Neue verstärkte Sorgfaltspflichten nach Abschnitt 4 der GWVO

Neue verstärkte Sorgfaltspflichten nach Abschnitt 4 der GWVO

(Section 4 AMLR – Enhanced Due Diligence)

Abschnitt 4 der Verordnung (EU) 2024/1624 (GWVO) ist keine Fortentwicklung der bisherigen verstärkten Sorgfaltspflichten (Enhanced Due Diligence, EDD). Er stellt einen strukturellen Neustart dar.

Erstmals behandelt das EU-Recht EDD nicht mehr primär als risikobasierte Option. Stattdessen definiert die GWVO verbindliche Eskalations-, Verbots-, Fortführungs- und Beendigungslogiken für ganze Kategorien von Kunden, Geschäftsbeziehungen und Transaktionen.

Abschnitt 4 regelt kollektiv:

  • wann EDD zwingend anzuwenden ist,
  • wer sie genehmigen muss,
  • wie lange sie gilt,
  • wann Geschäftsbeziehungen zu beenden sind,
  • welche Risiken nicht mehr der internen Ermessensausübung unterliegen.

Für Compliance-Manager und Geldwäschebeauftragte ist Abschnitt 4 der Punkt, an dem berufliche Verantwortung operativ überprüfbar wird.

Von der Risikoanalyse zur verpflichtenden Maßnahme

Das Ende reiner Ermessensspielräume

Unter früheren GW/TF-Regimen wurde EDD häufig wie folgt verstanden:

Anwendung bei erhöhtem Risiko.

Abschnitt 4 der GWVO durchbricht diese Logik grundlegend.

Hohes Risiko wird nun:

  • gesetzlich festgelegt (z. B. PEPs, Antragsteller von Residence-by-Investment-Programmen),
  • durch Unionsorgane vorgegeben (AMLA-Empfehlungen, Gegenmaßnahmen der Kommission),
  • durch Transaktionsmerkmale ausgelöst (komplex, ungewöhnlich hoch, ohne erkennbaren Zweck),
  • aus struktureller Exposition abgeleitet (Korrespondenzbankgeschäft, Kryptowerte-Flüsse, Self-Hosted Wallets).

Sobald ausgelöst, ist EDD nicht optional, nicht aufschiebbar und nicht durch mildere Kontrollen ersetzbar.

Was „neue EDD“ in der Praxis bedeutet

Verbindliche Eskalation und Governance

Abschnitt 4 verankert Governance fest in der GW/TF-Umsetzung:

Genehmigungen durch die Geschäftsleitung sind erforderlich bei:

  • PEP-Geschäftsbeziehungen und -Transaktionen,
  • der Fortführung bestimmter Hochrisiko-Beziehungen,
  • Korrespondenzbankbeziehungen.

Dokumentationspflichten bestehen zwingend für:

  • Onboarding-Entscheidungen,
  • Beendigungen,
  • Fortführungen trotz erhöhten Risikos.

Untätigkeit, Verzögerung oder informelle Duldung stellen Nicht-Compliance dar.

EDD ist kein isolierter Compliance-Prozess mehr. Sie ist eine Governance-Entscheidungskette.

Verbote ersetzen Risikominderung in zentralen Bereichen

Mehrere Risiken gelten nicht mehr als „beherrschbar“:

  • Shell-Institute: absolutes Verbot von Korrespondenzbeziehungen.
  • Bestimmte Drittstaatenrisiken: Gegenmaßnahmen können Einschränkung oder Beendigung erzwingen.
  • Defizitäre Respondenten-Institute: Regelerwartung ist Beendigung, sofern ausreichende Minderung nicht nachweisbar ist.

Damit entfällt eine klassische Verteidigungslinie:

„Wir haben das Risiko mitigiert.“

Unter Abschnitt 4 der GWVO müssen bestimmte Risiken vermieden, nicht verwaltet werden.

Ausweitung über den Kunden hinaus

Verstärkte Sorgfaltspflichten erstrecken sich nun ausdrücklich auf:

  • Korrespondenzinstitute (Banken und CASPs),
  • Qualität der Drittstaatenaufsicht,
  • Familienangehörige und nahestehende Personen von PEPs,
  • Versicherungsbegünstigte,
  • ehemalige PEPs (inkl. verpflichtender Abkühlphase),
  • Self-Hosted-Krypto-Adressen.

