Verfasst von Claire Conby, Operational and Governance Lead bei der Digital Pound Foundation und Chief Risk Officer bei Billon Financial Ltd. Bild: Jason Dent

Dieser Artikel erschien zuerst im Blog der Digital Pound Foundation (auf Englisch).

Die Verwendung von physischem Bargeld ist rückläufig. Wir beobachten ein wachsendes Interesse an digitalen Alternativen, das nicht nur durch Innovationen des privaten Sektors angetrieben wird, sondern auch durch die zunehmende Anerkennung der Rolle, die öffentliches digitales Geld (namentlich digitale Zentralbankwährungen oder CBDCs) in der Wirtschaft der Zukunft spielen wird, durch Zentralbanken und Regierungen. Während sich sowohl der öffentliche als auch der private Sektor weiterhin mit den Gestaltungsprinzipien und Eigenschaften dieser neuen Formen des digitalen Geldes befassen, taucht ein Thema immer wieder als zentraler Diskussionspunkt auf - und für viele ist es ein wesentliches Merkmal: Die Privatsphäre.

Anders als Bargeld sind digitale Zahlungen von Natur aus in der Lage, einen Prüfpfad für Transaktionen und Ausgabeverhalten zu erstellen. Die Möglichkeit, dass persönliche Informationen, die mit dieser Aktivität verbunden sind, über den beabsichtigten Verwendungszweck hinaus zugänglich gemacht werden, führt zu erheblichen Datenschutzbedenken. Einzelne Nutzer ziehen es oft vor, ihre Daten - nicht nur ihre persönlichen Daten, sondern auch potenziell sensible oder aufschlussreiche Ausgabedaten - anonym zu halten. Sie haben möglicherweise auch Bedenken hinsichtlich der kommerziellen Weitergabe und Monetarisierung von Daten und der möglichen Diskriminierung und unlauteren Geschäftspraktiken, die sich daraus ergeben können.

Eine Zentralbank, die einen CBDC ausgibt, hat nicht die gleichen Gewinnmaximierungs- und Geschäftszwänge wie ein privater Stablecoin- oder Token-E-Geld-Emittent. Dennoch gibt es Bedenken, dass der staatliche Zugriff auf diese persönlichen Daten und Transaktionsdaten (die bei physischen Bargeldtransaktionen ansonsten anonym bleiben würden) zu einer Verletzung der Privatsphäre der einzelnen CBDC-Nutzer führen könnte. Diese Bedenken könnten Einzelpersonen davon abhalten, CBDC als digitale Alternative zu Bargeld zu nutzen, und sie möglicherweise zu alternativen, potenziell weniger transparenten Zahlungsmechanismen drängen.

Es muss anerkannt werden, dass aus Sicht der Regierung ein Teil des Wertes bei der Implementierung eines CBDC in der Fähigkeit liegt, Daten über Transaktionen und Nutzer besser zu verwalten und zu nutzen, um eine effektivere Politik zu betreiben. Dazu könnte beispielsweise der Schutz der Integrität des Finanzsystems gehören, indem die Finanzkriminalität durch verstärkte Maßnahmen zur Bekämpfung der Geldwäsche eingedämmt wird, oder eine verbesserte Fähigkeit zur Überwachung der Wirksamkeit von Leistungen und anderen Interventionen. Während die Effizienzvorteile wahrscheinlich attraktiv sind, werfen die konkurrierenden Bedenken und Interessen die Frage auf, ob es möglich ist, einen Gleichgewichtspunkt zu finden, ob das gleiche Maß an Anonymität, das Bargeld bietet, auch bei der Gestaltung eines CBDC erreicht werden kann (und in der Tat, ob dies letztendlich wünschenswert ist), und ob die Bedenken der Nutzer in Bezug auf den Schutz der Privatsphäre mit den Erfordernissen und Zielen der Regierung in Einklang gebracht werden können.

