Geldwäscherechtliche Hinweise für Institute, die das Kryptoverwahrgeschäft erbringen
1. Vorbemerkung
Mit Inkrafttreten des Gesetzes zur Umsetzung der Änderungsrichtlinie zur vierten EU-Geldwäscherichtlinie (BGBl. I vom 19.12.2019, S. 2602) zum 01.01.2020 wurde das Kryptoverwahrgeschäft als neue erlaubnispflichtige Finanzdienstleistung in das Kreditwesengesetz (KWG) aufgenommen. Unternehmen, die das Kryptoverwahrgeschäft gemäß § 1 Abs. 1a Satz 2 Nr. 6 KWG im Inland betreiben, bedürfen nach § 32 Abs. 1 KWG der vorherigen schriftlichen Erlaubnis der BaFin. Für Unternehmen, die diese Tätigkeit am Stichtag zulässigerweise erbracht haben, gilt die entsprechende Erlaubnis unter den Voraussetzungen der Übergangsvorschrift des § 64y KWG als vorläufig erteilt.
Für nähere Informationen hierzu wird insbesondere auf die nachfolgend genannten Veröffentlichungen der BaFin verwiesen:
– Hinweise zum Tatbestand des Kryptoverwahrgeschäfts
– Hinweise zur Auslegung des § 64y KWG
– Hinweise zum Erlaubnisantrag für das Kryptoverwahrgeschäft
Durch die Aufnahme in den Katalog der Finanzdienstleistungen rücken Institute, die das Kryptoverwahrgeschäft erbringen, in den Kreis der Verpflichteten des GwG.
Die nachfolgenden Hinweise sollen den Neu-Verpflichteten eine erste Orientierung über ihre Pflichten nach dem GwG geben. Dabei erheben sie keinen Anspruch auf Vollständigkeit, sondern dienen lediglich dazu, auf einzelne relevante Themenfelder aufmerksam zu machen und in der Praxis häufig auftretende Fragen vorab zu beantworten.
Für weitere Informationen wird auf die geltenden Auslegungs- und Anwendungshinweise der BaFin zum Geldwäschegesetz (im Folgenden „AuA“), die Erste Nationale Risikoanalyse 2018/2019 (NRA), die Subnationale Risikoanalyse 2019/2020 (SRA 2.0), die Leitlinien der European Banking Authority (EBA) und die Veröffentlichungen der Financial Action Task Force (FATF) verwiesen.
2. Verpflichtete nach dem Geldwäschegesetz
Das GwG verpflichtet in Deutschland tätige Wirtschaftsakteure, bei der Prävention von Geldwäsche und Terrorismusfinanzierung aktiv mitzuwirken. Die mitwirkungspflichtigen Personen und Unternehmen werden in § 2 Abs. 1 GwG als Verpflichtete genannt. Als Finanzdienstleistungsinstitute sind Institute, die das Kryptoverwahrgeschäft erbringen, Verpflichtete nach dem Geldwäschegesetz gem. § 2 Abs. 1 Nr. 2 GwG.
Diejenigen Unternehmen, die unter die Erlaubnisfiktion des § 64y KWG fallen, sind bereits zum Stichtag 01.01.2020 Verpflichtete nach § 2 Abs. 1 Nr. 2 GwG. Auf den Zeitpunkt der Einreichung der Absichtsanzeige und den Stand des Erlaubnisverfahrens kommt es dabei nicht an. Dagegen werden Institute, die nicht unter die Übergangsregelung des § 64y KWG fallen, erst mit Erteilung der Erlaubnis zu geldwäscherechtlich Verpflichteten.
3. Drei Säulen der Geldwäscheprävention
Das GwG umfasst mit den Bereichen Risikomanagement, Kundensorgfaltspflichten und Verdachtsmeldewesen drei wesentliche Säulen zur Sicherstellung einer funktionsfähigen Geldwäscheprävention in Deutschland. Zentrales Motiv der Geldwäscheprävention ist dabei ein risikobasierter Ansatz: Nicht alle Unternehmen benötigen die gleiche Risikovorsorge, um sich vor Geldwäsche und Terrorismusfinanzierung zu schützen. Die gesetzlichen Anforderungen richten sich daher nach den jeweiligen Risiken.
a. Risikomanagement
Nach § 4 GwG müssen die Verpflichteten über ein wirksames Risikomanagement verfügen, das eine Risikoanalyse nach § 5 GwG und interne Sicherungsmaßnahmen nach § 6 GwG umfasst. Wirksam ist ein Risikomanagement, wenn es die gesamte Geschäftstätigkeit des Verpflichteten einbezieht, die sich daraus ergebenden einzelnen Risiken nachvollziehbar berücksichtigt und die daraus abgeleiteten internen Sicherungsmaßnahmen im Hinblick auf diese Risiken als angemessen anzusehen sind.
