EBA Konsulation – Neue Guidelines zu Geldwäsche- und Terrorismusfinanzierungsrisiken dürften mehr Klarheit schaffen

Was bisher geschah

Am 26. Juni 2015 trat die vierte EU-Geldwäscherichtlinie (EU-Richtlinie 2015/8499) in Kraft. Diese sah keine einheitlichen oder starren Maßnahmen hinsichtlich der Pflichten zur Geldwäscheprävention und zur Bekämpfung von Terrorismusfinanzierung („AML/CFT“) vor. Vielmehr stellte sie fest, dass das Geldwäsche- und Terrorismusfinanzierungsrisiko („ML/TF-Risiko“) – je nach den Umständen des Einzelfalles – unterschiedlich ausfallen könne. Um dennoch eine möglichst hohe Rechtssicherheit sowie eine möglichst hohe AML/CFT-Effizienz bei den verpflichteten Unternehmen zu gewährleisten, haben die europäischen Aufsichtsbehörden („ESAs“) im Juni 2017 drei Leitlinien zu Risikofaktoren und zur vereinfachten und verstärkten Sorgfaltspflicht gegenüber Kunden veröffentlicht (JC 2017 37). Diese Richtlinien legen Faktoren fest, die Unternehmen bei der Bewertung des ML/TF-Risikos in Verbindung mit einer Geschäftsbeziehung oder einer gelegentlichen Transaktion berücksichtigen sollten. Sie legen auch dar, wie Unternehmen den Umfang ihrer Sorgfaltspflichten gegenüber Kunden in einer Weise anpassen können, die den identifizierten ML/TF-Risiken angemessen ist.

Nach weiteren drei Jahren gelangte der EU-Gesetzgeber zu der Auffassung, dass die Regelungen der vierten EU-Geldwäscherichtlinie für eine effektive Bekämpfung von Geldwäsche und Terrorismusfinanzierung nicht mehr ausreichen und insbesondere neu hinzugetretene bzw. neu erkannte Risiken berücksichtigt werden müssten. Es handelte sich eher um eine Reparaturrichtlinie zur vierten EU-Geldwäscherichtlinie, da diese schlicht von der rasant voranschreitenden Digitalisierung in Teilen überholt war. Insbesondere sind durch die fünfte Geldwäscherichtlinie die Bestimmungen über die verstärkte Sorgfaltspflicht gegenüber Kunden in Bezug auf Drittländer mit hohem Risiko nachgezogen worden. Auch ist der Kreis der geldwäscherechtlich Verpflichteten erweitert worden; hierzu zählen nun mitunter Unternehmen, welche Kryptowerte verwahren, verwalten oder sichern („Kryptoverwahrer“) (wozu – gold-plating lässt grüßen – Deutschland einen weiteren Erlaubnistatbestand für Kryptoverwahrgeschäft schuf).

Im Jahr 2019 beschloss der EU-Gesetzgeber, der EBA das alleinige AML/CFT-Mandat zu übertragen. Mit Inkrafttreten des Mandates am 1. Januar 2020 waren nicht mehr –  wie bisher – drei Aufsichtsbehörden für die Leitung, Koordination und Überwachung der Einhaltung der EU-Geldwäscherichtlinienvorgaben zuständig, sondern allein die EBA.

Der Konsultationsentwurf stellt also die erste Maßnahme in Alleinregie dar.

In medias res

Mit dem Konsultationsentwurf hat die EBA das Rad in Sachen Leitlinien zwar nicht gänzlich neu erfunden. Er baut zu einem nicht unbeträchtlichen Teil auf den bereits im Jahr 2017 veröffentlichten Leitlinien auf. Allerdings gibt es auch eine Reihe von Änderungen und Neufassungen – nicht zuletzt aufgrund des veränderten EU-Rechtsrahmens. Dies betrifft insbesondere:

• detailliertere Vorgaben in Bezug auf unternehmensweite und individuelle ML/TF-Risikobewertungen
• Kunden-Due-Diligence-Maßnahmen („KYC“), einschließlich der Prüfung des wirtschaftlichen Eigentümers
• Risikofaktoren der Terrorismusfinanzierung
• neue Leitlinien zu neu auftretenden Risiken bei innovativen KYC-Lösungen

Wie die im Jahr 2017 veröffentlichten Leitlinien, ist auch der Konsultationsentwurf in zwei Teile aufgeteilt: Der erste Teil kann als der „Allgemeine Teil“ begriffen werden und richtet sich an alle geldwäscherechtlich Verpflichteten.

