EBA – Konsultierte RTS-Entwürfe / Neue AuA der Länder / 45 Mio. Bußgeld für J.P. Morgan
EBA – Konsultierte RTS-Entwürfe / Neue AuA der Länder / 45 Mio. Bußgeld für J.P. Morgan
Liebe Leserinnen und Leser,
das Jahr 2025 ist schon deutlich fortgeschritten, da zieht die EBA ein Zwischenfazit zu den aktuellen Risiken im Finanzsektor.
Vor dem Hintergrund wichtiger geopolitischer Entwicklungen, dem kommenden AML-Paket der EU und der Digitalisierung sieht die Bankenaufsicht neue Schwachstellen für Geldwäsche und Terrorismusfinanzierung. Dabei werden insbesondere folgende Punkte hervorgehoben:
Was nützt all die ausgefeilte Technik, wenn das Problem scheinbar vor dem Bildschirm sitzt. Nun muss man aber auch bedenken, dass nicht jedes Tool auf dem Markt anwenderfreundlich, geschweige denn intuitiv zu bedienen ist. Damit haben ja nicht nur die Nutzer ihre Schwierigkeiten sondern auch letztlich die Prüfer.
Schön wäre, wenn schon rechtzeitig bei der Entwicklung mal auf die tatsächlichen Anwender zugegangen würde. Man muss ja nur miteinander reden, schon läufts besser.
Teil 3 der Serie zur KI-Governance in der Geldwäscheprävention
Die ersten beiden Teile dieser Serie haben zentrale Fragen der KI-Governance in der Geldwäscheprävention beleuchtet. Zunächst wurden die grundlegenden Rahmenbedingungen, die Rolle der Zentralen Stelle und des Geldwäschebeauftragten sowie die Grenzen zulässiger KI-Nutzung dargestellt (Teil 1). Anschließend folgten die haftungsrechtlichen Implikationen, konkrete Haftungsszenarien und die daraus abgeleiteten Kontroll- und Dokumentationspflichten beim KI-Einsatz (Teil 2).
Der abschließende dritte Teil widmet sich nun den organisatorischen und strukturellen Voraussetzungen, um KI rechtssicher und haftungsrobust in die Arbeit der Zentralen Stelle zu integrieren. Dabei geht es um neue Rollenmodelle, Kompetenzanforderungen, ein praxisorientiertes KI-Kompetenzmodell sowie die Konkretisierung der BaFin-Anforderungen aus AuA BT Ziffer 6.
Die zunehmende Einbindung von KI in geldwäscherechtliche Kontrollprozesse erfordert eine funktionale Weiterentwicklung der Zentralen Stelle. Die traditionelle, vor allem juristisch geprägte und eher reaktive Ausrichtung reicht nicht mehr aus, um den Anforderungen KI-gestützter, dynamischer Kontrollumgebungen gerecht zu werden Es bedarf einer Governance-Transformation hin zu einer hybriden Struktur, die Fachlichkeit, Technologie und Kontrollfähigkeit integriert. Zentrale Anforderungen sind:
Ohne klare Zuordnung von Entscheidungs-, Kontroll- und Eskalationsrechten bleibt jede KI-Governance dysfunktional, gerade in einem haftungsintensiven Umfeld wie der Geldwäscheprävention und der Identifikation von Terrorismusfinanzierung.
Die zentralen Herausforderungen beim KI-Einsatz liegen nicht in der Bedienung von Technologie, sondern in der Sicherstellung der Einhaltung aufsichtsrechtlicher, datenschutzrechtlicher und operativer Kontrollanforderungen. Dies bedeutet: Kompetenz wird zur Schlüsselkategorie institutioneller Haftungsvermeidung.
Kompetenzfelder des Geldwäschebeauftragten (GWB):
| Kompetenzfeld | Erforderliche Fähigkeiten |
| Technologisches Grundverständnis | Einordnung von KI-Architekturen, insbesondere agentische KI, Verständnis von Modellverhalten |
| Governance- und Kontrollkompetenz | Steuerung KI-bezogener Prozesse, Nachvollziehbarkeit, Dokumentation |
| Risikokompetenz | Bewertung von Modellrisiken, Einordnung von Eskalationen |
| Regulatorik & Haftung | Kenntnisse zu geltendem und geplantem EU-Recht, insbesondere AI Act, Produkthaftungsrecht |
| Kommunikationsfähigkeit | Vermittlung komplexer technischer Sachverhalte an Geschäftsleitung, Aufsicht und Externe |
Zusätzliche Rollenprofile im erweiterten Team:
| Rolle | Aufgabenprofil im Kontext KI |
| KI-Kontrollbeauftragte/r | Bewertung von Modelllogiken, Begleitung von Re-Trainings, Auditführung, Führung eines KI-Registers u.a.m. |
| Compliance-Analytics-Spezialist/in | Messung und Bewertung der Leistungsfähigkeit von Modellen, FP/FN-Analysen u.ä. |
| Data Governance Officer (AFC-Fokus) | Prüfung der Trainingsdatenqualität, Versionierung, Datenethik u.a.m. |
| Jurist/in mit technischem Verständnis | Vertragsgestaltung bei Drittanbieter-KI, Auslagerungsanforderungen, Bewertung von Nutzungsgrenzen u.ä. |
Die Einführung solcher Profile ist keine regulatorische Pflicht, wohl aber eine organisatorische Notwendigkeit, um die Anforderungen aus MaRisk, BAIT bzw. DORA und dem EU AI Act künftig zu erfüllen und den bestehenden Anforderungen gerecht zu werden, die auch für KI-basierte Tools und Systeme gelten.
Ein praxisorientiertes Kompetenzmodell hilft dabei, Skill-Gaps zu erkennen, Weiterbildungen zu strukturieren und Verantwortlichkeiten besser abzugrenzen. Die folgende Matrix stellt ein mögliches Grundmodell auf Basis von drei Entwicklungsebenen dar.
| Kompetenzfeld | Basisniveau | Fortgeschrittenes Niveau | Expertise-Niveau |
| KI-Verständnis | Kenntnis der Grundbegriffe (ML, Algorithmus, Modell) | Verständnis von Entscheidungslogiken, Schwellenwertsteuerung | Fähigkeit zur kritischen Bewertung agentischer KI |
| Governance | Kenntnis von Dokumentations- und Prüfpflichten | Anwendung in der Prozessgestaltung | Entwicklung eigener Governance-Policies |
| Regulatorik | Vertrautheit mit GwG, KWG, MaRisk | Einordnung von EU AI Act & Haftungsregimen | Bewertung regulatorischer Graubereiche und Entwicklung von Prüfstandards |
| Systembewertung | Nutzung von Reports | Interpretation von Modell- und Validierungsdaten | Fähigkeit zur Auditvorbereitung und Revisionsbegleitung |
| Eskalation & Kommunikation | Wissen um Melde- und Eingriffswege | Selbstständige Kommunikation mit Management | Schnittstellenverantwortung zu Aufsicht, Revision, Dienstleistern |
Ein solches Modell eignet sich auch als Entscheidungshilfe für die Personalauswahl und die Priorisierung von Weiterbildungsmaßnahmen. Es lässt sich in Kompetenzmatrizen, Self-Assessments oder Rollendefinitionen überführen und unterstützt die nachvollziehbare Haftungsabsicherung der Zentralen Stelle durch entsprechende Qualifikation.
Die Zentrale Stelle steht im KI-Zeitalter vor der Aufgabe, Verantwortung und Steuerbarkeit neu zu operationalisieren, nicht durch mehr Regeln, sondern durch klare Rollen, Kompetenzen und Kontrollmechanismen. Der Schlüssel liegt in einer personellen und strukturellen Weiterentwicklung:
In den Auslegungs- und Anwendungshinweisen (AuA) für Kreditinstitute (BT KI) formuliert die BaFin unter Ziffer 6 ein einheitliches System von Qualitätskriterien für relevante, DV-gestützte Kontrollprozesse bzw. DV-Systeme für die Geldwäschebekämpfung, die Vermeidung von Terrorfinanzierung und strafbare Handlungen. Gefordert wird eine angemessene, nachvollziehbare, überprüfbare und wirksame Ausgestaltung. Die zentralen Prinzipien sind:
• Dokumentation und Nachvollziehbarkeit
• Funktionsprüfung vor Freigabe
• Verantwortlichkeitszuweisung und Eskalationsfähigkeit
• Kontinuierliche Überwachung
• Angemessenheit und Effektivität der Verfahren
• Schulungen und Sensibilisierung
• Regelmäßige Evaluierung
(Siehe grundsätzlich zu den Anforderungen des BaFin AuA BT Ziffer 6 hier.)
Diese Qualitätskriterien sind technologieagnostisch formuliert und damit unabhängig von der eingesetzten Technologie zu erfüllen. Genau hier beginnt die Herausforderung beim Einsatz von KI.
Die spezifischen Risiken und Funktionsweisen von KI, insbesondere bei autonom lernenden, datengetriebenen oder sogar agentenbasierten Systemen (Unsupervised, Reinforced oder Agentic sowie in Teilen Federated Learning), erfordern eine technische und prozessuale Konkretisierung der AuA BT Ziffer 6-Prinzipien. Der folgende Abgleich zeigt, dass sich alle KI-spezifischen Governance-Elemente als Konkretisierungen interpretieren lassen.
| AuA BT Ziffer 6-Prinzip | Technologiebezogene Konkretisierung für KI |
| Dokumentation & Nachvollziehbarkeit | Modellarchitektur, Entscheidungsprotokolle, Versionierung, Erklärbarkeit |
| Funktionsprüfung & Freigabe | Pre-Deployment-Tests, Bias-Checks, Validierungsprotokolle |
| Verantwortlichkeiten & Eskalation | „Human Oversight“, Eingriffsrechte, Eskalationsmatrix |
| Überwachung & Steuerbarkeit | Performance Monitoring, Drift Detection, Schwellenwertkontrolle |
| Angemessenheit & Effektivität | Risikoorientierte Modellwahl, Fehlertoleranzdefinition, Scope Management |
| Schulung & Awareness | KI-spezifische Trainings für GWB und Compliance-Team |
| Regelmäßige Evaluierung | Revalidierung, Prüfzyklen, Audit-Fähigkeit, Reporting-Linien |
Ein Sonderfall ist die agentenbasierte KI: Für „Agentic AI“-Systeme mit eigenständiger Zieldefinition und Handlungsvollzug gelten die AuA BT Ziffer 6-Prinzipien derzeit als im Grundsatz technisch nicht erfüllbar:
Daher ist der operative Einsatz solcher Systeme in der Zentralen Stelle aufsichtsrechtlich de facto zumindest in den Hochrisikobereichen des EU AI Acts ausgeschlossen. Denkbar ist lediglich eine unterstützende, nicht entscheidungsrelevante Nutzung, etwa für Recherchen oder semantische Analysen, wie das beispielsweise in den Bereichen der Enhanced Due Diligence oder auch bei der Fallerstellung und den vorbereitenden Tätigkeiten für eine qualitativ hochwertige Verdachtsmeldung der Fall sein kann.
