Das New York State Department of Financial Services („DFS“) hatte bereits im August 2022 mit der Kryptobörse Robinhood ein Settlement Agreement in Höhe von USD 30 Mio. wegen unzureichender Compliance-Maßnahmen abgeschlossen. Nun folgte das nächste Settlement. Diesmal hat es Coinbase, Inc. (“Coinbase”) getroffen. Coinbase einigte sich mit den US-Behörden auf ein Settlement in Höhe von USD 100 Mio. Der Fall liest sich in Teilen wie ein Lehrstück in Sachen (unzureichender) Geldwäsche-Compliance.
Steigender Handlungsbedarf bei Kryptowährungen
Kryptowährungen sind in besonderem Maße für Geldwäsche anfällig. Dieses Risiko geht im Wesentlichen auf drei Eigenschaften des virtuellen Zahlungssystems zurück: (i) die Dezentralität, (ii) die Pseudonymität sowie (iii) die Globalität. Neue Legislativpakete schaffen deshalb ein zunehmend komplexeres Regelwerk für Kryptowechselstellen, Kryptobörsen, Finanzdienstleistungen und sonstige Unternehmen, die im Rahmen ihrer Geschäftstätigkeit mit Kryptowährungen in Berührung kommen. Weitere künftige Gesetzesänderungen sind bereits geplant. So treibt die Europäische Kommission neue Regelungen zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung voran, die umfassende Regelungen und Verpflichtungen im Zusammenhang mit Kryptowährungen vorsehen.
Infolge der steigenden regulatorischen Anforderungen sind die betroffenen Unternehmen gehalten, ihre vorhandenen Ressourcen im Bereich der Geldwäscheprävention aufzustocken. Die stetig steigenden Zahlen an Verdachtsmeldungen von „Auffälligkeiten im Zusammenhang mit Kryptowährungen“ bei der Financial Intelligence Unit (FIU) lassen zumindest für die Geldwäscheverpflichteten eine erhöhte Sensibilität erahnen. Im Schatten des Zusammenbruchs der FTX Trading Ltd. (FTX), einer der größten Kryptobörsen weltweit, nehmen U.S. Finanz- und Aufsichtsbehörden eine immer prominentere Rolle in der Bekämpfung der von Kryptowährungen ausgehenden Gefahren ein. Die US-Behörden dürften auch in diesem Bereich der Compliance Maßstäbe setzen, an denen sich die Aufsichtsbehörden im europäischen Rechtsraum orientieren werden.
Siehe zur Geldwäscheprävention bei Kryptowährungen sowie der Frage, inwiefern Nichtfinanzunternehmen hiervon betroffen sind, unseren Beitrag aus dem November 2022.
Von einer routinemäßigen Untersuchung zu einem 100 Mio. Settlement
Das DFS führte bei der Kryptobörse Coinbase, einer Handelsplattform für Kryptowährungen mit mehr als 100 Mio. Kunden weltweit, im Mai 2020 eine routinemäßige Überprüfung durch. Hierbei identifizierte das DFS schwere Defizite bei der Geldwäsche-Prävention von Coinbase. Das DFS leitete eine umfassende Untersuchung ein. Daraufhin trieb Coinbase durch beträchtliche Investitionen die Weiterentwicklungen des Compliance-Systems voran. Infolge des rasanten Anstiegs der Kundenbasis waren die Bemühungen nach Einschätzung der Behörden jedoch nicht ausreichend. Im Februar 2022 unterstellte das DFS Coinbase der Aufsicht eines Compliance-Monitors, der die Aufarbeitung sowie die Implementierung zukünftiger Maßnahmen überwachen und unterstützen sollte. Ein solcher Monitor ähnelt grundsätzlich dem Institut des Sonderbeauftragten, wie es das deutsche Recht etwa in § 45c KWG kennt. Der eingesetzte Monitor stellte im August 2022 fest, dass trotz erkennbarer Bemühung weitere Unzulänglichkeiten hinsichtlich des Compliance-Systems bestehen.
