Risikoanalyse nach §5 GwG: So identifizierst du Risikofaktoren.

Die BaFin setzt die überarbeiteten Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) zu den Risikofaktoren für Geldwäsche und Terrorismusfinanzierung (GW/TF, Risk Factors Guidelines) vollständig um. Die Leitlinien richten sich an die Finanzindustrie und die Aufsichtsbehörden.

Die BaFin äußerte sich im Rahmen des üblichen Comply-or-Explain-Verfahren. In ihren Auslegungs- und Anwendungshinweisen (Allgemeiner Teil) übernimmt sie die überarbeitete Version der Leitlinien. Zudem weist sie Verpflichtete explizit darauf hin, dass sie die Vorgaben zur Risikoanalyse vollständig einhalten müssen (Kapitel 2.3.).

In den überarbeiteten Leitlinien erläutert die EBA Risikofaktoren, die Unternehmen bei der Bewertung für Geldwäsche und Terrorismusfinanzierung berücksichtigen sollten. Außerdem legt sie dar, wie umfänglich Unternehmen ihre Sorgfaltspflichten gegenüber Kundinnen und Kunden anpassen sollten, damit sie dem festgestellten GW/TF-Risiko entsprechen.

Risikoanalyse: So identifizierst du Risikofaktoren.

1. Warum ist eine Risikoanalyse wichtig?

Nach § 3a Abs. 1 GwG folgt die Verhinderung und Bekämpfung von Geldwäsche und Terrorismusfinanzierung nach den Anforderungen des GwG einem risikobasierten Ansatz. Kern dieses Ansatzes ist für die Verpflichteten das Erfordernis nach § 4 GwG, über ein wirksames Risikomanagement zu verfügen, das eine Risikoanalyse nach § 5 GwG und interne Sicherungsmaßnahmen nach § 6 GwG umfasst.

Wirksam ist ein Risikomanagement, wenn es die gesamte Geschäftstätigkeit des Verpflichteten einbezieht, die sich daraus ergebenden einzelnen Risiken nachvollziehbar berücksichtigt und die daraus abgeleiteten internen Sicherungsmaßnahmen im Hinblick auf diese Risiken als angemessen anzusehen sind.

Was angemessen ist, beurteilt sich – wie sonst auch im Rahmen der Schaffung von Risikomanagement-Systemen – auf der Grundlage der eigenen Risikoanalyse des Verpflichteten bezüglich der Risikostruktur der von ihm angebotenen Dienstleistungen und Produkte sowie aufgrund der Ergebnisse der Nationalen Risikoanalyse.

Bei der Ausgestaltung des Risikomanagements sind gemäß § 4 Abs. 1 GwG Art und Umfang der Geschäftstätigkeit der Verpflichteten zu berücksichtigen.


2. Wie fängst du an, eine Risikoanalyse durchzuführen?

Die Risikoanalyse ist in angemessenem Umfang zu erstellen, mithin abhängig von Art und Umfang der Geschäftstätigkeit des Verpflichteten (§ 4 Abs. 1 GwG). Gemäß § 5 Abs. 1 Satz 2 sind die in den Anlagen 1 und 2 genannten Risikofaktoren sowie die Informationen, die auf Grundlage der Nationalen Risikoanalyse zur Verfügung gestellt werden, zu berücksichtigen.

Die dabei zu berücksichtigenden Anlagen 1 und 2 zum GwG (§ 5 Abs. 1 GwG) enthalten beispielhafte Aufzählungen von Faktoren und mögliche Anzeichen für ein potenziell geringeres oder höheres Risiko. Das Vorliegen einzelner Faktoren bedeutet dabei – anders als in den gemäß § 15 Abs. 3 bzw. 8 GwG bestimmten sowie den von den Verpflichteten selbst gemäß § 15 Abs. 2 GwG definierten Sachverhalten mit einem per se höheren Risiko – nicht, dass dadurch per se ein erhöhtes Risiko vorliegt.

Maßgeblich ist vielmehr die im Einzelfall vorzunehmende Gesamtschau aller (risikoerhöhenden und risikomindernden) Faktoren.

Zusätzlich haben die Verpflichteten gemäß § 2 Abs. 1 Nrn. 1, 2, 3, 7, 8 und 9 GwG bei der Erstellung oder Überarbeitung einer Risikoanalyse die Leitlinien zu den Risikofaktoren für Geldwäsche und Terrorismusfinanzierung der Europäischen Bankenaufsichtsbehörde (im Folgenden: Leitlinien zu Risikofaktoren) vom 01.03.2021 zu beachten (Art. 17 und Art. 18 der Richtlinie (EU) 2015/849 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung (im Folgenden: Vierte Geldwäscherichtlinie; vgl. auch Titel I, Ziffer 4 ff.)). Es handelt sich bei diesen Leitlinien um ein Kernstück der Implementierung des risikobasierten Ansatzes.

