26.

Aug

Software ist immer ein bewegliches Ziel. Software kann niemals komplett „fertig“ sein, sondern unterliegt einem ständigen Wandel durch Weiterentwicklungen und Erweiterungen. Selbst Microsoft kündigt nach dem Versprechen einer endgültigen Version 10, mit schrittweisen Upgrades, eine neue Windows-Version an. Im AML Compliance-Bereich, d.h. AML, KYC und Transaktionsscreening, befindet sich das nächste Upgrade- oder Migrationsprojekt nach einem erfolgreichen Go-Live schon fast in der Vorbereitung, da neue Vorschriften und Sicherheitsfunktionen immer erweiterte Versionen erfordern. Bei der Auswahl eines neuen Compliance-Systems stellen sich viele Fragen - eine davon ist die "Cloud-Frage", zu der ich mit diesem Beitrag kurz einige wichtige Aspekte für die Entscheidungsfindung liefern möchte. Es gibt viele Cloud-Versprechen, wie niedrigere Kosten, schnellere Bereitstellung, Skalierbarkeit, Flexibilität, Zukunftssicherheit u.v.m., die man in verschiedenen Varianten auf den Webseiten aller Cloud-Software-Anbieter finden kann.

Je nach Rechtsraum müssen verschiedene Restriktionen und Gesetze im Zusammenhang mit der Speicherung sensibler Daten in der Cloud beachtet werden. Ich werde diesen Themenkomplex nicht einmal oberflächlich umreißen, werde aber dennoch zwei wichtige Vorschriften benennen. Die DSGVO und all ihre Aspekte können leicht eine Woche voller Workshops füllen, die MaRisk (siehe BaFin AT9) machen es schwieriger, compliant zu sein. Ein wichtiger Punkt ist der Standort der Cloud-Server. Es kann notwendig oder zumindest vorteilhaft sein, dass die Daten das Land nicht verlassen. Kommerzielle Cloud-Plattformen wie AWS, Google und Azure bieten ihre Dienste in länderübergreifenden Regionen an, was für Unternehmen in kleineren Ländern ein K.o.-Kriterium darstellen könnte. Wenn eine geeignete Region gefunden ist, die außerhalb der Hauptregionen (wie USA, Vereinigtes Königreich) liegt, kann es auch vorkommen, dass nicht alle Cloud-Dienste aktuell angeboten werden.

Der nächste wichtige Faktor ist die Erfahrung. Ist im Unternehmen (jenseits von Office365) bereits Cloud-Software im Einsatz und ist die jeweilige Compliance-Software, z. B. das Screening-, Monitoring- oder Research-System, Cloud-ready oder vorzugsweise Cloud-nativ? Die Compliance-Abteilung sollte aufgrund ihrer übergeordneten Bedeutung nicht in eine Position gebracht werden, neue Technologien zu pilotieren, sondern eher der Strategie folgen als sie zu definieren. Die kniffligere Frage ist die letztgenannte: Ist die Software Cloud-nativ? Da es sich bei den meisten Lösungen um Closed-Source-Software handelt, anbei einige Anhaltspunkte, wie dies festgestellt werden kann:

  • Integrierte Skalierbarkeit und Hochverfügbarkeit
  • Eine überzeugende Anzahl von bestehenden Installationen
  • Eine vollständig automatisierte Deploymentpipeline
  • Aufgeteilt in Microservices statt monolithischer Blöcke
  • Open-Source-Nutzung mit adäquaten Versionen (OpenJDK 12 vs. Oracle Java 8, oder PostgreSQL vs. Oracle Database)

In der Vergangenheit galt Open-Source-Software aufgrund von Sicherheits- und Support-Problemen oft als ein „No-Go“ im Banken- und Compliance-Bereich. Es gibt kontroverse Diskussionen darüber, ob Closed- oder Open-Source-Software als sicherer angesehen wird. Die meisten Linux-Distributionen bieten kommerziellen Support an. Auch bei Datenbanksystemen wie Mongo, PostgreSQL oder Couchbase stehen Unternehmen hinter der Entwicklung, deren Geschäftsmodell darin besteht, kostenpflichtigen Support zu leisten. Diese Unternehmen können durch Kunden gezwungen werden, Schutz gegen etwaige Sicherheitsschwachstellen zu bieten und Sicherheitslücken gleich zu schließen. In gewissem Sinne kann dieser Trend als "das Beste aus beiden Welten" betrachtet werden: Der Code ist immer noch frei verfügbar, aber man kann dennoch Enterprise Level Support erwarten.

Der Betrieb von Legacy-Software in einer Cloud-Umgebung ist möglich, vereint aber in gewisser Weise „das Schlechteste aus beiden Welten“. Der Einrichtungsprozess kann komplex sein. Es können Abhängigkeiten zu Datenbanken und (Windows-) Betriebssystemen bestehen. Die Hardwarekosten könnten viel höher ausfallen, da virtuelle Maschinen anstelle von leichtgewichtigen Containern verwendet werden. Eines der größten Versprechen der Cloud sind Kostensenkungen. Letztendlich kostet ein virtueller Server mit echten CPUs und exklusiv reserviertem Speicher bei eigenem Hosting viel mehr, gerade wenn ein Dritter auch noch seinen Anteil daran haben möchte. Für einen schnellen Vergleich geht man einfach zu ein paar Webhosting-Unternehmen und vergleicht deren Serverkosten z. B. AWS EC2 oder Microsoft Azure VM (die nicht einmal Speicherplatz inkludieren). Daher sollte man sorgfältig zwischen dem Betrieb virtueller Maschinen im "Internet" und Cloud-nativen Lösungen unterscheiden. Erstere helfen niemals Kosten zu sparen, letztere haben das Potenzial Kosten zu senken. Es ist sehr wichtig, ein Konzept für die laufenden Kosten der Lösung zu haben, die direkt oder indirekt von der Bank gezahlt werden müssen.

