Hintergrund der BaFin AuA
Nach § 51 Abs. 8 des Gesetzes über das Aufspüren von Gewinnen aus schweren Straftaten (Geldwäschegesetz; im Folgenden: GwG) stellt die Aufsichtsbehörde den Verpflichteten regelmäßig aktualisierte Auslegungs- und Anwendungshinweise (AuA) für die Umsetzung der Sorgfaltspflichten zur Verfügung. Ziel ist es, die Verpflichteten dabei zu unterstützen, die gesetzlichen Bestimmungen zur Verhinderung von Geldwäsche und Terrorismusfinanzierung zu erfüllen. Nach dem GwG gelten die AuA für alle Verpflichteten, die gemäß § 50 Nr. 1 GwG unter der Aufsicht der Bundesanstalt für Finanzdienstleistungsaufsicht stehen. Dazu zählen Unternehmen aus dem Finanzsektor (Kreditinstitute, Finanzdienstleistungsinstitute, Kapitalverwaltungsgesellschaften, E-Geld Agenten, etc.).
Die aktuellen Auslegungs- und Anwendungshinweise der Bundesanstalt für Finanzdienstleistungsaufsicht beziehen sich auf das GWG in seiner Fassung vom 1. August 2021 Die Auslegungs- und Anwendungshinweise wurden zuvor schriftlich konsultiert. Mit ihrer Veröffentlichung kommt die BaFin ihrem gesetzlichen Auftrag gemäß § 51 Abs. 8 GwG nach.
Wesentliche Aspekte und Änderungen gegenüber der Konsultationsfassung
Im Folgenden stellen wir Ihnen eine Auswahl der wesentlichen Punkte der aktuellen Bafin AuA sowie Änderungen in der aktuellen Fassung gegenüber der Konsultationsfassung dar. Zusätzlich zeigen wir Handlungsoptionen zur anforderungsgerechten Umsetzung der regulatorischen Vorgaben und Optimierungsmöglichkeiten auf.
Übertragung von Kryptowerten – Neuer Auslösers für KYC Pflichten
Die Übertragung von Kryptowährungen wurde neu in den Kreis der allgemeinen Sorgfaltspflichten aufgenommen, welche von Verpflichteten bei Transaktionen zu erfüllen sind, die außerhalb einer Geschäftsbeziehung durchgeführt werden (s. S. 27, Ziffer 4.2 AuA). Insofern stellen die AuA klar, dass Verpflichtete z.B. auch für sog. Gelegenheitskunden nunmehr auch bei der Übertragung von Kryptowerten, die zum Zeitpunkt der Übertragung einem Gegenwert von € 1000 oder mehr entspricht, die allgemeinen Sorgfaltspflichten nach § 10 Abs. 1 GwG zu erfüllen haben.
Die Aufnahme von Kryptowährungen als neuen Auslösers für KYC Pflichten ist konsequent, da es der aktuellen Rechtslage entspricht (§ 10 Abs. 3 Nr. 2 GwG). Kritisiert wird allerdings, dass die AuA keine Aussage zu der Frage treffen, anhand welcher Parameter/Referenzkurse der Gegenwert von EUR 1.000 eines Kryptowertes berechnet werden soll.
Erstreckung der Kundensorgfaltspflichten auf Bürgen
Die Identifizierungspflicht nach § 10 Abs. 1 Nr. 1 GwG wurde dahingehend erweitert, dass auch Bürgen zu den Vertragspartnern gehören (Kapitel 5.1.1. AuA) und sich die Kundensorgfaltspflichten somit auch auf diese erstrecken. Dieser Umstand geht über die alte Rechtslage hinaus und wurde bereits im Rahmen des Konsultationsprozesses durch die Verpflichteten aus dem Finanzsektor kritisiert.
Ermittlung des wirtschaftlich Berechtigten
In Kapitel 5.2 AuA gibt die BaFin weitergehende Hinweise, wie die Ermittlung des wirtschaftlich Berechtigten erfolgen muss. Nach § 3 Abs. 2 GwG zählt zu den wirtschaftlich Berechtigten im Sinne von § 3 Abs. 1 GwG jede natürliche Person, die unmittelbar (einstufige Beteiligungsstruktur) oder mittelbar (mehrstufige Beteiligungsstruktur)
- mehr als 25 Prozent der Kapitalanteile hält,
- mehr als 25 Prozent der Stimmrechte kontrolliert
- oder auf vergleichbare Weise Kontrolle ausübt.
