Sie wollen mehr über das Leistungsspektrum der msg-Gruppe erfahren? Dann besuchen Sie die Internetseiten der msg und der msg-Gruppenunternehmen.
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 08.06.2021 mit der Veröffentlichung der Auslegungs- und Anwendungshinweise (AuA) für Kreditinstitute die gesetzlichen Pflichten für Verpflichtete nach § 2 Absatz 1 Nummer 1 GwG konkretisiert. Wie im Blog-Beitrag meines Kollegen Uwe Weber bereits dargestellt, wurde den Kreditinstituten unter Ziffer 1 der AuA BT auferlegt, dass die Mittelherkunft bei Bartransaktionen abzuklären ist und die damit einhergehenden Prüf- und Dokumentationspflichten bis zum 08.08.2021 anzuwenden sind.
Mein Blog-Beitrag befasst sich mit Ziffer 6 der AuA BT. Die BaFin gibt hier Konkretisierungen in Bezug auf die Angemessenheit der eingesetzten Datenverarbeitungssysteme (DV-Systeme):
Auswahl, Beschaffenheit, Eignung:
Das Kreditinstitut hat sicherzustellen, dass das eingesetzte DV-System
1. flexibel parametrisiert werden kann, um an die Geschäftstätigkeit des Kreditinstituts angepasst zu werden, und jederzeit aktualisiert werden kann, sofern neue oder veränderte Erkenntnisse aus der institutsspezifischen Risikoanalyse vorliegen.
2. das Kreditinstitut grundsätzlich in die Lage versetzt, Transaktionsmuster, Auffälligkeiten und Abweichungen zu erkennen.
3. ein Indizienmodell enthält, das ein individuelles Konfigurieren ermöglicht unter Einbezug der einschlägigen Typologien im Bereich Geldwäsche, Terrorismusbekämpfung und sonstiger strafbarer Handlungen sowie der aktuellen Veröffentlichungen der FIU.
4. neben Kunden- und Produktrisiken auch Länderrisiken sowie Risiken der Terrorismusfinanzierung abbildet.
5. es erlaubt, Indizien unter dem Aspekt der Prävention von Geldwäsche, von Terrorismusfinanzierung und – soweit geboten – der Verhinderung sonstiger strafbarer Handlungen zu parametrisieren.
6. die erhöhten Risiken im Sinne des § 15 Abs. 3 GwG adäquat abdeckt.
7. die Überprüfung von Namen auf Ähnlichkeiten mittels unscharfer Suchlogik („fuzzy logic“) im Rahmen des Sanktionsscreenings zulässt.
8. das Verwenden und regelmäßige Aktualisieren der die gesetzlichen Vorgaben abbildenden Listen (Sanktionslisten, Embargolisten, PEP-Listen, etc.) unterstützt.
9. Auswertungs- und Statistikfunktionen enthält oder von diesen unterstützt wird, um Ad-hoc Recherchen durchzuführen und auf Auswertungen zur regelmäßigen Aktualisierung und Weiterentwicklung der Risikoanalyse zurückzugreifen.
10. alle relevanten Daten aus den relevanten IT-Systemen, d.h. vor allem aus den Zahlungsverkehrs- und Transaktionssystemen und den Kundenstammdatenbanken des Kreditinstitutes aufnehmen und verarbeiten kann. Die Aktualität der Daten muss jederzeit gewährleistet sein.
11. dazu in der Lage ist, bestimmte Fallkonstellationen abzubilden, die aufgrund ihrer Gestaltung keine geldwäscherechtlichen Risiken darstellen und somit ausgeschlossen werden können.
12. die generierten Treffer vollständig anzeigen kann (vgl. § 6 Abs. 1 Satz 2 GwG).
13. insbesondere bei IT-basierten Entscheidungen bei jedem generierten Treffer die wesentlichen Einflussfaktoren aufzeigt und das Zustandekommen des Trefferergebnisses plausibel darstellt (Verbot von „Blackboxen“).
14. fehlende Daten kennzeichnen kann und bis zu deren Korrektur mit „default“-Werten arbeitet. Konkret bedeutet dies, dass bei fehlenden Daten, die risikorelevant sind, immer von einem Risiko-erhöhenden Standard-Wert ausgegangen werden muss.
15. auch historische Daten aufnehmen kann.
Es ist zulässig, für die verschiedenen Aufgaben (z. B. Monitoring, Screening) auch verschiedene Systeme anzuwenden. Entscheidend ist, dass die eingesetzten Systeme die oben genannten Aspekte in ihrer Gesamtheit abdecken.
Alles in allem sind dies keine neuen oder bisher unbeachteten Faktoren, jedoch hat die BaFin hiermit die bisher eher schwammigen Definitionen konkretisiert und mehr Klarheit geschaffen. Insgesamt wird deutlich, dass bei Einführung eines neuen Systems der Markt intensiv analysiert werden muss, um sicherzustellen, dass bei der Systemauswahl alle Aspekte der Angemessenheit hinreichend berücksichtigt werden. Dem Bereich Geldwäscheprävention kommt in diesem Zusammenhang eine besondere Rolle zu, da neben den rein technischen Komponenten insbesondere die fachlichen Komponenten entscheidend sind für die Auswahl eines geeigneten Systems.
Neben der Beschaffenheit der eingesetzten DV-Systeme und deren Effizienz spielt weiterhin die Daten- und Informationsqualität eine maßgebliche Rolle in der Bewertung des Gesamtsystems. Je höher die Qualität der Daten in den Quellsystemen ist, desto höher ist auch die Qualität der Ausgaben aus einem DV-System, die sogenannte Informationsqualität, und damit die Funktionsfähigkeit des Systems.
Datenqualität:
Um Datenqualität zu messen, werden typischerweise folgende Kriterien herangezogen:
- Korrektheit,
- Vollständigkeit,
- Zuverlässigkeit,
- Genauigkeit,
- Einheitlichkeit,
- Eindeutigkeit,
- Relevanz,
- Konsistenz und
- Aktualität.
