Zusammenfassung
Aufgrund Verzögerungen durch die Regierung und die FMA bei der nationalen Risikoanalyse, welche als Basis für die eigene Risikokategorisierung nach Art. 9a SPG verwendet werden musste, war es den Sorgfaltspflichtigen faktisch nicht möglich, innerhalb der gesetzlichen Übergangsfrist die Risikokategorisierung gesetzeskonform zu erstellen. Das von der FMA aber relativ spät veröffentlichte Risiko-Tool galt/gilt als begrüssenswerte Alternative. Die auf der Website der FMA verfügbare Vorlage verweist ebenso wenig auf die Notwendigkeit eine Datierung, Unterschrift und/oder Visum der Compliance, wie die entsprechenden Grundlagen (Gesetz, Verordnung, Richtlinien). Dennoch prüfte die FMA im vergangenen Jahr, ob die Risikobewertung zeitgerecht erfolgte und ob das Risikotool datiert, unterzeichnet und visiert ist. Die Folgen dieser Prüfung sind extrem stossend, zumal die FMA die entsprechenden Verfehlungen zumindest indirekt mitverschuldete. Unter dem Gesichtspunkt der Rechtsstaatlichkeit ist dies höchst bedenklich.
Problematik Risikokategorisierung anl. der Prüfrunde 2020
In der vergangenen Prüfrunde 2020 der FMA im Bereich Sorgfaltspflicht, vornehmlich durchgeführt durch hierzu bestellte Revisionsgesellschaften, aber auch durch Vor-Ort Prüfungen der FMA, staunten manche Geprüfte über das Ausmass der Fragen, die im Vorfeld im sogenannten «Firm-Review» beantwortet werden mussten. Auch erstaunt waren die einen oder anderen Sorgfaltspflichtigen auf Feststellungen der Revisionsgesellschaft bzw. der FMA hins. Mängel bzw. Verletzungen von Vorschriften Einige der festgestellten Beanstandungen betrafen Bereiche, welche, zumindest nach meiner Einschätzung, jeglicher Rechtsgrundlage entbehrten. Die FMA geht teilweise jedenfalls von zu erfüllenden Vorgaben aus, welche nur schwer oder gar nicht in den mannigfachen Richtlinien, Wegleitungen, Verordnungen und Gesetzen zu finden sind. Als Beispiel möge hier die geprüfte Voraussetzung der Unterzeichnung, Datierung und Visierung der Risikokategorisierung nach Art. 9a SPG dienen.
Gesetzliche Grundlagen und Hintergründe der Risikokategorisierung
Art. 9a SPG wurde im revidierten SPG mit LGBl 2017/161 eingeführt, trat also am 01.09.2017 in Kraft. Art. 9a SPG besagt zusammengefasst, dass Sorgfaltspflichtige in einer Risikobewertung die für sie bestehenden Risiken in Bezug auf Geldwäscherei, organisierte Kriminalität und Terrorismusfinanzierung zu ermitteln und zu bewerten haben, wobei die Risiken gem. den (neuen) Anhängen zum SPG ebenso zu berücksichtigen waren, wie auch die nationale Risikoanalyse nach Art. 29b SPG, welche damals ebenfalls neu eingeführt wurde.
Gemäss Art. 29a SPG (gleichzeitig wie Art. 9a SPG neu eingeführt) waren die «für die Erstellung der nationalen Risikobewertung zuständigen Behörden, insbesondere die Staatsanwaltschaft, die FMA, die Stabsstelle FIU, die Landespolizei und andere im Bereich der Bekämpfung der Geldwäscherei, organisierter Kriminalität und Terrorismusfinanzierung zuständige Behörden» gefordert, «angemessene Schritte» zu unternehmen, «um die bestehenden Risiken der Geldwäscherei und Terrorismusfinanzierung in diesem Zusammenhang zu ermitteln, zu bewerten, zu verstehen und zu mindern». Die nationale Risikoanalyse sollte «ggf. Sektoren oder Bereiche mit geringerem oder höherem Risiko für Geldwäscherei und Terrorismusfinanzierung» identifizieren (Art. 29b Abs. 2 SPG) und den Sorgfaltspflichtigen «umgehend» zur Verfügung gestellt werden (Art. 29c SPG).
Es sei hier der guten Ordnung halber angefügt, dass eine Zuteilung der Mandate zu gewissen Risikokategorien schon vorher notwendig und gefordert war. Beim neuen Artikel 9a SPG handelte es sich letztendlich um eine Präzisierung mit dem klaren (und entsprechenden kommunizierten) Ziel der FMA/Regierung, dass mehr Geschäftsbeziehungen als erhöhtes Risiko eingestuft werden – dies, um den internationalen Vorgaben und Forderungen gerecht werden zu können (was an dieser Stelle unkommentiert gelassen werden soll…). Neu war ebenfalls die notwendige, interne Risikoermittlung (basierend u.a. auf einer «nationalen Risikoanalyse», was damals vollkommen neu war).
Gemäss den entsprechenden Übergangsbestimmungen (LGBl 2017/161 Art. II Abs. 2) hatte die Risikobewertung nach Art. 9a, einschliesslich der damit verbundenen Zuordnung der einzelnen Geschäftsbeziehungen und Transaktionen, bis zum 1. März 2018 zu erfolgen.
Umsetzungsproblematik für die Sorgfaltspflichtigen im Herbst 2017 – die FMA reagiert
Die Sorgfaltspflichtigen standen im Herbst 2017 nun vor der Problematik, dass sie a) ihre Geschäftstätigkeit aus Risikosicht (im Sinne SPG) beurteilen mussten, b) hierzu eine «nationale Risikoanalyse» beachten sollten und c) hiernach sämtliche Geschäftsbeziehungen entsprechend neu klassifizieren mussten. Nur: die nationale Risikoanalyse stand nicht zur Verfügung. Obwohl die Behörden gesetzlich verpflichtet waren, diese «umgehend» zur Verfügung zu stellen. Fazit: die Sorgfaltspflichtigen waren zu diesem Zeitpunkt schlicht nicht in der Lage, die Risikobewertung nach dem Wortlaut des Gesetzes (Art. 9a SPG) vorzunehmen.
Es wurde Weihnachten. Am 12.01.2018 veröffentlichte die Treuhandkammer («THK»), ein sog. «Risiko-Tool» (Version 1.5) welches zusammen mit der FMA ausgearbeitet worden war. Pikant war, dass zu diesem Zeitpunkt a) die nationale Risikoanalyse noch nicht veröffentlicht war und die Richtlinie 2013/1 die Sorgfaltspflichtigen im Unklaren liess, ob nun bei Einsatz des Risiko-Tools den Vorgaben von Art. 9a SPG gerecht wurde oder nicht (man konnte davon ausgehen, war sich aber nicht sicher).
Das änderte sich erst mit Erlass der abgeänderten RL 2013/1 am 20.02.2018, in welcher in Ziff. 5.9 festgehalten wurde, dass bei Einsatz des Risiko-Tools 1.5 die Pflichten nach Art. 9a SPG als eingehalten betrachtet würden. Die Sorgfaltspflichtigen hatten damit erst bzw. frühestens am 20.02.2018, 8 Tage vor Ablauf der gesetzlichen Übergangsfrist Rechtssicherheit darüber, dass anstelle einer eigenen Risikobewertung (für welche die hierzu zu berücksichtigende NRA noch gar nicht bekannt war) das Risiko-Tool 1.5 verwendet werden konnte – und 8 Tage Zeit alle Mandate entsprechend zu prüfen?!?
Es stellte sich dann im Verlauf des ersten Quartals heraus, dass die ursprüngliche Version des Risiko-Tools 1.5 viele Fragen offenliess, und dass Verbesserungsbedarf bestand. Im März (!) 2018, fand dann erst eine Sitzung zwischen THK und FMA statt, um das Risiko-Tool zu optimieren (ich bin Mitglied der Fachgruppe Compliance der THK und war bei den entsprechenden Sitzungen involviert). Wir wurden vorgängig darüber in Kenntnis gesetzt, dass an der Sitzung eine adaptierte Fassung des Risiko-Tools ausgehändigt und diskutiert werden sollte. Fazit: Der FMA war es zu diesem Zeitpunkt bewusst, dass die bestehende Lösung nicht optimal war.
Nachbesserungen – nach Ablauf der Übergangsfrist; das Risiko-Tool Version 2.0
Nach verschiedenen Sitzungen wurde dann durch die THK (Mitteilung 2018/021) am 06.04.2018 die neue Version 2.0 veröffentlicht. Darin wurde u.a. auch festgehalten: «Wird das Tool zur Risikobewertung (Version 1.5 oder 2.0) wie oben erläutert angewandt, profitieren die Sorgfaltspflichtigen von einem „Coaching-Ansatz“ im Rahmen der Prüfungen. (…) „Coaching-Ansatz“ bedeutet, dass bei den ordentlichen Sorgfaltspflichtkontrollen im Jahr 2018 hinsichtlich des Tools zur Risikobewertung bzw. deren Anwendung keine Beanstandungen, sondern lediglich Empfehlungen seitens der Wirtschaftsprüfer und der FMA ausgesprochen wurden. Dieser Ansatz wird gewählt, da sich die gemeinsamen Arbeiten der FMA und der THK zu den Risiko-Tools 1.5 und 2.0 verzögert haben und somit für die Sorgfaltspflichtigen weniger Zeit für deren Umsetzung zur Verfügung steht.»
Mit keinem Wort wurde die damals schon abgelaufene Übergangsfrist erwähnt. Aus dem Wortlaut und nach meiner Erinnerung war allen Beteiligten klar, dass es hier deutliche Verzögerungen und Unsicherheiten gab. Die Idee des Coaching-Ansatzes war jedoch gut und aus meiner Sicht auch angemessen. Nur: leider wurde vergessen, die Ergebnisse und Erkenntnisse aus der damaligen Prüfrunde zu kommunizieren. Dies wäre, wie sich gleich zeigen wird, durchaus sinnvoll gewesen…
Die nationale Risikoanalyse (NRA) wurde dann im Übrigen schlussendlich im Juli 2018 (also deutlich nach Ablauf der Übergangsfrist zur Erstellung der Risikobewertung nach 9a SPG…) veröffentlicht…
Kritik an den Vorgaben der FMA in der Prüfrunde 2020
In der eingangs erwähnten Prüfrunde 2020 wurde nun aufgrund der Vorgaben der FMA geprüft, ob die Risikobewertung und Risikokategorisierung nach Art. 9 zeitgerecht erfolgte, ob das Risiko-Tool in Version 1.5 oder 2.0 angewandt wurde und – und hier wird es haarsträubend – die Risikokategorisierung datiert, unterzeichnet und visiert wurde.
An dieser Stelle sei darauf hingewiesen, dass das Risiko-Tool bis jedenfalls vor Kurzem auf der Website der FMA zum Herunterladen bereitgestellt wurde, die Tabelle aber KEIN Unterschriftenfeld oder ähnliches und auch keinen Hinweis beinhaltet…
Fazit also: bis zum 06.04.2018 stand das FMA Risiko-Tool 2.0 noch gar nicht im Einsatz. Die NRA, welche die Behörden, u.a. auch die FMA, erstellen sollten, welche gemäss Art. 29c SPG «umgehend» den Sorgfaltspflichtigen zur Verfügung gestellt werden muss und welche diese in ihrer Risikobewertung (falls sie NICHT das Risiko-Tool einsetzen) einfliessen lassen müssen, war erst im Juli 2018 verfügbar. Alles bereits lange NACH Ablauf der Übergangsfrist.
Wie nun eine Aufsichtsbehörde im Ernst verlangen kann, dass das von ihr erst nach Ablauf der Übergangsfrist veröffentlichte Risiko-Tool zeitgerecht (also innerhalb der Übergangsfrist) erstellt worden und unterzeichnet, datiert und visiert ist, wenn das von derselben Behörde zur Verfügung gestellte Formular bis heute (!) keinen Hinweis auf die Notwendigkeit der Unterschrift beinhaltet, lässt sich nur schwer nachvollziehen. Zu bedauern ist auch, dass der im Jahr 2018 kommunizierte und zu recht eingeführte Coaching-Ansatz nicht genutzt wurde, um genau solches zu verhindern bzw. klar zu stellen.
Mal abgesehen davon, dass man sich zu Recht die Frage stellen kann, wieso die NRA nicht vorher veröffentlicht wurde oder wieso das Risiko-Tool nicht bereits bei Inkrafttreten des neuen Gesetzes, jedenfalls aber zeitnah danach zur Verfügung stand, kann man durchaus von der Aufsichtsbehörde verlangen, dass sie sich an gewisse Spielregeln hält und nicht bei Marktteilnehmern die Einhaltung von Vorgaben überprüft, welche diesen nicht bekannt sind bzw. welche sie gar nicht einhalten konnten, weil diese zum Zeitpunkt wo sie hätten erfüllt werden müssen, gar nicht erfüllbar waren. Leider ist dies aber eine Tendenz, welche anscheinend bereichsübergreifend zu beobachten ist. Dies ist umso bedenklicher, als dass bei Nichteinhaltung von gesetzlichen Vorgaben dieselbe Behörde, wie sich aufgrund der kürzlich veröffentlichten Übersicht der ausgesprochenen Sanktionen 2020 zeigte, nicht unerhebliche Strafverfügungen ausspricht. Dies ist bei klaren Verletzungen durchaus gerechtfertigt und begrüssenswert – birgt aber nicht unerhebliche Probleme bei starren Beharren auf dem Buchstaben des Gesetzes bei gleichzeitigem Vergessen oder Verdrängen eigener Mankos.
Es ist bekannt, dass den Aufsichtsbehörden, speziell leider auch der FMA, oftmals der Praxisbezug fehlt und somit nicht klar ist, was Massnamen auslösen. Die Tatsache, dass nun diverse Sorgfaltspflichtige wie oben geschildert geprüft wurden, nachbessern müssen, Diskussionen mit der Revisionsgesellschaft und/oder der FMA haben, ist hier aber extrem stossend, zumal die FMA selbst die entsprechenden «Verfehlungen» der Sorgfaltspflichtigen indirekt verschuldet … Unter dem Gesichtspunkt der Rechtsstaatlichkeit ist dies alles höchst bedenklich und es ist zu hoffen, dass die FMA einsieht, dass die entsprechen festgestellten Verfehlungen den Sorgfaltspflichtigen nicht zum Vorwurf gemacht werden können.