Update: Fit and Proper Anforderungen an Geschäftsleiter

Anfang Juli haben die Europäische Wertpapier- und Marktaufsichtsbehörde (European Securities and Markets Authority – „ESMA“) und die Europäische Bankaufsichtsbehörde (European Banking Authority – „EBA“) ihre überarbeiteten Joint Guidelines zu den Geeignetheitsanforderungen and Geschäftsleiter veröffentlicht. Wir geben dazu ein kurzes Update.

Was ist der Hintergrund?

Geschäftsleiter regulierter Institute müssen fachlich geeignet und zuverlässig sein und ihrer Tätigkeit ausreichend Zeit widmen. Die fachliche Eignung setzt voraus, dass die Geschäftsleiter in ausreichendem Maß theoretische und praktische Kenntnisse in den betreffenden Geschäften sowie Leitungserfahrung haben. Die Bundesanstalt für Finanzdienstleistungsaufsicht („BaFin“) hat zuletzt bereits die fachliche Eignung sowohl des einzelnen Geschäftsleiters als auch insbesondere die kollektive fachliche Eignung der Geschäftsführung als solcher in den aufsichtlichen Fokus gerückt. Darüber haben wir bereits hier berichtet.

Was beinhalten die überarbeiteten Joint Guidelines?

Zwei Punkte sind besonders interessant. Zum einen die erforderlichen Kenntnisse von Geschäftsleitern zur Verhinderung von Geldwäsche und zum anderen die geschlechterausgewogene Besetzung von Geschäftsleiterpositionen.

Kenntnisse zur Verhinderung von Geldwäsche

Die Joint Guidelines stellen klar, dass Kenntnisse im Bereich der Verhinderung von Geldwäsche und der Terrorismusfinanzierung Bestandteil der fachlichen Eignung von Geschäftsleitern sind. Ausreichende fachliche Eignung und Kenntnisse der Geschäftsleiterin, die für die Umsetzung und Einhaltung der geldwäscherechtlichen Vorschriften verantwortlich ist, schließt ausdrücklich die Identifizierung, das Management und die Minderung von Geldwäscherisiken und des Risikos der Terrorismusfinanzierung mit ein. Kenntnisse im Bereich der Geldwäsche sind auch für die kollektive fachliche Eignung der Geschäftsführung erforderlich. Diese können etwa durch entsprechende Schulungen sichergestellt werden. Diejenige Geschäftsleiterin aber, die die Umsetzung geldwäscherechtlicher Anforderungen verantwortet, bedarf hier vertiefter Kenntnisse.

Geschlechterausgewogene Besetzung

Zudem stellen die Joint Guidelines klar, dass Institute zum einen eine Policy aufgesetzt und implementieren haben sollten, die Diversität in der Geschäftsführung fördert, um eine möglichst große Vielfalt in deren Besetzung zu erreichen. Zum anderen sollten Institute auch ganz konkret eine angemessene Vertretung aller Geschlechter im Leitungsorgan anstreben und sicherstellen, dass bei der Auswahl der Mitglieder des Leitungsorgans das Prinzip der Chancengleichheit beachtet wird. Hierbei handelt es sich aber (noch) nicht um zwingende Regelungen, sondern um „Sollvorschriften“.

Allerdings hat die EZB passend dazu in einem jüngst veröffentlichten Leitartikel ausdrücklich betont, dass sie zukünftig genau prüfen wird, welche Fortschritte Banken beim Thema Diversität machen. Dabei werden auch Informationen darüber eingeholt werden, ob interne Diversitätsziele festgelegt wurden und ob diese Ziele erreicht wurden. Wenn diese internen Ziele verfehlt wurden, wird die EZB Maßnahmen zur Beseitigung von Ungleichgewichten in der Besetzung der Geschäftsleitung empfehlen. Außerdem werden die Banken zukünftig auf etwaige Mängel im Rahmen des jährlichen aufsichtlichen Bewertungs- und Überprüfungsprozesses hingewiesen werden. Die EZB betont, dass bei Nichteinhaltung interner Diversitätsziele verpflichtende Regelungen möglich sind.

Was bleibt mitzunehmen?

Das Thema Geldwäsche scheint ein aufsichtlicher Dauerbrenner zu werden. Institute sollten sicherstellen, dass ihre Geschäftsleiter hier über ausreichend Kenntnisse und Erfahrung verfügen. Darüber hinaus ist das Thema Geschlechterausgewogenheit nun auch endgültig auf höchster regulatorischer Ebene angekommen. Institute sollten mit gutem Beispiel vorangehen und eine ausgewogene Besetzung ihrer Geschäftsleitung nicht nur anstreben, sondern auch tatsächlich umsetzen.

The EU regulatory framework on outsourcing – where are we now?

In recent years, in pursuit of cost reduction and efficiency improvement financial institutions around the globe have been increasingly interested in outsourcing their business activities to other institutions and specialised service providers. From asset management, where delegation of certain functions was a standard practice since decades, to small payment companies relying on specialised regulatory compliance service providers, there is almost no area of the financial services sector nowadays that has remained immune to the ever-increasing use of outsourcing arrangements. Moreover, rapid digitisation of the financial service sector, featured by more frequent use of cloud technology and specialised providers of IT-related services to financial institutions has just added more complexity into the game which immediately triggered the attention of financial regulators in the European Union.

ESA’s Guidance Framework

In attempt to bridge these gaps (to the certain extent) the European Supervisory Authorities (ESAs), European Banking Authority (EBA), European Securities and Markets Authority (ESMA and European Insurance and Occupational Pension Authority (EIOPA) have issued guidelines on outsourcing arrangements that stipulate standards and requirements that financial institutions under their respective supervisory remit need to fulfil when entering into outsourcing arrangements.

These include:

  • EBA Guidelines on outsourcing arrangements (EBA/GL/2019/02), see our explanation thereof here
  • ESMA Guidelines on outsourcing to cloud service providers (ESMA50-164-4285), see our blog post thereof here.
  • EIOPA Guidelines on outsourcing to cloud service providers (EIOPA-BoS-20-002)

What applies to whom?

Whereas EBA Guidelines apply to all types of outsourcing arrangements that financial institutions under its supervisory remit enter into, ESMA and EIOPA Guidelines are focused solely on one specific type of outsourcing arrangements that has attracted much of regulatory scrutiny lately, outsourcing to cloud service providers.

