Erster RTS-Entwurf veröffentlicht / Warnpflicht bei Geldwäsche? / Haftungsrisiko bei Kundenbetrug
Erster RTS-Entwurf veröffentlicht / Warnpflicht bei Geldwäsche? / Haftungsrisiko bei Kundenbetrug
Eine ganze Reihe an Maßnahmen lassen erahnen, in welche Richtung die Vereinigten Staaten zukünftig steuern werden.
So hat das US-Finanzministerium angekündigt, die Durchsetzung des Corporate Transparency Act (CTA) für US-Bürger und inländische Unternehmen auszusetzen. Strafen und Bußgelder für Verstöße gegen die Meldepflicht zu wirtschaftlich Berechtigten werden nicht mehr verhängt. Künftig soll die Regelung nur noch für ausländische Unternehmen gelten.
Weiter kritisiert US-Präsident Donald Trump den Foreign Corrupt Practices Act (FCPA) mit der Begründung, er schade amerikanischen Unternehmen im internationalen Wettbewerb. Der FCPA verbietet US-Firmen die Bestechung ausländischer Amtsträger, um Geschäftsabschlüsse zu sichern.
Auch im Bereich der Sanktionen deuten sich tiefgreifende Veränderungen an. Die aktuellen Reaktionen aus dem Weißen Haus zum Ukraine Krieg zeigen überdeutlich, die Position der Trump-Administration scheint sich fundamental von bisherigen Standpunkten der Vorgängerregierung zu unterscheiden.
America First überall. Die kommenden Monate werden entscheidend sein, um zu beobachten, in welche Richtung sich die Regulierungslandschaft entwickelt. Unternehmen sind gut beraten, proaktiv zu handeln und ihre Compliance-Strukturen an eine sich wandelnde Welt anzupassen – so gut es eben geht.
Abstract: Am 6. März 2025 veröffentlichte die European Banking Authority (EBA) neue Konsultationsentwürfe zu den technischen Regulierungsstandards (RTS) im Rahmen der AML-Verordnung und der 6. EU-Geldwäscherichtlinie. Diese Entwürfe präzisieren die Anforderungen für die Geldwäscheprävention und legen wesentliche regulatorische Maßstäbe fest. Der folgende Beitrag beleuchtet die zentralen Inhalte der RTS, analysiert deren Bedeutung für Verpflichtete und gibt einen Ausblick auf die nächsten Schritte.
Das AML-Paket der Europäischen Union, bestehend aus der AML-Verordnung, der 6. EU-Geldwäscherichtlinie und der AMLA-Verordnung, schafft eine neue regulatorische Grundlage zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung. Zentraler Bestandteil dieser Reform ist die Einführung einheitlicher technischer Regulierungsstandards (RTS), die detaillierte Vorgaben zur Umsetzung der rechtlichen Anforderungen festlegen.
Während die neu gegründete AMLA künftig für die Ausarbeitung dieser Standards zuständig sein wird, hat die Europäische Kommission die EBA beauftragt, vorübergehend die Entwicklung der ersten Entwürfe zu übernehmen. Die nun veröffentlichten Konsultationsentwürfe sind ein entscheidender Schritt auf dem Weg zu einer einheitlichen europäischen Geldwäscheprävention.
Ein zentraler Bestandteil der neuen regulatorischen Rahmenbedingungen ist die risikobasierte Überwachung von Verpflichteten. Intensität und Häufigkeit etwa von „Ermittlungen vor Ort“ sollen sich am Risikoprofil der Verpflichteten orientieren. Die EBA schlägt eine systematische Methodik zur Ermittlung des inhärenten und des verbleibenden Risikos vor.
Diese Methodik umfasst detaillierte Datenpunkte, die von den Aufsichtsbehörden zur Bewertung der Sicherheitsmaßnahmen und zur Risikoeinstufung von Verpflichteten herangezogen werden. Ziel ist es, aus den Datenpunkten ein individuelles Risikoprofil jedes Verpflichteten zu erstellen. Vorgesehen ist eine weitgehend automatisierte Ermittlung des Risikoprofils durch die Aufsichtsbehörden. Ein standardisiertes Formular soll dabei helfen, ein konsistentes Bewertungsverfahren in allen Mitgliedstaaten sicherzustellen.
Sollte der Entwurf in diesem Punkt Bestand haben, kann dies für Verpflichtete eine willkommene Arbeitshilfe darstellen. So werden etwa explizit die Datenpunkte genannt, die zur Ermittlung der Wirksamkeit der Sicherungsmaßnahmen erfasst werden sollen (s. Abschnitt B Annex I).
Erstmals wird mit der AMLA eine EU-weit tätige Aufsichtsbehörde geschaffen, die bestimmte Finanzinstitute direkt beaufsichtigt. Diese Aufgabe kam bisher zwar vereinzelt der EBA zu, allerdings stellte dies keine direkte geldwäscherechtliche Beaufsichtigung von Verpflichteten dar. 40 Kreditinstituten, Finanzinstituten sowie Gruppen von Kredit- und Finanzinstituten sollen nun zukünftig durch die AMLA unmittelbar beaufsichtigt werden (siehe Art. 5 Abs. 2 AMLA-Verordnung). Die Bestimmung dieser Institute erfolgt risikobasiert und mit Bezug auf den geografischen Rahmen, in dem die Unternehmen geschäftlich tätig sind.. Die Auswahl dieser Institute basiert auf zwei wesentlichen Kriterien:
Der Konsultationsentwurf enthält zwei wesentliche Präzisierungen: Erstens schlägt die EBA ein Verfahren zur Bestimmung des Risikoprofils der potenziell betroffenen Verpflichteten vor (siehe Artikel 2 ff. des Entwurfs). Zweitens beinhaltet der Entwurf einen Vorschlag zur Berechnung des Umsatzumfangs bei grenzüberschreitenden Angeboten (siehe Artikel 1 des Entwurfs). Demnach gilt ein Angebot in einem Mitgliedstaat als relevant, wenn entweder die Anzahl der betroffenen Kunden 20.000 übersteigt oder das Transaktionsvolumen die Schwelle von 50.000.000 EUR überschreitet.
Eine der bedeutendsten Änderungen für die Verpflichteten im Rahmen des AML-Pakets betrifft die Neuregelung der Kundensorgfaltspflichten, die bislang in den §§ 10 ff. GwG geregelt sind. In Zukunft werden diese Vorgaben unmittelbar aus der AML-Verordnung abgeleitet, insbesondere aus den Artikeln 24 ff. Ziel dieser Regelung ist vor allem die Vereinheitlichung des KYC-Verfahrens innerhalb der Europäischen Union (siehe Erwägungsgrund 52 der AML-Verordnung). Nach Artikel 28 ist vorgesehen, dass die AMLA weitere Konkretisierungen in Form von Regulatory Technical Standards (RTS) entwickelt, die als „RTS CDD“ (Customer Due Diligence) bezeichnet werden.
Aufs Ganze betrachtet bringt der Entwurf der EBA nur wenig Neues mit sich. Die Artikel 1 bis 4 der RTS CDD enthalten Präzisierungen zu den im Rahmen des KYC-Prozesses zu erfassenden Daten. Daraus kann sich gegebenenfalls ein Anpassungsbedarf bei der Speicherung dieser Daten ergeben. Mit den Bestimmungen zur Fernidentifizierung befasst sich Artikel 6. Dort ist vorgesehen, dass grundsätzlich eIDAS-konforme Verfahren zulässig sind, sofern sie ein Schutzniveau von mindestens „substanziell“ gewährleisten (Art. 6 Abs. 1 RTS CDD). Darüber hinaus ist auch die Nutzung der eID-Wallet zulässig. Eine detaillierte Liste der erforderlichen Datenpunkte findet sich im Anhang des Entwurfs.
Auch weiterhin erlaubt dürfte auch das in Deutschland weit verbreitete Videoidentifizierungsverfahren bleiben, allerdings bleibt der Konsultationsentwurf an dieser Stelle unklar. Alternative Identifizierungsverfahren sollen laut Entwurf nur dann zulässig sein, wenn ein eIDAS-konformes Verfahren nicht verfügbar ist oder „nicht vernünftigerweise erwartet werden kann“ („[…] cannot reasonably be expected to be provided […]“).
Die RTS CDD enthalten zudem Regelungen zu den vereinfachten Sorgfaltspflichten gemäß Artikel 33 der AML-Verordnung. Hier wird festgelegt, welche Mindestdaten bei geringem Risiko einzuholen sind und welche Quellen zur Identifizierung herangezogen werden dürfen (Artt. 18 ff. RTS CDD). Die Erleichterungen für Verpflichtete bei geringem Risiko einer Geschäftsbeziehung sind jedoch unter der AML-Verordnung erheblich eingeschränkt worden. Die RTS CDD tragen hierzu kaum zur Entlastung bei.
Eine wesentliche Erleichterung sieht der Entwurf jedoch im Umgang mit Bestandskunden vor. Mehrere Verpflichtete und Branchenverbände hatten darauf hingewiesen, dass eine vollständige Aktualisierung aller KYC-Daten zum Inkrafttreten der AML-Verordnung wirtschaftlich nicht praktikabel sei. Diesem Anliegen wurde Rechnung getragen, indem Artikel 32 Unterabsatz 2 des Konsultationsentwurfs eine Übergangsfrist vorsieht, die sich nach der Risikobewertung der jeweiligen Geschäftsbeziehung richtet. Da der maximale Zeitraum für die Aktualisierung von Kundendaten künftig fünf Jahre beträgt (Artikel 26 Abs. 2 AML-Verordnung), müssen auch die KYC-Daten von Bestandskunden spätestens innerhalb dieser Frist auf das durch die AML-Verordnung vorgeschriebene Niveau angehoben werden.
