Content

Kapitel 3. Die Geldwäschebekämpfung als Teil des institutsinternen Risikomanagements in:

Eva-Maria Vollmuth

Die Geldwäscheprävention in den Instituten der Finanzbranche als integraler Bestandteil ihres Compliance-Management-Systems, page 57 - 88

1. Edition 2020, ISBN print: 978-3-8288-4513-8, ISBN online: 978-3-8288-7553-1, https://doi.org/10.5771/9783828875531-57

Series: Wissenschaftliche Beiträge aus dem Tectum Verlag: Rechtswissenschaften, vol. 132

Tectum, Baden-Baden
Bibliographic information
Die Geldwäschebekämpfung als Teil des institutsinternen Risikomanagements Die Pflicht zur Einrichtung eines Risikomanagements Der Einzug des risikobasierten Ansatzes in die nationale Gesetzgebung Die Vorgehensweise der Institute bei der Bekämpfung der Geldwäsche wurde seit ihrer erstmalig gesetzlichen Verpflichtung im Geldwäschegesetz aus dem Jahr 1993282 einem grundlegenden Wandel unterzogen. Von dem strikten Abarbeiten der gesetzgeberischen Vorgaben ist die Geldwäscheprävention heute ein Teil des Risikomanagement in den Instituten der Finanzbranche geworden. Dieses moderne Grundprinzip, welches im novellierten Geldwäschegesetz vom 23. Juni 2017283 nun explizit in §§ 4 ff. GwG geregelt wird, ist das Ergebnis einer langjährigen Entwicklung von einem sogenannten regelbasierten zu einem risikobasierten Ansatz der Geldwäschebekämpfung.284 Mit der Umsetzung von Artikel 8 Abs. 2 Satz 1 der Dritten Geldwäscherichtlinie285 sorgte der deutsche Gesetzgeber für die Einführung von gesetzlichen Grundzügen eines Risikomanagements im Rahmen der Geldwäscheprävention. So können die Verpflichteten seit Inkrafttreten des Geldwäschebekämpfungsergänzungsgesetzes und den damit einhergehenden Anpassungen im Geldwäschegesetz a.F.286 den Umfang der durchzuführenden Maßnahmen im Rahmen ihrer institutsspezifischen Geldwäscheprävention auf einer risikobasierten Kapitel 3. A. I. 282 BGBl. 1993 I 1770. 283 BGBl. 2017 I 1822. 284 Kaetzler in Zentes/Glaab, GwG, § 4 Rn. 2. 285 ABl. EG 2005 Nr. L 309/15 (23). 286 Geldwäschegesetz vom 13.08.2008, BGBl. 2008 I 1690. 57 Grundlage bestimmen.287 Die Ablösung des bis dato herrschenden regelbasierten Instruments wurde vom deutschen Gesetzgeber mit der gesetzlichen Verankerung des risikobasierten Ansatzes in § 3 Abs. 4 GwG a.F.288 umgesetzt.289 Die Vorschrift des § 3 Abs. 4 GwG a.F.290 stellte – als eine Art Generalklausel – die gesetzliche Basis für die Anwendung des risikobasierten Ansatzes bei der Erfüllung der Kundensorgfaltspflichten zur Bekämpfung der Geldwäsche dar.291 Sie hielt die Verpflichteten an, bei Erfüllung der Sorgfaltspflichten den konkreten Umfang der zu treffenden Maßnahmen unter Berücksichtigung der Risikofaktoren des Vertragspartners, der Geschäftsbeziehung oder der Transaktion zu definieren. Die gänzlich im Sinne der Finanzwirtschaft neu eingeführte Vorgehensweise wendete sich von dem starren Abarbeiten eines unflexiblen Pflichtenkatalogs ab und ließ die Institute von nun an einzelfallbezogen und praxisbezogen den Umfang der Sorgfaltspflichten nach Einschätzung der konkreten Risikosituation und im eigenen Ermessen im Rahmen ihrer gesetzlichen Möglichkeiten bestimmen.292 Mit der Umsetzung der Vierten Geldwäscherichtlinie zeigt der nationale Gesetzgeber im novellierten Geldwäschegesetz vom 23. Juni 2018293 nun einen verstärkten risikobasierten Ansatz, was sich insbesondere in der expliziten Normierung eines wirksamen Risikomanagements gemäß § 4 GwG widerspiegelt. Das gesetzgeberische Ziel im Kontext dieser Novellierung ist die besondere Herausstellung, Fortentwicklung und Stärkung des risikobasierten Ansatzes der Geldwäschebekämpfung.294 Lag der Fokus einer risikoorientierten Betrachtungsweise im Geldwäschegesetz a.F. eher ausschließlich auf einer angemessenen Erfüllung der Kundensorgfaltspflichten, so sind nun sämtliche internen Sicherungsmaßnahmen entsprechend der zuvor ermittelten Risikosituation des Instituts zu etablieren. Der risikobasierte Ansatz 287 ABl. EG 2005 Nr. L 309/15 (23). 288 Geldwäschegesetz vom 13.08.2008, BGBl. 2008 I 1690. 289 BT-Drs. 16/9038, S. 35; Pieth in Herzog/Mühlhausen, Geldwäschebekämpfung und Gewinnabschöpfung, § 6 Rn. 10. 290 Geldwäschegesetz vom 13.08.2008, BGBl. 2008 I 1690. 291 Warius in Herzog, GwG, 2. Auflage, § 3 a.F. Rn. 103. 292 BT-Drs. 16/9038, S. 35. 293 BGBl. 2017 I 1822. 294 Herzog in Herzog, GwG, § 4 Rn. 2. Kapitel 3. Die Geldwäschebekämpfung als Teil des institutsinternen Risikomanagements 58 wird als neuer Oberbegriff über die institutsspezifischen Sicherungsmaßnahmen und deren zugrunde liegende Risikoanalyse gestellt.295 Lediglich dort, wo der Gesetzgeber eine risikobasierte Vorgehensweise nicht für zielführend hält, formuliert er weiterhin konkrete Vorgaben. Die Risikoanalyse, welche die institutsspezifische Gefährdungssituation hinsichtlich der Geldwäsche beschreibt, hat damit insofern eine systematische Aufwertung bekommen, als sie nun zur Basis für sämtliche Sicherungsmaßnahmen geworden ist, die von den verpflichteten Instituten zu implementieren sind.296 Die Pflicht zur Einrichtung eines wirksamen Risikomanagements Die Verpflichteten müssen zur Verhinderung von Geldwäsche gemäß dem Wortlaut des § 4 Abs. 1 GwG über ein wirksames Risikomanagement verfügen, das im Hinblick auf die Art und den Umfang ihrer Geschäftstätigkeit angemessen ist. Die beiden zentralen Elemente des Risikomanagements bilden dabei die Risikoanalyse gemäß § 5 GwG und die daraus abgeleiteten internen Sicherungsmaßnahmen gemäß § 6 GwG.297 Sie sind der Kern eines risikoorientierten Vorgehens hinsichtlich der Prävention von Geldwäsche in den Instituten der Finanzbranche.298 Fraglich ist zunächst, was unter einem Risikomanagement im Allgemeinen verstanden wird. Zur Konkretisierung einer Definition ist auf die allgemeine Betriebswirtschaftslehre abzustellen. Demnach umfasst das Risikomanagement alle Prozesse und Verhaltensweisen, die darauf ausgerichtet sind, eine Organisation bezüglich ihrer Risiken zu steuern.299 Es identifiziert, analysiert und bewertet mögliche Risiken im Rahmen einer sogenannten Risikoinventur, welche für die finanzielle und nichtfinanzielle Lage eines Instituts mittel- und langfristig eine Gefährdung darstellen könnten.300 Das Ziel eines Risikomanage- II. 295 Kaetzler in Zentes/Glaab, GwG, § 4 Rn. 1. 296 Kaetzler in Zentes/Glaab, GwG, § 4 Rn. 1. 297 BT-Drs. 18/11555, S. 109; Herzog in Herzog, GwG, § 4 Rn. 4. 298 BaFin Konsultation 05/2018, S. 10. 299 KPMG, Das wirksame Compliance-Management-System, S. 47. 300 Langen in Schwennicke/Auerbach, KWG, Rn. 60. A. Die Pflicht zur Einrichtung eines Risikomanagements 59 ments ist es, den Fortbestand eines Unternehmens zu gewährleisten und die festgelegten Unternehmensziele gegen störende Ereignisse abzusichern, um schließlich im Ergebnis den Unternehmenswert zu steigern.301 Nicht offensichtlich ist jedoch, wie das Risikomanagement hinsichtlich der Geldwäschebekämpfung in den Instituten der Finanzbranche ausgestaltet sein muss, um die Kriterien der Wirksamkeit und Angemessenheit im Sinne von § 4 Abs. 1 GwG zu erfüllen. Die Wirksamkeit eines Risikomanagements lässt sich bejahen, wenn es im praktischen Geschäftsleben des Verpflichteten eine hinreichende Durchschlagskraft erreicht hat.302 Ausgehend von der identifizierten Risikosituation des Instituts sind die Präventionsmaßnahmen nicht nur theoretisch aufzustellen, sondern spezifisch für das jeweilige Institut zu gestalten und in die einzelnen Fachabteilungen zu transferieren. Das Risikomanagementkonzept darf nicht statisch in der Theorie erarbeitet sein, sondern muss eine fortlaufende Entwicklung geeigneter Strategien und Sicherungsmaßnahmen beinhalten, welche das Institut vor dem Missbrauch der Geldwäsche schützen soll.303 Neben der Implementierung von organisatorischen Vorkehrungen zur Ausarbeitung des Risikomanagements müssen insbesondere Überwachungsmaßnahmen errichtet werden, welche die Funktionalität der internen Sicherungsmaßnahmen in regelmäßigen Abständen überprüfen, die Effektivität der Maßnahmen bewerten können und schließlich ein wirksames Risikomanagement zur Verhinderung der Geldwäsche sicherstellen.304 Eng mit der Wirksamkeit des Risikomanagements verknüpft ist seine Angemessenheit. Die Angemessenheit eines institutsspezifischen Risikomanagements ist zu bejahen, wenn es in Abhängigkeit von Art und Umfang der Geschäftstätigkeit des Instituts die identifizierte Risikosituation in Bezug auf Geldwäsche hinreichend abdecken kann.305 Die Angemessenheit folgt damit dem Proportionalitätsprinzip und ist gegeben, wenn das Risikokonzept sowie die etablierten Präventions- 301 KPMG, Das wirksame Compliance-Management-System, S. 48. 302 Kaetzler in Zentes/Glaab, § 4 Rn. 8. 303 Herzog in Herzog, GwG, § 4 Rn. 6. 304 Kaetzler in Zentes/Glaab, § 4 Rn. 8; Herzog in Herzog, GwG, § 4 Rn. 7. 