4. EU-Geldwäscherichtlinie – ein praktischer Leitfaden

Anti-Geldwäsche Gesetzgebung: Neue Herausforderungen für Unternehmen

Das europäische Parlament und der Rat der europäischen Union haben am 20. Mai 2015 die 4. Geldwäscherichtlinie (Richtlinie (EU) 2015/849¹) zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung beschlossen.

Die Politik möchte nach den Erkenntnissen aus den Panama Papers sogar noch einen Schritt weitergehen und die Geldwäschegesetzgebung verstärken. Das Bundesministerium für Finanzen in Deutschland hat im April 2016 einen Zehn-Punkte-Aktionsplan für ein faires internationales Steuersystem und ein effektiveres Vorgehen gegen Geldwäsche vorgelegt. Im Kern geht es um die Erhöhung der Steuertransparenz durch automatischen Informationsaustausch zwischen nahezu 100 Staaten, Änderungen im Gesellschaftsrecht, die Identifizierung der wirtschaftlich Begünstigten und die weltweite Vernetzung der in der 4. EU Geldwäscherichtlinie festgelegten nationalen Geldwäscheregister. Im November 2016 ist ein 37-seitiger Gesetzentwurf der Bundesregierung bekannt geworden, der intern als “Panama-Gesetz” bezeichnet wird.
Mit dem „Gesetz zur Bekämpfung der Steuerumgehung“ will der deutsche Bundesfinanzminister den nationalen Zehn-Punkte-Plan gegen Steuerflucht aus dem Frühjahr 2016 umsetzen. Kredit- und Finanzinstitute und der Nicht-Finanzsektor sehen sich also mit einer Vielzahl neuer Anforderungen konfrontiert. Es gilt jetzt, die Änderungen in die Prozesslandschaft zu planen – nicht nur, um den gesetzlichen Vorschriften zu genügen, sondern auch um die Reputation des Unternehmens und seine Kunden zu schützen.

Geschäftsbeziehungen und Transaktionen überwachen²

Der risikoorientierte Ansatz verlangt von den Verpflichteten, jede individuelle Geschäftsbeziehung und Transaktion auf ihr jeweiliges Geldwäscherisiko zu prüfen. Umstände, die nach der 3. Geldwäscherichtlinie automatisch zu einer Einstufung als geringeres Risiko führten – zum Beispiel, wenn der Kunde ein anderes Institut, ein börsennotiertes Unternehmen oder eine inländische Behörde war, sind künftig lediglich als einzelne Risikofaktoren anzusehen. Erst die Gesamtbetrachtung aller relevanten Risikofaktoren führt zu der Endbewertung, ob eine individuelle Situation als geringeres oder erhöhtes Risiko angesehen werden muss. Verpflichtete sind Personen und Unternehmen, für die die 4. Geldwäsche-Richtlinie gilt. Dazu zählen Kredit- und Finanzinstitute sowie Dienstleister aus dem Nicht-Finanzsektor (z. B. Notare, Rechtsanwälte und Anbieter von Glücksspieldiensten). Ziel ist es, Automatismen bei der Risikobewertung zu verhindern. Dieses Konzept wird bei der Beurteilung einiger Hochrisikosituationen allerdings durchbrochen: politisch exponierte Personen (PEPs), Korrespondenzbankbeziehungen und Kunden aus bestimmten Hochrisikoländern erhalten automatisch die Einstufung als „Hochrisikosituation“. Hinsichtlich der „Drittländer mit hohem Risiko“ hat die EU-Kommission eine Negativliste angekündigt; das bisherige Konzept einer Positivliste mit äquivalenten Drittländern wird aufgegeben.

