Die Danske Bank sorgte für einen der größten Geldwäscheskandal der letzten Jahre. Unser Kolumnist Niels Dechow erklärt, was schief lief.

Danske Bank

14.03.19

So kam es zum Danske-Bank-Skandal

Die Danske Bank wankt – weil sie ihre Daten, ihre IT und ihre KYC-Prozesse nicht im Griff hatte. Was lässt sich daraus lernen? FINANCE nimmt Sie mit in den größten Geldwäscheskandal der letzten Jahre.

Der riesige Geldwäscheskandal bei der größten Bank Dänemarks, der Danske Bank, ist nicht nur aus dem Blickwinkel der Finanzmärkte interessant, sondern auch für Controller, CFOs und Aufsichtsräte. Das liegt an den Dimensionen Digitalisierung und Datenmanagement, die der Skandal auch beinhaltet.

Überall wird gestaunt, wie so ein Vorfall ausgerechnet der Danske Bank passieren konnte, die in Sachen Digitalisierung als Vorreiter gilt. So ist etwa Robotic Process Automation (RPA) längst kein Neuland mehr für die Bank. Die Dänen setzen im Back-Office ihres Wertpapierhandels und für die fortlaufende Tilgungskontrolle im Kreditgeschäft ganz gezielt auf Automatisierung. Und doch fehlten derartige Bots in Estland, am Ground Zero des Geldwäsche-Deals. Genau aus diesem Grund fällt es Danske heute so schwer, den Ermittlern zu beweisen, dass sie ihren KYC-Pflichten („Know your customer“) mit der nötigen Sorgfalt nachgekommen sind.

Ich möchte Sie mitnehmen auf eine kleine Reise zu den Hintergründen des Danske-Skandals. Das hier Dargestellte beruht auf einer Veröffentlichung der Anwaltskanzlei Bruun & Hjejle, die von der Danske Bank beauftragt wurde, den vermeintlichen Geldwäscheskandal organisationsintern aufzuarbeiten.

Die Gelddrehscheibe der Danske Bank im Baltikum

Seinen Anfang nahm der Danske-Skandal schon im Jahr 2007, als die Dänen für 535 Millionen Euro die finnische Sampo Bank kauften. Ziel dieser Übernahme war es, ein Großkundengeschäft im Baltikum aufzubauen. Der Bericht der Anwaltskanzlei Bruun & Hjejle zeichnet auf, welche Fehler die Danske-Führung damals beging.

Der größte ereignete sich bei der IT-Strategie. Trotz des recht großen M&A-Deals sollte das Baltikum für Danske von Anfang an nur ein kleines Geschäftsfeld darstellen. Vor diesem Hintergrund erschien es der Bankführung zu teuer, die estnische Niederlassung von Sampo in die IT-Architektur der Danske Gruppe zu migrieren. Außerdem fehlte es dafür an Projektkapazität. Also entschied man sich 2008 dagegen. Aus heutiger Sicht war das ein gewaltiger Fehler, aber damals erschien der Sampo-Kauf wie ein Geniestreich. 2007 erwirtschaftete Danske in Estland eine Eigenkapitalrendite von 45 Prozent, und als hätte es die Finanzkrise nicht gegeben, erreichte der Return on Equity im Jahr 2010 fantastische 58 Prozent.

Tatsächlich erwies sich die Finanzkrise sogar als Geschäftstreiber für die estnische Tochter der Danske Bank – es gab eine Menge Geld, das Russland und das Baltikum verlassen wollte. Die Unterlagen von Bruun & Hjejle zeigen, dass die estnische Filiale über einen Zeitraum von zehn Jahren sage und schreibe 87 Millionen Zahlungen durchgeführt hat. Deren Saldo: ein Cash-Abfluss von 200 Milliarden Euro. Daraus soll Danske einen Bruttogewinn von ungefähr 200 Millionen Euro erwirtschaftet haben.

Im Lauf der Zeit entwickelte sich die Danske-Filiale in Tallinn zur zentralen Drehscheibe für Kapital, das nach draußen drängte: 2013 verwaltete Danske rund 45 Prozent aller estnischen Bankdepots von Kunden mit Wohnsitz außerhalb des Landes („Non-residential customers“). Es ist unmöglich (so heißt es), den Zahlungsverkehr dieser verdächtigen Kundengruppe auf Transaktionsbasis nachträglich zu rekonstruieren – eben weil die IT nicht integriert wurde, weil es kein zentrales Datenmanagement gab und weil die KYC-Direktiven nicht richtig umgesetzt wurden.