Am 4. Januar 2023 vereinbarten Coinbase und das DFS schließlich ein Settlement, um die Ermittlungen abzuschließen. Die Kryptobörse und die Aufsichtsbehörde einigten sich auf die Zahlung einer Geldbuße (sog. Civil Monetary Penalty) in Höhe von USD 50 Mio. sowie einer Verlängerung des Monitorships um vorerst ein Jahr. Zudem verpflichtete sich Coinbase, innerhalb der nächsten zwei Jahre USD 50 Mio. in den Ausbau ihres Compliance-Programms entsprechend eines vom DFS geprüften „Investment Plans“ zu investieren. Im Settlement Agreement schreibt die DFS, dass es Coinbase versäumt habe, ein angemessenes und effektives Compliance-Programm im Bereich Geldwäsche aufzubauen und zu pflegen, das mit dem rasanten Wachstum der Kryptobörse mithalten konnte. Durch dieses Versäumnis habe Coinbase nicht nur gegen die regulatorischen Anforderungen verstoßen, sondern es zugleich auch Dritten ermöglicht, die Kryptobörse zur Durchführung krimineller Aktivitäten auszunutzen. Nach den Erkenntnissen der US Behörden besteht der Verdacht, dass die Kryptobörse für die Abwicklung von Delikten wie Betrug, Geldwäsche, der Verbreitung von Material über den sexuellen Missbrauch von Kindern oder auch den Handel mit Betäubungsmitteln genutzt wurde. Der mit diesen schweren Vorwürfen einhergehende Reputationsschaden ist offensichtlich und könnte längerfristig sogar schwerer als die beschlossenen finanziellen Einbußen wiegen.
Know-Your-Customer Process / Customer Due Diligence
Das DFS hat insbesondere die unzureichenden Maßnahmen hinsichtlich der Prozesse Know Your Customer („KYC“) sowie Customer Due Diligence („CDD“) hervorgehoben. Nach Ansicht des DFS war das KYC/CDD-Programm von Coinbase sowohl in der Konzeption als auch in der praktischen Umsetzung „unreif“ und gänzlich unzureichend. Coinbase habe Onboarding-Anforderungen an neue Kunden als einfache „Häkchen-Übung“ verstanden und keine angemessene Due Diligence durchgeführt. Teilweise habe Coinbase eine Risikoeinstufung unterlassen: Während die gesamte CDD-Dokumentation für einen Kunden teilweise nur aus einer einzigen Ablichtung eines Ausweisdokumentes bestanden habe, sei bei notwendigen Verifizierungsprozessen die Vorlage eines Social Media Profils akzeptiert worden, obwohl die dort angegebenen Informationen offensichtlich unvollständig oder falsch waren. Bei Identitätsnachweisen habe Coinbase oftmals nur Minimalangaben abgefragt und ausbleibende Antworten mitunter schlichtweg hingenommen.
Durch solch unzureichende KYC- und CDD-Maßnahmen sei es deshalb auch nicht möglich gewesen, eine angemessene Risikoeinstufung der Kunden vorzunehmen, welche ihrerseits die Grundlage für die angemessene Kundenaufsicht legt. Zwischenzeitlich bestand sogar ein Backlog mit 14.000 Kunden, die aufgrund ihrer Risikoeinstufung einer erweiterten Due Diligence Prüfung bedurften. Letztere war aufgrund der fehlenden Personal- und Ressourcenausstattung aber wohl nicht möglich. Durch die damit einhergehende Unkenntnis von Kundendaten hat sich Coinbase letztendlich einem erhöhten Geldwäscherisiko ausgesetzt.
Fehlende Abarbeitung von Verdachtsmeldungen
Das DFS kritisierte zudem die fehlende Implementierung eines funktionierenden und angemessenen Transaction Monitoring Systems (“TMS”). Das TMS stellt ein bewährtes Instrument der Geldwäschebekämpfung dar, das Kundenaktivitäten auf auffälliges Verhalten überprüft und im Bedarfsfall eine entsprechende Meldung abgibt. Das TMS baut grundsätzlich auf die durch den KYC Prozess gewonnenen Informationen auf und nimmt eine entsprechende Risikobewertung vor. Coinbase hatte solch ein System zwar implementiert, mit Blick auf die mangelhaften KYC Prozesse war dessen Funktionsfähigkeit jedoch unzureichend.
Darüber hinaus geriet Coinbase – wohl auch infolge des rasanten Kundenanstiegs bei zugleich unzureichender Personal- und Ressourcenausstattung – in Verzug, den eingegangenen TMS-Meldungen nachzugehen. Zwischenzeitlich kam es zu einem Backlog von mehr als 100.000 TMS-Meldungen. Um den Backlog innerhalb weniger Monate abzuarbeiten, griff Coinbase auf über 1.000 (!) externe Dienstleister zur Durchsicht des Backlogs zurück. Später sollte sich herausstellen, dass knapp die Hälfte der durch die externen Dienstleister gesichteten Backlogs nicht den Qualitätsanforderungen entsprachen. Darüber hinaus gelang es Coinbase zwischenzeitlich nicht mehr, die Auffälligkeiten zu untersuchen und entsprechend den Behörden zu melden. Dies führte dazu, dass die Kryptobörse ihren Verpflichtungen zur Abgabe von Verdachtsmeldungen zum Teil erst Monate nach Kenntnis um die auffällige Aktivität nachkam.
