Neue Auslegungs- und Anwendungshinweise der BaFin zum Geldwäschegesetz – Eine Zusammenfassung des aktuellen Konsultationsentwurfs

1. Allgemeines

Der Konsultationsentwurf enthält einige Hinweise, die im Rahmen der geldwäscherechtlichen Identifizierung sowie bei der Überarbeitung interner (Compliance) Policies zu beachten sein werden.

Vorweg lässt sich feststellen, dass die BaFin insgesamt detailliertere Anforderungen zur Überwachungstätigkeit und zur Dokumentation festlegt.

Für den Bereich des Outsourcings stellt die BaFin nunmehr klar, dass die Auslagerung einer internen Sicherungsmaßnahme nach § 6 Abs. 7 GwG nach ihrer Ansicht immer als wesentliche Auslagerung im Sinne von § 25b KWG, § 26 ZAG, § 40 WpIG oder § 32 VAG anzusehen ist.

Eine stärkere Konturierung erfährt auch die Definition des Begriffs „Geschäftsbeziehung“ i.S.v. § 1 Abs. 4 GwG im Konsultationsentwurf. Die BaFin führt aus, dass „auch bei unregelmäßigen Kontakten oder auch in dem Fall, in dem zwischen den Kontakten ein längerer Zeitraum liegt, eine Geschäftsbeziehung anzunehmen [ist], sofern die Gesamtumstände diese Annahme begründen“. Dies sei u.a. der Fall, „wenn ein Kunde eine bestimmte Leistung eines Verpflichteten wiederholt in Anspruch nimmt und abzusehen ist, dass diese auch zukünftig in Anspruch genommen werden soll“. In diesem Zusammenhang stellt sich daher unter anderem für Kontoinformations- und Zahlungsauslösedienste die Frage, ab welchem Zeitpunkt diese, laut Ansicht der BaFin, nunmehr zur geldwäscherechtlichen Identifizierung der Zahlungsdienstenutzer verpflichtet sein sollen. Hier dürften sich aufgrund der Formulierung der BaFin in der Praxis Unsicherheiten bei den entsprechenden Marktteilnehmern ergeben. Eine präzisere Aussage der BaFin im Rahmen des Konsultationsprozesses wäre somit zu begrüßen.

Die BaFin stellt zudem klar, dass (gemischte) Finanzholdinggesellschaften nur im Rahmen ihrer Holdingtätigkeit geldwäscherechtlichen Pflichten unterliegen. Nicht erfasst sein dürfte z.B. das operative Geschäft, sofern dieses selbst nicht geldwäscherechtliche Pflichten auslöst.

Außerdem soll die geldwäscherechtliche Ausnahme von der Regelung des § 3 Abs. 2 GwG auch für Tochterunternehmen dieser börsennotierten Unternehmen gelten, wenn das Mutterunternehmen mindestens 75 % (statt bisher mehr als 50%) der Kapitalanteile oder Stimmrechte hält und keine anderen wirtschaftlich Berechtigten vorhanden sind.

1.1 Risikoanalyse

Die BaFin ergänzt im Konsultationsentwurf, dass im Rahmen des Risikomanagements alle relevanten Einheiten einbezogen werden müssen. Wichtig sind dabei aktuelle statistische Daten mit einheitlichem Erfassungsstichtag.

Hierfür nennt sie explizit heranzuziehende Quellen, die Verpflichtete beachten müssen, darunter die Leitlinien der Europäischen Bankenaufsichtsbehörde („EBA“), die supranationale Risikoanalyse der EU-Kommission, subnationale Risikoanalysen der BaFin, Typologiepapiere der Zentralstelle für Finanztransaktionsuntersuchungen („FIU“) und internationale Standards der Financial Action Task Force.

Auch in Bezug auf die Prüfung, ob es sich bei der zu identifizierenden Person um eine politisch exponierte Person handelt, verweist die BaFin explizit auf die dazu von der Europäischen Kommission regelmäßig veröffentlichte Liste mit wichtigen öffentlichen Ämtern auf nationaler Ebene, in internationalen Organisationen und in Organen und Einrichtungen der Europäischen Union. Personen, die diese Ämter bekleiden, auch PePs genannt.

Weiterhin stellt die BaFin klar, dass Verpflichtete negative Medienberichte in die Risikobewertung einbeziehen müssen, auch ohne eine ausdrückliche gesetzliche Pflicht („Adverse Media Screening“).

Die BaFin formuliert insgesamt eine große Zahl von Neuerungen oder Klarstellungen, die bei der Risikoanalyse und den internen Sicherungsmaßnahmen berücksichtigt werden müssen.

