So kommen Sie dem Versäumnis nach, Betrug zu verhindern

Eine Einführung in Betrugs- und Risikobewertung

Die Einführung des britischen Straftatbestands der unterlassenen Betrugsverhütung markiert einen entscheidenden Moment für die Compliance im Finanzdienstleistungssektor. Das von Donald Cressey entwickelte Betrugsdreieck stellt ein Modell für drei Bedingungen dar, die zu Betrug führen: Druck, Gelegenheit und Rationalisierung. Dieses Rahmenkonzept erklärt, warum die neue britische Gesetzgebung große Unternehmen ins Visier nimmt und direkt für betrügerische Geschäfte von Mitarbeitern, Vertretern oder Tochtergesellschaften haftbar gemacht wird.

Es ist Teil umfassenderer Reformen im Rahmen des Economic Crime and Corporate Transparency Act 2023 und erweitert den Haftungsumfang für bestehende Verfahren erheblich. Für Finanzdienstleister bedeutet dies eine veränderte Bewertung interner Kontrollen, Schulungen und externer Aufsicht. Für Risiko- und Compliance-Verantwortliche erfordert das Gesetz eine strategische Überarbeitung des Betrugsrisikomanagements. Strenge Maßnahmen sind nicht länger optional – sie sind gesetzliche Erwartung an die Unternehmensleitung.

Um die Compliance zu gewährleisten, müssen Unternehmen nachweisbare Rahmenbedingungen schaffen, die das Risiko einer Strafverfolgung verringern. Beispiele für Betrugsdelikte sind Steuerhinterziehung, Falschaussagen von verbundenen Personen, Bilanzfälschung, betrügerischer Handel, Bestechung, Betrug durch falsche Angaben, unehrliche Inanspruchnahme von Dienstleistungen und Betrug an der Öffentlichkeit, um nur einige zu nennen. Dieser Leitfaden enthält eine praktische Checkliste zur Vorbereitung, räumt mit gängigen Mythen auf und zeigt, wie Unternehmen Maßnahmen zur Betrugsprävention einführen können.

Was ist die Straftat der unterlassenen Betrugsverhütung?

Der Versäumnis, Betrug zu verhindern Straftat führt Vorschriften für Organisationen ein, die speziell darauf abzielen, wann eine „assoziierte Person“ Betrug zum Vorteil des Unternehmens begeht, insbesondere wenn dies unter eine bestimmte Straftat im ECCT 2023 fällt. Auch wenn die Geschäftsleitung sich keiner Verfehlung bewusst ist, ist die Straftat nachweisbar und sie wird für betrügerisches Verhalten strafrechtlich zur Verantwortung gezogen. Wenn Unternehmen für haftbar befunden werden, drohen ihnen daher unbegrenzte Geldstrafen und Rufschädigung, sofern sie nicht nachweisen können, dass „angemessene Verfahren“ eingeführt wurden.

Große Unternehmen können nun wegen Betrugs durch Mitarbeiter oder Agenten strafrechtlich verfolgt werden – unabhängig davon, ob die Geschäftsleitung davon Kenntnis hatte. Ohne angemessene Maßnahmen zur Betrugsprävention bis zum 1. September 2025 riskieren Unternehmen unbegrenzte Geldstrafen und irreversible Reputationsschäden. – Milosh Caunhye, Berater für Betrugsprävention

Die Verteidigung erfordert, dass Unternehmen angemessene, auf ihr Risikoumfeld zugeschnittene Betrugskontrollen nachweisen. Diese müssen über ein Strategiedokument hinausgehen – die Umsetzung muss eindeutig nachgewiesen werden. Wird dieser Anspruch nicht erfüllt, setzen sich Unternehmen strafrechtlicher Verfolgung aus. Durch die Implementierung von Tools zur Unterstützung dieses Beweisstandards können Unternehmen Betrugsdelikte durch Echtzeitkontrollen und Auditfunktionen vermeiden.

Finanzdienstleistungen und Unternehmenshaftung

Aktuelle Daten zeigen eine überproportional hohe Zahl von Straftaten im Bank-, Kredit- und Versicherungswesen. Dies markiert einen deutlichen Wandel in der Verantwortungsübernahme und -verteilung. Betrugsprävention ist mittlerweile zu einem Problem auf Vorstandsebene großer Unternehmen geworden. Führungskräfte und Managementteams müssen wirksame Betrugsbekämpfungsmaßnahmen entwickeln, die umgesetzt und regelmäßig überprüft werden. Für die Finanzbranche sind rechtliche Risiken, Reputationsrisiken und branchenspezifische Verpflichtungen die größten Auswirkungen des neuen Straftatbestands.