Zur pragmatischen Umsetzung der AuA BT Ziffer 6-Prinzipien für KI-Prozesse empfiehlt sich eine strukturiert operationalisierte Checkliste, die von der Zentralen Stelle aktiv geführt werden sollte. Diese Checkliste enthält:
Sie dient in der Form also der internen Verantwortlichkeitsklärung, der aufsichtlichen Nachweiserbringung sowie der persönlichen Enthaftung des GWB, der seine Steuerungspflicht durch dokumentiertes Handeln konkretisiert. Dies ist natürlich nur dann in der Zentralen Stelle zu verorten, wenn es diese Funktion nicht schon in einem ebenfalls zu empfehlenden KI-Kompetenzzentrum (AI CC, AI CoE o.ä.) gibt. Für den unternehmensweiten Einsatz von KI ist dies sinnvoll. Hier sollte die Compliance-Abteilung inhaltlich eng eingebunden werden, um Use Cases nicht wie in der Vergangenheit vor Risiko- und Compliance-Anforderungen zu bewerten und zu priorisieren, sondern danach. Der Aufbau eines solchen KI-Kompetenzzentrums ist schematisch in der nachfolgenden Abbildung skizziert.
Abbildung: Schematischer Aufbau eines AI Center of Excellence (CoE) bzw. Competence Center (CC)
Das Zusammenspiel kann über die Compliance-Abteilung mit einem KI-Kontrollbeauftragten – nicht zu verwechseln mit einem KI-Beauftragten oder AI Officer – erfolgen, um so den Compliance Anforderungen generell, aber auch denen aus der Zentralen Stelle gerecht werden zu können. Die organisatorische Aufhängung eines AI CC/CoE findet sich üblicherweise beim Chief Digital Officer (CDO) oder Chief Risk Officer (CRO) der Bank. Beim CRO ist in der Regel auch schon vorhandene Kompetenz in der Modellvalidierung vorhanden, welches man in einem AI CC/CoE im Bereich der technischen Kompetenz mitnutzen könnte.
Zusammenfassend lässt sich darstellen, dass die Zentrale Stelle KI einsetzen kann, wenn die Prinzipien von AuA BT Ziffer 6 in technologiegeeigneter Form konkretisiert und nachweislich umgesetzt werden. Damit ist KI-spezifische Governance keine gesonderte Verpflichtung, sondern eine bestehende Pflicht zur sachgerechten Ausgestaltung der bestehenden Anforderungen der BaFin. Agentenbasierte KI ist derzeit nicht AuA BT Ziffer 6-kompatibel und daher für den produktiven Einsatz in der Zentrale Stelle nahezu ausgeschlossen. Die schon vorne definierten Ausnahmen sind gültig. Die Zukunft von KI in der Geldwäscheprävention entscheidet sich damit nicht an der Innovationshöhe, sondern vielmehr an der Beherrschbarkeit durch Governance und den sich nach Risiko- und Compliance-Bewertung ergebenden Vorteilen.
Der Einsatz von KI in der Zentralen Stelle eröffnet große Effizienzpotenziale, etwa durch Mustererkennung, automatisierte Alert-Priorisierung oder Verhaltensklassifikation. Gleichzeitig verschärft sich die Haftungsarchitektur: Wo menschliche Entscheidungen durch Systeme vorbereitet oder gar ersetzt werden, droht der Verlust von Zurechnungs- und Kontrollfähigkeit – das Fundament jeder rechtlichen Verantwortung.
Sowohl das geltende Recht in Deutschland und der EU als auch die zukünftigen Rahmenwerke, wie die Reform der EU-Produkthaftungsrichtlinie (EU Product Liability Directive), setzen einhellig auf:
Der GWB trägt auch bei KI-gestützten Prozessen weiterhin die persönliche Verantwortung für Struktur, Kontrolle und Wirksamkeit der Geldwäscheprävention. Fehler im KI-Einsatz, die auf unzureichender Prüfung, Überwachung oder Reaktion beruhen, begründen haftungsrelevante Pflichtverletzungen. Die Zentrale Stelle steht daher vor einer zweifachen Herausforderung:
Daraus lassen sich Handlungsempfehlungen für Praxis, Governance und Strategie ableiten:
Die Entwicklung der KI-Technologie ist dynamisch, ihre aufsichtsrechtliche Integration hingegen langsam und auf Sicherheit bedacht. Die Zentrale Stelle wird in den nächsten Jahren nicht mehr nur ein juristischer Kontrollpunkt sein, sondern ein hybrides Steuerungszentrum aus Governance, Technologie und Risikoethik. Nur so kann die Zentrale Stelle auch in Zukunft das leisten, was ihr der Gesetzgeber abverlangt: die wirksame, integre und verantwortbare Bekämpfung von Geldwäsche und Terrorfinanzierung.
Der Autor:
Dirk Findeisen ist Managing Partner des Beratungs- und Technologieunternehmens msg Rethink Compliance. Er verfügt über mehr als 20 Jahre Erfahrung in den Bereichen Governance, Risk & Compliance (GRC), Datenmanagement, Advanced Analytics und Corporate Performance Management. Findeisen ist Autor zahlreicher Fach- und Buchbeiträge zum Thema Anti-Financial Crime Compliance, ein gefragter Referent auf Fachveranstaltungen und Dozent an mehreren deutschen Hochschulen.
dirk.findeisen@msg-compliance.com
| (Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Dann können Sie sich hier für unseren Newsletter anmelden – kostenlos und unverbindlich) |
Nicht selten werden Anforderungen von Aufsicht und Gesetzgeber als zusätzliche Bürde und Kostenfaktor im Compliance-Umfeld betrachtet. Die Umsetzungs- beziehungsweise Überprüfungsanforderungen aus dem BaFin AuA Besonderer Teil – Kapitel 6 (nachfolgend kurz BT 6) können aber auch als Grundlage oder Hilfestellung verstanden werden, welche wesentlich helfen, die Monitoring- und Screening-Systemlandschaft stabil und robust zu betreiben. Die frühzeitige Berücksichtigung der BT 6 Anforderungen können insbesondere bei System-Neueinführungen einen Grundsockel bilden, um im Business-as-Usual-Modul effektiv und ohne Feststellungen zu bleiben.
Die im Juni 2021 von der BaFin veröffentlichten Auslegungs- und Anwendungshinweise zum Geldwäschegesetz – Besonderer Teil für Kreditinstitute (nachfolgend kurz BaFin AuA) konkretisierten erstmalig spezifische Anforderungen an die Eignung und Ausgestaltung der Monitoring- und Screeningsysteme der Institute, wobei der Fokus der BaFin Auslegungshinweise auf dem Geldwäschemonitoring, der Prüfung der politisch exponierten Personen (PeP) und der Adverse Media-Prüfung liegt. Nach dem ersten Lesen der Absätze im relevanten Kapitel 6 („Monitoringsysteme“) kann der Eindruck entstehen, dass hier lediglich bereits bestehende Anforderungen der Aufsicht noch einmal wiederholt wurden.
Geldwäscheanforderungen inklusive der betroffenen Systeme sind allerdings kein neuer Prüfungsfokus und wurden unter anderem als Teil der Jahresabschlussprüfung schon seit langem vom Prüfer betrachtet.
Anders als man beim schnellen Lesen über die Auslegungshinweise vermuten kann, verbirgt sich in Kapitel 6.2.3 („Funktionsfähigkeit der Datenverarbeitungssysteme“) jedoch die konkrete Anforderung einer regelmäßigen Überprüfung durch unabhängige Dritte.
Nach wie vor führen Fragen wie die Bedeutung der Regelmäßigkeit, der Definition, wer unabhängiger Prüfer ist und was der Fokus dieser Überprüfung ist, die häufig auch fälschlicherweise als Systemvalidierung bezeichnet wird, bei Instituten zu Interpretationsproblemen.
Aber warum?
Auch noch knapp vier Jahre nach der Veröffentlichung erhalten Prüfungs- und Beratungsunternehmen Anfragen zur erstmaligen Überprüfung der Systeme in Instituten. Blickt man in die IT- und Compliance-Vorgaben für den Systembetrieb der Institute, werden die BT 6 Anforderungen nicht immer explizit als eigenständiger Anforderungsblock konkret benannt.
Daneben wird häufig die Frequenz hinterfragt. „Regelmäßig“ lässt sich auf einen mindestens zweijährigen Rhythmus umstellen, sofern keine wesentlichen Veränderungen an den Systemen vorgenommen wurden. Durch Änderungen an den Systemen kann auch eine kürzere, erneute Überprüfung notwendig werden.
Hauptfragestellung in der Praxis ist bei den Instituten aber meist der Systemumfang und der Überprüfungsumfang. Der BT 6 zielt primär auf die Geldwäsche-Monitoringsysteme ab, inkludiert aber PeP- und Adverse Media-Prüfung, sowie indirekt in der Regel auch den Sanktionsfilter als solchen, da dieser in der Praxis meist im selben System zusammengefasst ist. Über die Einbeziehung der sonstigen strafbaren Handlungen werden auch die Systembausteine zur Betrugsprävention in den Betrachtungsfokus gerückt.
Die BT 6 Anforderungen unterscheiden zudem nicht zwischen der Überprüfung von Neu- oder Bestandskunden und Transaktionen.
Neben der Frage des „wie oft“ und „welches System“ könnte auch interpretiert werden, dass Kern der Überprüfung das Regel- und Szenarien-System der Monitoring- und Screeningsysteme ist.
Aus dem Abschnitt 6.2.3 leitet sich jedoch ein anderer Schwerpunkt ab: Die Integration der Anwendung in das IT-Ökosystem des Instituts einschließlich Datenversorgung, Hardwareausstattung, IT-Notfallmanagement und Security. Kern der Überprüfung ist somit die Sicherstellung einer vollständigen Datenbelieferung und eines geregelten, stabilen IT-Betriebs; ergänzt um Aspekte wie Governance, Mitarbeitende und Reporting.
Die Anforderungen erfordern zudem keine vollumfängliche Detailevaluation beispielsweise von Datenströmen durch umfangreiche Stichproben aller Datenquellen und Systeme, Schnittstellen und APIs, sondern eine Überprüfung der grundlegenden Abläufe und Kontrollen durch den Geldwäschebeauftragten. Unsere Erfahrung hat bestätigt, dass eine Ausweitung der Überprüfung (zum Beispiel mit zusätzlichen Stichproben) Probleme unter anderem in der Datenversorgung der Systeme aufdecken kann, welche durch die Mindestanforderungen nur bedingt oder stark zeitverzögert aufgedeckt werden.
Abbildung 1: Fokus der Aufsicht, Interpretationssicht vieler Institute und sinnvolle Ergänzungen; Bildquelle: Deloitte
Im obigen Abbild sind die Kernanforderungen des BT 6 überblicksartig hinterlegt, ergänzt um Erweiterungsstufen und Ergänzungen. Grundsätzlich kann eine BT 6.2.3 Überprüfung auch als Startpunkt genutzt werden, um die Geldwäsche (GW)-Systeme und die darin enthaltenen Szenarien, Schwellenwerte und Einstellungen einer 360°-Evaluation zu unterziehen. Hieraus kann ein Mehrwert in der operativen Prozessdurchführung gewonnen werden: Dazu zählt die Optimierung des Systems in Bezug auf Daten- und Datenqualität sowie die Verfeinerung von Szenarien- und Filterregeln, um relevante Auffälligkeiten zu identifizieren und ergänzend False-Positives zu reduzieren.
Mit dem BT 6 verbundene Beratungs- und Überprüfungsprojekte der vergangenen Jahre haben verschiedene Optimierungspunkte und Herausforderungen aufgezeigt, welche institutsübergreifend relevant sind. Auch hat sich bei Einführungs- und Anpassungsprojekten von Softwarelösungen ein breites Spektrum an Schwerpunkten herauskristallisiert, welche nachfolgend kurz beleuchtet werden.