Outlook

It is unquestionable that ESA’s Guidance framework on outsourcing has provided a valuable set of standards and requirements that financial institutions can follow when ensuring compliance with applicable requirements on outsourcing they may be a subject to under applicable sector specific pieces of EU and national legislation. However, there are small divergences between ESA’s Guidelines and such lack of full alignment brings financial institutions that find themselves under the supervisory remit of more than one European Supervisory Authority in front of significant challenges. Furthermore, given that ESMA and EIOPA Guidelines apply solely to outsourcing to cloud service providers, there is a great number of standard outsourcing arrangements that will still need to be structured in accordance with high-level regulatory requirements on outsourcing stipulated by applicable EU legislation that frequently falls short of providing clear guidance for financial institutions.

Nevertheless, the process of harmonization of rules on outsourcing and operational resilience of financial institutions in general seems to be far from over. As part of its Digital Finance Package published on 24 September 2020, the EU Commission has published a proposal for Regulation on digital operational resilience for the financial sector (commonly known as Digital Operational Resilience Act “DORA”) that aims to harmonize EU regulatory requirements on digital operational resilience in financial services. In the same vein, beside requirements on management of ICT risks, DORA aims to bring certain requirements on outsourcing arrangements, onto a legislative footing. Despite the fact that DORA may harmonize a number of questions related to outsourcing arrangements until it becomes operational (which from today’s point of view is hard to expect before 2023) financial institutions will have to ensure compliance with requirements on outsourcing in accordance with ESA’s Guidelines and applicable sector specific pieces of EU and national legislation.

Final ESMA Guidelines on cloud outsourcing

At the end of December 2020, the European Securities and Markets Authority (ESMA) published its final report on its guidelines on outsourcing to cloud service providers (CSP). The purpose of the guidelines is to help firms identify, address and monitor the risks that may arise from their cloud outsourcing arrangements. Since the main risks associated with cloud outsourcing are similar across financial sectors, ESMA has considered the European Banking Authority (EBA) Guidelines on outsourcing arrangements, which have incorporated the EBA Recommendations on outsourcing to cloud services providers and the European Insurance and Occupational Pensions Authority (EIOPA) Guidelines on outsourcing to cloud service providers. This ensures consistency between the three sets of guidelines. The ESMA Guidelines on cloud outscoring apply to MiFID II firms such as investment firms and other financial services providers indirectly but they describe the market standard and set the supervisory framework for the National Competent Authorities (NCAs) in Europe such as the German Federal Financial Supervisory Authority (Bundesanstalt für Finanzdienstleistungsaufsicht – BaFin).

For the German jurisdiction, BaFin published guidance on outsourcing to cloud providers back in 2018. Please note that the amended MaRisk include outsourcing requirements for investment firms and other financial services providers and already reflect the EBA Guidelines on outsourcing, including cloud outsourcing. For more information on the MaRisk amendment, please see our previous Blogpost.

The guidelines in more detail

The following gives a brief overview of the main content of the ESMA cloud outsourcing guidelines.

  • Guideline 1: Governance, oversight and documentation

Firms should have a defined and up-to date cloud outsourcing strategy which should include, inter alia, a clear assignment of the responsibility for the documentation, management and control of cloud outsourcing arrangements, sufficient resources to ensure compliance with all legal requirements applicable to the firm’s outsourcing arrangements, a cloud outsourcing oversight function directly accountable to the management body and responsible for managing and overseeing the risk of cloud outsourcing arrangements, a (re)assessment of whether the cloud outsourcing arrangements concern critical or important functions as well as an updated register of information on all cloud outsourcing arrangements. For the outsourcing of critical or important functions, the ESMA guidelines include a detailed list of information which should be included in the register.

  • Guideline 2: Pre-outsourcing analysis and due diligence

ESMA provides information on what is required for the pre-outsourcing analysis (e.g. an assessment if the cloud outsourcing concerns a critical or important function). In the case of outsourcing of critical or important function, firms should conduct a comprehensive risk analysis and take into account benefits and costs of the cloud outsourcing and perform an evaluation of the suitability of the CSP.

  • Guideline 3: Key contractual elements

The guidelines provide a detailed list of what a written cloud outsourcing agreement should include in case of outsourcing of critical or important functions. Such agreements should include, inter alia, provisions regarding data protection, agreed service levels incident management, business continuity plans, termination rights and access and audit rights for the firm and its competent supervisory authority.

  • Guideline 4: Information security

Firms should set information security requirements in its internal policies and procedures and within the cloud outsourcing written agreement and monitor compliance with these requirements on an ongoing basis. In case of outsourcing of critical or important functions, additional requirements apply regarding information security organization, identity and access management, encryption and key management, operations and network security, application programming interfaces, business continuity and data location.

  • Guideline 5: Exit strategies

In case of outsourcing of critical or important functions, firms should develop and maintain exit strategies that ensure that the firm is able to exit the cloud outsourcing arrangement without undue disruption to its business activities and services to its client. Exit strategies should include comprehensive and documented exit plans, the identification of alternative solutions and provisions in the written outsourcing agreements that oblige the CSP to support orderly transfer of the outsourced function from the CSP to another CSP.

  • Guideline 6: Access and audit rights

Firms should ensure that the cloud outsourcing written agreement does not limit the firm´s and competent authority´s effective exercise of the access and audit rights on the CSP (see also Guideline 3). However, the Guideline also includes provisions aimed at reducing the organizational burden on the CSP and its clients when exercising access and audit rights: firm may use e.g. third-party certifications and external or internal audit reports made available by the CSP. However, in case of outsourcing of critical or important functions, the guidelines stipulate additional requirements that must be met in order to be able to rely on third party certifications or assessments.

  • Guideline 7: Sub-outsourcing

In case of sub-outsourcing, the firm should ensure that the CSP appropriately oversees the sub-outsourcer. In addition, ESMA provides information on the provisions that should be included in the written outsourcing agreement between the firm and the CSP in the case of sub-outsourcing critical or important function. This includes the remaining accountability of the CSP, a notification requirement for the CSP in case of any intended sub-outsourcing allowing the firm sufficient time to carry out a risk assessment of the proposed sub-outsourcer, the firm´s right to object to the intended sub-outsourcing and termination rights in case of such objection.

  • Guideline 8: Written notification to competent authorities

Firms should notify in writing its competent authority in a timely manner of planned cloud outsourcing arrangement that concern critical or important functions. The notification should include, inter alia, a description of the outsourced functions, a brief summary of the reasons why the outsourced function is considered critical or important and the individual or decision-making body in the firm that approved the cloud outsourcing arrangement.

