Von Tobias Fischer und

Bernd Neubacher, Frankfurt

Google Cloud, mit der die Deutsche Bank jüngst eine mehrjährige strategische Zusammenarbeit besiegelt hat, um ihre IT-Systeme auf Vordermann und in die Cloud zu bringen, könnte dem Institut auch in Sachen Geldwäschebekämpfung behilflich sein, zum Beispiel bei der Erkennung von Trends und Mustern. Die Überlegungen hierzu stünden aber erst am Anfang, sagt der Geldwäschebeauftragte der Deutschen Bank, Stephan Wilken.

Im Dezember hatten Google Cloud und die Großbank eine mehrjährige strategische Partnerschaft unter Dach und Fach gebracht, welche das Finanzinstitut befähigen soll, schneller auf Cloud-Dienste umzusatteln, aber auch gemeinsam mit den Amerikanern Produkte und Dienstleistungen zu entwickeln (vgl. BZ vom 5.12.2020). „Durch den Einsatz künstlicher Intelligenz sowie modernster Technologien für die Datenanalyse“ werde es der Deutschen Bank möglich, flexibler und zielgerichteter auf Trends und Kundenbedürfnisse zu reagieren. Dass Google als Partner auch zur Geldwäschebekämpfung auserkoren wurde, war bislang nicht bekannt.

Die technologische Unterstützung durch das Bigtech kann nicht schaden: Deutschlands einziger Global Player aus dem Finanzsektor war in der Vergangenheit oft mit dabei, wenn irgendwo in der Welt Skandale ruchbar wurden. Seien es windige Subprime-Kredite, die Mitarbeiter an den Mann brachten, oder schmutzige Rubel, die über Aktiengeschäfte reingewaschen wurden, seien es Händler, die Zinssätze wie den Libor manipulierten, Vorwürfe von Sanktionsverstößen oder fragwürdige Geschäftsbeziehungen wie jene zu Jeffrey Epstein, der Minderjährige verschleppt und missbraucht haben soll und sich in der Haft das Leben nahm: Die Deutsche Bank hat sich in den vergangenen Jahren und Jahrzehnten Abermilliarden an Zahlungen wegen verschiedenster Verfehlungen aufgebürdet. Allein umgerechnet 14 Mrd. Pfund fielen nach Berechnungen des Centre for Banking Research (CBR) der Cass Business School, City, University of London, für den Zeitraum 2014 bis 2018 an.

Diese Zeiten will Wilken hinter der Deutschen Bank gelassen sehen. Der 53-Jährige führt seit Oktober 2018 als Head of Anti Financial Crime eine Abteilung mit mittlerweile mehr als 1600 Mitarbeitern und damit nach seinen Worten dreimal so vielen wie 2015. Damit sei etwa jeder Zweite, der mit Kontrollaufgaben im Hause betraut ist, in der Abwehr von Geldwäsche, Terrorismusfinanzierung und anderer krimineller Aktivitäten wie Korruption sowie der Einhaltung von Sanktionen tätig.

Viele in der Vergangenheit liegende Fälle seien abgearbeitet. Die Bank habe sich von Personen verabschiedet, die im Zusammenhang damit standen, und eine ganze Reihe von Kontrollmechanismen und Richtlinien implementiert. „In den vergangenen fünf Jahren haben sich unsere Kontrollmöglichkeiten sowie die Qualität und Sensibilität unserer Risikoeinschätzung wesentlich verbessert“, zeigt sich Wilken überzeugt. „Gleichzeitig wird es immer Vorfälle und Fehler geben, sodass man als guter Compliance Manager auch nicht die Aussage treffen kann: ,Es wird nie wieder etwas passieren.‘“ Wichtig seien Prozesse, Kontrollen und Trainings, damit jeder Mitarbeiter weiß, was passieren kann und was er tun muss, um das Risiko einzudämmen.

Von besonderer Relevanz erweise sich die Identifikation von Neukunden und die Verifikation von Bestandskunden, sprich „Know your Customer“ (KYC), was sich keineswegs auf technische Aspekte beschränke, sondern zuvorderst das Wissen der Mitarbeiter, mit wem sie es zu tun haben, betreffe. „Der wichtigste Schritt steht am Anfang, wenn es darum geht, die eigenen Kunden zu kennen“, sagt Wilken. Gleichzeitig seien auch nachgelagerte Kontrollen und das Transaktionsmonitoring unverzichtbar. Gerade im KYC hatte das Institut in der Vergangenheit Defizite erkennen lassen. Im Sommer 2018 waren Interna publik geworden, denen zufolge die Identität oder gar die Existenz einzelner Kunden, vor allem aus Russland, nicht nachvollzogen werden konnte.