Eine inhaltlich neue Verpflichtung betrifft die Verbindung der Bereiche Geldwäsche- und Terrorismusfinanzierungsprävention mit der Umsetzung restriktiver Maßnahmen. Erstmals schreibt die AML-Verordnung vor, dass Verpflichtete sicherstellen müssen, ob ihre Kunden gezielten finanziellen Sanktionen unterliegen. Die RTS CDD konkretisieren hierbei, in welchem Umfang, mit welchen Methoden und zu welchen Zeitpunkten eine Überprüfung auf Sanktionsbetroffenheit erfolgen muss. So soll grundsätzlich der Einsatz automatisierter Screening-Systeme erfolgen, wobei in Ausnahmefällen auch ein manuelles Screening ausreicht (Art. 29 lit. a) RTS CDD). Diese Neuregelung dürfte vor allem für Verpflichtete außerhalb des Finanzsektors von Bedeutung sein. Für Verpflichtete des Finanzsektors bestehen bereits eigene, in der Regel strengere Vorschriften, beispielsweise nach Artikel 5d der SEPA-Verordnung („Instant Payments Regulation“).
Unverständlich bleibt jedoch, dass die EBA bei der Entwicklung der RTS einen „prinzipienorientierten Ansatz“ verfolgt. Dies steht im Widerspruch zum Ziel einer Vereinheitlichung des KYC-Prozesses, wie es in der AML-Verordnung und in den Begründungen der EBA vorgesehen ist.
Der jüngste von der EBA veröffentlichte RTS-Entwurf bezieht sich auf die in Artikel 53 der 6. Geldwäscherichtlinie vorgesehenen Sanktionen, darunter mögliche Geldstrafen, behördliche Maßnahmen der zuständigen Aufsichten sowie wiederkehrende Strafzahlungen bei Verstößen gegen die Vorgaben der AML-Verordnung oder der Geldtransferverordnung. Gemäß Artikel 53 Absatz 10 der 6. Geldwäscherichtlinie ist die AMLA verpflichtet, technische Regulierungsstandards (RTS) zu entwickeln, die Indikatoren zur Einstufung des Schweregrads von Verstößen, Kriterien für die Bemessung von Geldbußen oder die Verhängung verwaltungsrechtlicher Maßnahmen sowie eine Methodik zur Festsetzung von Zwangsgeldern einschließlich ihrer Frequenz definieren.
In ihrem Entwurf hebt die EBA ausdrücklich hervor, dass die derzeitige Handhabung von Sanktionen aus ihrer Sicht erhebliche Defizite aufweist. Demnach verfügen mehr als die Hälfte der zuständigen Aufsichtsbehörden über keine internen Leitlinien zur Verhängung von Bußgeldern. Um diesem Missstand entgegenzuwirken, schlägt die EBA einen detaillierten Kriterienkatalog zur Bewertung insbesondere der Schwere eines Verstoßes vor. Darüber hinaus enthält der Entwurf Regelungen zur Berücksichtigung des Verhaltens der sanktionierten betroffenen Person, beispielsweise hinsichtlich ihres Vorgehens nach Aufdeckung der Verstoßes.
Die EBA nimmt bis zum 6. Juni 2025 Stellungnahmen zu den Entwürfen entgegen. Unternehmen und Verbände sollten diese Gelegenheit nutzen, um Einfluss auf die finalen Regelungen zu nehmen. Nach Abschluss der Konsultationsphase wird die EBA die überarbeiteten Entwürfe der Europäischen Kommission vorlegen, die diese als delegierte Verordnungen verabschieden wird.
Zu den Autoren:
Till Christopher Otto ist Rechtsanwalt bei Annerton am Standort Frankfurt am Main. Er berät allgemein zu regulatorischen Themen insbesondere in den Bereichen KWG, WpHG, ZAG und GwG.
Sebastian Glaab ist Rechtsanwalt und Partner bei Annerton in Frankfurt am Main. Insbesondere in den Themenfeldern Geldwäscheprävention (Herausgeber des GwG-Kommentars „Zentes/Glaab“), Wertpapier-Compliance, MaRisk-Compliance und Sanktionen verfügt er über umfangreiches Wissen und ist aufgrund seiner 12-jährigen Tätigkeit als Compliance-Officer und Geldwäschebeauftragter in einem international tätigen Kreditinstitut bestens mit der Praxis vertraut.
Sebastian Glaab ist regelmäßig Referent bei Fachvorträgen und Veranstaltungen im Finanzumfeld.
Es vergeht kaum ein Monat, in dem nicht über immer höhere Bußgelder berichtet wird, die gegen Banken im Bereich der Geldwäschebekämpfung (AML) und der Bekämpfung der Terrorismusfinanzierung (CFT) verhängt werden. Die Bußgelder gehen oft in die Millionen, selbst wenn der eigentliche Verstoß eher geringfügig zu sein scheint. Aber auch das Gegenteil kann der Fall sein, wenn vergleichsweise schwere Verstöße nicht entsprechend geahndet werden. Die Vorgehensweise der Aufsichtsbehörden bei der Festsetzung von Geldbußen, insbesondere im AML/CTF-Bereich, ist oft alles andere als klar, geschweige denn europaweit harmonisiert.
In einem Bericht der Europäischen Bankenaufsichtsbehörde (EBA) aus Dezember 2024 heißt es daher
Das neue europäische AML-Paket (einen Überblick hierzu finden Sie HIER) sieht vor, dass die neue europäische AML-Behörde (AMLA) diese Probleme durch die Entwicklung von Entwürfen technischer Regulierungsstandards angehen soll, die Folgendes enthalten:
Vor diesem Hintergrund hat die EBA – anstelle der AMLA, die ihre Arbeit noch nicht voll aufgenommen hat – am 6. März 2025 Entwürfe technischer Regulierungsstandards (RTS-Entwurf) veröffentlicht (eine Übersicht zu diesem Entwurf finden Sie HIER).
Nach dem RTS-Entwurf sollen die Aufsichtsbehörden den Schweregrad eines Verstoßes einstufen und den Verstoß auf der Grundlage festgelegter Indikatoren, wie Dauer oder Wiederholung des Verstoßes, Verhalten, das zu dem Verstoß geführt hat, Auswirkungen des Verstoßes usw., in eine von vier Kategorien einordnen:
In der Praxis dürfte ein „Kategorie 4-Verstoß“ insbesondere dann relevant werden, wenn schwache AML/CFT-Systeme es Kriminellen erlauben, Konten beim Verpflichteten zu eröffnen und diese für kriminelle Zwecke ausnutzen.
Das Verschulden soll dagegen keinen Einfluss auf die Kategorisierung eines Verstoßes haben. Vorsätzliches Verhalten kann vielmehr zu einer Erhöhung der Geldbuße führen, sodass das Verschulden erst auf der zweiten Ebene der Festsetzung von Geldbußen eine Rolle spielen soll (hierzu sogleich).
Ein Verstoß in den Kategorien 3 oder 4 gilt automatisch als schwerwiegender, wiederholter oder systematischer Verstoß im Sinne von Artikel 55 AMLD. Die Folgen einer solchen Einstufung sind schwerwiegend:
Die oben genannten Geldbußen stellen aus diversen Gründen eine beträchtliche Verschärfung der derzeitigen Bußgeldrahmen dar:
Trotz des im neuen RTS-Entwurf vorgesehenen Kategorisierungssystems bleiben allerdings zentrale Fragen offen. Zunächst führt Artikel 55 AMLD 6 nur zu einer Anhebung der Höchstgeldbuße, nicht aber auch der Mindestgeldbußen. Der Ermessensspielraum der Aufsichtsbehörden vergrößert sich damit sogar. Zudem enthält der RTS-Entwurf keinerlei Vorgaben zur Behandlung von Verstößen der Kategorien 1 und 2.
Der RTS-Entwurf legt zudem Indikatoren fest, die sich positiv oder negativ auf eine Geldbuße auswirken sollen.
Eine vorgesehene Geldbuße verringert sich unter anderem, wenn die verantwortliche natürliche oder juristische Person
Umgekehrt erhöht sich die vorgesehene Geldbuße unter anderem dann, wenn die verantwortliche natürliche oder juristische Person
Diese Kriterien unterstreichen die Bedeutung einer unverzüglichen und transparenten Reaktion auf Verstöße gegen die geldwäscherechtliche Bestimmungen und anschließender interner Untersuchungen bzw. „Lessons Learned“-Übungen. Eine starke Risikokultur (siehe hierzu auch den Entwurf des EZB-Leitfadens zu Governance und Risikokultur) zielt daher nicht nur auf die Verhinderung von Verstößen ab, sondern kann auch zu geringeren Geldbußen im Zusammenhang mit aufgedeckten Verstößen beitragen.
Ebenfalls im Rahmen der Bußgeldbemessung zu berücksichtigen ist der Verschuldensgrad, der aus dem Verstoß gezogene Nutzen sowie die Schäden, die Dritten durch den Verstoß entstanden sind. Eine dem § 17 Abs. 2 OWiG entsprechende Halbierung des Bußgeldrahmens für fahrlässiges Verhalten fehlt allerdings.
Darüber hinaus soll auch die finanzielle Leistungsfähigkeit des Verpflichteten berücksichtigt werden, wobei die Aufsichtsbehörden u.a. auf den jährlichen Umsatz abstellen sollen. Anders als beim Bußgeldrahmen bleibt allerdings offen, was dies konkret bedeutet. Jedenfalls bei Banken stellen einzelne europäische Aufsichtsbehörden insoweit beispielsweise auf das aufsichtsrechtliche Eigenkapital des Verpflichteten ab und beschränken Geldbußen auf den aufsichtsrechtlichen Kapitalpuffer. Vergleichbare Ansätze fehlen im RTS-Entwurf.
Zwangsgelder (periodic penalty payments) sind dem deutschen Verwaltungsvollstreckungsrecht schon lange bekannt. § 11 Abs. 1 VwVG sieht vor, dass, wenn eine Handlung durch einen anderen nicht vorgenommen werden kann und sie nur vom Willen des Pflichtigen abhängt, so kann der Pflichtige zur Vornahme der Handlung durch ein Zwangsgeld angehalten werden. § 17 FinDAG sieht für von der BaFin beaufsichtigte Verpflichtete ein noch weiteres Handlungsspektrum vor, insb. die Möglichkeit Zwangsmittel „für jeden Fall der Nichtbefolgung anzudrohen“.
