Verletzen Banken Sorgfaltspflichten, so kann das zu finanziellem Schaden und entsprechender Haftung führen. Das ist aber nicht alles. Eine Sorgfaltspflichtverletzung kann auch zur aktiven Geldwäsche und Beihilfe zu Betrug führen. Dann ist die Grenze zu einer kriminellen Handlung überschritten. Die Einhaltung von Sorgfaltspflichten und die Handlung gemäss den regulatorischen und gesetzlichen Vorgaben ist deshalb nicht fakultativ, sondern ein Muss.
Sorgfaltspflichten
Eine Sorgfaltspflicht dient dazu, ein Gut zu schützen. Die Verletzung einer Sorgfaltspflicht führt zu einer Gefährdung des zu schützenden Guts. Führt diese Gefährdung dann zu einem Schaden, so ist es entweder ein Eigen- oder ein Fremdschaden. Bei einem Fremdschaden entsteht eine Haftung. Aufgrund dieser kann der Fremdschaden zum Eigenschaden werden. Wird ein Fremdschaden billigend in Kauf genommen oder gar durch konkludentes Verhalten, so ist ein Eventualvorsatz gegeben.
Grundlegende Sorgfaltspflichten einer Bank
Die Bank für Internationalen Zahlungsausgleich (BIZ) hat bereits vor über 20 Jahren darauf hingewiesen, dass eine Bank nicht nur die Identität ihrer Kunden feststellen, sondern auch die Kontobewegungen überwachen soll, um Transaktionen zu erkennen, die nicht den üblichen oder erwarteten Transaktionen für den betreffenden Kunden oder Kontotyp entsprechen. Ein wichtiger Grund ergibt sich aus dem Ziel, sowohl das Ansehen der Banken als auch die Integrität des Bankensystems zu schützen. Dabei soll insbesondere auch die Wahrscheinlichkeit reduziert werden, dass die Banken ein Werkzeug oder ein Opfer von Finanzkriminalität werden. In beiden Fällen droht substanzielles Ungemach. Deshalb sollen Risiken so weit wie möglich minimiert werden.
Risiken
Die BIZ weist im oben verlinkten Dokument darauf hin, dass es primär um Reputationsrisiken, operationelle Risiken, Rechts- und Konzentrationsrisiken geht und hält fest, dass diese Risiken alle miteinander im Zusammenhang stehen. Jedes einzelne von ihnen kann den Banken jedoch erhebliche finanzielle Kosten verursachen.
- Reputationsrisiko
Beim Reputationsrisiko geht es um den guten Ruf. Negative Publizität über das Geschäftsgebaren und die Geschäftsverbindungen einer Bank können, ob wahr oder nicht, schädigende Auswirkungen auf das Vertrauen in die Integrität einer Bank haben. - Operationelles Risiko
Beim operationellen Risiko geht es um die Gefahr von unmittelbaren oder mittelbaren Verlusten. Diese können «infolge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder wegen externer Ereignisse eintreten. Im Zusammenhang mit der Kundenidentifizierung tritt das operationelle Risiko meist in Form von Schwächen bei der Umsetzung der Programme der Bank, unwirksamen Kontrollverfahren und mangelnder Sorgfalt auf.» - Rechtsrisiko
«Das Rechtsrisiko ist die Möglichkeit, dass Prozesse, Gerichtsurteile gegen die Bank oder Verträge, die sich als undurchsetzbar erweisen, die Geschäfte oder die Verfassung der Bank beeinträchtigen. Gegen eine Bank kann ein Gerichtsverfahren eingeleitet werden, wenn sie zwingende Vorschriften über die Feststellung der Kundenidentität oder ihre Sorgfaltspflicht nicht einhält. Einer Bank kann dann beispielsweise eine Geldbusse auferlegt werden, sie kann strafrechtlich haftbar gemacht werden, oder die Aufsichtsbehörde kann besondere Sanktionen gegen sie verhängen.»
Systeme und Prozesse zur Risikoverminderung
Die Vorgaben und das Pflichtenheft für Banken sind umfangreich. Erfüllt werden diese Vorgaben mit Hilfe von Systemen und Prozessen.
- Vor Eröffnung eines Kontos muss die Kundenidentität zweifelsfrei festgestellt und geprüft werden. Dazu gehören auch die Adressen (physisch und digital), die Telefonnummer und die zu erwartende Aktivität des Kontos.
- Banken haben sicherzustellen, dass sie über angemessene Systeme und Kontrollen zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung verfügen.
