Verletzen Banken Sorgfaltspflichten, so kann das zu finanziellem Schaden und entsprechender Haftung führen. Das ist aber nicht alles. Eine Sorgfaltspflichtverletzung kann auch zur aktiven Geldwäsche und Beihilfe zu Betrug führen. Dann ist die Grenze zu einer kriminellen Handlung überschritten. Die Einhaltung von Sorgfaltspflichten und die Handlung gemäss den regulatorischen und gesetzlichen Vorgaben ist deshalb nicht fakultativ, sondern ein Muss.
Sorgfaltspflichten
Eine Sorgfaltspflicht dient dazu, ein Gut zu schützen. Die Verletzung einer Sorgfaltspflicht führt zu einer Gefährdung des zu schützenden Guts. Führt diese Gefährdung dann zu einem Schaden, so ist es entweder ein Eigen- oder ein Fremdschaden. Bei einem Fremdschaden entsteht eine Haftung. Aufgrund dieser kann der Fremdschaden zum Eigenschaden werden. Wird ein Fremdschaden billigend in Kauf genommen oder gar durch konkludentes Verhalten, so ist ein Eventualvorsatz gegeben.
Grundlegende Sorgfaltspflichten einer Bank
Die Bank für Internationalen Zahlungsausgleich (BIZ) hat bereits vor über 20 Jahren darauf hingewiesen, dass eine Bank nicht nur die Identität ihrer Kunden feststellen, sondern auch die Kontobewegungen überwachen soll, um Transaktionen zu erkennen, die nicht den üblichen oder erwarteten Transaktionen für den betreffenden Kunden oder Kontotyp entsprechen.
Ein wichtiger Grund ergibt sich aus dem Ziel, sowohl das Ansehen der Banken als auch die Integrität des Bankensystems zu schützen. Dabei soll insbesondere auch die Wahrscheinlichkeit reduziert werden, dass die Banken ein Werkzeug oder ein Opfer von Finanzkriminalität werden. In beiden Fällen droht substanzielles Ungemach. Deshalb sollen Risiken so weit wie möglich minimiert werden.
Risiken
Die BIZ weist im oben verlinkten Dokument darauf hin, dass es primär um Reputationsrisiken, operationelle Risiken, Rechts- und Konzentrationsrisiken geht und hält fest, dass diese Risiken alle miteinander im Zusammenhang stehen. Jedes einzelne von ihnen kann den Banken jedoch erhebliche finanzielle Kosten verursachen.
- Reputationsrisiko
Beim Reputationsrisiko geht es um den guten Ruf. Negative Publizität über das Geschäftsgebaren und die Geschäftsverbindungen einer Bank können, ob wahr oder nicht, schädigende Auswirkungen auf das Vertrauen in die Integrität einer Bank haben. - Operationelles Risiko
Beim operationellen Risiko geht es um die Gefahr von unmittelbaren oder mittelbaren Verlusten. Diese können infolge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder wegen externer Ereignisse eintreten. Im Zusammenhang mit der Kundenidentifizierung tritt das operationelle Risiko meist in Form von Schwächen bei der Umsetzung der Programme der Bank, unwirksamen Kontrollverfahren und mangelnder Sorgfalt auf. - Rechtsrisiko
«Das Rechtsrisiko ist die Möglichkeit, dass Prozesse, Gerichtsurteile gegen die Bank oder Verträge, die sich als undurchsetzbar erweisen, die Geschäfte oder die Verfassung der Bank beeinträchtigen. Gegen eine Bank kann ein Gerichtsverfahren eingeleitet werden, wenn sie zwingende Vorschriften über die Feststellung der Kundenidentität oder ihre Sorgfaltspflicht nicht einhält. Einer Bank kann dann beispielsweise eine Geldbusse auferlegt werden, sie kann strafrechtlich haftbar gemacht werden, oder die Aufsichtsbehörde kann besondere Sanktionen gegen sie verhängen.»
Systeme und Prozesse zur Risikoverminderung
Die Vorgaben und das Pflichtenheft für Banken sind umfangreich. Erfüllt werden diese Vorgaben mit Hilfe von Systemen und Prozessen.
- Vor Eröffnung eines Kontos muss die Kundenidentität zweifelsfrei festgestellt und geprüft werden. Dazu gehören auch die Adressen (physisch und digital), die Telefonnummer und die zu erwartende Aktivität des Kontos.
