Die BaFin hat neue AuAs veröffentlicht. Was ab Februar 2025 zu beachten ist, erfahren Sie hier.
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat zum Jahresende 2024 mehrere bedeutende Dokumente veröffentlicht. Am 29. November stellte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sowohl die neuen Anwendungs- und Auslegungshinweise (AuAs) als auch die gemeinsam mit der Financial Intelligence Unit (FIU) erarbeiteten Orientierungshilfen zu Verdachtsmeldungen, vor. Am 3. Dezember folgten das Rundschreiben 10/2024 in dem über Hochrisikostaaten informiert wird.
Für viele Verpflichtete von besonderer Bedeutung; die neuen AuAs.
Die Verpflichteten müssen die AuAs bis zum 1. Februar 2025 anwenden
Nach Abschluss der Konsultationsphase wurden die AuAs nunmehr in der finalen Fassung veröffentlicht. Die Verpflichteten müssen diese bis spätestens 1. Februar 2025 umsetzen.
Im Rahmen dieses Beitrags wollen wir nicht nur die wichtigsten Änderungen aufzeigen, sondern auch, welche Änderungen aus dem Konsultationsentwurf übernommen wurden.
Auch wenn der Verpflichtetenkreis gesetzlich festgelegt wird; die neuen AuAs enthalten weitere Klarstellungen für bestimmte Verpflichtete.
Nach Auffassung der BaFin müssen auch reine Kontoinformationsdienste zumindest die Pflicht zur Verdachtsmeldung erfüllen. Ebenso unterliegen nach Ansicht der BaFin Agenten und E-Geld-Agenten vollumfänglich dem GwG unterliegen.
Weiter widmet sich die BaFin dem Factoring-Geschäft. In diesem Zusammenhang bestehe zwischen dem Institut und den Debitoren der Anschlusskunden regelmäßig keine unmittelbaren Vertragsbeziehungen.
Bei der Erstellung der Risikoanalyse müssen zahlreiche Informationsquellen berücksichtigt werden.
Für die Risikoidentifizierung fordert die BaFin von Verpflichteten die Nutzung einer breiten Palette von Informationsquellen. Sie müssen unteranderem, aber nicht abschließend, folgende Informationen berücksichtigen:
- Anlage 1 und Anlage 2 des Geldwäschegesetzes
- die erste Nationale Risikoanalyse
- EBA Leitlinien zu den Risikofaktoren für Geldwäsche und Terrorismusfinanzierung
- die von der Europäischen Kommission veröffentlichte supranationale Risikoanalyse (SNRA)
- die subnationale Risikoanalysen (SRA) der BaFin
- Typologienpapier der Financial Intelligence Unit (FIU)
- FATF Standards
Daneben sollen die Verpflichteten auch weiteres Wissen, etwa aus Medienauswertungen, aus allgemeinen Analysen von Verdachtsfällen oder Wissen aus dem Erfahrungsaustausch mit Geldwäschebeauftragten anderer Verpflichteter nutzen.
Auch wenn die Auflistung auf den ersten Blick begrüßenswert ist, bergen die AuAs doch weiterhin Unsicherheiten.
Diese resultieren daraus, dass die BaFin die angeführten Quellen weiterhin nicht als abschließend ansieht. In der Folge können die angegebenen Informationsquellen lediglich als Mindeststandard angesehen werden.
Weiter kann aus dem Absatz zu den Informationsquellen (vgl. 2.2.2) gelesen werden, dass die BaFin von den Verpflichteten adverse-media-screening erwartet. Dies kann schnell überlesen werden, da diese Erwartung nicht ausreichend betont wird.
Die Trennung der Risiken von Geldwäsche und Terrorismusfinanzierung wird hervorgehoben
Eine zentrale Klarstellung in den AUAs ist die explizite Trennung der Risiken von Geldwäsche und Terrorismusfinanzierung.
In der Praxis scheint die Geldwäsche im Fokus der Verpflichteten zu stehen, während die Terrorismusfinanzierung lediglich mit erwähnt und daneben bearbeitet wird. Die BaFin möchte mit der Klarstellung die Wichtigkeit der Terrorismusfinanzierung noch einmal unterstreichen. Nunmehr sollen die Verpflichteten die beiden Risiken noch bewusster unabhängig voneinander bewerten.
Dabei sollten die wesentlichen Unterschiede zwischen Terrorismusfinanzierung und Geldwäsche bedacht werden. Zwar bestehen bei den Delikten einige Gemeinsamkeiten, allerdings ist die getrennte Betrachtung wegen der doch bestehenden Unterschiede nötig.
Der wichtigste Unterschied der Delikte betrifft die Herkunft der Gelder. Die Gelder bei der Terrorismusfinanzierung können nämlich auch aus legalen Quellen stammen und müssen nicht aus rechtswidrigen Vortaten herrühren.
Nicht nur dieser wesentliche Unterschied, sondern auch typische Mittel und Wege der Terrorismusfinanzierung führen dazu, dass die Verpflichteten die Risikoindikatoren und Szenarien im Rahmen der Risiken der Terrorismusfinanzierung anders wählen müssen. Spätestens jetzt gilt es dies mehr zu beachten und in der Risikoanalyse das Bewusstsein der Unterschiede zu dokumentieren.
In der Praxis führt die neue bzw. klarerer Anforderung dazu, dass Unternehmen ihre Risikoanalysen anpassen müssen. Hilfreich könnte hier ein eigenes Unterkapitel für die Terrorismusfinanzierung innerhalb der Risikoanalyse sein oder gar eine eigene Risikoanalyse für die Terrorismusfinanzierung. Die Gefahr, dass Geldwäsche und Terrorismusfinanzierung in der bisherigen Bewertung als einheitliches Risiko zusammengefasst wurden, wird dadurch minimiert. Dies soll dazu beitragen, gezieltere Präventionsmaßnahmen zu entwickeln und die Effektivität der Bekämpfung zu erhöhen.
Bei der Risikoanalyse sind allerdings noch weitere Aspekte zu berücksichtigen
Neben den genannten Aspekten müssen sich die Verpflichteten daran denken, wenn nötig, ad-hoc Änderungen der Risikoanalyse vorzunehmen.
Weiter ist die Risikoanalyse nach der Fertigstellung unverzüglich dem zuständigen Mitglied der Leitungsebene vorzulegen ist. Das Erfordernis der Unverzüglichkeit ist eine Neuerung und sollte bei den internen Prozessen bedacht werden. Außerdem ist dazu zu raten die Unverzüglichkeit der Vorlage auch zu dokumentieren.
Erwähnenswert ist, dass in der Konsultationsfassung noch gefordert wurde, dass die Entscheidung über den Umgang mit den verbleibenden Restrisiken Gegenstand eines Beschlusses der Mitglieder der Leistungsebene der Verpflichteten seien sollte. Diese Forderung der BaFin ging jedoch über den Gesetzeswortlaut hinaus, da nach § 4 Abs. 3 S. 2 GwG die Risikoanalyse und interne Sicherungsmaßnahmen nur von dem zuvor bestimmten (einzelnen) Mitglieds der Leitungsebene genehmigt werden musste. Richtigerweise wurde entsprechende Passage im nunmehr finalen Entwurf geändert. Demnach verbleibt es bei der Genehmigung des zuständigen Mitglieds der Leitungsebene. Es steht aber im Ermessen jenes Mitglieds, die Entscheidung über den Umgang mit dem verbleibenden Restrisiko zum Gegenstand eines Beschlusses der Mitglieder der Leitungsebene der Verpflichteten zu machen.
Neue Anforderungen an den Geldwäschebeauftragten
Nach Auffassung der BaFin muss der Geldwäschebeauftragte zwingend im Inland tätig sein muss. Der Stellvertreter kann demgegenüber auch im Ausland bestellt werden, wenn sichergestellt ist, dass die Tätigkeit im Vertretungsfall im Inland ausgeübt wird. Diese Regelung zielt darauf ab, eine bessere Kontrolle und Abstimmung zwischen Unternehmen und Behörden zu ermöglichen.