Auch für die Staaten gibt es neue Vorgaben zur Erfüllung des risikoorientierten Ansatzes. Jeder Mitgliedsstaat kann eine nationale Risikobewertung anfertigen und aktuell halten. Des Weiteren sollen die drei europäischen Aufsichtsbehörden EBA, ESMA und EIOPA eine gemeinsame Stellungnahme zu den Risiken der Geldwäsche und der Terrorismusfinanzierung für den Finanzsektor der EU erarbeiten, die in einen supranationalen Risikobericht der EU-Kommission einfließen soll. Auch den nationalen Aufsichtsbehörden gibt die Richtlinie erstmals ausdrücklich auf, bei der Aufsicht nach einem risikoorientierten Ansatz vorzugehen.

Sorgfaltspflichten

Es gibt unterschiedliche Sorgfaltspflichten gegenüber Geschäftspartnern:

• Vereinfachte bzw. erhöhte Sorgfaltspflichten je nach Risiko
• Sorgfaltspflichten von Versicherungen gegenüber Kunden
• Sorgfaltspflichten bei grenzüberschreitenden Korrespondenzbankbeziehungen
• Sorgfaltspflichten gegenüber PEPs

Sie zielen alle darauf ab, Geschäftspartner möglichst gut zu kennen. Artikel 13 der Richtlinie verlangt unter anderem, die Kundenidentität aus glaubwürdigen und unabhängigen Quellen zu recherchieren und angemessene Maßnahmen zur Überprüfung der Identität des wirtschaftlichen Eigentümers zu ergreifen. Dies gilt auch für juristische Personen wie Trusts, Gesellschaften und Stiftungen. Ziel sei es – so die Richtlinie – die Eigentums- und Kontrollstruktur des Kunden zu verstehen.

Die kontinuierliche Überwachung der Geschäftsbeziehung setzt voraus, dass alle im Verlauf der Geschäftsbeziehung ausgeführten Transaktionen geprüft werden. Damit soll sichergestellt werden, dass die Transaktionen mit den Kenntnissen der Finanzinstitute über den Kunden, seine Geschäftstätigkeit und sein Risikoprofil, einschließlich der Herkunft der Finanzmittel, übereinstimmen.

Register zur Identifizierung des wirtschaftlichen Eigentümers

Artikel 30 verlangt von den Mitgliedsstaaten, dafür zu sorgen, dass die in ihrem Gebiet eingetragenen Gesellschaften oder sonstigen juristischen Personen angemessene, präzise und aktuelle Angaben zu ihren wirtschaftlichen Eigentümern, einschließlich genauer Angaben zum wirtschaftlichen Interesse, einholen und aufbewahren müssen. Diesen Angaben werden in einem zentralen Register pro Mitgliedsstaat aufbewahrt.

Sanktionen

Die Mitgliedsstaaten stellen sicher, dass die Verpflichteten für Verstöße gegen die  nationalen Vorschriften zur Umsetzung der Richtlinie gemäß Artikel 58 und den Artikeln 59 bis 61 verantwortlich gemacht werden können. Jede sich daraus ergebende Sanktion oder Maßnahme muss wirksam, verhältnismäßig und abschreckend sein. Kreditinstitute oder Finanzinstitute können im Falle einer juristischen Person zu maximalen Geldbußen von mindestens 5 Millionen EUR oder 10 Prozent des jährlichen Gesamtumsatzes verpflichtet werden. Die Veröffentlichung der Art des Verstoßes ist – abgesehen von Ausnahmen – explizit vorgesehen.

Neue Geldtransferverordnung

Die Verordnung 2015/847³ des Europäischen Parlamentes und des Rates vom 20. Mai 2015 über die Übermittlung von Angaben bei Geldtransfers ersetzt die bisherige Verordnung 1781/2006. Sie ist kein Bestandteil der 4. EU Geldwäscherichtlinie, aber hat dennoch für Kredit- und Finanzinstitute eine hohe Bedeutung bei der Transaktionskontrolle. Artikel 9 schreibt die lückenlose Rückverfolgbarkeit von Geldtransfers vor, da sie bei der Verhinderung, Aufdeckung und Ermittlung von Geldwäsche und Terrorismusfinanzierung sowie bei der Umsetzung von restriktiven Maßnahmen äußerst wichtig und hilfreich sein können. Um zu gewährleisten, dass die Angaben während der gesamten Zahlungskette weitergeleitet werden, sollte ein System eingeführt werden, das die Zahlungsdienstleister dazu verpflichtet, bei einem Geldtransfer Angaben zum Auftraggeber und zum Begünstigten zu übermitteln.

