Einleitung
Durch die automatisierte Verknüpfung von Transaktionsdaten der an safeAML teilnehmenden Banken entsteht bei EuroDaT ein Transaktionsnetzwerk, das die Mittelflüsse bei auffälligen Kontobewegungen darstellt. So werden mögliche Geldwäschestrukturen sichtbar, die einzelne Institute nie allein sehen würden.
Der seit dem 4.6.2025 laufende safeAML Pilot befindet sich im Einklang mit den rechtlichen Rahmenbedingungen zur Geldwäschebekämpfung (GwG) und dem Europäischen Datenschutz (DSGVO). Am Pilot nehmen aktuell die N26, Commerzbank und die Deutsche Bank teil. Zur Erreichung einer flächendeckenden Beteiligung befinden sich das Projekt und seine Partner im Gespräch mit Organisationen im In- und Ausland. Die EuroDaT GmbH ist eine 100% Tochter des Landes Hessen, ein neutraler und unabhängiger Intermediär für den Datenaustausch zwischen Organisationen. Die EuroDaT betreibt eine vom Anwendungsfall (Use Case) unabhängige Treuhänderplattform, welche die Datengeber, die Auswertungen auf den verschlüsselten Daten und die Empfänger der Ergebnisse entkoppelt. Im Falle des Anwendungsfalles safeAML sind Banken sowohl Datengeber als auch Datenempfänger.
Das Transaktionsmonitoring, die Alert-Ermittlung, die Investigation sowie die Abläufe und Kriterien für eine Verdachtsmeldung an die FIU bleiben durch die Nutzung von safeAML bei den Banken unverändert. Das erstellte Kontennetzwerk bzw. der Netzwerkgraph erlaubt einer Bank eine schnellere und präzisere Bewertung von auffälligen Transaktionen („Alert“).
Grundlage und Ablauf der Verarbeitung
Gemäß GwG verpflichte Banken können sich zum multilateralen Austausch von Zahlungsverkehrsdaten im Rahmen von Auskunftsersuchen (Transaktionen) technisch an den Datentreuhänder EuroDaT anbinden, um ihren Datenaustausch zu digitalisieren. Ausgehend von einer abzuklärenden (Ursprungs-) Transaktion (Alert) aus dem Monitoring einer Bank (anfragende Bank) wird ein Transaktionsnetzwerk bei EuroDaT aufgebaut. Bei der Ursprungstransaktion handelt es sich um einen nicht weiter abgeklärten Alert, der noch nicht als „auffällig“ i.S.v. § 43 GwG gilt. Eine (anfragende) Bank entscheidet eigenständig, ob abzuklärende Transaktionen zum Zwecke einer Informationsanreicherung an EuroDaT übermittelt werden sollen.
Zum Aufbau des Netzwerks fragt EuroDaT bei den Banken (beitragende Banken) komplementäre Transaktionen mit identischen Sender- und Empfänger-Kontonummern (IBAN) seriell ab. Auf Basis der klarschriftlich ausgetauschten BIC-Codes, die jeweils zu den IBAN gehören, übermittelt EuroDaT die relevanten IBAN an die beitragenden Banken. Anhand der IBAN werden die Transaktionen miteinander vernetzt. Das Transaktionsnetzwerk beschreibt den Mittelfluss und wird als Antwort auf das Auskunftsersuchen durch EuroDaT an die anfragende Bank zurückgegeben. Nur die anfragende Bank erhält eine Antwort bzw. bekommt den Mittelfluss übermittelt. Komplementäre Transaktionen der beitragenden Banken können sowohl potenziell auffällig als auch potenziell unauffällig (Alert oder kein Alert) sein.
Die IBAN werden von den Banken pseudonymisiert an EuroDaT übermittelt. Alle Banken benutzen für die Pseudonymisierung den gleichen Schlüssel. Der Schlüssel wird technisch und organisatorisch getrennt von der EuroDaT gehalten, d.h. der Zugang zum benutzten Schlüssel der Banken ist für die EuroDaT ausgeschlossen. Die EuroDaT gibt der jeweiligen Bank nur die bereits bekannten IBAN zur De-Pseudonymisierung zurück. Es werden ausschließlich Transaktionsdaten bzw. Zahlungsverkehrsdaten verarbeitet, keine Adressdaten. Dadurch gelten die bei EuroDaT verarbeiteten Daten als nicht personenbezogen.
Ursprungstransaktionen können sowohl eingehende Mittel (Gelder) als auch ausgehende Mittel umfassen. Im ersten Fall kann das Senderkonto außerhalb der anfragenden Bank liegen. Im zweiten Fall kann das Empfängerkonto außerhalb der anfragenden Bank liegen. Auf dieser Basis können Mittelherkünfte und -verwendungen verarbeitet und dargestellt werden.
Während der Laufzeit zum Aufbau eines Transaktionsnetzwerks bei EuroDaT auf Basis einer Ursprungstransaktion werden die Datenbestände aller angebunden Banken, identifiziert durch den BIC, abgefragt. Hierzu kommuniziert eine bei der Bank installierte safeAML Komponente (Client) mit der bei EuroDaT installierten Komponente (Server). Die Abfrageparameter, die Anzahl der Variablen sowie die Datenhistorie sind für alle Banken zum Aufbau des Transaktionsnetzwerks gleich.
