AuA 2.0: BaFin-Konsultation der Anwendungs- und Auslegungshinweise zum Geldwäschegesetz

Hinweis: Der Beitrag erschien zuerst auf paytechlaw.com.

Was sind die AuA?

Die für die Aufsicht zuständigen Aufsichtsbehörden sollen den Verpflichteten, die unter ihrer Aufsicht stehen, Auslegungs- und Anwendungshinweise zur Umsetzung der internen Sicherungsmaßnahmen und der Erfüllung der Sorgfaltspflichten zur Verfügung stellen (§ 51 Abs. 8 GwG). In den AuA konkretisiert die BaFin die gesetzlichen Anforderungen des GwG und legt die gesetzlichen Anforderungen des GwG für die Verpflichteten (verbindlich) aus.

Was ändert sich gegenüber der bisherigen Fassung?

Änderungen ergeben sich z.B. in folgenden Bereichen:

Bestimmung geldwäscherechtlicher Pflichten von Versicherungs-Holdinggesellschaften

Der Konsultationsentwurf führt erstmals

  • Versicherungs-Holdinggesellschaften,
  • Unternehmen nach § 293 Abs. 4 VAG (nicht der Aufsicht des VAG unterfallende, inländische Unternehmen, deren Haupttätigkeit der Erwerb und das Halten unmittelbarer oder mittelbarer Beteiligungen an Erst- oder Rückversicherungsunternehmen oder Pensionsfonds ist) und
  • Unternehmen, die einen beherrschenden Einfluss auf ein Versicherungsunternehmen im Sinne des GwG oder auf einen Pensionsfonds nach § 236 Abs. 1 S. 1 VAG ausüben

als geldwäscherechtlich Verpflichtete auf.

Die BaFin antizipiert damit eine gesetzgeberische Erweiterung des Verpflichtetenkreises im Versicherungssektor (PTL v. 21.5.2024), die sowohl auf nationaler als auch auf Unionsebene ansteht. Der deutsche Gesetzgeber beabsichtigt, Versicherungs-Holdinggesellschaften und die anderen VAG-Unternehmen mit dem Entwurf für ein Gesetz zur Verbesserung der Bekämpfung von Finanzkriminalität (FKBG) zu geldwäscherechtlich Verpflichteten zu machen. Im Rahmen der AML-R zählen Versicherungsholdinggesellschaften und gemischte Versicherungsholdinggesellschaften zu sog. Finanzinstituten und damit zu den per se geldwäscherechtlich Verpflichteten.

Nach dem Konsultationsentwurf unterliegen Versicherungs-Holdinggesellschaften und die anderen VAG-Unternehmen den geldwäscherechtlichen Verpflichtungen nur hinsichtlich der für ihre Verpflichtetenstellung maßgeblichen Tätigkeiten (also insbesondere das Halten von Beteiligungen an geldwäscherechtlich verpflichteten VU), sofern sie nicht auch aufgrund einer anderen Verpflichteteneigenschaft geldwäscherechtliche Pflichten zu erfüllen haben. Versicherungs-Holdinggesellschaften haben sich bei der BaFin unter Angabe ihrer jeweiligen Verpflichteteneigenschaft zu registrieren.

Bezweckt wird damit vor allem ein regulatorischer Schulterschluss und eine einheitliche Gruppenaufsicht: Nach § 25l KWG (nach dem FKBG bald § 2 Abs. 1 Nr. 2a GwG) sind Finanzholding-Gesellschaften und gemischte Finanzholding-Gesellschaften bereits geldwäscherechtlich Verpflichtete.

Pflicht zum Adverse Media Screening

Der Konsultationsentwurf legt nahe, dass Verpflichtete insbesondere im Rahmen der Risikobewertung (sowohl bei der Risikoanalyse als auch bei der Kundenrisikoklassifizierung) Erkenntnisse aus Medienberichten, primär also negative Presse, einfließen lassen müssen (sog. Adverse Media Screening).

Eine ausdrückliche gesetzliche Pflicht, Adverse Media Screening zu betreiben. besteht nicht. Die BaFin hat sich aber schon Anfang Februar 2024 im Kontext der Terrorismusfinanzierungsprävention auf den Standpunkt gestellt, dass “die Überprüfung von Kundinnen und Kunden durch das Screening anhand von Sanktions- oder Hochrisikoländerlisten allein nicht […] ausreichend“ sei und vielmehr „Erkenntnisse aus Medienberichten (Adverse Media Screening)” zusätzlich herangezogen werden müssten. Ähnliche Positionen finden sich in den Berichten der Financial Action Task Force (FATF) zur Prävention von Terrorismusfinanzierung (S. 47) und den einschlägigen Leitlinien (The ML/TF Risk Factors Guidelines, GL. 9.21 lit. b) der European Banking Authority (EBA).