Ein weiterer wichtiger Aspekt ist die Performance der Lösung. Garantiert der Anbieter Antwortzeiten und Betriebszeiten (und werden diese vom Cloud-Lieferant im Hintergrund abgedeckt)? Bei Kauf von Software-as-a-Service sind alle diese Aspekte idealerweise im Vertrag und im Verantwortungsbereich des Software-Anbieters enthalten.

Insbesondere wenn das Backend der Umgebung für den Endnutzer oder das technische Team der Bank nicht zugänglich ist, ist es wichtig, gute APIs für die Extraktion von Berichten, Protokollen und Audit-Trails zu haben. Das Compliance-Team der Bank bleibt verantwortlich für die Einhaltung der Vorschriften, daher sollten die verfügbaren Berichte gut aufgebaut und getestet sein. Niemand möchte eine solche imaginäre Unterhaltung hören:

F: Sehr geehrter Anbieter, können Sie bitte einen Bericht über alle auffällig gewordenen Transaktionen der letzten 13 Monate und die jeweiligen Nutzer, die an diesen Auffälligkeiten arbeiten, zur Verfügung stellen?

A: Sehr geehrter Kunde, wir verweisen auf das von Ihnen bestellte Standard-API-Paket, das keine Transaktionsdetails enthält.

Wenn die Lösung vor Ort betrieben wird, könnten technisch versierte Berater hinzugezogen werden, die in der Lage sind, ein paar Ad-hoc-Auszüge aus der Datenbank zu generieren und den Prüfer zufriedenzustellen. Ein solcher Backend-Zugriff ist bei einer echten Cloud-Lösung höchstwahrscheinlich nicht möglich - insbesondere nicht mit der zeitlichen Einschränkung wie in der imaginären Situation.

Bei Tendenz in Richtung Cloud-Implementierung ist ein potenzielles Anbieter-Lock-In zu berücksichtigen. Ist es beispielsweise möglich und machbar von AWS zur Google Cloud zu wechseln? Alle großen Cloud-Angebote verfügen über Hunderte von speziellen Diensten, auf denen die Anwendungsarchitektur aufgebaut werden kann. Die Nutzung dieser Dienste für die Entwicklung einer Cloud-Lösung mag intelligent und modern sein, aber wenn der Cloud-Anbieter sich als „böse“ erweist oder einfach zu teuer wird, könnte es schwierig oder gar unmöglich werden, den Anbieter zu wechseln. Es gibt auch Software-Anbieter für Anwendungs-Middleware, wie dapr.io und ähnliche Frameworks, um die Flexibilität bezüglich AWS/Google/Azure zu erhalten und Lock-in-Effekte zu vermeiden.

Die Hybrid-Cloud könnte eine dritte Option sein, insbesondere für zustandslose Anfragen wie das Screening von Namen und Transaktionen in Echtzeit. In diesem Szenario wird das Benutzer-Frontend vor Ort gehostet und die CPU/IO-Schwerstarbeit wird in der Cloud erledigt. Aufgrund der nahezu unbegrenzten Hardware-Flexibilität könnte es eine gute Idee sein, die Cloud auch für zeitlich begrenzte Projekte wie Parallelbetrieb und Systemmigrationen zu nutzen.

Die Antwort auf die Cloud-Frage lautet höchstwahrscheinlich "es kommt darauf an". Neu gegründete Unternehmen tendieren dazu, von Anfang an auf Cloud-native zu setzen. Größere Organisationen bauen gerne eigene Cloud-Umgebungen auf, da Cloud nicht unbedingt bedeutet, einen der großen Anbieter einzukaufen, sondern eher ein Deployment- und Software-Design-Muster einzusetzen. Für das Finden der richtigen Antwort in diesem Bereich sind meine msg Rethink Compliance Kollegen und ich bestens gerüstet. Wir verfügen über fundierte Erfahrungen mit Cloud-, Hybrid-Cloud- und On-Premise-Implementierungen, um unsere Kunden bei solch einer wegweisenden Entscheidung optimal zu unterstützen.

 

12.

Aug

Malta – seit Jahren in der Kritik, nun hat das Land es aufgrund erhöhter und anhaltender Geldwäsche- und Terrorismusfinanzierungsrisiken als erster EU-Mitgliedstaat auf die "graue Liste" der Financial Action Task Force (FATF) geschafft. Die „graue Liste“ ist eine globale Liste der Länder, die unter verstärkter Beobachtung wegen Mängeln in der Umsetzung der FATF-Standards stehen.

Als internationale Kontrollinstanz setzt die FATF die Standards und Empfehlungen zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und Finanzierung von Massenvernichtungswaffen (Proliferation) und prüft deren Umsetzung regelmäßig. Mehr als 200 Staaten und Jurisdiktionen verpflichten sich zur Einhaltung der FATF-Standards, darunter alle Mitgliedsstaaten der EU.

