Contents
- Kontinuierliche Überwachung der Geschäftsbeziehung mit Datenverarbeitungssystemen
- Kontinuierliche Überwachung der Geschäftsbeziehung
- § 10 Abs. 1 Nr. 5 GwG – Kontinuierliche Überwachung der Geschäftsbeziehung
- § 25h Abs. 2 KWG – Pflicht zum Einsatz von Datenverarbeitungssystemen bei Kreditinstituten
- § 27 Abs. 1 Satz 2 Nr. 5 ZAG – Pflicht zum Einsatz von Datenverarbeitungssystemen bei Zahlungs- und E-Geld-Instituten
- § 28 Abs. 1 Satz 4 KAGB – Allgemeine Organisationspflichten (Kapitalverwaltungsgesellschaften)
Kontinuierliche Überwachung der Geschäftsbeziehung mit Datenverarbeitungssystemen
Kontinuierliche Überwachung der Geschäftsbeziehung
Die kontinuierliche Überwachung von Geschäftsbeziehungen zählt zu den zentralen Pflichten im Bereich der Geldwäscheprävention. Für Kreditinstitute, Zahlungsinstitute, E-Geld-Institute und Kapitalverwaltungsgesellschaften (KVGs) gelten dabei spezifische gesetzliche Anforderungen, die den Einsatz von Datenverarbeitungssystemen zur Transaktionsüberwachung in vielen Fällen verpflichtend machen. Ziel ist es, auffällige oder risikobehaftete Geschäftsaktivitäten frühzeitig zu erkennen, mit bestehenden Kundenprofilen abzugleichen und geeignete Maßnahmen zu ergreifen.
Gesetzliche Grundlagen und Pflichten
Die rechtlichen Grundlagen ergeben sich insbesondere aus dem Geldwäschegesetz (GwG) sowie ergänzenden Vorschriften in den jeweiligen Aufsichtsgesetzen:
- § 10 Abs. 1 Nr. 5 GwG: Verpflichtet alle Institute zur kontinuierlichen Überwachung der Geschäftsbeziehung und zur Aktualisierung von Kundeninformationen – risikoorientiert und regelmäßig.
- § 25h Abs. 2 KWG: Verlangt von Kreditinstituten den zwingenden Einsatz von Datenverarbeitungssystemen, um auffällige Transaktionen im Zahlungsverkehr zu erkennen.
- § 27 Abs. 1 S. 2 Nr. 5 ZAG: Verpflichtet Zahlungs- und E-Geld-Institute zur Einrichtung angemessener Maßnahmen, inklusive IT-Systemen, zur Einhaltung der Pflichten aus dem GwG und der EU-Verordnung 2023/1113.
- §§ 28, 51, 54 KAGB: Verweisen auf zentrale Pflichten aus dem KWG, darunter § 25h KWG. Kapitalverwaltungsgesellschaften und deren Zweigniederlassungen müssen demnach ebenfalls entsprechende Sicherungsmaßnahmen implementieren.
Ziel der Überwachung: Auffällige Muster erkennen
Die Datenverarbeitungssysteme sollen sicherstellen, dass auffällige Transaktionen identifiziert werden, insbesondere wenn sie:
- besonders komplex, groß oder ungewöhnlich sind,
- keinen offensichtlichen wirtschaftlichen Zweck erkennen lassen,
- vom bisherigen Kundenverhalten abweichen,
- gegen bestehende Kunden- oder Transaktionsprofile verstoßen.
Diese Systeme nutzen dabei Parameter, Regeln oder Szenarien zur Erkennung von Anomalien und generieren sogenannte „Treffer“, die einer manuellen Prüfung auf Geldwäsche- oder Terrorismusfinanzierungsrelevanz unterzogen werden müssen.
Technische Umsetzung in der Praxis
Für die operative Umsetzung setzen Institute auf moderne Monitoring-Systeme, die:
- Transaktionsdaten automatisiert analysieren,
- mit Risikoprofilen und Kundendaten verknüpft sind,
- auf verdächtige Muster reagieren,
- regelbasierte oder KI-gestützte Alarme auslösen,
- die Nachvollziehbarkeit und Dokumentation gewährleisten.
Viele Institute integrieren diese Systeme in ein umfassendes AML-Framework, das auch Screening, KYC, Verdachtsmeldewesen und Reporting umfasst.
