World-Check wurde ein Riesenerfolg. Wie hat sich das angefühlt?
Wir wurden sehr schnell zum Goldstandard, das war unglaublich. Wir waren leidenschaftlich bei der Sache und sehr sorgfältig mit den Daten. Besonders die Schweizer Finanzindustrie unterstützte uns von Anfang an, was uns half, weltweit zu expandieren. 2011 verkauften wir das Unternehmen an Thomson Reuters, was sich für mich wie eine Art Rückkehr an den Anfang meiner beruflichen Laufbahn anfühlte, da ich meine Karriere bei Thomson Financial Publishing begonnen hatte und deren OFAC-Sanktionslisten verkauft hatte.
«Die Compliance-Infrastruktur ist zu einem Moloch geworden, der die Banken mit Fehlalarmen überflutet»
World-Check wird auch heute noch viel genutzt, aber Sie haben Bedenken über die Richtung, die das Unternehmen nach Ihrem Ausstieg eingeschlagen hat.
Ja, und das ist eine komplizierte Angelegenheit. Ursprünglich ging es uns um Qualität statt Quantität. Wir wollten nicht jeden kleinen Verstoss erfassen. Die Banken interessierten sich für echte Risiken – Bestechung, Korruption, Terrorismus, insbesondere nach dem 11. September. Doch inzwischen ist die Datenbank auf über sechs Millionen Profile angewachsen. Es geht nicht mehr um Präzision, und diese Entwicklung hat Probleme geschaffen. Es gibt ernsthafte Bedenken, ob diese Datenbanken noch datenschutzkonform sind, da viele Profile jahrelang ohne Aktualisierung bestehen bleiben.
Sechs Millionen Profile – das ist eine enorme Zahl. Welche Konsequenzen hat dieser Umfang?
Nun, das hat zu einem Albtraum an Fehlalarmen geführt. Banken werden mit möglichen Treffern überflutet, die eigentlich gar keine echten Risiken darstellen. Dies hat die Compliance-Kosten in die Höhe getrieben und Banken gezwungen, enorme Ressourcen aufzuwenden, nur um diese Fehlalarme zu überprüfen. Auch deshalb kann das Onboarding eines Kunden im Private Banking heute sechs bis 18 Monate dauern. Compliance ist zu einer unglaublichen Belastung und einem enormen Kostenfaktor geworden.
Das stellt die Banken vor grosse Herausforderungen.
Absolut. Banken geben Milliarden für die Bereinigung aus, um mit diesen Fehlalarmen umzugehen. Compliance-Teams sind überfordert, weil jeder mögliche Treffer geprüft werden muss, obwohl klar ist, dass die meisten dieser Treffer falsch sind. Es ist nicht nur ein Personalproblem; es ist ein strukturelles Problem, das durch die schiere Grösse und fehlende Spezifität in diesen Datenbanken verursacht wird. In einigen Banken umfassen die Compliance-Teams mittlerweile Hunderte von Mitarbeitern, doch die Aufgabe bleibt kaum zu bewältigen.
Die Auswirkungen sind aber auch persönlicher Natur, oder?
Ja, die persönlichen Konsequenzen sind erheblich. Ich bekomme Anrufe von Menschen, die fälschlicherweise in der Datenbank landen und plötzlich de-banked sind. Stellen Sie sich vor, Ihr Konto wird geschlossen, oft ohne klare Erklärung, nur weil Ihr Name in einer Compliance-Datenbank auftaucht. Das ist kein kleines Problem. Wenn Sie Ihre Ersparnisse, Hypotheken oder Geschäftskonten bei dieser Bank haben, wird es zum Albtraum, das alles zu entwirren. Manchmal erfahren die Betroffenen erst davon, dass sie auf einer Liste stehen, wenn sie bei einer anderen Bank ein Konto beantragen und dort ebenfalls abgelehnt werden.
Der jüngste Fall von Nigel Farage (finews.ch berichtete) hat das Problem des De-Banking von PEPs an die Öffentlichkeit gebracht.
Ja, Farages Fall sorgte für Aufsehen, weil er das Problem einem breiten Publikum nahebrachte. Er ist eine politisch exponierte Person (PEP), aber De-Banking kann auch erfolgreichen Unternehmern oder Geschäftsleuten passieren, oft wegen lockerer persönlicher Verbindungen oder entfernter Assoziationen. Manchmal reicht es schon, im falschen Raum oder im selben Gremium wie ein PEP zu sitzen. Menschen, die in keinerlei kriminelle Aktivitäten verwickelt sind, werden plötzlich aus dem Bankensystem ausgeschlossen und wissen oftmals nicht einmal, warum.
