Angemessenheit und Wirksamkeit eines Datenverarbeitungssystems
Faktoren für ein adäquates Datenverarbeitungssystem
Laut BaFin hängen Angemessenheit und Wirksamkeit eines Datenverarbeitungssystems von mehreren Gestaltungsfaktoren ab:
| Faktor | Bedeutung |
|---|---|
| Qualität der Daten | Nur valide, vollständige und aktuelle Daten ermöglichen eine korrekte Risikoerkennung. |
| Geschäftsmodell | Die Konfiguration muss dem spezifischen Produktspektrum und Kundenverhalten des Instituts entsprechen. |
| Umfang der Geschäftstätigkeit | Je komplexer oder internationaler das Institut, desto leistungsfähiger muss das System sein. |
| Risikoanalysen | Das System muss risikoorientiert auf Erkenntnissen aus der institutsinternen Gefährdungsanalyse beruhen. |
| Indizienmodelle | Es müssen risikobasierte Szenarien, Schwellenwerte und Regeln zur Mustererkennung eingesetzt werden. |
| Überprüfung und Anpassung | Systeme müssen regelmäßig überprüft, aktualisiert und an geänderte Rahmenbedingungen angepasst werden. |
Feststellungen der BaFin zu bestehenden Systemen bei Zahlungsinstituten
Die Aufsicht stellt in der Praxis bei vielen Instituten gravierende Mängel fest:
| Feststellung | Beschreibung |
|---|---|
| Fokus auf Bonitätsprüfung statt Geldwäscheprävention | Viele Systeme sind primär auf Betrugsvermeidung im Kreditbereich ausgerichtet – nicht auf ML/TF-Risiken. |
| Ungeeignete oder unvollständige Indizien | Relevante Risikoszenarien (z. B. Länder-, Produkt-, TF-Risiken) fehlen oder sind unzureichend modelliert. |
| Zu hohe Schwellenwerte | Warnungen erst bei z. B. 1.000 € – zu spät für viele TF-Szenarien. |
| Manuell gepflegte Systeme (Excel) | Keine Automatisierung, keine Skalierbarkeit, hohe Fehleranfälligkeit. |
| Keine Echtzeit-Überwachung | Auswertungen erfolgen teilweise nur monatlich – zu spät für präventive Maßnahmen. |
Nötige Softwareeigenschaften für ein effektives Monitoring
Die BaFin nennt folgende Mindestanforderungen an Softwarelösungen zur Transaktionsüberwachung:
| Eigenschaft | Beschreibung |
|---|---|
| Erkennung von Auffälligkeiten | System muss Transaktionsmuster, Abweichungen vom Kundenprofil und Verdachtsmomente erkennen. |
| Indizienmodell mit Konfigurierbarkeit | Es müssen individuelle Schwellenwerte und Szenarien je nach Risikoprofil konfigurierbar sein. |
| Integration von Risikofaktoren | Kunden-, Produkt-, Länder- und TF-spezifische Risiken müssen einbezogen werden. |
| Fokus auf Prävention von ML/TF | Die Indizienlogik muss auf geldwäscherelevante Risiken ausgerichtet sein, nicht nur auf Bonität. |
| Abdeckung erhöhter Risiken (§ 15 Abs. 3 GwG) | Z. B. bei NPOs, Drittstaaten, politisch exponierten Personen etc. |
| Fuzzy Logic bei Namensabgleich | Zur Erkennung von Schreibvarianten und Aliasen, etwa im Sanktionsscreening. |
| Statistik- und Recherchefunktionen | Für die Weiterentwicklung der Risikoanalyse und Rückverfolgbarkeit der Fallbearbeitung. |
Die BaFin erwartet von Zahlungsinstituten und ihren Agenten den einsatzfähigen und risikoorientierten Betrieb technischer Systeme zur kontinuierlichen Überwachung von Geschäftsbeziehungen. Mängel wie fehlende Echtzeitüberwachung, manuelle Listenführung oder unspezifische Indizienmodelle sind nicht aufsichtsverträglich. Eine systemgestützte, dynamische und aktualisierbare Lösung ist zwingend erforderlich, um die gesetzlichen Pflichten aus § 27 ZAG i. V. m. § 10 GwG wirksam zu erfüllen.
Aufsichtserfahrung Banken
Indizien / Einstellungen im Monitoring-System
Feststellungen der BaFin:
- Unvollständige Abdeckung relevanter Risiken:
- Transaktionsbezogene Risiken aus der Risikoanalyse werden nicht oder nur unzureichend im System abgebildet.
- Wichtige Typologien (z. B. Smurfing, Trade-Based ML, TF) fehlen.
- Mangelhafte Schwellenwertdefinitionen:
- Peer-Groups, Transaktionsgrenzen oder ähnliche Vergleichsmaßstäbe sind nicht belastbar oder fehlen ganz.
- Fehlende regelmäßige Überprüfung der Systemeinstellungen:
- Keine laufende Validierung der Indizienlogik, Schwellenwerte oder Alert-Mechanismen.
- Systeme bleiben jahrelang unverändert, obwohl sich Risiko- und Bedrohungslage verändert haben.
Erwartungen der Aufsicht:
- Nachvollziehbare Validierungsmethoden für Einstellungen und Schwellenwerte.
- Regelmäßige Prüfung, ob alle relevanten Risiken und Szenarien (insb. aus der internen Risikoanalyse) durch die Indizien abgedeckt sind.
Backlogs im Monitoring-System
Feststellungen der BaFin:
- Bearbeitungsrückstände bei Transaktions-Treffern:
- Alerts werden nicht zeitnah geprüft, teilweise Wochen oder Monate später.
- Bearbeitung erfolgt manuell, mit personellen Engpässen.
- Verspätete Verdachtsmeldungen an die FIU:
- Aufgrund des Bearbeitungsstaus werden relevante Fälle nicht fristgerecht gemeldet (§ 43 GwG).
- Dies kann aufsichtsrechtliche Konsequenzen nach sich ziehen (z. B. Bußgelder).
Erwartungen der Aufsicht:
- Anpassung interner Prozesse, um die zeitnahe Bearbeitung sicherzustellen.
- Einführung von Kontrollen und eines regelmäßigen Berichtswesens zur Überwachung von Bearbeitungszeiten und Meldefristen.
- Aufbau eines Risikobasierten Priorisierungssystems (z. B. für Hochrisikotreffer).
Ein Monitoring-System nach § 25h Abs. 2 KWG erfüllt seine Aufgabe nur dann, wenn:
- Alle relevanten Geldwäsche- und TF-Risiken abgedeckt sind,
- Indizien regelmäßig validiert und angepasst werden,
- Treffer zeitnah analysiert und bearbeitet werden,
- und Verdachtsmeldungen fristgerecht erfolgen.
Quellen:
https://www.bafin.de/SharedDocs/Veranstaltungen/DE/2024_12_05_Geldwaeschebekaempfung.html
https://www.bafin.de/SharedDocs/Veranstaltungen/DE/2023_12_07_Geldwaeschebekaempfung.html