Aktualisierte FMA-Rundschreiben zur Prävention von Geldwäsche und Terrorismusfinanzierung

Am 23. Februar 2022 hat die FMA ihre aktualisierten Rundschreiben zur Prävention von Geldwäsche und Terrorismusfinanzierung veröffentlicht. Die Änderungen betreffen alle vier Rundschreiben, also jenes zu den Sorgfaltspflichten, zur Risikoanalyse, zur internen Organisation und zu den Meldepflichten.

Die wesentlichen Neuerungen im Überblick:

• Einführung eines Know-Your-Customer’s-Customer-Prinzips (KYCC) bei der Einholung von Informationen zu Zweck und Art der Geschäftsbeziehung sowie der Mittelherkunftsprüfung.

• Neue Anforderung zur Prüfung der Mittelverwendung im Rahmen der kontinuierlichen Überwachung von Geschäftsbeziehungen, um Terrorismusfinanzierung zu verhindern.

• Klarstellungen zur Feststellung und Überprüfung des wirtschaftlichen Eigentümers bei Private-Equity-Fonds.

• Klarstellung der Sorgfaltspflichten in Hinblick auf das Compliance-Package.

• Adaptierung der Rundschreiben um die Sorgfaltspflichten, die von Dienstleistern in Bezug auf virtuelle Währungen einzuhalten sind.

• Anpassung des Rundschreibens Risikoanalyse an die aktuelle nationale Risikoanalyse.

In diesem Beitrag haben wir alle wesentlichen Neuerungen kompakt für Sie zusammengefasst.

Hintergrund der Aktualisierung der FMA-Rundschreiben

Die Anpassung der FMA-Rundschreiben wurde notwendig, weil sich die Rechtslage (insb Compliance-Package und novellierter Geldwäsche-Tatbestand) geändert hat. Weiters mussten die neuen EBA-Leitlinien zu Risikofaktoren vom 1. März 2021 sowie die nationale Risikoanalyse aus Mai 2021 berücksichtigt werden. Schließlich wurden die Rundschreiben um Vorgaben für Dienstleister in Bezug auf virtuelle Währungen ergänzt, die die FMA seit Jänner 2020 zu beaufsichtigen hat.  

Für Finanzmarktteilnehmer, die dem Finanzmarkt-Geldwäschegesetz (FM-GwG) unterliegen, ergeben sich damit zahlreiche Neuerungen, die eine Anpassung ihrer internen Strategien, Systeme und Verfahren zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung auslösen können.

Wir stellen Ihnen zunächst alle wesentlichen Änderungen bezüglich des FMA-Rundschreibens zu den Sorgfaltspflichten dar. Im Anschluss finden Sie die wichtigsten Änderungen der übrigen Rundschreiben (Risikoanalyse, interne Organisation, Meldepflichten).

Know Your Customer’s Customer (KYCC)

Zunächst die aus unserer Sicht wichtigste Änderung: Nach Ansicht der FMA müssen Verpflichtete in Einzelfällen, also abhängig vom Risiko des Kunden oder der Transaktion, auch Informationen und gegebenenfalls Unterlagen zu wesentlichen Geschäftspartnern und sonstigen relevanten Vertragsparteien des Kunden einholen. Diese Informationen sollen dann im Rahmen eines KYC-Profils des Kunden dokumentiert werden.

Ziel der Einholung von „KYCC“-Informationen sei es, Informationen über den legalen Ursprung der eingesetzten Mittel zu erheben bzw. Auffälligkeiten zu erkennen und zu untersuchen.

Im Unterschied zum Konsultationsentwurf enthält das finale Rundschreiben Beispiele zur Anwendung des KYCC-Prinzips:

• Als erstes Beispiel wird ein Firmenkunde eines Kreditinstitutes angeführt, der Waren in ein Hochrisiko-Land exportiert. Vor Begründung einer Geschäftsbeziehung mit einem derartigen Kunden soll das Institut Informationen zur Geschäftstätigkeit und zum Geschäftsumfeld des Kunden einholen. Im Zuge dessen ist es erforderlich, auch Informationen zu den wesentlichen Geschäftspartnern des Kunden und somit zum legalen Ursprung der im Rahmen der Geschäftsbeziehung eingesetzten Mittel einzuholen bzw. zu recherchieren.

