Compliance-Teams stehen heute vor der Herausforderung, ständig wachsende Anforderungen an das Risikomanagement im Bereich der Finanzkriminalität zu bewältigen. Ein zentrales Aktionsfeld ist die Beschaffung und automatisierte Analyse von Informationen über Geschäftspartner. Diese Entwicklung wird seit Jahrzehnten vor allem durch internationale Gesetzgebung vorangetrieben, die ein umfangreiches Regelwerk entwickelt hat, um den zunehmenden Gefahren der Geldwäsche und Terrorismusfinanzierung zu begegnen.
Was ist Finanzkriminalität heute?
Finanzkriminalität in Unternehmen umfasst ein breites Spektrum strafbarer Handlungen. Dazu zählen Betrug, Korruption in Form von aktiver und passiver Bestechung, Geldwäsche, Terrorismusfinanzierung sowie Verstöße gegen das Kartellrecht. In jüngster Zeit gewinnen auch außenwirtschaftliche Verstöße, wie die Umgehung von Sanktionen, an Bedeutung. Viele Staaten setzen Sanktionen als politisches Instrument ein, um geltendes Völkerrecht durchzusetzen. Durch die zunehmende Verhängung solcher Strafmaßnahmen ist dieser Bereich zu einem brisanten Compliance-Thema für international tätige Unternehmen geworden. Die hohe Aufmerksamkeit für Wirtschaftsdelikte erklärt sich zum einen durch die empfindlichen Strafen, die Unternehmen drohen. Zum anderen sind Reputationsschäden zu befürchten, deren finanzielle Folgen die Bußgelder oft übersteigen.
Neben den klassischen Bereichen der Finanzkriminalität gewinnen weitere Aspekte für Unternehmen an Bedeutung. Dazu zählen die gesetzlichen Regelungen zu den Sorgfaltspflichten in Lieferketten sowie die Corporate Social Responsibility (CSR). Letztere bringt zunehmend umfangreiche Berichtspflichten mit sich. Obwohl diese Themen nicht direkt zur Finanzkriminalität gehören, beeinflussen sie die öffentliche Wahrnehmung eines Unternehmens erheblich. In der heutigen dynamischen und transparenten Öffentlichkeit können Reputationsschäden schnell eskalieren und spielen daher eine immer wichtigere Rolle bei unternehmerischen Entscheidungen.
Um Schäden zu vermeiden und gleichzeitig den Aufwand für Kontrollaufgaben so gering wie möglich zu halten, müssen Unternehmen Prioritäten setzen. In einer hierarchischen Liste würden die Themen Geldwäsche und Terrorismusfinanzierung angesichts drohender Strafen und Reputationsrisiken ganz oben stehen. Bei der Geldwäscheprävention steht die sorgfältige Prüfung von Kunden im Mittelpunkt. Dabei geht es vor allem um die Identität des wirtschaftlich Berechtigten und die Herkunft der Gelder, die ein Geschäftspartner für Transaktionen einsetzt. Entscheidend ist die Frage, ob diese Gelder möglicherweise aus kriminellen Aktivitäten stammen.
An dieser Stelle lohnt es sich, an die Herkunft des Begriffes Geldwäsche zu erinnern. Er leitet sich von Al Capones Taktik in den 1930er Jahren ab, illegal erworbenes Geld durch seine Wäschereien zu „waschen“. In den 1980er Jahren verstärkte sich die Problematik durch das Medellín-Kartell, das Drogengelder in den legalen Finanzmarkt einschleuste. Dieses Jahrzehnt war geprägt von einer Deregulierung der Finanzmärkte und dem Aufstieg der Digitalisierung, was den internationalen Kartellen neue Möglichkeiten zur Geldwäsche eröffnete. 1989 initiierten die G7-Staaten die Financial Action Task Force (FATF), die 1990 erste Empfehlungen zur Geldwäschebekämpfung veröffentlichte. Diese Empfehlungen wurden weltweit in nationales Recht umgesetzt. Nach den Anschlägen vom 11. September 2001 erweiterte die FATF ihren Fokus auf die Terrorismusfinanzierung.
Allerdings gleicht das Verhältnis zwischen kriminellen Handlungen und den Bemühungen von Gesetzgebern und Strafverfolgungsbehörden einem Wettlauf zwischen Hase und Igel. Durch die rasante Entwicklung in Bereichen wie den Kryptowährungen entstehen ständig neue Möglichkeiten zur Geldverschiebung. Kriminelle nutzen komplexe Unternehmensstrukturen und Strohmänner, um ihre Identität zu verschleiern und der Strafverfolgung zu entgehen. Sie agieren international und koordiniert, während die internationale Vernetzung der Strafverfolgungsbehörden noch unzureichend ist. Gesetzesreformen und effektive Zusammenarbeit hinken oft hinterher, was durch die mangelnde Digitalisierung nationaler Verwaltungen noch verstärkt wird.