305 Kaetzler in Zentes/Glaab, § 4 Rn. 9. Kapitel 3. Die Geldwäschebekämpfung als Teil des institutsinternen Risikomanagements 60 maßnahmen in einem sachgerechten Verhältnis zu Art und Umfang der Geschäftstätigkeit des Instituts stehen.306 Die Anwendung des Grundsatzes der Verhältnismäßigkeit entspricht hierbei auch dem Willen des europäischen Gesetzgebers, der in Artikel 8 Abs. 1 Satz 2 und Abs. 4 Buchstabe a und b307 sowie Artikel 46 Abs. 1308 der Vierten Geldwäscherichtlinie bei der Pflicht zur Etablierung von Präventionsmaßnahmen stets auf die Relation zu Art und Umfang der Geschäftstätigkeit verweist.309 Die Art der Geschäftstätigkeit sollte in diesem Kontext anhand von qualitativen Merkmalen ermittelt werden. Darunter fallen insbesondere die Schwierigkeit oder die Komplexität eines Unternehmensgegenstandes, die Diversität der angebotenen Finanzdienstleistungen, die Höhe der einzelnen Finanzprodukte, die Kundenstruktur oder die internationale Ausrichtung des Geschäftsmodells der Bank.310 Bei der Betrachtung des Umfangs einer Geschäftstätigkeit hat das Institut vor allem quantitative Kriterien einzubeziehen. Hierzu müssen beispielsweise das Umsatzvolumen, das Anlage- und Betriebskapital, die Größe des Instituts, die Anzahl der Kunden, die Anzahl der Betriebsstätten und die Mitarbeiterstruktur herangezogen werden.311 Als praktische Konsequenz richten sich die Angemessenheit des Risikomanagements und die mit ihm verknüpften internen Sicherungsmaßnahmen danach, wie anfällig ein Institut hinsichtlich seiner Art und seines Umfangs für die Geldwäsche ist. Ist das Risiko, für geldwäscherelevante Aktivitäten missbraucht zu werden, aufgrund Art und Umfang des einzelnen Instituts erhöht, so hat es sehr umfangreiche und komplexe Risikomaßnahmen zur Prävention zu ergreifen.312 Dagegen muss ein Institut, welches in Bezug auf Geldwäschehandlungen ein weniger anfälliges Geschäftsmodell unterhält, nicht unbedingt dieselben verstärkten Maßnahmen betreiben wie ein risikoarmes Unternehmen. 306 Kaetzler in Zentes/Glaab, § 4 Rn. 9. 307 ABl. EU 2015 L 141 73 (90). 308 ABl. EU 2015 L 141 73 (104). 309 BT-Drs. 18/11555, S. 109. 310 Herzog in Herzog, GwG, § 4 Rn. 9; Kaetzler in Zentes/Glaab, § 4 Rn. 10. 311 Kaetzler in Zentes/Glaab, § 4 Rn. 10; Herzog in Herzog, GwG, § 4 Rn. 9. 312 Kaetzler in Zentes/Glaab, § 4 Rn. 11. A. Die Pflicht zur Einrichtung eines Risikomanagements 61 Um das Geldwäscherisiko eines Instituts zu eruieren, hat der Gesetzgeber mit Novellierung des Geldwäschegesetzes die Risikoanalyse gemäß § 5 GwG zum Teil des Risikomanagements erklärt.313 Die institutsspezifische Risikoanalyse Allgemein Um ein wirksames und angemessenes Risikomanagement zu etablieren, ist das Institut gemäß § 4 Abs. 2 GwG i.V.m. § 5 Abs. 1 GwG verpflichtet, eine institutsspezifische Risikoanalyse zu erstellen, in der die Gefährdungssituation im Hinblick auf die Geldwäsche im Institut dargestellt werden muss. Denn die von einer Bank analysierten Geldwäscherisiken sind die maßgebliche Basis für die zu treffenden internen Sicherungsmaßnahmen, soweit der Gesetzgeber in den entsprechenden konkretisierenden Regelungen eine risikoangemessene Vorgehensweise zulässt. Die Ergebnisse der Risikoanalyse sind der Ausgangspunkt für die zu definierenden angemessenen Maßnahmen organisatorischer, technischer und personeller Art, welche von den Verpflichteten zur Risikominimierung implementiert werden müssen.314 Durch die konkrete Analyse und Evaluation der Gefährdungssituation soll bloßen Alibimaßnahmen entgegengewirkt werden, sodass sich das Institut auf eine wirksame Geldwäschebekämpfung mit institutsspezifisch definierten Sicherungsmaßnahmen konzentrieren kann.315 Dabei richtet sich der Detaillierungsgrad der Analyse gemäß § 5 Abs. 1 Satz 3 GwG nach der Art und dem Umfang der Geschäftstätigkeit des verpflichteten Instituts, mit der Folge, dass insbesondere Universalbanken mit einem weiten Finanzproduktangebot eine durchaus umfangreichere Risikoanalyse anfertigen müssen als ein kleiner Finanzdienstleister, der sich auf ein Spezialprodukt im begrenzten Rahmen beschränkt hat. B. I. 313 Herzog in Herzog, GwG, § 4 Rn. 9, § 5 Rn. 1. 314 Auerbach, Banken und Wertpapieraufsicht, Rn. 701. 315 Auerbach/Hentschel in Schwennicke/Auerbach, KWG Kommentar, § 25h Rn. 22. Kapitel 3. Die Geldwäschebekämpfung als Teil des institutsinternen Risikomanagements 62 Die gesetzliche Verpflichtung, eine Risikoanalyse gemäß § 5 GwG zu erstellen, dient der Umsetzung von Artikel 8 Abs. 1 und Abs. 2 Satz 1 der Vierten Geldwäscherichtlinie316 und ist für die Unternehmen der Finanzbranche nicht völlig neu.317 Zwar müssen nun alle Verpflichteten des Geldwäschegesetzes im Sinne von § 2 Abs. 1 GwG eine Risikoanalyse erstellen, doch bestand für Institute des Finanzsektors durch anderweitige spezialgesetzliche und aufsichtsrechtliche Regelungen schon seit längerem das Erfordernis, zunächst diejenigen Risiken der Geldwäsche zu ermitteln und zu bewerten, die für die betriebenen Geschäfte bestehen, und hieraus entsprechende Maßnahmen abzuleiten.318 Erste Ansätze einer risikobasierten Betrachtungsweise im Rahmen der Geschäftstätigkeit gab das damalige Bundesaufsichtsamt für das Kreditwesen (BAKred) den Finanzinstituten in ihren Verlautbarungen vom 30. Dezember 1997319 und vom 30. März 1998320 vor, indem nach diesen die Sicherungsmaßnahmen nach der Größe, der Organisation, den Geschäftsschwerpunkten sowie der Kundenstruktur des einzelnen Instituts bestimmt werden sollen.321 Es folgte mit dem Vierten Finanzmarktförderungsgesetz322 die Normierung einer Pflicht zur Einrichtung angemessener interner Sicherungssysteme gegen Geldwäsche und gegen betrügerische Handlungen zu Lasten der Institute in § 25h Abs. 1 KWG (§ 25a Abs. 1 Nr. 4 a.F.).323 Mit der durch das Geldwäschebekämpfungsgesetz324 veranlassten Änderung des § 25h Abs. 1 KWG (§ 25c Abs. 1 Satz 1 KWG a.F., ehemals § 25a Abs. 1 Nr. 4 a.F.) wies der Gesetzgeber ferner darauf hin, dass die internen Sicherungsmaßnahmen ein essentieller Bestandteil eines funktionierenden Risikomanagements sind, und verweist in diesem Kontext zur Verdeutlichung auf das maßgebende Papier des 316 ABl. EU 2015 L 141 73 (90). 317 BT-Drs. 18/11555, S. 109; Kaetzler in Zentes/Glaab, GwG, § 4 Rn. 14. 318 Herzog in Herzog, GwG, § 5 Rn. 2. 319 BaFin RS 1/1998 v. 15.01.1998. 320 Aufgehoben durch BaFin RS 2/2009 (GW). 321 Auerbach, Banken und Wertpapieraufsicht, Rn. 700. 322 BGBl. 2002 I 2010. 323 BGBl. 2002 I 2010 (2055). 324 BGBl. 2002 I 3105. B. Die institutsspezifische Risikoanalyse 63 Baseler Ausschusses für Bankenaufsicht325 (Customer Due Diligence for Banks).326 Mit dem Gesetz zur Umsetzung der Zweiten E-Geld- Richtlinie327 stellte die Gesetzesbegründung zur überarbeiteten Formulierung des § 25h Abs. 1 KWG (§ 25c Abs. 1 Satz 1 KWG a.F., ehemals § 25a Abs. 1 Nr. 4 a.F.) erneut deutlich klar, dass die angemessenen internen Sicherungsmaßnamen eines Instituts zum allgemeinen Risikomanagement eines jeden Verpflichteten gehören und damit eine risikoorientierte Betrachtungsweise der Maßnahmen vorzugswürdig ist.328 Schließlich verdeutlichte die Bundesanstalt für Finanzdienstleistungsaufsicht im Kontext der Regelung zur Einrichtung geschäfts- und kundenbezogener Sicherungssysteme im Rahmen der Geldwäschebekämpfung nach dem Kreditwesengesetz in Punkt 1 ihres Rundschreibens 8/2005 (GW), dass die Angemessenheit der eingerichteten Maßnahmen bejaht werden kann, sofern sie der Risikosituation des Instituts entsprechen und diese hinreichend abdecken.329 Die Voraussetzung zur Entwicklung angemessener Sicherungsmaßnahmen zur Geldwäscheprävention ist nach den Ausführungen der Bundesanstalt – in Anlehnung an ein allgemeines Risikomanagementsystem – folglich die Durchführung einer Analyse der institutsspezifischen Gefährdungssituation, die bisherige Gefährdungsanalyse. Damit lieferte das Rundschreiben 08/2005 (GW) erstmals grundlegende Hinweise zum Aufbau und Inhalt einer Gefährdungsanalyse und forcierte den risikobasierten Ansatz der Geldwäscheprävention weitreichend innerhalb der Institute der Finanzbranche. Zu beachten ist, dass das BaFin- Rundschreiben 8/2005 zwar rein formal nur für Kreditinstitute Geltung entfaltet, allerdings eine analoge Anwendung für Finanzdienstleistungsinstitute gut vertretbar ist.330 Mit der expliziten Normierung der Risikoanalyse im novellierten Geldwäschegesetz gießt der Gesetzgeber den vormals durch die Bun- 325 BCBS, Customer due diligence for banks, Oktober 2001. 326 BT-Drs. 16/9038, S. 49. 327 BGBl. 2011 I 288. 328 BT-Drs. 17/3023, S. 59, 60. 329 BaFin RS 8/2005 (GW) v. 23.3.2005. 