Online-Zahlungsdienstleister haben Konjunktur. Ihre Dienstleistungen haben Zahlungen komfortabler gemacht und sind aus dem Wirtschaftsleben nicht mehr wegzudenken. Einen wesentlichen Impuls für das Wachstum gab dabei die Corona-Pandemie: Als der Einzelhandel großflächig schließen musste und sich der Verkauf verstärkt ins Internet verlagerte, stieg die Nachfrage nach digitalen Zahlungsdiensten nochmals deutlich an. Nachfolgenden Schwächephasen konnte die Branche durchaus trotzen, wie der für dieses Jahr angestrebte Börsengang von Klarna in den USA zeigt.
Der Anbieter Klarna steht aktuell auch exemplarisch für die besondere Bedeutung, die Online-Zahlungsdienstleistern bei der Bekämpfung von Geldwäsche und Terrorismusfinanzierung zukommt. Denn weil Online-Zahlungsdienstleister als Vermittler zwischen den Beteiligten eines Zahlungsvorgangs agieren, eignen sie sich besonders gut, um illegal erlangte Vermögenswerte in den Finanzkreislauf einzuschleusen und ihre Herkunft zu verschleiern. Ermittlungs- und Regulierungsbehörden weltweit ist dies nur zu gut bewusst und prüfen deshalb verstärkt, ob die Branche den ihr auferlegten, stetig nachgeschärften geldwäscherechtlichen Pflichten bei der Aufnahme von Geschäftsbeziehungen und Durchführung von Transaktionen nachkommt.
So förderte bei Klarna die Prüfung seitens der schwedischen Finanzaufsichtsbehörde FI (Finansinspektionen) diverse Unzulänglichkeiten im Bereich der Geldwäscheprävention im Untersuchungszeitraum April 2021 bis März 2022 zutage. Zwar wurden die Verstöße von Klarna als nicht derart schwerwiegend angesehen, dass die Geschäftserlaubnis in Gefahr geraten wäre. Jedoch wurde ein Bußgeld in Höhe von 500 Millionen Schwedischen Kronen (circa 43 Millionen Euro) verhängt – ein empfindlicher Dämpfer vor dem geplanten Börsengang. Nach den Feststellungen der FI verfügte Klarna über keine Mechanismen zur Bewertung, inwieweit die Dienste des Zahlungsabwicklers für Geldwäsche oder Terrorismusfinanzierung genutzt werden könnten. Weiter bemängelte die FI das Fehlen geeigneter Methoden und Richtlinien für die Überprüfung der Kunden von Klarna, die sogenannte Customer Due Diligence.
Dass Mängel bei der Geldwäscheprävention nicht nur ausländische Zahlungsdienstleister betreffen, hat im Jahr 2021 Unzer (vormals Heidelpay) bewiesen. Das deutsche Fintech-Unternehmen hatte in einer Zeit, in der öffentlich über eine Zusammenarbeit von Unzer mit dem in den USA wegen Betruges verurteilten deutschen Geschäftsmann Ruben Weigand berichtet wurde, die deutsche Finanzmarktaufsichtsbehörde BaFin auf den Plan gerufen. Eine von der BaFin eingeleitete Sonderprüfung förderte neben „gravierenden Mängeln in den Bereichen der angemessenen Maßnahmen der Unternehmenssteuerung, Kontrollmechanismen und Verfahren“ auch „schwerwiegende Mängel“ im Zusammenhang mit dem Geldwäschegesetz (GwG) bei der Unzer E-Com-Tochter zutage. Ein Bußgeld in Höhe von 350.000 Euro, ein Neukundenverbot sowie die Bestellung eines Sonderbeauftragten waren die Folge. Und Unzer ist dabei kein Einzelfall. Auch bei den Anbietern Concardis (heute Nexi Germany) und Payone führte die BaFin im Jahr 2021 geldwäscherechtliche Prüfungen durch, wobei Sanktionen folgten.
Die genannten Beispiele machen deutlich, wie wichtig die Geldwäscheprävention für die Branche ist und wohl auch bleiben wird. In Deutschland stellt (noch) das GwG das zentrale Regelwerk dar, in dem Vorgaben der Europäischen Union umgesetzt sind. Ausgangspunkt des GwG ist die oben beschriebene Vorstellung, dass dort, wo Wirtschaftssubjekte anfällig sind, für Geldwäsche und Terrorismusfinanzierung missbraucht zu werden, auch eine Pflicht zu deren Vermeidung und Entdeckung tragen sollen. Das GwG zieht den Kreis der Verpflichteten dabei weit; zu diesem gehören neben Zahlungsdienstleistern beispielsweise auch Rechtsanwälte. Die Pflichten, die es den Genannten auferlegt, umfassen im Allgemeinen die Implementierung eines wirksamen Geldwäscherisikomanagements, spezifische Sorgfaltspflichten in Bezug auf Kunden einschließlich der Identifizierung von Vertragspartnern sowie die Meldung von Verdachtsfällen im Zusammenhang mit Geldwäsche und Terrorismusfinanzierung.
Für Zahlungsdienstleister ergeben sich zusätzliche Anforderungen aus der Geldtransferverordnung sowie dem Zahlungsdiensteaufsichtsgesetz (ZAG). Die Geldtransferverordnung verlangt von Zahlungsdienstleistern im Wesentlichen, dass diese bei (Geld-)Transfers bestimmte Angaben in Bezug auf ihre Auftraggeber übermitteln und prüfen. Das ZAG erweitert die Pflichten aus dem GwG, indem es Zahlungsdienstleistern über die Implementierung eines wirksamen Risikomanagements hinaus aufgibt, angemessene Maßnahmen zur Einhaltung des GwG und der Geldtransferverordnung zu treffen. In der Sache geht damit aber lediglich ein ergänzender Einsatz von Datenverarbeitungssystemen einher. Denn das GwG sieht bereits einen umfangreichen Pflichtenkatalog vor.
Vor diesem Hintergrund (hohe regulatorische Anforderungen bei gleichzeitig vielfältigen Sanktionsmöglichkeiten) sind Online-Zahlungsdienstleister gut beraten, sich intensiv mit den geldwäscherechtlichen Pflichten auseinanderzusetzen. In der Praxis gibt es dabei diverse Herausforderungen zu meistern, zumal das Regelungswerk nicht immer eindeutig ist und geldwäscherechtliche Pflichten oftmals auch in einem Spannungsverhältnis mit anderen Pflichten stehen (können).
Enge Zweckbindung
Von Bedeutung ist insbesondere der Konflikt zwischen Datenschutzrecht und Geldwäscheprävention. Wo der Datenschutz den Umfang der Datenverarbeitung zum Schutz des Einzelnen einschränken will, verlangen die geldwäscherechtlichen Vorschriften gerade eine umfassende Datenverarbeitung. Letzteres zeigt sich im verpflichtenden Einsatz von Datenverarbeitungssystemen. Datenverarbeitungssysteme müssen nämlich angemessen sein. Dies setzt voraus, dass sie über eine ausreichende Datenbasis verfügen, die notwendigerweise auch personenbezogene Daten enthält. Der Gesetzgeber versucht diesem Konflikt mit einer engen Zweckbindung beizukommen. Das heißt: Personenbezogene Daten dürfen bei der Geldwäsche-Compliance nur in einem Umfang verarbeitet werden, wie dies auch zur Verhinderung von Geldwäsche und Terrorismusfinanzierung erforderlich ist. Klar ist damit, dass in diesem Zusammenhang verarbeitete personenbezogene Daten nicht zu anderen, zum Beispiel kommerziellen Zwecken genutzt werden dürfen.
Darüber hinaus müssen die Datenverarbeitungen aber auch den Grundsätzen der Datenvermeidung, Datensparsamkeit und der frühestmöglichen Löschung genügen. Für Online-Zahlungsdienstleister bedeutet dies, dass sie das Verhältnis von Präventionspflichten und Datenschutz (im Einzelfall) sorgfältig austarieren müssen. Handreichungen dazu können vielfältig sein: von der Implementierung von Maßnahmen zur Verhinderung von Datenmissbrauch über Schulungen des Personals bis hin zur Erstellung klarer interner Richtlinien. In der juristischen Literatur wird vereinzelt auch die Zusammenarbeit mit dem Datenschutzbeauftragten angeraten. Dass Versäumnisse teuer zu stehen kommen können, musste auch Klarna erfahren: Ein schwedisches Berufungsgericht bestätigte voriges Jahr ein Bußgeld in Höhe von 7,5 Millionen Schwedischen Kronen (circa 670.000 Euro) der schwedischen Datenschutzbehörde wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO).
All dies verdeutlicht das Ausmaß und die Hürden bei der Einbindung von Privaten durch den Staat in die Prävention von Geldwäsche und Terrorismusfinanzierung. Die strenge Prüf- und Kontrollpraxis der Aufsichtsbehörden macht dies noch brisanter. Dass die Umsetzung der geldwäscherechtlichen Vorgaben allerdings auch nach anfänglichen Widrigkeiten gelingen kann, dafür hat nicht zuletzt Unzer ein Beispiel geliefert: Das Berliner Fintech gab im Oktober des vergangenen Jahres bekannt, dass die BaFin ihren Sonderbeauftragen bei der Unzer E-Com-Tochter nach erfolgreichen Reformmaßnahmen abberufen hat.
Volker Rosengarten ist Rechtsanwalt und Partner bei Ashurst.