Eine der ersten Schritte des Reviews ist in der Regel die Sichtung der bestehenden Dokumentation und Nachweise. Klassisch werden bei diesem ersten Schritt der Überprüfung verschiedenste Dokumente beim betroffenen Institut angefragt.
Qualitätskriterien in Bezug auf die Dokumentation an sich sind:
Abbildung 2: Schwerpunkt & Herausforderungen in der Praxis; Bildquelle: Deloitte
Auch in Zeiten von Digitalisierung und Automatisierung spielen fachkundige Mitarbeitende im Institut eine wichtige Rolle beim stabilen Betrieb der Monitoring- und Screeninglösung. Die Anforderungen fokussieren hier insbesondere auf die für den Betrieb und die Konfiguration relevanten Rollen und Mitarbeitenden und stellen fachliche Kompetenz sowie ausreichende Ressourcenausstattung in den Vordergrund.
Spezialkenntnisse über die jeweiligen genutzten Lösungen beziehungsweise erfahrene Mitarbeitende mit den entsprechenden Berechtigungen sind Schlüsselfaktoren für einen stabilen Systembetrieb. Die genauen Anforderungen an die Vergabe von Berechtigungen sollte daher eng mit dem Schulungskonzept verknüpft sein und formell definierte Anforderungen sollten mit der Berechtigungsvergabe an Mitarbeitende verbunden sein. Fehlen qualifizierte, routinierte Mitarbeitende, können folglich Fehler im operativen Betrieb der Lösung oder auch der Konfiguration entstehen. Parallel dazu zeigt sich der Fachkräftemangel auch bei der Betreuung und dem Betrieb der Monitoringsysteme.
Grundsätzlich sollte eine Konzentration auf wenige Schlüsselressourcen für Kern-Prozesse in den AML-Lösungen und administrative Aktivitäten (beispielsweise bei der Freigabe von Parametern) wo möglich vermieden werden, eine adäquate Ressourcenausstattung auch beim Fachpersonal ist zu planen.
So können Verzögerungen bei Changes und Backlogs, aber auch kritische Fehler in der Administration und Betreuung der Monitoring- und Screeninglösungen durch krankheitsbedingte Ausfälle, Urlaubsabwesenheiten und die generelle Arbeitsbelastung in der Compliance-Linienorganisation vermieden werden.
Neben der technischen Ressourcenausstattung der relevanten Systeme liegt ein Augenmerk auf der Sicherstellung der korrekten und vollständigen Datenbelieferung aus den dafür notwendigen Vorsystemen wie KYC/Kundenmanagement, Kernbankensystem oder Transaktionssysteme.
Hierbei geht es um weit mehr als nur die Sicherstellung der Datenvollständigkeit an der Schnittstelle zu der Monitoring-, Screening- beziehungsweise Fraud-Lösung. Es muss über die Lieferstrecke der verschiedenen Quellsystemen über gegebenenfalls zwischengeschaltete Datenbanken eine Vollständigkeit der relevanten Kunden beziehungsweise Transaktionen sichergestellt sein.
Insbesondere stark fragmentierte Systemlandschaften mit historischen (Kunden-) Datenbeständen in dezentralen Anwendungen stellen hierbei eine der größten Herausforderungen dar. Daneben ist die Frage nach der Definition des „Kunden“ häufig eine fachlich-technische Herausforderung. Für Screening-Themen wie Sanktionen geht die Notwendigkeit der Überprüfung über den eigenen Kundenbestand hinaus und erweitert sich auch auf Dritte, welche im Zuge einer Transaktion einen Mittelzufluss erhalten würden. Als zielführend hat sich eine vollständige Dokumentation der Datenflüsse von den Quellsystemen hin bis zum Monitoring- und Screeningsystem als hilfreich für die BT 6 Überprüfung aber auch den Tagesbetrieb gezeigt. Egal ob in Excel- oder einer anderen Dokumentationsform: Der Datenfluss muss auf der Ebene der einzelnen Attribute nachvollziehbar sein, Filter und Verarbeitungsprozesse an Schnittstellen und Datenbanken und Co. müssen transparent und Zuständigkeiten und Kontrollen klar ersichtlich sein.
Die Datenqualität sowie die Qualität der Datendokumentation der verschiedenen Systeme und ihrer Datenstrukturen sind von hoher Bedeutung. Besonders das Fachwissen über die Datenarchitektur spielt bei der Auswahl der richtigen Attribute für Filter- und Sortiervorgänge eine entscheidende Rolle. Es ist wichtig sicherzustellen, dass Entscheidungen zu Schnittstellen-Attributen und deren fachlicher Bedeutung auf fundiertem Wissen basieren. Dies minimiert das Risiko, fehlerhafte Datensätze im Monitoring oder Screening zu verwenden.
In fragmentierten Systemlandschaften gibt es aus historischen Gründen häufig keine eindeutige Entscheidung zur Trennung zwischen juristischen und natürlichen Personen. Werden dafür „Hilfsattribute“ oder Kombinationen hieraus herangezogen, kann das richtig sein – muss es aber nicht. Betrachtet man dieses Beispiel und untersucht die Ursachen für eine falsche Interpretation zum Beispiel bei der PEP-Prüfung eines vermeintlichen Unternehmens, sind fehlende Eingabemöglichkeiten in den Vorsystemen häufig die Ursache. Eine konsistente Datenarchitektur im Institut mit klaren Vorgaben zu Attributen und deren Werteausprägungen ist daher nicht nur für AML- und Sanktionsfragestellungen entscheidend. Beispielhaft hierfür sind klare Kennzeichen für Einzelpersonen vs. Gemeinschaftskonten. So kann verhindert werden, dass aufgrund fehlerhafter Interpretation aus anderen Datenmerkmalen zum Beispiel im PeP-Filter eine vermeintlich juristische Person nicht gegen die einschlägigen Listen geprüft wird. Ähnliche Fehlerstrecken sind in der Praxis beispielsweise auch beim Datum der Accountanlage oder der Trennung zwischen Interessenten und tatsächlichem Kunden zu vermeiden.
Für die Überprüfung stellen daher die Nachvollziehbarkeit der Datenströme und die Zusammensetzung des Datenhaushaltes über die verschiedenen Systeme eine Kernanforderung dar. Je besser sich Datenherkunft, mögliche Ausprägungen und das Mapping auf Datenfelder und Tabellen nachvollziehen lassen, desto geringer sind Fehlerrisiken bei der Implementierung. An diesem Punkt gibt es wiederum eine Verbindung zum operativen Management der IT-Systeme: Wie wird sichergestellt, dass bei Veränderungen in der Systemlandschaft die Datenbelieferung vollständig bleibt?
Neben der Sicherstellung von initial korrekt aufgesetzten Datenstrecken und Schnittstellen stellen besonders die Kontrollmechanismen für eine vollständige Datenbelieferung ein Schwerpunktthema dar. Besonders die Frage nach den verfügbaren Kontrollmöglichkeiten für den Geldwäschebeauftragten (GWB), um Lücken in der (täglichen) Datenbelieferung zu erkennen, stehen im Fokus.
In Bezug auf die Überprüfung der Datenvollständigkeit darf sich der GWB nicht nur auf Kontrollen zwischen Liefer- und Monitoring- und Screeningsystem fokussieren, sondern muss die gesamte Lieferkette in die risikoorientierte Betrachtung einbeziehen. Hierfür sollten möglichst täglich oder bei jedem Import-Export-Vorgang die Mengen zwischen der jeweiligen Datenquelle und den tatsächlich eingelesenen Datensätzen (technisch) abgeglichen und im Abweichungsfall eskaliert werden. Die alleinige Überprüfung auf die reine Vollständigkeit der Datensätze / Datenzeilen ist aber nicht ausreichend, da i.d.R. zusätzliche Datenattribute wie das oben bereits herangezogene Datenmerkmal zur Trennung nach juristischer und natürlicher Person für die eigentliche Überprüfungsqualität im Pep- und Sanktionsfilter wesentlich ist.
Wie kann also auch die Vollständigkeit der relevanten Lieferattribute innerhalb eines Datensatzes zeitnah evaluiert werden?
Für die Beantwortung dieser Frage ist ein kurzer Blick auf die möglichen Ursachen notwendig. Nicht selten führen Eingabeänderungen in den Frontsystemen (zum Beispiel im Customer Management) dazu, dass Datenfelder leer sind und wiederum für diesen einzelnen Kunden am Liefertag ein Attribut leer sein kann (sofern es sich nicht um ein Pflichtfeld handelt).
Treten hingegen für eine Vielzahl von Kunden an einem Tag eine auffällige Häufigkeit von fehlenden Attributen auf, liegt dies meist an technischen Problemen wie vorangegangenen Anpassungen an Eingabemasken, Auswahlmöglichkeiten, Datentypen und weiterem.
Sollten auffällige Abweichungen in der Datenbelieferung auftreten, sind statistische Verfahren als Teil des Importvorganges notwendig, welche einen Alert oder Incident generieren, sofern zu einem Vergleichszeitpunkt (zum Beispiel Vortag oder Monatsdurchschnitt) Dateninhalte unter einer Schwelle liegen.
Im Fokus einer Überprüfung stehen zusätzlich mögliche Datenausschlüsse. Diese betreffen die zugelieferten Kunden und Transaktionen, aber auch Ausschlüsse in Datenlisten wie PeP und anderen Kategorien. Neben einer schlüssigen, risikoorientierten Herleitung von Filterkriterien (zum Beispiel welche SWIFT-Nachrichtentypen für die Überwachung relevant sind und warum gegebenenfalls nicht) spielt wiederum die Etablierung von Mechanismen und Kontrollen eine wichtige Rolle, welche sicherstellen sollen, dass bei technischen aber auch bei fachlichen Veränderungen eine Überprüfung der systemseitigen Ausschlüsse vorgenommen wird (Stichwort Integration Change-Management). Der GWB sollte daher eng in den Neu-Produkt-Prozess integriert sein und zum Beispiel als Teil der jährlichen Risikoanalyse seine Ausschlüsse und Annahmen kritisch überprüfen und gegebenenfalls in den Systemen nachjustieren.
Mit Blick auf den eigentlichen IT-Betrieb und die Wartung und Betreuung der betroffenen Anwendungen greifen Institute nicht selten auf externe Dritte beziehungsweise die IT-Dienstleister ihrer Gruppe zurück. Die Spannbreite der Verlagerung reicht von einem reinen IT-Betrieb bis hin zur Auslagerung von Sorgfaltspflichten gemäß § 17 GWG.
Für den IT-Dienstleister gelten grundsätzlich unabhängig des Umfanges der Verlagerung die gleichen Anforderungen, in der Praxis werden jedoch gesonderte Aktivitäten und Schwerpunkte vorgenommen.
Als Teil der Überprüfung werden daher neben den Vertragswerken, Servicekatalogen und Leistungsscheinen insbesondere die Schnittstellen zum Dienstleister in den Fokus gerückt. Kernfrage ist, ob bei Incidents, Notfällen, Changes und Datenproblemen der GWB des Instituts zeitnah eingebunden wird und jederzeit die Steuerungshoheit für die ihn betroffenen Pflichten innehält.
Es ist entscheidend, dass in den Service Agreements und Leistungsbeschreibungen mit dem Dienstleister der konkrete Umfang klar definiert wird und Zuständigkeiten eindeutig abgegrenzt sind. Konkrete Leistungsscheine mit einer klaren Aufgabenbeschreibung sollten erstellt werden, um Grauzonen zu vermeiden und die Transparenz zu gewährleisten.
