BVwG W230 2138107-1

AVG §17 Abs1
B-VG Art.133 Abs4
BWG §1 Abs1
BWG §2 Z75
BWG §40 Abs1
BWG §40 Abs2a Z1
BWG §40 Abs2a Z3
BWG §40 Abs2e
BWG §40b Abs1 Z3 lita
BWG §40d
BWG §41 Abs4 Z1
BWG §98 Abs5a Z3
BWG §99d Abs2
BWG §99d Abs3
BWG §99d Abs4
BWG §99d Abs5
FMABG §22 Abs10
FMABG §22 Abs2a
FMABG §22 Abs8
FM-GwG §2
FM-GwG §23 Abs1
FM-GwG §34 Abs1 Z2
FM-GwG §35 Abs3
FM-GwG §38
FM-GwG §5 Z1
FM-GwG §6 Abs1 Z1
FM-GwG §6 Abs2
VStG 1950 §1 Abs2
VStG 1950 §19
VStG 1950 §30
VStG 1950 §31 Abs2
VStG 1950 §44a Z3
VStG 1950 §45
VStG 1950 §64 Abs2
VwGVG §43 Abs1
VwGVG §50

European Case Law Identifier: ECLI:AT:BVWG:2019:W230.2138107.1.00

Spruch:

W230 2138107-1/37E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch den Richter Mag. Philipp CEDE, LL.M., als Vorsitzenden und die Richterin Mag. Ulrike SCHERZ sowie den Richter Dr. Stefan KEZNICKL als Beisitzer über die Beschwerde der XXXX , vertreten durch Hausmaninger Kletter Rechtsanwälte Gesellschaft mbH, Franz-Josefs-Kai 3, 1010 Wien, gegen das Straferkenntnis der Finanzmarktaufsichtsbehörde vom 14.09.2016, Zl. XXXX , nach Durchführung einer mündlichen Verhandlung in einer Verwaltungsstrafsache nach dem Finanzmarkt-Geldwäschegesetz zu Recht erkannt:

I. Gemäß § 50 VwGVG wird die Beschwerde in der Schuldfrage abgewiesen und das Straferkenntnis in diesem Umfang bestätigt.

II. Gemäß § 50 VwGVG wird der Beschwerde in der Straffrage insoweit Folge gegeben, als in Abänderung des Strafausspruches (Kasten auf Seite 15 des Straferkenntnisses mit der Überschrift "Wegen dieser Verwaltungsübertretungen wird über Sie folgende Strafe verhängt")

1- die Strafe gemäß § 22 Abs. 8 FMABG einheitlich bemessen und in Anwendung des § 35 Abs. 3 erster Satz zweiter Fall Finanzmarkt-Geldwäschegesetz, BGBl I 118/2016 idF BGBl I 17/2018 (FM-GwG) die Geldstrafe mit insgesamt € 500.000, -- EUR festgesetzt wird,

2- wobei gemäß § 44a Z 3 VStG als "Strafdrohung ..., die die höchste Strafe androht" (§ 22 Abs. 8 letzter Satz FMABG) die für die Spruchpunkte 2.1., 2.2., 4.1., 4.2., 4.3., 4.4, 4.5., 5.1., 5.2., 5.3., 5.4., 5.5. und 6. des angefochtenen Straferkenntnisses anzuwendende Strafdrohung in § 34 Abs. 2 iVm. § 35 Abs. 3 erster Satz zweiter Fall FM-GwG herangezogen wird (und berücksichtigt wird, dass die für die Spruchpunkte 1., 3., 7., 8., 9. und 10. des angefochtenen Straferkenntnisses anzuwendende Strafdrohung des § 34 Abs. 1 iVm. § 35 Abs. 3 erster Satz erster Fall FM-GwG geringer ist).

III. Der Beitrag zu den Kosten des verwaltungsbehördlichen Verfahrens vor der belangten Behörde wird gemäß § 64 Abs. 2 VStG mit € 50.000 neu festgesetzt, das sind 10 % der nunmehr verhängten Geldstrafe.

Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig.

