Das Risiko, für Geldwäsche und Terrorismusfinanzierung missbraucht zu werden, ist für die Unternehmen des Finanzsektors nach wie vor hoch, nicht zuletzt wegen der aktuellen Konflikte und geopolitischen Spannungen. Sie müssen sich deswegen schützen. In den vergangenen Jahren hat der von der BaFin beaufsichtigte Finanzsektor in der Geldwäscheprävention und der Bekämpfung von Terrorismusfinanzierung Fortschritte gemacht. Allerdings gibt es immer noch Verbesserungsbedarf. Das zeigen die Prüfungen der BaFin.

Effektive Geldwäscheprävention ist wichtig, aber auch sehr ressourcenintensiv. Sie stellt Unternehmen vor zahlreiche Herausforderungen: Die Regulatorik ist komplex und ihre Umsetzung sehr zeitintensiv. Die Geldwäschebeauftragten nehmen eine Schlüsselfunktion in der Geldwäscheprävention ein und benötigen daher eine starke Position im Unternehmen und die Unterstützung der Geschäftsleitung. Unternehmen brauchen deshalb genügend personelle, sachliche und finanzielle Ressourcen für ihre Geldwäscheprävention.

Geldwäschebeauftragte – Geschäftsleitung in der Pflicht

Geldwäschebeauftragte und ihre Stellvertreterinnen und Stellvertreter übernehmen neben der Geldwäscheprävention oft weitere Aufgaben im Unternehmen, etwa in der Wertpapier-Compliance oder der Rechtsabteilung. Diese Mehrfachaufgaben sind je nach Größe, Geschäftsmodell und Risikosituation des Unternehmens meist unproblematisch und können Synergien schaffen.

In ihren Prüfungen beobachtet die BaFin aber regelmäßig auch, dass Geldwäschebeauftragte ihren geldwäscherechtlichen Aufgaben nicht ausreichend nachkommen können. So werden teilweise Arbeitsrückstände bspw. bei der Bearbeitung der Treffer im Transaktionsmonitoring oder Screening festgestellt oder Verdachtsfälle zu spät bearbeitet und entsprechend Verdachtsmeldungen zu spät abgegeben. Da die Geldwäschebeauftragten oft auch andere Funktionen übernehmen, muss die Organisationseinheit des Geldwäschebeauftragten ausreichend ausgestattet sein.

Die Geschäftsleitung muss die Geldwäscheprävention unterstützen und die personellen Ressourcen in der Geldwäscheprävention ausbauen. In diesem Zusammenhang gilt auch das Prinzip „Tone from the Top“: Die (Compliance-)Kultur muss von den Führungskräften und der Geschäftsleitung vorgelebt werden. Wenn die BaFin etwa bei Stichproben feststellt, dass konkrete Warnungen von Geldwäschebeauftragten zugunsten von potenziellen Ertragsmöglichkeiten unberücksichtigt bleiben, ist das für sie ein klares Zeichen dafür, dass die Geldwäscheprävention im Unternehmen nicht ernst genug genommen wird.

Mängel bei Überwachungshandlungen

Erkenntnisse aus Überwachungshandlungen des oder der Geldwäschebeauftragten bzw. der Geldwäsche-Organisation sind ein elementarer Bestandteil für die Bewertung der Angemessenheit und der Wirksamkeit der Sicherungsmaßnahmen und der Sorgfaltspflichten im Unternehmen. Ausgangspunkt der der Überwachungshandlungen ist ein vollständiger, alle Risiko- und Geschäftsbereiche und Präventionsmaßnahmen umfassender Kontrollplan. Dieser muss die Ergebnisse aus der Risikoanalyse berücksichtigen. Die Überwachungshandlungen selbst müssen entsprechend gestalten, insbesondere bezüglich Kontrollziel, -gegenstand und Turnus.

Häufig deckte der Kontrollplan nicht alle relevanten Geschäftsbereiche und wichtige Themen für die Geldwäsche vollständig ab. Zudem wurde er nicht regelmäßig auf Aktualität überprüft. Die Sonderprüfungen zeigten auch, dass die Überwachungshandlungen teilweise nicht wirksam sind, da der Gegenstand der Kontrolle oder deren Ausführung nicht das Risiko adressieren. Ferner fehlte es oft an einer vollständigen und aussagekräftigen Dokumentation der Überwachungshandlungen.

Risikoanalyse: Bestandsaufnahme nicht immer vollständig

Die BaFin hat festgestellt, dass die Bestandsaufnahme einiger Unternehmen nicht immer vollständig ist. Dabei ist sie der Ausgangspunkt der Risikoanalyse. Um dieser Rolle gerecht zu werden muss sie das Unternehmen umfassend darstellen. Fehlt es an Vollständigkeit leidet die Risikoanalyse, die dann ihre Funktion als Basis für die Identifizierung und Bewertung der Risiken nicht erfüllen kann. Unternehmen müssen deshalb darauf achten, ihre Kunden- und die Produktstruktur detailliert und strukturiert darzustellen.

Ein umfassender Überblick über das Aktionsfeld des Unternehmens erfordert auch, die Organisations- und die Vertriebsstruktur sowie Transaktionen vollständig zu erfassen und Auslagerungen zu berücksichtigen. Die statistischen Daten können im Anhang beigefügt werden.

