Betrieb und Compliance → KYC-Verfahren und Verifizierungsstufen

KYC-Verfahren und Validierungsstufen

1) Warum KYC benötigt wird

KYC (Know Your Customer) ist die Grundlage für einen verantwortungsvollen und sicheren Betrieb der iGaming-Plattform: verhindert den Zugriff von Minderjährigen, reduziert das Betrugs-/Waschrisiko, unterstützt die Anforderungen von Lizenzen und Zahlungspartnern und schützt den Ruf.

• Identität und Alter bestätigen.
• Bewerten Sie das Grundrisiko des Spielers und richten Sie risikobasierte Maßnahmen ein.
• Stellen Sie die Rückverfolgbarkeit von Transaktionen und die Kommunikation der depozit↔vyvod sicher.
• Unterstützen Sie AML/Responsible Gaming und die Anforderungen der Anbieter/Aufsichtsbehörden.

2) KYC-Prinzipien

1. Risk-Based Approach (RBA): Die Verifizierungstiefe hängt vom Profil ab (Land, Zahlungsmethoden, Verhalten).
2. Progressive Disclosure: Wir sammeln genau so viele Daten, wie auf dem aktuellen Risikoniveau benötigt werden.
3. Evidence-by-Design: Alle Entscheidungen und Dokumente werden als Nachweis (audit trail) gespeichert.
4. Privacy-first: PD-Minimierung, Maskierung, rollen- und zeitbegrenzter Zugriff.
5. Re-Verification: wiederholte Überprüfungen bei Risikoereignissen (Rückschlüsse, Erhöhung der Grenzen, Änderung der Details).
6. Explainable & Consistent: Regeln und Ausnahmen sind dokumentiert und überprüfbar.

3) Verifizierungsstufen (Tiered KYC)

KYC0 - Vorregistrierung/Frikschen Licht

Sammlung von Land, Alter (Self-Attest), E-Mail/Telefon (OTP).
Pre-Sanktion/Peer-Screening nach Name/Telefon/Mail (geringes Vertrauen).
Einschränkungen: keine Einzahlungen/Auszahlungen, nur Inhaltsübersicht/Boni ohne Wetten.

KYC1 - Grundlegende Identifizierung

Identitätsdokument (Reisepass/ID/Wasser. ID) + Selfie/biometrische Lebendigkeit (nach Markt).
MRZ/Barcode Validierung, Gültigkeitsdatum Kontrolle, Land der Freigabe.
Altersüberprüfung, primäres Sanktions-/PER-Screening.
Einzahlungs-/Wett-/Auszahlungslimits sind grundlegend.

KYC2 - Adressbestätigung (PoA)

Adressnachweis (Gebrauchsrechnung/Kontoauszug/Register) bei Bedarf KBA.
Geo-Konsistenz: IP/Gerät/Zahlungsmethode ≈ Registrierungsadresse.
Erweiterte Limits und Zugang zu Schlussfolgerungen.

KYC3 - EDD (Erweiterte Prüfung )/SoF/SoW

Durch Risikoauslöser: große Umdrehungen/Schlussfolgerungen, VIPs, verdächtige Muster, hochriskante Geo/Methoden.
Herkunft der Mittel (SoF) und Herkunft des Vermögens (SoW): Einkommensnachweise, Gehalt, Steuern, Auszüge.
Interviews/schriftliche Erklärungen sind möglich.
Zugang zu hohen Limits/beschleunigten Schlussfolgerungen - nach Genehmigung.

4) Erhöhte Trigger/Re-KYC

Finanziell: Betrag der einzelnen Auszahlung, Umsatz pro Periode, häufige Änderungen der Zahlungsmethoden.
Verhalten: abnormales Win/Loss-Profil, nächtliche Aktivität, viele kurze Sitzungen.
Technisch: häufiger Gerätewechsel/IP/ASN, Proxy/risikoreiche Netzwerke.
Profil: Inkonsistenzen von Name/Adresse/Geburtsdatum zwischen den Quellen.
Event: Änderung der Zahlungsdetails, Erhöhung der Limits, Verbindung des VIP-Plans.

5) Sanktionen, PEP und negative Medien

Screening bei: Registrierung, Abschluss der KYC1/2/3, vor einer großen Ausgabe, wenn sich die Details ändern.
Revalide, wenn Verzeichnisse aktualisiert werden (täglich/wöchentlich).
Die Logik der Zufälle: fuzzy Match mit bald, manuelle Triage von Grenzfällen.
Links zu Quellen/Fällen sind in evidence.

