Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 08.06.2021 mit der Veröffentlichung der Auslegungs- und Anwendungshinweise (AuA) für Kreditinstitute die gesetzlichen Pflichten für Verpflichtete nach § 2 Absatz 1 Nummer 1 GwG konkretisiert. Wie im Blog-Beitrag meines Kollegen Uwe Weber bereits dargestellt, wurde den Kreditinstituten unter Ziffer 1 der AuA BT auferlegt, dass die Mittelherkunft bei Bartransaktionen abzuklären ist und die damit einhergehenden Prüf- und Dokumentationspflichten bis zum 08.08.2021 anzuwenden sind.

Mein Blog-Beitrag befasst sich mit Ziffer 6 der AuA BT. Die BaFin gibt hier Konkretisierungen in Bezug auf die Angemessenheit der eingesetzten Datenverarbeitungssysteme (DV-Systeme):

Auswahl, Beschaffenheit, Eignung:

Das Kreditinstitut hat sicherzustellen, dass das eingesetzte DV-System

1. flexibel parametrisiert werden kann, um an die Geschäftstätigkeit des Kreditinstituts angepasst zu werden, und jederzeit aktualisiert werden kann, sofern neue oder veränderte Erkenntnisse aus der institutsspezifischen Risikoanalyse vorliegen.

2. das Kreditinstitut grundsätzlich in die Lage versetzt, Transaktionsmuster, Auffälligkeiten und Abweichungen zu erkennen.

3. ein Indizienmodell enthält, das ein individuelles Konfigurieren ermöglicht unter Einbezug der einschlägigen Typologien im Bereich Geldwäsche, Terrorismusbekämpfung und sonstiger strafbarer Handlungen sowie der aktuellen Veröffentlichungen der FIU.

4. neben Kunden- und Produktrisiken auch Länderrisiken sowie Risiken der Terrorismusfinanzierung abbildet.

5. es erlaubt, Indizien unter dem Aspekt der Prävention von Geldwäsche, von Terrorismusfinanzierung und – soweit geboten – der Verhinderung sonstiger strafbarer Handlungen zu parametrisieren.

6. die erhöhten Risiken im Sinne des § 15 Abs. 3 GwG adäquat abdeckt.

7. die Überprüfung von Namen auf Ähnlichkeiten mittels unscharfer Suchlogik („fuzzy logic“) im Rahmen des Sanktionsscreenings zulässt.

8. das Verwenden und regelmäßige Aktualisieren der die gesetzlichen Vorgaben abbildenden Listen (Sanktionslisten, Embargolisten, PEP-Listen, etc.) unterstützt.

9. Auswertungs- und Statistikfunktionen enthält oder von diesen unterstützt wird, um Ad-hoc Recherchen durchzuführen und auf Auswertungen zur regelmäßigen Aktualisierung und    Weiterentwicklung der Risikoanalyse zurückzugreifen.

10. alle relevanten Daten aus den relevanten IT-Systemen, d.h. vor allem aus den Zahlungsverkehrs- und Transaktionssystemen und den Kundenstammdatenbanken des Kreditinstitutes aufnehmen und verarbeiten kann. Die Aktualität der Daten muss jederzeit gewährleistet sein.

11. dazu in der Lage ist, bestimmte Fallkonstellationen abzubilden, die aufgrund ihrer Gestaltung keine geldwäscherechtlichen Risiken darstellen und somit ausgeschlossen werden können.

12. die generierten Treffer vollständig anzeigen kann (vgl. § 6 Abs. 1 Satz 2 GwG).

13. insbesondere bei IT-basierten Entscheidungen bei jedem generierten Treffer die wesentlichen Einflussfaktoren aufzeigt und das Zustandekommen des Trefferergebnisses plausibel darstellt (Verbot von „Blackboxen“).

14. fehlende Daten kennzeichnen kann und bis zu deren Korrektur mit „default“-Werten arbeitet. Konkret bedeutet dies, dass bei fehlenden Daten, die risikorelevant sind, immer von einem Risiko-erhöhenden Standard-Wert ausgegangen werden muss.

15. auch historische Daten aufnehmen kann.