Der Staat Malta taucht seit vielen Jahren immer wieder im Zusammenhang mit Korruption, Geldwäsche und organisiertem Verbrechen auf. Dennoch war die EU-Kommission bis dato untätig und hat sich bei der FATF-Vollversammlung sogar schützend vor Malta gestellt - und dies, obwohl unter anderem die „Blockchain Island“-Strategie des Inselstaates EU-intern mit Sorge betrachtet wird. Über Malta erhalten Krypto-Unternehmen Zugang zur EU. So hat beispielsweise Crypto.com am 08. Juli 2021 eine Virtual Asset License erhalten, die ihr den Geschäftsbetrieb innerhalb der gesamten EU ermöglicht.

Malta ist nicht allein. Auch andere europäische Länder weisen Mängel bei der Umsetzung und Durchsetzung von Gesetzen und Regelungen zur Bekämpfung der Geldwäsche auf. Insgesamt 18 EU-Mitgliedsstaaten hat die FATF bis November 2020 überprüft und kein einziger hat ein hohes Maß an Effektivität in Bezug auf die wichtigsten Indikatoren zur Bekämpfung von Geldwäsche erreicht.

Interessant in diesem Zusammenhang sind Länder wie Lettland und Andorra, bei denen es aufgrund eklatanter Mängel in den Prozessen zu Schließungen von Banken kam. Auch in der "Russian Laundromat"-Affäre spielte Lettland eine Rolle. Die FATF hat beide Länder aber bis heute nicht in die graue Länderliste aufgenommen. Vielleicht liegt dies darin begründet, dass Lettland und Andorra Mitglied bei MONEYVAL[1] sind.

Ein weiteres Beispiel für fragwürdiges Handeln lieferte Zypern mit dem 2013 ins Leben gerufenen Programm „Golden Passport“, um – so die offizielle Verlautbarung – „aufgrund der Finanzkrise ausländisches Kapital anzuziehen und den eigenen Immobilienmarkt zu stützen.“ Der Clou dabei: Zypern hat NICHT-EU-Bürgern die zyprische Staatsbürgerschaft versprochen, wenn diese mindestens zwei bis zweieinhalb Millionen Euro entweder in Immobilien oder in ein Unternehmen mit mindestens fünf Beschäftigten oder in Aktien zyprischer Firmen und zyprische Staatsanleihen investieren. Auf diese Art und Weise flossen dem zyprischen Staat binnen sechs Jahren mehr als acht Milliarden Euro zu, teils an Kapital, teils an Investitionen. Für die Investoren ein lukratives Geschäft, denn neben der zyprischen Staatsbürgerschaft und dem damit verbundenen Recht in die EU einreisen zu dürfen, verschaffte der zyprische EU-Pass seinem Besitzer das Recht, in mehr als 150 Länder der Welt ohne jedes Visum einreisen zu können. Im Jahr 2020 stellte Zypern das Programm auf Druck vieler anderer EU-Mitgliedsstaaten ein. Bulgarien und Malta hatten ähnliche Programme im Angebot.

Welche Folgen hat die FATF-Einstufung Maltas für Verpflichtete nach dem Geldwäschegesetz (GwG)?

Gemäß der Delegierten Verordnung der Europäischen Kommission (Richtlinie (EU) 2015/849) sind für Drittländer verstärkte Sorgfaltspflichten anzuwenden.

Auszug aus der Richtline (EU) 2015/849:

gestützt auf die Richtlinie (EU) 2015/849 des Europäischen Parlaments (…) zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung, (…), insbesondere auf Artikel 9 Absatz 2, in Erwägung nachstehender Gründe:

(2) Alle Verpflichteten in der Union im Sinne der Richtlinie (EU) 2015/849 sollten in ihren Beziehungen zu natürlichen und juristischen Personen, die in Drittländern mit hohem Risiko niedergelassen sind, verstärkte Sorgfaltspflichten anwenden und damit unionsweit vergleichbare Anforderungen an die Marktteilnehmer gewährleisten.

Malta als Mitglied der EU fällt nicht unter die Definition eines Drittstaates. Daraus können Verpflichtete nach dem GwG ableiten, dass die Anwendung der verstärkten Sorgfaltspflichten bei

- Geschäftsbeziehungen mit dem maltesischen Staat,
- Geschäftsbeziehungen zu natürlichen und juristischen Personen mit Sitz in Malta oder
- Geschäftsbeziehungen zu natürlichen und juristischen Personen aus Malta

nicht angezeigt ist. Jedoch sollte die Aufnahme Maltas in die „graue Liste“ dazu führen, dass eine entsprechende Anpassung in der Risikoanalyse erfolgt und gegebenenfalls Maßnahmen ergriffen werden (siehe auch FATF: http://www.fatf-gafi.org/publications/high-risk-and-other-monitored-jurisdictions/documents/increased-monitoring-june-2021.html). Zudem kann auch eine Anpassung beziehungsweise Erweiterung im eingesetzten Research-System abgeleitet werden, um unter anderem den Zahlungsverkehr mit Malta genauer zu untersuchen und zu überwachen.