Die Leitlinien zu Risikofaktoren enthalten Beispiele für Risikofaktoren, welche die Verpflichteten Unternehmen – soweit anwendbar – im Rahmen der gesetzlichen Bestimmungen berücksichtigen müssen, wenn sie die mit einer Transaktion verbundenen Geldwäsche- und Terrorismusfinanzierungsrisiken prüfen und bewerten.

Darüber hinaus beschreiben die Leitlinien zu Risikofaktoren, wie die Verpflichteten den Umfang ihrer Kundensorgfaltspflichten entsprechend den von ihnen identifizierten Risiken anpassen können, um die vorhandenen Ressourcen bestmöglich einzusetzen.

Die Leitlinien zu Risikofaktoren ergänzen für die Verpflichteten die in den Anlagen zum GwG enthaltenen Risikofaktoren.

Die Leitlinien zu Risikofaktoren umfassen (nach einem einleitenden Abschnitt) zwei inhaltliche Teile:

  1. Titel I enthält allgemeine Ausführungen und zu berücksichtigende Faktoren, die für alle Unternehmen gelten, die den geldwäscherechtlichen Pflichten unterliegen. Die Hinweise sollen die verpflichteten Unternehmen in die Lage versetzen, fundierte und risikoorientierte Entscheidungen im Zusammenhang mit der Identifizierung, Bewertung und Behandlung von Geldwäsche- und Terrorismusfinanzierungsrisiken zu treffen, die im Rahmen von Geschäftsbeziehungen sowie sonstiger, gelegentlich erfolgender Transaktionen bestehen können.
  1. Titel II gliedert sich dagegen in verschiedene sektorspezifische Unterabschnitte und unterstützt die Unternehmen dabei, ihre jeweiligen Kundensorgfaltspflichten risikoorientiert anzuwenden.

Die Leitlinien zu Risikofaktoren haben eine besondere Bedeutung, da das neue GwG – anders als das bisherige Recht – keine Fallkonstellationen nennt, in denen vereinfachte Sorgfaltspflichten zur Anwendung kommen könnten. Ähnliches gilt in Bezug auf Konstellationen, in denen ein erhöhtes Risiko vorliegt und die nicht in § 15 Abs. 3 GwG ausdrücklich genannt werden.


3. Anfertigen der Risikoanalyse

Ziel der Risikoanalyse ist es, die spezifischen Risiken in Bezug auf Geldwäsche und Terrorismusfinanzierung im Geschäftsbetrieb des Verpflichteten umfassend und vollständig zu erfassen, zu identifizieren, zu kategorisieren und zu gewichten. Darauf aufbauend sind geeignete Geldwäsche-Präventionsmaßnahmen, insbesondere interne Sicherungsmaßnahmen, zu treffen.

Was angemessen ist, beurteilt sich – wie sonst auch im Rahmen der Schaffung von Risikomanagement-Systemen – auf der Grundlage der eigenen Risikoanalyse des Verpflichteten bezüglich der Risikostruktur der von ihm angebotenen Dienstleistungen.

Bei der Anfertigung einer internen Risikoanalyse und der damit verbundenen Herleitung der erforderlichen Maßnahmen sind insbesondere folgende fünf Schritte notwendig:

  1. die vollständige Bestandsaufnahme der unternehmensspezifischen Situation,
  2. die Erfassung und Identifizierung der kunden-, produkt- und transaktionsbezogenen sowie der geografischen Risiken,
  3. die Kategorisierung, d.h. Einteilung in Risikogruppen, und ggf. zusätzliche Gewichtung, d.h. Bewertung, der identifizierten Risiken,
  4. die Entwicklung und Umsetzung angemessener interner Sicherungsmaßnahmen, die im Rahmen der erforderlichen Geldwäsche-Präventionsmaßnahmen aufgrund des Ergebnisses der Risikoanalyse verwendet werden,
  5. die Überprüfung und Weiterentwicklung der bisher getroffenen internen Sicherungsmaßnahmen unter Berücksichtigung des Ergebnisses der Risikoanalyse.

