04.05.2022 | Emanuel Gedeon
Die Implikationen des Ukraine-Kriegs für Finanzunternehmen
Strategien zur Bekämpfung von Finanzkriminalität auf dem Prüfstand
Als Reaktion auf die russische Invasion in der Ukraine hat die internationale Gemeinschaft, einschließlich des Rates der EU, weitreichende restriktive Maßnahmen gegen die russische Föderation sowie gegen Belarus beschlossen, die umfassenden Handlungsbedarf im Finanzsektor erfordern. Seit Februar 2022 hat die EU fünf Sanktionspakete verhängt, darunter gezielte restriktive Maßnahmen gegen Einzelpersonen, Finanzsanktionen und diplomatische Maßnahmen – ein sechstes Paket ist zurzeit in Arbeit. Im Einzelnen geht es bei den EU-Sanktionen gegen Russland weitestgehend um:
- Finanzsanktionen: zum Beispiel Verbot jeglicher Form der Kreditvergabe sowie des Ankaufs von Wertpapieren, die von bestimmten russischen Banken und der russischen Regierung (einschließlich der Zentralbank) ausgegeben wurden; Ausschluss einer Reihe russischer Banken aus dem internationalen Zahlungssystem SWIFT; Verbot des Verkaufs auf Euro lautender Banknoten an natürliche oder juristische Personen, Organisationen oder Einrichtungen in Russland; Verbot der Einnahme von Einlagen russischer Staatsangehörigen oder in Russland ansässiger natürlicher Personen oder von in Russland niedergelassenen juristischen Personen, Organisationen oder Einrichtungen, wenn sie den Wert von 100.000 EUR übersteigen; Verbot der Erbringung hochwertiger Krypto-Dienstleistungen für Russland
- Sektorale Sanktionen: Beschränkungen für Schlüsseltechnologien, unter anderem von Halbleitern und High-Tech-Gütern; Verbot der Ausfuhr von bestimmten Erdölveredelungstechnologien; Weitreichendes Verbot von Neuinvestitionen im gesamten russischen Energiesektor; Beschränkungen für den Verkehrssektor hinsichtlich Güter und Dienstleistungen für die Luft- und Raumfahrt (inklusive Luftfahrzeuge), sowie hinsichtlich Güter der Seeschifffahrt und Funkkommunikationstechnologien; Vollständiges Verbot der Tätigkeit russischer (und belarusischer) Speditionen in der EU.
- Personenbezogene Sanktionen: Die Liste sanktionierter Personen beträgt mittlerweile knapp 1.100 Personen und 80 Einrichtungen. Diese Sanktionen erstrecken sich auch auf Unternehmen, die von diesen Personen kontrolliert werden, beziehungsweise wo diese Personen Führungspositionen innehaben. Außerdem ist es grundsätzlich verboten, in Russland niedergelassene juristische Personen, Organisationen oder Einrichtungen, die sich zu über 50 Prozent in öffentlicher Hand oder unter öffentlicher Kontrolle befinden, unmittelbar oder mittelbar zu unterstützen, einschließlich durch Finanzmittel und Finanzhilfen.
- Warenbezogene Sanktionen: Verschärfung der bestehenden Ausfuhrbeschränkungen für Güter mit doppeltem Verwendungszweck (sogenannte Dual-Use Güter) – hierzu gehören beispielsweise Drohnen und Drohnen-Software, Software für Verschlüsselungsgeräte, Halbleiter und modernste Elektronik; Einfuhrverbot einer ganzen Reihe von Gütern wie bspw. bestimmter Stahlerzeugnisse, russischer Kohle, Zement, Gummiprodukte, Holz, Spirituosen, sonstige alkoholische Getränke und erlesene Meeresfrüchte; Ausfuhrverbot für Luxusgüter, sowie für Güter aus den Bereichen Quanteninformatik, moderne Halbleiter, Präzisionsgeräte, Transportmittel und Chemikalien, Katalysatoren für Raffinerien, Flugturbinenkraftstoff und Kraftstoffadditiven, etc.