Wir sollten uns auch darüber im Klaren sein, dass der verstärkte Zugang zu Daten (und die damit verbundene vermeintliche Einschränkung der Privatsphäre) keineswegs die einzige Triebfeder für die Erforschung eines CBDC oder anderer neuer Formen des digitalen Geldes ist. Die Einführung einer digitalen Währung hat, wenn sie gut konzipiert ist, das Potenzial, Innovationen, Effizienzsteigerungen und eine stärkere finanzielle Integration zu fördern. Sie kann auch eine widerstandsfähigere und wettbewerbsfähigere Zahlungslandschaft unterstützen. All dies kann die Zentralbank bei der Erfüllung ihrer Ziele zur Wahrung der Währungs- und Finanzstabilität unterstützen und dem Vereinigten Königreich beim Übergang zu einer digitalen Wirtschaft helfen. Dies unterstreicht einmal mehr, dass ein Gleichgewicht zwischen der Berücksichtigung von Datenschutzbedenken und der Beibehaltung der innovativen Funktionen, die digitales Geld bieten kann, gefunden werden muss.

Wann ist Privatsphäre keine Wahl?

Zunächst einmal sollten wir uns fragen, ob der Einzelne unabhängig von den Umständen ein generelles Recht auf Privatsphäre hat. Die meisten Menschen würden zustimmen, dass die Privatsphäre ein grundlegendes Menschenrecht ist und dass der Schutz der Privatsphäre in einer freien und demokratischen Gesellschaft unerlässlich ist. Es sollte jedoch anerkannt werden, dass es Zeiten gibt, in denen rechtliche und regulatorische Verpflichtungen überwiegen und in denen eine vollständige Privatsphäre ("Anonymität") einfach nicht möglich ist. Die Herausforderung besteht dann darin, ein Gleichgewicht zwischen dem Recht auf Privatsphäre und dem Schutz der Gesellschaft vor Kriminalität und betrügerischem Verhalten zu finden, das letztlich die Wirtschaft kostet (und auch einen sozialen Tribut fordert).

Bei den neuen Formen des digitalen Geldes wäre es unmöglich, dass alle Daten und Transaktionen anonym bleiben, ohne das Risiko von Finanzkriminalität wie Geldwäsche, Terrorismusfinanzierung und Steuerhinterziehung im großen Stil zu erhöhen. In der Tat sind Finanzinstitute neben anderen beaufsichtigten Unternehmen verpflichtet, dafür zu sorgen, dass ihre Rahmenregelungen zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung robust sind. Dazu gehört die Fähigkeit, die an einer Transaktion beteiligten Parteien zu identifizieren und Transaktionen auf Anzeichen verdächtiger Aktivitäten zu überwachen. In diesem Zusammenhang ist ein Schutz der Privatsphäre bis hin zur Anonymität nicht vollständig zu erreichen. Die Allgemeine Datenschutzverordnung des Vereinigten Königreichs (UK GDPR") besagt, dass die Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung zulässig ist und keinen Verstoß gegen die Datenschutzvorschriften darstellt.

Bei der Inanspruchnahme einer regulierten Finanzdienstleistung müssen Einzelpersonen und Organisationen daher akzeptieren, dass bestimmte personenbezogene Daten weitergegeben werden müssen. Dies unterscheidet sich nicht von denjenigen, die heute kommerzielle Bankdienstleistungen in Anspruch nehmen. Im Gegenzug müssen CBDC und andere Unternehmen, die digitales Geld ausgeben, unter Berücksichtigung der Gründe für die Datenerhebung zur Bekämpfung der Finanzkriminalität und gestützt auf die britische Datenschutz-Grundverordnung sicherstellen, dass sie ein angemessenes Maß an Datenschutz und damit verbundenen Kontrollen in die Gestaltung ihres Betriebsrahmens für digitales Geld einbeziehen. Daten, die zum Zweck der Identitätsüberprüfung und Transaktionsüberwachung erhoben werden, sollten in einer sicheren Datenbank gespeichert werden, auf die nur die Mitarbeiter der Finanzkriminalitätsteams und natürlich die Behörden im Falle einer Untersuchung Zugriff haben.

Wenn wir akzeptieren können, dass die Finanzinstitute gesetzlich verpflichtet sind, uns zu identifizieren und unsere Zahlungsaktivitäten zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung zu überwachen, und dass dies im Interesse der britischen Wirtschaft und Gesellschaft liegt, erscheint es vernünftig, Bedenken hinsichtlich des Schutzes der Privatsphäre auf einen Informationsaustausch zu konzentrieren, der nicht dem Schutz der Gesellschaft vor Verbrechen und bösen Akteuren dient.