Eine wichtige Neuerung kommt auch für Verpflichtete, bei welchen ausnahmsweise ein Mitglied der Leitungsebene Geldwäschebeauftragter oder stellvertretender Geldwäschebeauftragter ist. Sollte es in der Vergangenheit Mängel bei der Prävention von Geldwäsche und Terrorismusfinanzierung gegeben haben, so zeigt dies nach Ansicht der BaFin, die Notwendigkeit der Aufgabenwahrnehmung durch eine andere Person.
Zudem folgen erhöhte Dokumentationspflichten.
Die Aufgaben, Verantwortlichkeiten und Befugnisse des Geldwäschebeauftragte und des stellvertretenden Geldwäschebeauftragten müssen schriftlich festgehalten werden. Außerdem müssen die Handlungen des Geldwäschebeauftragten noch dezidierter dokumentiert werden. Dies hebt die BaFin deutlich hervor.
Weiter konkretisiert die BaFin, wann die Anzeige der Bestellung oder Entpflichtung des Geldwäschebeauftragten und seiner Stellvertretung rechtzeitig ist. Demnach ist die Bestellung oder Entpflichtung der BaFin jeweils zwei Wochen zuvor anzuzeigen.
Die Aktualisierungspflichten haben sich geändert
Eine zentrale Änderung betrifft die risikobasierte Aktualisierungspflicht. Demnach gelten nunmehr die folgenden Aktualisierungsperioden:
- Kunden mit hohem Risiko: jährlich
- Kunden mit mittlerem Risiko: spätestens alle fünf Jahre
- Kunden mit vereinfachten Sorgfaltspflichten: risikobasiert, ohne festen Zeitrahmen.
Daneben können anlassbezogene Aktualisierungen nötig sein.
Auch wenn die Verkürzung der Aktualisierungspflichten schon bei Veröffentlichung des Konsultationsentwurfs und auch wieder bei Veröffentlichung der finalen Fassung von einer Vielzahl von Personen als die wesentlichste Änderung hervorgehoben wurde, scheint die Auswirkung gering.
Vielmehr entsprechen die von der BaFin nunmehr gewünschten Aktualisierungsperioden der gängigen Praxis. Im Ergebnis dürften diese Anforderungen viele Verpflichtete daher nicht in Umsetzungsschwierigkeiten bringen.
Es gibt eine wichtige Klarstellung hinsichtlich der Stillhaltefrist
Eine in der Konsultationsphase viel diskutierte Klarstellung der BaFin betrifft das Verdachtsmeldewesen. Die BaFin sah sich aufgrund einiger Ansichten in der Rechtsprechung (vgl. etwa: LG Frankfurt a. M. (1. Zivilkammer), Beschluss v. 22. Januar 2024 – 2-01 T 26/23) gezwungen die AuAs hinsichtlich der Stillhaltepflicht zu präzisieren. Sie wollte klarstellen, dass nach Ablauf des dritten Werktages nach Abgabe der Verdachtsmeldung kein Automatismus bestehe, nach welchem die Transaktion ohne jeden Zweifel durchgeführt werden könne. Vielmehr habe der jeweilige Verpflichtete selbst risikoanagemessen zu prüfen ob weiterhin ein Risiko bestehe.
Dies stieß auf sehr laute Kritik, da Verpflichtete nun befürchteten stets Gefahr zu laufen gegen das GwG zu verstoßen, wenn sie die Transaktion nach Ablauf der Stillhaltepflicht, nach Ablauf der drei Werktage, durchführen. Schließlich war dem Konsultationsentwurf auch nicht zu entnehmen, welche Maßnahmen nach Ablauf des dritten Werktages von den Verpflichteten ergriffen werden müssen.
Die berechtigte Kritik führte nunmehr zu einer Änderung des Wortlauts in der finalen Fassung. Die BaFin stellt nunmehr klar, dass die Transaktion in der Regel nach Ablauf des dritten Werktages durchführbar ist, es sei denn, dass sich ausnahmsweise Hinweise für eine Geldwäschehandlung oder Terrorismusfinanzierung klar aufdrängen. Diese nunmehr gewählte Klarstellung und das Abstellen auf das Regel-Ausnahme-Verhältnis entspricht der ohnehin gelebten Praxis bei der Mehrzahl der Verpflichteten.