6) Dokumente und Alternativen

ID/Pass/Gewässer. Rechte, PoA: Stromrechnung, Kontoauszug ≤ 3 Monate.
Alternativen: eID/BankID/proaktive Anbieter-APIs, KBA (wissensbasiert), Bestätigung durch Mikrotransaktionen.
Biometrisch: Selfie mit Liveness-Check; biometrische Muster nur bei Bedarf und nach lokalen Vorschriften speichern.
Abweichungen: Schwarz-Weiß-Kopien, abgelaufene Dokumente, verschwommene Fotos - die Regeln der Auto-Abweichung.

7) Data & Privacy

Minimierung: Wir bitten nur um das Notwendige; KYC-Artefakte und Spiel-/Marketingdaten teilen.
Zugriffe: RBAC/ABAC, Dateilese-/Ausgabeprotokolle, Wasserzeichen.
Retention: nach Gerichtsbarkeit/Lizenz (in der Regel 5 + Jahre nach der letzten Operation).
Verschlüsselung: bei Rest/in Transit, Schlüssel im HSM/Vault, temporäre URLs zu sehen.
Anträge der betroffenen Person: SLA auf Ausfuhr/Berichtigung/Löschung innerhalb der zulässigen Grenzen.

8) Controls-/Policy-as-Code (Fragmente)

yaml policy_id: KYC-TIERING-001 tiers:
- name: KYC1 allow: deposits<=base_limit & withdrawals<=0 require: [id_doc, selfie_liveness, sanctions_check]
- name: KYC2 allow: deposits<=mid_limit & withdrawals<=mid_limit require: [proof_of_address, ip_geo_consistency]
- name: KYC3_EDD allow: deposits<=high_limit & withdrawals<=high_limit require: [source_of_funds, enhanced_screening]
overrides:
- country: <ISO>
set: {mid_limit: <amount>, high_limit: <amount>}
review_sla_days: 180 owner: head_of_compliance

yaml control_id: KYC-REVERIFY-PAYOUT scope: payouts trigger:
expr: payout_destination_changed==true actions:
- block: payout
- request: "kyc_level>=KYC2"
- notify: aml_ops evidence:
fields: [old_dest,new_dest,kyc_level,player_id]

yaml control_id: SANCTIONS-RESCREEN scope: player_profile trigger:
expr: sanctions_list_version_updated==true OR risk_band>=high actions:
- rescreen: full
- flag: manual_review_if_score>threshold

9) SOP (Fragmente)

SOP: Verifizierung von KYC1

1. Überprüfen Sie die Vollständigkeit des Pakets (ID + Selfies, Download-Metadaten).
2. Dokument validieren (MRZ/Barcode, Laufzeit, Land), Name/DR überprüfen.
3. Vergleichen Sie Selfies (Face Match, Liveness).
4. Sanktionen/RER vertreiben; Zufall → Triage.
5. Weisen Sie KYC1 zu, aktualisieren Sie die Limits, schreiben Sie evidence auf.

SOP: KYC2 (PoA)

1. Überprüfen Sie das Dokument ≤ 90 Tage, die Adresse in einem gültigen Format/Sprache.
2. Adresse mit IP/Gerät/Zahlungsmethoden abgleichen.
3. Geben Sie KYC2, erweitern Sie die Grenzen/Schlussfolgerungen, notieren Sie evidence.

SOP: EDD/SoF (KYC3)

1. Fordern Sie eine Liste von Dokumenten (Gehalt/Steuern/Kontoauszüge) und Erklärungen an.
2. Vergleichen Sie Summen/Frequenzen/Quellen mit Umsatz und Profil.
3. Entscheidung: Genehmigung/Beschränkung/Schließung; bei Verdacht - SAR/AML-Prozess.
4. Aktualisieren Sie das Risikoprofil, Limits, evidence.

10) Integration

KYC-Anbieter: IDV, PoA, biometrisch, sanktioniert/RER (batch + event-driven).
Zahlungen: Source-to-Source-Kontrolle, Velocity, Holds bis KYC abgeschlossen ist.
AML/Case-Management: gemeinsame Spielerkarte, Status, SLA.
CRM/Support: Kommunikationsvorlagen, KYC-Status, ETA und Erinnerungen.
DWH/BI: Schaukästen von KYC-Veranstaltungen, Berichterstattung über Lizenzzeiträume.