Der Konsultationsentwurf greift das sinngemäß auf und formuliert die Erwartungshaltung, dass “weitere Informationsquellen heranzuziehen” seien und “jeder Verpflichtete […] vielmehr sämtliche ihm zugänglichen Erkenntnisse nutzen” müsse – als Paradebeispiel wird das im Unternehmen vorhandene bzw. zu gewinnendes Wissen “etwa aus Medienauswertungen” genannt.

Aktualisierungszyklen

Wesentlich verschärft werden die bisherigen Aktualisierungszyklen zur Überprüfung der Aktualität der bei Erstidentifizierung erhobenen Angaben (§ 10 Abs. 1 Nr. 5 GwG). Künftig sollen folgende Aktualisierungszyklen gelten:

AuA alte FassungAuA neue Fassung
Geringes Risikobis zu 15 JahreRisikoangemessen
Mittleres Risikobis zu 10 Jahrebis zu 5 Jahre
Hohes Risikobis zu 2 JahreJährlich

Die BaFin gewährt zur Erfüllung der neuen Zyklen einen Übergangszeitraum bis Geltungsbeginn der dann geltenden EU-Geldwäscheverordnung (AML-R).

Konkretisierungen für Anbieter von Factoring, Zahlungsinstitute und „Krypto-Institute“

Im Abschnitt Monitoring enthalten die AuA besondere Vorgaben für Institute, die Factoring (vgl. § 1 Abs. 1a S. 2 Nr. 9 KWG) erbringen sowie für Zahlungs- und „Krypto“-Institute.

Für Institute, die Factoring erbringen, stellen die AuA klar, dass sämtliche ein- und ausgehenden Zahlungen zu überwachen sind, unabhängig davon, ob eine Geschäftsbeziehung mit dem Zahlungssender besteht. Neu ist die Anforderung dabei nicht, denn § 25k Abs. 2 KWG legt bereits jetzt fest, dass Institute, die Factoring erbringen „angemessene Maßnahmen zu ergreifen, um einem erkennbar erhöhten Geldwäscherisiko bei der Annahme von Zahlungen von Debitoren zu begegnen, die bei Abschluss des Rahmenvertrags unbekannt waren“. Entsprechend wurde bereits nach geltender Verwaltungspraxis von solchen Instituten erwartet, die spezifischen Risiken angemessen zu berücksichtigen. Die Pflicht zum Monitoring (in der Regel per einschlägiger Software) der ein- und ausgehenden Zahlungen war daher bereits jetzt in der Regel Bestandteil der Sicherungsmaßnahmen, um den spezifischen Risiken zu begegnen.

Für Zahlungsinstitute legen die AuA n.F. fest, dass Zahlungsinstitute für Händler Zahlungsdienste nur für die im Vertrag festgelegten und nicht für unbekannte Websites erbringen dürfen. Die AuA legen sehen daher vor, dass sämtliche Websites, für die Zahlungsdienste erbracht werden, im Zahlungsdiensterahmenvertrag bestimmt werden.

Für „Krypto-Institute“ bestimmen die AuA, dass der Einsatz von Blockchain-Analyse-Software (bzw. vergleichbarer Software für nicht DLT-basierte Kryptowerte) obligatorisch ist. Weitergehende Pflichten treffen Anbieter von Kryptodienstleistungen, die den Tausch oder Rücktausch von Kryptowerten in Fiat-Währung (und umgekehrt) anbieten. Solche Institute müssten spezifische Transaktionsmonitoring-Systeme einsetzen.

Wie geht es weiter?

Bis zum 9.8.2024 besteht die Möglichkeit, zum Entwurf Stellung zu nehmen. Die BaFin wird dann die eingegangenen Stellungnahmen prüfen und den Entwurf der AuA gegebenenfalls anpassen. Ab Januar 2025 sollen die aktualisierten AuA dann verbindlich gelten.

Welche Auswirkungen hat der Entwurf für die Verpflichteten?

Die AuA legen verbindlich fest, wie die Vorgaben des GwG auszulegen sind. Faktisch gibt es damit kaum Möglichkeiten, von den Vorgaben abzuweichen. Die Verpflichteten des Finanzsektors, die unter der Aufsicht der BaFin stehen, müssen damit analysieren, welche Änderungen sich gegenüber der bisherigen Auslegung ergeben und ihre Prozesse entsprechend anpassen. Übergangszeiträume sind nicht vorgesehen, sodass es sich empfiehlt, Maßnahmen bereits jetzt vorzubereiten.

Hinweis: Der Beitrag erschien zuerst auf paytechlaw.com.

(Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Dann können Sie sich hier für unseren Newsletter anmelden – kostenlos und unverbindlich)

Autoren