Dun & Bradstreet

Mit automatisierten Datenanalysen Finanzkriminalität auf die Spur kommen

In der heutigen Geschäftswelt stehen Compliance-Teams vor der komplexen Aufgabe, den ständig steigenden Anforderungen des Risikomanagements hinsichtlich Finanzkriminalität gerecht zu werden. Im Fokus stehen dabei die Beschaffung und automatisierte Analyse von Informationen und Daten über Geschäftspartner. Diese Entwicklung wird maßgeblich durch internationale Gesetzgebungen vorangetrieben, die darauf abzielen, Bedrohungen wie Geldwäsche und Terrorismusfinanzierung effektiv zu bekämpfen.

 

Definition und Bedeutung der Finanzkriminalität

Finanzkriminalität umfasst eine Vielzahl krimineller Aktivitäten, darunter Betrug, Bestechung, Geldwäsche, Terrorismusfinanzierung und kartellrechtliche Verstöße. Hinzu kommen außenwirtschaftliche Verstöße wie die Umgehung von Sanktionen, welche aufgrund der zunehmenden politischen Sanktionen eine besondere Brisanz erhalten haben. Unternehmen müssen nicht nur hohe staatliche Strafen für Verfehlungen befürchten, sondern auch erhebliche Reputationsschäden. Diese ziehen finanzielle Einbußen nach sich und können unter Umständen um ein Vielfaches höher sein, als die Strafen vom Staat.

Die Einhaltung von Sorgfaltspflichten in Lieferketten und die Corporate Social Responsibility mit ihren Berichtspflichten stellen Unternehmen vor neue Herausforderungen. Diese Bereiche rechnet man nicht der Finanzkriminalität zu, beeinflussen aber die öffentliche Wahrnehmung und können ebenfalls Reputationsschäden verursachen. 

Um den Aufwand für Kontrollaufgaben zu minimieren und gleichzeitig Schäden zu vermeiden, müssen Unternehmen klare Prioritäten setzen.

Carsten Ettmann

Prioritäten im Risikomanagement setzen

Um den Aufwand für Kontrollaufgaben zu minimieren und gleichzeitig Schäden zu vermeiden, müssen Unternehmen klare Prioritäten setzen. Sollte in diesem Sinne eine hierarchische Liste entwickelt werden, dann stehen an oberster Stelle sicherlich Geldwäsche und Terrorismusfinanzierung. Unternehmen müssen ihre Kunden und Geschäftspartner genau prüfen, insbesondere hinsichtlich der Identität der wirtschaftlich Berechtigten und der Herkunft der eingesetzten Gelder.

An dieser Stelle lohnt es sich an die Herkunft des Begriffes Geldwäsche zu erinnern. Der Begriff "Geldwäsche" stammt von Al Capones Taktik in den 1930er Jahren, illegales Geld durch Wäschereien zu "waschen". In den 1980er Jahren verstärkte das Medellín-Kartell dieses Problem, indem es Drogengelder in den legalen Finanzmarkt einschleuste. Die G7-Staaten gründeten daraufhin 1989 die Financial Action Task Force (FATF). Diese veröffentlichte erste Empfehlungen zur Bekämpfung der Geldwäsche und erweiterte später ihren Fokus auf Terrorismusfinanzierung.


Aktuelle Herausforderungen durch technologische Entwicklungen

Die rasante Entwicklung von Kryptowährungen und komplexen Unternehmensstrukturen bietet Kriminellen immer neue Möglichkeiten zur Geldwäsche. So gleicht das Verhältnis zwischen kriminellen Handlungen und den Bemühungen von Gesetzgebern und Strafverfolgungsbehörden dies zu verhindern dem Wettlauf zwischen Hase und Igel. Kriminelle agieren international und koordiniert, während die internationale Vernetzung der Strafverfolgungsbehörden oft durch mangelnde Digitalisierung hinterherhinkt. 

 

Strategien zur Risikominimierung

Unternehmen sind gesetzlich verpflichtet, geltendes Recht zu befolgen. Ein effektives Risikomanagement erfordert umfassende Informationen über Geschäftspartner. Hier kommt der erweiterte Ansatz des "Know Your Business Partner" (KYC) ins Spiel. Vollständige, aktuelle, konsistente, verständliche, sichere und strukturierte Daten sind die Grundlage für die Automatisierung vieler Prozesse im Compliance-Risikomanagement.

Mit diesen können Unternehmen eine präzisere Risikoeinschätzung vornehmen und auf ein neues Level heben. Viele Unternehmen verfolgen hier aber immer noch eine minimalistische Strategie. Entlang der gesetzlichen Rahmenbedingungen werden die Mindestanforderungen ermittelt und in der Organisation als Prozess etabliert. Als Beispiel mag die übliche Vorgehensweise bei der Erfüllung von Sorgfaltspflichten hinsichtlich geldwäscherechtlicher Verpflichtungen dienen:

  1. Eindeutige Identifikation des Geschäftspartners
  2. Bestimmung des der wirtschaftlich Berechtigten (UBO – Ultimate Beneficial Owner)
  3. Ermittlung von politisch exponierten Personen (PEP)

