Risikomanagement und -analyse §§ 4 und 5 GwG
Inhalte
- Risikomanagement und -analyse §§ 4 und 5 GwG
- Allgemeine Grundsätze
- Verantwortlichkeit
- Risikoanalyse
- Grundsatz
- Leitlinien zu Risikofaktoren
- Die Leitlinien zu Risikofaktoren umfassen (nach einem einleitenden Abschnitt I) zwei inhaltliche Teile:
- Ziel und Anfertigung
- Schritt 1
- Schritt 2
- Schritt 3
- Beispiel für die dreistufige Risikoeinstufung/-klassifizierung:
- Schritt 4
- Schritt 5
- Gruppenweite Risikoanalyse, § 5 Abs. 3 GwG
- Möglichkeit der Befreiung, § 5 Abs. 4 GwG
Allgemeine Grundsätze
Nach § 4 GwG müssen die Verpflichteten über ein wirksames Risikomanagement verfügen, das eine Risikoanalyse nach § 5 GwG und interne Sicherungsmaßnahmen nach § 6 GwG umfasst. Diese Verpflichtung stellt den Kern eines risikobasierten Vorgehens in Bezug auf Geldwäsche und Terrorismusfinanzierung dar.
Wirksam ist ein Risikomanagement, wenn es die gesamte Geschäftstätigkeit des Verpflichteten einbezieht, die sich daraus ergebenden einzelnen Risiken nachvollziehbar berücksichtigt und die daraus abgeleiteten internen Sicherungsmaßnahmen im Hinblick auf diese Risiken als angemessen anzusehen sind.
Was angemessen ist, beurteilt sich – wie sonst auch im Rahmen der Schaffung von Risikomanagement-Systemen – auf der Grundlage der eigenen Risikoanalyse des Verpflichteten bezüglich der Risikostruktur der von ihm angebotenen Dienstleistungen und Produkte sowie gegebenenfalls aufgrund der Ergebnisse der Nationalen Risikoanalyse.
Bei der Ausgestaltung des Risikomanagements sind gemäß § 4 Abs. 1 GwG Art und Umfang der Geschäftstätigkeit der Verpflichteten zu berücksichtigen.
Verantwortlichkeit
Die Verantwortlichkeit eines Mitglieds der Leitungsebene (z.B. Vorstand, Geschäftsführer) nach § 4 Abs. 3 GwG für die Einrichtung eines ordnungsgemäßen und angemessenen Risikomanagements im Sinne von § 4 GwG muss eindeutig dokumentiert sein. Eine Mitteilung an die BaFin ist nicht erforderlich. Die Verantwortlichkeit besteht unbeschadet einer Gesamtverantwortung der Geschäftsleitung.
Das Mitglied der Leitungsebene muss hierzu die Risiken und ihre Bewertungen im Zusammenhang mit Geldwäsche und Terrorismusfinanzierung in Bezug auf den Geschäftsbetrieb des Verpflichteten genau kennen. Dazu sind ihm die erforderlichen wesentlichen Informationen regelmäßig – und, soweit erforderlich, zeitnah -, vollständig, verständlich und korrekt mitzuteilen.
Die Risikoanalyse sowie die Ersteinrichtung/wesentliche Änderungen der internen Sicherungsmaßnahmen bedürfen der Genehmigung des benannten Mitglieds der Leitungsebene (§ 4 Abs. 3 GwG).
Risikoanalyse
Grundsatz
Der Inhalt des bisherigen BaFin-Rundschreibens 8/2005 (GW) ist in der gesetzlichen Regelung aufgegangen.
Die Risikoanalyse ist in angemessenem Umfang zu erstellen, mithin abhängig von Art und Umfang der Geschäftstätigkeit des Verpflichteten (§ 4 Abs. 1 GwG).
