Betrug. Korruption. Menschen- und Drogenhandel. Terrorismus. Die Geldwäsche hat viele Gesichter und bleibt eine globale Herausforderung. Das international führende Gremium zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung ist die Financial Action Task Force on Money Laundering (FATF). Mehr als 200 Staaten haben sich zur Einhaltung der FATF-Standards verpflichtet.
In der Europäischen Union (EU) bemüht sich der Gesetzgeber seit Jahren, das Problem in den Griff zu bekommen. Wie ernst es ihm ist, zeigt sich nicht zuletzt daran, dass binnen kürzester Zeit die vierte, die fünfte und aktuell die sechste EU-Geldwäscherichtlinie (sechstes Anti-Money Laundering Directive, kurz: sechstes AMLD) verabschiedet und im nationalen Recht umgesetzt wurde. In Deutschland erfolgte die Umsetzung vornehmlich durch die Neufassung des § 261 des Strafgesetzbuchs (StGB).
Derzeit ist bereits die siebte Fassung einer europäischen Anti-Geldwäsche-Regulierung im Gespräch, die erstmals als EU-Verordnung ergehen und damit eine Umsetzung in nationales Recht überflüssig machen könnte. Diese fortlaufenden Änderungen stellen Banken, Finanzinstitute und andere durch das Geldwäschegesetz (GwG) gesetzlich Verpflichtete wie Rechtsanwälte und Notare, Immobilienmakler und Güterhändler vor erhebliche Herausforderungen. Insbesondere trifft es die Compliance-Abteilungen, die neue Vorschriften berücksichtigen und entsprechende Standards im Unternehmen anpassen oder neu implementieren müssen.
Die aktuelle Richtlinie sechstes AMLD soll einerseits über eine Liste von 22 Geldwäschedelikten, so genannten Vortaten, die Definition der Geldwäsche harmonisieren; neben den eingangs genannten Straftaten zählen dazu beispielsweise Piraterie, Fälschung, Entführung und Mord. Erstmals explizit aufgelistet sind zudem Cyberkriminalität und Umweltdelikte. In Abweichung von der Richtlinie beinhaltet die Änderung des §261 StGB allerdings die Streichung des bisherigen Vortaten-Katalogs. Zumindest hier zu Lande reicht es damit künftig aus, dass das Tatobjekt der Geldwäsche aus einer Straftat stammt und dies dem Täter zumindest in Form eines Eventualvorsatzes bekannt war.
Dieser Aspekt hat deutliche Kritik der Wirtschaftsprüferkammer (WPK) hervorgerufen, da prinzipiell bei jeder Straftat, mit der auch nur ein minimaler Vermögenswert erlangt wird, im Nachgang zu prüfen ist, ob nicht auch eine Strafbarkeit wegen Geldwäsche in Betracht kommt. Das würde den Verwaltungsaufwand übermäßig erhöhen, aber wenig zur Geldwäscheprävention beitragen. Die WPK hat sich daher wiederholt für eine Eins-zu-eins-Umsetzung der Richtlinie ausgesprochen.
Diese sieht neben der Harmonisierung als zentrales Element verschärfte Sanktionen vor und erweitert die strafrechtliche Verantwortlichkeit. So können nun auch juristische Personen für Geldwäsche-Vergehen haftbar gemacht werden. Bislang galt, dass nur Einzelpersonen für Geldwäsche-Delikte bestraft werden konnten. Getreu dem Motto "Unwissenheit schützt vor Strafe nicht" gilt damit jetzt für Unternehmen selbst: "mitgefangen, mitgehangen", sofern sie Mitarbeiter nicht daran gehindert haben, wissentlich oder unwissentlich Geldwäsche-Aktivitäten zu betreiben.
Bedeutend in diesem Zusammenhang ist, dass erneut auf das Compliance-Risikomanagement abgezielt wird. Ähnlich wie beim britischen Bribery Act gilt jetzt auch hinsichtlich der Vermeidung von Geldwäsche, dass der Gesetzgeber die Sorgfaltsverpflichtung "Compliance-Risikomanagement" immer stärker in den Fokus rückt. Sofern nichts oder zu wenig gemacht wird, drohen empfindliche Strafen, auch für das Unternehmen selbst.
Dazu zählen neben der Erhöhung von Geldbußen beispielsweise der Ausschluss von öffentlichen Zuwendungen oder Hilfen und Ausschreibungsverfahren sowie ein vorübergehendes oder dauerhaftes Verbot der Ausübung einer gewerblichen Tätigkeit. Zudem kann die vorübergehende oder endgültige Schließung von Einrichtungen, die zur Begehung von Straftaten genutzt wurden, angeordnet werden. Wie im US-amerikanischen Recht bereits lange bekannt, drohen zudem bei Verstößen gegen das Geldwäscherecht ungewöhnliche Sanktionen wie "blaming & shaming" durch Veröffentlichung von Verfehlungen auf der Website der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).
