Navigation
Seiteninhalt

Compliance im Zeitalter der Bitcoins

Die Funktionsweise der virtuellen Bitcoin-Währung erschließt sich dem Laien nicht sofort. Dabei spielen Bitcoins im internationalen Zahlungsverkehr durchaus eine Rolle – leider auch, wenn es um Geldwäsche- und Terrorismusfinanzierung geht. Eine kurze Einführung in das Thema Bitcoins und welche Compliance-Risiken sich aus anonymen, digitalen Finanztransaktionen ergeben können.
Von MMag. Jacqueline Mlinarcsik
01. September 2017 / Erschienen in Compliance Praxis 3/2017, S. 24

In einer Zeit, in der – zumindest gefühlt – beinahe alles digitalisiert wird und der gesellschaftliche, technische und ökologische Wandel ganz im Zeichen der Digitalisierung steht, stellt sich die Frage, wie Compliance mit dem digitalen Wandel mithalten kann. Als Beispiel für die Digitalisierung und wie sehr Compliance im Rahmen der Digitalisierung gefordert wird, eignet sich die digitale Währung Bitcoin.

Dieser Artikel legt mit Hilfe von sechs kurzen Fragen dar, was Bitcoins sind, wie ein digitaler Zahlungsverkehr ausgeführt wird und welche Compliance-Risiken sich in Bezug auf Bitcoins ergeben. Hierfür wird zunächst auf die Funktionsweise der Bitcoins und die Technologie dahinter eingegangen und im Folgenden die Frage erörtert, welche Problemstellungen das Thema Bitcoins aus Compliance-Sicht aufwirft. Abschließend bietet der Artikel eine Checkliste, die Unternehmen die zu beachtenden Punkte bei der Einführung von Bitcoins als Zahlungsmittel überblicksartig aufzeigt.

Was sind Bitcoins?

Bei Bitcoins handelt es sich um ein digitales Zahlungsmittel, das dezentral verwaltet wird. Das bedeutet, dass es keine einheitliche Verwaltungsstelle (Server) gibt, auf dem die Daten gespeichert oder verwaltet werden. Die Verwaltung der Daten erfolgt über das Rechnernetz aller Teilnehmer. Es ist somit kein dritter Vermittler wie etwa eine Bank oder eine Regierung zwischengeschaltet, die regulierend oder kontrollierend in die virtuelle Währung eingreifen kann. Es gibt auch keine mit der EZB vergleichbare Institution, die die Menge der Bitcoins steuert oder Rahmenbedingungen festlegt, das gesamte Netzwerk steuert sich selbst. Jegliche Transaktion kann somit direkt von Person zu Person durchgeführt werden. Das bedeutet aber auch, dass alle Teilnehmer des digitalen Zahlungsverkehrs gleichwertig sind und dieselben Rechte und Pflichten genießen. Sämtliche Daten werden – nachdem sie mittels einer bestimmten Technologie, der sogenannten Blockchain, verschlüsselt worden sind – in der dezentral verwalteten Datenbank aufgezeichnet.

[Fakt 1: Bei Bitcoin handelt es sich um eine virtuelle Währung, die dezentral von allen Bitcoin-Teilnehmern verwaltet wird und somit keiner staatlichen Kontrolle unterworfen ist.]

Wie entstehen Bitcoins?

Bei realem Geld ist diese Frage leicht zu beantworten: die Banknoten werden gedruckt oder die Münzen gestanzt, doch woraus bestehen Bitcoins bzw wie werden sie generiert? Die Antwort mag abstrakt klingen, aber Bitcoins werden mathematisch berechnet. Mittels einer Open Source Software und komplizierten mathematischen Algorithmen werden neue Bitcoins generiert, im Fachjargon wird dies als Mining bezeichnet. Im Zuge dieses Minings entstehen als eine Art Nebenprodukt die Bitcoins. Allerdings muss kurz festgehalten werden, dass es für die Generierung von Bitcoins bestimmte Regeln gibt und eine Obergrenze von ca 21 Millionen Bitcoins. Das heißt, es ist nicht möglich, mehr als 21 Millionen Bitcoins mathematisch zu generieren.

[Fakt 2: Bitcoins werden mit Hilfe komplizierter mathematischer Berechnungen generiert und es können maximal 21 Millionen Bitcoins „errechnet“ und in Umlauf gebracht werden.]