Der Büro für schweren Betrug (SFO) wurde im Rahmen der neuen Gesetzgebung zur federführenden Durchsetzungsbehörde ernannt. Werden solche Verfahren nicht angemessen umgesetzt, laufen Finanzinstitute Gefahr, zivilrechtlich verklagt zu werden, ihren Ruf zu schädigen und direkt ermittelt zu werden. Der Druck, gründliche Risikobewertungsprotokolle zu erstellen, nimmt aufgrund der verschärften behördlichen Kontrollen weiter zu. Diese Ausweitung der Haftung verlagert den Fokus von reaktiven Reaktionen auf Vorfälle auf proaktives Risikomanagement und erhöht damit die Erwartungen der Aufsichtsbehörden an die Unternehmen, die einer Prüfung unterzogen werden.

Für wen gilt der Straftatbestand der unterlassenen Betrugsverhütung?

Der Straftatbestand der unterlassenen Betrugsprävention gilt für Unternehmen, die als große Organisationen bezeichnet werden. Sie werden definiert, wenn sie zwei oder mehr der folgenden Schwellenwerte erfüllen:

• 36 Millionen Pfund Umsatz

• 18 Millionen Pfund an Vermögenswerten

• 250 Mitarbeiter.

Die Parameter dieser Straftat werden auf Grundlage des vorangegangenen Geschäftsjahres bewertet und festgelegt. Typischerweise fallen Organisationen wie Banken, Versicherungen, Wertpapierfirmen und die meisten Fintechs in den Anwendungsbereich dieser Straftat. Auch kleinere Unternehmen könnten indirekt über Drittbeziehungen oder durch künftige Gesetzgebung betroffen sein.

Wichtig ist, dass das Gesetz über Betrug hinaus auch verwandte Delikte wie Steuerhinterziehung oder Straftaten mit Auswirkungen auf die Staatseinnahmen einbeziehen könnte. Aufgrund dieser breiten Anwendbarkeit ist es für Unternehmen unerlässlich, sowohl direkte als auch indirekte Risiken zu bewerten. Die Bewertung von Betrugsbekämpfungsverfahren, die Bestechung und kriminelle Finanzen verhindern oder bestimmte Risiken, die von einer Person ausgehen, mindern, verschafft Unternehmen einen Vorsprung. Frühzeitige Sammelklagen können Unternehmen hinsichtlich ihres Status und operativen Risikos unterstützen und dazu beitragen, das gesetzlich vorgeschriebene Maß an Verfahrensstrenge zu bestimmen.

Wer sind „assoziierte Personen“ im Sinne der Nichtverhinderung von Betrug?

Der Straftatbestand der unterlassenen Betrugsprävention geht weit darüber hinaus, wer als „verbundene Person“ gilt. Dazu gehören Mitarbeiter, Auftragnehmer, Tochterunternehmen, Vertreter und externe Dienstleister. Auch Führungskräfte fallen in den Geltungsbereich, was ein breiteres Verständnis der Unternehmensverantwortung widerspiegelt. Nach dieser Definition kann Betrug, der von Personen begangen wird, die im Namen der Organisation handeln, strafrechtlich verfolgt werden.

Unternehmen müssen Rahmenbedingungen für die Betrugsprävention entwickeln, die alle Mitarbeiter abdecken, die einem Betrugsrisiko ausgesetzt sind, nicht nur Mitarbeiter, die Betrug beabsichtigen. Die Einbeziehung von externen Mitarbeitern und Führungskräften erhöht die Bedeutung einer funktionsübergreifenden Risikoanalyse. Organisationen müssen alle Personen im Blick behalten, die in ihrem Interesse handeln, insbesondere in risikoreichen Positionen. Dies erfordert umfassende Onboarding-Kontrollen und kontinuierliche Überwachung.

