Wesentlicher Bestandteil der Sicherungsmaßnahmen bei der Geldwäscheprävention sind die Kundensorgfaltspflichten, die Kapitalverwaltungsgesellschaften (KVG) gegenüber den Investoren erfüllen und entsprechend nachprüfbar dokumentieren müssen. Aber was bedeutet dies in der Praxis, und, vor allem, auf welche Red Flags ist zu achten? Dieser Beitrag erläutert die dreistufige Vorgehensweise bei der Erfüllung der Kundensorgfaltspflichten, im Englischen Know Your Costumer (KYC) Due Diligence gegenüber Investoren (siehe Grafik).
Drei Stufen der KYC Due Diligence gegenüber Investoren
An folgenden Zusammenhang gilt es zunächst zu erinnern: bei der Verhinderung von Geldwäsche geht es darum, den Versuch zu unterbinden, auf illegale Weise erworbene Mittel in den legalen Geldverkehr einzuschleusen. Aber erst, wenn man die natürlichen Personen kennt, die letztlich hinter einem Investor stehen, ist es möglich zu erfahren und zu beurteilen, woher die investierten Mittel stammen und ob es vielleicht Hinweise darauf gibt, dass Geld gewaschen werden soll.
Erste Stufe: Feststellung der wirtschaftlich Berechtigten und der Eigentums- und Kontrollstruktur
Im Rahmen der Kundensorgfaltspflichten müssen die sogenannten wirtschaftlich Berechtigten identifiziert werden, also die natürlichen Personen, die letztlich die Vermögenswerte kontrollieren, aus denen die Mittel eines Investors stammen. Das ist vergleichsweise unproblematisch bei direkt investierenden Privatpersonen, häufig semiprofessionelle Investoren. Sobald juristische Entitäten involviert sind, steigen die Anforderungen an die Herstellung der Transparenz beim Investor. Gegenwärtig definiert der Gesetzgeber den wirtschaftlich Berechtigten als natürliche Person, die mehr als 25 Prozent der Anteile bzw. Stimmrechte hält oder andere Formen der Kontrolle ausübt.
Bereits dieser Schwellenwert von 25 Prozent ist mit Blick auf das Ziel, die legitime Herkunft der Vermögenswerte sicher zu stellen, durchaus umstritten. Die bevorstehende neue EU-Verordnung zur Geldwäschebekämpfung, die anders als die bisherigen Geldwäscherichtlinien der EU direkt in den Mitgliedstaaten rechtswirksam wird, könnte diesen Schwellenwert senken. Freilich gilt es bereits jetzt als Best Practice, einen Schwellenwert von 10 Prozent anzuwenden.
Außerdem wird bisweilen übersehen, dass ohnehin die gesetzliche Pflicht besteht, die Eigentums- und Kontrollstruktur des Vertragspartners, also des Investors, mit angemessenen Mitteln in Erfahrung zu bringen. Diese Transparenz-Forderung ist nach praktischer Erfahrung tatsächlich erforderlich, weil ohne das Verständnis der Eigentums- und Kontrollstruktur überhaupt nicht nachvollzogen werden kann, ob ein wirtschaftlich Berechtigter existiert, ob die Angaben zum Shareholding korrekt sind oder ob einige Shareholder den derzeitigen Schwellenwert möglicherweise bewusst knapp unterschreiten, um nicht als wirtschaftlich Berechtigte genannt zu werden. Bei mehrschichtigen Strukturen ist zudem sicher zu stellen, dass direkte wie indirekte Beteiligungen korrekt berücksichtigt werden.
In anderen Fällen, in denen kein Mitglied einer Familie mehr als 25 Prozent der Anteile hält und damit offiziell kein wirtschaftlich Berechtigter existiert, wird der Investor dennoch von der Familie kontrolliert, und meistens dürfte es dabei nicht schwerfallen, die Hauptvertreter der Familie zu identifizieren. Besondere Vorsicht ist geboten, wenn es Hinweise darauf gibt, dass die offiziellen Angaben über die Eigentumsverhältnisse den tatsächlichen wirtschaftlich Berechtigten (Ultimate Beneficial Owner, UBO) verschleiern, der im Hintergrund letztlich die Fäden zieht.