In Bezug auf den wirtschaftlich Berechtigten bietet das Gesetz eine gewisse Unklarheit, da es "im Zweifel" eine Person mit mindestens 25 Prozent Gesellschaftsanteil als wirtschaftlich Berechtigten definiert. Unternehmen begnügen sich oft mit dieser 25-Prozent-Marke. Praktisch bedeutet dies, dass festgestellt wird, wer mehr als 25 Prozent am Unternehmen hält. Man sammelt die entsprechenden Daten und die gesetzlichen Mindestanforderungen sind damit scheinbar erfüllt. Der Gesetzgeber schreibt jedoch, dass man im Zweifel davon ausgehen muss, dass jemand mit mindestens 25 Prozent Beteiligung direkt oder indirekt der wirtschaftlich Berechtigte ist. Allerdings können auch andere Personen diese Rolle einnehmen. Mit Hilfe von Daten ist eine entsprechende Risikobewertung nahezu vollständig automatisierbar. Das nachfolgende Beispiel möge dies verdeutlichen:

Ein Unternehmen ermittelt auf herkömmliche Weise, wer 25 Prozent an einem Unternehmen hält. Zusätzlich kann es ergänzende Daten, wie zum Beispiel das Alter eines UBO, nutzen, um ein Risiko zu beschreiben. Identifiziert das Unternehmen einen UBO unter 18 oder über 90 Jahre, besteht die Möglichkeit, dass dieser nur als Strohmann fungiert. Mit diesem trivialen Wenn-Dann-Regelwerk kann die Geldwäscherisikoeinschätzung verbessert werden und es benötigt nur wenige Daten.


Die Macht der aggregierten Daten

Wie am vorherigen Beispiel dargestellt, beruht effektives Risikomanagement auf qualitativ hochwertigen und vollständigen Daten. Im besten Fall liegen diese in einer strukturierten, operationalisierbaren Form vor. Dies bedeutet im ersten Schritt schon bei der Erhebung so viele Unternehmensinformationen wie möglich zu sammeln. Im Beispiel des wirtschaftlich Berechtigten können das etwa Name, Alter, Standort oder Position als Gesellschafter sein.

In einem zweiten Schritt werden die Daten bei der Automatisierung so aufbereitet und analysiert, dass sich Compliance-Teams ein trennscharfes Bild über das Unternehmen verschaffen können. Die einzige Voraussetzung dafür ist, dass Daten in trivialer Wenn-Dann-Form operativ bereitstehen müssen. Das Beispiel des Alters eines UBO hat dies verdeutlicht.

Insofern ist also ein System erforderlich, das auf Knopfdruck die benötigten Informationen zusammenstellt und dessen Algorithmen dann entsprechende Warnleuchten aktivieren. Ähnliches gilt für stark verschachtelte Unternehmensstrukturen, die im Gesetz explizit als mögliche, risikoerhöhende Faktoren genannt werden (vgl. Anlage 1 zum GWG). Wenn das System beispielsweise automatisiert zehn bis 15 Gesellschafterebenen ermittelt, kann dies als komplex eingestuft und damit als risikoträchtig definiert werden. Compliance-Teams steigen dann in ihre wirkliche Arbeit und in tiefere Analysen ein, und gehen den Risiken auf den Grund.


Nutzung von KI und NLP

Öffentliche Datenbanken bieten eine Vielzahl an Informationen als Datenquellen. Zusätzlich stellen Unternehmen selbst relevante Daten bereit. Im Rahmen geltender Datenschutzgesetze stehen zwei rechtliche Ansätze zur Identifizierung des wirtschaftlich Berechtigten im Widerspruch zueinander. Einerseits gibt es den Schutz personenbezogener Daten gemäß der Datenschutzgrundverordnung (DSGVO), andererseits verfolgt der Gesetzgeber Ziele zur Bekämpfung von Geldwäsche. Dabei ist davon auszugehen, dass die Geldwäschebekämpfung aus staatlicher Sicht eine höhere Priorität hat als die Bestimmungen der DSGVO. Folglich wird das Sammeln von Informationen über wirtschaftlich Berechtigte in Unternehmen als wichtiger erachtet als deren Datenschutz gemäß DSGVO. Unternehmen können diese Vorgehensweise in ihren Datenschutzerklärungen detailliert erläutern, um rechtlich abgesichert zu sein.

Mit künstlicher Intelligenz (KI) oder NLP-Anwendungen (Natural Language Processing) lassen sich inzwischen im Internet vorliegende Daten gezielt suchen und erfassen. Anwendungen, die auf künstlicher Intelligenz basieren, zielen aber eher darauf ab, bereits vorliegende Informationen effizienter aufzubereiten. Nach wie vor werden diese jedoch mit traditionellen Methoden evaluiert. Schein- und Briefkastenfirmen werden weiterhin postalisch oder telefonisch überprüft. Die Automatisierung entwickelt da ihr größtes Potenzial, wenn große Datenmengen zusammengeführt und den Compliance-Teams aufbereitet zur Verfügung stehen.


Zukunft der Compliance-Teams im Finanzsektor

Compliance-Teams müssen den wachsenden Anforderungen des Risikomanagements gerecht werden und Reputationsschäden vermeiden. Die Automatisierung von Prozessen und die Nutzung hochwertiger Daten bieten dabei erhebliche Vorteile. Unternehmen müssen proaktiv handeln, um Risiken zu minimieren und die Compliance mit geltenden Vorschriften sicherzustellen. Eine kontinuierliche Anpassung und ganzheitliche Herangehensweise sind entscheidend, um den ständig wechselnden Bedrohungen durch Finanzkriminalität wirksam zu begegnen.