Die kontinuierliche Überwachung der Geschäftsbeziehung mittels Datenverarbeitungssystemen ist heute unverzichtbar. Ob Kreditinstitut, Zahlungsinstitut, E-Geld-Institut oder Kapitalverwaltungsgesellschaft – alle müssen risikobasierte, technisch unterstützte Überwachungsmaßnahmen vorhalten, die sowohl regulatorische Vorgaben erfüllen als auch praktisch wirksamen Schutz gegen Finanzkriminalität bieten.
§ 10 Abs. 1 Nr. 5 GwG – Kontinuierliche Überwachung der Geschäftsbeziehung
1. Kernaussage der Norm
Verpflichtete müssen:
- die laufende Geschäftsbeziehung einschließlich aller durchgeführten Transaktionen kontinuierlich überwachen,
- um sicherzustellen, dass diese:
- mit den vorhandenen Informationen über den Vertragspartner und ggf. den wirtschaftlich Berechtigten übereinstimmen,
- mit dem bekannten Kundenprofil und der Geschäftstätigkeit konsistent sind,
- und – soweit erforderlich – mit den vorliegenden Informationen zur Herkunft der Vermögenswerte übereinstimmen.
2. Zielsetzung der Überwachung
- Frühzeitige Erkennung von:
- Abweichungen vom bisherigen Kundenverhalten,
- ungewöhnlichen Transaktionen,
- möglichen Hinweisen auf Geldwäsche oder Terrorismusfinanzierung.
- Abgleich zwischen:
- erwartbarem Verhalten gemäß Kundenprofil,
- und tatsächlichem Verhalten im Geschäftsverlauf.
3. Pflicht zur Aktualisierung von Kundeninformationen
- Verpflichtete müssen sicherstellen, dass:
- Dokumente, Daten und Informationen
- risikoorientiert und
- in einem angemessenen zeitlichen Abstand
- aktualisiert werden.
- Diese Pflicht betrifft z. B.:
- wirtschaftlich Berechtigte,
- Angaben zur Geschäftsstruktur,
- Herkunft von Vermögenswerten,
- Transaktionsverhalten.
4. Relevanz für die Praxis
| Verpflichtete Unternehmen | Pflichten aus § 10 Abs. 1 Nr. 5 GwG |
|---|---|
| Kreditinstitute | Pflicht zur kontinuierlichen Überwachung ergänzt durch § 25h Abs. 2 KWG (technisches Monitoring verpflichtend) |
| Zahlungs-/E-Geld-Institute | Verpflichtung zur Überwachung gemäß § 27 Abs. 1 ZAG i. V. m. § 10 GwG (technische Systeme erforderlich, wenn angemessen) |
| Kapitalverwaltungsgesellschaften | Entsprechende Anwendung durch § 28 KAGB, ebenfalls Pflicht zur Überwachung und Aktualisierung |
§ 10 Abs. 1 Nr. 5 GwG verpflichtet alle Verpflichteten zu einer risikobasierten, dynamischen und dokumentierten Überwachung von Kundenbeziehungen. Diese Überwachung muss geeignet sein, verdächtige Entwicklungen oder Transaktionen frühzeitig zu erkennen. Sie ist nicht statisch, sondern erfordert die laufende Bewertung und gegebenenfalls Aktualisierung der Kundeninformationen. Die Pflicht ist ein zentrales Element eines funktionierenden Anti-Geldwäsche-Systems.
§ 25h Abs. 2 KWG – Pflicht zum Einsatz von Datenverarbeitungssystemen bei Kreditinstituten
1. Anwendungsbereich
Die Vorschrift richtet sich ausschließlich an Kreditinstitute und stellt eine spezifische Ergänzung zu § 10 Abs. 1 Nr. 5 GwG dar. Sie verschärft die Pflichten zur Transaktionsüberwachung durch den zwingenden Einsatz von IT-Systemen.
2. Pflichteninhalt
Kreditinstitute sind verpflichtet, Datenverarbeitungssysteme zu betreiben und aktuell zu halten, um:
- auffällige Geschäftsbeziehungen und
- auffällige Einzeltransaktionen im Zahlungsverkehr
zu erkennen, insbesondere wenn diese:
| Auffälligkeitstyp | Beispielhafte Kriterien |
|---|---|
| besonders komplex | verschachtelte Zahlungsstrukturen, Intermediäre |
| besonders groß | ungewöhnlich hohe Beträge im Vergleich zum Kundenprofil |
| ungewöhnlich | Transaktionsverhalten weicht vom bisherigen Profil ab |
| ohne offensichtlichen wirtschaftlichen Zweck | z. B. Rundzahlungen, mehrfaches Hin- und Herzahlen |
| ohne rechtmäßigen Zweck | Verdacht auf Schein- oder Strohmanngeschäfte |
Die Bewertung erfolgt auf Basis von:
- öffentlich verfügbarem Erfahrungswissen (z. B. FATF, FIU, BaFin, EU-Berichte)
- institutsinternem Erfahrungswissen
3. Datenschutzrechtliche Grundlage
Kreditinstitute dürfen personenbezogene Daten verarbeiten, sofern dies erforderlich ist, um die Überwachungspflicht nach § 25h Abs. 2 KWG zu erfüllen. Die Verarbeitung ist also durch spezialgesetzliche Regelung gedeckt, bedarf aber einer klaren Zweckbindung.