- Bei der laufenden Überprüfung der Kundenidentität (Customer Due Diligence, CDD) müssen sie eindeutige Unstimmigkeiten erkennen, welche die vorhandenen Angaben in Bezug auf Wahrhaftigkeit oder Angemessenheit in Frage stellen können. In so einem Fall hat die Bank die ihr vorliegenden Informationen über den betroffenen Kunden vertieft zu überprüfen und zu ergänzen.
- Sie müssen bei der Bearbeitung von Transaktionen den Zweck und die erwartete Aktivität der Konten, wie sie in der CDD erfasst sind, berücksichtigen.
- Sie müssen Transaktionen identifizieren, verhindern oder melden, die auf der Grundlage der vorgelegten Informationen und Unterlagen in Anbetracht der Art des Kontos keinen Sinn ergeben und eindeutige Warnsignale auslösen, die einen Verdacht auf Geldwäsche oder Finanzkriminalität nahelegen.
Theorie und Praxis
In der Theorie sind alle Banken in der Lage, die gestellten Anforderungen zu erfüllen. Als Informationen stehen Ihnen primäre Name, Bank und Kontonummer des Absenders, Name, Bank und Kontonummer des Empfängers, die KYC- und Kontoinformationen des Empfängers und auf Nachfrage die des Senders sowie der Betrag der Überweisung zur Verfügung. In gewissen Ländern kommt noch der Purpose Code (Zahlungsgrund) ergänzend dazu. Von Land zu Land verschieden ist der Schwellenwert für eine transaktionsorientierte verpflichtende Kundenüberprüfung (CDD).
Beispiel (Nachzeichnung realer Ereignisse)
Als Beispiel dient ein aktueller Fall in einem arabischen Emirat. Namhafte lokale Banken richteten einer grossen internationalen kriminellen Organisation, die sich auf Anlagebetrug spezialisiert hat, Konten ein. Diese wurden über lokale Tarnfirmen gehalten, die über keine Lizenz für Finanzgeschäfte verfügten. Die Zahlungsflüsse auf diese Konten erfolgten in US-Dollar über Korrespondenzbanken in den USA. Für die Zahlungen wurde SWIFT verwendet. Diese Kontenführung machte die lokalen Banken zum Werkzeug für die kriminelle Organisation. Diese lokalen Banken waren aber nicht nur einfaches Werkzeug, sondern sie spielten gegen besseres Wissen und Gewissen aktiv mit.
Landespezifische Parameter
Die Vereinigten Arabischen Emirate haben als landesspezifische Richtlinien, dass der Zahlungsgrund (Purpose Code) bei der Zahlung mittels SWIFT angegeben werden muss. Zudem besteht ab einem Betrag von AED 55'000 (entspricht rund USD 15'000) die Pflicht zur transaktionsorientierten Customer Due Diligence. Damit stehen als Informationsquellen nebst den Kundeninformationen der Name des Senders, das Konto des Senders, der Name des Empfängers, das Konto des Empfängers, der Betrag und der Zahlungsgrund zur Verfügung. Die Bank des Empfängers kennt so auch den Zahlungsgrund.
SWIFT
Bei einem Transfer in US-Dollar, der über SWIFT von einem europäischen Land ein arabisches Emirat stattfindet, kommen US-Korrespondenzbanken ins Spiel. Die Transaktion läuft von der Senderbank über eine oder zwei Korrespondenzbanken auf das Konto des Empfängers. Es ist die Empfängerbank, welche das Geld von ihrem Konto bei der Korrespondenzbank in den USA auf das Konto des Empfängers im arabischen Emirat überweist. Nur die Empfängerbank kennt sowohl den Purpose Code als auch den Kunden. Deshalb ist es auch die Empfängerbank, welche der Korrespondenzbank die nötigen Compliance-Informationen liefert, ob die Überweisung zulässig ist.
Transaktionsorientierte Customer Due Diligence
Ab einem Betrag von AED 55'000 muss die Empfängerbank in den Vereinigten Arabischen Emiraten eine Customer Due Diligence (CDD) durchführen und nachprüfen, ob Zahlung und Kunde zusammenpassen. Der Purpose Code ist dabei eine zusätzliche Information und Hilfe. So ist sehr einfach festzustellen ob ein Firmenkunde ein Geschäft wie «Kaufen und Verkaufen von Aktien im Ausland» überhaupt tätigen und dafür Gelder in Empfang nehmen darf. Hat er keine entsprechende Lizenz, so darf er das nicht. Und wenn er das nicht darf, darf die Bank die Zahlung weder annehmen noch gutschreiben. Der Compliance-Bericht muss negativ sein.
