Die Aufgabe der Europäischen Bankenaufsicht (EBA) ist es, einen einheitlichen Regulierungs- und Aufsichtsrahmen für den Bankensektor in der EU zu schaffen. Während die nationalen Aufsichtsbehörden – in Deutschland die Bafin – für die konkrete Überwachung der Finanzinstitute verantwortlich sind, ist die EBA übergeordnet tätig.
Zu dieser übergeordneten Aufsicht gehört auch die Leitung, Koordinierung und Überwachung der Bekämpfung von Geldwäsche (AML) und Terrorismusfinanzierung (CFT). Hierzu schafft die EBA die zentrale AML/CFT-Datenbank. Kern dieser Datenbank ist das am 31. Januar 2022 in Betrieb genommene Europäische Meldesystem für wesentliche AML/CFT-Schwachstellen (EuReCA). Dieses enthält Informationen über wesentliche Schwachstellen im Bereich Geldwäsche und Terrorismusfinanzierung, die Aufsichtsbehörden bei individuellen Finanzinstituten festgestellt haben, ebenso wie Informationen über Maßnahmen, die von den Aufsichtsbehörden als Reaktion auf diese Schwachstellen ergriffen wurden.
Eingriff in das informationelle Selbstbestimmungsrecht der Kunden
EU-weit sind die Aufsichtsbehörden dazu verpflichtet, gefundene wesentliche Schwachstellen und gegebenenfalls ergriffene Maßnahmen unverzüglich im EuReCA zu melden. Die so gesammelten Informationen werden analysiert und können mit den Aufsichtsbehörden proaktiv durch die EBA oder auf Nachfrage geteilt werden.
Ziel ist es, Risikoanalysen für den europäischen Finanzsektor zu erstellen. Ebenso sollen die nationalen Aufsichtsbehörden unterstützt werden, insbesondere wenn sich bestimmte Risiken oder Trends herausbilden. Zudem soll durch EuReCA ein Frühwarnsystem etabliert werden, um Trends frühzeitig zu erkennen und möglichst vorausschauend reagieren zu können.
Es handelt sich natürlich um einen empfindlichen Eingriff in das informationelle Selbstbestimmungsrecht der Kunden, und auch das Bankgeheimnis wird durch diese Maßnahme ausgehebelt. Gerade im Finanzsektor kennen wir diese Eingriffe aber bereits seit Langem. Das Wertpapier- und Bankenaufsichtsrecht ist geprägt von einem umfassenden Überwachungsinstrumentarium. Man denke nur an die rasterfahndungsmäßige Prüfung aller Aktiengeschäfte und den automatisierten Abgleich mit Insiderlisten und Ad-hoc-Informationen.
Bedeutung für den Privatbankensektor
Die Bedeutung für den Privatbankensektor ist immens: EuReCA soll den Informationsaustausch zwischen den verschiedenen Aufsichtsbehörden erleichtern. Der Bankensektor muss also mit besser informierten und spezifischeren Kontrollen rechnen. Landesgrenzen spielen keine Rolle mehr: Die Aufsichtsbehörde des einen Mitgliedstaates erhält Kenntnis von einem Verstoß in einem anderen Mitgliedsstaat und wird dies bei einer Kontrolle ihrerseits berücksichtigen – dies sowohl bei der Frage, welche konkrete präventive Maßnahme als Reaktion auf einen Verstoß gewählt wird und auch, in welcher Höhe Bußgelder verhängt werden.
Banken müssen die AML/CFT-Anforderungen proaktiv angehen. Bereits etablierte Richtlinien und interne Prozesse sollten überprüft und angemessene Kontrollen durchgeführt werden. So wird sichergestellt, dass es keine wesentlichen Schwachstellen bei der Einhaltung von Richtlinien gegen Geldwäsche- und Terrorismusfinanzierungen gibt. So äußerte die EBA im Jahresbericht 2023 zwei Hauptkritikpunkte an Zahlungsinstitute: Zum einen würden die Geldwäscherisiken oft nicht wirksam bewertet oder gesteuert. Zum anderen würden die internen AML/CFT-Kontrollen in den Zahlungsinstituten oft nicht ausreichen, um die teils hohen inhärenten Geldwäsche- und Terrorismusfinanzierungsrisiken zu mindern.
