(Veröffentlicht am 23. Mai 2019 in der Jusletter IT)
Blockchain und Geldwäschereibekämpfung erscheinen auf den ersten Blick höchst unverträglich. Auf der einen Seite eine dynamische und dezentrale Technologie, mit der Vermögenswerte in Sekundenbruchteilen weitgehend anonym global verschoben werden können. Auf der anderen Seite ein eher schwerfälliges, nationales Kontrollkonstrukt, welches Transaktionen, häufig noch manuell, auf verdächtige Aspekte bezüglich Geldwäscherei überprüft. Dieser Beitrag schlägt konkrete Werkzeuge vor, mit denen den Geldwäschereirisiken in dezentralen Systemen entgegengetreten werden könnte.
1. Ausgangslage
Bereits Charles Darwin erkannte 1859 in seinem Werk «On the Origin of Species» , dass die Anpassung an
veränderte Umweltbedingungen Voraussetzung nachhaltiger Entwicklung darstellt. Dieses Gesetz der Natur gilt genauso für die Unternehmenswelt. Wer sich veränderten Rahmenbedingungen nicht anzupassen vermag, verliert über kurz oder lang seine Konkurrenzfähigkeit und damit seine ökonomische Grundlage.
Nun scheint als ändern zurzeit die Umweltbedingungen technologiebedingt besonders schnell. Mit dem 5G-Standardin der Telekommunikation soll die Datenübertragung um ein 100faches erhöht werden, Gegenstände kommunizieren über das Internet der Dinge (Internet of Things, IoT) miteinander und mit der Blockchain steht ein dezentrales Buchhaltungssystem zur Verfügung. Diese Entwicklung bedroht etablierte Geschäftsmodelle. Das Private-Banking-Modell mit hohen Gebühren und einer langsamen Reaktionszeit war eines, das früh unter Druck geriet. Aber auch viele Produkte des Massengeschäfts im Retail-Banking-Bereich können dank technologischem Fortschritt wesentlich effizienter und damit für die Kunden günstiger angeboten werden. Technologieunternehmen bedrohen mit modernen Ansätzen die Platzhirsche der alten Welt.
Diese technologisch getriebenen Veränderungen sind nicht nur eine Herausforderung für die betroffenen
Finanzintermediäre, sondern auch für Regulierungsbehörden. Sie sind ebenfalls gezwungen, sich veränderten Bedingungen anzupassen, denn sollten sie dies nicht tun, drohen in der Vergangenheit noch effektive Kontrollen aufgrund veränderter Risiken ins Leere zu greifen. Das hätte fatale Folgen im Bereich der Geldwäschereibekämpfung. Mittels der Blockchain-Technologie können Vermögenswerte schnell, günstig und global verschoben werden. Geschieht dies in einem kontrollfreien Raum würden die intensivierten Bemühungen der letzten Jahre zur Eindämmung der Geldwäscherei empfindlich zurückgeworfen.
2. Neue Chancen, neue Risiken
Ist die Blockchain-Technologie Revolution oder Hype? Diese Frage ist nicht einfach zu beantworten. Die
Daseinsberechtigung des Bitcoin mit seiner inzwischen veralteten und ineffizienten Blockchain (die Bitcoin-Blockchain ist 10 Jahre alt, schafft maximal 7 Transaktionen pro Sekunde und verbraucht dabei annähernd so viel Strom wie die Schweiz als Land ) kann zu Recht angezweifelt werden. Allgemein ist fraglich, ob solche Coins (auch payment token genannt) ohne Gegenwert überhaupt einen nachhaltigen Mehrwert schaffen.
Es gibt allerdings auch Argumente, die für den Einsatz von Coins sprechen. Die benutzerfreundliche Handhabung mittels App-Bedienung, die Übertragung in Echtzeit und die minimalen Transaktions-gebühren sind klare Vorteile im Vergleich zur klassischen Banküberweisung. Auch soll eine Blockchain fälschungssicher sein und deshalb das Vertrauen in eine zentrale Stelle überflüssig machen. Aktuell drängen die ersten asset token auf den Markt, also Coins mit einem Gegenwert. Edelmetalle, Immobilien und andere Wertgegenstände können als Token «verbrieft» werden und so von den einfachen Wertübertragungsmöglichkeiten der Blockchain profitieren. Der Zulassungsprozess ist dabei aufgrund regulatorischer Vorgaben ungemein anspruchsvoller.
Die Anwendungsfälle in der Finanzbranche sind äusserst vielfältig. Aber auch in anderen Branchen wie Logistik, Gesundheitswesen und bei der öffentlichen Hand entstehen Projekte, welche von den Vorteilen der dezentralen Technologie profitieren wollen. Kurzum, die Blockchain-Technologie bietet viele neue Chancen. Davon profitieren nicht nur Unternehmen, welche mit der Technologie arbeiten und deren Kunden, sondern der ganze Wirtschaftsstandort Schweiz. Deshalb fördert der Bundesrat gezielt die Standortentwicklung, damit für Blockchain-Unternehmen möglichst gute Rahmenbedingungen entstehen, um international zu den führenden Nationen zu gehören. Zu diesem Zweck wurde im März 2019 die Vernehmlassung zur Verbesserung der Rahmenbedingungen für Blockchain/DLT eröffnet .
Doch wo Chancen entstehen sind auch meist neue Risiken zu finden. Der Fokus soll hier auf den
Geldwäschereirisiken liegen. Die durchaus relevanten technischen Risiken werden nicht behandelt.
Mittels Blockchain-Technologie können Vermögenswerte global innert Sekundenbruchteilen transferiert werden und dies ohne vorgängige Identifikation der beteiligten Personen. Handelt es sich um einen public coin (ein Coin auf einer öffentlich einsehbaren Blockchain, zum Beispiel der Bitcoin) sind zumindest die verwendeten public keys (entspricht öffentlich einsehbaren Kontonummern) und die entsprechende Transaktion transparent. Bei einem private coin (ein Coin auf einer nicht öffentlich einsehbaren Blockchain, zum Beispiel der Monero) ist selbst dies nicht möglich. Es erstaunt deshalb nicht, dass Transaktionen mit Kryptowährungen Personen mit erhöhtem Diskretionsbedürfnis anlocken. Die Marktkapitalisierung aller Kryptowährungen zusammen beträgt ca. USD 160 Mia. wovon rund USD 90 Mia. auf den Bitcoin entfallen . Bei diesen Umsätzen verbunden mit der gebotenen Diskretion erscheint das Verschleiern der Herkunft von Vermögenswerten doch recht einfach.
3. Gesetzlicher Rahmen
Die Schweizer Finanzmarktregulierung ist prinzipienbasiert . Das bedeutet, für die Anwendbarkeit der Regeln ist es unerheblich, welche technische Lösung angewendet wird. Das Gesetz verzichtet diesbezüglich bewusst auf eine Unterscheidung. Im Bereich Geldwäschereibekämpfung und Verhinderung von Terrorismusfinanzierung gelten primär das Geldwäschereigesetz, die Verordnung des Bundesrates und die Verordnung der FINMA sowie die Standesregeln von Swissbanking. Ebenfalls anwendbar ist das Embargo-Gesetz und die darauf basierenden Sanktionsmassnahmen. Diese sehen Sanktionen gegen einzelne Länder und Personen vor, was Einschränkungen des möglichen Dienstleistungsangebots nach sich zieht und, je nach Verfügung, zu einer Meldepflicht ans Staatssekretariat für Wirtschaft SECO führt.
Gemäss Art. 2 Abs. 2 und 3 GwG sind Unternehmen mit der entsprechenden Geschäftstätigkeit als
Finanzintermediäre zu klassifizieren und unterstehen der Geldwäschereiregulierung. Finanzintermediäre ohne Effektenhändler- oder Banklizenz haben sich einer Selbstregulierungsorganisation (SRO) anzuschliessen oder sich direkt der FINMA zu unterstellen (sog. DUFI Status). Der DUFI Status ist allerdings mit der Einführung des Bundesgesetzes über die Finanzinstitute nicht mehr möglich . Es verbleiben noch die beiden Selbstregulierungsorganisationen Verein zur Qualitätssicherung von Finanzdienstleistungen VQF sowie die SRO PolyReg. Der VQF ist bezüglich Blockchain-Mitgliedern Marktführer und verfügt über die grösste Erfahrung in diesem Bereich. Voraussetzung für die Aufnahme beim VQF ist für Blockchain-Unternehmen ein Compliance Konzept und eine fachkundige Person, welche sich mit den regulatorischen Fragestellungen im Unternehmen befasst und deren korrekte Umsetzung sicherstellt. Diese Tätigkeit wird üblicherweise an eine externe Person mit einschlägiger Praxiserfahrung delegiert. Diese Person ist vorgängig von der SRO zu bewilligen.
4. Regulierung im Blockchain Bereich
Die erste Frage, welche sich stellt, ist die nach der anwendbaren Rechtsordnung. Diese ist alles andere als einfach zu beantworten. Die Blockchain-Technologie basiert auf einer dezentralen Buchhaltung. Das bedeutet, dass auf mehreren Computern in unterschiedlichen Ländern dasselbe Programm installiert wurde und auf all diesen Computern dieselben Informationen gespeichert werden. Die Frage, in welcher Rechtsordnung also eine Blockchain ihren Sitz hat, kann so nicht beantwortet werden, zumindest solange kein Unternehmen diese Blockchain betreibt. Die Bitcoin-Blockchain zum Beispiel, welche auf einem verselbständigten Programmcode aufbaut, hat an keinem bestimmten Ort ihren Sitz. Auch ist unklar, wo sich der Benutzer der Blockchain zum Zeitpunkt eines rechtsrelevanten Vorganges befindet, da die Blockchain üblicherweise mittels Smartphone benutzt wird. Dazu nötig ist lediglich ein entsprechendes Gerät und eine Internetverbindung. Heisst dies nun, dass sich die Blockchain auch ausserhalb des Rechtssystems bewegt? Die Antwort lautet nein, denn die Rechtsregeln gelten gemäss der prinzipien-basierten Regulierung auch für dezentrale Systeme. Die Frage nach dem Gerichtsstand ist allerdings schwierig zu beantworten. Von keinem zuständigen Gericht bis hin zu mehreren Gerichten ist allesdenkbar. Diese Unklarheit gilt es auf internationaler Ebene zu begegnen.
Einfacher gestaltet sich die Situation bei Finanzintermediären, welche die Blockchain-Technologie verwenden. Diese haben einen Sitz und sind deshalb einer Jurisdiktion zugeordnet. Allerdings können die angebotenen Dienstleistungen ebenfalls überall dort abgerufen werden, wo ein Smartphone mit dem Internet verbunden ist. Es stellen sich also bezüglich des Gerichtsstandes dieselben Fragen.
In diesem Beitrag soll der Fokus auf der Schweizer Regulierung liegen. Es gilt zu eruieren, wie sichergestellt werden kann, dass die Blockchain-Technologie nicht für Geldwäschereizwecke missbraucht wird. Vorneweg soll erwähnt werden, dass eine vollständige Sicherheit nie existieren wird. Geldwäscherei ist, grob gesagt, die Verschleierung verbrecherischer Herkunft von Vermögenswerten. Dass Vermögens-werte nicht aus einem Verbrechen oder einer schweren Steuerhinterziehung stammen, kann nie restlos bewiesen werden. Deshalb hat der Gesetzgeber in Art. 9 GwG den «begründeten Verdacht» eingeführt. Liegt ein solcher Verdacht vor, löst dies eine Meldepflicht an die Meldestelle für Geldwäscherei MROS aus. Vorsätzliches wie auch fahrlässiges Unterlassen dieser Meldung führt zu einer Untersuchung und rechtlichen wie auch persönlichen Konsequenzen. Für Finanzintermediäre stellt sich also bezüglich ihrer Kunden ständig die Frage, ob ein begründeter Verdacht besteht, dass eingebrachte Vermögenswerte aus einem Verbrechen oder aus einer schweren Steuerhinterziehung stammen.
Damit dieser Verdacht überhaupt entstehen kann, ist das Vorliegen eines genügend grossen Bildes der
Kundenbeziehung nötig. Grundgerüst eines solchen Bildes ist die korrekte Identifikation des Kunden, die
Bestimmung der an den Vermögenswerten wirtschaftlich berechtigten Person und die Herkunft der
Vermögenswerte. Bei Kunden, welche als mit erhöhtem Risiko eingestuft werden, ist das Bild mittels vertiefter Abklärungen entsprechend grösser zu machen. Aufgrund der Gesamtwürdigung ist zu entscheiden, ob eine Meldepflicht besteht oder nicht.
Nun fragt sich, wie dieses Bild bei Transaktionen über eine Blockchain genügend gross und aussagekräftig
gestaltet werden kann. Handelt es sich um einen Finanzintermediär unter der Aufsicht einer SRO gelten deren Standesregeln. Diese unterscheiden sich nur geringfügig von den Regeln, welche Institute mit Banklizenz einzuhalten haben. Eine Identifikation ist genauso gefordert wie die Feststellung der an den eingebrachten Vermögenswerten wirtschaftlich berechtigten Personen. Überdies ist die Herkunft der Vermögenswerte abzuklären. Diese Prüfungen sind dank der von der FINMA präzisierten Regeln zur online- und Video-Identifikation mit einigen Anpassungen auch im Blockchain-Bereich durchaus durchführbar. Inzwischen kann die dazu nötige Kommunikation mit dem Kunden über eine App abgewickelt werden.
Aus Sicht der Geldwäschereibekämpfung gestalten sich zwei Situationen ungemein schwieriger. Zum einen, falls Blockchain-basierte Dienstleistungen eines nicht in der Schweiz domizilierten Anbieters hierzulande benutzbar sind, was aufgrund des Zugriffs über Smartphone praktisch immer der Fall sein dürfte. Dadurch entzieht sich ein Anbieter meist der Schweiz Aufsicht. Dies ist vor allem dann relevant, wenn der Anbieter in einem Land registriert ist, in dem kein vergleichbarer Geldwäschereibekämpfungs-Standard Anwendung findet. Die zweite Situation ist der Umgang mit den erwähnten Coins, welche nicht durch einen Finanzintermediär herausgegeben wurden, sondern über eine verselbständigte Blockchain betrieben werden. In beiden Fällen ist eine korrekte Identifikation der Benutzer der Blockchain und damit Versender und Empfänger von Vermögenswerten nicht garantiert. Findet keine Identifikation statt und bleibt die Herkunft der Vermögenswerte ungeklärt, ist eine Geldwäschereibekämpfung nicht möglich. Es entsteht ein faktisch kontrollfreier Raum, welcher Tür und Tor für Geldwäschereiaktivitäten und
Terrorismusfinanzierung öffnet.
5. Lösungsansätze
Wie wollen wir den durch die Blockchain-Technologie entstandenen kontrollfreien Raum auf möglichst effiziente Art ins regulatorische Abwehrdispositiv einbinden? Der erste Gedanke ist oft ein generelles Verbot. Allerdings ist dieses zum einen in der digitalen Welt alles andere als einfach umsetzbar und zum anderen widerspricht ein Verbot der liberalen Wirtschaftsordnung und dem Innovationsstandort Schweiz. Ein Verbot soll deshalb die letzte Massnahme sein, sollten alle anderen Ansätze nicht zum gewünschten Ziel führen.
Es sind durchaus kreative Lösungsansätze denkbar, um regulatorisches Licht in diese dunklen Stellen der
Blockchain zu bringen. Schlüssel der Überwachung ist die Identifikation der Teilnehmer. Da die meisten
Sanktionslisten mit Personennamen arbeiten, führt daran kein Weg vorbei und auch in der
Geldwäschereibekämpfung steht die Identifikation am Anfang. Bereits der psychologische Effekt, ein identifizierter Teilnehmer zu sein, kann einen positiven Einfluss auf das Verhalten haben. Weiter erleichtert die Identifikation die Abklärungs- und Untersuchungsschritte bei Geldwäschereiverdacht. Die Identifikation der Teilnehmer ist nach geltendem Recht Sache der Finanzintermediäre, welche mit der Blockchain-Technologie arbeiten. Wie erwähnt greift diese Regel bei Finanzintermediären in nicht regulierten Jurisdiktionen und bei verselbständigten Blockchain-Anwendungsfällen ins Leere. Um Abhilfe zu schaffen, könnte eine zentrale Identifikationsstelle eingeführt werden. Personen, welche bei einer Blockchain mitmachen möchten, können sich bei dieser, allenfalls staatlichen Stelle identifizieren lassen und mit einer Nummer, ähnlich einer AHV oder Sozialversicherungsnummer, bei einer Blockchain-Anwendung anmelden. So bleibt über diese Identifikationsstelle gewährleistet, dass im Falle von
Untersuchungen die Identität des Teilnehmers eruiert werden kann.
