Unternehmen des Finanz- und des Nichtfinanzsektors in Deutschland wenden zahlreiche Ressourcen für die Implementierung der Vorgaben des Geldwäschegesetzes („GwG“) sowie dazugehöriger Verwaltungspraxis auf. Wir beobachten eine stete Zunahme der Anforderungen und damit korrespondierend des Umsetzungsaufwandes.
Das GwG verfolgt dabei einen risikobasierten Ansatz. Das bedeutet in der Praxis, dass die Adressaten der geldwäscherechtlichen Pflichten („Verpflichtete“) die GwG-Anforderungen an das konkrete Risikoprofil eines Kunden, eines Produktes oder einer Transaktion anpassen müssen. Dabei obliegt die Risikoeinschätzung, ebenso wie die konkrete Umsetzung des Pflichtenkatalogs, den Verpflichteten selbst.
Die Anforderungen des GwG entwickeln sich dabei stetig fort: Gerade noch sorgte die Vierte Geldwäscherichtlinie für erheblichen Änderungsbedarf im GwG, da stand bereits die Änderungsrichtlinie zur Vierten Geldwäscherichtlinie („Fünfte Geldwäscherichtlinie“) in den Startlöchern und wartete auf ihre Umsetzung. Der Straftatbestand der Geldwäsche erfuhr im Jahr 2021 ebenfalls weitreichende Änderungen. Aktuell liegt der Entwurf eines umfassenden Regelungspakets der EU bereit, wonach ein Großteil der Regelungen der Fünften Geldwäscherichtlinie in eine Verordnung transferiert werden könnte.
Trotzdem ist es nach wie vor schwierig, den risikobasierten Ansatz in die Praxis umzusetzen.
Zeit, Licht ins Dunkel zu bringen.
In diesem Blog möchten wir zunächst einen Überblick geben. Welche Personen und Firmen sind Verpflichtete nach dem GwG?
In diesem Blog möchten wir zunächst einen Überblick geben. Welche Personen und Firmen sind Verpflichtete nach dem GwG?
Unternehmen des Finanzsektors
- Kreditinstitute
- Finanzdienstleistungsinstitute
- Wertpapierinstitute
- Zahlungsinstitute und E-Geld-Institute
- Agenten und E-Geld-Agenten
- Finanzunternehmen
- Versicherungsunternehmen
- Kapitalverwaltungsgesellschaften
sowie im Inland gelegene Zweigstellen und Zweigniederlassungen dieser Unternehmen mit Sitz im Ausland
Unternehmen des Nicht-Finanzsektors
- Rechtsanwälte, Syndikusrechtsanwälte, Kammerrechtsbeistände, Patentanwälte und Notare
- Wirtschaftsprüfer, vereidigte Buchprüfer, Steuerberater, Syndikus Steuerberater und Steuerbevollmächtigte
- Dienstleister für Gesellschaften und Treuhandvermögen und Treuhänder
- Immobilienmakler
- Veranstalter und Vermittler von Glücksspielen
- Güterhändler, Kunstvermittler und Kunstlagerhalter
Um die Pflichten des GwG erfüllen zu können, müssen Verpflichtete ein funktionsfähiges Risikomanagement implementieren. Ein Risikomanagement besteht typischerweise aus einer Risikoanalyse und daraus abgeleiteten internen Sicherungsmaßnahmen, insb. interner Grundsätze und Verfahren, (falls erforderlich) der Ernennung eines Geldwäschebeauftragten, institutionalisierter KYC-Prüfprozesse und einem Schulungsplan für Mitarbeiter.
Die zehn Schritte der KYC-Prüfung.
Verpflichtete müssen die Identität ihrer Kunden genau kennen, um Risiken einschätzen und beherrschen zu können. Zur Erfüllung der gesetzlichen Vorgaben sollten Verpflichtete folgende zehn Schritte bei der Ausführung der KYC-Prüfung beachten:
Zehn Schritte
- Identifizieren Sie den Kunden.
- Überprüfen Sie dessen Identität.
- Stellen Sie fest, ob eine Stellvertretung vorliegt.
- Stellen Sie den Zweck und die beabsichtigte Art der Geschäftsbeziehung fest.
- Recherchieren Sie, wenn nötig, woher das Vermögen und die Ressourcen stammen, die im Rahmen einer Geschäftsbeziehung oder Transaktion eingesetzt werden.
- Bei juristischen Personen: Verschaffen Sie sich Einblicke in die Eigentums- und Kontrollstruktur des Kunden und ermitteln Sie den UBO.
- Stellen Sie fest, ob es sich beim Kunden oder dem UBO um eine PEP handelt.
- Führen Sie zu Kunden, ggf. UBOs und weiteren verbundenen Personen und Unternehmen, Hintergrundrecherchen, insb. zu Übereinstimmungen mit Sanktionslisten und negativer Presseberichterstattung durch.