ENTSCHEIDUNGSGRÜNDE:

Inhaltsverzeichnis

I. Verfahrensgang: 4

II. Das Bundesverwaltungsgericht hat erwogen: 18

1. Feststellungen: 18

2. Beweiswürdigung: 60

Beweiswürdigung zu den einzelnen festgestellten Pflichtverletzungen 61

3. Rechtliche Beurteilung: 87

3.1. (Senats‑)Zuständigkeit 87

3.2. Anwendbare Rechtsnormen 88

3.2.1. Zu Spruchpunkt 1. (Vorwurf "keine geeignete aktuelle Risikoanalyse") 88

3.2.2. Zu den Spruchpunkten 2.1. und 2.2. ("Mangelnde Prüfung von Vertretungsbefugnissen der Organe juristischer Personen bzw. zeichnungsberechtigten Personen") 89

3.2.3. Zu Spruchpunkt 3. 94

3.2.4. Zu Spruchpunkten 4.1. bis 4.5. 96

3.2.5. Zu Spruchpunkt 5. 98

3.2.6. Zu Spruchpunkt 6. 99

3.2.7. Zu Spruchpunkt 7. 100

3.2.8. Zu Spruchpunkt 8. 103

3.2.9. Zu Spruchpunkt 9. 105

3.2.10. Zu Spruchpunkt 10. 106

3.2.11. Zur jeweils anwendbaren Strafnorm (Strafdrohung) und Strafbarkeit der juristischen Person: 107

3.2.12. Zu Verhängung einer "einzigen" Verwaltungsstrafe für mehrere Verwaltungsübertretungen 112

3.3. Allgemeine (alle Spruchpunkte treffende) Voraussetzungen des vorliegenden Straferkenntnisses 113

3.3.1. Zur Einhaltung verfahrensrechtlicher Fristen, deren

Überschreitung die Aufhebung oder Einstellung zur Folge hätte: 113

3.3.2. Verfassungs- und Unionsrechtskonformität der angewendeten

Strafnormen: 115

3.3.3. Zur behaupteten Aussetzungspflicht gem. § 30 VStG: 115

3.3.4. Zur behaupteten Verletzung des Rechts auf Akteneinsicht durch die belangte Behörde: 116

3.3.5. Zur behaupteten Rechtswidrigkeit wegen Unterbleiben einer Bestrafung/Verfolgung der vertretungsbefugten Organe (hier: Vorstände): 119

3.3.6. Zur behaupteten Nichtfeststellung von relevantem Sachverhalt (S. 11-12 der Beschwerde): 126

3.3.7. Zur behaupteten "Rechtswidrigkeit der Berechnung der Strafhöhe" 127

3.4. Zur objektiven Tatbestandsmäßigkeit der im Einzelnen vorgeworfenen Pflichtverletzungen: 132

3.4.1. Zu Spruchpunkt 1. des angefochtenen Straferkenntnisses: 132

3.4.2. Zu Spruchpunkt 2. des angefochtenen Straferkenntnisses: 134

3.4.3. Zu Spruchpunkt 3. des angefochtenen Straferkenntnisses: 135

3.4.4. Zu Spruchpunkt 4.1-4.5. des angefochtenen Straferkenntnisses:

137

3.4.5. Zu Spruchpunkt 5.1.-5.5. des angefochtenen Straferkenntnisses: 140

3.4.6. Zu Spruchpunkt 6. des angefochtenen Straferkenntnisses: 145

3.4.7. Zu Spruchpunkt 7. des angefochtenen Straferkenntnisses: 146

3.4.8. Zu Spruchpunkt 8. des angefochtenen Straferkenntnisses: 147

3.4.9. Zu Spruchpunkt 9. des angefochtenen Straferkenntnisses: 147

3.4.10. Zu Spruchpunkt 10. des angefochtenen Straferkenntnisses: 147

3.5. Objektive und subjektive Zurechnung der Pflichtverletzungen zur juristischen Person 148

3.6. Zur Strafbemessung: 150

Zu B) Zulässigkeit der Revision: 155

I. Verfahrensgang:

1. Im Spruch des angefochtenen Straferkenntnisses vom 14.09.2016 legte die Finanzmarktaufsichtsbehörde (im Folgenden FMA bzw. belangte Behörde) der beschwerdeführenden Gesellschaft Folgendes zur Last:

"Die XXXX (künftig XXXX) ist ein konzessioniertes Kreditinstitut gemäß § 1 Abs. 1 Bankwesengesetz (BWG) mit der Geschäftsanschrift

XXXX.