- Sanktionen, die sich auf die Territorien der ukrainischen Regionen Donezk und Luhansk beziehen: Verboten sind sämtliche EU-Einfuhren von Waren mit Ursprung in diesen Gebieten sowie die dazugehörige Bereitstellung von Finanzmitteln und Versicherungen. Verboten ist auch der Erwerb von Beteiligungen an Immobilien oder Unternehmen sowie weiteren bestimmte Investitionen in den vorgenannten Gebieten sowie die Ausfuhr bestimmter Güter in diese Gebiete.
Darüber hinaus wurden auch gegen Belarus eine Reihe von Sanktionen erlassen. Dazu gehören der Ausschluss aus dem SWIFT-Zahlungsverkehr (ähnlich wie bei Russland) und die Ausweitung bestehender Beschränkungen im Finanzsektor gemäß den bereits geltenden Sanktionen gegen Russland. Es wurden außerdem Verbote für die Einfuhr von Kali, Holz, Zement, Eisen, Stahl und Gummierzeugnisse verhängt sowie Verbote für die Ausfuhr von bestimmten Maschinen, Gütern mit doppeltem Verwendungszweck sowie sonstige Präzisionsanlagen und -technologie mit doppeltem Verwendungszweck, die Belarus in den Bereichen Militär, Technologie, Verteidigung und Sicherheit weiterhelfen könnten. Schließlich wurden restriktiver Maßnahmen gegen ranghohe Angehörige der belarusischen Streitkräfte verhängt.
Herausforderungen für Finanzinstitute im Allgemeinen
Die Umsetzung von Sanktionen ist zwar eine Routineaktivität bei Banken. In der aktuellen Lage erzeugen die sehr umfangreichen Sanktionspakete allerdings eine besondere Komplexität, die Daten, Technologiesysteme und operative Kontrollen umfasst. Während der unmittelbare Fokus der meisten Finanzunternehmen auf dem Screening zur Identifizierung sanktionierter Entitäten (zum Beispiel natürliche oder juristische Personen) liegt, ist ein koordinierter Ansatz über Know-your-Customer-, Onboarding- und Transaktionsüberwachungsfunktionen erforderlich, um sicherzustellen, dass keine Geschäfte mit sanktionierten Einheiten oder sanktionierten Waren durchgeführt werden.
Der umfassende Charakter dieser Sanktionen stellt die Fähigkeit der Finanzinstitute auf die Probe, konsistente Maßnahmen über Abteilungen und Gerichtsbarkeiten hinweg anzuwenden. Große Unternehmen, die internationale Märkte bedienen, müssen bestätigen, dass sie die unzähligen Sanktionen einhalten, die von den Ländern der Europäischen Union, den USA, Großbritannien, Japan und anderen Ländern weltweit verhängt wurden. Institute, die in mehreren Geschäftszweigen tätig sind, müssen sich außerdem neben dem Bankwesen auch an spezifische Sanktionen halten, die Versicherungs- und Kapitalmärkte betreffen.
Im Allgemeinen müssen Finanzinstitute ungeachtet ihrer Größe oder ihres Geschäftsfeldes sicherstellen, dass sie Zahlungen und Überweisungen überwachen können und keine Geschäfte mit sanktionierten Entitäten zulassen. Dabei ist die Aktualisierung der einschlägigen Sanktionslisten die einfachste Aufgabe. Finanzinstitute müssen nun insbesondere ihre Kundendaten überprüfen, um wirtschaftliche Eigentümer (auch über komplexe wirtschaftliche Strukturen wie mehrstufige, grenzüberschreitende Eigentumsverhältnisse und Beziehungen zu Briefkastenfirmen hinweg) zu identifizieren. Die Tatsache, dass nicht zuletzt russische Oligarchen verschachtelte Finanzstrukturen aufgebaut haben, um die Herkunft beziehungsweise die Verwendung von Vermögenswerten zu verschleiern, erhöht zusätzlich die Komplexität. Wohlhabende Investoren sind seit langem in der Lage, bedeutsame Vermögen zu bewegen, indem sie beispielsweise von Briefkastenfirmen über westliche Korrespondenzbanken heimlich Geld bei prominenten Hedge-Fonds und Private-Equity-Firmen platzieren.
