BaFin AuA zum Geldwäschegesetz

Hintergrund der BaFin AuA

Nach § 51 Abs. 8 des Gesetzes über das Aufspüren von Gewinnen aus schweren Straftaten (Geldwäschegesetz; im Folgenden: GwG) stellt die Aufsichtsbehörde den Verpflichteten regelmäßig aktualisierte Auslegungs- und Anwendungshinweise (AuA) für die Umsetzung der Sorgfaltspflichten zur Verfügung. Ziel ist es, die Verpflichteten dabei zu unterstützen, die gesetzlichen Bestimmungen zur Verhinderung von Geldwäsche und Terrorismusfinanzierung zu erfüllen. Nach dem GwG gelten die AuA für alle Verpflichteten, die gemäß § 50 Nr. 1 GwG unter der Aufsicht der Bundesanstalt für Finanzdienstleistungsaufsicht stehen. Dazu zählen Unternehmen aus dem Finanzsektor (Kreditinstitute, Finanzdienstleistungsinstitute, Kapitalverwaltungsgesellschaften, E-Geld Agenten, etc.).

Die aktuellen Auslegungs- und Anwendungshinweise der Bundesanstalt für Finanzdienstleistungsaufsicht beziehen sich auf das GWG in seiner Fassung vom 1. August 2021 Die Auslegungs- und Anwendungshinweise wurden zuvor schriftlich konsultiert. Mit ihrer Veröffentlichung kommt die BaFin ihrem gesetzlichen Auftrag gemäß § 51 Abs. 8 GwG nach.

Wesentliche Aspekte und Änderungen gegenüber der Konsultationsfassung

Im Folgenden stellen wir Ihnen eine Auswahl der wesentlichen Punkte der aktuellen Bafin AuA sowie Änderungen in der aktuellen Fassung gegenüber der Konsultationsfassung dar. Zusätzlich zeigen wir Handlungsoptionen zur anforderungsgerechten Umsetzung der regulatorischen Vorgaben und Optimierungsmöglichkeiten auf.

Übertragung von Kryptowerten – Neuer Auslösers für KYC Pflichten

Die Übertragung von Kryptowährungen wurde neu in den Kreis der allgemeinen Sorgfaltspflichten aufgenommen, welche von Verpflichteten bei Transaktionen zu erfüllen sind, die außerhalb einer Geschäftsbeziehung durchgeführt werden (s. S. 27, Ziffer 4.2 AuA). Insofern stellen die AuA klar, dass Verpflichtete z.B. auch für sog. Gelegenheitskunden nunmehr auch bei der Übertragung von Kryptowerten, die zum Zeitpunkt der Übertragung einem Gegenwert von € 1000 oder mehr entspricht, die allgemeinen Sorgfaltspflichten nach § 10 Abs. 1 GwG zu erfüllen haben.

Die Aufnahme von Kryptowährungen als neuen Auslösers für KYC Pflichten ist konsequent, da es der aktuellen Rechtslage entspricht (§ 10 Abs. 3 Nr. 2 GwG). Kritisiert wird allerdings, dass die AuA keine Aussage zu der Frage treffen, anhand welcher Parameter/Referenzkurse der Gegenwert von EUR 1.000 eines Kryptowertes berechnet werden soll.

Erstreckung der Kundensorgfaltspflichten auf Bürgen

Die Identifizierungspflicht nach § 10 Abs. 1 Nr. 1 GwG wurde dahingehend erweitert, dass auch Bürgen zu den Vertragspartnern gehören (Kapitel 5.1.1. AuA) und sich die Kundensorgfaltspflichten somit auch auf diese erstrecken. Dieser Umstand geht über die alte Rechtslage hinaus und wurde bereits im Rahmen des Konsultationsprozesses durch die Verpflichteten aus dem Finanzsektor kritisiert.

Ermittlung des wirtschaftlich Berechtigten

In Kapitel 5.2 AuA gibt die BaFin weitergehende Hinweise, wie die Ermittlung des wirtschaftlich Berechtigten erfolgen muss. Nach § 3 Abs. 2 GwG zählt zu den wirtschaftlich Berechtigten im Sinne von § 3 Abs. 1 GwG jede natürliche Person, die unmittelbar (einstufige Beteiligungsstruktur) oder mittelbar (mehrstufige Beteiligungsstruktur)

• mehr als 25 Prozent der Kapitalanteile hält,
• mehr als 25 Prozent der Stimmrechte kontrolliert
• oder auf vergleichbare Weise Kontrolle ausübt.