Die Änderung im Vergleich zur Konsultationsfassung ist daher zu begrüßen und dürfte auch die Kritiker zufrieden stellen.
Die Verdachtsmeldung hat Auswirkungen auf das Kundenrisiko
Eine relativ überraschende Neuerung, da diese im Konsultationsentwurf noch nicht enthalten war, betrifft das Kundenrisiko im Zusammenhang mit einer Verdachtsmeldung. Nach Ansicht der BaFin müssen die verstärkten Sorgfaltspflichten bezüglich eines Kunden nach Abgabe einer Verdachtsmeldung nicht mehr erfüllt werden, wenn keine weiteren Auffälligkeiten im Hinblick auf den gemeldeten Vertragspartner/wirtschaftlich Berechtigten auftreten und der Verpflichtete von der FIU innerhalb von 21 Kalendertagen keine Rückmeldung erhält, dass die Verdachtsmeldung für eine weitere Analyse identifiziert wurde.
Der Verpflichtete darf dann, wenn er dies für risikoangemessen hält wieder die allgemeinen Sorgfaltspflichten bezüglich des Kunden heranziehen. Anders ist dies bei Anhaltspunkten auf Terrorismusfinanzierung. Bei solchen müssen die verstärkten Sorgfaltspflichten – unabhängig von einer Rückmeldung der FIU ab dem Zeitpunkt der Abgabe der Verdachtsmeldung an die FIU oder ab einer späteren behördlichen Nachfrage mindestens sechs Monate lang erfüllt werden.
Die interessanten Unterschiede zwischen der endgültigen Fassung und der Konsultationsfassung
Die Änderungen zwischen der Konsultationsfassung und der endgültigen Fassung sind interessant zu beobachten. Sie zeigen nicht nur die wirkungsvolle Arbeit der Verbände zum einen, sondern auch, dass die BaFin die Kritik ernstgenommen hat und nötige Anpassungen vorgenommen hat.
Neben der bereits vereinzelt diskutierten Änderungen ist vor allem die Streichung einer Vielzahl von angedachten Änderungen mit Bezug zu dem Krypto-Sektor auffällig. Während die Konsultationsfassung eine Vielzahl von eigenen Absätzen bezüglich Krypto enthielt, ist der endgültigen Fassung dieser Fokus auf den Sektor nicht mehr zu entnehmen.
Im Gegensatz zur Konsultationsfassung kann auch eine wichtige Klarstellung für Versicherungsholdings vermisst werden. Während diese nach den Inhalten der Konsultationsfassung nur – sofern nicht wegen anderer Verpflichteteneigenschaft – geldwäscherechtliche Pflichten erfüllen musste, wenn sie die in § 2 Abs. 1 Nr. 7a bis 7c GwG genannten Tätigkeiten ausüben, fehlt eine derartige Klarstellung in der endgültigen Fassung. Ob dies als eine Änderung der Ansicht der BaFin aufzufassen ist, oder ob Versicherungsholdings richtigerweise nur bezüglich dieser risikogeneigten Tätigkeiten geldwäscherechtliche Pflichten erfüllen müssen, bleibt daher leider unklar.
Ebenso wurde das Erfordernis der Aktualität der Handelsregisterauszüge für die Überprüfung der erhobenen Angaben nicht weiter verschärft. Nach der Konsultationsfassung wären solche nur aktuell, wenn sie nicht älter als zwei Wochen seien. Hiervon ist die BaFin abgerückt, da dieses Erfordernis der Aktualität ein wesentliches Hindernis in der Praxis, gerade im Hinblick auf großvolumige und internationale Transaktionen, darstellt. Nach überzeugender Kritik verbleibt es demnach dabei, dass Handelsregisterauszüge als aktuell angesehen werden können, wenn diese nicht älter als drei Monate sind.
Fazit: Wichtige Schritte für eine verbesserte Prävention
Die neuen BaFin-AUAs setzen klare Zeichen für eine effektivere Geldwäscheprävention und die Bekämpfung von Terrorismusfinanzierung. Unternehmen sollten diese Änderungen nicht nur als regulatorische Verpflichtung betrachten, sondern als Chance, ihre internen Prozesse zu optimieren und potenzielle Risiken frühzeitig zu erkennen.