1.2 Prüfungsintervalle

Die BaFin ändert bzw. verkürzt die Prüfungsintervalle für die Aktualisierung der Risikoanalyse bei der Anwendung vereinfachter Sorgfaltspflichten nunmehr auf „risikoadäquat“ (bisher bis zu 15 Jahre), sofern weder verstärkte noch vereinfachte Sorgfaltspflichten bestehen auf 5 Jahre (bisher 10 Jahre) und bei verstärkten Sorgfaltspflichten auf jährlich (bisher nach 2 Jahren). Diese geänderten Vorgaben sind bis zum Inkrafttreten der neuen EU-Geldwäscheverordnung am 10. Juli 2027 umzusetzen.

Hinsichtlich der Überprüfung der internen Sicherungsmaßnahmen gem. § 6 Abs. 2 Nr. 7 GwG hat die BaFin klargestellt, dass der Prüfungsrhythmus risikoorientiert festgelegt werden muss (zuvor jährlich). Wie bisher müssen nach drei Jahren sämtliche Bereiche einer Prüfung unterzogen werden.

Die BaFin weist ausdrücklich darauf hin, dass Entscheidungen über nach der Risikoanalyse verbleibende Restrisiken von der Leitungsebene der Verpflichteten getroffen werden müssen. 

Darüber hinaus sieht die BaFin vor, dass die Überprüfung der zur Identifizierung erhobenen Daten anhand aktueller (Register-)Auszüge (d.h. bei Vorlage nicht älter als vier Wochen) zu erfolgen hat.

1.3 Sorgfaltsmaßstab

Die BaFin weist explizit darauf hin, dass Erleichterungen des Anwendungserlasses zu § 154 AO nicht auf das GwG übertragbar sind, da die Gesetze unterschiedliche Schutzzwecke entfalten.

1.4 Meldungen

Die BaFin führt aus, dass zur Erfüllung der Pflichten aus § 6 Abs. 5 GwG, Art. 21 Abs. 2 der Verordnung (EU) 2023/1113 (GTVO 2023) und § 12 Abs. 1 Hinweisgeberschutzgesetz die Einrichtung einer einzigen internen Meldestelle ausreichend ist. Voraussetzung ist jedoch, dass sowohl die vertrauliche als auch die anonyme Meldung möglich sind.

Im Zusammenhang mit der Verdachtsmeldepflicht nach § 43 Abs. 1 GwG weist die BaFin auf die ständig aktualisierten FIU-Leitfäden und die spezifischen Hinweise hin, die bei Verdachtsmeldungen zu berücksichtigen sind.

Gemeldete Transaktionen (§ 43 Abs. 1 GwG) dürfen erst nach Zustimmung der FIU oder der Staatsanwaltschaft oder frühestens nach drei Geschäftstagen, ohne dass eine Untersagung erfolgt ist, durchgeführt werden. Die BaFin weist aber darauf hin, dass auch nach Ablauf der drei Tage ein weiteres Anhalten der Transaktion erforderlich sein kann. Dies ist von den Verpflichteten zu prüfen.

1.5 Geldwäschebeauftragter („GWB“)

Für grenzübergreifend tätige Unternehmen hat die BaFin klargestellt, dass der GWB seine Tätigkeit im Inland ausüben muss, jedoch eine Stellvertretung im Ausland zulässig ist, wenn diese im Vertretungsfall im Inland tätig wird.

Wichtig ist, dass Unternehmen mit weniger als 15 Vollzeitäquivalenten nach Ansicht der BaFin prüfen müssen, ob die Risikosituation die Ernennung eines Mitglieds der Leitungsebene zum GWB zulässt. In diesem Zusammenhang relevant sind u.a. vorangegangene Mängel bei der Prävention von Geldwäsche und Terrorismusfinanzierung.

Zudem betont die BaFin, dass der GWB regelmäßig nicht gleichzeitig als Auslagerungsbeauftragter für den Datenschutzbeauftragten oder die Interne Revision fungieren darf.

Die Bestellung und Entpflichtung des GWB müssen mindestens zwei Wochen vor der tatsächlichen Durchführung der BaFin angezeigt werden. Die Aufgaben, Verantwortlichkeiten und Befugnisse des GWB und der Stellvertretung sind schriftlich festzuhalten.