Unzureichende Kundeninformation
Existiert der Firmenkunde an seinem angegebenen Domizil nicht und kann auch telefonisch nicht unter der angegebenen Firmennummer erreicht werden, so muss das spätestens bei einer Customer Due Diligence auffallen. Bemerken sollte man dies allerdings schon bei der Eröffnung des Kontos, bei der regelmässigen Überprüfung der KYC-Informationen und bei der standardmässigen Überwachung des Kontos, unter anderem auf Geldwäsche. Die normale Folge wäre eine Meldung an die zuständigen Behörden, die Sperrung des Kontos, gefolgt von einer genauen Überprüfung des Zahlungsverkehrs des Kontos. Bestätigt sich dabei, dass unerlaubte Zahlungen entgegengenommen wurden, so sind diese Zahlungen rückabzuwickeln.
Vorsätzliche Täuschung der Korrespondenzbank
Erfolgt dennoch ein positiver Compliance-Bericht durch die Empfängerbank an die Korrespondenzbank, so ist dies eine Vorspiegelung falscher Tatsachen, eine Täuschung. Dabei gibt es zwei zugrunde liegende Sachverhalte: (1) Schwerwiegende Sorgfaltspflichtverletzung wegen mangelnder Überprüfung, oder (2) Falschinformation entgegen den Ergebnissen der Überprüfung. Die Täuschung ist entweder in Bezug auf die erfolgte Compliance-Prüfung oder in Bezug auf deren Ergebnis. In beiden Fällen erfolgt die Täuschung vorsätzlich. Durch die Empfängerbank getäuscht wird die Korrespondenzbank. Begünstigt wird der Empfänger und geschädigt wird der Sender der Überweisung. Daraus entsteht ein Haftungsrisiko der Empfängerbank.
Beihilfe zu Betrug und Geldwäsche
Der Empfängerbank lagen die Informationen über Kunde, Konto und Purpose Code vor. Es ist offensichtlich, dass das Empfängerkonto sowohl für Betrug als auch zur Geldwäsche verwendet wurde. Der Vermögensschaden erfolgte mit der Überweisung des Betrags durch die Empfängerbank vom Konto bei der US-Korrespondenzbank auf das Konto des Empfängers. Die Empfängerbank leistete aktiv Beihilfe zum Betrug.
Die Geldwäsche begann ebenfalls mit dieser Überweisung. Dabei war die Empfängerbank von sich aus aktiv. Beides erfolgte über ein Konto in den USA, was amerikanisches Recht und amerikanische Gerichtsbarkeit nach sich ziehen kann. Anschliessend duldete und unterstütze sie die weitere Geldwäsche durch den kriminellen Kunden. Wurden Gelder vom Kundenkonto wieder in US-Dollar weitergewaschen, so erfolgte die entsprechende Überweisung wieder über die amerikanische Korrespondenzbank. Die Empfängerbank hatte zwar nur Einblick in das Konto des kriminellen Kunden, aber das war unter den lokalen regulatorischen Vorgaben mehr als genug, um den Betrug und die Geldwäsche zur erkennen. Dabei wurden auch lokale Gesetze und Regulatorien des arabischen Emirats verletzt. Für die Bank ergibt sich daraus, dass sie sowohl in den USA wie auch im arabischen Emirat belangt werden kann. Kontoinformationen in Bezug auf den Empfänger sind sowohl in den USA, wegen dem Konto der Empfängerbank bei der Korrespondenzbank, als auch im arabischen Emirat bei der Empfängerbank vorhanden.
Geldwäsche in den USA sollte man aus Kostengründen tunlichst unterlassen, weil die Geldstrafe beim doppelten Betrag des gewaschenen Geldes liegt und das auf jedem Wegstück, das über US-Konten führt. Da die Amerikaner wissen, dass ihnen mangels der nötigen Informationen und Beweise viel Bussgeld durch die Lappen geht, hat das amerikanische Department of Justice (DOJ) vor kurzem ein Whistleblower-Programm für Geldwäsche lanciert. Entsprechende Programme gibt es bereits für «Financial Misconduct».
Schadensbegrenzung
Banken haben in solchen Fällen ein manifestes Eigeninteresse mit Geschädigten eine einvernehmliche Lösung zu finden und den Vorfall der Finanzaufsichtsbehörde zu melden. Zugleich sollten die Systeme und Prozesse darauf hin überprüft werden, wie es dazu kommen konnte. Oft zeigt sich zudem, dass eine solche kriminelle Organisation Helfer in der Bank selbst hatte. Zum einen bei der Kontoeröffnung, zum anderen in der Compliance. Die Reputationsrisiken sind nicht nur für die betroffenen Banken vorhanden, sondern können sich schnell auf den Finanzplatz und das gesamte Land ausweiten.