4. Ausnahmeermächtigung durch die BaFin
- Die BaFin kann Kriterien bestimmen, unter deren Vorliegen Kreditinstitute auf diese Systeme verzichten dürfen.
- Dies ist derzeit nicht flächendeckend geregelt, sondern erfolgt einzelfallbezogen (z. B. bei Spezialinstituten mit geringem Zahlungsverkehrsrisiko).
5. Verhältnis zu § 10 Abs. 1 Nr. 5 GwG
| § 10 Abs. 1 Nr. 5 GwG | § 25h Abs. 2 KWG |
|---|---|
| Allgemeine Sorgfaltspflicht für alle Verpflichteten | Spezifische Pflicht nur für Kreditinstitute |
| Einsatz von IT-Systemen nicht zwingend | Einsatz von IT-Systemen zwingend vorgeschrieben |
| Dynamisches, risikobasiertes Monitoring | Systemgestützte Transaktionsanalyse mit Anomalieerkennung |
Kreditinstitute müssen über ein technisches Monitoring-System verfügen, das risikobasierte Auffälligkeiten im Zahlungsverkehr erkennt. Dies ist eine gesetzliche Pflicht zur Prävention von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen nach § 25h Abs. 1 KWG. Nur in begründeten Ausnahmefällen und bei Vorliegen von durch die BaFin festgelegten Kriterien kann von dieser Pflicht abgesehen werden.
§ 27 Abs. 1 Satz 2 Nr. 5 ZAG – Pflicht zum Einsatz von Datenverarbeitungssystemen bei Zahlungs- und E-Geld-Instituten
1. Normadressaten
Die Vorschrift richtet sich an:
- Zahlungsinstitute
- E-Geld-Institute
Diese unterliegen den Anforderungen des Zahlungsdiensteaufsichtsgesetzes (ZAG) und ergänzend den geldwäscherechtlichen Vorgaben des GwG und der Verordnung (EU) 2023/1113 (Funds Transfer Regulation – FTR).
2. Verpflichtung zur ordnungsgemäßen Geschäftsorganisation
Gemäß § 27 Abs. 1 ZAG müssen Institute eine ordnungsgemäße Geschäftsorganisation sicherstellen, wofür die Geschäftsleiter verantwortlich sind. Diese umfasst insbesondere:
„…angemessene Maßnahmen, einschließlich Datenverarbeitungssysteme, die die Einhaltung der Anforderungen des Geldwäschegesetzes und der Verordnung (EU) 2023/1113 gewährleisten.“
3. Kernaussagen und Pflichten
| Aspekt | Inhalt |
|---|---|
| Pflichtumfang | Einrichtung von angemessenen Maßnahmen zur Einhaltung des GwG und der FTR |
| Technischer Bezug | Einschluss von Datenverarbeitungssystemen, sofern erforderlich |
| Recht auf Datenverarbeitung | Verarbeitung personenbezogener Daten ist erlaubt, wenn dies zur Erfüllung der Pflicht erforderlich ist |
| Anwendungsbereich | Betrifft sowohl die allgemeinen Sorgfaltspflichten (§§ 4–7 GwG) als auch technische Anforderungen aus der EU-Verordnung (z. B. Abgleich von Zahlungsdaten) |
4. Verhältnis zu § 10 GwG und § 25h KWG
| Vorschrift | Verpflichtete | IT-Pflicht | Anwendungsfall |
|---|---|---|---|
| § 10 Abs. 1 Nr. 5 GwG | Alle Verpflichteten | Nicht zwingend | Überwachung & Aktualisierung |
| § 25h Abs. 2 KWG | Kreditinstitute | Zwingend | Transaktionsmonitoring im Zahlungsverkehr |
| § 27 Abs. 1 S. 2 Nr. 5 ZAG | Zahlungs-/E-Geld-Institute | Pflicht zu angemessenen Maßnahmen inkl. IT-Systemen, falls erforderlich | Einhaltung GwG + Verordnung (EU) 2023/1113 |
5. Verordnung (EU) 2023/1113 – Bezug
Die Verordnung (EU) 2023/1113 konkretisiert u. a.:
- Pflichten zum Abgleich von Zahler- und Zahlungsempfängerdaten bei Transfers,
- Anforderungen an technische Systeme zur Datenverarbeitung, -weitergabe und Prüfung,
- insbesondere bei Kryptowerte-Transfers („Travel Rule for Crypto“).
