+356 213 777 00
info@drwerner.com

Der Begriff der ‚verstärkten Sorgfaltspflicht‘ in Sachen ‚Compliance‘

In einem von der britischen Financial Conduct Authority (FCA) am 21. Mai 2021 veröffentlichten Bericht über „common control failings identified in anti-money laundering frameworks“ (gemeinsame Kontrollmängel in Anti-Geldwäsche-Rahmenwerken) gab es einen besonderen Anlass zur Besorgnis in Bezug auf die Customer Due Diligence, insbesondere die „Enhanced Due Diligence“ (EDD).

In dem Bericht wurde unter anderem hervorgehoben, dass „der Ansatz einiger Firmen bei der Sorgfaltspflicht unzureichend ist und nicht immer die von dem [bestimmten] Kunden verursachten Risiken eindämmt. In diesem Zusammenhang wird in dem Bericht empfohlen, dass „die Firmen sicherstellen müssen, dass sie in allen Hochrisiko-Situationen EDD-Maßnahmen anwenden und eindeutig nachweisen können, welche Arbeiten durchgeführt wurden“.

Der Zweck dieses Artikels ist es, das Prinzip der verstärkten Sorgfaltspflicht zu untersuchen und gleichzeitig seine alltägliche Nutzung und Anwendung zu verstehen – insbesondere beim Onboarding und/oder der Überwachung von Kunden.

CDD-Anforderungen

Die maltesischen Vorschriften zur Verhinderung von Geldwäsche und Terrorismusfinanzierung (S.L. 373.01) schreiben vor, dass „Maßnahmen zur Erfüllung der Sorgfaltspflicht gegenüber Kunden [1] auf alle Kunden anzuwenden sind, wenn

1) eine Geschäftsbeziehung aufgenommen wird,

2) eine gelegentliche Transaktion durchgeführt wird und/oder

3) die betreffende Person Kenntnis von oder einen Verdacht auf Erträge aus kriminellen Aktivitäten, Geldwäsche oder Terrorismusfinanzierung hat. ….“[2]

Darüber hinaus müssen diese CDD-Maßnahmen gemäß Verordnung 7(1) bestehen aus

  • die Identifizierung und Überprüfung des Kunden.
  • die Identifizierung und Überprüfung des/der wirtschaftlichen Eigentümer/s.
  • die Einholung von Informationen über den Zweck und die beabsichtigte Art der Geschäftsbeziehung, um die Erstellung eines Geschäfts-/Risikoprofils zu ermöglichen, und
  • die fortlaufende Überwachung der Geschäftsbeziehung.

Die oben genannten vier Maßnahmen bilden die Grundlage jedes soliden Compliance-Programms zur Bekämpfung von Finanzkriminalität. In der Praxis formulieren und definieren die betroffenen Personen in der Regel ein Standardniveau von CDD-Maßnahmen für Kunden mit normalem Risiko (unter Berücksichtigung sektorspezifischer Leitlinien), wobei für Kunden mit einem geringeren Risiko für Geldwäsche und Terrorismusfinanzierung vereinfachte Sorgfaltspflichten (SDD-Maßnahmen) gelten können.

Verstärkte Sorgfaltspflicht.

Das Online-AML-Portal „ComplyAdvantage“ definiert EDD als „den Prozess der Sammlung von Daten und Informationen zur Überprüfung der Identität von Kunden, wobei jedoch zusätzliche Informationen erforderlich sind, um das mit dem Kunden verbundene Risiko zu mindern“. Einfach ausgedrückt: In Situationen, in denen die Sorgfaltspflicht ein höheres ML/TF-Risiko darstellt, sollten mehr Informationen und Unterlagen eingeholt werden. (Diese Anforderung gilt sowohl für gelegentliche Transaktionen als auch für Geschäftsbeziehungen).

Die Wolfsberg-Gruppe liefert auch eine interessante Definition: EDD bezieht sich auf „zusätzliche Informationen, die im Rahmen der Sorgfaltspflicht gegenüber dem Kunden gesammelt werden, oder verstärkte Vorsichtsmaßnahmen, wie die laufende Überwachung von Aktivitäten, die auf einer risikosensitiven Basis in jeder Situation angewandt werden, die ihrer Natur nach ein höheres ML/TF-Risiko darstellen kann“. Die Betonung der laufenden Überwachung ist aus Sicht von Wolfsberg von entscheidender Bedeutung, zumal sich die Empfehlungen hauptsächlich auf Kredit-/Finanzinstitute beziehen.