Zur Feststellung des wirtschaftlich Berechtigten müssen die Verpflichteten (laut AuA) die Eigentums- und Kontrollstruktur des Vertragspartners durch Feststellung der wesentlichen Beteiligungen mit angemessenen Mitteln in Erfahrung bringen (§ 10 Abs. 1 Nr. 2 letzter HS GwG) und durchdringen. Diese Anforderung können Verpflichtete nur erfüllen, wenn sie nicht nur Neukunden, sondern auch Bestandskunden einer KYC Prüfung unterziehen, ihre Datensätze ständig aktualisieren und an die Anforderungen der neuen, sich stets ändernden Regularien anpassen. Laut Kapitel 5.2.3.3 AuA bietet sich eine schematisch-grafische Darstellung der wesentlichen Beteiligungen der Eigentums- und Kontrollstruktur jedenfalls bei komplexeren Strukturen, auch zu Dokumentationszwecken, an.
Prüfung des PEP-Status
Nach § 10 Abs. 1 Nr. 4 GwG zählt zu den allgemeinen Sorgfaltspflichten die Feststellung mit angemessenen, risikoorientierten Verfahren, ob es sich bei dem Vertragspartner oder dem wirtschaftlich Berechtigten des Vertragspartners um folgende Personen handelt:
- politisch exponierte Person (PEP)
- ein Familienmitglied einer PEP
- eine einer PEP bekanntermaßen nahestehende Person
Die AuA weisen in Kapitel 5.4 darauf hin, dass die Abklärung des PEP-Status nicht Bestandteil der verstärkten Sorgfaltspflicht ist, da sie gegenüber allen Kunden gleichermaßen zu erfolgen hat. Erst im Falle der Feststellung, dass es sich bei dem Vertragspartner des Verpflichteten oder bei dem wirtschaftlich Berechtigten um eine PEP, ein Familienmitglied einer PEP oder um eine einer PEP bekanntermaßen nahestehende Person handelt, greifen die verstärkten Sorgfaltspflichten gemäß § 15 GwG.
Verpflichtete müssen beachten, dass auch fiktiv wirtschaftlich Berechtigte einer PEP-Prüfung zu unterziehen sind. Daher ist auch bei diesen eine vollständige Bestandsüberprüfung, gegebenenfalls eine Nacherfassung sowie eine PEP-Prüfung vorzunehmen. Gerade in den Fällen, in denen bisher kein tatsächlich wirtschaftlich Berechtigter ermittelt werden konnte, kann sich die PEP – Prüfung als komplexer erweisen.
Zwar macht das GwG keine Vorgaben hinsichtlich der durch die Verpflichteten anzuwendenden Verfahren zur Abklärung des PEP-Status, jedoch trifft den Vertragspartner grundsätzlich eine Mitwirkungspflicht. Er muss dem Verpflichteten die für die Abklärung notwendigen Unterlagen und Informationen zur Verfügung stellen und Änderungen unverzüglich anzeigen (§ 11 Abs. 6 GwG).
Die Praxis zeigt, dass Verpflichtete nicht in jedem Fall auf die umfangreiche Erfüllung dieser Informationspflicht vertrauen können. Laut AuA Kapitel 5.4.2. sind deshalb u.a. folgende Möglichkeiten in Betracht zu ziehen, um die PEP-Eigenschaft festzustellen:
- Abklärung des PEP-Status anhand der Angaben des Kunden
- Abgleich mit PEP-Datenbanken (Systemabgleich)
Den AuA ist keine Verpflichtung zu entnehmen, am Markt angebotene PEP-Datenbanken zu nutzen. Umgekehrt ist aber die Nutzung in aller Regel für die angemessene Erfüllung der Pflichten empfehlenswert.
Mehr zu Politisch exponierten PersonenAktualisierungspflicht der Kundendaten
Im Hinblick auf die Aktualisierungspflicht sehen die AuA für Verpflichtete strengere Regelungen vor (Kapitel 5.5.2). Grundsätzlich sehen die gesetzlichen Regelungen vor, dass Bestandskunden periodisch und anlassbezogen zu überprüfen sind.
Periodische Aktualisierung
Der maximale Zeitraum für eine periodische Aktualisierung der Kundendaten wurde wie folgt geändert:
- High Risk Kunden: Verlängerung von 1 Jahr auf 2 Jahre. Aktualisierung muss spätestens nach 2 Jahren erfolgt sein.