Und die Daten, die solche Personen kennzeichnen, sind nicht immer zuverlässig?
Das ist eines der grössten Probleme. Die Recherchen, die in diese Datenbanken einfliessen, sind oft oberflächlich oder schlecht. Ein unbestätigter Vorwurf in einem Medienartikel oder eine haltlose Anschuldigung kann jemanden in eine Datenbank wie World-Check bringen, selbst wenn die Behauptungen völlig unbegründet sind. Als wir World-Check gründeten, waren wir darauf bedacht, Informationen gründlich zu überprüfen, weil wir die Auswirkungen kannten. Heute, bei Millionen von Profilen und dem Fokus der Datenbanken auf ihr eigenes Wachstum, gelangen viele oberflächliche Daten in diese Systeme. Und so kann ein Artikel mit haltlosen Anschuldigungen auf einer qualitativ schlechten Webseite leicht den finanziellen Status und Ruf einer Person ruinieren.
Es können also schwerwiegende Konsequenzen aufgrund falscher oder unvollständiger Informationen entstehen. Gibt es eine Möglichkeit, Namen aus diesen Datenbanken zu entfernen?
Es ist kompliziert, aber ja, die gibt es. Ein ganzer Geschäftszweig ist daraus entstanden. Einige Anwaltskanzleien haben sich darauf spezialisiert, Klienten dabei zu helfen, ungenaue oder veraltete Informationen aus diesen Datenbanken anzufordern und entfernen zu lassen. Die Gebühren sind enorm – ich habe Fälle gesehen, in denen ein einziges Schreiben über 150'000 Pfund kostet. Bei Milliardären können solche Fälle Millionen verschlingen. Es ist ironisch: Anwälte und Reputationsfirmen verdienen daran, dass sie Menschen helfen, Daten zu korrigieren, die dart gar nie hätten auftauchen dürfen.
«Kriminelle Organisationen bewegen Gelder durch komplexe Firmenstrukturen. Das ist schwierig zu verfolgen»
Was passiert, wenn jemand einen datenschutzrechtlichen Auskunftsantrag – im Vereinigten Königreich als DSAR bekannt – stellt, um herauszufinden, warum er in einer Datenbank geführt wird? Wie reagieren die Inhaber der Datenbanken?
Es ist ein interessanter Prozess. Wenn ein DSAR gestellt wird, sind die Datenbankanbieter rechtlich verpflichtet zu antworten, zumindest in Ländern wie Grossbritannien, wo World-Check, heute im Besitz der LSEG, ansässig ist. Normalerweise haben die Betreiber der Datensammlung einen Monat Zeit, um eine Kopie der Daten zu liefern. Manchmal können sie es auf drei Monate verlängern, wenn die Anfrage komplex ist. Aber hier liegt der Knackpunkt: Sobald ein DSAR eingeht, geraten manche Anbieter leicht in Panik. Sie überprüfen und aktualisieren das Profil, bevor sie es zurücksenden, sodass die Daten sauberer und aktueller erscheinen als das, was ursprünglich im System war.
Die Daten, die man zurückbekommt, entsprechen also nicht immer dem Stand zum Zeitpunkt der Anfrage?
Genau. In manchen Fällen habe ich Profile gesehen, die kurz vor der Übermittlung im Rahmen eines DSAR aktualisiert wurden. Ich habe das getestet, indem ich Profile vor und nach einem DSAR verglichen habe. Und tatsächlich: Oft fällt das letzte Aktualisierungsdatum magischerweise mit der Anfrage zusammen. Sie räumen die Daten auf und schicken sie erst dann, damit alles verlässlicher wirkt. Das ist eine Art Schlupfloch, mit dem sich die Betreiber der Systeme der Verantwortung für die ursprüngliche, oft mangelhafte Qualität der Daten entziehen.
Sie haben erwähnt, dass Sie einmal Schwierigkeiten hatten, ein Flugzeug zu besteigen. Was ist damals passiert?