Um die Effizienz der Zahlungssysteme nicht zu beeinträchtigen, soll laut Artikel 16 die Pflicht zur Überprüfung der Richtigkeit der Angaben zum Auftraggeber und zum Begünstigten nur bei Einzelgeldtransfers, die 1.000 EUR übersteigen, bestehen, es sei denn, dass es Anhaltspunkte dafür gibt, dass eine Verbindung zu anderen Geldtransfers besteht, die zusammen 1.000 EUR übersteigen würden, dass das Geld als Bargeld oder anonymes E-Geld entgegengenommen oder ausgezahlt wurde, oder dass hinreichende Gründe für einen Verdacht auf Geldwäsche oder Terrorismusfinanzierung vorliegen.

Steigende technische Anforderungen im Compliance-Umfeld

Die Prävention von Geldwäsche, die Erkennung von Personen auf Sanktionslisten oder die Überwachung von Finanztransaktionen stellt hohe Anforderungen an die Leistungsfähigkeit von IT-Systemen in Finanzinstituten. Der Grund dafür liegt einerseits in der Intensivierung der Prüf-Szenarien, aber auch in der kontinuierlichen Steigerung des Datenvolumens. Täglich steigt die Anzahl risikobehafteter Personen und PEPs in Sanktionslisten. Sie müssen regelmäßig mit den Daten im Kundenbestand geprüft werden. Aber nicht nur Personen und Gesellschaften, auch Finanztransaktionen müssen auf  mögliche Sanktionsverletzungen überprüft werden. Sei es, wenn Geldgeschäfte Risikoländer oder Risikobanken betreffen oder zwischen Risikopersonen stattfinden. Liegt ein Verdachtsfall vor, muss die Ausführung gestoppt werden.

Umsetzung des risikobasierten Ansatzes

Um risikobehaftete Geschäftsvorfälle möglichst genau aufzudecken, ist es wichtig, Personen und Transaktionen differenziert zu analysieren. Private oder Retail Banking, Privatkunden- oder Firmenkundengeschäft, institutionelle Anleger oder Brokerage sind Geschäftsbeziehungen, die ein unterschiedliches Geschäftsverhalten aufweisen.  Während bei Firmenkonten hohe Geldzu- und -abflüsse fast täglich auftreten, sind sie bei Privatkunden ungewöhnlich. Käme also bei einem Privatkunden eine außergewöhnlich hohe Transaktion vor, müsste sie vom Compliance Officer abgeklärt werden. Die besten Analyseergebnisse erhält ein Institut, wenn alle Kunden und Geschäftsbeziehungen mit einer Risikoklasse ausgestattet sind, die die Abklärung im Falle eines Risikos regelt. Beispielsweise kann die Analyse eines hohen Risikos bedeuten, dass die Verbuchung einer Zahlung so lange gestoppt wird, bis die Abklärung abgeschlossen ist. Wichtig ist auch die Zuordnung einer separaten Risikoklasse für politisch exponierte Personen, da sie aus Compliance-Sicht besondere Aufmerksamkeit erfordern und in der neuen Geldwäsche-Richtlinie als „Hochrisikosituation“ eingestuft werden.

Risikoklassifizierung im Know Your Customer (KYC)-Profil

KYC-Identitätsprüfungen sind nicht nur für die Risikoklassifizierung von Neu- sondern auch für Bestandskunden erforderlich. Zu den Mindestanforderungen zählen die Identifizierung des Vertragspartners, die Feststellung des wirtschaftlich Berechtigten (Beneficial Owner) und die Abklärung der wirtschaftlichen Hintergründe. Jede Geschäftsbeziehung unterliegt einer anderen Logik, z. B.

