Ab Juni 2027 werden die Sorgfaltsmaßnahmen im Bereich Geldwäschebekämpfung verstärkt. Wie und in welchem Umfang müssen Verpflichtete agieren? Diese Frage wird sich unter denjenigen, die die Anforderungen des AML-Paketes (Anti-Money Laundering) und damit der neuen Verordnung (EU) 2024/1624 umzusetzen haben, jetzt schon der ein oder andere stellen.
Neue Sorgfaltsmaßnahmen bei vermögenden Privatpersonen
Der aktuell bestehende Katalog an Maßnahmen, der im Bereich der Sorgfaltspflichten zur Bekämpfung der Geldwäsche zu bewältigen ist, ist bereits umfangreich. Mit der neuen Verordnung haben sich die Anforderungen erheblich erweitert. Das betrifft unter anderem die Kundengruppe der vermögenden Privatpersonen. Kreditinstitute, Finanzinstitute und Anbieter von Treuhand- oder Unternehmensdienstleistungen, die für diese Kunden personalisierte Dienstleistungen erbringen, die Vermögenswerte im Wert von mindestens 5 Millionen Euro betreffen und, wenn der Kunde über ein Gesamtvermögen im Wert von mindestens 50 Millionen Euro verfügt. Das umfasst Finanz-, Anlage- oder Immobilienvermögen (oder eine Kombination daraus), mit Ausnahme des privaten Wohnsitzes des Kunden.
Die in der Verordnung unter Artikel 34 genannten Sorgfaltsmaßnahmen sehen wie folgt aus:
„Zusätzlich zur Anwendung jeglicher verstärkter Sorgfaltsmaßnahme gemäß Artikel 4 der Verordnung sind die folgenden verstärkten Sorgfaltsmaßnahmen anzuwenden:
a) spezifische Maßnahmen, einschließlich Verfahren zur Minderung der mit personalisierten Dienstleistungen und Produkten, die diesem Kunden angeboten werden, verbundenen Risiken;
b) Einholung zusätzlicher Informationen über die Herkunft der Gelder des Kunden;
c) Vermeidung und Bewältigung von Interessenkonflikten zwischen dem Kunden und höheren Führungskräften oder Mitarbeitern des Verpflichteten, die Aufgaben im Zusammenhang mit der Erfüllung der Anforderungen durch diesen Verpflichteten in Bezug auf diesen Kunden wahrnehmen.“
Doch wie stellen Verpflichtete überhaupt fest, dass Kundenbeziehungen diese Bedingungen erforderlich machen? Hierzu gibt die Verordnung folgende Auskunft:
„Die AMLA gibt bis zum 10. Juli 2027 Leitlinien zu den Maßnahmen aus, die von Kredit- und Finanzinstituten sowie von Dienstleistern für Trusts oder Gesellschaften zu ergreifen sind, um festzustellen, ob ein Kunde über Vermögenswerte im Gesamtwert von mindestens 50 000 000 EUR oder dem Gegenwert in Landeswährung oder in einer Fremdwährung in Form von Finanz-, Anlage- oder Immobilienwerten verfügt und wie dieser Wert bestimmt werden kann.“
Nun wird es dringend notwendig sein, Stichtag und Maßstäbe der Bewertung von Vermögen zu definieren. Dabei müssen unter anderem folgende Parameter berücksichtigt werden:
- Welcher Tag der Bewertung ist entscheidend: der Tag der ersten Kontaktaufnahme bei einem Neukunden?
- Was geschieht bei bereits bestehenden Kundenbeziehungen, wenn Vermögenswerte um den Schwellenwert schwanken? Gibt es Schwankungsbreiten, die ad hoc erfordern, dass Sorgfaltsmaßnahmen angewendet werden?
- Wie erhält der Verpflichtete die Information, dass ein Kunde, der am relevanten Stichtag unter dem Schwellenwert lag, diesen unter Umständen überschreitet?