Zu diesen Bedenken hinsichtlich des Schutzes der Privatsphäre gehört insbesondere die Befürchtung, dass der Übergang vom Bargeld zu einer digitalen Währung es der Regierung und anderen Organisationen, einschließlich privater digitaler Geldemittenten, ermöglichen würde, einen genaueren Einblick in unsere Person, unsere Transaktionen und unsere Ausgabenentscheidungen zu erhalten. Da sich selbst die ehrlichsten Bürger bei diesem vermeintlichen Eingriff in ihre Privatsphäre unwohl fühlen, sind dies vielleicht die wichtigeren Fragen, die im Zusammenhang mit den Rechten und dem Schutz der Privatsphäre in Bezug auf neue Formen des digitalen Geldes zu berücksichtigen sind.

Kann eine bargeldähnliche Anonymität erreicht werden, ohne gegen die Anforderungen der Geldwäschebekämpfung zu verstossen?

Selbst mit den strengsten Kontrollen der Datennutzung und dem solidesten Datensicherheitsrahmen kann man argumentieren, dass nur physisches Bargeld garantiert anonym ist, da es kein Risiko einer unbefugten Datenexposition birgt (d.h. weil es keinen Datensatz gibt!). Neue Technologien können ein höheres Maß an Sicherheit bieten, das in traditionellen Systemen nicht möglich war. Wir werden in einem separaten Papier untersuchen, inwieweit neue Technologien in der Lage sind, absolute Sicherheit zu bieten (und die Privatsphäre und Anonymität zu wahren). Konzentrieren wir uns zunächst auf die absolute Anonymität, die mit physischem Bargeld erreicht werden kann, und auf die Frage, inwieweit dies mit bargeldähnlichen digitalen Produkten erreicht werden könnte.

Bei physischen Bargeldtransaktionen gibt es weder einen Prüfpfad in Bezug auf den Zahler oder den Empfänger noch einen Nachweis der Transaktion, der direkt und untrennbar mit dem Zahlungsmittel selbst verbunden ist. Derzeit sind im Rahmen der bestehenden E-Geld-Verordnungen Ausnahmen von der Identifizierung und Überprüfung für bargeldlose E-Geld-Transaktionen zum Erwerb von Produkten oder Dienstleistungen unterhalb einer bestimmten Wertgrenze zulässig. Es wäre möglich, ähnliche Kriterien auf ein CBDC oder andere neue Formen des digitalen Geldes anzuwenden. Dieses Modell wird in Schweden erprobt, wo das Pilotprojekt e-krona anonyme Transaktionen in kleinen Beträgen zulässt.

Die Existenz solcher Ausnahmen würde es ermöglichen, dass kleinere Transaktionen ohne Identifizierung des Zahlers durchgeführt werden können, so wie es heute bei Bargeld zulässig ist. Sanktionsprüfungen wären jedoch weiterhin erforderlich, ebenso wie die Überwachung der Transaktionsaktivitäten, wobei weitere Informationen angefordert werden, wenn eine Aktivität als verdächtig erachtet wird oder eine potenzielle Übereinstimmung mit Sanktionen besteht. Ohne KYC-Kontrollen würde bei diesen risikoärmeren Transaktionen sicherlich ein allgemeines Gefühl der Anonymität herrschen. Dies wirft jedoch die Frage auf, ob es tatsächlich möglich ist, eine vollständige bargeldähnliche Anonymität bei Transaktionen in einer digitalen Umgebung zu erreichen, an denen ein Finanzinstitut beteiligt ist, und ob dies tatsächlich wünschenswert wäre. Die Antwort lautet höchstwahrscheinlich, dass eine vollständige Anonymität beim Onboarding nicht erreicht werden kann (allein schon wegen der Sanktionsprüfungen), dass sie aber auf der Transaktionsebene eine Möglichkeit wäre.