330 Herzog in Herzog, GwG, § 5 Rn. 3; Auerbach/Hentschel in Schwennicke/Auerbach, KWG Kommentar, § 25h Rn. 26a. Kapitel 3. Die Geldwäschebekämpfung als Teil des institutsinternen Risikomanagements 64 desanstalt für Finanzdienstleistungsaufsicht vorgegebenen verwaltungsrechtlichen Handlungsrahmen nun für alle Verpflichteten in ein formelles Gesetz.331 Der vom Gesetzgeber neu gewählte Wortlaut „Risikoanalyse“ entspricht im Gegensatz zur ehemaligen Terminologie der „Gefährdungsanalyse“ dabei mehr der internationalen Begrifflichkeit „risk assessment“, wie sie insbesondere vom Baseler Ausschuss für Bankenaufsicht332, von der FATF333 sowie den Europäischen Aufsichtsbehörden334 verwendet wird, und lässt folglich eine bessere Vergleichbarkeit der deutschen Norm im internationalen Kontext zu. Inhaltlich orientiert sich die Risikoanalyse sehr an der Gefährdungsanalyse, so wie sie das Rundschreiben 08/2005 (GW) vorgibt, sowie an den Vorgaben gemäß § 25h Abs. 1 Satz 1 KWG zur Einrichtung eines angemessenen Risikomanagements mit entsprechenden Sicherungsmaßnahmen. In diesem Kontext ist zu beachten, dass die Normierung der Etablierung eines Risikomanagements gemäß § 25h Abs. 1 Satz 1 KWG im Verhältnis zu den Regelungen in §§ 4 bis 6 GwG zwar für die nach dem Kreditwesengesetz verpflichteten Institute eine Spezialnorm ist, die Vorgaben im Geldwäschegesetz allerdings wesentlich detaillierter und umfangreicher ausgeführt sind, sodass im weiteren Verlauf dieser Arbeit vorrangig auf die Normen des Geldwäschegesetzes abgestellt wird.335 Ein grundlegender Unterschied zwischen der Risikoanalyse im Sinne des novellierten Geldwäschegesetzes und der Analyse nach dem Kreditwesengesetz ist ferner die Tatsache, dass nach Letzterer gemäß § 25h Abs. 1 Satz 1 KWG auch eine Bewertung hinsichtlich der sonstigen strafbaren Handlungen zu treffen ist. Aus den identifizierten Risiken sind wie bei den Geldwäscherisiken entsprechende Maßnahmen zur Verhinderung abzuleiten. In der Praxis ist es nach dem BaFin- Rundschreiben 08/2005 (GW) möglich und durchaus vorzugswürdig, die Analysen zur Geldwäsche, zur Terrorismusfinanzierung und zu 331 BT-Drs. 18/11555, S. 109. 332 BCBS, Guidelines Sound management of risks related to money laundering and financing of terrorism, 2017. 333 FATF, National Money Laundering and Terrorist Financing Risk Assessment, 2013. 334 ESAs, Risk Factor Guidelines, JC 2017 37. 335 Zentes in Zentes/Glaab, GwG, § 25h KWG, Rn. 10. B. Die institutsspezifische Risikoanalyse 65 sonstigen strafbaren Handlungen, die zu einer Gefährdung des Vermögens des Instituts führen können, in einer Risikoanalyse zusammenzufassen, sofern die Komplexität keine getrennten Analysen erfordert.336 Selbst die Bundesanstalt für Finanzdienstleistungsaufsicht hat die Entscheidung den Instituten selbst überlassen, ob sie eine einheitliche oder getrennte Darstellung der Risiken in Hinblick auf die Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen wählen.337 Im Folgenden wird aufgrund der eingegrenzten Thematik ausschließlich die Risikoanalyse in Hinblick auf die Geldwäscheprävention in den Instituten behandelt und dabei insbesondere auf die Regelungen des novellierten Geldwäschegesetzes eingegangen. Der Aufbau der institutsspezifischen Risikoanalyse Das Ziel einer institutsspezifischen Risikoanalyse muss es nach Ansicht der Bundesanstalt richtigerweise sein, die Risiken hinsichtlich Geldwäsche und Terrorismusfinanzierung umfassend und vollständig zu erfassen, zu identifizieren, zu kategorisieren, zu gewichten und hieraus angemessene und wirksame Sicherungsmaßahmen zur Bekämpfung der Geldwäsche abzuleiten.338 Fraglich ist, mit welchen Anforderungen sowie mit welchen Kriterien eine angemessene Risikoanalyse nach dem novellierten Geldwäschegesetz aufgebaut und ausgestaltet sein sollte. Hier wird das Institut nicht alleine gelassen, denn Hilfestellungen zur Durchführung einer Risikoanalyse bieten neben dem Geldwäschegesetz selbst auch die weiterhin gültigen Rundschreiben 08/2005 (GW) und 07/2008 (GW) der Bundesanstalt für Finanzdienstleistungsaufsicht, außerdem die von der FATF herausgegebenen Dokumente „Leitfaden zum risikoorientierten Ansatz“339 und „National Money Laundering and Terrorist Financing Risk Assessment“340 sowie Hilfestellungen von Fachverbänden II. 336 BaFin RS 8/2005 (GW) v. 23.3.2005. 337 Achtelik in Herzog, GwG, § 25h KWG, Rn. 14. 338 BaFin, AuA, Punkt 2.3, S. 11. 339 FATF, Leitfaden zum risikoorientierten Ansatz, 2007. 340 FATF, National Money Laundering and Terrorist Financing Risk Assessment, 2013. Kapitel 3. Die Geldwäschebekämpfung als Teil des institutsinternen Risikomanagements 66 und aus der Literatur341. Die Bundesanstalt für Finanzdienstleistungsaufsicht weist die Institute in ihrem Rundschreiben 7/2008 (GW) vom 1.8.2008 ausdrücklich darauf hin, die entsprechenden Inhalte des FATF-Leitfadens im Kontext des risikoorientierten Ansatzes zu berücksichtigten.342 Hinzu kommen die Leitlinien der Europäischen Aufsichtsbehörden (ESAs), die aufgrund der Verpflichtung aus Artikel 17 und Artikel 18 Abs. 4 der Vierten Geldwäscherichtlinie im Einklang mit Artikel 16 der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 für die verpflichteten Unternehmen entwickelt worden sind.343 Sie zeigen zu berücksichtigende Risikofaktoren auf und erläutern insbesondere die zu treffenden Maßnahmen in den Fällen vereinfachter und verstärkter Sorgfaltspflichten.344 Die Leitlinien der ESAs mit dem Titel „The Risk Factor Guidelines“ (Leitlinien zu Risikofaktoren) sind ab dem 26. Juni 2018 anzuwenden, wobei die Bundesanstalt für Finanzdienstleistungsaufsicht bis zu zwei Monate nach Veröffentlichung der deutschen Übersetzung Zeit hat, den ESAs eine nationale Regelkonformität mit den Leitlinien zu bestätigen.345 Schließlich erklärt die Bundesanstalt in ihren Auslegungs- und Anwendungshinweisen, dass der Inhalt des BaFin-Rundschreibens 8/2005 (GW) in der gesetzlichen Regelung des § 5 Abs. 1 GwG aufgegangen ist und damit weiterhin seine Gültigkeit hat.346 So ist es bei der Erstellung der Risikoanalyse in Anlehnung an das BaFin-Rundschreiben 8/2005 (GW) und den Ausführungen in den Auslegungs- und Anwendungshinweisen vorzugswürdig, zunächst eine vollständige Bestandsaufnahme der institutsspezifischen Situation durchzuführen, in der die einzelnen Risikofelder identifiziert und aufgenommen werden. Ferner müssen die Risiken anhand von einschlägigen Risikofaktoren (= Risikoindikatoren) kategorisiert werden, damit schließlich im Rahmen der Risikosteuerung die durchzuführenden Si- 341 Herzog in Herzog, GwG, § 5 Rn. 14; Zentes in Zentes/Glaab, GwG, § 5 Rn. 30 ff. 342 BaFin RS 7/2008 (GW) v. 1.8.2008. 343 ABl. EU 2015 L 141/73 (94); ESAs, Leitlinien zu Risikofaktoren. 344 BaFin Journal Juli 2017, S. 10. 345 ESAs, Leitlinien zu Risikofaktoren, S. 4, 8. 346 BaFin, AuA, Punkt 2.3, S. 10. B. Die institutsspezifische Risikoanalyse 67 cherungsmaßnahmen für das Institut abgeleitet werden können.347 Anzumerken ist, dass die originäre Risikoanalyse gemäß § 5 GwG mit der Risikoermittlung und -bewertung formal abgeschlossen ist. Die vom Institut zu treffenden Sicherungsmaßnahmen und deren regelmä- ßige Weiterentwicklung werden als Reaktion auf die analysierte Risikosituation verstanden.348 Allerdings sollte in der Praxis die Ableitung risikoadäquater Sicherungsmaßnahmen ein wesentlicher Bestandteil des Fachkonzepts zur Geldwäsche-Risikoanalyse sein, da die zu treffenden Maßnahmen unmittelbar in Abhängigkeit von den Resultaten der Risikoanalyse stehen.349 Auf die einzelnen Schritte der Risikoanalyse wird im Folgenden detailliert eingegangen. Die vollständige Bestandsaufnahme der institutsspezifischen Situation Um die tatsächliche Situation hinsichtlich der potentiellen Geldwäscherisiken in der Analyse darstellen zu können, hat das Institut zunächst in einer vollständigen Bestandsaufnahme seine jeweilige Geschäftsstruktur aufzunehmen,350 um in der Folge alle institutsspezifischen Risiken identifizieren zu können.351 Zu der individuellen Situation eines Instituts gehören Angaben zu der grundlegenden Kundenstruktur, den Geschäftsbereichen und Geschäftsabläufen, allen angebotenen Finanzprodukten, zum Volumen und zu der Struktur des nationalen und internationalen Zahlungsverkehrs, der Art der Vertriebswege sowie der Organisationssituation des Instituts.352 Differenzierte das Geldwäschegesetz alter Fassung in § 3 Abs. 4 Satz 1 GwG a.F. dem Wortlaut nach ausschließlich zwischen Risiken des Vertragspartners, der Geschäftsbeziehung oder der Transaktion, so katalogisieren die Anlagen zum novellierten Geldwäschegesetz nun geringe bzw. erhöhende Risikoparameter nicht abschließend nach bestimmten Kunden, hinsichtlich abgegrenzter Produkte, Dienstleistungen, Transaktionen oder Vertriebskanälen sowie bezüglich geografi- 1. 347 BaFin RS 8/2005 (GW) v. 23.3.2005. 348 Auerbach/Hentschel in Schwennicke/Auerbach, KWG Kommentar, § 25h Rn. 26. 349 Auerbach/Vitzthum in WPg 1119 (1130). 350 BaFin, AuA, Punkt 2.3, S. 12. 351 Zentes in Zentes/Glaab, GwG, § 5 Rn. 33. 