Im europäischen Recht waren Zwangsgelder dagegen lange Zeit unbekannt, entwickeln sich aber zunehmend zu einem aktiven Aufsichtsinstrument, insb. für die EZB. Für den Fall, dass die Verpflichteten den verwaltungsrechtlichen Maßnahmen nicht innerhalb der gesetzten Frist nachkommen, werden die Zwangsgelder als ein Instrument angesehen, „um den Druck auf die Verpflichteten zu erhöhen, damit sie die Vorschriften unverzüglich wieder einhalten“.
Der RTS-Entwurf legt in diesem Zusammenhang nun fest, dass
Es wird einige Zeit dauern, bis die oben vorgeschlagenen Kriterien in der Praxis angewendet werden: Der RTS-Entwurf ist Teil einer EBA-Konsultation, auf die Interessierte bis zum 6. Juni 2025 reagieren können.
Die RTS-Entwürfe werden der Kommission bis zum 10. Juli 2026 vorgelegt. Die AMLD 6 selbst muss bis zum 10. Juli 2027 in nationales Recht umgesetzt werden; zu diesem Zeitpunkt werden auch die RTS-Entwürfe in Kraft treten. Nichtsdestotrotz senden die RTS-Entwürfe bereits jetzt eine klare Botschaft, dass Verpflichtete gut beraten sind, die AML/CFT-Anforderungen zu erfüllen.
Über die Autoren:
Jan Struckmann ist Principal Associate bei Freshfields Bruckhaus Deringer in Frankfurt am Main und spezialisiert auf die Beratung in den Bereichen financial regulation, capital markets law, corporate law and M&A in the financial sector. Ein besonderer Fokus seiner Tätigkeit liegt auf der Prävention und Aufarbeitung wirtschaftskrimineller Sachverhalte. Neben seiner anwaltlichen Praxis publiziert er regelmäßig zu Compliance- und Haftungsthemen.
Alicia Isabelle Hildner ist Counsel bei Freshfields Bruckhaus Deringer in Frankfurt am Main. Frau Hildner berät insb. Finanzinstitute in allen Aspekten des Regulierungsrechts, Hierzu gehört insbesondere die Betreuung von FinTech-Unternehmen wie Neo-Broker, E-Geld-Institutionen und Zahlungsdienstleistern in allen Aspekten ihrer Geschäftsmodelle, einschließlich Lizenzanforderungen, Finanzierungsrunden, Governance-Fragen und fortlaufende regulatorische Anforderungen.
Frau Hildner veröffentlicht regelmäßig Artikel und hält Präsentationen unter anderem in den Bereichen Zahlungsdienste und Geldwäscherecht.
In der BaFin Veröffentlichung: „Geldwäscheprävention: Erfahrungen aus Sonderprüfungen“ vom 13.01.2025 findet sich die klare Anforderung, die Bewertung der Terrorismusfinanzierung zu stärken.
In dem dortigen Abschnitt „Unternehmen vermischen Risiken“ befindet sich der Satz:
„Sie berücksichtigten die Risiken aus Terrorismusfinanzierung entweder gar nicht oder unzureichend. Besonders auffällig war dies, wenn Risiken aus der Geldwäsche und der Terrorismusfinanzierung gemeinsam analysiert und bewertet wurden.“
Derartige Anforderungen finden sich auch in dem BaFin-Beitrag „Terrorismusfinanzierung im Fokus” vom 06.02.2025.
Die Grundlagen dazu sind auch in den Unterlagen der UNODC und der FATF zu finden. Obwohl diese Unterlagen schon etwas älter sind, zeigen sie doch den Hintergrund dieser Anforderungen sehr gut auf.
Daraus leitet sich der klare Fokus ab, dass in Zukunft die Terrorismusfinanzierung, sowohl im Rahmen der Risikoanalyse als auch in der Risikobewertung, gesondert dargestellt werden muss. Damit ergeben sich eine Reihe von Fragen, auf die weiter unten näher eingegangen wird:
Anhand eigener persönlicher Erfahrungen des Autors sollen diese Fragen erörtert werden.
Es spricht einiges dafür, diese Frage mit einem klaren JA zu beantworten.
In der Risikoanalyse sollte der Verpflichtete daher zumindest eine separate Bewertung oder sogar jeweils eigene Unterkapitel für die Unterteilung der Bewertung von Risiken in Geldwäsche und Terrorismusfinanzierung erstellen. Von einer echten „Doppelung“ der Risikoanalyse ist eher abzuraten, da zu viele Teile redundant wären.
Als Ergebnis wird dann auch eine Kunden- (und auch Partner-) Risikobewertung (neben der Geldwäsche-Risikobewertung) für ein Terrorismusfinanzierungsrisiko zur Verfügung stehen.
Dabei ist die verwendete Methodik immer analog zum Geldwäscherisiko im Rahmen der bestehenden Risikoanalyse.
Diese Frage stellt sich vor allem in Verbindung mit der Frage nach den Daten-Quellen. Heute stehen leider relativ wenige Informationen, die quantitativ ein gewertet werden können, überhaupt zur Verfügung. Daher wäre ein Ansatz, erst einmal zu untersuchen welche (quantitativen) Informationen aus welchen (unabhängigen) Quellen überhaupt zur Verfügung stehen, und dann zu sehen, welche Informationen vom Kunden erlangt werden können, bevor versucht wird, diese in die Risikoanalyse (und in die spätere Bewertung) zu integrieren.
Hierbei gilt es zu beachten, dass sich der Fokus der allermeisten Veröffentlichungen auf den islamistischen Terror bezieht. Das Thema rechts- bzw. linksradikaler Terror wird meistens nicht oder nur sehr unzureichend dargestellt. Gerade bei Rechts-/Links-Terror ist dabei die fehlende Unterscheidung zwischen Extremismus und Terrorismus ein Thema. Wobei – laut Regulatorik – ausschließlich der Terrorismus im Fokus steht.
In der Summe besteht daher kein Bedarf für Risikofaktoren (Felder) außerhalb derjenigen, die bisher schon im Fokus standen.
Diese sind insbesondere:
Diese Frage ist eine der Kern-Herausforderungen und zieht sich durch die gesamte Thematik.
Im Rahmen der Risikoanalyse wird eine Bewertung der Datenquelle selbst benötigt, mit der Ableitung auf welche Risikoliste sich das jeweils bezieht. Weiterhin muss bewertet werden, ob und mit welchem Gewicht diese Datenquelle als Indikator (somit als Spalten-Überschrift) in die Risikobewertung dieser Liste Eingang findet. Im letzten Schritt wird dann bestimmt, welches Gewicht die beiden Risiken AML und CTF (basierend auf dem Risiko Wert der Liste) auf das Einzel-Risiko haben.
Dies soll anhand von ein paar Beispielen dargestellt werden.
Der „Global Terrorism Index“ des IEP kann als Indikator für das CTF Länder Risiko verwendet werden. Im Geldwäscheumfeld wird diese Information allerdings keinen Einfluss (kein Gewicht) haben, während z.B. der Basler AML Index sich ausschließlich auf das Geldwäscherisiko auswirken wird und nicht bei der Terrorismusfinanzierung.
Als Resultat erhält man – je Land – nachher ein eigenes Geldwäsche- und ein Terrorismusfinanzierungsrisiko erhalten, welches dann bei der Berechnung des jeweiligen Kundenrisikos berücksichtigt werden muss.
In einen solchen Fall ist die Welt noch relativ einfach, da a) eine einfache, eindeutige Schlüsselangabe (der Ländercode) und b) eine quantitative Information vorliegen, welche „nur“ noch in die eigene Bewertungswelt umgerechnet werden muss.
Im anderen Fall wird die Welt noch deutlich komplexer. In vielen Berichten findet sich a) keine wirkliche Abgrenzung zwischen Geldwäsche und Terrorismusfinanzierung und b) keine „echten“ quantitativen Aussagen und c) keine einheitlichen Kataloge, auf die man sich beziehen kann.
Ein Beispiel hierfür sind die Lagebildanalysen des deutschen Bundeskriminalamts (BKA), in denen sich viele Informationen z.B. zu Risikobranchen finden, aber leider kein echter Bezug zu einen verwendbaren Branchenschlüssel. Außerdem sind diese Informationen in Fließtext untergebracht, der sich nicht einfach strukturieren lässt.
Im Wesentlichen müssen die gleichen Verfahren, welche für die Einwertung des Geldwäscherisiko verwendet wurden, ebenfalls für das Terrorismusfinanzierungsrisiko verwendet werden. Dabei ist darauf zu achten, dass jeweils 2 separate Risiken bewertetet werden und das auch nachvollziehbar dargestellt ist.
Am Ende kommt dann z.B. eine Darstellung in der Form heraus:
| Risikoliste | Indikator | Quelle | AML Gewicht | CTF Gewicht |
| Länderrisiko | … | |||
| Basel AML Index | Basel Governance | 1 | 0 | |
| Global Terrorism Index | IEP | 0 | 3 | |
| … | ||||
| Branchenrisiko | … |
Das gezeigte Gewicht (AML bzw. CTF) stellt dabei – als Multiplikator – ein Beispiel dar. Dieser Multiplikator muss institutsspezifisch definiert werden und obliegt keiner zwingenden Skala.
