Der Fall (von) Wirecard – und seine Lehren für die Finanzaufsicht

Zuletzt ging gar nichts mehr: In der Nacht zum 22. Juni – genau um 2:48 Uhr – teilte der Vorstand des krisengeschüttelten Zahlungsabwicklers Wirecard AG in dürren Worten mit, dass von ihm ausgewiesene Bankguthaben in Höhe von 1,9 Milliarden Euro auf Treuhandkonten „mit überwiegender Wahrscheinlichkeit nicht bestehen.“ So etwas hatte es kaum je gegeben.

Nur wenige Stunden später übte sich Felix Hufeld, Chef der Finanzaufsicht BaFin, in Frankfurt am Main in Selbstkritik: „Wir sind nicht effektiv genug gewesen, um zu verhindern, dass so etwas passiert“. Die Causa Wirecard, so räumte Deutschlands Chefaufseher ein, sei „ein komplettes Desaster“.

Wie konnte es so weit kommen?            

Ein solcher Scherbenhaufen ist nur möglich, wenn gleich mehrere Kontrollmechanismen versagen: An erster Stelle wäre da wohl neben der Innenrevision der Wirecard AG und ihrer Tochter, der Wirecard Bank AG, die Rolle des Jahresabschlussprüfers Ernst&Young (EY) zu nennen. Die Zweifel an der Höhe der Aktiva sind nicht neu. Sie betreffen auch den Jahresabschluss 2017 und 2018. Das Manager Magazin hatte bereits im Oktober 2017 in einem Artikel fundiert auf ominöse Forderungspositionen im Third Party Akquiring und die damit verbundene Fake-Bilanzierungstechnik hingewiesen, was sich jetzt bestätigt hat. Geschehen ist bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) nichts.

Was die laufende Aufsicht der BaFin über die Wirecard Bank AG anbelangt, wurde aufsichtsseits nicht genügend beachtet, dass sich die Risikostruktur dieses Zahlungsdienstleisters wesentlich von der einer gewöhnlichen Universalbank unterscheidet. Kein Wunder: Eine wirksame Regulierung von Zahlungsdienstleistern in der EU basiert auf einem Rechtsrahmen (Zahlungsdiensterichtlinie PSD II), der den Risiken hinterherhinkt.

Was eine bessere Regulierung angeht, winkte Chefaufseher Felix Hufeld jüngst in Frankfurt jedoch erst einmal ab. Man brauche „keine regulatorischen Änderungen“, sagt er laut Medienberichten. Ähnlich äußerte sich auch sein Dienstherr, Finanzminister Olaf Scholz.

Das kann man auch anders sehen, wenn ein ganzes System versagt hat. 

Die Aufarbeitung des Wirecard-Bilanzskandals verlangt es aus Sicht von Finanzwende, die Rolle der BaFin genau zu beleuchten – insbesondere mit Blick auf ein mögliches Fehlverhalten oder Untätigkeit der laufenden Aufsicht über die Zahlungsdienste der Wirecard Bank AG und seiner wichtigsten Dienstleistung, des Akquisitionsgeschäfts in Drittstaaten. Außerdem gilt es, in diesem Zusammenhang regulatorische Schwachstellen im deutschen und EU-Aufsichtssystem zu untersuchen. Eine ausführliche Analyse finden Sie hier.

Die blinden Flecken der deutschen Aufseher

Was viele Menschen und auch Medienleute nicht wissen: Bei der Wirecard Gruppe handelt es sich um eine Unternehmensstruktur, die gar nicht in toto einer laufenden Aufsicht durch die BaFin unterworfen ist. Dies ist nur bei der Wirecard Bank AG, einer Tochter der Wirecard AG, der Fall.  Eine Gesamtschau der Aufsicht auf das Unternehmen und eine Gruppenaufsicht gibt es aufgrund dieses Konstrukts nicht.

Die BaFin blickt also schon wegen dieser Firmenstruktur durch eine Art Strohhalm auf die Wirecard Bank AG. Die viel größere Wirecard AG hingegen mit ihren (erlaubnisfreien) Teilakten, die sie in der Zahlungsverkehrsabwicklung erbringt, unterliegt lediglich der Wertpapieraufsicht der BaFin und damit qualitativ anderen Regeln. Ziel der Wertpapieraufsicht als bloße Marktaufsicht ist es, die Transparenz und Integrität des Finanzmarktes zu gewährleisten. Dazu gehören nach dem Wertpapierhandelsgesetz unter anderem die Bekämpfung von Insidergeschäften und der Marktmanipulation sowie die Überprüfung der Veröffentlichungspflichten. Die Instrumente und Prüfungsrechte der BaFin sind hier allerdings deutlich geringer als in der Solvenzaufsicht für Banken.

