Geldwäschegesetz stellt Payment-Unternehmen vor Herausforderungen

Mit Payment-Systemen sind hohe Geldwäscherisiken verbunden, mit denen sich die Betreiber der Dienste auseinandersetzen müssen. Welche rechtlichen Vorgaben dabei relevant sind und welche Auswirkungen speziell das novellierte Geldwäschegesetz hat, erläutert Anwältin Simone Rosenthal.

Von Simone Rosenthal, Schürmann Wolschendorf Dreyer Rechtsanwälte

Die Payment-Branche boomt. Es treten zunehmend neue Anbieter auf den Markt, die teilweise auch neue Technologien und Zahlungsdienste anbieten. Bekannte Beispiele sind etwa Paypal, Moneybrookers, Webmoney und e-gold. Letzterer Anbieter steht seit 2007 aufgrund von Geldwäschevorwürfen in Fokus der Presse. 2008 ergingen Strafen gegen Betreiber, Gründer und Eigentümer des Unternehmens, die sich als schuldig bekannt hatten. Der Fall verdeutlicht die hohen Geldwäscherisiken, die von Payment-Systemen ausgehen können und denen sich die Betreiber der Dienste – entsprechend rechtlicher Vorgaben – stellen müssen. Die erneute Novellierung des Geldwäschegesetzes (18.12.2013) verdeutlicht die Dynamik des Rechtsgebiets.

Payment-Systeme aus rechtlicher Sicht

Payment-Systeme werden im Geldwäschegesetz nicht namentlich erwähnt. Daher muss zunächst geklärt werden, was in der Rechtspraxis darunter zu verstehen ist. Das Bundeskriminalamt bezeichnet Payment-Systeme als „elektronische Zahlungssysteme“. Das sind „alle Systeme und Verfahren, um auf elektronischem Wege und insbesondere über das Internet Zahlungen zu tätigen“ (Bundeskrimininalamt, Jahresbericht 2008). Das Zahlungsmittel von Payment-Systemen sind codierte, digitale Geldzeichen. Im Zahlungsdiensteaufsichtsgesetz (ZAG) werden diese als „E-Geld“ bezeichnet. E-Geld ist wiederum definiert als „jeder elektronisch, darunter auch magnetisch, gespeicherte monetäre Wert in Form einer Forderung gegenüber dem Emittenten, der gegen Zahlung eines Geldbetrages ausgestellt wird, um damit Zahlungsvorgänge […] durchzuführen […]“. In der Praxis sind neben „E-Geld“ auch die Begriffe „Electronic Money“ und „E-Money“ geläufig. Unternehmen, die E-Geld ausgeben, werden im ZAG als „E-Geld-Institute“ bezeichnet. Für den Betrieb solcher Institute sieht das ZAG eine Erlaubnispflicht der BaFin vor. Folgende Dienste gelten dabei als erlaubnispflichtige Zahlungsdienste: das Ein- und Auszahlungsgeschäft; das Zahlungsgeschäft in Form des Lastschriftgeschäfts, des Überweisungsgeschäfts und des Zahlungskartengeschäfts ohne Kreditgewährung; das Zahlungsgeschäft mit Kreditgewährung; das Zahlungsauthentifizierungsgeschäft; das digitale Zahlungsgeschäft sowie das Finanztransfergeschäft. Das Geldwäschegesetz, um dessen Vorschriften es in diesem Beitrag gehen soll, definiert die Anbieter der genannten Dienste unter § 2 I 2c als „Unternehmen und Personen, die E- Geld […] vertreiben oder rücktauschen“. Der so rechtlich eingeordnete Payment-Anbieter muss verschiedene Sorgfaltspflichten einhalten und bestimmte betriebliche Sicherungsmaßnahmen vornehmen. Diese werden folgend näher vorgestellt.

Vorgeschriebene Maßnahmen gegen Geldwäsche

Die sogenannten „Verpflichteten“ des Geldwäschegesetzes – unter anderem auch Payment-Anbieter – müssen verschiedene Vorkehrungen treffen, um der Gefahr der Geldwäsche über ihre Dienste entgegenzuwirken. Die Vorkehrungen lassen sich in Sorgfaltspflichten und Sicherungsmaßnahmen unterteilen.

Sorgfaltspflichten

Grundlegend für ein praktikables Verständnis der Sorgfaltspflichten ist der „risk based approach“. Dieser verlangt vom Diensteanbieter, bei der Erfüllung der Sorgfaltspflichten das Risiko des jeweiligen Vertragspartners, der jeweiligen Geschäftsbeziehung oder der jeweiligen Transaktion zu berücksichtigen. Der Paymentanbieter muss folglich die im Gesetz vorgesehenen Maßnahmen auf seine Kunden abstimmen und ausgestalten. Das Gesetz sieht zudem Spezialregelungen für vergleichsweise risikoarme bzw. risikobehaftete Sachverhalte vor.

Die wichtigste Sorgfaltspflicht ist das Identifizieren des Vertragspartners sowie eines ggf. vorhandenen „wirtschaftlich Berechtigten“. Letztere sind zum Beispiel Treugeber oder Gesellschafter, die beherrschenden Einfluss auf den Vertragspartner ausüben können. Die Identifizierung sollte bereits vor Begründung der Geschäftsbeziehung bzw. dem Durchführen einer Transaktion erfolgen. Ist der Vertragspartner eine natürliche Person (= Mensch), müssen der Name, der Geburtsort, das Geburtsdatum, die Staatsangehörigkeit und die Anschrift erhoben werden. Handelt es sich dagegen um eine juristische Person oder um eine Personengesellschaft müssen die Firma, die Rechtsform, die Registernummer und, wenn vorhanden, die Anschrift des Sitzes oder der Hauptniederlassung sowie die Namen der Mitglieder des Vertretungsorgans oder der gesetzlichen Vertreter festgestellt werden. Handelt der Vertragspartner im Auftrag eines wirtschaftlich Berechtigten, muss darüberhinaus mindestens dessen Name (je nach Gelwäscherisiko auch weitere Daten) durch den Payment-Anbieter ermittelt werden. Die erhobene Identität des Vertragspartners muss sodann anhand entsprechender Dokumente (Ausweis, Handelsregisterauszug etc.) überprüft werden.

