Skip to content

BaFin aktualisiert Auslegungs- und Anwendungshinweise zum Geldwäschegesetz

Lesezeit: 7 Minuten

Kernpunkte für Kapitalverwaltungsgesellschaften

Die Bundesanstalt für Finanzdienstleistungsaufsicht („BaFin“) hat am 29. November 2024 eine neue Version ihrer Auslegungs- und Anwendungshinweise zum Geldwäschegesetz – AT („AuA 3.0“) veröffentlicht.
Die letzte Überarbeitung der AuA datierte auf Oktober 2021. Seitdem überrollten nicht nur eine Pandemie und eine Welle von GwG-Sonderprüfungen die Nation. Auch das vierteilige Gesetzespaket der Europäischen Union mit dem Ziel der Harmonisierung und Stärkung der Bekämpfung von Geldwäsche und Terrorismusfinanzierung wurde verabschiedet. Neben der Einrichtung einer unionsweit agierenden Authority for anti-money laundering and countering the financing of terrorism (kurz „AMLA“), die noch in diesem Jahr ihre Tätigkeit in Frankfurt am Main aufnehmen soll, umfasst das europäische AML-Paket auch eine überarbeitete Fassung der Geldtransfer-Verordnung1, die neue 6. Geldwäscherichtlinie2,  sowie – erstmals – eine Verordnung zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung („AML-Verordnung“)3. Vor allem letztere ist insofern spannend, als dass sie von den (meisten) geldwäscherechtlich Verpflichteten ab Juli 2027 unmittelbar anzuwenden ist und damit das aktuelle Geldwäschegesetz weitestgehend ablösen wird. Verpflichtete sind daher gut beraten sich frühzeitig auf die bevorstehenden Änderungen vorzubereiten. Die nun veröffentlichten AuA 3.0 sollen nach Aussage der BaFin indes ausdrücklich die zukünftig geltenden Regelungen nicht vorwegnehmen.

Dieses Briefing gibt einen kurzen Überblick über die für registrierte und erlaubte Kapitalverwaltungsgesellschaften4 relevantesten Änderungen der AuA 3.0, die ab dem 1. Februar 2025 von diesen anzuwenden sind. Zur besseren Nachvollziehbarkeit orientiert sich der Aufbau dieses Briefings an der Gliederung der AuA 3.0. 

Die Risikoanalyse (§ 5 GwG)

Das zentrale Element des geldwäscherechtlichen Risikomanagements ist und bleibt die Risikoanalyse. Auch an deren 5-stufigem Aufbau wird unverändert festgehalten. Wie so oft steckt der Teufel jedoch im Detail und verlangt von den Verpflichteten einige nicht unerhebliche Änderungen bei der Erstellung der nächsten unternehmenseigenen Risikoanalyse. Die Wichtigsten finden sich nachfolgend kurz skizziert. 

Risikoidentifizierung

Eine wesentliche Änderung besteht darin, dass ab Februar 2025 dezidiert zwischen den spezifischen Risiken der Geldwäsche und solchen der Terrorismusfinanzierung zu unterscheiden ist. Da Mittel zur Terrorismusfinanzierung auch aus legalen Quellen stammen können, sind diesbezügliche Typologien zu beachten und einschlägige Informationsquellen regelmäßig heranzuziehen. Risikoangemessen soll insoweit auch ad hoc eine nachvollziehbare Auseinandersetzung mit aktuellen Entwicklungen erfolgen. Diese Anforderung dürften bislang nur die wenigsten Kapitalverwaltungsgesellschaft erfüllen.

Zur Bestimmung der einzelnen, einschlägigen Risikofaktoren gibt es seit jeher eine Bandbreite an heranzuziehenden Informationsquellen. Eine gute Auswahl davon liefern die AuA 3.0 nunmehr selbst, selbstverständlich verbunden mit dem Exkulpationshinweis, dass es sich dabei keinesfalls um eine abschließende Aufzählung handelt. Daneben könne auch im Unternehmen vorhandenes oder noch zu gewinnendes Wissen (z.B. Adverse Media Screening), die Auswertung von Verdachtsfällen, der Erfahrungsaustausch mit anderen Geldwäschebeauftragten usw. Aufschluss über etwaige Risikofaktoren liefern.

Das Anforderungsprofil der Finanzaufsicht an den Umfang der Risikoidentifizierung ist sehr hoch und sollte nicht unterschätzt werden.

Risikobewertung

Wichtiger Bestandteil der Risikobewertung ist (unverändert) die Analyse des Restrisikos (unter Berücksichtigung bereits implementierter Sicherungsmaßnahmen). Nicht erforderlich ist dabei eine Risikoreduzierung auf Null. Entscheidend ist vielmehr, das Verpflichtete das verbleibende Restrisiko kennen und ihm angemessen begegnen. 
Anders als noch in der Konsultationsfassung, die eine Verpflichtung konstituierte, liegt es nunmehr im Ermessen des zuständigen Mitglieds der Leitungsebene (§ 4 Abs. 3 Satz 1 GwG), ob es den Umgang mit dem verbleibenden Restrisiko zum Gegenstand eines Geschäftsführungsbeschlusses machen möchte oder nicht.

Dokumentationspflicht

Um die Nachvollziehbarkeit der Risikoanalyse zu ermöglichen, haben Verpflichtete fortan auch die jeweils angewandte Methodik darzustellen. Jedwede (ad hoc) Änderung der Risikoanalyse ist zu dokumentieren und vom zuständigen Mitglied der Leitungsebene unverzüglich nach Fertigstellung zu genehmigen. Je nach Umfang der Risikoanalyse empfiehlt die BaFin außerdem die Erstellung einer Management Summary, in der die wesentlichen Inhalte und Änderungen der Risikoanalyse zusammenfassend dargestellt sind. 

Interne Sicherungsmaßnahmen und deren Auslagerung (§§ 6 und 7 GwG)

Auch die Ausführungen zu den internen Sicherungsmaßnahmen haben eine Überarbeitung erfahren, obgleich diese an vielen Stellen lediglich redaktioneller Natur sind. Die interessantesten inhaltlichen Änderungen finden sich im Folgenden kurz skizziert.

Die Funktion des Geldwäschebeauftragten (GwB)

Die konkreten Aufgaben, Verantwortlichkeiten und Befugnisse des GwB und des Stellvertreters sind von den Verpflichteten schriftlich festzulegen. Soweit nicht explizit auf Abweichungen hingewiesen wird, gelten für GwB und Stellvertreter die gleichen Anforderungen.

Kraft Gesetzes hat der GwB seine Tätigkeit im Inland auszuüben. Die AuA 3.0 verschriftlichen nunmehr, dass eine Stellvertretung im Ausland zulässig ist, sofern im Vertretungsfall die Tätigkeit im Inland ausgeübt wird. In der Regel muss mindestens entweder der GwB oder dessen Stellvertreter der deutschen Sprache mächtig sein.

Auch die Vorgaben an die Vermeidung von Interessenkollisionen haben gewisse Verschärfungen erfahren. Beispielsweise darf der GwB grundsätzlich nicht als Auslagerungsbeauftragter für die Auslagerung des Datenschutzbeauftragten oder der Internen Revision fungieren.
Für die meisten Geldwäschebeauftragten nicht neu dürfte die Verpflichtung zur Vornahme bestimmter Kontrollhandlungen sein. Ausweislich der AuA 3.0 sind Gegenstand/Ziel, Umfang sowie Zuständigkeiten und Fälligkeiten/Frequenzen der einzelnen Überwachungshandlungen schriftlich, beispielsweise in einem Kontrollplan, zu fixieren. Durchführung und Ergebnisse der Überwachungshandlungen sowie etwaiger Handlungsbedarf sind nachvollziehbar zu dokumentieren.

Auslagerung von internen Sicherungsmaßnahmen

Trotz der expliziten Erklärung, der AML-Verordnung nicht vorweggreifen zu wollen, tut sie es im Kontext der Auslagerungsvoraussetzungen doch. Artikel 18 Abs. 6 AML-Verordnung verbietet dem Grunde nach eine Auslagerung auf Dritte mit Sitz in einem Hochrisikoland. Dieses Verbot findet sich nunmehr auch in den AuA 3.0 und zwar, anders als der Verordnungswortlaut, ohne jedwede Ausnahme.