2. Payment

Geschäftsbeziehungen im Sinne des GwG soll ein Zahlungsinstitut auch durch den Abschluss von Verträgen über technische Dienstleistungen wie Issuing oder Acquiring Processing begründen, da diese Dienstleistungen in unmittelbarem Zusammenhang mit der Erbringung eines erlaubnispflichtigen Zahlungsdienstes stehen. Diese Klarstellung wirft aber wiederum die Frage auf, ob die BaFin hiermit ein neues Kriterium des engen Zusammenhangs zu erlaubnispflichtigen Zahlungsdiensten für die Annahme einer Geschäftsbeziehung etablieren will. Weiter weist die BaFin darauf hin, dass Institute aus dem EWR-Ausland, die durch Agenten oder E-Geld-Agenten im Inland niedergelassen sind, Verdachtsmeldungen mit Inlandsbezug an die FIU abgeben müssen und sich die Agenten im goAML-Portal registrieren müssen. Im Rahmen der laufenden Überwachungspflicht wird darauf hingewiesen, dass Zahlungsinstitute bei der Erbringung von Zahlungsdiensten für Händlerkunden dafür Sorge zu tragen haben, dass die Zahlungsdienste ausschließlich für die vertraglich festgelegten und nicht für vertragsfremde Websites erbracht werden (§ 10 Abs. 1 Nr. 5 GwG i.V.m. § 27 Abs. 1 Satz 2 Nr. 5 ZAG).

3. Factoring

Darüber hinaus wird im Zusammenhang mit Factoringgeschäften auf die laufende Überwachungspflicht von Zahlungen der Debitoren hingewiesen, auch wenn keine direkte Geschäftsbeziehung mit den Debitoren besteht. Besteht jedoch eine Vertragsbeziehungen zwischen dem Factoring-Institut und den Debitoren, wie beim Reverse Factoring, hat das Factoring-Institut die allgemeinen Sorgfaltspflichten des § 10 Abs. 1 GwG auch auf die Debitoren anzuwenden.

Zudem entbindet der Verzicht des Factoring-Instituts auf eine Bonitätsanalyse der Debitoren nach § 25k Abs. 2 KWG dieses nicht von der Erfüllung der verstärkten Sorgfaltspflichten nach § 5 Abs. 2 GwG, wenn ein erhöhtes Risiko der Geldwäsche oder Terrorismusfinanzierung erkennbar ist. Das Factoring-Institut hat dabei auch ohne die Informationen aus der Bonitätsanalyse auf erkennbar erhöhte Risiken zu achten. Offen lässt die BaFin, wann solche erhöhten Risiken erkennbar sind. Es wäre zu erwägen, ein solches Risiko anzunehmen, wenn der Rahmenvertrag Hinweise auf Faktoren gemäß Anlage 2 des GwG bei den Debitoren enthält.

4. Kryptowerte

4.1 Erweiterung der Verpflichteten

Mit der Geltung der Verordnung (EU) 2023/1114 (MiCAR) und der ergänzenden deutschen Umsetzung durch das Finanzmarktdigitalisierungsgesetz (FinmadiG – derzeit noch als Regierungsentwurf) gibt es auch eine neue Gruppe von Verpflichteten im Sinne von § 2 Abs. 1 Nr. 2 GwG. Dort werden zukünftig auch „Anbieter von Kryptowerte-Dienstleistungen und Emittenten vermögenswertereferenzierter Token“ genannt. Ausgenommen sind lediglich solche Dienstleister, die ausschließlich die Beratung zu Kryptowerten im Sinne des Art. 3 Abs. 1 Nr. 16 h) MiCAR anbieten. Im Hinblick auf die Emittenten vermögenswertereferenzierter Token („ART“) ist für die Verpflichteten-Eigenschaft zudem erforderlich, dass die ART nicht ausschließlich über einen Anbieter von Kryptowerte-Dienstleistungen öffentlich angeboten werden oder deren Zulassung zum Handel nicht ausschließlich über einen Anbieter von Kryptowerte-Dienstleistungen beantragt wird. Hintergrund ist, dass in solchen Fällen bereits der Anbieter von Kryptowerte-Dienstleistungen selbst Verpflichteter ist und so den geldwäscherechtlichen Anforderungen Rechnung getragen wird.

4.2 Anpassungen des GwG durch die neue Geldtransferverordnung

Ausdrücklich erwähnt werden in dem Konsultationsentwurf die zusätzlichen Pflichten aus der angepassten Geldtransferverordnung (Verordnung (EU) 2023/1113) ab 30. Dezember 2024, die eigene Regeln für den Transfer von Kryptowerten enthält.