• Ist der Kunde im Private- oder Retail-Banking oder im Firmenkundengeschäft tätig?
• Handelt es sich um einen institutionellen Anleger oder Broker?
• Was für eine Art Geschäft erwartet die Bank von diesem Kunden (Kredit, Geldanlagen, Geschäfte mit den ausländischen Geschäftspartnern)?

Für die verschiedenen Banking-Aktivitäten gibt es ein unterschiedliches Geschäftsverhalten. So sind bei Firmenkonten hohe Zu- und Abflüsse von Geld üblich. Für ein Privatkonto wäre dieses Transaktionsmuster eher ungewöhnlich und würde als risikobehaftet eingestuft werden. Weitere Analysen pro Kundentyp sind beispielsweise Länderrisiko, Transaktionsverhalten, Rechtsform, Vermögensverhältnisse, Branche, politisch exponierte Person oder Beruf.

Prüfung von Kundendaten gegen Sanktionslisten-Einträge

Der Abgleich von Kundendaten gegen nationale und internationale Sanktionslisten gehört zu den Aufgaben im Risikomanagement eines Finanzinstituts. Auf dem Markt ist eine große Auswahl an öffentlichen und kommerziellen Sanktionslisten verfügbar. Viele Institute sind sogar dazu übergegangen, mehrere Listen parallel zu verwenden.  Üblicherweise werden Namen, Alias-Namen, andere Namens-Schreibweisen, Geburtsdaten, Nationalität und Domizil für die automatische Prüfung herangezogen. Institute prüfen regelmäßig – meist einmal täglich – alle Kunden und  Geschäftsbeziehungen. Um die Kosten für Abklärungen nicht explodieren zu lassen, ist es sinnvoll, die Ergebnisse so „feinzutunen“, dass das Institut nur die wirklich relevanten Risikotreffer erhält.

Know Your Transaction (KYT): Transaktionen überwachen

Zum KYT-Prinzip gehört die Überwachung des Zahlungsverkehrs. Um herauszufinden, ob eine Risikotransaktion vorliegt, muss analysiert werden, ob der Auftraggeber oder Empfänger auf einer internen oder externen Black List steht, ob das Limit eingehalten wird, welche Länder involviert sind, welchen Verwendungszweck die Zahlung hat und wie die Historie des Kunden aussieht. Zusätzlich ist es günstig, Transaktionsmuster zu analysieren. Das heißt: es wird nicht nur eine einzelne Transaktion betrachtet, sondern ein Zusammenhang mehrerer Zahlungen erkannt. Wenn Zu- und Abflüsse innerhalb kurzer Zeit erfolgen, kann dies ein Geldwäsche-Hinweis sein. Oder smurfing: hier werden große Transaktionen in kleinere Tranchen aufgeteilt. Die Anzahl an Finanztransaktionen unterliegt in der Praxis saisonalen Schwankungen. Besonders an Wochenenden, vor Feiertagen, am Monats- oder Jahresende werden im Vergleich zu normalen Tagen Spitzenwerte erreicht, die eine Bank zuverlässig analysieren muss.

Während der Laufzeit einer Kundenbeziehung ist es sinnvoll, aus dem Transaktionsverhalten Kennzahlen für die Risikoklassifizierung zu gewinnen, z. B.

• Vermögen und Anzahl der Transaktionen
• Gesamt- und Bar-Umsatz in einem definierten Zeitraum
• Gesamtumsatz im Verhältnis zum Vermögen
• Bar-Umsatz im Verhältnis zum Vermögen
• Transaktionen und die Höhe des Umsatzes mit Risikoländern innerhalb einer  bestimmten Frist

Bei der finalen Ermittlung des Risikos ist es wichtig, die Zahlen in einen Kontext zu setzen. Zum Beispiel, nach Grenzwerten für Retail-, Firmen- oder Private-Banking-Kunden zu differenzieren. So können Transaktionen von Firmenkunden mit Risikoländern aufgrund der Geschäftstätigkeit unkritischer sein als Transaktionen mit Risikoländern, die von Privatpersonen durchgeführt werden.

