Entscheidungsdatum
23.01.2020Norm
B-VG Art133 Abs4Spruch
W276 2219786-1/15E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht erkennt durch den Richter Dr. Gert WALLISCH als Vorsitzender und die Richterin Dr. Sibyll BÖCK und den Richter VizePräs Dr. Michael SACHS als Beisitzer über die Beschwerde der XXXX , vertreten durch RA Mag. Okan Ersoy, Karlsplatz 3, A-1010 Wien, gegen das Straferkenntnis der Finanzmarktaufsichtsbehörde vom 10.04.2019 zu XXXX , nach Durchführung einer mündlichen Verhandlung am 16.10.2019 und am 16.01.2020 zu Recht:
A)
I. Die Beschwerde wird abgewiesen.
II. Die Strafnorm lautet § 35 Abs. 3 erster Strafsatz FM-GwG, BGBl. I Nr. 118/201 iVm § 34 Abs. 1 Z 8 FM-GwG, BGBl. I Nr. 118/2016
III. Die beschwerdeführende Partei hat gemäß § 52 Abs. 2 VwGVG einen Kostenbeitrag in Höhe von EUR 11.200,-- zu den Kosten des verwaltungsgerichtlichen Verfahrens zu leisten.
IV: Der Beitrag zu den Kosten des Verfahrens bei der belangten Behörde beträgt EUR 5.600.
B)
Die Revision ist gemäß Art. 133 Abs. 4 B-VG unzulässig.
Text
ENTSCHEIDUNGSGRÜNDE:
I. Verfahrensgang:
1. Das gegenständlich angefochtene Straferkenntnis der Finanzmarktaufsicht (belangte Behörde, kurz "belBeh" oder "FMA") vom 10.04.2019 zu XXXX wendet sich gegen die XXXX als Beschuldigte (beschwerdeführende Partei, kurz "bfP"). Der Spruch dieses Straferkenntnisses lautet wie folgt:
"Die XXXX ein konzessioniertes Kreditinstitut mit Geschäftsanschrift XXXX , hat als juristische Person folgenden Verstoß zu verantworten:
Die XXXX verfügte im Zeitraum 12.11.2015 (Ende der Vor-Ort-Prüfung) bis 29.11.2017 (Implementierung IT-Tool XXXX ) über keine in einem angemessenen Verhältnis zu Art und Größe des Instituts stehenden Strategien, Kontrollen und Verfahren zur kontinuierliche Überwachung der Geschäftsbeziehungen, einschließlich einer Überprüfung der im Verlauf der Geschäftsbeziehungen ausgeführten Transaktionen, um sicherzustellen, dass diese mit den Kenntnissen des Instituts über den Kunden, seine Geschäftstätigkeit und sein Risikoprofil, einschließlich erforderlichenfalls der Herkunft der Mittel, übereinstimmen.
Die XXXX hätte aufgrund der Größe, Kundenanzahl und Kundenstruktur angemessene und risikobasierte Prozesse und Verfahren zur kontinuierlichen Überwachung einrichten müssen, damit im Hinblick auf das von der Bank betriebene Geschäftsmodell untypische bzw. ungewöhnliche Transaktionen oder Transaktionsmuster von Kunden erkannt werden, Inkohärenzen der abgewickelten Transaktionen zu den der XXXX vorliegenden KYC-Informationen auffallen bzw. dass Transaktionen und Kunden, von denen ein potentiell höheres Risiko ausgeht, anhand von geeigneten Indizien einschließlich differenziert ausgestalteter Schwellenwerte, kurzen Zeitintervallen, etc. überwacht werden und Treffer zeitnah abgearbeitet werden.
Zur Sicherstellung einer - dem Geschäftsmodell und Größe des Institutes - ausgerichteten Anwendung der kontinuierlichen Überwachung von Transaktionen und Geschäftsbeziehungen wäre seitens der XXXX sicherzustellen gewesen, dass Transaktionen und Transaktionsmuster, die nach objektiven Kriterien im Hinblick auf Geldwäscherei oder Terrorismusfinanzierung relevant sind, zeitnah erkannt werden.
Dazu gehören zum Beispiel:
- die kumulierte Weiterleitung von kleineren Beträgen, die zuvor auf dem Konto gesammelt wurden ("Smurfing");
- wiederholte Bartransaktionen (unabhängig von der Betragshöhe);
- Zahlungsausgänge, die besonders zeitnah zu Zahlungseingängen getätigt werden, ("Durchlaufkonten");
- erheblicher Anstieg von Transaktionsvolumina;
Erst mit Implementierung des IT-Systems XXXX (Inbetriebnahme erfolgte am 29.11.2017) verfügte die XXXX über ein angemessenes System zur automatisierten Überwachung von Transaktionen mittels hinterlegter risikobasierter Indizien- und Schwellenwerte zur Erkennung von bestimmten Zahlungsmustern bzw. Abweichungen vom dem KYC-Profil entsprechende Transaktionsmuster (z.B. bzgl. Höhe und Häufigkeit der Zahlungen).
Die Verantwortlichkeit der XXXX ergibt sich folgendermaßen: Die zur Vertretung nach außen berufenen, unten angeführten Mitglieder des Vorstandes der XXXX (ON 06) haben selbst während der unten angeführten Zeit jeweils gegen die oben angeführten Verpflichtungen verstoßen beziehungsweise durch mangelnde Überwachung oder Kontrolle die Begehung der angeführten Verstöße durch eine für die XXXX tätige Person ermöglicht. Dies wird der XXXX jeweils zugerechnet.
XXXX , von 28.02.2017 bis 29.11.2017;
XXXX , von 12.11.2015 bis 10.02.2016;
XXXX , von 12.11.2015 bis 22.03.2017;
XXXX , von 12.11.2015 bis 22.03.2017;
XXXX , von 01.07.2016 bis 29.11.2017;
XXXX , von 20.02.2017 bis 29.11.2017
XXXX , von 20.10.2017 bis 29.11.2017
Sie haben dadurch folgende Rechtsvorschriften verletzt:
§ 23 Abs. 1 Z 3 FM-GwG, BGBl. I Nr. 118/2016 iVm § 6 Abs. 1 Z 6 FM-GwG, BGBl. I Nr. 118/2016 iVm § 35 Abs. 3 erster Strafsatz FM-GwG, BGBl. I Nr. 118/2016 iVm § 34 Abs. 1 Z 8 FM-GwG, BGBl. I Nr. 118/2016
Wegen dieser Verwaltungsübertretungen wird über Sie folgende Strafe verhängt:
Geldstrafe von
Gemäß §§
XXXX
XXXX
Ferner haben Sie gemäß § 64 des Verwaltungsstrafgesetzes (VStG) zu zahlen:
* 5.600 Euro als Beitrag zu den Kosten des Strafverfahrens, das sind 10% der Strafe, mindestens jedoch 10 Euro (ein Tag Freiheitsstrafe gleich 100 Euro);
* 0 Euro als Ersatz der Barauslagen für -.
Der zu zahlende Gesamtbetrag (Strafe/Kosten/Barauslagen) beträgt daher
XXXX -"
2. Die Aufforderung zur Rechtfertigung erging am 19.11.2018. Dieser Aufforderung kam die bfP, vertreten durch ihren gewillkürten Vertreter, mit Eingabe vom 25.01.2019 nach.
3. Das gegenständliche Straferkenntnis mit dem oben angeführten Spruch datiert vom 10.04.2019.
4. Gegen dieses Straferkenntnis, zugestellt am 24.04.2019, erhob die bfP fristgerecht Beschwerde am 20.05.2019, der belBeh zugestellt am 21.05.2019.
5. Die belBeh übermittelte dem BVwG die Beschwerde samt Verfahrensakt mit Schreiben vom 04.06.2019, beim BVwG eingelangt am 06.06.2019.