Malta zeigt sich vielen Verpflichteten nicht zum ersten Mal als Land mit Geldwäsche-relevanten Risiken. Bereits im Jahr 2017 geriet Malta in den Fokus der in Deutschland dem GwG verpflichteten Institutionen. Denn mit der Novellierung des deutschen GwG und der Erweiterung des §2 waren auch sämtliche Veranstalter und Vermittler von Glücksspielen in der Pflicht. Das Problem: Die meisten Anbieter von (Online-) Glücksspiel-Plattformen wiesen einen Sitz auf Malta aus, womit die deutsche Regulierung ausgehöhlt wurde.

In diesem Zusammenhang sei ein Exkurs zum Staatsvertrag zur Neuregulierung des Glücksspielwesens in Deutschland gestattet. Dieser ist zum 01. Juli 2021 in Kraft getreten. Geschlossen zwischen allen 16 Bundesländern in Deutschland regelt der neue Glücksspielstaatsvertrag 2021 (GlüStV 2021) bundesweit die Rahmenbedingungen für die Veranstaltung von Glücksspielen. Um Glücksspiel betreiben zu dürfen (online oder vor Ort als Spielhalle), benötigt der Betreiber eine offizielle Glücksspiel-Lizenz. Durch den neuen Glücksspielvertrag ist das Spielen und Betreiben nun legalisiert.

Glücksspiel in Deutschland war davor eher eine rechtliche Grauzone, eigentlich illegal, aber doch irgendwie legal. Laut deutschem Recht waren das Betreiben und Spielen in Spielhallen grundsätzlich verboten, nur das Spielen in staatlichen Lotterien war erlaubt. 2011 beschloss das Bundesland Schleswig-Holstein eine Sonderregelung, zu der jedoch keines der anderen Länder zu stimmte. Daher erfuhr das Glücksspiel in Deutschland nur eine teilweise Legalisierung. Trotz stark eingeschränkter Vergabe von Lizenzen wurden immer neue Online-Casinos gegründet. Das Europarecht machte es möglich: Glücksspiel ist legal, wenn der Anbieter über eine entsprechende Lizenz innerhalb der EU verfügt. Deshalb haben die meisten Spielhallen-Betreiber ihren Sitz auf Malta oder Gibraltar, und Spielen in Deutschland musste geduldet werden.

Durch die Aufnahme Maltas auf die sogenannte „graue Liste“ der FATF sind nun die Verpflichteten dazu angehalten, entsprechende Maßnahmen zu ergreifen. Man darf gespannt sein, ob und wenn ja, wann die Europäische Kommission Malta auf die EU-Länderliste (DelVO) setzen wird und, ob Malta das einzige Land in der EU auf der sogenannten „grauen Liste“ der FATF bleiben wird.

 

[1] MONEYVAL wurde im Jahr 1997 gegründet und ist ein Expertenausschusses des Europarates, dessen Aufgabe es ist, die Umsetzung der Standards gegen Geldwäsche und Terrorismusfinanzierung zu überwachen und zu erleichtern. MONEYVAL gehören Länder an, die Mitglied im Europarat, aber kein Mitglied der FATF sind. MONEYVAL bezieht sich bei seinen Untersuchungen auf die von der FATF publizierten Standards und berichtet der FATF über ihre Ergebnisse. 

04.

Aug

Mit dem Transparenzregister- und Finanzinformationsgesetz (TraFinG) setzt der deutsche Gesetzgeber die geltenden EU-Richtlinien (EU) 2015/839 (Geldwäscherichtlinie) und (EU) 2019/1153 (Finanzinformationsrichtlinie) in deutsches Recht um.

Die Umwandlung des Transparenzregisters vom Auffangregister[1] zum Vollregister und die EU-weite Registervernetzung sollen eine schnelle und unkomplizierte Kommunikation zwischen den Mitgliedstaaten und Europol ermöglichen. Die EU gibt hierzu vor, auf Länderebene strukturierte Datensätze in einheitlichem Datenformat zu verwenden.

Das Transparenzregister besteht seit 01. Oktober 2017. Juristische Personen des Privatrechts und eingetragene Personengesellschaften gemäß §§ 18 ff. GwG sind verpflichtet, Informationen über den wirtschaftlich Berechtigten[3] gemäß § 19 Abs. 1 GwG einzuholen, aufzubewahren, auf dem aktuellen Stand zu halten und der registerführenden Stelle unverzüglich zur Eintragung in das elektronisch geführte Transparenzregister mitzuteilen. Ziel des Transparenzregisters und seiner EU-weiten Vernetzung ist die Bekämpfung von Geldwäsche und Terrorismusfinanzierung, die Schaffung von Transparenz hinsichtlich der wirtschaftlich Berechtigten sowie die gemeinschaftliche Nutzung von Konto- und Finanzinformationen für Zwecke der Verhinderung und Verfolgung schwerer Straftaten.[4]

Das bisherige Auffangregister

Bedingt durch die sogenannte Meldefiktion gemäß §20 Abs. 2 GwG beinhaltete das bisherige Auffangregister keine vollständigen Datensätze, sondern verwies je nach Datenlage auf ein anderes Subjektregister (Handelsregister, Personenregister etc.) mit Informationen zu oder Dokumenten über den wirtschaftlich Berechtigten. In diesen Fällen war bis dato keine gesonderte Eintragung in das Transparenzregister notwendig. Diese war nur dann verpflichtend, wenn keine Informationen in den in § 20 Abs. 2 GwG aufgeführten Registern enthalten waren. Da die bislang genutzten und hinterlegten Daten in den jeweiligen Registern nicht in einer einheitlichen Datenstruktur vorlagen, konnten diese gemäß EU-Richtlinienvorgabe nicht für die Vernetzung der Transparenzregister verwendet werden.

Änderungen durch die Umwandlung in ein Vollregister

Allgemeine Änderungen

Durch die Umwandlung in ein Vollregister müssen Rechtseinheiten gemäß § 20 Abs. 1 GwG, juristische Personen des Privatrechts und eingetragene Personengesellschaften ebenso wie nach § 21 GwG nichtrechtsfähige Stiftungen ihren wirtschaftlich Berechtigten nun nicht nur identifizieren, sondern aufgrund der im TraFinG aufgehobenen Meldefiktion explizit an das Transparenzregister melden. Die Richtigkeit der Daten liegt fortan in der Verantwortung der entsprechenden Rechtseinheiten. Falschangaben, Versäumnisse der Mitteilungspflicht und der Aktualisierung der Daten werden durch das Bundesverwaltungsamt (BVA) als Ordnungswidrigkeiten geahndet. Ob der § 17 OWiG (Ordnungswidrigkeitengesetz) für die Höhe der Bußgelder in diesen Fällen einschlägig sein wird und welche Folgen die Sanktionen haben, wird sich zeigen. Die Meldepflicht ist in Form des TraFinG am 01. August 2021 in Kraft getreten, jedoch gibt es rechtsformabhängige Übergangsfristen, in denen die Zeiträume für die anstehenden erstmaligen Meldungen gestaffelt sind.[5]

Änderungen für Verpflichtete gemäß § 2 GwG

Für Verpflichtete gemäß § 2 GwG wurde in § 11 Abs. 5 GwG-neu[6] festgelegt, dass die Erhebung der Angaben zu den wirtschaftlich Berechtigten bei Neukunden bzw. Erstkontakt „beim Vertragspartner oder der gegebenenfalls für diesen auftretenden Personen zu erfolgen“ hat. Eine weitere Änderung bezieht sich auf bereits bestehende Geschäftsbeziehungen. Im Sinne des § 12 Abs. 3 Satz 3 GwG-neu ist die Pflicht der Überprüfung mit der Einsicht in das Transparenzregister abgegolten, sofern die dortigen Angaben mit den nach § 11 Abs. 5 GwG-neu erhobenen Angaben übereinstimmen. Bestehen Zweifel an der Richtigkeit der Daten bzw. der Identität des wirtschaftlich Berechtigten, müssen weitere Maßnahmen zur Identifizierung ergriffen werden. Dies führt zu einer erheblichen Zeitersparnis und größeren Effizienz bei der Überprüfung bestehender Geschäftsbeziehungen.

 Änderungen für börsennotierte Gesellschaften

Börsennotierte Gesellschaften waren bisher von der Meldepflicht befreit, dies ändert sich jedoch mit § 3 Abs. 2 S. 5 GwG-neu. Auch börsennotierte Unternehmen müssen künftig ihren wirtschaftlich Berechtigten wie andere Rechtseinheiten nach den bestehenden Richtlinien des § 3 GwG dem Transparenzregister melden.

 Änderungen für Vereinigungen mit Sitz im Ausland bei Share-Deals

Auch Vereinigungen mit Sitz im Ausland sollen durch eine Änderung des § 20 Abs. 1 GwG dazu verpflichtet werden, ihre wirtschaftlich Berechtigten an das deutsche Transparenzregister zu melden, sofern diese durch einen sogenannten Share-Deal, also durch den Anteilserwerb eines inländischen Unternehmens, gleichzeitig Eigentumsrechte an einem inländischen Grundstück nach § 1 Abs. 3 GrEStG erhalten.

Ausführungsstellen auf Bundesebene

Die Registerführung obliegt dem Bundesanzeiger Verlag. Der EU-Richtlinienvorgabe folgend werden das Bundesamt für Justiz (BfJ) und das Bundeskriminalamt (BKA) vom Bund für den Kontenabruf und den Kontendatenaustausch mit Europol benannt. Das BKA steht zudem als Zentralstelle für den EU-weiten Finanzinformationsaustausch und für den Zugang zum Informationsaustausch mit der Zentralstelle für Finanztransaktionsuntersuchungen auf Bundesebene zur Verfügung.[7]

Fazit

Die Umwandlung des Auffangregisters in ein Vollregister ist generell als positiver Schritt in Richtung einer effektiveren Bekämpfung von Geldwäsche und Terrorismusfinanzierung zu sehen, jedoch bleiben auch nach der Einführung des TraFinG Fragen bezüglich der Wirksamkeit und der Nachhaltigkeit offen.

Die Effektivität der Vernetzung der europäischen Transparenzregister in Bezug auf die Datenqualität ist kritisch zu hinterfragen. Denn die Transparenzregister der einzelnen Mitgliedstaaten müssen nach der EU-Richtlinie zwar aus einheitlichen, strukturierten Datensätzen bestehen, aber den landesindividuellen Gesetzgebungen liegen keine einheitlichen Anforderungen an die Datenerhebung der wirtschaftlich Berechtigten zugrunde. Hierzu sollte eine EU-weite Regelung der Erhebung der Daten des wirtschaftlich Berechtigten eingeführt werden, damit jeder EU-Mitgliedstaat denselben Standard im Datenerhebungsprozess aufweist und die Datenqualität der Transparenzregister steigt.