Zur Feststellung des wirtschaftlich Berechtigten müssen die Verpflichteten (laut AuA) die Eigentums- und Kontrollstruktur des Vertragspartners durch Feststellung der wesentlichen Beteiligungen mit angemessenen Mitteln in Erfahrung bringen (§ 10 Abs. 1 Nr. 2 letzter HS GwG) und durchdringen. Diese Anforderung können Verpflichtete nur erfüllen, wenn sie nicht nur Neukunden, sondern auch Bestandskunden einer KYC Prüfung unterziehen, ihre Datensätze ständig aktualisieren und an die Anforderungen der neuen, sich stets ändernden Regularien anpassen. Laut Kapitel 5.2.3.3 AuA bietet sich eine schematisch-grafische Darstellung der wesentlichen Beteiligungen der Eigentums- und Kontrollstruktur jedenfalls bei komplexeren Strukturen, auch zu Dokumentationszwecken, an.

Prüfung des PEP-Status

Nach § 10 Abs. 1 Nr. 4 GwG zählt zu den allgemeinen Sorgfaltspflichten die Feststellung mit angemessenen, risikoorientierten Verfahren, ob es sich bei dem Vertragspartner oder dem wirtschaftlich Berechtigten des Vertragspartners um folgende Personen handelt:

• politisch exponierte Person (PEP)
• ein Familienmitglied einer PEP
• eine einer PEP bekanntermaßen nahestehende Person

Die AuA weisen in Kapitel 5.4 darauf hin, dass die Abklärung des PEP-Status nicht Bestandteil der verstärkten Sorgfaltspflicht ist, da sie gegenüber allen Kunden gleichermaßen zu erfolgen hat. Erst im Falle der Feststellung, dass es sich bei dem Vertragspartner des Verpflichteten oder bei dem wirtschaftlich Berechtigten um eine PEP, ein Familienmitglied einer PEP oder um eine einer PEP bekanntermaßen nahestehende Person handelt, greifen die verstärkten Sorgfaltspflichten gemäß § 15 GwG.

Verpflichtete müssen beachten, dass auch fiktiv wirtschaftlich Berechtigte einer PEP-Prüfung zu unterziehen sind. Daher ist auch bei diesen eine vollständige Bestandsüberprüfung, gegebenenfalls eine Nacherfassung sowie eine PEP-Prüfung vorzunehmen. Gerade in den Fällen, in denen bisher kein tatsächlich wirtschaftlich Berechtigter ermittelt werden konnte, kann sich die PEP – Prüfung als komplexer erweisen.

Zwar macht das GwG keine Vorgaben hinsichtlich der durch die Verpflichteten anzuwendenden Verfahren zur Abklärung des PEP-Status, jedoch trifft den Vertragspartner grundsätzlich eine Mitwirkungspflicht. Er muss dem Verpflichteten die für die Abklärung notwendigen Unterlagen und Informationen zur Verfügung stellen und Änderungen unverzüglich anzeigen (§ 11 Abs. 6 GwG).

Die Praxis zeigt, dass Verpflichtete nicht in jedem Fall auf die umfangreiche Erfüllung dieser Informationspflicht vertrauen können. Laut AuA Kapitel 5.4.2. sind deshalb u.a. folgende Möglichkeiten in Betracht zu ziehen, um die PEP-Eigenschaft festzustellen:

• Abklärung des PEP-Status anhand der Angaben des Kunden
• Abgleich mit PEP-Datenbanken (Systemabgleich)

Den AuA ist keine Verpflichtung zu entnehmen, am Markt angebotene PEP-Datenbanken zu nutzen. Umgekehrt ist aber die Nutzung in aller Regel für die angemessene Erfüllung der Pflichten empfehlenswert.

Aktualisierungspflicht der Kundendaten

Im Hinblick auf die Aktualisierungspflicht sehen die AuA für Verpflichtete strengere Regelungen vor (Kapitel 5.5.2). Grundsätzlich sehen die gesetzlichen Regelungen vor, dass Bestandskunden periodisch und anlassbezogen zu überprüfen sind.