Für die Frage, ob es sich bei der durch einen Dritten wahrgenommen Tätigkeit um eine anzeigepflichtige Auslagerung oder lediglich einen Fremdbezug handelt, verweist der AuA 3.0 Wortlaut auf die Vorgaben der Ziffer 10 des grundsätzlich nur für erlaubte Kapitalverwaltungsgesellschaften anwendbaren Rundschreibens 01/2017 (WA). Die Entscheidung und ihre Gründe sind zu dokumentieren.

Greifen Verpflichtete, beispielsweise für die Funktion des GwB und/oder dessen Stellvertreters auf Mehrmandantendienstleister zurück, müssen sie fortan sicherstellen, dass bei diesen adäquate Ressourcen für die Aufgabenerfüllung zur Verfügung stehen.

Whistleblowing

Kapitalverwaltungsgesellschaften sind sowohl nach dem Geldwäschegesetz als auch nach dem Hinweisgeberschutzgesetz zur Einrichtung einer internen Meldestelle verpflichtet. Erfreulicherweise stellt die BaFin in den AuA 3.0 nicht nur klar, dass die Einrichtung nur eines Meldekanals für beide Gesetzesregime ausreichend ist, sondern auch, dass die §§ 8 bis 10 und 13 bis 18 des Hinweisgeberschutzgesetzes auch auf den nach dem Geldwäschegesetz einzurichtenden Hinweisgeberkanal anzuwenden sind.  

Geldwäscherechtliche Sorgfaltspflichten (§§ 10 ff. GwG)

Ein Gemisch aus redaktionellen, klarstellenden und inhaltlichen Anpassungen5 findet sich auch für den Bereich der Kundensorgfaltspflichten.

Verschärfte Aktualisierungszyklen

Die von den Verpflichteten zur Erfüllung der Kundensorgfaltspflichten herangezogenen Dokumente, Daten oder Informationen sind periodisch und anlassbezogen zu aktualisieren. Für die periodische Aktualisierungspflicht hat die BaFin die Zyklen drastisch verkürzt:

  • Für Kunden, auf die vereinfachte Sorgfaltspflichten anzuwenden sind (§ 14 GwG), hat die Aktualisierung bis auf Weiteres risikoangemessen zu erfolgen. Für die Risikoangemessenheit sind Entwicklungen auf nationaler und europäischer Ebene von Bedeutung. Der Aktualisierungsturnus für die vereinfachten Sorgfaltspflichten ist von der BaFin – nach eigenen Aussagen aufgrund von Unsicherheiten bei der Auslegung der korrespondieren Vorgaben der AML-Verordnung – ganz bewusst offen ausgestaltet. Damit behält sich die BaFin Änderungen dieser Regelung explizit vor. Die alte Fassung der AuA sah eine Aktualisierungspflicht nach spätestens 15 Jahren vor.

  • Für Kunden, bei denen verstärkte Sorgfaltspflichten gelten (§ 15 GwG), darf der Zeitabstand zwischen Aktualisierungen von Kundeninformationen keinesfalls den Zeitraum von einem Jahr überschreiten. Bislang war die Aktualisierung in dieser Risikogruppe nach spätestens zwei Jahren vorzunehmen.

  • Für Kunden, für die allgemeine Sorgfaltspflichten Anwendung finden, sehen die AuA 3.0 eine Aktualisierung in einem Zeitraum vor, der fünf Jahre nicht überschreiten darf. Zuvor musste die Aktualisierung spätestens alle zehn Jahre erfolgen.

WICHTIG: Auch wenn die AuA 3.0 grundsätzlich ab dem 1. Februar 2025 Anwendung finden, sind die neuen Aktualisierungszeiträume von den Verpflichteten erst mit Geltung der neuen AML-Verordnung umzusetzen, d.h. für Kapitalverwaltungsgesellschaften ab dem 10. Juli 2027.

Keine Erfassung „sämtlicher“ fiktiver wirtschaftlich Berechtigter

Das Geldwäschegesetz sieht vor, dass in bestimmten Konstellationen der sogenannte fiktive wirtschaftlich Berechtigte zu erfassen ist. Erfüllen mehrere Personen diesen Tatbestand, genügte bislang in aller Regel die Erfassung nur einer Person. Die im Sommer veröffentlichte Konsultationsfassung sah stattdessen die Erfassung sämtlicher fiktiver wirtschaftlich Berechtigter vor. Dies wurde jedoch erfreulicherweise in den AuA 3.0 nicht aufgenommen. Die bisherige Praxis wird daher unverändert fortgeführt, sodass die Erfassung eines fiktiven wirtschaftlichen Berechtigten in der Regel ausreichend ist.