Woher erhält man Bitcoins und wie können damit Überweisungen getätigt werden?

Bitcoins können entweder im Internet auf Bitcoin-Börsen oder von anderen Nutzern, die bereits Bitcoins besitzen, erworben werden. Damit Überweisungen getätigt oder erhalten werden können, benötigt man zuerst eine sogenannte Bitcoin-Adresse. Diese stellt quasi das „Konto“ des Bitcoin-Besitzers dar, hier gehen alle Bitcoin-Transaktionen ein und weg. Eine Bitcoin-Adresse besteht aus einer Buchstaben-Zahlenkombination. Technikaffine Personen können solche Bitcoin-Adressen selbst generieren, für die einfachere Verwaltung gibt es aber auch diverse Internetseiten, die „Wallet“-Software anbieten. In einer solchen Wallet, die man sich wie eine kleine elektronische Geldbörse vorstellen kann, und die quasi die Bitcoin-Adresse darstellt, befinden sich immer jeweils ein öffentlicher und ein geheimer Schlüssel. Den geheimen Schlüssel kennt nur der Eigentümer der Bitcoin-Adresse, dieser wird verwendet, um Transaktionen zu tätigen (diese werden mit dem privaten Schlüssel signiert). Der öffentliche Schlüssel ist für jeden ersichtlich und dient der Kontrolle, ob die Transaktionen in der jeweiligen Höhe tatsächlich getätigt wurden.

Derartige Wallets können unterschiedlich ausgestaltet sein: Sie können lokal auf dem Desktop abgespeichert werden, online genutzt oder mittels einer App oder einem Stick verwendet werden. Wichtig ist hierbei vor allem die Sicherung der Wallets, denn diese können gehackt werden. Mittels einer Wallet können Transaktionen ohne großen Aufwand getätigt werden: Es bedarf lediglich der Eingabe der Bitcoin-Adresse des Überweisungsempfängers, der zu überweisenden Summe an Bitcoins und eines Klicks auf den Button „Senden“.

[Fakt 3: Bitcoins können über Bitcoin-Börsen oder direkt von einem Bitcoin-Besitzer erworben werden. Transaktionen werden über die jeweilige Bitcoin-Adresse abgewickelt.]

Wie werden Manipulationen von Transaktionen verhindert?

Nun stellt sich natürlich die Frage, wie in einem vollkommen dezentralen System sichergestellt wird, dass niemand die Transaktionen verfälscht? Immerhin gibt es keine zwischengeschaltete Kontrollinstanz wie eine Bank, die eine Überweisung bestätigt und freigibt. Genauso wenig ist es möglich, im Nachhinein aufgrund eines Fehlers die Überweisung wieder rückgängig zu machen. Hierfür gibt es im Bitcoin-Netzwerk das System der sogenannten Blockchain: Sämtliche Transaktionen, die mit Bitcoins getätigt werden, werden geprüft und bestätigt. Da die Transaktionen alle öffentlich zugänglich sind, kann jeder eine solche Prüfung vornehmen, wobei jede Prüfung und Bestätigung einer Transaktion dem Prüfer als „Belohnung“ Bitcoins einbringt (werden ua als Transaktionsgebühr abgezogen). Im Fachjargon wird dies als „Mining“ bezeichnet. Alle innerhalb eines bestimmten Zeitraums getätigten Transaktionen werden in einer Liste, einem sogenannten Block erfasst (vgl Abbildung 1).

Abbildung 1, © Mlinarcsik
Abbildung 1

Geprüfte Blöcke werden in die Blockchain eingereiht, in welcher bereits geprüfte und bestätigte Blöcke vorhanden sind. Somit ergibt sich eine Kette aus zusammenhängenden Blöcken. Bestätigte Blocks können im Nachhinein nicht mehr geändert werden. Dies hängt auch mit dem Mining zusammen.

[Fakt 4: Die Blockchain ist eine Kette von aneinandergereihten Blöcken, welche jeweils aus geprüften und bestätigten Transaktionen bestehen.]

Wie funktioniert Mining?