Funktionsfähigkeit:
Die Funktionsfähigkeit eines DV-Systems ist gegeben, wenn
Auch diese Anforderungen sind nicht gänzlich neu, konkretisieren aber die Notwendigkeit, dass der fachliche und technische Bereich eng zusammenarbeiten, damit die Funktionsfähigkeit gewährleistet werden kann. Es wird deutlich, dass neben den Kreditinstituten auch die Anbieter solcher EDV-Lösungen eine Verantwortung tragen und dafür zu sorgen haben, dass ihre Systeme regelmäßig um sich ändernde oder neue Anforderungen ergänzt werden.
Ebenso wie die oben angesprochene Daten- und Informationsqualität auf die effektive und effiziente Verwendung der DV-Systeme einzahlt, gehört ein sachgerechtes Mapping der aus den Quellsystemen gelieferten Daten zu den Datenbankfeldern des DV-Systems zur Basis einer vollumfänglichen Funktionsfähigkeit. Bei der Auswahl des DV-Systems ist darauf zu achten, dass das DV-System ausreichend konzipiert ist, um die erforderlichen Daten auch nachhaltig (wiedererzeugbar) in der Datenbank aufzunehmen. Die Anforderungen an das Mapping eines DV-Systems im Bereich der Geldwäsche- und Terrorismusfinanzierungsprävention sind sehr hoch, da es nicht ausreichend ist, die Daten einfach abzulegen. Vielmehr müssen die Daten wiedererkennbar und innerhalb der gesetzlichen Fristen auch reproduzierbar sein, selbst wenn sich das Datenfeld inhaltlich ändert, aber sie dürfen nicht manipulierbar sein. Idealerweise ist das DV-System dazu in der Lage, die Datenfelder entsprechend den Bezeichnungen aus den Quellsystemen zu benennen.
Dokumentation:
Das DV-System muss erlauben, sämtliche Anpassungen an den Parametern (Einstellungen, Indizien, Berechtigungen) sowie alle erzeugten Treffer nebst Trefferdokumentation und gegebenenfalls erfolgte Verdachtsmeldungen gem. § 8 GwG so zu dokumentieren und zu archivieren, dass ein sachkundiger Dritter diese Vorgänge in angemessener Zeit nachvollziehen kann.
Dabei ist zu berücksichtigen, dass
Die Anforderungen an die Dokumentation werden also nun zum ersten Mal konkretisiert und auch vom Umfang her klar beschreiben. Waren es bisher lediglich allgemeine Dokumentationsanforderungen, so sind es jetzt eindeutigere Definitionen. Es bleibt jedoch weiterhin ein Ermessensspielraum gegeben. Insbesondere im Zusammenhang mit Dokumentationspflichten werden die Prüfungsstellen, die Verbände und Organisationen sowie Revisoren bei Banken und Sparkassen wohl zukünftig genau hinsehen.
Eine wesentliche Anforderung der Ziffer 6 ist, dass die DV-Systeme die einschlägigen Typologien im Bereich Geldwäsche, Terrorismusbekämpfung und sonstiger strafbarer Handlungen sowie die aus den aktuellen Veröffentlichungen der FIU hervorgehenden Anhaltspunkte abbilden können müssen. Neben den schon dargestellten Anforderungen an die gelieferten Daten und deren Verwendbarkeit im DV-System ergehen hieraus auch Anforderungen an die Dokumentation und Prüfung: Alle relevanten Sachverhalte in Bezug zur Parametrisierung der DV-Systeme (wie Regeln, Indizien, etc.) müssen bei der Dokumentation berücksichtigt werden.
Hinsichtlich der Typologien und Anhaltspunkte gibt es eine Vielzahl an Dokumenten, die das Erfassen sämtlicher Typologien erschweren. Denn allein die FATF hat in den Jahren 2019 und 2020 mehr als 50 Publikationen mit Bezug zu Geldwäsche, Terrorismusfinanzierung und Proliferation veröffentlicht. Nimmt man den Bereich der sonstigen strafbaren Handlungen hinzu, kommen mehr als 300 Typologien zusammen. msg Rethink Compliance empfiehlt hier klar das Führen eines entsprechenden Registers, samt regelmäßiger Aktualisierung.
Management:
Bei der Vergabe von Benutzerrechten für das DV-System muss beachtet werden, dass der betroffene Benutzer alle erforderlichen fachlichen Qualifikationen und Expertisen aufweist. Dies gilt sowohl für eigene Mitarbeiter als auch für externe Berater.
Bei der Rechtevergabe ist sicherzustellen, dass erkennbar ist, welche Funktion der jeweilige Nutzer ausüben soll, und dass ihm nur die hierfür relevanten Rechte zugewiesen werden. Daraus erwächst die Anforderung, die mit der Nutzung des DV-Systems betrauten Mitarbeiter hinreichend zu schulen und fachlich weiterzubilden, um einen MaRisk-konformen und transparenten Betrieb zu gewährleisten.
Die fachliche Verantwortung liegt beim Geldwäschebeauftragten. Er ist verantwortlich für die fachliche Weiterentwicklung des DV-Systems, die Änderung der vorhandenen Indizien, Regeln oder Szenarien, Schwellenwerte und Scores sowie deren Generierung und Kalibrierung, und er hat über entsprechende Kenntnisse zu verfügen. Der Geldwäschebeauftragte muss die Möglichkeiten und Grenzen des DV-Systems kennen, um zu beurteilen, ob und wie neue Anforderungen umgesetzt werden können. Die letztliche technische Umsetzung kann durch spezialisierte Mitarbeiter oder durch externe Dienstleister erfolgen.