Die deutliche Verschärfung von Sanktionen soll insbesondere dazu dienen, größere Unternehmen für Geldwäsche-Delikte zur Rechenschaft zu ziehen, und es den Behörden erleichtern, wirksam gegen Unternehmen vorzugehen, in denen Maßnahmen zur Geldwäscheprävention nur unzureichend umgesetzt werden.
Für Banken, Finanzinstitute und andere Verpflichtete kommt es daher verstärkt darauf an, entsprechende Maßnahmen konsequent zu verfolgen. Insbesondere Compliance-Verantwortliche sind angehalten, ihre Prozesse und Technologien zur Geldwäsche-Prävention kontinuierlich an sich verändernde Vorschriften anzupassen. Letztlich allerdings ist Geldwäsche-Compliance eine Aufgabe, die im gesamten Unternehmen verzahnt und auch gelebt werden muss – von der Stammdatenanlage in der Beschaffung bis zur Verbuchung des Absatzes, vom ausführenden Mitarbeiter bis zum Führungspersonal.
Wie eine AML-Strategie konkret aussehen sollte, ist naturgemäß vom Umfeld abhängig, in dem ein Unternehmen agiert.
Während bei einer Handvoll Geschäftspartnern eine manuelle Prüfung sicherlich möglich ist, wird ab einer hohen dreistelligen oder noch größeren Anzahl von Geschäftspartnern diese nicht mehr möglich sein. Der Einsatz moderner Schnittstellen zur Lösung von Compliance-Verpflichtungen und eine hohe Automatisierung sind dann unumgänglich.
Grundsätzlich gilt: Ein geeignetes Compliance-Risikomanagementsystem muss die individuelle Risikosituation des Unternehmens berücksichtigen und dessen Eignung kontinuierlich überwachen, damit mindestens die allgemeinen Sorgfaltspflichten stets erfüllt werden.
Dazu zählt zunächst die eindeutige Identifizierung von Geschäftspartnern weltweit. Eine Schlüsselrolle kommt dabei der Aufdeckung komplexer Unternehmensstrukturen bis hin zum wirtschaftlichen Berechtigten (Ultimate Beneficial Owner, UBO) zu. Die Bestimmung des UBO und die Einordnung in das eigene Compliance-Risikomanagement inklusive eines Abgleichs mit Listen politisch exponierter Personen (PEP) und Sanktionslisten stellen Unternehmen weiterhin vor große Herausforderungen.
Konventionelle Suchen mittels Google & Co. sind hierbei zu zeitaufwändig; bei komplexen Unternehmensstrukturen ist es zudem sehr schwierig, überhaupt UBOs zu ermitteln. Dies wird zudem negativ flankiert von den Anforderungen, die durch das Transparenzregister an Verpflichtete gestellt werden. Konnte in der Vergangenheit in bestimmten Fällen noch auf andere Register verwiesen werden, so ist es heute für bestimmte Verpflichtete unumgänglich, UBOs selbst zu bestimmen und die gemäß GwG erforderlichen Daten bereitzustellen.
Von entscheidender Bedeutung ist in diesem Kontext die Nutzung digitaler Daten im Rahmen von Compliance-Risikomanagementsystemen. Sofern Daten in operationalisierbarer Form vorliegen, etwa durch Anbindung via API-Schnittstelle, und stets aktuell verfügbar sind – beispielsweise durch automatisches Push-Monitoring von Echtzeit-Updates –, können komplexe, digitale Regelwerke aufgebaut und genutzt werden. Daraus ergeben sich insbesondere Möglichkeiten, die Geldwäsche von Cyber-Kriminellen einzudämmen.
Insgesamt sollte eine effiziente Geldwäsche-Compliance auf stets aktuellen, korrekten, vollständigen, relevanten, widerspruchsfreien und insbesondere auch digitalen (operationalisierbaren) Daten basieren. Diese qualitativ hochwertige Datengrundlage ermöglicht flexible und lernende Regelwerke nutzen zu können, um automatisierte und schnelle Entscheidungen zu ermöglichen. Dabei können spezialisierte externe Dienstleister maßgeblich zur Prozessoptimierung beitragen. Einerseits können sie aufbereitete Daten zu Unternehmen und Personen von höchster Qualität und Aktualität bereitstellen und so entscheidende Informationslücken auf einfache Weise schließen. Darüber hinaus können sie dank umfänglicher Best-Practice-Erfahrungen wichtige Impulse für eine zeitgemäße Organisation der Geldwäsche-Compliance liefern, die einer zunehmend komplexen Regulierungslandschaft gerecht wird.
Autor:
Carsten Ettman, Certified Compliance Officer und Senior Business Consultant Risk Management Solutions beim Data & Analytics-Anbieter Dun & Bradstreet (vormals Bisnode)