Finanzkriminalität im Kontext der Unternehmen
Für Unternehmen ist es selbstverständlich, sich an geltendes Recht zu halten. Compliance-Teams müssen alles in ihrer Macht Stehende tun, um Risiken vom eigenen Unternehmen fernzuhalten. Die Grundlage dieser Abwehrmaßnahmen sind Informationen. Auch hier gilt: Wissen ist Macht. Konkret bedeutet das aus Unternehmenssicht, den Begriff des KYC (Know Your Customer) zum Know Your Business Partner weiterzuentwickeln. Je mehr über Geschäftspartner – ob Kunden oder Lieferanten – bekannt ist, desto besser. Die Basis dafür bilden Daten, die im Idealfall vollständig, genau, aktuell, konsistent, verständlich, sicher und in strukturierter Form verfügbar sind.
Solche Daten eignen sich hervorragend, um viele Prozesse zu automatisieren und das Compliance-Risikomanagement auf ein neues Fundament zu stellen. Um diese Daten effektiv in ein aktives Risikomanagement zu integrieren, verfolgen viele Unternehmen jedoch noch eine sehr minimalistische Strategie. Sie ermitteln entlang der gesetzlichen Rahmenbedingungen die Mindestanforderungen und etablieren diese als Prozesse in der Organisation. Ein Beispiel dafür ist die übliche Vorgehensweise bei der Erfüllung von Sorgfaltspflichten im Hinblick auf geldwäscherechtliche Verpflichtungen:
- Eindeutige Identifikation des Geschäftspartners
- Bestimmung des/der wirtschaftlich Berechtigten (UBO – Ultimate Beneficial Owner)
- Ermittlung von politisch exponierten Personen (PEP)
Was den wirtschaftlich Berechtigten angeht, lässt das Gesetz einen gewissen Interpretationsspielraum. Im Zweifel wird eine Person mit mindestens 25 Prozent der Gesellschaftsanteile als UBO definiert. Im Normalbetrieb begnügen sich Unternehmen häufig mit eben diesen 25 Prozent. In der Praxis bedeutet das: Es wird ermittelt, wer mehr als ein Viertel der Anteile an einem Unternehmen hält, dessen Daten werden erhoben – und damit scheint die gesetzliche Mindestanforderung erfüllt.
Der Gesetzgeber gibt jedoch explizit vor, im Zweifel davon auszugehen, dass jemand, der direkt oder indirekt mit mindestens 25 Prozent an einem Unternehmen beteiligt ist, der wirtschaftlich Berechtigte ist. Tatsächlich könnten auch andere Personen die UBOs sein. Mithilfe von Daten ist eine diesbezügliche Risikoeinschätzung sogar nahezu voll automatisiert möglich, wie das folgende Beispiel verdeutlichen soll.
Wurde auf herkömmliche Weise ermittelt, wer 25 Prozent an einem Unternehmen hält, könnten ergänzend weitere Daten genutzt werden, um das Risiko präziser zu beschreiben. So ließe sich etwa das Alter eines UBO prüfen. Mittels eines einfachen Wenn-dann-Regelwerks könnten Annahmen zu einer besseren Risikoeinschätzung führen. Beispielsweise könnte die Annahme lauten: Wenn das Alter des UBO unter 18 oder über 90 liegt, besteht ein höheres Risiko, da Zweifel an der tatsächlichen Rolle dieser Person als UBO bestehen. Es ist möglich, dass der angegebene UBO nur als Strohmann fungiert. Dieses einfache Beispiel zur Verbesserung der Geldwäscherisikoeinschätzung erfordert lediglich wenige Daten und ein cleveres Compliance-Risikomanagement.
Unternehmen, die sich zu eng am Gesetzestext orientieren, laufen Gefahr, kein effektives Risikomanagement zu betreiben. Die Folgen liegen dann möglicherweise weniger in justiziablem Fehlverhalten, sondern vielmehr in schwer einschätzbaren Reputationsschäden. Compliance-Teams, die über die reine Einhaltung gesetzlicher Regelungen hinaus ein aktiveres Risikomanagement anstreben, stoßen oft an Grenzen. Es mangelt schlicht an Personal, um mehr zu leisten, als das Gesetz vorschreibt. Hinzu kommt: Selbst bei entsprechender Unterstützung verhindert der Fachkräftemangel den Aufbau einer schlagkräftigen Organisation. An dieser Stelle kommt die Technik ins Spiel. Die Digitalisierung ermöglicht bereits heute automatisierte Prozesse, die Compliance-Teams bei ihrer wichtigen Tätigkeit in großem Umfang entlasten können.