Folgende Darstellung würde sich auf Ebene des Kunden- bzw. Partner-Risiko anbieten, wobei die gezeigten Werte individuell angepasst werden müssen:
| Risikofaktor | Risikoliste | Natürliche Person | Juristische Person | Partner Institut | |||
| AML | CTF | AML | CTF | AML | CTF | ||
| Wohnort/Sitz | Länderliste | 1 | 1 | 2 | 1 | 2 | 2 |
| Staatsangehörigkeit | Länderliste | 1 | 2 | ||||
| … | Länderliste | ||||||
| Branche | Branchenliste | 1 | 1 | 1 | 0 | ||
| Beruf | Berufsliste | 1 | 1 | ||||
Im finalen Schritt muss sichergestellt werden, dass die oben dargestellte Konfiguration auch im eigenen technischen Risikomodell je Kunden Typ implementiert werden kann, damit sowohl ein Geldwäsche- als auch ein Terrorismusfinanzierungsrisiko je Kunde/Partner bewertet werden kann. Schließlich hat dies in einer Form zu geschehen, die es einem Auditor ermöglicht, die Bewertung nachzuvollziehen.
Das vorher errechnete Terrorismusfinanzierungsrisiko wird ebenfalls im Transaktions-Monitoring benötigt. Hintergrund ist die Notwendigkeit a) eigene Szenarien für Geldwäsche und Terrorismusfinanzierung abbilden und b) separate goAML Meldungen dafür erstellen zu können.
Dabei ist wesentlich, dass es zwar eine Reihe von Szenarien mit Überlappung gibt, aber auch einige, welche spezifisch sind. So kann z.B. eine Spendenstruktur relevant sein für Terrorismusfinanzierung, aber wohl weniger für Geldwäsche.
Aufgrund der Veröffentlichungen der Regulatoren ist zu befürchten, dass dieses Thema ein neuer Fokus im Rahmen der kommenden Prüfungen werden wird. Hierauf gilt es sich gut vorzubereiten.
Derzeit wird die Risikoanalyse bei vielen Instituten – auf Grund des hohen Aufwandes – nur einmal im Jahr aktualisiert, obwohl die anlassbezogene Aktualisierung bereits vorgeschrieben ist.
Es zeigt sich auch, dass die Risikoanalyse sich wohl immer mehr zum „lebenden“ Dokument entwickelt wird und nicht mehr „nur“ einmal im Jahr für die kommende Prüfung aktualisiert werden sollte.
Somit wird ein Prozess benötigt der beschreibt: was sind alles Anlässe, die eine Aktualisierung der Risikoanalyse zur Folge habe; welche Kapitel sind von dem jeweiligen Anlass betroffen und welche Statistiken im Anhang müssen dabei aktualisiert werden. Damit können dann auch einige Prozessschritte (teil-)automatisiert werden, um den Aufwand in Grenzen zu halten.
Trotzdem sind immer noch eine ganze Reihe von Fragen offen:
Diese Fragestellungen gilt es zu diskutieren. Sollten Sie hierzu Anmerkungen haben, freut sich der Autor über eine Mitteilung unter: frank@moser-karben.de
Der Autor:
Frank Moser ist derzeit als Produkt Manager bei der Firma GFT Software Solutions GmbH tätig und dort u.a. der Spezialist für die regulatorische Beobachtung und Analyse. Er arbeitet bereits seit mehr als 15 Jahren in der Branche bei verschiedenen Software-Anbietern und Beratern.
| (Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Dann können Sie sich hier für unseren Newsletter anmelden – kostenlos und unverbindlich) |
| (Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Dann können Sie sich hier für unseren Newsletter anmelden – kostenlos und unverbindlich) |
Besteht für an Transaktionen im Zahlungsverkehr beteiligten Banken eine Warnpflicht bei einem Geldwäscheverdacht? In einem Fall, den das Saarländische Oberlandesgericht Saarbrücken in seiner Entscheidung vom 29. Februar 2024 zu klären hatte, ging es darum, ob Banken andere Banken warnen müssen, wenn sie einen Verdacht auf Geldwäsche in Bezug auf eine Transaktion haben? Weiter ist das Gericht der Frage nachgegangen, ob eine Bank haftbar gemacht werden kann, wenn diese bei einer Geldwäscheverdachtsmeldung keine Warnung an die überweisende Bank weitergibt. Diese Fragen sind von hoher praktischer Bedeutung, da ein Informationsaustausch in diesen Fällen häufig mehr Klarheit bringen und Vermögensschäden verhindern könnte.
Die Klägerin in dem Verfahren vor dem Saarländischen Oberlandesgericht verlangte von einer Bank Schadensersatz in Höhe von 850.000 €, weil sie im Jahr 2018 eine erhebliche Summe auf das Geschäftskonto einer Firma überwiesen hatte, die verdächtige Transaktionen ausführte. Im Wesentlichen argumentierte die Klägerin, dass die Bank aufgrund eines bestehenden Geldwäscheverdachts verpflichtet gewesen wäre, sie sowie die überweisende Bank zu warnen und das verdächtige Konto zu schließen. Die Bank widersprach dem Bestehen einer Warnpflicht bei Geldwäscheverdacht und betonte, dass es keine ausreichenden Hinweise für einen Betrugsfall gegeben habe.
Das Gericht entschied, dass die Bank keine Pflichten verletzt habe, da die bestehenden Verdachtsmomente auf Geldwäsche nicht ausgereicht hätten, um eine Warnpflicht gegenüber der überweisenden Bank oder der Klägerin auszulösen. Die Bank war gemäß den geltenden Vorschriften des Geldwäschegesetzes (GwG) zwar verpflichtet, Verdachtsfälle zu melden, jedoch bestand keine zusätzliche Pflicht, andere Banken oder die betroffenen Kunden zu warnen. In der Entscheidung betont das Gericht, dass eine Bank im Interbankenverkehr grundsätzlich keine umfassende Überwachungspflicht hat, die sie zu einem Eingreifen bei Transaktionen anderer Banken zwingt.
In Deutschland regelt das Geldwäschegesetz (GwG) die Pflichten zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung. Insbesondere Banken sind verpflichtet, Verdachtsmeldungen bei der zuständigen Financial Intelligence Unit (FIU) einzureichen, wenn sie verdächtige Transaktionen feststellen. Das Gesetz sieht jedoch keine explizite Pflicht vor, andere Banken über einen Geldwäscheverdacht zu informieren. Vielmehr müssen Banken im Fall eines Verdachts auf illegale Aktivitäten auf eigene Initiative handeln und die relevanten Behörden einschalten, ohne die beteiligten Parteien zu informieren, um nicht selbst gegen das Gesetz zu verstoßen.
§ 47 GwG stellt klar, dass eine Bank zur Geheimhaltung verpflichtet ist, wenn sie Verdachtsmeldungen zu Geldwäschefällen erstattet. Die Informationsweitergabe an Dritte, einschließlich anderer Banken, ist grundsätzlich untersagt, um die Tat nicht zu vereiteln und die Ermittlungen nicht zu gefährden. Dies bedeutet, dass Banken andere Institute nicht warnen dürfen, wenn sie einen Verdacht auf Geldwäsche haben, da dies den Ermittlungsprozess und die Wahrung der Geheimhaltungspflichten gefährden könnte.
In der Praxis führt dies zu einem Spannungsverhältnis: Einerseits müssen Banken zur Prävention von Finanzkriminalität aktiv werden, andererseits dürfen sie in keinem Fall selbstständig Informationen weitergeben, die die Ermittlungen beeinträchtigen könnten.
§ 47 GwG regelt im Allgemeinen, dass eine Bank zur Geheimhaltung verpflichtet ist und keine Informationen über Verdachtsfälle an Dritte weitergeben darf. Es gibt jedoch auch Ausnahmetatbestände, die es Banken unter bestimmten Bedingungen erlauben, Informationen weiterzugeben.
§ 47 Abs. 2 Nr. 1 GwG beschreibt diese Ausnahmen. So dürfen Banken in Fällen, in denen eine rechtliche Verpflichtung zur Weitergabe besteht, Informationen über Verdachtsmeldungen weitergeben, insbesondere wenn die Ermittlungsbehörden oder andere zuständige Behörden dies verlangen. Eine Bank könnte also Informationen an eine andere Bank weitergeben, wenn dies im Rahmen einer behördlichen Untersuchung oder aufgrund einer Anordnung der Aufsichtsbehörden erforderlich ist.
Darüber hinaus ermöglicht u.a. § 47 Abs. 2 Nr. 5 GwG auch eine Weitergabe von Informationen im Einzelfall. Bestimmte Verpflichtete, wie Banken, dürfen sich untereinander in Fällen austauschen, die sich auf denselben Vertragspartner und auf dieselbe Transaktion beziehen, an der zwei oder mehr dieser Verpflichteten beteiligt sind. Dieser Austausch erfolgt jedoch ebenfalls unter strengen Datenschutzvorkehrungen und ist nur für den Einzelfall erlaubt.
Dennoch bleibt festzuhalten, dass diese Ausnahmen nur sehr eingeschränkte Möglichkeiten bieten und und vorallem keine umfassende Warnpflicht gegenüber anderen Banken begründen. Es bedarf entweder einer behördlichen Anordnung oder einer spezifischen rechtlichen Grundlage für eine solche Informationsweitergabe.
Neben den rechtlichen Bestimmungen des Geldwäschegesetzes ist auch das Bankgeheimnis ein wichtiger Aspekt, der eine Warnpflicht gegenüber anderen Banken problematisch macht. Das Bankgeheimnis schützt die Privatsphäre der Bankkunden und verpflichtet Banken zur Verschwiegenheit über die finanziellen Angelegenheiten ihrer Kunden. Eine Offenlegung von Bankdaten ohne ausdrückliche Zustimmung des Kunden oder ohne eine gesetzliche Verpflichtung ist grundsätzlich untersagt.
Trotz dieser rechtlichen Beschränkungen arbeiten Banken und Sparkassen im Bereich der Kriminalitätsprävention häufig zusammen, um vermögensschädigende Aktivitäten zu begegnen. Diese Kooperationen ermöglichen es den Banken, in einem kontrollierten und begrenzten Rahmen Informationen auszutauschen, ohne gegen das Bankgeheimnis oder das Geldwäschegesetz zu verstoßen.