Umfang und Erwartungen bei Nichtverhinderung von Betrug

Es besteht oft Unsicherheit über den Umfang angemessener Betrugspräventionsmaßnahmen und die Absicht des neuen Straftatbestands der unterlassenen Betrugsprävention. In manchen Fällen wird davon ausgegangen, dass die Regeln nur für internen Betrug gelten oder dass die bestehenden Richtlinien bereits ausreichenden Schutz bieten. Der Straftatbestand zielt jedoch auf jeden Betrug ab, der von einer verbundenen Person begangen wird und dem Unternehmen zugutekommt. Ob intern oder extern – große Unternehmen müssen darauf achten, ob ihre Anti-Geldwäsche-Kontrollen (AML) den Anforderungen entsprechen.

Tatsächlich befassen sich die AML-Rahmenwerke mit unterschiedlichen Risiken und mangelt es an der für diesen Straftatbestand erforderlichen Zielgenauigkeit. Schriftliche Richtlinien allein werden die Aufsichtsbehörden dieser großen Organisationen nicht zufriedenstellen; die Implementierung und Überwachung wirksamer Kontrollen ist für die Förderung einer Betrugsbekämpfungskultur unerlässlich. Das neue Gesetz verlangt zudem betrugsspezifische Maßnahmen, die der Prüfung durch das Serious Fraud Office (SFO) standhalten.

Der Unterschied zwischen AML-Compliance und Betrugspräventionsverfahren

Die Einhaltung der Anti-Geldwäsche-Vorschriften ist grundsätzlich reaktiv und konzentriert sich auf die Erkennung verdächtiger Aktivitäten, nachdem diese aufgetreten sind. Im Gegensatz dazu erfordert der neue Straftatbestand präventive Maßnahmen, um solche Betrugshandlungen zu verhindern, bevor sie geschehen. Dies spiegelt die britischen Gesetze zu Unternehmensstraftaten wider, wie beispielsweise den UK Bribery Act 2010, der Unternehmen bestraft, wenn sie Fehlverhalten verbundener Personen nicht verhindern. Die Priorisierung der strafrechtlichen Zuordnung von Unternehmen zeigt eine Verlagerung von der Erkennung zur Prävention. Unternehmen dürfen AML-Risikobewertungen nicht mit den hier eingeführten Anforderungen zur Betrugsprävention verwechseln. 

Um sich im Rahmen des neuen Straftatbestands verteidigen zu können, müssen Unternehmen nachweisen, dass sie über angemessene Maßnahmen zur Betrugsprävention verfügen. Diese Kontrollen müssen auf das spezifische Risikoprofil und die Geschäftstätigkeit des Unternehmens zugeschnitten sein. Allgemeine Richtlinien reichen nicht aus; die Verfahren müssen dokumentiert, implementiert und regelmäßig aktualisiert werden. Klare Kommunikation und operative Transparenz sind ebenfalls unerlässlich. Dies markiert einen Wandel von passiver Compliance hin zu evidenzbasierter Bereitschaft. Die Aufsichtsbehörden erwarten von den Unternehmen den Nachweis, dass ihre Kontrollen zum Zeitpunkt der Straftat funktionsfähig waren. 

Bewertung und Management interner Betrugsrisiken

Wirksame Prävention beginnt mit einer detaillierten Risikobewertung. Unternehmen müssen die besonders betrugsanfälligen Geschäftsbereiche identifizieren und die Interaktion der beteiligten Personen mit diesen Bereichen bewerten. Wichtige Schritte sind die Zuordnung risikoreicher Geschäftseinheiten, die Identifizierung von Bedrohungsvektoren und die Quantifizierung potenzieller Auswirkungen. Eine Priorisierung basierend auf dem Diebstahlrisiko trägt zur effizienten Verteilung der Kontrollen bei.

Finanzunternehmen sollten auch Veränderungen des Betrugsrisikos im Laufe der Zeit berücksichtigen, die durch interne Veränderungen oder externe Bedrohungen verursacht werden. Dies erfordert kontinuierliche Analysen und die Bereitschaft, die Kontrollen entsprechend anzupassen. Durch den Einsatz von Tools, die diese Flexibilität ermöglichen, kann durch adaptive Workflows und Risikobewertungstools eine solide Grundlage geschaffen werden. Die Risikokartierung ist unerlässlich, um die gesetzlichen Verpflichtungen im Rahmen der neuen Straftat zu erfüllen.

