Compliance

Bei Compliance geht es um die Einhaltung von Gesetzen und Richtlinien. Zusammen mit dem Partner KYC Spider AG in Zug verfügt Eurospider über umfassendes Know-How im Bereich Compliance.

Als Bundesrätin Leuthard im November 2010 ihr Departement an Bundesrat Schneider-Ammann übergab, schenkte sie ihm eine SuisseID. Diese elektronische Identitätskarte hatte bereits eine Leidensgeschichte hinter sich. Der Erfolg der SuisseID hält sich in Grenzen. Nun steht ein zweiter Anlauf vor der Tür.

Die Empfehlungen der Financial Action Task Force (FATF)  und der Anti-Money Laundering Act (AMLA)  fordern einen risikobasierten Ansatz. Im Folgenden werden einige grundlegende Aspekte von risikobasierten Ansätzen diskutiert.

Personennamen werden verwendet um Individuen zu unterscheiden. In der heutigen digitalisierten Welt, ist die Schreibweise von Namen wichtig, da Computer Namen Letter für Buchstabe um Buchstabe abgleichen, sofern nicht technisch ausgereifte  Namensabgleich-Software verwendet wird. Eine gründliche Betrachtung des Problems der Namensgebung ist jedoch schon hier möglich.

Qualitative Verfahren erzeugen nur Informationen zum jeweils betrachteten Fall, und generelle Schlussfolgerungen darüber hinaus sind Hypothesen. Quantitative Verfahren bezwecken eine systematische empirische Untersuchung beobachteter Vorkommnisse. In der Compliance werden quantitative Verfahren üblicherweise angewendet um regelmässig die Kundenbasis zu untersuchen. Das Resultat sind Hypothesen zu bestimmten Risiken, die durch qualitative Verfahren im jeweiligen Fall falsifiziert werden können.

Der Zweck von Whitelists ist es Standardprüfungen zu vermeiden. Beispielsweise können Spamfilter für e-mails eine Whitelist haben, um E-Mails bestimmter Emailadressen, Domänen oder IP-Adressen nie zu blockieren. In der Compliance werden Whitelists oft im Zusammenhang mit der regelmässigen Kundenüberprüfung verwendet.

Eine gängige Frage betrifft die Frequenz mit der man seine Kunden überprüft. Art. 9 (Berichtspflicht) des Anti-Money Laundering Act (AMLA) ist relevant für diese Frage: Ein Finanzintermediär muss umgehend eine Meldung  wie definiert zu Handen des Money Laundering Reporting Office Switzerland (MROS)  einreichen. Es ist offensichtlich, dass umgehende Meldungen schwierig sind, wenn die Kunden lediglich periodisch überprüft werden.

Personennamen werden verwendet um Individuen zu unterscheiden. In der heutigen digitalisierten Welt, ist die Schreibweise von Namen wichtig, da Computer Namen Letter für Buchstabe um Buchstabe abgleichen, sofern nicht technisch ausgereifte  Namensabgleich-Software verwendet wird. Eine gründliche Betrachtung des Problems der Namensgebung ist jedoch schon hier möglich.

Das Wort Compliance ist kein Schlagwort im Duden. Wharig nennt Compliance nur als medizinischen Begriff, und nicht im Sinne einer Erfüllung gesetzlicher Auflagen. Nichtsdestotrotz haben deutsche Medien das Wort Compliance seit 2012 häufig verwendet.

Compliance benötigt Namensabgleich-Lösungen: Beispielsweise um Kunden- mit Sanktions- und PEP-Listen zu vergleichen. Unglücklicherweise kann es für den Namen einer Person viele Schreibweisen geben (z.B. verschiedene Transliterationen). Darum muss ein Entscheid gefällt werden ob nur sehr ähnliche Namen oder auch weniger ähnliche Namen überprüft werden sollen. Im ersten Fall verpasst man möglicherweise relevante Treffer, und im zweiten erhält man in der Regel zu viele Treffer.

Hash-Funktionen wie zum Beispiel SHA-1 sind im Digitalgeschäft wichtig um kleine Textstücke (ein Digest) aus grösseren Dokumenten zu machen. Dieser Digest ist dann ein einzigartiger Stellvertreter für dieses Dokument. Keine zwei Dokumente sollten den gleichen Digest haben.

Ab 25. Mai 2018 gilt die neue Datenschutz­grund­verordnung der EU. In der Schweiz wurde der Vorentwurf für das Bundesgesetz über die Total­revision des Daten­schutz­gesetzes publiziert. In beiden Fällen gilt es mehr Pflichten zu erfüllen unter verschärften Straf­bestimmungen. Aus technischer Sicht ist absehbar, dass Knowledge Management nicht nur der Innovation förderlich ist, sondern auch hilft, die erwähnten Pflichten zu erfüllen und die Risiken zu minimieren. Wie kann man das Unangenehme mit dem Nützlichen verbinden?

Bereits im vorletzten Know-How Beitrag wurde auf die zukünftigen Datenschutzbestimmungen hingewiesen. In diesem Zusammenhang wird auch die Pseudonymisierung genannt.

In einem früheren Beitrag sind wir bereits auf das risikobasierte Vorgehen eingegangen. Nicht nur die Risiken, sondern auch die  Massnahmen müssen korrekt beurteilt werden. In der empirischen Sozialforschung wurde untersucht, wie sich bei solchen Beurteilungen Fehler einschleichen.

Eine schlechte Qualität der Stammdaten erhöht die Wahrscheinlichkeit, Treffer zu verpassen. Beispielsweise können Codierungsprobleme dazu führen, dass politisch exponierte Personen (PEP) nicht erkannt werden.

Totalrevision Datenschutzgesetz

Der Vorentwurf des totalrevidierten Datenschutzgesetzes befindet sich derzeit in der Vernehmlassung. Er bezweckt die Stärkung des Datenschutzes durch erhöhte Transparenz bei der Datenbearbeitung und mehr Kontrollmöglichkeiten der betroffenen Personen. Griffige Sanktionen und Handlungspflichten der verantwortlichen Personen sollen dabei die korrekte Umsetzung gewährleisten.

Links: Entwurf, Bericht

Eurospider Information Technology AG
Schaffhauserstrasse 18
8006 Zürich

Tel: +41 43 255 25 25
www.eurospider.com
eit eurospider com