Die Macht der aggregierten Daten
Wie das einfache Beispiel zeigt, basiert effektives Risikomanagement auf Informationen in Form aufbereiteter Daten. Dieses Ergebnis beruht auf wenigen Prinzipien: Die Daten müssen von hoher Qualität, möglichst vollständig und im Idealfall strukturiert, also operationalisierbar sein. Das bedeutet im ersten Schritt bei der Erhebung von Informationen über Unternehmen konkret, dass so viele zielführende Daten wie nötig gesammelt werden. Beim Beispiel des UBO können das Daten wie Name, Alter, Standort oder die Position als Gesellschafter sein. Automatisierung bedeutet im zweiten Schritt, diese Informationen so aufzubereiten und zu analysieren, dass das Compliance-Team ein präzises Bild vom Unternehmen gewinnen kann. Voraussetzung dafür ist, dass sich die Daten in einfacher Wenn-dann-Form operativ nutzen lassen.
Daher ist ein System erforderlich, das auf Knopfdruck diese Informationen zusammenstellt und dessen Algorithmen entsprechende Warnsignale aktivieren. Dies gilt insbesondere für stark verschachtelte Unternehmensstrukturen, die im Geldwäschegesetz explizit als mögliche risikoerhöhende Faktoren genannt werden. Ermittelt das System automatisiert zehn bis 15 Gesellschafterebenen, kann dies als komplex und damit risikoträchtig eingestuft werden. Compliance-Teams können dann ihre eigentliche Arbeit aufnehmen und tiefergehende Analysen durchführen, um Risiken zu ergründen. Die automatisierte Beschaffung und Verarbeitung umfangreicher Informationen aus unterschiedlichen Quellen ermöglicht eine schnelle und effektive Risikobewertung. Bisher war dies nur auf Basis aufwendiger manueller Prozesse möglich.
Alle verfügbare Datenquellen anzapfen und mit KI auswerten
Für die Datengewinnung stehen Unternehmen vielfältige öffentliche Datenbanken zur Verfügung. Darüber hinaus können Firmen auch selbst relevante Informationen bereitstellen. Im Kontext des Datenschutzes ist es wichtig zu verstehen, dass sich zwei gesetzliche Ansätze bei der Identifizierung des UBO diametral gegenüberstehen: der Schutz personenbezogener Daten gemäß der Datenschutzgrundverordnung (DSGVO) und die Anforderungen des Gesetzgebers zur Geldwäschebekämpfung. Es ist davon auszugehen, dass der Staat der Verhinderung von Geldwäsche Vorrang vor den Bestimmungen der DSGVO einräumt. Daher kann das Sammeln von Informationen über UBOs als höheres Rechtsgut eingestuft werden als der Schutz dieser Daten nach DSGVO. Unternehmen sollten diese Vorgehensweise in ihren Datenschutzerklärungen präzise beschreiben, um sich rechtlich abzusichern.
Mit künstlicher Intelligenz oder NLP-Anwendungen (Natural Language Processing) lassen sich mittlerweile gezielt Daten im Internet suchen und erfassen. KI-basierte Anwendungen zielen jedoch primär darauf ab, bereits vorliegende Informationen effizienter aufzubereiten. Trotz fortschrittlicher Technologien werden diese Informationen oft noch mit traditionellen Methoden evaluiert. Schein- und Briefkastenfirmen werden beispielsweise weiterhin postalisch oder telefonisch überprüft. Das größte Potenzial der Automatisierung entfaltet sich, wenn große Datenmengen zusammengeführt und den Compliance-Teams strukturiert zur Verfügung gestellt werden.
Chancen für Compliance-Teams im Finanzsektor
Compliance-Teams stehen vor der Herausforderung, stetig wachsende Anforderungen des Risikomanagements zu bewältigen und Reputationsschäden zu vermeiden, die hohe finanzielle Einbußen bedeuten können. Um effektive Risikomanagementstrategien zu entwickeln, sollten Unternehmen daher zunehmend auf die Automatisierung von Prozessen und die Nutzung qualitativ hochwertiger Daten setzen. Die Digitalisierung bietet erhebliche Möglichkeiten zur Entlastung der Compliance-Teams und zur Verbesserung der Risikobewertung. Insgesamt müssen Unternehmen proaktiv handeln, um Risiken zu minimieren und die Einhaltung der geltenden Vorschriften sicherzustellen. Das erfordert einen ganzheitlichen Ansatz und kontinuierliche Anpassungen, um den sich ständig ändernden Bedrohungen durch Finanzkriminalität gerecht zu werden.
Dieser Beitrag erschien zuerst in der gedruckten Ausgabe Cybersecurity. Das Heft können Sie hier bestellen.