Die dabei zu berücksichtigenden Anhänge 1 und 2 zum GwG (§ 5 Abs. 1 GwG) enthalten beispielhafte Aufzählungen von Faktoren und mögliche Anzeichen für ein potenziell geringeres oder höheres Risiko. Das Vorliegen einzelner Faktoren bedeutet dabei – anders als in den gemäß § 15 Abs. 3 bzw. Abs. 8 GwG bestimmten sowie den von den Verpflichteten selbst gemäß § 15 Abs. 2 GwG definierten Sachverhalten mit einem per se höheren Risiko – nicht, dass dadurch per se ein erhöhtes Risiko vorliegt. Maßgeblich ist vielmehr die im Einzelfall vorzunehmende Gesamtschau aller (risikoerhöhenden und risikomindernden) Faktoren
Leitlinien zu Risikofaktoren
Zusätzlich haben die Verpflichteten gemäß § 2 Abs. 1 Nrn. 1, 2, 3, 7, 8 und 9 GwG bei der Erstellung oder Überarbeitung einer Risikoanalyse die Gemeinsamen Leitlinien der europäischen Aufsichtsbehörden (im Folgenden: Leitlinien zu Risikofaktoren) vom 04.01.2018 zu beachten (Art. 17 und Art. 18 der Richtlinie (EU) 2015/849 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung (im Folgenden: Vierte Geldwäscherichtlinie; vgl. auch Titel I, Ziffer 4 ff.)). Es handelt sich bei diesen Leitlinien um ein Kernstück der Implementierung des risikobasierten Ansatzes.
Die Leitlinien zu Risikofaktoren enthalten Beispiele für Risikofaktoren, welche die verpflichteten Unternehmen – soweit anwendbar – im Rahmen der gesetzlichen Bestimmungen berücksichtigen müssen, wenn sie die mit einer Transaktion verbundenen Geldwäsche- und Terrorismusfinanzierungsrisiken prüfen und bewerten. Darüber hinaus beschreiben die Leitlinien zu Risikofaktoren, wie die Verpflichteten den Umfang ihrer Kunden-sorgfaltspflichten entsprechend den von ihnen identifizierten Risiken anpassen können, um die vorhandenen Ressourcen bestmöglich einzusetzen. Die Leitlinien zu Risikofaktoren ergänzen für die Verpflichteten die in den Anhängen zum GwG enthaltenen Risikofaktoren.
Die Leitlinien zu Risikofaktoren umfassen (nach einem einleitenden Abschnitt I) zwei inhaltliche Teile:
a. Abschnitt II enthält allgemeine Ausführungen und zu berücksichtigende Faktoren, die für alle Unter-nehmen gelten, die den geldwäscherechtlichen Pflichten unterliegen. Die Hinweise sollen die verpflichteten Unternehmen in die Lage versetzen, fundierte und risikoorientierte Entscheidungen im Zusammenhang mit der Identifizierung, Bewertung und Behandlung von Geldwäsche- und Terrorismusfinanzierungsrisiken zu treffen, die im Rahmen von Geschäftsbeziehungen sowie sonstiger, gelegentlich erfolgender Transaktionen bestehen können.
b. Abschnitt III gliedert sich dagegen in verschiedene bereichsspezifische Unterabschnitte und unterstützt die Unternehmen dabei, ihre jeweiligen Kundensorgfaltspflichten risikoorientiert anzuwenden.
Die Leitlinien zu Risikofaktoren haben eine besondere Bedeutung, da das neue GwG – anders als das bisherige Recht – keine Fallkonstellationen nennt, in denen vereinfachte Sorgfaltspflichten zur Anwendung kommen könnten. Ähnliches gilt in Bezug auf Konstellationen, in denen ein erhöhtes Risiko vorliegt und die nicht in § 15 Abs. 3 GwG ausdrücklich genannt werden.
