Aktuelle Feststellungen bei der Umsetzung der geänderten Bestimmungen im GwG

Praktische Tipps für die bestmögliche Umsetzung und Vermeidung von Risiken 

Detlev M. Basse, Dr. iur., LL.M., Leitender Rechtsberater FS Regulatory & Compliance, BDO AG

Taulant Avdija, Partner, Leiter FS Regulatory & Compliance Schweiz,                            BDO AG

1. Einleitung

Im vergangenen Jahr sind gewichtige Änderungen bei der Geldwäschereibekämpfung und den einzuhaltenden Sorgfaltspflichten in Kraft getreten. Dies hatte unmittelbare Auswirkungen auf interne Reglemente und Weisungen, Prozessabläufe und Dokumentationsanforderungen. Ebenso überarbeitet werden mussten in diesem Zusammenhang die internen Kontrollen (IKS). Nachstehend aufgeführt werden die relevanten Änderungen im GwG sowie Erwartungshaltungen der FINMA:

• Pflicht zur Überprüfung (Verifizierung) und zweckmässiger Dokumentation des wirtschaftlich Berechtigten (BO)
• Pflicht zur periodischen Aktualisierung der Kundendaten auf Grundlage der Risikoanalyse gem. den Kriterien nach Art. 13 Abs. 2 GwV-FINMA
• Pflicht zur jährlichen Durchführung einer Risikoanalyse, unter Berücksichtigung des Tätigkeitsgebiets und der Art der geführten Geschäftsbeziehungen nach den Vorgaben der FINMA Aufsichtsmitteilung 05/2023 i.S.v. Art. 25 Abs. 2 GwV-FINMA

2. Aktueller Stand der Umsetzung bei den Finanzintermediären

Unter diesem Titel werden bei durchgeführten Prüfungen (Audits) gemachte Feststellungen aufgezeigt und entsprechende Massnahmen zur Einhaltung der regulatorischen Anforderungen vorgeschlagen.

2.1     Generelle Anforderungen an die Dokumentation

Zentrales Element zur Vermeidung von Feststellungen, namentlich Beanstandungen, ist die Anforderung an eine für Dritte (Aufsichtsbehörde und Prüfgesellschaften) nachvollziehbare physische und/oder elektronische Dokumentation. Relevant ist dabei insbesondere die Nachvollziehbarkeit eines Geschäftsvorgangs, z.B. konkrete Grundlage für die Feststellung des BO. Dazu gehört auch eine chronologische Nachvollziehbarkeit, das heisst das Datum der Durchführung und der Name der beauftragten Person sowie allfällige Verweise auf weitere relevante Dokumente. Die aktuelle Erfahrung zeigt einen tendenziell nachlässigen Umgang mit formalen Anforderungen der Dokumentation. Die häufig verwendete Begründung "Wir kennen unsere Kunden", ist nicht ausreichend.

2.2 Verifizierung des wirtschaftlich Berechtigten

Die Überprüfung des wirtschaftlich Berechtigten verlangt als Vorgang eine selbständige Prüfhandlung durch den Finanzintermediär (FI). Die Eigenerklärung des Kunden über den BO - trotzt Urkundenqualität - muss inhaltlich anhand geeigneter und aussagekräftiger Dokumente überprüft werden. Als geeignet gilt u.a. ein vollständiges KYC mit dem Grund der Aufnahme der Geschäftsbeziehung, Ausbildung, Werdegang und Geschäftstätigkeit des Kunden, "Source of wealth, "Source of Funds", Verwendungszweck der Vermögenswerte, Transaktionsverhalten etc.