Auswahl des Datenverarbeitungssystems:
Sind die gesetzlich vorgegebenen Kriterien erfüllt, sind die Kreditinstitute hinsichtlich der Wahl des DV-Systems grundsätzlich ungebunden. Dass es keine Systemvorgaben gibt, unterstreicht die Aussage unter 6.2.6, dass bei Einführung eines neuen Systems der Markt intensiv analysiert werden muss und dass hierzu nicht nur fachliche, sondern auch technische Kenntnisse erforderlich sind.
Konkretisiert wurde jetzt auch, unter welchen Voraussetzungen von einem Einsatz eines DV-Systems abgesehen werden kann. § 25h Abs.2 Satz 1 KWG sieht einen generellen Einsatz von DV-Systemen für alle Kreditinstitute vor, erlaubt es der BaFin jedoch entsprechende Ausnahmen zu definieren. Dies wurde jetzt unter Ziffer 6.2.7 AuA BT getan.
Ein Kreditinstitut kann davon absehen, ein DV-System einzusetzen, wenn nur eine geringe Anzahl von Vertragspartnern/wirtschaftlich Berechtigten oder Transaktionen bestehen und diese auch ohne DV-System wirksam überwacht werden können. Die BaFin nennt als Richtgröße eine Bilanzsumme von unter 250 Mio. Euro.
Auslagerungen ins Ausland:
Unter 6.2.8 wird konkretisiert, dass eine Auslagerung an einen Dritten mit Sitz im Ausland möglich ist, jedoch nur, wenn sich die Niederlassung des Dritten nicht in einem Drittstaat mit hohen Risiken befindet.
In Bezug auf Auslagerungen ist allgemein darauf hinzuweisen, dass mit einer Auslagerung (Inland oder Ausland) das Kreditinstitut nicht die Verpflichtung nach dem Geldwäschegesetz auslagern kann. Die Verantwortung für die Erfüllung der Sicherungsmaßnahmen bleibt beim Verpflichteten. Dazu führt die BaFin unter 6.2.8 der AuA BT aus, dass sicherzustellen ist, dass der Geldwäschebeauftragte Zugriff auf alle Treffer hat und er unverzüglich über relevante Treffer informiert wird, so dass die Zeitvorgaben für die Abgabe von Verdachtsmeldungen eingehalten werden. Somit muss auch nach Auslagerung eine sachkundige Person im Kreditinstitut vorhanden sein.
Fazit:
Die Auswahl des richtigen oder auch passenden Systems ist keine einfache Aufgabe und stellt viele Institute vor Probleme. Die vorliegende Konkretisierung der BaFin in Bezug zur Angemessenheit von DV-Systemen kann für die Auswahl herangezogen werden und ist hilfreich für die Prüfung der Eignung. Zu den anderen Aspekten eines Auswahlverfahrens, den Methoden oder Instrumenten gibt es keine Konkretisierung. Es bleibt daher von meiner Seite zu empfehlen, das Auswahlverfahren und die getroffenen Entscheidungen zu dokumentieren, um auch hier den Spielraum und mögliche Konsequenzen einer Falschauswahl zu minimieren.
Software ist immer ein bewegliches Ziel. Software kann niemals komplett „fertig“ sein, sondern unterliegt einem ständigen Wandel durch Weiterentwicklungen und Erweiterungen. Selbst Microsoft kündigt nach dem Versprechen einer endgültigen Version 10, mit schrittweisen Upgrades, eine neue Windows-Version an. Im AML Compliance-Bereich, d.h. AML, KYC und Transaktionsscreening, befindet sich das nächste Upgrade- oder Migrationsprojekt nach einem erfolgreichen Go-Live schon fast in der Vorbereitung, da neue Vorschriften und Sicherheitsfunktionen immer erweiterte Versionen erfordern. Bei der Auswahl eines neuen Compliance-Systems stellen sich viele Fragen - eine davon ist die "Cloud-Frage", zu der ich mit diesem Beitrag kurz einige wichtige Aspekte für die Entscheidungsfindung liefern möchte. Es gibt viele Cloud-Versprechen, wie niedrigere Kosten, schnellere Bereitstellung, Skalierbarkeit, Flexibilität, Zukunftssicherheit u.v.m., die man in verschiedenen Varianten auf den Webseiten aller Cloud-Software-Anbieter finden kann.
Je nach Rechtsraum müssen verschiedene Restriktionen und Gesetze im Zusammenhang mit der Speicherung sensibler Daten in der Cloud beachtet werden. Ich werde diesen Themenkomplex nicht einmal oberflächlich umreißen, werde aber dennoch zwei wichtige Vorschriften benennen. Die DSGVO und all ihre Aspekte können leicht eine Woche voller Workshops füllen, die MaRisk (siehe BaFin AT9) machen es schwieriger, compliant zu sein. Ein wichtiger Punkt ist der Standort der Cloud-Server. Es kann notwendig oder zumindest vorteilhaft sein, dass die Daten das Land nicht verlassen. Kommerzielle Cloud-Plattformen wie AWS, Google und Azure bieten ihre Dienste in länderübergreifenden Regionen an, was für Unternehmen in kleineren Ländern ein K.o.-Kriterium darstellen könnte. Wenn eine geeignete Region gefunden ist, die außerhalb der Hauptregionen (wie USA, Vereinigtes Königreich) liegt, kann es auch vorkommen, dass nicht alle Cloud-Dienste aktuell angeboten werden.
