Keyfacts:

• Banken müssen ihre Datenverarbeitungssysteme für die Geldwäschebekämpfung regelmäßig durch unabhängige Prüfer im Hinblick auf die technische Funktionsfähigkeit kontrollieren lassen.
• Unsicherheiten bei den Instituten über Inhalte und Ablauf der Prüfung führen dazu, dass die Anforderungen nicht immer umgesetzt werden.
• Es ist absehbar, dass die Aufsicht das Vorliegen der unabhängigen Überprüfung künftig verstärkt einfordert, denn seit April 2023 gibt es konkrete Vorgaben zum Umfang einer technisch ausgerichteten Qualitätskontrolle.

Es sind klare Vorgaben: Seit 2021 sind Banken laut den Auslegungs- und Anwendungshinweisen zum Geldwäschegesetz (AuA) der BaFin verpflichtet, ihre Datenverarbeitungssysteme für das Transaktionsmonitoring und das Screening einer jährlichen Qualitätskontrolle zu unterziehen.

Diese Prüfung hat gemäß Abschnitt 6.2.3 (Besonderer Teil: Kreditinstitute, BT) durch einen unabhängigen Prüfer zu erfolgen und soll die korrekte Umsetzung der fachlichen Vorgaben durch den Geldwäschebeauftragten sowie die technische Funktionsfähigkeit der Datenverarbeitungssysteme sicherstellen.

Trotzdem kommen viele Kreditinstitute dieser Anforderung bis heute nicht vollumfänglich nach. Wir beobachten in unseren Beratungsprojekten zwar, dass sich die meisten Kreditinstitute mit der Umsetzung befassen. Aufgrund bestehender Unsicherheiten über die genauen Inhalte und den Ablauf der Prüfung setzen viele Banken aber nach wie vor nicht vollständig um.

BaFin fordert unabhängige Qualitätskontrollen gemäß AuA BT 6.2.3. in den Banken aktiv ein

Wir beobachten auch: Die BaFin wie auch der Jahresabschlussprüfer haben begonnen, die Kreditinstitute verstärkt an die Umsetzung der Anforderungen zu erinnern. Zu erwarten ist, dass die Aufsicht die unabhängigen Qualitätskontrollen der Datenverarbeitungssysteme vehementer anmahnen wird. Denn seit April 2023 liegen auch konkrete Vorgaben für die Prüfungsumfänge vor, die im Rahmen eines Arbeitskreises der BaFin und des Instituts der Wirtschaftsprüfer in Deutschland (IDW) erarbeitet wurden.

Um welche Details geht es? Die AuA BT 6.2.3 schreibt vor, dass Banken nicht nur, Zitat, eine „regelmäßige fachgerechte Wartung, Überholung und – soweit nötig – technische Aufrüstung der Hardware des Datenverarbeitungssystems zur Sicherung seiner Funktionsfähigkeit“ sicherzustellen haben. Sie sollen außerdem eine „reibungsfreie Zusammenarbeit der Einzelkomponenten und deren Schnittstellen zu den Datenverarbeitungssystemen“ gewährleisten – also eine Zusammenarbeit „End-to-End“.

Ferner haben Kreditinstitute dafür zu sorgen, dass „die ordnungsgemäße Funktionalität der Datenverarbeitungssysteme“ laufend überprüft wird und „regelmäßig eine Qualitätskontrolle der Datenverarbeitungssysteme durch einen unabhängigen Prüfer“ erfolgt. Der Fokus liegt hierbei auf der technischen Funktionsfähigkeit der Datenverarbeitungssysteme.

Gute Dokumentation von Vorteil: Sorgfältig auf Qualitätskontrolle AuA vorbereiten

Der Zeitpunkt der Qualitätskontrolle durch einen unabhängigen Prüfer ist den Kreditinstituten freigestellt. Der Wortlaut der AuA BT 6.2.3 weist aber darauf hin, dass dies im Rahmen der Jahresabschlussprüfung erfolgen kann – also einmal im Jahr. Unbeschadet dessen, wird die jährliche Qualitätskontrolle insbesondere von großen Instituten erwartet.

Der Jahresabschlussprüfer stellt in diesem Fall eine eigenständige Bescheinigung über die Angemessenheit und Wirksamkeit der eingerichteten Verfahren aus. Daneben kann die Qualitätskontrolle auch außerhalb der Jahresabschlussprüfung als gesonderter Auftrag an einen unabhängigen Prüfer erteilt werden.

Da die Qualitätskontrolle regelmäßig vorgenommen werden muss, ist es ratsam, dass der Geldwäschebeauftragte sein Qualitätssicherungskonzept möglichst umfassend aufbaut. Er sollte außerdem sicherstellen, dass er über ein ausreichend technisches Verständnis für die entsprechenden Datenverarbeitungssysteme verfügt.

Denn damit seine Vorgaben technisch korrekt umgesetzt werden, muss er in der Lage sein, die grundlegenden Datenverarbeitungsprozesse nachzuvollziehen. Für eine effiziente Qualitätskontrolle ist es zudem hilfreich, wenn alle relevanten Dokumente leicht zugänglich und idealerweise an einem zentralen Ort abgelegt sind.

Die AMLA kommt: Geldwäschebekämpfung genießt hohe Priorität

Dass die BaFin in Zukunft ein besonderes Augenmerk auf die Umsetzung der AuA BT 6.2.3 legen wird, hängt auch damit zusammen, dass die Geldwäschebekämpfung (Anti-Money-Laundering, AML) in der EU eine hohe Priorität genießt. Diese kommt unter anderem in der AML-Verordnung und der AML-Richtlinie zum Ausdruck, die beide bis Ende 2025 finalisiert werden sollen.

Auch die Einrichtung der Anti-Money-Laundering Authority (AMLA) unterstreicht, dass die EU eine neue Dimension der Geldwäscheaufsicht und eine Harmonisierung der nationalen Regelungen anstrebt. Banken werden sich daher darauf einstellen müssen, noch mehr Daten bereitzustellen, um den wachsenden regulatorischen Anforderungen im Bereich der Geldwäsche gerecht zu werden.