Je nach Reifegrad des Auslagerungsmanagements und der Compliance-Organisation sollten die exakten Aufgaben und Befugnisse klar und schriftlich fixiert und die Entscheidungskompetenz eindeutig definiert sein. Sind in der Praxis Abweichungen zwischen zum Beispiel Leistungskatalog und gelebter Prozesspraxis vereinbart, müssen diese nachvollziehbar und konsistent über alle Dokumente hinterlegt werden. Insbesondere dann, wenn der Dienstleister mehr als einen reinen IT-Betrieb übernimmt und auch in die operativen Compliance-Prozesse eingebunden ist, bestehen Zweifel an einer reinen IT-Verlagerung. Häufig sind die Dienstleister in die Vorklärung von Treffern involviert, was wiederum auf eine Auslagerung hindeutet.
Die u.a. aus der MaRisk abgeleiteten Anforderungen an das Risikomanagement der IT spielen eine wichtige Rolle auch im Umfeld der Geldwäsche-Systeme. Die vom Institut vorgenommene Schutzbedarfseinwertung und die dazugehörige Definition der Kritikalität der AML-Systeme inklusive der Anforderungen an Wiederherstellungszeiten, maximaler Ausfallzeit, etc. werden auch von den Auslegungshinweisen aufgegriffen und fließen folglich in die Überprüfung ein. Zwar ist kurzzeitig die Aufrechthaltung der Geschäftsprozess mit entsprechenden, aufwändigen Mitigationsmaßnahmen möglich (zum Beispiel Definition von manuellen Prüfungen für betriebsrelevante Transaktionen), über einen Zeitraum von mehr als ein bis zwei Tagen kann aber aus Ressourcen- und Risikogesichtspunkten kein Betrieb erfolgen. Institutsspezifisch kann lediglich abgeleitet werden, ob und eventuell wie lange ohne die Systeme operativ gearbeitet werden kann, sowie welche Einschränkungen, wie ein Stopp von Auszahlungen von Finanzmitteln, überhaupt realistisch sind.
Hier ergeben sich in der Praxis zwei Schwerpunkte der Überprüfung: Einerseits, ob der GWB in die Einstufungen (aktiv) eingebunden ist, und andererseits, wie die Business Continuity-Maßnahmen auszusehen haben, welche sich hieraus ableiten. Besonders bei ausgelagertem Betrieb der Systeme müssen diese Anforderungen vertragsseitig berücksichtigt sein.
Häufig zeigt sich bei der Sichtung der relevanten Vertragsbestandteile, dass zwar entsprechende (Sicherheits-) Zertifizierungen des Dienstleisters und Nachweise wie ISAE 3402 vorliegen, die Anforderungen der Bank an IT-Sicherheit und BCM aber nicht deckungsgleich mit den SLAs im Vertrag sind.
Kritisch sind insbesondere im Krisenfall die Kommunikationsabläufe zwischen IT-Verantwortlichen und dem GWB. Bei IT-Auslagerungen wird die Kommunikation häufig über das Auslagerungsmanagement oder andere zentrale Steuerungsfunktionen in den Instituten vorgenommen. Auch hier muss sichergestellt werden, dass der GWB (oder seine Stellvertreter) direkt informiert beziehungsweise einbezogen wird.
Auch wenn Begriffe wie Change-Management, Release Management, Incident und ähnliche nicht unbedingt Kernbestandteil des Sprachportfolios des GWB sind, sind diese ITIL (IT Infrastructure Library) geprägten Begriffe und die dahinterliegenden Prozesskonzepte essenziell für einen stabilen und konsistenten Betrieb der AML-Systeme.
Wie bereits mehrfach angemerkt, spielt die Einbindung der relevanten Rollen in der Compliance-Organisation bei fachlichen und technischen Veränderungen eine wichtige Rolle.
Folgende Aspekte sind in der Praxis besonders zu beachten:
Allgemein ging der Trend in den letzten Jahren sehr stark in die Nutzung von markterprobten Compliance-Lösungen. Nur noch in wenigen Sonderfällen werden individuelle Lösungen von den Banken für Spezialfälle entwickelt und betrieben. Dies liegt primär am hohen Reifegrad dieser in Bezug auf Performance und fachlich-technische Features; auch wenn man bei älteren Release-Versionen zumeist bei der Performance der Trefferqualität Abstriche machen muss. Bedingt durch die rasche Etablierung von KI-gestützten Lösungsansätzen auch in der Finanzindustrie versuchen auf der anderen Seite Institute AFC-Lösungsbausteine selbst weiterzuentwickeln und meist als „Add-on“ an die bestehende Lösungslandschaft zu integrieren. Hier sind u.a. agentenbasierte Lösungsbausteine sowie GenAI-gestützte Dokumentengenerierung punktuell bereits im Einsatz.
Aus Sicht des BT 6 liegt bei Eigenentwicklungen ein besonderes Augenmerk auf dem Change-Management und der Testing-Umsetzung. Auch selbst entwickelte Lösungen benötigen Wartung und Weiterentwicklung, welche gesteuert und getestet werden müssen. Je nach Bank und deren IT-Prozessframework sind die Testing-Anforderungen unterschiedlich streng ausgelegt und können zu Lücken (auch in der Überprüfung) führen.
Ein Stolperstein in Bezug auf Eigenentwicklungen kann bei IDV-nahen Lösungen mittels MS Access und Excel (mit Scripten und anderen einfachen Programmieransätzen für die Logik) liegen. Solche Anwendungen müssen analog zu komplexen Softwareentwicklungsprojekten gemäß der IT-Vorgaben umgesetzt werden. Für den späteren Betrieb dieser „Light“-Lösungen muss zudem der Zugriffsschutz gewährleistet werden, Änderungs- oder sogar Überschreibemöglichkeiten der Dateien reguliert werden.
Nicht transparent ist, ob und wann die Aufsicht das Themengebiet aus den Auslegungshinweisen zum Thema Monitoring novelliert oder ob bzw. wie konkret auf europäischer Ebene technisch-prozessuale Anforderungen an die Institute bzw. die Systeme definiert werden. Nachschärfungen und Abstimmungen von Seiten der BaFin erfolgen in der Regel primär über das Institut der Wirtschaftsprüfer (IDW).
Da die Zuständigkeit für das Themenfeld Sanktionen nicht bei der BaFin, sondern bei der Bundesbank liegt, sind gegebenenfalls auch von dieser Seite weitere Konkretisierungen neben den bestehenden Veröffentlichungen wie dem Merkblatt zur Einhaltung von Finanzsanktionen (zuletzt aktualisiert 2024) zu erwarten oder sogar eine langfristige Konsolidierung der Zuständigkeiten und daraus folgenden Konsolidierungen der Anforderungen.
Insbesondere Anforderungen in Bezug auf das Spannungsfeld KI – GenAI im Geldwäscheumfeld und deren Umsetzung in IT-Systemen – könnte den verpflichteten Instituten zu mehr Klarheit verhelfen. Da der Fokus der AuA BT-Veröffentlichung(en) auf Kreditinstituten liegt, bleibt auch abzuwarten, ob gleichartige Anforderungen an Versicherungen und weitere Finanzmarktakteure mit Geldwäsche- und Sanktionsbezug gestellt werden.
Auch wenn die Einhaltung der Anforderungen aus den AuA BT 6 Zeit- und ressourcenintensiv für die Institute scheint: Sie helfen neben der Vermeidung von Feststellungen auch, das Fundament für eine dauerhaft hohe Qualität der Anti-Geldwäsche-, Sanktions- und Betrugsmechanismen sicherzustellen sowie langfristig robust auf neue Herausforderungen der Finanzkriminalität reagieren zu können.
Autoren:
Peter Schadt
Partner Deloitte / Financial Crime
Sebastian Hainzl
Senior Manager Deloitte / Financial Crime
| (Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Dann können Sie sich hier für unseren Newsletter anmelden – kostenlos und unverbindlich) |
Die Welt wird digitaler, und das macht sich auch bei Kunst bemerkbar: bereits seit einigen Jahren kann man digitale Kunst in Museen wie dem Moco in London bestaunen. Dazu gehört auch das Phänomen von sog. NFTs (Non-Fungible Token). Im folgenden Beitrag soll erörtert werden, wie digitale Kunst geldwäscherechtlich behandelt wird, welche Konsequenzen sich für Verpflichtete ergeben, und was das ab 2027 anzuwendende EU-Geldwäschepaket für digitale Kunst bedeutet.
Die Zeiten der kompletten Anonymität im Kunsthandel sind bereits seit einiger Zeit vorbei. Kunsthändler müssen – ab gewissen Wertgrenzen – die Identität der Kunden feststellen. Unklarheit herrscht insoweit für digitale Kunstmärkte. Wie weit fallen diese in den Anwendungsbereich des Geldwäschegesetzes? Digitale Kunst/NFTs fallen nach aktuellem Stand in eine Grauzone, da sie nicht in den antiquitätenlastigen Kulturgutkatalog passen.
Auf europäischer Ebene waren im Kunstmarkt agierende Akteure im Geldwäschekontext lange Zeit nur indirekt erfasst. Die 4. EU-Geldwäscherichtlinie (Richtlinie (EU) 2015/849) verpflichtete zunächst nur allgemein „Personen, die gewerblich mit Gütern handeln“ – allerdings beschränkt auf Barzahlungen ab EUR 10.000. Kunstwerke fielen damit nur unter das Geldwäscherecht, wenn hohe Bargeldsummen im Spiel waren. Mittlerweile lässt die Anti-Geldwäsche-Gesetzgebung auch den Kunstmarkt nicht mehr außen vor und bezieht wesentliche Akteure dieses Marktes in ihren Anwendungsbereich ein. Durch die 5. EU-Geldwäscherichtlinie (Richtlinie (EU) 2018/843) wurde der Kunstsektor ausdrücklich genannt: Nun zählen „Personen, die mit Kunstwerken handeln oder beim Handel mit Kunstwerken als Vermittler tätig werden, auch Kunstgalerien und Auktionshäuser, sofern sich der Wert einer Transaktion oder einer Reihe verbundener Transaktionen auf 10 000 EUR oder mehr beläuft“ zu den Verpflichteten. Ebenso wurden „Personen, die Kunstwerke lagern, mit Kunstwerken handeln oder beim Handel mit Kunstwerken als Vermittler tätig werden, wenn dies durch Freihäfen ausgeführt wird, sofern sich der Wert einer Transaktion oder einer Reihe verbundener Transaktionen auf 10 000 EUR oder mehr beläuft“ erfasst. Diese Klarstellung erfolgte vor dem Hintergrund spektakulärer Auktionspreise und Enthüllungen (etwa durch die Panama Papers), die zeigten, dass der Kunstmarkt für Geldwäsche missbraucht wurde. Die EU wollte hier ein Schlupfloch schließen. Unter dem deutschen Geldwäschegesetz (GwG) in seiner derzeitigen Form sind Kunsthändler (unter dem Tatbestandsmerkmal des Güterhändlers), Kunstvermittler und Kunstlagerhalter grundsätzlich als Verpflichtete erfasst (§ 2 Abs. 1 Nr. 16 GwG). Das GwG definiert den Begriff des Güterhändlers (unter den, wie gesagt, auch Kunsthändler fallen) als jemanden, der „gewerblich Güter veräußert oder erwirbt, unabhängig davon, in wessen Namen oder auf wessen Rechnung“ (§ 1 Abs. 9 GwG). Kunstvermittler wiederum ist, wer gewerblich den Abschluss von Kaufverträgen über Kunstgegenstände vermittelt, auch als Auktionator oder Galerist. Damit unterliegen klassische Akteure des Kunstmarkts den geldwäscherechtlichen Pflichten, sobald der Schwellenwert von EUR 10.000,00 überschritten wird. Der Anknüpfungspunkt für die Verpflichtetenstellung erfolgt also einerseits über die Definitionen der Tätigkeiten (handeln oder vermitteln). Andererseits bezieht sich die jeweilige Definition auf die Ausübung dieser Tätigkeit in Bezug auf Kunstgegenstände bzw. Kunstwerke (works of art). Der für die Verpflichtetenstellung also sehr zentrale Begriff der Kunstgegenstände und -werke ist allerdings weder im deutschen GwG noch in den europäischen Richtlinien definiert, so dass sich hier die Frage stellt, was der Begriff umfasst. Diese Frage wird insbesondere bei neuen Phänomenen wie digitaler Kunst und NFTs (Non-Fungible Tokens) spannend.