Eine besondere Herausforderung für Finanzunternehmen ist auch die Identifizierung von Dual-Use-Gütern. Banken und Zahlungsdienstleister müssen in der Lage sein, Zahlungen oder Finanzierungen im Zusammenhang mit verbotenen Gütern und Technologien zu erkennen, zu stoppen, zu untersuchen und gegebenenfalls schnell Verdachtsmeldungen an die zuständigen Behörden abzugeben beziehungsweise diese Zahlungen abzulehnen. Die Liste von Dual-Use-Gütern ist lang und es bedarf viel Fachwissen und Expertise, diese im Geschäftsalltag zu erkennen. Dazu gehören beispielsweise globale Positionsbestimmungssysteme (GPS), Mikrochips, elektronische Komponenten, Software, Luftfahrttechnik, bestimmte chemische und biologische Werkzeuge, Materialien zur Herstellung von Atomkraft und Atomwaffen aber auch einfachere Produkte wie Rohre und Kugellager.
Noch vor kurzem ist Deutschland unter Druck geraten, nachdem Berichte enthüllt haben, wie deutsche Teile in russische Militärdrohnen gelangten und wie die Berliner Regierung trotz früherer EU-Exportkontrollen Ausfuhrgenehmigungen für Dual-Use-Produkte erteilt hatte. Während Berlin bislang die Auffassung vertrat, es müsse "konkrete Anzeichen" für ein Risiko einer militärischen Nutzung eines Produkts sehen, bevor es eine Ausfuhrgenehmigung verweigere, hat die Regierung inzwischen erklärt, dass die EU-Vorschriften strikt angewendet werden. Das deutsche Außenministerium hat bezüglich der vierten Runde der EU-Sanktionen mitgeteilt, diese ziele darauf ab, „[russischen] Zugang zu westlichem Know-how und Produkten zu verhindern“, und hob das Exportverbot für alle Güter mit doppeltem Verwendungszweck hervor. Damit werden auch die Aufsichtsbehörden künftig genauer prüfen inwieweit Finanzunternehmen diese Anforderungen erfüllen.
Darüber hinaus müssen Finanzunternehmen auch beachten, dass sanktionierte Entitäten möglicherweise auch versuchen werden, die gegen sie auferlegten Sanktionsmaßnahmen zu umgehen. Damit ist es erforderlich, die Prozesse zur Bekämpfung der Finanzkriminalität um Typologien zu ergänzen, die berücksichtigen, dass sanktionierte Entitäten zur Verschiebung von Vermögenswerten andere Namen verwenden, fiktive Unternehmen gründen oder neue Plattformen, wie digitale Vermögenswerte und Kryptowährungen nutzen können. Dazu müssen zum einen die in den KYC- sowie in den Transaktionsüberwachungstools verwendeten Indizienmodelle entsprechend angepasst werden. Zum anderen ist allerdings auch zu beachten, dass die entsprechenden Screenings ohne eine weitestgehende Automatisierung (zum Beispiel Automatisierung und Digitalisierung von KYC-Prozessen; Implementierung automatisierter Screening-Funktionen und Kontrollen; Automatisierte, ereignisgesteuerte Kundendatenüberprüfungen durch die Generierung von Warnmeldungen basierend auf Risk Templates) kaum noch zu bewältigen sein werden.
Viele kleinere Häuser könnten nun fragen, was das mit ihnen zu tun hat? Und für einige von ihnen könnte es weitestgehend unproblematisch sein, sofern sie einen ausschließlich lokalen Kundenbestand haben. Allerdings besteht auch in einer solchen Konstellation die Gefahr, dass Unternehmenskunden eng mit sanktionierten Personen verbunden sind, mit ihnen Geschäfte betreiben oder Beteiligungen an sanktionierten Organisationen haben.