6. Am 16.10.2019 bzw am 16.01.2020 fand eine mündliche Verhandlung vor dem BVwG statt, in der die bfP, vertreten durch deren Vorstand bzw deren rechtlichen Vertreter, zwei Zeugen sowie die belBeh gehört wurden.
7. AM 29.10.2019 langte beim BVwG fristgerecht eine Urkundenvorlage ein, mit der die belBeh entsprechend dem in der mündlichen Verhandlung am 16.10.2019 erteilten gerichtlichen Auftrag folgende Dokumente vorlegte: XXXX (als Beilage ./6 zum Akt genommen), XXXX vom 04.04.2017 (als Beilage ./7 zum Akt genommen), E-Mail Korrespondenz XXXX -FMA (als Beilage ./8 zum Akt genommen).
8. Am 04.11.2019 langte beim BVwG fristgerecht eine Urkundenvorlage ein, mit der die bfP entsprechend dem in der mündlichen Verhandlung am 16.10.2019 erteilten gerichtlichen Auftrag folgende Dokumente vorlegte: Indizienliste (als Beilage ./9 zum Akt genommen), Umlaufbeschluss XXXX vom 08.06.2017 (als Beilage ./10 zum Akt genommen), Ergänzungen zum Kontrollplan (als Beilage ./11 zum Akt genommen), Sitzungsprotokoll vom 16.09.2017 (als Beilage ./12 zum Akt genommen).
9. Sämtlichen zur Vertretung der bfP im Tatzeitraum befugten Vertretern, konkret den Herren XXXX wurde mit Mitteilung vom 23.05.2019 zu XXXX die "Einstellung" des bis dahin jeweils gegen sie geführten Ermittlungsverfahrens mitgeteilt. Die belBeh begründete dies wie folgt: "Unter Hinweis auf das Erkenntnis des VwGH vom 29.03.2019, Ro 2018/02/0023, teilt Ihnen die FMA Folgendes mit: In Bezug auf die unter der GZ XXXX erhobenen Vorwürfe gegen die XXXX wegen des Verdachts der Verletzung von Sorgfaltspflichten zur Verhinderung von Geldwäscherei und Terrorismusfinanzierung (mangelhafte Maßnahmen zur kontinuierlichen Überwachung der Geschäftsbeziehungen) wird gegen sie als im Tatzeitraum Verantwortlicher gem § 9 VStG von einer Verfolgung abgesehen, da gemäß § 99 d Abs 5 BWG (nunmehr § 22 Abs 6 Z 2 FMABG) keine besonderen Umstände für die Bestrafung vorliegen."
II. Das Bundesverwaltungsgericht hat erwogen:
Beweis wurde erhoben durch Einsicht in den Verwaltungs- und den Gerichtsakt sowie durch Durchführung einer mündlichen Verhandlung am 16.10.2019 und am 16.01.2020.
1. Feststellungen:
1.1. Allgemeine Feststellungen
1.1.1 Das Transaktionsmonitoring in der bfP basierte bis zur Einführung des Systems XXXX am 29.11.2017 auf einem wenig differenzierten listenbasierten Excel-Arbeitsblatt, mit dem geldwäscherelevante Transaktionsmuster nicht erkannt werden konnten.
1.1.2 Die bfP verfügte im Zeitraum 12.11.2015 (Ende der Vor-Ort-Prüfung) bis 29.11.2017 (Implementierung IT-Tool XXXX ) über keine in einem angemessenen Verhältnis zu Art und Größe des Instituts stehenden Strategien, Kontrollen und Verfahren zur kontinuierlichen Überwachung der Geschäftsbeziehungen, einschließlich einer Überprüfung der im Verlauf der Geschäftsbeziehungen ausgeführten Transaktionen, um sicherzustellen, dass diese mit den Kenntnissen des Instituts über den Kunden, seine Geschäftstätigkeit und sein Risikoprofil, einschließlich erforderlichenfalls der Herkunft der Mittel, übereinstimmen.
Die bfP hat keine aufgrund der Größe, Kundenanzahl und Kundenstruktur angemessene und risikobasierte Prozesse und Verfahren zur kontinuierlichen Überwachung eingerichtet, damit im Hinblick auf das von der Bank betriebene Geschäftsmodell untypische bzw. ungewöhnliche Transaktionen oder Transaktionsmuster von Kunden erkannt werden, Inkohärenzen der abgewickelten Transaktionen zu den der bfP vorliegenden KYC-Informationen auffallen bzw. dass Transaktionen und Kunden, von denen ein potentiell höheres Risiko ausgeht, anhand von geeigneten Indizien einschließlich differenziert ausgestalteter Schwellenwerte, kurzen Zeitintervallen, etc. überwacht werden und Treffer zeitnah abgearbeitet werden können.
1.1.3 Die bfP hat keine ausreichenden Maßnahmen gesetzt, um sicherzustellen, dass ein am Geschäftsmodell und der Größe des Institutes ausgerichtetes System der kontinuierlichen Überwachung von Transaktionen und Geschäftsbeziehungen, mit der Transaktionen und Transaktionsmuster, die nach objektiven Kriterien im Hinblick auf Geldwäscherei oder Terrorismusfinanzierung relevant sind, eingerichtet wurde und auffällige Transaktionenen zeitnah erkannt werden können.
1.1.4 Erst mit Implementierung des IT-Systems XXXX (Inbetriebnahme erfolgte am 29.11.2017) verfügte die bfP über ein angemessenes System zur automatisierten Überwachung von Transaktionen mittels hinterlegter risikobasierter Indizien- und Schwellenwerte zur Erkennung bestimmter Zahlungsmuster bzw. von Abweichungen von dem KYC-Profil entsprechenden Transaktionsmustern (zB bzgl. Höhe und Häufigkeit der Zahlungen).
1.2. Zur beschwerdeführenden Partei
Die bfP ist in Österreich unter der XXXX im Firmenbuch des Handelsgerichts Wien, mit der Geschäftsanschrift XXXX , mit einem Grundkapital von XXXX eingetragen (Firmenbuchauszug am 14.01.2020, Beilage ./1).
Die Aktionärsstruktur der XXXX stellt sich aktuell wie folgt dar:
Die bfP befindet sich zu 90% im Eigentum der XXXX ., die an der XXXX Börse unter XXXX notiert. Zum 14.01.2020 lag der Kurs bei rund XXXX . Zu 10% steht die bfP im Eigentum des XXXX (Auszug Geschäftsbericht 2018 der bfP, Beilage ./2; VOP Bericht ON 1, S. 5).
Per 30.09.2015 hatte die bfP ca. XXXX Kunden (davon XXXX ). XXXX der Gesamtkunden waren natürliche Personen. Die Anzahl der Kunden der bfP reduzierte sich in den Folgejahren wegen eines Programms zur Reduktion der Einlagekosten und aufgrund mehrfacher Zinssenkungen, um das Niveau der von der bfP angebotenen Zinsen an das allgemein niedrigere Zinsniveau anzupassen.
Die Abteilung "Compliance/AML" unterliegt der Verantwortung des Gesamtvorstandes.
Im Jahr 2018 betrug die Bilanzsumme XXXX . Das Ergebnis der gewöhnlichen Geschäftstätigkeit (EGT) betrug XXXX ., im Vorjahr betrug es XXXX . Zum Zeitpunkt der VOP waren XXXX , derzeit sind XXXX Mitarbeiter bei der bfP beschäftigt.
