Gefährliche Kurznachrichten: So bauen Banken eine Messenger-Compliance auf

Eine Messenger-Compliance aufbauen

Aufzeichnungslücken schließen und so Bußgelder und Reputationsschäden vermeiden

Keyfacts:

  • Wertpapierhändler dürfen geschäftliche Informationen nicht über private Messenger-Dienste verschicken.
  • Um Fehltritte und Bußgelder zu vermeiden, erfordert ein wirksames Compliance-Management auch eine regelkonforme Kommunikationskultur.
  • Wir stellen die Bausteine einer wirksamen und annähernd lückenlosen Messenger-Compliance vor.

    Das vergangene Jahr war für die Compliance Officer in den Finanzinstituten geprägt von regelmäßiger Aktualisierung des Sanktionsregimes in Folge des Krieges und der Krisen, durch zunehmende Bedeutung einer wirksamen Geldwäscheprävention und Unregelmäßigkeiten vor allem in der Kryptobranche. Aber auch die Off-Channel-Kommunikation großer Wallstreet-Banken ist beim Blick zurück erwähnenswert.

    Denn saftige Bußgelder werden öffentlichkeitswirksam in den Medien diskutiert und können schnell zu Reputationsschäden führen – und das im Angesicht der Tatsache, dass Banken von Jahr zu Jahr ohnehin höhere Compliance-Anforderungen und damit Kosten stemmen müssen.

    Was war passiert? In den USA kam es im Herbst mehrere Großbanken teuer zu stehen, dass Mitarbeitende Messenger-Dienste für die berufliche Kommunikation genutzt hatten – darunter auch ein deutsches Institut. Und so verwundert es nicht, dass die Aufsicht hierzulande aktuell den Umgang mit privaten Kommunikationskanälen näher betrachtet.

    Off-Channel-Kommunikation verbreitet: Aufsicht steuert mit detaillierten Fragebögen gegen

    Das zeigt zum einen: Die Nutzung von sogenannter Off-Channel-Kommunikation (wie Instant-Messenger, also Kurznachrichtendienste) ist auch in etablierten Investmentbanken weit verbreitet. Die Untersuchung der US-Wertpapieraufsicht (Securities and Exchange Commission, kurz SEC) macht außerdem sehr deutlich, dass Banker regelmäßig dienstliche Inhalte, darunter auch Geschäfte und Transaktionen, auf persönlichen Endgeräten und unautorisierten Kommunikationsdiensten besprochen haben.

    Und die aktuellen Diskussionen weisen darauf hin: Aufgrund der strikten Datenschutzgesetze hierzulande ist der Umfang einer Kommunikationsüberwachung (Communications Surveillance) begrenzt. Umso mehr erhöht sich der Druck auf Deutschland von internationaler Seite.

    Denn es ist nicht auszuschließen, dass Händler auch in Deutschland über private Kanäle kommunizieren. Wie lassen sich also Compliance-Verstöße vermeiden, gerade vor dem Hintergrund, dass deutsche Institute im weltweiten Vergleich hohe Compliance-Kosten tragen?

    Bußgelder sind ein Weckruf auch für deutsche Institute

    Banken müssen handeln und neben vielen weiteren Aspekten in ihrer Compliance-Arbeit auch eine Messenger-Compliance entwickeln. Nur so lassen sich Aufzeichnungslücken schließen, die einen Bruch mit Vorschriften bedeuten würden.

    Denn die massiven Geldstrafen der SEC zeigen den strengen Ansatz der Regulierungsbehörden bei der Durchsetzung. Sie unterstreichen, dass die Überwachung der Händler unerlässlich für das Marktvertrauen ist und dass die Aufsicht gewillt ist, Marktteilnehmer entsprechend engmaschig zu überwachen.

    Auf der anderen Seite demonstrieren die jüngsten Bußgelder auch, dass die bestehenden Richtlinien und Kontrollen nicht in allen Instituten ausreichend nachgehalten werden. Sie sind ein Weckruf und erinnern uns daran, dass die Durchsetzung von Compliance über Richtlinien allein noch keine hundertprozentige Compliance-Strategie ausmacht. Zu ihr gehört es auch, eine Kultur der Compliance zu schaffen und so die Aufzeichnungslücken zu schließen. Wie gelingt das?

    Ein Plan zum Aufbau einer möglichst lückenlosen Messenger-Compliance

    Unserer Erfahrung und Einschätzung nach sind folgende Bausteine zentral, auch um angesichts moderner Kommunikationstechnologie und Bring-Your-Own-Device-Programmen in Unternehmen eine annähernd lückenlose Messenger-Compliance aufzubauen:

    • Es braucht eine Strategie und eine, so nennen wir es, ‚Future State Architecture‘ zum Onboarding und zur fortlaufenden Überwachung der benötigten Kommunikationskanäle.
    • Installieren einer (externen) unabhängigen Steuerungseinheit zur Gewährleistung der unternehmensübergreifenden Koordination
    • Sorgfältige Aufzeichnungspraktiken umsetzen: Moderne Technologien gewährleisten, dass dies effizient und unter Wahrung der geltenden Datenschutzanforderungen erfolgt.
    • Überprüfung der Kontrollaufsicht, -richtlinien und -verfahren, um sicherzustellen, dass sie zweckdienlich sind.
    • Durchführung von Gap-Analysen zur Identifizierung schwerwiegender Probleme und Bereitstellung von Abhilfemaßnahmen für interne Revision und Regulierungsumsetzung
    • Benchmarking der Nutzung und Genauigkeit von Überwachungsdaten und die Implementierung effektiver Datenvollständigkeit, -integrität und -eigentümerschaft

    So nutzen Banken vorhandene Compliance-Prozesse, ergänzen sie um notwendige weitere Schritte und wappnen sich gegen böse Überraschungen im Zuge von aufsichtsrechtlichen Anfragen oder Prüfungen. Denn Bußgelder und andere Compliance-Brüche sind nicht nur ein Kostentreiber – sie landen über die Berichterstattung in den Medien auch schnell bei Kund:innen und schaden der Reputation.

    Compliance Strukturanalyse (CSA)

    Möchten Sie Transparenz und Sicherheit im Hinblick auf den Status Ihrer Compliance-Strukturen erhalten?

    Nutzen Sie unsere Compliance Strukturanalyse (CSA), um eine abteilungs- und prozessübergreifende Positionsbestimmung Ihrer bereits implementierten Compliance-Strukturen vorzunehmen.

    Jetzt starten