- Medium-Risk-Kunden: Verlängerung von 7 Jahre auf 10 Jahre. Aktualisierung muss spätestens nach 10 Jahren erfolgt sein.
- Low-Risk-Kunden: Verlängerung von 10 Jahre auf 15 Jahre. Aktualisierung muss spätestens nach 15 Jahren erfolgt sein.
Anlassbezogene Aktualisierung
Ungeachtet der gesetzlichen Vorgabe zur Aktualisierung der Kundeninformationen in angemessenen zeitlichen Abständen ist eine Überprüfung einzelner Kundendaten zusätzlich anlassbezogen vorzunehmen. Dies gilt insbesondere in folgenden Fällen:
- fehlende Identifizierungsdaten
- unzustellbare Post
- Kunde meldet Änderung von Stammdaten wie zum Beispiel Namensänderung, Adressänderung oder Familienstandsänderung
- Zweifel an der Aktualität der Kundendaten
Aber auch bedeutende Veränderungen in der Eigentums- und Kontrollstruktur, wie etwa der Eintritt oder der Wechsel eines wirtschaftlich Berechtigten, Umfirmierungen, Änderung der Gesellschaftsform oder ähnliches können eine anlassbezogene Aktualisierung der Daten erforderlich machen.
Wichtiger Hinweis für die Praxis
Für Verpflichtete resultiert aus der periodischen und anlassbezogenen Aktualisierungspflicht die dringende Notwendigkeit, das institutsspezifische KYC-Monitoring an die geänderten gesetzlichen Vorgaben anzupassen. Auch ein periodisches Review ist einzuführen, die Zyklen sind anzupassen. Hier sind digitale Lösungen hilfreich, die nicht nur für eine ganzjährige Aktualisierung der Daten sorgen, sondern auch die Stammdatenanreicherung übernehmen und sämtliche Register inklusive des Transparenzregisters validieren.
Dokumentation
Hinsichtlich der Aufzeichnungs- und Aufbewahrungspflichten nach § 8 GwG haben Verpflichtete umfangreiche Vorgaben zu beachten (Kapitel 9). Unter anderem sind folgende Angaben und Informationen aufzuzeichnen und aufzubewahren:
- die im Rahmen der Erfüllung der Sorgfaltspflichten erhobenen Angaben und eingeholten Informationen über Vertragspartner, gegebenenfalls über die für die Vertragspartner auftretenden Personen und wirtschaftlich Berechtigten (einschließlich der getroffenen Maßnahmen zur Ermittlung des wirtschaftlich Berechtigten bei juristischen Personen im Sinne von § 3 Abs. 2 Satz 1 GwG), über Geschäftsbeziehungen und Transaktionen, insbesondere Transaktionsbelege, soweit sie für die Untersuchung von Transaktionen erforderlich sein können,
- hinreichende Informationen über die Durchführung und über die Ergebnisse der Risikobewertung nach § 10 Abs. 2, § 14 Abs. 1 und § 15 Abs. 2 GwG und über die Angemessenheit der auf Grundlage dieser Ergebnisse ergriffenen Maßnahmen,
- die Ergebnisse der Untersuchung nach § 15 Abs. 5 Nummer 1 GwG.
Wird ein fiktiv wirtschaftlich Berechtigter erfasst, ist zu dokumentieren, dass kein tatsächlich wirtschaftlich Berechtigter ermittelt werden konnte und deswegen auf den fiktiv wirtschaftlich Berechtigten zurückgegriffen werden muss. Aufgrund des hieraus resultierenden Aufwandes, ist ein schematisch grafisches Organisations-Chart unerlässlich, um die Eigentums- und Kontrollstruktur zu durchdringen und zu dokumentieren. Zusätzlich ist es notwendig die entsprechenden Dokumente aus den jeweiligen Primärquellen zu archivieren.
Fazit
Ziel der BaFin AuA ist es, die Verpflichteten bei der Umsetzung der ihnen obliegenden Pflichten zu unterstützen. In der Praxis erhöhen sich der Aufwand zur Durchführung der gesetzlichen Pflichten und das Risiko für die Verpflichteten wie dargestellt deutlich. Die Finanzbranche steht daher vor der immer größer werdenden Herausforderung, ihren KYC Prüfprozess anforderungsgerecht an die aktuellen gesetzlichen Vorgaben anzupassen.
Quellen:
KYC Fachwissen und News