1.3. Zum VOP-Bericht der belangten Behörde (ON 1)
1.3.1 Im Zeitraum von 02.11.2015 bis 12.11.2015 führte die belBeh bei der bfP eine Vor-Ort-Prüfung ("VOP") gemäß § 3 Abs. 9 BWG durch, um die implementierten Systeme und Kontrolleinrichtungen zur Bekämpfung der Geldwäscherei und Terrorismusfinanzierung im Sinne der §§ 40 bis 41 BWG zu überprüfen. (ON 1 S. 1).
1.3.2 Die belBeh traf im VOP-Bericht (ON 1) folgende aufsichtsrechtliche Feststellungen:
1.
Ein gesamthafter Kontrollplan im Sinne eines IKS betreffend die Prävention von Geldwäscherei und Terrorismusfinanzierung liegt in der XXXX nicht in angemessenem Umfang vor.
RZ 44
2.
Es wäre in den Regelwerken der XXXX abzubilden, welche Nachweisdokumente zur Überprüfung der Mittelherkunft als tauglich erachtet werden.
RZ 45
3.
Die Überprüfung der Mittelherkunft bei Termingeldkonten erfolgt bei der XXXX nicht risikobasiert und angemessen.
RZ 45
4.
Konkrete Maßnahmen zur Aktualisierung von Kundendaten wären in den Regelwerken der XXXX abzubilden.
RZ 48
5.
Ein Aktualisierungsintervall von zwei Jahren bei PEP-Kunden ist als zu lange zu erachten.
RZ 48
6.
Kunden der VakifBankXXXX werden teilweise bei Begründung der Geschäftsbeziehung nicht aktiv aufgefordert, bekannt zu geben, ob diese auf eigene oder fremde Rechnung oder im fremden Auftrag geführt wird. Dies spiegelt sich auch in einem Testfall wider.
RZ 57, 92
7.
Bei der XXXX handelt es sich nicht um ein gleichwertiges Drittland und gilt die Muttergesellschaft der XXXX ( XXXX ) mit Sitz in eben diesem Land somit nicht als qualifizierter Dritte i.S. des § 40 Abs. 8 BWG. Dies spiegelt sich auch in zwei Testfällen wider.
RZ 68, 110, 115
8.
Arbeitsanweisungen hinsichtlich der Vorgehensweise bei der Begründung von Geschäftsbeziehungen zu Korrespondenzbanken in Drittstaaten sind nicht im Regelwerk abgebildet.
RZ 74
9.
Mündlich definierte Maßnahmen und Verfahren im Hinblick auf die verstärkte kontinuierliche Überwachung von Geschäftsbeziehungen mit GTV Bezug wären in den Regelwerken der XXXX abzubilden. Die Mitarbeiter wären entsprechend zu schulen.
RZ 79
10.
Die seitens der Internen Revision gesetzten Überprüfungshandlungen in der XXXX beziehen sich ausschließlich auf die stichprobenartige Kontrolle von z.B. Kundenunterlagen von Neukunden. Eine gesamthafte Kontrolle der Wirksamkeit der Systeme und Verfahren, um die Einhaltung der Sorgfaltspflichten gemäß §§ 40 ff BWG sicherzustellen, erfolgt durch die Interne Revision nicht.
RZ 86
11.
Die Risikoanalyse der XXXX auf Unternehmensebene ist mangelhaft, da das Kriterium "Komplexität der Transaktionen" im Rahmen der Risikoanalyse weder identifiziert, analysiert noch bewertet und das Risikokriterium "Kundenrisiko" nicht mit institutsspezifischen Kennzahlen unterlegt wurde.
RZ 21
12.
Die Risikoanalyse auf Kundenebene wurde in den Regelwerken der XXXX nicht abgebildet.
RZ 22
13.
Die Risikoanalyse auf Kundenebene erfolgt nicht risikobasiert und angemessen, da wesentliche Risikofaktoren nicht berücksichtigt wurden.
RZ 24
14.
Es ist nicht sichergestellt, dass sämtliche Kunden zum Zeitpunkt der Begründung der Geschäftsbeziehung in eine ihrem Risiko entsprechende Risikoklasse eingestuft werden.
RZ 24
15.
Die Risikoklassifizierung der Geschäftsbeziehungen erfolgt nicht in ausreichendem Maß differenziert, da die in der Risikoanalyse grundsätzlich vorgesehene Einteilung der Geschäftsbeziehungen in drei Risikoklassen keine ausreichende Berücksichtigung findet.
RZ 27
Die belBeh hielt ua folgenden Verdacht einer Normverletzung fest:
"Verdacht auf Verletzung von § 41 Abs. 4 Z 1 BWG iVm § 40 Abs. 2a Z 3 BWG: Es ist nicht gewährleistet, dass in der XXXX risikobasierte und angemessene Maßnahmen zur kontinuierlichen Überwachung der Geschäftsbeziehungen ergriffen werden, da lediglich ein listenbasiertes Transaktionsmonitoring ohne Indizienmodell erfolgt (Rz 38 ff, 41)."
1.3.3 Zum Geldwäschebeauftragten der beschwerdeführenden Partei
Der Geldwäschebeauftragte ("GWB") der bfP war von Oktober 2004 bis Mai 2016 XXXX und von Mai 2016 bis April 2019 XXXX , BA. Der GWB sowie sein Stellvertreter sind organisatorisch der Abteilung "Compliance/AML" zugeordnet und ist dem Gesamtvorstand unterstellt.
Zusätzlich dazu nehmen bei der bfP weitere Mitarbeiter aus verschiedenen Bereichen wie "Schaltergeschäfte", "Kundenbetreuung von Termingeldeinlagen", "Embargo und Sanktionsprüfungen" sowie aus der Abteilung "Kredite" Aufgaben im Bereich der Prävention von Geldwäscherei und Terrorismusfinanzierung wahr, wie beispielsweise Kontrollen im Hinblick auf die Vollständigkeit und Plausibilität von Antragsunterlagen.
Das Aufgabengebiet bzw die Befugnisse des GWB umfassen:
- Prüfungsbefugnis;
- Auskunftsbefugnis;
- Vorlagebefugnis;
- Einschaubefugnis;
- Befugnis zum Stopp von Transaktionen;
- Befugnis zur raschen Klärung von verdächtigen und besonders bedenklichen Transaktionen mit dem Vorstand.
Quartalsmäßig erfolgte durch den GWB eine schriftliche Berichterstattung an den Gesamtvorstand. Die Berichte enthalten ua die Prüfungsergebnisse zu den Bereichen "Laufende Überwachung der Transaktionen mittels EDV-Programm " XXXX ", "Warnmitteilungen des VOeBB", "Einhaltung der Identifizierungspflichten", "Monatliche Kontobewegungen", "Monatliche Auslandsüberweisungen", "Monitoring-Kunden", "Erhaltene bankinterne Verdachtsmeldungen", "Verdachtsanzeigen", und "PEP-Kunden".
Die bfP hat betreffend die Beurteilung der fachlichen Eignung der Inhaber von Schlüsselfunktionen eine "Fit & Proper Policy" erlassen, die ua folgendes umfasst:
- gesetzliche Grundlagen;
- die Strategie und Kriterien für die Auswahl von Vorständen, Aufsichtsräten und Inhabern von Schlüsselpositionen;
- die Festlegung des Prozesses und der Verantwortlichkeiten für die Durchführung von Eignungsbeurteilungen von Vorständen, Aufsichtsräten und von Inhabern von Schlüsselpositionen, sowie
- die Strategie für die Sicherstellung der Eignung von Vorständen, Aufsichtsräten und von Inhabern von Schlüsselpositionen beinhaltet und im Zuge der Vor-Ort-Prüfung eingesehen wurde.
