Datenexposure: Welche Informationen KYC-Plattformen wirklich über dich sammeln

6. Mai 2026

Sobald du auf einer Krypto-Börse KYC abschließt, gibst du nicht nur ein Foto deines Ausweises ab. Ein vollständiger KYC-Datensatz reicht oft aus, um dich in der realen Welt eindeutig zu identifizieren: Name, Adresse, Dokumente, Selfies, teilweise sogar biometrische Merkmale und Finanzinformationen.

Wo werden diese Daten gespeichert? Wer kann darauf zugreifen? Und was passiert, wenn eine Plattform oder ein Dienstleister kompromittiert wird? Dieser Artikel zerlegt die Risiken Schritt für Schritt.

Welche Daten KYC-Regeln von Plattformen verlangen

Regulierte Virtual Asset Service Provider (VASP) müssen nach FinCEN-Leitlinien ein CIP, also ein Customer Identification Program, betreiben. Zum Kern gehören typischerweise:

  • vollständiger Name
  • Geburtsdatum
  • Adresse
  • Identifikationsnummer, etwa Passnummer, Personalausweisnummer oder Steuer-ID

In der EU verlangen MiCA und der zugehörige EUR-Lex-MiCA-Text zusätzlich, dass Plattformen bei höheren Risiken eine Enhanced Due Diligence (EDD) durchführen. Dazu können Angaben zur Herkunft der Mittel, zum Zweck der Transaktionen und bei Bedarf detailliertere Finanzinformationen gehören.

Der ESMA-Rahmen für Krypto-Assets sieht außerdem vor, dass Plattformen Kundenidentifikationsdaten mindestens fünf Jahre aufbewahren müssen. In manchen Rechtsräumen kann diese Frist länger sein.

Das bedeutet: Auch wenn du dein Konto schließt, können KYC-Daten aufgrund gesetzlicher Aufbewahrungspflichten noch jahrelang bei der Plattform oder in deren Compliance-Archiv liegen.

Woraus ein typischer KYC-Datensatz besteht

Je nach Plattform und Verifizierungsstufe kann KYC deutlich mehr umfassen als nur einen Ausweis-Upload.

Basis-Level, häufig Tier 1

  • vollständiger Name, exakt wie im amtlichen Dokument
  • Geburtsdatum
  • Staatsangehörigkeit
  • E-Mail-Adresse
  • Telefonnummer

Identitätsprüfung, häufig Tier 2

  • Vorderseite von Reisepass oder Personalausweis
  • Rückseite von Reisepass oder Personalausweis, falls relevant
  • Selfie mit Ausweis
  • Liveness-Video, wenn die Plattform es verlangt
  • Gesichtsdaten bzw. biometrische Merkmale, die aus Fotos oder Videos extrahiert werden

Adressprüfung, häufig Tier 2 bis Tier 3

  • Wohnadresse bis auf Straßenebene
  • Nachweisdokumente wie Stromrechnung, Kontoauszug oder Behördenbrief

Finanzinformationen, häufig Tier 3 oder bei höherem Risiko

  • Erklärung zur Herkunft der Mittel
  • Beruf und Arbeitgeber
  • erwartetes Handelsvolumen und Zweck der Nutzung
  • Bankkontodaten, falls von der Plattform verlangt
  • Steueridentifikationsnummer

Verknüpfung mit On-Chain-Daten

  • Historie deiner Einzahlungsadressen
  • gespeicherte Auszahlungsadressen
  • Wallet-Cluster-Daten, die mit Drittanbietern für On-Chain-Analyse geteilt werden können

Biometrische Daten: die sensibelste Kategorie

Gesichtsdaten gehören zu den kritischsten Informationen im gesamten KYC-Paket. Ein Passwort kannst du ändern, eine Telefonnummer kannst du ersetzen. Dein Gesicht kannst du nicht einfach zurücksetzen.

Viele Plattformen verarbeiten Gesichtsdaten nicht vollständig selbst, sondern über spezialisierte KYC-Anbieter wie Jumio, Onfido oder Sumsub. Damit liegen biometrische Daten faktisch nicht nur bei der Börse, sondern auch in den Systemen externer Dienstleister.

Deren Sicherheitsstandards, Datenaufbewahrung und Subunternehmerketten können sich von denen der Börse unterscheiden. Als Nutzer bekommst du in der Regel keinen Einblick in die genauen Verträge oder technischen Kontrollen.