Die Zusammenarbeit erfolgt in der Regel über interne Systeme, die es Banken erlauben, potenziell verdächtige Aktivitäten zu erkennen und darauf zu reagieren. Dazu gehört auch die Nutzung von technologischen Lösungen zur Erkennung und Meldung von verdächtigen Transaktionen. Banken können dabei auf Softwarelösungen zurückgreifen, die auf Basis von Algorithmen verdächtige Transaktionen identifizieren und automatisch melden, ohne dass eine manuelle Weitergabe von Informationen erforderlich ist. Diese technologischen Instrumente tragen dazu bei, den Austausch von Informationen innerhalb des rechtlichen Rahmens zu ermöglichen.
Ein weiteres wichtiges Element der Kooperation ist die Zusammenarbeit mit Aufsichtsbehörden und anderen Institutionen, die den Banken bei der Überwachung und Bekämpfung von Finanzkriminalität helfen. Banken und Sparkassen arbeiten oft mit nationalen und internationalen Aufsichtsbehörden zusammen, um sicherzustellen, dass ihre Maßnahmen zur Geldwäscheprävention den gesetzlichen Anforderungen entsprechen und gleichzeitig eine effektive Überwachung und Prävention von kriminellen Aktivitäten gewährleisten. In Deutschland bestehen jedoch nur sehr begrenzte Möglichkeiten zum Informationsaustausch mit Behörden.
Im Bereich der Geldwäschebekämpfung sind gemeinschaftliche Plattformen und Netzwerke von besonderer Bedeutung. Banken und Finanzinstitute nutzen solche Plattformen, um Verdachtsfälle auszutauschen und gemeinsam zu handeln. Ein Beispiel hierfür ist die Anti Financial Crime Alliance (AFCA), ein sog. Public Private Partnership.
Diese Netzwerke bieten jedoch in der Regel nur einen Rahmen, in dem Banken Informationen anonymisieren und nach den gesetzlichen Vorgaben austauschen können, ohne direkt Bankdaten preiszugeben. Auf diese Weise wird das Risiko minimiert, dass Banken durch eine unzulässige Weitergabe von Informationen gegen das Bankgeheimnis oder andere Datenschutzbestimmungen verstoßen.
Neben den rechtlichen und regulatorischen Aspekten spielen auch geschäftspolitische Überlegungen eine wichtige Rolle. Banken haben ein berechtigtes Interesse daran, ihr Geschäft und ihren Ruf zu schützen. Die Zusammenarbeit im Bereich der Geldwäscheprävention ist für die meisten Banken daher nicht nur eine gesetzliche Verpflichtung, sondern auch ein strategisches Mittel, um Vertrauen zu schaffen und Kundengelder zu sichern. Banken sind sich bewusst, dass die Nichtbeachtung von Vorschriften zur Geldwäscheprävention nicht nur rechtliche Konsequenzen, sondern auch langfristige Reputationsschäden nach sich ziehen kann.
Es ist auch zu berücksichtigen, dass Banken durch partnerschaftliche Kooperationen mit Aufsichtsbehörden und anderen Finanzinstituten das Risiko reduzieren können, selbst Opfer von Betrug und Geldwäsche zu werden. Durch den Austausch von Informationen über potenzielle Risiken und Schwachstellen in der Abwicklung von Transaktionen können Banken nicht nur rechtlichen Konsequenzen entgehen, sondern auch ihren Ruf als vertrauenswürdige Finanzinstitute sichern.
Schließlich können solche Kooperationen dazu beitragen, die Effizienz der Geldwäscheprävention zu steigern und Aufwand sowie Kosten zu reduzieren.
Banken sind nicht gesetzlich verpflichtet, andere Banken bei Verdacht auf Geldwäsche zu warnen. Aus rechtlicher Sicht verbieten sowohl das Bankgeheimnis als auch das Geldwäschegesetz eine unbefugte Weitergabe von Informationen über Verdachtsfälle an Banken, die nicht an den betreffenden Transaktionen beteiligt sind. Banken sind verpflichtet, Verdachtsmeldungen an die zuständigen Behörden (FIU) weiterzuleiten, jedoch nicht an andere Banken.
Trotz dieser Beschränkungen gibt es verschiedene Kooperationsmodelle und technologische Lösungen, die den Informationsaustausch innerhalb des rechtlichen Rahmens ermöglichen und somit die Zusammenarbeit zur Prävention von Finanzkriminalität fördern. Banken und Sparkassen arbeiten in vielen Fällen im Bereich der Geldwäschebekämpfung zusammen, um Risiken zu minimieren und die gesetzlichen Vorschriften zu erfüllen. Geschäftspolitische Erwägungen, wie der Schutz des eigenen Rufes und die Sicherung von Kundenvertrauen, spielen dabei eine wichtige Rolle.
Insgesamt zeigt sich, dass Banken eine Verantwortung in der Geldwäscheprävention tragen, diese jedoch nicht ohne weiteres an Dritte weitergeben dürfen. Der gesetzliche Rahmen in § 47 GwG sieht unter bestimmten Umständen Ausnahmen vor, die es den Banken ermöglichen, Informationen zu teilen, jedoch immer unter den strengen Voraussetzungen der Geheimhaltung und mit dem Ziel der Bekämpfung von Geldwäsche und Finanzkriminalität.
| (Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Dann können Sie sich hier für unseren Newsletter anmelden – kostenlos und unverbindlich) |
Betrug boomt. Das ist nicht nur ein Gefühl. Schäden durch Betrug haben sich in den letzten Jahren vervielfacht. Allein die Verluste durch Online-Scam werden mittlerweile auf mehr als eine Billion (nein, es ist kein Übersetzungsfehler) US-Dollar weltweit geschätzt[1].
Das Problem Betrug betrifft dabei nicht nur Finanzdienstleister: e-Commerce, ÖPNV (Deutschlandticket), Energieanbieter (Ladesäulen für E-Autos), Telekommunikationsanbieter – praktisch jeder Service wird angegriffen. Finanzdienstleister sind jedoch Ansprechpartner, werden von Endkunden als Verantwortliche wahrgenommen[2] und sind mit dem Produkt “Geld” das attraktivste Ziel.
Durch die Veränderung der Infrastruktur hat sich die Zahl der potenziellen Angreifer / Opfer vervielfacht: Die wohlhabenden Schichten aller Nationen sind erreichbar geworden. Die Veränderungen in den Tätergruppen sorgen für eine schnelle Professionalisierung, gleichzeitig werden durch die hohe Anzahl an neuen Tätern mehr Prozesse auf Lücken getestet. Der Einsatz neuer Technik dient vor allem der Skalierung und der Eliminierung von Fehlern.
Dabei ist Europa noch gar nicht im Fokus der Täter. Die Sprachenvielfalt und EU-weite Sicherungsmaßnahmen (z.B. starke KYC-Verfahren, Multi-Faktor-Identifizierungen bei Zahlungen ) sorgen dafür, dass wir immer noch einen Vorlauf vor neuen Trends haben. “America first” gilt auch für die Betrüger[7]. Der zeitliche Vorlauf schmilzt jedoch und neue Angriffspunkte werden von nationalen Tätergruppen schnell adaptiert.
Wirklich neue Betrugsmuster sehen wir im Finanzsektor bisher kaum. Wir sprechen immer noch über Identitätsbetrug und -übernahme, Account Takeover, den Missbrauch gestohlener Zahlungsmittel, Lastschriftbetrug, in den USA zusätzlich von Scheckreiterei – und natürlich vom direkten Betrug am Kunden, der zu Zahlungen verleitet wird (Authorized Pushed Payment). Auch dabei sind es weitgehend die alten Ideen: Investment Fraud und Romance Scam sind die am schnellsten wachsenden Betrugsarten. Die einzelnen Modi Operandi, also das konkrete Tatvorgehen, verändert sich dagegen schnell[8].
Digitale Lösegeld- oder Schutzgelderpressung war aufgrund der technischen Komplexität der Vorbereitung lange Zeit auf Firmen ausgerichtet, die Beträge zahlen konnten, die den Aufwand rechtfertigten. Mit Sextortion, vorgetäuschten Entführungen[9], Cyber-Kidnapping[10] u.ä. sind digitale Varianten von Schwerverbrechen im Kommen, die auf Einzelpersonen ausgerichtet sind. Beunruhigend ist auch, dass verschiedene Kontaktwege kombiniert werden, um die Opfer in Sicherheit zu wiegen. In einfachen Varianten sind dies Briefe[11] oder Postwurfsendungen, doch gibt es zumindest im asiatischen Raum bereits Services für den Versand von Geschenkboxen zur Unterstützung von Romance Scam und selbst der Besuch der vermeintlichen Traumfrau kann bei wohlhabenden Opfern Teil des Betrugs sein.
In einem kleinen Test konnten wir ein zumindest dreistufiges Verfahren erkennen:
Die maschinellen Komponenten waren im Test noch gut erkennbar. Absehbar ist, dass die Vorqualifizierung von Opfern für Romance- und Investmentbetrug über KI-Modelle erfolgen, die nicht mehr von einem menschlichen Gesprächspartner zu unterscheiden sind. Emotionale Reaktionen und lokale Akzente sind in aktuellen Anwendungen bereits trainierbar[12].
Verlässliche Zahlen für Betrug gibt es im europäischen Raum kaum[13], was vor allem an der uneinheitlichen Erhebung und fehlenden Meldestellen liegt. Die Schäden sind jedoch immens, allein im deutschsprachigen Raum sind mehr als 12 Milliarden Euro Schaden allein durch Scam realistisch (GASA, The State of Scams in DACH 2023. Die Zahlen lassen sich auf Basis nationaler Schätzungen verifizieren.). Dabei geht es nicht nur um die direkten Verluste. Jede Retail-Bank und nahezu jede Geschäftsbank hat in den letzten zehn Jahren aufgerüstet: Wachsende Abteilungen für Geldwäsche- und Betrugsprävention, Systeme und Analytiker. Der Großteil der Kosten entfällt auf manuelle Prüfungen, Meldungen und die Nachbearbeitung. Die Gesamtkosten der Prävention machen ein Mehrfaches der direkten Schäden aus[14]. Im Gegensatz zur Prävention von Geldwäsche bietet die Betrugsprävention verschiedene Business-Cases: Eingesparte Aufwendungen, Margen aus nicht abgeflossenen Geldern und die Vermeidung direkten Schadens. Die Aufrüstung schwacher Systeme rechnet sich typisch innerhalb von drei bis neun Monaten.
