image_pdfimage_print

5. EU-Geldwäscherichtlinie

Änderungsrichtlinie zur aktuellen Rechtsprechung

Elmar Scholz, Chief Compliance Officer u. Abtl.-Direktor Marktservice, OE Compliance und Marktservice, Abteilungsleitung, Prävention gegen Geldwäsche/Terrorismusfinanzierung/sonstige strafbare Handlungen, Compliance (WpHG), Spezialthemen (z.B. FATCA, QI), Sparkasse am Niederrhein

Bekanntermaßen trat am 26.06.2017 das Umsetzungsgesetz zur 4. EU-Geldwäscherichtlinie in Kraft. Dies war eine Punktlandung für den deutschen Gesetzgeber, da an diesem Tag die zweijährige Umsetzungsfrist in nationales Recht endete. Auf Grund der vollen Ausschöpfung dieser Frist durch den Gesetzgeber, wurde in der Konsequenz den Verpflichteten nach dem Geldwäschegesetz eine solche nicht mehr eingeräumt. Dies war und ist insofern unglücklich, da die Umsetzung quasi „während des laufenden Betriebes“ erfolgen musste und teilweise, auf Grund noch nicht vorhandener (technischer) Möglichkeiten, zwischenzeitlich anderweitig darzustellen war. Die FIU, als neue Zentralstelle für Finanztransaktionsuntersuchungen, ist immer noch mit der Abarbeitung aller eingegangen Verdachtsmeldungen beschäftigt. Die Veröffentlichung der Auslegungs- und Anwendungshinweise der BaFin wird sich möglicherweise auch noch verschieben.

Am 14.05.2018 wurde nun die sog. 5. Geldwäscherichtlinie (Änderungsrichtlinie zur Ergänzung der 4. EU-Geldwäscherichtlinie) durch den EU-Rat gebilligt. Beispielhaft werden im Folgenden einige Punkte aufgegriffen, die dabei von Bedeutung sein werden.

SEMINARTIPPS

Risikoanalyse Geldwäsche nach neuem GWG (Anlagen 1, 2) & neuen ESA-Risikoindikatoren, 24.09.2018, Frankfurt/Offenbach.

Knackpunkte der Geldwäschebekämpfung, 27.11.2018, Frankfurt/M.

Compliance-Tagung 2018, 14.–15.11.2018, Berlin.

Kundenidentifizierungen nach neuem GwG & StUmgBG, 28.11.2018, Frankfurt/M.

In der Richtlinie wird nun u. a. auch das Thema „Virtuelle Währungen“ aufgegriffen. Auch wenn in der Definition hierzu eine Abgrenzung zu Spielwährungen vorgenommen wird, so ist dabei auch zu beachten, dass diese Spielwährungen dann nur in der Spieleumgebung genutzt werden können. Denken wir zurück an die Spielerplattform „Second Life“ (die es übrigens immer noch gibt) und die hier gehandelte Währung „Lindendollars“. Der Umtausch von realen in virtuelle Währungen und umgekehrt war damals bereits möglich und dürfte unter dem Blickwinkel „Geldwäsche“ durchaus von Interesse gewesen sein. Dass es hier keine expliziten aufsichtlichen Regelungen gab, konnte im Zweifel für diese Klientel nur von Vorteil sein. Diese Lücke will die EU nun schließen, indem sie Dienstleister, die entsprechende Tauschvorgänge ermöglichen, in den Kreis der Verpflichteten nach Geldwäscheregularien sowie deren Registrierung mit aufnimmt. Gleiches gilt für die Anbieter von elektronischen Geldbörsen. Ferner sollen die Schwellenwerte in Bezug auf E-Geld gesenkt werden – Speicherbetrag max. 150,00 €, Rücktausch in Bargeld max. 50,00 € (Art. 12 der Richtlinie). Mit den heute schon in § 25i KWG geregelten niedrigeren Grenzwerten (100,00 €/20,00 €) wird diese Anforderung in der BRD bereits erfüllt.

Die Thematik „Ermittlung des wirtschaftlich Berechtigten/wirtschaftlichen Eigentümers (wB/wE)“ von juristischen Personen und anderen Rechtsgestaltungen/-vereinbarungen wird noch einmal geschärft. Neben der Pflicht zur risikoangemessenen Verifizierung des sog. „Fiktiven wirtschaftlichen Eigentümers“, die von den Instituten sicherlich heute schon auf Grund der aktuellen Gesetzgebung mit der entsprechenden Vehemenz betrieben wird, erhält nun die Kommission eine Befugniserweiterung. Sie kann nun Länder als Hochrisikoländer ermitteln/klassifizieren, die strategische Mängel in der Verfügbarkeit korrekter und aktueller Informationen über die wirtschaftlichen Eigentümer von juristischen Personen und Rechtsgestaltungen/-vereinbarungen für die zuständigen Behörden (Transparenzregister) aufweisen. Inwieweit es hier dann zukünftig eine Ausweitung der Hochrisikoländer in der EU-VO 2016/1675 kommt, bleibt abzuwarten. Änderungen in der Verordnung können auch heute schon zeitnah über die Adresse https://eur-lex.europa.eu/oj/direct-access.html?locale=de abgefragt werden. Gleichwohl ist anzumerken, dass seitens der EU ein besonderes Augenmerk auf Trusts und ähnliche Rechtsgestaltungen zu liegen scheint.

BUCHTIPP

 

Daumann/Leicht (Hrsg.), Arbeitsbuch Regulatorische Compliance, 2. Aufl. 2018.

 

Generell werden aber die Anforderungen im Rahmen der dann anzuwendenden verstärkten Sorgfaltspflichten bei entsprechenden Kundenverbindungen steigen, z. B. Ermittlung der Vermögensherkunft des wb/wE (Art. 18a Abs. 1 der Richtlinie). Als erfreulich kann gewertet werden, dass die seitens der Kommission beabsichtigte Herabsenkung des Schwellenwertes für die Ermittlung des wB/wE auf 10 % nun nicht mehr als Anforderung aufgeführt wird.

Eine Vernetzung der Register zwischen den Mitgliedstaaten wäre nicht nur für Trusts und ähnliche Rechtsgestaltungen (Erwägungsgrund 26 der Richtlinie) unter der Überschrift „Missbrauch für Geldwäsche-(vor-)taten und Terrorismusfinanzierung“ positiv zu sehen. Zusätzlichen Aufwand dürfte die Pflicht für Verpflichtete auslösen, bei Geschäftsbeziehungen mit juristischen Personen und Rechtsvereinbarungen, sich die Registrierung im Transparenzregister nachweisen oder einen Auszug daraus vorlegen zu lassen (Art. 14 der Richtlinie). Ist dies mit einer Abfrage – nach vorheriger Online-Registrierung – beim Transregister verbunden, dürften zusätzlich Gebühren hierfür anfallen (Erwägungsgrund 36, Art. 30 Abs. 5a der Richtlinie). Erweitert wird die o. g. Verpflichtung noch um das Erfordernis, den zuständigen Behörden festgestellte Abweichungen zum wb/wE zu melden (Art. 30 Abs. 4 der Richtlinie). Man darf gespannt sein, wie die Ergebnisse der Gespräche der Verbände mit dem Gesetzgeber bzgl. der Übernahme hoheitlicher Aufgaben aussehen werden.

Als weiterer Punkt ist die Pflicht zur Errichtung von Informationssystemen in Bezug auf Konten und Schließfächer zu nennen. Dies bedeutet jedoch für die inländischen Institute keine Veränderung des Status quo, da dies den Vorgaben aus § 24c KWG entspricht und insoweit gelebte Praxis ist.

Art. 13 Abs. 1 Buchstabe a der Richtlinie (Identifizierung) wird u. a. erweitert auf elektronische Mittel zur Identitätsfeststellung und einschlägiger Vertrauensdienste gem. der EU-Verordnung 910/2014, sog. eiDAS-Verordnung. Mit dem Umsetzungsgesetz zur 4. EU-Geldwäscherichtlinie hatte der deutsche Gesetzgeber die ursprünglichen Anforderungen des GwG bei physischer Abwesenheit des zu Identifizierenden (=verstärkte Sorgfaltspflichten) aufgehoben und in den neuen § 12 GwG (Identitätsprüfung) verschoben. In Absatz 1 Nrn. 2–4 wird bereits Bezug auf die zuvor genannte EU-Verordnung genommen, so dass hier die neuen Anforderungen bereits geregelt sein dürften.

PRAXISTIPPS

  • Themenschwerpunkt „wirtschaftlich Berechtigter/wirtschaftlicher Eigentümer“. Ein korrekter Datenbestand hat gerade hier eine besondere Bedeutung. Mittel und Verfahren sollten daher darauf ausgelegt sein, dieses zu gewährleisten.
  • Inwieweit eine Altbestandsüberarbeitung vom Gesetzgeber vorgegeben wird, bleibt abzuwarten. Allerdings kann die Umsetzung des Steuer-Umgehungs-Bekämpfungsgesetz (bis 31.12.2019) dazu genutzt werden, vorhandene Daten ggfs. zu aktualisieren/zu ergänzen.
  • Bzgl. des Themas „Virtuelle Währungen“ kann auch ein Institut, welches keine Tauschvorgänge von realer in virtuelle Währung ermöglicht, versuchen, das Monitoring-Programm dazu zu nutzen, mögliche damit zusammenhängende Transaktionen zur Auffälligkeit zu bringen.

Danke, PSD2! Wie man Compliance-Auflagen in Wettbewerbsvorteile verwandelt.

Claudius van der Meulen, Direktor Europa Entersekt

I. Einleitung

Geld an Freunde senden in Echtzeit, zu jeder Zeit und an jedem Ort informiert sein über Zahlungsbewegungen und gegebenenfalls sofort reagieren können, ein Konto eröffnen ohne den üblichen administrativen Aufwand – das sind Angebote, wie sie Kunden heute erwarten. Es soll schnell gehen, keine Arbeit machen und überall verfügbar sein – im Café, in der Bahn zur Arbeit oder beim Familienbesuch in einer anderen Stadt. Kunden lassen sich nicht mehr vorschreiben, wann und wo sie ihre Finanzgeschäfte erledigen. Banken, die diesem Trend nicht folgen, werden es in Zukunft sehr schwer haben. Das Thema Sicherheit spielt dabei ebenfalls eine große Rolle – nur sehen Kunden das nicht auf ihrer To Do-Liste, sondern ganz eindeutig als Aufgabe der Banken, die diese selbstverständlich zu erfüllen haben. Am besten, ohne dass man als Kunde daran mitwirken muss und in die Verantwortung genommen wird.

 

 SEMINARTIPPS

Betrugsfälle in Kontoführung & Zahlungsverkehr erkennen und verhindern, 24.09.2018, Frankfurt/M.

Risiko Kontoführung & Zahlungsverkehr, 19.11.2018, Frankfurt/M.

Compliance-Tagung 2018, 14-15.11.2018, Berlin.

 

II. Die neue Rolle der Authentifizierung unter PSD2

1. Authentifizierung als zentrale Schnittstelle zwischen Bank und Kunde in der digitalen Welt

Diesen Anforderungen an Sicherheit, Schnelligkeit und Nutzerfreundlichkeit muss auch die Authentifizierungslösung einer Bank genügen. Kunden wollen sich nicht mehr mit Einmalpasswörtern herumärgern, komplizierte Bestätigungs-Verfahren durchlaufen oder gar einen Tan-Generator permanent dabei haben. All das passt nicht mehr in die Zeit. Insofern kommt die PSD2 (Payment Services Directive) gerade zum rechten Zeitpunkt. Um die geforderte Konformität mit den neuen Vorgaben zu erreichen, müssen Banken sich jetzt intensiv mit den Themen Open Banking und starke Authentifizierung (SCA – Strong Customer Authentication) beschäftigen. Sie sind dazu gezwungen, ihre Systeme auf den Prüfstand zu stellen. Dadurch erhalten sie aber gleichzeitig die Chance, mithilfe neuester Authentifizierungslösungen ihre Prozesse zu optimieren.

2. Anforderungen an eine PSD2-konforme „State-of-the-Art“-Authentifizierungs-Lösung

Sicher muss eine Bank an erster Stelle dafür sorgen, dass sie alle regulatorischen Anforderungen der PSD2 erfüllt. Daneben gibt es aber eine Reihe weiterer Aspekte, die bei der Auswahl einer zeitgemäßen SCA-Lösung beachtet werden sollten:

a) Audit-fähige SCA-Compliance sicherstellen

  • Die starke Kundenauthentifizierung ist für alle Nahfeld- und Online-Transaktionen über sämtliche Kanäle erforderlich. Im Rahmen der SCA müssen zwei von drei möglichen Faktoren (Wissen, Besitz und Eigenschaft) zur Authentifizierung eingesetzt werden. Dabei kommt dem Faktor Besitz die wichtigste Rolle zu. Das Smartphone eignet sich dafür im besonderen Maße – also ein mobiles Endgerät, das Kunden immer mit sich führen. In Kombination mit anderen Faktoren, wie z. B. einer festen PIN oder einem biometrischen Verfahren, entsteht so ein mehrschichtiger Ansatz.
  • Der Authentifizierungs-Code für jede Transaktion muss dynamisch mit dem Betrag und dem Zahlungsempfänger verknüpft sein.
  • SCA-Elemente müssen voneinander getrennt und unabhängig sein. Dies lässt sich durch vollständig verschlüsselte, so genannte „Out-of-Band“-Authentifizierungskanäle erzielen. „Out-of-Band“ bedeutet, dass ein unabhängiger zweiter Kommunikationskanal genutzt wird.
  • Es muss gewährleistet sein, dass personalisierte Anmeldeinformationen der zur Authentifizierung genutzten Geräte sowie jegliche im Authentifizierungsprozess verwendete Software zuverlässig dem jeweiligen Kunden zugeordnet werden können. Anders formuliert: One-Time-Passwörter (OTP) sind keine brauchbare Option mehr – führende Analysten wie Gartner sowie Regulierungs- und Branchenorganisationen bestätigen dies bereits seit Jahren.
  • Der Zugriff von Drittanbietern (TPP = Third Party Provider) auf Kundendaten muss überwacht und durch Verfahren geschützt werden, die eindeutig die Zustimmung des Kunden einholen. Damit Drittanbieter das Recht zum Datenzugriff erhalten, ist ein verbindlicher und signierter Nachweis der Kundenzustimmung erforderlich. Dies kann durch Einholung digital signierter Kundenmandate für alle Transaktionen erreicht werden.

b) Konsistente und überzeugende Anwendungserfahrung bieten

Bankkunden erwarten eine sichere Lösung, die gleichzeitig einfach zu bedienen ist. Um die Zahl der Transaktionsabbrüche zu verringern und das Kundenvertrauen zu stärken, sollte eine nutzerfreundliche Lösung Folgendes leisten:

  • Konvergenz der Authentifizierung. Sinnvoll ist es, eine SCA-Methode zu installieren, die sich für mehrere Anwendungsszenarien eignet, sodass die Anwendungserfahrung über alle Kanäle hinweg konsistent ist. Auf diesem Weg wird Authentifizierung nicht nur einfacher, sondern stärkt auch das Anwendervertrauen und führt zu reduzierten Gesamtbetriebskosten (TCO – Total Cost of Ownership), da nur noch eine einzige Authentifizierungsplattform unterstützt werden muss.
  • Einfache, intuitive Bedienung. Kunden bevorzugen Systeme, die sich ohne lange Erklärungen von selbst erschließen.
  • Verschlüsselung sensibler Daten innerhalb der Mobile-Banking-App.
  • Volle Kontrolle des Kunden durch Echtzeit-Eingabeaufforderungen über einen vertrauenswürdigen Kanal.

c) Kosten senken und Weiterentwicklung ermöglichen

Sind die oben genannten Anforderungen erfüllt, können verpflichtende Compliance-Anforderungen in einen strategischen Vorteil verwandelt werden. Dabei sind folgende Punkte zu beachten:

  • Vielseitigkeit. Die neue Lösung sollte den gesamten Anwender- und Authentifizierungs-Lebenszyklus abdecken: von Rollout, Wartung und Kontowiederherstellung bis zum Off-Boarding-Prozess und dem Hinzufügen neuer Kanäle.
  • Flexibilität. Lösungen, die von Grund auf für die mobile und Online-Welt entwickelt wurden, sichern die nötige Flexibilität, um sich – ohne neue Lösungen implementieren zu müssen – an zukünftige technische Standards der Regulierungsbehörden anzupassen.
  • Kosteneffizienz. Durch Nutzung einer einzigen Authentifizierungsplattform für alle Authentifizierungsszenarien können Kunden schneller, effizienter und damit wirtschaftlicher bedient werden.
  • Vertrauen. Sobald ein sicherer Kanal zum Kunden verfügbar ist, wird die Einführung neuer digitaler Angebote und Services wesentlich erleichtern.

III. Schlüsselfertige PSD2-konforme Lösungen

1. Starke Authentifizierung mit dem Mobiltelefon

Die zuverlässige Identifikation und Authentifizierung von Anwendern über mobile und Online-Kanäle ist eine extrem komplexe Aufgabe. Durch den konstanten Wandel von Technologien und Anwenderverhalten entstehen fortlaufend veränderte Anforderungen. Die wenigsten Banken haben die Möglichkeit, selbst eine solche Lösung zu entwickeln und schauen sich nach schlüsselfertigen Angeboten am Markt um. Dabei stehen sie unter enormem Zeitdruck: Nicht erst zum offiziellen Stichtag am 14.09.2019, sondern sogar schon sechs Monate früher müssen die Banken ihre Lösung am Start haben. Ab dem 14.03.2019 sind sie nämlich verpflichtet, Kontoinformations- und Zahlungsauslösediensten eine angemessene Dokumentation der technischen Schnittstelle sowie eine entsprechende Testumgebung bereitzustellen.

Im Vergleich der schlüsselfertigen Lösungen, die in einer Mobile-first-Welt Sicherheit und Nutzerfreundlichkeit auf optimale Weise miteinander verbinden, kristallisiert sich ein Verfahren immer mehr als „State-of-the-Art“ heraus: Die Push-basierte Mobiltelefon-als-Token-Lösung für starke Authentifizierung. Die zentrale Rolle kommt dabei dem Mobiltelefon zu. Entersekt ist Pionier bei diesem Verfahren. Die schlüsselfertige, mit neuester Sicherheitstechnologie ausgestattete und einfach zu implementierende Lösung Transakt wird bereits seit Jahren erfolgreich von mehreren Millionen Anwendern in fast 50 Ländern verwendet. Sie hat sich bei der Abwehr unterschiedlichster Angriffsmethoden bewährt, darunter Phishing, Man-in-the-Middle- und Man-in-the-Browser-Attacken sowie Keylogging, Rufnummernportierung und SIM-Swap-Angriffe.

2. Wie funktioniert Transakt?

Über einen vom Browser komplett unabhängigen Out-of-Band-Kanal mit Ende-zu-Ende-Verschlüsselung kommunizieren Bank und Kunde dank Transakt in Echtzeit. Und beide können sich darauf verlassen, dass Authentifizierungsnachrichten und Signierungsanfragen bei Transaktionen immer aus einer vertrauenswürdigen Quelle stammen. Transakt kann problemlos in jede Mobile-Banking-App integriert werden und steht so innerhalb kürzester Zeit allen Kunden einer Bank als sichere und komfortable, PSD2-konforme Authentifizierungslösung zur Verfügung.

 

 VIDEOTIPP

PSD II – Auswirkungen auf Sonderbedingungen

 

 

3. Transaktion und Authentifizierung von ein und demselben Mobilgerät – sicher und PSD2-konform

Bei der Diskussion um mobile Bankgeschäfte steht ein Thema stets im Vordergrund: Die Sicherheitsfrage. Mit der starken Authentifizierung, wie sie von PSD2 gefordert wird, sollen Kunden in Zukunft besser geschützt werden. Vielfach wurde bislang argumentiert, dass Mobile-Banking nur mithilfe eines zweiten Gerätes zur Authentifizierung sicher sei. Dass es auch anders geht, zeigt die aktuelle Untersuchung der renommierten Bonner Security Research & Consulting GmbH (SRC). Sie bestätigt, dass eine Organisation mit der richtigen Technologie eine PSD2-konforme, starke Authentifizierung mit einem einzigen Gerät anbieten kann. Laut Abschnitt 3.2 des SRC-Berichts ist bei der Entersekt-Lösung „die sichere Kommunikation […] unabhängig vom restlichen Betriebssystem des mobilen Geräts. Dies ermöglicht die Implementierung getrennter sicherer Ausführungsumgebungen wie von der EBA RTS, Artikel 9, gefordert“.

Die RTS (Regulatory Technical Standards) der PSD2 erlauben die Verwendung von ein und demselben mobilen Gerät zur Zahlungsauslösung und anschließenden Authentifizierung, solange

  • die Software des Zahlungsdienstleisters (oder der Bank) auf diesem Gerät bestimmte Sicherheitsmaßnahmen wie eine vertrauenswürdige Ausführungsumgebung sowie Root-/Jailbreak-Erkennung nutzt,
  • eine Gerätebindung sichergestellt ist,
  • ein verschlüsselter Kanal für die Authentifizierungskommunikation zwischen dem Gerät und den Back-End-Servern des Dienstanbieters zur Verfügung steht, der vollständig vom Betriebssystem des Geräts getrennt ist.

Da die Entersekt-App Transakt nachweislich alle diese Maßnahmen nutzt, bietet die Software Banken eine ideale Sicherheitslösung. Mit Transakt benötigen Bankkunden kein zweites Gerät für eine starke Authentifizierung – sie brauchen nicht einmal eine zweite App.

 

 BUCHTIPP

Kontoführung & Zahlungsverkehr, 5. Aufl. 2017.

 

 

IV. Fazit

Wenn eine Bank als Wächter der Vermögenswerte ihrer Kunden in einer digitalisierten Welt wahrgenommen wird, verändert sich dadurch ihre strategische Position gegenüber Kunden und Drittanbietern. Die Bank bietet dann mehr als einen alltäglichen Standard-Service und wird zum Verwalter aller aktuellen und zukünftigen Vermögenswerte, welche Form diese auch haben mögen. Durch Services, die auf den Zugriff und das Management dieser Vermögenswerte fokussiert sind, untermauern Banken ihre Positionierung als wichtiger Bestandteil der Wertschöpfungskette. Banken schützen und erhalten ihre Kundenbeziehungen, während Drittanbieter zusätzliche Services bereitstellen.

Unter diesem Aspekt ist PSD2 nicht länger nur ein Kostentreiber. Stattdessen ist PSD2 eine Chance für Banken, ihr Leistungsversprechen auch in einer digitalen Welt der Zukunft zu unterstreichen. Banken, die diese Chance ergreifen, werden langfristig davon profitieren.

PRAXISTIPPS

  • Mobile-first: Die meisten Interaktionen mit Drittanbietern, die durch PSD2 möglich werden, erfolgen voraussichtlich über mobile Kanäle. Mobile Interaktion ist deshalb der Schlüssel für den Erfolg Ihrer Organisation.
  • Anstatt eine Kundeninteraktion bei der Authentifizierung zu vermeiden, sollten Sie die Authentifizierung als Chance begreifen: Jede Kundeninteraktion über Ihren SCA-Kanal stärkt das Vertrauen. Sobald PSD2 in Kraft ist, können viele neue Drittanbieter (TPPs) mit Ihren Anwendern interagieren, deshalb ist die Herstellung eines besonderen Vertrauensverhältnisses so wichtig.
  • Sicherheit ist für den Kunden selbstverständlich. Und dafür ist nicht er, sondern die Bank zuständig. Den Unterschied macht am Ende der Aspekt Nutzerfreundlichkeit. Nur Lösungen, die der Kunde liebt, werden sich am Ende durchsetzen.

Über Entersekt

Entersekt ist innovativer Anbieter von Mobile-first FinTech-Lösungen. Finanzdienstleister und Unternehmen entscheiden sich für die patentierte Entersekt Mobile-Identity- und Authentifizierungs-Technologie, um ihren Kunden über alle Service-Kanäle hinweg optimale Sicherheit bei gleichzeitig hoher Nutzerfreundlichkeit zu bieten. Weitere Informationen: www.entersekt.com

Prüfung von Vereinbarungen bei Auslagerungen

Aktuelle Anforderungen aus der MaRisk-Novelle 2017

Holger Aurisch, MBA, Bereichsdirektor MarktService/Prokurist | Recht & Compliance, Volksbank Breisgau Nord eG

Änderungen aus den MaRisk 2017

Die Aufsicht hat mit Rundschreiben 09/2017 die Anforderungen an das Outsourcing gegenüber der Fassung von 2012 deutlich konkretisiert und erweitert. So wurde beispielsweise klargestellt, dass die besonderen Funktionen des AT 4.4 nur unter bestimmten Konstellationen vollständig ausgelagert werden dürfen. Neu eingeführt wurde die Anforderung an ein zentrales Auslagerungsmanagement, sofern Art, Umfang und Komplexität der ausgelagerten Aktivitäten dies erfordern. Diese neue Funktion hat mindestens einen jährlichen Bericht über die wesentlichen Auslagerungen zu erstellen, in dem steht, ob die Qualität der erbrachten Dienstleistungen vertragskonform war und ob die Steuerung der Aktivitäten und Prozesse trotz Auslagerung möglich ist. Die Anforderungen an die Weiterverlagerung von Tätigkeiten wurden konkretisiert und im Zusammenspiel mit den Anforderungen aus den BAIT wurde das Thema Software als Auslagerung oder Fremdbezug geschärft.

BUCHTIPP

 

 Auslagerung nach MaRisk, 2018.

 

Dienstleistersteuerung: Aufsichtsrechtliches Übel oder betriebswirtschaftliche Pflicht?

Kennen Sie den Witz mit dem Vergleich der Fertigungstiefe von Automobilherstellern und derer von Banken? Demzufolge müssten die Autohersteller bei gleicher Fertigungstiefe wie Banken auch noch die Kühe züchten, aus denen das Leder für die Sitze gemacht wird. Diese Aussage ist nun auch schon einige Jahre alt und die Fertigungstiefe hat bei Banken in dieser Zeit sicher abgenommen, auch wenn die Eigenproduktion immer noch deutlich über der der Autohersteller liegt. Ob der Vergleich aber genau zutrifft oder nicht, der Grad der Professionalität bei der Dienstleistersteuerung ist gefühlt um ein Vielfaches höher als in der Bankbranche. Die modernen Produktionsprozesse mit just-in-time bzw. just-in-sequence Prozessen erfordern, dass der Hersteller in höchstem Maß sicherstellen muss, dass die vereinbarte Leistung in der vereinbarten Qualität zur richtigen Zeit am richtigen Ort vorhanden ist, sonst drohen Produktionsausfälle. Auch wenn die Bankprozesse diesen Reifegrad noch nicht erreicht haben, verwundert es doch nicht, dass die Aufsicht das Thema in der MaRisk-Novelle 2017 deutlich in den Vordergrund gestellt hat und den Aktivitäten der Dienstleistersteuerung deutlich mehr Beachtung in den Banken verschaffen will.

Soll dieser regulatorische Vorstoß nun also nur als Gängelei einer ohnehin schon stark und eng regulierten Branche verstanden werden, oder liegen in den neuen Anforderungen auch Chancen bzw. betriebswirtschaftliche Selbstverständlichkeiten? Um es vorweg zu nehmen: Die Steuerung von Dienstleistern ist eine Kernaufgabe im Qualitätsmanagement, denn ohne eine solche wird die Erreichung der erforderlichen Produkt- bzw. Dienstleistungsqualität nicht dauerhaft realisierbar sein, oder zu einem Zufallsergebnis verkommen.

Nähern wir uns der Fragestellung von der betriebswirtschaftlichen Seite wird ebenso klar, dass die Ansprüche an Effektivität und Effizienz von erworbenen Leistungen Dritter in einem angemessenen Verhältnis stehen müssen. Ansonsten handelt es sich um eine schlechte betriebswirtschaftliche Entscheidung. Es sollte also im ureigenen Interesse des Unternehmens liegen, dass sich die zuständigen Fachabteilungen mit ihren Dienstleistern intensiver befassen, als dies in der Vergangenheit der Fall war. Prüfungsseitige Grundlage ist neben dem generellen Auslagerungsprozess und dem Auslagerungsmanagement insbesondere der jeweilige Auslagerungsvertrag. Dieser kann in gewisser Weise auch das Machtgefüge zwischen Institut und Dienstleister widerspiegeln, nämlich anhand des Grades der bankseitig bestimmten und umgesetzten Individualisierungswünsche.

SEMINARTIPPS


Neue Pflichten für Dienstleister-Steuerung, 14.11.2018, Frankfurt/M.

Auslagerungsverträge auf dem Prüfstand, 15.11.2018, Frankfurt/M.

Prüfung Auslagerungsprozesse, 22.11.2018, Köln.

Auslagerungen im Fokus neuer MaRisk & BAIT, 10.–11.12.2018,
Frankfurt/M.

Der Auslagerungsvertrag

Kernelement der Dienstleistersteuerung ist der Auslagerungsvertrag. Im Gegensatz zu einem gewöhnlichen Vertrag zwischen zwei Unternehmen, z. B. über den Kauf von Produktionsmaterial in der Industrie, sind im bankgeschäftlichen Umfeld die in AT 9, Tz. 7 MaRisk geforderten Vereinbarungen aufzunehmen. Insbesondere ist auf den Einbezug folgender Inhalte zu achten:

  • Klare Spezifizierung der durch das Auslagerungsunternehmen zu erbringenden Leistungen und Definition von Leistungskriterien, um eine laufende Beurteilung der erbrachten Leistungen zu ermöglichen
  • Beachtung datenschutzrechtlicher Anforderungen (bei Altverträgen ggf. Update auf DSGVO) und Sicherheitsanforderungen
  • Festlegung von Kündigungsrechten und -fristen
  • Informationspflichten zu möglichen Beeinträchtigungen der ordnungsgemäßen Abwicklung der beauftragten Leistungen
  • Festlegung von Prüf- und Kontrollrechten der Internen Revision des Auftraggebers sowie externer Prüfer und Behörden der ausgelagerten Aktivitäten und Prozesse
  • Definition von Zustimmungsrechten für Weiterverlagerungen bzw. konkrete Voraussetzungen, welche das Auslagerungsunternehmen hierzu zu beachten hat.

Speziell dem erstgenannten Punkt kommt bei der Dienstleistersteuerung zentrale Bedeutung zu. Hier ist unbedingt darauf zu achten, dass sowohl im Vorfeld einer beabsichtigten Auslagerung als auch im laufenden Überwachungsprozess beurteilt wird, ob es sich um geeignete Kriterien handelt, um die Leistungsqualität dauerhaft sicherzustellen.

PRAXISTIPPS

  • Definieren Sie klare Verantwortlichkeiten im Auslagerungsmanagement.
  • Stellen Sie prozessual sicher, dass die Auslagerungsverträge regulatorischen und betriebswirtschaftlichen Anforderungen entsprechen.
  • Entwickeln Sie klare Kriterien zur Leistungsüberwachung im Rahmen der Dienstleistersteuerung.

Die Compliance-Management-Erklärung als Verhaltenskodex im Sinne der MaRisk 6.0

Dr. Henning v. Sethe, Leiter Stab Compliance/Geldwäsche Volksbank Ulm-Biberach eG

Die BaFin hat mit Schreiben vom 27.10.2017 (Rundschreiben 9/2017 BA) ihr Verständnis von Mindestanforderungen an das Risikomanagement überarbeitet und die Neufassung der MaRisk veröffentlicht. Sie hat die Kreditinstitute zugleich aufgefordert, die neuen Anforderungen bis zum 31.10.2018 umzusetzen.

In AT 4.4.2 (Compliance-Funktion) ergaben sich zwar keine Neuerungen. Nach wie vor heißt es dort nur recht allgemein, dass „die Compliance-Funktion (…) auf die Implementierung wirksamer Verfahren zur Einhaltung der für das Institut wesentlichen rechtlichen Regelungen und Vorgaben und entsprechender Kontrollen hinzuwirken“ hat. Neu ist aber eine zusätzliche Vorgabe für die internen Organisationsrichtlinien in AT 5:

AT 5 Tz. 3 Die Organisationsrichtlinien haben vor allem Folgendes zu beinhalten:

(…)

g. abhängig von der Größe des Instituts sowie der Art, dem Umfang, der Komplexität und dem Risikogehalt der Geschäftsaktivitäten, einen Verhaltenskodex für die Mitarbeiter.

Was ist mit diesem Verhaltenskodex gemeint und kann eine evtl. schon bei der Bank im Einsatz befindliche Compliance-Management-Erklärung diesen Verhaltenskodex ersetzen?

Im Begleitschreiben zum Konsultationsentwurf für die neuen MaRisk hat die BaFin im Februar 2016 darauf hingewiesen, dass sie es als Teil der Gesamtverantwortung der Geschäftsleiter sehen für eine ordnungsgemäße Geschäftsorganisation zu sorgen sowie künftig eine angemessene Risikokultur innerhalb des Instituts zu entwickeln, zu integrieren und zu fördern. Sie hat daher in die neuen MaRisk auch in AT 3 Tz. 1 einen neuen Satz 4 zur Verantwortung der Geschäftsleiter aufgenommen: „Hierzu zählt auch die Entwicklung, Förderung und Integration einer angemessenen Risikokultur innerhalb des Instituts und der Gruppe.“ Diese Anforderung hat ihren Ursprung im Erwägungsgrund 54 der Capital Requirements Directive IV, wonach die Institute Grundsätze und Standards einführen sollen, die eine wirksame Kontrolle von Risiken durch die Leitungsorgane gewährleisten. Diese Grundsätze sollen, als Teil eines wirksamen Risikomanagements, eine solide Risikokultur auf allen Unternehmensebenen fördern. Auch die EBA Leitlinien zu gemeinsamen Verfahren und Methoden für den aufsichtlichen Überprüfungs- und Bewertungsprozess (SREP) erwarten eine Überprüfung der Risikokultur der Institute durch die zuständige Aufsichtsbehörde und setzen damit voraus, dass Institute eine angemessene Risikokultur als Teil ihres Risikomanagements implementiert haben. Vorfälle, wie die zahlreichen Verfehlungen im Investmentbanking der Deutschen Bank mit einem offenbar grundsätzlichen Moralproblem, werden der Aufsicht hierzu ausreichend Veranlassung gegeben haben.

Der BaFin ist es daher, wie sie im Anschreiben zur Veröffentlichung der neuen MaRisk im Oktober 2017 schreibt, wichtig, dass sich die Institute zukünftig stärker mit dieser Thematik auseinandersetzen und für sich definieren, welche Geschäfte, Verhaltensweisen und Praktiken letztlich als wünschenswert angesehen werden und welche nicht. Sie fordert deshalb die Führungsebenen in den Instituten auf, ihre Mitarbeiter auf gemeinsame Werte und Praktiken einzuschwören und den kritischen Dialog über die mit den Geschäften verbundenen Risiken zu fördern. In diesem Zusammenhang sieht die BaFin den in AT 5 geforderten Verhaltenskodex – neben dem „Vorleben“ dessen, was die Geschäftsleitung wünscht, durch diese selbst – als wertvollen Beitrag dazu sicherzustellen, dass tatsächlich nur solche Geschäfte abgeschlossen und nur solche Geschäftspraktiken an den Tag gelegt werden, die von der Geschäftsleitung als zulässig bzw. wünschenswert deklariert wurden.

 

Bei der Umsetzung dieser neuen Anforderung zur Aufstellung eines Verhaltenskodex kann von den Instituten je nach Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten unterschiedlich gehandelt werden. Die BaFin sieht selbst, dass ein Verhaltenskodex bei größeren Instituten mit weiter verzweigten Geschäftsaktivitäten, wie eben z. B. der Deutschen Bank, ein sinnvolles Instrument ist, bei kleineren Instituten jedoch oftmals die persönliche Ansprache der Mitarbeiter durch die Führungskräfte des Instituts das direktere und im Zweifel auch effektivere Mittel ist, die Mitarbeiter auf die gemeinsamen Werte und Ziele einzuschwören. Bei kleineren Instituten mit weniger komplexen Aktivitäten sieht sie sogar einen solchen Kodex für verzichtbar an. Die BaFin hat hier sogar überraschenderweise Verständnis für reale Praxisprobleme und äußert sich dahingehend, dass Institute dann, wenn sie sich auf die persönliche Ansprache beschränken, hierfür keine entsprechende Dokumentation vorhalten müssten.

Die BaFin erwartet also von den Banken, dass diese den kritischen Dialog innerhalb der Bank fördern und ein offenes und kollegiales Führungskonzept installieren. Mitarbeiter sollen dazu motiviert werden, sich entsprechend dem Wertesystem und dem Verhaltenskodex zu verhalten und innerhalb der festgelegten Risikotoleranzen zu agieren. Sie sollen aber auch Überzeugungsarbeit dafür leisten, dass ethisch und ökonomisch wünschenswertes Verhalten nicht nur durch finanzielle Anreize vermittelt wird.

Der Leitfaden MaRisk des BVR in der Version vom 21.02.2018 gibt hierzu wenig umsetzbare Empfehlungen ab. Handlungsbedarf wird den Verhaltenskodex betreffend nur für systemrelevante Banken gesehen. Wichtig sei, dass die in dem Institut gelebte Praxis der Geschäftstätigkeit und Managemententscheidungen die selbst definierte Risikokultur in konsistenter Weise widerspiegelt. Im Übrigen werden die Ausführungen der BaFin wiederholt. Inhaltlich wird nur darauf verwiesen, dass in einem Verhaltenskodex beschrieben werden sollte, welche Geschäfte, Verhaltensweisen und Praktiken letztlich als wünschenswert angesehen werden und welche nicht.

Wenn wir von diesem zentralen Satz in der BaFin-Verlautbarung ausgehen („welche Geschäfte, Verhaltensweisen und Praktiken sind wünschenswert“) und ihn darum ergänzen, was die BaFin zum Führungsstil innerhalb des Instituts geschrieben hat („Förderung des kritischen Dialogs“, „offenes und kollegiales Führungskonzept“) und auch ethische Werte verankert sehen möchte („Wertesystem“), so sind dies alles typische Gegenstände einer Compliance-Management-Erklärung (CME) mit den Bausteinen

  • Toleranz und Respekt
  • Verantwortung und Nachhaltigkeit
  • Risiko- und Fehlerkultur sowie offene Kommunikation
  • Integrität durch Einhalten von Bestimmungen
  • Offenlegung von Interessenkonflikten
  • Fairness

und lassen dann, wenn dies einmal so gelebt wird, zusätzliche Inhalte einer CME wie Hinweise auf das Hinweisgebersystem sowie Einhaltung von Datenschutz- und Geldwäschebestimmungen als bloße Formalia für die aufsichtliche Prüfung überflüssig werden:

Toleranz und Respekt sind für eine offene Führungskultur wie auch für eine moderne Fehlerkultur wesentlich. Wer anderen Wertschätzung entgegen bringt, macht es leicht, Fehlentwicklungen zu kommunizieren. Ein Klima der Angst dagegen und blinder Erfolgsdruck führt dagegen, wie man es wohl bei einem großen Autobauer annehmen kann, zu Kommunikationshindernissen, die für ein Unternehmen gefährlich werden können.

SEMINARTIPPS

 

 Compliance-Tagung 2018, 14.–15.11.2018, Berlin.

WpHG und MaComp AKTUELL!, 26.11.2018, Frankfurt/M.

 

Verantwortung und Nachhaltigkeit bedeuten, sich nicht auf kurzfristige Erfolge zu konzentrieren, sondern mit den Kunden und den Mitarbeitern langfristig zusammenzuarbeiten und für alle dauerhafte Mehrwerte zu schaffen. Hier kann unter Umständen auch gefordert werden, dass umweltpolitische und soziale Folgen von Handlungen bedacht werden.

Es sollte Aufgabe aller Führungskräfte sein, eine Leitkultur zu schaffen, die eine offene Kommunikation und einen kritischen Dialog ermöglicht, klare Verantwortlichkeiten der Mitarbeiter festlegt, Verstöße konsequent ahndet und angemessene Anreizstrukturen schafft. Dann sind die Grundlagen für eine gesunde Risiko- und Fehlerkultur geschaffen.

Integrität bedeutet das Einhalten von externen wie internen Bestimmungen und zwar auch dann, wenn ein Verstoß für die Bank von wirtschaftlichem Vorteil sein könnte, aber auch die Abkehr von persönlicher Bereicherung oder Nutzung von Informationen zum eigenen privaten Vorteil.

Die Offenlegung von Interessenkonflikten hängt mit der Integrität zusammen, fordert aber zusätzlich aktives Handeln und die Anzeige von solchen Konflikten gegenüber Compliance oder einer anderen benannten Stelle in der Bank, und sollte auch so formuliert werden, dass bereits der Anschein eines Interessenkonflikts vermieden werden sollte.

Fairness ist gegenüber Kunden wie gegenüber Mitarbeitern zu wahren und geht über das Erfordernis der Integrität insoweit hinaus, als ein ethisches Verhalten gefordert wird. Es geht um partnerschaftliches Verhalten anderen gegenüber in der Geschäftsverbindung wie in der Führung von Mitarbeitern oder Mitarbeitern untereinander.

Zu ergänzen wäre eine entsprechende CME ggf. um konkretere Aussagen zur Risikostrategie, da die BaFin ausdrücklich angesprochen hat, dass die Mitarbeiter „innerhalb der festgelegten Risikotoleranzen agieren“ sollen. Hier sollte nicht nur zusätzlich auf die internen Richtlinien zum Kredit- bzw. Eigengeschäft verwiesen werden, sondern auch auf die Risikostrategie des Instituts. Damit werden beide Leitplanken, die ein Institut für das Handeln der Mitarbeiter im unmittelbaren banktypischen Risikobereich vorhält, ausdrücklich hervorgehoben.

Eine im Unternehmen bereits vorhandene Compliance-Management-Erklärung kann daher – eventuell nach Ergänzung um Punkte zur Risikokultur – zugleich den von der BaFin mit der MaRisk-Novelle geforderten Verhaltenskodex darstellen. Die Schaffung einer solchen CME empfiehlt sich auch für kleinere Banken. Bei diesen muss sie zwar nicht schriftlich vorliegen, aber allein die Befassung mit der Formulierung einer entsprechenden Erklärung wird der Geschäftsleitung oft erst verdeutlichen, welche Werte und Verhaltensweisen sie wünscht, welche Geschäfte und Praktiken sie von sich und den Mitarbeitern fordern will und darüber nachdenken lassen, ob der Führungsstil innerhalb des Instituts dem entspricht, was die BaFin erwartet. Und dann kann sie dazu dienen, bei der Kommunikation in das Institut hinein behilflich zu sein und auch später wieder als Leitfaden herangezogen werden. Bei mittelgroßen Banken kann sie wiederum – im Sinne der hier von der BaFin zugelassenen Differenzierung – so eingesetzt werden, dass die Führungskräfte sich auf die CME verpflichten müssen und anschließend an ihre Mitarbeiter im Wege der persönlichen Ansprache weitergeben.

PRAXISTIPPS

  • Haben Sie bisher weder einen Verhaltenskodex noch eine Compliance-Management-Erklärung sollten Sie in Diskussion mit Ihrer Geschäftsleitung ein solches Papier formulieren, auch wenn hierfür nach Ihrer Unternehmensgröße und/oder dem Risikogehalt der Geschäfte Ihres Hauses dafür keine zwingende Notwendigkeit besteht.
  • Haben Sie bereits eine Compliance-Management-Erklärung, dann ergänzen Sie diese ggf. um Verweise auf die hohe Bedeutung der Einhaltung der internen Richtlinien zum Kredit- bzw. Eigengeschäft und die Risikostrategie des Instituts und bezeichnen Sie die Erklärung zugleich als Verhaltenskodex im Sinne von MaRisk AT 5.

Prüfung von Auslagerungen durch die Interne Revision

Jan H. Meyer im Hagen, CIA Director Interne Revision der Sparkasse Paderborn-Detmold

Vorteile kurzer Video-Schulungen – Beispiel DSGVO

Christian Maull, Spezialist Compliance, FCH Compliance GmbH

MiFID II, Unfallverhütungsvorschriften, Datenschutz, Verhalten im Brandfall, die neuesten Produkte in einer Vertriebsschulung u. v. m. Die Zahl der (Pflicht-)Schulungen für Mitarbeiter nimmt stetig zu. Häufig kommt es dabei allein schon bei der Planung der Veranstaltungen zu Problemen. Bis ein Termin, an dem alle Beteiligten verfügbar sind und ein passender, ggf. sogar externer Referent gefunden wurde vergehen teils Wochen. Dies ist nicht nur anstrengend für Schulungsteilnehmer und Personalbetreuer, sondern auch für Referenten oder interne Beauftragte, die angehalten sind Schulungen durchzuführen.

BUCHTIPPS

Daumann/Leicht (Hrsg.), Arbeitsbuch Regulatorische Compliance,
2. Aufl. 2018.