Kopenhagen ging zur größten Schwachstelle auf Distanz

Sogenannte „Experten“ haben bereits versucht, den Führungstenor als Ursache dieser Versäumnisse auszumachen. „The tone at the top“ wurde mit dem Argument kritisiert, dass wenig getan wurde, um ein eventuelles Problem früh festzustellen. Tatsächlich gab es spätestens im Jahr 2013 erste ernstzunehmende Warnungen, dass in Estland nicht alles nach rechten Dingen lief. Trotzdem greift diese Kritik zu kurz. Auch das Datenmanagement und die Datenkultur haben einen wichtigen Anteil an dem Skandal.


Denn die Danske Bank hat ihre Fehlentscheidung, der estnischen Niederlassung eine separate IT zu lassen, in den Jahren danach noch weiter verschlimmert. Diverse Umbauten der Organisation führten dazu, dass sich immer mehr Schichten zwischen die Niederlassung und die Konzernzentrale schoben. Von 2007 bis 2009 lag nur eine Schicht zwischen dem CEO der Danske Bank und dem Filialleiter in Estland. Ab 2010 gab es dann schon zwei Schichten, ab 2014 sogar drei. Kopenhagen ging zur größten Datenschwachstelle des Konzerns auf Distanz. Warnsignale, die es gab, wurden bei ihrem Weg durch die Organisation abgeschwächt.

Dabei hätten die Danske-Chefs gewarnt sein müssen, denn es gab schon in der Vergangenheit prominente Banken, die wegen Nachlässigkeiten in ihrem internen Datenmanagement schwere (und sogar schwerste) Schäden erlitten, beispielsweise die amerikanische Kidder-Peabody Bank (1994), die englische Barings Bank (1995) und die französische Sociètè Gènèrale (2008). Nun steht auch die Danske Bank in dieser Reihe. Ein nachlässiges Datenmanagement erleichtert nicht nur Betrug durch die eigenen Mitarbeiter – siehe Barings, siehe Sociètè Gènèrale. Es setzt Banken auch betrügerischem Kundenverhalten aus, sobald Kriminelle entdecken, dass es den Verantwortlichen in der Bank an Transparenz fehlt.

Warnsignale, die es gab, wurden bei ihrem Weg durch die Organisation abgeschwächt.

Alle Verteidigungslinien der Danske Bank kollabierten

Das Bittere ist, dass die Verantwortlichen der Danske Bank wahrscheinlich sogar dachten, alles richtig zu machen. Im Risikomanagement wird oft von einem Modell der drei Verteidigungslinien ausgegangen. Bei der Danske Bank wurden diese Linien bis 2014 sukzessive eingeführt, in einer Form, die man sich wie folgt vorstellen muss:

Die Geschäftseinheiten, darunter die estnische Filiale, waren im Rahmen des Frontline-Tagesgeschäfts für die erste Verteidigungslinie verantwortlich. Die zweite Verteidigungslinie wurde im Backoffice aufgestellt und durch Risiko-, Compliance- und Anti-Geldwäsche-Einheiten bemannt. Die dritte Verteidigungslinie richtete Danske bei der internen Revision ein, die neben der Aufsicht auch für die Kommunikation mit den Finanzbehörden im In- und Ausland verantwortlich ist. Die Kanzlei Hjejle und Bruun kommt zu dem Schluss, dass es einen kompletten Zusammenbruch quer durch alle drei Verteidigungslinien gab. Prinzipiell sollte dies ausgeschlossen sein – es sei denn, niemand setzt sich mit dem Bestand (nicht) vorhandener Daten auseinander.

Wenn aber keine vordefinierte Datenbasis vorhanden ist, hat es jedes Risikomanagement schwer – nicht nur bei Banken, sondern auch bei Industrieunternehmen. Im zweiten Teil meiner Analyse des Danske-Bank-Skandals wird es daher in wenigen Tagen um „Data Operating Models“ gehen. Diese fügen den altbekannten Bildern der Aufbau- und Ablauforganisation das Bild einer Enterprise-Architektur hinzu, was verantwortlichen Managern ermöglicht, in „Technologie-Defiziten“ denken zu können.

Ein Data Operating Model hätte das Danske-Management in die Lage versetzt, sich systematisch mit der Geldwäscheproblematik auseinanderzusetzen. Dies hätte der Bank einiges erspart.

redaktion[at]finance-magazin.de

Niels Dechow, PhD, ist Professor für Unternehmensrechnungslegung und Controlling an der European Business School (ebs). Für FINANCE bloggt er regelmäßig zu den neuesten Trends im Controlling. Hier geht es zu allen Beiträgen seines Blogs „Controlling 2020".

Erfahren Sie nächste Woche, wie Sie in Ihrem Unternehmen Vorfälle wie bei der Danske Bank verhindern können.