Als Quelle kann zudem die Open-source-Abfrage Aufschluss über die Vertragspartei geben. Massgebend sind die Bestimmungen des Art. 4 GwG i.V.m. Art. 2 Buchst. f GwV-FINMA bzw. Art. 56 ff. oder Art. 59 ff. GwV-FINMA.[1]

Aktuelle Feststellungen zeigen, dass die Umsetzung gesetzlicher Anforderungen an die Überprüfung des BO noch nicht einwandfrei erfolgt. Der isolierte Vermerk "BO wurde überprüft" oder die Ablage von Ausweiskopien ist nicht ausreichend. Der Prüfvorgang muss als Grundlage der Nachvollziehbarkeit schriftlich festgehalten werden. Es handelt sich dabei um eine Plausibilisierung und nicht um eine Beweisanforderung. Ebenso muss festgehalten sein, wer die Prüfung für den FI durchführte und zu welchem Zeitpunkt dies erfolgte.

2.3 Periodische Aktualisierung der Kundendaten

Im Rahmen der Anforderung gem. Art. 7 Abs. 1bis GwG an die risikobasierte, periodische Aktualisierung der Kundendaten sind sich FI einig, dass diese bei Ausland-PEP, jährlich zu erfolgen hat.[2] An Bedeutung zugenommen hat die adäquate Risikoeinschätzung der Kundenbeziehungen, bei deren Versagen der FI riskiert, dass die jährliche Aktualisierung nicht ausreichend vorgenommen wird (z.B. Überprüfung der Risikokriterien für eine jährliche Kontrolle). Ist ein solcher Prozess nicht ausgewiesen dokumentiert, kann das eine Verletzung der Sorgfaltspflichten darstellen und mit aufsichtsrechtlichen Konsequenzen verbunden sein.

Die Periodizität der Aktualisierung nach Risikoskalierung des Kunden muss in einer verbindlichen Weisung festgehalten sein. Die definierten Fristen sind zwingend einzuhalten.

Betroffen von der aktiven Aktualisierungspflicht sind, auch aus datenschutzrechtlicher Sicht, sämtliche Daten über den Kunden, die Gegenstand der Geschäftsbeziehung bilden. Dies betrifft sowohl Stammdaten der formellen Identifizierung sowie auch übrige Daten (z.B. Inhalt des KYC). Der Prozess für die Wiedervorlage und Beurteilung der Weiterführung einer GmeR muss strukturiert erfolgen und dokumentiert werden. Dies beinhaltet den begründeten Antrag für eine Weiterführung oder Aufhebung der Geschäftsbeziehung und die Protokollierung im Rahmen der Sitzung des Entscheidungsgremiums.

2.4 Tiefer Risikoappetit und hoher Anteil Sitzgesellschaften im Ausland - ein Widerspruch

Die Durchführung einer Geldwäschereirisikoanalyse i.S.v. Art. 25 Abs. 2 GwV-FINMA verlangt die nominelle Ermittlung der Gesamtkundenzahl an bestehenden Geschäftsbeziehungen, davon die Anteile der in-/ausländischen Kunden, Privat-/Geschäftskunden, PEP und GmeR, operative Gesellschaften und Sitzgesellschaften sowie die Zu- und Abgänge im Vorjahresvergleich. Die Kundendaten müssen strukturiert aufbereitet werden. Darunter fallen Kriterien wie: Sitz der Vertragspartei sowie BO/Kontrollinhaber, Nationalität/en und bei juristischen Personen oder Gesellschaften Geschäftsbereiche (Verwendung NOGA Code[3]) sowie die Anzahl der Geschäftsbeziehungen zu Sitzgesellschaften oder komplexen Strukturen (vgl. Art. 13 Abs. 2 Buchst. h GwV-FINMA).

Die FINMA bemängelt bei den beurteilten Risikoanalysen das Fehlen einer adäquaten Definition der Geldwäschereirisikotoleranz, die durch festgelegte Limiten und strukturelle Elemente den begrenzenden Rahmen einer robusten Risikoanalyse bilden sollte.

Die Risikotoleranz hat im Einklang mit der strategischen Ausrichtung und dem Geschäftsmodell zu stehen. Das blosse Lippenbekenntnis "der Risikoappetit sei tief" genügt nicht. Die Praxis zeigt, dass oftmals über "Exception-to-policy-Beschlüsse" dennoch risikoreiche Geschäftsbeziehungen aufgenommen werden (z.B. mit Domizil in FATF "grey list" Ländern). Diese Praxis zeigt deutlich einen Widerspruch in der Umsetzung auf; das heisst die Ausnahme wird zur Regel. Es fehlt vielfach ein klarer Prozess zur Minimierung der Risiken und Überwachung der "ausnahmsweise" gebilligten Geschäftsbeziehungen.