1.3.4 Zur Risikoanalyse der beschwerdeführenden Partei gem § 40 Abs 2b BWG
Die bfP verfügt über eine Risikoanalyse ("Manual für Gefährdungsanalyse Österreich", Stand: Oktober 2015). Die statistischen Auswertungen in Bezug auf die Risikoanalyse werden durch den GWB der bfP auf jährlicher Basis aktualisiert. Die bfP hat in ihrer Risikoanalyse auf Gesamtbankebene unternehmens-, produkt- und kundenbezogene Risikokategorien analysiert und ihre Geschäftsbeziehungen mittels verschiedener Risikokriterien in drei Risikoklassen ("gering", "normal" und "hoch") eingestuft. Auf Basis der durchgeführten Risikoanalyse und der darin gemachten Auswertungen und Darstellungen wurde im Ergebnis festgestellt, dass die bfP einem "normalen" Risiko ausgesetzt ist, für Geldwäscherei und Terrorismusfinanzierung missbraucht zu werden.
Die Risikoanalyse der bfP gliedert sich in zwei Teile. Im ersten Teil werden zunächst institutsspezifische Grunddaten (zB Beschreibung der Geschäftsstrategie sowie der Geschäftsbereiche; Beschreibung der Risikokategorien sowie Prinzipien zur Verhinderung von Geldwäsche) erläutert. Im zweiten Teil der Risikoanalyse erfolgte zunächst eine Identifizierung und Klassifizierung einzelner Risikokriterien im Hinblick auf das "Unternehmensrisiko", "Produktrisiko" und das "Kundenrisiko". Darauf aufbauend wurde eine Risikomatrix erstellt. Abschließend erfolgt eine Gesamtbewertung des Risikos auf Unternehmens-, Produktrisiko- und Kundenrisikoebene, für Zwecke der Geldwäscherei und Terrorismusfinanzierung missbraucht zu werden. Des Weiteren befinden sich diverse Unterlagen im Anhang (zB Organigramm, Formular "Kundenerklärung Geldwäsche", "Kundenerklärung KYC/AML" etc.).
Im Rahmen des institutsindividuellen Risikoprofils wurden die institutsspezifischen Risiken identifiziert, analysiert und teilweise bewertet.
Das in § 40 Abs. 2b BWG vorgeschriebene Kriterium "Komplexität der Transaktionen" wurde im Rahmen der Risikoanalyse nicht analysiert.
Die Risikoklassifizierung von Neukunden erfolgte bei der bfP manuell durch den GWB jeweils am Monatsende. Sofern es sich um einen Kunden mit PEP-Bezug handelt, wurde dieser bereits im Zuge der Kundenanlage in das höchste Risiko klassifiziert. Das Vorliegen folgender Kriterien führte zur Klassifizierung eines Kunden in die Risikokategorie "hoch":
- "PEP"-Kunden, Kunden mit Bezug zu PEP
- Kunden, die das Produkt "Termingeld" abschließen
- Domizil in einer "Offshore"-Destination
- "GTV-Bezug"
Sofern ein Kunde der bfP keines dieser Kriterien erfüllt, wurde er in die Risikoklasse "normal" eingestuft. Die Risikoklasse "gering" fand in der Praxis keine Anwendung. Das Risikokriterium "Länderrisiko" wurde bei der Risikoklassifizierung auf Kundenebene nicht miteinbezogen, da nur Länder der GTV oder Offshore-Länder im Zuge der Risikoklassifizierung als risikoerhöhend betrachtet wurden. Weiters fanden zB Hochrisikobranchen, genutzte Produkte der Kunden etc. keinen Einfluss auf die Kundenklassifizierung.
Die Risikoklasse der Kunden wurde nicht im System "KMS" festgehalten, sondern die Dokumentation erfolgte auf einer Excel-Liste, die auf einem zentralen Laufwerk der bfP lag und vom GWB gewartet wurde. Kunden, die im Risiko "hoch" geführt werden, wurden in dieser Excel-Liste entsprechend gekennzeichnet, Kunden im Risiko "normal" wiesen keine Kennzeichnung auf.
Änderungen in den Kundenstammdaten wurden am Ende jeden Monats vom GWB durch Erstellung einer auf Excel basierenden Auswertung ("KMS-Änderungsdokumentationsliste") überprüft. Die Risikoklasse eines Kunden wurde aktualisiert, wenn es zu Änderungen kam (zB ein Wohnsitzwechsel in ein Hochrisikoland).
1.3.5 Zum IT-System der beschwerdeführenden Partei
Die gesamte IT-Infrastruktur der bfP wird im Rahmen eines Auslagerungsvertrages durch das XXXX betreut.
Die im Zeitraum 12.11.2015 bis 29.11.2017 bei der bfP implementierten Teile des Systems " XXXX " wurden zur Ex-ante-Prüfung von Transaktionen im Auslandszahlungsverkehr sowie zum Abgleich der Kundennamen mit PEP- und Sanktionslisten im Zuge der Überwachung von Geschäftsbeziehungen verwendet.
Das Kundenmanagementsystem ("KMS") diente der bfP zur Verwaltung der Kundenstammdaten (zB. Name, Adresse, Staatsbürgerschaft, Legitimationsdaten etc.). In diesem System wurden bei bestehenden Kunden sämtliche Änderungen dieser Daten durchgeführt. Eine allfällige PEP Eigenschaft war in diesem System abgebildet, sofern bei der Kundenneuanlage der PEP-Status erkannt worden war. Eine nachträgliche Kennzeichnung als PEP war im KMS nicht möglich.
1.3.6 Zum Transaktionsmonitoring der bfP vor Einführung des Systems XXXX am 29.11.2017
Zum Zeitpunkt der Vor-Ort-Prüfung bestand kein automatisiertes Ex-post Transaktionsmonitoring bei der bfP. Das Transaktionsmonitoring basierte vor Einführung des Systems NORCOM am 29.11.2017 auf manuell geführten Excel-Listen, die auf verschiedenen Kontrollhandlungen des GWB aufbauten:
- Täglich:
- Transaktionsliste "Tagesaktueller Überblick über sämtliche des Vortages getätigten Umsätze der Bank". Diese Liste umfasste sowohl Inlands- und Auslandstransaktionen als auch sämtliche Bartransaktionen, die in der bfP am Vortag durchgeführt wurden.
- Monatlich:
- Transaktionsliste "Überprüfung der monatlichen Umsätze auf den Girokonten der PEP-Kunden". Im Rahmen dieser Prüfung erfolgte eine Kontrolle aller auf Konten von PEP-Kunden getätigten Transaktionen im Hinblick auf Kohärenz mit den vorliegenden KYC-Informationen.
- Transaktionsliste "Überprüfung der monatlichen Umsätze auf den Termingeldkonten". Bei dieser Kontrolle wurden vom GWB drei bis fünf Stichproben von Transaktionen, die auf bzw. von Termingeldkonten getätigt wurden, gezogen und hinsichtlich atypischer Transaktionen wie zB vorzeitige Behebungen oder Auflösungen des Termingeldes, überprüft.
- Transaktionsliste "Überprüfung der monatlichen Umsätze auf den Konten für Offshore-Kunden". Mit dieser Liste prüfte der GWB die Plausibilität stattgefundener Transaktionen.
- Transaktionsliste "Monatliche Kontobewegungen der Girokonten (Offshore-Kunden)".
- Quartalsweise:
- Transaktionsliste "Überprüfung der monatlichen Umsätze auf den Girokonten". Durch diese Liste erfolgte eine Auswertung der Summe von Soll- und Habenbuchungen, die innerhalb eines Monats auf Girokonten getätigt wurden. Anhand dieser Transaktionsliste werden durch den GWB Auffälligkeiten im Transaktionsverhalten der Kunden überprüft.
- Transaktionsliste "Überprüfung aller getätigten Auslandszahlungen". Diese Auswertung umfasste sowohl bare als auch unbare Transaktionen auf Girokonten bzw. Termingeldkonten, aus denen der GWB Stichproben zog, diese überprüft und die Kontrolle dokumentierte.
