Vorläufige Einigung über EU-Geldwäsche-Package
Der Rat und das Parlament haben am 17.1.2024 eine vorläufige Einigung über die EU-Geldwäsche-Verordnung ("AMLR") und die sechste EU-Geldwäsche-Richtlinie ("AMLD6") erzielt. Zudem wurde am 12.2.2024 nach einem Kompromiss in den Trilogverhandlungen auch die endgültige Fassung der Verordnung zur Errichtung der europäischen Behörde ("AMLA") zur Bekämpfung der Geldwäsche und Terrorismusfinanzierung ("AMLA-VO") veröffentlicht.
1. Der Rat und das Parlament haben am 17.1.2024 eine vorläufige Einigung über die EU-Geldwäsche-Verordnung (“AMLR”) und die sechste EU-Geldwäsche-Richtlinie (“AMLD6”) erzielt. Zudem wurde am 12.2.2024 nach einem Kompromiss in den Trilogverhandlungen auch die endgültige Fassung der Verordnung zur Errichtung der europäischen Behörde (“AMLA”) zur Bekämpfung der Geldwäsche und Terrorismusfinanzierung (“AMLA-VO”) veröffentlicht. Die Rechtsinstrumente sind Teil eines bereits 2021 auf den Weg gebrachten umfassenden Maßnahmen-Pakets der Europäischen Kommission zur Stärkung und besseren Durchsetzung der EU-Vorschriften zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung.
2.Mit der Einigung über eine Verordnung zur Bekämpfung der Geldwäsche sollen die entsprechenden Vorschriften erstmals EU-weit vollständig harmonisiert werden. Zwar gab es bisher bereits Richtlinien, allerdings wurden diese nach Ansicht der EU nicht einheitlich genug umgesetzt, wodurch eine Verordnung erforderlich wurde.
3. Die AMLA (Anti-Money Laundering Authority) ist als zentrale EU-Behörde das Kernstück des Legislativpakets. Die AMLA soll sowohl über direkte als auch indirekte umfangreiche Aufsichtsbefugnisse gegenüber verpflichteten Kredit- und Finanzinstituten, die ein hohes Risikoprofil aufweisen, verfügen. Beim Nicht-Finanzsektor soll die AMLA eine überwachende Funktion ausüben, indem sie Bedrohungen und Risiken der bestehenden Systeme bewertet und diesbezüglich festgestellte Schwachstellen dokumentiert und analysiert.
4.Darüber hinaus soll der AMLA die Aufgabe übertragen werden, nationale Aufsichtsbehörden bei der Wahrnehmung ihrer Aufgaben zu unterstützen sowie die Zusammenarbeit und Kommunikation zwischen den Verpflichteten und den jeweiligen Aufsichtsbehörden zu erleichtern. Mittlerweile wurde auch über den Sitz der AMLA in Frankfurt am Main entschieden. Dort soll die AMLA gegen Mitte des kommenden Jahres ihre Arbeit aufnehmen und im Jahr 2028 alle Kernaufgaben übernehmen.
6. Einer der wichtigsten Punkte der politischen Einigung ist die umstrittene Einführung einer Obergrenze für Barzahlungen in der Höhe von EUR 10.000,– in der AMLR, welche unter anderem auch für E-Geld-Anbieter und Zahlungsdienstleister zu beachten ist. Ausgenommen sind jedoch Zahlungen zwischen Privatpersonen.
7. Zudem unterliegen in Zukunft weitere Dienstleister den Geldwäschepräventionsvorgaben – etwa Anbieter von Krypto-Dienstleistungen, Crowdfunding-Dienstleister, Händler von Luxusgütern und Profifußballvereine sowie Spielervermittler. Auch für Geschäftsbeziehungen mit sogenannten “ultra-rich-individuals” (in den Erwägungsgründen der AMLR spricht man von Personen mit “EUR 50 000 000 total minimum wealth”) sollen künftig verstärkte Sorgfaltspflichtmaßnahmen gelten.Sowohl die AMLR als auch die AMLD6 müssen noch formal von Parlament und Rat beschlossen werden. Zu erwarten ist, dass das vollständige Regelwerk einschließlich technischer Standards bis Ende 2025 umzusetzen und ab 1.1.2026 anzuwenden ist.
8. Wann darf gegen ein Unternehmen eine Verwaltungsstrafe verhängt werden? Nach österreichischem Verwaltungsstrafrecht war die Antwort darauf lange einfach – nur dann, wenn auch natürliche Personen einen Verstoß gesetzt haben. Die europäische Datenschutz-Grundverordnung (“DSGVO”) sieht demgegenüber vor, dass die jeweils zuständigen nationalen Behörden gegen juristische Personen unmittelbar Geldstrafen verhängen können. In der Entscheidung vom 5.12.2023 (C-807/21 -“Deutsche Wohnen”) stellt der Europäische Gerichtshof (“EuGH”) in diesem Zusammenhang nun klar, dass nationale Vorschriften, die für die verwaltungsstrafrechtliche Verantwortlichkeit einer juristischen Person das Fehlverhalten einer zuvor identifizierten natürlichen Person voraussetzen, nicht mit dem Haftungsregime der DSGVO vereinbar sind.
9. Im Ausgangsfall drohte einer deutschen Immobiliengesellschaft wegen des datenschutzwidrigen Speicherns von personenbezogenen Daten der Mieterin eine Strafe in Millionenhöhe. Das Verfahren wurde jedoch vom Landesgericht Berlin im Jahr 2021 mit der Begründung eingestellt, dass der Bußgeldbescheid mangels Nachweises eines konkreten Verhaltens der Unternehmensverantwortlichen fehlerhaft war. Gleich wie die Rechtslage in Österreich setzt auch das deutsche Verwaltungsstrafgesetz für die Verbandsverantwortlichkeit ein tatbestandsmäßiges, rechtswidriges und schuldhaftes Verhalten einer vorab namentlich genannten natürlichen Person voraus, die der juristischen Person zuzurechnen ist.
10.Wie der EuGH jedoch nun klarstellt, hat der Unionsgesetzgeber im Bereich der DSGVO davon abweichende Haftungsvoraussetzungen vorgesehen: Alleinige Voraussetzung für die Haftung nach der DSGVO ist, dass die verantwortliche Person über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet – unabhängig davon, ob es sich dabei um eine natürliche oder eine juristische Person handelt. Dementsprechend dürfen die zuständigen Behörden auch unmittelbar gegen juristische Personen Geldbußen verhängen, sofern diese selbst als für die betreffende Datenverarbeitung “Verantwortliche Personen” zu qualifizieren sind. Das darüber hinausgehende Erfordernis der Zurechnung des Verstoßes einer zuvor identifizierten natürlichen Person berge das Risiko, die Wirksamkeit und abschreckende Wirkung von Geldbußen zu schwächen.
11. In Österreich widerspricht die aktuell geltende Rechtslage dem noch (vgl etwa § 30 Abs 1 DSG) – ob der Gesetzgeber hier noch nachzieht, ist derzeit noch unklar.