Ganz erheblich für die Verpflichtetenstellung ist, wie der Begriff „Kunstwerk“ geldwäscherechtlich zu definieren ist. Mangels ausdrücklicher Legaldefinition greift der deutsche Gesetzgeber in der Gesetzesbegründung auf den steuerrechtlichen Kunstbegriff zurück. „Kunstgegenstände“ im Sinne des GwG sind demnach solche, die nach Nr. 53 der Anlage 2 zu § 12 Abs. 2 UStG als Kunstwerke zählen. Dazu gehören unter anderem Gemälde, Zeichnungen, Originalstiche, Originalplastiken und Bildhauerarbeiten. Alltagsgegenstände oder Antiquitäten ohne künstlerischen Charakter fallen hingegen nicht darunter. Diese Auslegung orientiert sich an einem sehr traditionell-plastischen Verständnis von Kunstwerken – also physischen Objekten wie Bildern oder Skulpturen. Digitale Kunstwerke, wie beispielsweise NFTs, sind in dieser Aufzählung nicht ausdrücklich enthalten, was Auslegungsfragen aufwirft.
Vor diesem Hintergrund stellt sich die Frage, ob digitale Kunstwerke, beispielsweise in Form von NFTs, unter den geldwäscherechtlichen Kunstbegriff fallen. Sollten NFTs als „Kunstgegenstände“ zu qualifizieren sein, würden und NFT-Plattformen entsprechend als Kunstvermittler gelten, und müssten sodann geldwäscherechtliche Pflichten erfüllen.
Wenn man NFTs (Non-Fungible Token) und Kunst hört, denkt man schnell an „Everydays: The First 5000 Days“ von Beeple, CryptoPunks oder die Bored Apes. Die NFTs, die den Besitz eines digitalen Kunstwerks eindeutig einer Person (bzw. Adresse) mittels Blockchain-Technologie zuordnen lassen können, können (in der Regel frei, einfach und schnell) digital zwischen Personen übertragen werden. Grundsätzlich braucht es hierfür keine Intermediäre, die geldwäscherechtlich verpflichtet sein könnten. In der Praxis treten dennoch meistens Akteure auf, die Plattformen und andere Dienstleistungen anbieten. Die meisten NFTs repräsentieren digitale Sammlerstücke oder Kunstwerke, die oft zu hohen Preisen gehandelt werden. Allerdings sind NFTs immaterielle Token. Sie lassen sich keinem der klassischen Kunstgegenstände (Gemälde, Plastiken etc.) eindeutig zuordnen. Aussagen der Aufsichtsbehörden über NFTs als Kunstgegenstand sind nicht bekannt. Die BaFin hat klargestellt, dass sie nur zuständig ist, wenn ein NFT als Finanzinstrument einzustufen ist.
Wie weit ein NFT ein Kunstgegenstand nach dem GwG ist oder sein kann, ist nicht klar erfasst. Auch die Gemeinsamen Auslegungs- und Anwendungshinweise der Länder (AuA) enthalten keinen expliziten Hinweis, sodass abermals Interpretation gefragt ist. Bereits seit längerem ist anerkannt, dass der Güterbegriff nach dem GwG keine Materialisierung verlangt. Sowohl in der juristischen Fachliteratur werden unkörperliche Gegenstände unter den Güterbegriff subsumiert. Auch aus den AuA der Länder ergibt sich, dass bewegliche und unbewegliche Sachen ohne Berücksichtigung ihres Aggregatzustandes, wie beispielsweise Gas und Strom, erfasst sind. Dieser immaterielle Ansatz steht allerdings im Gegensatz zu der oben bereits genannten klassischen Definition des physischen Kunstwerkes des Steuerrechts, dem sich bisher für das Geldwäscherecht bedient wird. Höchstrichterliche Rechtsprechung, die Klarheit schaffen könnte, existiert (noch) nicht. Für digitale Kunst und NFTs bleibt also unklar, ob sie als „Kunstgegenstände“ gelten. Aktuell spricht vieles dafür, dass NFTs mangels ausdrücklicher Regelung nicht als Kunstgegenstände erfasst sind; so auch der FATF (Financial Action Task Force) Bericht von Juni 2023.
Ein Hauptproblem ist – wie oben diskutiert – die Einordnung neuartiger Geschäftsmodelle im Kunstmarkt. Online-Plattformen für digitale Kunst/NFTs bewegen sich derzeit in einer Grauzone. Nach geltendem Wortlaut sind sie nicht als Kunstvermittler erfasst, solange NFTs nicht als „Kunstgegenstände“ gelten. Die Aufsicht der BaFin erfasst sie nur, wenn die NFTs Finanzinstrumente sind.
NFT-Plattformen können als Kryptowertedienstleister unter der MiCAR nur erfasst werden, wenn die NFTs tatsächlich nicht einmalig und mit anderen Kryptowerten fungibel sind. Allerdings gilt das nur für solche NFTs, die faktisch wie Kryptowährungen fungieren. Rein künstlerische NFTs, die tatsächlich einmalig sind, fallen nicht darunter.
Für Kunsthändler und Plattformbetreiber besteht die erhebliche Unsicherheit, selbst einschätzen zu müssen, ob und welche (Erlaubnisanforderungen und) geldwäscherechtlichen Pflichten für ihr konkretes Geschäftsmodell gelten, wenn sie mit NFTs handeln. Angesichts dieser Graubereiche und der drohenden Sanktionen sind viele Marktteilnehmer gut beraten, rechtskundigen Rat einzuholen.
Zum 10. Juli 2027 wird die EU-Geldwäscheverordnung (Verordnung (EU) 2024/1624 – AMLR) und die sechste EU-Geldwäscherichtlinie (Richtlinie (EU) 2024/1640 – AMLD6) das Geldwäscherecht neugestalten. Dabei wird der Begriff des Kunstvermittlers und Kunstlagerhalters ersetzt. Die neuen Begrifflichkeiten knüpfen an den Handel, die Vermittlung oder Aufbewahrung von Kulturgütern an. Kulturgüter werden durch einen Verweis auf den Anhang I der Kulturgüterverordnung (Verordnung (EG) Nr. 116/2009) definiert. Diese erfasst eine Vielzahl von Gegenständen, einschließlich Bilder und Gemälden, aus jeglichem Material und auf jeglichem Träger, die vollständig von Hand hergestellt sind.
Im Hinblick auf digitale Kunst stellt sich die Frage, wie weit diese nun von der neuen Terminologie erfasst wird.
Die AMLR, die ab 10. Juli 2027 unmittelbar gilt, ersetzt die bisherigen Regeln des GwG in weiten Teilen. Insbesondere wird der bisher allgemeine Begriff des „Güterhändlers“ abgeschafft. Stattdessen nennt die Verordnung sehr spezifisch bestimmte Kategorien von Waren und Branchen. Für den Kunstbereich führt sie den weiter gefassten Terminus „Kulturgüter“ ein. Die Kategorien Kunsthändler/Kunstvermittler (§ 2 Abs. 1 Nr. 16 GwG) werden in der heutigen Form entfallen. Stattdessen wird man von Kulturguthändlern, -vermittlern und -lagerhaltern sprechen, wie sie in der AMLR definiert sind. Durch den Begriff der „Kulturgüter“ wird Bezug genommen auf die EU-Kulturgüterschutzverordnung, die z.B. im Zollrecht die Ausfuhr kulturell wertvoller Gegenstände regelt. Anhang I dieser Verordnung listet im Wesentlichen historische Kulturgüter auf – von archäologischen Objekten (über 100 Jahre alt) über Gemälde, Skulpturen, Zeichnungen bis hin zu antiken Büchern, Archivalien und Sammlungsstücken. Typischerweise enthalten sind Alters- oder Wertgrenzen (z.B. Gemälde älter als 50 Jahre und bestimmter Mindestwert). Ähnlich wie unter der aktuellen Rechtslage, wird also auch zukünftig weitestgehend auf plastische, typisierte Gegenstände abgestellt, um den Begriff „Kulturgüter“ auszufüllen.
Zugleich definiert die AMLR, wer in Bezug auf solche Kulturgüter verpflichtet ist. Erfasst werden künftig explizit:
Die spannende Frage lautet nun, ob digitale Kunstwerke wie NFTs zukünftig in den Anwendungsbereich fallen. Schließlich knüpft die AMLR an den Kulturgutbegriff an, der ausweislich Anhang I der EU-Kulturgüterschutzverordnung überwiegend physische und historische Objekte umfasst. Rein digitale Güter werden dort nicht erwähnt. Dies ist auch verständlich, stammt die Liste doch im Kern aus dem Jahr 2009. Damals war an das NFT-Kunstwerk aus 2021 noch nicht zu denken. Dies bedeutet zwar nicht zwangsläufig, dass NFT automatisch kein „Kulturgut“ sein könnten, da auch ältere abstrakte Gesetze grundsätzlich so anpassungsfähig sind, auch moderne Sachverhalte zu erfassen; es mangelt NFT allerdings an einer ganz entscheidenden Voraussetzung, die im Anhang I der EU-Kulturgüterschutzverordnung vorausgesetzt wird: Das Alter. NFT sind weder älter als 50 Jahre, noch materielle Objekte wie Gemälde oder Skulptur. Auch moderne digitale Werke würden durch das Raster fallen, solange der Katalog nicht angepasst wird. Zwar enthält Anhang I auch allgemeine Kategorien wie „Originale von Bildern und Gemälden […] in beliebigem Material“ ohne Altersangabe. Doch selbst wenn man ein digitales Bild als „Bild in beliebigem Material“ interpretieren wollte, bleibt das Problem der Materialität: Die Vorschriften zielten auf physische Gegenstände ab, nicht auf virtuelle Token. Es bedürfe schon einer sehr kreativen Auslegung des Merkmals „beliebiges Material“, um auch immaterielle Kunst darunter zu fassen. Dies dürfte mit dem Wortlaut der Anlage I kaum vereinbar sein.
Neben dem Handel mit Kulturgütern erfasst die AMLR auch den Handel mit hochwertigen Gütern. Auch eine Einstufung als “hochwertige Güter” scheidet aber aus. Diese verweisen auf einen eigenen Katalog an Gegenständen in der AMLR und erfassen – ab einem bestimmten Wert – Schmuck, Gold- und Silberschmiedewaren, Uhren, Kraftfahrzeuge, Luftfahrzeuge und Wasserfahrzeuge.