Die Prüfung und Bestätigung von Blocks muss von jemandem übernommen werden. Dies ist Aufgabe der sogenannten „Miner“. Diese sammeln eingehende Transaktionen und prüfen sie auf ihre Gültigkeit, wie zB ob die Signaturen stimmen. Sind alle Transaktionen gültig, so bestätigen sie diese. Die Bestätigung erfolgt mittels einer Verschlüsselung der Transaktionen. Diese Verschlüsselung wird als Hash bezeichnet. Das „Hashen“ erfolgt durch ein aufwendiges mathematisches Verschlüsselungsverfahren, das allerdings mit den heute verfügbaren Rechenleistungen von Computern relativ schnell gelöst werden kann. Das Besondere an diesen Hashes ist, dass sie relativ einfach generiert werden können, es aber fast unmöglich ist, herauszufinden, was, also welche Werte, gehasht wurde. Das heißt, es ist aus einem Hash nicht rückführbar, welche Werte gehasht wurden. Weiters ist jeder Hash individuell und unterscheidet sich von bereits bestehenden Hashes.

Die Transaktionen werden nach der Prüfung des Miners jeweils paarweise gehasht und die Ergebnisse mittels eines sogenannten „Hash-Baums“ (vgl Abbildung 2) so lange miteinander gehasht, bis ein „Top-Hash“ (oder auch Merkle Root genannt) herauskommt. Die geprüften und gültigen Transaktionen sammelt der Miner im Body des Blocks und trägt im Header des Blocks den Top-Hash ein.

Abbildung 2: Funktionsweise des Hash-Baums, © MMag. Jacqueline Mlinarcsik
Abbildung 2: Funktionsweise des Hash-Baums

Wird innerhalb des gehashten Blocks auch nur ein Detail, wie bspw eine Transaktion, geändert, so ändert sich der Top-Hash und es ist allen im Netzwerk ersichtlich, dass hier etwas verändert wurde.

Neben diesem Top-Hash (für die Transaktionen) müssen die Miner auch noch einen Block-Hash, also einen Hash für den gesamten Block, errechnen. Da die Miner durch das Hashen allerdings gutes Geld bzw gute Bitcoins verdienen, werden sie vor eine zusätzliche Aufgabe gestellt: Sie müssen beim Generieren des Block-Hashs einen Arbeitsnachweis (Proof of Work) erbringen. Dieser liegt darin, dass sie nicht nur irgendeinen Hash generieren – was mit Hilfe der Rechenleistung eines Computers relativ schnell ginge – sondern einen, der kleiner ist als eine vordefinierte Zielgröße („Difficulty“). Als Zielgröße wird immer ein Hashwert angegeben, welcher mit einer bestimmten Anzahl an Nullen beginnt (vgl Abbildung 3).

Abbildung 3: Alle Informationen des Headers werden gehasht, um den Block-Hash zu generieren., © Mlinarcsik
Abbildung 3: Alle Informationen des Headers werden gehasht, um den Block-Hash zu generieren.

Da es – wie zuvor bereits erwähnt – unmöglich ist, einen Hash rückzuführen, müssen die Miner so lange Zahlen und Eingaben des Blocks verändern und hashen, bis ein Hash herauskommt, der die entsprechenden Anforderungen erfüllt. Vereinfacht ausgedrückt handelt es sich hierbei um ein Trial- and Error-Verfahren.

[Fakt 5: Verkürzt dargestellt besteht das Mining darin, Blocks zu finden, diese durch das Bilden eines Top-Hashs und eines Block-Hashs zu prüfen und zu bestätigen und sie der Blockchain hinzuzufügen.]

Die vorherigen Zeilen vermittelten einen groben Überblick, was Bitcoins sind und wie der Transfer von Bitcoins vor sich geht.

Die Vorteile von Bitcoins liegen auf der Hand: Bitcoins ermöglichen die anonyme, rasche und kostengünstige Überweisung von virtuellem Geld. Dies mag – neben internetaffinen Personen – vor allem für Personen interessant sein, die regelmäßig Auslandstransaktionen vornehmen, da die Gebühren bei der Überweisung von Bitcoins wesentlich geringer sind als die Transaktionsgebühren bei herkömmlicher Kreditkartenzahlung. Weiters muss nicht auf einen externen Mittelsmann vertraut werden, die Überweisungen erfolgen direkt von Bitcoin-Nutzer zu Bitcoin-Nutzer. Für viele Personen ist die Bitcoin-Nutzung insbesondere auch wegen der Möglichkeiten zur Anonymisierung der Persönlichkeit sehr interessant. Nun stellt sich natürlich die wichtigste Frage: Welche Probleme können sich bei Bitcoins aus Compliance-Sicht ergeben?