- Banken haben sicherzustellen, dass sie über angemessene Systeme und Kontrollen zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung verfügen.
- Bei der laufenden Überprüfung der Kundenidentität (Customer Due Diligence, CDD) müssen sie eindeutige Unstimmigkeiten erkennen, welche die vorhandenen Angaben in Bezug auf Wahrhaftigkeit oder Angemessenheit in Frage stellen können. In so einem Fall hat die Bank die ihr vorliegenden Informationen über den betroffenen Kunden vertieft zu überprüfen und zu ergänzen.
- Sie müssen bei der Bearbeitung von Transaktionen den Zweck und die erwartete Aktivität der Konten, wie sie in der CDD erfasst sind, berücksichtigen
- Sie müssen Transaktionen identifizieren, verhindern oder melden, die auf der Grundlage der vorgelegten Informationen und Unterlagen in Anbetracht der Art des Kontos keinen Sinn ergeben und eindeutige Warnsignale auslösen, die einen Verdacht auf Geldwäsche oder Finanzkriminalität begründen.
Theorie und Praxis
In der Theorie sind alle Banken in der Lage, die gestellten Anforderungen zu erfüllen. Als Informationen stehen Ihnen Name, Bank und Kontonummer des Absenders, Name, Bank und Kontonummer des Empfängers, die KYC- und Kontoinformationen des Empfängers und auf Nachfrage die des Senders und der Betrag der Überweisung zur Verfügung. In gewissen Ländern kommt noch der Purpose Code (Zahlungsgrund) dazu. Von Land zu Land unterschiedlich ist der Schwellwert für eine transaktionsorientierte verpflichtende Kundenüberprüfung (CDD).
Beispiel aus der Praxis (Nachzeichnung realer Ereignisse)
Als Beispiel dient ein Fall in den Vereinigten Arabischen Emiraten. Involviert waren namhafte lokale Banken – unter anderem Dubai Islamic Bank, Abu Dhabi Islamic Bank, Emirates NBD Bank und National Bank of Ras Al-Khaimah (Rakbank).
Alle diese Banken sind Mitglieder der UAE Banks Federation und sollten deren Code of Conduct befolgen. All diese Banken richteten einer grossen internationalen kriminellen Organisation, die sich auf Anlagebetrug spezialisiert hat, Konten ein und nahmen für diese Gelder in den USA entgegen. Anschliessend überwiesen sie diese Gelder von ihrem Korrespondenzbankkonto in den USA auf das Konto des Empfängers in den Vereinigten Arabischen Emiraten. Die Ermittlungen vor Ort ergaben, dass die Empfänger lokale Tarnfirmen waren, die über keine Lizenz für Finanzgeschäfte verfügten.
Die Zahlungen waren mittels Purpose Code als Finanzgeschäfte deklariert. Die Zahlungsflüsse auf diese Konten erfolgten in US-Dollar über Korrespondenzbanken in den USA. Für die Zahlungen wurde SWIFT verwendet. Kontenführung und Abwicklung des Zahlungsverkehrs machte die lokalen Banken zum Werkzeug für die kriminelle Organisation. Die lokalen Banken waren aber nicht nur einfaches Werkzeug, sondern spielten wider besseres Wissen und Gewissen aktiv mit.
Landespezifische Parameter
Die Vereinigten Arabischen Emirate haben als landesspezifische Richtlinie, dass der Zahlungsgrund (Purpose Code) bei der Zahlung mittels SWIFT angegeben werden muss. Zudem besteht ab einem Betrag von AED 55'000 (entspricht rund USD 15'000) die Pflicht zur transaktionsorientierten Customer Due Diligence. Damit stehen als Informationsquellen nebst den Kundeninformationen der Name des Senders, das Konto des Senders, der Name des Empfängers, das Konto des Empfängers, der Betrag und der Zahlungsgrund zur Verfügung.
Aufgrund dieser Informationen ist es relativ einfach zu überprüfen, ob der Empfänger Zahlungen mit dem angegebenen Zahlungsgrund empfangen darf.
Automatisierung der Überprüfung
Eine solche Überprüfung lässt sich ausser in Bezug auf KYC relativ einfach automatisieren. Dafür braucht es keine KI, ein einfaches regelbasiertes System genügt vollkommen. Voraussetzung ist die Kenntnis der nötigen Parameter. Diese sind einerseits durch die kunden- und kontospezifische KYC und AML und andererseits durch die aktuellen und historischen Transaktionsdaten vorhanden.