Ausgehend von einer potenziell auffälligen Ursprungstransaktion wird jeweils ein Transaktionsnetzwerk schrittweise aufgebaut; dieser Prozess wird bei EuroDaT als „Fall“ bezeichnet. Alle Fälle werden bei EuroDaT separat gehalten und nicht miteinander verknüpft. Alle Anfragen und Antworten bzw. Datenverarbeitungen werden unmittelbar (instantan, innerhalb von Sekunden/Minuten) ausgeführt. Danach erfolgt die Löschung aller Rohdaten und aufgebauten Netzwerke bei EuroDaT.
Der safeAML Client besteht aus einer Benutzeroberfläche und einer technischen Schnittstelle zu EuroDaT. Die Benutzeroberfläche dient zur manuellen Übermittlung der Ursprungstransaktion an EuroDaT und die (Rück-) Lieferung des Ergebnisses in Form des Mittelflusses und kommuniziert dazu über die technische Schnittstelle mit EuroDaT. Die Benutzeroberfläche wird von den gleichen Mitarbeitenden bedient, die auch ohne safeAML-Anbindung bereits mit Auskunftsersuchen befasst sind. Die bestehenden Bankprozesse zur Alert-Bearbeitung bleiben unverändert nutzbar. Allerdings erlaubt der Client auch eine rein maschinelle Verarbeitung vom Senden der Ursprungstransaktion und der Entgegennahme des Ergebnisses.
Das jeweilige Transaktionsmonitoring, die Prozesse rund um die Alert-Bearbeitung und die Entscheidung über eine Verdachtsmeldung bleiben bei der Nutzung von safeAML unverändert. Über Verdachtsmeldungen können sich die Banken via safeAML nicht austauschen. Dadurch, dass nur die anfragende Bank ein Ergebnis erhält, können keine Information über auffällige Transaktionen (Alerts) ausgetauscht werden. Teilnehmende Banken erhalten keine für sie bisher unbekannten Kontoinformationen, denn vor der Auslieferung des Ergebnisses (Transaktionsnetzwerk) werden die nicht direkt über Transaktionen mit der anfragenden Bank verbundenen IBANs maskiert („ausgegraut“). Ein Rückschluss auf Personen, von denen die anfragende Bank keine Kenntnis hat, ist damit ausgeschlossen – dazu gäbe es aufgrund des Alertings im Transaktionsmonitoring auch noch keine Rechtsgrundlage. Wie bereits erwähnt, gelten die bei EuroDaT bzw. safeAML verarbeiteten Transaktionsdaten aufgrund der benutzen Technik zur Pseudonymisierung und technisch-organisatorischen Trennung der Schlüsselverwaltung als nicht personenbezogen (Art. 4 Nr. 5 DSGVO).
Das Transaktionsnetzwerk
Das safeAML Transaktionsnetzwerk beschreibt ein Kontennetzwerk, das möglicherweise zur Geldwäsche benutzt wird. Die zwischen diesen Konten ablaufenden Transaktionen werden ausgehend von einer auffälligen Ursprungstransaktion zum Aufbau des Netzwerks bei safeAML benutzt. Die Transaktionen und deren Richtung bilden die Kanten des Netzwerks, die Konten die Knoten. Mit dem Senden der Ursprungstransaktion der anfragenden Bank erfolgt das „Weben“ des Netzwerks automatisiert in Sekunden durch Abfragen an die teilnehmenden Banken. Die Größe des Netzwerks ist durch die zur Verfügung stehenden Daten und durch Abbruchkriterien begrenzt und zeigt idealerweise die drei Phasen der Geldwäsche:
- Placement: Einspeisung des illegalen Geldes in den Finanzkreislauf, z.B. durch Barzahlungen
- Layering: Verschleierung durch Transfers, komplexe Transaktionen und Strohmänner
- Integration: Rückführung bzw. Investition in die legale Wirtschaft, z.B. durch Immobilienkauf, Scheinumsätze
Kontennetzwerke in der Geldwäsche ähneln in ihrer Verzweigung und Komplexität „Spinnennetzen“, um Transaktionswege zu verschachteln und Banken und Ermittlern den Rückschluss auf den Ursprung des Geldes zu erschweren. safeAML ermittelt Transaktionsketten schnell und ohne manuelle Aufwände über mehrere Banken hinweg und löst damit eine „Inselsicht“ auf.
Kontennetzwerke zur Geldwäsche bestehen aus einer Kombination von Standardmustern bzw. Typologien:
- Ketten- oder „Layering“-Struktur: Geld wird über aufeinanderfolgende Konten geschickt, in verschiedenen Banken und Ländern. Transfers wirken einzeln unauffällig (z. B. kleine Beträge unterhalb von Meldegrenzen), aber in Summe ergibt sich ein verschleierndes Muster. Bildlich: Konto A → Konto B → Konto C → Konto D → Endziel.