Mängel in KYC-Prozessen in der Unternehmens- und Investmentbank waren auch der Grund dafür, dass die Finanzaufsicht BaFin im September 2018 einen Sonderbeauftragten in der Deutschen Bank installierte. Eine Entscheidung, die erstmals überhaupt im Zusammenhang mit Geldwäsche getroffen wurde. Dafür bedient sich die BaFin der Dienste der Prüfungsgesellschaft KPMG. Aufgabe ihrer in die Großbank entsandten Mitarbeiter ist, zu überwachen, dass sie der von der Aufsicht auferlegten Vorgabe nachkommt, die Kundenakten auf Vordermann zu bringen und die Risikoeinstufung von Zehntausenden Klienten erneut zu prüfen. Der Sonderbeauftragte kontrolliert dabei, ob alle wesentlichen Voraussetzungen zeitnah aktualisiert werden, und erstellt Berichte über den Fortgang dieser Tätigkeiten, umreißt Wilken die Aufgaben. „Wichtig ist, sich mit dem Monitor über die Kriterien zu verständigen, die den Aufsichtsbehörden wichtig sind.“

Anfang 2019 erweiterten die Aufseher dann das Mandat des Sonderbeauftragten und erlegten der Bank zusätzlich auf, die Risikomanagementprozesse als Korrespondenzbank zu überprüfen. Auch in der Deutschen Bank in den Vereinigten Staaten sind solche aufsichtlich beorderten Aufpasser, Monitors genannt, unterwegs. So hatte ihr etwa die US-Notenbank Fed im Mai 2017 neben einem Bußgeld die Überprüfung der Geldwäscheprävention und der Korrespondenzbankbeziehungen auferlegt. Wie lange all die Kontrolleure blieben, sei noch nicht absehbar, sagt Wilken. Üblicherweise erstrecke sich das Mandat auf sieben bis neun Jahre, manchmal aber auch auf einen längeren Zeitraum. Zumindest aus den Reihen deutscher Finanzaufseher waren zuletzt durchaus anerkennende Worte zu hören, was die Compliance-Bemühungen der Bank angeht.

Zwecks Bündelung der Kräfte beteiligt sich die Deutsche Bank mit Instituten wie der Helaba und der LBBW an einem KYC-Projekt der zum Bertelsmann-Konzern zählenden BFS Finance, die auf einer Plattform entsprechende Daten der teilnehmenden Banken bündelt und aufbereitet. Knackpunkt ist dabei allerdings nicht nur, sich auf gemeinsame Standards für einen Datenpool zur Geldwäscheprävention zu verständigen. „Die Initiative steht noch am Anfang, denn es gilt, Datenschutz und andere rechtliche Themen zu berücksichtigen. Schon rein gesetzlich darf sich heute keine Bank in puncto KYC auf die Arbeit verlassen, die andere gemacht haben. Hier sind noch einige Hürden zu überwinden“, resümiert Wilken.

In den vergangenen fünf Jahren habe die Deutsche Bank im Gesamtkomplex Compliance mehr als 1 Mrd. Euro in entsprechende Datenverarbeitung, Technologie und Kontrollen investiert sowie Schulungen und Prozesse verbessert, hatte sie im Januar verlautbart. Auch in diesem Jahr und darüber hinaus werde erheblich in Technologie investiert, gerade gegen Finanzkriminalität. Die Art der entsprechenden Investments verlagerte sich also etwas, präzisiert Wilken: Sie seien weniger für den weiteren Aufbau von Mitarbeitern vorgesehen, sondern vielmehr für insbesondere Datenanalyse und Machine Learning. So würden intern Projekte vorangetrieben, um Daten in einem sogenannten Data Lake zusammenzuführen, den Algorithmen durchforsteten, um selbstlernend Muster und Trends zu erkennen. Die Erwartung ist, dass sich diese Investments in effizienteren Prozessen niederschlagen und damit Geld sparen, etwa indem weniger Fehlalarme (False Positives) bei der Überwachung von Transaktionen anfallen, welche anschließend manuell abgearbeitet werden müssen. Dadurch würden voraussichtlich vor allem weniger externe Mitarbeiter benötigt, die zusätzlich zu den 1600 eigenen Kräften zum Einsatz kämen.

