Sie sind hier: Home » Fachartikel » Management

Datenqualität und Sanktionslistenabgleich

Effizientes Verfahren zum Abgleich der unternehmenseigenen Daten: Fehlertolerante Matching-Verfahren gegen mangelhafte Datenqualität
Wie man die mangelhafte Datenqualität der Sanktionslisten umgeht – Die mangelhafte Qualität der Daten in den Boykottlisten stellt eine Hürde für alle dar



Von Stefan Sedlacek*

(31.01.08) - Vielen Unternehmen ist nicht bewusst, dass sie nach deutschem Gesetz zur Einhaltung von Richtlinien verpflichtet sind, die es untersagen, Geschäftsbeziehungen mit potentiellen oder tatsächlichen Terroristen zu unterhalten. Um Kundenstammdaten abzugleichen, stehen Unternehmen zahlreiche Softwareprodukte für Compliance-Management zur Verfügung, die vor den empfindlichen Strafen bei Nichteinhaltung schützen. Als am effizientesten und mit dem geringsten Aufwand für den Endnutzer einzusetzen, haben sich Produkte erwiesen, die auf fehlertolerante Matching-Verfahren setzen und so die mangelhafte Datenqualität der Sanktionslisten umgehen.

Im Zuge der weltweiten Terrorismusbekämpfung hat der UN-Sicherheitsrat 1999 erstmals eine Liste zusammengestellt, auf der mutmaßliche Anhänger der Extremistengruppen Al Kaida und Taliban standen. Daraus abgeleitet, unterhält die EU eigene Listen, die regelmäßig aktualisiert werden. Anhand dieser Verordnungen sind die Mitgliedsstaaten aufgefordert, die Vermögenswerte der Genannten einzufrieren und keine Geschäftsbeziehungen zu ihnen aufzunehmen.

Unbestritten ist, dass die Sanktionslisten der Uno für die weltweite Terrorbekämpfung unabdingbar sind. Neben der wenig transparenten Erstellung der Listen, die von Vertretern aus Politik und Wirtschaft beklagt wird, stellt die Qualität der Daten in den Boykottlisten eine Hürde dar für alle, die nicht nur ihr Gewissen bereinigen möchten.

Eine Firma, die sich auf diese Listenangaben verlässt und exakte Datenvergleiche durchführt, kann im Zweifelsfall tatsächlich eine sanktionierte Person in den eigenen Kundenbeständen übersehen.

Aufgrund fehlender Adressbestandteile, wie Wohnort, Strasse, Land, wird der Abgleich für Firmen aufwändiger. Eine Person mit dem Namen Mohammed Ali (EU-Verordnung Nr. 844/2007-A01) ist in allen Teilen der Welt zu finden. Jede größere Firma hat mit hoher Wahrscheinlichkeit einen "Mohammed Ali" im Kundenbestand und muss prüfen, ob dieser Herr Ali der gesuchten Person entspricht.

Wer auch gegen US-Sanktionslisten abgleicht, wird sich mit ähnlichen Schwierigkeiten auseinander setzen müssen und erfahren, dass sich ein Eintrag für die Europäisch-Iranische Handelsbank (US-Liste SDN) in 2000 Hamburg 1 in den Boykottlisten findet, allerdings mit einer heute ungültigen Postleitzahl. Das vierstellige Postleitzahlensystem wurde 1992 in Deutschland abgeschafft.

Will man sich den Ärger mit den Behörden und den Imageverlust bei seinen Stakeholdern ersparen, die aus solchen Datenqualitätsmängeln entstehen können, muss man auf Softwarelösungen setzen, die nicht nur ein naives Matching durchführen, bei dem ausschließlich identische Buchstaben- und Ziffernketten gefunden werden, sondern die bei fehlerhaften oder fehlenden Daten ein Auge zudrücken und auch ähnliche Einträge aus Sanktionsliste und Kundenbestand zur Anzeige bringen.

Dieses fehlertolerante Matching ist ein effizientes Verfahren zum Abgleich der unternehmenseigenen Daten. Ihm liegt ein Algorithmus zugrunde, der nicht nur exakte Zeichenketten (matches) ermittelt, sondern ungefähre Übereinstimmungen zulässt. Ähnliche Zeichenketten zu finden, erhöht die Wahrscheinlichkeit deutlich, eine auf einer Sanktionsliste vorhandene Person zu identifizieren und die mangelhafte Datenqualität auszuhebeln. Wie "ungefähr" eine Suche sein darf, wird durch ein Toleranzkriterium individuell definiert.

Dieses Verfahren führt zwar hin und wieder zu Treffern, die in Wirklichkeit nicht den gesuchten Personen entsprechen. Diese Treffer müssen in einer Nachrecherche verifiziert werden. Dabei unterstützt eine gute Software die Erstellung und Verwaltung sogenannter Ausnahmelisten, in die einmal erkannte und unverdächtige Personen eingetragen und bei späteren Prüfungen nicht erneut angezeigt werden.

Erfolgreiches Compliance Management lässt sich nicht ohne Aufwand in die Unternehmensabläufe integrieren, aber intelligente Produkte zur Umsetzung gesetzlicher Vorgaben entlasten Mitarbeiter und schützen zuverlässig vor empfindlichen Strafen. (Fuzzy: ra)

*Stefan Sedlacek ist Senior Consultant bei der Fuzzy! Informatik AG


Integration von Sicherheit- und Systemmanagement REACh-Daten im Griff?

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen