Stakeholder Management zwischen Compliance & Business – Ein Gespräch mit Hartmut T. Renz

Business Circle: Sehr geehrter Herr Renz, in unserem letzten Interview haben wir darüber gesprochen, dass der Einsatz von KI im Compliance Management sinnvoll sein kann, aber wertebasiert erfolgen muss. Nun versprechen KI-gestützte Tools im KYC-Prozess Effizienz und Präzision. Welche Chancen sehen Sie – und wo liegen die regulatorischen oder ethischen Stolpersteine?

Hartmut T. Renz: KI ist aus künftigen Entwicklungen nicht mehr wegzudenken, denn sie kann – nicht nur - im KYC-Prozess erhebliche Effizienzgewinne und eine deutlich höhere Datenkonsistenz bewirken. In Zeiten knapper Ressourcen und betriebswirtschaftlichem Druck ist dies somit eine Option, der sich niemand verwehren darf. Allerdings ist regulatorisch entscheidend, dass Nachvollziehbarkeit, menschliche Kontrolle und der Datenschutz nach DSGVO und dem jeweiligen AML-Regime gewahrt bleiben. So betont z. B. die AMLR eine Zweckbindung, Datenminimierung und strikte Speicherfristen. Ethisch wie rechtlich gilt daher: KI darf Risiken erkennen und hierbei unterstützen, aber nie autonom über Personen oder Prozesse urteilen – die Verantwortung muss beim Menschen in der Letztverantwortung verbleiben.

BC: Daran anschließend: Wer „kennt“ im KYC-Prozess den Kunden eigentlich besser – die Vertriebseinheit, die ihn täglich betreut, oder die Compliance-Funktion, die seine Risikoprofile bewertet?

Renz: Das ist eine Frage der Perspektive. Der Vertrieb sollte in erster Linie aus geschäftspolitischem Potential heraus den Kunden in seiner operativen Realität mit allen Chancen und Risiken kennen. Die Compliance-Funktion als auch die Geldwäschepräventionsfunktion haben eine andere, nämlich die regulatorische Risikodimension. Erst die Integration beider Perspektiven ergibt ein vollständiges Kundenbild für das Institut. Wichtig ist im Rahmen dieses Prozesses, dass die Compliance-Funktion als auch die Geldwäschepräventionsfunktion ihre Risikobewertung unabhängig und nachvollziehbar vornehmen. Nur so entsteht ein belastbares Zusammenspiel von 1st und 2nd Line innerhalb eines Instituts.

BC: Sie sind seit vielen Jahren als Compliance Experte etabliert, inwiefern hat sich über die Jahre der Anspruch an Compliance-Verantwortliche gewandelt – vom Regelhüter hin zum strategischen Partner des Geschäfts?

Renz: Compliance hat sich in den letzten Jahrzehnten vom reaktiven Kontrollorgan zum proaktiven Steuerungselement entwickelt. Insbesondere die Direktiven und aufsichtlichen Hinweise betonen in ihren aktuellen Ausarbeitungen, dass sie von der Compliance-Funktion mehr erwarten. Diese sind nicht mehr nur Regelhüter, sondern proaktiver Berater und Sparringspartner des Managements. Sie interpretieren rechtliche Vorgaben im Sinne einer werteorientierten Unternehmensführung und eines integrierten Risikomanagements. Damit ist die Compliance-Funktion ein integraler Bestandteil, wenn es um eine präventive Erkennung und Bewertung von prozessanhängigen Risiken und deren Steuerung geht.

BC: Geldwäscheprävention in der 1st und 2nd Line: Wie sieht in Ihren Augen ein wirklich integriertes Modell aus, was könnte man besser machen?

Renz: Ein integriertes Modell, wie ich es vorgehend beschrieben habe, braucht klare Schnittstellen, gemeinsame und methodisch konsistente Risikodaten und abgestimmte Kontroll- und Überwachungsmechanismen. Die 1st Line trägt die operative Verantwortung, auch für das Geldwäscherisiko, denn Kunden des jeweiligen Instituts sind Kunden der operativen Einheiten und nicht Kunden der 2nd line Funktion Compliance. Diese 2nd Line sichert Qualität und Unabhängigkeit der Beurteilungen des Geldwäscherisikos und gibt die regulatorisch notwendigen Vorgaben. Leider fehlt es noch des Öfteren an systematischem Feedback und konsistenter Datenbasis, da viele Kontroll- und Überwachungsprozesse mit ihren Datenquellen in bereichsisolierten Silos stattfinden und die IT-Systeme oft noch  keinen automatisierten Datentransfer dort herstellt, wo bereichsübergreifende, gemeinsam Nenner bestehen. Dabei geht sehr viel qualitatives Potential verloren. Eine digital vernetzte, risikobasierte Gesamtarchitektur wäre hier der nächste logische Schritt.

BC: Sie lehren und beraten in Deutschland, der Schweiz und Liechtenstein, und Österreich kennen Sie inzwischen auch ein wenig. Wo liegen die zentralen Unterschiede in der Geldwäscheprävention im DACH-Raum?

Renz: Hier sehe ich zwei grundlegende Aspekte. Deutschland und Österreich folgen dem EU-weit harmonisierten AML-Regime, das stark regelbasiert ausgestaltet ist: Vorgaben der noch aktuellen AMLD V und der nationalen GwGen regeln detailliert, wie Sorgfaltspflichten umzusetzen sind. Demgegenüber ist das System der Schweiz und Liechtensteins prinzipienorientiert: Es formuliert übergeordnete Sorgfaltsgrundsätze und überlässt deren Umsetzung sehr stark der Eigenverantwortung der Institute. In der Schweiz verlangt Art. 7 GwG etwa, dass Finanzintermediäre „die Identität des Vertragspartners prüfen“, ohne die Methode vorzugeben. Entscheidend ist, dass die gewählte Lösung zweckgerecht und risikoadäquat wirkt. Pointiert könnte man auch sagen, dass in der EU / Deutschland / Österreich – zumindest aktuell noch - Compliance durch Regelbefolgung („tick-the-box“) definiert wird. Das hat allerdings auch mit der großen Menge an regulierten Unternehmen zu tun, die sich nur sehr schwer qualitativ steuern lassen. Aber dieser quantitative Ansatz kommt bei der Standardisierung im Berichts- und Meldewesen an Grenzen, wo es ohne qualitative Bewertungen nicht mehr geht. Daher sehen wir hier aktuell erste Tendenzen, die in den Bereich einer proportionalen Risikoorientierungen gehen. In der Schweiz / Liechtenstein hingegen gibt es den Grundsatz, dass Compliance sich selbst durch nachgewiesene Wirksamkeit („prove-that-it-works“) beweisen muss.

BC: Inwiefern macht es sich in Ihrem Themenbereich bemerkbar, dass die Schweiz und Liechtenstein nicht in der EU sind?

Renz: Die regulatorische Ausrichtung verschafft Schweiz und Liechtenstein einerseits eine regulatorische Eigenständigkeit, Institute beider Länder sehen die EU aber als einen ihrer bevorzugten Zielmärkte an. Beide Länder haben mit Deutschland und Österreich gemeinsame Wurzeln, die alle 4 Länder nicht nur emotional verbindet. Andererseits sind die Aufsichtsbehörden und viele grenzüberschreitende Unternehmen mit der Verpflichtung beschäftigt, internationale Standards so umzusetzen, dass die EU ihre Systeme als „äquivalent“ anerkennt. Diese Äquivalenz ist entscheidend, weil sie darüber bestimmt, ob ein Land oder Unternehmen als vertrauenswürdig oder als Hochrisiko-Partei in der EU gilt. Beide Länder haben sich daher eng an den FATF-Standards orientiert, verfügen über funktionierende FIU-Strukturen (MROS bzw. FIU Liechtenstein) und arbeiten aktiv in internationalen AML-Kooperationsforen mit. Mit der kommenden AMLR wird diese Äquivalenzbewertung institutionalisiert und dynamisch gestaltet: Die Kommission soll klare Kriterien veröffentlichen und Drittstaaten regelmäßig reevaluieren. Damit wird Äquivalenz von einem einmaligen politischen Akt zu einem fortlaufenden Compliance-Test der nationalen AML-Systeme.

Nicht nur Regeln befolgen, sondern risikoorientiert und lösungsbezogen denken.

BC: Compliance wird häufig als „Bremser“ oder „Verhinderer“ wahrgenommen. Wie kann die Funktion aus dieser Rolle herauswachsen und als Enabler des Geschäfts agieren?

Renz: Die bislang genannten Beispiele demonstrieren aus meiner Sicht sehr eindeutig, dass sich die Compliance-Funktion als Enabler gerieren kann, wenn sie regulatorische Anforderungen in wirtschaftlich sinnvolle und regulatorisch robuste Lösungen übersetzt. Dazu gehört aber eine klare hausinterne Unternehmensphilosophie, indem die Compliance-Funktion frühzeitig und vollumfänglich in Entscheidungsprozesse eingebunden werden muss und als Partner auf Augenhöhe wahrgenommen wird. Das funktioniert aber nur, wenn die Compliance-Funktion ein ausschließliches Regelbefolgen durch ein risikoorientiertes, lösungsbezogenes Denken ersetzt. So wird die Compliance-Funktion zu einem integrierten Gestalter von Vertrauen und nachhaltigem Wachstum im Unternehmen.

BC: Abschließend: Wenn Sie einem jungen, angehenden Compliance Officer einen guten Rat mitgeben könnten – welcher wäre das?

Renz: Bewahren Sie sich unabhängiges Urteil, aber seien Sie offen im Dialog. Leben Sie authentisch vor, dass für Sie Regulierung eine Chance zur Vertrauensbildung und keine Bürde ist. Halten Sie dafür in Diskussionen ausdrucksstarke Beispiele bereit. Demonstrieren sie vor allen Dingen eine prozessuale Fachkompetenz, Integrität und Kommunikationsstärke als entscheidende Werkzeuge. Und vor allem generieren Sie ein eigenes Motto für sich, wie zum Beispiel: Gute Compliance bedeutet, Risiken zu verstehen und aktiv zu managen – nicht, sie zu fürchten.

BC: Sehr geehrter Herr Renz, wir danken Ihnen für dieses Gespräch und freuen uns, Sie wieder zur „Compliance now!“ zu begrüßen!

‍