Aktuelle Themen sind in Deutschland die Optimierung gefälschter Unterlagen durch den Einsatz von KI und standardisierter Vorlagen. Vereinzelt durchbrechen Deep-Fake-Marionetten die Video-Identifizierungsverfahren[15]. Das massenhafte Phishing mit geklonten Webseiten von Banken nagt an deren Reputation. Über Identitätsdiebstahl oder -missbrauch eröffnete Konten werden als Vorbereitung zum Kreditbetrug mittelfristig mit Umsätzen bestückt (Bust-Out-Fraud ). Im organisierten Betrug werden vor allem ausländische Strohleute mit Unterlagen zur betrügerischen Kontoeröffnung und Kreditaufnahme ausgestattet, erlangte Finanzierungsgegenstände werden direkt verwertet[16].
Gefährdet ist auch die gewerbliche Finanzierung: Die Schäden sind in Einzelfällen hoch, die Komplexität der Modi Operandi ebenfalls. Die angestrebte Automatisierung im gewerblichen Mengengeschäft ist erst im Aufbau, entsprechend hat aber auch die Betrugsprävention in diesem Bereich noch keinen hohen Reifegrad erreicht. Erste Startups adressieren das Thema (Z.B. www.palturai.com oder www.getmeelo.com), haben jedoch Schwierigkeiten beim Markteintritt.
Besonders kritisch ist die Professionalisierung im Bereich Social Engineering: Vorbereitungszeiten von mehr als sechs Monaten sind häufig und das gegenüber den Kunden aufgebaute Vertrauen der Betrüger ist nur schwer zu durchbrechen. Teilweise erhalten die Opfer Skripte mit vorgefertigten Antworten, um Warnungen von Banken direkt zu begegnen. Die Begleitung von Legitimationsprozessen über einen separaten Kommunikationskanal ermöglicht den Tätern eine plausible Reaktion auf changierende Fragestellungen.
Die EU und in der Folge auch die BaFin haben sich in den vergangenen Jahren zunehmend auf das Thema Geldwäsche fokussiert – jetzt kommt verstärkt die Betrugsprävention. Der Betrug ist als Vortat zwar auch im Geldwäschebereich von Bedeutung, wichtiger für die Richtungskorrektur dürften jedoch die wachsende Anzahl an Beschwerden und die zunehmenden Medienberichte sein.
Die den Schäden folgende Gesetzgebung nimmt in einigen europäischen Ländern (z.B. Niederlande, Frankreich) konkrete Formen an und auch in Brüssel wurde das Thema als wichtig erkannt: Für die Instant Payment Verordnung (Regulation (EU) 2024/886), die Payment Service Directive (PSD3) und die Payment Service Regulation (PSR) ist die Betrugsprävention ein maßgeblicher Treiber.
Derzeit befinden sich sowohl die PSD3 als auch die PSR im Gesetzgebungsprozess der Europäischen Union und sind noch nicht finalisiert. Die Vorschläge werden von den zuständigen EU-Gremien geprüft und diskutiert. Der finale Zeitplan steht noch nicht fest, angenommen wird die Verabschiedung der Gesetzespakete im Herbst.
Hat sich die Instant Payment Verordnung noch mit der Einführung der Verification of Payee[17] begnügt, geht der Entwurf der PSR viel weiter:
Das Ganze bei einer sportlichen Umsetzungsfrist von 12 bzw. 18 Monaten. 18 Monate gelten als allgemeine Umsetzungsfrist. Der Vorschlag zum Aufbau der Datenbank zum Austausch über kompromittierte Konten sieht im letzten Vorschlag eine Frist von 12 Monaten vor.
Werden verfügbare Schutzmaßnahmen nicht genutzt, sieht die PSR konsequent eine Haftung vor, z.B. bei einem ungenügenden Transaktionsmonitoring oder der fehlenden Sperrung betrügerisch genutzten Konten.
Erste Vorstellungen der Auswirkungen solcher Regularien kommen aus Großbritannien: Bereits in der Vorwegnahme der ab Oktober 2024 eingesetzten Haftungsumkehr hat sich die Übernahme von Schäden durch Finanzdienstleister dramatisch verändert: Während in Deutschland ca. 58% der Schäden allein von den Endkunden gezahlt werden, ist dies in Großbritannien nur bei ca. 29% der Fall[18].
Das Gesamtpaket der Anstrengungen zur Eindämmung von Betrug in UK zeigt Wirkung: Die Verification of Payee ist schon lange implementiert. Vereinfachte Regeln zum Datenaustausch, die Anstrengungen der Banken zur Verbesserung der Prävention aufgrund der Haftungsumkehr, die vorbildliche Zusammenarbeit der Polizei mit Unternehmen, die zentrale Erhebung von Daten zu Betrug und die massive Bevölkerungsaufklärung haben die Zunahme der Fallzahlen zumindest im Augenblick gestoppt.
In Australien konnte die Zunahme mit einem massiven Maßnahmenpaket nicht nur gestoppt werden: Fallzahlen und Schäden sind 2024 rückläufig. Der frisch veröffentlichte Report des National Anti-Scam-Centers ist eine Best-Practice-Anleitung für eine nationale Abwehrstrategie unter Einbindung aller Beteiligten.
Interessant wird in Deutschland der Umgang mit dem Spannungsfeld des Tipping-Off-Verbots gemäß § 47 Absatz 1 GWG und der Warnung von Kunden bzw. möglicher Auskunftsbegehren. In der Praxis haben sich bereits Standards etabliert, die der Prävention einen deutlichen Vorrang geben. Warnmeldungen auf Basis erkannter Betrugshandlungen sind zuverlässig, die befürchteten Haftungsfälle aufgrund fehlerhafter Hinweise kommen faktisch nicht vor[19]. Selbst unter sehr kritischen Annahmen dürfte das Verhältnis von verhinderten Schadensfällen zu Schädigungen aufgrund fehlerhafter Meldungen bei größer 1000:1 liegen[20].
Kundenaufklärung, Datenaustausch und die Verbesserung der Zusammenarbeit mit den Strafverfolgungsbehörden sind die großen Themen. Die aktuellen Betrugswellen basieren darauf, dass sich die Täter besser austauschen, Technologien schneller adaptieren und bereit sind zu investieren – Betrug ist als neues Geschäftsfeld von der organisierten Kriminalität erkannt. Bei vielen Finanzdienstleistern wird das Thema erst beim Auftreten von Schadensfällen ernst genommen, dadurch stocken Investitionen und Ressourcen sind chronisch knapp.
Gerade im Datenaustausch liegen enorme Möglichkeiten. Missbräuchlich verwendete Konten, Firmen, Ausweise oder Telefonnummern werden häufig von Marktteilnehmern erkannt, bevor Schäden auftreten – allerdings wird dieses Wissen kaum oder nur über persönliche Kontakte kommuniziert. Instant Payment verschärft das Problem, solange keine automatisierten Netzwerke bestehen, über die auch verkettete Zahlungen identifiziert und aufgehalten werden können[21].
Dass Investitionen sich hier kurz- oder spätestens mittelfristig rechnen, ist keine Frage: Die Einsparung von manuellen Ressourcen in der Bearbeitung von Schadensfällen und die fehlenden Einnahmen aufgrund betrügerisch verfügter Kundengelder bieten valide Business-Cases. Dazu kommen die absehbar erheblichen Aufwendungen bei Inkrafttreten der Haftungsumkehr.
Die proaktive Betrugsprävention wird auch ein Thema für das Marketing werden: Die Erwartung der Kunden ist, dass die Finanzdienstleister etwas gegen den Betrug tun.
Die Betrugsprävention ist in einer rasanten Entwicklung – fachlich und rechtlich. Aktuell haben die Täter einen deutlichen Vorsprung, den es dringend gilt wieder aufzuholen. Wir können dazu aus den Erfahrungen anderer Länder eine Menge lernen. Wichtig ist dafür, die in Deutschland noch immer verbreitete Ansicht aufzugeben, die Opfer seien durchweg dumm oder selbst schuld. Die Täter sind professionell unterwegs und nahezu jeder kann Opfer werden: wir selbst, unsere Kinder und Freunde, unsere Arbeitgeber. Mit der weitgehenden Automatisierung im Mengengeschäft und der Übergabe vieler Tätigkeiten an den Kunden vor allem zur Steigerung der Effektivität sind Prozesse entstanden, die angreifbar sind. Die entstandenen Lücken gilt es jetzt zu schließen.
Der Autor:
Dirk Mayer ist Bankkaufmann und hat das Thema Betrug bei der Eröffnung der ersten reinen Online-Bank in Deutschland für sich entdeckt. Nach seinem Studium zu Governance, Risk und Compliance hat er einen Datenpool zur Verhinderung von Antragsbetrug konzipiert und erfolgreich gestartet. Er arbeitet als Head der Anti-Fraud-Consultants bei RISK IDENT und berät neben Finanzdienstleistern Unternehmen aus dem eCommerce, ÖPNV und Energieversorger. Nebenberuflich hat er das Unternehmen StopCrime gegründet, einen Datenpool zur Warnung vor kompromittierten Konten, dass u.a. ein Transaktionsmonitoring auf einer gemeinsamen Wissensbasis ermöglicht.
Sie erreichen ihn über LinkedIn oder direkt per Mail.