Der nächste wichtige Faktor ist die Erfahrung. Ist im Unternehmen (jenseits von Office365) bereits Cloud-Software im Einsatz und ist die jeweilige Compliance-Software, z. B. das Screening-, Monitoring- oder Research-System, Cloud-ready oder vorzugsweise Cloud-nativ? Die Compliance-Abteilung sollte aufgrund ihrer übergeordneten Bedeutung nicht in eine Position gebracht werden, neue Technologien zu pilotieren, sondern eher der Strategie folgen als sie zu definieren. Die kniffligere Frage ist die letztgenannte: Ist die Software Cloud-nativ? Da es sich bei den meisten Lösungen um Closed-Source-Software handelt, anbei einige Anhaltspunkte, wie dies festgestellt werden kann:
In der Vergangenheit galt Open-Source-Software aufgrund von Sicherheits- und Support-Problemen oft als ein „No-Go“ im Banken- und Compliance-Bereich. Es gibt kontroverse Diskussionen darüber, ob Closed- oder Open-Source-Software als sicherer angesehen wird. Die meisten Linux-Distributionen bieten kommerziellen Support an. Auch bei Datenbanksystemen wie Mongo, PostgreSQL oder Couchbase stehen Unternehmen hinter der Entwicklung, deren Geschäftsmodell darin besteht, kostenpflichtigen Support zu leisten. Diese Unternehmen können durch Kunden gezwungen werden, Schutz gegen etwaige Sicherheitsschwachstellen zu bieten und Sicherheitslücken gleich zu schließen. In gewissem Sinne kann dieser Trend als "das Beste aus beiden Welten" betrachtet werden: Der Code ist immer noch frei verfügbar, aber man kann dennoch Enterprise Level Support erwarten.
Der Betrieb von Legacy-Software in einer Cloud-Umgebung ist möglich, vereint aber in gewisser Weise „das Schlechteste aus beiden Welten“. Der Einrichtungsprozess kann komplex sein. Es können Abhängigkeiten zu Datenbanken und (Windows-) Betriebssystemen bestehen. Die Hardwarekosten könnten viel höher ausfallen, da virtuelle Maschinen anstelle von leichtgewichtigen Containern verwendet werden. Eines der größten Versprechen der Cloud sind Kostensenkungen. Letztendlich kostet ein virtueller Server mit echten CPUs und exklusiv reserviertem Speicher bei eigenem Hosting viel mehr, gerade wenn ein Dritter auch noch seinen Anteil daran haben möchte. Für einen schnellen Vergleich geht man einfach zu ein paar Webhosting-Unternehmen und vergleicht deren Serverkosten z. B. AWS EC2 oder Microsoft Azure VM (die nicht einmal Speicherplatz inkludieren). Daher sollte man sorgfältig zwischen dem Betrieb virtueller Maschinen im "Internet" und Cloud-nativen Lösungen unterscheiden. Erstere helfen niemals Kosten zu sparen, letztere haben das Potenzial Kosten zu senken. Es ist sehr wichtig, ein Konzept für die laufenden Kosten der Lösung zu haben, die direkt oder indirekt von der Bank gezahlt werden müssen.
Ein weiterer wichtiger Aspekt ist die Performance der Lösung. Garantiert der Anbieter Antwortzeiten und Betriebszeiten (und werden diese vom Cloud-Lieferant im Hintergrund abgedeckt)? Bei Kauf von Software-as-a-Service sind alle diese Aspekte idealerweise im Vertrag und im Verantwortungsbereich des Software-Anbieters enthalten.
Insbesondere wenn das Backend der Umgebung für den Endnutzer oder das technische Team der Bank nicht zugänglich ist, ist es wichtig, gute APIs für die Extraktion von Berichten, Protokollen und Audit-Trails zu haben. Das Compliance-Team der Bank bleibt verantwortlich für die Einhaltung der Vorschriften, daher sollten die verfügbaren Berichte gut aufgebaut und getestet sein. Niemand möchte eine solche imaginäre Unterhaltung hören:
F: Sehr geehrter Anbieter, können Sie bitte einen Bericht über alle auffällig gewordenen Transaktionen der letzten 13 Monate und die jeweiligen Nutzer, die an diesen Auffälligkeiten arbeiten, zur Verfügung stellen?
A: Sehr geehrter Kunde, wir verweisen auf das von Ihnen bestellte Standard-API-Paket, das keine Transaktionsdetails enthält.
Wenn die Lösung vor Ort betrieben wird, könnten technisch versierte Berater hinzugezogen werden, die in der Lage sind, ein paar Ad-hoc-Auszüge aus der Datenbank zu generieren und den Prüfer zufriedenzustellen. Ein solcher Backend-Zugriff ist bei einer echten Cloud-Lösung höchstwahrscheinlich nicht möglich - insbesondere nicht mit der zeitlichen Einschränkung wie in der imaginären Situation.
Bei Tendenz in Richtung Cloud-Implementierung ist ein potenzielles Anbieter-Lock-In zu berücksichtigen. Ist es beispielsweise möglich und machbar von AWS zur Google Cloud zu wechseln? Alle großen Cloud-Angebote verfügen über Hunderte von speziellen Diensten, auf denen die Anwendungsarchitektur aufgebaut werden kann. Die Nutzung dieser Dienste für die Entwicklung einer Cloud-Lösung mag intelligent und modern sein, aber wenn der Cloud-Anbieter sich als „böse“ erweist oder einfach zu teuer wird, könnte es schwierig oder gar unmöglich werden, den Anbieter zu wechseln. Es gibt auch Software-Anbieter für Anwendungs-Middleware, wie dapr.io und ähnliche Frameworks, um die Flexibilität bezüglich AWS/Google/Azure zu erhalten und Lock-in-Effekte zu vermeiden.
Die Hybrid-Cloud könnte eine dritte Option sein, insbesondere für zustandslose Anfragen wie das Screening von Namen und Transaktionen in Echtzeit. In diesem Szenario wird das Benutzer-Frontend vor Ort gehostet und die CPU/IO-Schwerstarbeit wird in der Cloud erledigt. Aufgrund der nahezu unbegrenzten Hardware-Flexibilität könnte es eine gute Idee sein, die Cloud auch für zeitlich begrenzte Projekte wie Parallelbetrieb und Systemmigrationen zu nutzen.