11) KPI/OKR

• KYC1 median TAT, KYC2 PoA TAT, EDD Turnaround, Re-KYC TAT.
• Auto-Pass Rate (ohne manuelle Beteiligung), Manuelles Tail (manueller Anteil).
• Sanktionen/PEP Hit Rate und Präzision durch bestätigte Fälle.

• False Reject Rate der Dokumente, Doc Quality Fail%.
• Mismatch IP/Address frequency, Payout Blocked due to KYC (Median der Zeit bis zum Entsperren).
• Evidence Completeness ≥ 98%.

• KYC Drop-off in Schritten, CSAT/NPS in KYC-Prozessen.

12) Checklisten

• Einwilligungen/Datenrichtlinien akzeptiert.
• Ein primäres Sanktionsscreening wurde durchgeführt.
• Kommunikationswege bestätigt (OTP/E-Mail).

• Validen ID und Selfie, bestanden von liveness.
• Übereinstimmung Name/DR/Land.
• Sanktionen/RER: „klar“ oder der Weg zur Triage.

• PoA frisch und lesbar; Adresse wird normalisiert.
• Geo-Konsistenz (IP/Gerät/Zahlungsmethode).

• Vollständiges Dokumentenpaket, die Beträge entsprechen dem Umsatz.
• Entscheidung und Begründung festgelegt (evidence), Risikoprofil aktualisiert.

• Grund und Datum, Sperren/Limits korrekt angewendet.
• Kommunikation an Spieler gesendet (ETA/Schritte).

13) Anti-Muster

Ein universeller „schwerer“ Check für alle - hohe Ausfälle und Kosten.
Manuelle Kontrollen ohne SLA/Logs und Doppelkontrolle.
Speicherung von biometrischen Daten/Dokumenten ohne strengen Grund und Retention.
Keine Verbindung zu Zahlungen: Die Auszahlung ist vor dem KYC2/3 möglich.
Kein Rescrinting von Sanktionen und Event-Re-KYC.
Zwei Versionen der Wahrheit: KYC in Excel und Transaktionsdaten in DWH ohne Andocken.

14) 30/60/90 - Umsetzungsplan

• Genehmigen Sie die KYC-Richtlinie (Tiers, Trigger, SLA, Retention).
• Verbinden Sie IDV/Sanktionen/PEP, starten Sie KYC1 und PoA-Flow.
• Einrichten von Controls-as-Code: re-KYC bei Payout-Change, sanktioniertes Rescrining.
• Aktivieren Sie evidence storage und RBAC.

• EDD/SoF Prozesse, Champlon Kommunikation und Case-Management.
• Integration mit Zahlungen (Source-to-Source, Velocity), Auto-Block bis KYC2/3.
• KPI Dashboards (TAT, Auto-Pass, Manual Tail, Hit-Rate).
• Pilot biometric liveness/BankID (wo verfügbar).

• Manuelle Tail-Reduktion ≥ 30%, KYC1 median TAT ≤ Ziel, False Reject ↓.
• Re-KYC und Sanktionsreskrining-Verordnung, Compliance-Audit.
• Verknüpfung der KPIs mit den OKRs der Teams (Compliance/Ops/Payments/Support).

15) FAQ

F: Wann muss ich eine Adresse (PoA) anfordern?
A: Bei Erreichen der Ein-/Auszahlungsschwelle, der Geo-/Methodeninkonsistenz oder der Länder-/Lizenzanforderungen.

F: Wann wird SoF/SoW benötigt?
A: Bei hohen Drehzahlen/VIP, Anomalien, Hochrisiko-Geo/Methoden, vor einer großen Ausgabe.

F: Wie kann ich Ausfälle bei KYC reduzieren?
A: Mobile Hinweise/ocr-Validierung, verständliche Fotobedürfnisse, Unterstützung für BankID/eID, Unterteilung in Schritte, schnelles Feedback.

F: Wie kann ich meine Privatsphäre schützen?
A: Minimierung, Verschlüsselung, strenge RBAC/Zugriffsprotokolle, automatische Retention und Löschrichtlinie.