Es ist zulässig, für die verschiedenen Aufgaben (z. B. Monitoring, Screening) auch verschiedene Systeme anzuwenden. Entscheidend ist, dass die eingesetzten Systeme die oben genannten Aspekte in ihrer Gesamtheit abdecken.

Alles in allem sind dies keine neuen oder bisher unbeachteten Faktoren, jedoch hat die BaFin hiermit die bisher eher schwammigen Definitionen konkretisiert und mehr Klarheit geschaffen. Insgesamt wird deutlich, dass bei Einführung eines neuen Systems der Markt intensiv analysiert werden muss, um sicherzustellen, dass bei der Systemauswahl alle Aspekte der Angemessenheit hinreichend berücksichtigt werden. Dem Bereich Geldwäscheprävention kommt in diesem Zusammenhang eine besondere Rolle zu, da neben den rein technischen Komponenten insbesondere die fachlichen Komponenten entscheidend sind für die Auswahl eines geeigneten Systems.

Neben der Beschaffenheit der eingesetzten DV-Systeme und deren Effizienz spielt weiterhin die Daten- und Informationsqualität eine maßgebliche Rolle in der Bewertung des Gesamtsystems. Je höher die Qualität der Daten in den Quellsystemen ist, desto höher ist auch die Qualität der Ausgaben aus einem DV-System, die sogenannte Informationsqualität, und damit die Funktionsfähigkeit des Systems.

Datenqualität:

Um Datenqualität zu messen, werden typischerweise folgende Kriterien herangezogen:

- Korrektheit,
- Vollständigkeit,
- Zuverlässigkeit,
- Genauigkeit,
- Einheitlichkeit,
- Eindeutigkeit,
- Relevanz,
- Konsistenz und
- Aktualität.

Funktionsfähigkeit:

Die Funktionsfähigkeit eines DV-Systems ist gegeben, wenn

1. die Richtigkeit und Aktualität der Indizien, Regeln, Schwellenwerte, Scores und Risikoklassifizierungssysteme unter besonderer Berücksichtigung aller relevanten gesetzlichen Änderungen, regulatorischen Vorgaben, Warnungen und Informationen regelmäßig und anlassbezogen überprüft wird.
2. wesentliche Änderungen in der Risikoanalyse des Instituts in der Kalibrierung des Systems berücksichtigt werden.
3. regelmäßig fachgerechte Wartung, Überholung und − soweit nötig − technische Aufrüstung der Hardware des DV-Systems zur Sicherung seiner Funktionsfähigkeit stattfinden.
4. die reibungsfreie Zusammenarbeit der Einzelkomponenten und deren Schnittstellen zu den DV-Systemen jederzeit gewährleistet ist („End-to-End“). Das Kreditinstitut hat die ordnungsgemäße Funktionalität der DV-Systeme laufend zu überprüfen und regelmäßig für eine Qualitätskontrolle der DV-Systeme durch einen unabhängigen Prüfer zu sorgen.
5. das Kreditinstitut den Fall einer Störung oder eines Ausfalls des DV-Systems im Notfallkonzepts gemäß AT 7.3 der MaRisk berücksichtigt.
6. Änderungen der gesetzlichen Anforderungen hinsichtlich des Einsatzes von DV-Systemen und deren Regelungsgegenstand unverzüglich nach deren Inkrafttreten umgesetzt werden.

Auch diese Anforderungen sind nicht gänzlich neu, konkretisieren aber die Notwendigkeit, dass der fachliche und technische Bereich eng zusammenarbeiten, damit die Funktionsfähigkeit gewährleistet werden kann. Es wird deutlich, dass neben den Kreditinstituten auch die Anbieter solcher EDV-Lösungen eine Verantwortung tragen und dafür zu sorgen haben, dass ihre Systeme regelmäßig um sich ändernde oder neue Anforderungen ergänzt werden.