Es spricht also viel dafür, dass digitale Kunst und NFTs auch unter der künftigen AMLR zunächst nicht erfasst sind. Allerdings ist die Entwicklung nicht abgeschlossen. Zum einen eröffnet die AMLR der EU die Möglichkeit, neue Risiken aufzugreifen. Sollte sich herausstellen, dass NFTs in erheblichem Umfang für Geldwäsche missbraucht werden, könnte der Gesetzgeber reagieren – etwa durch Ergänzung des Kulturgutkatalogs oder spezifische Regelungen für digitale Vermögenswerte. So wird auch die MiCAR im Hinblick auf NFTs überprüft werden. Zum anderen dürfen NFTs nicht isoliert betrachtet werden: Kryptowert-Dienstleister (wie Wallet-Anbieter, Börsen etc.) sind weiterhin erfasst. Wenn NFT-Marktplätze Leistungen erbringen, die die Definition der Kryptowertedienstleistungen entsprechen (z.B. Verwahrung von Kryptowerten, Tausch von Kryptowerten), könnten sie über diese Tätigkeiten unter die geldwäscherechtlichen Verpflichtungen fallen. Die 6. Geldwäscherichtlinie (AMLD6) verpflichtet die Mitgliedstaaten jedenfalls, ihr nationales Recht an die neuen Kategorien anzupassen und Verstöße entsprechend zu sanktionieren. Es bleibt also etwas Zeit für die digitale Kunstszene.
Aus Sicht von Kunsthändlern und NFT-Plattformen bedeutet das neue EU-Paket zwar eine gewisse Kontinuität, allerdings auch neue rechtliche Fragen. Die klassischen Pflichten (KYC, Monitoring, Meldungen) bleiben bestehen, allerdings auf EU-Ebene vereinheitlicht. Die Schwellenwerte wie EUR 10.000 werden ebenfalls beibehalten. Neu ist die Begrifflichkeit: Man wird sich an “Kulturgüter” statt “Kunstwerke” orientieren müssen. Für alte Meister und Antiquitäten ist das passgenau; Digital Art hingegen bleibt nicht erfasst. Marktteilnehmer sollten aber die Entwicklung über 2027 hinaus beobachten.
Der Autor:
Johannes Wirtz, LL.M. (University of London) ist Partner bei der internationalen Anwaltskanzlei Bird & Bird LLP in Frankfurt/Main und arbeitet im Bereich Finance & Financial Regulation. Er berät dort auch im Unternehmen in Kryptosektor sowie zu geldwäscherechtlichen Fragestellungen. Sie erreichen den Autor unter: johannes.wirtz@twobirds.com
Durch die automatisierte Verknüpfung von Transaktionsdaten der an safeAML teilnehmenden Banken entsteht bei EuroDaT ein Transaktionsnetzwerk, das die Mittelflüsse bei auffälligen Kontobewegungen darstellt. So werden mögliche Geldwäschestrukturen sichtbar, die einzelne Institute nie allein sehen würden.
Der seit dem 4.6.2025 laufende safeAML Pilot befindet sich im Einklang mit den rechtlichen Rahmenbedingungen zur Geldwäschebekämpfung (GwG) und dem Europäischen Datenschutz (DSGVO). Am Pilot nehmen aktuell die N26, Commerzbank und die Deutsche Bank teil. Zur Erreichung einer flächendeckenden Beteiligung befinden sich das Projekt und seine Partner im Gespräch mit Organisationen im In- und Ausland. Die EuroDaT GmbH ist eine 100% Tochter des Landes Hessen, ein neutraler und unabhängiger Intermediär für den Datenaustausch zwischen Organisationen. Die EuroDaT betreibt eine vom Anwendungsfall (Use Case) unabhängige Treuhänderplattform, welche die Datengeber, die Auswertungen auf den verschlüsselten Daten und die Empfänger der Ergebnisse entkoppelt. Im Falle des Anwendungsfalles safeAML sind Banken sowohl Datengeber als auch Datenempfänger.
Das Transaktionsmonitoring, die Alert-Ermittlung, die Investigation sowie die Abläufe und Kriterien für eine Verdachtsmeldung an die FIU bleiben durch die Nutzung von safeAML bei den Banken unverändert. Das erstellte Kontennetzwerk bzw. der Netzwerkgraph erlaubt einer Bank eine schnellere und präzisere Bewertung von auffälligen Transaktionen („Alert“).
Gemäß GwG verpflichte Banken können sich zum multilateralen Austausch von Zahlungsverkehrsdaten im Rahmen von Auskunftsersuchen (Transaktionen) technisch an den Datentreuhänder EuroDaT anbinden, um ihren Datenaustausch zu digitalisieren. Ausgehend von einer abzuklärenden (Ursprungs-) Transaktion (Alert) aus dem Monitoring einer Bank (anfragende Bank) wird ein Transaktionsnetzwerk bei EuroDaT aufgebaut. Bei der Ursprungstransaktion handelt es sich um einen nicht weiter abgeklärten Alert, der noch nicht als „auffällig“ i.S.v. § 43 GwG gilt. Eine (anfragende) Bank entscheidet eigenständig, ob abzuklärende Transaktionen zum Zwecke einer Informationsanreicherung an EuroDaT übermittelt werden sollen.
Zum Aufbau des Netzwerks fragt EuroDaT bei den Banken (beitragende Banken) komplementäre Transaktionen mit identischen Sender- und Empfänger-Kontonummern (IBAN) seriell ab. Auf Basis der klarschriftlich ausgetauschten BIC-Codes, die jeweils zu den IBAN gehören, übermittelt EuroDaT die relevanten IBAN an die beitragenden Banken. Anhand der IBAN werden die Transaktionen miteinander vernetzt. Das Transaktionsnetzwerk beschreibt den Mittelfluss und wird als Antwort auf das Auskunftsersuchen durch EuroDaT an die anfragende Bank zurückgegeben. Nur die anfragende Bank erhält eine Antwort bzw. bekommt den Mittelfluss übermittelt. Komplementäre Transaktionen der beitragenden Banken können sowohl potenziell auffällig als auch potenziell unauffällig (Alert oder kein Alert) sein.
Die IBAN werden von den Banken pseudonymisiert an EuroDaT übermittelt. Alle Banken benutzen für die Pseudonymisierung den gleichen Schlüssel. Der Schlüssel wird technisch und organisatorisch getrennt von der EuroDaT gehalten, d.h. der Zugang zum benutzten Schlüssel der Banken ist für die EuroDaT ausgeschlossen. Die EuroDaT gibt der jeweiligen Bank nur die bereits bekannten IBAN zur De-Pseudonymisierung zurück. Es werden ausschließlich Transaktionsdaten bzw. Zahlungsverkehrsdaten verarbeitet, keine Adressdaten. Dadurch gelten die bei EuroDaT verarbeiteten Daten als nicht personenbezogen.
Ursprungstransaktionen können sowohl eingehende Mittel (Gelder) als auch ausgehende Mittel umfassen. Im ersten Fall kann das Senderkonto außerhalb der anfragenden Bank liegen. Im zweiten Fall kann das Empfängerkonto außerhalb der anfragenden Bank liegen. Auf dieser Basis können Mittelherkünfte und -verwendungen verarbeitet und dargestellt werden.
Während der Laufzeit zum Aufbau eines Transaktionsnetzwerks bei EuroDaT auf Basis einer Ursprungstransaktion werden die Datenbestände aller angebunden Banken, identifiziert durch den BIC, abgefragt. Hierzu kommuniziert eine bei der Bank installierte safeAML Komponente (Client) mit der bei EuroDaT installierten Komponente (Server). Die Abfrageparameter, die Anzahl der Variablen sowie die Datenhistorie sind für alle Banken zum Aufbau des Transaktionsnetzwerks gleich.
Ausgehend von einer potenziell auffälligen Ursprungstransaktion wird jeweils ein Transaktionsnetzwerk schrittweise aufgebaut; dieser Prozess wird bei EuroDaT als „Fall“ bezeichnet. Alle Fälle werden bei EuroDaT separat gehalten und nicht miteinander verknüpft. Alle Anfragen und Antworten bzw. Datenverarbeitungen werden unmittelbar (instantan, innerhalb von Sekunden/Minuten) ausgeführt. Danach erfolgt die Löschung aller Rohdaten und aufgebauten Netzwerke bei EuroDaT.
Der safeAML Client besteht aus einer Benutzeroberfläche und einer technischen Schnittstelle zu EuroDaT. Die Benutzeroberfläche dient zur manuellen Übermittlung der Ursprungstransaktion an EuroDaT und die (Rück-) Lieferung des Ergebnisses in Form des Mittelflusses und kommuniziert dazu über die technische Schnittstelle mit EuroDaT. Die Benutzeroberfläche wird von den gleichen Mitarbeitenden bedient, die auch ohne safeAML-Anbindung bereits mit Auskunftsersuchen befasst sind. Die bestehenden Bankprozesse zur Alert-Bearbeitung bleiben unverändert nutzbar. Allerdings erlaubt der Client auch eine rein maschinelle Verarbeitung vom Senden der Ursprungstransaktion und der Entgegennahme des Ergebnisses.
Das jeweilige Transaktionsmonitoring, die Prozesse rund um die Alert-Bearbeitung und die Entscheidung über eine Verdachtsmeldung bleiben bei der Nutzung von safeAML unverändert. Über Verdachtsmeldungen können sich die Banken via safeAML nicht austauschen. Dadurch, dass nur die anfragende Bank ein Ergebnis erhält, können keine Information über auffällige Transaktionen (Alerts) ausgetauscht werden. Teilnehmende Banken erhalten keine für sie bisher unbekannten Kontoinformationen, denn vor der Auslieferung des Ergebnisses (Transaktionsnetzwerk) werden die nicht direkt über Transaktionen mit der anfragenden Bank verbundenen IBANs maskiert („ausgegraut“). Ein Rückschluss auf Personen, von denen die anfragende Bank keine Kenntnis hat, ist damit ausgeschlossen – dazu gäbe es aufgrund des Alertings im Transaktionsmonitoring auch noch keine Rechtsgrundlage. Wie bereits erwähnt, gelten die bei EuroDaT bzw. safeAML verarbeiteten Transaktionsdaten aufgrund der benutzen Technik zur Pseudonymisierung und technisch-organisatorischen Trennung der Schlüsselverwaltung als nicht personenbezogen (Art. 4 Nr. 5 DSGVO).
Das safeAML Transaktionsnetzwerk beschreibt ein Kontennetzwerk, das möglicherweise zur Geldwäsche benutzt wird. Die zwischen diesen Konten ablaufenden Transaktionen werden ausgehend von einer auffälligen Ursprungstransaktion zum Aufbau des Netzwerks bei safeAML benutzt. Die Transaktionen und deren Richtung bilden die Kanten des Netzwerks, die Konten die Knoten. Mit dem Senden der Ursprungstransaktion der anfragenden Bank erfolgt das „Weben“ des Netzwerks automatisiert in Sekunden durch Abfragen an die teilnehmenden Banken. Die Größe des Netzwerks ist durch die zur Verfügung stehenden Daten und durch Abbruchkriterien begrenzt und zeigt idealerweise die drei Phasen der Geldwäsche:
Kontennetzwerke in der Geldwäsche ähneln in ihrer Verzweigung und Komplexität „Spinnennetzen“, um Transaktionswege zu verschachteln und Banken und Ermittlern den Rückschluss auf den Ursprung des Geldes zu erschweren. safeAML ermittelt Transaktionsketten schnell und ohne manuelle Aufwände über mehrere Banken hinweg und löst damit eine „Inselsicht“ auf.