Lindner, Erfolgsfaktor Humankapital bei der Fusion von Banken, 2018.

Kuhn/Thaler (Hrsg.), BankPersonaler-Handbuch, 2016.

Warum Präsenzveranstaltungen?

Die Verbreitung von Informationen an einen Adressatenkreis in einer Präsenzveranstaltung, an der alle Beteiligten anwesend sind hat Tradition. Präsenzschulungen sind sinnvoll, ermöglichen direkte Rückfragen und bieten Chancen, Netzwerke zu pflegen. Für kurze Veranstaltungen, deren Inhalte nicht in Form einer Mail oder einem Memo verbreitet werden können, ist der Aufwand teilweise jedoch nicht angemessen. Häufig wird übersehen, dass es Alternativen zu klassischen Präsenzschulungen oder schriftlichen Informationsmitteln gibt.

Referenten oder Beauftragte bereiten einschlägige Schulungsinhalte in Präsentationsform vor und referieren vor einem festgelegten Teilnehmerkreis. Dabei wird übersehen, dass mit einer gewissen technischen Ausstattung, bei gleichbleibendem Aufwand für den Referenten flexible Schulungen für skalierbare Teilnehmerkreise durchführbar sind.

SEMINARTIPP

 

DSGVO – Handlungsfelder und Umsetzung im Personalbereich, 12.11.2018, Frankfurt/M.

 

Sensibilisierungsmaßnahmen durch Datenschutzbeauftragte

Datenschutzbeauftragte, Geldwäschebeauftragte oder auch WpHG-Compliance-Beauftragte sind verpflichtet Mitarbeiter eines Unternehmens hinsichtlich der jeweiligen rechtlichen Belange zu sensibilisieren. Gerne werden hier gruppen-, abteilungs- oder sogar unternehmensweite Meetings einberufen, um die Botschaft zu überbringen. In regelmäßigen Abständen kann dies sogar sinnvoll sein. Der gleiche Effekt, nämlich die fachliche Information der Adressaten, kann jedoch auch über eine Videoschulung erfolgen. Mit geringem technischem Aufwand können Mitarbeiter flexibel die Weiterbildung vornehmen, die Dokumentation der Maßnahme kann, wenn gewünscht, technisch hinterlegt werden und die organisatorischen Grenzen beschränken sich auf ein Mindestmaß. Technisch können analog zu Präsenzveranstaltungen Möglichkeiten implementiert werden, die den Teilnehmern die Chancen für Fragen an den/die Referenten ermöglichen.

PRAXISTIPPS

  • Definieren Sie genau das Thema und den erforderlichen Teilnehmerkreis
  • Prüfen Sie, ob eine Präsenzveranstaltung unter den vorgegeben thematischen und organisatorischen Rahmenbedingungen zwingend notwendig ist
  • Investieren Sie in eine hard- und softwaretechnische Grundausstattung bzw. suchen Sie einen Partner, der Sie dabei unterstützen kann
  • Fragen Sie schon bei der Entscheidung über die Zusammenarbeit mit einem externen Partner, z.B. bei den Themen Arbeitssicherheit, IT-Sicherheit oder Datenschutz, ob er über diese technischen Möglichkeiten verfügt bzw. ob diese bereits im Angebot berücksichtigt worden sind.

Herausforderung Kostengünstiges Beauftragtenwesen

Pascal Ritz, Head of Compliance, Abteilungsleiter Beauftragtenwesen, PSD Bank Berlin-Brandenburg eG

Die Ausgestaltung von aufbau- und ablauforganisatorischen Rahmenbedingungen hat erhebliche Auswirkungen auf die Kostenstruktur und Effizienz der Beauftragtenprozesse.

Viele Synergien bleiben in den Instituten ungenutzt, da die einzelnen aufsichtsrechtlichen Beauftragtenfunktionen nur themenspezifisch betrachtet werden. Die Aufgabe dieser „Silo“-Denkweise führt durch eine angemessene Verwertung von Informationen, Analysen und Schlussfolgerungen anderer Funktionen zu einer Minimierung der Kapazitätserfordernisse ohne Verstöße gegen aufsichtsrechtliche Anforderungen.

Konzentration der Beauftragtenfunktionen

Das Aufsichtsrecht ermöglicht eine vielfältige Kombinationsmöglichkeit von Beauftragtenfunktionen. Hieraus ergeben sich vielfältige Gestaltungsmöglichkeiten für die aufbauorganisatorische Implementierung der aufsichtsrechtlichen Anforderungen.

Zusätzlich ermöglicht eine Personenidentität von Beauftragten eine Reduzierung von Schnittstellen und einzubindenden Personen. Hieraus resultiert regelmäßig eine Reduzierung der Teilnehmer in Abstimmungsverfahren. Neben einer Optimierung der Kapazitätsauslastung ist auch die Erhöhung der Umsetzungsgeschwindigkeit von Maßnahmen (z. B. aus dem Neuprodukte-Prozess oder den Anpassungsprozessen nach AT 8.2 MaRisk) positiv hervorzuheben.

Aus der Konzentration der Beauftragtenfunktionen heraus – die im Wesentlichen nur durch die Unvereinbarkeit von Datenschutz und Geldwäsche limitiert wird – kann auch eine einheitliche Berichtsstruktur oder gar eine Reduzierung der Berichtsanzahl erfolgen.

 SEMINARTIPP

Kostengünstige(re) Beauftragtenprozesse, 06.12.2018, Köln.

 

 

Verzahnung von Risikoanalysen mit dem Management Operationeller Risiken

Häufig werden im Institut vorhandene Daten nicht optimal genutzt. Dieses ist auch bei den Erkenntnissen aus dem Selfassessment der Operationellen Risiken regelmäßig zu beobachten. Die unter Beteiligung der Prozess- und Fachbereichsverantwortlichen erstellte Einschätzung der Risikosituationen kann eine wichtige Grundlage für die Risikoanalyse der Beauftragtenfunktion darstellen. Da die Compliance-Risiken im Regelfall operationeller Natur sind, kann das Selfassessment eine Reflexion der Risikoeinschätzung der Beauftragtenfunktionen erfüllen.

Selbstverständlich profitiert der Manager der Operationellen Risiken auch von den Beauftragten. Eine Rückspiegelung der Ergebnisse aus den Kontroll- und Überwachungshandlungen in die (Vorbereitung) des nächsten Selfassessments kann die Validität der ermittelten Ergebnisse verbessern.

Wichtig in diesem Zusammenhang ist die Verwendung eines einheitlichen Sprachgebrauches. Gleichartige Sachverhalte bedürfen einer einheitlichen Definition. Dieses gilt auch für die Bestimmung von Wesentlichkeiten.

Bemerkenswert ist in diesem Zusammenhang die offensichtliche Leidensfähigkeit der Berichtsempfänger. Traditionell wird von jeder Beauftragtenfunktion eine andersartige Definition der Wesentlichkeit verwendet. Somit ist die Herleitung von wesentlichen Kontrollfeldern oder Risiken für den Berichtsleser ohne weitere Erläuterungen nicht immer zweifelsfrei möglich. Ein Mehrwert in der Steuerung der Compliance-Risiken entsteht somit aus der Einheitlichkeit der Vorgehensweise und Definition.

Vermeidung von Doppelarbeiten durch eine zentrale Risikoanalyse

Der im Zeitablauf unterschiedliche Einführungszeitpunkt von Beauftragtenfunktionen führte zur Implementierung von unterschiedlichen Herangehensweisen und Darstellungen der Risikoanalysen.

Durch die gemeinsame Erstellung einer zentralen Risikoanalyse für alle aufsichtsrechtlich geforderten Beauftragtenfunktionen sind erhebliche Synergienutzungen möglich. So ist es ausgeschlossen, dass identische Sachverhalte in den jeweiligen Beauftragtenfunktionen zu unterschiedlichen Bewertungen – und damit zu unterschiedlichen Schlussfolgerungen in Bezug auf Kontroll- und Überwachungshandlungen – führen. Auch die Durchführung von gleichen Kontrollhandlungen durch unterschiedliche Beauftragte wird hierdurch ausgeschlossen.

Weiterhin wird das für die Risikokultur erforderliche einheitliche Risikoverständnis durch die gemeinsame Erstellung einer Risikoanalyse gefördert.

PRAXISTIPPS

  • Einheitliche Begrifflichkeiten und Definitionen führen zu einer unmissverständlichen Kommunikation im Institut.
  • Unabhängig von der aufsichtsrechtlichen Notwendigkeit zur Implementierung einer zentralen Compliance-Funktion führt die organisatorische Zusammenfassung von Beauftragtenfunktionen zu Synergie-Effekten.
  • Einheitliche Berichtsstrukturen oder gar eine Zusammenfassung von Berichten reduziert Redundanzen und erhöht die Steuerungswirkung.
  • Die Nutzung von erstellten Analysen und Bewertungen anderer Fachstellen durch die Beauftragten führt zu einem Mehrwert in der Beurteilung von Risikosachverhalten.
  • Eine zentrale Risikoanalyse unterstützt die Risikokultur im Institut und verhindert gleichartige Kontrollhandlungen durch mehrere Beauftragtenfunktionen.