Ebenso wie die oben angesprochene Daten- und Informationsqualität auf die effektive und effiziente Verwendung der DV-Systeme einzahlt, gehört ein sachgerechtes Mapping der aus den Quellsystemen gelieferten Daten zu den Datenbankfeldern des DV-Systems zur Basis einer vollumfänglichen Funktionsfähigkeit. Bei der Auswahl des DV-Systems ist darauf zu achten, dass das DV-System ausreichend konzipiert ist, um die erforderlichen Daten auch nachhaltig (wiedererzeugbar) in der Datenbank aufzunehmen. Die Anforderungen an das Mapping eines DV-Systems im Bereich der Geldwäsche- und Terrorismusfinanzierungsprävention sind sehr hoch, da es nicht ausreichend ist, die Daten einfach abzulegen. Vielmehr müssen die Daten wiedererkennbar und innerhalb der gesetzlichen Fristen auch reproduzierbar sein, selbst wenn sich das Datenfeld inhaltlich ändert, aber sie dürfen nicht manipulierbar sein. Idealerweise ist das DV-System dazu in der Lage, die Datenfelder entsprechend den Bezeichnungen aus den Quellsystemen zu benennen.

Dokumentation:

Das DV-System muss erlauben, sämtliche Anpassungen an den Parametern (Einstellungen, Indizien, Berechtigungen) sowie alle erzeugten Treffer nebst Trefferdokumentation und gegebenenfalls erfolgte Verdachtsmeldungen gem. § 8 GwG so zu dokumentieren und zu archivieren, dass ein sachkundiger Dritter diese Vorgänge in angemessener Zeit nachvollziehen kann.

Dabei ist zu berücksichtigen, dass

1. erzeugte Treffer so zu dokumentieren sind, dass die Treffer-Analyse und die sich daraus ergebenden Erkenntnisse erkennbar und nachvollziehbar sind.
2. die Verantwortlichkeiten jederzeit erkennbar sind.
3. eine hinreichende Begründung angegeben wird, welche die Ordnungsmäßigkeit und Rechtmäßigkeit der Änderung schlüssig darlegt.

Die Anforderungen an die Dokumentation werden also nun zum ersten Mal konkretisiert und auch vom Umfang her klar beschreiben. Waren es bisher lediglich allgemeine Dokumentationsanforderungen, so sind es jetzt eindeutigere Definitionen. Es bleibt jedoch weiterhin ein Ermessensspielraum gegeben. Insbesondere im Zusammenhang mit Dokumentationspflichten werden die Prüfungsstellen, die Verbände und Organisationen sowie Revisoren bei Banken und Sparkassen wohl zukünftig genau hinsehen.

Eine wesentliche Anforderung der Ziffer 6 ist, dass die DV-Systeme die einschlägigen Typologien im Bereich Geldwäsche, Terrorismusbekämpfung und sonstiger strafbarer Handlungen sowie die aus den aktuellen Veröffentlichungen der FIU hervorgehenden Anhaltspunkte abbilden können müssen. Neben den schon dargestellten Anforderungen an die gelieferten Daten und deren Verwendbarkeit im DV-System ergehen hieraus auch Anforderungen an die Dokumentation und Prüfung: Alle relevanten Sachverhalte in Bezug zur Parametrisierung der DV-Systeme (wie Regeln, Indizien, etc.) müssen bei der Dokumentation berücksichtigt werden.

Hinsichtlich der Typologien und Anhaltspunkte gibt es eine Vielzahl an Dokumenten, die das Erfassen sämtlicher Typologien erschweren. Denn allein die FATF hat in den Jahren 2019 und 2020 mehr als 50 Publikationen mit Bezug zu Geldwäsche, Terrorismusfinanzierung und Proliferation veröffentlicht. Nimmt man den Bereich der sonstigen strafbaren Handlungen hinzu, kommen mehr als 300 Typologien zusammen. msg Rethink Compliance empfiehlt hier klar das Führen eines entsprechenden Registers, samt regelmäßiger Aktualisierung.

Management:

Bei der Vergabe von Benutzerrechten für das DV-System muss beachtet werden, dass der betroffene Benutzer alle erforderlichen fachlichen Qualifikationen und Expertisen aufweist. Dies gilt sowohl für eigene Mitarbeiter als auch für externe Berater.