Kontennetzwerke zur Geldwäsche bestehen aus einer Kombination von Standardmustern bzw. Typologien:
Das bei safeAML gewählte technische Format des „Transaktionsnetzwerks“ eignet besonders zur wirksamen Beschreibung von Kontennetzwerken in der Geldwäsche und deren Bekämpfung. Die Größe eines Netzwerks pro Alert bzw. Fall ist unabhängig im Bezug auf manuelle Aufwände und Kapazitäten, erlaubt damit im Grundsatz eine Abdeckung der genannten Phasen der Geldwäsche und ist nur begrenzt durch die zur Verfügung stehenden Daten. Die Investigatoren der Banken können sich auf dieser Basis fokussieren auf die Erkennung der typischen Muster innerhalb des Netzwerks und die Entscheidung ob der Fall gemeldet werden muss.
Beispiel eines Netzwerkes, verteilt über mehrere Banken mit „Layering“ und einem „Hub and Spoke“ Konto, wie es bei safeAML ermittelt werden könnte:
Das Beispiel zeigt die Zweckmäßigkeit von Transaktionsnetzwerken für die Beurteilung am Bildschirm („visuelle Inspektion“) durch die Mitarbeiter:innen in der Compliance bei Banken, um die zugrundeliegenden Typologien zu erfassen und zu erkennen. Auf dieser Basis entscheidet die Bank unverändert, ob eine Verdachtsmeldung erforderlich ist, oder ob der „Alert“ verworfen werden kann. Die an die anfragende Bank zurückgelieferten safeAML Rohdaten sind auch für eine maschinelle Auswertung bei den Banken geeignet, um z.B. Muster zu erkennen, die als Entscheidungshilfen dienen.
EuroDaT setzt mit safeAML einen ersten Standard für einen digitalen Datenaustausch zwischen nach GwG verpflichteten Banken für die Bekämpfung der Geldwäsche. Die wichtigste Aufgabe für die EuroDat und deren Projektpartner ist aktuell die Anbindung weiterer Banken, zunächst im Inland und in einem weiteren Schritt im Ausland. Damit erstens Anfragen an safeAML immer beantwortet werden können und zweitens die Netzwerke über alle Banken hinweg sichtbar werden.
Das neue EU AML Package und insbesondere der Art. 75 der kommenden Geldwäscheverordnung kann die Möglichkeiten für den Datenaustausch noch einmal erweitern; EuroDat ist vorbereitet diese Möglichkeiten zu nutzen.
Zur Aufdeckung und Verfolgung der hinter der Geldwäsche stehenden organisierten Kriminalität und nach entsprechender rechtlicher Bewertung wären folgende safeAML Weiterentwicklungen möglich:
Funktionserweiterungen bei safeAML erfolgen in enger Abstimmung mit den beteiligten Banken. Insgesamt besteht die Möglichkeit der Herstellung einer Chancengleichheit zwischen der Finanzkriminalität und deren Verfolgung durch die Nutzung effektiver Prozesse und Technologie unter gleichzeitiger Beachtung des Rechtsrahmen.
Über den Autor:
Dirk Thomas ist Dipl. Physiker und als Geschäftsführer bei der EuroDat GmbH tätig. Er hat zuvor bei verschiedenen deutschen Kreditinstituten gearbeitet.
Geldwäsche und Terrorismusfinanzierung gehören zu den größten Herausforderungen unserer Zeit. Die entsprechenden Handlungen und Transaktionen finden im Verborgenen statt und wirken sich währenddessen nicht unerheblich auf Sicherheit, Wirtschaft und Gesellschaft aus. Als wesentliches Element der Verschleierung stand bis vor nicht allzu langer Zeit Bargeld exklusiv im Mittelpunkt. Im Zuge der Digitalisierung haben sich die Umstände jedoch radikal verändert. Zunehmend rücken Kryptowährungen, wie beispielsweise Bitcoin, in den Vordergrund. Die zugrunde liegende technische Basis ist die Blockchain-Technologie. Diese fußt wiederum auf einem dezentralen Netzwerk, dem sich grundsätzlich jeder mit Hilfe eines geeigneten Rechners und eines Software-Clients anschließen kann. Die Identität der einzelnen Teilnehmer ist dem Netzwerk insgesamt bzw. den Teilnehmern untereinander nicht bekannt. Diese an Anonymität grenzende Pseudonymität eröffnet völlig neue Möglichkeiten des konspirativen Handelns. Auch gibt es weder eine zentrale Instanz noch einen zentralen Ablageort für die generierten Daten. Ganz im Gegenteil: Jeder Netzwerteilnehmer verfügt jeweils über eine eigene Kopie der vollständigen Blockchain, das heißt, sie ist öffentlich einsehbar und wird auf den Rechnern der Teilnehmer dauerhaft vorgehalten. Mit Blick auf strafrechtliche Ermittlungen zu Geldwäsche und Terrorismusfinanzierung bietet sich hier in Form von Open Source Intelligence (OSINT) die Möglichkeit zur strukturierten Auswertung dieser frei zugänglichen (digitalen) Informationen.
Studie zum Einsatz von Open Source Intelligence (OSINT)
In unserer zunehmend digitalisierten Welt ist mit dem Internet ein globaler, digitaler Raum ohne physisch wahrnehmbare Grenzen geschaffen worden. Hier lassen sich nicht nur Angebot und Nachfrage für illegale Güter und Dienstleistungen unter den günstigen Rahmenbedingungen einer erschwerten Strafverfolgung zusammenführen. Auch Geldwäsche lässt sich auf viele Arten, über Wallets, Kryptobörsen oder NFT-Handelsplattformen, verschleiern. Spenden für Terrorgruppen können fast mühelos über öffentlich geteilte Wallet-Adressen akquiriert werden.
Offizielle Statistiken blenden all diese Aspekte bislang weitgehend aus und es ergibt sich eine massive Datenlücke, die ein enormes Dunkelfeld hinterlässt. In der Konsequenz weisen die Schätzungen zum Umfang von Geldwäsche in Deutschland ein breites Spektrum auf. Dieses reicht von 29 Milliarden bis über 100 Milliarden Euro jährlich. Welche Rolle Kryptowerte dabei bereits heute spielen, ist bisher jedoch kaum belastbar belegt. Aus diesem Grund hat sich das EU-geförderte Forschungsprojekt G.E.K.O des Jean Monnet Centre of Excellence Crime Investigations and Criminal Justice(CCICJ) an der Hochschule für Öffentliche Verwaltung Bremen im Rahmen einer Studie mit der Rolle von Kryptowerten und dem Nutzen von Open Source Intelligence (OSINT) bei der Ermittlungsarbeit an Geldwäsche und Terrorismusfinanzierung befasst – mit aufschlussreichen Ergebnissen.
Möglichkeiten der (schönen) neuen digitalen Welt
Das Potenzial von OSINT liegt in der schnellen und grenzüberschreitenden Informationsgewinnung bei zugleich kostengünstiger Ermittlungsarbeit. Im Optimalfall kann mittels Verknüpfung bestimmter öffentlich verfügbarer Informationsfragmente vom Bekannten auf das Unbekannte geschlossen werden. Blockchain-Analysen, Social-Media-Auswertungen oder auch Darknet-Recherchen eröffnen daher neue Ermittlungs- und Präventionsansätze. Im Fall von Blockchain-Analysen rücken Bitcoin-Transaktionen sowie die involvierten Bitcoin-Adressen in den Fokus. Die Zahlung mit Bitcoin verläuft pseudonym, das heißt, es findet kein Austausch zwischen Sender und Empfänger statt, sondern die Inhaberschaft von Bitcoin-Einheiten wird einer anderen Bitcoin-Adresse zugeordnet. Diese Veränderungen in der Zuordnung von Inhaberschaften werden bei der Blockchain-Technologie wiederum als eine Art Datenbankeintrag in der jeweils zugrunde liegenden Blockchain dauerhaft und unveränderbar dokumentiert. Bei entsprechend strafrechtlich motivierten Analysemethoden wäre deshalb in der Transaktionshistorie der Bitcoin-Blockchain nach möglichen Endpunkten mit idealerweise durchgeführten KYC-Prozessen zu suchen, um eine Verbindung zwischen den handelnden Individuen und den dabei von ihnen gesteuerten Adressen herzustellen. Die Daten der Blockchain müssen folglich zwingend mit Daten außerhalb der Blockchain in Beziehung gesetzt werden. Dies wäre beispielsweise im Zusammenspiel mit einer geeigneten Social-Media-Auswertung möglich. So könnten sich Foren-Nutzer und deren Bitcoin-Adressen in Zusammenhang mit Bitcoin-Transaktionen bringen lassen, sofern diese womöglich öffentlich zur Unterstützung von strafrechtlich relevanten Aktionen aufrufen und zugleich eine Spende an bestimmte Bitcoin-Adressen erbitten. Hier bietet unter Umständen die bei der Registrierung für das Forum angegebene E-Mail-Adresse einen Ansatzpunkt für die Feststellung der Identität des Nutzers.
Anwendungsbereich ist nicht auf strafrechtliche Ermittlungen beschränkt
Auch den globalen Geldwäscheaktivitäten wird sich künftig angesichts der Pseudonymität der Blockchain-Technologie nicht ohne Fähigkeit zur Analyse von Transaktionsdaten einer Blockchain entgegentreten lassen. Somit weist OSINT auch Relevanz für Compliance und Geldwäscheprävention auf.
Verpflichtete nach dem GwG haben ein breites Spektrum an Anforderungen zu erfüllen. Ihr Risikomanagement soll mit Hilfe entsprechender Analysen und interner Sicherungsmaßnahmen die individuellen Risiken für Geldwäsche und Terrorismusfinanzierung steuern, wobei die konkrete Ausgestaltung dem Verpflichteten überlassen bleibt. Die grundsätzliche Pseudonymität der Blockchain-Technologie und ihrer Nutzer sowie das damit einhergehende Potenzial für undurchsichtiges Handeln im Rahmen von Transfers dürften zweifelsfrei ein Risiko darstellen, dem auf geeignete Art und Weise entgegenzutreten ist. Infolgedessen könnten im Zuge der Aufnahme von neuen Geschäftsbeziehungen künftig entsprechende KYC-Prozesse möglicherweise auch die Prüfung bestehender Verbindungen zwischen Personen und sanktionierten Wallets umfassen (müssen). Hierbei könnten dann bestimmte Werkzeuge, wie beispielsweiseMaltego oder DataWalk, zum Einsatz kommen, bei denen die Visualisierung und Analyse von Beziehungen und Verbindungen zwischen Informationsfragmenten automatisiert erfolgt. Es wäre indes je nach Relevanz abzuwägen, ob ein entsprechendes Budget für Dienstleister einzuplanen oder am Ende die entsprechende Expertise im Unternehmen aufzubauen und vorzuhalten ist. Am Ende gilt es demnach herauszufinden, wie umfangreich die Maßnahmen aus Compliance-Perspektive sein sollten.
