Ausführliche Analyse: Der Fall Wirecard

24.06.2020
Michael Findeisen

Michael Findeisen war langjähriger Referatsleiter im Bereich Geldwäsche und Zahlungsverkehr im Bundesministerium der Finanzen.

Die BaFin angelt und fängt nur die kleinen Fische, während der Hai "Wirecard" im Meer schwimmt.

Hierbei handelt es sich um eine ausführliche Analyse des Wirecard-Skandals. Eine Zusammenfassung dieser Analyse finden Sie hier


Die Aufarbeitung des Wirecard-Bilanzskandals verlangt u. a. die Beleuchtung der Rolle, die die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) mit Blick auf ein mögliches Fehlverhalten bzw. durch Untätigkeit bei der Aufsicht gespielt hat. Ebenfalls müssen mögliche regulatorische Schwachstellen im deutschen und EU-Aufsichtsrecht bzw. Aufsichtssystem untersucht werden. Dies hat sowohl durch die vom Bundesministerium der Finanzen über die BaFin ausgeübte Rechts- und Fachaufsicht als auch durch den Finanzausschuss des Deutschen Bundestages zu geschehen.

Aus Sicht von Finanzwende ergibt sich aus den nachfolgenden Sachverhaltsfeststellungen folgender regulatorischer und aufsichtlicher Verbesserungsbedarf:

  • Priorisierung der Aufsicht über Zahlungsdienstleister auf eine ordnungsgemäße Geschäftsorganisation sowie ein angemessenes Risikomanagements und Controlling einschließlich der IT. Verstärkung der externen Prüfungstätigkeit bezüglich dieser Aufsichtsfelder durch die BaFin. Die Geschäftsaktivitäten der Institute im Zahlungsverkehr in Drittstaaten sind regulatorisch unter Schaffung von Prüfungsrechten für die BaFin einzubeziehen.
  • Wesentliche Teile der Zahlungsverkehrsabwicklung durch die Wirecard werden von der BaFin nicht beaufsichtigt, weil es an einer wirksamen Gruppenaufsicht fehlt.  Die Zerlegung eines einheitlichen Geschäftsmodells und einer einheitlichen IT- und Abwicklungsstruktur des Unternehmens in einen erlaubnispflichtigen Teil und einen nicht beaufsichtigten Teil verhindert eine Gesamtschau der Aufsicht auf ein Unternehmen und dessen Risiken.
  • Zahlungsdienstleister, die in diesem Geschäftsfeld in der EU bedeutend sind, sollen direkt von der Europäischen Zentralbank in einem reformierten Europäischen Aufsichtsmechanismus (SSM) beaufsichtigt werden.
  • Schaffung aufsichtsrechtlicher Vorgaben für das Third Party Akquiring und für das Outsourcing im Akquisitionsgeschäft in Gestalt des Third Party Akquiring.
  • Überarbeitung der „Auslegungs- und Anwendungshinweise zum Geldwäschegesetz“ – AuAs (Stand: Dezember 2018); Risikobewertung des Authentifizierungsgeschäfts in der „Nationalen Risikoanalyse“ - Geldwäsche und Terrorismusbekämpfung des BMF unter Einbeziehung des internationalen Akquisitionsgeschäfts; Überprüfung der Outsourcingvorschrift des § 17 GwG

1. Was fällt überhaupt unter die Aufsicht der BaFin?

In den Medien fällt weitgehend unter den Tisch, dass es sich bei der Wirecard Gruppe um eine Unternehmensstruktur handelt, die nicht in toto einer laufenden (Solvenz)-aufsicht durch die BaFin unterworfen ist. Dies ist nur bei der Wirecard Bank AG, einer Tochter der Wirecard AG, der Fall. Eine Gruppenaufsicht, die eine Gesamtschau der Aufsicht auf das Unternehmen ermöglicht, gibt es aufgrund dieses Konstrukts nicht. Dies betrifft sogar den Zahlungsverkehr. Hinzu kommt, dass die Geschäftsaktivitäten der Wirecard Bank AG in Drittstaaten außerhalb der Europäischen Union, etwa im Akquisitionsgeschäft, nicht der Aufsicht unterworfen sind.  

Die Wirecard AG ist ein weltweit tätiges Unternehmen für die Abwicklung des Zahlungsverkehrs für Unternehmen (namentlich Online-Händler) und Retailkunden. Sie bietet Softwarelösungen für verschiedene Zahlmethoden und Zahlungsinstrumente im stationären Handel, online und mobil sowie deren Abwicklung an. Die Wirecard AG bietet Dienstleistungen im Zahlungsverkehr ihren Kunden an, soweit diese keine erlaubnispflichtigen Bankgeschäfte nach dem Kreditwesengesetz (KWG) und keine Zahlungsdienstleistungen nach dem Zahlungsdiensteaufsichtsgesetz (ZAG) umfassen. Letztere werden über die Wirecard Bank AG abgewickelt. Soweit nicht unmittelbar Zahlungsdienste erbracht oder E-Geld ausgegeben wird, unterfallen die notwendigen technischen und IT-Dienstleistungen bei der Abwicklung des Zahlungsverkehrs durch die Wirecard AG nicht der Aufsicht durch die BaFin. Die notwendigen, von der Wirecard AG und Dritten erbrachten technischen Dienstleistungen erfüllen einen Ausnahmetatbestand im ZAG. Damit sind diese erlaubnisfrei. Im Ergebnis führt die willkürliche Zerlegung eines einheitlichen Geschäftsmodells mit ihrer Wertschöpfungskette zu einer partiellen Blindheit der Aufsicht im Zahlungsverkehr.     