What´s next?

In a next step, the guidelines will be translated in the official EU languages and published on the ESMA´s website. The publication of the translation will trigger a two-month period during which the national competent authorities must notify ESMA whether they comply or intend to comply with the guidelines (comply or explain mechanism). For the German jurisdiction, it is to be expected that BaFin will comply with the ESMA guidelines.

Konsultation zur neuen BAIT veröffentlicht

Am 26. Oktober 2020 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den Entwurf einer Neufassung des Rundschreibens 10/2017 (BA) – Bankaufsichtliche Anforderungen an die IT (BAIT) zur Konsultation veröffentlicht. Stellungnahmen zur Konsultation können bis Ende November bei der BaFin und der Deutschen Bundesbank abgegeben werden.

Der Entwurf der neuen BAIT setzt aktuelle Vorgaben der Europäischen Bankaufsichtsbehörde (European Banking Authority – EBA) um.  Konkret werden die Leitlinien der EBA zu ICT Risk (Guidelines on Information and Communication Technology and Security Risk Management ICT Guidelines) umgesetzt. Dieser Beitrag stellt die wesentlichen Neuerungen der BAIT aufgrund der Umsetzung der ICT Guidelines im Überblick vor.

Kurz erklärt: die BAIT und ihr Zusammenspiel mit der MaRisk

In der europäischen Bankenrichtlinie (CRD IV) sind allgemeine Regelungen zur Unternehmensführung und Organisationsstruktur von Instituten festlegt. Diese Regelungen werden in Deutschland insbesondere durch § 25a des Kreditwesengesetz (KWG) umgesetzt. Die MaRisk konkretisiert die Anforderungen des KWG an die Ausgestaltung des Riskmanagements und gibt somit einen qualitativen Rahmen für die praktische Umsetzung der genannten Regelungen vor. Auch die MaRisk wurde jüngst überarbeitet und an aktuelle europäische Vorgaben angepasst; darüber haben wir bereits hier berichtet. Die BAIT ergänzen und konkretisieren die Vorgaben der MaRisk und geben einen praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute, insbesondere für das Management der IT-Ressourcen und das IT-Risikomanagement vor. Durch die Umsetzung der ICT Guidelines wurden die BAIT um zwei neue Kapital zu der operativen Informationssicherheit und zum IT-Notfallmanagement ergänzt, deren wesentlichen Inhalt wir nachfolgend näher betrachten.

Operative Informationssicherheit

Institute müssen für IT-Risiken angemessene Überwachungs- und Steuerungsprozesse einrichten, die insbesondere die Festlegung von IT-Risikokriterien, die Identifikation von IT-Risiken, die Festlegung des Schutzbedarfs, daraus abgeleitete Schutzmaßnahmen für den IT-Betrieb sowie die Festlegung entsprechender Maßnahmen zur Risikobehandlung und -minderung umfassen. Damit soll der operative Geschäftsbetrieb jederzeit sicher und reibungslos aufrecht erhalten werden können. Nach der BAIT müssen Institute deshalb

  • operative Informationssicherheitsmaßnahmen und Prozesse implementieren; diese müssen z.B. ein Schwachstellenmanagement und die Verschlüsselung von Daten berücksichtigen,
  • Regeln zur Identifizierung sicherheitsrelevanter Ereignisse definieren, z.B. die Erkennung vermehrter nicht autorisierter Zugriffsversuche,
  • sicherheitsrelevante Ereignisse zeitnah analysieren und auf diese angemessen reagieren; dazu kann die Einrichtung einer ständig besetzten zentralen Stelle, z.B. in Form eines Security Operation Centers, erforderlich sein,
  • IT-Sicherheitssysteme regelmäßig überprüfen, wobei sich Turnus, Art und Umfang der Überprüfung am Schutzbedarf und der möglichen Angriffsflächen des IT-Systems orientieren müssen.

IT-Notfallmanagement

Allgemeine Anforderungen an das Notfallmanagement von Instituten finden sich in der MaRisk (AT 7.3.). Die Vorgaben der BAIT konkretisieren diese und formulieren spezielle Vorgaben für das IT-Notfallmanagement. In diesem Zusammenhang müssen Institute

  • auf Basis der Ziele des allgemeinen Notfallmanagements auch die Ziele und Rahmenbedingungen des IT-Notfallmanagements festlegen,
  • IT-Notfallpläne erstellen, die Wiederanlauf-, Notbetriebs-, und Wiederherstellungspläne sowie zu berücksichtigende Abhängigkeiten z.B. von externen IT-Dienstleistern, berücksichtigen,
  • ihre IT-Notfallpläne durch mindestens jährliche IT-Notfalltests überprüfen; zu diesem Zweck ist ein IT-Testkonzept zu entwickeln,
  • nachweisen können, dass bei Ausfall eines Rechenzentrums die zeitkritischen Aktivitäten und Prozesse von einem anderen Rechenzentrum für eine angemessene Zeit erbracht werden können.

Ausblick ZAIT und Fazit

Die BAIT soll zukünftig zudem um ein Kapitel „Kundenbeziehungen mit Zahlungsdienstnutzern“ ergänzt werden, das sich eigens an Institute richten wird, die Zahlungsdienste im Sinne des Zahlungsdiensteaufsichtsgesetz (ZAG) erbringen. Die Inhalte dieses Kapitels werden im Rahmen der Konsultation des Rundschreibens „Zahlungsdiensteaufsichtliche Anforderungen an die IT“ (ZAIT) konsultiert und anschließend in die finale Fassung der BAIT einfließen.

Mit der nun zur Konsultation gestellten BAIT Novelle finden die europäische Vorgaben der ICT Guidelines nun auch endlich Einzug in die nationalen aufsichtsrechtlichen Vorgaben zum (IT-) Risikomanagement. Institute erhalten damit wertvolle Guidance zur praktischen Umsetzung der europäischen Vorgaben und der Erwartungshaltung der BaFin. Erfahrungsgemäß ergeben sich im Rahmen der Konsultation kaum wesentliche Änderungen, sodass Institute sich bereits jetzt auf die neuen aufsichtsrechtlichen Anforderungen einstellen können.

Konsultation zur MaRisk Novelle veröffentlicht

Am 26. Oktober 2020 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den Entwurf einer Neufassung des Rundschreibens 09/2017 (BA) – Mindestanforderungen an das Risikomanagement (MaRisk) zur Konsultation veröffentlicht. Stellungnahmen zur Konsultation können bis Anfang Dezember bei der BaFin und der Deutschen Bundesbank abgegeben werden.