Zudem nimmt die registerführende Stelle keine inhaltliche Prüfung der gemeldeten Daten vor, sodass Falschmeldungen mehr oder minder nur durch Zufall auffällig werden, zum Beispiel durch Unstimmigkeitsmeldungen. Diese Unstimmigkeitsmeldungen müssen nach den „Transparenzregister - Fragen und Antworten zum Geldwäschegesetz (GwG), Stand: 09. Februar 2021“ von Verpflichteten nach § 2 Abs. 1 GwG und einigen Behörden über die Internetseite des Transparenzregisters abgegeben werden. Unstimmigkeiten liegen vor, wenn die eigenen Erkenntnisse zu wirtschaftlich Berechtigten von den im Transparenzregister eingetragenen Daten abweichen. Das wird in der Praxis vor allem bei den als kritisch anzusehenden wirtschaftlich Berechtigten selten der Fall sein. Demnach können konsistent falsch angegebene Daten nicht identifiziert werden, wenn beispielsweise eine meldepflichtige Rechtseinheit einen falschen wirtschaftlich Berechtigten an das Transparenzregister meldet und die gleiche Auskunft an einen Verpflichteten im Zuge einer Begründung einer Geschäftstätigkeit meldet. Da dem Verpflichteten die Identifizierung und die laufende Überprüfung der Richtigkeit der Daten zum wirtschaftlich Berechtigten obliegt, stellen diese im ausgeführten Beispiel keine Unstimmigkeit mit dem Transparenzregister dar und führen demnach auch nicht zu einer Unstimmigkeitsmeldung.

Transaktionen mit Vertragspartnern mit verschachtelten Gesellschaftsstrukturen im Ausland bringen per se ein erhöhtes Risiko mit sich. Gerade aber solche Strukturen verschleiern die eigentlich wirtschaftlich Berechtigten sehr gut, sodass diese auch im Zuge einer stichhaltigen Analyse schwerlich aufgedeckt werden können. Die Vernetzung der Transparenzregister unterstützt die Identifikation dieser ohnehin schon schwer identifizierbarer wirtschaftlich Berechtigten in nur sehr geringem Maße, da es in § 3 Abs. 2 S. 5 GwG heißt: „Wenn nach Durchführung umfassender Prüfungen […] kein wirtschaftlich Berechtigter […] ermittelt werden kann, gilt als wirtschaftlich Berechtigter der gesetzliche Vertreter, der geschäftsführende Gesellschafter oder der Partner des Vertragspartners.“ Das bedeutet, die Personen, die bislang von den Verpflichteten und anderen Rechtseinheiten noch nicht identifiziert werden konnten, werden auch mit der Meldepflicht nicht weniger schwer zu ermitteln sein, sodass möglicherweise lediglich in den besonders schwierigen Fällen erneut nur die sog. fiktiven wirtschaftlich Berechtigten gemeldet werden. Somit bleibt auch die Identifizierung des wirtschaftlich Berechtigten in der Problematik wie in der Methodik weiterhin ungelöst. Es wird lediglich die laufende Prüfungspflicht der Verpflichteten mit Einsicht in das Vollregister erleichtert und eine Zeitersparnis geboten. Der jedoch deutlich größere Aufwand und somit auch das größte Risiko in Form der „Initialidentifikation“ der wirtschaftlich Berechtigten bleibt durch die Umwandlung auf ein Vollregister unberührt.

Wie wirksam die EU-weite Vernetzung der Transparenzregister trotz der oben aufgeführten Schwachstellen schlussendlich ist, wird sich nach der ersten Evaluierungsrunde zeigen, wenn die ersten Zahlen und Fälle von den zuständigen Stellen der EU und des Bundes veröffentlicht werden.

 

 

[1] Ein Auffangregister „fängt“ Daten auf (in unserem Fall Daten über einen wirtschaftlich Berechtigten), die in keinem anderen Subjektregister aufgeführt sind. Somit stehen nur vereinzelte Daten im Auffangregister, samt Verweise auf andere Register. Nur wenn die Daten in keinem anderen Register eingetragen sind, müssen sie im Auffangregister gelistet sein. Das Auffangregister beinhaltet somit nur die Daten zum wirtschaftlich Berechtigten, die sonst nirgends eingetragen sind. 

[3] Wer unter den Begriff des wirtschaftlich Berechtigten fällt, regelt § 3 GwG.

[4] Vgl. BT-Drucksache 19/28164 S.30.

[5] Wird keine natürliche Person als wirtschaftlich Berechtigter identifiziert, erfolgt eine Meldung des fiktiven wirtschaftlich Berechtigten an das Transparenzregister gem. § 3 Abs. 2 S. 5 GwG. Dies wird durch das „Fragen und Antworten zum Geldwäschegesetz (GwG)“, Stand: 09.02.2021) des BVA bestätigt.

[6] GwG-neu referiert auf die bereits in Kraft getretenen Änderungen des GwG, die sich im Zuge der Einführung des TraFinG ergaben.

[7] Vgl. BT-Drucksache 19/28164 S. 2 f.

01.