DSGVO-Studie: Verbraucher vertrauen Banken und Sparkassen beim Thema Datenschutz am stärksten

Zum Geltungsbeginn der EU-Datenschutzgrundverordnung am 25.05.2018 überwiegt das Vertrauen der Verbraucher in Finanzdienstleister, Krankenkassen und Behörden, wenn es um den Datenschutz geht.

Geldinstitute belegen hier den Spitzenplatz: 72 % der Befragten vertrauen ihnen, davon rd. 42 % „stark” bzw. „sehr stark”. Bei den jungen Bankkunden unter 30 Jahren sind dies sogar rd. 47 %. Auf den Plätzen folgen Krankenkassen mit rd. 40 % sowie Staat und Behörden mit 34 % „starkem” bzw. „sehr starkem” Vertrauen.

Dem gegenüber steht eine große Skepsis bei Anbietern aus der digital economy, also Technologie- und Internetkonzernen. Nicht einmal die Hälfte der Verbraucher vertraut Online-Händlern oder deutschen Technologiekonzernen beim Datenschutz. Bei ausländischen Technologie-Konzernen ist es nicht einmal jeder Dritte. Und nur gut 20 % der Verbraucher trauen hier sozialen Netzwerken. Dies sind u. a. die Ergebnisse der aktuellen „Datenschutz-Studie 2018″ der Unternehmensberatung Berg Lund & Company.

Vertrauensvorsprung gerade bei sensiblen Finanzdaten

Der im Quervergleich Spitzenplatz für Banken und Sparkassen ist dabei auch zwingend geboten, hüten diese Institute doch die aus Kundensicht sensibelsten Daten: Finanzdaten – beispielsweise Kontostände oder Transaktionen – werden von den befragten Verbrauchern als mit Abstand am schutzwürdigsten eingestuft. Fast drei Viertel der Befragten geben an, dass der Schutz dieser Daten für sie „zwingend erforderlich” sei. Weit vor Personalien (46 %) oder gar Hobbies (25 %).

Banken genießen trotz der Finanzkrisen der Vergangenheit ein hohes Vertrauen der Kunden. Gerade bei den sensiblen Finanzdaten sei das einerseits Verpflichtung, andererseits aber auch ein klarer Wettbewerbsvorteil, so der Senior Partner bei Berg Lund & Company.

Denn spätestens durch die Umsetzung der EU Zahlungsdiensterichtlinie PSD2 Anfang dieses Jahres ist ein Kampf um den Zugang zum Kunden entbrannt. Neue Wettbewerber, wendige Fintech-Start-ups oder Internetriesen, bieten den Kunden innovative und bequeme Finanzlösungen. Die neuen digitalen Wettbewerber werden die bestehende Vertrauenslücke schließen müssen, z. B. durch Kooperationen mit etablierten Finanzhäusern. Umgekehrt können Banken und Sparkassen den Vertrauensvorschuss und ihre große Kundenbasis nutzen, um neue Geschäftsmodelle mutig anzugehen. Dabei müssen die Häuser sensibel und dem Kunden gegenüber transparent vorgehen. Noch sind diejenigen, die dem Datenschutz bei Finanzdienstleistern wenig bis gar nicht trauen, mit rd. zehn Prozent eine kleine Minderheit. Und das sollte auch so bleiben.

Sparkassen-Kunden mit höherem Vertrauensvorschuss

Beim allgemeinen Vertrauen in die Finanzinstitute zeigen sich unter den Kunden der einzelnen Anbieter nur leichte Unterschiede. Überdurchschnittlich ausgeprägt ist es bei Kunden, die bei einer Sparkasse ihr wichtigstes Konto führen. Hier bekunden 44 % ein „starkes” oder „sehr starkes” Datenschutz-Vertrauen, bei allen übrigen sind dieses im Schnitt 39 %.

Die besondere Bedeutung ihrer Finanzdaten gilt für die Kunden unabhängig von der Form des eigenen Bankinstituts und liegt insgesamt auf sehr hohem Niveau. Lediglich Kunden von Direktbanken – also Häusern ohne eigenes Filialnetz – sind etwas weniger streng, wenn es um den Schutz ihrer Daten geht (nur 68 % sehen Finanzdaten als „zwingend” zu schützen an, gegenüber 72 % bei den Kunden anderer Institute).

Und das, obwohl Direktbankkunden die Regelungen der Datenschutzgrundversorgung überdurchschnittlich gut kennen: Immerhin rd. 43 % haben sich mit der DSGVO beschäftigt. Bei den anderen Banken hat dies bislang nur einer von drei Kunden getan.

Vertrauen rechtfertigen und Mehrwerte schaffen

Vertrauen müsse man immer wieder aufs Neue erarbeiten, gerade wenn es im digitalen Zeitalter um das Thema Datenschutz geht, so der Senior Partner der Berg Lund & Company. Banken und Sparkassen werden von ihren Kunden gerne eine Einwilligung auch für innovative Konzepte erhalten, solange deren Vorteil klar erkennbar ist. So können z. B. besonders datengeschützte Angebote das Leistungs- und Vertrauensversprechen der Geldinstitute begleiten. Digitale Vertragsmanager zur Verwaltung und Optimierung von Verträgen etwa oder sichere Cloud-Speicher passen zum Image der Banken – und immerhin jeder Dritte, der solche Angebote derzeit kostenlos nutzt, würde dafür eine monatliche Gebühr bezahlen.

 

Arbeitstreffen No. 9 – 08.03.20018 – Deutsche Börse AG, Börsenlatz 4, 12.00–17.00 Uhr

Martin Daumann, Frankfurter Arbeitskreis, Compliance & Governance

Agenda

  • 12.00 Uhr Gemeinsamer Lunch – Blockhouse
  • 13.30 Uhr Führung Historische Börse/Börsensaal
  • 14.00 Uhr TOP James H. Freis Jr., CCO Gruppe Deutsche Börse: „Market Integrity“
  • 14.30 Uhr TOP Gastvortrag/Austausch Elisabeth Roegele, BaFin-Exekutivdirektorin
    Wertpapieraufsicht/Asset-Management: „MiFID II“
  • 15.45 Uhr Coffee-Break
  • 16.00 Uhr TOP Impulsvortrag Florian Gerhard, Datenschutzbeauftragter
    Aareal Bank AG: „DSGVO“
  • 16.45 Uhr TOP Bildung einer Unter-Arbeitsgruppe „Auslagerung“
  • 16.50 Uhr TOP Verschiedenes/Organisatorisches
  • 17.00 Uhr Ausklang/Gespräche bei Fingerfood

Gemeinsamer Lunch – Block-house

Wie schon in der Vergangenheit nutzten zahlreiche Mitglieder des Arbeitskreises die Gelegenheit zu einem gemeinsamen Lunch vor dem eigentlichen Beginn des Arbeitskreistreffens.

Abseits der Tagesordnung wurden so die letzten Erfahrungen, Nachrichten und Tendenzen der Compliance-Community in ungezwungener Atmosphäre ausgetauscht.

 

Führung historische Börse/Börsensaal

Es folgte ein sehr interessanter Vortrag über die historische Börse inklusive des Besuchs des Handelsraums.

(Herzlichen Dank an dieser Stelle für diesen Rundgang, der bei vielen von uns lebhafte Erinnerungen an vergangene Phasen der eigenen Ausbildung hervorrief.)

TOP Key-Note: James H. Freis Jr., CCO Gruppe Deutsche Börse:
„Market Integrity“

James H. Freis Jr. eröffnete die neunte Arbeitssitzung unseres Arbeitskreises mit einsichtsvollen Ausführungen über die besondere Bedeutung des Themas Market Integrity. Er verordnete die Ursprünge des Begriffs der Compliance im US-Amerikanischen Kleinanlegerschutz der 30er Jahre, schlug den Bogen über die veränderte Welt nach Lehmann bis hin zu den Herausforderungen einer Börsenwelt, in der die DAX 30-Unternehmen nur 22 % ihres Umsatzes in Deutschland machen.

Aufgrund dieser steigenden Internationalität wird ein „neues Denken“ immer wichtiger. In dieser Welt ist für den Fortbestand und Wachstum des (Finanz-)Marktes Transparenz und Integrität gleichbedeutend mit Compliance und der zentralen Frage „Was will der Marktteilnehmer wissen“.

Da Freis hierin ein gemeinsames Ziel mit der Aufsicht sieht, bahnte er so die Überleitung zum Vortrag von Frau Elisabeth Roegele von der BaFin an und schloss mit dem Zitat aus der BaFin-Broschüre „Die BaFin stellt sich vor“:

„Ziel der Aufsicht ist es, die Funktionsfähigkeit, Stabilität und Integrität des deutschen Finanzmarktsystems zu sichern.“

Elisabeth Roegele, BaFin-Exekutivdirektorin Wertpapieraufsicht/Asset-Management: „MiFID II“

Entsprechend dieses Credos folgte ein breiter, offener und konstruktiver Erfahrungsaustausch zwischen Elisabeth Roegele und den Mitgliedern des Arbeitskreises.