Der Entwurf der neuen MaRisk setzt aktuelle europäische Vorgaben der Europäischen Bankaufsichtsbehörde (European Banking Authority – EBA) um.  Konkret werden die Leitlinien der EBA zu notleidenden und gestundeten Risikopositionen (Guidelines on management of non-performing and forborne exposuresNPL Guidelines), zu Auslagerungen (Guidelines on outsourcing arrangements Outsourcing Guidelines) und zu ICT Risk (Guidelines on Information and Communication Technology and Security Risk Management ICT Guidelines) umgesetzt. Dieser Beitrag stellt die wesentlichen Änderungen und Ergänzungen der MaRisk aufgrund der Umsetzung der NPL, der Outsourcing sowie der ICT Guidelines im Überblick vor.

Kurz erklärt: die MaRisk

In der europäischen Bankenrichtlinie (CRD IV) sind allgemeine Regelungen zur Unternehmensführung und Organisationsstruktur von Instituten festlegt. Diese Regelungen werden in Deutschland insbesondere durch § 25a des Kreditwesengesetz (KWG) umgesetzt. Die MaRisk konkretisiert die Anforderungen des KWG an die Ausgestaltung des Riskmanagements und gibt somit einen qualitativen Rahmen für die praktische Umsetzung der genannten Regelungen vor.

Umsetzung der NPL Guidelines

Die NPL Guidelines geben vor, wie notleidende und gestundete Risikopositionen von Instituten im Rahmen des Riskmanagements zu berücksichtigen sind. Institute sollten über einen angemessenen Rahmen zur Identifizierung, Messung, Verwaltung, Überwachung und Reduzierung von notleidenden Risikopositionen verfügen. Je mehr notleidende Risikopositionen ein Institut hat, desto strengere Anforderungen sind grundsätzlich zu erfüllen.

Deshalb ist zu unterscheiden: Einige Vorgaben gelten nur für solche Institute, die eine Quote notleidender Kredite von 5% oder mehr aufweisen (sog. High-NPL-Institute). High-NPL-Institute müssen

  • eine Strategie für notleidende Risikopositionen einführen, um letztlich einen Abbau der notleidenden Risikopositionen vornehmen zu können (AT 4.2 MaRisk),
  • besondere Anforderungen an die Risikocontrolling-Funktion erfüllen, indem z.B. NPE-bezogene Risiken (non-performing-exposures) überwacht und Auswirkungen auf die Eigenkapitalanforderungen berücksichtigt werden (AT 4.4 MaRisk).
  • Problemkredite sind anhand festgelegter Kriterien an eine Abwicklungs-. bzw. Sanierungseinheit des Instituts zu übergeben; nunmehr sind spezialisierte Abwicklungseinheiten (sog. NPE-Workout Units) einzurichten; (BTO 1.2 MaRisk),
  • in den Risikoberichten der Risikocontrolling-Funktion ist eine gesonderte Darstellung von notleidenden und gestundeten Risikopositionen aufnehmen (BT 3.2 MaRisk).

Zudem setzt die MaRisk Vorgaben der NPL Guidelines um, die nicht nur auf High-NPL-Institute, sondern auf alle Institute anwendbar sind. Neu sind dabei umfassende Vorgaben zur sog. Forbearance. Erfasst sind jede Art von Zugeständnissen, die zugunsten von Kreditnehmern aufgrund sich abzeichnender oder bereits eingetretener finanzieller Schwierigkeiten gemacht werden. Als anschauliches Beispiel dient die Stundung von Tilgungsraten. Ziel solcher Maßnahmen ist es, dass Risikopositionen nicht notleidend werden, sondern zurückgezahlt werden können.

  • Institute müssen eine Forbearance-Richtlinie entwickeln, die bspw. die Verfahren zur Gewährung von Forbearance-Maßnahmen sowie die Verfahren zur Entscheidungsfindung und eine Beschreibung verfügbarer Forbearance-Maßnahmen enthält (BTO 1.3 MaRisk).
  • Zudem sind Forbearance-Prozesse zu entwickeln, die z.B. Kriterien festzulegen, anhand derer eine Einstufung von Forbearance-Risikopositionen in notleidende Positionen erfolgt (BTO 1.3 MaRisk).

Umsetzung der Outsourcing Guidelines

Die MaRisk Novelle setzt auch die Anforderungen der EBA Outsourcing Guidelines um. Da das bisherige deutsche Auslagerungsrecht (anders als in anderen europäischen Mitgliedstaaten) bereits in weiten Teilen den Vorgaben der EBA Outsourcing Guidelines entspricht, werden vorwiegend Änderungen oder Ergänzungen auf Detailsebene vorgenommen. Gänzlich neue Regelungen gibt es hier wenige. Alle Änderungen und Ergänzungen werden unter AT 9 MaRisk vorgenommen. Wesentliche Neuerungen bzw. Ergänzungen sind:

  • Bei Auslagerungen an Unternehmen mit Sitz in anderen EU-Mitgliedsstaaten ist sicherzustellen, dass eine ggf. erforderliche Erlaubnis zur Erbringung der ausgelagerten Tätigkeit vorliegt. Bei Auslagerung auf ein Drittstaaten-Unternehmen (Brexit!) muss, sofern es sich um eine ausgelagerte Aktivität handelt, die innerhalb des EWR eine Erlaubnis erfordern würde, sichergestellt werden, dass das Auslagerungsunternehmen in dem Drittstaat einer Aufsicht unterliegt und zwischen den zuständigen Aufsichtsbehörden eine entsprechende Kooperationsvereinbarung besteht.
  • Bei wesentlichen Auslagerungen werden zusätzliche konkret erforderliche vertragliche Regelungen, wie z.B. Zugangs- und Kündigungsrechte vorgeschrieben.
  • Es ist ein zentraler Auslagerungsbeauftragter zu benennen; er wird durch ein zentrales Auslagerungsmanagement unterstützt.
  • Es ist ein aktuelles Auslagerungsregister mit Informationen über alle Auslagerungsvereinbarungen vorzuhalten. So soll ein Informationsverlust über ausgelagerte Tätigkeiten im Falle personeller Wechsel verhindert werden.