Typische Beispiele für wesentliche Schwachstellen sind das Fehlen angemessener AML/CFT-Strategien und -Verfahren einschließlich des Fehlens einer Transaktionsüberwachung auf Gruppenebene sowie das Fehlen von Strategien und Verfahren für Hochrisikokunden, die das mit dem Finanzinstitut verbundene Risiko für Geldwäsche und Terrorismusfinanzierung erhöhen. Die immer wieder immer noch bei manchen Instituten zu beobachtende generelle Zurückhaltung bei der Bearbeitung von Geldwäscheverdachtsfällen ist nicht mehr angezeigt.
Vielzahl an Informationen könnte gespeichert werden
Wird eine Meldung an das EuReCA abgegeben, landen eine Vielzahl an Informationen in der Datenbank. Dies reicht etwa von Angaben über das Unternehmensnetzwerk, derzeit beantragte Zulassungen und Angaben zum Umfang der Tätigkeit des Betroffenen. Letzteres kann die Anzahl der Kunden, das Volumen der verwalteten Vermögenswerte sowie des Vertriebsnetzes enthalten. Die Aufbewahrung solcher Daten im EuReCA dürfte es auch im Hinblick auf mögliche Folgeverfahren zu vermeiden gelten.
Auch für Kunden ist der Austausch von Bedeutung: Bislang wurden im EuReCA mangels datenschutzrechtlicher Grundlage keine personenbezogenen Daten erhoben. Dem wurde mit Beschluss der technische Regulierungsstandards im Februar 2024 abgeholfen. Entsprechend verkündete die EBA, ab Mai 2024 auch Informationen über natürliche Personen im EuReCA zu sammeln. Damit ist EuReCA nun vollends „scharf geschaltet“.
Bedeutung für Kunden
Auch die Kunden von Banken können durch die begonnene Speicherung von personenbezogenen Daten betroffen sein. Steht die wesentliche Schwäche mit einer bestimmten natürlichen Person in Verbindung, hat die Aufsichtsbehörde dies umfassend zu melden. Neben wirtschaftlichen Eigentümern, Mitgliedern von Leitungsorganen und Führungskräften, kann diese Person auch ausdrücklich ein Kunde sein. Die erhobenen Daten kann die EBA auch an andere Aufsichtsbehörden weitergeben, wenn sie diese für ihre Aufsichtstätigkeit benötigen, um Geldwäsche oder der Terrorismusfinanzierung zu verhindern. Hinzu kommt eine Aufbewahrungsfrist von bis zu 10 Jahren.
Zu beachten ist, dass die gesammelten Daten auch verwendet werden dürfen, um Straftaten zu ermitteln. Auch dies ist aus dem Finanzmarktaufsichtsrecht bekannt: Die Grenzen zwischen den aufsichtsrechtlichen Mitwirkungspflichten und den strafprozessualen Weigerungsrechten selbst bei Selbstbelastungsgefahr verschwimmen immer mehr.
Ausblick
Seit Einführung des EuReCA am 31. Januar 2022 haben 41 Aufsichtsbehörden bereits mehr als 1400 schwerwiegende Mängel und Abhilfemaßnahmen gemeldet, die über 151 Finanzinstitute betrafen. Weiter ist mit steigenden Fallzahlen zu rechnen, da die Aufsichtsbehörden die notwendigen Prozesse für die EuReCA-Meldungen integrieren und nun auch personenbezogene Daten gesammelt werden. Zukünftig wird EuReCA im Zuständigkeitsbereich der neuen EU-Geldwäschebekämpfungsbehörde (European Anti-Money Laundering Authority – AMLA) liegen, womit eine noch intensivere Widmung des Themas einhergehen dürfte. Dies macht eine adäquate geldwäscherechtliche Compliance unabdingbar.
Über den Autor:
André-M. Szesny ist Partner bei der Wirtschaftskanzlei Heuking und Leiter der dortigen Praxisgruppe Wirtschafts- und Steuerstrafrecht, Compliance und Interne Untersuchungen. Ein Schwerpunkt seiner Tätigkeit liegt in der Beratung und Verteidigung von Wertpapierhandelsunternehmen und Kreditinstituten in Kapitalmarktstraf- und -bußgeldverfahren. Er ist Mitherausgeber des Buches Kapitalmarkt Compliance (Verlag C.F. Müller).