Gesetz für Geldwäsche erweitert KYC-Prinzip

Kenne deinen Kunden (Know Your Customer, KYC) klingt harmlos. Dieses Prinzip bedeutet für Finanzinstitute schon seit 2017 einen enormen Aufwand. KYC verpflichtet neben der Identitätsfeststellung auch zu einer umfassenden Risikoanalyse für Neu- und Bestandskunden und seit 2020 gelten verschärfte Prüfungs- und Meldepflichten, um Geldwäsche oder Terrorfinanzierung aufzudecken. Inzwischen geht der Kreis der «Verpflichteten» weit über den Finanzsektor hinaus. Auch Digitalplattformen, Immobilien- und Kunst- sowie Güterhändler müssen bei Barzahlungen hoher Beträge künftig KYC-Prüfungen durchführen. Angesichts der Vielzahl von Datenquellen können Unternehmen das nicht mehr manuell bewältigen. Peter Angehrn, Chief Technology Officer bei der DTI Schweiz AG, erläutert, wie Unternehmen Strafen wegen möglicher Verstösse gegen KYC entgehen und mit einer technischen Lösung die Aufgabe in einem Bruchteil der Zeit bewältigen.

Kaum 1,5 Jahre nach der letzten Novelle der Geldwäscherichtlinie sah sich die EU zu einer weiteren Verschärfung veranlasst. Weltweit schätzen die Vereinten Nationen einen Schaden durch Geldwäsche von mindestens 800 Milliarden US Dollar und «worst case» auf bis zu zwei Billionen US Dollar. Deutschland gilt als ein Paradies für Geldwäscher, wie das Handelsblatt Ende 2019 berichtete. Das Bundesfinanzministerium (BFM) schätzt das Volumen in Deutschland auf rund 100 Milliarden Euro pro Jahr. Zugrunde liegt dieser Schätzung eine Studie der Universität Halle-Wittenberg im Auftrag des BFM. Darin errechneten die Wissenschaftler alleine für den Nicht-Finanzsektor ein Geldwäschevolumen von 20 bis 30 Milliarden Euro jährlich. Für den deutschen Immobilienmarkt kamen die Forscher auf 1,3 bis 4,3 Milliarden Euro über zwei Jahre. Daher verwundert es nicht, dass mit dem neuen Geldwäschereigesetz (GwG) nun auch Notare, Makler sowie grosse Digitalplattformen mit Kryptowährungen wie Bitcoin und Ethereum, Kunstvermittler und nicht zuletzt alle Güterunternehmen KYC-Risikoanalysen durchführen müssen, wenn sie Kaufverträge mit einem Volumen von über 10 000 Euro über Barzahlungen abwickeln. «Verpflichtete» sind also künftig beispielsweise auch Autohäuser, Luxusartikel- und Edelmetallhändler, die zudem bei Gold ähnlich wie bei Glücksspielanbietern bereits ab 2000 Euro Herkunft und Besitzverhältnisse der Barmittel prüfen müssen.

KYC erfordert eine eindeutige Identifizierung und Überprüfung von Neukunden sowie eine regelmässige Folgeanalyse bei Bestandskunden und eine Dokumentation dieser Risikobewertungen. Die zur KYC-Analyse verpflichteten Unternehmen sind damit Teil der Präventionsstrategie ihrer Behörden, um Geldwäsche und Terrorfinanzierung frühzeitig zu erkennen und zu verhindern. Zu der Identifizierung eines Vertragspartners gehören auch die Feststellung der tatsächlichen Besitzverhältnisse sowie des oder der wirtschaftlich Berechtigten und die Überprüfung des wirtschaftlichen Hintergrundes. Was sich einfach anhört, ist im deutschen GwG in den §§ 10 bis 17 als «Sorgfaltspflichten in Bezug auf Kunden» geregelt und umfasst über 6000 Wörter. Die Schweiz kommt mit ihren «Sorgfaltspflichten der Finanzintermediäre» mit etwas über 2600 Wörtern hin. Wie fast immer bei solchen Gesetzen werden erst Finanzgerichte die zahllosen interpretationswürdigen Rechtsbegriffe auslegen müssen. Klar ist aber, dass Finanzinstitute und die sonstigen Verpflichteten alle Informationsquellen weltweit auswerten müssen, wenn sie ihrer «Sorgfaltspflicht» ordnungsgemäss nachkommen wollen. Und die Anzahl der Daten- und Informationsquellen ist schier unendlich.