Im Hinblick auf die in § 99d BWG vorgesehene Möglichkeit der Verhängung von Geldstrafen gegen die XXXX als juristische Person hat die XXXX ab 01.01.2014 zu verantworten, dass die XXXX die im Anschluss unter den Punkten 1. bis 10. konkret beschriebenen Verletzungen von Bestimmungen zur Prävention von Geldwäscherei und Terrorismusfinanzierung begangen hat, da mangelnde Überwachung und Kontrolle gemäß § 99d Abs. 2 BWG durch XXXX und XXXX, beide in den jeweiligen Tatzeiträumen zur Vertretung der XXXX nach außen befugte Vorstände und damit Inhaber einer Führungsposition innerhalb der XXXX, die Begehung der unter den Punkten 1. bis 10. konkret beschriebenen Verletzungen durch die mit der Durchführung der Aufgaben befassten Mitarbeiter ermöglicht haben.

1. Zum Zeitpunkt der Vor-Ort-Prüfung der FMA (im Folgenden "VOP" 11.03.2013 bis 22.03.2013) war in der XXXX die "Risikoanalyse 2012", Stand 01.01.2013 in Geltung. In der Folge wurde der FMA mit Stellungnahme vom 04.11.2014 ein Entwurf der Risikoanalyse 2014 (Stand Entwurf 28.10.2014) übermittelt.

Diesbezüglich führt die XXXX in der Stellungnahme vom 04.11.2014 aus, dass die Risikoanalyse aufgrund einiger struktureller Umstellungen innerhalb der XXXX und der auch mit dem Wechsel in der Person des GWB einhergehenden Umstellung einiger Prozesse, die bis dato noch nicht abschließend erfolgt seien, in den kommenden Monaten noch verfeinert werde.

Eine finale Version der Risikoanalyse 2014 wurde der FMA nie übermittelt.

Mittlerweile wurde der FMA die Risikoanalyse 2015 (Version 0.6.) übermittelt, aus der ersichtlich ist (vgl. Versionenverzeichnis), dass es von der Risikoanalyse 2014 nur einen Entwurf, dh nie eine Finalversion gegeben hat. Die Risikoanalyse 2015 (final) datiert mit Stand 26.03.2015.

Eine Risikoanalyse 2014 wurde in der XXXX final nie implementiert.

In der Risikoanalyse 2012 hat die XXXX selbst festgehalten, dass eine Risikoanalyse auf Unternehmensebene auf jährlicher Basis durch den GWB der XXXX zu erstellen ist. Zudem seien die für die Risikoanalyse auf Kundenebene erstellten Risikoauswertungen auf jährlicher Basis zu erstellen und zu aktualisieren.

Auch im Anhang 1 der Risikoanalyse 2012 heißt es, dass Ziel der folgenden Analyse ist, die Geschäftstätigkeit der XXXX mindestens auf jährlicher Basis einerseits von der wirtschaftlichen Seite und andererseits mit Blickrichtung auf konkrete Gefahren hinsichtlich GW/TF zu durchleuchten und mit statistischen Daten zu belegen.

Dieses Erfordernis eines mindestens jährlichen Updates erklärt sich auch vor der von der XXXX im Anhang 1 selbst wie folgt beschriebenen Geschäftstätigkeit: ‚Die XXXX betreibt kein standardisiertes Massengeschäft, sondern ist durch das flexible Ausnützen sich bietender Geschäftsgelegenheiten, aber auch durch das stete Knüpfen neuer, ausgewählter Kundenkontakte, vorrangig mit der Betreuung und Abwicklung von Einzeltransaktionen befasst. Größtmögliche Flexibilität ist die Maxime bei der Geschäftsabwicklung.'

Es ist daher davon auszugehen, dass die XXXX selbst vor dem Hintergrund ihrer Geschäftstätigkeit es als erforderlich ansieht, die Risikoanalyse mindestens einem jährlichen Update zu unterziehen, um die Risikosituation der XXXX hinsichtlich GW/TF angemessen zu analysieren.

Wie beschrieben, lag in der XXXX die Risikoanalyse 2012 (mit Stand 01.01.2013) vor, die Risikoanalyse 2014 (Stand 28.10.2014) lag nur als nicht implementierter Entwurf vor; erst die Risikoanalyse 2015 wurde final implementiert.