Institute, die das Kryptoverwahrgeschäft erbringen, haben also eine Risikoanalyse zu erstellen, in der sie die Risiken der Geldwäsche und Terrorismusfinanzierung für ihre Geschäfte ermitteln und bewerten. Dabei haben sie unter anderem die in Anlage 1 und 2 zum Geldwäschegesetz genannten Risikofaktoren zu berücksichtigen. Aufgrund der Neuartigkeit und Komplexität der zugrundeliegenden Technologien sowie der unterschiedlichen Ausprägungen der mit Kryptowerten einhergehenden Anonymisierungspotenziale dürfte dabei den Produktrisiken eine besondere Bedeutung zukommen. Die Risikoanalyse ist nachvollziehbar zu dokumentieren und regelmäßig einer Prüfung auf Notwendigkeit einer Aktualisierung zu unterziehen.
Basierend auf ihrer Risikoanalyse haben die Verpflichteten risikoangemessene interne Sicherungsmaßnahmen gem. § 6 GwG zu schaffen. Hierzu zählen neben der Ausarbeitung von internen Grundsätzen, Verfahren und Kontrollen (§ 6 Abs. 2 Nr. 1 GwG), den Mitarbeiterkontrollen (Nr. 5) und den Mitarbeiterschulungen (Nr. 6) insbesondere die Bestellung eines Geldwäschebeauftragten und seines Stellvertreters gem. § 7 GwG, die für die Einhaltung der geldwäscherechtlichen Vorschriften zuständig sind.
Die Bestellung und die Entpflichtung des Geldwäschebeauftragten sowie seines Stellvertreters sind der BaFin vorab anzuzeigen. Hierzu kann der auf der Internet-Präsenz der BaFin zur Verfügung gestellte Vordruck verwendet werden. Gemäß § 7 Abs. 5 Satz 1 GwG muss der Geldwäschebeauftragte seine Tätigkeit im Inland ausüben. Eine Bestellung von Mitgliedern der Leitungsebene zum Geldwäschebeauftragten bzw. dessen Stellvertreter kommt laut AuA nur bei Verpflichteten in Betracht, die weniger als 15 Vollzeitäquivalente beschäftigen.
§ 6 Abs. 7 GwG eröffnet die Möglichkeit zur Auslagerung interner Sicherungsmaßnahmen, sofern dies vorher der Aufsichtsbehörde unter Darlegung des Nichtvorliegens der Ausschlussgründe nach § 6 Abs. 7 S. 2 GwG angezeigt wurde. Soweit die Funktion des Geldwäschebeauftragten ausgelagert ist, muss im Unternehmen ein Ansprechpartner für Fragen im Zusammenhang mit der ausgelagerten Funktion des Geldwäschebeauftragten bestehen.
b. Kundensorgfaltspflichten
§ 10 Abs. 1 GwG definiert die allgemeinen Sorgfaltspflichten. Im Wesentlichen zählen hierzu:
- die Identifizierung des Vertragspartners und gegebenenfalls der für ihn auftretenden Person (Nr. 1)
- die Abklärung und Identifizierung des wirtschaftlich Berechtigten (Nr. 2)
- die Einholung und Bewertung von Informationen über den Zweck und die Art der Geschäftsbeziehung (Nr. 3)
- die Feststellung, ob es sich bei dem Vertragspartner oder wirtschaftlich Berechtigten um eine politisch exponierte Person („PeP“) handelt (Nr. 4)
- die kontinuierliche Überwachung (Monitoring) der Geschäftsbeziehung und die Aktualisierung der erfassten Dokumente, Daten und Informationen (Nr. 5)
Diese allgemeinen Sorgfaltspflichten sind gem. § 10 Abs. 3 Nr. 1 GwG bei der Begründung einer Geschäftsbeziehung zu erfüllen. § 10 Abs. 2 GwG regelt, dass der konkrete Umfang der Maßnahmen nach § 10 Abs. 1 Nr. 2 bis 5 GwG risikoorientiert zu erfolgen hat. Ebenfalls risikoorientiert ist zu entscheiden, ob gegebenenfalls vereinfachte Sorgfaltspflichten nach § 14 GwG oder verstärkte Sorgfaltspflichten nach § 15 GwG zu erfüllen sind. Ist es den Verpflichteten nicht möglich, die ihnen obliegenden Sorgfaltspflichten zu erfüllen, haben sie zudem die Rechtsfolgen des § 10 Abs. 9 GwG zu beachten (Absehen von einer entsprechenden Transaktion bzw. Kündigung einer Geschäftsbeziehung).