Auslöser der geldwäscherechtlichen Sorgfaltspflichten gemäß § 10 Abs. 3 GwG können die Begründung einer dauerhaften Geschäftsbeziehung oder außerhalb von Geschäftsbeziehungen auch bestimmte Transaktionen (z.B. Geldtransfers ab EUR 1.000,-) sein. Auch die Übertragung von Kryptowerten ab einem Gegenwert von mindestens EUR 1.000,- ist Auslöser der geldwäscherechtlichen Sorgfaltspflichten (§ 10 Abs. 3 Nr. 2 GwG). Durch das Finanzmarktdigitalisierungsgesetz (FinmadiG) wird die Formulierung an die MiCAR angepasst. Angeknüpft wird zukünftig statt der Übertragung an den Kryptowertetransfer. Für die Definition eines Kryptowertetransfers wird auf die angepasste Geldtransferverordnung verwiesen. Hier dürfte auch der Konsultationsentwurf zu den AuA anzupassen sein, der teilweise noch von der „Übertragung“ spricht. Zur Ermittlung des Gegenwertes eines Kryptowertetransfers kann nach Ansicht der BaFin der aktuelle Kurs der betroffenen Kryptowerte bei einem beliebigen in Deutschland zugelassenen Anbieter von Kryptowerte-Dienstleistungen herangezogen werden. Dieser kann auch das handelnde Institut selbst sein. „Aktuell“ ist der Kurs zum Zeitpunkt der Durchführung des Transfers (Konsultationsentwurf, S. 37).

4.3 Verstärkte Sorgfaltspflichten

Schließlich greift der Konsultationsentwurf (S. 77) die durch das FinmadiG geplante Neuregelung in § 15a GwG-E zu verstärkten Sorgfaltspflichten bei Kryptowertetransfers mit selbst gehosteten Adressen auf. Für die Definition der „selbst gehosteten Adressen“ wird wiederum auf die Geldtransferverordnung (Art. 3 Nr. 20) verwiesen. Gemeint ist eine Distributed-Ledger-Adresse, die keine Verbindung zu a) einem Anbieter von Krypto-Dienstleistungen oder b) einer außerhalb der Union ansässigen Einrichtung aufweist, die den Dienstleistungen eines Anbieters von Krypto-Dienstleistungen vergleichbare Dienstleistungen erbringt. Verpflichtete, die solche Kryptowertetransfers durchführen, müssen die geldwäscherechtlichen Risiken ermitteln, bewerten und anschließend angemessene Maßnahmen zur Risikominderung vornehmen. § 15a Abs. 2 GwG führt verschiedene mögliche Maßnahmen zur Risikominderung auf. Dazu gehören die Erhebung, Überprüfung und Speicherung der Identität des Begünstigten oder Auftraggebers sowie des wirtschaftlich Berechtigten der selbst gehosteten Adresse, Maßnahmen zur Ermittlung der Herkunft und des Ziels der zu übertragenden Kryptowerte sowie die verstärkte, kontinuierliche Überwachung dieser Transaktionen und der mit diesen Transaktionen in Verbindung stehenden Geschäftsbeziehung.

5. Ausblick

Der Konsultationsentwurf enthält eine große Anzahl von Klarstellungen, aber auch eine Reihe von Ergänzungen der bisherigen Verwaltungspraxis sowie Anpassungen an bereits vorgenommene sowie durch das FinmadiG geplante Anpassungen des GwG. Verpflichtete müssen insbesondere ihre Risikoanalyse und ihre internen Sicherungsmaßnahmen entsprechend der neuen Vorgaben der BaFin anpassen. Für Anbieter von Kryptowertedienstleistungen enthält der Konsultationsentwurf nach den Vorgaben des GwG spezifische Vorgaben bei der Vornahme von Kryptowertetransfers sowie die in § 15a GwG-E beabsichtigte Regelung zu verstärkten Sorgfaltspflichten bei Transfers zu selbst gehosteten Adressen.

Bis zum 9. August 2024 können Stellungnahmen zum Konsultationsentwurf eingereicht werden, nach deren Prüfung die BaFin den Entwurf der Auslegungs- und Anwendungshinweise zum GwG gegebenenfalls anpassen wird. Ab Januar 2025 sollen die aktualisierten Auslegungs- und Anwendungshinweise zum GwG dann verbindlich gelten.

Verpflichtete sollten sich idealerweise bereits jetzt mit dem Konsultationsentwurf auseinandersetzen, um eventuelle Prozessanpassungen bis zu diesem Zeitpunkt umzusetzen.