Vor diesem Hintergrund ist die Abfrage der von der EU-Geldwäschegesetzgebung in den Mitgliedsländern eingeführten zentralen Register der wirtschaftlich Berechtigten, in Deutschland das sogenannte Transparenzregister, alleine nicht immer ausreichend, um die Eigentums- und Kontrollstruktur eines Investors festzustellen. Das gleiche gilt für diejenigen nationalen oder internationalen Handelsregisterauszüge, die lediglich Informationen zur Verifizierung der Registrierung der juristischen Entität als Investor beinhalten, ohne Angaben zur Eigentumsstruktur zu machen. Die KVG sollte daher die notwendigen Angaben vom Investor selbst einholen – etwa in Form von Gesellschafterlisten, Strukturcharts oder anderen Dokumenten, aus denen die Eigentums- und Kontrollverhältnisse zweifelsfrei hervorgehen – und sich die Aktualität und Richtigkeit der Angaben von den Vertretungsberechtigten per Unterschrift bestätigen lassen.
Die Identität der Vertretungsberechtigten ist festzustellen und zu überprüfen, wobei sich in der Praxis geeignete elektronische Verifikationsmaßnahmen durchsetzen. Die Identifizierungsmerkmale der wirtschaftlich Berechtigten sind risikoorientiert zu erheben, wobei hierfür in der Praxis eine Ausweiskopie zu Grunde gelegt wird.
Der KYC Due Diligence Prozess einer KVG muss sich für eine Vielfalt von juristischen Entitäten als Investoren eignen. Neben den bereits genannten mehrschichtigen Strukturen, stellen Unternehmen, die offshore registriert sind, bisweilen eine Herausforderung dar, soweit die offiziellen Register keine Angaben über die Shareholder bereitstellen. Sonderfälle mit gesetzlichen eigens definierten Transparenzanforderungen sind Treuhandfonds und Stiftungen, bei denen es insbesondere darum geht, die Begünstigten festzustellen. In allen Fällen, in denen die Eigentums- und Kontrollstruktur des Investors nicht auf der Hand liegt, bestehen Geldwäscherisiken. Daher muss die KVG den Verhältnissen selbst auf den Grund gehen, um Fragen nach der Herkunft der Mittel bzw. – mit Blick auf die Auszahlungen – nach dem Empfänger der Mittel beantworten zu können.
In bestimmten Fällen, etwa bei einem Investmentfonds als Investor, dessen KVG selbst geldwäscherechtlich reguliert und verpflichtet ist, kann ein sogenanntes Reliance-Modell zur Anwendung kommen. Die Voraussetzungen hierfür sind rechtlich und praktisch klar definiert, und es bleibt im Einzelfall zu prüfen, ob diese erfüllt sind.
Zweite Stufe: Red Flag Screening und risikobasierte Sorgfaltspflichten
Probleme bei der Feststellung der Eigentums- und Kontrollstruktur sind allein bereits ein Warnhinweis, im Due Diligence Jargon Red Flag genannt. Es ist deshalb so wichtig, diesen ersten Schritt sorgfältig zu setzen, weil die Kenntnis der natürlichen Personen hinter dem Investor die Voraussetzung dafür ist, diese Personen im zweiten Schritt nach Risikofaktoren der Geldwäsche und Terrorismusfinanzierung zu screenen. Niemand wird ernsthaft behaupten, dass eine kriminelle Person als Shareholder eines Investors dadurch akzeptabler wird, dass sie weniger als 25 Prozent der Anteile hält und (derzeit offiziell) nicht als wirtschaftlich Berechtigte gilt. Natürlich sollte eine KVG solche mit dem Investor verbunden Geldwäscherisiken kennen.
Das gilt im übrigen auch für Sanktionsrisiken, d.h. die Klärung der Frage, ob natürliche Personen in der Eigentümer- und Kontrollstruktur eines Investors auf einer der einschlägigen Sanktionslisten der Vereinten Nationen, Europäischen Union, der USA oder der anderen nationalen Sanktionslisten aufgeführt sind.