• Als zweites Beispiel wird eine Kundenbeziehung eines Kreditinstitutes mit einer natürlichen Person angegeben, die eine Liegenschaft verkauft. Wenn bestimmte Risikofaktoren (sehr hoher oder nicht marktüblicher Kaufpreis, komplexe Konstruktion, unübliche Zahlungsweise, etc) vorliegen, wird nach Ansicht der FMA die bloße Vorlage des Kaufvertrags nicht ausreichend sein. In den genannten Fällen soll es erforderlich sein, weiterführende Informationen über den legalen Ursprung der eingesetzten Mittel und somit zum „Geschäftspartner“ des Kunden (idF Käufer) zu erheben bzw. zumindest zu recherchieren.

Insgesamt soll sich die Beweiskraft der Informationen bzw. Unterlagen am jeweiligen Risiko des Kunden oder der Transaktion orientieren. Je höher das Risiko des Kunden oder der Transaktion ist, desto strenger sind die Anforderungen hinsichtlich Aussagekraft / Unabhängigkeit der Informationen bzw. Unterlagen über die wesentlichen Geschäftspartner oder sonstigen relevanten Vertragsparteien des Kunden.

Wir sehen die Verpflichtung zur Einholung von KYCC-Informationen kritisch, denn für eine solche Anforderung gibt es keine gesetzliche Grundlage. Auch im Europarecht und den FATF-Recommendations sucht man vergeblich nach Anhaltspunkten für ein KYCC-Prinzip. Es ist auch nicht klar, in welchen „Einzelfällen“ diese Verpflichtung anwendbar sein soll. Hier wären weitere Klarstellungen durch die FMA wünschenswert gewesen.

Letztlich ergeben sich in diesem Zusammenhang gravierende verfassungs-, datenschutz- und zivilrechtliche Bedenken. Es bleibt daher abzuwarten, welche konkreten Anforderungen die FMA an das KYCC-Prinzip in der Aufsichtspraxis stellen wird und ob diese Anforderungen einer Überprüfung durch Gerichte standhalten werden.

Konkretisierungen zur Mittelherkunftsprüfung

Die Aussagen im bisherigen Rundschreiben Sorgfaltspflichten zur Mittelherkunftsprüfung waren recht knapp und sorgten in der Praxis oftmals für Diskussionen.

Die FMA stellt nun klar, dass bei der Mittelherkunftsprüfung und auch im Zuge der kontinuierlichen Überwachung hinterfragt und dokumentiert werden soll, woher der Kunde seine Vermögenswerte hat. Der Kunde kann die Vermögenswerte entweder selbst erwirtschaftet oder von Dritten erhalten haben (zB bei Kauf- oder Schenkungsverträgen). Wenn die Vermögenswerte des Kunden von Dritten kommen, kann es laut FMA bei Kunden oder Transaktionen mit hohem Risiko erforderlich sein, die Mittelherkunft durch zusätzliche Informationen oder ggf. Unterlagen (jeweils aus unabhängiger Quelle) zu plausibilisieren.

Die FMA stellt klar, dass die Einholung eines Vertrages ohne zusätzliche Informationen oder Unterlagen zur Vermögensherkunft nicht in jedem Fall ausreichend ist. Damit ist erneut das KYCC-Prinzip angesprochen. Die Versicherungsbranche hat im Rahmen der Konsultationen zurecht ausgeführt, dass eine Mittelherkunftsprüfung in der Praxis nicht durchführbar ist. Der Kunde unterliegt schließlich selbst dem Datenschutz bzw. sonstigen Verschwiegenheitspflichten in Bezug auf seinen Kunden.

An weiteren Neuerungen ist zu nennen, dass das Rundschreiben Risikofaktoren aufzählt, die bei der Plausibilisierung von Transaktionen und dem Ausmaß der Dokumentation der Mittelherkunftsprüfung herangezogen werden können. Diese Risikofaktoren sind etwa die Dauer der Geschäftsbeziehung, die Höhe und Anzahl der Transaktionen, die Risikoeinstufung, Vermögens- und Finanzlage des Kunden, sein bisheriges Zahlungsverhalten, etc. Es soll nicht nur auf das Risiko des Kunden, sondern auch auf das Risiko der Einzeltransaktion abgestellt werden, sodass auch verdächtige Transaktionen bei Kunden im Standardrisiko einer vertieften Überprüfung zu unterziehen sind.