Wie compliant können Bitcoins sein?

Die eben beschriebenen Vorteile bringen jeden Compliance Officer sogleich zu den Problemstellungen der virtuellen Währung: Auf Grund der Anonymität der Nutzer sowie einer fehlenden zwischengeschalteten (Kontroll-)instanz ist die Nutzung von Bitcoins für Geldwäsche, Terrorismusfinanzierung und andere strafbare Handlungen sehr interessant. Durch die anonymisierte Vornahme von Bitcoin-Transaktionen ist es – um es plakativ auszudrücken – ein Kinderspiel, unbekannt illegal erworbenes Geld in Umlauf zu bringen. Dass diese Vorwürfe nicht aus der Luft gegriffen sind, zeigt sich auch durch das verstärkte Interesse der Politik an dieser Thematik. Bereits Anfang letzten Jahres fand eine Anhörung vor dem europäischen Wirtschaftsausschuss zum Thema Virtuelle Währungen statt, um mehr Informationen über die Technologie dahinter sowie mögliche Präventivmaßnahmen zur Vermeidung von Geldwäsche, Terrorismusfinanzierung etc zu erhalten. Auch die Europäische Zentralbank (EZB) und die Finanzmarktaufsicht (FMA) beschäftigen sich zusehends mit den Vor- und Nachteilen sowie den Möglichkeiten digitaler Währungen. Die europäische Kommission hat in der 4. Geldwäsche-Richtlinie (RL 2015/849/EU) einen Absatz den Handelsplattformen digitaler Währungen gewidmet, von einer tatsächlichen Regulierung von Bitcoins kann allerdings nicht gesprochen werden.

Das Fehlen regulierender Instanzen erleichtert allerdings nicht nur kriminelle Handlungen, sondern führt auch zu wesentlichen Problemen für legal handelnde und erwerbende Personen. Zum einen nimmt sich keiner des regulierenden Parts bei der Ausgabe von Bitcoins an, wodurch es zu teils sehr starken und unvorhersehbaren Kursschwankungen der Bitcoins kommt. Dies kann ungeübten Anlegern stark zusetzen und sie in finanzielle Schwierigkeiten bringen. Zum anderen bergen Bitcoins als vollkommen unkontrolliertes Instrumentarium auch keinerlei Schutz für Anleger:

  • keinen Rechtsschutz,

  • keinen Einlagenschutz und

  • keinen Anlegerschutz.

Aber auch Fragen des Datenschutzes oder zum Schadenersatz bei Hackerangriffen sind ungeregelt. Jeder Bitcoin-Besitzer muss daher darauf vertrauen, dass sich der Überweisungsempfänger fair und korrekt verhält und fehlerhafte Transaktionen rücküberweist. Wie sehr man sich auf die Rechtschaffenheit Dritter verlassen will, bleibt jedem selbst überlassen ...

Vor diesem Hintergrund hat sich die Europäische Bankenaufsichtsbehörde (EBA) gegen die Verwendung von Bitcoins ausgesprochen und rät sogar explizit davon ab, Bitcoins zu kaufen, zu halten oder zu verkaufen.

Aber nicht nur Bankenbehörden beschäftigen sich mit Bitcoins, zahlreiche nationale, europäische und internationale Institutionen legen ein verstärktes Augenmerk auf den Bereich digitale Währungen. Es herrscht Konsens darüber, dass das Thema virtuelle Währungen nicht vernachlässigt werden darf, es aber Regulierungsbedarf gibt. Die Lösungsvorschläge sehen ganz unterschiedlich aus: So planen diverse Zentralbanken etwa die Einführung eigener digitaler Währungen auf Blockchain-Basis, bei denen das Vertrauen der Währung aber nicht auf dem dezentralen Computersystem, sondern wieder bei den bestehenden Zentralbanken liegen soll. Andere beschäftigen sich intensiv mit Bitcoins und wie sie diese als Zahlungsmittel vollkommen etablieren können, wieder andere diskutieren ein gänzliches Verbot von Bitcoins.

Wie sollte nun Österreich mit diesen Problemen umgehen? Eine Möglichkeit wäre die stärkere Regulierung der Bitcoins. Dies würde allerdings auch bedeuten, dass die Anonymität der Überweisungen nicht mehr durchgehend gewährt werden könnte. Dies würde sicherlich den Kampf gegen Geldwäsche und Terrorismusfinanzierung unterstützen und vorantreiben, zahlreiche Bitcoin-Nutzer aber auch sicherlich vor den Kopf stoßen. Denn genau diese Anonymität finden viele der Nutzer anziehend und interessant.

