BaFin veröffentlicht Auslegungs- und Anwendungsschreiben zum GwG

Die BaFin hatte die AuA bereits im März 2018 konsultiert, Stellungnahmen konnten bis Mai 2018 abgegeben werden. Die finalen AuA hat die BaFin nun mehr als anderthalb Jahre nach dem Inkrafttreten des neuen GwG veröffentlicht.

In erster Linie machen die AuA Vorgaben zu Risikomanagement und Kundensorgfaltspflichten.

Risikomanagement

Zunächst wird nicht mehr empfohlen, die Leitlinien der Financial Action Task Force (FATF-Leitlinien) sowie vom Baseler Ausschuss für Bankenaufsicht herausgegebene Risikomanagementgrundsätze, auf die noch im Entwurf der Hinweise pauschal verwiesen wurde, zu beachten. Dieser unklare Verweis wurde heftig kritisiert und nun in den AuA komplett gestrichen. Vielmehr bleiben nur (relativ) konkrete Verweise, z. B. die im Rahmen der Risikoanalyse heranzuziehenden ESA-Leitlinien, bestehen.

Verantwortung der Geschäftsleitung

Die BaFin betont die Verantwortlichkeit auf Geschäftsleitungsebene für GwG-Compliance. Gem. § 4 Abs. 3 GwG ist ein Mitglied auf Leitungsebene zu benennen, das für die Einhaltung der geldwäscherechtlichen Bestimmungen verantwortlich ist.

Zu unterscheiden sind jedoch die verantwortliche Person auf Geschäftsleitungsebene und ein ggf. zu bestellender Geldwäschebeauftragter. Um Interessenkonflikte zu vermeiden, soll es grundsätzlich nicht möglich sein, ein Mitglied der Geschäftsleitungsebene als Geldwäschebeauftragten zu benennen. Die BaFin sieht hier eine Ausnahme für Kleinunternehmer vor, die über weniger als 15 Vollzeitäquivalente (also 15 Vollzeit-Mitarbeiter bzw. eine entsprechende Anzahl an Teilzeit-Mitarbeitern) und keine geeignete Person unterhalb der Leitungsebene verfügen. Unter Ziffer 3.2 der AuA heißt es sinngemäß, dass eine Befreiung durch die BaFin von der Pflicht zur Bestellung eines Geldwäschebeauftragten nur bei bis zu 15 Mitarbeitern infrage kommen könne. Zu beachten ist in jedem Fall, dass auch bei nicht mehr als 15 Mitarbeitern oder weniger als 15 Vollzeitäquivalenten eine für GwG-Fragen verantwortliche Person auf Geschäftsleitungsebene zu bestimmen ist. Die Ausnahmen betreffen lediglich den Geldwäschebeauftragten.

Auslagerung

Die Auslagerung interner Sicherungsmaßnahmen (z. B. die Erstellung und Implementierung von internen GwG-Policies oder Aufzeichnungs- und Aufbewahrungsleitlinien, Geldwäschebeauftragte, etc.) ist gem. § 6 Abs. 7 GwG grds. möglich. Nunmehr reicht hierfür eine Anzeige an die BaFin; eine Zustimmung ist nicht mehr erforderlich. Ungeschriebene Voraussetzung bei einer Auslagerung ist nach Ansicht der BaFin die rechtzeitige vorherige Anzeige. Wann eine Anzeige rechtzeitig erfolgt, hat die BaFin nun in den AuA konkretisiert: Die Anzeige muss mindestens zwei Wochen vor Beginn der Auslagerung abgegeben werden.

Kundensorgfaltspflichten

Bei den Kundensorgfaltspflichten wird nach wie vor zwischen den allgemeinen, vereinfachten und verstärkten Sorgfaltspflichten unterschieden.

Kundenidentifizierung

Die Kundenidentifizierung gehört zu den allgemeinen Sorgfaltspflichten. Vor allem in Bezug auf den tatsächlich wirtschaftlich Berechtigten bei juristischen Personen enthalten die AuA Konkretisierungen. Der wirtschaftlich Berechtigte ist vor Begründung der Geschäftsbeziehung oder Durchführung einer Transaktion zu identifizieren. Aus den AuA geht nun hervor, dass der alleinige Wechsel des wirtschaftlich Berechtigten beim Vertragspartner keine Begründung einer neuen Geschäftsbeziehung darstellt. Im Konsultationsentwurf war die BaFin in solchen Fällen noch von der Begründung einer neuen Geschäftsbeziehung ausgegangen. Dies hätte zur Folge gehabt, dass Verpflichtete bei Wechsel eines Gesellschafters eines Vertragspartners den neuen Gesellschafter zu identifizieren hätten – was einen erheblichen Aufwand bedeutet hätte.