[1] Basel Institute of Governance, Basel AML-Index 2024
[2] Social Market Foundation, It’s a fraudsters world 09.2024
[3] https://www.onlinesicherheit.gv.at/Services/News/Love-Scam-Ueberblick.html, Abruf vom 30.03.2025
[4] u.a. https://www.cfr.org/in-brief/how-myanmar-became-global-center-cyber-scams, 05.2024, Abruf vom 30.03.2025
[5] Europol, Decoding the EU’s most threatening criminal networks, 2024
[6] Ein besonders bekanntes Beispiel sind die Yahoo-Boys, die zwischenzeitlich sogar eine “Univercity” betrieben. Die Anleitung “Refund.SH” in insgesamt 5 Auflagen löste 2021/2022 eine weltweite Welle von Refund-Fraud aus. Für den amerikanischen Markt liegen dezidierte Anleitungen vor, wie betrügerische Kontoeröffnungen bei einzelnen Banken durchgeführt werden können.
[7] Erste Angriffe adressieren englischsprachige Nationen, insb. die USA und Australien. Ebenfalls frühzeitig angegriffen wird China, was nicht nur auf den großen Sprachraum, sondern auch auf die Investitionsbereitschaft chinesischer Triaden zurückzuführen ist. Brasilien, Portugal, Mexico und Argentinien sind die Länder, in denen die Bevölkerung die größten Probleme mit Betrug sieht (15 untersuchte Länder).
[8] Einen schönen Überblick erhält man für den Bereich Payment mit der EBA Fraud Taxonomy, aktuell ist die Version 5 / 06.2024
[9] Missing Persons Scam und direkte Vortäuschung von Entführungen. Lesenswert ist dazu https://www.trendmicro.com/vinfo/it/security/news/cybercrime-and-digital-threats/how-cybercriminals-can-perform-virtual-kidnapping-scams-using-ai-voice-cloning-tools-and-chatgpt, Abruf vom 30.03.2025
[10] Eine Variante von Romance-Baiting Scams, bei dem die Opfer unter Androhung von Straftaten digital isoliert werden
[11] Praktisch alle größeren Banken sind betroffen, sehr bekannt wurden Schreiben im Namen der Commerzbank mit eingedrucktem QR-Code, die zu Phishing-Seiten führten
[12] Ein beeindruckendes Beispiel dafür ist die Seame AI: Miles und Maya sprechen aktuell nur Englisch, bieten aber einen guten Blick auf das, was auf uns zukommt https://www.sesame.com/research/crossing_the_uncanny_valley_of_voice
[13] Natürlich gibt es Quellen, z.B. eba, Report on Payment Fraud 2024, UK Finance, Annual Fraud Report 2024. Mit Ausnahme von UK sind die Zahlen aber kaum vergleichbar. Zahlen aus UK, den USA und Australien geben gute Anhaltspunkte, da dort offizielle Meldestellen bestehen und das Dunkelfeld über Viktimisierungssurveys abgeschätzt werden kann.
[14] Um genauer zu sein: in Deutschland um das 5,37-fache. Forrester Consulting, True Cost of Fraud 2024. Der Wert steigt in den letzten Jahren stark an.
[15] Es handelt sich um Einzelberichte. Insgesamt scheinen die Video-Ident-Verfahren immer noch deutlich sicherer als das Post Ident; hier liegen die Probleme bei den Mitarbeitern.
[16] Berichte von betroffenen Unternehmen im März 2025
[17] Name-IBAN-Abgleich, d.h. bei fehlender ausreichender Übereinstimmung werden Zahlungen ggf. abgelehnt
[18] Die Daten stammen aus einer Grafik, die exakten Prozentzahlen waren nicht angegeben und können daher geringfügig differieren: Social Market Foundation, It’s a fraudsterss world 09.2024
[19] Vgl. Zahlen der Schufa zu Beschwerdefällen des Fraud Prevention Pool, Warnungen der FinanzApp Finanzguru auf Basis von Daten der LexMentis GmbH zu Fakeshops oder der Watchlist Internet aus Österreich.
[20] Eigene Untersuchungen mit relevanten Fallzahlen; DSFA der StopCrime GmbH
[21] Ein erstes Angebot im europäischen Markt bietet die StopCrime GmbH, www.stopcrime.info
Teil 2 der Serie zur KI-Governance in der Geldwäscheprävention
Der erste Teil dieser dreiteiligen Serie hat die Rolle der Zentralen Stelle und des Geldwäschebeauftragten (GWB) im Spannungsfeld von Technologieeinsatz, regulatorischer Verantwortung und menschlicher Letztverantwortung beleuchtet. Dabei wurde deutlich: Der Einsatz von KI kann zwar Prozesse beschleunigen, entbindet aber keinesfalls von der Haftung – im Gegenteil.
Der zweite Teil führt diese Analyse nun konsequent weiter: Es werden konkrete Haftungsszenarien beim Einsatz von KI in der Zentralen Stelle betrachtet und der Rechtsrahmen eingeordnet – von aktuellen Grundlagen über anstehende Regulierungen bis hin zu wissenschaftlichen Diskussionen. Zudem werden die Anforderungen an Kontrollhandlungen und die Dokumentation beschrieben, und praxisrelevante Leitplanken für die persönliche Haftungsvermeidung des GWB formuliert. Im Fokus steht dabei auch der Sonderfall agentenbasierter Systeme.
Die gegenwärtige Haftungsdogmatik in Deutschland und der EU folgt einer dreiteiligen Struktur, die auch auf KI-Systeme zunehmend Anwendung findet.
Hierbei wird geprüft, ob ein Akteur durch Verletzung einer Sorgfaltspflicht schuldhaft einen Schaden verursacht hat. Im KI-Kontext liegt das Risiko in:
Die Haftung trifft typischerweise:
Im Zivilrecht existiert kein allgemeines Gefährdungshaftungsregime für KI. Gleichwohl wird diskutiert, ob bestimmte KI-Systeme, insbesondere solche mit autonomem Verhalten, als latent gefährdend zu klassifizieren sind.
Gerade bei agentischer KI entsteht ein Zurechnungsdefizit, da deren Verhalten nicht mehr vollständig vorhersagbar ist. Die juristische Kritik erkennt darin ein haftungsrechtlich bedenkliches Maß an Kontrollverlust.
Software, also auch KI, fällt unter das Produkthaftungsrecht. Ein Produktfehler liegt z. B. vorbei:
Mit Blick auf agentenbasierte KI stellt sich ein neuartiges Problem: Wenn ein System durch eigenständiges Lernen („unsupervised“ oder „reinforcement learning“) ein Verhalten entwickelt, das nicht durch Entwickler oder Betreiber vorhergesehen wurde, droht eine „nichtsteuerbare Haftungslücke“. In der gegenwärtigen Rechtspraxis wird dies nur dann produktrechtlich sanktioniert, wenn nachgewiesen werden kann, dass das Unternehmen das System unzureichend kontrolliert oder gewartet hat.
Zu Haftungsfragen sind folgende Änderungen in Planung bzw. Vorbereitung:
Der AI Act verfolgt einen risikobasierten Ansatz. Systeme wie KI-gestütztes Transaktionsmonitoring oder Screening gelten in Verbindung mit den von Bundesbank und BaFin bereitgestellten Dokumenten zum Thema KI als potentielle „high-risk AI“. Betreiber müssen:
Agentenbasierte Systeme sind aufgrund ihrer adaptiven Zielverfolgung grundsätzlich als besonders risikobehaftet einzustufen. Je nach Kontext wären sie gemäß AI Act vollständig unzulässig oder äußerst streng reguliert.
Die Richtlinie sieht keine eigene Haftungsgrundlage vor, sondern regelt:
Für agentische KI bedeutet das: Wenn Unternehmen keine klaren Logs oder Entscheidungspfade liefern können, greift eine Beweislastumkehr. Der Schutz vor Haftung hängt direkt an der Fähigkeit, das Verhalten der KI zu rekonstruieren, was bei emergentem Verhalten kaum möglich sein wird.
Der Fehlerbegriff wird hier auf lernfähige Software erweitert. Hersteller haften auch bei:
Dies trifft agentische KI mit voller Wucht. Da das Verhalten teils nicht vorhergesagt, aber kausal auf Lernprozesse zurückgeführt werden kann, besteht ein erhöhtes Herstellerhaftungsrisiko, das auch auf Betreiber durchgreifen kann.
Seit den letzten Jahren findet sich eine zunehmende Anzahl an Fachartikeln und Buchpublikationen, die sich mit den Haftungslücken im Kontext von KI-Anwendungen befassen und Vorschläge unterbreiten, diese Lücken zu schließen. Drei Perspektiven sind hier führend:
Reyes fordert ein spezifisches Haftungsregime für KI, das Entscheidungsdesign und Trainingsverantwortung in den Mittelpunkt rückt. Für agentenbasierte KI schlägt er ein „responsibility-by-architecture“-Modell vor, bei dem Systemverantwortung normativ konstruiert wird, auch wenn keine individuelle Steuerung mehr vorliegt [Reyes, C.L., Autonomous Corporate Personhood, Washington Law Review, 2021, in Zusammenhang mit Reyes, C.L., Autonomous Business Reality, Nevada Law Journal, 2021].
Nissenbaum, Brey, betonen, dass strukturelle Verantwortung nur dann sichergestellt werden kann, wenn normative Prinzipien (z. B. Fairness, Erklärbarkeit, Datenschutz) von Anfang an systematisch in technische, organisatorische und soziale Prozesse integriert werden – nicht erst bei Vorfällen oder Haftungssituationen. Hierauf bauen vor allem die Standardisierungs- und Normierungs-Institutionen auf und leiten daraus eine Verantwortlichkeitsarchitektur bestehend aus Rollenmodellen, Verfahrensanweisungen und Kontrollrahmen ab. [Nissenbaum, H., Accountability for Privacy via Institutional Design, 2001; Brey, Ph., Ethics of Emerging Technologies, 2012; sowie weiter IEEE, Ethical Aspects of Autonomous and Intelligent Systems, 2019].