Umsetzung der ICT Guidelines

Aufgrund der EBA ICT Guidelines werden Anforderungen an das Notfallmanagement (AT 7.3 MaRisk) neu gefasst. Institute müssen grundsätzlich auf Notfallsituationen vorbereitet sein und insbesondere Notfallpläne für zeitkritische Aktivitäten und Prozesse vorhalten. Ein aktuelles und anschauliches Beispiel sind die Auswirkungen der Corona-Krise; die Banken schienen mit Standortschließungen aufgrund von Lockdown-Maßnahmen grundsätzlich gut umgehen und schnell auf Notfallpläne wie z.B. Split-Operations-Maßnahmen zurückgreifen zu können. Im Einzelnen müssen Institute

  • Eine Risikoanalyse zur Identifikation zeitkritischer Aktivitäten und Prozesse sowie hierfür notweniger IT-Systeme durchführen,
  • ein Notfallkonzept erarbeiten, das darstellt, welche Ersatzlösungen im Notfall zeitnah zur Verfügung stehen und wie eine Rückkehr zum Normalbetrieb verlaufen soll.

Fazit

Mit der nun zur Konsultation gestellten MaRisk Novelle finden zahlreiche europäische Vorgaben nun auch endlich Einzug in die nationalen aufsichtsrechtlichen Vorgaben zum Risikomanagement. Institute erhalten damit wertvolle Guidance zur praktischen Umsetzung der europäischen Vorgaben und der Erwartungshaltung der BaFin. Erfahrungsgemäß ergeben sich im Rahmen der Konsultation kaum wesentliche Änderungen, sodass Institute sich bereits jetzt auf die neuen aufsichtsrechtlichen Anforderungen einstellen können.

Going green – ESAs veröffentlichen Formatvorlagen zur Transparenzverordnung

Die Anforderungen des europäischen Gesetzgebers an die Offenlegung von Nachhaltigkeitsinformationen durch Finanzmarktteilnehmer werden immer konkreter.

Die Verordnung (EU) 2019/2088 über nachhaltigkeitsbezogene Offenlegungspflichten im Finanzdienstleistungssektor (Transparenzverordnung) gilt ab Anfang 2021 und setzt den rechtlichen Rahmen. Sie regelt insbesondere wie Finanzmarktteilnehmer über die Berücksichtigung von Nachhaltigkeitsrisiken in ihrem eigenen Unternehmen informieren müssen, wie Anleger bei der Bewerbung von Finanzprodukten als nachhaltige Investition vorvertraglich zu informieren und welche Nachhaltigkeitsinformationen in regelmäßigen Berichten von Finanzmarktteilnehmern (z.B. Jahresberichten) zu veröffentlichen sind. Übergeordnetes Ziel des EU-Gesetzgebers ist es, durch mehr Transparenz Investitionen in nachhaltige Finanzprodukte zu fördern, die (Finanz-)Wirtschaft dadurch nachhaltiger zu machen und letztlich damit einen Beitrag zur Verhinderung oder Abschwächung des Klimawandels leisten zu können. Ausführlich über die neuen Verpflichtungen aufgrund der Transparenzverordnung haben wir bereits hier berichtet.

Die Veröffentlichung der Nachhaltigkeitsinformationen soll nach dem Willen des EU-Gesetzgebers möglichst einheitlich ausfallen; Finanzmarktteilnehmer sollen sich insoweit auf einem level playing field bewegen. Er hat deshalb die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA), die Europäische Bankenaufsichtsbehörde (EBA) und die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) ermächtigt, technische Regulierungsstandards (RTS) auszuarbeiten. Diese enthalten Detailregelungen zum erforderlichen Inhalt und zu den Veröffentlichungsmethoden der in der Transparenzverordnung genannten Informationspflichten. Ein erster Entwurf dieser RTS wurde bereits im Frühjahr diesen Jahres veröffentlicht und ist hier abrufbar.

Anschaulich konkretisiert werden diese Vorgaben nun durch die Ende September von der EIOPA, der EBA und der ESMA veröffentlichten Formatvorlagenentwürfen. Diese sollen Finanzmarktteilnehmer zur Erfüllung ihrer Veröffentlichungspflichten im Rahmen der Bewerbung eines Finanzproduktes als ökologisch, sozial oder nachhaltig sowie den Veröffentlichungspflichten in regelmäßigen Berichten wie z.B. Jahresberichten eines Fonds, nutzen können. Im Rahmen der vorvertraglichen Informationen der Anleger müssen Finanzmarktteilnehmer etwa in tabellarischer Form und ausgestaltet als Frage/Antwort Text, darüber informieren

  • welche konkreten Nachhaltigkeitsziele durch das beworbene Finanzprodukt gefördert werden,
  • welche Investmentstrategie verfolgt wird,
  • wie die Assets allokiert werden (bei einem Fondsprodukt müsste hier z.B. dargelegt werden, in welche nachhaltigen Zielassets der Fonds investieren wird),
  • welche Kriterien und Indikatoren verwendet werden, um die Nachhaltigkeit des Finanzproduktes zu bestimmen.

Alle Entwürfe der Formatvorlagen sind hier abrufbar. Stakeholder können zudem bis Mitte Oktober hier ihr Feedback zu den Entwürfen abgeben.

Es ist zudem vorgesehen, die Templates in bereits existierende Offenlegungspflichten von z.B. Verwaltern alternativer Investmentfonds (AIFM) und Organismen für gemeinsame Anlagen in Wertpapieren (OGAW) zu integrieren. Vorvertragliche Informationen über die Nachhaltigkeit eines Fondsproduktes könnten also etwa in die wesentlichen Anlegerinformationen integriert oder als Anlage beigefügt werden.  

Es zeigt sich: es tut sich tatsächlich was beim Thema Nachhaltigkeit in der Finanzwirtschaft und die Anforderungen an die Marktteilnehmer werden durch den europäischen Gesetzgeber immer konkreter und detaillierter ausformuliert.

Der Umgang mit ESG-Risiken – was erwartet die Aufsicht?

Zum Thema Nachhaltigkeit in der Finanzbranche gibt es derzeit viel neue Regulierung. Dabei fährt der Gesetzgeber zweigleisig: Zum einen sollen Finanzprodukte selbst nachhaltiger werden. Um dieses Ziel zu erreichen, wurden die Transparenz-Verordnung und die Taxonomie-Verordnung erlassen. Letztere definiert erstmals einheitlich, was in Europa unter Nachhaltigkeit zu verstehen ist. Denn um mehr grüne Finanzprodukte zu schaffen, bedarf es zunächst einer einheitlichen Bewertungsgrundlage, wann eine Wirtschaftstätigkeit überhaupt nachhaltig ist. Neben der Produktregulierung hält das Thema Nachhaltigkeit aber auch in die unmittelbare Beaufsichtigung von Finanzinstituten Einzug. Diese müssten sich vor allem über die Nachhaltigkeitsrisiken, denen sie ausgesetzt sind, klar werden und diese dann in ihrem internen Risikomanagement berücksichtigen.