Überwachungsregeln für Personen und Transaktionen

Alle Überwachungsszenarien, egal ob es um die Analyse von Personen- oder Transaktionsdaten geht, sind durch Regeln definiert. Beispiele sind:

• Wie hoch darf die maximale Transaktionshöhe im Privatkundengeschäft sein?
• Wie hoch ist der Grenzwert für Finanztransaktionen für Firmenkunden?
• Zu welcher Risikoklasse gehören die Kunden?
• Welche Klassifizierung erhält ein Risikokunde, z. B. PEP, Crime, Terrorist?
• Wie sieht der Zahlungsverkehr zwischen zwei Geschäftsbeziehungen intern in der Bank bzw. mit externen Zahlungsempfängern aus?
• Welche Länder sind auf einer Sanktionsliste?

Meilensteine der automatisierten Geldwäsche-Prävention

Aus Zeit- und Kostengründen sowie aufgrund der immer weiter steigenden Datenmengen muss die Geldwäsche-Prävention automatisiert erfolgen und möglichst nur wirklich relevante Treffer generieren. Die wichtigsten Meilensteine für wirksame Anti-Geldwäsche-Maßnahmen sind: Risikoklassifzierung, Überwachung, Abklärung und revisionssichere Dokumentation.

Actico Money Laundering Detection System MLDS

Das Actico Money Laundering Detection System (MLDS) hilft Banken und Finanzinstituten, operative Entscheidungen zu treffen. Es handelt sich um eine technische Analyse, die Aufschluss darüber gibt, ob Personen und Finanztransaktionen ein Geldwäsche-Szenario darstellen.

Automatisierte Analyse mit Geschäftsregeln

Alle Regeln, die der Gesetzgeber für die Ermittlung von Kunden-, Produkt- und Transaktionsrisiken vorschreibt, können in MLDS hinterlegt werden. Instituts-interne Regeln lassen sich ebenfalls hinterlegen. Die Modellierung der Regeln erfolgt auf einer grafischen Oberfläche. Die Basis bildet das Actico Business Rules Management System (Actico Rules), das in MLDS integriert ist. Damit können auch Nicht-IT-Experten, z. B. aus der Compliance-Fachstelle Anti-Geldwäsche-Regeln modellieren und anpassen. Die Gesamtheit der hinterlegten Regeln bildet die Geschäftslogik. Zur Prüfung von Geschäftsbeziehungen und Transaktionen durchlaufen die Daten die definierten Regelwerke und ermitteln risikobasiert sogenannte „Treffer“.

Begründung des Risikos

MLDS liefert immer eine genaue Begründung für die Risikoklassifizierung. Damit kann direkt aus dem System der Nachweis geliefert werden, weshalb ein Kunde oder eine Geschäftsbeziehung als risikobehaftet eingestuft wird. Dieses Beispiel erklärt, wie die Risikoklassifizierung einer Geschäftsbeziehung entsteht. Zur Geschäftsbeziehung gehört der Kontoinhaber, ein wirtschaftlich Berechtigter und die Vermögensanlage des Kunden.

In dieser Geschäftsbeziehung ist eine Person mit PEP-Status involviert. In MLDS führt dieser Status zur Risikoeinstufung „hoch“, woraus sich verstärkte Sorgfaltspflichten ableiten lassen. Die Risikofaktoren und deren Gewichtung, die sich in den Rating-Regeln auswirken, werden zum Beispiel aus der Gefährdungsanalyse des Finanzinstituts abgeleitet und bankspezifisch über Actico Rules abgebildet. Neben Daten der beteiligten Personen und Adressen lassen sich dabei auch beliebige andere Eigenschaften, z. B. Branche, Produkt, etc. einbeziehen.