Die Antwort auf die Cloud-Frage lautet höchstwahrscheinlich "es kommt darauf an". Neu gegründete Unternehmen tendieren dazu, von Anfang an auf Cloud-native zu setzen. Größere Organisationen bauen gerne eigene Cloud-Umgebungen auf, da Cloud nicht unbedingt bedeutet, einen der großen Anbieter einzukaufen, sondern eher ein Deployment- und Software-Design-Muster einzusetzen. Für das Finden der richtigen Antwort in diesem Bereich sind meine msg Rethink Compliance Kollegen und ich bestens gerüstet. Wir verfügen über fundierte Erfahrungen mit Cloud-, Hybrid-Cloud- und On-Premise-Implementierungen, um unsere Kunden bei solch einer wegweisenden Entscheidung optimal zu unterstützen.
Malta – seit Jahren in der Kritik, nun hat das Land es aufgrund erhöhter und anhaltender Geldwäsche- und Terrorismusfinanzierungsrisiken als erster EU-Mitgliedstaat auf die "graue Liste" der Financial Action Task Force (FATF) geschafft. Die „graue Liste“ ist eine globale Liste der Länder, die unter verstärkter Beobachtung wegen Mängeln in der Umsetzung der FATF-Standards stehen.
Als internationale Kontrollinstanz setzt die FATF die Standards und Empfehlungen zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und Finanzierung von Massenvernichtungswaffen (Proliferation) und prüft deren Umsetzung regelmäßig. Mehr als 200 Staaten und Jurisdiktionen verpflichten sich zur Einhaltung der FATF-Standards, darunter alle Mitgliedsstaaten der EU.
Der Staat Malta taucht seit vielen Jahren immer wieder im Zusammenhang mit Korruption, Geldwäsche und organisiertem Verbrechen auf. Dennoch war die EU-Kommission bis dato untätig und hat sich bei der FATF-Vollversammlung sogar schützend vor Malta gestellt - und dies, obwohl unter anderem die „Blockchain Island“-Strategie des Inselstaates EU-intern mit Sorge betrachtet wird. Über Malta erhalten Krypto-Unternehmen Zugang zur EU. So hat beispielsweise Crypto.com am 08. Juli 2021 eine Virtual Asset License erhalten, die ihr den Geschäftsbetrieb innerhalb der gesamten EU ermöglicht.
Malta ist nicht allein. Auch andere europäische Länder weisen Mängel bei der Umsetzung und Durchsetzung von Gesetzen und Regelungen zur Bekämpfung der Geldwäsche auf. Insgesamt 18 EU-Mitgliedsstaaten hat die FATF bis November 2020 überprüft und kein einziger hat ein hohes Maß an Effektivität in Bezug auf die wichtigsten Indikatoren zur Bekämpfung von Geldwäsche erreicht.
Interessant in diesem Zusammenhang sind Länder wie Lettland und Andorra, bei denen es aufgrund eklatanter Mängel in den Prozessen zu Schließungen von Banken kam. Auch in der "Russian Laundromat"-Affäre spielte Lettland eine Rolle. Die FATF hat beide Länder aber bis heute nicht in die graue Länderliste aufgenommen. Vielleicht liegt dies darin begründet, dass Lettland und Andorra Mitglied bei MONEYVAL[1] sind.
Ein weiteres Beispiel für fragwürdiges Handeln lieferte Zypern mit dem 2013 ins Leben gerufenen Programm „Golden Passport“, um – so die offizielle Verlautbarung – „aufgrund der Finanzkrise ausländisches Kapital anzuziehen und den eigenen Immobilienmarkt zu stützen.“ Der Clou dabei: Zypern hat NICHT-EU-Bürgern die zyprische Staatsbürgerschaft versprochen, wenn diese mindestens zwei bis zweieinhalb Millionen Euro entweder in Immobilien oder in ein Unternehmen mit mindestens fünf Beschäftigten oder in Aktien zyprischer Firmen und zyprische Staatsanleihen investieren. Auf diese Art und Weise flossen dem zyprischen Staat binnen sechs Jahren mehr als acht Milliarden Euro zu, teils an Kapital, teils an Investitionen. Für die Investoren ein lukratives Geschäft, denn neben der zyprischen Staatsbürgerschaft und dem damit verbundenen Recht in die EU einreisen zu dürfen, verschaffte der zyprische EU-Pass seinem Besitzer das Recht, in mehr als 150 Länder der Welt ohne jedes Visum einreisen zu können. Im Jahr 2020 stellte Zypern das Programm auf Druck vieler anderer EU-Mitgliedsstaaten ein. Bulgarien und Malta hatten ähnliche Programme im Angebot.
Welche Folgen hat die FATF-Einstufung Maltas für Verpflichtete nach dem Geldwäschegesetz (GwG)?
Gemäß der Delegierten Verordnung der Europäischen Kommission (Richtlinie (EU) 2015/849) sind für Drittländer verstärkte Sorgfaltspflichten anzuwenden.
Auszug aus der Richtline (EU) 2015/849:
gestützt auf die Richtlinie (EU) 2015/849 des Europäischen Parlaments (…) zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung, (…), insbesondere auf Artikel 9 Absatz 2, in Erwägung nachstehender Gründe:
(2) Alle Verpflichteten in der Union im Sinne der Richtlinie (EU) 2015/849 sollten in ihren Beziehungen zu natürlichen und juristischen Personen, die in Drittländern mit hohem Risiko niedergelassen sind, verstärkte Sorgfaltspflichten anwenden und damit unionsweit vergleichbare Anforderungen an die Marktteilnehmer gewährleisten.