Aus diesen Transaktionslisten wurden vom GWB Stichproben gezogen, deren Anzahl nicht festgelegt war. Die Ziehung der Stichproben erfolgte vielmehr risikobasiert.
Zusätzlich zu den genannten Überprüfungen führte die Abteilung "Backoffice/Operations" tägliche Kontrollen von aus dem System " XXXX " generierten Treffern durch. Diese Abteilung führte monatliche bzw. bei erfolgten Transaktionen (anlassbezogen) Überprüfungen der Umsätze auf Girokonten von Offshore Unternehmen durch.
1.3.7 Manuelle Maßnahmen - Internes Kontrollsystem vor Einführung des Systems XXXX am 29.11.2017
Bei der bfP waren weitere manuelle Kontrollen vorgesehen, die Folgendes umfassten:
- "Auffinden von PEP - Kunden" bei Neukundenanlage als auch bei Treffern durch das System " XXXX "
- "Bearbeitung der Kontoöffnungsbeschlüsse des Bankenverbandes"
- "Überprüfung der Kunden, die im gesonderten Monitoring geführt werden".
- "Überprüfung der Einhaltung der Identifizierungspflichten bei Neukunden und Kontenanlage aus den Bereichen Spar, Giro, Termingeld und Kredit".
Neben der Dateneingabe in das System "KMS" erfolgte bei juristischen Personen auch eine Überprüfung auf Vollständigkeit hinsichtlich der Feststellung und Überprüfung des wirtschaftlichen Eigentümers.
Weiters zog der GWB quartalsweise fünf bis sechs Stichproben aus getätigten Transaktionen und er überprüfte, ob Unterlagen zur Mittelherkunft vorhanden sind und Legitimationsdaten erfasst wurden.
Bartransaktionen wurden im Rahmen der Kontrollen mitüberprüft, eine Kontrolle ausschließlich im Hinblick auf Bartransaktionen war zum Zeitpunkt der VOP nicht vorgesehen. Weiters wurden Änderungen in den Kundenstammdaten am Ende jedes Monats vom GWB durch Erstellung einer auf Excel basierenden Auswertung überprüft.
1.3.8 Überprüfung der Mittelherkunft
Bei der bfP wurde bei Bartransaktionen ab EUR 15.000 die Mittelherkunft hinterfragt. Ab EUR 50.000 wurden Belege eingefordert und der Kunde hatte auf dem Kassaeinzahlungsbeleg die Mittelherkunft durch Untereschrift zu bestätigen.
Risikobasiert wurde auch bei Zahlungen unterhalb dieser Grenze ein Mittelherkunftsnachweis verlangt, wobei als Nachweise der Mittelherkunft zB Kontoauszüge von Fremdbanken und Sparbücher von Fremdbanken akzeptiert wurden.
1.3.9 Aktualisierung der Dokumente, Daten und Informationen
Bei Hochrisikokunden gab es unterschiedliche Intervalle bei der Aktualisierung von Dokumenten, Daten und Informationen:
Die Daten von PEP-Kunden wurden alle zwei Jahre überprüft. Bei Kunden mit Termingeldkonten, die ebenfalls im hohen Risiko geführt wurden, erfolgte eine Aktualisierung anlassbezogen, etwa bei einer Auszahlung vom oder bei der Auflösung des Kontos. Offshore Kunden wurden jährlich überprüft. Im Rahmen der jährlichen Bonitätsprüfung von juristischen Personen, die Kredite unterhalten, wurden etwaige Änderungen bei der wirtschaftlichen Eigentümerschaft überprüft und gegebenenfalls dokumentiert. Bei juristischen Personen, die ihren Sitz im Inland haben, wurden sämtliche Änderungen über das Firmenbuchsystem "Lustrum" gemeldet.
1.3.10 Regelwerke und Schulungen
Das zentrale Regelwerk der bfP zum Thema Prävention von Geldwäscherei und Terrorismusfinanzierung war die Dienstanweisung "Manual für Geldwäsche - Österreich". Weiters standen den Mitarbeitern diverse Dienstanweisungen ua hinsichtlich der Erfassung von Kundendaten sowie der Produktanlage zur Verfügung.
Grundsätzlich waren alle Mitarbeiter (mit Ausnahme von Boten und Mitarbeitern des Sekretariats) zur Absolvierung einer Schulung zum Thema Prävention von Geldwäscherei und Terrorismusfinanzierung verpflichtet, die jährlich entweder in Form einer Präsenzschulung oder einer Online-Schulung (inkl. Abschlusstest) zu absolvieren war. Die Präsenzschulungen wurden durch externe Berater abgehalten. Neu eingetretene Mitarbeiter wurden zudem innerhalb von rund vier bis sechs Wochen nach Eintritt in das Unternehmen im Rahmen der Online-Schulung geschult. Zusätzlich wurden neue Mitarbeiter anlassbezogen, je nach Berufserfahrung, vor Absolvierung der Online-Schulung persönlich durch den GWB geschult. Im Bedarfsfall wurden vom GWB Schwerpunktschulungen (zB "Verdachtsmomente erkennen") angeboten, die von den Mitarbeitern verpflichtend zu absolvieren waren.
1.3.11 Identifizierung gemäß § 40 Abs. 1 BWG
Die bfP überprüfte die Identität natürlicher Personen bzw. vertretungsbefugter Personen von juristischen Personen durch persönliche Vorlage von zur Identifizierung geeigneter amtlicher Lichtbildausweise. Ausländische Lichtbildausweise wurden von der bfP grundsätzlich nur akzeptiert, wenn diese den österreichischen amtlichen Lichtbildausweisen gleichzuhalten sind und folglich die gesetzlich normierten Merkmale enthielten. Bei Zweifeln an der Echtheit hatten die Mitarbeiter weitere Nachforschungen anzustellen.
Juristische Personen wurden grundsätzlich mittels aktueller Firmenbuch-/ Vereinsregisterauszüge bzw. beweiskräftiger landesüblicher Unterlagen, die nicht älter als sechs Wochen sein durften, identifiziert. Die zur Identifizierung von juristischen Personen notwendigen Angaben wie "Firma/Bezeichnung", "Registrierungsnummer" oder "Sitz" waren bei der Begründung einer Geschäftsbeziehung im Kernbankensystem entsprechend zu befüllen. Insoweit im Falle ausländischer juristischer Personen keine ausländischen Registerauszüge vorhanden waren bzw. waren die vorhandenen Registerauszüge weniger aussagekräftig als österreichische Registerauszüge, so konnten ersatzweise andere Nachweise (zB Steuerregistrierungsbestätigungen, etc.) herangezogen werden, die in Zusammenschau im Hinblick auf die Aussagekraft betreffend die aktuelle Existenz der juristischen Person zu beurteilen sind. Ausländische Urkunden waren im Original vorzulegen und wurden nur in deutscher, englischer oder XXXX Sprache akzeptiert. Bei Urkunden, die in einer anderen Sprache vorgelegt wurden, wurde zusätzlich eine notariell beglaubigte Übersetzung verlangt. Weiters war die Vertretungsbefugnis der gegenüber der bfP auftretenden natürlichen Personen anhand von beweiskräftigen Dokumenten (zB Firmenbuch, Satzung, etc.) zu bescheinigen.