Für Wertpapierfirmen wird Mitte Juni 2021 in neues Aufsichtsregime in Kraft treten. Darüber haben wir bereits in einem zweiteiligen Blogbeitrag hier geht es zu Teil 1, hier zu Teil 2) ausführlich berichtet. Die neuen Regelungen bestehen aus der EU-Richtlinie über die Beaufsichtigung von Wertpapierfirmen (IFD), die durch das Wertpapierfirmengesetz (WpFG) in deutsches Recht umgesetzt werden soll, sowie der EU-Verordnung über die Aufsichtsanforderungen an Wertpapierfirmen (IFR).

Unter anderem enthält die IFD Regelungen zum Umgang von Wertpapierfirmen mit Nachhaltigkeitsrisiken. Zur Konkretisierung der Vorgaben soll die European Banking Authority (EBA) zunächst einen Bericht über technische Kriterien erarbeiten, die die nationalen Aufsichtsbehörden bei der Überprüfung der Ursachen und Auswirkungen von ESG-Risiken auf Wertpapierfirmen heranziehen. Die EBA soll dabei insbesondere auch (i) ESG-Risiken für Wertpapierfirmen definieren, (ii) überprüfen, wie eine Konzentration bestimmter Vermögenswerte zu einer Erhöhung von ESG-Risiken führen kann, (iii) Prozesse beschreiben, mittels derer Wertpapierfirmen ihre ESG-Risiken ermitteln, bewerten und steuern können und (iv) Parameter und Kennzahlen entwickeln, die sowohl Aufsichtsbehörden als auch Wertpapierfirmen nutzen können, um die Auswirkungen von ESG-Risiken im Rahmen der laufenden Aufsicht bewerten zu können. Der EBA-Bericht soll bis Ende Dezember nächsten Jahres vorliegen.

Auf Grundlage dieses Berichts kann die EBA dann Leitlinien festlegen, mit denen Kriterien für die aufsichtliche Überprüfung und Berwertung von ESG-Risiken eingeführt werden. Die Berücksichtigung von Nachhaltigkeitsrisiken im Rahmen ihres Risikomanagements wird dadurch auch für Wertpapierfirmen weiter konkretisiert und verbindlich geregelt werden. Bereits heute müssen nach dem Kreditwesengesetz (KWG) regulierte Kredit- und Finanzdienstleistungsinstitute Nachhaltigkeitsrisiken im Rahmen des Risikomanagements berücksichtigen, ohne dass dabei aber bestimmte verbindliche Kriterien oder Parameter vorgegeben werden. Solange es noch keine EBA-Leitlinien zum Umgang mit Nachhaltigkeitsrisiken gibt, können sich Wertpapierfirmen wie bisher auch an dem Merkblatt der BaFin zum Umgang mit Nachhaltigkeitsrisiken schon mal eine rechtliche Einordnung des Merkblatts vorgenommen.

Die geplanten EBA Leitlinien zeigen: das Thema Nachhaltigkeit und vor allem der Umgang mit Nachhaltigkeitsrisiken bleibt im Fokus der aufsichtsrechtlichen Agenda.

Corona-Krise: Flexibilität im aufsichtsrechtlichen Melde- und Berichtswesen

Im Stunden- und Tagesrhythmus veröffentlichen Aufsichtsbehörden derzeit Maßnahmen und Vorschläge, wie Finanzinstitute und sonstige Marktteilnehmer in Zeiten der Corona-Krise von aufsichtsrechtlichen Verpflichtungen, die personelle und technische Ressourcen binden und dann im momentan wichtigen operativen Geschäft fehlen, entlastet werden können. So sollen sich bspw. Banken voll auf die Vergabe von dringend von der Realwirtschaft sowie Privatleuten benötigten Kredite konzentrieren und hierfür auf möglichst viele verfügbaren Ressourcen zugreifen können. Erleichterungen wurden deshalb nun für aufsichtsrechtliche Melde- und Prüfungspflichten beschlossen. Die Aufseher bewegen sich dabei in dem Spannungsfeld, den Instituten möglichst viel Flexibilität einzuräumen, gleichzeitig aber ihnen und der (Markt-)Öffentlichkeit Zugang zu wichtigen Informationen offen zu halten, die zur Beurteilung der Stabilität des Finanzsystems benötigt werden. Dessen Überwachung ist in Krisenzeiten essentiell wichtig. Denn je länger die erforderlichen Eindämmungsmaßnahmen in der Corona-Krise bestehen, desto wahrscheinlicher wird es, dass sich weitere Verluste in der Realwirtschaft in einer zunehmender Instabilität des Finanzsystems niederschlagen, wodurch seine Funktionsweise gerade dann beeinträchtigt werden könnte, wenn seine Rolle als Kreditgeber von größter Bedeutung ist (mehr Informationen dazu in einer Stellungnahme es Verwaltungsrats des Europäischen Ausschusses für Systemrisiken (ESRB)).

Um diese widerstreitenden Interessen zum Ausgleich zu bringen, wurden von den europäischen Aufsichtsbehörden drei wesentliche Empfehlungen an die nationalen Aufsichtsbehörden abgegeben, die diese in ihrer nationalen Aufsichtspraxis umsetzen sollten:

  • Erleichterungen bei Berichtspflichten für Fondsmanager: Fondsmanager sind verpflichtet, je nach verwaltetem Fonds, (geprüfte) Jahres- und Halbjahresberichte zu erstellen. Aufsichtsrechtlich sind für ihre Fertigstellung und Vorlage bestimmte Fristen vorgesehen. Aufgrund der Corona-Krise kann es bei der Erstellung und ggf. Prüfung der Berichte jedoch zu Verzögerungen kommen. Nationale Aufsichtsbehörden sollten laut Europäischer Wertpapier- und Marktaufsichtsbehörde (ESMA) Fondsmanagern deshalb ein bis zwei Monate mehr Zeit für die Erstellung der Berichte gewähren und währenddessen keine aufsichtsrechtlichen Sanktionen aufgrund verspäteter Berichte ergreifen. Voraussetzung soll aber sein, dass die nationalen Aufsichtsbehörden sowie die Anleger vorab über die voraussichtliche Verzögerung informiert werden.