Periodische Aktualisierung

Der maximale Zeitraum für eine periodische Aktualisierung der Kundendaten wurde wie folgt geändert:

• High Risk Kunden: Verlängerung von 1 Jahr auf 2 Jahre. Aktualisierung muss spätestens nach 2 Jahren erfolgt sein.
• Medium-Risk-Kunden: Verlängerung von 7 Jahre auf 10 Jahre. Aktualisierung muss spätestens nach 10 Jahren erfolgt sein.
• Low-Risk-Kunden: Verlängerung von 10 Jahre auf 15 Jahre. Aktualisierung muss spätestens nach 15 Jahren erfolgt sein.

Anlassbezogene Aktualisierung

Ungeachtet der gesetzlichen Vorgabe zur Aktualisierung der Kundeninformationen in angemessenen zeitlichen Abständen ist eine Überprüfung einzelner Kundendaten zusätzlich anlassbezogen vorzunehmen. Dies gilt insbesondere in folgenden Fällen:

• fehlende Identifizierungsdaten
• unzustellbare Post
• Kunde meldet Änderung von Stammdaten wie zum Beispiel Namensänderung, Adressänderung oder Familienstandsänderung
• Zweifel an der Aktualität der Kundendaten

Aber auch bedeutende Veränderungen in der Eigentums- und Kontrollstruktur, wie etwa der Eintritt oder der Wechsel eines wirtschaftlich Berechtigten, Umfirmierungen, Änderung der Gesellschaftsform oder ähnliches können eine anlassbezogene Aktualisierung der Daten erforderlich machen.

Dokumentation

Hinsichtlich der Aufzeichnungs- und Aufbewahrungspflichten nach § 8 GwG haben Verpflichtete umfangreiche Vorgaben zu beachten (Kapitel 9). Unter anderem sind folgende Angaben und Informationen aufzuzeichnen und aufzubewahren:

• die im Rahmen der Erfüllung der Sorgfaltspflichten erhobenen Angaben und eingeholten Informationen über Vertragspartner, gegebenenfalls über die für die Vertragspartner auftretenden Personen und wirtschaftlich Berechtigten (einschließlich der getroffenen Maßnahmen zur Ermittlung des wirtschaftlich Berechtigten bei juristischen Personen im Sinne von § 3 Abs. 2 Satz 1 GwG), über Geschäftsbeziehungen und Transaktionen, insbesondere Transaktionsbelege, soweit sie für die Untersuchung von Transaktionen erforderlich sein können,
• hinreichende Informationen über die Durchführung und über die Ergebnisse der Risikobewertung nach § 10 Abs. 2, § 14 Abs. 1 und § 15 Abs. 2 GwG und über die Angemessenheit der auf Grundlage dieser Ergebnisse ergriffenen Maßnahmen,
• die Ergebnisse der Untersuchung nach § 15 Abs. 5 Nummer 1 GwG.

Wird ein fiktiv wirtschaftlich Berechtigter erfasst, ist zu dokumentieren, dass kein tatsächlich wirtschaftlich Berechtigter ermittelt werden konnte und deswegen auf den fiktiv wirtschaftlich Berechtigten zurückgegriffen werden muss. Aufgrund des hieraus resultierenden Aufwandes, ist ein schematisch grafisches Organisations-Chart unerlässlich, um die Eigentums- und Kontrollstruktur zu durchdringen und zu dokumentieren. Zusätzlich ist es notwendig die entsprechenden Dokumente aus den jeweiligen Primärquellen zu archivieren.

Fazit

Ziel der BaFin AuA ist es, die Verpflichteten bei der Umsetzung der ihnen obliegenden Pflichten zu unterstützen. In der Praxis erhöhen sich der Aufwand zur Durchführung der gesetzlichen Pflichten und das Risiko für die Verpflichteten wie dargestellt deutlich. Die Finanzbranche steht daher vor der immer größer werdenden Herausforderung, ihren KYC Prüfprozess anforderungsgerecht an die aktuellen gesetzlichen Vorgaben anzupassen.

• Bundesanstalt für Finanzdienstleistungsaufsicht
• BaFin Auslegungs- und Anwendungshinweise zum Geldwäschegesetz