Dieses Kapitel beschreibt die operativen Prozesse, Kontrollen und das Reporting für KYC/AML und regulatorisches Reporting. Es bietet einen detaillierten Einblick in die Maßnahmen der ecrop GmbH zur Einhaltung der geltenden Vorschriften und zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung.

Identifizierung, Überprüfung und Monitoring

  • Identifizierung & Verifizierung: ecrop nutzt das PostIdent-Verfahren der Deutschen Post (KYC/AML-Dienstleister) für die automatisierte Identitätsprüfung. Dieser mehrstufige Prozess umfasst die Erfassung und Überprüfung von Identifikationsdaten (z.B. Ausweisdaten, Adresse) sowie die biometrische Verifizierung. Zusätzlich werden Daten von Drittanbietern eingeholt, um die Identität des Kunden zu verifizieren und die Angaben zu validieren. Die erhobenen Daten werden verschlüsselt gespeichert und vor unbefugtem Zugriff geschützt.

  • Risikoklassifizierung: Basierend auf den erhobenen Daten und Informationen (z.B. PEP-Status, Transaktionsvolumen, Herkunftsland) werden die Kunden in verschiedene Risikokategorien eingestuft. Diese Klassifizierung ermöglicht eine risikobasierte Betreuung der Kunden und die Anpassung der Sorgfaltspflichten an das jeweilige Risikoprofil.

  • Ongoing Monitoring: Die Kundenaktivitäten werden kontinuierlich überwacht, um verdächtige Transaktionsmuster und Verhaltensänderungen zu erkennen. Hierfür werden regelbasierte Systeme und Machine-Learning-Algorithmen eingesetzt. Die Überwachung erfolgt in Echtzeit und die Daten werden in einem sicheren Audit-Trail gespeichert.

  • Enhanced Due Diligence (EDD): Für Hochrisikokunden werden erweiterte Sorgfaltspflichten (EDD) durchgeführt, um das Risiko von Geldwäsche und Terrorismusfinanzierung zu minimieren. Dies umfasst z.B. die Einholung zusätzlicher Informationen über den Hintergrund und die Geschäftsaktivitäten des Kunden. Die EDD-Maßnahmen werden risikobasiert angepasst und dokumentiert.

Die ecrop GmbH hat umfassende Kontrollen implementiert, um die Einhaltung der KYC/AML-Anforderungen sicherzustellen:

  • Plausibilitätsprüfungen: Die eingegebenen Daten werden automatisch auf Konsistenz und Plausibilität überprüft. Dies dient der Sicherstellung der Datenqualität und der Vermeidung von Fehlern.

  • Sanktionslistenprüfung: Die Kundendaten werden mit internationalen Sanktionslisten (z.B. OFAC, EU-Sanktionsliste, DNK-Listen) abgeglichen. Dies dient der Identifizierung von Personen, die Sanktionen unterliegen.

  • Prüfung des wirtschaftlich Berechtigten: ecrop prüft die Identität der natürlichen Personen, die letztendlich die Kontrolle über die Vermögenswerte ausüben. Dies dient der Vermeidung von Geldwäsche und Terrorismusfinanzierung.

  • Regelmäßige Reviews: Geschulte Compliance-Mitarbeiter überprüfen Stichproben von Kundendaten und Transaktionen, um die Wirksamkeit der automatisierten Kontrollen zu gewährleisten und um potenzielle Risiken frühzeitig zu erkennen.

Die ecrop GmbH erstellt umfassende Berichte, um die Einhaltung der KYC/AML-Anforderungen zu dokumentieren und den Aufsichtsbehörden die notwendigen Informationen zu liefern:

  • Transaktionsmonitoring: Alle Transaktionen werden in Echtzeit überwacht und analysiert, um verdächtige Muster zu erkennen. Es werden regelbasierte Systeme und Machine-Learning-Algorithmen eingesetzt.