4. Diese 5 Schritte musst du beim Erstellen der Risikoanalyse beachten

Schritt 1

Für die Bestandsaufnahme der spezifischen Situation ist die jeweilige Geschäftsstruktur des Verpflichteten von Belang. Im Rahmen der Bestandsaufnahme kommt es insbesondere auf die Erfassung der im Unternehmen vorhandenen grundlegenden Kundenstruktur, der Geschäftsbereiche und -abläufe, der angebotenen Produkte, der Vertriebswege sowie der Organisationsstruktur des Unternehmens an.

Schritt 2

Die Risiken lassen sich mit Hilfe des im Finanzsektor vorhandenen Erfahrungswissens über Techniken der Geldwäsche und der Finanzierung des Terrorismus erfassen und identifizieren. Das hierfür erforderliche Erfahrungswissen kann z.B. aufgrund nationaler und internationaler Anhalts- bzw. Typologienpapiere und Verdachtskataloge (u.a. die für die Verpflichteten im internen Bereich der Website der FIU (www.fiu.bund.de) zugänglichen Typologiepapiere, jeweils für die Bereiche „Geldwäsche“ und „Terrorismusfinanzierung“, oder vergleichbare Papiere der FATF auf deren Homepage (www.fatf-gafi.org)), des im Unternehmen vorhandenen bzw. zu gewinnenden Wissens (etwa aus Medienauswertungen), der allgemeinen Analyse von Verdachtsfällen, die das Unternehmen in der Vergangenheit tangierten, oder des Erfahrungsaustauschs mit Geldwäschebeauftragten (im Folgenden: GWB) anderer Verpflichteter gewonnen bzw. aktualisiert werden.

Schritt 3

Die identifizierten Risiken sind zu kategorisieren, das heißt in verschiedene Risikogruppen einzuteilen, und jeweils hinsichtlich ihrer Bedeutung zu bewerten. Dies schließt u.U. eine Gewichtung der jeweiligen Risiken/Risikogruppen ein. Die Bewertung der identifizierten Risiken soll im Rahmen der Risikoanalyse grundsätzlich in drei Risikostufen (hoch, mittel, niedrig) erfolgen. Möglich ist aber sowohl eine weitere Spreizung/Abstufung mit mehr Risikostufen/-kategorien, als auch eine – auf freiwilliger Basis erfolgende – Reduzierung auf weniger Stufen/Kategorien (z.B. ausschließlich normale (mittlere) und erhöhte).

Beispiel für die dreistufige Risikoeinstufung/-klassifizierung:

  • Hoch => alle Fallkonstellationen, die entweder unter die vom Gesetzgeber definierten Hoch-risikoklassen (§ 15 GwG) oder aufgrund der eigenen Risikoeinschätzung des Verpflichteten unter Berücksichtigung der Anlage 2 zum GwG, der Leitlinien zu Risikofaktoren oder sonstiger konkreter Informationen ebenfalls in diese Klassifizierung fallen.

  • Mittel => alle Fallkonstellationen, die aufgrund der eigenen Risikoeinschätzung des Verpflichteten nicht in die Klassifizierung „hoch“ oder „gering“ fallen.

  • Gering => alle Fallkonstellationen, in denen unter Beachtung der Anforderungen des § 14 GwG, der Anlage 1 des GwG sowie der Leitlinien zu Risikofaktoren aufgrund einer nachvollziehbaren Risiko-analyse ein geringes Risiko angenommen werden kann.

Bei der Bewertung können unterschiedliche Bewertungsmethoden zum Ansatz kommen. Ein Bewertungssystem, bei dem verschiedene Risikofaktoren unterschiedlich gewichtet werden, ist ebenso denkbar wie ein starres System, bei dem ein hoher Risikowert bei einem Faktor für die Risikobewertung bindend ist und nicht durch Faktoren mit geringem Risiko kompensiert werden kann.

Zusätzlich können absolute Kriterien definiert werden, die die Kundenklassifizierung automatisch steuern und/oder automatisch eine besondere Sicherungsmaßnahme nach sich ziehen (z.B. besondere Entscheidungsprozesse bei der Aufnahme bestimmter neuer Kunden, z.B. PePs oder Kunden mit Sitz in einem Hochrisikoland).

Risikobasierte Abweichungen bzw. Ausnahmen sind vorbehaltlich der vorstehenden Ausführungen mit Begründung zu dokumentieren.

Bei der Bewertung sind von den Verpflichteten auch die jeweils aktuellen, veröffentlichten Ergebnisse der Nationalen Risikoanalyse in Bezug auf Geldwäsche und Terrorismusfinanzierung einzubeziehen.

Schritt 4

Die Ergebnisse der Identifizierung, Kategorisierung und Gewichtung der Risiken sind im Rahmen der einzelnen internen Sicherungsmaßnahmen umzusetzen, indem diese grundsätzlich aus den Ergebnissen der Risikoanalyse abzuleiten sind bzw. dieser entsprechen müssen.