Verschärfung der kontinuierlichen Überwachung von Geschäftsbeziehungen: Überprüfung der Mittelverwendung

Neu ist, dass laut FMA im Rahmen der kontinuierlichen Überwachung neben der Prüfung der Mittelherkunft auch eine Prüfung der Mittelverwendung erforderlich sein kann. Hintergrund dafür ist, dass Gelder für die Finanzierung von Terrorismus im Gegensatz zur Geldwäsche auch aus legalen Quellen stammen können.

Daher sollen risikobasiert Informationen über den Verwendungszweck der Geschäftsbeziehung bzw. der Transaktion eingeholt und einer Plausibilitätsprüfung unterzogen werden. Verpflichtete dürfen sich idZ nicht ausschließlich auf mündliche Kundenaussagen verlassen, sondern haben ergänzend dazu beweiskräftige aktuelle Dokumente zum Verwendungszweck einzuholen.

Unseres Erachtens ist diese Anforderung überschießend, denn es besteht keine gesetzliche Grundlage für die Überprüfung der Mittelverwendung. Es ist auch fraglich, wie eine Prüfung der Mittelverwendung in der Praxis umgesetzt werden kann. Marktteilnehmer haben im Zuge der Konsultation zurecht darauf hingewiesen, dass kaum Möglichkeiten bestehen, die durch den Kunden erteilten Informationen zu prüfen und Nachweise zum Verwendungszweck einzuholen.

Weiters stellt die FMA klar, dass Basis einer kontinuierlichen Überwachung die vollständige und aussagekräftige Einholung und Erfassung aller relevanten KYC-Informationen des Kunden ist. Abhängig vom jeweiligen Risiko sind das Geschäftsmodell des Kunden, sein Zahlungsverhalten, die wesentlichen Geschäftspartner und Transaktionen sowie Informationen über Produkte und Lieferungen zu erfassen. Bei entsprechender Risikoindikation muss für den Verpflichteten nachvollziehbar sein, aus welchen Gründen welcher Geschäfts- oder Vertragspartner des Kunden Transaktionen erhält oder in Auftrag gibt.

Erleichterungen bei der Überprüfung des wirtschaftlichen Eigentümers

Die gesetzlichen Neuerungen zum Compliance-Package bringen Erleichterungen bei der Feststellung und Überprüfung der wirtschaftlichen Eigentümer, die nun auch im FMA-Rundschreiben berücksichtigt werden. So können Verpflichtete die wirtschaftlichen Eigentümer ihrer Kunden auf risikoorientierter Grundlage anhand eines erweiterten Auszuges und der in einem vollständigen Compliance-Package enthaltenen Unterlagen feststellen und überprüfen. Sie haben sich aber zu vergewissern, dass die Dokumente im Compliance-Package in Verbindung mit den vorliegenden Informationen ausreichend sind. Kommt ein Verpflichteter zum Ergebnis, dass zusätzliche Informationen und Unterlagen erforderlich sind, müssen diese eingeholt werden. Es dürfen somit keine Anhaltspunkte vorliegen, die die Richtigkeit der Meldung oder Richtigkeit und Vollständigkeit der im Compliance-Package enthaltenen Dokumente in Zweifel ziehen können.

Die FMA hebt im Rundschreiben auch den Änderungsdienst nach § 9 Abs 9 WiEReG hervor. Damit können sich Verpflichtete automatisiert informieren lassen, wenn eine Änderung der wirtschaftlichen Eigentümer eines Kunden eintritt. Durch die Verwendung dieses Änderungsdienstes kann die Aktualität der beim Verpflichteten gespeicherten Daten über wirtschaftliche Eigentümer deutlich erhöht werden, weshalb deren Verwendung in der Praxis empfehlenswert ist.

Abgesehen von diesen Erleichterungen stellt das Rundschreiben aber klar, dass für Rechtsträger kein risikoorientierter Ansatz bei der Überprüfung der wirtschaftlichen Eigentümer vorgesehen ist. Der Umfang der Überprüfungsschritte ist demnach auf allen Ebenen gleich hoch und es ist stets jedes einzelne Zwischenglied anhand beweiskräftiger Dokumente zu überprüfen. Zu Beginn einer neuen Geschäftsbeziehung mit einem Rechtsträger ist zwingend ein Auszug aus dem Register der wirtschaftlichen Eigentümer einzuholen (siehe § 7 Abs 1 FM-GwG).