Wachsender Bedarf
In der genannten Studie des CCICJ bewerten die Strafverfolgungsbehörden die Bedeutung von OSINT beispielsweise mit 4,5 von 5 Punkten und weisen auf das Potenzial für strafrechtliche Ermittlungen, Compliance und Geldwäscheprävention hin. Effizienz und Geschwindigkeit von Präventions- und Ermittlungsarbeit ließen sich durch die Einbindung von OSINT offenbar steigern.
Die Kehrseite der Medaille: Der Rückgriff auf Datenbanken zu bereits analysierten Bitcoin-Transaktionen der Vergangenheit bei entsprechend spezialisierten Dienstleistern ist kostenpflichtig. Der Aufbau solcher Datenbanken wäre den Ermittlungsbehörden auf Basis der bekannten Vorgehensweise hingegen grundsätzlich auch eigenständig möglich.
Die Studie kommt zu einer klaren Schlussfolgerung: Bereits für den generellen OSINT-Einsatz fehlt es sowohl an spezialisierten Fachkräften als auch an geeigneten Werkzeugen. Die eingesetzten Werkzeuge und auch das Schulungsangebot sind bei den Ermittlungsbehörden uneinheitlich oder unzureichend standardisiert. Auch existieren keine zentralen Analyse-Hubs oder lizenzfinanzierte Schwerpunktstellen für ressourcenintensive Tools. Der Status quo offenbart: In Zukunft muss es weniger isolierte Zuständigkeiten, eine zunehmende arbeitsteilige Spezialisierung, moderne Technik und ein koordiniertes Vorgehen geben.
Ausblick
Es liegt nahe, dass nur der vertraute Umgang mit technischen Neuerungen der digitalen Welt dazu führen kann, dass sich ein Verständnis für die Ursachen von Straftaten oder Compliance- und Geldwäscherisiken ausbildet. Exemplarisch sei an dieser Stelle auf Phänomene wie das Wash-Trading verwiesen. Hierbei werden im Zusammenhang mit Non-Fungible Token (NFT) deren Handelsvolumen und Marktpreis künstlich erhöht, indem ein Nutzer zahlreiche Verkäufe zwischen eigenen Wallets bei verschiedenen Handelsplattformen vornimmt, um den Eindruck einer hohen Nachfrage zu erwecken. Auf diesem Wege könnte inkriminierte Kryptowährung entlang einer Kette von Transaktionen investiert, kumuliert und letztendlich als legal wirkender Spekulationsgewinn ausgewiesen werden. Nur das Wissen darüber, dass eine Analyse von Blockchain-Daten etwaige vorhandene Muster des Wash-Tradings erkennen bzw. eine indirekte Verbindung von Verkäufer und Käufer aufdecken könnte, ermöglicht die Entwicklung geeigneter Präventionsmaßnahmen für das eigene Geschäftsmodell.
Sowohl Strafverfolgungsbehörden als auch Verantwortliche in den Bereichen Compliance und Geldwäscheprävention werden geeignete Maßnahmen für die neuen Herausforderungen im digitalen Raum finden müssen. Ohne strategischen Ausbau von Technik und Personal sowie die Schaffung geeigneter rechtlicher Rahmenbedingungen werden Behörden und Unternehmen der Dynamik digitaler Finanzkriminalität offenkundig nicht ohne Weiteres standhalten können.
Der Autor:
Dipl.-Kfm. Christian Bliesener, LL.B., CFE, ist Compliance Officer bei der wpd GmbH. Lehrbeauftragter an der Hochschule für Öffentliche Verwaltung Bremen. Mitglied im Jean Monnet Exzellenzzentrum für Strafrechtliche Ermittlungen und Strafjustiz (CCICJ). Praxiserfahrung durch Tätigkeiten als behördlicher Ermittler, Auditor und Compliance Officer.
Die BaFin hat bei dem Berliner Fintech N26 erneut teils gravierende Mängel in der Betrugsbekämpfung und beim internen Kontrollsystem festgestellt, woraufhin Investoren auf die Ablösung der Gründer Valentin Stalf und Maximilian Tayenthal drängen. Die BaFin droht mit weiteren Maßnahmen und erwägt Verwarnungen gegen Geschäftsleiter, da das Institut nach Einschätzung der Behörde nicht in der Lage sei, weiteres Kundenwachstum angemessen zu managen. Bereits 2021 hatte die BaFin wegen unzureichender Compliance-Strukturen eine Neukundenbegrenzung verhängt, die N26 nach eigenen Angaben Milliarden kostete.
Das Bundeskriminalamt meldet im Bundeslagebild Wirtschaftskriminalität für 2024 einen dramatischen Anstieg der Wirtschaftsdelikte um 57,6 % gegenüber dem Vorjahr. Dafür ist vor allem der Anstieg in den Fallzahlen von Abrechnungsbetrug im Gesundheitswesen (847,6 %) verantwortlich. Die Schadenssumme erreichte im Jahr 2024 2,76 Milliarden €, während sich vermehrt organisierte Banden mit Geldwäsche-Bezug etablieren. Außerdem erschwert die zunehmende Verlagerung ins Internet die Verfolgung inkriminierter Gelder erheblich.
Die gemeinsamen Auslegungs- und Anwendungshinweise der Länder für Güterhändler, Immobilienmakler und Nichtfinanzunternehmen wurden in überarbeiteter Form veröffentlicht. Außerdem wurden einige Merkblätter und Dokumentationsbögen aktualisiert. Hier finden Sie außerdem noch die alte Fassung zum Vergleich.
Die Geldwäscheprävention der Raisin Bank AG weist erhebliche Mängel auf, so die BaFin in einer aktuellen Meldung. Betroffen sind u.a. die Risikoanalyse, die Kundenrisikobewertung, das EDV-Monitoring und die Erfüllung der Pflichten des Geldwäschebeauftragten. Die BaFin hat angeordnet, dass die Raisin Bank AG angemessene und geeignete Maßnahmen zu ergreifen hat, um die festgestellten Mängel zeitnah zu beseitigen.
Die BaFin hat einen Bußgeldbescheid in Höhe von 3,3 Mio. EUR gegen die Varengold Bank AG erlassen. Die Bank hatte in 30 Fällen systematisch Verdachtsmeldungen nicht rechtzeitig abgegeben.
Zusätzlich stellte die BaFin weitere erhebliche Mängel bei der Prävention von Geldwäsche und Terrorismusfinanzierung fest, insbesondere bei der Durchführung von Geschäften mit Iran-Bezug. Die BaFin hat deshalb angeordnet, dass das Institut angemessene und geeignete Maßnahmen ergreifen muss, um diese Mängel zu beseitigen.
Außerdem hat die BaFin gegen die Varengold Bank AG mit Bescheid vom 26. Februar 2025 ein Zwangsgeld in Höhe von 500.000 Euro festgesetzt. Hintergrund sind zwei Verstöße im Zusammenhang mit Transaktionen mit „Payment Agents“ und sonstigen Dritten mit Iran-Bezug.
Das Landgericht Dortmund hat entschieden, dass eine Bank Geschäftsbeziehungen nach § 10 Abs. 9 GwG beenden muss, wenn geldwäscherechtliche Sorgfaltspflichten nicht erfüllt werden können. Im Streitfall hatten zwei Sicherheitsunternehmen versucht, die Kündigung ihrer Geschäftskonten zu verhindern, nachdem sie ein fragwürdiges Goldgeschäft im Volumen von 363 Mio. US-Dollar abgeschlossen hatten. Das Gericht stufte die Transaktion als hochriskant und wirtschaftlich nicht plausibel ein und sah die außerordentliche Kündigung daher als gerechtfertigt und verhältnismäßig an. Eine einstweilige Verfügung auf Fortführung der Konten wurde folglich abgelehnt, die Berufung beim OLG Hamm blieb erfolglos.
Das Bundesfinanzministerium hat die neue GwG-Meldeverordnung (GwGMeldV) verabschiedet, die ab dem 1. März 2026 bundeseinheitliche Standards für Form und Inhalt von Verdachtsmeldungen an die FIU festlegt. Die Verordnung schreibt die elektronische Übermittlung im XML-Format vor und definiert Mindestangaben für verschiedene Meldearten, einschließlich spezifischer Regelungen für Kryptowerte-Transaktionen. Ziel ist die Vereinheitlichung von Verdachtsmeldungen und daraus folgend eine Entlastung der FIU durch strukturierte, maschinenlesbare Datenformate.
Die FATF hat auf ihrer Plenartagung Ende Oktober 2025 ihre Länderlisten aktualisiert. Auf der sog. grauen Liste werden Länder geführt, die nach Einschätzung der FATF strategische Mängel in ihren Regelungen zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und Proliferationsfinanzierung aufweisen.
Nicht mehr gelistet sind Burkina Faso, Mozambique, Nigeria und Südafrika.
Die Financial Intelligence Unit (FIU) hat Anwendungshinweise zur sog. GwG-Meldeverordnung (GwGMeldV) veröffentlicht. Hier gibt die FIU vertiefende Erläuterungen zu den einzelnen Pflichten der GwGMeldV. Hiermit soll ein sachgerechtes und zugleich effektives Meldeverfahren gewährleistet werden.
Das Dokument steht im Internen Bereich der FIU zum Abruf zur Verfügung.
Mit Wiederinkrafttreten internationaler Sanktionen gegen den Iran warnt die BaFin vor verstärkten Versuchen zur Umgehung durch alternative Strukturen und Kryptotransfers. Verpflichtete nach dem Geldwäschegesetz müssen bei Hinweisen auf Umgehungsgeschäfte verstärkte Sorgfaltspflichten gemäß § 15 GwG anwenden.
Die BaFin hat ein Bußgeld in Höhe von 45 Millionen Euro gegen die in Frankfurt am Main ansässige J.P. Morgan SE verhängt. Grund sind systematisch nicht rechtzeitig abgegebene Verdachtsmeldungen in den Jahren 2021 und 2022.
Das BKA und die Generalstaatsanwaltschaft Koblenz haben gestern gemeinsam mit internationalen Partnern über 60 Objekte in neun Ländern durchsucht. Drei Täternetzwerke betrieben Fake-Webseiten und belasteten kompromittierte Kreditkarten mit Schein-Abos. Der Verdacht besteht, dass die Täter vier deutsche Zahlungsdienstleister infiltrierten, wobei sechs ehemalige Führungskräfte mit den Betrügern zusammenarbeiteten. Der Gesamtschaden beläuft sich auf über 300 Millionen Euro, mehr als vier Millionen Kreditkarteninhaber:innen sind betroffen. Das Betrugsmuster wurde durch die FIU erkannt.
Die FATF hat Änderungen an ihrer Empfehlung Nr. 16 (Travel Rule) zur Zahlungstransparenz beschlossen, die bis Ende 2030 global umzusetzen sind. Die Reform standardisiert Informationspflichten für grenzüberschreitende Peer-to-Peer-Zahlungen über 1.000 USD/EUR und präzisiert Verantwortlichkeiten innerhalb der Zahlungskette. Finanzinstitute sollen außerdem neue Technologien zur Betrugsprävention implementieren.
Die EBA hat Entwürfe für vier RTS zur Finalisierung an die AMLA übergeben. Die vier RTS-Entwürfe beschäftigen sich mit den Themen einheitliche Risikobewertungsmethodik für Verpflichtete, Selektionskriterien für AMLA-Direktaufsicht, Kundensorgfaltspflichten sowie Sanktionsmechanismen. Die Vorschläge dienen als Grundlage für eine finale Ausarbeitung durch die AMLA und sollen ab dem 10. Juli 2027 EU-weit gelten.