Hierunter befindet sich ua ein neuer Regelungsentwurf der KYC-Prüfung von Unternehmen durch Finanzdienstleistungsinstitute. So soll zB nach Guideline 4.10 Unternehmen nicht schon deshalb der Zugang zu Finanzdienstleistungen verweigert werden dürfen, weil sie keine Identifikationsdokumente in „traditioneller Form“ (bspw. Handelsregisterauszug oder Gründungsdokumente) bereitstellen können. Vielmehr sollen auch „schwächere“ Formen von Identifikationsdokumenten ausreichen, um „Basis Finanzprodukte“ (die geringe ML/TF-Risiken beinhalten) zu erhalten. Welche Finanzprodukte konkret hierunter zu verstehen sind, bleibt hingegen unklar. Jedenfalls sollen Kunden von Finanzdienstleistungsinstituten scheinbar nicht nur aufgrund von noch nicht abgeschlossener KYC von sämtlichen Finanzprodukten abgeschnitten werden.

Der Zweite Teil ist der „Besondere Teil“, welcher sektorspezifische Vorgaben enthält und die Vorschriften des ersten Teils ergänzt. Besondere Vorgaben sollen nunmehr beispielsweise für E-Geld-Emittenten, Crowdfunding-Plattformen und Kryptoverwahrer, gelten.

In diesem Abschnitt des Entwurfes werden nunmehr sehr viel konkretere Vorgaben in Bezug auf einzelne Risikobewertungsfaktoren – abhängig von der jeweiligen Branche, in welcher der Verpflichtete tätig ist – aufgezählt, als dies in den bisherigen Leitlinien der Fall ist.

Speziell durch E-Geld-Emittenten sollen – neben kundenbezogenen Risikofaktoren – insbesondere folgende produktbezogene Faktoren (Guideline 10.3 ff.) zu beachten sein:

• Schwellenwerte
• Finanzierungsmethode
• Art der Nutzung und Maß der Verhandelbarkeit

Hier werden im Einzelnen risikoerhöhende aber auch -reduzierende Anhaltspunkte aufgelistet. Neben produkt- und kundenbezogenen Risikofaktoren soll die Risikobewertung auch von vertriebsbezogenen Faktoren abhängig gemacht werden (Guideline 10.8 f.). Risikoerhöhend soll sich etwa der reine „Online-Vertrieb“ und alle „Non-Face-to-Face“ Vertriebsarten auswirken, welche die Anforderungen angemessener Sicherheitsvorkehrungen (bspw. qualifizierte elektronische Signatur) nicht erfüllen (Guideline 10.8). Darüber hinaus sollen weiterhin geografische Risikofaktoren in die Bewertung einzubeziehen sein (Guideline 10.10).

Hinsichtlich der Risikobewertung durch Crowdfunding-Plattformen, welche als Finanzdienstleistungsinstitute (in Deutschland als Finanzunternehmen nach § 2 Abs. 1 Nr. 6, § 1 Abs. 24 S. 1 Nr. 4 GwG) nun auch zu den geldwäscherechtlich Verpflichteten zählen, wird ein noch umfangreicherer Katalog von zu berücksichtigenden Risikofaktoren aufgeboten. Hierunter fallen geografische, produkt-, service-, transaktions-, kunden-, und vertriebsbezogene Risikofaktoren (Guidelines 17.4-17.9).

So soll es sich beispielsweise risikoerhöhend auswirken, wenn die Crowdfunding-Plattform eine vorzeitige Rückzahlung von Investitionen, vorzeitige Rückzahlung von Darlehen oder den Weiterverkauf der Investitionen bzw. Darlehen über Sekundärmärkte ermöglicht (Guideline 17.4 lit. b). Ebenfalls risikoerhöhend soll ein Geschäftsmodell sein, welches Zahlungen mittels virtueller Währungen über die Crowdfunding-Plattform ermöglicht (Guideline 17.4 lit. i). Als beispielhafte kundenbezogene risikoerhöhende Faktoren werden etwa „ungewöhnliche Verhaltensweisen“ von Kunden aufgezählt; hierunter fällt etwa ein offensichtlich „unstrategisches“ oder unökonomisches Investitionsverhalten (Guideline 17. 6 lit. a) i.). Durch die GwG-Hintertür sollen also Crowdfunding-Plattformen verpflichtet werden, das Investitionsverhalten der Investoren zu tracken und ggf. weitere Investitionen zu verhindern – insofern ein starkes Stück!