Malta als Mitglied der EU fällt nicht unter die Definition eines Drittstaates. Daraus können Verpflichtete nach dem GwG ableiten, dass die Anwendung der verstärkten Sorgfaltspflichten bei
- Geschäftsbeziehungen mit dem maltesischen Staat,
- Geschäftsbeziehungen zu natürlichen und juristischen Personen mit Sitz in Malta oder
- Geschäftsbeziehungen zu natürlichen und juristischen Personen aus Malta
nicht angezeigt ist. Jedoch sollte die Aufnahme Maltas in die „graue Liste“ dazu führen, dass eine entsprechende Anpassung in der Risikoanalyse erfolgt und gegebenenfalls Maßnahmen ergriffen werden (siehe auch FATF: http://www.fatf-gafi.org/publications/high-risk-and-other-monitored-jurisdictions/documents/increased-monitoring-june-2021.html). Zudem kann auch eine Anpassung beziehungsweise Erweiterung im eingesetzten Research-System abgeleitet werden, um unter anderem den Zahlungsverkehr mit Malta genauer zu untersuchen und zu überwachen.
Malta zeigt sich vielen Verpflichteten nicht zum ersten Mal als Land mit Geldwäsche-relevanten Risiken. Bereits im Jahr 2017 geriet Malta in den Fokus der in Deutschland dem GwG verpflichteten Institutionen. Denn mit der Novellierung des deutschen GwG und der Erweiterung des §2 waren auch sämtliche Veranstalter und Vermittler von Glücksspielen in der Pflicht. Das Problem: Die meisten Anbieter von (Online-) Glücksspiel-Plattformen wiesen einen Sitz auf Malta aus, womit die deutsche Regulierung ausgehöhlt wurde.
In diesem Zusammenhang sei ein Exkurs zum Staatsvertrag zur Neuregulierung des Glücksspielwesens in Deutschland gestattet. Dieser ist zum 01. Juli 2021 in Kraft getreten. Geschlossen zwischen allen 16 Bundesländern in Deutschland regelt der neue Glücksspielstaatsvertrag 2021 (GlüStV 2021) bundesweit die Rahmenbedingungen für die Veranstaltung von Glücksspielen. Um Glücksspiel betreiben zu dürfen (online oder vor Ort als Spielhalle), benötigt der Betreiber eine offizielle Glücksspiel-Lizenz. Durch den neuen Glücksspielvertrag ist das Spielen und Betreiben nun legalisiert.
Glücksspiel in Deutschland war davor eher eine rechtliche Grauzone, eigentlich illegal, aber doch irgendwie legal. Laut deutschem Recht waren das Betreiben und Spielen in Spielhallen grundsätzlich verboten, nur das Spielen in staatlichen Lotterien war erlaubt. 2011 beschloss das Bundesland Schleswig-Holstein eine Sonderregelung, zu der jedoch keines der anderen Länder zu stimmte. Daher erfuhr das Glücksspiel in Deutschland nur eine teilweise Legalisierung. Trotz stark eingeschränkter Vergabe von Lizenzen wurden immer neue Online-Casinos gegründet. Das Europarecht machte es möglich: Glücksspiel ist legal, wenn der Anbieter über eine entsprechende Lizenz innerhalb der EU verfügt. Deshalb haben die meisten Spielhallen-Betreiber ihren Sitz auf Malta oder Gibraltar, und Spielen in Deutschland musste geduldet werden.
Durch die Aufnahme Maltas auf die sogenannte „graue Liste“ der FATF sind nun die Verpflichteten dazu angehalten, entsprechende Maßnahmen zu ergreifen. Man darf gespannt sein, ob und wenn ja, wann die Europäische Kommission Malta auf die EU-Länderliste (DelVO) setzen wird und, ob Malta das einzige Land in der EU auf der sogenannten „grauen Liste“ der FATF bleiben wird.
[1] MONEYVAL wurde im Jahr 1997 gegründet und ist ein Expertenausschusses des Europarates, dessen Aufgabe es ist, die Umsetzung der Standards gegen Geldwäsche und Terrorismusfinanzierung zu überwachen und zu erleichtern. MONEYVAL gehören Länder an, die Mitglied im Europarat, aber kein Mitglied der FATF sind. MONEYVAL bezieht sich bei seinen Untersuchungen auf die von der FATF publizierten Standards und berichtet der FATF über ihre Ergebnisse.
Mit dem Transparenzregister- und Finanzinformationsgesetz (TraFinG) setzt der deutsche Gesetzgeber die geltenden EU-Richtlinien (EU) 2015/839 (Geldwäscherichtlinie) und (EU) 2019/1153 (Finanzinformationsrichtlinie) in deutsches Recht um.
Die Umwandlung des Transparenzregisters vom Auffangregister[1] zum Vollregister und die EU-weite Registervernetzung sollen eine schnelle und unkomplizierte Kommunikation zwischen den Mitgliedstaaten und Europol ermöglichen. Die EU gibt hierzu vor, auf Länderebene strukturierte Datensätze in einheitlichem Datenformat zu verwenden.
Das Transparenzregister besteht seit 01. Oktober 2017. Juristische Personen des Privatrechts und eingetragene Personengesellschaften gemäß §§ 18 ff. GwG sind verpflichtet, Informationen über den wirtschaftlich Berechtigten[3] gemäß § 19 Abs. 1 GwG einzuholen, aufzubewahren, auf dem aktuellen Stand zu halten und der registerführenden Stelle unverzüglich zur Eintragung in das elektronisch geführte Transparenzregister mitzuteilen. Ziel des Transparenzregisters und seiner EU-weiten Vernetzung ist die Bekämpfung von Geldwäsche und Terrorismusfinanzierung, die Schaffung von Transparenz hinsichtlich der wirtschaftlich Berechtigten sowie die gemeinschaftliche Nutzung von Konto- und Finanzinformationen für Zwecke der Verhinderung und Verfolgung schwerer Straftaten.[4]
Das bisherige Auffangregister
Bedingt durch die sogenannte Meldefiktion gemäß §20 Abs. 2 GwG beinhaltete das bisherige Auffangregister keine vollständigen Datensätze, sondern verwies je nach Datenlage auf ein anderes Subjektregister (Handelsregister, Personenregister etc.) mit Informationen zu oder Dokumenten über den wirtschaftlich Berechtigten. In diesen Fällen war bis dato keine gesonderte Eintragung in das Transparenzregister notwendig. Diese war nur dann verpflichtend, wenn keine Informationen in den in § 20 Abs. 2 GwG aufgeführten Registern enthalten waren. Da die bislang genutzten und hinterlegten Daten in den jeweiligen Registern nicht in einer einheitlichen Datenstruktur vorlagen, konnten diese gemäß EU-Richtlinienvorgabe nicht für die Vernetzung der Transparenzregister verwendet werden.