Die Ermittlung von Red Flags erfordert insbesondere 3 Aspekte: den Einsatz spezieller Datenbanken für die Due Diligence, ein geübtes Auge sowie ein sicheres Urteilsvermögen bezüglich der konkreten Risiken der Geldwäsche und Terrorismusfinanzierung.
Am Ende des Screening-Prozess steht die Risikoklassifikation des Investors als niedriges Risiko, mittleres Risiko oder hohes Risiko, gegebenenfalls mit Zwischenstufen. Die Erfahrung zeigt, dass die meisten Investoren eine Klassifizierung als niedriges Risiko erhalten. In der Regel sind es weniger als 20 Prozent der Investoren, die als mittleres oder erhöhtes Risiko eingestuft werden. Damit diese Differenzierung erfolgen und die wenigen potentiell problematischen Fälle priorisiert werden können, müssen die KYC Due Diligence und das Red Flag Screening allerdings für alle Investoren durchgeführt werden. Der risikobasierte Ansatz der Geldwäscheprävention impliziert, dass die KYC Due Diligence bei bestehender Transparenz und fehlenden Red Flags vereinfacht und zügig durchgeführt werden kann, um die Ressourcen auf die Bearbeitung der komplizierteren Fälle mit erhöhtem Risiko zu konzentrieren.
Red Flags im Rahmen der Geldwäscheprävention sind Warnhinweise, dass mit der Integrität der Investoren und der Legitimität ihrer investierten Vermögenswerte etwas nicht stimmen könnte. Die Prüfung von Investoren nach Red Flags sind somit Teil der Kundensorgfaltspflichten, und bei festgestellten erhöhten Risiken sind sogenannte verstärkte Sorgfaltspflichten – Enhanced Due Diligence (EDD) – zu erfüllen. Es geht dabei vornehmlich um weitere Nachforschungen, die Einholung zusätzlicher verlässlicher Informationen zur Klärung des Sachverhalts und die genauere Bestimmung der Restrisiken. Werden die vorgeschriebenen verstärkten Sorgfaltspflichten erfüllt, ist eine Beziehung zum betreffenden Investor trotz verbleibendem erhöhten Risikos nicht ausgeschlossen, solange die Befunde keine Geschäftsverbote erfordern und die KVG nicht eigene definierte Ausschlusskriterien anwendet, zu denen gegebenenfalls auch der Schutz der Reputation gehört. In jedem Fall erfordern erhöhte Risiken auf der nachfolgenden Stufe 3 eine verstärkte fortlaufende Überwachung (Monitoring) der Beziehungen zum Investor (siehe unten).
Nachstehend werden einige Red Flags betrachtet, die auch in der KYC Due Diligence Praxis immer wieder eine Rolle spielen. Bestimmte Kriterien sind bereits rechtlich als erhöhtes Risiko gesetzt und lösen unmittelbar verstärkte Sorgfaltspflichten aus, nämlich die Verbindung zu sogenannten Drittstaaten mit hohem Risiko (aus der Sicht der EU), die Präsenz von sogenannten Politisch Exponierten Personen (PEP) oder ungewöhnliche Transaktionsmuster. Ebenso können widersprüchliche Information zwischen den durch den Investor eingereichten Unterlagen und den Informationen aus anderen Quellen der Auslöser für verstärkte Sorgfaltspflichten sein.
Erfahrungsgemäß kommt ein Red Flag selten allein. Zum Beispiel tritt Intransparenz bei den Eigentümerstrukturen häufiger in Verbindungen mit Jurisdiktionen auf, die von Investoren gewählt werden, weil sie den Eigentümern der dort registrierten Gesellschaften Anonymität gewähren. Solche Konstruktionen sind insbesondere dann fragwürdig, wenn es sich dabei offensichtlich um Mantelgesellschaften (auch bekannt als Briefkastenfirmen oder shell companies) handelt.