Erschwerend kommt hinzu, dass auch die Geschäftsaktivitäten der Wirecard Bank AG in Drittstaaten außerhalb der Europäischen Union nicht der Aufsicht unterworfen sind. Für das so genannte Third Party Akquiring in Drittstaaten, das das Kerngeschäft der Bank und angabegemäß deren Cashcow war, reichen die Regeln für das Akquisitionsgeschäft im Zahlungsdiensteaufsichtsgesetz und im Geldwäschegesetz nicht aus. Die BaFin hat auch nicht versucht, dieses Regelungsdefizit durch eine Verwaltungspraxis, etwa über strenge Outsourcing-Regelungen, auszugleichen. Sprich: Die Aufsicht durch die BaFin war von vielen blinden Flecken geprägt.

Dabei ist die Wirecard AG ein weltweit tätiges Unternehmen für die Abwicklung des Zahlungsverkehrs – namentlich für Online-Händler und ihre Retailkunden. Dazu gehören Softwarelösungen für Zahlmethoden und Zahlungsinstrumente im stationären Handel, online und mobil sowie deren Abwicklung.

Die Wirecard AG ist im Kern ein Zahlungsabwickler. Aus der Gesamtheit - und trotz des Zusammenhangs dieser Geschäfte  - wurde für das Segment der erlaubnisbedürftigen Geschäftsaktivitäten der Gruppe das einheitliche Geschäftsmodell parzelliert und dafür die Wirecard Bank AG mit Sitz in Deutschland genutzt, die eine 100-prozentige Tochtergesellschaft der Wirecard AG ist. Mit Akzeptanzstellen in 124 Ländern ist die Wirecard Bank AG einer der weltweit größten Akquirer und damit marktführend mit einem Geschäftsmodell, das auf die Abwicklung des Zahlungsverkehrs mittels kartengestützter elektronischer Zahlungen im Online-Handel fokussiert ist.

Das Geschäft mit der Abwicklung des elektronischen Zahlungsverkehrs ist bislang nicht umfänglich reguliert.

Unzählige Ausnahmetatbestände in der Zahlungsdiensterichtlinie durchlöchern ein einheitliches Aufsichtsregime. Ihre Geschäfte sind vielfach schlicht nicht auf dem Schirm der Aufseher.  Wesentliche Teilakte der technischen Dienstleistungen in der Abwicklung des Zahlungsverkehrs, die durch Dritte erbracht werden können und im Fall Wirecard von der Wirecard AG erbracht wurden, unterfallen nicht der Aufsicht, weil es an einer Gruppenaufsicht fehlt.

Das hat auch historische Gründe. Noch immer herrscht europaweit bei der Aufsicht das Verständnis vor, dass der Zahlungsverkehr über CRR-Kreditinstitute und andere Zahlungsdienstleister zwar in der Durchführung technisch anspruchsvoll, jedoch nicht besonders risikobehaftet ist – und dass er daher im Rahmen der laufenden Aufsicht keiner hohen Anforderungen bedarf. In der Konsequenz kümmern sich in der BaFin aktuell lediglich zwei kleine Referate (bis 2017 lediglich 2 Mitarbeiter!) um allgemeine regulatorischen Fragen des Zahlungsverkehrs. Um einen Aufsichtsbereich, wohlgemerkt, der nahezu jedes Unternehmen und jeden Kunden betrifft. 

Schon jetzt lässt sich feststellen, dass eine laufende Aufsicht über die Wirecard Bank AG durch die BaFin den Besonderheiten des Instituts und den daraus resultierenden Risiken nicht gerecht wird. Was die technische Zahlungsverkehrsabwicklung anbelangt, vertraute die Aufsicht auf die Verbände der Kreditwirtschaft, die sich national und im EU-Zahlungsverkehr um die technische Vereinheitlichung von Produkten, Vertriebskanälen und Plattformen kümmerten. Für den Rest vertraute man auf die Überwachung der Zahlungssysteme durch die Zentralbanken.  Der EU-Regulator lieferte lediglich den verbindlichen Rechtsrahmen zu.