Keine strukturierte Identifizierung und Bewertung der Risiken

Ein Fokus der Sonderprüfungen lag auf der Methodik zur Identifizierung und Bewertung der Risiken in der Risikoanalyse. Ziel der Risikoanalyse ist nicht, ein möglichst geringes Risiko darzustellen, sondern eine realistische Bewertung der Risiken zu erhalten. Dafür muss die Analyse einer objektiven und strukturierten Vorgehensweise folgen. Nur so kann sie Grundlage für angemessene und wirksame Sicherungsmaßnahmen sein. Oft war in den Prüfungen nicht nachvollziehbar, wie das Unternehmen zu seinen Bewertungen und Ergebnissen kam.

Zur Methodik gehört auch eine geeignete Bewertungsmethode. Die Prüfungen zeigten, dass zur Bewertung der Risiken aus Geldwäsche und Terrorismusfinanzierung oft Faktoren wie „Eintrittswahrscheinlichkeit“ und „Schadenshöhe“ herangezogen wurden. Diese Faktoren sind aber nur relevant für die Bewertung sonstiger strafbarer Handlungen. Zusätzlich wurde häufig das Compliance-Risiko bewertet, also der Schaden, den ein Unternehmen potenziell erleiden kann, wenn es Gesetze oder Vorschriften nicht einhält. Es wurde jedoch nicht das Risiko bewertet, dass das Unternehmen für Geldwäsche oder Terrorismusfinanzierung missbraucht wird.

Die Bewertung der bereits implementierten Sicherungsmaßnahmen kam ebenfalls oft zu kurz. Häufig wurde die Wirksamkeit der Sicherungsmaßnahmen nicht bewertet und damit deren risikomitigierende Wirkung. Vielmehr wird einfach das Vorhandensein einer Sicherungsmaßnahme als ausreichend angesehen.

Unternehmen vermischen Risiken

Die BaFin hat bei den Prüfungen festgestellt, dass die Verpflichteten ihre unternehmensspezifischen Risiken oft nicht klar genug differenzieren. Sie berücksichtigten die Risiken aus Terrorismusfinanzierung entweder gar nicht oder unzureichend. Besonders auffällig war dies, wenn Risiken aus der Geldwäsche und der Terrorismusfinanzierung gemeinsam analysiert und bewertet wurden. Die einzelnen Risiken wurden so nicht gezielt betrachtet. Die BaFin empfiehlt, die jeweiligen Risiken differenziert zu erfassen und die Risikoanalyse in getrennte Abschnitte aufzuteilen.

Auch bei den Maßnahmen differenzierten die Unternehmen nicht ausreichend in der Geldwäscheprävention und der Bekämpfung von Terrorismusfinanzierung. Je nach Geschäftsmodell und Kundenstruktur muss es hier spezifische Maßnahmen geben.

Monitoring Systeme müssen individuell angepasst werden

Kreditinstitute, Zahlungsinstitute und Kapitalverwaltungsgesellschaften müssen Systeme zu Datenverarbeitung einsetzen, um Geschäftsbeziehungen und einzelne Transaktionen im Zahlungsverkehr überwachen. Sie können so mögliche Anzeichen für Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen erkennen. Bei der Überwachung von Transaktionen zur Erkennung von Auffälligkeiten wurden oft unzureichende institutsspezifische Einstellungen – also die Parametrisierung – festgestellt. Regelmäßig deckte das Indizienmodell nicht alle Risikobereiche ab, die die institutsspezifische Risikoanalyse identifiziert hatte.

Relevante Typologien der Financial Intelligence Unit wurden nicht oder unvollständig im Modell berücksichtigt. Zudem bestimmten die Unternehmen Schwellenwerte und Vergleichsgruppen oft nicht mit belastbaren (zum Beispiel statistischen) Methoden, die die Kunden- und Produktstruktur berücksichtigen. Daher ist es wichtig, die Parametrisierung regelmäßig und anlassbezogenen zu validieren.

Die BaFin stellte häufig fest, dass eine lückenlose Dokumentation der regelmäßigen Überprüfung fehlte. Außerdem überprüften die Unternehmen oft nicht die Qualität, Vollständigkeit und Verfügbarkeit der relevanten Daten, die für das Monitoring verwendet werden. In den Prüfungen hat die BaFin zudem festgestellt, dass die Transaktionsmonitoringsysteme Typologien der Terrorismusfinanzierung nicht ausreichend erfassen.

Mängel bei Aufzeichnung und Aufbewahrung

Das Geldwäschegesetz verpflichtet Unternehmen des Finanzsektors, die bei der Erfüllung der Sorgfaltspflichten erhobenen Daten aufzuzeichnen und aufzubewahren. Dies ermöglicht es ihnen, die Angemessenheit der von ihnen ergriffenen Sorgfaltspflichten nachzuweisen und Auskünfte zu erteilen. Die Sonderprüfungen zeigten oft Mängel bei Fotografien von Legitimationsdokumenten. Häufig wurden Fotografien oder sonstige Kopien und Scans von Ausweisdokumenten durch die Kunden selbst elektronisch zur Verfügung gestellt. Das ist unzulässig, wenn die Dokumente nicht vor Ort geprüft wurden. Zudem wurden Kopien oft ohne Herkunfts-Kennzeichnung im System des Unternehmens gespeichert.

Fotografien von vor Ort vorgelegten Ausweisdokumenten sind grundsätzlich zulässig, um der Aufzeichnungs- und Aufbewahrungsverpflichtung nachzukommen. Allerdings muss sichergestellt und nachgewiesen werden, dass keine bereits im Vorfeld erstellte Kopie verwendet und das Dokument tatsächlich vorgelegt wurde. Vor-Ort-Prüfungen haben gezeigt, dass sich hierfür, ein firmeneigenes Aufnahmegerät anbieten kann. Alternativ muss die Aufnahme der Fotografie durch Mitarbeitende des Unternehmens nachvollziehbar dokumentiert werden.