352 BaFin RS 05/2008 (GW) v. 23.03.2005, Ziffer 3; BaFin, AuA, Punkt 2.3, S. 12. Kapitel 3. Die Geldwäschebekämpfung als Teil des institutsinternen Risikomanagements 68 scher Risiken.353 Die umfangreichere Unterscheidung der Risiken hält das Institut an, auch sämtliche dieser Ursprünge für die Risiken in die Bestandsaufnahme zu integrieren. Denn zu beachten ist, dass letztlich nur mit einer vollständigen und lückenlosen Aufnahme der institutsspezifischen Situation die richtigen Maßnahmen für das Institut abgeleitet werden können.354 Die Bestimmung von Risikostufen Noch bevor die Geldwäscherisiken identifiziert, erfasst und bewertet werden können, muss das verpflichtete Institut die entsprechende Abstufung bzw. Klassifizierung der Risiken bestimmen, denn auch wenn die standardmäßig verwendeten Stufen hoch, mittel und gering sind, kann es institutsspezifische Abweichungen geben.355 Aus Anlage 1 und 2 des novellierten Geldwäschegesetzes geht hervor, dass der Gesetzgeber grundsätzlich von einer dreistufigen Risikoklassifizierung ausgeht, indem er Faktoren für ein potentiell geringeres und Faktoren für ein potentiell höheres Geldwäscherisiko darlegt.356 Liegen keine dieser Faktoren vor, so ist das Risiko der mittleren Risikoklasse zuzurechnen. Folglich werden die Risiken nach dem novellierten Geldwäschegesetz in die Stufen hoch, mittel und niedrig unterteilt. Es besteht die Möglichkeit, das dreistufige Klassifizierungsmodell um die Stufe „Knock-out“ oder „K.o.-Kriterium“ zu erweitern, d.h. eine im Rahmen der Risikobewertung nicht mehr akzeptable Kategorie hinzuzufügen, die zur Folge hat, dass Geschäftsbeziehungen mit derartigen Kunden abgelehnt oder nicht weiter verfolgt werden.357 Auch die Bundesanstalt für Finanzdienstleistungsaufsicht nennt in ihren jüngsten Auslegungs- und Anwendungshinweisen eine mehr als dreistufige Abstufung als mögliche Alternative.358 2. 353 Figura in Herzog, GwG, § 10 Rn. 42. 354 Auerbach, Banken und Wertpapieraufsicht, Rn. 705. 355 Mühlroth/Quedenfeld in Quedenfeld, Handbuch Bekämpfung der Geldwäsche, Rn. 592. 356 BGBl. 2017 I S. 1858 (1859). 357 Mühlroth/Quedenfeld in Quedenfeld, Handbuch Bekämpfung der Geldwäsche, Rn. 593. 358 BaFin, AuA, Punkt 2.3, S. 12. B. Die institutsspezifische Risikoanalyse 69 War es vor Inkrafttreten des Gesetzes zur Umsetzung der Vierten Geldwäscherichtlinie359 für viele Institute noch sinnvoll, eine vierstufige Klassifizierung vorzunehmen und das geringe Risiko in ein institutsspezifisch ermitteltes, geringes Risiko einerseits und den gesetzlich abschließenden Fällen des geringen Risikos nach dem Kreditwesengesetz andererseits zu unterteilen,360 so kann eine Unterteilung in die gesetzlich abschließenden Fälle nach Wegfall des § 25i KWG a.F. nicht mehr vorgenommen werden. Nicht unberücksichtigt bleiben darf bei einer sehr aufgespalteten Risikokategorisierung die Problematik, dass bei der Bestimmung des Gesamtrisikos die Zwischenstufen eine einheitliche Bewertung erschweren und die Ableitung entsprechender Sicherungsmaßnahmen unnötig verkomplizieren können.361 Allerdings kann es institutsspezifisch durchaus geboten sein, beispielsweise aufgrund einer hohen Komplexität des Geschäftsmodells und der Kundenstruktur mehrere Zwischenstufen für die Risikoklassifizierung heranzuziehen und daraus auch entsprechende detaillierte Sicherungsmaßnahmen abzuleiten. Im Folgenden wird von einer dreistufigen Risikoklassifizierung (gering/mittel/hoch) in Anlehnung an das novellierte Geldwäschegesetz ausgegangen. Die Identifizierung und Kategorisierung der Risiken In einem weiteren Schritt müssen die Risiken erfasst, identifiziert und kategorisiert werden. Mit der Kategorisierung von Risiken werden bestimmte Risikogruppen gebildet, insofern die beiden Begriffe synonymartig verwendet werden. Die Anwendungs- und Auslegungshinweise der Bundesanstalt sehen dabei mindestens die Identifizierung von kunden-, produkt- und transaktionsbezogenen sowie länderspezifischen Risiken vor.362 Weitere Risiken, wie beispielsweise vertriebsoder mitarbeiterbezogene Risiken, können ebenfalls als Risikokategorie definiert werden oder in eine der genannten Kategorien aufgehen. 3. 359 BGBl. 2017 I 1822. 360 DK, AuA Hinweise, 2014, Tz. 80. 361 Mühlroth/Quedenfeld in Quedenfeld, Handbuch Bekämpfung der Geldwäsche, Rn. 594. 362 BaFin, AuA, Punkt 2.3, S. 12. Kapitel 3. Die Geldwäschebekämpfung als Teil des institutsinternen Risikomanagements 70 Die Identifizierung der Risiken sollen die Institute anhand des in der Finanzbranche vorhandenen Erfahrungswissens über Methoden und Techniken der Geldwäsche vornehmen und dabei nationale und internationale Anhalts- bzw. Typologiepapiere und Verdachtskataloge heranziehen sowie das im Institut gewonnene spezifische Expertenwissen berücksichtigen.363 Die Bewertung der Risikogruppen mit Hilfe von Risikofaktoren Ist die institutsspezifische Geschäftssituation im Rahmen der vollständigen Bestandsaufnahme erfasst und sind entsprechende Risikogruppen gebildet, so sind in einem nächsten Schritt die Risikogruppen durch entsprechende Eigenschaften (= Risikofaktoren) zu bewerten und den entsprechenden Risikostufen zuzuordnen. Das Ziel der Risikobewertung muss eine möglichst objektive Bewertung des Gesamtrisikos des Instituts sein. Dabei ist zu berücksichtigen, dass die Gewichtung der einzelnen Risikofaktoren unterschiedlich sein kann und bestimmte Faktoren ausschlaggebend sein können, die nicht durch andere Risikofaktoren kompensierbar sind.364 Da nicht offensichtlich ist, welche Risikofaktoren bei der Bewertung für ein Institut in Betracht kommen und woher sich die Institute die Informationen hinsichtlich der Faktoren beschaffen können, werden im Folgenden mögliche Kriterien aufgezeigt. Das novellierte Geldwäschegesetz verweist in § 5 Abs. 1 Satz 2 GwG auf die Berücksichtigung der Risikofaktoren in den Anlagen 1 und 2 des Gesetzes sowie auf Informationen, welche auf Grundlage der nationalen Risikoanalyse zur Verfügung gestellt werden. Die Zuständigkeit für die Erstellung der nationalen Risikoanalyse liegt gemäß Artikel 7 Abs. 1 der Vierten Geldwäscherichtlinie365 beim Bundesministerium der Finanzen. Die erste nationale Risikoanalyse wurde am 21. September 2019 vom Bundesfinanzministerium veröffentlicht. Die Faktoren und Anzeichen für ein möglicherweise geringes bzw. höheres Geldwäscherisiko in den Anlagen 1 und 2 des Geldwäschege- 4. 363 Zentes in Zentes/Glaab, § 5 Rn. 13, 40. 364 BaFin, AuA, Punkt 2.3, S. 13. 365 ABl. EU 2015 L 141/73 (89). B. Die institutsspezifische Risikoanalyse 71 setzes sind mit den Anhängen der Vierten Geldwäscherichtlinie366 kongruent und geben im Vergleich zu der Aufzählung der einzelnen Risikofelder in § 3 Abs. 4 Satz 1 GwG a.F. nun konkrete Fallbeispiele für die hohe und niedrige Risikobewertung. Die nicht abschließenden Listen in den Anlagen 1 und 2 verdeutlichen, dass es jedem verpflichteten Institut freisteht, weitere Faktoren in die institutsspezifische Bewertung mit aufzunehmen. Des Weiteren schreibt § 10 Abs. 2 Satz 3 Nr. 1–3 GwG speziell für den Kundenannahmeprozess vor, neben den Risikofaktoren aus Anlage 1 und 2 des Gesetzes auch den Zweck des Kontos oder der Geschäftsbeziehung, die Höhe der eingezahlten Vermögenswerte oder den Umfang der ausgeführten Transaktionen sowie die Regelmäßigkeit oder die Dauer der Geschäftsbeziehung als weitere Indikatoren im Rahmen der Kundensorgfaltspflichten zu berücksichtigen. Auch wenn dies gesetzlich vorgegebene, zu berücksichtigende Risikofaktoren im Hinblick auf die Kundenannahme sind, können sie dennoch auch als weitere Faktoren in die Risikoanalyse des Instituts mit einfließen. Zu den gesetzlich und aufsichtsrechtlich definierten Risikofaktoren sollen die Finanzinstitute weitere Faktoren aus Lageberichten, Typologiepapieren der Bundes- und Landeskriminalämter, Kriminalitätsstatistiken des Bundeskriminalamts und dem praktischen Erfahrungswissen des Geldwäschebeauftragten des Instituts in ihrer Analyse berücksichtigen.367 Hier bieten sich die Jahresberichte zur Organisierten Kriminalität des Bundeskriminalamts sowie die regelmäßigen Newsletter der FIU an, aus denen die Institute hilfreiche Informationen zu Geldwäschetrends ziehen können.368 Außerdem soll das Institut abgegebene Verdachtsmeldungen auf Wiederholungen oder Muster analysieren sowie den informellen Austausch mit Geldwäschebeauftragten anderer Institute nicht vernachlässigen.369 Eine deutliche Klarstellung zur Anwendung und Berücksichtigung derjenigen Risikofaktoren, welche die europäischen Aufsichtsbehörden in ihren „Leitlinien zu Risikofaktoren“ statuiert haben, legen die Ausle- 366 ABl. EU 2015 L 141/73 (114, 115). 367 BaFin RS 8/2005 (GW) v. 23.3.2005; Zentes in Zentes/Glaab, GwG, § 5 Rn. 13. 368 Mühlroth/Quedenfeld in Quedenfeld, Handbuch Bekämpfung der Geldwäsche, Rn. 583. 