Ja, das ist eine Geschichte, die ich nie vergessen werde. Letztes Jahr war ich am London City Airport. Als Erster in der Reihe wollte ich in einem Flieger von British-Airways einsteigen. Die Mitarbeiterin scannte meine Bordkarte und sagte: «Es tut mir leid, aber heute können Sie nicht mitfliegen.» Ich dachte, sie mache einen Witz – ich habe sogar gelacht. Doch dann bat sie mich, beiseite zu treten und sagte, dass die Security mich gleich weg eskortieren würde. Da wurde mir klar, dass es ernst war.
Was ging Ihnen durch den Kopf?
Meine erste Reaktion war, dass mein Name durch meine Verbindung zu World-Check aufgeleuchtet haben könnte. Im Laufe der Jahre ist der Name David Leppan in unzähligen Artikeln über Hochrisikopersonen, terroristische Organisationen und Finanzkriminalität genannt worden. KI-Systeme oder Datenbanken könnten meinen Namen mit diesen Themen in Verbindung bringen und mich auf die schwarze Liste setzen. Es war ein surreales Erlebnis und eine eindringliche Erinnerung an die möglichen unbeabsichtigten Folgen dieser Systeme. In meinem Fall war der Grund, warum ich den Flug nicht besteigen durfte, letztlich harmloser – aber diese Datenbanken sind ein Faktor, den man nicht unterschätzen sollte. Schliesslich werden sie auch von Hunderten von Regierungsbehörden genutzt.
Akzentuiert der Fortschritt von KI und Big Data diese Probleme?
Ja, und es ist besorgniserregend. Wenn man veraltete oder ungenaue Daten in KI-Systeme speist, kann das schwerwiegende Konsequenzen haben. Stellen Sie sich vor, ein KI-System verweigert Ihnen den Zugang zu Bankdienstleistungen oder Flugreisen wegen einer Verwechslung oder einer nicht überprüften Verbindung zu einer Hochrisikoperson. Wenn KI-Systeme Entscheidungen treffen, wird es fast unmöglich sein, diese Fehler zu korrigieren. Datenschutzbehörden haben bereits jetzt Schwierigkeiten, Korrekturanfragen zu bewältigen; wenn KI hinzukommt, ist eine kafkaeske Frustration vorprogrammiert.
«Unser ursprünglicher Zweck war es, Korruption und schwere Kriminalität zu verhindern – nicht das Leben normaler Menschen zu erschweren»
Angesichts dieser Herausforderungen: Welche Änderungen würden Sie empfehlen, um solche Probleme zu entschärfen?
Erstens brauchen Datenschutzbehörden mehr Macht und Ressourcen. KI und Big Data werden nicht verschwinden, also brauchen wir eine stärkere Aufsicht. Behörden müssen die Befugnis haben, sicherzustellen, dass Datenbanken inhaltlich akkurat und aktuell gehalten werden, besonders bei zunehmendem Umfang. Zweitens müssen die Regulierungsbehörden eine strikte Definition dafür durchsetzen, wer als PEP gilt. Nicht jeder mit politischen Verbindungen sollte auf der Liste stehen. Wenn Compliance effektiv funktionieren soll, müssen wir zurück zu Qualität vor Quantität.
Also eine Rückkehr zu den Grundprinzipien verantwortungsvoller Compliance?
Absolut. Unser ursprünglicher Zweck war es, Korruption und schwere Kriminalität zu verhindern – nicht das Leben normaler, unbescholtener Bürger zu erschweren. Jetzt fängt das System unschuldige Menschen ein und scheitert gleichzeitig daran, gross angelegte Geldwäsche zu stoppen. Die Compliance muss sich wieder auf sinnvolle Daten konzentrieren und wegkommen von ihrer «Mehr ist besser»-Mentalität. Wir als Betroffene müssen uns darauf verlassen können, dass die datenschutzrechtlichen Gesetze und Anforderungen von den KYC-Datenbanken korrekt und rigoros eingehalten werden.
David Leppan, der World-Check im Jahr 2000 gründete, wuchs in Südafrika auf und studierte Politikwissenschaften an der Universität Salzburg. Nach World-Check war er Mitbegründer von WealthX und Captis Intelligence und hat zuletzt Managing Reputational Risk (MRR) ins Leben gerufen, eine Initiative, um auf die Risiken von Big Data, Datenschutzverletzungen und «Dirty Data» aufmerksam zu machen und einen branchenweiten Wandel zu bewirken.
- << Zurück
- Seite 2 von 2