Änderungen durch die Umwandlung in ein Vollregister
Allgemeine Änderungen
Durch die Umwandlung in ein Vollregister müssen Rechtseinheiten gemäß § 20 Abs. 1 GwG, juristische Personen des Privatrechts und eingetragene Personengesellschaften ebenso wie nach § 21 GwG nichtrechtsfähige Stiftungen ihren wirtschaftlich Berechtigten nun nicht nur identifizieren, sondern aufgrund der im TraFinG aufgehobenen Meldefiktion explizit an das Transparenzregister melden. Die Richtigkeit der Daten liegt fortan in der Verantwortung der entsprechenden Rechtseinheiten. Falschangaben, Versäumnisse der Mitteilungspflicht und der Aktualisierung der Daten werden durch das Bundesverwaltungsamt (BVA) als Ordnungswidrigkeiten geahndet. Ob der § 17 OWiG (Ordnungswidrigkeitengesetz) für die Höhe der Bußgelder in diesen Fällen einschlägig sein wird und welche Folgen die Sanktionen haben, wird sich zeigen. Die Meldepflicht ist in Form des TraFinG am 01. August 2021 in Kraft getreten, jedoch gibt es rechtsformabhängige Übergangsfristen, in denen die Zeiträume für die anstehenden erstmaligen Meldungen gestaffelt sind.[5]
Änderungen für Verpflichtete gemäß § 2 GwG
Für Verpflichtete gemäß § 2 GwG wurde in § 11 Abs. 5 GwG-neu[6] festgelegt, dass die Erhebung der Angaben zu den wirtschaftlich Berechtigten bei Neukunden bzw. Erstkontakt „beim Vertragspartner oder der gegebenenfalls für diesen auftretenden Personen zu erfolgen“ hat. Eine weitere Änderung bezieht sich auf bereits bestehende Geschäftsbeziehungen. Im Sinne des § 12 Abs. 3 Satz 3 GwG-neu ist die Pflicht der Überprüfung mit der Einsicht in das Transparenzregister abgegolten, sofern die dortigen Angaben mit den nach § 11 Abs. 5 GwG-neu erhobenen Angaben übereinstimmen. Bestehen Zweifel an der Richtigkeit der Daten bzw. der Identität des wirtschaftlich Berechtigten, müssen weitere Maßnahmen zur Identifizierung ergriffen werden. Dies führt zu einer erheblichen Zeitersparnis und größeren Effizienz bei der Überprüfung bestehender Geschäftsbeziehungen.
Änderungen für börsennotierte Gesellschaften
Börsennotierte Gesellschaften waren bisher von der Meldepflicht befreit, dies ändert sich jedoch mit § 3 Abs. 2 S. 5 GwG-neu. Auch börsennotierte Unternehmen müssen künftig ihren wirtschaftlich Berechtigten wie andere Rechtseinheiten nach den bestehenden Richtlinien des § 3 GwG dem Transparenzregister melden.
Änderungen für Vereinigungen mit Sitz im Ausland bei Share-Deals
Auch Vereinigungen mit Sitz im Ausland sollen durch eine Änderung des § 20 Abs. 1 GwG dazu verpflichtet werden, ihre wirtschaftlich Berechtigten an das deutsche Transparenzregister zu melden, sofern diese durch einen sogenannten Share-Deal, also durch den Anteilserwerb eines inländischen Unternehmens, gleichzeitig Eigentumsrechte an einem inländischen Grundstück nach § 1 Abs. 3 GrEStG erhalten.
Ausführungsstellen auf Bundesebene
Die Registerführung obliegt dem Bundesanzeiger Verlag. Der EU-Richtlinienvorgabe folgend werden das Bundesamt für Justiz (BfJ) und das Bundeskriminalamt (BKA) vom Bund für den Kontenabruf und den Kontendatenaustausch mit Europol benannt. Das BKA steht zudem als Zentralstelle für den EU-weiten Finanzinformationsaustausch und für den Zugang zum Informationsaustausch mit der Zentralstelle für Finanztransaktionsuntersuchungen auf Bundesebene zur Verfügung.[7]
Fazit
Die Umwandlung des Auffangregisters in ein Vollregister ist generell als positiver Schritt in Richtung einer effektiveren Bekämpfung von Geldwäsche und Terrorismusfinanzierung zu sehen, jedoch bleiben auch nach der Einführung des TraFinG Fragen bezüglich der Wirksamkeit und der Nachhaltigkeit offen.
Die Effektivität der Vernetzung der europäischen Transparenzregister in Bezug auf die Datenqualität ist kritisch zu hinterfragen. Denn die Transparenzregister der einzelnen Mitgliedstaaten müssen nach der EU-Richtlinie zwar aus einheitlichen, strukturierten Datensätzen bestehen, aber den landesindividuellen Gesetzgebungen liegen keine einheitlichen Anforderungen an die Datenerhebung der wirtschaftlich Berechtigten zugrunde. Hierzu sollte eine EU-weite Regelung der Erhebung der Daten des wirtschaftlich Berechtigten eingeführt werden, damit jeder EU-Mitgliedstaat denselben Standard im Datenerhebungsprozess aufweist und die Datenqualität der Transparenzregister steigt.
