KYC: Sorgfaltspflichten
Der Gesetzgeber sieht eine Reihe von Verpflichtungen vor, welche im Einzelfall (also im Hinblick auf die individuelle Kundenbeziehung) anzuwenden sind.
In einem ersten Schritt sind im Rahmen des so genannten „Know Your Customer“ (KYC) Prozesses Informationen zur vorliegenden Kundenbeziehung einzuholen. Das hat in den gesetzlich geregelten Fällen vor Begründung einer dauerhaften Geschäftsbeziehung oder vor Durchführung gelegentlicher Transaktionen, wenn diese € 15.000, – übersteigen, zu erfolgen.
Im Konkreten handelt es sich um folgende Pflichten:
- Identifizierung des Kunden;
- Identifizierung des/der wirtschaftlichen Eigentümer(s);
- Feststellung, ob es sich bei dem Kunden um eine PEP handelt;
- Hinterfragen von Art und Zweck der Geschäftsbeziehung;
- Plausibilisierung der Mittelherkunft*.
*Die Einholung von Informationen zur Mittelherkunft bildet lediglich im Anwendungsbereich des FM-GwG ein zwingendes Formerfordernis. Eine Plausibilisierung wird dennoch in den meisten Fällen erforderlich sein, um eine inkriminierte Herkunft der Vermögenswerte auszuschließen.
Bewertung und Plausibilisierung
Die eingeholten Informationen werden in weiterer Folge bewertet und plausibilisiert. Darüber hinaus ist zu diesem Zeitpunkt auch zu prüfen, ob Ausschlusskriterien vorliegen, welche gegen die Annahme des Kunden sprechen. Solche Ausschlusskriterien werden in der Regel im Rahmen der AML-Policy nach Maßgabe des unternehmensinternen Risikoappetits festgelegt. Dazu könnten etwa die Listung auf Sanktionslisten, einschlägige Verurteilungen in naher Vergangenheit oder die Verbindung zu kriminellen Organisationen gehören.
Das „On-Boarding“, also die Annahme des Kunden, erfolgt erst nach Einholung und Überprüfung der erforderlichen Informationen. Ist die Einholung der Informationen (etwa mangels Kooperationsbereitschaft des Kunden) nicht möglich, so darf die Geschäftsbeziehung nicht begründet werden. Allfällige bevorstehende Transaktionen sind zu unterlassen. Tritt dieser Umstand im Rahmen einer Aktualisierung (reguläres „Update“) auf, ist die Geschäftsbeziehung zu beenden. Eine Verdachtsmeldung an die Geldwäschemeldestelle ist in diesem Zusammenhang nur dann zwingend erforderlich, wenn Verdachtsmomente bestehen.
Ist die Einhaltung der Sorgfaltsverpflichtungen nicht möglich, darf die Geschäftsbeziehung nicht begründet und eine bevorstehende Transaktion nicht durchgeführt werden!
fortlaufendes Monitoring
Ist die Geschäftsbeziehung begründet, haben die Verpflichteten die Geschäftsbeziehung kontinuierlich zu überwachen („fortlaufendes Monitoring“). Das bedeutet, dass die Transaktionen und das Verhalten des Kunden im Geschäftsbetrieb sowie die Richtigkeit seiner Angaben in angemessenen, risikobasiert festgelegten Abständen zu prüfen sind. Dabei sollte insbesondere hinterfragt werden, ob der Kunde jenes Transaktionsverhalten an den Tag legt, welches er angekündigt hat (Abgleich mit KYC-Informationen) beziehungsweise ob sich der Kunde so verhält, wie das ein vergleichbarer, redlicher Kunde tun würde (Peer-Group-Abgleich).
Darüber hinaus sind die Informationen über den Kunden und die Geschäftsbeziehung laufend zu aktualisieren. „Laufend“ bedeutet in diesem Zusammenhang anlassbezogen und risikobasiert. In der Regel sollten sich unternehmensinterne Angaben zu Art und Häufigkeit der Aktualisierung in den einschlägigen Prozesshandbüchern oder internen Dokumenten finden. So kann etwa risikobasiert festgelegt werden, dass Hochrisikokunden bei jedem persönlichen Kontakt, spätestens einmal jährlich, um Übermittlung aktueller Unterlagen ersucht werden. Bei Kunden, welche potentiell kein oder nur ein geringes Risiko aufweisen, kann diese Überprüfung anlassbezogen erfolgen.
Verdachtsmomente
Ergeben sich aus der Einholung von Informationen, ihrer Überprüfung oder dem darauf basierenden Monitoring der Verdacht oder der berechtigte Grund zur Annahme, dass eine Transaktion der Geldwäsche oder Terrorismusfinanzierung dient, so ist unverzüglich eine Verdachtsmeldung an die Geldwäschemeldestelle im Bundeskriminalamt zu erstatten.
Mit Ausnahme der Mittelherkunft handelt es sich bei der Klärung der o.a. Punkte um zwingend erforderliche (und somit nicht verhandelbare) Inhalte einer KYC Prüfung. Lediglich die Intensität der Bemühungen kann risikobasiert variieren. Es kann aber nicht etwa gänzlich auf eine Identifizierung des Kunden oder dessen wirtschaftlichen Eigentümers verzichtet werden.