Die Wirecard AG ist lediglich Adressat der Wertpapieraufsicht der BaFin. Ziel der Wertpapieraufsicht als bloße Marktaufsicht ist es, die Transparenz und Integrität des Finanzmarktes sowie den Anlegerschutz zu gewährleisten. Die zentralen Aufgaben der Wertpapieraufsicht der BaFin sind u. a. nach dem Wertpapierhandelsgesetz (WPHG) die Bekämpfung von Insidergeschäften und der Marktmanipulation, die Überprüfung der Veröffentlichung von Ad-hoc-, Directors´ Dealings- und bedeutenden Stimmrechtsmeldungen. Die Aufsichts- und Erkenntnisinstrumente und damit die Prüfungsrechte der BaFin sind in der Wertpapieraufsicht gegenüber der laufenden Aufsicht nach dem KWG und ZAG deutlich geringer.

Was die in von einer Prüfung im Auftrag des Aufsichtsrats der Wirecard AG und in der öffentlichen Diskussion in Frage gestellte Bilanzierung der Wirecard AG anbelangt. ist die Deutsche Prüfstelle für Rechnungslegung (DPR) und nicht die BaFin unmittelbar tätig geworden. Die privatrechtlich als Verein organisierte DPR, von ihrem Charakter her eher Selbstregulierungsstelle und nicht, wie in den Medien kolportiert, „Bilanzpolizei“, kann den Jahresabschluss börsennotierter Firmen (im Auftrag der BaFin) überprüfen - in der Regel stichprobenartig, aber auch bei einem konkreten Verdacht. Sie kann keine Sanktionen verhängen; die Unternehmen müssen aber ihre Erkenntnisse veröffentlichen, wenn sie Mängel feststellt. Verweigern Unternehmen die Zusammenarbeit, kann die BaFin – auf der zweiten Ebene – aufsichtsrechtlich eine Prüfung und Sanktionen erzwingen. Ob sich diese Struktur und Zweistufigkeit bewährt hat, sollte zu gegebener Zeit ebenfalls bewertet werden.  

Die Wirecard Gruppe ist im operativen Geschäft bezüglich der angebotenen Produkte und für die Abwicklung des elektronischen Zahlungsverkehrs auch in einem Bereich tätig, der der Erlaubnis für das Betreiben von Bankgeschäften und Finanzdienstleitungen durch die BaFin bedarf und der einer laufenden Aufsicht, auch in Bezug auf ihre Geschäftsleiter und Aufsichtsorgane, unterworfen ist. Für die erlaubnisbedürftigen Geschäftsaktivitäten nutzt die Wirecard Gruppe die Wirecard Bank AG, ebenfalls mit Sitz in Deutschland, die eine unmittelbare 100-prozentige Tochtergesellschaft der Wirecard AG ist. Sie ist aufgrund der ihr erteilten Erlaubnis (Vollbankenerlaubnis) Universalbank (CRR-Kreditinstitut). Sie betreibt jedoch Bankgeschäfte wie das Einlagen- und Kreditgeschäft nicht schwerpunktmäßig; das Einlagengeschäft betreibt sie in erster Linie im Zusammenhang mit der Führung von Zahlungskonten für ihre Kunden (§ 1 Abs. 17 ZAG); andere Bankgeschäfte, auf die sich die Vollbankenerlaubnis bezieht, betreibt sie vielfach gar nicht. Wesentliches Geschäftsfeld ist die Erbringung von Finanzdienstleistungen, die nicht im KWG geregelt sind, sondern im ZAG. Als Erlaubnisträgerin einer Bankerlaubnis darf die Wirecard Bank AG als CRR - Kreditinstitut diese Finanzdienstleistungsgeschäfte ohne zusätzliche Erlaubnis betreiben.

Mit Akzeptanzstellen in 124 Ländern ist die unmittelbare Tochter der Wirecard AG, die Wirecard Bank AG einer der weltweit größten Akquirer und damit marktführend mit einem Geschäftsmodell, das nicht das klassische Bankgeschäft, sondern auf die Abwicklung des Zahlungsverkehrs mittels kartengestützter elektronischer Zahlungen und E-Geld fokussiert ist.

2. Was ist eigentlich Akquiring?

Das Akquitionsgeschäft erfasst die Ausgabe von Zahlungsinstrumenten oder die Annahme und Abrechnung von Zahlungsvorgängen. Es ist gem. § 1 Abs. 1 Satz 2 Nr. 5 ZAG eine erlaubnispflichtige Finanzdienstleistung.

§ 1 Abs. 35 ZAG umschreibt die Annahme und Abrechnung von Zahlungsvorgängen (Akquisitionsgeschäft) als einen Zahlungsdienst, der die Übertragung von Geldbeträgen zum Zahlungsempfänger bewirkt und bei dem der Zahlungsdienstleister mit dem Zahlungsempfänger eine vertragliche Vereinbarung über die Annahme und die Verarbeitung von Zahlungsvorgängen schließt. Die Ausgabe von Zahlungsinstrumenten beinhaltet alle Dienste, bei denen ein Zahlungsdienstleister eine vertragliche Vereinbarung mit dem Zahler schließt, um einem Zahler ein Zahlungsinstrument zur Auslösung und Verarbeitung der Zahlungsvorgänge des Zahlers zur Verfügung zu stellen.