1.3.12 Treuhandbeziehungen gemäß § 40 Abs. 2 BWG
Die bfP forderte ihre Kunden vor Begründung einer dauerhaften Geschäftsbeziehung aktiv auf, bekannt zu geben, ob diese die Geschäftsbeziehung auf eigene oder fremde Rechnung bzw. im fremden Auftrag betreiben wollen. Die Dokumentation dieser Abfrage erfolgt mittels "Tick-Box" auf dem jeweiligen Kontoeröffnungsformular. Zudem wurde auf dem Formular festgehalten, dass der Kunde diesbezügliche Änderungen während aufrechter Geschäftsbeziehung unverzüglich bekannt zu geben hat. Gab der Kunde bekannt, dass er die Geschäftsbeziehung oder die Transaktion auf fremde Rechnung bzw. im fremden Auftrag betreiben will, hatte er die Identität des Treugebers unaufgefordert bekanntzugeben und schriftlich zu bestätigen, dass er sich persönlich oder mittels verlässlicher Gewährspersonen von der Identität des Treugebers überzeugt hat. Das Vorliegen der Treuhandbeziehung war durch ein Vollmachtschreiben zwischen Treugeber und Treuhänder nachzuweisen.
Bei der Eröffnung von Termingeldkonten bestand die Möglichkeit, einen Antrag auf der Homepage mittels Online-Eingabehilfe oder mittels Ausfüllen eines Blankoformulars zu stellen, wobei die erstgenannte Variante auch bei Eröffnung eines Termingeldkontos am Schalter verwendet wurde. Bei der Eröffnung eines Termingeldkontos mittels Online-Eingabehilfe wurde der Kunde nicht aktiv aufgefordert anzugeben, ob die Geschäftsbeziehung auf eigene oder fremde Rechnung oder im fremden Auftrag betrieben wurde.
1.3.13 Wirtschaftlicher Eigentümer gemäß § 40 Abs. 2a Z 1 BWG
Die Feststellung des wirtschaftlichen Eigentümers erfolgte in der bfP durch Befragung der vertretungsbefugten Personen der juristischen Person. Die erhobenen Angaben waren im Kontoeröffnungsantrag im Abschnitt "Erklärung gem. § 40 Abs. 2a BWG und gem. FATCA für juristische Personen" festzuhalten, das vom Kunden zu unterfertigen war.
1.3.14 Politisch Exponierte Personen (PEP)
Sämtliche Kunden sowie Personen mit Bezug zur Geschäftsbeziehung (zB wirtschaftlicher Eigentümer, vertretungsbefugte Personen, etc.) wurden vor Begründung der Geschäftsbeziehung sowie tourlich während laufender Geschäftsbeziehung einer PEP-Prüfung mittels des Systems " XXXX - Sanktions- und PEP-Listenprüfung in Verbindung mit World-Check" unterzogen. Kundenbeziehungen zu PEP wurden grundsätzlich als Kunden mit hohem Risiko klassifiziert.
Bei Neukundenanlage im Kernbankensystem der bfP erfolgte ein automatisierter Namensabgleich gegen PEP-Listen mittels des " XXXX - Sanktions- und PEP-Listenprüfung in Verbindung mit World-Check". Bei einem potentiellen Treffer wurde vom KMS ein Pop-up-Fenster generiert und der Kundenbetreuer aufgefordert, die Abteilung "Compliance/AML" über den Treffer zu informieren. Zeitgleich wurde der GWB auch systemtechnisch per E-Mail über eben diesen potentiellen Treffer informiert.
Die Abteilung "Compliance/AML" nahm im Weiteren eine nähere Überprüfung vor, ob der jeweilige Kunde tatsächlich eine PEP ist. Wenn es sich bei dem Kunden tatsächlich um eine PEP gehandelt hat, wird der Kunde im KMS als PEP gekennzeichnet und durch die Abteilung "Compliance/AML" in die Risikoklasse "hoch" eingestuft. Zur Aufnahme einer Geschäftsbeziehung war in diesem Fall die Zustimmung von zwei Vorständen erforderlich.
Wurde ein Kunde während der laufenden Geschäftsbeziehung eine PEP, dann konnte der PEP- Status im Kundenmanagementsystem nicht eingepflegt werden. Um eine Auflistung sämtlicher Geschäftsbeziehungen samt vollständiger PEP-Kennzeichnung zu erhalten, war eine gesonderte Auswertung auf Excel-Basis durchzuführen.
1.4 Zur Stellungnahme der beschwerdeführenden Partei an die FMA vom 06.06.2016
Die bfP kündigte in ihrer Stellungnahme vom 06.06.2016 an die belBeh (ON 5) an, dass es neben der Aufstockung personeller Ressourcen "in den kommenden Monaten zu einer Implementierung einer vollautomatisierten technischen Infrastruktur kommen" wird. Konkret rechnete die bfP damit, dass "bis Ende des 3. Quartals 2016 ein automatisiertes AML Tool der XXXX implementiert wird."
Die bfP räumte in ihrer Stellungnahme vom 06.06.2016 ein, dass es "momentan keine automatisierte AML Software gibt, womit eine durchgängige Kundenrisikoklassifizierung möglich" ist. Zur Zeit der VOP und bis zur Implementierung des IT-Systems XXXX am 29.11.2017 erfolgte eine manuelle Risikoklassifizierung aller Kunden zum Zeitpunkt der Begründung der Geschäftsbeziehung. Eine automatisierte Risikoklassifizierung aller Kunden zum Zeitpunkt der Begründung der Geschäftsbeziehung war bis zur Einführung des Systems XXXX S nicht möglich.
Zu diesem Zeitpunkt stand der bfP nur eine manuelle und listenbasierte Transaktionsüberwachung zur Verfügung.
1.5 Zur Stellungnahme der beschwerdeführenden Partei an die FMA vom 17.02.2017
Mit 17.02.2017 verfügte die bfP nach wie vor über kein durchgängiges, automatisiertes System der Kundenrisikoeinstufung (Transaktionsmonitoring). Am 03.08.2016 fand ein Erstgespräch zwischen Vertretern der bfP und der XXXX statt.
Die vollständige Umsetzung der geplanten Implementierung wurde mit 31.12.2016 prognostiziert.
Die bfP wies ihre Vertragspartnerin bei der Implementierung eines automatisierten Transaktionsmonitoring, die RBI, mit E-Mail vom 19.01.2017 und der diesem E-Mail beigeschlossenen "Ad-Hoc Meldung über operationelle Risiken" auf eine mögliche Verwaltungsstrafe durch die belBeh wegen der Verletzung des § 34 Abs 1 Z 2 FM-GwG in einem Ausmaß von bis zu EUR 150.000 hin.
1.6 Zur Stellungnahme der beschwerdeführenden Partei an die FMA vom 10.05.2017
Am 07.04.2017 fand in den Räumlichkeiten der belBeh ein Managementgespräch über den Fortschritt des XXXX Projektes (Transaktionsüberwachung und Kundenrisikoeinstufung) statt.
Aufgrund der eingetretenen Verzögerungen bei der Implementierung des Systems XXXX holte die bfP ein Angebot eines anderen Anbieters ein, konkret des Unternehmens XXXX . Dieses Alternativangebot wurde der FMA am 24.04.2017 per Mail übermittelt.
1.7 Zur Stellungnahme der beschwerdeführenden Partei an die FMA vom 14.06.2017
Am 10.05.2017 fand bei der bfP ein Projektgespräch zur Einführung des IT-Systems XXXX statt, an dem neben Vertretern der bfP auch die XXXX , die XXXX , die XXXX und die XXXX teilnahmen.
1.8 Zur Niederschrift der Einvernahme von XXXX am 18.04.2018 (Beilage ./4) und dem E-Mail von XXXX an den GWB der bfP vom 15.09.2017 (Beilage ./5)
Am 18.04.2018 fand eine Einvernahme von XXXX vor der FMA statt. Er wurde zu verschiedenen Fragen der Organisation geldwäscherechtlicher Prüfvorgänge innerhalb der bfP befragt (Beilage ./4).