  • Flexibilität bei externen Prüfungen nach der Benchmark-Verordnung: Die Benchmark-Verordnung (BMR) schreibt Administratoren („Herausgeber“ eines Index) und Kontributoren (Marktteilnehmer, die dem Administrator Daten zur Verfügung stellen) verschiedentlich vor, externe Prüfungen durchzuführen. Bspw. ist die Compliance des Administrators mit der von ihm erarbeiteten und festgelegten Methode zur Erstellung des Index von einem externen Prüfer zu überprüfen. Verspätete externe Prüfungen sollten laut ESMA derzeit nicht zu aufsichtsrechtlichen Sanktionen der nationalen Aufsichtsbehörden führen. Voraussetzung ist aber auch hier, dass diese entsprechend über die Verzögerung informiert werden. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat bereits veröffentlicht , diese Einschätzung zu teilen.

  • Aufsichtsrechtliches Reporting der Banken: Hier ist generelle Flexibilität gefragt.
    Grundsätzlichen sollten Banken laut der Europäischen Bankaufsichtsbehörde (EBA) für aufsichtsrechtliche Meldungen, die zwischen März und Ende Mai diesen Jahres fällig sind, einen Monat mehr Zeit bekommen; von aufsichtsrechtlichen Sanktionen ist entsprechend abzusehen.

Fazit

Durch die Maßnahmen soll ein Ausgleich zwischen der Entlastung der Institute und der Zugänglichkeit von erforderlichen regulatorischen Daten zur Bewertung der Finanzstabilität geschaffen werden. Hierfür empfehlen europäische Aufsichtsbehörden den nationalen Behörden einen Mittelweg: Meldungen- und Berichte wo immer möglich ja, aber weniger strenge Fristenvorgaben. Es ist zu erwarten, dass die BaFin sich den von der EBA und ESMA vorgeschlagenen Handhabungen zum aufsichtsrechtlichen Melde- und Berichtswesen anschließen wird.

EBA´s New Role in Anti-money Laundering and Countering the Financing of Terrorism

At the turn of the year, there have been some new developments in anti-money laundering (AML) law at both German and EU level. Part 1 of our series dealt with the changes at German law resulting from the implementation of the Fifth EU Anti-Money Laundering Directive. Part 2 sheds some light on the European Banking Authority’s (EBA) new leading role in anti-money laundering and countering the financing of terrorism (CFT).

What is changing in the approach to AML/CFT?

In 2019, the EU legislator gave EBA a legal mandate to preventing the use of the financial system for the purposes of money laundering and terrorist financing and to leading, coordinating and monitoring the AML/CFT efforts of all EU financial service providers and competent authorities. The law implementing EBA´s new powers came into effect on 1 January 2020.

However, assigning EBA a leading role in AML/CFT will not change the EU´s general approach to AML/CFT, which remains based on a minimum harmonisation directive and an associated strong focus on national law and direct supervision of financial institutions by national competent authorities. This reduces the influence and the degree of convergence and consistency EBA´s work can achieve from the outset.

To the extent legally possible, EBA will use its new role to

  • lead the establishment of AML/CTF policy and support its effective implementation by competent authorities and financial institutions;
  • coordinate AML/CFT measures by fostering effective cooperation and information exchange between all relevant authorities;
  • monitor the implementation of EU AML/CFT standards to identify vulnerabilities in competent authorities´ approaches to AML/CFT supervision and to mitigate them before money laundering and financing of terrorism risks materialise.

How will EBA lead on AML/CFT?

To fulfill its new leading role, EBA will focus on two key point: developing an EU-wide AML/CFT policy and ensuring a consistent supervision by national competent authorities. EBA intends to develop such EU-wide AML/CFT policy through standards, guidelines or opinions where this is provided for in EU law as well as on its own initiative where it identifies, for example, gaps in competent authorities´ supervision. In 2020, EBA will be setting clear expectations on the components of an effective risk-based approach with targeted revisions to the core AML/CFT guidelines: the Risk Factors Guidelines and the Risk-Based Supervision Guidelines.

EBA intends to foster a consistent supervision by national competent authorities by assisting them through training, bilateral support and detailed bilateral feedback on their approach to the AML/CFT supervision of banks.

What will EBA do to coordinate?

To coordinate the European work against money laundering and terrorism financing, EBA will focus to coordinate national competent authorities´ AML/CFT supervision by fostering effective cooperation and information exchange. To achieve its goal, the EBA will set up a permanent internal AML/CFT standing committee (AMLSC). The AMLSC will bring together, inter alia, representatives of all AML/CFT competent authorities from Member States, along with representatives from ESMA and EIOPA, the Commission and the European Central Bank. Its main task will be to provide subject matter expertise. It will also serve as a forum to facilitate information exchange and ensure effective coordination and cooperation to achieve consistent outcomes in the EU’s work against money laundering and terrorism financing. The AMLSC has met for the first time in February 2020.

In addition to the AMLSC, EBA will create a new AML/CFT database. This database will not only contain information on AML/CFT weaknesses in individual financial institutions and measures taken by competent authorities to correct those shortcomings, but EBA will use it to meet wider AML/CFT information and data need to supports its objectives on AML/CFT work. EBA will draft two regulatory technical standards  that will specify the core information that competent authorities must submit to the date base and how EBA will analyse the obtained information and make it available to competent authorities.

What will EBA do to monitor?

One main tool for EBA to monitor the implementation of EU AML/CFT standards will be using information from the new database and to ask national competent authorities to take action if EBA has the indication that a financial institution´s approach to AML/CFT materially breaches EU law. EBA envisages to use this new tool proactively to ensure that AML/CFT risks are addressed by competent authorities and financial institutions in a timely and effective manner. This approach aims to rectify shortcomings at the level of financial institutions; they do not, however, serve to establish whether or not a competent authority may be in breach of Union law.

The difference EBA´s new role will make

As the national implementation of the Fifth European AML Directive and the EBA´s new leading role show, effective AML/CFT measures remain in the focus of the EU legislator, not least due to political developments (terrorist attacks in France, “Panama Papers” etc.). Market participants should prepare themselves for stricter audits by their competent national authorities on AML/CFT compliance. For example, the German Federal Financial Supervisory Authority (Bundesanstalt für Finanzdienstleistungsaufsicht – BaFin) has announced AML/CFT as one of its focuses of its supervisory practice for 2020. By assigning a leadership role to EBA, European efforts to prevent money laundering will in future be better coordinated, bundled and consistently implemented throughout the European financial market and therefore, hopefully, be more effective. However, we need to keep in mind that BaFin and subsequently also EBA are only part of the European and national AML regime. In Germany, for example, the FIU has a leading role in AML activities. An overview of the authorities involved can be found here.