Ziel und Anfertigung
Ziel der Risikoanalyse ist es, die spezifischen Risiken in Bezug auf Geldwäsche und Terrorismusfinanzierung im Geschäftsbetrieb des Verpflichteten umfassend und vollständig zu erfassen, zu identifizieren, zu kategorisieren und zu gewichten. Darauf aufbauend sind geeignete Geldwäsche-Präventionsmaßnahmen, insbesondere interne Sicherungsmaßnahmen, zu treffen.
Was angemessen ist, beurteilt sich – wie sonst auch im Rahmen der Schaffung von Risikomanagement-Systemen – auf der Grundlage der eigenen Risikoanalyse des Verpflichteten bezüglich der Risikostruktur der von ihm angebotenen Dienstleistungen.
Bei der Anfertigung einer internen Risikoanalyse und der damit verbundenen Herleitung der erforderlichen Maßnahmen sind insbesondere folgende Schritte notwendig:
- die vollständige Bestandsaufnahme der unternehmensspezifischen Situation,
- die Erfassung und Identifizierung der kunden-, produkt- und transaktionsbezogenen sowie der geografischen Risiken,
- die Kategorisierung, d.h. Einteilung in Risikogruppen, und ggf. zusätzliche Gewichtung, d.h. Bewertung, der identifizierten Risiken,
- die Entwicklung und Umsetzung angemessener interner Sicherungsmaßnahmen, die im Rahmen der erforderlichen Geldwäsche-Präventionsmaßnahmen aufgrund des Ergebnisses der Risikoanalyse verwendet werden (siehe dazu im Folgenden unter Kapitel 3),
- die Überprüfung und Weiterentwicklung der bisher getroffenen internen Sicherungsmaßnahmen unter Berücksichtigung des Ergebnisses der Risikoanalyse.
Schritt 1
Für die Bestandsaufnahme der spezifischen Situation ist die jeweilige Geschäftsstruktur des Verpflichteten von Belang. Im Rahmen der Bestandsaufnahme kommt es insbesondere auf die Erfassung der im Unternehmen vorhandenen grundlegenden Kundenstruktur, der Geschäftsbereiche und -abläufe, der angebotenen Produkte, der Vertriebswege sowie der Organisationsstruktur des Unternehmens an.
Schritt 2
Die Risiken lassen sich mit Hilfe des im Finanzsektor vorhandenen Erfahrungswissens über Techniken der Geldwäsche und der Finanzierung des Terrorismus erfassen und identifizieren. Das hierfür erforderliche Erfahrungswissen kann z.B. aufgrund nationaler und internationaler Anhalts- bzw. Typologienpapiere und Verdachtskataloge (u.a. die für die Verpflichteten im internen Bereich der Website der FIU (www.fiu.bund.de) zugänglichen Typologiepapiere, jeweils für die Bereiche „Geldwäsche“ und „Terrorismusfinanzierung“, oder vergleichbare Papiere der FATF auf deren Homepage (www.fatf-gafi.org)), des im Unternehmen vorhandenen bzw. zu gewinnenden Wissens (etwa aus Medienauswertungen), der allgemeinen Analyse von Verdachtsfällen, die das Unternehmen in der Vergangenheit tangierten, oder des Erfahrungsaustauschs mit Geldwäschebeauf-tragten (im Folgenden: GWB) anderer Verpflichteter gewonnen bzw. aktualisiert werden.
Schritt 3
Die identifizierten Risiken sind zu kategorisieren, das heißt in verschiedene Risikogruppen einzuteilen, und jeweils hinsichtlich ihrer Bedeutung zu bewerten. Dies schließt u.U. eine Gewichtung der jeweiligen Risiken/Risikogruppen ein. Die Bewertung der identifizierten Risiken soll im Rahmen der Risikoanalyse grundsätzlich in drei Risikostufen (hoch, mittel, niedrig) erfolgen. Möglich ist aber sowohl eine weitere Spreizung/Abstufung mit mehr Risikostufen/-kategorien, als auch eine – auf freiwilliger Basis erfolgende – Reduzierung auf weniger Stufen/Kategorien (z.B. ausschließlich normale (mittlere) und erhöhte).