Hinweise zu Listen politisch exponierter Personen

Auch eher klarstellender Natur ist der Hinweis der BaFin auf die von der Europäischen Kommission veröffentlichte PeP-Liste, die auf ihrer Internetseite aufgerufen werden kann. Personen, die die darin gelisteten öffentlichen Ämter innehaben, gelten als politisch exponierte Personen. Nun wäre es aber zu einfach, wenn sich der normale Rechtsanwender allein auf die lang erwartete Liste verlassen könnte. Daher stellt die BaFin explizit klar, dass durch die Veröffentlichung dieser Liste der Anwendungsbereich von § 1 Abs. 12 Nr. 1 GwG, der den Begriff der politisch exponierten Person definiert, nicht eingeschränkt werden soll. Im Klartext bedeutet das, dass auch Positionen, die nicht in der Liste geführt sind, ihren Inhaber zu einer politisch exponierten Person machen können. Man kann sich also keineswegs allein auf die Liste verlassen. Sie bietet lediglich einen guten Ausgangspunkt.

Die meisten Verpflichteten dürften mittlerweile für das PeP- bzw. Sanktionslistenscreening ohnehin auf entsprechende Datenbanken zurückgreifen. Grundsätzlich wird dadurch auch die angemessene Erfüllung der entsprechenden geldwäscherechtlichen Pflichten indiziert. Die Indizwirkung entfällt jedoch bei Bedenken hinsichtlich der Datenqualität oder Funktionalität der genutzten Datenbank. Außerdem haben Verpflichtete stets sicherzustellen, dass der Abgleich gegen PeP-Listen anhand der aktuellen vom Dienstleister bereitgestellten Listen erfolgt.

Einholung von Transparenzregisterauszügen

Handelt es sich bei dem zu identifizierenden Vertragspartner nicht um eine natürliche Person, verpflichtet § 12 Abs. 3 Satz 2 GwG grundsätzlich zur Einholung eines Auszugs aus dem Transparenzregister. Alternativ kann auch ein Nachweis der Registrierung eingeholt werden. Teilweise kursierte das Gerücht, dass damit die im Rahmen der Registrierung beim Transparenzregister ausgestellte Eingangsmitteilung gemeint sei. Dieser Auffassung hat die BaFin nunmehr eine Abfuhr erteilt und zugleich klargestellt, dass es für diese Tatbestandsalternative – jedenfalls in Deutschland – keinerlei Anwendungsbereich gibt. 

Verdachtsmeldungen (§§ 43 ff. GwG)

Auch wenn sich die Zahl der bislang abgegebenen Verdachtsmeldungen bei den meisten Kapitalverwaltungsgesellschaften in Grenzen halten dürfte, handelt es sich dabei um einen zentralen Baustein der Bekämpfung von Geldwäsche und Terrorismusfinanzierung.

Berücksichtigung von Veröffentlichungen

Direkt zu Beginn des entsprechenden Abschnitts in den AuA 3.0 hat die BaFin daher einen ausführlichen Hinweis auf die im internen Bereich der Financial Intelligence Unit („FIU“) zur Verfügung gestellten fachlichen Informationen aufgenommen. Besondere Erwähnung finden dabei die Eckpunktepapiere zur Bestimmung solcher Sachverhalte, die grundsätzlich keine Meldepflicht auslösen sowie die „Gemeinsamen Orientierungshilfen“ von BaFin und FIU zu den Begriffen „Unverzüglichkeit“ und „Vollständigkeit“ einer Verdachtsmeldung nach § 43 GwG.

Klarstellungen allgemeiner Natur

Klarstellungen finden sich u.a. dahingehend, dass die Abgabe einer Unstimmigkeitsmeldung nach § 23a Abs. 1 GwG nicht automatisch zur Abgabe einer Verdachtsmeldung veranlasst und dass die Abgabe einer Verdachtsmeldung nach § 43 Abs. 1 GwG nicht automatisch den Abbruch der Geschäftsbeziehung zur Folge haben muss.

