandard für Blockchain-Analysen, funktionieren, indem sie übermittelte Adressen mit größeren Clustern verwandter Wallets verknüpfen. Sie bilden historische und prädiktive Transaktionsgraphen ab. Eine Routineprüfung eines Kunden kann dazu führen, dass sensible Daten über Gegenparteien und historische Netzwerkinteraktionen offengelegt werden, die weder mit der ursprünglichen Transaktion noch mit einer sanktionierten Transaktion in Zusammenhang stehen. Compliance-Teams müssen sorgfältig über Datenminimierung (Artikel 5 DSGVO), Zweckbindung und die Frage nachdenken, ob sie tatsächlich eine rechtmäßige Grundlage für alle von ihnen verarbeiteten Daten haben.
Erklärbarkeit und Analysemodelle
Die meisten etablierten Anbieter von Blockchain-Analysen nutzen probabilistische Clustering-Modelle, die auf proprietären Algorithmen basieren. Diese Systeme verarbeiten große Datenmengen, um ihre statistischen Schlussfolgerungen und Verhaltensprofile im Laufe der Zeit zu verfeinern.
Für forensische Untersuchungen ist dies sinnvoll. Strafverfolgungsbehörden, die komplexe Verschleierungstechniken aufspüren, benötigen umfassende statistische Schlussfolgerungen, um wahrscheinliche Eigentumsverhältnisse zu rekonstruieren.
Regulierte Krypto-Asset-Dienstleister (CASPs), die routinemäßige Compliance-Maßnahmen durchführen, haben andere Anforderungen. Sanktionsprüfungen und die Überwachung verdächtiger Aktivitäten erfordern Nachvollziehbarkeit und Präzision. Sich bei Entscheidungen, die Kunden betreffen, auf probabilistische Ergebnisse zu stützen, schafft zwei spezifische Probleme.
Die Validierung der Falsch-Positiv- und Falsch-Negativ-Raten eines proprietären Black-Box-Modells ist schwierig. Das erschwert es, Ihren Risikobewertungsansatz bei einer Prüfung oder vor Gericht zu verteidigen. Unabhängig davon legt das SCHUFA-Urteil des Europäischen Gerichtshofs (C-634/21) nahe, dass das Verlassen auf Wahrscheinlichkeitsbewertungen von Dritten zur Festlegung von Entscheidungen über einen Kunden als „automatisierte Einzelentscheidung“ im Sinne von Artikel 22 der DSGVO gelten kann. Die Rechenschaftspflicht für diese Entscheidungen und die Verpflichtung, sie zu erklären, verbleibt beim CASP.
Forensik und die routinemäßige Einhaltung von Vorschriften sind unterschiedliche Aufgaben
Privatsphäre-Protokolle und Mixing-Dienste (wie beispielsweise CoinJoin) schaffen eine plausible Abstreitbarkeit, indem sie die deterministische Verbindung zwischen Eingangs- und Ausgangsadressen aufheben. Es gibt probabilistische Werkzeuge, die diese Abstreitbarkeit mithilfe statistischer Heuristiken durchbrechen können. Kriminalistische Ermittlungen benötigen diese Fähigkeit.
Ein CASP versucht nicht, die Eigentumsverhältnisse über einen Mixer nach juristischen Maßstäben nachzuweisen. Ein CASP filtert definierte Risiken heraus, identifiziert eindeutige On-Chain-Verbindungen und meldet verdächtige Aktivitäten auf der Grundlage spezifischer Schwellenwerte. Eine Vermischung dieser beiden Funktionen führt zu einer Überverarbeitung von Daten und zu mehr Fehlalarmen, die niemand erklären kann.
Argumente für eine deterministische Architektur
Ein deterministisches Compliance-System bewertet Transaktionen anhand streng definierter, binärer Regeln: direkte Übereinstimmungen mit Sanktionslisten, bekannte Nutzung von Mixern, bestimmte Schwellenwerte für Transaktionshäufigkeit oder Strukturierung.