Herausforderungen für Zahlungsdienstleister
Die Umsetzung von Sanktionen und die damit verbundene Identifizierung der Kunden und Geschäftspartner kann insbesondere auch für Zahlungsdienstleister eine große Herausforderung sein. Die Art und Höhe des Risikos, dem ein Zahlungsdienstleister in Bezug auf Sanktionsverstöße und Finanzkriminalität ausgesetzt ist, stehen in direktem Zusammenhang mit der Art des Marktes und der Geschäfte, die er bedient. Es gibt jedoch eine Reihe allgemeiner Schlüsselrisikofaktoren, die Zahlungsdienstleister bei der Bewertung ihrer Risiken berücksichtigen müssen. Diese Risiken werden in der Regel größer, wenn das Geschäftsmodell des Unternehmens weder geografischen Beschränkungen noch Beschränkungen auf den Märkten unterliegt, die die Plattform bedient. Viele Zahlungsdienstleister sind nur begrenzt in der Lage, die Aktivitäten ihrer Kunden und Händler zu kontrollieren oder sogar einzuschränken. Außerdem erhöht auch die Zulassung einer hochfrequenten Nutzung der Plattform das Risiko der Durchführung illegaler Aktivitäten, da Kriminelle die Möglichkeit bekommen, geringe Mengen illegaler Zahlungen hinter großen Mengen legitimer Aktivitäten zu verbergen.
Um die Risiken von Sanktionsverstößen zu minimieren, müssen Zahlungsdienstleister sowohl Beschränkungen hinsichtlich der Art beziehungsweise des Ortes von Transaktionen, als auch Beschränkungen in Bezug auf die Zahlungshäufigkeit einführen. Sie müssen außerdem in der Lage sein, Transaktionen und Geschäftsverbindungen in Echtzeit nachzuverfolgen und die Fähigkeit haben, deren Risikoniveau im Handumdrehen einzuschätzen. In Anbetracht des Volumens und der Geschwindigkeit der beteiligten Transaktionen benötigen sie auch ein Warnsystem, das automatisch Informationen zu potenziell illegalen Aktivitäten sowie Daten für weitere Untersuchungen bereitstellt.
Darüber hinaus ist insbesondere das Risiko zu beachten, dass Kryptowährungen dazu verwendet werden könnten, um Sanktionen zu umgehen oder zu untergraben. Die Umsetzung der von der FATF festgelegten Richtlinien für Warnhinweise zur Geldwäsche ist ein erster Schritt zur Reduzierung des Kryptorisikos. Warnzeichen im Zusammenhang mit Transaktionen können Zahlungen betreffen, die in kleinen Beträgen oder in wiederholten Mengen getätigt werden, die unter einen Meldeschwellenwert fallen. Alarmglocken können auch schrillen, wenn Gelder an ein neu erstelltes oder zuvor inaktives Konto gesendet werden. Transaktionsmuster können ebenfalls Verdacht erregen, insbesondere wenn die getätigten Einzahlungen nicht mit dem Profil eines Kunden übereinstimmen. Andere Indikatoren können Absender und Empfänger, Unregelmäßigkeiten bei der Herkunft von Geldern oder Vermögen und verdächtige Umstände in Bezug auf die Region betreffen, beispielsweise wenn die Gelder eines Kunden von einer Börse stammen oder an eine Börse gesendet werden, die nicht am gleichen Gerichtsstand registriert ist, an dem sich entweder der Kunde oder die Börse befindet.
Generell müssen Zahlungsdienstleister wirksame Prozesse, Funktionen und Kontrollen einführen, die in Echtzeit die Identität der beteiligten Personen bestimmen und eine effektive Prüfung von Transaktionen ermöglichen.