Bei der Durchführung des Risk-Assessments müssen gem. Vorgaben der FINMA für jede Geldwäschereirisikokategorie das inhärente Risiko, Kontrollrisiko, sowie das daraus resultierende Nettorisiko nachvollziehbar aufgezeigt werden. Die Risiko-Einschätzung erhält damit mehr Gewicht, verlangt aber auch mehr Zeit und Compliance-/Risk Know-how der verantwortlichen Personen. Es ist unter Umständen ratsam, dazu fachkundige Dritte im Rahmen eines Outsourcing von Risk- und Compliance Aufgaben beizuziehen.

3. Fazit

Der regelmässigen Überarbeitung von Reglementen, Weisungen und Arbeitsabläufen ist konsequent nachzugehen. Die Änderungen müssen mit dem IKS abgeglichen werden. Dies zeigt sich am Begriff der komplexen Struktur, da ohne Aufnahme in eine Weisung die wesentliche Grundlage für die Beurteilung der erhöhten Gw-Risiken mit solchen Strukturen fehlt.

Das Outsourcing von Compliance-/Risk-Aufgaben an fachkundige Dritte bringt, vor allem für kleine Einheiten wie unabhängige Vermögensverwalter, nicht nur eine Entlastung, sondern auch eine deutliche Reduktion von rechtlichen und aufsichtsrechtlichen Risiken.

Biografien

Dr. Detlev M. Basse ist seit Januar 2023 leitender Rechtsberater bei BDO Financial Services. Zuvor war er bei Banken in der Ostschweiz und im Liechtenstein als Leiter Recht & Compliance tätig; ebenso bei einem Wertpapierhaus in Zürich als Head of Compliance. Er verfügt über langjährige und vielfältige Erfahrung in Rechts- und Compliance-Themen im Finanzsektor, sowohl national als auch international. Seine Spezialisierung liegt in der Betreuung von externen Vermögensverwaltern (EAM) bei Compliance-Themen. Zu seinen fachlichen Schwerpunkten gehören insbesondere die Bekämpfung von Geldwäscherei und die Umsetzung der damit verbundenen Sorgfaltspflichten, die Umsetzung der Anforderungen aus dem Finanzdienstleistungsgesetz und der Verordnung sowie die praxisorientierte Einhaltung der Datenschutzanforderungen gemäss EU DSGVO (GDPR) und revDSG. Er ist ausgewiesener Dozent für Ausbildungen zu Compliance Themen im Finanzsektor. 

Taulant Avdija ist Partner und Leiter Regulatory & Compliance Schweiz bei BDO Financial Services. Er ist Anwalt und verfügt über umfangreiche Erfahrung in der Finanzregulierung. Avdija hat einen CAS in Financial Regulation und einen CAS in Digital Finance Law. Er berät und unterstützt Banken und Finanzintermediäre bei der Umsetzung neuer regulatorischer Anforderungen. In den letzten zehn Jahren war er massgeblich an grossen Projekten zur Bekämpfung von Geldwäscherei beteiligt und engagiert sich aktiv in der Ausbildung von Fachkräften im Finanzsektor​. 

[1] Feststellung der an Unternehmen und Vermögenswerten wirtschaftlich berechtigten Personen bzw. an Vermögenswerten wirtschaftlich berechtigte Person.

[2] Vgl. Art. 19 Abs. 1 Buchst. a GwV-FINMA.

[3] Wirtschaftszweige (NOGA) ist von der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE) abgeleitet. Die neue Version (NOGA 2025) wird ab 2026 in die BFS Statistiken eingeführt (vgl. https://www.bfs.admin.ch/bfs/de/home/statistiken/industrie-dienstleistungen/nomenklaturen/noga.html).