Beispiel für die dreistufige Risikoeinstufung/-klassifizierung:
- Hoch => alle Fallkonstellationen, die entweder unter die vom Gesetzgeber definierten Hoch-risikoklassen (§ 15 GwG) oder aufgrund der eigenen Risikoeinschätzung des Verpflichteten unter Berücksichtigung der Anlage 2 zum GwG, der Leitlinien zu Risikofaktoren oder sonstiger konkreter Informationen ebenfalls in diese Klassifizierung fallen.
- Mittel => alle Fallkonstellationen, die aufgrund der eigenen Risikoeinschätzung des Verpflichteten nicht in die Klassifizierung „hoch“ oder „gering“ fallen.
- Gering => alle Fallkonstellationen, in denen unter Beachtung der Anforderungen des § 14 GwG, der Anlage 1 des GwG sowie der Leitlinien zu Risikofaktoren aufgrund einer nachvollziehbaren Risiko-analyse ein geringes Risiko angenommen werden kann.
Bei der Bewertung können unterschiedliche Bewertungsmethoden zum Ansatz kommen. Ein Bewertungssystem, bei dem verschiedene Risikofaktoren unterschiedlich gewichtet werden, ist ebenso denkbar wie ein starres System, bei dem ein hoher Risikowert bei einem Faktor für die Risikobewertung bindend ist und nicht durch Faktoren mit geringem Risiko kompensiert werden kann.
Zusätzlich können absolute Kriterien definiert werden, die die Kundenklassifizierung automatisch steuern und/oder automatisch eine besondere Sicherungsmaßnahme nach sich ziehen (z.B. besondere Entscheidungsprozesse bei der Aufnahme bestimmter neuer Kunden, z.B. PePs oder Kunden mit Sitz in einem Hochrisikoland).
Risikobasierte Abweichungen bzw. Ausnahmen sind vorbehaltlich der vorstehenden Ausführungen mit Begründung zu dokumentieren.
Bei der Bewertung sind von den Verpflichteten auch die jeweils aktuellen, veröffentlichten Ergebnisse der Nationalen Risikoanalyse in Bezug auf Geldwäsche und Terrorismusfinanzierung einzubeziehen.
Schritt 4
Die Ergebnisse der Identifizierung, Kategorisierung und Gewichtung der Risiken sind im Rahmen der einzelnen internen Sicherungsmaßnahmen umzusetzen, indem diese grundsätzlich aus den Ergebnissen der Risikoanalyse abzuleiten sind bzw. dieser entsprechen müssen.
Wie im Risikomanagement generell ist auch bei der Umsetzung der einzelnen Präventionsmaßnahmen im jeweiligen Einzelfall umso sorgfältiger vorzugehen, je höher das Risikopotential ist.
Schritt 5
Die getroffenen internen Sicherungsmaßnahmen sind unter Berücksichtigung des Ergebnisses der Risiko-analyse zu überprüfen und weiterzuentwickeln.
Pflicht zur Dokumentation und Aktualisierung, § 5 Abs. 2 GwG
Die Verpflichteten müssen ihre Risikoanalyse vorbehaltlich § 5 Abs. 4 GwG nachvollziehbar dokumentieren. Eingang in die Dokumentation muss daher die Abbildung der o.g. Schritte zur internen Risikoanalyse finden.
Die Risikoanalyse ist regelmäßig, zumindest einmal im Jahr, einer Überprüfung auf Notwendigkeit einer Aktualisierung zu unterziehen und – soweit erforderlich – zu aktualisieren. Die im Rahmen der Aktualisierung erfolgten Änderungen sind nachvollziehbar in einer Weise darzustellen, die die Veränderung der Risikoanalyse erkennen lässt, und zu dokumentieren.