Risikomitigierende Maßnahmen
Für Finanzunternehmen ist es aktuell besonders herausfordernd, den Überblick zu bewahren und die richtigen Maßnahmen zu treffen. In der aktuellen Situation gilt es daher besonders Folgendes zu beachten, um Sanktionsrisiken sowie Reputationsschäden zu vermeiden:
- Durchführung einer Risikoanalyse: Es ist wichtig, eine Risikobewertung für das Unternehmen sowie alle relevanten Kunden durchzuführen, um zu verstehen, welche Bereiche des Unternehmens am stärksten dem Risiko ausgesetzt sind, Dienstleistungen oder Ressourcen an sanktionierte Einzelpersonen oder Organisationen bereitzustellen. Dabei sind die Geschäftsfelder, Vertriebskanäle, Kundentypen und Dienstleister des Unternehmens sowie die geografischen Standorte zu berücksichtigen.
- Reduzierung des Engagements in Russland: Eine Möglichkeit zur Reduzierung von Sanktionsrisiken ist die Rückführung des Russlandgeschäftes. Zu den nennenswerten Engagements, die dringend einer Prüfung bedürfen, gehören unter anderem Risiken direkter oder indirekter Engagements bei russischen Banken über den Interbankenmarkt, die Engagements in russischen Staatsanleihen durch direkte Bestände an Staatsanleihen oder derivative Instrumente sowie Verbindungen zu russischen Unternehmen und wohlhabenden Personen durch Darlehen, Kreditlinien, Versicherungsprodukte usw.
- Sicherstellung strenger Sanktionsprüfungen: Die Sanktionsprüfungssysteme und -protokolle müssen überprüft und gegebenenfalls überarbeitet werden, um sicherzustellen, dass Finanzunternehmen den Fokus auf Kundentypen, Gerichtsbarkeiten sowie Produkte und Dienstleistungen haben, die eine russische (und möglicherweise weißrussische) Dimension besitzen. Gleichzeitig ist zu beachten, dass Personen oder Organisationen, die Sanktionen unterliegen, gegebenenfalls versuchen werden, Maßnahmen zum Schutz ihres Eigentums zu ergreifen. Die Aufsichtsbehörden warnen explizit davor, dass Finanzinstitute verdächtige Aktivitäten dringend weiter untersuchen müssen, um eine mögliche Umgehung von Sanktionen, unter anderem durch Oligarchen, abzuwenden.
- KYC wieder im Rampenlicht: Es ist höchste Zeit für Finanzinstitute, dass sie ihre KYC-Prozesse und -Tools ernsthaft auf den Prüfstand stellen. Der aktuelle Arbeitsaufwand ist ohne eine Automatisierung von KYC-Prozessen (zum Beispiel die Kundenidentifikation und -verifizierung sowie die Identifikation von wirtschaftlich Berechtigten, Unternehmensstrukturen, politisch exponierter Personen und geografischen Risiken, das Screening von Briefkastenfirmen, Korrespondenzbankbeziehungen) nicht mehr effizient zu bewältigen. Finanzunternehmen müssen sicherstellen, dass sie die Eigentums- und Kontrollverhältnisse ihrer Kunden und Geschäftspartner auch im Kontext der Sanktionen gegen Russland und Belarus vollumfänglich kennen, und dass Verbindungen zu sanktionierten Unternehmen, Personen oder Strukturen rechtzeitig erkannt werden. Außerdem ist sicherzustellen, dass Kundenakten vollständig sind und die Daten in der erforderlichen Qualität vorliegen.
- Vorbereitung auf Vergeltungs-Cyberangriffe: Westliche Regierungen warnen schon seit geraumer Zeit davor, dass die Ereignisse in der Ukraine massive Cyberangriffe aus Russland oder seinen Unterstützern auslösen könnten. Finanzunternehmen sollten daher verstärkt ihr Augenmerk auf die Netzwerküberwachung legen, Cyber-Angriffsszenarien durchspielen, ihre Netzwerke nach Bedrohungen durchsuchen und zusätzliches Personal für den Fall einstellen, dass feindliche Aktivitäten zunehmen. Zu den potenziellen Bedrohungen, auf die sie sich vorbereiten müssen, gehören beispielsweise Ransomware- und Malware-Angriffe, Denial-of-Service-Angriffe, die Websites lahmlegen sowie Datenlöschung und -diebstahl.