Automatisierte Dokumentation und Historisierung

Alle Änderungen in der Risikoklassifizierung müssen dokumentiert werden, damit nachvollzogen werden kann, wie und warum eine Risikoklassifizierung für einen Kunden erfolgt und welche Abklärungen getätigt wurden. Die automatisierte Dokumentation in MLDS wird durch das Compliance-Journal sichergestellt. Es wird automatisch geführt und dokumentiert alle sorgfaltsrelevanten Daten und Vorgänge in Form einer Compliance-Historie. Es kann nicht gelöscht werden und ist deshalb die revisionssichere Dokumentation der Sorgfaltsmaßnahmen.

Darstellung von Transaktionen eines Kunden und seines Beziehungsnetzwerks

In MLDS steht nicht nur die einzelne Person in der Risikoanalyse im Vordergrund, sondern ihr Beziehungsnetzwerk. Dies beinhaltet KYC-Aspekte und berücksichtigt Grenzwerte sowie Länder der Negativliste.

Fazit

Die 4. EU-Geldwäscherichtlinie fordert von Verpflichteten (Kredit- und Finanzinstitute sowie Dienstleister aus dem Nicht-Finanzsektor) eine Intensivierung des risikoorientierten Ansatzes. Jede individuelle Geschäftsbeziehung und Transaktion müssen auf ihr jeweiliges Geldwäscherisiko geprüft werden. Verpflichtete müssen also in der Lage sein, Informationen und Datenströme so zu überwachen, dass Risiken von Geschäftsbeziehungen und Transaktionen zuverlässig erkannt werden. Aufgrund der wachsenden Datenmenge in der digitalisierten Welt muss eine Software automatisiert entscheiden können, welche Risiken wirklich relevant sind und Maßnahmen initiieren, die beispielsweise zu einer zusätzlichen Abklärung oder dem Stopp einer Finanztransaktion führen. In der praktischen Umsetzung hat sich die Risikoprüfung durch Geschäftsregeln in einem Business Rules Management System wie MLDS bewährt. Innerhalb von Sekunden lassen sich Länder auf der Negativliste oder Grenzwerte für Geldflüsse auf bestehende Daten migrieren.

Neue, gesetzlich geforderte Prüfungen von PEPs, Korrespondenzbankbeziehungen, Grenzwerte für E-Geld oder verbundene Transaktionen, die 1.000 EUR nicht überschreiten dürfen, sind in Regelwerken transparent abzubilden. Last but not least bietet eine hohe Transparenz Synergieeffekte im Sinne der Rechtssicherheit für das Unternehmen sowie für den operativen Bereich. Den Kunden und sein Geschäftsverhalten zu erkennen unterstützt Unternehmen bei der Eruierung ihrer Vertriebspotenziale.

Ausblick: 5. EU Geldwäscherichtlinie⁴

Die Europäische Kommission hat im Juli 2016 einen Vorschlag zur Änderung der 4. Geldwäscherichtlinie (EU) 2015/849 veröffentlicht. Wegen der teils substantiellen Änderungen des Anti-Geldwäsche-Instrumentariums wird sie als 5. Geldwäscherichtlinie bezeichnet. Mit diesem Vorschlag wird die 4. Geldwäscherichtlinie geändert und der in der EU geltende präventive Rechtsrahmen um zusätzliche Maßnahmen zur Bekämpfung des Terrorismus und zur Verbesserung der Transparenz von Finanztransaktionen und juristischen Personen ergänzt.

Quellen

¹ Vierte europäische Geldwäsche-Richtlinie (EU) 2015/849, http://eur-lex.europa.eu
² Hans Martin Lang, Jan Noll, Bafin-Journal, Ausgabe Juni 2015, Seite 35 ff, https://www.bafin.de
³ Geldtransfer-Verordnung (EU) 2015/847, http://eur-lex.europa.eu
⁴ Pressemitteilung der Europäischen Kommission, 5. Juli 2016, http://europa.eu