Das bedeutet: ZAG-Institute benötigen systemgestützte Prozesse, um:
- Pflichtfelder korrekt zu erfassen (Name, IBAN, Adresse etc.),
- Transfers regelkonform abzulehnen,
- und ggf. Rückverfolgung zu ermöglichen.
Zahlungs- und E-Geld-Institute müssen im Rahmen ihrer ordnungsgemäßen Geschäftsorganisation technische und organisatorische Maßnahmen (TOM) etablieren, zu denen IT-Systeme zur Einhaltung des GwG und der EU-FTR gehören, sofern dies erforderlich ist. Diese Systeme müssen dabei auch personenbezogene Daten verarbeiten dürfen, wenn dies dem gesetzlich bestimmten Zweck dient.
§ 28 Abs. 1 Satz 4 KAGB – Allgemeine Organisationspflichten (Kapitalverwaltungsgesellschaften)
„Die §§ 24c, 25h und 25j bis 25m des Kreditwesengesetzes sowie § 93 Absatz 7 und 8 in Verbindung mit § 93b der Abgabenordnung gelten entsprechend.“
1. Wer ist betroffen?
- Kapitalverwaltungsgesellschaften (KVGs) im Sinne des Kapitalanlagegesetzbuchs (KAGB)
- Gilt unabhängig davon, ob die KVG OGAW, AIF oder Spezialfonds verwaltet
2. Was bedeutet „gelten entsprechend“?
- Die genannten Vorschriften des KWG und der AO sind sinngemäß anzuwenden, auch wenn das KAGB formal andere Begrifflichkeiten oder Organisationsformen nutzt.
- KVGs müssen daher vergleichbare Sicherungsmaßnahmen und Pflichten wie Kreditinstitute oder ZAG-Institute umsetzen.
3. Welche Vorschriften sind betroffen?
| Norm | Inhalt / Pflicht |
|---|---|
| § 24c KWG | Kontenabrufverfahren durch Behörden (insb. BaFin, FIU, Strafverfolgung) |
| § 25h KWG | Interne Sicherungsmaßnahmen gegen Geldwäsche, Terrorismusfinanzierung und sonstige strafbare Handlungen → inkl. Risikoanalyse, Organisationspflichten, zentrale Stelle, IT-Systeme |
| §§ 25j–25m KWG | Weitere Organisationspflichten: – Verhinderung unerlaubter Geschäfte – Kontrolle von Beteiligungen – Verhinderung von Bank-Mantelgesellschaften – Verhinderung von Nested Accounts etc. |
| § 93 Abs. 7–8 AO i.V.m. § 93b AO | Datenübermittlungspflichten, insbesondere im Rahmen der steuerlichen Kontrollmitteilungen und für den internationalen Austausch von Steuerdaten (z. B. FATCA, CRS) |
4. Konsequenzen für KVGs
KVGs müssen insbesondere:
- eine institutsspezifische Risikoanalyse erstellen (§ 25h KWG analog)
- interne Sicherungsmaßnahmen einführen (z. B. IKS, Compliance-Funktion, zentrale Stelle)
- ggf. technische Überwachungssysteme zur Transaktionskontrolle betreiben (analog § 25h Abs. 2 KWG)
- Verdachtsmeldesysteme vorhalten und die Zusammenarbeit mit der FIU sicherstellen
- Identitätsdaten auf Anfrage bereitstellen (analog § 24c KWG)
- Verhinderung von Scheingeschäften / Beteiligungsverschleierung sicherstellen (§ 25j ff. analog)
§ 28 Abs. 1 Satz 4 KAGB dehnt zentrale Pflichten zur Verhinderung von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen aus dem KWG und der Abgabenordnung vollumfänglich auf KVGs aus. Diese sind damit in gleichem Maß wie Kreditinstitute zur Umsetzung entsprechender Sicherungsmaßnahmen verpflichtet – insbesondere im Hinblick auf interne Organisation, IT-Systeme, Datenübermittlung und Risikomanagement.
Quellen:
https://www.gesetze-im-internet.de/kredwg/__25h.html
https://www.gesetze-im-internet.de/zag_2018/__27.html
https://www.gesetze-im-internet.de/kagb/__28.html