Ein solcher regelbasierter Prozess kann mit der vorhandenen Infrastruktur implementiert werden. In den Vereinigten Arabischen Emiraten fehlt es weder an Bildung noch an Intelligenz, um das zu bewerkstelligen. Die Banken verfügen über die nötigen Mittel, deren Höhe im Übrigen gut überschaubar ist. Eine solche Automatisierung macht sowohl aus betriebswirtschaftlichen wie auch aus Risk- und Compliance-Gründen Sinn.
SWIFT
Bei einem Transfer in US-Dollar, der über SWIFT von einem europäischen Land in die Vereinigten Arabischen Emirate stattfindet, kommen US-Korrespondenzbanken ins Spiel. Die Transaktion läuft von der Senderbank über eine oder zwei Korrespondenzbanken auf das Konto des Empfängers. Es ist die Empfängerbank, welche das Geld von ihrem Konto bei ihrer Korrespondenzbank in den USA auf das Konto des Empfängers im Arabischen Emirat überweist.
Nur die Empfängerbank kennt sowohl den Purpose Code als auch den Kunden. Deshalb ist es auch die Empfängerbank, welche die nötigen Compliance-Informationen hat und entscheiden kann, ob die Überweisung zulässig ist. Ist sie es nicht, so darf die Empfängerbank die Gelder eigentlich nicht annehmen. Tut sie es trotzdem, so darf sie die Gelder ihrem Kunden nicht von ihrem Korrespondenzbankkonto aus transferieren und gutschreiben, sondern sie müsste die Gelder der Senderbank zugunsten des Senders zurückschicken.
Transaktionsorientierte Customer Due Diligence
Ab einem Betrag von AED 55'000 muss die Empfängerbank in den Vereinigten Arabischen Emiraten eine Customer Due Diligence (CDD) durchführen und nachprüfen, ob Zahlung und Kunde zusammenpassen. Der Purpose Code ist dabei eine zusätzliche Information und Hilfe. So ist sehr einfach festzustellen, ob ein Firmenkunde Finanzgeschäfte überhaupt tätigen und dafür Gelder in Empfang nehmen darf. Hat er keine entsprechende Lizenz, so darf er das nicht. Und wenn er das nicht darf, darf die Bank die Zahlung weder annehmen noch dem unberechtigten Kunden gutschreiben. Der Compliance-Bericht muss negativ sein.
Unzureichende Kundeninformation
Existiert der Firmenkunde an seinem angegebenen Domizil nicht und kann auch telefonisch nicht unter der angegebenen Firmennummer erreicht werden, so muss das spätestens bei einer Customer Due Diligence auffallen. Bemerken sollte man dies allerdings schon bei der Eröffnung des Kontos, bei der regelmässigen Überprüfung der KYC-Informationen und bei der standardmässigen Überwachung des Kontos, unter anderem auf Geldwäsche.
Die normale Folge wäre die Sperrung des Kontos und eine Meldung an die zuständigen Behörden, gefolgt von einer genauen Überprüfung des Zahlungsverkehrs des Kontos. Bestätigt sich bei dieser, dass unerlaubte Zahlungen entgegengenommen wurden, so sind diese Zahlungen rückabzuwickeln. Allerspätestens dann, wenn der Sender über seine Bank eine Rückabwicklung fordert.
Vorsätzliche Täuschung der Korrespondenzbank und des Senders
Erfolgt dennoch implizit oder explizit ein positiver Compliance-Bericht durch die Empfängerbank an die Korrespondenzbank und den Sender, so ist dies eine Vorspiegelung falscher Tatsachen, eine arglistige Täuschung.
Dabei gibt es zwei zugrunde liegende Sachverhalte: (1) Schwerwiegende Sorgfaltspflichtverletzung wegen mangelnder Überprüfung oder (2) Falschinformation entgegen den Ergebnissen der Überprüfung. Die Täuschung ist entweder in Bezug auf die erfolgte Compliance-Prüfung oder in Bezug auf deren Ergebnis.
In beiden Fällen erfolgt die Täuschung vorsätzlich. Durch die Empfängerbank getäuscht werden sowohl die Korrespondenzbank als auch der Sender. Die Korrespondenzbank wird unwissend als Wegbereiter für den Betrug und die Geldwäsche missbraucht. Begünstigt wird der Empfänger und geschädigt wird der Sender der Überweisung. Daraus entsteht eine Haftung der Empfängerbank gegenüber dem Sender.