369 BaFin RS 8/2005 (GW) v. 23.3.2005. Kapitel 3. Die Geldwäschebekämpfung als Teil des institutsinternen Risikomanagements 72 gungs- und Anwendungshinweise der BaFin letztlich fest. Demnach sind die in den Leitlinien enthaltenen Beispiele für Risikofaktoren bei der Erstellung der Risikoanalyse zu beachten, da es sich nach Ansicht der Bundesanstalt um ein „Kernstück der Implementierung des risikobasierten Ansatzes“ handelt.370 Im Folgenden werden die einzelnen Felder der kunden-, produktund transaktionsbezogenen Risiken mittels der einschlägigen Risikofaktoren klassifiziert und wird ihre Bewertung anhand praktischer Fallbeispiele grundlegend erläutert, ohne dabei, aufgrund der Vielzahl der Risikofaktoren, eine abschließende Aufzählung erreichen zu können. Das Kundenrisiko Die Risikofaktoren der Anlagen 1 und 2 des Geldwäschegesetzes Das von einem Kunden oder einer Kundengruppe definierte Geldwäscherisiko ist nicht nur für die Bestimmung des Gesamtrisikos eines Instituts von essentieller Bedeutung,371 sondern liefert auch Hinweise für die zwingende Risikoklassifizierung des Kunden im Kundenannahmeprozess. Im Gegensatz zum Geldwäschegesetz a.F. stellt das novellierte Geldwäschegesetz nicht mehr nur auf das Risiko des Vertragspartners ab, sondern eröffnet mit dem Wortlaut des Kundenrisikos einen größeren gesetzlichen Spielraum, welcher dazu führt, dass ganz im Sinne der Deutschen Kreditwirtschaft auch das Risiko eines wirtschaftlich Berechtigten oder eines Verfügungsberechtigten bei der Bewertung einbezogen werden soll.372 Potentiell mit geringem Geldwäscherisiko behaftet sind dabei gemäß Nr. 1a-c der Anlage 1 des Geldwäschegesetzes insbesondere öffentliche, an einer Börse notierte Unternehmen, öffentliche Verwaltungen oder Unternehmen sowie Kunden, die ihren Wohnsitz in einem Land mit einem niedrigen Risiko gemäß der Nr. 3 der Anlage 1 des Geldwäschegesetzes haben. a) (1) 370 BaFin, AuA, Punkt 2.3, S. 11. 371 FATF, Leitfaden zum risikoorientierten Ansatz, Punkt 3.6. 372 DK, AuA Hinweise, 2014, Tz. 80. B. Die institutsspezifische Risikoanalyse 73 Die niedrige Risikoklassifizierung börsennotierter Gesellschaften wurde schon mit Umsetzung von Artikel 11 Abs. 2a der Dritten Geldwäscherichtlinie in § 5 Abs. 2 Nr. 2 GwG a.F. gefasst und ist nach wie vor vertretbar, da die Offenlegungspflichten öffentlicher, an einer Börse notierter Unternehmen dem Gesetzeswortlaut zufolge eine hinreichende Transparenz hinsichtlich der Eigentümerstruktur aufweisen und diese Informationen ferner für jedermann zugänglich sind.373 Ebenso ist die Kategorisierung öffentlicher Verwaltungen oder öffentlicher Unternehmen in die Kundengruppe mit niedrigem Risiko keine völlige Neuerung und hatte schon in § 5 Abs. 2 Nr. 4 GwG a.F. mit dem Begriff der Behörde im Sinne des § 1 Abs. 4 VwVfG zur Umsetzung von Artikel 11 Abs. 2 Buchstabe c der Dritten Geldwäscherichtlinie Bestand. Mögliche Beispiele sind demnach Gebietskörperschaften, Handwerkskammern, Universitäten und öffentliche Rundfunkanstalten.374 Da der Wortlaut der Nr. 1b der Anlage 1 zum Geldwäschegesetz nicht zwischen inländischen und ausländischen öffentlichen Verwaltungen differenziert, wird davon ausgegangen, dass ausländische Behörden insoweit mit geringerem Geldwäscherisiko klassifiziert werden können, solange sie von ihrer Art her den inländischen Verwaltungen gleichstehen. Als potentiell mit höherem Geldwäscherisiko einzustufen sind gemäß Nr. 1a-f der Anlage 2 des Geldwäschegesetzes diejenigen Kunden mit außergewöhnlichen Umständen in der Geschäftsbeziehung, Kunden mit einem Sitz in Ländern, die gemäß Nr. 3 der Anlage 2 des Geldwäschegesetzes mit einem hohem Risiko bewertet sind, sowie juristische Personen oder Rechtsvereinbarungen, welche der privaten Vermögensverwaltung dienen. Ferner gehören nach dem Gesetzeswortlaut der Nr. 1 der Anlage 2 zu den risikoreicheren Kunden auch solche Unternehmen mit nominellen Anteilseignern oder als Inhaberpapiere emittierten Aktien, sehr bargeldintensive Unternehmen oder Unternehmen, die hinsichtlich der Art ihrer Geschäftstätigkeit als ungewöhnlich anzusehen sind oder durch eine äußert kompliziert erscheinende Eigentumsstruktur beherrscht werden.375 373 BT-Drs. 16/9038, S. 39; Herzog in Herzog, GwG, § 5 Rn. 9. 374 BT-Drs. 16/9038, S. 39. 375 Herzog in Herzog, GwG, § 5 Rn. 8. Kapitel 3. Die Geldwäschebekämpfung als Teil des institutsinternen Risikomanagements 74 Da der Gesetzestext sehr weitläufige Kundengruppen nennt, ist fraglich, bei welchen praktischen Fallbeispielen nun von einem erhöhten Geldwäscherisiko ausgegangen werden kann. Die Begründung einer Geschäftsbeziehung unter außergewöhnlichen Umständen ist unter anderem anzunehmen, wenn zwischen dem Wohnsitz des Kunden und dem verpflichteten Institut eine erhebliche und nicht erklärbare Distanz liegt oder hinsichtlich ungewöhnlicher Transaktionen der Kunde eine häufige und unerklärliche Geldmittelbewegung zwischen Instituten verschiedener Standorte veranlasst.376 Kompliziert erscheinende Eigentumsstrukturen eines Kunden liegen bei juristischen Personen vor, deren Anteile auf weitere, möglicherweise ausländische Gesellschaften verteilt sind, wodurch der eigentliche wirtschaftlich Berechtigte nur schwer zu ermitteln ist.377 Gibt es keine Erklärung für eine derart komplizierte Eigentümerstruktur über mehrere Untergesellschaften hinweg, so kann das Institut richtigerweise von einem erhöhten Geldwäscherisiko ausgehen.378 Ferner nennt der Gesetzgeber bargeldintensive Unternehmen als einen risikoerhöhenden Kundenfaktor und meint damit beispielsweise neben Wechselstuben, Zahlungsverkehrsdienstleistern oder Banknotenhändlern auch Casinos, Wettbüros oder Glücksspielanbieter, in welchen die hohen Mengen an Bargeld mangels Papierspur oft nicht nachverfolgt werden können.379 Weitere Risikofaktoren des Kundenrisikos Nicht zu vernachlässigen sind ferner bei juristischen Personen die Risiken, welche sich aus der Rechtsform des Kunden ableiten lassen. Nicht nur die schon erläuterte Börsennotierung eines Unternehmens ist ein Indiz für ein geringes Risiko, sondern auch die Tatsache, dass ein Registereintrag verpflichtend ist, das Unternehmen einer Mindestkapitalausstattung unterliegt oder mehrere Personen zur Gründung der Ge- (2) 376 FATF, Leitfaden zum risikoorientierten Ansatz, Punkt 3.6; Figura in Herzog, GwG, § 10 Rn. 48. 377 FATF, Leitfaden zum risikoorientierten Ansatz, Punkt 3.6. 378 ESAs, Leitlinien zu Risikofaktoren, S. 16. 379 FATF, Leitfaden zum risikoorientierten Ansatz, Punkt 3.6; ESAs, Leitlinien zu Risikofaktoren, S. 34. B. Die institutsspezifische Risikoanalyse 75 sellschaft erforderlich sind.380 Im Gegensatz dazu sind diejenigen juristischen Personen mit einem höheren Geldwäscherisiko zu klassifizieren, deren Gründung keine Eintragung in einem Register erfordert und die generell schnell wieder aufgelöst werden können.381 Des Weiteren hat das Institut auch das Branchenrisiko seiner Kunden zu berücksichtigen.382 Bei Geschäftskunden wird dabei auf das Geschäftssegment abgestellt, in welchem der Kunde tätig ist, wohingegen bei Privatkunden die jeweilige Berufsgruppe eine Rolle spielt.383 So sind bestimmte Branchen wie z.B. Gebrauchtwagenhändler, Juweliere, Edelmetallhändler, die Gastronomie oder Erwachsenenunterhaltung anfälliger für die Platzierung von inkriminierten Geldern als Großhändler aus der Textil- oder Lebensmittelindustrie. Privatpersonen, die selbstständig tätig sind, können mit einem höheren Risiko bewertet werden als solche Personen, welche in einem öffentlich-rechtlichen Arbeitsverhältnis stehen, da die Herkunft von Geldern bei einer nichtselbstständigen Anstellung in der Regel leichter nachzuvollziehen ist.384 Ein weiterer Indikator für ein erhöhtes Geldwäscherisiko ist schließlich der Umstand, dass der Vertragspartner oder der wirtschaftlich Berechtigte eine politisch exponierte Person, ein Familienmitglied oder eine diesen bekanntermaßen nahestehende Person ist. Die erhöhte Risikoklassifizierung hinsichtlich der politisch exponierten Person und ihr entsprechender Einzugskreis hat der Gesetzgeber in § 15 Abs. 3 Nr. 1a GwG normiert und damit Kundenbeziehungen zu derartigen Personen gesetzlich den verstärkten Sorgfaltspflichten unterworfen. Ausführliche Erläuterungen hierzu finden sich deshalb in Kapitel 4 B III. Punkt 4. und werden hier nur der Vollständigkeit halber vorab erwähnt. Auch im Rahmen der Risikoanalyse ist zur Bestimmung der institutsspezifischen Risikosituation zu berücksichtigen, ob sich politisch exponierte Personen im Kundenbestand befinden. 380 Mühlroth/Quedenfeld in Quedenfeld, Handbuch Bekämpfung der Geldwäsche, Rn. 632. 381 Figura in Herzog, GwG, § 10 Rn. 49. 382 Figura in Herzog, GwG, § 10 Rn. 49. 383 Mühlroth/Quedenfeld in Quedenfeld, Handbuch Bekämpfung der Geldwäsche, Rn. 626. 