Ein zweiter Lösungsansatz ist eine zentrale Regulierung über die Financial Action Task Force (FATF) als
internationale zwischenstaatliche Organisation der G-8. Bis anhin erlässt die FATF sogenannte Empfehlungen (recommendations), welche ins Landesrecht der Mitgliedsstaaten überführt werden müssen. Reguliert ein Mitgliedsstaat nicht genügend oder setzt die entsprechenden Regeln nicht um, so ist eine Rüge durch die FATF die Folge. Der Prozess der Umsetzung inklusive einer oder zwei Rügerunden kann gerne 5 bis 10 Jahre dauern. Dies ist in Blockchain-Zeit gemessen eine Ewigkeit. Deshalb wäre ein zielgerichteter Ansatz, dass die FATF direkt anwendbare, für alle Länder verbindliche Mindeststandards bezüglich Identifikation und weitere Abklärungen erlässt. Länder, welche diese Regel nicht übernehmen, werden als nicht kooperativ gelistet und entsprechend sanktioniert.
Um der Verschiedenheit der Blockchain-Anwendungsfälle gerecht zu werden, könnte überdies eine eigene SRO geschaffen werden. Diese erstellt den veränderten Risiken angepasste Standesregeln, führt Listen exponierter public keys, hilft bei der Auswahl von IT Partnern mit forensischer Software und weist Kompetenzen im IT security Bereich auf. Ziel dabei ist, die regulatorischen Vorgaben so umzusetzen, dass sie zum einen greifen und zum anderen die Geschäftsmodelle dieser Unternehmen nicht verunmöglichen oder über Gebühr verteuern. Überdies könnte diese SRO Guidelines erlassen, welche den Unternehmen im Blockchain-Bereich aufzeigen, wie sie sich regulatorisch korrekt verhalten können.
6. Fazit
Soll sich die Blockchain-Landschaft weiter entwickeln und die Schweiz eine prägende Rolle auf dem
internationalen Blockchain-Parkett spielen wollen, ist eine effiziente und transparente Regulierung unabdingbar. Es ist gerade der regulatorische Rahmen, welcher Vertrauen bei den Teilnehmern schafft. Finanzintermediäre im Blockchain-Bereich sollen wissen, wann und ob sie sich regulatorisch korrekt verhalten. Transparenz ist ebenso wichtig für die weiteren involvierten Teilnehmer wie Banken und Versicherungen, um abschätzen zu können, ob ein Blockchain-Unternehmen vertrauenswürdiger Geschäftspartner resp. Kunde sein könnte. Klare Regeln und Verhaltensanweisungen sind äusserst wünschenswert, da aufgrund der Neuheit des Themas keine einschlägige Praxis herangezogen werden kann.
Die Blockchain-Technologie ist meines Erachtens gekommen, um zu bleiben. Selbst ein generelles Verbot würde in einem dezentralen, überall und zu jeder Zeit über ein Smartphone benutzbaren System keine Wirkung zeigen. Umso wichtiger ist ein möglichst einfacher, klarer regulatorischer Rahmen. Es gibt sicherlich weitere gute Ansätze, dieses Ziel zu erreichen. Wichtig für den Erfolg wird sein, dass alle Teilnehmer ein gemeinsames Ziel verfolgen, Chancen nutzen und Gefahren mit wirksamen Massnahmen begegnen und damit den Finanz- und Innovationsstandort Schweiz mit viel Herzblut entwickeln.