Wie im Risikomanagement generell ist auch bei der Umsetzung der einzelnen Präventionsmaßnahmen im jeweiligen Einzelfall umso sorgfältiger vorzugehen, je höher das Risikopotential ist.

Schritt 5

Die getroffenen internen Sicherungsmaßnahmen sind unter Berücksichtigung des Ergebnisses der Risikoanalyse zu überprüfen und weiterzuentwickeln.


5. Festlegen der internen Sicherungsmaßnahmen  nach § 6 GwG

Neben der Risikoanalyse umfasst das Risikomanagement die Schaffung von angemessenen internen Sicherungsmaßnahmen nach § 6 GwG.

Angemessen sind dabei solche Sicherungsmaßnahmen, die in Form von Grundsätzen, Verfahren und Kontrollen der jeweiligen Risikosituation des Verpflichteten entsprechen und diese hinreichend abdecken. Die Maßnahmen haben sich dabei insbesondere an der Größe und Organisationstruktur des Verpflichteten, insbesondere dessen Geschäfts- und Kundenstruktur, auszurichten (siehe auch Leitlinien zu Risikofaktoren).

Was angemessen ist, bestimmt der Verpflichtete auf Grundlage der eigenen Analyse bezüglich der bestehenden Risiken von Geldwäsche und Terrorismusfinanzierung für alle von ihm angebotenen Produkte und Dienstleistungen sowie anhand der sonstigen relevanten Umständen. Ob das Risikomanagement tatsächlich angemessen ist, kann durch die BaFin überprüft werden.

Die Funktionsfähigkeit und Wirksamkeit der internen Sicherungsmaßnahmen ist vom Verpflichteten in angemessenen Umfang regelmäßig zu überwachen.

Regelbeispiele, § 6 Abs. 2 GwG

  • 6 Abs. 2 GwG enthält nachfolgende Regelbeispiele für die nach Abs. 1 zu schaffenden Sicherungs-maßnahmen. Aufgrund ihres nicht abschließenden Charakters gehören auch die für den jeweiligen Verpflichteten geltenden in Fachgesetzen aufgeführten internen Sicherungsmaßnahmen (z.B. § 25h Abs. 2 KWG, § 53 VAG) zu den in § 6 Abs. 1 GwG genannten Maßnahmen.

Alle internen Sicherungsmaßnahmen sind laufend zu überprüfen und bei Bedarf (z.B. im Falle einer signifikanten Veränderung der Risikosituation des Verpflichteten, bei Erkenntnissen über neue Techniken der Geldwäsche oder Terrorismusfinanzierung oder im Falle einer Änderung der gesetzlichen Anforderungen) insgesamt oder in Teilen zu aktualisieren.

Die Pflicht zur Ausarbeitung von internen Grundsätzen, Verfahren und Kontrollen besteht in Bezug auf:

  • Umgang mit Risiken, § 6 Abs. 2 Nr. 1a GwG
  • Kundensorgfaltspflichten, § 6 Abs. 2 Nr. 1b GwG
  • Meldepflichten, § 6 Abs. 2 Nr. 1c GwG
  • Aufzeichnung und Aufbewahrung, § 6 Abs. 2 Nr. 1d GwG
  • Sonstige Vorschriften, § 6 Abs. 2 Nr. 1e GwG

6. Wann ist eine gruppenweite Risikoanalyse nach § 5 Abs. 3 GwG erforderlich?

Die Verpflichtung zur Erstellung einer Risikoanalyse gilt nach § 5 Abs. 3 GwG auch für Mutterunternehmen einer Gruppe in Bezug auf die gesamte Gruppe.

Um die bestehenden Risiken auf Gruppenebene vollumfänglich berücksichtigen und adressieren zu können, bedarf es einer Risikoanalyse im Sinne von § 5 GwG, die die gruppenangehörigen Zweigstellen, Zweigniederlassungen und Unternehmen abdeckt.

Unter Berücksichtigung von Sinn und Zweck der Regelung kann sich die gruppenweite Risikoanalyse aber nur auf solche Niederlassungen und Unternehmen beziehen, die am Ort ihres Sitzes jeweils geldwäscherechtlichen Pflichten unterliegen.

Das Mutterunternehmen hat in diesem Rahmen eine gruppenweite Risikoanalyse zu erstellen und zu aktualisieren, die die Risikoanalysen der gruppenpflichtigen Zweigstellen, Zweigniederlassungen und Unternehmen im In- und Ausland einbezieht und darauf aufbaut.