Risiken bei Zahlungsdienstleistern ernst nehmen

Aus Sicht von Finanzwende reicht das bei weitem nicht: Es braucht eine verbesserte umfängliche Aufsicht für Anbieter von Dienstleistungen im Zahlungsverkehr wie die Wirecard AG. Dafür muss die Aufsichtstätigkeit im Zahlungsverkehr neben der Installierung einer Gruppenaufsicht auf eine ordnungsgemäße Geschäftsorganisation sowie auf ein angemessenes Risikomanagement und Controlling einschließlich der IT konzentriert werden. Flankiert werden muss dies durch eine verstärkte externe Prüfungstätigkeit der nationalen Aufseher. Auch Geschäftsaktivitäten in Drittstaaten sind einzubeziehen, indem man – über erweiterte Memoranda of Understanding mit Drittstaaten, die Prüfungsrechte für die BaFin für die komplette Zahlungsabwicklung schafft.

Auf dem nationalen Spielfeld allein ist den internationalen Geschäftsmodellen von Zahlungsdienstleistern wie dem der Wirecard AG jedoch längst nicht mehr beizukommen. Ihre Geschäfte waren bislang vielfach nicht vollständig auf dem Schirm der Aufseher – gerade die „Teilakte“ des Geschäfts, die in Drittstaaten – etwa im Akquiring - erbracht worden sind. Im Fall der Wirecard AG finden lediglich noch 50% der Geschäftsaktivitäten innerhalb der Europäischen Union statt; 50% werden in Drittstaaten abgewickelt. Die Tendenz: Das nationale Geschäft wurde zugunsten des Geschäfts in Drittstaaten immer unbedeutender.

Folgerichtig stößt die nationale Aufsicht – hier die deutsche BaFin - über einen europa- und weltweit tätigen Zahlungsdienstleister von der Größe und dem Geschäftsmodell von Wirecard an ihre Grenzen.

Der Zahlungsverkehr unterliegt aufgrund neuer Trends und Technologien einem kontinuierlichen Wandel. Mit der Verbreitung von Smartphones, schnellen Übertragungstechnologien und der Digitalisierung von Geschäftsprozessen unter dem Dach eines einzigen lizenzierten Zahlungsdienstleisters erhält das bargeldlose Bezahlen einerseits einen enormen Schub. Andererseits müssen auch der Kundenschutz und die Sicherheit von Zahlungen gestärkt werden.

Durch diesen Innovationsprozess haben sich die Sicherheitsrisiken für elektronische Zahlungen in den letzten Jahren erhöht. Weil zuverlässige und sichere Zahlungsdienste entscheidend für einen gut funktionierenden Zahlungsverkehrsmarkt sind, stellt sich nun die Frage, ob die bisherigen europäischen Schritte ausreichen, um diesen Risiken auch zukünftig wirksam zu begegnen.

Der Fall Wirecard AG zeigt: Die Digitalisierung modernisiert zwar den Zahlungsverkehr, aber die Regulierung des neuen Geschäfts scheint nicht hinterher zu kommen. Damit steigen die Sicherheitsrisiken für alle – Kunden, Anleger, Unternehmen und Zahlungsdienstleister.

Denn Wirecard steht mit seinem Geschäft ja nicht allein. Tatsächlich gibt es eine ganze Reihe von Unternehmen, die im europäischen Zahlungsraum und bei ihren Dienstleistungen in Drittstaaten eine bedeutende Rolle spielen. Sie weisen eine vergleichbare Risikostruktur wie die Wirecard Bank AG auf beziehungsweise erbringen ähnliche erlaubnispflichtige Bank- und Zahlungsdienstleistungen. Hierzu gehören unter anderem die Firma Adyen in den Niederlanden oder die französische Worldline.

Die Risiken für Marktteilnehmer und Kunden bestehen also weiter. Aus Sicht von Finanzwende sollen bedeutende Zahlungsdienstleister daher gebündelt und wie Großbanken direkt von der Europäischen Zentralbank beaufsichtigt werden – am besten in einem reformierten Europäischen Aufsichtsmechanismus (SSM).

Ein „Weiter so“ bei der Kontrolle von Zahlungsdienstleistern kann es aus Sicht von Finanzwende nach dem Kontrollverlust bei Wirecard nicht mehr geben.