Umsetzung der Fünften Geldwäscherichtlinie bringt einige Neuerungen mit sich

Nach der Neuregelung ist vor der Neuregelung – das gilt vor allem im Geldwäscherecht. Hier gibt es sowohl auf nationaler als auch auf EU-Ebene einige Neuerungen, die wir in einer zweiteiligen Beitragsreihe vorstellen. Zum Auftakt wird Teil 1 sich mit der Umsetzung der Fünften EU-Geldwäscherichtlinie (abrufbar hier)in nationales Recht beschäftigen. Teil 2 der Beitragsreihe wird die neue Führungsrolle der European Banking Authority (EBA) im Kampf gegen Geldwäsche und Terrorismusfinanzierung näher beleuchtet.

Umsetzung der Fünften EU-Geldwäscherichtlinie

Am 01. Januar 2020 ist das neue Geldwäschegesetz (GwG) in Kraft getreten. Es setzt die Anforderungen der Fünften EU-Geldwäscherichtlinie in nationales Recht um. Im Folgenden stellen wir die wichtigsten Änderungen und Neuerungen für Marktteilnehmer im Überblick vor.

Neue Regelungen aufgrund der Fünften EU-Geldwäscherichtlinie

  • Das neue Gesetz schärft alte und führt neue Definitionen ein, was im Markt zu mehr Rechtssicherheit führen wird. So enthält das Gesetz z.B. eine spezifische geldwäscherechtliche, von den Vorgaben des Kreditwesengesetzes (KWG) unabhängige, Definition von Finanzunternehmen. Diese erfasst nunmehr explizit z.B. auch Finanzanlagenvermittler nach § 34f der Gewerbeordnung (GewO). Zu den geldwäscherechtlichen Verpflichtungen für Finanzanlagenvermittler haben wir bereits hier berichtet. Neu ist daneben z.B. auch die Definition des Mutterunternehmens einer Gruppe.
  • Zukünftig sind unter bestimmten Voraussetzungen auch Gerichte, die öffentliche Versteigerungen durchführen, geldwäscherechtliche Verpflichtete. Dies gilt z.B. dann, wenn im Rahmen der Versteigerung Transaktionen mit Barzahlungen über mind. EUR 10.000 erfolgen.
  • Bei der Identifizierung des wirtschaftlich Berechtigten, einer Kernregelung des Geldwäscherechts, stellt das neue Gesetz klar, wann und unter welchen Voraussetzungen auf den fiktiven wirtschaftlich Berechtigten abzustellen ist. Auch hier entsteht im Vergleich zur Vorgängerregelung mehr Rechtssicherheit.
  • Die Aufzeichnungs- und Aufbewahrungspflichten werden erweitert. Nunmehr sind davon auch die Unterlagen über die getroffenen Maßnahmen zur Ermittlung des wirtschaftlich Berechtigten erfasst.
  • Fast vollständig neu geregelt wird die Vorschrift zur gruppenweiten Einhaltung der geldwäscherechtlichen Pflichten. Ein Mutterunternehmen muss nunmehr bspw. sicherstellen, dass Zweigstellen und gruppenangehörige Unternehmen mit Sitz in einem anderen Mitgliedsstaat die dortigen nationalen Geldwäschevorschriften einhalten. Haben diese Unternehmen ihren Sitz hingegen in einem Drittstaat, dessen nationale Regelungen weniger streng sind, muss das Mutterunternehmen die Einhaltung der deutschen geldwäscherechtlichen Vorschriften sicherstellen.
  • Ist der Kunde eines geldwäscherechtlich Verpflichteten eine juristische Person des Privatrechts, eine eingetragene Personengesellschaften oder Vereinigung, muss der Verpflichtete bei der Kundenidentifizierung nunmehr den Nachweis einholen, dass dieser seine Transparenzpflichten wie z.B. die Eintragung in das Transparenzregister vorgenommen hat.
  • Umfangreiche Änderungen erfährt das GwG im Bereich der verstärkten Sorgfaltspflichten; deren Anwendungsbereich wird sich vergrößern. Das neue Gesetz erfasst z.B. bereits Geschäftsbeziehungen, innerhalb derer Drittstaaten mit hohem Geldwäscherisiko auf andere Art und Weise als über den Vertragspartner oder den wirtschaftlich Berechtigten involviert sind, z.B. weil die der Transaktion zugrunde liegenden Vermögenswerte in einem solchen Drittstaat liegen.
  • Das neue Geldwäschegesetz stellt bei Auslagerungen bzw. Ausführungen durch Dritte insbesondere klar, dass im Falle einer Kundenidentifizierung durch Dritte mit Sitz im EU-Ausland deutsche geldwäscherechtliche Vorgaben zu beachten sind.
  • Eine Neuerung sieht das Geldwäschegesetz auch im Bereich der Meldepflichten Verpflichtet müssen dem Transparenzregister Unstimmigkeiten zwischen den Angaben im Register und den ihnen zur Verfügung stehenden Angaben und Erkenntnisse über den wirtschaftlich Berechtigten ihres Kunden melden.
  • Schließlich wurden in die Anlage des Geldwäschegesetzes über Risikofaktoren, die zu einer Durchführung verstärkter Sorgfaltspflichten führen können, weitere Faktoren aufgenommen. Ein potentiell erhöhtes Geldwäscherisiko nimmt das neue Gesetz nunmehr z.B. bei einer Transaktion ohne persönliche Kontakte und ohne bestimmte Sicherungsmaßnahmen zur Identitätsfeststellung an.

Fazit und Ausblick auf Teil 2

Das Geldwäschegesetz wurde um wichtige Regelungen ergänzt, die das Rahmenwerk für die Bekämpfung von Geldwäsche und Terrorismusfinanzierung weiter stärken und EU-weit eine höchstmögliche Mindestharmonisierung vorsehen. Die BaFin legt nicht zufällig auch einen Aufsichtsschwerpunkt für das Jahr 2020 auf die Bekämpfung von Geldwäsche und Terrorismusfinanzierung. Mit der neuen Führungsrolle der EBA bei der Bekämpfung von Geldwäsche, die wir in zweiten Teil näher beleuchten werden, wird deutlich, dass das Thema auch und gerade auf EU-Ebene weiterhin im Fokus bleibt.