Bei der Rechtevergabe ist sicherzustellen, dass erkennbar ist, welche Funktion der jeweilige Nutzer ausüben soll, und dass ihm nur die hierfür relevanten Rechte zugewiesen werden. Daraus erwächst die Anforderung, die mit der Nutzung des DV-Systems betrauten Mitarbeiter hinreichend zu schulen und fachlich weiterzubilden, um einen MaRisk-konformen und transparenten Betrieb zu gewährleisten.

Die fachliche Verantwortung liegt beim Geldwäschebeauftragten. Er ist verantwortlich für die fachliche Weiterentwicklung des DV-Systems, die Änderung der vorhandenen Indizien, Regeln oder Szenarien, Schwellenwerte und Scores sowie deren Generierung und Kalibrierung, und er hat über entsprechende Kenntnisse zu verfügen. Der Geldwäschebeauftragte muss die Möglichkeiten und Grenzen des DV-Systems kennen, um zu beurteilen, ob und wie neue Anforderungen umgesetzt werden können. Die letztliche technische Umsetzung kann durch spezialisierte Mitarbeiter oder durch externe Dienstleister erfolgen.

Auswahl des Datenverarbeitungssystems:

Sind die gesetzlich vorgegebenen Kriterien erfüllt, sind die Kreditinstitute hinsichtlich der Wahl des DV-Systems grundsätzlich ungebunden. Dass es keine Systemvorgaben gibt, unterstreicht die Aussage unter 6.2.6, dass bei Einführung eines neuen Systems der Markt intensiv analysiert werden muss und dass hierzu nicht nur fachliche, sondern auch technische Kenntnisse erforderlich sind.

Konkretisiert wurde jetzt auch, unter welchen Voraussetzungen von einem Einsatz eines DV-Systems abgesehen werden kann. § 25h Abs.2 Satz 1 KWG sieht einen generellen Einsatz von DV-Systemen für alle Kreditinstitute vor, erlaubt es der BaFin jedoch entsprechende Ausnahmen zu definieren. Dies wurde jetzt unter Ziffer 6.2.7 AuA BT getan.

Ein Kreditinstitut kann davon absehen, ein DV-System einzusetzen, wenn nur eine geringe Anzahl von Vertragspartnern/wirtschaftlich Berechtigten oder Transaktionen bestehen und diese auch ohne DV-System wirksam überwacht werden können. Die BaFin nennt als Richtgröße eine Bilanzsumme von unter 250 Mio. Euro.

Auslagerungen ins Ausland:

Unter 6.2.8 wird konkretisiert, dass eine Auslagerung an einen Dritten mit Sitz im Ausland möglich ist, jedoch nur, wenn sich die Niederlassung des Dritten nicht in einem Drittstaat mit hohen Risiken befindet.

In Bezug auf Auslagerungen ist allgemein darauf hinzuweisen, dass mit einer Auslagerung (Inland oder Ausland) das Kreditinstitut nicht die Verpflichtung nach dem Geldwäschegesetz auslagern kann. Die Verantwortung für die Erfüllung der Sicherungsmaßnahmen bleibt beim Verpflichteten. Dazu führt die BaFin unter 6.2.8 der AuA BT aus, dass sicherzustellen ist, dass der Geldwäschebeauftragte Zugriff auf alle Treffer hat und er unverzüglich über relevante Treffer informiert wird, so dass die Zeitvorgaben für die Abgabe von Verdachtsmeldungen eingehalten werden. Somit muss auch nach Auslagerung eine sachkundige Person im Kreditinstitut vorhanden sein.

Fazit:

Die Auswahl des richtigen oder auch passenden Systems ist keine einfache Aufgabe und stellt viele Institute vor Probleme. Die vorliegende Konkretisierung der BaFin in Bezug zur Angemessenheit von DV-Systemen kann für die Auswahl herangezogen werden und ist hilfreich für die Prüfung der Eignung. Zu den anderen Aspekten eines Auswahlverfahrens, den Methoden oder Instrumenten gibt es keine Konkretisierung. Es bleibt daher von meiner Seite zu empfehlen, das Auswahlverfahren und die getroffenen Entscheidungen zu dokumentieren, um auch hier den Spielraum und mögliche Konsequenzen einer Falschauswahl zu minimieren.