Wenn Zahlungen von geringerem Wert anonym getätigt werden können, stellt sich die nächste Frage: Wie können diese Transaktionen von Käufen und Aktivitäten von größerem Wert getrennt werden? Wir gehen davon aus, dass das Finanzinstitut, das an der Bereitstellung der Wallet- oder Kontoinfrastruktur beteiligt ist und die Durchführung von Zahlungen ermöglicht, den Nutzer beim Onboarding höchstwahrscheinlich als Kunden identifiziert hat. Daher ist es unwahrscheinlich, dass wir in eine Situation geraten, in der CBDCs oder eine andere neue Form von digitalem Geld auf einem Konto oder einer Geldbörse gehalten werden, die von einem Finanzinstitut ausgegeben wird, das seine Kunden nicht identifiziert. Eine Lösung, die diese Differenzierung der Behandlung von Transaktionen mit geringem Wert unterstützt, könnte den Nutzern die Gewissheit geben, dass zulässige Transaktionen nicht meldepflichtig sind und die damit verbundenen Daten nicht weitergegeben werden.

Durch einen risikobasierten Ansatz könnte ein gewisser Spielraum bei der Identifizierung von Zahleranforderungen für Transaktionen mit geringem Wert entstehen, so wie auch unterschiedliche Schwellenwerte für verschiedene Nutzer und Aktivitäten mit unterschiedlichen Risikoklassifizierungen gelten.

Können die Nutzer die Transaktionsdaten kontrollieren, die den Behörden und Dritten zur Verfügung gestellt werden?

Es müssen eine Reihe wichtiger Architektur- und Designfragen geklärt werden, um festzustellen, wann, wo, von wem und mit wem Transaktionsdaten erhoben, gespeichert, verwendet und geteilt werden. Welche Form wird das digitale Geld beispielsweise annehmen - CBDC, synthetisches CBDC oder eine andere neue Form von digitalem Geld wie eine tokenisierte regulierte Verbindlichkeit oder Stablecoin? Wer wird für die Ausgabe und Verteilung des digitalen Geldes zuständig sein? Wer wird die Wallets und Konten bereitstellen, in denen es gespeichert werden kann und von denen aus Transaktionen eingeleitet werden können? Wie wird der Einführungsprozess für Kunden aussehen? Werden weitere Dritte beteiligt sein?

Im Falle eines echten CBDC, bei dem die Bank of England ihre eigene digitale Währung ausgibt und vertreibt, wird die Bank die Daten bestimmen, die sie entweder direkt oder über das vorgeschlagene Netzwerk der Zahlungsschnittstellenanbieter erheben will. Datenschutzerwägungen, die sich auf die Auswirkungen des direkten Zugriffs der Zentralbank und/oder der Regierung auf Zahlungs- und Transaktionsdaten beziehen (Daten, die derzeit durch die Verwendung von physischem Bargeld nicht verfügbar sind), werden dann umso wichtiger und für manche auch besorgniserregend.

Wenn Geschäftsbanken ein "synthetisches CBDC" vertreiben oder sogar ihre eigene private Form von digitalem Geld ausgeben, können sie entscheiden, inwieweit die Transaktionsdaten, auf die sie Zugriff haben, eine Ware sind. Die Kommerzialisierung dieser Daten könnte dazu führen, dass sie entweder an den Staat oder an kommerzielle Organisationen, wie z. B. Produkt- und Dienstleistungsanbieter, weiterverkauft und von diesen genutzt werden, wodurch sich neue Einnahmequellen erschließen lassen.

Für Nichtbanken, die Kryptowährungen ausgeben, wie Ethereum, Tether und USD Coin, ist die Datenerhebung im Allgemeinen nicht in ihr Geschäftsmodell integriert. Die ursprüngliche Prämisse hinter Kryptowährungen ist Anonymität, und das gilt auch heute noch weitgehend. Im Gegensatz zu diesen Institutionen können Nicht-Finanzunternehmen wie Meta und Amazon durch das Sammeln von Nutzer- und Transaktionsdaten finanzielle Gewinne erzielen, und diese Datenerhebung ist in der Regel der Kern ihres Geschäftsmodells.