Neuerungen bei Rückmeldekonzepten

Ob Verpflichtete bei einem Kunden nach Abgabe einer Verdachtsmeldung verstärkte Sorgfaltspflichten anzuwenden haben, hängt fortan vom Grund der Verdachtsmeldung ab:

  • Meldungen wegen des Verdachts auf Terrorismusfinanzierung: In diesem Fall sind unabhängig von einiger etwaigen Rückmeldung der FIU für mindestens 6 Monate verstärkter Sorgfaltspflichten anzuwenden.

  • Sonstige Verdachtsmeldungen: Erhält der Verpflichtete innerhalb von 21 Kalendertagen eine Rückmeldung von der FIU, dass seine Meldung für die weitere Analyse identifiziert wurde, sind ebenfalls verstärkte Sorgfaltspflichten anzuwenden; außerhalb dieses Zeitraums nur bei weiteren Auffälligkeiten.

Fazit

Die überarbeiteten AuA 3.0 stellen für Unternehmen, die der Aufsicht der BaFin unterliegen, erhebliche Herausforderungen dar. Kapitalverwaltungsgesellschaften sollten sorgfältig analysieren, in welchem Umfang sie ihre internen Maßnahmen zur Verhinderung von Geldwäsche und Terrorismusfinanzierung überarbeiten müssen.

Während ein Großteil der Änderungen eher redaktioneller Natur ist oder bestehende Verwaltungspraxis widerspiegelt und deshalb keinen unmittelbaren Handlungsbedarf erfordert, bringen bestimmte Neuakzentuierungen wichtige Anpassungen mit sich. Diese könnten eine Überarbeitung der internen Organisation und Prozesse notwendig machen.

Es wird daher empfohlen, dass sich Kapitalverwaltungsgesellschaften intensiv mit den neuen AuA 3.0 befassen, um den konkreten Handlungsbedarf zu erkennen und rechtzeitig umzusetzen.

Darüber hinaus ist es essenziell, die Compliance-Strukturen kontinuierlich weiterzuentwickeln, um den stetig wachsenden regulatorischen Anforderungen in der Prävention von Geldwäsche und Terrorismusfinanzierung gerecht zu werden. Dieser Bereich wird sich auch in den kommenden Jahren dynamisch weiterentwickeln.

 

  1. Verordnung (EU) 2023/1113, die für die meisten Leser dieses Briefings ohne Relevanz sein dürfte und daher vorliegend außer Betracht geblieben ist.
  2. Richtlinie (EU) 2024/1640.
  3. Verordnung (EU) 2024/1624.
  4. Gemeint sind Kapitalverwaltungsgesellschaften im Sinne von § 17 Abs. 1 des Kapitalanlagegesetzbuchs („KAGB“), die nach § 2 Abs. 1 Nr. 9 GwG geldwäscherechtlich Verpflichtete sind.
  5. Eingefügt wurde beispielsweise der klarstellende Hinweis, dass es sich bei der für den Vertragspartner auftretenden Person nur um eine natürliche Person handeln könne. 

 

Download YPOG Briefing: BaFin aktualisiert Auslegungs- und Anwendungshinweise zum Geldwäschegesetz – Kernpunkte für Kapitalverwaltungsgesellschaften

 

Über uns

YPOG ist eine Spezialkanzlei für Steuer- und Wirtschaftsrecht, die in den Kernbereichen Funds, Tax, Banking + Finance und Transactions tätig ist. Das Team von YPOG berät eine breite Vielfalt an Mandant:innen. Dazu gehören aufstrebende Technologieunternehmen und familiengeführte mittelständische Unternehmen genauso wie Konzerne und Private Equity-/Venture Capital Fonds. YPOG ist eine der führenden Adressen für Venture Capital, Private Equity und Fondsstrukturierung in Deutschland. Die Kanzlei und ihre Partner:innen werden national und international von JUVE, Best Lawyers, Legal 500, Focus, Chambers and Partners sowie Leaders League geführt. Bei YPOG sind heute mehr als 150 erfahrene Rechtsanwält:innen,
Steuerberater:innen, Tax Specialists sowie eine Notarin in vier Büros in Berlin, Hamburg, Köln und München tätig.

Expert:innen

Lennart Lorenz
Lennart Lorenz +49 40 6077281 98
Stefanie Nagel
Stefanie Nagel +49 30 7675975 75

Mehr Insights