Akquiring ist Voraussetzung für den Kauf von Waren oder die Bezahlung von Dienstleistungen im Online-Handel. Der Akquirer tritt bei Kartentransaktionen zwischen die Kartenfirma auf der einen und die Händler auf der anderen Seite. Bezahlt ein Kunde per Karte, fließt das Geld von Visa oder Mastercard nicht direkt zum Händler, sondern geht zunächst einmal an den Akquirer. Diese Gelder sind im Fall Wirecard vermutlich zum Teil auf Treuhandkonten bei asiatischen Banken geflossen, die im Prüfungsbericht der KPMG Erwähnung gefunden haben.  Erst mit zeitlichem Verzug leitet dieser das Geld dann an den Händler weiter. Wirecard bietet u. a. dem Onlinehandel die Abwicklung von unbaren, elektronischen Zahlungen, Kreditkartenakzeptanz und deren Risikoabsicherung an. Jeder Händler, der seinen Kunden den Kauf von Waren und Dienstleistungen per Debit- oder Kreditkarte anbieten will, braucht einen Akquirer, der im Zweifel für seine Seriosität bürgt. Andernfalls würden Kreditkartenunternehmen wie Visa oder Mastercard den Händler nicht akzeptieren. Dafür erhält der Akquirer eine Gebühr und den sogenannten Sicherheitseinbehalt des Händlers. Kauft ein Kunde bei einem Online-Händler mit seiner Karte für einen bestimmten Geldbetrag Waren, transferiert das Kreditkartenunternehmen den Betrag zum Acquirer. Dieser bezahlt den Betrag an den Händler unter Kürzung seiner Provision und des sog. Sicherheitseinbehalts. Dieser Sicherheitseinbehalt wird erst, nachdem der Händler die Ware an den Kunden ausgeliefert und Rückbelastungen wg. Sachmängeln etc. ausscheiden, an den Händler transferiert.

Die Wirecard Bank AG hat keine Tochterunternehmen im In- und Ausland. In der Europäischen Union kann sie, soweit es sich um erlaubnispflichtige Geschäfte handelt, den Europäischen Pass nutzten. Was erlaubnispflichtige Geschäftsaktivitäten in Drittstaaten, namentlich in Asien und im Vorderen Orient anbelangt, wickelt die Bank diese Geschäfte, etwa im Acquiring, über Drittunternehmen, namentlich Banken, ab, mit denen sie dafür besondere Vertragsbeziehungen unterhält und die – wenn überhaupt - von der jeweiligen nationalen Aufsichtsbehörde entsprechend beaufsichtigt werden. Tochterunternehmen, die im Besitz einer Erlaubnis wären, unterhält die Wirecard Bank AG in diesen Ländern – aus Kostengründen - nicht. Prüfungsrechte für diese Aktivitäten in Drittstaaten hat die BaFin vor Ort nicht; es sei denn, solche Prüfungsrechte würden mit jeweiligen Drittstaat in einem Memorandum of Understanding (MoU) vereinbart werden, was jedoch für Akquiringaktivitäten bisher nicht der Fall ist.

Die Wirecard Bank AG ist Mitglied von Visa, MasterCard und JCB International, was ihr ermöglicht, im Rahmen des Akquisitionsgeschäfts Kreditkartenakzeptanz-Verträge abzuschließen sowie Karten auszugeben. Das Angebot umfasst neben Visa, MasterCard oder JCB International auch die Ausgabe eigener durch die Bank (Prepaid Trio und die mycard2go für Privatkunden).

Eine nationale Aufsicht über einen europa- und weltweit tätigen Zahlungsdienstleister von der Größe und dem Geschäftsmodell von Wirecard stößt an ihre nationalen Grenzen. Rund 50% der Geschäftsaktivitäten der Wirecard AG finden in der Europäischen Union statt; 50% werden in Drittstaaten abgewickelt. Das nationale Geschäft wurde bei der Wirecard AG zugunsten des Geschäfts in Drittstaaten immer unbedeutender. Lediglich für die Europäische Union gibt es mit der Zahlungsdiensterichtlinie einen einheitlichen Aufsichtsstandard - Richtlinie (EU) 2015/2366 vom 25. November 2015 – PSD II - der allerdings den technischen Entwicklungen und damit den Risikopositionen im elektronischen Zahlungsverkehr hinterherhinkt und bereits bei seinem Inkrafttreten veraltet war.

3. Sind Zahlungsdienstleistungen und Zahlungssysteme in Deutschland und europaweit angemessen beaufsichtigt?

I.

Dass die BaFin in dem zentralen Geschäftsfeld der erlaubnispflichtigen Bank- und Finanzdienstleistungsgeschäfte, in dem sie im Rahmen der laufenden Aufsicht die größten Eingriffs- und gleichzeitig Einsichtsmöglichkeiten hat, in den letzten Jahren durch Sonderprüfungen und andere Aufsichtsmaßnahmen besonders aktiv geworden ist, um mehr Transparenz in die weltweiten Zahlungsabwicklungsstrukturen von Wirecard AG gerade in Asien und in den Golfstaaten zu bringen und Risikopotentiale einschließlich der auf Dritte ausgelagerte Aktivitäten und technischen Prozesse zu erkennen, dürfte nicht der Fall sein. Wenn sich ausweislich des vom Aufsichtsrat der Wirecard AG in Auftrag gegebenen KPMG-Berichts ein verheerendes Bild des internen Kontrollsystems der Wirecard AG ergibt und die Höhe bzw. Existenz wesentlicher Erlöse auf Treuhandkonten, die Wirecard aus Geschäften, die sie über das Third Party Akquiring (u. a. als Provision) erzielt haben will, nicht belegbar sind, muss davon ausgegangen werden, dass diese Unklarheiten auch hinsichtlich der einzelnen Third-Party Acquirer-Transaktionen der Bank bestehen und dementsprechend  interne Kontrollsysteme (§ 25a KWG iVm § 27 ZAG) im Zahlungsverkehr bei der Bank nicht funktionieren.