Zwar stehen externe KYC-Datenbanken wie World-Check, Thomson Reuters, das KYC-Register der SWIFT-Genossenschaft bereits zur Verfügung; hinzukommen aber Watch- und Sanktionslisten der Regierungen, PEP-Listen (politisch exponierte Persönlichkeiten), Firmen-, Presse- und Urteilsdatenbanken der nationalen und internationalen Strafverfolgungsbehörden sowie Auskunfteien. Zu den wichtigsten und weltweit bedeutendsten Listen gehören die des US Office of Foreign Assets Control (OFAC), der britischen Finanzverwaltung (UK HM Treasury), der Europäischen Union sowie der Vereinten Nationen. In Deutschland besteht seit 2017 bereits das Transparenzregister für wirtschaftlich berechtige natürliche Personen an juristischen Personen wie Kapitalgesellschaften. Ein umfassendes nationales KYC-Register soll ebenso wie in der Schweiz aufgebaut werden. Für das Onboarding eines Neukunden sowie die regelmässig zu erfolgenden Due Diligence-Nachprüfung von Bestandskunden und ihren Zahlungsströmen bedeutet dies, dass jedes Mal Dutzende interne und externe Datenquellen auszuwerten sind, die jeweils aus mehreren Millionen Datensätzen bestehen. Eine Auswertung der internen Datenquellen mit den verfügbaren Suchfunktionen relationaler Datenbanken mag noch schnell gelingen; aber eine umfassende Prüfung auch externer Quelle geht zu einem wirtschaftlich vertretbaren Aufwand nur mit einer IT-Lösung.

Im Zentrum solcher IT-basierten KYC-Analysetools wie dem ListSearch Compliance Server (LSS Suite) der DTI Schweiz AG steht eine harmlos klingende Herausforderung: Namematching genannt. Um bei einer Risikoanalyse die gesuchte Person oder Unternehmen aus einer Vielzahl von Datenquellen zu finden, kommen wie bei einer Suchmaschine für den Such- und Identifikationsprozess komplexe Algorithmen für semantische, linguistische und phonetische Analysen zum Einsatz, um Datenbankinhalte zunächst zu erfassen und zu indexieren. Das Problem dabei ist, dass die Daten aus den verschiedenen Quellen nur teilweise strukturiert sind und sich unstrukturierte Daten wie Fliesstexte, Video oder Audiodateien sowie verpackte oder geschützte Dateien wie ZIP oder PDF sich ohne Aufbereitung einer Indexierung für die anschliessende automatische Auswertung entziehen. Häufig müssen zunächst Texterkennungsprogramme Dokumente auslesen, Audioaufzeichnungen in Text (Speech to Text) umgewandelt werden, bevor sie überhaupt für eine Auswertung bereitstehen. Und bei der Auswertung mittels OCR (Optical Character Recognition) oder Speech to Text-Umwandlung passieren Fehler. Zudem existieren unterschiedliche Schreibkonventionen, werden Personen-, Orts- und Unternehmensnamen in unterschiedlichen Varianten geschrieben. Hinzu kommen Zahlendreher, in vielen Sprachen unbekannte Umlaute oder Zeichensätze. Was selbst Suchmaschinen wie Google oder Bing bisweilen nicht befriedigend gelingt, ist bei Suchmaschinen in Unternehmensanwendungen erst recht bisher nicht selbstverständlich; für KYC aber unentbehrlich. Entgegen den Funktionen von Datenbanken, die weitgehend nur mit strukturierten Informationen umgehen können und meist lediglich bool’sche Operatoren (and, or, nor) zur Suche zur Verfügung stellen, sind leistungsfähige und intelligente Suchlösungen wie die LSS Suite in der Lage, über standardisierte Schnittstellen sämtliche digital vorhandene Informationen und Daten aufzubereiten und zu indexieren. Während in einer Relationalen Datenbank normalerweise die Erfassung, Datenhaltung und Verknüpfung von strukturierten digitalisierten Daten im Vordergrund steht, liegt bei der LSS Suite der Fokus auf der Anbindung sämtlicher im Unternehmen vorhandener digitaler Datenquellen, wie File-Systeme, Customer Relationship Management- und Enterprise Content Management-Systeme, gescannte und OCR erkannte Dokumente, Sprach- und Video Dateien. Hinzu kommen bei KYC mit der LSS Suite zusätzlich nun zig Millionen externe strukturierte und allzu oft unstrukturierte Daten, die vor der Auswertung ebenso aufzubereiten und zu indexieren sind. Und bei diesen externen Quellen ist schon die hohe Frequenz von Aktualisierungen eine zusätzliche Herausforderung. Alleine World-Check stellt seinen Kunden jeden Tag bis zu 1000 Änderungen bereit.

