Am 21.07.2021 hat die EU-Kommission ein Paket mit Vorschlägen zu Änderungen der Gesetze und Vorschriften zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung veröffentlicht. Ziel des Pakets ist es, die diesbezügliche Rechtslage in den Mitgliedstaaten zu harmonisieren und zu koordinieren. Dazu soll insbesondere eine neue europäische Behörde, die „Anti-Money Laundering Authority“, kurz AMLA, beitragen.
Das Gesetzgebungsverfahren ist in vollem Gange. Am 17. Januar 2024 konnte im Trilog eine Einigung über die Texte der neuen Geldwäscheverordnung (AMLR), der neuen, mittlerweile sechsten Geldwäscherichtlinie (6. AMLD) und der Verordnung zur Einrichtung der Behörde (AMLAR) erzielt werden.
Angesichts der vorgesehenen dreijährigen Übergangsphase werden die Rechtsakte voraussichtlich ab 2026/2027 Anwendung finden. Einmal anwendbar, werden diese RTS die Auslegungs- und Anwendungshinweise zum GwG der BaFin ersetzen.
Als Verordnung gilt die AMLR unmittelbar in den Mitgliedsstaaten – so sollen gleiche Wettbewerbsbedingungen zwischen den Mitgliedsstaaten gefördert werden („Level Playing Field“).
Die AMLR sieht die folgenden wesentlichen Änderungen des „Know Your Customer“ (KYC) Prozesses vor:
- Die Auslösetatbestände der allgemeinen Sorgfaltspflichten erfassen künftig auch Zweifel an der Echtheit oder Angemessenheit zuvor erhaltener Kundenidentifikationsdaten sowie Gelegenheitstransaktionen ab 10.000 EUR – statt wie bisher 15.000 EUR.
- Im Zusammenhang mit der Prüfung von Art und Zweck der Geschäftsbeziehung wird künftig regelbezogen – also risikounabhängig – die Herkunft der Mittel („Source of Funds“) und deren Bestimmungsort zu ermitteln sein.
- Der maximale Zeitraum für die periodische Aktualisierung der Kundendaten bei mittlerem Risiko wird von 10 Jahren auf 5 Jahre verkürzt.
- Auch bei Ablehnung einer Geschäftsbeziehung gilt künftig eine Aufzeichnungspflicht bezüglich der durchgeführten Maßnahmen.
- Bei natürlichen Personen ist zu beachten, dass künftig alle Staatsangehörigkeiten sowie eine nationale Identifikationsnummer und die relevante Beschäftigung, der Beruf oder der Beschäftigungsstatus zu erfassen sind. Zu überprüfen sind diese Daten mithilfe eines gültigen Ausweisdokuments sowie Informationen aus verlässlichen, unabhängigen Quellen oder elektronischer Identifikationsmittel und Vertrauensdienste nach e-IDAS-VO.
- Bei juristischen Personen werden die zu erhebenden Daten um das Land der Gründung, die Steuer-ID, die Rechtsträgerkennung und die aktive Betätigung der juristischen Person im zurückliegenden Geschäftsjahr erweitert.
- Künftig sind sämtliche fiktiven wirtschaftlich Berechtigten zu identifizieren. Ausnahmen sind einzig für börsennotierte Gesellschaften und juristische Personen des öffentlichen Rechts vorgesehen. Auch für wirtschaftlich Berechtigte ist – risikounabhängig – eine Vollidentifikation analog zum Kunden vorgesehen.
- Nach dem „Every-Step-in-the-Chain-Model” werden wirtschaftlich Berechtigte auf jeder Beteiligungsebene zu ermitteln sein. Als hierfür maßgeblicher Schwellenwert hat man sich auf 25% der Kapital- oder Stimmrechtsanteile geeinigt. Eine Öffnungsklausel ermöglicht für Sektoren mit hohem Risiko die Festlegung geringerer Schwellenwerte.
- Im Hinblick auf die Ausführung von Sorgfaltspflichten durch Dritte könnte der Kreis der Dritten auf andere Verpflichtete i.S.d. GwG beschränkt werden.
- Verstärkte Sorgfaltspflichten werden künftig bei Geschäftsbeziehungen zwischen Krypto-Asset-Service-Providern, gelegentlichen Transaktionen aus Hochrisikoländern sowie „High Net Worth Individuals“ – d.h. Personen mit mindestens 1.000.000 EUR in liquiden Vermögenswerten – zu erfüllen sein.
Eine dreijährige Übergangszeit scheint zunächst großzügig bemessen. Die im Detail mitunter wesentlich erweiterten Pflichten vor Augen sollten Verpflichtete frühzeitig mit der Umsetzung beginnen. Ob das Paket von Regelwerken angesichts der enormen Anzahl von RTS – derzeit geplant sind etwa 80 Stück – praxisgerecht sein wird, bleibt abzuwarten.
In diesem Zusammenhang darf man auch gespannt sein, ob eine Bestandsschutzklausel („Grandfathering“) aufgenommen wird oder ob den Verpflichteten eine (teilweise) KYC-Remediation auferlegt wird.