  • Internes Reporting: Regelmäßige Berichte an die Geschäftsleitung und das Risikomanagement über die KYC/AML-Aktivitäten und -Kennzahlen. Die Berichte enthalten Informationen über die Anzahl der verifizierten Kunden, die Anzahl der gemeldeten Verdachtsfälle und die durchschnittliche Bearbeitungszeit von KYC-Anfragen.

  • Externes Reporting: Meldung verdächtiger Transaktionen an die Financial Intelligence Unit (FIU) gemäß den gesetzlichen Vorgaben. Die Meldungen erfolgen elektronisch über ein sicheres Meldesystem (goAML).

  • Bereitstellung von Kennzahlen: Erfassung und Bereitstellung von Kennzahlen zur KYC/AML-Compliance, z.B. Anzahl der verifizierten Kunden, Anzahl der gemeldeten Verdachtsfälle, Anzahl der durchgeführten EDD-Prüfungen.

Regulatorisches Reporting: Transparenz und Compliance

  • Meldewesen: ecrop erfüllt alle regulatorischen Meldepflichten und dokumentiert diese gemäß den Vorgaben der relevanten Gesetze und Verordnungen. Dazu gehören:

    • Meldungen an die BaFin: ecrop meldet Transaktionsdaten und andere relevante Informationen im Bereich der Kryptowerteverwahrung an die BaFin. Die Meldungen umfassen alle Transaktionsdaten, wie z.B. Art der Transaktion, Zeitpunkt, beteiligte Parteien, Adressen der beteiligten Wallets und Wert der Transaktion. (Referenz: KryptoWTransferV)

    • Meldungen an die FIU: Verdächtige Transaktionen, die auf Geldwäsche, Terrorismusfinanzierung oder andere strafbare Handlungen hindeuten könnten, werden gemäß § 43 GwG an die Financial Intelligence Unit (FIU) gemeldet. (Referenz: GwG)

    • Sonstige Meldungen: Weitere Meldungen an die BaFin, z.B. im Rahmen der Aufsicht über das Kryptoverwahrgeschäft oder bei Verdacht auf Marktmissbrauch, werden gemäß den gesetzlichen Vorgaben erstattet. (Referenz: KWG, MAR)

  • Dokumentation: ecrop dokumentiert alle relevanten Prozesse und Transaktionen im Bereich des regulatorischen Reportings. Die Dokumentation erfolgt in elektronischer Form und wird in einem sicheren Dokumentenmanagementsystem (DMS) gespeichert. Die ecrop GmbH stellt sicher, dass die Dokumentation vollständig, aktuell, nachvollziehbar und während der gesamten Aufbewahrungsfrist verfügbar, lesbar und unveränderbar ist. (Referenz: GoBD).

  • Archivierung: Die Dokumentation und alle relevanten Daten werden gemäß den gesetzlichen und regulatorischen Anforderungen archiviert. Die Archivierung erfolgt in einem sicheren und revisionssicheren Archivsystem.

  • Datenqualitätskontrollen: Die gemeldeten Daten werden auf Vollständigkeit, Korrektheit und Konsistenz geprüft.

  • Compliance-Checks: Die Prozesse und Systeme werden regelmäßig überprüft, um die Einhaltung der regulatorischen Anforderungen zu gewährleisten.

  • Regelmäßige Reviews: Geschulte Compliance-Mitarbeiter überprüfen die gemeldeten Daten und die Prozesse, um die Wirksamkeit der Kontrollen zu gewährleisten.

  • Regelmäßige Berichte: ecrop erstellt regelmäßige Berichte an die Geschäftsleitung und die Aufsichtsbehörden über die Aktivitäten und Kennzahlen im Bereich des regulatorischen Reportings.

  • Ad-hoc-Berichte: Bei Bedarf, z.B. bei Änderungen in den regulatorischen Anforderungen oder bei Auffälligkeiten, werden Ad-hoc-Berichte erstellt.