Noch immer herrscht bei der Aufsicht das Vorverständnis vor, dass der Zahlungsverkehr zwar in der Durchführung als technisch anspruchsvoll, jedoch nicht als besonders risikobehaftet anzusehen ist und keine hohen aufsichtsrechtlichen Anforderungen im Rahmen der laufenden Aufsicht an die Adressaten stellt. Konsequenz ist, dass sich in der BaFin aktuell zwei kleine Referate (bis 2017 lediglich 2 Mitarbeiter!) um die damit in Zusammenhang stehenden allgemeinen regulatorischen Fragen des Zahlungsverkehrs kümmern, mithin um einen Aufsichtsbereich, der für jedes Unternehmen und jeden Retailkunden, sofern er nicht sein Kapital in Aktien anlegt, mehr tangiert als die Kursentwicklung von Wirecard-Aktien und die Marktaufsicht der BaFin.  Auch die Medien haben sich kaum für diese Seite der Geschäftsaktivitäten der Wirecard AG interessiert.

Es lässt sich bereits jetzt feststellen, dass eine laufende Aufsicht über die Wirecard Bank AG durch die BaFin den Besonderheiten dieses Instituts und den daraus resultierenden Risiken nicht gerecht wird. Darauf deutet bereits hin, dass im zuständigen Aufsichtsstrang der Bankenaufsicht in der BaFin die Wirecard Bank AG das einzige Institut mit Zahlungsdienstleistungen als hauptsächliche Aktivität ist, während Zahlungsinstitute trotz Sachnähe organisatorisch anderswo beaufsichtigt werden.

Bis zum Inkrafttreten und der Umsetzung der Ersten Zahlungsdiensterichtline (PSD I) war die Erbringung der wesentlichen, kontobezogenen Teile der Zahlungsdienstleistungen ein erlaubnispflichtiges Bankgeschäft (Girogeschäft), das allerdings, etwa im Vergleich zum Kreditgeschäft, de facto in der laufenden Aufsicht im Prüfungswesen keine Rolle spielte. Der Grund: Eigenkapital- und Liquiditätsanforderungen haben im Zahlungsverkehr eine geringere Bedeutung. Was die technische Seite der Zahlungsverkehrsabwicklung anbelangt, vertraute die Aufsicht auf die Verbände der Kreditwirtschaft, die sich national und im EU-Zahlungsverkehr um die technische Vereinheitlichung von Produkten, Vertriebskanälen und Plattformen kümmerten und der EU-Regulator lediglich den verbindlichen Rechtsrahmen für dessen verbindliche Durchsetzung zulieferte. Für den Rest wurde auf die Überwachung (Oversight) der Zentralbanken über die Zahlungssysteme vertraut.

Eine ordnungsgemäße Aufsicht über im Rahmen des Zahlungsverkehrs erbrachte Zahlungsdienstleistungen der Institute verlangt unter Risikogesichtspunkten nicht nur eine zukünftig verstärkte Priorisierung auf  wichtige Aufsichtsfelder (ordnungsgemäße Geschäftsorganisation, angemessenes Risikomanagement und Controlling einschließlich der IT) sondern auch eine Verstärkung der daran ausgerichteten  Prüfungstätigkeit im Rahmen der laufenden Aufsicht durch die nationalen Aufsichtsbehörden. Durch erweiterte Memoranda of Understanding sind die Geschäftsaktivitäten der Bank in Drittstaaten regulatorisch unter Einbeziehung von Prüfungsrechten für die BaFin anzupassen.

Die Zerlegung eines einheitlichen Geschäftsmodells und einer einheitlichen IT- und Abwicklungsstruktur  des Unternehmens in  einen erlaubnispflichtigen Teil und einen nicht beaufsichtigten Teil verhindert eine Gesamtschau der Aufsicht auf ein Unternehmen vom Zuschnitt der Wirecard AG und dessen Risiken. Ohne Gruppenaufsicht kann es keine wirksame Aufsicht geben.

Wie weit die BaFin von diesem risikoorientierten Ansatz im Zahlungsverkehr bei der laufenden Aufsicht noch entfernt ist, zeigt sich auch in den Mindestanforderungen an das Risikomanagement (BA), MaRisk (BA) der BaFin (Stand: 27.10.2017). Es handelt sich dabei um Verwaltungsvorschriften, die mit einem Rundschreiben der BaFin für die Ausgestaltung des Risikomanagements und Risikocontrolling in deutschen Kreditinstituten veröffentlicht wurden. Dort wird die Erbringung von Zahlungsdienstleistungen, anders als das Kreditgeschäft oder das Handelsgeschäft, gar nicht spezifiziert unter Risikogesichtspunkten in einem „Besonderen Teil“ (BTO) behandelt. Für Institute, die Zahlungsinstitute und keine Kreditinstitute sind, gelten diese Verwaltungsvorschriften, obwohl sie ähnliche Risikopositionen aufweisen, ohnehin nicht. Mit dem Grundsatz „Same risks, same rules“ dürfte dies nicht vereinbar sein.

II.

Über die Aufklärung des Falles Wirecard und die Verbesserung der Aufsicht der BaFin im Zahlungsverkehr hinaus müssen allerdings auch grundsätzliche Fragen zur zukünftigen Beaufsichtigung von Unternehmen aufgeworfen werden, die im europäischen Zahlungsraum und bei ihren Dienstleistungen in Drittstaaten im Rahmen der Abwicklung des Zahlungsverkehrs eine bedeutende Rolle spielen und eine ähnliche Risikostruktur aufweisen bzw. ähnliche erlaubnispflichtige Bank- und Zahlungsdienstleistungen erbringen wie die Wirecard Bank AG. Hierzu gehören u. a. Adyen in den Niederlanden oder die französische Worldline.