Es hat daher die XXXX an ihrem Sitz entgegen § 40 Abs. 2b BWG von 01.01.2014 bis 25.03.2015 ihr Geschäft nicht anhand geeigneter Kriterien (insbesondere Produkte, Kunden, Komplexität der Transaktionen, Geschäft der Kunden, Geographie) einer Risikoanalyse betreffend ihres Risikos, für Zwecke der GW/TF missbraucht zu werden, unterzogen.

2. Anlässlich der Vor-Ort-Prüfung der FMA ("VOP" 11.03.2013 bis 22.03.2013) wurde als Testfall 8 die Kundin mit der Kundennummer

XXXX geprüft. Dabei handelt es sich um eine juristische Person (XXXX), die auf den Kaimaninseln domiziliert ist. Die Geschäftsbeziehung wurde im Jahr 2000 begründet. Die Kundin wurde in der Risikoklasse "4" (von 5) geführt. Per 02.04.2014 wurde die Geschäftsbeziehung beendet.

2.1. Zur Feststellung der Vertretungsbefugnis der Organe der juristischen Person hat die XXXX ein mit 13.03.1997 datiertes Schreiben herangezogen, aus dem hervorgeht, dass als "Director" wiederum eine juristische Person, domiziliert auf den Kaimaninseln ("The Director Ltd") eingesetzt wurde. Wer dieses (nicht apostillierte) Dokument aufgrund welcher Ermächtigungen unterzeichnet hat, ist (auch in Zusammenschau mit dem Dokument "Memorandum and Articles of Association" auf das das Schreiben Bezug nimmt), nicht nachvollziehbar. Die Identität der als "Director" eingesetzten juristischen Person wurde somit von der XXXX nicht festgestellt; zur "The Director Ltd" liegen der XXXX keine Unterlagen zur Identifizierung der Gesellschaft iSd § 40 Abs. 1 BWG vor, Unterlagen betreffend deren vertretungsbefugten Organe hat die XXXX nicht eingeholt und liegen ihr auch nicht vor. Es wurde weder die Identität der als "Director" eingesetzten juristischen Person ("The Director Ltd") durch Hereinholung von Unterlagen iSd § 40 Abs 1 BWG überprüft, noch erfolgte eine Identifizierung der für die juristische Person ("The Director Ltd") vertretungsbefugten natürlichen Personen durch Vorlage ihrer amtlichen Lichtbildausweise. Es ist aus dem Kundenakt auch nicht ersichtlich, wer diese vertretungsbefugten natürlichen Personen sind.

Es hat daher die XXXX an ihrem Sitz von jedenfalls 01.01.2014 bis zum Ende der Geschäftsbeziehung am 02.04.2014 unterlassen, die Identität der für die Kundin vertretungsbefugten (natürlichen) Personen festzustellen. Die XXXX hätte bis zum Ende der Geschäftsbeziehung jedenfalls auch Zweifel an der Angemessenheit bzw. Echtheit der vorliegenden Dokumente iSd § 40 Abs. 1 Z 5 BWG haben müssen und weitere Schritte zur Feststellung der Identität der für die Kundin vertretungsbefugten natürlichen Personen setzen müssen.

2.2. Weiters erfolgte in Bezug auf die Kundin mit der Kundennummer XXXX (Testfall 8, XXXX) die Prüfung der Vertretungsbefugnis des XXXX sowie der weiteren zeichnungsberechtigten Personen für die Kundin iSd § 40 Abs. 1 BWG von jedenfalls 01.01.2014 bis zum Ende der Geschäftsbeziehung am 02.04.2014 nicht:

Den der XXXX vorliegenden Kundenunterlagen liegen Unterschriftsprobenblätter bei; das aktuellste ist per 20.02.2013 datiert. Daraus ist ersichtlich, dass drei natürliche Personen auf dem Konto zeichnungsberechtigt sind (XXXX). Ein weiteres Unterschriftsprobenblatt ist mit 27.01.2012 datiert und weist XXXX und XXXX als Zeichnungsberechtigte aus. Ein weiteres Unterschriftsprobenblatt ist mit 23.01.2012 datiert und weist XXXX als Zeichnungsberechtigten aus. Ein weiteres Unterschriftsprobenblatt ist mit 10.10.2000 datiert und weist XXXX und XXXX als Zeichnungsberechtigte aus. Relevante Kontounterlagen (wie z.B. Kontoverträge, Unterschriftsproben, Abfrage der Treuhandschaft, Ermittlung des wirtschaftlichen Eigentümers, etc.) wurden durch XXXX gezeichnet.