Jul

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 08.06.2021 mit der Veröffentlichung der Auslegungs- und Anwendungshinweise für Kreditinstitute die gesetzlichen Pflichten für Verpflichtete nach § 2 Absatz 1 Nummer 1 GwG konkretisiert und gleichzeitig auferlegt, dass die in Ziffer 1 der AuA beschriebene Mittelherkunft bei Bartransaktionen abzuklären ist und die damit einhergehenden Prüf- und Dokumentationspflichten bis zum 08.08.2021 anzuwenden sind.

Die BaFin weist darauf hin, dass in der ersten Nationalen Risikoanalyse Bargeldgeschäfte mit einem höheren Risiko bewertet wurden. Diese Erkenntnis ist für Verpflichtete insofern eigentlich nicht neu, da konkrete Anhaltspunkte bereits in den Newslettern 03/2006, 11/2014 des Bundeskriminalamtes (BKA) sowie dem „FATF Bericht - Aufdeckung von Terrorismusfinanzierung: Relevante Risikoindikatoren aus 2016“ enthalten waren. Hier wurden beispielhaft Fallgestaltungen vorgestellt, ohne Anspruch auf Vollständigkeit, da sie in vielen verschiedenen Varianten auftreten können.

In den AuAs führt die BaFin zu den Bargeschäften nun aus, dass bei Transaktionen mit Nichtkunden ein aussagekräftiger Nachweis erbracht werden muss, sonst ist das Geschäft abzulehnen. Diese Regelung ist eindeutig und lässt keinerlei Interpretationsspielraum zu.

Weitaus komplexer gestaltet sich die Umsetzung für Bestandskunden. Da die BaFin von Bartransaktionen spricht, ist zunächst einmal davon auszugehen, dass sowohl Ein- wie auch Auszahlungen hier gemeint sind. Sie legt dar, dass grundsätzlich die Herkunft der Vermögenswerte durch aussagekräftige Belege nachzuweisen ist. Dieses lässt die Schlussfolgerung zu, dass es sich um Bareinzahlungen handeln muss, konkretisiert wird das aber nicht. Weiterhin gestattet die BaFin den Verpflichteten, dass die Informationen auch nach Durchführung der Transaktion innerhalb einer angemessenen Frist übermittelt werden können, präzisiert wird dieser Zeitraum nicht. Es wird auch nicht thematisiert, wie die Verpflichteten mit Fallgestaltungen umzugehen haben, bei denen der Kunde den geforderten Nachweis auch nachträglich nicht erbringt, obwohl er mehrfach dazu aufgefordert wurde. Ist in diesen Fällen unter Umständen eine Verdachtsmeldung an die FIU zu erstatten oder müssen die entsprechenden Werte auf dem Konto eingefroren werden? Wie ist zu verfahren, wenn diese Beträge bereits elektronisch oder beleghaft abverfügt wurden? Hier wäre ein Best-Practice-Ansatz beziehungsweise eine Klarstellung seitens der BaFin für alle Beteiligten hilfreich und wünschenswert.

Einen großen Interpretationsspielraum lässt der folgende Hinweis zu: „Bei bestimmten Kundengruppen, bei denen regelmäßig höhere Bartransaktionen zum Geschäftsmodell gehören (z.B. Einzelhandel, der abends seine Tageskasse an Bargeldautomaten einzahlt), kann von diesem Grundsatz abgewichen werden“. Dabei handelt es sich doch gerade hier um die sogenannten bargeldintensiven Branchen, die generell als anfällig für Geldwäscheaktivitäten gelten. Da ist auch der ergänzende Hinweis, dass die Plausibilität regelmäßig zu überprüfen ist, wenig hilfreich. Vielmehr werden den Verpflichteten Entscheidungsspielräume eingeräumt, die nachgelagert durch Wirtschaftsprüfer hinsichtlich ihrer Angemessenheit zu beurteilen sind. Es sind auch keinerlei Kriterien vorhanden, die es diesem Personenkreis ermöglichen würden, einheitliche Vorgehensweisen zu definieren, um auch den Vorstellungen von Prüfern gerecht werden. Meine Einschätzung ist, dass die risikoorientierten Verfahren zwangsläufig zu regelbasierten Verfahren mutieren werden, um die Erwartungen der internen und externen Prüfer zu erfüllen und Feststellungen zu vermeiden, die am Ende des Tages in einer unvermuteten Sonderprüfung nach § 44 KWG oder Bußgeldern münden könnten.

Es ist derzeit nicht abzusehen, ob die Ziffer 1 der Auslegungs- und Anwendungshinweise die Vorstufe für die Implementierung eines bundesweiten „Cash Transaction Report“ (CTR) ist, eine Form der Übermittlung von Bartransaktionen an die Behörden nach einem klar definierten Schema. Mit der Einführung von CTRs könnte die Anzahl der Meldungen schnell in die Höhe gehen, um die Erwartungen der FATF zu erfüllen, denen die Anzahl der erstatteten Meldungen bei der letzten Prüfung zu gering war. Auch wenn Deutschland in den letzten Jahren mächtig nachgeholt hat, besteht hier scheinbar noch weiterer Nachholbedarf. Überdies wäre eine Verpflichtung nur für Kreditinstitute zu kurz gedacht, solange Bereiche wie Immobilientransaktionen, Luxusgüter, Autos etc. unbehelligt blieben. Klarheit wird es im Anschluss an die bevorstehende FATF-Prüfung geben, die nicht nur durch die BaFin und die FIU mit Spannung erwartet werden dürfte.