Der Zahlungsverkehr unterliegt aufgrund neuer Trends und Technologien einem kontinuierlichen Wandel. Die Schnittstelle zum Kunden im Zahlungsverkehr wurde im Rahmen der Digitalisierung neu gestaltet. Mit der Verbreitung von Smartphones, schnellen Übertragungstechnologien und der Digitalisierung von Geschäftsprozessen unter Zwischenschaltung weiterer Intermediäre bzw. der Zusammenfassung mehrerer (nicht lizenzierter) Online-Marktplatzbetreiber unter dem Dach eines einzigen lizensierten Zahlungsdienstleisters für die Zahlungsabwicklung erhält das bargeldlose Bezahlen einerseits einen enormen Schub. Akquirer, Kartenorganisationen, Netzbetreiber, FinTechs sowie große Internetunternehmen positionieren sich neu. Andererseits müssen deshalb auch der Kundenschutz und die Sicherheit von Zahlungen gestärkt werden. Die rasche Abfolge der Innovationen legt nahe, dass sich digitale Bezahlmöglichkeiten weiter entwickeln werden. Mit der nächsten Welle an Innovationen könnten Distributed-Ledger-Technologien und Stable Coins an Bedeutung gewinnen.

Im Rahmen dieses Innovationsprozesses haben sich in den letzten Jahren die Sicherheitsrisiken für elektronische Zahlungen erhöht. Das ist der größeren technischen Komplexität dieser Zahlungen, ihrem weltweit ständig wachsenden Volum und den neu aufkommenden Arten von Zahlungsdiensten geschuldet, bei denen mehr zwischengeschaltete Akteure ein Rolle bei der Zahlungsverkehrsabwicklung spielen. Zuverlässige und sichere Zahlungsdienste stellen eine entscheidende Bedingung für einen gut funktionierenden Zahlungsverkehrsmarkt dar. Die Nutzer von Zahlungsdiensten sollten daher vor Risiken angemessen geschützt werden. Zahlungsdienste sind eine wesentliche Voraussetzung für das Funktionieren zentraler wirtschaftlicher und gesellschaftlicher Tätigkeiten.

Mit der 2015 überarbeiteten PSD II gehen zwar erweiterte Sicherheitsanforderungen einher. Insbesondere mit dem neu geschaffenen Instrument der „starken Kundenauthentifizierung“ (vgl. Art. 97 PSD II) reagiert der europäische Gesetzgeber auf Besonderheiten der Sicherheitsarchitektur bei Internettransaktionen. Im Ergebnis hinken diese Schritte den Entwicklungen am Markt jedoch hinterher. In den letzten Jahren haben sich die Sicherheitsrisiken für elektronische Zahlungen erhöht.

In diesem Kontext hat(te) zwar die Europäische Bankenaufsichtsbehörde (EBA) die Aufgabe, Durchführungsvorschriften eine Vielzahl von technischen Regulierungsstandards, technischen Durchführungsstandards und Leitlinien zu erarbeiten. Diese betreffen die Aufsichtstätigkeit der zuständigen Behörden in den Mitgliedstaaten (in Deutschland die BaFin). Für die Anbieter und Nutzer von Zahlungsdiensten sind vor allem die technischen Regulierungsstandards zur Authentifizierung und zur Kommunikation von Bedeutung. Allerdings stellt sich die Frage, ob diese Harmonisierungsschritte ausreichen, den angesprochenen Risiken wirksam zu begegnen.

Es sollte deshalb auch auf EU-Ebene, nicht nur durch die EU-Kommission, sondern initiativ durch das Europäische Parlament eine Diskussion darüber angestoßen werden, ob es zur Reduzierung von Risiken bei der EU-weiten Abwicklung des immer komplexer werdenden Zahlungsverkehrs im europäischen Zahlungsraum und bezüglich des Zahlungsverkehrs mit Drittstaaten nicht angezeigt ist, die Aufsicht über Institute und Unternehmen mit großem Geschäftsvolumen bei der Abwicklung des Zahlungsverkehrs, soweit sie bedeutend im Zahlungsverkehr sind, bei der EZB über einen reformierten Bankenaufsichtsmechanismus (SSM) zu bündeln.

Von dieser Bündelung der Aufsicht sollten nicht nur Zahlungsdienstleister in der Rechtsform des CRR-Kreditinstituts, sondern auch des Zahlungsinstituts erfasst sein. Ebenfalls ist es erforderlich, die Gruppenaufsicht bei Zahlungsdienstleistern zu stärken. Es kann nicht sein, dass ein Großteil der Anbietung und Abwicklung von Dienstleistungen im  Zahlungsverkehr in einem „erlaubnisfreien Teil“ der Gruppe vorgenommen wird, für den die Aufsicht keine angemessenen Prüfungs- und Durchsetzungsrechte besitzt. Die Erlaubnisfreiheit sog. technischer Dienstleister muss hinterfragt werden. So wird eine einheitliche Zahlungsverkehrsabwicklung künstlich zerlegt und Platz für Umgehungen der Erlaubnisbedürftigkeit geschaffen.       

Dieses Petitum ergibt sich auch aus den nachfolgenden Entwicklungen:

  • In letzter Zeit hat es im europäischen und internationalen Zahlungsverkehrsmarkt viele Fusionen und Übernahmen gegeben, so dass neben den nach wie vor zahlreich vorhandenen Start-Ups, die selten mit eigener Erlaubnis, sondern erlaubnisfrei als sog. technischer Dienstleister  mit Nischenfunktion in der Zahlungskette agieren, immer wenige lizenzierte Player den europäischen Zahlungsmarkt beherrschen. Dadurch vergrößert sich das Risiko, dass es durch die Insolvenz oder Betriebsstörungen eines Anbieters zu relevanten Störungen bei nationalen und grenzüberschreitenden Zahlungen kommen kann, die nicht nur die Institute und Unternehmen in der Zahlungskette sowie die einzelnen Auftraggeber und Zahlungsempfänger betreffen, sondern sich auf die gesamte Vertriebsschiene etwa des Online-Handels negativ auswirken können. Der Schutz vor technischen Defekten, die schnelle Reaktion auf den Ausfall eines wichtigen Anbieters bzw. die Verhinderung von Cyberangriffen auf der gesamteuropäischen Ebene  hat deshalb bei der Regulierung des Zahlungsverkehrs absolute Priorität.
  • Das Eurosystem hat ohnehin bereits die satzungsgemäße Aufgabe, das reibungslose Funktionieren der Zahlungs- und Abwicklungssysteme zu fördern (vgl. Artikel 127 Absatz 2 des Vertrags über die Arbeitsweise der Europäischen Union sowie Artikel 3 und 22 der Satzung des Europäischen Systems der Zentralbanken und der Europäischen Zentralbank) Zu diesen Aufgaben gehört u. a. die Festlegung der Überwachungspolitik und die entsprechenden Überwachungsstandards für Großbetrags- und Massenzahlungssysteme, Zahlungsinstrumente, Clearingsysteme, Wertpapierabwicklungssysteme und bestimmte Drittdienstleister. Für diese Infrastrukturen führt es über die Zentralbanken im EZB-Verbund auch Überwachungstätigkeiten (Oversight, keine institutsbezogene Aufsicht) durch, indem es die Einhaltung der Regeln und Standards überprüft und gegebenenfalls Änderungen herbeiführt.

Aus der Verknüpfung dieser beiden Elemente ergibt sich der Vorschlag von Finanzwende, die Aufsicht über bedeutende Institute im europäischen Zahlungsverkehr im Rahmen des Europäischen Aufsichtsmechanismus (SSM) zukünftig direkt bei der Europäischen Zentralbank (EZB) anzusiedeln.

Die Entscheidung, ob eine Bank als bedeutend gilt, wird im SSM auf der Grundlage einer Reihe von Kriterien getroffen. Unter die direkte Aufsicht der EZB fallen bedeutende Banken primär dann, wenn deren Bilanzsumme mehr als 30 Milliarden Euro oder wenn es sich um eine der drei wichtigsten Banken in einem EU-Staat handelt.  Die Bilanzsumme ist bei Instituten, die sich primär auf die Erbringung von Zahlungsdiensten konzentrieren, jedoch nicht das entscheidende Kriterium, um deren Bedeutung für den Zahlungsverkehr zu messen. Der Europäische Aufsichtsmechanismus hat sich in erster Linie in Reaktion auf die Probleme der Finanzmarktkrise 2008/2009 etabliert. Auch die genannten Kriterien sind deshalb davon stark geprägt. Mit Blick auf die zukünftigen Risikopositionen im europäischen und im internationalen Zahlungsverkehrsmarkt muss dieser Kriterienkatalog entsprechend ergänzt und auf Zahlungsdienstleister, die in diesem Geschäftsfeld bedeutend sind, erweitert werden.

4. Ad hoc - Maßnahmen bei der Beaufsichtigung im Rahmen der Erbringung von Zahlungsverkehrsdienstleistungen

Der Rechtsrahmen für den europäischen Zahlungsverkehr wird durch die PSD II vorgegeben, die durch Durchführungsvorschriften und Leitlinien der EBA ergänzt werden. Was die nationale Implementierung dieser vollharmonisierten Richtlinie im ZAG und ergänzend hierzu im BGB anbelangt, hat die BaFin im Rahmen ihrer Verwaltungspraxis ein Merkblatt (Merkblatt – mit Hinweisen zum Zahlungsdiensteaufsichtsgesetz ((Stand: 29.11.2017)) erstellt, das zu Inhalt und Umfang der einzelnen Zahlungsdienste und Fragen, die insbesondere im Erlaubnisverfahren für die Antragsteller von Relevanz sind, Auskunft gibt.  Diese Verwaltungsvorschriften haben ebenfalls für die BaFin Bindungswirkung; etwa im Rahmen der externen Prüfung. Dieses Merkblatt umfasst auch Ausführungen zur Neufassung des Akquistionsgeschäfts durch die PSD II.

Bisher sind jedoch weder von der EBA noch von der BaFin Leitlinien oder Verwaltungsvorschriften für das Akquisitionsgeschäft unter Einschaltung von Subakquirern oder Third Party Akquirern ergangen. Das im Falle der Wirecard Bank wichtige Zusammenspiel von Akquirern und Third Party Akquirern in Drittstaaten ist noch nicht regulatorisch aufgearbeitet.

Bei Third Party Akquirern dürfte es sich nicht um Agenten der lizenzierten Akquirer handeln, da diese nicht im Namen des Akquirers gegenüber dem Händler, mit dem ein Akquisitionsvertrag besteht, bloße Willenserklärungen abgeben, sondern in die Abwicklung der Zahlungen von Kreditkartenunternehmen an den Akquirer und der Weiterleitung der Gelder unter Einbehaltung einer Provision an den Handel eingebunden sind. Dies gilt zumindest für die Fälle, in denen der Akquisitionsvertrag ausschließlich zwischen dem Akquierer und dem Händler geschlossen wird.

Ein Agent im Sinne des ZAG ist jede juristische oder natürliche Person, die als selbständiger Gewerbetreibender im Namen eines Zahlungsinstituts oder E-Geld-Instituts Zahlungsdienste ausführt. Die Handlungen des Agenten werden dem Zahlungsdienstleister oder dem E-Geld-Institut zugerechnet. Erfasst werden grundsätzlich nur Fälle der sogenannten offenen Stellvertretung. Dafür ist erforderlich, dass der Agent sein Handeln für das Institut erkennbar ausführt und gegenüber dem Dritten zivilrechtlich seine Stellvertretung offenlegt. Die Zurechnung der Stellvertretung erfolgt nach dem allgemeinen Vertretungsregelungen gemäß §§ 164 ff BGB.