Die Länderbezüge sind also umfassend zu prüfen, u.a. Ort der Registrierung einer Entität und ihr Geschäftssitz, bzw. bei natürlichen Personen, Geburtsort und -datum, Staatsbürgerschaft, Wohnanschrift; hinzu kommen Steuersitze und Bankverbindungen etc.. Es gibt Investoren, die mit vier oder fünf unterschiedlichen und potentiell mit Geldwäscherisiken behafteten Ländern in Verbindung stehen. Teil der KYC Due Diligence ist es daher, die einschlägigen Listen der Hochrisikoländer aktuell zu halten und anzuwenden. Neben den schwarzen Listen der Financial Actions Task Force (FATF) und der EU Kommission mit Ländern, die strategische Defizite bei der Bekämpfung der Geldwäsche und Steuerhinterziehung aufweisen, gibt es seitens der EU Finanzminister und der OECD noch die Listen der Länder, denen mangelnde Kooperation zu Steuerzwecken vorgeworden werden, die sogenannten Nicht-kooperativen Jurisdiktionen (NCJ).
Die Zusammensetzung der Listen kann sich kurzfristig ändern. So wurden die Cayman Islands im Februar 2020 von den EU Finanzministern auf die NCJ Liste gesetzt und im Oktober des gleichen Jahres davon wieder entfernt. Kurz danach, im Februar 2021, wurden die Cayman Islands wiederum von der FATF gelistet. Verbindungen des Investors zu Hochrisikoländern sind immer zu identifizieren und lösen risikobasierte verstärkte Sorgfaltspflichten aus. Die dazugehörigen Maßnahmen sind entsprechend zu dokumentieren.
Neben der Feststellung der Länderbezüge werden weitere potentielle Risiken durch ein ganzheitliches Red Flag-Screening der Investoren ermittelt. Das Red Flag-Screening umfasst die gleichzeitige Suche in Datenbanken nach
- der Präsenz von sogenannten Politisch Exponierten Personen (PEP),
- der Verhängung von nationalen oder internationalen Sanktionen,
- einer Verwicklung in Strafverfolgungsmaßnahmen sowie
- negativer Berichterstattung (Adverse Media).
Die Identifizierung von PEP (einschließlich ihrer Verwandten ersten Grades und ihnen nahestehender Personen) in der Eigentümer- und Kontrollstruktur eines Investors ist gesetzlich vorgeschrieben, weil eine solche Präsenz von PEP als erhöhtes Risiko gilt. PEP sind Personen mit herausragenden politischen Funktionen, die aufgrund ihrer Machtbefugnisse und Beziehungen vermehrt Gelegenheiten zur Korruption und Geldwäsche ausgesetzt sind. PEP sind daher ein potenzielles Risiko und erfordern die Erfüllung verstärkter Sorgfaltspflichten. Dazu gehört, die Herkunft der Mittel eingehender zu prüfen. Weiterhin müssen PEP-Beziehungen risikobasiert überwacht werden.
Mit dem PEP-Screening erfolgt gleichzeitig auch das Sanktions-Screening, also der Abgleich mit den bereits erwähnten nationalen und internationalen Sanktionslisten. Es liegt auf der Hand, dass ein Sanktions-Screening unabdingbar ist, weil Investoren – bzw. an ihnen beteiligte natürliche wie juristische Personen –, gegen die Sanktionen verhängt wurden, möglicherweise inakzeptabel sind. Bereits indirekte Verbindungen zu sanktionierten Personen oder Entitäten ziehen verstärkte Sorgfaltspflichten in Bezug auf die Legitimität der involvierten Vermögenswerte nach sich.
Das Red Flag Screening sollte auch anzeigen, ob gegen Investoren Informationen über Strafverfolgungsmaßnahmen, behördliche Sanktionen oder andere negative Nachrichten vorliegen. Das datenbankgestützte Adverse Media Screening zusammen mit weiteren Internetrecherchen ist geeignet, vergangene oder gegenwärtige Verwicklungen in kriminelle Aktivitäten offenzulegen, die als Vortat zur Geldwäsche gelten. Hier kommt es darauf an, die negativen Information auf ihre Zuverlässigkeit zu prüfen, nach ihrer Relevanz zu analysieren und auf zielführende Weise zu verarbeiten. Negative Informationen, die auf ein erhöhtes Risiko der Geldwäsche hinweisen, bedeuten verstärkte Sorgfaltspflichten (EDD) in Form weiterer Nachforschungen.