384 Mühlroth/Quedenfeld in Quedenfeld, Handbuch Bekämpfung der Geldwäsche, Rn. 629. Kapitel 3. Die Geldwäschebekämpfung als Teil des institutsinternen Risikomanagements 76 Produkt-, Dienstleistungs-, Transaktions- oder Vertriebsrisiko Zu den geschäftsbezogenen Faktoren zählen Geldwäscherisiken, welche sich aus dem von dem Institut angebotenen Finanzprodukten, seinen Dienstleistungen, seinen Transaktionen oder aus der Art und Weise seines Vertriebs ergeben. Weniger risikobehaftet sind nach Nr. 2a und 2b der Anlage 1 des Geldwäschegesetzes demnach Lebensversicherungspolicen mit niedriger Prämie oder Versicherungspolicen für Rentenversicherungsverträge, sofern diese weder eine Rückkaufklausel enthalten noch als Darlehenssicherheit dienen können. Der Grund hierfür ist die Tatsache, dass das regelmäßig im Rahmen des Versicherungsvertrages platzierte Geld durch die Art des Finanzproduktes nicht leicht im Finanzkreislauf verschoben werden kann und eine typische Verschleierung der Papierspur im Sinne der zweiten Geldwäschephase gar nicht möglich ist.385 Des Weiteren nennt die Nr. 2c der Anlage 1 des Geldwäschegesetzes Finanzprodukte wie Rentensysteme, Pensionspläne oder vergleichbare Systeme, die den Arbeitnehmern Altersversorgungsleistungen anbieten, bei welchen die Beiträge schon vom Gehalt abgezogen werden und dem Begünstigten eine Rechtsübertragung nicht erlaubt ist, als risikoarme Produkte, da schließlich die Herkunft in diesen Fällen einfach nachzuvollziehen ist.386 Zudem sind kurzfristige Umbuchungen, nach der einmaligen Platzierung des Geldes auf das Kundenkonto beim Institut, durch diese Produktart größtenteils ausgeschlossen. Außerdem klassifiziert der Gesetzgeber gemäß Nr. 2d der Anlage 1 des Geldwäschegesetzes Finanzprodukte oder -dienste, welche bestimmten Kunden in einem angemessenen und begrenzten Rahmen Leistungen mit dem Ziel des Zugangs zum Finanzsystem angeboten werden, als einen risikominierenden, geschäftsbezogenen Faktor. In Anlehnung an den aufgehobenen § 25i KWG a.F. ist es vertretbar, bei Verbraucherdarlehensverträgen im Sinne von § 491 BGB, Finanzierungsleasingverträge im Sinne von § 506 Abs. 2 BGB und Teilzahlungsgeschäften im Sinne von § 507 BGB von einem Produkt mit geringem Risiko auszugehen, da derartige Verträge schließlich nur als b) 385 ESAs, Leitlinien zu Risikofaktoren, Punkt 181, S. 68. 386 Herzog in Herzog, GwG, § 5 Rn. 11. B. Die institutsspezifische Risikoanalyse 77 Nebenvertrag zu einem Kaufvertrag mit einem Verbraucher abgeschlossen werden und damit ein begrenzter Rahmen der Dienstleistung vorgegeben ist.387 Als weiteres risikoarmes Beispiel sind Verträge über Kleinkredite mit Bestandskunden zu nennen, die schon als Inhaber eines obligatorischen Referenzkontos beim gleichen Institut identifiziert worden sind und bei denen die Herkunft der Gelder im Rahmen der Rückzahlung des Kredits einfach nachzuvollziehen ist.388 Im Übrigen listet Nr. 2e der Anlage 1 des Geldwäschegesetzes solche Finanzprodukte auf, bei welchen die Geldwäscherisiken durch risikomindernde Faktoren, wie beispielsweise mittels Beschränkungen der elektronischen Geldbörse oder durch die Transparenz der Eigentumsverhältnisse, d.h. bei bestimmten Arten von E-Geld, gesteuert werden.389 Dem gegenüber stehen die vom Gesetzgeber in der Anlage 2 des Geldwäschegesetzes normierten geschäftsbezogenen, erhöhenden Risikofaktoren. Die Nr. 2a und 2b der Anlage nennen insbesondere die Betreuung von Privatkunden mit hohem Vermögen oder Finanzprodukte oder -transaktionen, welche eine hohe Anonymität zulassen.390 Zu Letzteren zählt beispielsweise das Onlinebanking, das international und annähernd anonym vom Kunden genutzt werden kann.391 Überdies fallen unter die nach Nr. 2a und 2b der Anlage 2 genannten Hochrisikoprodukte auch das Kassen- und Sortengeschäft sowie das Anbieten von Kreditkarten, welche ebenso der Gruppe der anonymen Finanzprodukte zugeordnet werden können.392 Ferner werden in der Nr. 2c der Anlage 2 Finanzprodukte aufgeführt, welche ohne persönlichen Kontakt und weitere Sicherungsmaßnahmen, wie beispielsweise eine elektronische Signatur, eingegangen werden, da richtigerweise davon ausgegangen werden kann, dass fehlender oder eingeschränkter persönlicher Kontakt zum Kunden z.B. bei Geldeinzahlungs- und Auszahlungsautomaten ein höhere Geldwä- 387 Auerbach/Spies in Schwennicke/Auerbach, § 25i KWG Rn. 13. 388 Auerbach/Spies in Schwennicke/Auerbach, § 25i KWG Rn. 17. 389 Herzog in Herzog, GwG, § 5 Rn. 11. 390 Herzog in Herzog, GwG, § 5 Rn. 10. 391 Mühlroth/Quedenfeld in Quedenfeld, Handbuch Bekämpfung der Geldwäsche, Rn. 603. 392 Warius in Herzog, GwG, § 9 GwG a.F., 2. Auflage, Rn. 59. Kapitel 3. Die Geldwäschebekämpfung als Teil des institutsinternen Risikomanagements 78 scherisiko birgt als der regelmäßige Kundenkontakt unter anderem im Filialgeschäft.393 Des Weiteren wird gemäß Nr. 2d der Anlage 2 der Eingang von Zahlungen unbekannter oder nicht verbundener Dritter risikoerhöhend klassifiziert, da auch hier die Herkunft des Geldes schwerer zu ermitteln ist als bei bekannten Kunden.394 Schließlich bergen auch nach Nr. 2e der Anlage 2 die Einführung neuer Produkte, neuer Geschäftsmodelle und neuer Vertriebsmechanismen sowie die Nutzung neuer Technologien potentiell erhöhte Geldwäscherisiken, die es im Rahmen der Risikoanalyse zu berücksichtigen gilt.395 Länderrisiko Die geographischen Risiken in Bezug auf das spezifische Geldwäscherisiko eines Instituts spielen als weiterer Indikator zur Bestimmung des Gesamtrisikos eine wesentliche Rolle.396 Mögliche risikoverringernde und risikoerhöhende Länderfaktoren führen die Anlagen 1 und 2 des Geldwäschegesetzes auf. Dabei ist das geographische Risiko nicht nur hinsichtlich der Nationalität eines Kunden zu berücksichtigen, sondern auch bezüglich seines Wohn- oder Firmensitzes oder des Ortes, an welchem er die Finanzdienstleistung in Anspruch nimmt oder aus welchen Ländern die Bank grenzüberschreitende Transaktionen erhält.397 Zu den Ländern mit geringem Geldwäscherisiko zählen zunächst gemäß Nr. 3a-c der Anlage 1 des Geldwäschegesetzes die Mitgliedsstaaten der Europäischen Union, Drittstaaten mit gut funktionierenden Systemen zur Prävention, Aufdeckung und Bekämpfung von Geldwäschehandlungen sowie diejenigen Staaten, in welchen Korruption und sonstige kriminelle Tätigkeiten laut glaubwürdigen Quellen schwach ausgeprägt sind. c) 393 Warius in Herzog, GwG, § 9 GwG a.F., 2. Auflage, Rn. 59. 394 ESAs, Leitlinien zu Risikofaktoren, S. 39. 395 ESAs, Leitlinien zu Risikofaktoren, S. 39; Herzog in Herzog, GwG, § 5 Rn. 10. 396 Herzog in Herzog, GwG, § 5 Rn. 12. 397 Mühlroth/Quedenfeld in Quedenfeld, Handbuch Bekämpfung der Geldwäsche, Rn. 604. B. Die institutsspezifische Risikoanalyse 79 Fraglich ist, welche Quellen der Gesetzgeber als glaubwürdig erachtet. Hier gibt der FATF-Leitfaden eine Hilfestellung, indem er die Bezeichnung „glaubwürdig“ auf Quellen bezieht, die von bekannten, seriösen Stellen stammen, per se keine rechtliche oder aufsichtsrechtliche Wirkung herbeiführen und der Öffentlichkeit zugänglich sind. Als Beispiele nennt der Leitfaden der FATF zum risikoorientierten Ansatz398 neben seinen eigenen regionalen Stellen insbesondere den Internationalen Währungsfonds, die Weltbank und die Egmont Group sowie maßgebliche Regierungsstellen und Nichtregierungsorganisationen.399 Des Weiteren zählen gemäß Nr. 3d der Anlage 1 des Geldwäschegesetzes solche Drittstaaten zu den risikoarmen Ländern, welche nach glaubwürdigen Quellen die Anforderungen an die Verhinderung, Aufdeckung und Bekämpfung von Geldwäsche der überarbeiteten FATF- Empfehlungen implementiert haben. Hierzu eignen sich insbesondere die Länderanalysen der FATF, welche von dieser mit dem Methodenpapier „Methodology for assessing technical compliance with the FATF recommendations and the effectivenes of AML/CFT Systems“ regelmäßig durchgeführt werden.400 Die Länder mit einem potentiell höheren Geldwäscherisiko werden in Nr. 3a-d der Anlage 2 des Geldwäschegesetzes aufgeführt. Dies sind zunächst gemäß Nr. 3a der Anlage 2 auf Basis glaubwürdiger Quellen ermittelte Staaten, in welchen innerhalb des Finanzsystems die Prozesse zur Prävention, Aufdeckung und Bekämpfung von Geldwäsche nicht angemessen sind. Als Beispiele zuverlässiger Informationsträger nennt der Gesetzestext der Nr. 3a der Anlage 2 gegenseitige Evaluierungen, detaillierte Bewertungsberichte oder veröffentlichte Follow-up-Berichte.401 In diesem Kontext wird auf Artikel 9 der Vierten Geldwäscherichtlinie verwiesen, nach dem die Europäische Kommission diejenigen Drittländer ermittelt, welche durch strategische Mängel in ihren nationalen Systemen zur Bekämpfung der Geldwäsche negativ auffallen.402 398 FATF, Leitfaden zum risikoorientierten Ansatz, 2007, S. 22. 399 FATF, Leitfaden zum risikoorientierten Ansatz, 2007, S. 22, Fußnote 14. 400 FATF, Assessing Technical Compliance, 2013. 401 Herzog in Herzog, GwG, § 5 Rn. 12. 