Krypto-Börsen KYC-Leaks: Wie Ihre Daten wirklich gespeichert werden

Wenn eine Börse auf ihrer Website schreibt „Wir verwenden Bank-Standard-Verschlüsselung und halten uns an die DSGVO“, ist das eine Marketingformel und keine Beschreibung der tatsächlichen Datenarchitektur.

Rechtlich gesehen haben sie Recht.
Technisch gesehen ist die Realität deutlich komplexer und riskanter für die Nutzer.

Genau diese Kluft zwischen deklarierter Sicherheit und tatsächlicher Praxis gilt es zu beleuchten.

1. Wie Daten tatsächlich gespeichert werden – ohne Werbeversprechen

1.1. KYC fast nie „intern“ bei der Börse

Die meisten großen CEX haben keine eigene KYC-Infrastruktur. Das ist wirtschaftlich unpraktisch, teuer und rechtlich riskant.
Deshalb werden Drittanbieter eingesetzt:

• Onfido
• Jumio
• Sumsub
• Trulioo
• IDnow

Das Schema sieht folgendermaßen aus:

1. Sie laden Ihren Reisepass und ein Selfie nicht auf den Server der Börse, sondern in die Cloud des KYC-Anbieters hoch
2. Die Dokumente werden von KI und manueller Moderation verarbeitet
3. Die Börse erhält:
   • den Status (verified / rejected)
   • Metadaten
   • häufig Kopien der eigentlichen Dokumente

⚠️ Wichtiger Punkt:
Ein Hack oder eine Datenpanne beim Anbieter = Kompromittierung von Dutzenden von Börsen gleichzeitig.
Das ist ein systemisches Risiko, über das Börsen ungern sprechen.

1.2. „Konto löschen“ bedeutet nicht, dass die Daten gelöscht werden

Nach AML/CFT-Vorgaben:

• EU: 5 Jahre
• Großbritannien: bis zu 6 Jahre
• USA: 5–10 Jahre
• Einige Jurisdiktionen: bis zu 12 Jahre

Selbst wenn:

• Sie Ihr Konto schließen
• Ihr Profil löschen
• den Support kontaktieren

👉 Ihr Reisepass, Selfie und Adressnachweis bleiben archiviert.

Typische Architektur:

• Heißspeicher – aktive Nutzer, Zugriff des Supports
• Warm – kürzlich geschlossene Konten
• Kaltarchive – Offline-Speicher (S3 Glacier, Tape Backup, Air-Gapped Storage)

Aber es gibt einen selten erwähnten Punkt:

Bei jeder „Ermittlung“, erneuten Prüfung oder Anfrage einer Aufsichtsbehörde
werden die Daten in den Heißspeicher zurückgeführt, wo Menschen darauf Zugriff haben.

1.3. Insider-Bedrohung – der wahre Albtraum der Branche

Der schwächste Teil des Systems ist der Mensch.

In der Praxis:

• Support wird oft ausgelagert
• Gehälter sind niedrig
• Kontrolle ist formell
• Audits sind stichprobenartig

Typische Geografie:

• Philippinen
• Indien
• Osteuropa
• Lateinamerika

Der Support-Mitarbeiter sieht:

• Reisepass
• Selfie
• Adresse
• IP-Logs
• Login-Historie
• manchmal Transaktionen

💡 Wenig bekannter Fakt:
Bei einigen Börsen kann ein Operator 5–10 Projekte gleichzeitig betreuen (über denselben Anbieter).
Das bedeutet Cross-Access zwischen Ökosystemen.

2. Leaks und Vorfälle: Was tatsächlich passiert ist

2.1. Binance (2019)

Durchgesickert sind:

• Fotos von Nutzern mit Reisepässen
• Selfies mit „Binance“-Schildern

Die Börse erklärte:

„Dies ist ein Leak auf Seiten des alten KYC-Drittanbieters.“

Wichtig:

• Die Daten tauchten ein Jahr nach dem Anbieterwechsel auf
• Hacker forderten 300 BTC
• Teile der Daten zirkulieren noch in privaten Datenbanken

2.2. Coinbase (2024–2025)

Einer der aufschlussreichsten Fälle.

Kein Hack.
Kein Bug.
Bestechung von Mitarbeitern.