Das Verfahren zur Identifizierung des Vertragspartners wird in den §§ 11 bis 13 GwG konkretisiert. Hinsichtlich der Möglichkeiten von Videoidentifizierungsverfahren wird auf das Rundschreiben 3/2017 (GW) der BaFin hingewiesen.
§ 17 Abs. 1 bis 4 GwG erlaubt den Rückgriff auf dort bestimmte Dritte zur Erfüllung der allgemeinen Sorgfaltspflichten nach § 10 Abs. 1 Nr. 1 bis 4 GwG und dies auch ohne gesonderte vertragliche Basis. Die Verantwortung für die Erfüllung der allgemeinen Sorgfaltspflichten bleibt jedoch bei dem Verpflichteten.
Neben diesen Dritten kann gem. § 17 Abs. 5 bis 9 GwG die Durchführung der allgemeinen Sorgfaltspflichten auch durch andere geeignete Personen und Unternehmen erfolgen. Eine solche Übertragung bedarf einer vertraglichen Vereinbarung. Diese Personen und Unternehmen dürfen ihren Sitz auch im Ausland haben (nicht jedoch in Drittstaaten mit hohem Risiko), müssen die Sorgfaltspflichten aber dennoch nach den national geltenden Bestimmungen erfüllen.
Anders als die Auslagerung interner Sicherungsmaßnahmen nach § 6 Abs. 7 GwG (siehe oben) sind die in § 17 GwG genannten Formen des Rückgriffs bzw. der Übertragung nicht anzeigepflichtig.
c. Verdachtsmeldewesen
Die Meldung von verdächtigen Sachverhalten gem. § 43 GwG gehört zu den zentralen Pflichten des GwG.
Adressat von Verdachtsmeldungen ist die Zentralstelle für Finanztransaktionsuntersuchungen (FIU), bei der sich Verpflichtete gem. § 45 Abs. 1 S. 2 GwG registrieren müssen. Für die Abgabe einer Verdachtsmeldung ist eine Registrierung bei der FIU zwingend erforderlich. Eine verdachtsunabhängige Registrierungspflicht besteht gem. § 59 Abs. 6 GwG mit Inbetriebnahme des neuen Informationsverbunds der FIU, spätestens jedoch ab dem 01. Januar 2024. Die Meldungen erfolgen gem. § 45 Abs. 1 S. 1 elektronisch. Hierzu hat die FIU das Meldeportal „goAML Web“ eingerichtet. Für weitere Informationen zum Registrierungsprozess sowie den Meldeweg wird auf die Veröffentlichungen der FIU verwiesen.
Anhaltspunkte für eine Meldung gemäß § 43 GwG oder Hinweise für die vorgelagerte Einzelfallbeurteilung der Verpflichteten, ob die Voraussetzungen für einen meldepflichtigen Sachverhalt vorliegen, geben die von der FIU erstellten und für die Verpflichteten im internen Bereich der Website der FIU zugänglichen Typologiepapiere, jeweils für die Bereiche „Geldwäsche“ und „Terrorismusfinanzierung“.
Die Erwägungsgründe und eine nachvollziehbare Begründung des Bewertungsergebnisses eines Sachverhaltes hinsichtlich der Meldepflicht nach § 43 Abs. 1 GwG sind nach § 8 Abs. 1 S. 1 Nr. 4 GwG vom Verpflichteten aufzuzeichnen und aufzubewahren.
Quelle: https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Auslegungsentscheidung/A/ae_200512_krypto_gw.html?nn=9021442