Compliance muss Netzwerke, Zahlungsflüsse und indirekten Zugang steuern – nicht nur einzelne Kunden.

Krypto-spezifische EDD ist kein Sonderfall mehr

Abschnitt 4 beendet die regulatorische Unschärfe im Kryptobereich:

  • CASPs unterliegen EDD-Pflichten analog zum Korrespondenzbankgeschäft.
  • Self-Hosted Wallets sind nicht verboten, müssen aber identifiziert, bewertet und mitigiert werden.
  • Reliance auf Drittparteien ist zu begründen und überprüfbar zu halten.
  • Sanktionsumgehungsrisiken sind explizit einbezogen.

Krypto-EDD ist keine „Best Practice“ mehr. Sie ist verbindliches Recht.

PEP-Risiko: Lebenszyklus statt Status

Die Artikel 42–46 GWVO gestalten den Umgang mit PEPs neu.

Zentrale Änderungen:

  • PEP-Status löst zwingend EDD und Management-Einbindung aus.
  • Amtliche EU- und nationale Listen definieren prominente öffentliche Funktionen.
  • Versicherungsbegünstigte sind ausdrücklich erfasst.
  • Ehemalige PEPs unterliegen mindestens 12 Monate lang EDD, häufig länger.
  • Familienangehörige und nahestehende Personen sind vollständig einbezogen.

Verschiebung: PEP-Risiko wird als dauerhafte Einfluss- und Nähegefahr verstanden, nicht als bloßes Flag.

Warum bestehende EDD-Frameworks Prüfungen nicht bestehen werden

Institute mit vor-GWVO-EDD-Architekturen zeigen typischerweise:

  • inkonsistente Eskalationslogik,
  • schwache Dokumentation von Fortführungsentscheidungen,
  • übermäßige Abhängigkeit von Screening-Anbietern ohne Rechtsabgleich,
  • fehlende Verbindung zwischen Risikoerkennung und Governance-Handeln,
  • keine Exit-Szenarien für erzwungene Beendigungen.

Unter Abschnitt 4 der GWVO sind dies keine Schwächen mehr, sondern klare Verstöße.

Aufsichtliche Prüfungen fokussieren sich auf:

  • Zeitpunkte,
  • Dokumentation,
  • Genehmigungsnachweise,
  • Entscheidungsbegründungen.

Was Compliance jetzt neu gestalten muss

Um unter Abschnitt 4 der GWVO prüfungssicher zu bleiben, müssen Institute:

  • EDD-Trigger von „Risikohinweisen“ auf gesetzliche Pflichten umstellen,
  • Geschäftsleitungsfreigaben in Workflows, nicht nur Richtlinien, verankern,
  • klare Fortführungs-/Beendigungslogik definieren,
  • den vollständigen PEP-Lebenszyklus operativ abbilden,
  • krypto-spezifische EDD inkl. Self-Hosted Wallets integrieren,
  • Reaktionspläne für AMLA-Empfehlungen und Gegenmaßnahmen vorbereiten,
  • prüfungsfeste Dokumentation jeder EDD-Entscheidung sicherstellen.

Dies ist kein IT-Projekt. Es ist eine Neugestaltung der Kontrollarchitektur.

Fazit: Abschnitt 4 GWVO als neuer Compliance-Stresstest

Abschnitt 4 der GWVO ist der Bereich, in dem Aufseher testen, ob GW/TF-Frameworks unter realem Druck funktionieren.

Nicht anhand abstrakter Risikoanalysen, sondern durch:

  • reale Kunden,
  • reale Zahlungen,
  • reale Beendigungen von Korrespondenzbeziehungen,
  • reale PEP-Konstellationen,
  • reale Krypto-Transaktionen.

Für Compliance-Manager und Geldwäschebeauftragte lautet die entscheidende Frage nicht mehr:

„Haben wir das Risiko bewertet?“

Sondern:

„Können wir nachweisen, dass wir genau so eskaliert, genehmigt, mitigiert oder beendet haben, wie es die Verordnung verlangt?“

Im neuen EDD-Regime ist Verteidigungsfähigkeit das eigentliche Produkt.

https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A52023XC00724

OJ_C_202300724_DE_TXTHerunterladen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert