Cyber Security und IT-Governance

EU-Geldwäschegesetz: Datenmanagement wird für Banken zur drängenden Aufgabe

Was das neue Gesetzespaket der EU-Kommission für Finanzdienstleister bedeutet

Die EU hat eine Reihe von Gesetzesvorschlägen vorgestellt, um den Kampf gegen die Geldwäsche zu verbessern. Unser Partner Timo Purkott erläutert, worauf sich Finanzdienstleister angesichts neuer Anforderungen jetzt einstellen müssen.

Warum kommt jetzt dieses umfassende Anti-Geldwäsche-Paket?

Timo Purkott: Die Geldwäscheprävention in der EU hat weniger unter zu wenig Vorgaben, sondern unter mangelnder Umsetzung gelitten. Das haben die Skandale der vergangenen Jahre gezeigt. Die bisherigen Direktiven mussten in den Ländern in nationales Recht umgesetzt werden, und die Disziplin dabei war – gelinde gesagt – sehr heterogen. Darauf hat die EU jetzt mit einer Harmonisierung des Regulierungsrahmens reagiert, der vieles auf die Ebene von Verordnungen hebt. Das bedeutet: Alle EU-Länder müssen sie direkt anwenden, ohne den Umweg über nationale Anpassungen.

EU-Parlament, Bankenverbände und Bafin begrüßen das Paket, laut Bundesverband deutscher Banken kann es „bahnbrechend“ für die Geldwäschebekämpfung wirken. In welchen Punkten verändert und verbessert das Paket die geltenden Regeln?

Timo Purkott: Bisher mussten international tätige Gruppen ein kompliziertes Geflecht von Vorgaben bei ihren Geschäften berücksichtigen, die Harmonisierung vereinfacht das maßgeblich. Ein weiterer wichtiger Aspekt ist die stärkere Regulierung der FIUs, der Financial Intelligence Units, wo die Verdachtsmeldungen zur Geldwäsche eingehen. Zudem werden sich mit der neuen Anti-Money-Laundering-Behörde AMLA die Meldestandards sowie die Datengenerierung und Datenhaltung stark verändern. Gerade diese intensive Datenorientierung stellt einen enormen Fortschritt für die Geldwäscheprävention dar.

Welche Aufgaben wird die AMLA haben? Wie wird sie sich auf die hiesige Finanzwirtschaft auswirken?

Timo Purkott: Die AMLA wird als zentrale Stelle der Geldwäschebekämpfung in der EU die verschiedenen nationalen Aufsichtsbehörden koordinieren und die harmonisierten Vorgaben – das Single Rule Book – durchsetzen. Das geht auch einher mit neuen Erhebungsformaten und Informationspflichten. Neu ist, dass die AMLA diejenigen Finanzdienstleister mit dem vermeintlich größten AML-Risiko direkt beaufsichtigen und eine zentrale Datenbank für Geldwäscheprävention vorhalten wird.

Mehrere Länder werben für sich als Standort für die AMLA – welcher wäre der beste?

Timo Purkott: Die EU hat mehrere Anforderungen an den Standort formuliert. Er sollte die bestmöglichen Rahmenbedingungen für die Beschäftigten bieten, beispielsweise internationale Schulen oder eine gute Verkehrsanbindung. Da denkt man natürlich sofort an Frankfurt am Main, schließlich ist die Europäische Zentralbank (EZB) hier ansässig, auch der Bankenverband macht sich für Frankfurt stark. Ein schöner Nebeneffekt wäre: Mit der AMLA in Frankfurt würde ein Zeichen gesetzt, in Deutschland noch mehr gegen Geldwäsche zu tun. Aber auch Paris und Wien haben sich in Stellung gebracht.

Welche Veränderungen wird die Verordnung zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung bringen, die voraussichtlich Ende 2025 in Kraft treten wird?

Timo Purkott: Zu den Inhalten der bisherigen AML-Direktive, die auf die Ebene der Verordnung gehoben wird, zählen beispielsweise die Identifikation der wirtschaftlich Berechtigten oder das Transaktionsmonitoring. Und es sind weitere Bestimmungen hinzugekommen. Beispielsweise werden Unternehmensgruppen Vorgaben erfüllen müssen, die bisher dazu nicht selbst verpflichtet waren, zu deren Organisation aber eine Bank zählt. Solch ein Fall wäre zum Beispiel Wirecard gewesen.

Auch die Geldtransfer-Verordnung von 2015 – kurz Krypto-Verordnung – wird überarbeitet und im Januar 2025 in Kraft treten. Was soll verbessert werden und wie wird sich das auf Finanzdienstleister auswirken?

Timo Purkott: Mit den Kryptowährungen verbunden ist die Sorge, dass in dem Handelsgeschäft viel „schmutziges Geld“ verschwindet. Die Verordnung will erreichen, dass Absender und Empfänger solcher Transaktionen nachverfolgt werden können. Auch sollen Monitoringsysteme etabliert werden, um eine dauerhafte Überwachung der Transaktionen sicherzustellen. Gerade das ist technisch sehr herausfordernd, da hier zum einen Datenflüsse nötig sind, die oft noch nicht existieren, und zum anderen eine große Menge an Transaktionen überwacht werden muss.

Wie sollten sich Finanzdienstleister auf teils weitreichende Änderungen vorbereiten?

Timo Purkott: Finanzdienstleister sollten jetzt individuell analysieren, was das Anti-Geldwäsche-Paket für sie bedeutet. Viele Änderungen sind prinzipienorientiert, das heißt, sie treffen zu, wenn ein Unternehmen in mehreren Ländern tätig ist oder bestimmte Geschäfte anbietet. Gruppen, die in der Vergangenheit einzelne beaufsichtigte Entitäten in ihrer Struktur hatten, geraten dadurch in eine gruppenweite Aufsicht. Dies sollten sie jetzt prüfen und zum Beispiel eine entsprechende Gap-Analyse durchführen.

Die Institute sollten auch ihre organisatorische Aufstellung hinterfragen und prüfen, ob sie die vielen kommenden Detailregelungen schnell genug verarbeiten können. Hier können wir mit einem Regulierungsmonitoring unterstützen und bei der Priorisierung helfen. Die größte Aufgabe für die Häuser entsteht jedoch aus der stärkeren Datenorientierung der neuen Regelungen. Rund um die Geldwäscheprävention wird sehr viel mehr Datenmanagement nötig sein. Diese Anforderungen sollten früh analysiert werden: Was ist heute im Meldeumfang an die FIUs enthalten, was wurde im Legislativpaket fest vereinbart und was könnte mit hoher Wahrscheinlichkeit später dazukommen?

Wobei benötigen Ihrer Erfahrung nach Banken in diesem Kontext externe Unterstützung?

Timo Purkott: Ein Beispiel ist das Transaktionsmonitoring. Die Institute überwachen alle Transaktionen mithilfe von Regeln, die Risikoszenarien entsprechen. Entspricht eine Transaktion einem dieser Szenarien, wird ein „Alert“ erzeugt, der bearbeitet werden muss. Entlang dieses Prozesses können wir unterstützen. Mit unseren technologischen Lösungen testen wir die Risikoszenarien, prüfen die Prognosequalität und finden Ansatzpunkte für die Verbesserung. Wir unterstützen auch bei der Einführung von Robotics Process Automation (RPA). Alle Alerts müssen bislang von Analyst:innen händisch bearbeitet werden, was häufig die immer gleichen Prüfschritte umfasst. Das eignet sich sehr gut für eine Automatisierung. Außerdem können wir auf Basis der beim Transaktionsmonitoring erzeugten Daten Reportings aufsetzen, mit denen frühzeitig eine veränderte Risikolage erkannt werden kann. Hier gibt es viel technisches Optimierungspotenzial, das wir bei unseren Kunden direkt heben können – oder wir unterstützten sie bei der Auswahl und Implementierung gängiger Marktlösungen.

Weiterlesen

Cyber Security und IT-Governance

Thema vertiefen

IT Compliance-Management

Die Digitalisierung, der zunehmende Einsatz von Cloud-basierten Geschäftslösungen und die Vernetzung von Daten, Objekten und Systemen durch komplexe IT-Infrastrukturen und Geschäftsprozesse, eröffnen für die Finanzbranche enorme Chancen. Informationswerte werden immer stärker zur Grundlage der Wertschöpfung. Sie sind ein wesentlicher Bestandteil zur Erreichung der Unternehmensziele.

Zugleich birgt dieser technische Wandel aber auch unvorhersehbare Risiken und bietet Cyberkriminellen neue Angriffsflächen. Denn mit dem wachsenden Potenzial für die Finanzbranche nehmen auch die Möglichkeiten für Hacker zu: Sie professionalisieren ihre Angriffe, indem sie Werkzeuge und eine zunehmende Zahl potenzieller Angriffsvektoren weiterentwickeln. Deswegen führen gezielte Attacken mit Phishing zu höheren Erfolgsquoten für Angreifer und größeren Schadenssummen bei den Opfern.

Thema vertiefen