Anforderungen im Umgang mit Kryptowährungen
Wie angemessene CDD-Maßnahmen hätten aussehen sollen, führt das DFS ebenfalls aus. Erforderlich wäre es gewesen, auf Datenbanken zurückzugreifen, Informationen über die Motivation des Kunden zur Nutzung der Kryptobörse sowie über die Herkunft seiner Mittel einzuholen. Die Aufnahme institutioneller Kunden hätte einer Genehmigung des höheren Managements bedurft. Das DFS nimmt hierbei Bezug auf die einschlägigen Anforderungen an Geldwäsche-Prävention in den FATF Recommendations (vgl. „Enhanced CDD measures“, S. 70 f.).
Die von der DFS in Bezug genommenen FATF Recommendations entsprechen dem Grunde nach den Anforderungen des Geldwäschegesetzes (GwG) an die Kundensorgfaltspflichten. Zur Sicherstellung einer funktionsfähigen Geldwäscheprävention verweist die BaFin – auch in Bezug auf Kryptowährungen – auf die gesetzgeberisch vorgegebenen folgenden drei Säulen:
- Ein wirksames Risikomanagement gem. § 4 GwG, das die gesamte Geschäftstätigkeit des Verpflichteten einbezieht, die sich daraus ergebenden einzelnen Risiken nachvollziehbar berücksichtigt und bei dem die daraus abgeleiteten internen Sicherungsmaßnahmen im Hinblick auf diese Risiken als angemessen anzusehen sind. Dieses Risikomanagement muss zudem eine Risikoanalyse nach § 5 GwG und interne Sicherungsmaßnahmen nach § 6 GwG umfassen.
- Die Einhaltung der Kundensorgfaltspflichten nach § 10 GwG, insbesondere die Identifizierung des Vertragspartners, der für ihn auftretenden Person sowie des wirtschaftlich Berechtigten. Dies umfasst auch die Einholung wesentlicher Informationen sowie die kontinuierliche Überwachung der Geschäftsbeziehung.
- Die Meldung von verdächtigen Sachverhalten gem. § 43 GwG.
Dies zeigt, dass auch in Deutschland die KYC-, CDD- und TMS-Maßnahmen Grundpfeiler der Geldwäscheprävention im Umgang mit Kryptowährungen bilden. Die einzelne Implementierung der Maßnahmen ist es jedoch nicht ausreichend. Die weitere Herausforderung liegt darin, die gesammelten Informationen und die implementierten Prozesse zu einem den gesetzlichen Vorgaben entsprechenden, gesamtheitlichen Onboarding der Kunden sowie hierauf basierend einem fortlaufenden, risikobasierten Monitoring zusammenzuführen.
Fazit und Auswirkungen auf Deutschland
Der Fall Coinbase zeigt, wie wichtig es ist, angemessene und risikoadäquate (Geldwäsche-)Compliance-Systeme einzuführen. Zentrale Grundsteine für ein solches Geldwäsche-Compliance-System sind: Know Your Customer, Customer Due Diligence und Transaction Monitoring Systems. Auf die von Kryptowährungen ausgehenden Geldwäscherisiken wies die BaFin wiederholt in ihrem aktuellen Bericht „Risiken im Fokus der BaFin 2022“ (S. 14) hin. Dies betrifft nicht nur Kryptobörsen selbst, sondern sämtliche Unternehmen, die einen Berührungspunkt zu Kryptowährungen aufweisen.
Die betroffenen Unternehmen stehen hier vor einer besonderen Herausforderung. Bei Kryptowährung besteht ein hohes Risiko, dass Mittelherkunft und wirtschaftlich Berechtigter verschleiert werden könnten. Diese Herausforderung müssen Unternehmen jedoch annehmen und angemessene, risikobasierte Prozesse einführen. Dazu gehört bei einem entsprechenden (hohen) Risikoprofil auch eine ausreichende Ressourcenausstattung. Es ist zu erwarten, dass die BaFin und ggf. die europäische Antigeldwäschebehörde (AMLA) die Umsetzung der geldwäscherechtlichen Vorgaben rund um Kryptowährungen verschärft prüfen und Verstöße konsequenter ahnden werden. Investitionen in angemessene Geldwäsche-Compliance-Systeme sind vor diesem Hintergrund dringend zu empfehlen. Sie können für Unternehmen existenziell sein.
Weiterleiten