Nachdem die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) im Dezember 2018 ihre Auslegungs- und Anwendungshinweise zum Geldwäschegesetz (GwG) herausgab, rückte sie für 2019 die Geldwäscheprävention in den Fokus. Zugleich steht die Umsetzung der fünften Geldwäscherichtlinie zum Anfang des Jahres 2020 an. Daneben sollten Fondsmanager aber auch die bereits geltenden neuen Anforderungen an die Fund Compliance im Blick haben: Schließlich fordert die BaFin nunmehr einen sog. Legal Entity Identifier (LEI) im Rahmen ihrer Berichtspflichten und stellt höhere Anforderungen an die IT-Sicherheit. Gleichzeitig verfolgt die Aufsicht verstärkt Verstöße gegen FATCA- und CRS-Erklärungspflichten. Und nach einem Jahr unter dem neuen Regelungsregime zeichnet sich auch im Datenschutz eine Verwaltungspraxis ab – nicht zuletzt im Umgang mit Verstößen.
Umsetzung der fünften Geldwäscherichtlinie
Der deutsche Gesetzgeber hat Neuerungen der fünften Geldwäscherichtlinie der EU bis Januar 2020 im GwG abzubilden. Zwischenzeitlich ist am 09. Oktober dieses Jahres der Regierungsentwurf erschienen. Die erweiterten Sorgfalts-, Aufzeichnungs- und Aufbewahrungspflichten sowie Klarstellungen müssen künftig zumeist auch von Fondsmanagern berücksichtigt werden. Entgegen dem Referentenentwurf sieht der Regierungsentwurf nicht mehr vor, den Haftungsmaßstab von Geldwäschebeauftragten bzw. zuständigen Leitungsorganen zu senken: Ordnungswidrig handelt weiterhin, wer vorsätzlich oder leichtfertig handelt. Angesichts der jüngeren Rechtsprechung aufgekommene Fragen zur Verantwortung (und etwaigen Freistellung) von Geldwäschebeauftragten bleiben jedoch weiter in der Diskussion.
Das neue Transparenzregister in der Praxis
Die nationalen elektronischen Transparenzregister werden künftig europaweit miteinander vernetzt. Dies soll die Identifikation und Erfassung von wirtschaftlich Berechtigten effizienter gestalten. Neu eingeführt wird die Verpflichtung zur Anzeige von Unstimmigkeiten: Weichen einzelne Angaben zu wirtschaftlich Berechtigten voneinander ab oder werden unterschiedliche wirtschaftlich Berechtigte ermittelt, ist dies der registerführenden Stelle zu melden. Diese prüft die Angaben und stellt unverzüglich ein rechtsverbindliches Ergebnis fest. Auch wenn dem Transparenzregister im Gegensatz zum Handelsregister weiterhin der öffentliche Glaube fehlt, dürfte es an praktischer Relevanz durchaus gewinnen, da geldwäscherechtlich Verpflichtete künftig im Rahmen ihrer Sorgfaltspflichten zwingend das Transparenzregister einzusehen haben. Inwieweit Defizite bei der praktischen Anwendung, die sich seit Einführung des Registers vor zwei Jahren gezeigt haben, durch die Novellierung begradigt werden, bleibt abzuwarten.
Hinzuweisen ist auf die jüngste Überarbeitung der FAQ des Bundesverwaltungsamts zum Transparenzregister: Die geänderte Verwaltungsauffassung führt zu deutlich mehr mitteilungspflichtigen Sachverhalten, da der Rückgriff auf Angaben aus anderen elektronischen Registern (z.B. dem Handelsregister) nach § 20 Abs. 2 GwG restriktiver gelten soll. Insbesondere Gesellschaften sollten daher prüfen, ob sie sich weiterhin auf diese Fiktion verlassen können.
Neue Berichtspflichten und IT-Anforderungen:
(Un-)Möglichkeiten in der Umsetzung
Fondsmanager müssen künftig einen LEI für Kapitalverwaltungsgesellschaften und Fonds, die sie verwalten, einholen und im Rahmen des periodischen BaFin-Reportings melden. Bei dem LEI handelt es sich um einen zwanzigstelligen alphanumerischen Code, der einmalig vergeben wird und eine globale Zuordnung des jeweiligen Unternehmens erlaubt. Die BaFin fordert, dass man bereits eingereichte Reportings für 2018 um den LEI ergänzt. Er ist künftig jährlich zu validieren. Unter bestimmten Voraussetzungen sind auch die LEI von Portfoliounternehmen anzugeben, was sich in der Praxis durchaus als schwierig erweisen kann: Ist ein Portfoliounternehmen etwa selbst nicht zur Einholung eines LEI verpflichtet und verweigert deshalb dessen Beantragung, wird der Fonds ohne Mehrheitsbeteiligung an dem Portfoliounternehmen auch nicht die LEI-Einholung anweisen können.