Hier könnte die Datenschutz-Grundverordnung ins Spiel kommen. Wenn man davon ausgeht, dass es in diesem Zusammenhang zumindest einen minimalen GDPR-konformen Standard geben wird, bei dem der Einzelne kontrollieren kann, wie seine Daten verwendet und an wen sie weitergegeben werden, könnte es auch eine Nachfrage nach Mechanismen geben, mit denen die Menschen der Weitergabe ihrer persönlichen Daten in einer Weise widersprechen können, die ihnen nicht gefällt. Das Ausmaß, in dem ein Emittent von digitalem Geld Möglichkeiten zur Kontrolle seiner Daten einführt, kann letztlich von der Notwendigkeit abhängen, Anreize für die Akzeptanz und Annahme der betreffenden digitalen Geldemission zu schaffen. Die Menschen werden letztlich die Wahl haben, ob sie weiterhin physisches Bargeld verwenden, andere etablierte Zahlungsmethoden nutzen (die möglicherweise ähnlichen Datenschutzbedenken unterliegen) oder neue Formen des digitalen Geldes nutzen. Der Grad des Datenschutzes kann sich auch auf die Wahl der ausgebenden Stelle durch den Kunden auswirken; diejenigen, die sich am meisten Sorgen um den Datenschutz machen, werden möglicherweise eher mit digitalem Geld über eine Brieftasche oder ein Konto handeln, das weniger von den mit der Datenerfassung und -weitergabe verbundenen kommerziellen Gewinnen angetrieben wird.

Es kann sogar der umgekehrte Fall eintreten, dass Anbieter von Brieftaschen und Konten bevorzugt werden, die Daten erfassen, nutzen oder weitergeben, um mehr Produkte und Dienstleistungen anbieten zu können und ein besseres Nutzererlebnis zu schaffen. Die an bestimmten Arten von Transaktionen beteiligten Parteien könnten es als wertvoll erachten, dass das HMRC in der Lage ist, eine Logik und Aufsicht zu implementieren, die die sofortige Berechnung (und den Abzug) der Mehrwertsteuer und anderer Steuern am Ort der Transaktion ermöglicht. Einzelhändler, sowohl im stationären als auch im Online-Handel, könnten möglicherweise ihr eigenes digitales Geld ausgeben, das Ausgabeverhalten der Verbraucher analysieren und Rabatte für Kunden gewähren, die damit Transaktionen tätigen.

Für einige mögen diese Szenarien verlockend sein. Die Bereitstellung maßgeschneiderter Marketing- und Analysemöglichkeiten, die das Nutzererlebnis verbessern und die persönliche und geschäftliche Verwaltung ein wenig einfacher machen, könnte einen Nutzer dazu bewegen, sich für eine bestimmte digitale Währung zu entscheiden und nicht für eine andere Zahlungsmethode.

Es muss jedoch nicht zwangsläufig eine Situation entstehen, in der sich die Menschen zwischen dem einen oder dem anderen Extrem in Sachen Datenschutz entscheiden müssen. Mit der richtigen Technologie könnte es möglich sein, eine robuste und vielfältige Reihe von Kontrollen zu implementieren, die die Weitergabe von Informationen nur nach den Angaben des Nutzers unterstützen. In diesem Szenario könnte der Einzelne kontrollieren, mit wem und zu welchem Zweck seine Daten geteilt werden. Solche Lösungen können ein Gleichgewicht zwischen der Nutzung der potenziellen Vorteile und Möglichkeiten, die sich aus neuen Formen des digitalen Geldes ergeben, und der Kontrolle der Nutzer über ihre Daten und ihre Privatsphäre herstellen.

Wie geht es nun weiter?

Angesichts der zunehmenden Konzentration auf die Bekämpfung von Geldwäsche und Terrorismusfinanzierung ist es äußerst unwahrscheinlich, dass hier nicht die Gelegenheit genutzt wird, die derzeitige Anonymität zu verringern. Dennoch ist der Schutz der Privatsphäre ein eng damit verbundenes Thema, und die Annahme eines risikobasierten Ansatzes kann dazu beitragen, Bedenken hinsichtlich des Schutzes der Privatsphäre auszuräumen und gleichzeitig die regulatorischen Ziele im Bereich der Prävention und Aufdeckung von Finanzkriminalität zu unterstützen.

Damit neue Formen des digitalen Geldes, ob öffentlich oder privat ausgegeben, von der Öffentlichkeit weitgehend akzeptiert werden, muss die potenzielle Nutzerbasis das Gefühl haben, dass ihre Bedenken gehört und ihre Rechte und ihr Schutz der Privatsphäre berücksichtigt werden. Die Schaffung von Vertrauen wird von größter Bedeutung sein.

Zunächst muss eine sichere und gesetzeskonforme Lösung mit einer robusten Infrastruktur für das Informationssicherheitsmanagement gefunden werden.