• Support-Drittanbieter wurden angeworben
• Zugriff auf Admin-Panels
• Daten von ~70.000 Nutzern exportiert

Einschließlich:

• ID-Dokumente
• Adressen
• KYC-Historie
• interne Notizen des Risk-Teams

Klassisches Beispiel eines Insider-Breaches, das nur durch Verschlüsselung nicht verhindert werden kann.

2.3. Genesis Market (2023) – Alarmzeichen

Genesis Market verkaufte nicht nur Dokumente.

Verkauft wurde:

• Cookies
• Browser-Fingerprints
• Sessions
• KYC-Fotos
• Verhaltensmuster

Ergebnis:

• Hacker konnten sich in Accounts einloggen
• 2FA schlug fehl
• System erkannte „vertrauenswürdiges Gerät“

👉 Dies zeigt, dass KYC + Verhaltensanalyse gegen Nutzer verwendet werden können.

2.4. Telegram-Bot BTC-e / WEX (2020)

Einer der am meisten unterschätzten Fälle.

Die Datenbank enthielt:

• Reisepässe
• Adressen
• E-Mail-Adressen
• interne Mitarbeiterkommentare

Beispielhafte Notizen:

• „verdächtig“
• „wahrscheinlich Geldwäsche“
• „mögliche Verbindung“

⚠️ Diese Notizen werden nicht gelöscht, nicht zurückgesetzt und können Jahre später wieder auftauchen.

3. Staat und Börsen: Mehr als offizielle Anfragen

3.1. Halbautomatische Gateways

Große CEX in den USA und der EU verwenden Systeme, bei denen:

• Anfragen von Strafverfolgungsbehörden
• automatische Formatprüfung
• Antwort innerhalb weniger Stunden

Juristen werden nachträglich hinzugezogen.

Dies ist kein manueller Prozess mehr, sondern ein API-ähnlicher Ablauf.

3.2. CARF – Ende der „stillen“ Anonymität

Crypto-Asset Reporting Framework:

• Einführung: 2026–2027
• automatischer Austausch
• Salden
• Gewinne
• Geldbewegungen

Wichtig:

• auch ohne Fiat
• auch ohne Auszahlung
• selbst wenn Sie die Assets nur halten

👉 Die Börse wird zum steuerlichen Informanten und nicht nur zur Plattform.

3.3. Schwarze Listen und Source of Wealth

Es genügt:

• indirekte Verbindung
• über Mixer
• über DeFi
• über 5–10 Hops

Und Sie erhalten:

• Kontosperrung
• Aufforderung zu SoW
• Unmöglichkeit, vergangene Transaktionen nachzuweisen

In diesem Moment ist die Börse nicht Ihr Verbündeter, sondern der Vollstrecker der Aufsichtsbehörde.

4. KI und kollektive Verantwortung

Seit 2025 werden aktiv implementiert:

• Graph-Modelle
• Nutzer-Clustering
• Reputationsscoring

Wenn Sie mit einem „markierten“ Konto interagieren:

• übernimmt Ihr Profil das Risiko
• Limits werden reduziert
• Prüfungen werden häufiger

Das ist bereits soziales Scoring und kein klassisches AML mehr.

Kurze, aber harte Schlussfolgerungen

• KYC bleibt für immer, selbst nach Kontoschließung
• Hauptbedrohung – Menschen, nicht Server
• Lecks sind systemisch, nicht zufällig
• Im Jahr 2026 = CEX ein Punkt vollständiger finanzieller Überwachung

Das ist keine Theorie.
Es ist bereits gelebte Realität.

5. Wenig bekannte, aber kritisch wichtige Details, über die kaum gesprochen wird

Hier beginnt der Teil, den selbst Fachmedien nur selten veröffentlichen, weil er sowohl für Börsen als auch für Regulierungsbehörden unbequem ist.

5.1. Das «zweite Leben» Ihrer KYC-Daten

Nach der Erstprüfung liegen die Daten nicht einfach brach.

