Als die BaFin im März dieses Jahres die Konsultationsfassung ihrer Auslegungs- und Anwendungshinweise (AuA) zum Geldwäschegesetz veröffentlichte, mündete dies in eine rege Diskussion mit vielfältigen Stellungsnahmen seitens der Praxis.
Mit den nun veröffentlichten AuA möchte die BaFin zweifelhafte Punkte klarstellen, Regelungslücken schließen und Auslegungshilfestellung zur Umsetzung der gesetzlichen Anforderungen geben. Herausgestellt wurde der risikobasierte Ansatz mit dem die AuA Handlungsanweisungen geben können, jedoch die Ausgestaltung und Implementierung von angemessenen Maßnahmen, eine individuelle Betrachtung des inhärenten Risikos des jeweiligen Geschäfts erfordert. Die Herausforderung besteht dabei, den risikobasierten Ansatz und eine verbindliche, regelbasierte Auslegung zu balancieren.
Im Einzelnen werden u.a. folgende Themenstellungen in den AuA konkretisiert:
Risikoanalyse
Bei der Erstellung und Aktualisierung der Risikoanalyse sind die Anlagen 1 und 2 GwG und die Ergebnisse, der für Mitte 2019 erwarteten nationalen Risikoanalyse zwingend zu berücksichtigen – auch wenn es einer institutsspezifischen Einschätzung der individuellen Risiken auf Basis von Faktoren bedarf. Synoptische Darstellungen der Änderungen in der Risikoanalyse werden nicht mehr explizit gefordert, sondern haben in nachvollziehbarer Weise zu erfolgen.
Weitergabe von Identifizierungsdaten
Die Weitergabe von Identifizierungsdaten stellt ein viel diskutiertes Thema vor dem Hintergrund technischer Möglichkeiten, digitaler Kundenprofile und drängender KYC-Prozesseffizienzen dar. Die Möglichkeit auf eine erneute Identifizierung zu verzichten und auf bisherige zurückzugreifen, ist unter sehr eingeschränkten Voraussetzungen (u.a. Erstidentifizierung für eigene Geschäftsbeziehung durch zuverlässigen Dritten, aktives Geschäft, maximal 24 Monate alte Daten, keine Zweifel an der Richtigkeit und gültiges Identifizierungsdokument) zulässig. Es besteht Unzulässigkeit der Weitergabe von Identifizierungsdatensätzen, welche unter vereinfachten Sorgfaltspflichten erhoben wurden.
Begrenzung der zu erfassenden fiktiven wirtschaftlich Berechtigten
Die Erhebung des fiktiven wirtschaftlich Berechtigten sollte absolute Ausnahme sein, wenn nach Durchführung umfassender Prüfungen des Verpflichteten, ob eine natürliche Person Eigentümer einer juristischen Person ist oder Kontrolle über diese ausübt, keine natürliche Person als wirtschaftlich Berechtigter ermittelt werden kann. Erfüllen mehrere Personen diesen Tatbestand, genügt in der Regel die Erfassung einer Person. Mit Hinweis der Aufsicht darauf, dass die Vertreter im Regelfall im Handelsregister eingetragen sind. Ausnahmefall wäre der Vertragspartner mit hohem Risiko oder Sitz der Gesellschaft in einem Offshore-Land.
Des Weiteren besteht kein Erfordernis der Identifizierung des wirtschaftlich Berechtigten bei juristischen Personen des öffentlichen Rechts.
Aktualisierungspflicht von Bestandskunden
Basierend auf dem Eindruck der BaFin aus (eigenen) Prüfungen, dass eine Aktualisierung der Kundendaten teilweise nie stattfand/ -findet, hat die kontinuierliche Überwachung der Geschäftsbeziehung einschließlich der Transaktionen nunmehr anlassbezogen und periodisch zu erfolgen. Dies wird sich signifikant auf die Umsetzung der Sicherungsmaßnahme auswirken.
Eine weitere Änderung ist die Auslegung, dass fehlende Kopien zu Bestandskunden auch nicht im Rahmen der Aktualisierungspflicht nachträglich eingeholt werden müssen.
Akzentuierung von Auslagerungen
Eine Auslagerung sämtlicher interner Sicherungsmaßnahmen (ebenso des EDV-Monitorings) ist bei rechtzeitiger (mindestens zwei Wochen vor Beginn) Anzeige und Darlegung, dass Untersagungsgründe nicht vorliegen, möglich.
Im Folgenden eine Auswahl der darüber hinaus vorgenommenen Anpassungen:
- Pflicht, auftretende Person zu identifizieren, erfordert eine Berechtigungsprüfung, jedoch keine körperliche Anwesenheit vor Ort
- Überprüfung aller internen Sicherungsmaßnahmen durch die Interne Revision im Zeitraum von drei (statt zwei) Jahren
- Bürge gilt als Vertragspartner und unterliegt damit den Sorgfaltspflichten
- Abklärung der PeP-Eigenschaft als Baustein der Erfüllung der allgemeinen Sorgfaltspflichten kann auch durch zuverlässige Dritte erfolgen
Es ist zu erwarten, dass die praxisseitige Diskussion und der Wunsch nach Dialog und Klarheit anhalten werden.
Weitere relevante Informationen zum Thema und verwandte Inhalte unserer Compliance-Experten finden Sie hier.