Wie Plattformen diese Daten nutzen

Typische Compliance-Nutzung

Diese Zwecke stehen meist in der Datenschutzerklärung:

  • Transaktionsmonitoring und AML-Screening
  • Reaktion auf behördliche Anfragen, Vorladungen oder Auskunftsersuchen
  • Abgleich mit Sanktionslisten wie OFAC oder UN-Listen
  • Risikoscoring und Einstufung von Konten

Mögliche Zweitnutzung

Für Nutzer ist oft schwer erkennbar, wie weit die Nutzung tatsächlich geht. Möglich sind je nach Plattform und Policy unter anderem:

  • Weitergabe an externe Datenanalyse- oder Compliance-Dienstleister
  • Marketing- und Werbe-Targeting, wenn die Datenschutzerklärung dies erlaubt
  • Cluster-Analyse von On-Chain-Adressen, um Wallet-Zusammenhänge zu erkennen

Die EU-Verordnung zum Geldtransfer, oft als Transfer of Funds Regulation (TFR) bezeichnet, verlangt außerdem, dass bei bestimmten Transfers Angaben zu Auftraggeber und Begünstigtem an die Gegenpartei-Plattform weitergegeben werden. Deine KYC-Daten können sich also mit dem Geldfluss durch mehrere Institutionen bewegen.

Das reale Risiko von Datenlecks

Untersuchungen von Chainalysis zu Angriffsmethoden im Kryptobereich zeigen, dass Social-Engineering-Angriffe gegen Börsennutzer häufig echte Identitätsinformationen benötigen. KYC-Datenbanken sind genau die Art von Quelle, in der solche Informationen gebündelt vorliegen.

OWASP beschreibt bei Phishing-Angriffen ebenfalls, dass besonders überzeugende Kampagnen oft echte Namen, Fragmente aus der Transaktionshistorie oder Kontodetails verwenden. Solche Details stammen häufig aus Datenlecks.

Wird eine KYC-Datenbank kompromittiert, erhalten Angreifer potenziell alles, was sie für präzises Spear-Phishing brauchen: Name, Adresse, Telefonnummer, E-Mail, Ausweisdaten, Kontostatus und manchmal On-Chain-Verknüpfungen.

In der Vergangenheit gab es bereits mehrere große Datenlecks bei Krypto-Plattformen, bei denen Identitätsdaten von Nutzern offengelegt wurden, darunter Namen, Adressen, Ausweisnummern und vollständige KYC-Unterlagen. Sobald solche Daten im Darknet landen, sind sie praktisch dauerhaft verfügbar. Anders als ein Passwort lassen sie sich nicht einfach rotieren.

Vergleich: KYC-Plattform vs. Self-Custody ohne KYC

Wenn du eine OneKey Wallet für Self-Custody nutzt, musst du keine persönlichen Identitätsdaten einreichen. Wallet-Erstellung und Private-Key-Verwaltung passieren lokal auf deinem Gerät. Der Open-Source-Ansatz von OneKey erlaubt es, diese Architektur nachzuvollziehen und zu überprüfen.

Wenn du anschließend mit On-Chain-Protokollen interagierst, sieht die Protokollseite grundsätzlich deine Wallet-Adresse, aber nicht automatisch deinen Namen, Ausweis oder deine Wohnadresse. Das ist keine vollständige Anonymität — On-Chain-Adressen sind pseudonym und öffentlich analysierbar — aber es reduziert die Menge an personenbezogenen Daten, die du an zentrale Plattformen gibst.

Für Perps-Trading ist OneKey Perps deshalb ein praktischer Workflow: Du nutzt deine eigene Wallet, behältst die Kontrolle über deine Keys und interagierst mit unterstützten On-Chain-Perps-Märkten, ohne den klassischen Börsen-KYC-Prozess durchlaufen zu müssen. Wichtig bleibt: Trenne Adressen, die du bereits bei KYC-Börsen verwendet hast, konsequent von neuen On-Chain-Aktivitäten, wenn dir Privatsphäre wichtig ist.

So prüfst du dein aktuelles KYC-Datenrisiko

Beginne mit einer einfachen Bestandsaufnahme:

  1. Liste alle KYC-Plattformen auf, bei denen du jemals ein Konto hattest. Jede davon ist ein potenzieller Datenexposure-Punkt.
  2. Lies die Datenschutzrichtlinien der Plattformen. Achte besonders auf Aufbewahrungsfristen, Drittanbieter, Datenweitergabe und Betroffenenrechte.
  3. Prüfe, ob du Konten wirklich noch brauchst. Für nicht mehr genutzte Plattformen ist eine formelle Kontoschließung plus Antrag auf Löschung personenbezogener Daten sinnvoll.
  4. Bewahre Bestätigungen auf. Wenn eine Plattform Löschung oder Kontoschließung bestätigt, speichere die Antwort.