Sie werden wiederverwendet:

• zum Training interner Anti-Fraud-Modelle
• zur Kalibrierung des Risk-Scores
• für retrospektive Analysen („Haben wir damals einen Fehler gemacht?“)

💡 Wenig bekannte Tatsache:
In einigen Jurisdiktionen ist die Anonymisierung von KYC formal erlaubt. In der Praxis werden die Daten:

• teilweise gehasht
• tokenisiert
• können jedoch über interne Compliance-Schlüssel wiederhergestellt werden

Das heißt, die «Anonymisierung» ist häufig umkehrbar.

5.2. Interne «Black Profiles»

Bei großen Börsen existieren interne Risiko-Profile, die der Nutzer niemals sieht:

Beispiele für Parameter:

• «Wahrscheinlichkeit regulatorischen Interesses»
• «Verhaltensinstabilität»
• «ungewöhnliche Musterwechsel»
• «geografische Anomalien»

Diese Profile:

• werden nicht gelöscht
• werden nicht zurückgesetzt
• werden bei Fusionen, Unternehmensverkäufen oder Jurisdiktionswechsel übertragen

👉 Selbst wenn die Börse «das Land wechselt», zieht die Datenbank mit.

5.3. Fusionen, Übernahmen und Datenbankübertragungen

Die DSGVO erlaubt die Übertragung personenbezogener Daten bei:

• Unternehmensankauf
• Restrukturierung
• Insolvenz
• Vermögensübertragung

Praktisch bedeutet das:

• Sie haben KYC bei einer Börse gemacht
• nach 3 Jahren wurde sie gekauft
• Ihr Reisepass befindet sich rechtmäßig bei einem anderen Unternehmen

Und Sie müssen nicht erneut zustimmen.

5.4. Logs – die am meisten unterschätzte Quelle von Leaks

Selbst wenn Dokumente verschlüsselt sind, bleiben:

• Access-Logs
• Audit-Logs
• Debug-Logs
• API-Fehler

Oft enthalten sie:

• den Dateinamen des Reisepasses
• das Land
• den Dokumenttyp
• das Geburtsdatum
• manchmal Base64-Fragmente

⚠️ Diese Logs:

• werden selten gelöscht
• sind oft für DevOps und externe Auftragnehmer zugänglich
• werden über Jahre hinweg aufbewahrt

6. Warum «Null-Anonymität» kein Slogan, sondern architektonische Realität ist

6.1. Kombination KYC + On-Chain-Analyse

Heute nutzt jede große Börse:

• Chainalysis
• TRM Labs
• Elliptic
• Crystal

Das Modell ist einfach:

1. KYC → reale Identität
2. Adressen → Beziehungsgraph
3. Verhalten → Profil

Danach arbeitet das System automatisch.

Selbst wenn Sie:

• die Adresse geändert haben
• DeFi verwendet haben
• 20 Zwischenschritte gemacht haben

Der Graph verdichtet sich trotzdem.

6.2. Reputation als lebenslanges Attribut

Wenig bekannt, aber wichtig:

Reputationsrisiko wird vererbt.

Wenn:

• Ihr alter Account ein Flag hatte
• Sie KYC erneut abgeschlossen haben
• Sie dieselbe Jurisdiktion oder dasselbe Gerät nutzen

Verknüpft das System Profile wahrscheinlichkeitsbasiert, nicht formal.

Das ist dann kein «Account» mehr, sondern ein digitaler Schatten.

7. Praktische Erkenntnisse ohne Moralisieren

Ohne Slogans und ohne Appelle.

Was man verstehen sollte:

1. Top-CEX ist weder Wallet noch Bank.
   Es ist ein Überwachungsknoten.
2. Account löschen ≠ Daten löschen.
3. Regulatorisches Interesse verschwindet nicht mit der Zeit.
   Es akkumuliert.
4. Kontrolltechnologien sind den gesetzlichen Garantien voraus.

Was man nicht tun sollte (häufige Fehler):

• zu denken, «kleine Beträge interessieren niemanden»
• zu glauben, «eine Börse = eine Datenbank»
• zu denken, dass der Wechsel des Accounts das Problem löst
• Verhaltens-Metadaten zu ignorieren

8. Zentrale Schlussfolgerung

KYC bei Top-Börsen ist nicht nur Identitätsprüfung.
Es ist der Einstiegspunkt in ein langfristiges System:

• Speicherung
• Analyse
• Korrelation
• Übertragung

Und dieses System vergisst nicht.