Am 15.09.2017 richtete XXXX ein E-Mail an den Zeugen XXXX , in dem XXXX auf die fehlende geldwäscherechtliche Überwachung von Hochrisikokunden der bfP hinwies und deswegen einen "Transaktionsstopp" für Geschäfte mit diesen Kunden verhängte. Konkret sollten "ab sofort keine einzige Transaktion für Risikokunden mehr durchgeführt werden." (Beilage ./5).
2. Beweiswürdigung
2.1. Zu den allgemeinen Feststellungen
Die Feststellungen zu dem von der bfP implementierten System zum Transaktionsmonitoring vor und nach dem 29.11.2017 und zur Einführung eines automatisierten und indizienbasierten, kontinuierlichen Systems der Transaktionsüberwachung, das dem Geschäftsmodell und Größe der bfP angemessen gewesen wäre, beruhen auf den Ergebnissen der VOP (ON 1), den Ergebnissen der Einvernahmen im Rahmen der mündlichen Verhandlung vor dem BVwG am 16.10.2019 sowie am 16.01.2020 und den Angaben der bfP in den Stellungnahmen an die FMA (insb ON 5).
2.2 Zur beschwerdeführenden Partei
Die Feststellungen zur bfP ergeben sich aus dem offenen Firmenbuch, dem Geschäftsbericht der bfP aus 2018 (Beilagen ./1 und ./2), aus dem im Akt aufliegenden VOP Bericht (ON 1) und aus den im Rahmen der mündlichen Verhandlung vor dem BVwG durchgeführten Einvernahmen (Verhandlungsschrift vom 16.10.2019 sowie vom 16.01.2020 ["VHS 16.10.2019" bzw "VHS 16.01.2020"]. Sie wurden im Verfahren von keiner Seite bestritten.
Betreffend die Anzahl der Kunden der bfP war von den Angaben der FMA im Straferkenntnis (ON 1, S. 3) auszugehen, weil die bfP keine stringent abweichenden Angaben machen konnte. In der Stellungnahme der bfP vom 06.06.2016 zum VOP-Prüfbericht hat die bfP eine Kundenanzahl von XXXX mit Stichtag 30.09.2015 ausdrücklich bestätigt (ON 5, S. 6). In einer weiteren Stellungnahme der bfP an die FMA vom 17.2.2017 wurde die Kundenanzahl mit XXXX angegeben (ON 2, S. 7). In der Rechtfertigung der bfP an die FMA vom 25.01.2019 wurde die Kundenanzahl mit Stand 27.06.2018 mit 12.874 angeführt (ON 9, S. 3).
Im Rahmen der mündlichen Verhandlung am 16.10.2019 wurde der anwesende Vorstand der bfP, XXXX , mit diesen Angaben konfrontiert und die Frage aufgeworfen, ob die bfP zwischen Februar 2017 und Juni 2018 XXXX Kunden verloren hat bzw wie diese Zahlen zu verstehen seien. Dieser gab dazu an: "Es ging einfach darum die Einlagekosten zu senken. Wir haben unseren Arbeitsplan bzw. die Strategie verändert. Das haben wir im Wissen der FMA gemacht. Wir haben begonnen, unsere Zinsen zu senken. Wir haben unsere Zinsen etwa neunmal gesenkt. Wir haben dann Zinsen auf dem österreichischen Niveau angeboten. Somit sind auch unsere Kunden als Folge dieser Zinssenkungen weniger geworden. Wir haben eine Filiale in Österreich geschlossen" (VHS 16.10.2019, S. 14).
Konkrete bzw von den Angaben der FMA abweichende Angaben ergaben sich aus diesen Beweisergebnissen nicht, weshalb von der von der FMA im Straferkenntnis (ON 1, S 3) angeführten Kundenanzahl auszugehen war.
2.3. Zu den Feststellungen zum VOP-Bericht der FMA (ON 1)
Die Feststellungen ua zum Ergebnis der VOP, zu den Voraussetzungen zur Bestellung und zur Prüfung der fachlichen Eignung des Geldwäschebeauftragten, zur allgemeinen Risikoanalyse, zu den bei der bfP implementierten IT-Systemen, zum Transaktionsmonitoring der bfP vor Einführung des Systems XXXX am 29.11.2017, zur Überprüfung der Mittelherkunft, zu den bei der bfP bestehenden Regelwerken und Schulungsmaßnahmen, zur Identifizierung des wirtschaftlichen Eigentümers und zu PEP ergeben sich aus dem im FMA Akt erliegenden Prüfbericht (ON 1) und aus den im Rahmen der mündlichen Verhandlungen vor dem BVwG durchgeführten Einvernahmen.
2.4. Zu den Feststellungen betreffend die Stellungnahme der beschwerdeführenden Partei an die FMA vom 06.06.2016
Die Feststellung zur angekündigten Implementierung eines automatisierten Transaktionsmonitorings beruht auf dem Inhalt des Schreibens der bfP an die belBeh (ON 5, S. 1 und S.5).
Die bis zur Implementierung des IT-Systems XXXX am 29.11.2019 fehlende Möglichkeit einer automatisierten Kundenrisikoklassifizierung bei Begründung der Geschäftsbeziehung beruht auf den Ausführungen im Schreiben der bfP an die belBeh (ON 5, S. 5f, S. 22f).
2.5. Zur Feststellung betreffend die Stellungnahme der beschwerdeführenden Partei an die FMA vom 17.02.2017
Die Feststellung zur eingetretenen Verzögerung bzw zum geplanten Fertigstellungstermin bei der Implementierung eines automatisierten Transaktionsmonitorings beruht auf dem Inhalt des Schreibens der bfP an die belBeh (ON 2, S. 5).
Die Feststellung zur Information der bfP an die RBI über eine mögliche Verwaltungsstrafe durch die belBeh beruht auf Beilage ./6, S. 1 des Anhangs "Ad-Hoc Meldung über operationelle Risiken" zu ON 2.
2.6 Zu den Feststellungen betreffend die Stellungnahme der beschwerdeführenden Partei an die FMA vom 10.05.2017
Die Feststellungen betreffend das Managementgespräch am 07.04.2017 sowie zur Einholung eines Alternativangebotes zur Implementierung eines automatisierten Systems zur Transaktionsüberwachung durch XXXX und die Übermittlung an die belBeh per Mail am 04.04.2017 beruhen auf der Stellungnahme der bfP an die FMA vom 10.05.2017 (ON 3), die Ergebnisse der Einvernahmen im Rahmen der beiden mündlichen Verhandlungen vor dem BVwG und der von der belBeh entsprechend dem gerichtlichen Auftrag eingebrachten Urkundenvorlage vom 24.10.2019.
2.7 Zur Feststellung betreffend die Stellungnahme der beschwerdeführenden Partei an die FMA vom 14.06.2017
Die Feststellung zur Projektbesprechung am 10.05.2017 und den Teilnehmern beruht auf der Stellungnahme der bfP an die FMA vom 14.06.2017 (ON 4).
2.8 Zu den Feststellungen zur Niederschrift der Einvernahme von XXXX am 18.04.2018 (Beilage ./4) und dem E-Mail von XXXX an den GWB der bfP vom 15.09.2017 (Beilage ./5)
Für die Entscheidung von keiner Relevanz war das erstmals in der mündlichen Verhandlung vor dem BVwG vorgelegte E-Mail des damaligen Vorstandes XXXX . Dieser brachte sowohl im Rahmen seiner Einvernahme vor der FMA als auch mit seinem späteren E-Mail an den Zeugen XXXX zum Ausdruck, dass er die geldwäscherechtlichen Prüfvorgänge und das bei der bfP implementierte System des Transaktionsmonitoring für unzureichend hielt und deswegen einen sofortigen "Transaktionsstopp für Risikokunden" verhängte.