Es dürfte sich deshalb vielmehr um einen Fall der Auslagerung der erlaubnispflichtigen Akquiringaktivitäten nach § 1 Abs. 1 S. 2 Nr. 5 ZAG und der damit im Zusammenhang stehenden Zahlungsdienstleistungen nach § 1 Abs. 1 S. 2 Nr. 3a-c ZAG handeln, der den Anforderungen des § 25b KWG und § 26 ZAG entsprechen muss. Voraussetzung hierfür ist, dass das Institut - abhängig von Art, Umfang, Komplexität und Risikogehalt einer Auslagerung von Aktivitäten und Prozessen auf ein anderes Unternehmen, die für die Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen wesentlich sind - angemessene Vorkehrungen trifft, um übermäßige zusätzliche Risiken zu vermeiden.

Eine Auslagerung darf weder die Ordnungsmäßigkeit dieser Geschäfte und Dienstleistungen noch die Geschäftsorganisation des Instituts beeinträchtigen. Insbesondere muss ein angemessenes und wirksames Risikomanagement durch das Institut gewährleistet bleiben, das die ausgelagerten Aktivitäten und Prozesse einbezieht.

Bei der aufsichtsrechtlichen Aufarbeitung des Falles sollten von der BaFin und dem BMF folgende geldwäscherechtliche Schlussfolgerungen gezogen werden:

  • Schaffung aufsichtsrechtlicher Vorgaben für das Third Party Akquiring, insbesondere in Drittstaaten und Entwicklung einer Verwaltungspraxis der BaFin zum Akquisitionsgeschäft nach § 1 Abs. 2 Satz 2 Nr. 5 ZAG.
  • Schaffung aufsichtsrechtlicher Vorgaben für das Outsourcing im Akquisitionsgeschäft in Gestalt des Third Party Akquiring insbesondere in Drittstaaten.

5. Ad hoc – Maßnahmen bei der Geldwäscheprävention

Auch geldwäscherechtlich stellt das Geschäftsmodell der Wirecard AG die Aufsicht vor große Herausforderungen, da die Wirecard Bank nicht die klassischen Bankgeschäfte mit den aufgrund des inzwischen bestehenden Erfahrungswissens bekannten und damit institutsseits steuerbaren bzw. aufsichtsseits kontrollierbaren Geldwäscherisiken betreibt. Hinzu kommt, dass die Wirecard AG – anders als die Wirecard Bank AG - nicht Verpflichtete des Geldwäschegesetzes ist. Die Wirecard Bank AG ist nicht Mutterunternehmen der Gruppe, sondern lediglich Tochtergesellschaft, so dass deshalb nicht der Pflichtenkatalog des § 9 GwG, der die gruppenweiten Pflichten regelt, auf sie Anwendung findet. Eine geldwäscherechtliche Group Compliance ist deshalb vom Gesetzgeber nicht vorgegeben, was zulasten der Transparenz im Rahmen einer einheitlichen Anti-Geldwäscheaufsicht geht.

Die BaFin hat zwar im Dezember 2018 „Auslegungs- und Anwendungshinweise zum Geldwäschegesetz“ – AuAs (Stand: Dezember 2018) veröffentlicht, die für alle Adressaten dieses Gesetzes, sofern diese von der BaFin beaufsichtigt werden, zur Anwendung kommen sollen. Diese Auslegungs- und Anwendungshinweise, die ihrem Charakter nach Verwaltungsvorschriften der BaFin zur Auslegung der GwG-Vorschriften  sind, und für die Aufsicht, gerade was die externe Prüfung einschließlich der Jahresabschlussprüfung anbelangt,  auch Bindungswirkung erzeugen,  sind allerdings für die spezifischen von der Wirecard Bank betriebenen Geschäfte weitgehend wertlos, weil ihr Geschäftsmodell kaum Ähnlichkeiten mit dem einer Universalbank aufweist. Die Handhabung der Kundensorgfaltspflichten (KYC) und der Anforderungen an deren Dokumentation im Akquisitionsgeschäft bzw. das geldwäscherechtliche Zusammenspiel des Akquistionsgeschäfts mit der Ausführung von Zahlungsvorgängen einschließlich der Übermittlung von Geldbeträgen auf ein Zahlungskonto bei der Wirecard Bank AG oder einem anderen Zahlungsdienstleister einschließlich der Nutzung von Treuhandkonten bleiben bei den AuAs jedoch ausgeklammert.

Das Akquiring, namentlich das weltweit unter Einschaltung Dritter betriebene Akquiring (Third Party Akquiring), ist auch nicht Gegenstand einer spezifischen Risikoanalyse (in der „Ersten Nationalen Risikoanalyse“ -  Geldwäsche und Terrorismusbekämpfung 2018/2019) gewesen, die unter der Federführung des BMF erstellt worden ist. Dafür fehlte den Ermittlungsbehörden und leider auch der zuständigen Aufsichtsbehörde das notwendige Erfahrungswissen, ob und wie Akquiring für Geldwäschezwecke genutzt werden kann, zumal auch die als internationaler Standardsetzer für die Geldwäschebekämpfung geltende Financial Action Task Force -FATF – insoweit kein Risikobewusstsein besitzt und dieses Problem bisher nicht aufgegriffen hat.          