Sowohl die Europäische Bankenaufsichtsbehörde (EBA) als auch die Europäische Zentralbank (EZB) betonen die Notwendigkeit für europäische Finanzunternehmen, die als Reaktion auf den Krieg in der Ukraine erlassenen restriktiven Maßnahmen umzusetzen und einzuhalten. Finanzinstitute müssen die Angemessenheit und Wirksamkeit interner Kontrollen und Governance bewerten, um die Einhaltung dieser Maßnahmen sicherzustellen sowie gegebenenfalls ihre Systeme und Prozesse anpassen beziehungsweise verbessern.
Sanktionsverstöße und Zuständigkeiten
Bei unmittelbaren Verstößen gegen Sanktionsvorschriften kann die EZB (und gegebenenfalls auch andere ausländische Kontrollbehörden, wie beispielsweise das US Office of Foreign Assets Control, OFAC) empfindliche Geldbußen verhängen. Sogar das Versäumnis, Informationen über Verstöße bereitzustellen, kann eine eigene Straftat darstellen.
In Deutschland verfolgen auch die zuständigen Strafverfolgungsbehörden im Rahmen der nationalen Straf- und Bußgeldvorschriften Rechtsverstöße gegen EU-Sanktionsbestimmungen. Dabei wirken bei der operativen Umsetzung der Sanktionen verschiedene Bundes- und Landesbehörden entsprechend ihrer Kompetenz und Zuständigkeit zusammen:
- Für Finanzsanktionen sind Geschäftsbanken und Versicherungen unmittelbar operativ verantwortlich, die erforderlichen Maßnahmen zu treffen, um das Einfrieren zu beachten. Sie sind dabei gegenüber der Bundesbank berichtspflichtig, die anschließend über weitere Maßnahmen entscheidet.
- Der Zoll überwacht insbesondere die EU-Sanktionen in den Bereichen Ein- und Ausfuhr (sektorale Sanktionen) und trifft die geeigneten operativen Maßnahmen, gegebenenfalls in enger Abstimmung mit dem Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA).
- Im Hinblick auf personenbezogenen Sanktionen sind nach deutschen Recht insbesondere die Behörden für die Beschlagnahme oder anderweitige Sicherstellung von eingefrorenen Vermögensgegenständen zuständig, die mit der Gefahrenabwehr oder der Strafverfolgung betraut sind.
- Das Bundesamt für Wirtschaft und Ausfuhrkontrolle ist für warenbezogene Sanktionen sowie für die Erteilung von Ausnahmegenehmigungen hinsichtlich eingefrorener wirtschaftlicher Ressourcen zuständig.
Wichtig für das Verständnis der EU-Sanktionen ist, dass diese mit Inkrafttreten der jeweiligen EU-Rechtsakte unmittelbar geltendes Recht in Deutschland sind. Das bedeutet, dass beispielsweise das Einfrieren von Vermögenswerten unmittelbar greift, ohne dass es einer zusätzlichen behördlichen Anordnung bedarf. Finanzunternehmen sind operativ dafür verantwortlich, das Einfrieren von Vermögenswerten mit Inkrafttreten des jeweiligen EU-Rechtsakts zu beachten und sie müssen hierüber unmittelbar den zuständigen Behörden berichten.
Für Sanktionsverstöße haftet nicht nur die Geschäftsführung eines Finanzunternehmens, auch jeder Mitarbeiter in der Compliance Abteilung, oder in den Business Units kann unter Umständen strafrechtlich verfolgt werden. Eine entsprechende Sensibilisierung aller Beschäftigten im Unternehmen im Umgang mit Sanktionen ist daher sinnvoll und notwendig.
Damit ist es unbedingt erforderlich, dass Finanzunternehmen ihre Rechts- und Reputationsrisiken im Kontext der Situation in der Ukraine und den Sanktionen gegenüber Russland und Belarus sorgfältig analysieren und bewerten und anschließend angemessene Maßnahmen zum Umgang mit den betreffenden Risiken treffen.