In diesem wurden u. a. haftungsrechtliche Verschärfungen (Stichwort: Annäherung an das angel-sächsische Recht), Tendenzen des WpHG (Stichwort: Weiter wachsende Bedeutung des EU-Rechts) wie auch die außer-deutsche Praxis zur direkten Prüfung durch die Aufsicht (also ohne Einschaltung von WPGs) angesprochen. Bzgl. des letzten Themas zeigte sich zum Erstaunen einiger eine klare Präferenz zur direkten Prüfung durch die Aufsicht, da mehr Klarheit in den Anforderungen gewünscht wird.

Diese wird gerade auf dem Feld der MaRisk-Compliance vermisst, da seitens der Aufsicht 2014 eine etwa zwei-jährige Beobachtungsphase angekündigt wurde, die letzte Novellierung der MaRisk jedoch nicht für weitere Konkretisierungen (z. B. zum Thema Kontrollen) genutzt wurden.

 

Zum Thema PRIIPS-VO wurden Anfangsschwierigkeiten und unterschiedliche Vorgehensweisen in den Häusern besprochen.

Abschließend wurde das Thema der regularienbedingten Aufwände thematisiert. Eine systematische Auswertung hierzu existiert bislang nicht – für eine schlüssige Argumentation wären jedoch konkrete Daten- und Zeitreihen über die drei Säulen des Bankgewerbes hinweg erforderlich. Etwa eine Befragung von Kunden und Beratern bzgl. Situation vor/nach 2018 (MIFID II):

1. Geht die WP-Beratung zurück?

2. Ziehen sich die Banken/Sparkassen aus der Fläche zurück?

3. Gibt es weniger (oder abgebrochene) telefonische Beratungen?

4. Scheuen sich die Berater wg. der Regularien davor?

Impulsvortrag Florian Gerhard, Datenschutzbeauftragter Aareal Bank AG: „DSGVO“

In einem weiteren TOP referierte Florian Gerhard kenntnisreich bisherige Erfahrungen mit der DSGVO, wobei er besonders herausstellte, dass es Priorität eins habe, sich zunächst den Hochrisikofeldern zuzuwenden – dies müssten nicht immer Bank- und Kontodaten sein.

Weiter wies er darauf hin, dass die BaFin Cloud-skeptisch sei, weshalb dieses Thema gerade in Prüfungen beständig abgefragt werde. Cloud = (wesentliches) Auslagerungsthema; Mitte 2018 soll eine Orientierungshilfe der BaFin zum Thema Cloud erscheinen.

Gerhard rundete seinen Vortrag durch einige konkrete Muster aus dem Datenschutz ab, die dankenswerterweise im Mitgliederbereich zum Download bereitgestellt werden dürfen.

Bildung einer Unter-Arbeitsgruppe „Auslagerung“

Abschließend wurde eine Arbeitsgruppe „Auslagerung“ gegründet, deren Ziel es ist, sich über die Steuerungs- und Prüfungspraxis bei Auslagerungssachverhalten auszutauschen. Darüber hinaus möchten die Teilnehmer Redundanzen, Überschneidungen und nicht zielführende Funktionalitäten identifizieren, die solche Auslagerungen übermäßig belasten, ohne materiellen Mehrwert zu bieten.

Die neue Arbeitsgruppe mit etwa acht bis zwölf Mitgliedern wird von Matthias Rozok (dwpbank) initiiert und organisiert. Teilnehmer aus der DZ Bank, der LBBW, Goldmann Sachs und der Bank für Sozialwirtschaft haben ihre Mitwirkung angekündigt. Bei Interesse an der Mitarbeit, an der Erarbeitung von Vorschlägen wenden sich Interessenten gerne an Matthias Rozok (matthias.rozok@dwpbank.de oder 069/5099-3131).

Organisatorisches

Abschließend wurde noch die bevorstehende Umstellung des Mitgliederbereiches der Homepage thematisiert. Das nächste Treffen findet in etwa drei bis vier Monaten statt.

Bisherige Themen sind „Non-Financial Risk“ und „Haftungsminderung durch Compliance-Management Systeme“. Weitere Vorschläge und Anregungen sind herzlich willkommen.

Wir werden über die weiteren Entwicklungen berichten und die Mitglieder rechtzeitig einladen.

Unser Dank gilt den Referenten des heutigen Tages für inspirierende Einblicke, detailreiche Darstellungen sowie den offenen Meinungsaustausch. Ebenso danken wir der Deutschen Börse für die Bereitstellung des wunderbaren Tagungsortes.

 

Sachkunde des Mitarbeiters in der Anlageberatung

Ende der Übergangsfrist für die Vermutungsregel zum 03.07.2018 – erforderliche Überprüfung der praktischen Anwendung gemäß § 1 Abs. 2 WpHGMaAnzV

Manuel Regent, Compliance-Beauftragter, Internationales Bankhaus Bodensee AG

Gemäß der Verordnung über den Einsatz von Mitarbeitern in der Anlageberatung als Vertriebsmitarbeiter, in der Finanzportfolioverwaltung als Vertriebsbeauftragte oder als Compliance-Beauftragte und über die Anzeigepflichten nach § 87 des Wertpapierhandelsgesetzes (WpHGMaAnzV) gelten im Hinblick auf die relevanten Mitarbeitergruppen entsprechende Sachkundeanforderungen. Neben der Sachkunde sind auch die bisher schon bestehenden Anforderungen zur Zuverlässigkeit und zur Registrierung im Mitarbeiterportal der BaFin relevant.

 

Die entsprechende Vermutungsregel, dass für am 03.01.2018 bereits tätige Mitarbeiter des jeweiligen Instituts das Bestehen der Sachkunde vermutet werden darf, endet zum 03. Juli 2018. Insofern könnte sich für das eine oder andere Institut kurzfristiger Handlungsbedarf ergeben:

Sachkunde des Mitarbeiters in der Anlageberatung – Theoretische Kenntnisse

Der erste Teil der erforderlichen Sachkunde des § 1 WpHGMaAnzV umfasst insbesondere Kenntnisse in folgenden Sachgebieten: Kenntnisse zu Kundenberatung, den rechtlichen Grundlagen der Anlageberatung bestehend aus dem sog. Vertragsrecht und dem für die Anlageberatung relevanten Aufsichtsrecht sowie fachlichen Grundlagen (insb. zu Funktionsweise des Finanzmarktes, Merkmale/Risiken/Funktionsweise/Wertentwicklung/Bewertungsgrundsätze von Finanzinstrumenten inkl. steuerliche Auswirkungen, Kosten und Gebühren, Grundzüge des Portfoliomanagements, Marktmissbrauch und Geldwäscheprävention). Diese theoretischen Kenntnisse sind nicht neu, lediglich die fachlichen Grundlagen wurden im Zusammenhang mit MiFID II näher spezifiziert.

SEMINARTIPPS

Compliance-Tagung 2018, 14.–15.11.2018, Berlin.

WpHG und MaComp AKTUELL!, 26.11.2018, Frankfurt/M.

 

 

Sachkunde des Mitarbeiters in der Anlageberatung – Praktische Anwendung

Das Vorliegen der Sachkunde in der Anlageberatung, setzt neben den beschriebenen Kenntnissen des § 1 WpHGMaAnzV jetzt auch deren praktische Anwendung voraus. Konkret bedeutet dies, dass für den betreffenden Mitarbeiter nachgewiesen werden muss, dass er in der Lage ist, die Anlageberatung zu erbringen.

Vor diesem Hintergrund bietet sich für die notwendige Erstüberprüfung vor dem 03.07.2018 folgende Vorgehensweise an:

In einem ersten Schritt sollte eine Übersicht der durchgeführten Anlageberatungen (Geeignetheitserklärungen) für den Zeitraum Januar 2018 bis Juni 2018 pro Anlageberater erstellt werden. Darüber hinaus ist von Seiten des Instituts ein entsprechender Referenzwert festzulegen. Der Referenzwert sollte festlegen, wie viele Anlageberatungen ein Mitarbeiter pro Monat durchgeführt haben sollte bzw. wie viele Geeignetheitserklärungen ein Mitarbeiter pro Monat abgeschlossen haben sollte, damit die praktische Anwendung bestätigt werden kann – beispielsweise mindestens 5 Anlageberatungen/Geeignetheitserklärungen pro Anlageberater und Monat. Neben der Anzahl sollte jedoch auch zwingend die entsprechende Qualität berücksichtigt werden.

Im optimalen Fall kann die praktische Anwendung vor dem Hintergrund der ermittelten Anlageberatungen bestätigt werden. In diesem Fall gilt der zusätzliche Teil der Anforderungen zur Sachkunde als erfüllt.

Selbstverständlich bemisst sich der Umfang der praktischen Sachkundeprüfung grundsätzlich an der Komplexität („Proportionalitätsgrundsatz“). Ob ein Anlageberater die erforderliche Sachkunde aufweist, bedarf letzten Endes immer einer Einzelfallprüfung.

PRAXISTIPPS

  • Übersicht der gemeldeten Anlageberater und Vertriebsbeauftragten zum Stichtag
  • Überblick über die durchgeführten Anlageberatungen im 1. Halbjahr 2018
  • Festlegung einer Referenzgröße von Anlageberatungen pro Mitarbeiter pro Monat
  • Nach entsprechender Überprüfung und Dokumentation: Auswirkungen auf das Beraterregister im MVP Portal der BaFin berücksichtigen