- Führen Sie den Kunden einer Risikokategorie zu und führen Sie risikoangemessen nur vereinfachte oder zusätzlich zu den allgemeinen verstärkten KYC-Maßnahmen durch.
- Überprüfen Sie Kunden anlassbezogen und wiederkehrend in risikoangemessenen Abständen und überwachen Sie Transaktionen.
„Die Erfüllung der Gesetze und Vorschriften bei der Identifizierung ist für Verpflichtete nicht die einzige Herausforderung. Es ist vielleicht sogar noch schwieriger, dafür zu sorgen, dass alles digital und kundenfreundlich abgehandelt wird. Häufig müssen Kunden viele Daten angeben, die sie nicht immer sofort zur Hand haben, beispielsweise die Reisepass- oder Steueridentifikationsnummer. Manchmal müssen sie sich persönlich vor Ort identifizieren. Da die meisten Abläufe mittlerweile digital und „remotely“ erledigt werden, passen diese Identifizierungsanforderungen eigentlich nicht mehr in die heutige Welt. Es gibt Parteien, die auch diesen Teil des Aufnahmeverfahrens digitalisieren können. Das spart nicht nur Zeit, sondern trägt auch zur Kundenzufriedenheit bei. Dadurch erhöht sich wiederum die Wahrscheinlichkeit, dass die Kunden einem lange treu bleiben.“
Inakzeptable Risiken: keine Beziehung eingehen oder bestehende Beziehung beenden.
Treten zu viele risikoerhöhende Faktoren zusammen, kann dies dazu führen, dass das Risiko inakzeptabel ist, weil von einem Kunden oder einer Geschäftsbeziehung ein zu hohes Risiko der Geldwäsche oder Terrorismusfinanzierung ausgeht. Der Verpflichtete sollte den Kunden in diesem Fall nicht annehmen oder eine bestehende Geschäftsbeziehung beenden. Ist ein Verpflichteter nicht in der Lage, die KYC-Prüfung risikoangemessen durchzuführen, so darf eine Geschäftsbeziehung entweder nicht begründet werden oder muss beendet werden.
Periodische Aktualisierungen
Bei der periodischen Aktualisierung von KYC-Angaben wird geprüft, ob die Risikokategorisierung eines Kunden noch zutrifft und die angewandten Sicherungsmaßnahmen noch risikoangemessen sind. Dabei werden sämtliche Schritte der KYC-Prüfung, außer der (Erst-)Identifizierung, wiederholt. Welche genauen Maßnahmen im Rahmen der periodischen Aktualisierung erfüllt werden müssen, hängt wiederum von der Risikokategorie ab, der ein Kunde initial zugeordnet wurde.
Fazit: Überwachen Sie Geschäftsbeziehungen sorgfältig und automatisieren Sie Prozesse, wo möglich..
Den Pflichtenkatalog des GwG zu erfüllen, ist zweifellos eine anspruchsvolle Aufgabe, für die es keine „One fits all“-Lösung gibt. Wenn Sie jedoch folgende Keynotes im Hinterkopf behalten, wird Ihnen die Anwendung des GwG etwas leichter fallen.
- Erstellung einer Risikoanalyse und Festlegung von Methoden
- Automatisieren Sie die Kundenannahme, wo möglich
Die Durchführung von KYC-Prüfungen verläuft effektiver, wenn Sie die erforderlichen Unternehmensdaten automatisch in Ihr Kundenannahme- oder Überwachungssystem einspeisen. Auf diese Weise werden Risiken frühzeitiger oder schneller erkannt. Dafür können APIs verwendet werden. Damit verfügen Sie umgehend über korrekte, möglichst vollständige und präzise Unternehmensdaten. So sparen Sie viel Zeit: anstatt einzelne Handelsregisterauszüge zu beantragen, haben Sie alle Informationen komplett in Ihrer eigenen Software. Integrieren Sie APIs unter anderem für die Einspeisung von folgenden Unternehmensdaten:
- Organisations- und Kontrollstruktur (bis zum Mutterunternehmen)
- Handelsregisterauszüge
- UBOs
- negative Presseberichterstattung
- Übereinstimmungen mit PEP-, Sanktions-, Beobachtungs- oder Warnlisten
- Informationen über Gerichtsverfahren
Neugierig auf die Möglichkeiten von Company.info Online für Ihr Unternehmen?
Werfen Sie einen Blick in unsere Online-Umgebung. Fordern Sie jetzt ein Probeabonnement an und testen Sie Company.info Online gratis
- Stellen Sie Trigger für anlassbezogene Aktualisierungen ein
- Sorgen Sie dafür, dass Ihre Kenntnisse immer aktuell sind
Last but not least: Sorgen Sie dafür, dass die sachbefassten Mitarbeiter immer über geltende Verpflichtungen und aktuelle Änderungen auf dem Laufenden sind. Erstellen Sie einen Schulungsplan, damit die Einzelheiten des GwG und die einschlägige Verwaltungspraxis genau bekannt sind.