Komplett neu eingefügt wurde ein Abschnitt über die Feststellung und Überprüfung der Identität des wirtschaftlichen Eigentümers bei Fallkonstellationen, in denen ein Private-Equity-Fonds in der Eigentümerkette aufscheint. An der Bereitstellung eines Private-Equity-Fonds können mehrere Personen involviert sein, zB ein AIFM, „General Partner“, Fondsinitiator, Berater, Investoren, etc. Je nach Einzelfall kann es daher vorkommen, dass mehrere Personen gegenüber dem Private-Equity Fonds eine (gemeinsame) Kontrolle iSd WiEReG ausüben.

Eine wichtige Erkenntnisquelle für die Erfüllung der Sorgfaltspflichten stellen die Verträge und Nebenabreden dar, aus denen sich Rechte und Pflichten der involvierten Personen ergeben.

Was müssen Dienstleister in Bezug auf virtuelle Währungen beachten?

In Reaktion auf das steigende Interesse an virtuellen Währungen hat die FMA sämtliche Rundschreiben um die Sorgfaltspflichten von Dienstleistern in Bezug auf virtuelle Währungen ergänzt. Im FMA-Rundschreiben Sorgfaltspflichten findet sich nun ein eigener Abschnitt über die Voraussetzungen und das Verfahren zu deren Registrierung.

Auch für Dienstleister in Bezug auf virtuelle Währungen gilt, dass die Sorgfaltspflichten des FM-GwG nicht nur bei Begründung einer dauernden Geschäftsbeziehung, sondern auch bei gelegentlichen Transaktionen anzuwenden sind, deren Betrag sich auf mindestens EUR 15.000 oder einem entsprechenden Gegenwert der virtuellen Währungen beläuft.

Wir möchten besonders darauf hinweisen, dass nach Ansicht der FMA die Geldtransfer-VO „gleichermaßen auch für den Transfer virtueller Währungen“ gilt. Unseres Erachtens ist die Geldtransfer-VO aber nicht auf virtuelle Währungen anwendbar. Die Geldtransfer-VO gilt ausdrücklich nur für Geldtransfers von oder an (zwischengeschaltete) Zahlungsdienstleister (Art 2 Abs 1 Geldtransfer-VO). „Geldtransfer“ wird dabei definiert als Transaktion, „die … mit dem Ziel durchgeführt wird, einem Begünstigten … einen Geldbetrag zur Verfügung zu stellen“ (Art 3 Z 9 Geldtransfer-VO). Virtuelle Währungen fallen nicht unter den Begriff des „Geldbetrags“ nach Art 3 Z 8 Geldtransfer-VO iVm Art 4 Z 15 RL 2007/64/EG. Dieser umfasst Banknoten, Münzen, Giralgeld und E-Geld, nicht aber virtuelle Währungen. Trotz entsprechender Kritik während der Konsultationsphase hat die FMA diesen Punkt jedoch nicht abgeändert.

Das hat zur Folge, dass Verpflichtete (de facto sind aber nur Dienstleister in Bezug auf virtuelle Währungen betroffen) nach Ansicht der FMA vor Durchführung einer Transaktion Informationen und beweiskräftige Nachweise darüber einholen müssen, wer der Eigentümer der betreffenden Absender- bzw. Empfängerwallet ist. Dies soll die Rückverfolgbarkeit von Transaktionen virtueller Währungen sicherstellen und anonyme Transaktionen reduzieren.

Die FMA gibt weiters Hinweise, wie von Dienstleistern in Bezug auf virtuelle Währungen die allgemeinen Sorgfaltspflichten einzuhalten sind. So können als Mittelherkunftsnachweis folgende Dokumente und Informationen eingeholt werden: Auszug aus der Kundenwallet, historische Abbildung der An- und Verkäufe von virtuellen Währungen bzw. erhaltene Belege bei ATMs, Nachweise über die Miningtätigkeit und dabei erwirtschaftete virtuellen Währungen sowie Transaktionsverläufe.

Weiters stellt die FMA klar, dass im Rahmen der kontinuierlichen Transaktionsüberwachung sowohl Fiatgeld-Transaktionen als auch Transkationen mit virtuellen Währungen angemessen überprüft werden müssen. Bei Transaktionen virtueller Währungen ist im Regelfall zusätzlich zu den vorzusehenden manuellen Überwachungshandlungen die Überwachung mittels eines IT-unterstützten Systems erforderlich.