Überprüfung von Lücken in bestehenden Prozessen

Die Überprüfung und Stärkung bestehender Compliance-Prozesse ist notwendig, um Doppelarbeit zu vermeiden und die rechtliche Übereinstimmung sicherzustellen. Viele Unternehmen gehen davon aus, dass ihre AML-Tools oder bestehenden Betrugsrichtlinien ausreichend sind. Die Kontrollen müssen jedoch anhand der Vorschriften zur Betrugsvermeidung überprüft werden. Die Überprüfung umfasst Onboarding, Eskalation und Drittanbietermanagement.

Wichtige Ansatzpunkte sind die Neubewertung risikobasierter Onboarding-Abläufe, Stresstests der Eskalationslogik und die Ausarbeitung von Verfahren. Unternehmen sollten die Ergebnisse dokumentieren und Aktualisierungen in ein formelles Rahmenwerk zur Betrugsprävention integrieren. Diese Art der Prozessüberprüfung signalisiert den Aufsichtsbehörden eine proaktive Haltung zur Einhaltung der Vorschriften.

Grundlegende Verfahren zur Betrugsprävention, die jedes Unternehmen braucht

Basierend auf regulatorischen Vorgaben und branchenweit bewährten Verfahren gibt es wichtige Verfahren, die jedes Unternehmen einführen sollte. Dazu gehört die obligatorische Schulung der Mitarbeiter zu Betrugsindikatoren wie Falschangaben und finanziellem Fehlverhalten. Unternehmen müssen außerdem Whistleblower-Hotlines, Echtzeit-Transaktionsüberwachung und eine verstärkte Überprüfung von Hochrisikopositionen einrichten. Kontinuierliche Lieferantenprüfungen tragen zusätzlich dazu bei, das Risiko durch Dritte zu minimieren.

Diese Verfahren müssen abteilungsübergreifend verankert sein und dürfen nicht isoliert innerhalb der Compliance-Funktionen erfolgen. Ein umfassender Präventionsplan sollte sich zudem an veränderte regulatorische Erwartungen oder die interne Risikobereitschaft anpassen. Die Etablierung einer Betrugsbewusstseinskultur ist für die langfristige Wirksamkeit ebenso entscheidend.

Die Rolle der Due Diligence bei der Betrugsprävention

Mit dem neuen Straftatbestand wird die Sorgfaltspflicht zu einer dauerhaften Verpflichtung. Unternehmen sollten die Legitimität und das Risikoprofil von Kunden, Lieferanten und verbundenen Personen kontinuierlich überprüfen. Eine wirksame Sorgfaltspflicht ermöglicht die frühzeitige Erkennung von Betrug und stärkt die rechtliche Verteidigung eines Unternehmens gegen andere kriminelle Aktivitäten wie Geldwäsche. Durch die Identifizierung synthetischer Identitäten, betrügerischer Handelsgeschäfte und anderer finanzieller Verfehlungen im Laufe der Zeit können Unternehmen eine gründliche Sorgfaltspflicht gewährleisten.

Unternehmen sollten Know Your Customer (KYC)- und Know Your Business (KYB)-Prüfungen für ihren gesamten Kunden-, Partner- und Mitarbeiterstamm durchführen. KYC- und KYB-Prüfungen sollten durch aktualisierte PEP-Prüfungen (Politically Exposed Person), Sanktionen und Negativberichterstattung in den Medien ergänzt werden. Verhaltensüberwachung erkennt verdächtige Aktivitäten, die auf Betrug hindeuten. ComplyCube unterstützt diese Bemühungen durch automatisierte Kontrollen und integrationsbereite Lösungen.

Mehr erfahren Sie hier: Was ist eine politisch exponierte Person (PEP)??

Prüfung und Nachweis der Betrugsbereitschaft

Die Dokumentation ist entscheidend für den Nachweis einer stichhaltigen Verteidigung im Rahmen des neuen Straftatbestands. Unternehmen müssen Aufzeichnungen über Schulungsteilnahmen, interne Audits, Lieferantenrisikobewertungen und die Fallbearbeitung führen. Diese Nachweise helfen nachzuweisen, dass angemessene Verfahren nicht nur entwickelt, sondern auch befolgt wurden. Die Aufsichtsbehörden werden nach Beweisen dafür suchen, dass zum Zeitpunkt der mutmaßlichen Straftat entsprechende Verfahren umgesetzt wurden.