Eine der bekanntesten Definitionen zur Unterscheidung zwischen CDD und EDD stammt von der neuseeländischen Finanzmarktaufsichtsbehörde, die in ihren Leitlinien zur verstärkten Sorgfaltspflicht gegenüber Kunden (Enhanced Customer Due Diligence Guidelines) EDD als „zwei Kernanforderungen, die über die Standard-CDD hinausgehen“ definiert. Dabei handelt es sich um (i) die Einführung verstärkter oder ausgefeilterer Maßnahmen zur Einholung und Überprüfung von Kundendaten und der Struktur des wirtschaftlichen Eigentums – entsprechend dem jeweiligen Risikoniveau – und (ii) die Verpflichtung, Informationen über die Herkunft des Vermögens und der Mittel des Kunden einzuholen und zu überprüfen – wobei je nach Risiko angemessene Schritte unternommen werden müssen.

Diese doppelte Argumentation wird auch von der Joint Money Laundering Steering Group (JMLSG) des Vereinigten Königreichs (Part I Guidance Notes of 2020) aufgegriffen, wonach die Beschaffung umfassender CDD-Daten/Dokumente in den Akten (i) sowohl bei der Formulierung des Risikobewertungsprozesses als auch beim wirksamen Management aller ML/TF-Risiken hilfreich ist und (ii) eine Grundlage für die Überwachung der Kundenaktivitäten und -transaktionen bietet, wodurch die Wahrscheinlichkeit erhöht wird, dass die Nutzung ihrer Produkte und Dienstleistungen für ML/TF aufgedeckt wird.

Alle oben genannten Interpretationen (so heterogen und interessant sie auch sein mögen) können dahingehend interpretiert und ausgelegt werden, dass, soweit die EDD betroffen ist, Folgendes erforderlich ist

  • zusätzliche Datenerfassung und Informationen ein Muss sind;
  • eine solche Datenerhebung als Teil der Philosophie einer Person gefordert werden sollte, die „vorsichtigere/ausgereiftere Maßnahmen“ anstrebt;
  • alle Ergebnisse werden den Praktikern bei der Durchführung robusterer Risikobewertungen helfen.

Risikobasierter Ansatz (RBA) und EDD-Maßnahmen.

In den FATF-Leitlinien für einen risikobasierten Ansatz für TCSPs heißt es, dass das allgemeine Prinzip eines risikobasierten Ansatzes (der an sich den Eckpfeiler der AML/CFT-Leitlinien und -Gesetzgebung bildet) darin besteht, dass dort, wo „höhere Risiken bestehen, verstärkte Maßnahmen ergriffen werden sollten, um diese Risiken zu verwalten und zu mindern„. Darüber hinaus sollten das „Spektrum, der Grad und die Häufigkeit oder Intensität der durchgeführten Präventivmaßnahmen und Kontrollen in Szenarien mit höherem Risiko verstärkt werden“. Deshalb ist es von grundlegender Bedeutung, dass man weiß, wie und wann man EDD anwendet.

Das Ausmaß der EDD-Maßnahmen.

Die JMLSG weist auch darauf hin, dass es in der Praxis im Rahmen eines risikobasierten Ansatzes nicht angemessen ist, dass jeder Dienstleister seine Kunden gleichermaßen gut kennt, unabhängig von Zweck, Nutzung oder Wert des angebotenen Produkts/der Dienstleistung. Informationsanforderungen müssen verhältnismäßig, angemessen und für die Kunden diskriminierend…. vertretbar sein. Daher ist es nicht sinnvoll, einfach nur Informationen um der Informationen willen anzufordern (insbesondere wenn ein Kunde nicht in der Lage ist, diese Informationen weiterzugeben), denn die Anfrage sollte verhältnismäßig und dem Kunden angemessen sein, mit dem die betroffene Person entweder eine Geschäftsbeziehung oder eine gelegentliche Transaktion anstrebt.

Risikoerscheinungen, die eine EDD erforderlich machen.