Die BaFin hat im Sommer 2019 kapitalverwaltungsaufsichtliche Anforderungen an die IT von Kapitalverwaltungsgesellschaften (KAIT) konsultiert und diese im Oktober 2019 als Rundschreiben veröffentlicht. Die Mindestanforderungen an das IT-Risikomanagement von Kapitalverwaltungsgesellschaften (KAMaRisk) bleiben unberührt und werden konkretisiert. Die Anforderungen sind in einem umfangreichen Katalog in acht Gruppen mit insgesamt 68 Anwendungshinweisen eingeteilt. Sie gelten für Kapitalverwaltungsgesellschaften mit einer BaFin-Erlaubnis; lediglich registrierte Kapitalverwaltungsgesellschaften bleiben verschont.
Eine neue Zeitrechnung?
Das erste Jahr unter der DS-GVO
Im Laufe der letzten Monate etablierte sich auch infolge der Anwendung der DS-GVO eine anfängliche Verwaltungspraxis. Europäische und deutsche Behörden publizieren einheitliche Verwaltungsauffassungen, die als gute Orientierung angesehen werden dürfen. Im Umgang mit Verstößen zeigte sich die Aufsicht bislang effizient und nachsichtig: Die Verfahren werden vergleichsweise zügig durchgeführt, die Bußgelder fallen bundesweit relativ moderat aus. Das lag nach Aussagen der Behörden auch daran, dass die Bußgeldadressaten nach Bekanntwerden des Verstoßes um Transparenz und schnelle Aufklärung bemüht waren, sich frühzeitig kooperativ zeigten und selbst keine wirtschaftlichen Vorteile aus dem Verstoß gezogen haben und es in der Vergangenheit keine Gründe zur Beanstandung der Datensicherheit gab.
Gleichzeitig deutet sich an, dass die Schonfrist zur vollständigen Umsetzung und Einhaltung der DS-GVO-Vorgaben langsam abläuft. Im Juni 2019 verständigten sich die deutschen Aufsichtsbehörden auf ein systematisches und transparentes Modell zur Bußgeldbemessung: Auf einer ersten Stufe wird der weltweite (Konzern-) Umsatz als Bemessungsgrundlage veranschlagt, der auf einer zweiten Stufe – je nach Schwere des Verstoßes – mit einem Faktor zwischen 1 und 12 multipliziert wird. Auf einer dritten Stufe werden strafschärfende und -mildernde Faktoren (etwa Dauer des Verstoßes, Anzahl der Betroffenen oder Ausmaß des von ihnen erlittenen Schadens) berücksichtigt, bevor abschließend noch der Verschuldensgrad in die Berechnung einfließt und zu prozentualen Auf- und Abschlägen führen kann. Auch wenn das Modell nicht in Stein gemeißelt ist, dürfte künftig mit höheren Bußgeldern zu rechnen sein. So hat die Berliner Aufsicht im August zwei Bußgelder gegen ein Unternehmen im niedrigen sechststelligen Bereich rechtskräftig verhangen. Zudem prüft die Behörde Verstöße eines Unternehmens gegen die DS-GVO, die ein Bußgeld im zweistelligen Millionenbereich nach sich ziehen könnten.
Fazit: Steigende Bedeutung der Fund Compliance
Es bleibt festzuhalten, dass die für Fondsmanager geltenden Compliance-Pflichten umfangreicher werden und deren Einhaltung im Einzelfall nicht immer einfach sein mag.
Weitere Beiträge und Videos zur MUPET 2019 finden Sie in unserem MUPET-Archiv.
Mehr zum Thema:
Fund Compliance – Aktuelle Rechtslage und anstehende Änderungen
BaFin konkretisiert Geldwäscherecht
Fund Compliance – Widerstand ist zwecklos
Fund Compliance – Aktuelle Gesetzgebung in der Diskussion