EU-Geldwäschegesetz: Datenmanagement wird für Banken zur drängenden Aufgabe

Was das neue Gesetzespaket der EU-Kommission für Finanzdienstleister bedeutet

veröffentlicht am 19.11.2021 | Lesezeit: ca. 9 Minuten

Die EU hat eine Reihe von Gesetzesvorschlägen vorgestellt, um den Kampf gegen die Geldwäsche zu verbessern. Unser Partner Timo Purkott erläutert, worauf sich Finanzdienstleister angesichts neuer Anforderungen jetzt einstellen müssen.

Warum kommt jetzt dieses umfassende Anti-Geldwäsche-Paket?

Timo Purkott: Die Geldwäscheprävention in der EU hat weniger unter zu wenig Vorgaben, sondern unter mangelnder Umsetzung gelitten. Das haben die Skandale der vergangenen Jahre gezeigt. Die bisherigen Direktiven mussten in den Ländern in nationales Recht umgesetzt werden, und die Disziplin dabei war – gelinde gesagt – sehr heterogen. Darauf hat die EU jetzt mit einer Harmonisierung des Regulierungsrahmens reagiert, der vieles auf die Ebene von Verordnungen hebt. Das bedeutet: Alle EU-Länder müssen sie direkt anwenden, ohne den Umweg über nationale Anpassungen.

EU-Parlament, Bankenverbände und Bafin begrüßen das Paket, laut Bundesverband deutscher Banken kann es „bahnbrechend“ für die Geldwäschebekämpfung wirken. In welchen Punkten verändert und verbessert das Paket die geltenden Regeln?

Timo Purkott: Bisher mussten international tätige Gruppen ein kompliziertes Geflecht von Vorgaben bei ihren Geschäften berücksichtigen, die Harmonisierung vereinfacht das maßgeblich. Ein weiterer wichtiger Aspekt ist die stärkere Regulierung der FIUs, der Financial Intelligence Units, wo die Verdachtsmeldungen zur Geldwäsche eingehen. Zudem werden sich mit der neuen Anti-Money-Laundering-Behörde AMLA die Meldestandards sowie die Datengenerierung und Datenhaltung stark verändern. Gerade diese intensive Datenorientierung stellt einen enormen Fortschritt für die Geldwäscheprävention dar.

Welche Aufgaben wird die AMLA haben? Wie wird sie sich auf die hiesige Finanzwirtschaft auswirken?

Timo Purkott: Die AMLA wird als zentrale Stelle der Geldwäschebekämpfung in der EU die verschiedenen nationalen Aufsichtsbehörden koordinieren und die harmonisierten Vorgaben – das Single Rule Book – durchsetzen. Das geht auch einher mit neuen Erhebungsformaten und Informationspflichten. Neu ist, dass die AMLA diejenigen Finanzdienstleister mit dem vermeintlich größten AML-Risiko direkt beaufsichtigen und eine zentrale Datenbank für Geldwäscheprävention vorhalten wird.

Mehrere Länder werben für sich als Standort für die AMLA – welcher wäre der beste?

Timo Purkott: Die EU hat mehrere Anforderungen an den Standort formuliert. Er sollte die bestmöglichen Rahmenbedingungen für die Beschäftigten bieten, beispielsweise internationale Schulen oder eine gute Verkehrsanbindung. Da denkt man natürlich sofort an Frankfurt am Main, schließlich ist die Europäische Zentralbank (EZB) hier ansässig, auch der Bankenverband macht sich für Frankfurt stark. Ein schöner Nebeneffekt wäre: Mit der AMLA in Frankfurt würde ein Zeichen gesetzt, in Deutschland noch mehr gegen Geldwäsche zu tun. Aber auch Paris und Wien haben sich in Stellung gebracht.

Welche Veränderungen wird die Verordnung zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung bringen, die voraussichtlich Ende 2025 in Kraft treten wird?

Timo Purkott: Zu den Inhalten der bisherigen AML-Direktive, die auf die Ebene der Verordnung gehoben wird, zählen beispielsweise die Identifikation der wirtschaftlich Berechtigten oder das Transaktionsmonitoring. Und es sind weitere Bestimmungen hinzugekommen. Beispielsweise werden Unternehmensgruppen Vorgaben erfüllen müssen, die bisher dazu nicht selbst verpflichtet waren, zu deren Organisation aber eine Bank zählt. Solch ein Fall wäre zum Beispiel Wirecard gewesen.

Auch die Geldtransfer-Verordnung von 2015 – kurz Krypto-Verordnung – wird überarbeitet und im Januar 2025 in Kraft treten. Was soll verbessert werden und wie wird sich das auf Finanzdienstleister auswirken?

Timo Purkott: Mit den Kryptowährungen verbunden ist die Sorge, dass in dem Handelsgeschäft viel „schmutziges Geld“ verschwindet. Die Verordnung will erreichen, dass Absender und Empfänger solcher Transaktionen nachverfolgt werden können. Auch sollen Monitoringsysteme etabliert werden, um eine dauerhafte Überwachung der Transaktionen sicherzustellen. Gerade das ist technisch sehr herausfordernd, da hier zum einen Datenflüsse nötig sind, die oft noch nicht existieren, und zum anderen eine große Menge an Transaktionen überwacht werden muss.