402 ABl. EU 2015 L 141/73 (90). Kapitel 3. Die Geldwäschebekämpfung als Teil des institutsinternen Risikomanagements 80 Die von ihr ermittelten Drittländer mit hohem Risiko sind gemäß Artikel 9 Abs. 2 der Vierten Geldwäscherichtlinie i.V.m. dem Anhang der Delegierten Verordnung (EU) 2016/1675 der Kommission vom 14. Juli 2016 in drei Kategorien unterteilt.403 Die Delegierte Verordnung zu Drittländern mit erhöhtem Geldwäscherisiko wird regelmäßig geändert. Die letzte Änderung erfolgte durch die Delegierte Verordnung (EU) 2018/1467 vom 27.07.2018. Demnach ist die Demokratische Volksrepublik Korea (DVK) ein Drittland mit hohem Geldwäscherisiko der ersten Kategorie, welches trotz der von der FATF festgestellten wesentlichen Mängel in der Geldwäschebekämpfung diese wiederholt nicht angegangen ist. Der Iran gilt als Hochrisikoland der zweiten Kategorie, hat sich jedoch im Gegensatz zu Nordkorea auf hoher politischer Ebene dazu verpflichtet, zur Beseitigung der gravierenden Mängel eine Unterstützung bei der Umsetzung des FATF-Aktionsplans zu ersuchen. In die dritte Kategorie fallen Länder, welche sich auf hoher politischer Ebene schriftlich dazu verpflichtet haben, die Mängel in der Geldwäschebekämpfung anhand eines mit der FATF erarbeiteten Aktionsplans zu beseitigen und unter Beobachtung der FATF stehen. Diese sind Afghanistan, Bosnien und Herzegowina, Guyana, Irak, DVR Laos, Syrien, Uganda, Vanuatu, Jemen und Pakistan.404 Unabhängig von der Dreiteilung im Rahmen der Delegierten Verordnung erklärt die Bundesanstalt für Finanzdienstleistungsaufsicht jedes dieser Länder als Drittstaat mit hohem Risiko, wie den jeweiligen Rundschreiben zu entnehmen ist, und fordert stets die Anwendung der verstärkten Sorgfaltspflichten im Sinne von § 15 Abs. 3 Nr. 1b GwG. Weitere Staaten mit einem hohen Länderrisiko sind gemäß Nr. 3b der Anlage 2 solche Drittstaaten mit einem hohen Korruptionsindex oder einer starken Ausprägung krimineller Tätigkeiten. Als glaubwürdige Quelle zur Ermittlung von Ländern mit ausgeprägter Korruption dient der Index von Transparency International.405 Der aus diversen Evaluationen und Untersuchungen zusammengesetzte Index zeigt die 403 ABl. EU 2015 L 141/73 (90); ABl. EU 2016 L 254/1. 404 ABl. EU 2016 L 254/1 (4). 405 Korruptionsindex 2016 von Transparency International. https://www.transparency.org/news/feature/corruption_perceptions_index_2016 (aufgerufen am 02.06.2019). B. Die institutsspezifische Risikoanalyse 81 Wahrnehmung der Korruption bei Amtsträgern und Politikern eines Landes auf und lässt Länder wie z.B. Somalia, Südsudan oder Nordkorea an letzter Stelle stehen.406 Entsprechend erhöhte Geldwäscherisiken bei Kunden mit einer solchen Staatsangehörigkeit oder dort ansässigen Firmenkunden sind offensichtlich. Eine weitere glaubwürdige Quelle zur Bestimmung des Länderrisikos ist überdies der Global Peace Index (Weltfriedensindex),407 welcher nicht nur die Anzahl der geführten Kriege im In- und Ausland aufzeigt, sondern insbesondere Aufschluss über das Level der gewalttätigen Verbrechen im Inland sowie die politische Instabilität des Landes gibt.408 Gerade letztere Punkte korrelieren im Sinne der Nr. 3b der Anlage 2 des Geldwäschegesetzes mit der Ausprägung des Geldwäscherisikos eines Landes und sollten deshalb nicht unberücksichtigt bleiben. Ein potentiell höheres Geldwäscherisiko haben nach Nr. 3c der Anlage ferner Länder, gegen die Sanktionen und Handelsbeschränkungen wie unter anderem von der Europäischen Union oder den Vereinten Nationen verhängt worden sind. Weniger als ein Indiz für erhöhte Geldwäscherisiken denn als einen Faktor für das Risiko der Terrorismusfinanzierung nennt Nr. 3d der Anlage 2 bekanntermaßen solche Länder, die den Terrorismus finanziell oder anderweitig unterstützen oder in diesen Terrororganisationen aktiv sind. Die Ableitung von Sicherungsmaßnahmen aus der Risikoanalyse im Rahmen der Risikosteuerung Sind im Rahmen der Bestandsaufnahme sämtliche Risiken eines Instituts identifiziert und nach Festlegung der Risikostufen anhand verschiedener, einschlägiger Risikofaktoren klassifiziert worden, so gilt es, die festgestellten Risiken zu steuern und insbesondere durch angemessene geschäfts- und kundenbezogene, interne Sicherungsmaßnahmen 5. 406 Mühlroth/Quedenfeld in Quedenfeld, Handbuch Bekämpfung der Geldwäsche, Rn. 607. 407 http://visionofhumanity.org/indexes/global-peace-index/ (aufgerufen am 02.06.2018). 408 Mühlroth/Quedenfeld in Quedenfeld, Handbuch Bekämpfung der Geldwäsche, Rn. 608. Kapitel 3. Die Geldwäschebekämpfung als Teil des institutsinternen Risikomanagements 82 zu minimieren oder gar vollständig zu beseitigen.409 Die Art und der Umfang der Ausgestaltung dieser Präventionsmaßnahmen sind aus der Risikoanalyse abzuleiten.410 Die im Rahmen der Risikoanalyse festgestellten Ergebnisse hinsichtlich der institutsspezifischen Risikosituation liefern damit die Grundlage für das Soll-Maßnahmen-Konzept eines Instituts.411 Um potentielle Lücken und daraus resultierenden Handlungsbedarf in der Geldwäscheprävention eines Unternehmens zu identifizieren, müssen die erarbeiteten Soll-Maßnahmen mit dem Ist-Zustand im Institut verglichen werden.412 Dabei ist selbstverständlich, je höher das Risiko in einem Bereich ist, desto umfangreicher muss die Sicherungsmaßnahme ausgestaltet sein.413 Eine nicht abschließende Auflistung der internen Sicherungsmaßnahmen, welche von den Verpflichteten der Finanzbranche zu implementieren sind, normiert § 6 Abs. 2, Abs. 5 und Abs. 6 GwG. Unter Berücksichtigung des Umfangs des Geschäftsbetriebs und der personellen Größe kann die Ausgestaltung der internen Sicherungsmaßnahmen bei den einzelnen Verpflichteten variieren, sie darf jedoch nicht hinter den gesetzlichen Anforderungen zurückbleiben.414 Ein weiterer Aspekt, der aus der Risikoanalyse und den daraus folgenden Sicherungsmaßnahmen abgeleitet werden muss, ist die Überwachungstätigkeit (Kontrollen) des Geldwäschebeauftragten gemäß § 6 Abs. 1 Satz 3 GwG, mit der die eingerichteten Präventionsmaßnahmen regelmäßig auf ihre Angemessenheit und Wirksamkeit überwacht werden müssen. Der Wortlaut des Gesetzes zielt gerade darauf ab, dass insbesondere die Funktionsfähigkeit, d.h. die Wirksamkeit der Sicherungsmaßnahmen, gewährleistet sein muss, schließlich hätte ihre Implementierung sonst keine Wirkung zur Geldwäscheprävention. Diese systemimmanenten Überwachungshandlungen hat der Geldwäschebeauftragte eines Instituts aus der Risikoanalyse abzuleiten und in seinen Aufgabenbereich zu integrieren.415 Im Gegensatz zu den retrospekti- 409 Auerbach/Vitzthum in WPg 2009, S. 1119 (1120). 410 Auerbach, Banken- und Wertpapieraufsicht, Rn. 712. 411 BaFin, AuA, Punkt 2.3, S. 13. 412 Auerbach, Banken- und Wertpapieraufsicht, Rn. 713. 413 BaFin, AuA, Punkt 2.3, S. 13. 414 Herzog in Herzog, GwG, § 6 Rn. 3. 415 Kaetzler in Zentes/Glaab, GwG, § 6 Rn. 48. B. Die institutsspezifische Risikoanalyse 83 ven Prüfungshandlungen der Internen Revision, die in § 6 Abs. 2 Nr. 7 GwG normiert sind, müssen die Kontrollen des Geldwäschebeauftragten prozessimmanent oder prozessbegleitend aufgesetzt sein, um die Funktionsfähigkeit der Sicherungsmaßnahmen im laufenden Prozess gewährleisten zu können. Die Dokumentation und Genehmigung der Risikoanalyse Die verpflichteten Institute haben die Risikoanalyse gemäß § 5 Abs. 2 Nr. 1 GwG vorbehaltlich des § 5 Abs. 4 GwG zu dokumentieren und nach § 5 Abs. 2 Nr. 1 GwG der Aufsichtsbehörde auf deren Verlangen die jeweils aktuelle Fassung zur Verfügung zu stellen, damit diese sich von der Angemessenheit der institutsspezifischen Analyse und den daraus getroffenen Sicherungsmaßnahmen zur Geldwäscheprävention überzeugen kann.416 Sowohl externe als auch interne Prüfer müssen die verschriftlichte Risikoanalyse nachvollziehen können.417 Sie ist gemäß § 5 Abs. 2 Nr. 2 GwG regelmäßig zu überprüfen und bei Änderungen der Risikosituation zu aktualisieren. Zwar definiert der Gesetzgeber keine ausdrückliche Frist, doch ist es vorzugswürdig, die Risikoanalyse im Institut im regelmäßigen Turnus jährlich durchzuführen und bei Auffälligkeiten ad hoc zu reagieren, da ein funktionierender Risikomanagementprozess letztlich ein permanent „lebender“ Prozess sein sollte.418 Auch die Auslegungs- und Anwendungshinweise der Bundesanstalt für Finanzdienstleistungsaufsicht sehen als Normenkonkretisierung eine jährliche Überprüfung für geboten an.419 Ein lediglich zweijähriger Turnus der Überarbeitung wird dagegen abgelehnt, da zumindest die Typologien und das Erkenntniswissen über die Geldwäsche auf Aktualität überprüft werden sollten. Schließlich finden die Täter stetig neue Methoden und Handlungsweisen, um inkriminierte Gelder und Vermögenswerte im legalen Finanzkreislauf unentdeckt bleiben zu lassen. Nach § 5 Abs. 4 GwG kann die Aufsichtsbehörde grundsätzlich jeden Verpflichteten auf dessen Antrag von der Dokumentation der 6. 416 BT-Drs. 18/11555, S. 110. 417 Herzog in Herzog, GwG, § 5 Rn. 14. 418 Auerbach, Banken- und Wertpapieraufsicht, Rn. 714. 