Unseres Erachtens sollen Mitarbeiter im Rahmen von Schulungen für diese Neuerungen sensibilisiert und auch die internen Arbeitsanweisungen und Prozesse entsprechend angepasst werden.

FMA-Rundschreiben Risikoanalyse

Das FMA-Rundschreiben Risikoanalyse berücksichtigt nun die aktuelle nationale Risikoanalyse aus Mai 2021. Es gibt einleitend eine Aufzählung der aktuell wesentlichen Vortaten, Methoden und Bedrohungen in Hinblick auf Geldwäsche und Terrorismusfinanzierung wieder. Die häufigsten Methoden, die für Geldwäsche genutzt werden, sind dabei Kryptowährungen, Money Mules (illegale Finanzagenten), Hawala (informelles Transaktionssystem für Überweisungen in Heimatländer) und Urkundenfälschung.

Ebenfalls neu ist der Überblick der Ergebnisse der nationalen Risikoanalyse in Bezug auf die einzelnen Sub-Sektoren des Finanzsektors (vgl Rz 26).

Die FMA stellt zudem klar, dass bei der Erstellung der Risikoanalyse auf Unternehmensebene die EBA ML/TF Risk Factors Guidelines zu berücksichtigen sind und auch die aktuelle supranationale Risikoanalyse der Europäischen Kommission wertvollen Input für die Definition und Analyse relevanter Risikofaktoren liefert.

Weiters wurden für die Risikoanalyse auf Einzelkundenebene neue Risikofaktoren betreffend Kunden, Produkte, Dienstleistungen, Transaktionen oder Vertriebskanäle eingefügt.

Im Rundschreiben finden sich zudem Risikofaktoren zur Ermittlung und Analyse der Risiken im Bereich virtueller Währungen. Unseres Erachtens sollen diese Neuerungen spätestens im Zuge der nächsten Aktualisierung der unternehmensinternen Risikoanalyse berücksichtigt werden.

FMA-Rundschreiben interne Organisation

Im FMA-Rundschreiben interne Organisation wurde eingefügt, dass Verpflichtete regelmäßige Prüfungen des Bereichs der Prävention von Geldwäsche und Terrorismusfinanzierung durch die interne Revision bzw. durch eine unabhängige Stelle vorzusehen haben. Wenn die regelmäßige Prüfung nicht zumindest jährlich erfolgt, sind angemessene Maßnahmen zum Ausgleich des Fehlens einer regelmäßigen Prüfung zu setzen. Dazu zählen zB quartalsweise Besprechungen mit der internen Revision, Durchführung von diversen Prüfhandlungen usw.

Der Umfang der Prüfung durch die interne Revision bzw. die Prüfung durch eine unabhängige Stelle kann sich an Art und Umfang der Geschäftstätigkeit sowie Größe des Verpflichteten orientieren. Dies gilt auch für Zweigniederlassungen von Kreditinstituten aus dem EWR-Raum mit Sitz in Österreich.

FMA-Rundschreiben Meldepflichten

Das FMA-Rundschreiben Meldepflichten wurde umfassend um Auffälligkeiten betreffend Geschäftsbeziehungen, Geschäfte und Transaktionen iZm virtuellen Währungen ergänzt. Diese Auffälligkeiten sind vor allem für Dienstleister in Bezug auf virtuelle Währungen oder bei Geschäftsmodellen, die virtuelle Währungen involvieren, relevant.

Weiters finden sich Ergänzungen zu den Kategorien von Vortaten und den Tatbestandselementen des neuen Geldwäsche-Straftatbestands, welche im Zuge von Verdachtsmeldungen nach § 16 FM-GwG zu beachten sind. Verpflichtete sollen diese Vorgaben in ihren Policies berücksichtigen, um sie up-to-date zu halten.

Was können wir für Sie tun?

Mit unserem umfassenden Know-how im Bereich der Prävention von Geldwäsche und Terrorismusfinanzierung können wir Sie kompetent bei der Anpassung der AML-Policies bzw. internen Arbeitsanweisungen und Mitarbeiterhandbüchern, der Risikoanalyse und der damit verbundenen Prozesse an die neuen Anforderungen unterstützen. Wir freuen uns auf Ihre Anfrage.

Ansprechpersonen: Dr. Bernd Fletzberger und Mag. Sanijel Ficulovic