Wie sollten sich Finanzdienstleister auf teils weitreichende Änderungen vorbereiten?

Timo Purkott: Finanzdienstleister sollten jetzt individuell analysieren, was das Anti-Geldwäsche-Paket für sie bedeutet. Viele Änderungen sind prinzipienorientiert, das heißt, sie treffen zu, wenn ein Unternehmen in mehreren Ländern tätig ist oder bestimmte Geschäfte anbietet. Gruppen, die in der Vergangenheit einzelne beaufsichtigte Entitäten in ihrer Struktur hatten, geraten dadurch in eine gruppenweite Aufsicht. Dies sollten sie jetzt prüfen und zum Beispiel eine entsprechende Gap-Analyse durchführen.

Die Institute sollten auch ihre organisatorische Aufstellung hinterfragen und prüfen, ob sie die vielen kommenden Detailregelungen schnell genug verarbeiten können. Hier können wir mit einem Regulierungsmonitoring unterstützen und bei der Priorisierung helfen. Die größte Aufgabe für die Häuser entsteht jedoch aus der stärkeren Datenorientierung der neuen Regelungen. Rund um die Geldwäscheprävention wird sehr viel mehr Datenmanagement nötig sein. Diese Anforderungen sollten früh analysiert werden: Was ist heute im Meldeumfang an die FIUs enthalten, was wurde im Legislativpaket fest vereinbart und was könnte mit hoher Wahrscheinlichkeit später dazukommen?

Wobei benötigen Ihrer Erfahrung nach Banken in diesem Kontext externe Unterstützung?

Timo Purkott: Ein Beispiel ist das Transaktionsmonitoring. Die Institute überwachen alle Transaktionen mithilfe von Regeln, die Risikoszenarien entsprechen. Entspricht eine Transaktion einem dieser Szenarien, wird ein „Alert“ erzeugt, der bearbeitet werden muss. Entlang dieses Prozesses können wir unterstützen. Mit unseren technologischen Lösungen testen wir die Risikoszenarien, prüfen die Prognosequalität und finden Ansatzpunkte für die Verbesserung. Wir unterstützen auch bei der Einführung von Robotics Process Automation (RPA). Alle Alerts müssen bislang von Analyst:innen händisch bearbeitet werden, was häufig die immer gleichen Prüfschritte umfasst. Das eignet sich sehr gut für eine Automatisierung. Außerdem können wir auf Basis der beim Transaktionsmonitoring erzeugten Daten Reportings aufsetzen, mit denen frühzeitig eine veränderte Risikolage erkannt werden kann. Hier gibt es viel technisches Optimierungspotenzial, das wir bei unseren Kunden direkt heben können – oder wir unterstützten sie bei der Auswahl und Implementierung gängiger Marktlösungen.

Weiterlesen

IT-Compliance und Cyber Security

Thema vertiefen

IT-Compliance und Cyber Security

Enorme Chancen – und gewaltige Risiken: Die digitale Transformation eröffnet Unternehmen des Finanzsektors gänzlich neue Perspektiven, Möglichkeiten und Geschäftsmodelle. Doch sie birgt auch erhebliche Gefahren – in Form einer immer stärker werdenden Cyber-Kriminalität.

Dass die Bedrohung durch Cyber-Angriffe in den letzten Jahren deutlich zugenommen hat, belegen zahlreiche Analysen, Studien und Umfragen. So gaben beispielsweise 84 Prozent aller befragten Unternehmen in der Lünendonk-Studie „Von Cyber Security zu Cyber Resilience“ an, dass sich 2023 die Bedrohungslage erneut verschärft hat. Als Gründe wurden insbesondere die zunehmende Digitalisierung von Prozessen, die steigende Professionalisierung von Hackerorganisationen und die veränderte geopolitische Lage genannt.

Thema vertiefen
Vaike Metzger Partnerin, Financial Services
Vaike Metzger

Gerade gelesen

Auf EU-Geldwäschegesetz vorbereiten

Was das neue Gesetzespaket der EU-Kommission für Finanzdienstleister bedeutet

Weitere Artikel zum Thema

KI und IT-Sicherheit

Kontrollen müssen mit dem zunehmenden Einsatz von KI im Finanzunternehmen Schritt halten.

CMDB – Grundlage der Cybersicherheit

So setzen Banken & Co. die DORA-Anforderungen an den Informationsverbund effizient um.

Lehren aus dem EZB-Cyber-Stresstest

Auch national beaufsichtigte Institute sollten sich auf Angriffs-Simulationen vorbereiten.

Cybersecurity: Schwachstellen managen

Generative KI ermöglicht neue Angriffsmethoden, aber auch verbesserte Abwehrmechanismen

FAQ zum Cyber-Stresstest der EZB

Viele Details sind noch offen – hier kommen die Einschätzungen unserer Expert:innen.

Der Cyber-Stresstest der EZB

Die Aufsicht testet die Banken auf Resilienz – zum ersten Mal in Sachen Cyberangriffe

Suche
Schliessen
© {{year}} KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.