Teubnersieht in selbstreferenziellen Systemen wie agentischer KI ein „Rechtsvakuum“: Sie erzeugen Entscheidungen jenseits menschlicher Kontrolle, ohne selbst rechtsfähig zu sein. Er fordert eine funktionale Systemhaftung, bei der nicht mehr das Verhalten Einzelner, sondern das Design und die Reaktionen des gesamten Systems haftungsrechtlich relevant werden [Teubner, G. Recht als poietisches System, 1989, in Verbindung mit Beckers/Teubner, Digitale Aktanten, Hybride, Schwärme, 2024] .
| Erkenntnis | Implikation für die Zentrale Stelle |
| KI-Einsatz ist haftungsrechtlich zulässig, wenn Kontrolle, Nachvollziehbarkeit, menschliche Letztentscheidung sichergestellt sind. | Klassische KI-Systeme sind bei angemessener Governance beherrschbar. |
| Agentische KI erhöht das Risiko struktureller Kontroll- und Zurechnungsverluste. | Vollständiger operativer Einsatz ist derzeit nicht vertretbar. |
| Haftung kann nicht auf Systeme übertragen werden. | Verantwortung bleibt beim Menschen (GWB, Geschäftsleitung). |
| Einsatz nicht erklärbarer, nicht auditierbarer KI ist haftungsrechtlich fahrlässig. | Bei Schaden droht persönliche Inanspruchnahme. |
| Agentische KI ist aufsichtsrechtlich ausgeschlossen. | Solange dieser Ausschluss gilt, entfällt für GWB ein Teil der Haftungsexposition durch präventive Unzulässigkeit. |
Der GWB ist nach § 7 GwG in Verbindung mit § 25h KWG als verantwortliche Person für die institutsinterne Geldwäscheprävention benannt. Mit der Zuweisung dieser Rolle übernimmt er faktisch eine Organfunktion mit umfassender Sorgfalts-, Überwachungs- und Steuerungspflicht. Die Integration von KI-Systemen insbesondere zur Transaktionsüberwachung, Sanktionslistenprüfung oder Musteranalyse verändert nicht die Verantwortlichkeit, sondern verändert die Natur des Risikos: Aus operativ-beobachtbar wird technisch-vermittelt und potenziell intransparent.
Typische haftungsrelevante Szenarien:
Diese Szenarien sind vor allem unter §§ 130 OWiG (Organisationsverschulden), 823 BGB (Deliktshaftung) sowie bei Kapitalgesellschaften unter § 93 AktG / § 43 GmbHG (Pflichtverletzung von Organen) haftungsrelevant. Ein dabei besonders schwerwiegender Umstand ist die leider in der Praxis nicht seltene Verwechslung von Systemnutzung mit Verantwortungsdelegation. Der Einsatz eines Tools ersetzt keine eigene Prüfung.
Die persönliche Haftungsminimierung des GWB gelingt nicht durch Abwälzung, sondern ausschließlich durch nachweisbare, strukturierte und dokumentierte Governance. Rechtsprechung (vgl. BGH, NJW 2009, 3173) und Verwaltungspraxis (BaFin-Maßstäbe) verlangen ein Vorgehen, das sich an Risikokomplexität und Systemkritikalität orientiert.
Die zentrale Formel lautet: Je autonomer die Technologie, desto enger müssen Überwachung, Prüfung und Eskalationsfähigkeit organisiert sein. Zur „Enthaftung“ sind insbesondere folgende Maßnahmen erforderlich:
| Kontrollhandlung | Anforderungen |
| Systemprüfung vor Erstnutzung | Beteiligung an Auswahl, Risikoanalyse, Freigabe |
| Regelmäßige Validierung | Prüfzyklen zu Effektivität, Schwellenwerten, FP/FN-Verhalten |
| Plausibilitätsprüfung bei Alerts/Empfehlungen | Kein „Blindvertrauen“, menschliche Letztentscheidung |
| Dokumentation & Nachvollziehbarkeit | Schriftlich begründete Entscheidungen und (Nicht-)Eingriffe |
| Eskalation bei Fehlverhalten | Frühzeitige Einbindung der Geschäftsleitung/Aufsicht |
| Fortbildung | Nachweisbare Schulung zu KI-Funktionalitäten, Risiken |
Sonderfall agentenbasierte KI
Hier gilt: Der Einsatz in operativen Entscheidungsprozessen würde derzeit gegen aufsichtsrechtliche Prinzipien verstoßen. Der GWB darf sich daher auf regulatorische Unzulässigkeit berufen, um bereits im Vorfeld eine Enthaftung zu begründen – jedoch nur, wenn er aktiv darauf hingewirkt hat, dass solche Systeme nicht oder nur in nichtkritischen Anwendungsfeldern genutzt werden.
Dokumentations- und Validierungspflichten als Risikosenkungsinstrumente
Die Dokumentation ist das zentrale Verteidigungsinstrument des GWB im Haftungsfall. Dazu gehören:
In der Praxis empfiehlt sich die Führung eines „AI-Governance-Dossiers“ durch oder für den GWB, das alle KI-gestützten Compliance-Prozesse, deren Bewertung und deren Kontrollhistorie enthält. In Kombination mit einer Policy zur Eingriffs- und Eskalationsverantwortung kann dieses Dossier im Haftungsfall einen entscheidenden Unterschied machen.
Die Rolle des GWB im Zeitalter der KI
Die persönliche Haftung des GWB bleibt in vollem Umfang bestehen, auch wenn KI-Systeme in die operativen Prozesse der Zentralen Stelle eingebunden werden. Entscheidungsverlagerung ohne Kontrollausgleich führt nicht zu Entlastung, sondern zu Risiko. Die Haftung lässt sich nicht ausschließen, aber managen durch:
Die Zentrale Stelle darf KI einsetzen, aber nicht zur Flucht aus der Verantwortung, sondern als Werkzeug unter menschlicher Kontrolle. Alles andere wäre sowohl rechtlich als auch aufsichtsrechtlich nicht tragfähig.
Vorschau auf Teil 3
Der dritte Teil dieser Serie zeigt, welche organisatorischen und strukturellen Voraussetzungen notwendig sind, um KI rechtssicher und haftungsrobust in die Arbeit der Zentralen Stelle zu integrieren:
Der Autor:
Dirk Findeisen ist Managing Partner des Beratungs- und Technologieunternehmens msg Rethink Compliance. Er verfügt über mehr als 20 Jahre Erfahrung in den Bereichen Governance, Risk & Compliance (GRC), Datenmanagement, Advanced Analytics und Corporate Performance Management. Findeisen ist Autor zahlreicher Fach- und Buchbeiträge zum Thema Anti-Financial Crime Compliance, ein gefragter Referent auf Fachveranstaltungen und Dozent an mehreren deutschen Hochschulen.
dirk.findeisen@msg-compliane.com
Seit dem 11. März 2022 ist die ukrainische ID-Card zur Basiskontoeröffnung von der BaFin zugelassen. Danach wurde die Zulassung vom Bundesministerium des Innern mittels einer Allgemeinverfügung wiederholt befristet.
Nunmehr erfolgte durch das Bundesministerium des Innern (BMI) mit Allgemeinverfügung vom 18. Februar 2025 eine erneute Verlängerung dieser Anerkennung der Identititätskarte der Ukraine (ID-Card) Modell 2015 als Passersatz um ein weiteres Jahr bis einschließlich 23. Februar 2026.
Die FIU hat eine aktualisierte Version ihres „Eckpunktepapiers zur Bestimmung solcher Sachverhalte, die grundsätzlich nicht die Meldepflicht des § 43 Absatz 1 GwG auslösen“ veröffentlicht. Die ursprüngliche Version des Papiers wurde 2023 den Verpflichteten zur Verfügung gestellt.
Das neue Eckpunktepapier steht im Internen Bereich der FIU zum Abruf zur Verfügung.
Die FATF hat auf ihrer Plenartagung Ende Februar 2025 ihre Länderlisten aktualisiert. Auf der sog. grauen Liste werden Länder geführt, die nach Einschätzung der FATF strategische Mängel in ihren Regelungen zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und Proliferationsfinanzierung aufweisen.
Neu hinzugekommen sind hier Laos und Nepal.
Nicht mehr gelistet sind die Philippinen .
Der Global Terrorism Index 2025 zeigt eine besorgniserregende Entwicklung: Die Zahl der vom Terrorismus betroffenen Länder ist auf 66 gestiegen, während die Länder der Sahelzone mittlerweile über 50 % aller Terroropfer weltweit verzeichnet. Zudem wächst die Gefahr durch einsame Täter im Westen, während künstliche Intelligenz zunehmend für Terrorfinanzierung und Radikalisierung genutzt wird. Besonders auffällig ist das Wiederaufleben terroristischer Angriffe in Europa, wobei Deutschland den hösten Anstieg verzeichnete.
Am 6. März 2025 hat die Europäische Bankenaufsichtsbehörde (EBA) ein Konsultationsverfahren für vier Regulatory Technical Standards (RTS) eingeleitet, die Teil der Antwort der EBA auf die Aufforderung der Europäischen Kommission zu den neuen Mandaten für die Anti-Geldwäsche-Behörde (AMLA) sein wird.
Die vier vorgeschlagenen RTS betreffen u.a. folgende Bereiche: Risikobewertung von Verpflichteten, Auswahl von Instituten für die direkte Aufsicht, Kundenüberprüfung (Customer Due Diligence, CDD) und Sanktionen und Maßnahmen.
Interessierte Parteien sind eingeladen, bis zum 6. Juni 2025 ihre Stellungnahmen einzureichen.
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat ihre Auslegungs- und Anwendungshinweise zum Geldwäschegesetz (GwG) aktualisiert. Diese Überarbeitung berücksichtigt insbesondere die durch das Finanzmarktdigitalisierungsgesetz eingeführten Änderungen vom 27. Dezember 2024. Ein Schwerpunkt liegt auf den verstärkten Sorgfaltspflichten bei Kryptowertetransfers von oder zu selbst gehosteten Adressen.