Das sind nur einige der Fragen, die sich in diesem Zusammenhang stellen. Die von der AMLA wahrscheinlich vorgegebenen Vorgehensweise zu antizipieren, ist für die Verpflichteten jedoch entscheidend. Schließlich bleibt nur wenig Zeit, bis die neuen Anforderungen umgesetzt werden. Und die davon betroffenen Prozesse sind vielfältig.
Beginn einer Neukundenbeziehung
Gehen die betroffenen Institute neue Geschäftsbeziehungen ein, werden sie umfangreichere Informationen einholen müssen als bislang üblich. Das betrifft den Nachweis für Angaben, die der Kunde selbst zu machen hat. Detaillierte Angaben darüber, wie das Vermögen erwirtschaftet wurde oder woher es stammt. Diese Angaben werden in der Regel durch Dokumente nachzuweisen sein. Die Verpflichteten müssen also Dokumente anfordern, die die Herkunft der Gelder des Kunden belegen, wie Bankauszüge, Gehaltsabrechnungen, Steuererklärungen oder Geschäftsunterlagen.
Zu verifizieren ist das Ganze dann, wenn möglich, durch unabhängige Quellen – und muss kontinuierlich überprüft werden. Was geschieht, wenn das nicht so ohne weiteres möglich ist? Ist in diesen Fällen direkt eine „red flag“, ein Warnhinweis anzunehmen, mit der Folge, dass entsprechende Maßnahmen, wie eine Verdachtsmeldung an die FIU, die Zentralstelle für Finanztransaktionsuntersuchungen, eingeleitet werden?
Bestehende Kundenbeziehungen überwachen
Die Kundenbeziehung muss nach Eingehung, wie auch jetzt schon erforderlich, spezifisch auf diesen Kundentypus zugeschnitten überwacht werden. Sind die Kundenangaben auch noch Monate und Jahre nach Beginn der Geschäftsbeziehung auf einem aktuellen Stand und vollständig? Gibt es Auffälligkeiten in der Kommunikation mit dem Kunden oder im Bereich der Transaktionen, die ein solcher Kunde durchführt? Hier wird insbesondere die Frage des Umgangs mit Schwankungen des Vermögenswertes eines Kunden relevant. Der Kunde selbst wird diese nicht täglich benennen können. Kommt der Kunde dann seiner Verpflichtung überhaupt noch nach, seine Bank über wesentliche Veränderung in Bezug auf die Geschäftsbeziehung zu unterrichten, wenn er selbst hierzu nicht immer den aktuellen Stand verfolgt?
Wie erhält der Verpflichtete dann die Information, dass ein Kunde, der unter dem Schwellenwert lag, diesen, unter Umständen überschreitet, wenn sich der Gesamtwert des Vermögens gesteigert hat? Vornehmlich dann, wenn der Kunde das eigene Vermögen nicht nur bei einem Kreditinstitut, Finanzinstitut beziehungsweise Anbieter von Treuhand- oder Unternehmensdienstleistungen hält? Erfolgt dann eine automatische Informationspflicht zwischen den Instituten?
Mögliche Interessenkonflikte
Im Rahmen einer Interessenkonfliktpolitik ist eine klare Leitlinie zu etablieren, um Interessenkonflikte zu identifizieren, verwalten und offenzulegen. Diese Politik sollte alle Mitarbeiter und Führungskräfte einschließen. Ein Mittel der Wahl kann nicht nur die Incentivierung der Mitarbeiter durch Bonus-Zahlungen auf Basis der durch die bestehende Kundenbeziehung erwirtschafteten Erträge sein, sondern gleichgewichtet auch die Einhaltung der regulatorischen Vorschriften durch die Mitarbeiter.
Der sogenannte „Tone from the top“ im Zuge einer Null-Toleranzpolitik, wenn es um Verstöße im Bereich der Geldwäscheprävention geht, wird erfordern, dass Mitarbeiter und Führungskräfte weitergehend in Bezug auf Interessenkonflikte und die Bedeutung ihrer Vermeidung und Bewältigung geschult und sensibilisiert werden.
