Der AML-Audit-Trail als Betriebsstandard: Was das Schweizer Aufzeichnungsregime jetzt fordert | OwnMore

Wenn Fachleute über AML-Compliance in der Schweiz sprechen, kreist die Diskussion häufig um das Eintritts-Gate: Wer wurde identifiziert, wer ist der wirtschaftlich Berechtigte und woher kommt das Geld? Dieses Gate ist wichtig, und der begleitende Beitrag zum KYC- und AML-Onboarding für Schweizer Privatmarkt-Investments geht darauf ausführlich ein. Doch das GwG und seine Ausführungsverordnungen begründen eine Pflicht, die weit über die initiale Prüfung hinausgeht. Der Intermediär muss über die gesamte Beziehung Aufzeichnungen führen, diese laufend überwachen, seine Beurteilungen bei wesentlichen Veränderungen der Umstände aktualisieren und in der Lage sein, auf Verlangen einer Aufsichtsbehörde oder eines Revisors — möglicherweise Jahre nach dem Ereignis — nachzuweisen, dass all dies in der richtigen Reihenfolge und mit angemessener Dokumentation geschehen ist.

Das ist die Aufzeichnungsdimension der GwG-Pflicht, und es ist der Bereich, in dem viele Praktiker zu wenig investieren. Eintrittskontrollen sind sichtbar und termingebunden; die laufende Aufzeichnung ist unsichtbar, bis jemand danach fragt. Die praktische Wirkung des sich verschärfenden GwG-Regimes — das durch LETA und das geänderte GwG mehr Aufmerksamkeit für Transparenz der wirtschaftlichen Berechtigung, die Rolle von Intermediären im Immobilienbereich und das Transaktionsmonitoring mit sich bringt — besteht darin, die Kosten dieser Unsichtbarkeit zu erhöhen. Die Frage, die ein verteidigbarer Prozess beantworten muss, lautet nicht nur «Haben wir die Prüfungen durchgeführt?», sondern «Können wir es belegen — in Reihenfolge, gegen die tatsächlich verwendeten Dokumente, zu jedem Zeitpunkt, den die Aufsicht wählt?» Für Fragen des Schweizer Rechts, konkrete Pflichten und Fristen wenden Sie sich bitte an qualifizierte Schweizer Beratung und die massgebenden Bundestexte.

Ein begleitender Beitrag zur Provenienz und zum Audit-Trail als Anforderung im Privatmarkt erläutert, warum Provenienz über den gesamten Investment-Lebenszyklus strukturell bedeutsam ist. Dieser Beitrag nähert sich demselben Konzept aus der Perspektive der GwG-Aufzeichnungspflicht: Was muss ein verteidigbares Protokoll tatsächlich enthalten? Die Antwort ist eine geordnete, rekonstruierbare Ereigniskette. Für jede wesentliche Handlung — eine Kundenidentifikation, eine Feststellung der wirtschaftlichen Berechtigung, eine Mittelherkunftsbeurteilung, ein Angebot, eine Reservation, eine unterzeichnete Zeichnung, ein Settlement — muss das Protokoll festhalten, wer die Handlung vorgenommen hat, in welcher Eigenschaft, zu welchem genauen Zeitpunkt und gegen welche spezifische Version des Dokuments oder Datensatzes.

Versionsspezifität ist wichtiger, als es zunächst erscheint. Eine Revision im Rahmen des GwG-Regimes ist keine Prüfung des aktuellen Sachstands; sie ist eine Rekonstruktion dessen, was getan wurde, mit welchen Informationen, zum Zeitpunkt der Vornahme. Wenn Ausweisdokumente, UBO-Erklärung, Zeichnungsvertrag und Settlement-Bestätigung in verschiedenen Dateirevision vorlagen, wird ein Revisor fragen: «Welche Version hat die verantwortliche Partei tatsächlich gesehen und auf deren Basis gehandelt?» Ein Protokoll, das nur die neueste Version eines Dokuments speichert, ohne jede Handlung an die zu diesem Zeitpunkt verwendete Version zu knüpfen, kann diese Frage nicht beantworten. Die operationale Anforderung ist daher nicht nur, Aufzeichnungen zu führen, sondern zeitgestempelte, versionsgekoppelte Aufzeichnungen zu führen — ein geordnetes Protokoll, kein Ablageordner.

Die meisten Intermediäre und Berater haben nicht die Absicht, unzureichende Aufzeichnungen zu führen. Das Versagensmuster ist strukturell, nicht absichtlich. Wenn Aufzeichnungen über E-Mail-Threads, gemeinsame Laufwerke, PDF-Ordner und Tabellenkalkulationen verstreut liegen — jede informell von demjenigen aktualisiert, der die Akte gerade in der Hand hat — gilt der Nachweis implizit als «gut genug», weil er in gutem Glauben zusammengestellt wurde. Das Problem ist, dass guter Glaube nicht mit Rekonstruierbarkeit gleichzusetzen ist. Eine Aufsichtsbehörde, die eine Revision durchführt, fragt nicht, ob die richtigen Personen versucht haben, gute Aufzeichnungen zu führen; sie fragt, ob das Protokoll vollständig, kohärent und verifizierbar ist.