Vor dem Hintergrund der sich stets – insb. technisch – weiterentwicklenden und komplexer werdenden Kriminalitätsstrukturen, ist die fünfte Geldwäscherichtlinie bewusst technologieneutral formuliert. Es soll den verpflichteten Unternehmen vordergründig selbst überlassen bleiben, wie genau sie ihren KYC-Pflichten außerhalb sog. Face-to-Face Situationen nachkommen. Daher beinhalten auch die AML/CTF-Guidelines zunächst lediglich die Vorgabe, dass sich Unternehmen in solchen (Non-Face to Face) Fällen für den Identitäts-Nachweis ihrer Kunden ausschließlich solcher (elektronischer) Mittel bedienen dürfen, die auf Daten aus zuverlässigen und unabhängigen Quellen beruhen (Guideline 4.32). Hierfür ist unter anderem Voraussetzung, dass über einen längeren Zeitraum auf eine ausreichende Anzahl von Daten zurückgegriffen wird, deren Erfassung verschiedene Verfahren einbezieht (Guideline 4.34).

Um diesen geldwäscherechtlichen Verpflichtungen nachzukommen, verwenden beaufsichtigte Unternehmen zunehmend auch sog. RegTech-Anwendungen (aus dem englischen „Regulatory Technology“), die ihnen beispielsweise technisch gestützte Hintergrundchecks unter Verwendung alternativer Datenquellen (z.B. dem Internet) und die Nutzung biometrischer Verfahren zur Identitätsprüfung (z.B. Stimmerkennung) ermöglichen. Sie nutzen dabei „innovative Technologien“ wie selbstlernende Software, die nach und nach Daten sammelt, um diese dann auszuwerten (Big Data und künstliche Intelligenz – BDAI) oder fälschungssichere Datenbanken auf Grundlage der Distributed Ledger Technology (z.B. Blockchain), um biometrische Daten (Stimme, Fingerabdruck, Gesichtserkennung) den aufsichtsrechtlichen Vorgaben entsprechend für einen anlassbezogenen Abgleich aufzubewahren.

Auch in Deutschland liegt der (AML/CTF-)Ball aufgrund des technologieneutralen Ansatzes der EBA dabei auf Seiten der beaufsichtigten Unternehmen, denn diese müssen sich entscheiden, auf welchen – innovativen – Wegen sie ihre geldwäscherechtliche Due Diligence erfüllen wollen.

Zusammenfassend lässt sich daher festhalten, dass der Konsultationsentwurf sehr viel konkretere Anhaltspunkte vorhält als bisher. Die Veröffentlichung der finalen AML/CFT-Guidelines dürfte daher für mehr Klarheit und Sicherheit der Verpflichteten im Hinblick auf ihr jeweiliges Risikobewertungsverfahren sorgen. Dies gilt insbesondere für Unternehmen, welche in durch den „Besonderen Teil“ speziell geregelten Branchen tätig sind.

Auf der anderen Seite dürften mit den „abzuklopfenden“ Risikofaktoren weiterer Aufwand und höhere Ressourcen für die GwG-Compliance allokiert werden müssen – insb. für die ohnehin mit der wachsenden Regulierung kämpfende Crowdfunding-Branche kein guter Ausblick.

Nachbesserungsbedarf bestand zudem insbesondere im Hinblick auf die bislang stiefmütterlich behandelten technischen Möglichkeiten zur Identifizierung von ML/TF-Risiken. Der Konsultationsentwurf AML/CFT-Guidelines bietet hierfür einen ersten Anhaltspunkt, da bestimmte Standards für solche „technologischen Innovationen“ festgeschrieben werden. Die EBA hält diese bewusst generell, um diese nicht kurzfristig erneut an die rasante technische Entwicklung anpassen zu müssen.

Fortsetzung folgt

In welcher Form eine Veröffentlichung finaler AML/CFT-Guidelines durch die EBA erfolgt, bleibt abzuwarten. Der EBA zufolge sollen die bisherigen Leitlinien aus dem Jahr 2017 abgelöst werden. Gelegenheit zur Stellungnahme besteht bis zum 5. Mai 2020. Die AML/CFT-Guidelines entfalten gegenüber in Deutschland tätigen Unternehmen zunächst nur eine mittelbare Wirkung, da auf nationaler Ebene weiterhin die BaFin für die Beaufsichtigung zuständig sein wird. Es kann jedoch damit gerechnet werden, dass die BaFin die EBA-Leitlinien (zumindest in weiten Teilen) übernehmen dürfte. Man darf also auf die Fortsetzung der Serie „Vorgaben zur Bekämpfung von Geldwäsche- und Terrorismusfinanzierung“ gespannt bleiben.