Über die technologische Architektur hinaus muss der Emittent oder der Anbieter der Brieftasche bzw. des Kontos überlegen, inwieweit er den Schutz der Privatsphäre und die Anonymität im Rahmen seines Konzepts unterstützen wird. Es ist schwer vorstellbar, dass ein vollständig bargeldähnliches, anonymes Angebot eine Option sein könnte. Das bedeutet, dass zumindest alle Einzelpersonen und Organisationen, die mit neuen Formen des digitalen Geldes Transaktionen durchführen wollen, ein gewisses Maß an persönlichen Informationen bereitstellen müssen, um von den Dienstleistern aufgenommen zu werden.

Zweitens müssen die Anforderungen an die Sorgfaltspflicht zur Bekämpfung der Geldwäsche verhältnismäßig sein und einen risikobasierten Ansatz verfolgen, wobei die Anforderungen an das Ausmaß, in dem Kundendaten und Transaktionsaktivitäten überwacht, kontrolliert und mit den Behörden geteilt werden, angemessen sein müssen. Dies könnte die unnötige Sichtbarkeit aller Transaktionsdaten verringern.

Es ist klar, dass die Möglichkeit, Transaktionsdaten für kommerzielle Zwecke zu sammeln, zu nutzen und weiterzugeben, eine große Herausforderung für den Datenschutz darstellt. Verschiedene Organisationen werden hier unterschiedliche Beweggründe haben - von der Zentralbank über Anbieter von Zahlungsschnittstellen bis hin zu Geschäftsbanken und den unzähligen anderen Arten von Emittenten, die es geben könnte - einige werden von den Einnahmemöglichkeiten durch den Verkauf dieser Nutzerdaten angetrieben, andere weniger.

Der Schutz der Privatsphäre könnte für die Nutzer letztendlich der entscheidende Faktor bei der Wahl des digitalen Geldes werden, mit dem sie Transaktionen durchführen wollen - ob es sich um CBDC oder eine bestimmte privat emittierte digitale Währung handelt, die ihren Anforderungen an den Schutz der Privatsphäre entspricht - und der Konten/Wallets, in denen sie diese halten und mit denen sie Transaktionen durchführen. Einige werden Anbieter bevorzugen, die einen expliziten, eingebauten Schutz der Privatsphäre bieten; andere sehen in einigen Anwendungsfällen vielleicht Vorteile in der Erhebung und Weitergabe ihrer Daten und schätzen die Aussicht auf maßgeschneiderte Produkt- und Dienstleistungsangebote. Genauso wie die Menschen derzeit entscheiden, bei welchem Finanzinstitut sie ihre Bankgeschäfte tätigen, ob sie mit einer Debitkarte bezahlen und ob sie Bargeld an einem Geldautomaten abheben (oder, in einigen Extremfällen, ihr gesamtes Geld in bar aufbewahren, damit es bei Bedarf sofort verfügbar ist), wird es auf die Entscheidung der Verbraucher ankommen. Das Ausmaß, in dem Daten und Privatsphäre aus rechtlicher und regulatorischer Sicht geschützt werden, sei es durch die Datenschutzgrundverordnung oder einen Nachfolger, wird dabei eine Schlüsselrolle spielen.

Dieses Papier wurde von Claire Conby, Operational and Governance Lead bei der Digital Pound Foundation und Chief Risk Officer bei Billon Financial Ltd. verfasst. Die Muttergesellschaft, die Billon Group, ist einer der Innovatoren im Bereich der DLT in Unternehmensqualität. Billon hat sich auf private, genehmigte DLT-Anwendungen spezialisiert und bietet aufsichtsrechtlich konforme Lösungen für digitales Bargeld, Daten- und Identitätsmanagement sowie vertrauenswürdiges Dokumentenmanagement und Tokenisierung von Vermögenswerten an. Billon hält über seine regulierten Tochtergesellschaften zwei E-Geld-Lizenzen: Billon Financial Ltd. wurde 2017 von der britischen Financial Conduct Authority als kleines E-Geld-Institut in Großbritannien registriert; Billon Solutions sp. Z o.o. erhielt 2019 eine E-Geld-Lizenz von der polnischen Finanzaufsichtsbehörde (KNF).