Neben dem Vertragspartner und dem wirtschaftlich Berechtigten ist laut BaFin stets auch die für den Vertragspartner auftretende Person zu identifizieren. Dies erfasst unter anderem gesetzliche Vertreter des Vertragspartners, also beispielsweise Geschäftsführer einer GmbH. Das GwG scheint diesbezüglich mehr Spielraum zu lassen und spricht in § 11 Abs. 1 S. 1 nur davon, dass „gegebenenfalls“ die auftretenden Personen zu identifizieren seien. Hier wäre ein klarstellender Hinweis der BaFin erfreulich gewesen, dass die Prüfung der Berechtigung der auftretenden Person ausreichend und nur in Zweifelsfällen eine Identifizierung der auftretenden Person erforderlich ist.

Auslagerung

Gem. § 17 GwG ist es möglich, dass zur Ausführung bestimmter Sorgfaltspflichten auch eine Einbeziehung von Dritten oder Auslagerung auf Dritte stattfindet.  Zu unterscheiden ist dabei die Einbeziehung von anderen Verpflichteten bzw. besonderen Instituten und Personen, bei der Sorgfaltspflichterfüllung (§ 17 Abs. 1 bis 4 GwG) und der vertraglichen Auslagerung von Maßnahmen an andere geeignete Personen (§ 17 Abs. 5 bis 9 GwG). Noch im Konsultationsentwurf hatte die BaFin deutlich gemacht, dass Dritte im Sinne von § 17 Abs. 1 bis 4 GwG, die von dem GwG-Verpflichteten zur Durchführung bestimmter Sorgfaltspflichten einbezogen wurden, die Durchführung der Sorgfaltspflichten nicht ihrerseits weiter auf andere auslagern dürfen (sog. „Sub-Auslagerung“); die Erfüllung der Sorgfaltspflichten müsse vielmehr durch den Dritten unmittelbar vorgenommen werden. Diesen Passus hat die BaFin in den finalen AuA nun gestrichen. Dadurch scheint nun auch bei der Einbeziehung von Dritten im Sinne von § 17 Abs. 1 bis 4 GwG eine Sub-Auslagerung ebenso möglich wie bereits bei der Auslagerung auf andere geeignete Personen im Sinne von § 17 Abs. 5 bis 9 GwG. Klargestellt wird dagegen, dass eine Sub-Auslagerung bei der Video-Identifizierung nach wie vor nicht zulässig ist. Jedenfalls im Hinblick auf die Rechtssicherheit ist diese Klarstellung zu begrüßen.

Interessant dürfte auch der Hinweis der BaFin sein, dass Verpflichtete eine Kundenidentifizierung auch anhand einer bereits erfolgten Erstidentifizierung durch einen anderen Verpflichteten – also ohne eine eigene Identifizierung – durchführen können. Um Risiken bei der Identifizierung aber dennoch zu minimieren, stellt die BaFin hohe Voraussetzungen für eine solche Datenweitergabe auf: Die Daten müssen aus der eigenen Erstidentifizierung des anderen Verpflichteten stammen, dürfen nicht älter als 24 Monate sein und die damals genutzten Dokumente müssen weiterhin gültig sein. Kommen dem Verpflichteten Zweifel an der Richtigkeit der Daten, ist ein Verzicht auf eigene Identifizierung nicht möglich.

Bei der Weitergabe von Daten ist jedoch zu beachten, dass diese nicht nur rechtmäßig nach dem GwG erfolgt, sondern dass ggf. auch datenschutzrechtliche Bestimmungen eingehalten werden müssen.

Fazit

Die lang ersehnten AuA der BaFin bleiben in vielen Punkten hinter den Erwartungen zurück. Die vielen praktischen Beispiele, die noch die Auslegungs- und Anwendungshinweise der Deutschen Kreditwirtschaft enthalten hatten, wurden nicht übernommen. Einzig im Bereich der Identifizierung des wirtschaftlich Berechtigten hat die BaFin ausführliche Beispiele aufgenommen. Schön gewesen wäre ebenfalls eine Differenzierung zwischen den Verpflichteten, da beispielsweise Banken andere Schwerpunkte setzen müssen als FinTech-Unternehmen wie etwa Zahlungsauslöse- und Kontoinformationsdienste. Der Mehrwert für die Verpflichteten bleibt daher recht gering.