Nach der Definition der EDD (und der Festlegung ihres Umfangs und Zwecks) lohnt es sich, auf die Szenarien einzugehen, in denen die EDD gesetzlich vorgeschrieben ist. Interessanterweise schreibt die FMA (Neuseeland) vor, dass EDD-Maßnahmen immer dann in Erwägung gezogen werden sollten, wenn eine „wesentliche Änderung“ vorliegt – d. h. ein Ereignis, eine Aktivität oder eine Situation, die (z. B. meist während der Überwachung) das Niveau des ML/TF-Risikos verändern könnte. Eine solche wesentliche Änderung könnte vorliegen, wenn der Kunde neue oder risikoreichere Produkte nachfragt“, wenn ein Treuhandfonds eingerichtet wird oder wenn das Volumen/der Umfang der Aktivitäten oder Transaktionen des Kunden über das vernünftigerweise zu erwartende Maß hinaus zunimmt…“.

Aus rein lokaler (maltesischer) Sicht besagt Verordnung 11, dass die EDD „zusätzlich“ zu den in Verordnung 7 der PMLFTR vorgesehenen Maßnahmen angewandt (eingeführt) werden soll:

  • in Bezug auf Aktivitäten, bei denen die FIAU ein hohes Risiko der Geldwäsche oder der Finanzierung des Terrorismus feststellt (in erster Linie gemäß der nationalen Risikobewertung)
  • immer dann, wenn die betroffene Person im Rahmen einer Risikobewertung feststellt, dass entweder die gelegentliche Transaktion oder die Geschäftsbeziehung ein hohes Geldwäsche- bzw. Terrorismusfinanzierungsrisiko darstellt
  • im Rahmen von Korrespondenzbeziehungen mit Instituten aus anderen Ländern als den EU-Mitgliedstaaten
  • beim Umgang mit politisch exponierten Personen (PEP).
  • bei der Analyse komplexer, umfangreicher Transaktionen, die nach einem ungewöhnlichen Muster ablaufen oder keinen offensichtlichen wirtschaftlichen/rechtswidrigen Zweck haben, und
  • beim Umgang mit nicht seriösen Gerichtsbarkeiten.

EDD-Maßnahmen in der Praxis.

Während die Einholung kurzer Beschreibungen einer Geschäftstätigkeit in einem Szenario mit geringem Risiko akzeptabel sein kann (vorausgesetzt, dass die Art und der Zweck verstanden werden), müssen in Fällen mit „hohem Risiko“ zusätzliche Informationen angefordert werden. Dies geschieht üblicherweise durch die Untermauerung der Feststellungen mit Unterlagen und (gegebenenfalls) zusätzlichen Maßnahmen, wie sie in den Durchführungsverfahren der FIAU festgelegt sind. Diese können unter anderem die Durchführung zusätzlicher Recherchen (z. B. nachteilige Medienkontrollen) und/oder die Anforderung von Informationen über die Herkunft der Gelder und des Vermögens (um sicherzustellen, dass es sich nicht um Erträge aus Straftaten handelt) umfassen.

Der „Financial Crime Guide“ der FCA rät im Rahmen seiner EDD-Empfehlungen dazu, ein „besseres Verständnis für den Ruf des Kunden/der Firma und/oder seine/ihre Rolle im öffentlichen Leben zu erlangen und zu beurteilen, wie sich dies auf das Risikoniveau auswirkt“. Die neuseeländische FMA empfiehlt auch, zwischen einem Kunden, der ein höheres Risikoprofil aufweist, aber nicht in Geldwäsche und Terrorismusfinanzierung verwickelt ist, und einem Kunden, dessen Transaktionen oder Aktivitäten mit Geldwäsche und Terrorismusfinanzierung in Verbindung gebracht werden können, zu unterscheiden. Daher sollten alle Situationen von Fall zu Fall beurteilt werden, wobei die bestehenden Rechtsvorschriften zu berücksichtigen sind.

Die Durchführungsverfahren der FIAU sind in der Tat sehr risikoscheu, wenn es um PEPs geht. Unabhängig davon, ob eine Geschäftsbeziehung ein geringes Risiko darstellt oder nicht, müssen immer dann, wenn eine betroffene Person mit einem PEP, einem Familienmitglied oder einer nahestehenden Person eines PEP zu tun hat, EDD-Maßnahmen angewendet werden. Gemäß dem PMLFTR müssen diese auch[1] 1) die Genehmigung durch die Geschäftsleitung, 2) die Ergreifung angemessener Maßnahmen zur Feststellung von SoF und SoW und 3) eine verstärkte Überwachung solcher Beziehungen umfassen.

Während es in Situationen mit geringem Risiko zulässig sein kann, die Identität des Kunden/des wirtschaftlichen Eigentümers zu überprüfen (je nach den Richtlinien und Verfahren), ist dies bei Geschäftsbeziehungen mit hohem Risiko ein absolutes No-Go, da alle Identifizierungs- und Überprüfungsanforderungen vor der formellen Beauftragung erfüllt sein sollten.

In Situationen, in denen ein größeres Risiko von Geldwäsche und Terrorismusfinanzierung besteht, ist die Anforderung von Informationen über den Aufenthaltsstatus des Kunden, seine Beschäftigung und sein Gehalt sowie über andere Einkommens-/Vermögensquellen (z. B. Erbschaft, Verkauf von Immobilien oder Veräußerung von Vermögenswerten) von entscheidender Bedeutung für die Entscheidung, ob der Kunde akzeptiert wird oder nicht. Zu den EDD-Maßnahmen könnte auch gehören, dass gegebenenfalls die erste Zahlung über ein auf den Namen des Kunden/der Firma lautendes Konto bei einem Kreditinstitut in der EU/im EWR-Raum erfolgen muss.

Die FCA des Vereinigten Königreichs schreibt vor, dass es bei der Anwendung von EDD-Maßnahmen auch entscheidend ist, festzustellen, wie der Kunde/das Unternehmen sein Vermögen erworben hat, um sich zu vergewissern, dass es rechtmäßig ist. Daher ist die Identifizierung (und der Nachweis) des Vermögens vielleicht das größte Problem für alle betroffenen Personen – vor allem, wenn sie mit komplexen Strukturen oder wirtschaftlichen Eigentümern zu tun haben, bei denen es sich auch um vermögende Personen handelt. Wie die JMLSG jedoch hervorhebt, „ist die Verfügbarkeit und Verwendung von Finanzinformationen wichtig, um die zusätzlichen Kosten für die Erhebung von Informationen zur Sorgfaltspflicht gegenüber Kunden zu reduzieren – und kann dazu beitragen, das mit der Geschäftsbeziehung verbundene Risiko besser zu verstehen“.

Während in Szenarien mit geringem Risiko der Zeitpunkt und das Ausmaß der laufenden Überwachung alle zwei oder drei Jahre durchgeführt werden können, muss in Situationen mit hohem Risiko eine verstärkte Überwachung der Geschäftsbeziehung in Betracht gezogen werden (entweder auf jährlicher oder halbjährlicher Basis), abhängig von der anfänglichen Kundenrisikobewertung (CRA). Eine weitere EDD-Maßnahme in diesem Zusammenhang ist die Erhöhung der Anzahl und des Zeitpunkts der durchgeführten Kontrollen (und/oder die entsprechende Auswahl von Transaktionsmustern nach Risikoauslösern) – insbesondere dann, wenn die Verpflichtung zur Durchführung einer Transaktionsüberwachung entsteht.

Während „Szenarien mit geringem Risiko“ in jeder Hinsicht innerhalb der Risikobereitschaft der betroffenen Person liegen könnten, gilt dies sicherlich nicht für alle „Hochrisikosituationen“. Im Wesentlichen hängt vieles von der Risikotoleranz und der Kundenakzeptanzpolitik der betreffenden Person ab. Auch wenn dies nicht direkt mit der EDD zusammenhängt, wäre es ratsam, bei einer Reihe von Kunden, die als „hochriskant“ eingestuft werden, entweder ein De-Risking-Verfahren durchzuführen oder ein Kappungs-/Schwellenwertsystem einzuführen, um das von Hochrisikokunden ausgehende Gesamtkonzentrationsrisiko zu mindern.

Nicht seriöse Gerichtsbarkeiten.

EDD-Maßnahmen müssen auch angewendet werden, wenn die betroffene Person mit natürlichen/juristischen Personen zu tun hat, die in einem nicht seriösen Land ansässig sind. Während EU-/EWR-Länder dem Betroffenen weniger Pflichten auferlegen (insbesondere in Bezug auf das Risiko), werden für nicht seriöse Verbindungen sicherlich zusätzliche Informationen verlangt – insbesondere in Bezug auf die Herkunft der Gelder, die Konten, über die die Gelder fließen, den Grad und das Ausmaß der Verbindungen mit dem nicht seriösen Land (bezieht sich dies nur auf die Staatsangehörigkeit und/oder die Herkunft des Vermögens oder finden auch geschäftliche Aktivitäten in dem Land statt) und/oder die Anforderung weiterer Unterlagen zu Art und Zweck.

Einbeziehung der obersten Führungsebene.

In der Praxis empfiehlt es sich auch, sich nicht ausschließlich auf die Richtlinien und Verfahren der betreffenden Person zu verlassen, sondern die Risikominderungstechniken mit Kollegen oder der Geschäftsleitung zu erörtern – zumal jeder Geschäftsfall in der Regel seine eigenen, einzigartigen ML/TF-Bedrohungen aufweist. Aus diesem Grund ist die Zustimmung der Geschäftsleitung in diesem Zusammenhang von entscheidender Bedeutung, denn der Vorstand ist nicht nur „Eigentümer“ des Risikos, sondern sollte auch eine Kultur der Einhaltung der Vorschriften fördern.

Dies geht so weit, dass die Durchführungsverfahren der FIAU (Teil I) auch vorschreiben, dass die betreffende Person über eine klare Richtlinie für die Eskalation von Entscheidungen über die Annahme oder Fortführung von Geschäftsbeziehungen mit hohem Risiko an die Geschäftsleitung verfügen sollte“.

Schlussfolgerung

Auch wenn alle Praktiker die Bedeutung des Begriffs „EDD“ verstehen, liegt seine Anwendung und Methodik nach wie vor weitgehend im Ermessen der betroffenen Person. Vieles wird vom AML/CFT-Handbuch (P&Ps) abhängen, das eine umfassende Beschreibung darüber enthalten sollte, wie EDD-Maßnahmen von Fall zu Fall anzuwenden sind. Dies sollte jedoch nicht von der Tatsache ablenken, dass die für die Einhaltung der Vorschriften zuständigen Bediensteten einen proaktiven Ansatz verfolgen und die EDD immer dann anwenden müssen, wenn eine Situation ein höheres ML/TF-Risiko darstellt. Zu diesem Zweck reicht es möglicherweise nicht aus, sich nur auf Verfahren zu verlassen. Instinkt und Wissen (das durch laufende Forschung und Schulung erworben wird) werden sich im Kampf gegen Geldwäsche und Terrorismusfinanzierung ebenfalls als entscheidend erweisen.

 

Disclaimer: Der oben genannte Artikel basiert lediglich auf unabhängigen Recherchen von Dr. Werner und Partner und kann keine Rechtsberatung darstellen. Wenn Sie sich mit einem unserer Vertreter treffen möchten, um weitere Informationen zu erhalten, vereinbaren Sie bitte einen Termin mit uns.

 

[1] Die Durchführung der Customer Due Diligence ist von größter Bedeutung, insbesondere im Zusammenhang mit der Kundenidentifizierung, dem Risikomanagement, der Kundenakzeptanz und der Überwachung – vier Schlüsselelemente eines soliden KYC-Programms, wie im Papier des Basler Ausschusses vom Oktober 2001 beschrieben.

[2] Verordnung 7(5)(ac) der PMLFTR

[3] Gemäß Vorschrift 11(5)

 

Haben Sie noch Fragen?

Jetzt kostenfreie Erstberatung anfragen.​

Ähnliche Beiträge

Fachbeitrag

Eine der Hauptaufgaben des maltesischen Unternehmensregisters (MBR) ist es, sicherzustellen, dass alle Unternehmen und Handelsgesellschaften dem Companies Act und den Companies Act (Register of Beneficial Owners) Regulations entsprechen. Rechtlicher Rahmen...

Fachbeitrag

Malta ist eines der begehrtesten Regime der Welt, wenn es um die Registrierung von Yachten geht. Dies sollte angesichts der zahlreichen Vorteile, die Sie bei der Registrierung einer Yacht in...

Fachbeitrag

Wie in fast jedem Land gibt es auch in Malta die Pflicht, seine Steuererklärung 1 Mal jährlich abzugeben. Das betrifft nicht nur Unternehmer und Selbstständige, sondern auch Privatpersonen, die ihren...

Beiträge suchen

Suche

Kanzlei-Newsletter

Neuste Beiträge

Geschäftszeiten

MON - FR 9.00 -17.00

Telefon

+356 213 777 00