Die strukturellen Schwächen sind vorhersehbar. E-Mail bietet keinen verlässlichen Audit-Trail darüber, was wann gesendet, wann gelesen oder gegen welche Version eines Anhangs gehandelt wurde. Gemeinsame Laufwerke überschreiben Dateien, ohne den Vorzustand zu erfassen. Tabellenkalkulationen halten Ergebnisse fest, ohne festzuhalten, wer wann eine Änderung vorgenommen hat. PDF-Ordner sammeln Dokumente an, ohne die dagegen vorgenommenen Handlungen zu protokollieren. Keines dieser Werkzeuge erzeugt eine geordnete, zeitgestempelte, manipulationssichere Kette. Und die Lücke zeigt sich tendenziell genau in den Momenten, in denen sie am teuersten ist: wenn eine Transaktion unterzeichnet wird und die Frage aufkommt, ob das Onboarding zum Zeitpunkt der Reservation abgeschlossen war; wenn ein Settlement verzögert wird und jemand die Autorisierungskette rekonstruieren muss; oder wenn eine Aufsichtsbehörde Jahre später die vollständige Akte verlangt. Den Nachweis nachträglich gegen einen Rekonstruktionsstandard statt durch Echtzeit-Erfassung aufzubauen, ist um Grössenordnungen schwieriger als ihn in Reihenfolge zu pflegen.

Die technische Antwort auf das Aufzeichnungsproblem ist ein Append-only, hash-verkettetes Audit-Log. Das Prinzip ist klar: Jedes Ereignis — eine Identitätsprüfung, eine UBO-Bestätigung, eine Dokumentenunterzeichnung, eine Statusänderung — wird als neuer Eintrag in das Log geschrieben, der nicht verändert oder gelöscht werden kann. Jeder Eintrag trägt einen kryptografischen Hash (SHA-256) seines eigenen Inhalts zusammen mit dem Hash des vorangehenden Eintrags. Das bedeutet, die Einträge bilden eine Kette: Das Ändern eines früheren Eintrags verändert dessen Hash, was die Verbindung zu jedem nachfolgenden Eintrag bricht und die Änderung sofort erkennbar macht. Das Ergebnis ist ein Protokoll, das konstruktionsbedingt append-only und manipulationssicher ist.

Für den GwG-Aufzeichnungsstandard ist diese Eigenschaft auf zwei Arten bedeutsam. Erstens kann das Log einer Aufsichtsbehörde mit der verifizierbaren Aussage vorgelegt werden, dass es seit der Erfassung der Ereignisse nicht verändert wurde: die Kettenintegrität spricht für sich, ohne auf Behauptungen des Verwahrers zu stützen. Zweitens ist das Log, weil jeder Eintrag mit seinem Vorgänger verknüpft ist, von Natur aus geordnet: Es gibt keine Möglichkeit, einen rückdatierten Eintrag in die Mitte der Kette einzufügen, ohne jeden nachfolgenden Link zu brechen. Dies erzwingt genau die Reihenfolgedisziplin, die der GwG-Rahmen verlangt — Onboarding vor Verpflichtung, Identifikation vor Settlement — auf der Ebene der Betriebsinfrastruktur, nicht durch alleiniges Vertrauen auf Prozesseinhaltung. Dies ist eine Beschreibung einer technischen Architektur und ihrer Eigenschaften; es handelt sich nicht um Rechtsberatung, und Intermediäre sollten qualifizierte Beratung zu ihren eigenen Pflichten einholen.

OwnMore ist ein compliance-natives Betriebsmodell für Schweizer Privatmarkt-Immobilientransaktionen. Jede wesentliche Handlung — Anlegerklassifizierung, KYC-Onboarding, Dokumentenausführung, Reservation, Zeichnung, Settlement-Bestätigung — wird bei ihrem Auftreten in eine Append-only SHA-256-Audit-Chain versiegelt. Die Wirkung ist, dass der geordnete, versionsgekoppelte Nachweis, den der GwG-Aufzeichnungsstandard verlangt, als Nebenprodukt des normalen Plattformbetriebs entsteht, nicht nachträglich aus verstreuten Dateien zusammengestellt wird. Qualifizierte Anleger sowie Projektentwickler oder Intermediäre, die verstehen möchten, wie der Ansatz der Plattform zur Aufzeichnung zu ihren eigenen Prozessen passt, sind eingeladen, Zugang anzufordern.

Vier Klarstellungen sind notwendig, und sie werden klar gesagt. Erstens operationalisiert OwnMore den Schweizer GwG- und Aufzeichnungsrahmen — es setzt die Regeln nicht. Die konkreten Pflichten, Aufbewahrungsfristen, Überwachungsanforderungen und Meldepflichten sind Fragen des Schweizer Rechts (des GwG und seiner Verordnungen, unter der Kompetenz der zuständigen Schweizer Behörden); für Ihre konkrete Situation wenden Sie sich an qualifizierte Schweizer Beratung und die massgebenden Bundestexte. Zweitens macht OwnMore keine Drittpartei rechtlich compliant; die Pflicht verbleibt bei der verpflichteten Partei und ihrer Beratung. Drittens ist die Audit-Chain eine Fähigkeit der Plattform, kein Nachweis vergangener Transaktionen: OwnMore ist Pre-Launch, die Chain verzeichnet derzeit null historische Transaktionen, und hier werden keine erfundenen Hashes, Block-Nummern, Kundennamen, verwalteten Vermögen, Renditen oder Deal-Zahlen veröffentlicht. Viertens ist OwnMore Schweizer Infrastruktur für Privatmarkt-Investments, betrieben von der BloomDigital GmbH in der Schweiz — ein Finanzinfrastruktur-Unternehmen, keine Marke für Ernährung, Wellness, Nahrungsergänzung oder Network-Marketing; OwnMore hat keine FINMA-Lizenz, ist kein SRO-Mitglied und erhebt keinen Anspruch, ein regulierter Broker oder eine Anwaltskanzlei zu sein.