Das Mutterunternehmen hat in diesem Zusammenhang auch das Risiko zu bewerten, das eine von den Zweigstellen, Zweigniederlassungen und Unternehmen getätigte Geschäftsaktivität für die gesamte Gruppe darstellt bzw. darstellen kann.

Die jeweils aktuell zu erstellende Gruppenrisikoanalyse und die gruppenweit internen Sicherungsmaßnahmen müssen von der bei dem Mutterunternehmen benannten Mitglied der Leitungsebene im Sinne des § 4 Abs. 3 GwG genehmigt werden.

Gruppenweite Maßnahmen

Das Mutterunternehmen hat auf der Basis der gruppenweiten Risikoanalyse die erforderlichen Maßnahmen und Pflichten für alle gruppenpflichtigen Zweigstellen, Zweigniederlassungen und Unternehmen zu ergreifen, bei denen es aufgrund seiner Beteiligung oder aufgrund anderweitiger Vereinbarungen die rechtliche Möglichkeit hat, eine entsprechende wirksame Umsetzung dieser Pflichten und Maßnahmen sicherzustellen.

Gruppenweit einheitliche Sicherungsmaßnahmen

„Gruppenweit einheitlich“ bedeutet nicht, dass für alle gruppenpflichtigen Zweigstellen, Zweigniederlassungen und Unternehmen unabhängig davon, zu welchem Verpflichtetenkreis (z.B. Kreditinstitut oder Versicherungsunternehmen) sie gehören, dieselben Sicherungsmaßnahmen im Sinne von § 6 Abs. 1 und 2 GwG gelten. Erforderlich ist, dass die für die jeweiligen Verpflichteten anzuwendenden Sicherungsmaßnahmen innerhalb der gesamten Gruppe und unabhängig vom Ort der Zweigstelle, Zweigniederlassung oder des Unternehmens in gleicher Weise Anwendung finden.

Bestellung eines Gruppengeldwäschebeauftragten

Beim Mutterunternehmen ist ein Gruppengeldwäschebeauftragter sowie ein Stellvertreter zu bestellen, der für die Erstellung einer gruppenweit einheitlichen Strategie zur Verhinderung von Geldwäsche und Terrorismusfinanzierung sowie für die Koordinierung und Überwachung ihrer Umsetzung zuständig ist. Nach § 9 Abs. 1 Satz 4 GwG gelten § 7 Abs. 4-7 GwG entsprechend. Für den Gruppengeldwäschebeauftragten gelten somit die allgemeinen Regelungen zum Geldwäschebeauftragten.


7. Kontinuierliche Überwachung nach §10 Abs. 1 Nr. 5 GwG

Nach der Gesetzesbegründung zu § 10 Abs. 1 Nr. 5 GwG hat eine kontinuierliche dynamische Überwachung der Geschäftsbeziehung einschließlich der Transaktionen, die in ihrem Verlauf durchgeführt werden, und in diesem Zusammenhang ein Abgleich von Kundenprofilen mit dem jeweiligen Transaktionsverhalten zu erfolgen.

Dynamische Überwachung bedeutet hierbei, die angemessene Berücksichtigung der Erkenntnisse aus dem Verlauf der Geschäftsbeziehung. Mit der kontinuierlichen Überwachung soll festgestellt werden, ob die laufende Geschäftsbeziehung bei der Abwicklung von einzelnen Transaktionen konkrete Auffälligkeiten oder relevante Abweichungen vom bisherigen Kundenverhalten aufweist.

Die Indizien sind unternehmensindividuell zu definieren. Dabei sind die Ergebnisse der Risikoanalyse zu Grunde zu legen.

Jetzt anmelden und erfolgreich werden!

In diesem Seminar wirst du folgendes lernen:

Risikoanalyse § 5 GwG – Die Einrichtung eines angemessenen Risikomanagements nach § 5 GwG einschließlich klarer Berichtspflichten ist die Grundlage für eine effektive Risikovermeidung und -mitigation. Die Erstellung einer institutsspezifischen Risikoanalyse sowie die Entwicklung und Aktualisierung interner Grundsätze, angemessener Geschäfts- und kundenbezogener Sicherungssysteme sind hierfür unerlässlich. In diesem Seminar wird das neueste Risikomanagement-Framework erläutert und du lernst, wie du Risiken effektiv bewerten und beurteilen kannst. Dabei werden auch die neuesten Erkenntnisse der Finanzaufsicht berücksichtigt.

Risikoanalyse § 5 GwG – kein Problem mit S+P Seminare.

Kontakt

Newsletter