Eindeutige Vorgaben der AMLA sind wichtig
Das klingt nach einem schwierigen Unterfangen. Nachvollziehbar ist die Intention des Verordnungsgebers. Hohe Vermögen sind selten transparent. Zahlreiche involvierte Parteien, Firmenkonglomerate, Geschäftsaktivitäten und Länder sind hierbei zu kennen und dann risikogewichtet zu berücksichtigen. Dieser Kundentypus selbst ist nicht bekannt dafür, mit entsprechenden Informationen schnell bei der Hand zu sein.
Wichtig sind daher vor allem klare und eindeutige Vorgaben der AMLA, die es den Verpflichteten ermöglichen, nötige Informationen und Nachweise zur Verifizierung von Kunden selbst beziehungsweise auf Basis öffentlich verfügbarer Quellen tatsächlich zu erhalten. Darunter darf aber auch das Vertrauensverhältnis zwischen Kunde und Verpflichteten nicht leiden, es darf kein Klima des Misstrauens entstehen. Denn immerhin werden solche Kundenbeziehungen aus ökonomischen Gründen auf beiden Seiten geführt – und dazu gehört eben auch gegenseitiges Vertrauen.
Genau das wird der Gradmesser für diese wie auch viele andere der Maßnahmen sein, die im Zuge der neuen Verordnung umzusetzen sein werden: Klare, faktenbasierte Vorgaben zu schaffen. Hier bestehen hohe Erwartungen an die AMLA in der Finanzindustrie.
Verpflichtete sollten, um die mit den Vorgaben einhergehenden zusätzlichen Informations- und Datenmengen zu bewältigen, auf Digitalisierung und den Einsatz von RPA und KI setzen. Denkbar ist hier zum Beispiel ein KI-gestütztes Transaktions-Monitoring, mit dem Ziel, die Anzahl der „false positives“ im Bereich der Treffer zu reduzieren. KI-Algorithmen können zudem Muster in großen Datenmengen erkennen und verdächtige Transaktionen identifizieren, die manuell schwer zu erkennen wären. Dies umfasst ungewöhnliche Transaktionsmuster oder Abweichungen vom üblichen Kundenverhalten.
Risikobewertung und -management
KI-Modelle können entwickelt werden, um das Risiko von Kunden oder Transaktionen basierend auf historischen Daten und laufenden Transaktionsaktivitäten zu bewerten. Diese Modelle können dynamisch angepasst werden, um Veränderungen im Risikoprofil der Kunden zu berücksichtigen.
RPA kann verwendet werden, um Risikobewertungen beständig zu aktualisieren, indem relevante Daten automatisch aus internen und externen Quellen abgerufen und verarbeitet werden.
KI kann auch tiefgehende Analysen durchführen, um Verbindungen zwischen scheinbar unabhängigen Parteien zu erkennen und damit eventuelle nicht auf der Hand liegende Risiken. Selbstverständlich sind all diese Mittel mit Augenmaß einzusetzen. Denn auch hier gilt das Prinzip: „Viel hilft nicht immer viel“.
Über die Autorin:
Cornelia Tomczak ist Managing Director und leitet das Segment Regulatory Compliance bei Protiviti Deutschland. Ihre Fachgebiete umfassen Anti Financial Crime (AFC-) Compliance, Kapitalmarkt- und Wertpapier-Compliance, CMS-Implementierung, Begleitung von §44 KWG-Prüfungen und Remediation-Projekten, Datenschutz, Hinweisgebersystem sowie Lieferkettensorgfaltspflichtengesetz (LkSG). Vor der Übernahme der Aufgabe bei Protiviti hatte sie verschiedene Positionen als Syndikusanwältin, Compliance- und AFC-Expertin in grenzüberschreitenden Finanzinstituten in Deutschland, Österreich und den USA und als Beraterin inne.