Die Risikoanalyse ist der BaFin auf deren Verlangen in der jeweils aktuellen Fassung zur Verfügung zu stellen. Gleiches gilt in Bezug auf die Innenrevision (soweit vorhanden) bzw. die externe Revision. Die Risikoanalyse
ist dem zuständigen Mitglied der Leitungsebene in der jeweils aktuellen Form vorzulegen. Dies ist revisionssicher zu dokumentieren.
Gruppenweite Risikoanalyse, § 5 Abs. 3 GwG
Die Verpflichtung zur Erstellung einer Risikoanalyse gilt nach § 5 Abs. 3 GwG auch für Mutterunternehmen einer Gruppe in Bezug auf die gesamte Gruppe (siehe zu den Gruppenpflichten im Einzelnen unter Kapitel 3).
Möglichkeit der Befreiung, § 5 Abs. 4 GwG
Nach § 5 Abs. 4 GwG kann die BaFin Verpflichtete unter bestimmten Voraussetzungen von der Dokumentation der Risikoanalyse nach Abs. 1 (beachte: nicht von ihrer Durchführung oder gar von der Pflicht, angemessene interne Sicherungsmaßnahmen zu treffen) befreien.
Die Befreiung erfolgt auf Antrag des Verpflichteten. Sowohl die Ablehnung des Antrags als auch dessen Bewilligung sind jeweils kostenpflichtig. Auch wenn jeder Verpflichtete einen Antrag auf Befreiung stellen kann, findet aufgrund der im Finanzsektor regelmäßig vorliegenden Risiken die Ausnahme grundsätzlich nur im Nichtfinanzsektor Anwendung.
Eine Befreiung kann nur bei kumulativem Vorliegen der im Gesetz genannten folgenden Voraussetzungen erteilt werden:
- Klare Erkennbarkeit der bestehenden konkreten Risiken des Verpflichteten
Diese Voraussetzung liegt insbesondere vor, wenn zu den Geschäften des Verpflichteten keine komplexen Geschäftstätigkeiten gehören, die von ihm durchgeführten Transaktionen einen überschaubaren Umfang aufweisen, seine Kundenstruktur homogen ist und keine sonstigen risikoerhöhenden Umstände vorliegen.
Gemäß § 5 Abs. 1 Satz 3 GwG richtet sich der Umfang der Risikoanalyse nach Art und Umfang der Geschäftstätigkeit der Verpflichteten. Je weniger komplex die Geschäftstätigkeit ist, desto geringere Anforderungen werden seitens der BaFin an die Erstellung (und Dokumentation) einer Risikoanalyse gestellt. Umgekehrt folgt hieraus, dass, je umfangreicher und komplexer die Risiken sind, denen ein Verpflichteter ausgesetzt ist, desto weniger eine Befreiung von der Dokumentationspflicht in Betracht kommt.
Vor diesem Hintergrund ist eine Befreiung nur dann in Erwägung zu ziehen, wenn sich auch bei Vorliegen des Proportionalitätsgesichtspunkts die Dokumentation der Risikoanalyse für die BaFin als nicht erforderlich und unangemessen darstellt.
- Hinreichendes Verständnis des Verpflichteten in Bezug auf die bestehenden Risiken
Abzustellen ist insoweit auf den GWB bzw. im Falle einer Befreiung von der Pflicht zur Bestellung eines solchen auf das zuständige Mitglied der Leitungsebene.
Von einem hinreichenden Verständnis ist auszugehen, wenn sich auf der Basis der vom Verpflichteten vorgetragenen Risikosituation die von ihm getroffenen internen Sicherungsmaßnahmen gemäß § 6 GwG als angemessen darstellen.
Das Vorliegen der vorgenannten Voraussetzungen ist vom Verpflichteten gegenüber der BaFin in seinem Antrag in Textform nachvollziehbar und umfassend darzulegen.
Quelle: BaFin- Auslegungs- und Anwendungshinweise zum Geldwäschegesetz 2018;