Für sich betrachtet scheint dies den verfahrensgegenständlichen Vorwurf unzureichender Maßnahmen zur Vermeidung geldwäscherechtlicher Vorkehrungen, insb bei Hochrisikokunden, durchaus zu stützen. Bei der rechtlichen Würdigung dieses Beweismittel war aber zu berücksichtigen, dass dieses möglicherweise auch in Zusammenhang mit einem zwischen der bfP und Herrn XXXX laufenden, bzw zum damaligen Zeitpunkt bereits drohenden Rechtsstreit stehen könnte. Zudem brachten sowohl der Zeuge XXXX als auch der Zeuge XXXX ihr Unverständnis über den von Herrn XXXX verhängten Transaktionsstopp in glaubwürdiger Weise zum Ausdruck (VHS 16.10.2019, S. 31, 40).
Schließlich war für den erkennenden Senat das Vorgehen der belBeh idZ nicht nachvollziehbar. Denn obwohl der belBeh der gegenständliche E-Mail Verkehr (Beilage ./5) bzw die Ergebnisse der Einvernahme von XXXX (Beilage ./4) spätestens seit 18.04.2018 vorlag und im Rahmen der mündlichen Verhandlung vor dem BVwG am 16.10.2019 dessen Bedeutung hervorgehoben wurde, erwähnte die belBeh dieses Beweismittel im zugrundeliegenden Straferkenntnis vom 10.04.2019 mit keinem Wort und zog es auch nicht zur Begründung des hier zu prüfenden Vorwurfs unzureichender geldwäscherechtlicher Vorkehrungen im Straferkenntnis heran. Gerade dies wäre aber naheliegend gewesen und deutet darauf hin, dass die belBeh diesem Beweismittel offensichtlich selbst keine besondere Relevanz beimaß. Für die Beurteilung der Sach- und Rechtslage war dieses Beweismittel daher von keiner entscheidenden Relevanz.
2.9 Zu den Einvernahmen der zur Vertretung nach außen befugten Personen in der mündlichen Verhandlung am 16.01.2020
Die Stellung als Beschuldigter hat für den Verantwortlichen zur Folge, dass er nicht nur in einem allenfalls gegen ihn geführten Verfahren, sondern auch im Verfahren gegen die juristische Person, als Beschuldigter zu behandeln ist, andernfalls seine Parteirechte nicht gewahrt wären.
Sämtliche Personen, die im inkriminierten Zeitraum dem Vorstand der bfP angehörten, wurden an der jeweils im ZMR angeführten Adresse rechtswirksam und unter Belehrung sämtlicher rechtlicher Folgen und Konsequenzen eines Teilnahmeverzichtes geladen:
- XXXX teilte mit E-Mail vom 14.01.2020 mit, auf die Teilnahme an der für den 16.01.2020 anberaumten Verhandlung zu verzichten;
- XXXX hat die an die laut ZMR ladungsfähige Adresse zugestellte Ladung nicht behoben; die Ladung gilt als rechtswirksam zugestellt;
- XXXX nahm am 2.12.2019 beim BVwG Akteneinsicht und teilte danach am 30.12.2019 per E-Mail mit, auf eine Teilnahme an der Verhandlung am 16.01.2020 zu verzichten;
- XXXX teilte durch seinen anwaltlichen Vertreter mit Eingabe vom 25.11.2019 mit, auf seine Einvernahme zu verzichten;
- XXXX teilte mit E-Mail vom 21.11.2019 mit, die für den 16.01.2020 anberaumte Verhandlung nicht besuchen zu wollen, da er in der XXXX lebe und verzichtete insofern auf die Teilnahme an der Verhandlung;
- XXXX teilte mit E-Mail vom 05.01.2020 mit, auf die Teilnahme an der für den 16.01.2020 anberaumten Verhandlung zu verzichten.
2.10 Zu den gerichtlichen Aufträgen im Rahmen der mündlichen Verhandlung vor dem BVwG am 16.10.2019
2.10.1 Der bfP wurden im Rahmen der mündlichen Verhandlung am 16.10.2019 folgende Aufträge erteilt:
(i): In der Stellungnahme der XXXX an die FMA vom 06.06.2016 (ON 5, S 28) wird eine "Indizienliste" erwähnt. Diese wurde auch immer wieder angesprochen von den Parteien und Zeugen. Diese liegt dem Gericht nicht vor. Das waren die Kriterien, die im manuellen Monitoring Grundlage für die Prüfung waren.
(ii): Heute ist im Verfahren mehrfach die Frage gestellt worden, wann konkret der XXXX der Auftrag erteilt wurde, das neue System zu implementieren, gibt es einen Beschluss des Vorstandes, XXXX zu beauftragen.
(iii): ON 2, Beilage 2: Kontrollplan. Der Vorstand der Bank hat erwähnt, dass es hier Ergänzungen gibt und eine aktualisierte Version des Kontrollplans.
(iv): Nach dem Mail von Herrn XXXX (Beilage ./5) gab es eine Sitzung, über diese gab es ein Protokoll.
Indizienliste (Beilage ./9):
Die vorgelegte Indizienliste listet eine Reihe von Faktoren bzw Prüfkriterien auf, anhand derer bei der bfP die Geldwäscheprüfung vorgenommen wurde. Dabei wird ua auf den Wohnsitz des Kunden und der Frage, ob es sich dabei um ein Risikoland handelt, ob es Sanktionstreffer gibt, ob es sich um eine Überweisung von oder in ein Risikoland handelt, ob es sich um ein atypisches Zahlungsverhalten handelt ("Ausreißer"), ob es sich um einen Bestandskunden oder um "Laufkundschaft" handelt, ob es sich um Spareinlagen oder Termingeld, um Schaltergeschäfte oder um die vorzeitige Tilgung von Kreditverbindlichkeiten handelt, ob es einen PEP Bezug gibt oder ob ein spezielles Kunden oder Branchenrisiko vorliegt, eingegangen. Diese Prüfkriterien werden jeweils mit unterschiedlichen Schwellenwerten belegt.
Eine Prüfung geldwäscherelevanter Transaktionen konnte anhand dieser Prüfkriterien entsprechend den gesetzlichen Vorgaben nach Ansicht des Gerichtes nicht durchgeführt werden, zumal die auf diese Weise rein listenbasierte und eben nicht elektronisch vorgenommene Prüfung eine umfassende Prüfung geldwäscherelevanter Vorgänge nicht leisten konnte.
Umlaufbeschluss XXXX vom 08.06.2017 (Beilage ./10)
Aus dem Umlaufbeschluss der bfP vom 08.06.2017 ergibt sich, dass die bfP erst mit 08.06.2017 den Beschluss gefasst hat, das XXXX Transaktionsüberwachungssystem anzuschaffen. Das Projekt sah drei Phasen der Implementierung vor, die letztlich mit 27.10.2017 abgeschlossen werden sollte. Das System XXXX wurde schließlich einen Monat später, konkret am 29.11.2017 vollständig implementiert. Ausgehend vom Termin der VOP am 12.11.2015 war eine Beschlussfassung zur Implementierung des Systems XXXX erst am 08.06.2017 als verspätet anzusehen.
Sitzungsprotokoll XXXX vom 16.09.2017 (Beilage ./12)
Das Protokoll der Vorstandsitzung der bfP vom 16.09.2017 nimmt ua Bezug auf den von XXXX mit E-Mail vom15.09.2017 ausgesprochenen "Transaktionsstopp", der als "überschießend" bezeichnet wird, weil "einem Verdachtsmoment im konkreten Einzelfall "nachgegangen" werden müsse. Unter Berücksichtigung der nicht als entscheidungsrelevant beurteilten E-Mail von XXXX vom 15.09.2017 (Beilage ./5), mit dem ein Transaktionsstopp verhängt wurde, kommt auch dem Prot