Transaktionsrisiken schließlich sind wegen der begrenzten Anzahl der Transaktionen einerseits überschaubar, zugleich aber im Zusammenhang mit der Frage nach dem Fluss der Mittel von Bedeutung. Red Flags wären hier die Abweichung von vereinbarten und akzeptablen Bankkonten oder die Strukturierung von Transaktionen über Mantelgesellschaften, Korrespondenzbanken und verschiedene Länder, insbesondere Hochrisikoländer. Es liegt auf der Hand, dass die Involvierung von Drittparteien und alle vom üblichen Muster abweichende Transaktionswünsche eines Investoren Anzeichen für Geldwäscherisiken sein können.
Dritte Stufe: Individuelle Risikoklassifikation und Monitoring-Maßnahmen
Das Ziel der KYC Due Diligence ist die individuelle Risikoklassifikation des Investors. Zur Begründung der Risikoeinschätzung werden die zuvor dokumentierten Ergebnisse aus Stufe eins (Feststellung der hinter dem Investor stehenden entscheidenden natürlichen Personen) sowie Stufe zwei (Screening des Investors und der relevanten natürlichen Personen nach Red Flags) ausgewertet und nach dem Risiko von Geldwäsche und Terrorismusfinanzierung beurteilt. Am Ende steht die Bestimmung des Restrisikos, also des verbleibenden Risikos nach Einbeziehung aller mitigierenden Faktoren und Kontrollmaßnahmen.
Vergleichbar den risikobasierten verstärkten Sorgfaltspflichten während der anfänglichen KYC Due Diligence folgen aus erhöhten Risikobewertungen im Falle eines Onboarding Pflichten zum verstärkten Monitoring der Beziehungen zum Investor. Solche Monitoring-Maßnahmen konzentrieren sich in der Regel auf die jeweils identifizierten Red Flags. Wenn zum Beispiel in der Presse bislang unbewiesene Vorwürfe im Zusammenhang mit Korruption erhoben wurden, besteht die Pflicht, häufiger und intensiver zu beobachten, ob diese Vorwürfe im weiteren zum Gegenstand von offiziellen Ermittlungen oder Gerichtsverfahren werden oder ob die Vorwürfe sich in Luft auflösen. Die Risikobewertung ist dann gegebenenfalls anzupassen.
Neben dem risikoindizierten verstärkten Monitoring besteht auch im Rahmen des regulären Monitorings bei Investoren mit niedrigem Risiko grundsätzlich die Pflicht, die bestehende KYC Due Diligence auf einem aktuellen Stand zu halten. Eigentlich sind Investoren dazu verpflichtet, Änderungen etwa im Rechtsstatus oder bei den Eigentumsstrukturen einer juristische Entität anzeigen. Darüber hinaus muss sich aber auch die KVG periodisch beim Investor nach solchen Änderungen erkundigen, bzw. anlassbezogene Udates vornehmen, wenn entsprechende Hinweise auf Veränderungen bekannt werden. Im Rahmen des sogenannten Transaktions-Monitoring sollte auch der Abgleich der Kontoinformation erfolgen, um sicherzustellen, dass bei Zahlungen die akzeptierten Bankverbindungen verwendet werden. Das Transaktions-Monitoring kann ebenfalls risikobasiert geschehen. Verstärkte Überwachungsmaßnahmen betreffen dabei vorwiegend Bankverbindungen in Länder außerhalb der EU bzw. in solche Länder, die keine oder nur unzureichende gesetzliche Standards bei der Geldwäschebekämpfung befolgen.
Sind Sie an den weiteren Teilen des Artikels interessiert? Dann können Sie diese hier abonnieren.
Der vorstehende Beitrag beruht auf einer Keynote von Dr. Carsten Giersch, Geschäftsführer der ALL AML GmbH, für das Online Event des ACAMS Chapter Deutschland „Geldwäscheprävention und KYC bei Investmentfonds“ am 26. November 2020. Die ALL AML GmbH war Initiatorin und Sponsorin dieses Events.