Zudem nimmt die registerführende Stelle keine inhaltliche Prüfung der gemeldeten Daten vor, sodass Falschmeldungen mehr oder minder nur durch Zufall auffällig werden, zum Beispiel durch Unstimmigkeitsmeldungen. Diese Unstimmigkeitsmeldungen müssen nach den „Transparenzregister - Fragen und Antworten zum Geldwäschegesetz (GwG), Stand: 09. Februar 2021“ von Verpflichteten nach § 2 Abs. 1 GwG und einigen Behörden über die Internetseite des Transparenzregisters abgegeben werden. Unstimmigkeiten liegen vor, wenn die eigenen Erkenntnisse zu wirtschaftlich Berechtigten von den im Transparenzregister eingetragenen Daten abweichen. Das wird in der Praxis vor allem bei den als kritisch anzusehenden wirtschaftlich Berechtigten selten der Fall sein. Demnach können konsistent falsch angegebene Daten nicht identifiziert werden, wenn beispielsweise eine meldepflichtige Rechtseinheit einen falschen wirtschaftlich Berechtigten an das Transparenzregister meldet und die gleiche Auskunft an einen Verpflichteten im Zuge einer Begründung einer Geschäftstätigkeit meldet. Da dem Verpflichteten die Identifizierung und die laufende Überprüfung der Richtigkeit der Daten zum wirtschaftlich Berechtigten obliegt, stellen diese im ausgeführten Beispiel keine Unstimmigkeit mit dem Transparenzregister dar und führen demnach auch nicht zu einer Unstimmigkeitsmeldung.
Transaktionen mit Vertragspartnern mit verschachtelten Gesellschaftsstrukturen im Ausland bringen per se ein erhöhtes Risiko mit sich. Gerade aber solche Strukturen verschleiern die eigentlich wirtschaftlich Berechtigten sehr gut, sodass diese auch im Zuge einer stichhaltigen Analyse schwerlich aufgedeckt werden können. Die Vernetzung der Transparenzregister unterstützt die Identifikation dieser ohnehin schon schwer identifizierbarer wirtschaftlich Berechtigten in nur sehr geringem Maße, da es in § 3 Abs. 2 S. 5 GwG heißt: „Wenn nach Durchführung umfassender Prüfungen […] kein wirtschaftlich Berechtigter […] ermittelt werden kann, gilt als wirtschaftlich Berechtigter der gesetzliche Vertreter, der geschäftsführende Gesellschafter oder der Partner des Vertragspartners.“ Das bedeutet, die Personen, die bislang von den Verpflichteten und anderen Rechtseinheiten noch nicht identifiziert werden konnten, werden auch mit der Meldepflicht nicht weniger schwer zu ermitteln sein, sodass möglicherweise lediglich in den besonders schwierigen Fällen erneut nur die sog. fiktiven wirtschaftlich Berechtigten gemeldet werden. Somit bleibt auch die Identifizierung des wirtschaftlich Berechtigten in der Problematik wie in der Methodik weiterhin ungelöst. Es wird lediglich die laufende Prüfungspflicht der Verpflichteten mit Einsicht in das Vollregister erleichtert und eine Zeitersparnis geboten. Der jedoch deutlich größere Aufwand und somit auch das größte Risiko in Form der „Initialidentifikation“ der wirtschaftlich Berechtigten bleibt durch die Umwandlung auf ein Vollregister unberührt.
Wie wirksam die EU-weite Vernetzung der Transparenzregister trotz der oben aufgeführten Schwachstellen schlussendlich ist, wird sich nach der ersten Evaluierungsrunde zeigen, wenn die ersten Zahlen und Fälle von den zuständigen Stellen der EU und des Bundes veröffentlicht werden.
[1] Ein Auffangregister „fängt“ Daten auf (in unserem Fall Daten über einen wirtschaftlich Berechtigten), die in keinem anderen Subjektregister aufgeführt sind. Somit stehen nur vereinzelte Daten im Auffangregister, samt Verweise auf andere Register. Nur wenn die Daten in keinem anderen Register eingetragen sind, müssen sie im Auffangregister gelistet sein. Das Auffangregister beinhaltet somit nur die Daten zum wirtschaftlich Berechtigten, die sonst nirgends eingetragen sind.
[3] Wer unter den Begriff des wirtschaftlich Berechtigten fällt, regelt § 3 GwG.
[4] Vgl. BT-Drucksache 19/28164 S.30.
[5] Wird keine natürliche Person als wirtschaftlich Berechtigter identifiziert, erfolgt eine Meldung des fiktiven wirtschaftlich Berechtigten an das Transparenzregister gem. § 3 Abs. 2 S. 5 GwG. Dies wird durch das „Fragen und Antworten zum Geldwäschegesetz (GwG)“, Stand: 09.02.2021) des BVA bestätigt.
[6] GwG-neu referiert auf die bereits in Kraft getretenen Änderungen des GwG, die sich im Zuge der Einführung des TraFinG ergaben.
[7] Vgl. BT-Drucksache 19/28164 S. 2 f.
msg Rethink Compliance GmbH
Amelia-Mary-Earhart-Str. 14
60549 Frankfurt am Main
+49 69 580045-0
info@msg-compliance.com
Die msg Rethink Compliance GmbH ist Teil von msg, einer unabhängigen Unternehmensgruppe mit mehr als 10.000 Mitarbeitenden.
Die msg-Gruppe ist in 34 Ländern in den Branchen Banking, Insurance, Automotive, Consumer Products, Food, Healthcare, Life Science & Chemicals, Public Sector, Telecommunications, Manufacturing, Travel & Logistics sowie Utilities tätig, entwickelt ganzheitliche Softwarelösungen und berät ihre Kunden in allen Belangen der Informationstechnologie.