Jede markierte Transaktion lässt sich auf eine bestimmte, transparente Regel zurückführen. Wenn ein Vorgesetzter fragt, warum etwas markiert wurde, muss kein proprietärer Algorithmus entschlüsselt werden. Das System reagiert auf exakte Datenpunkte statt auf allgemeine Verhaltensmuster, sodass die Datenminimierung fest in die Architektur integriert ist und nicht erst nachträglich hinzugefügt wird. Deterministische Systeme identifizieren objektive Risiken und überlassen die kontextbezogene Interpretation sowie die endgültigen Entscheidungen geschulten Compliance-Analysten, was den tatsächlichen Erwartungen der Aufsichtsbehörden entspricht.
Die Compliance-Infrastruktur von opago nutzt diesen deterministischen Ansatz. „Privacy by Design“ ist der Ausgangspunkt, und Compliance-Teams erhalten klare, binäre Nachweise, auf denen sie ihre Risikogewichtung aufbauen können.
Interne Datenverarbeitung
Wo die Verarbeitung stattfindet, ist genauso wichtig wie die Wahl des verwendeten Modells. Die meisten Konfigurationen basieren auf externen API-Aufrufen, doch die interne Ausführung der Compliance-Logik innerhalb der Transaktionsinfrastruktur bietet offensichtliche Vorteile.
Wenn die Compliance-Prüfung intern erfolgt, verbleiben die Kundendaten in der kontrollierten Umgebung. Es müssen keine Datenübertragungen an Dritte verwaltet werden. Die Vereinbarungen mit den für die Datenverarbeitung Verantwortlichen sind einfacher. Es entfällt die Eile, Datenschutz-Folgenabschätzungen (DPIAs) jedes Mal zu aktualisieren, wenn ein Anbieter seine Unterauftragsverarbeiter wechselt. Die interne Verarbeitung erfolgt zudem in Millisekunden, was tatsächliche Echtzeit-Transaktionsabläufe bedeutet, ohne auf externe API-Roundtrips warten zu müssen.
Was von den Regulierungsbehörden zu erwarten ist
Drei regulatorische Entwicklungen machen es lohnenswert, sich bereits jetzt mit diesen architektonischen Entscheidungen auseinanderzusetzen.
Die Übergangsfristen für MiCA enden Mitte 2026. Um eine MiCA-Lizenz zu erhalten, muss nachgewiesen werden, dass die Verpflichtungen im Bereich Geldwäschebekämpfung und Terrorismusfinanzierung (AML/CFT) sowie die Einhaltung der DSGVO nicht nur auf dem Papier nebeneinander bestehen, sondern auch in der Praxis umgesetzt werden. Das EU-AML-Paket und die AMLA legen den aufsichtsrechtlichen Fokus erneut auf eine nachvollziehbare, verhältnismäßige Compliance mit klaren Prüfpfaden. Und die bevorstehenden EDPB-Leitlinien 02/2025 zur Blockchain-Technologie bekräftigen, dass „Privacy by Design“ und Datenminimierung zwingend vorgeschrieben sind. Die Unveränderlichkeit der Blockchain macht einen verhältnismäßigen Umgang mit Daten noch wichtiger, nicht weniger.
Fragen, die Sie Ihren Händlern stellen sollten
Wenn Sie Ihre Monitoringsarchitektur evaluieren oder aktualisieren, können Ihnen einige Fragen bei der Anbieterauswahl helfen. Welche konkreten Daten verlassen Ihre kontrollierte Umgebung, und wo werden sie verarbeitet? Werden Compliance-Warnungen durch Ihre internen Regelwerke oder durch das proprietäre Modell des Anbieters generiert? Kann der Anbieter eine vollständige Offenlegung der Methodik für seine Analysemodelle bereitstellen, damit Sie gemeldete Transaktionen gegenüber einer Aufsichtsbehörde tatsächlich erklären können? Inwieweit hält die Architektur den jüngsten Entscheidungen zur automatisierten Entscheidungsfindung gemäß Artikel 22 der DSGVO stand?
Die Zusammenarbeit von AML und Datenschutz ist mittlerweile ein Muss. Das Verständnis der strukturellen Unterschiede zwischen probabilistischen und deterministischen Modellen hilft Compliance- und Technikteams dabei, zu vermeiden, dass sie etwas entwickeln, das eine Anforderung auf Kosten der anderen erfüllt.
Sie möchten prüfen, wie eine datenschutzkonforme Compliance-Architektur für Ihr Unternehmen aussehen könnte? Nehmen Sie Kontakt auf.