Die Berichts- und Audit-Module von ComplyCube ermöglichen Unternehmen den einfachen Export von Protokollen, Compliance-Berichten und Prozessverläufen. Dies ermöglicht schnelle und transparente Reaktionen bei Durchsetzungsmaßnahmen oder Audits. Unternehmen, die Dokumentation in ihre täglichen Arbeitsabläufe integrieren, sind besser gerüstet, um sich gegen Vorwürfe zu verteidigen. Der Nachweis der Bereitschaft ist ebenso wichtig wie die Implementierung von Kontrollen.

Vorbereitung Ihres Vorstands und Risikoausschusses

Die neue Straftat sieht die Verantwortung der Führungskräfte vor und rückt Vorstände und Risikoausschüsse in den Mittelpunkt der Compliance. MLROs und Betrugsbeauftragte müssen sicherstellen, dass Entscheidungsträger das Betrugsrisiko im gesamten Unternehmen verstehen. Regelmäßige Überprüfungen von KPIs, Auditergebnissen und Vorfallberichten sollten zur Standardpraxis der Unternehmensführung werden. Ebenso wichtig ist die Bereitstellung von Ressourcen für die kontinuierliche Verbesserung der Betrugskontrolle.

Ein gut definierter, auf realen Daten basierender Plan zur Betrugsprävention fördert eine starke Unternehmenskultur und die Verteidigung gegen Rechtsverstöße. Vorstände sollten dieses Vergehen nicht nur als Compliance-Problem, sondern als Unternehmensrisiko betrachten. Unternehmen, die ihre Führungskräfte nicht frühzeitig einbinden, laufen Gefahr, auf die Durchsetzung von Maßnahmen nicht vorbereitet zu sein. ComplyCube ermöglicht einen praxisnahen Einblick in die Betrugskontrollen aller Geschäftseinheiten und unterstützt so die strategische Kontrolle.

Wie ComplyCube eine durchgängige Betrugsprävention ermöglicht

ComplyCube bietet eine einheitliche Compliance-Plattform, die auf die Anforderungen des neuen Betrugsdelikts zugeschnitten ist. Sie ermöglicht Identitätsprüfungen in Echtzeit, Sanktionsscreenings und verhaltensbasierte Betrugsprüfungen – allesamt unterstützen sie die Verteidigung durch „angemessene Verfahren“. Die einheitliche Plattform nutzt benutzerdefinierte Regeln im Workflow, sodass Unternehmen Kontrollen implementieren und an ihr spezifisches Risikoprofil anpassen können, ohne Code schreiben zu müssen. Dies gewährleistet nicht nur Flexibilität, sondern ermöglicht auch eine schnelle Umsetzung von Betrugspräventionsmaßnahmen.

Maßnahmen zur Betrugserkennung können über die gesamte Customer Journey hinweg implementiert werden und bieten volle Transparenz und Kontrolle. Die Module umfassen Dokumenten-, biometrische und Datenbankprüfungen, die mit Verbindungen zu Betrugsnetzwerken, Geräteintelligenz und Betrugsrisikobewertungen gekoppelt werden können, um eine ganzheitliche Betrugserkennung und -analyse zu ermöglichen. Diese speziell entwickelten Tools unterstützen proaktive Prävention und Auditbereitschaft. Integrierte Lösungen wie ComplyCube werden bei zunehmender Durchsetzung unverzichtbar sein.

Gesamtzeitplan für Einführung und Implementierung

Der neue Straftatbestand der unterlassenen Betrugsprävention trat am 1. September 2025 in Kraft und konzentrierte sich zunächst auf Hochrisikosektoren wie Finanzen und Fintech. Unternehmen mit größerem Kundenstamm oder kundenorientierten Aktivitäten wurden einer stärkeren Kontrolle unterzogen. Das Serious Fraud Office (SFO) leitete Ermittlungen und Strafverfolgungen im Rahmen dieses erweiterten Rahmens ein. Es wird erwartet, dass die Aufsichtsbehörden einen dokumentierten Nachweis der Compliance-Bereitschaft verlangen. Unternehmen, die frühzeitige Compliance priorisieren, können sich einen guten Ruf aufbauen und den regulatorischen Druck verringern.

Sprechen Sie mit ComplyCubeDie Compliance-Experten von verbessern Ihre Workflows zur Kundensorgfaltspflicht.