Die LSS Suite ist in der Lage, über Konnektoren unterschiedliche Typen von Datenquellen einzubinden, auszuwerten und zu indexieren. Damit Kunden ihre eigene sensiblen Kundendaten nicht aus der Hand geben müssen, ist die LSS Suite eine On-Premises-Lösung, die also stationär auf eigenen Servern läuft. Externe Datenquellen werden dafür einmal eingelesen und Aktualisierungen je nach Bedarf täglich nachgeladen. Konnektoren haben die Aufgabe, beliebige Datenbanken, Filesystemquellen (World-Check, Thomson Reuters, SWIFT) aber auch Webinhalte (Presse, PEP- und Listen wie OFAC) zu erschliessen. Für die Datenquellen beherrschen die LSS-Konnektoren zudem die inkrementelle Indexierung, also die automatische Indexierung von Datenänderungen. Für externe Quellen ist es zudem von entscheidendem Vorteil, dass die LSS Suite auf einer offenen Architektur wie XML oder ReST (Representational State Transfer) basiert. ReST ist ein Programmierprinzip für verteilte Systeme, mit dem heute bereits die meisten Internetinhalte bereitgestellt werden und somit eine Maschine zu Maschine-Kommunikation unterstützen. Die über die Konnektoren gesammelten Daten bereitet die LSS Suite vor ihrer Überführung in den Indexer auf. Über Filter (Conversion) werden die unterschiedlichen Dateiformate (Word, Excel, PowerPoint, PDF, HTML, RTF, TEXT, ZIP) in ein einheitliches, lesbares Format für den Indexer überführt. Bei der Spracherkennung der zu indexierenden Inhalte sind darüber hinaus Kontrollen und Korrekturen notwendig. Hier stellt die LSS Suite nebst den üblichen Funktionen wie Tokenizierung, Synonyme Darstellung, Spell Checking, Lemmatisierung, Entitäten Extraktion, Phonetic, usw. für das Namematching zusätzliche hochgradig spezialisierte Funktionen bereit.