In der EU hast du unter der DSGVO grundsätzlich das Recht, Löschung zu verlangen. Plattformen können bestimmte Daten jedoch aufgrund von AML- und Compliance-Pflichten weiter aufbewahren müssen. Ein Löschantrag reduziert also nicht immer alles auf null, schafft aber Klarheit und kann unnötige Datenverarbeitung begrenzen.

FAQ

Q1: Kann ich nach abgeschlossenem KYC verlangen, dass die Plattform meine Daten löscht?

Ja, in DSGVO-Gebieten kannst du einen Antrag auf Löschung stellen. Viele Plattformen werden jedoch zentrale KYC- und Transaktionsdaten wegen AML-Aufbewahrungspflichten weiter speichern, häufig für mehrere Jahre. Auch nach Kontoschließung können Ausweisdokumente und Handelsaufzeichnungen bis zum Ablauf der gesetzlichen Frist erhalten bleiben.

Q2: Werden Drittanbieter für KYC-Sicherheit reguliert?

KYC-Dienstleister unterliegen normalerweise den Datenschutzregeln ihres Sitzlands, etwa der DSGVO, und können Zertifizierungen wie ISO 27001 haben. Das bedeutet aber nicht, dass kein Risiko besteht. Zertifizierungen zeigen Mindeststandards und Prozesse, ersetzen aber keine vollständige Transparenz über reale Sicherheitslage, Subunternehmer und Datenaufbewahrung.

Q3: Was passiert, wenn biometrische Daten geleakt werden?

Biometrische Daten wie Gesichtsmuster unterscheiden sich von Passwörtern: Du kannst sie nicht ändern. Nach einem Leak könnten sie mit anderen personenbezogenen Daten kombiniert werden, um Identitätsbetrug zu erleichtern oder Gesichtserkennung bei anderen Diensten anzugreifen. Das Risiko ist langfristig und schwer rückgängig zu machen.

Q4: Speichern On-Chain-Transaktionen wirklich keine Identitätsdaten?

On-Chain-Transaktionen benötigen an sich keinen Klarnamen. Adressen sind pseudonym, nicht anonym. Wenn du dieselbe Adresse aber jemals für Ein- oder Auszahlungen bei einer KYC-Börse verwendet hast, kann diese Adresse mit deiner realen Identität verknüpft sein. Für bessere Privatsphäre ist es wichtig, KYC-verknüpfte Adressen und neue On-Chain-Aktivitäten sauber zu trennen.

Q5: Wie kann ich mein bestehendes KYC-Datenrisiko reduzieren?

Sinnvolle Schritte sind:

  • nicht mehr genutzte Plattformkonten schließen und Datenlöschung beantragen
  • für jede Plattform ein eigenes starkes Passwort verwenden
  • Hardware-Sicherheitsschlüssel statt SMS-2FA nutzen, wo möglich
  • künftige Aktivitäten schrittweise auf Self-Custody und KYC-freie On-Chain-Workflows verlagern
  • regelmäßig prüfen, ob deine E-Mail oder Telefonnummer in bekannten Datenlecks auftaucht, zum Beispiel mit Tools wie haveibeenpwned.com

Fazit: Verstehe, was du wirklich preisgibst

KYC ist kein harmloses Kästchen zum Abhaken. Es ist eine langfristige Verknüpfung deiner realen Identität mit deinen digitalen Asset-Aktivitäten. Wer versteht, welche Daten gesammelt werden und wie lange sie weiterleben können, trifft bewusstere Entscheidungen.

Wenn du diese Verknüpfung künftig reduzieren möchtest, ist Self-Custody ein sinnvoller erster Schritt. Du kannst OneKey herunterladen, eine eigene Wallet erstellen und deine Assets selbst verwalten, ohne dafür Ausweis, Selfie oder Wohnadresse einzureichen. Für Perps-Trading kannst du OneKey Perps als praktischen On-Chain-Workflow nutzen, während du die Kontrolle über deine Keys behältst.

Risikohinweis: Dieser Artikel dient nur der Information und ist keine Rechts-, Compliance- oder Finanzberatung. KYC-Anforderungen und Datenschutzregeln unterscheiden sich je nach Land. Prüfe die Regeln in deiner Jurisdiktion und hole bei Bedarf professionelle Beratung ein.

Schützen Sie Ihre Kryptojourney mit OneKey

View details for OneKeyOneKey

OneKey

Die fortschrittlichste Hardware-Wallet der Welt.

View details for App herunterladenApp herunterladen

App herunterladen

Betrugsalarme. Alle Coins unterstützt.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Krypto-Klarheit – Eine Anruf entfernt.