419 BaFin, AuA, Punkt 2.3, S. 13. Kapitel 3. Die Geldwäschebekämpfung als Teil des institutsinternen Risikomanagements 84 Analyse befreien. Zu beachten ist allerdings, dass diese Ausnahmeregelung nur für diejenigen Verpflichteten greift, die in einem klar abgegrenzten Bereich die Geldwäscherisiken offensichtlich erkannt und verstanden haben. Für die Verpflichteten der Finanzbranche ist die Ausnahmeregelung aufgrund der Komplexität des Finanzgeschäfts in den wenigsten Fällen eine Option. So zielt der Gesetzgeber eher auf den Rechtsanwalt ab, der im Rahmen einer Rechtsberatung im Zusammenhang mit Immobiliengeschäften tätig wird und nach dem neuen Geldwäschegesetz grundsätzlich zu einer Risikoanalyse verpflichtet wäre. Erläutert er in seinem Antrag, dass er die Risiken im Rahmen seiner Beratung offensichtlich erkennen und abgrenzen kann, so wird ihm die zuständige Aufsicht eine Befreiung von der Dokumentation der Risikoanalyse erteilen.420 Schließlich sind die Risikoanalyse und die darauf aufbauenden Sicherungsmaßnahmen gemäß § 4 Abs. 3 Satz 1 und Satz 2 GwG von einem benannten Mitglied der Leitungsebene zu genehmigen. Dies sollte vom Institut nicht nur als eine Förmlichkeit verstanden werden, sondern die Verfasser der Risikoanalyse dabei unterstützen, die Wichtigkeit der Geldwäschebekämpfung im Institut auf der Leitungsebene zu betonen. In diesem Kontext muss klargestellt werden, dass der Begriff der Leitungsebene nicht mit dem Begriff der Führungsebene im Sinne von § 1 Abs. 15 GwG verwechselt werden darf, da auch der europäische Gesetzgeber in der Vierten Geldwäscherichtlinie zwischen den beiden Begrifflichkeiten unterscheidet.421 Folglich ist der Begriff der Führungsebene gemäß § 1 Abs. 15 GwG deutlich weiter gefasst und schließt neben den organschaftlichen Vertretern des Instituts auch solche Entscheidungsträger mit ein, welche rechtsgeschäftlich bevollmächtigt worden sind. Die im Kontext der Genehmigung der Risikoanalyse und der Sicherungsmaßnahmen relevante Person muss jedoch nach dem Wortlaut des § 4 Abs. 3 Satz 2 GwG aus der enger gefassten Leitungsebene kommen, d.h. die organschaftliche Vertretung des Instituts innehaben.422 Die Notwendigkeit dieser Klarstellung hat auch der Gesetzgeber erkannt, indem nach dem Entwurf eines Gesetzes zur Umsetzung der Änderungsrichtlinie zur Vierten EU-Geldwäschericht- 420 BT-Drs. 18/11555, S. 110. 421 Kaetzler in Zentes/Glaab, GwG, § 4 Rn. 20; ABl. EU 2015 L 141/73 (90). 422 Kaetzler in Zentes/Glaab, GwG, § 4 Rn. 20. B. Die institutsspezifische Risikoanalyse 85 linie die Begriffsdefinition des Mitglieds der Leitungsebene als organschaftlicher Vertreter zukünftig ins Geldwäschegesetz mit aufgenommen werden soll.423 Fazit zum risikobasierten Ansatz der Geldwäscheprävention Die ausführlichen Konkretisierungen zum risikoorientierten Ansatz in der Geldwäschebekämpfung und die seit Novellierung des Geldwäschegesetzes gesetzlich verpflichtende Einrichtung eines Risikomanagements zur Geldwäscheprävention zeigen, dass der Weg weg von einem regelbasierten Ansatz mit strikten Vorgaben die Geldwäscheprävention in den Instituten der Finanzbranche nur verbessern kann. Statt die Ableitung der Sicherungsmaßnahmen aus dem Gesetz vorzunehmen, haben die Institute nun ihre institutsspezifischen Risiken als Ausgangspunkt für die zu implementierenden Präventionsmaßnahmen heranzuziehen, ohne dass der Gesetzgeber sie dabei völlig alleine lässt. Ohne Zweifel kann eine risikobasierte Vorgehensweise deshalb ganz im Interesse der Beteiligten der Finanzbranche sein, denn so kann bürokratischer Aufwand bei risikoarmen Situationen vermieden werden und können bei risikoreicheren Fällen die Präventionskapazitäten erhöht werden.424 Ferner können mittels einer effizienteren Ressourcennutzung im Institut die Kunden mit einem geringen Risikoprofil mit weniger Aufwand behandelt werden.425 Ein Kunde, der lediglich ein geringes Geldwäscherisiko trägt, muss neben der allgemeinen Transaktionsüberwachung nicht in ein engmaschiges Monitoring integriert werden, welches beispielsweise eine häufige Kontaktaufnahme zur Adressüberprüfung nach sich zieht. Ein Umstand, der die Kundenbeziehung nicht strapaziert und damit positive Auswirkungen haben wird. Ein weiterer Vorteil des risikoorientierten Ansatzes ist die Möglichkeit einer flexibleren Anpassung der internen Sicherungsmaßnah- C. 423 BT-Drs. 19/13827, S. 7. 424 BT-Drs. 16/9038, S. 35. 425 FATF, Leitfaden zum risikoorientierten Ansatz, 2007, Punkt 1.14. Kapitel 3. Die Geldwäschebekämpfung als Teil des institutsinternen Risikomanagements 86 men an neu entstehende Geldwäscherisiken, ohne dabei stets eine Gesetzesänderung herbeiführen zu müssen, welche explizite Vorgaben auf die geänderten Risiken gibt. Mit dem etablierten risikobasierten Ansatz können die Verpflichteten ihr Urteilsvermögen, ihr Wissen sowie ihre Sachkenntnis in Bezug auf die Risikobereiche ihrer Organisation, ihrer Struktur und ihrer Produkte nutzen, um Maßnahmen weiterzuentwickeln, anlassbezogen anzupassen und damit eine effektive Geldwäschebekämpfung durch ihr spezielles Praxiswissen zu erreichen.426 Allerdings bringt die Entwicklung hin zum risikobasierten Ansatz nicht nur Vorteile mit sich, denn die Freiheit, die internen Sicherungsmaßnahmen zur Bekämpfung der Geldwäscherisiken in dem vorgegebenen Rahmen selbst zu gestalten, fordert ebenso Ressourcen und Fachexpertise. Da es für die Implementierung eines Risikomanagements in der Geldwäscheprävention essentiell ist, dass die Verpflichteten der Finanzbranche die einzelnen Risiken ihres Instituts beherrschen und angemessen einschätzen können, sind eine Sammlung und Auslegung von Informationen zu den einzelnen Risikobereichen, eine Entwicklung von geldwäscherelevanten Verfahren und Systemen und nicht zuletzt eine angemessene Schulung von Mitarbeitern der Verpflichteten unerlässlich. Schließlich führt mangelnde Sachkenntnis oft zu Fehlentscheidungen.427 Für die Erfolgsfaktoren eines risikobasierten Ansatzes zur Bekämpfung der Geldwäsche ist es damit unerlässlich, dass sowohl Finanzinstitute als auch die Aufsichtsbehörden einen Zugang zu praxisorientierten Informationen über die neuen Risiken und Bedrohungen hinsichtlich der Geldwäsche haben.428 Im Ergebnis lässt die Einhaltung der jeweiligen Sorgfaltspflichten, unter dem Gesichtspunkt eines risikoorientierten Ansatzes, die Geldwäscheprävention in der Finanzbranche effektiver werden. Eine Ausrichtung der Maßnahmen und Kontrollen in Abhängigkeit vom bewerteten Risiko bringt überwiegend Vorteile mit sich. Die Anwendung eines risikobasierten Ansatzes erlaubt es den Verpflichteten der Finanzbranche zunächst, dass sie ihre Ressourcen effektiver nutzen können, indem sie ihren Aufwand für einen Teil der Kunden minimieren kön- 426 FATF, Leitfaden zum risikoorientierten Ansatz, 2007, Punkt 1.15. 427 FATF, Leitfaden zum risikoorientierten Ansatz, 2007, Punkt 1.20. 428 FATF, Leitfaden zum risikoorientierten Ansatz, 2007, Punkt 1.46. C. Fazit zum risikobasierten Ansatz der Geldwäscheprävention 87 nen und ihre Konzentration zielgerichtet auf Konstellationen mit erhöhtem Risiko legen können.429 Hinzu kommt die Tatsache, dass durch eine risikoorientierte Behandlung eine gewisse Flexibilität gewonnen wird und so die Ausprägung der Maßnahmen an neu entstehende Risikosituationen einfacher angepasst werden kann.430 429 FATF, Leitfaden zum risikoorientierten Ansatz, 2007, Punkt 1.14. 430 FATF, Leitfaden zum risikoorientierten Ansatz, 2007, Punkt 1.15, 1.17. Kapitel 3. Die Geldwäschebekämpfung als Teil des institutsinternen Risikomanagements 88

Chapter Preview

References

Abstract

Recent cases of money laundering involving globally active banks illustrate the growing importance of legal provisions to curb money laundering. Vollmuth examines the prevention of money laundering in financial institutions and shows that the security measures to be established must be an essential part of compliance management in order to combat money laundering successfully. The author deals with the new requirements of the revised Money Laundering Act of June 23, 2017 and discusses legal questions of interpretation of the revised Act. Eva-Maria Vollmuth is working in the field of regulatory audits and consulting on money laundering law and compliance.

Zusammenfassung

Jüngste Geldwäschefälle mit der Involvierung global agierender Banken verdeutlichen die steigende Relevanz von gesetzlichen Bestimmungen zur Eindämmung der Geldwäsche. Vollmuth untersucht die Geldwäscheprävention in den Instituten der Finanzbranche und zeigt auf, dass die zu etablierenden Sicherungsmaßnahmen für eine erfolgreiche Geldwäschebekämpfung ein wesentlicher Bestandteil des Compliance-Management-Systems sein müssen. Die Autorin behandelt die neuen Anforderungen des novellierten Geldwäschegesetzes vom 23. Juni 2017 und diskutiert rechtliche Auslegungsfragen der Gesetzesnovelle. Eva-Maria Vollmuth ist in der aufsichtsrechtlichen Prüfung und geldwäscherechtlichen Beratung tätig.