Der Indexer in der LSS Suite bildet das Kernstück der Suchfunktionen und letztlich den Erfolg des Systems sowie dessen Fähigkeit, die richtigen Matches zu identifizieren und automatisch Alarm zu schlagen bei einem Treffer. Das Konzept der Datenaufbereitung unterscheidet sich bei jedem Hersteller. Und weil es eine Schlüsselfunktion in einem KYC-System bildet, sollten Kunden bei der Auswahl der für sie passenden Lösung genau prüfen, ob die jeweilige Lösung zu ihnen passt. Denn der Indexer hat die Aufgabe, die Daten bei der Indexierung intern so zu strukturieren, dass selbst in extrem grossen Datenmengen und bei komplexen sowie sehr spezifischen Suchen, Resultate innerhalb Sekundenfrist zur Verfügung stehen. Basierend auf diesem Index ist es auch möglich, den Nutzer aktiv über neue Inhalte, die die vordefinierten Kriterien erfüllen, automatisch zu informieren. Deshalb stellt die LSS Suite neben einer einfachen Abfragesprache wie bei Google weitere Abfrageoptionen bereit. Das Namematching Framework der LSS Suite beherrscht verschiedene Fragetechniken und stellt sie in einem gezielten Workflow zu sogenannten Suchkaskaden zusammen, um diverse Aspekte der Namenssuche abzudecken. Der Benutzer muss sich dabei aber nicht um die Formulierung von komplexen Fragen kümmern, sondern kann lediglich die zu suchenden Kriterien eingeben. Den Rest arbeiten die LSS Suite vollautomatisch ab. Für den Nutzer ist die Ergebnisausgabe so aufbereitet, dass er sich nur noch um die Bewertung der als potentiell relevant erkannten Treffer kümmern muss. Auch das Ranking der Ergebnisausgabe ist ein Qualitätsfaktor der LSS Suite. Denn nur über ein gutes Ranking wird die «Spreu vom Weizen», also relevante von unrelevanten Treffern, getrennt. Je nach Interessensgruppe im Unternehmen oder nach Art der Suchapplikation können die Anforderungen an das Ranking der Resultate unterschiedlich ausfallen. Deshalb bietet die LSS Suite auch die Möglichkeit, das Ranking an die verschiedenen Bedürfnisse der Nutzer gezielt anzupassen.

Erst mit dieser intuitiven Bedienung, den automatischen und sicheren Prozessen im Namematching Framework, spielt die LSS Suite auch ihre wirtschaftlichen Vorteile aus. Schon für Nutzer mit wenigen Dutzend Überprüfungen am Tag, rechnet es sich in kürzester Zeit, wenn man den manuellen Aufwand mit einer automatisierten KYC Lösung vergleicht. Die Namen eines Neukunden und seinem Unternehmen sind typischerweise in zwei bis drei interne Datenbanken von Hand zu durchsuchen. Anschliessend sind Sanktionslisten in Dokumenten oder Online manuell zu durchforsten. Jedes System verfügt über unterschiedliche Logins und Suchsyntax; zusätzlich sind für eine halbwegs korrekte Prüfung minimale Suchvariationen durchzuführen. Dabei erlauben viele Datenbanken nicht einmal eine Suche mit Platzhalter und beherrschen erst recht keine komplexeren Fragestellungen oder Suchkaskaden. Selbst erfahrene Compliance-Mitarbeiter brauchen also für jeden Kunden mindestens fünf Minuten. Und dieser Aufwand ist auch regelmässig mit Bestandskunden fällig. Bei 70 000 Neu- und Bestandkunden kommen im Ergebnis schnell drei bis vier Vollzeitstellen zusammen, die sich über LSS Suite substituieren lassen. Und vor allem Finanzinstitute, die wie die Online-Bank N26 bisweilen bis zu 15 000 Neukunden pro Tag prüfen müssen, geht dies ohne ein solches System überhaupt nicht mehr. Weitere Vorteile kommen noch hinzu. Denn nach GwG «Verpflichtete» Unternehmen müssen ihre KYC-Risikobewertungen auch dokumentieren. Das ist vor allem wichtig, wenn zuständige Behörden Auskunft über einzelne Kunden begehren. In diesem Fall müssen unter Umständen Listen mit mehreren 1000 Namen gegenüber dem Kundenstamm geprüft werden. Selbst bei wenig Kunden ein riesiger Aufwand.

Angesicht der GwG der einzelnen Nationen, der internationalen Datenquellen und der verschärften Strafen, die bei der Begünstigung von Geldwäsche oder Terrorfinanzierung fällig werden, ist ein KYC-System wie die LSS Suite der vernünftige Weg für «Verpflichtete» Unternehmen. Wer seine KYC-Prüfungen nicht auf dem aktuellen technischen Stand organisiert, läuft schnell Gefahr, eine horrende Strafe zu zahlen. So wie dies im März 2020 der schwedischen Swedbank widerfuhr, die laut Handelsblatt 372 Millionen Euro wegen unzureichender Kontrollen zahlte. Nicht nur zur Vermeidung solcher Bussen ist es daher vernünftig, wenn alle «Verpflichteten» Unternehmen künftig auf eine automatisierte KYC-Prüfung mit der LSS Suite setzen.