Seit 26 Jahren steht Wilken als Risikomanager in Diensten der Deutschen Bank. Im Oktober 2018, also kurz nachdem die BaFin KPMG als Sonderaufpasser in das Haus geschickt hatte, übernahm er schließlich den Posten von Philippe Vollot. Der war zur Danske Bank abgewandert, die sich damals am Beginn eines immer größere Dimensionen annehmenden Geldwäscheskandals befand, der vorübergehend auch die Deutsche Bank als Korrespondenzbank erfasste. Als solche betätigte sie sich für die Danske Bank Estland von 2007 bis 2015 und soll hierbei den Großteil der über diese Niederlassung geschleusten verdächtigen Gelder von insgesamt rund 200 Mrd. Euro abgewickelt haben. Kritik hatte ihr auch eingebracht, dass sie noch Partnerbank war, als die ebenfalls als Korrespondenzbank auftretende J.P.Morgan längst die Segel gestrichen hatte.

Der Fall hat der Deutschen Bank im September 2019 medienwirksame Razzien eingebrockt. Entsprechende Ermittlungen gegen Mitarbeiter des Hauses wegen möglicher Beihilfe zur Geldwäsche wurden im vergangenen Oktober mangels hinreichenden Tatverdachts eingestellt. Fällig wurde jedoch eine Geldbuße von 13,5 Mill. Euro wegen nicht rechtzeitig abgegebener Geldwäscheverdachtsmeldungen.

Um weitere Risiken zu vermeiden, hat sich das Institut als Korrespondenzbank aus bestimmten Jurisdiktionen verabschiedet. So Ende 2019 auch aus Malta, das als Geldwäscheparadies gilt. Im Vergleich mit 2015 habe die Bank, die sich als einer der größten Euro-Clearer und als wesentlicher Dollar-Clearer bezeichnet, ihr weltweites Korrespondenzbankensystem um mehr als zwei Drittel auf nunmehr etwa 1400 Beziehungen gestutzt, berichtet Wilken. „In den vergangenen fünf Jahren haben wir uns in mehreren Runden das Korrespondenzbanksystem angesehen und uns von den Verbindungen verabschiedet, bei denen wir ein zu hohes Risiko sahen.“ Die Risikoeinschätzung jeder einzelnen Verbindung werde dabei nicht nur einmal, sondern laufend vorgenommen, sagt Wilken.

Als echte Herausforderung einer global agierenden Bank bezeichnet er die Komplexität der gesetzlichen Anforderungen, etwa rund um KYC und Kontrolltätigkeiten. Die unterschieden sich zudem von Land zu Land. Damit die Deutsche Bank nicht in den 70 Staaten, in denen sie aktiv ist, jeweils individuelle lokale Lösungen umsetzen muss, hat sie einheitliche Standards definiert. Ausgangspunkt seien deshalb die Gruppenstandards, die für Deutschland und Europa gelten. Diese würden global umgesetzt und gegebenenfalls vor Ort zusätzliche lokale Anforderungen erfüllt. Klar sei: Mehr geht immer, weniger keineswegs. Die Gruppenstandards müssten mindestens erfüllt werden.

Eine weitere Herausforderung sei, einen Weg zu finden, die faulen Fälle angesichts der Volumina an Transaktionen auszumachen, welche die Bank global Tag für Tag abwickelt. „Es ist eine immense Aufgabe“, sagt Wilken. „Wir haben mehr als 20 Millionen Kunden weltweit und müssen in der Lage sein, zu jedem Zeitpunkt Versuche zu entdecken, die die Infrastruktur der Deutschen Bank für kriminelle Zwecke missbrauchen wollen.“

Zuletzt erschienen:

Forensiker sind den Krypto-Verbrechern auf der Spur (3. Februar)

Gesetzgeber hat noch einiges auf der Agenda (2. Februar)

„Ein maximal angstgetriebener Job“ (29. Januar)