Es kann „von außen“ nicht bewertet werden, ob bei der Wirecard Bank das Aquiringeschäft und die Erbringung von sonstigen Zahlungsdiensten unter Auslagerung auf Dritte in Drittstaaten in der internen Risikoanalyse des Instituts (§ 5 GwG) den notwendigen Stellenwert besitzt und im Risikomanagement die erforderlichen Umsetzungsschritte vollzogen wurden.   Grundsätzlich gilt, dass die Wirecard Bank, die das Akquiring weltweit als Massengeschäft betreibt, alle ihre Händlerkunden, mit denen sie Vertragsbeziehungen unterhält, so wie jeden Geschäftskunden nach Maßgabe der §§ 10ff. GwG zu identifizieren und dies zu dokumentieren hat. Einem für Kredit- und Debitkartenzahlungen notwendigen Akzeptanzvertrag mit einem Zahlungsinstrumente-Acquirer hat ohnehin eine aufwändige Prüfung vorauszugehen. Händler, die Kreditkartenzahlungen online entgegennehmen, müssen die „Payment Card Industry Data Security Standard“-Richtlinien (PCI-DSS) der Kartenindustrie erfüllen. Dabei handelt es sich um ein Regelwerk, das die Abwicklung von Kreditkartentransaktionen im Zahlungsverkehr vorgibt und das von allen wichtigen Kreditkartenorganisationen unterstützt wird.

Das Akquiring und die damit verbundenen Transaktionen zwischen den beteiligten Stellen wird jedoch von der Wirecard Bank in großem Umfang und weltweit nicht aus einer Hand betrieben. Sie bedient sich bei der Abwicklung sog. Third Party Akquirer (im Regelfall Banken), weil sie es aus Kostengründen gescheut hat, in den Ländern, in denen sie aktiv ist, Tochtergesellschaften mit eigener Lizenz zu gründen.  Diese wird aber nicht zuletzt aufgrund der damit einhergehenden Zahlungsflüsse und des Haltens von Geldern, u. a. auf Treuhandkonten, benötigt.  Die Einschaltung Dritter in der Geschäftsabwicklung und in der Zahlungskette, u.a. bei der Verteilung der Provisionen der beteiligten Akquirer, dem Händler und dem Kartenunternehmen, erhöht automatisch die Geldwäscherisiken, wenn die notwendigen Informationen und Daten für eine  KYC-Analyse und die Verfolgung aller einschlägiger Transaktionen für den jeweils Verpflichteten nicht lückenlos vorliegen. Insoweit ist die Risikolage – zumindest dann, wenn die Wirecard Bank nur als durchleitende Stelle gegen Provision tätig wird - vergleichbar mit der des Korrespondenzbankenwesens, das international als hochrisikobehaftet gilt, was seinen Niederschlag u.a. in erhöhten Sorgfaltspflichten (§ 15 Abs. 3 Nr. 4 GwG) geführt hat. Ähnlich wie im Korrespondenzbankengeschäft könnten diese Fallkonstellationen nur dann risikoarm umgesetzt werden, wenn dem Modell „Know your customer´s customer“ gefolgt werden würde. Wie bereits aus dem Prüfungsbericht der KPMG ersichtlich ist, liegt in diesem Zusammenhang nicht nur bei der Wirecard AG, sondern auch bei deren Bankentochter vieles im Argen. Unter anderem wurde im Prüfungsbericht festgestellt, dass für in Höhe von 1,9 MRD Euro von Drittpartnern auf Treuhandkonten gezahlte Beträge keine ausreichenden Saldenbestätigungen existieren. Wenn Wirtschaftsprüfer von EY angabegemäß Zahlungsströme über 1,9 Mrd. Euro im Zusammenhang von für Wirecard geführte Treuhandkonten nicht verifizieren können, muss es erhebliche Mängel nicht nur in der Bilanzierung des Unternehmens, sondern auch in der GWG-Dokumentation geben. Diese Treuhandkonten werden offensichtlich als Sammelkonten geführt, die eine wirtschaftliche Zuordnung der einzelnen Beträge erschweren und geldwäscherechtlich als Hochrisikofaktor einzuordnen sind.    

Eine „Arbeitsteilung“ bei der Erfüllung durch Auslagerung der Sorgfaltspflichten an Dritte ist nur bei Erfüllung der Voraussetzungen  durch vertraglich beauftragte andere Personen und Unternehmen gemäß § 17 Abs. 5-9 GwG dann gestattet, wenn alle Voraussetzungen des § 17 Abs. 5-7 GwG einschließlich des § 25b KWG im Verhältnis des Verpflichteten zum Weiterbeauftragten erfüllt sind. Hierzu gehört auch, dass sich der Verpflichtete während der Zusammenarbeit durch Stichproben von der Angemessenheit und Ordnungsmäßigkeit der Maßnahmen überzeugen muss, die diese Personen oder Unternehmen getroffen haben. Sofern sich bei der Aufarbeitung des Wirecard-Falles aufsichtsseits herausstellen sollte, dass die Auslagerung bei der Erbringung von Zahlungsdienstleistungen einschließlich des Akquiring bei der Erfüllung von Sorgfaltspflichten  Implementierungsprobleme verursacht und Geldwäscherisiken generiert werden, ist zur alten Rechtslage durch den Gesetzgeber zurückzukehren. Nach der alten Rechtslage im GwG war jede Auslagerung von der Zustimmung der zuständigen Aufsichtsbehörde abhängig.

Aus dem Fall Wirecard und dessen aufsichtsrechtlicher Aufarbeitung sollten von der BaFin und dem BMF folgende geldwäscherechtliche Schlussfolgerungen gezogen werden:

  • Berücksichtigung der Kundensorgfaltspflichten in Zusammenhang mit der Durchführung des Authentifizierungsgeschäfts in der Überarbeitung der „Auslegungs- und Anwendungshinweise zum Geldwäschegesetz“ – AuAs (Stand: Dezember 2018). Diese ergänzende Verwaltungspraxis muss ihren Niederschlag in der internen Risikoanalyse des verpflichteten Instituts (§ 5 GwG) und in der externen Prüfung (vgl. § 27 PrüfbVO, § 16 ZahlpfüfbVO) finden   
  • Risikobewertung des Authentifizierungsgeschäfts in der „Nationalen Risikoanalyse“ - Geldwäsche und Terrorismusbekämpfung des BMF
  • Überprüfung der Outsourcingvorschrift des § 17 GwG