Beihilfe zu Betrug und Geldwäsche
Der Empfängerbank lagen jeweils die Informationen über Kunde, Konto und Purpose Code vor. Es ist offensichtlich, dass das Empfängerkonto sowohl für Betrug als auch zur Geldwäsche verwendet wurde. Der Vermögensschaden erfolgte mit der Überweisung des Betrags durch die Empfängerbank von ihrem Konto bei der US-Korrespondenzbank auf das Konto des Empfängers. Die Empfängerbank leistete aktiv Beihilfe zum Betrug.
Die Geldwäsche begann ebenfalls mit dieser Überweisung, da auch die Währung von USD in AED gewechselt wurde und es der Empfängerbank klar sein musste, dass dieses Geld aus einer illegalen Tätigkeit stammte. Dabei war die Empfängerbank von sich aus aktiv, denn nur sie hat die Verfügungsmacht über ihr Korrespondenzbankkonto und konnte die Überweisung von ihrem Korrespondenzbankkonto in den USA auf das Empfängerkonto in den Vereinigten Arabischen Emiraten tätigen.
Die Beihilfe zu Betrug und die Geldwäsche erfolgte über ein Konto in den USA, was amerikanisches Recht und amerikanische Gerichtsbarkeit nach sich ziehen kann. Anschliessend duldete und unterstützte sie die weitere Geldwäsche durch den kriminellen Kunden. Wurden Gelder vom Kundenkonto wieder in US-Dollar weitergewaschen, so erfolgte die entsprechende Überweisung wieder über die amerikanische Korrespondenzbank.
Die Empfängerbank hatte auch jederzeit Einblick in das Konto und somit die Transaktionen des kriminellen Kunden, was unter den lokalen regulatorischen Vorgaben mehr als genug war, um den Betrug und die Geldwäsche zur erkennen. Dabei wurden auch lokale Gesetze und Regulatorien verletzt. Für die Bank ergibt sich daraus, dass sie sowohl in den USA wie auch im arabischen Emirat belangt werden kann.
Im Emirat handelten die lokalen Anwälte entgegen den Interessen und Weisungen des Klienten. Sie blockierten aufgrund von anfänglich nicht deklarierten Interessenskonflikten ein lokales Vorgehen gegen die Banken und jegliches Vorgehen, das die Banken involviert hätte.
Kontoinformationen in Bezug auf den Empfänger sind sowohl in den USA, wegen dem Konto der Empfängerbank bei der Korrespondenzbank, als auch im arabischen Emirat bei der Empfängerbank vorhanden. Diese Informationen helfen auch dabei, sämtliche Transaktionen zwischen dem Korrespondenzbankkonto und dem Konto des Empfängers in den Vereinigten Arabischen Emiraten zu identifizieren.
Geldwäsche in den USA sollte man einerseits grundsätzlich und andererseits aus Kostengründen tunlichst unterlassen, weil die Geldstrafe beim doppelten Betrag des gewaschenen Geldes liegt und das auf jedem Wegstück, das über US-Konten führt. Da die Amerikaner wissen, dass ihnen mangels der nötigen Informationen und Beweise viel Bussgeld durch die Lappen geht, hat das amerikanische Department of Justice (DOJ) vor kurzem ein Whistleblower-Programm für Geldwäsche lanciert. Entsprechende Programme gibt es bereits für «Financial Misconduct».
Schadensbegrenzung
Die Empfängerbanken haben in solchen Fällen ein manifestes Eigeninteresse, aus Risiko- und Compliance-Gründen mit den Geschädigten eine einvernehmliche Lösung zu finden und den Vorfall der Finanzaufsichtsbehörde zu melden. Zugleich sollten die Systeme und Prozesse daraufhin überprüft werden, wieso es dazu kommen konnte. Oft zeigt sich zudem, dass eine solche kriminelle Organisation Helfer in der Bank selbst hatte. Zum einen bei der Kontoeröffnung, zum anderen in der Compliance. Die Reputationsrisiken sind nicht nur für die betroffenen Banken vorhanden, sondern können sich schnell auf den Finanzplatz und das Land ausweiten.
In diesem Fall waren die involvierten Banken nicht einmal bereit, die Transaktionen auf Anfrage der Senderbank rückabzuwickeln. Das deutet auf ein mangelndes Interesse an Schadensbegrenzung hin.