- Hub-and-Spoke (Zentralstelle): Ein zentrales Konto („Hub“) empfängt Gelder von mehreren Quellen oder verteilt sie an mehrere Empfänger. Dafür werden Sammelkonten genutzt, z.B. über Scheinfirmen oder Vereine. Kriminelle können schnell neue „Speichen“-Konten einbauen, wenn einzelne auffallen. Bildlich: Zentraler Hub ↔ viele kleine Konten.
- Kreisverkehr („Circular Transactions“): Geld bewegt sich im Kreis zwischen mehreren Konten, ggfls. über Monate. Ziel: künstlich legitime Handelsströme vortäuschen oder die Geldherkunft verschleiern. Wird mit Scheingeschäften kombiniert (z. B. Fake-Rechnungen). Bildlich: Konto A → B → C → zurück zu A (mit veränderten Beträgen/Buchungstexten).
- Nested Accounts (versteckte Konten): Ein Hauptkonto (oft bei einer Bank in einer Offshore-Zone) enthält Unterkonten für viele verschiedene Akteure. Ermittler sehen nur die Hauptverbindung, nicht die einzelnen Untertransfers.
- Mischformen mit „Money Mules“: Nutzung von Strohmännern (Geldkurieren), die ihre privaten Konten für einmalige Transfers zur Verfügung stellen. Diese Konten sind teilweise nur wenige Wochen aktiv und verschwinden dann.
Das bei safeAML gewählte technische Format des „Transaktionsnetzwerks“ eignet besonders zur wirksamen Beschreibung von Kontennetzwerken in der Geldwäsche und deren Bekämpfung. Die Größe eines Netzwerks pro Alert bzw. Fall ist unabhängig im Bezug auf manuelle Aufwände und Kapazitäten, erlaubt damit im Grundsatz eine Abdeckung der genannten Phasen der Geldwäsche und ist nur begrenzt durch die zur Verfügung stehenden Daten. Die Investigatoren der Banken können sich auf dieser Basis fokussieren auf die Erkennung der typischen Muster innerhalb des Netzwerks und die Entscheidung ob der Fall gemeldet werden muss.
Beispiel eines Netzwerkes, verteilt über mehrere Banken mit „Layering“ und einem „Hub and Spoke“ Konto, wie es bei safeAML ermittelt werden könnte:
Das Beispiel zeigt die Zweckmäßigkeit von Transaktionsnetzwerken für die Beurteilung am Bildschirm („visuelle Inspektion“) durch die Mitarbeiter:innen in der Compliance bei Banken, um die zugrundeliegenden Typologien zu erfassen und zu erkennen. Auf dieser Basis entscheidet die Bank unverändert, ob eine Verdachtsmeldung erforderlich ist, oder ob der „Alert“ verworfen werden kann. Die an die anfragende Bank zurückgelieferten safeAML Rohdaten sind auch für eine maschinelle Auswertung bei den Banken geeignet, um z.B. Muster zu erkennen, die als Entscheidungshilfen dienen.
Fazit und Ausblick
EuroDaT setzt mit safeAML einen ersten Standard für einen digitalen Datenaustausch zwischen nach GwG verpflichteten Banken für die Bekämpfung der Geldwäsche. Die wichtigste Aufgabe für die EuroDat und deren Projektpartner ist aktuell die Anbindung weiterer Banken, zunächst im Inland und in einem weiteren Schritt im Ausland. Damit erstens Anfragen an safeAML immer beantwortet werden können und zweitens die Netzwerke über alle Banken hinweg sichtbar werden.
Das neue EU AML Package und insbesondere der Art. 75 der kommenden Geldwäscheverordnung kann die Möglichkeiten für den Datenaustausch noch einmal erweitern; EuroDat ist vorbereitet diese Möglichkeiten zu nutzen.
Zur Aufdeckung und Verfolgung der hinter der Geldwäsche stehenden organisierten Kriminalität und nach entsprechender rechtlicher Bewertung wären folgende safeAML Weiterentwicklungen möglich:
- Vermeidung von Mehrfachmeldung der Banken durch Markierung gleicher/identischer Fälle und auf Basis Entlastung der Behörden
- Erweiterung der Daten um z.B. Adressinformationen
- Geldwäsche Typologie: Erkennung und Weitergabe an die Banken, sowie Aufbau eines fallunabhängigen Typologie-Registers für die Nutzung in Monitoringsystemen und bei den Ermittlungsbehörden
- Durchgängige Verwendung der Daten bzw. der Transaktionsnetzwerke bei den Banken, Zentralstellen und Ermittlungsbehörden durch deren Anbindung
Funktionserweiterungen bei safeAML erfolgen in enger Abstimmung mit den beteiligten Banken. Insgesamt besteht die Möglichkeit der Herstellung einer Chancengleichheit zwischen der Finanzkriminalität und deren Verfolgung durch die Nutzung effektiver Prozesse und Technologie unter gleichzeitiger Beachtung des Rechtsrahmen.
Über den Autor:
Dirk Thomas ist Dipl. Physiker und als Geschäftsführer bei der EuroDat GmbH tätig. Er hat zuvor bei verschiedenen deutschen Kreditinstituten gearbeitet.