17.

Jun

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat ihre „Auslegungs- und Anwendungshinweise Besonderer Teil: Kreditinstitute“ (AuA BT für Kreditinstitute) am 08. Juni 2021 veröffentlicht. Das Konsultationspapier hierzu hatte die BaFin bereits im Januar 2021 veröffentlicht, um insbesondere den Verpflichteten die Möglichkeit zu geben, zu den einzelnen Punkten Stellung zu nehmen.

Die BaFin weist ausdrücklich darauf hin, dass einzelne Punkte in dem besonderen Teil konkretisiert werden und führt weiterhin aus, dass der „Besondere dem Allgemeinen Teil der Auslegungs- und Anwendungshinweise“ vorgeht.

Die Hinweise zu Ziffer 1 − Herkunft der Vermögenswerte bei Bartransaktionen − sind spätestens zwei Monate nach Veröffentlichung, also spätestens am 08. August 2021 umzusetzen, und in die bestehenden Prozesse und Abläufe zu integrieren.

Während es für Bartransaktionen bei Gelegenheitskunden bereits implementierte und gelebte Prozesse gibt, wird die Nachweispflicht für Bartransaktionen bei Bestandskunden ab einem Betrag von 10.000 Euro die Kreditwirtschaft vor Herausforderungen stellen. Obwohl die BaFin den Verpflichteten erlaubt, bei bestimmten Kundengruppen auf die Einzeltransaktionsprüfungen zu verzichten, müssen diese gleichwohl weiterhin regelmäßig auf ihre Plausibilität hin überprüft und das Ergebnis angemessen dokumentiert werden.

Keine Ausführungen macht die BaFin dahingehend, wie künftig mit einer bewussten Unterschreitung des Schwellenwertes von 10.000 Euro umzugehen ist. Selbstverständlich besteht die Möglichkeit, hierfür Indizien in den Research-Systemen zu implementieren, somit müsste aber bei Auffälligkeiten jeder konkrete Fall mit dem Kundenbetreuer thematisiert und die abschließende Fallbearbeitung verschoben werden, bis ein nachvollziehbarer Herkunftsnachweis durch den Kunden erbracht wird.

Nicht überraschend kommen die Hinweise für den Immobiliensektor, da dieser Bereich als besonders anfällig für Geldwäscheaktivitäten gilt. Bereits in der Vergangenheit wurde kommuniziert, dass dem Bundeskriminalamt (BKA) bekannt ist, dass der sogenannte „Russian Laundromat“ nach Deutschland geschleustes Geld in den Immobiliensektor investiert hat. Bemerkenswert ist, dass in NRW im Juni bei einer Großrazzia im Zusammenhang mit Clan-Kriminalität eine Immobilie beschlagnahmt wurde und grundbuchrechtlich dem Staat übertragen werden soll.

Quelle: Festnahmen bei Razzien gegen Clankriminalität in NRW (faz.net)

Dieser Vorgang zeigt exemplarisch, wie anfällig der Immobiliensektor ist, und dass angemessene Maßnahmen notwendig sind.

Besondere Beachtung haben die unter Punkt 6 gemachten Ausführungen zu den Monitoring-Systemen verdient. Hier wird explizit ausgeführt, dass eine Ex-post-Überwachung zum Zwecke des Researchs ausreichend ist. Basis für die Parametrisierung soll die institutseigene Risikoanalyse sein. Hier weist das Papier unter Punkt 6.2.2. darauf hin, dass unter anderem die aktuellen Erkenntnisse und Veröffentlichungen der FIU soweit möglich abzubilden sind.

Dieses hat zur Folge, dass die Risikoanalyse zeitnah bei neuen Fallgestaltungen oder durch die FIU publizierten Typologie-Papieren zu überprüfen und anzupassen ist. Ebenfalls notwendig ist eine regelmäßige Überprüfung und Anpassung des Regelwerks in den Monitoring-Systemen. Ein besonderes Augenmerk ist dem Thema der Schwellenwertbestimmung zu dem definierten Regelwerk zu schenken. Eine Angemessenheit der Schwellenwerte für die einzelnen Peer-Groups sollte nachvollziehbar dokumentiert sein, insbesondere aufgrund welcher Erkenntnisse die entsprechenden Schwellenwerte gewählt wurden. Hilfreich kann hier unter anderem die Analyse der Fälle der Vergangenheit sein sowie eine regelmäßige Analyse der zu erstattenden Meldungen.

Darüber hinaus weist die BaFin darauf hin, dass auch die Fallbearbeitung inhaltlich für einen sachkundigen Dritten nachvollziehbar zu dokumentieren ist. Durch die in der Vergangenheit oft monierten erheblichen Mängel in der Dokumentation mag dieser Aspekt ebenfalls wenig überraschen. Klarheit schafft die BaFin in dem Papier bezüglich der Anforderungen an die Dokumentation, insbesondere auch die Dokumentation der Nutzerrechte sowie die Änderungen in den Systemen selbst. Alle Änderungen sollen nachvollziehbar begründet und dokumentiert sein.

Insgesamt kommt eine Vielzahl von Aktivitäten auf die Kreditinstitute zu. Es wird spannend sein zu beobachten, wie die Verpflichteten mit diesen Herausforderungen umgehen und diese entsprechend umsetzen.