Allerdings bereitet bereits die Einordnung von Bitcoins in Österreich rechtliche Probleme: Laut FMA handelt es sich bei Bitcoins um keine Finanzinstrumente (im Gegensatz zur in Deutschland vertretenen Ansicht). Es handelt sich auch um keine Handelsware, dh beim Handel von Bitcoins greifen keine gewerberechtlichen Vorschriften. Für die Vermittlung von Bitcoins auf Handelsplattformen bestehen hingegen sehr wohl Pflichten aus der Gewerbeordnung. Neben den zuvor erwähnten Problemen im Hinblick auf den Konsumenten- und Anlegerschutz dürfen aber auch steuerrechtliche Fragestellungen nicht außer Acht gelassen werden.

[Fakt 6: Ein rechtskonformes Verhalten mit Bitcoins ist va aufgrund der Anonymität des Bitcoin-Besitzers und der fehlenden zwischengeschalteten Instanzen schwierig, aber nicht unmöglich.]

Blick in die Zukunft

Bitcoins werden in Zukunft sicherlich das Leben von einigen Compliance Officern mitbestimmen. Auch beim Handel, dem Kauf und dem Verkauf von Bitcoins kann compliantes Verhalten sichergestellt werden, es bedarf hier aber eines noch wachsameren Blickes als beim üblichen Zahlungsverkehr. Sollten in einem Unternehmen Bitcoins als Zahlungsmittel akzeptiert werden, so ist die KYC-Prüfung darauf zu adaptieren und auf diesem Umweg sicherzustellen, dass mit der virtuellen Währung keine verbotenen Handlungen verschleiert werden. Unabhängig davon, wie die Handhabe von Bitcoins in einem Unternehmen erfolgt, stellt die ständige Beobachtung der Gesetzgebung und Rechtsprechung einen unverzichtbaren Part für ein compliantes Verhalten im Umgang mit Bitcoins dar.

Checkliste

Nach der Erörterung der Vor- und Nachteile von Bitcoins steht die Frage im Raum, wie sich ein Unternehmen am besten auf die Einführung eines Zahlungsverkehrs mit Bitcoins vorbereitet. Die nachfolgende Checkliste soll daher einen Anhaltspunkt geben, welche Punkte Unternehmen beachten bzw welche Instrumentarien sie einführen müssen, um einen regelkonformen Umgang mit Bitcoins sicherzustellen.

1

Durchführung einer Risiko- und Gefahrenabschätzung als Entscheidungsgrundlage sowie Ableitung erforderlicher Sicherungsmaßnahmen.

  • Anwendungsfälle

  • mögliche Gefahren und Risiken (zB Öffentlichkeit der Zahlungen etc)

  • Verwendete Systeme

  • Ableitung von Maßnahmen

2

Schaffung eines formalen Compliance-Rahmenwerks (Richtlinie) zur Regelung

  • von Bitcoinzahlungen

  • der internen Prüfung und Freigabe neuer Geschäftspartner mit Bitcoinzahlung

3

Einführung einer Transaktions- und Zahlungsklassifizierung

  • Wann ist eine Bitcoin-Zahlung erlaubt?
    (nur festgelegte Zahlungsströme/-transaktionen)

4a

Adaptierung des Zahlungsprozesses

  • •  Prüfung und Freigabe von Bitcoinzahlungen

4b

Validierung und Adaptierung des Zahlungssystems

  • Absicherung der Zahlungssysteme für Bitcoins;

  • Penetrationstest;

  • Überarbeitung der Verwaltungsprozesse (Benutzer, Freigabe etc)

5

Festlegung eines Konzepts zur Einbindung des Compliance Officers beim Zahlungsverkehr mit Bitcoins

6

Krisenpläne/Exitpläne (zB Schwellenwerte für Kursschwankungen);

Autoren

MMag. Jacqueline Mlinarcsik

MMag. Jacqueline Mlinarcsik ist als Compliance Manager bei der TUI AG im Bereich Integrity & Compliance tätig. Ihre Schwerpunkte liegen neben der Implementierung von Compliance-Management-Systemen ...