Neben der Identifikation des Vertragspartners bzw. des wirtschaftlich Berechtigten hat sich der Payment-Anbieter über den Zweck und die angestrebte Art der Geschäftsbeziehung zu informieren. Es ist ferner Aufgabe des Dienstleisters, die Geschäftsbeziehung sowie die einzelnen Transaktionen kontinuierlich zu überwachen und die durch den Vertragspartner bereitgestellten Informationen zu überprüfen sowie ggf. zu aktualisieren.

Von besonderer Brisanz ist schließlich die Aufzeichnungs- und Aufbewahrungspflicht, die das Geldwäschegesetz vorsieht. Dieser stehen datenschutzrechtliche Regelungen entgegen. Dies betrifft insbesondere die vorgesehene Kopie des Personalausweises. Diese ist gemäß geldwäscherechtlicher Bestimmung neben sonstigen Belegen über Geschäftsbeziehungen und Transaktionen mindestens fünf Jahre aufzubewahren und muss Aufsichtsbehörden innerhalb kurzer Frist vorgelegt werden können.

Sicherungsmaßnahmen

Die bis hierhin besprochenen Pflichten dienen vor allem dazu, den Aufsichtsbehörden Kontroll- und Zugriffsmöglichkeiten im Sinne der Geldwäschebekämpfung zu eröffnen. Die Aufsichtsbehörden üben aus Sicht des Unternehmens eine externe Kontrolle aus, auf die das Unternehmen seine Mitarbeiter entsprechend vorbereiten muss, um Bußgelder zu vermeiden. Eine externe Kontrolle reicht für eine adäquate Geldwäscheprävention jedoch nicht aus. Die arbeitsteiligen und feingliedrigen Strukturen im modernen IT-Bereich führen dazu, dass innerbetriebliche Prozesse anonymisiert ablaufen, was das Einschleusen illegaler Gelder erleichtert. Eine effektive Geldwäscheprävention bedarf daher der Einbindung des Unternehmens: Das Gesetz fordert konkrete Sicherungsmaßnahmen, die es dem Unternehmen selbst ermöglichen sollen, Verdachtsvorfälle festzustellen. Zu den vorgesehenen Sicherungsmaßnahmen gehören u.a. die „Entwicklung und Aktualisierung angemessener geschäfts- und kundenbezogener Sicherungssysteme und Kontrollen“. Diese Formulierung ist erkennbar abstrakt und soll dem Unternehmen die Möglichkeit eröffnen, dem oben bereits erwähnten „risk based approach“ entsprechend, passgenaue Kontroll- und Sicherungssysteme zu verwenden.

Für Payment-Anbieter besteht im Gegensatz zu anderen Verpflichteten des Geldwäschegesetzes keine grundsätzliche Pflicht, einen Geldwäschebeauftragten zu bestellen. Die zuständige Überwachungsbehörde kann allerdings anordnen, dass ein Beauftragter zu bestellen ist.
Die effektive Umsetzung der einmal etablierten Sicherheits- und Kontrollmaßnahmen hängt maßgeblich davon ab, wie informiert die einzelnen Mitarbeiter sind. Daher sieht das Gesetz eine Unterrichtungspflicht vor, nach der die Beschäftigten über die aktuellen Methoden und Maßnahmen zur internen Geldwäscheprävention informiert werden müssen. Darüber hinaus müssen Personalkontroll- und Beurteilungssysteme eingerichtet werden, mit denen die Zuverlässigkeit der Beschäftigten überprüft werden kann. Als zuverlässig gilt, wer sowohl die Gesetzesvorschriften als auch die internen Präventionsmaßnahmen kennt, Verstöße an einen ggf. bestellten Geldwäschebeauftragten meldet und nicht selbst an geldwäscheverdächtigen Transaktionen oder Geschäften beteiligt ist.

Fazit: Unternehmensberatung erfordert sowohl rechtlichen als auch technischen Sachverstand.

Die häufigen Änderungen im Geldwäschegesetz und weiteren Gesetzen, die die E-Geld- Branche betreffen, führen zu zunehmender Rechtsunkenntnis bei den betroffenen Unternehmen. Dies verdeutlichen hohe Bußgelder, die Unternehmen vermehrt an Aufsichtsbehörden entrichten müssen. Die kontinuierliche Weiter- und Fortentwicklung des Rechts ist auch auf die vielfältige Landschaft von Payment-Anbietern zurückzuführen. Viele Rechtstatbestände sind daher bewusst offen formuliert – nicht der Gesetzgeber, sondern das Unternehmen soll letztlich entscheiden, welche Maßnahmen intern konkret umgesetzt werden. Ob die getroffenen Maßnahmen dann aber auch „angemessen“ im Sinne des Gesetzes – und rechtssicher gegenüber Behörden – sind, bleibt oft im Unklaren. Eine solide Unternehmensberatung erfordert daher zweierlei: die Kenntnis der betriebsinternen Abläufe und Strukturen sowie eine praktikable und dogmatisch hinreichende Gesetzesauslegung.

Zur Autorin: Simone Rosenthal ist Rechtsanwältin in der Berliner Kanzlei Schürmann Wolschendorf Dreyer.