Die XXXX hat die Vertretungsbefugnis dieser Personen nicht anhand geeigneter Bescheinigungen überprüft; diesbezügliche Unterlagen liegen der XXXX nicht vor.

Die XXXX hätte bis zum Ende der Geschäftsbeziehung jedenfalls auch Zweifel an der Angemessenheit bzw. Echtheit der vorliegenden Dokumente iSd § 40 Abs. 1 Z 5 BWG haben müssen und weitere Schritte zur Überprüfung der Vertretungsbefugnis anhand geeigneter Bescheinigungen setzen müssen.

3. Die XXXX hat an ihrem Sitz entgegen §§ 41 Abs. 4 Z 1 iVm 40 Abs. 2a Z 1 BWG jedenfalls von 20.05.2014 bis jedenfalls 27.10.2015 unterlassen, angemessene und geeignete Strategien und Verfahren zur Überprüfung der Identität des/r wirtschaftlichen Eigentümer(s) ihrer Kunden einzuführen, sodass sie davon überzeugt ist zu wissen, wer der/die wirtschaftliche(n) Eigentümer sind. Im Falle von juristischen Personen oder von Trusts schließt dies risikobasierte und angemessene Maßnahmen ein, um die Eigentums- und die Kontrollstruktur des Kunden zu verstehen.

Seit 20.05.2014 ist die Vorgehensweise zur Feststellung und Überprüfung des wirtschaftlichen Eigentümers in der AML-Policy Version 0.3 und seit 23.04.2015 in der AML-Policy Version 0.4 festgelegt.

Maßnahmen zur Überprüfung der Identität des wirtschaftlichen Eigentümers (dies schließt gem. § 40 Abs. 2a Z 1 BWG im Falle von juristischen Personen oder von Trusts risikobasierte und angemessene Maßnahmen ein, um die Eigentums- und die Kontrollstruktur des Kunden zu verstehen), in der XXXX auch als "Verifikation" bezeichnet, sind in der AML-Policy Version 0.3 auf Kunden der "Risikoklasse 3" und in der AML-Policy Version 0.4 auf Fälle eines "hohen Geldwäsche-Risikos" beschränkt. Dies ergibt sich überdies aus der "Risikoanalyse 2015", wonach die Verifikation in Bezug auf den wirtschaftlichen Eigentümer auf Kunden der Risikoklasse 3 beschränkt ist (vgl. Pkt. 5.1.4.2. - Maßnahmen auf Kundenebene). Durch diese Beschränkung der Maßnahmen zur Überprüfung der Identität des wirtschaftlichen Eigentümers auf Kunden der (höchsten) "Risikoklasse 3" bzw. auf Fälle eines "hohen Geldwäsche-Risikos" wurden in der XXXX keine angemessenen und geeigneten Strategien und Verfahren zur Überprüfung der Identität des/r wirtschaftlichen Eigentümer(s) eingeführt.

4. Hinsichtlich folgender Kunden, die alle im hohen Risiko eingestuft waren, hat die XXXX an ihrem Sitz entgegen §§ 40 Abs. 2a Z 1 iVm § 2 Z 75 BWG und hinsichtlich 4.1. und 4.2. und 4.4. iVm § 40 Abs. 2e BWG unterlassen, risikobasierte und angemessene Maßnahmen zur Überprüfung der Identität des wirtschaftlichen Eigentümers des Kunden zu ergreifen, sodass sie davon überzeugt war zu wissen, wer der wirtschaftliche Eigentümer dieses Kunden war:

4.1. von 01.01.2014 bis jedenfalls 19.05.2014 Testfall 1 "XXXX" (Kundennummer XXXX):

Bei diesem Kunden handelt es sich um eine juristische Person mit Sitz in Aruba. Die Geschäftsbeziehung zu diesem Kunden besteht seit 1989. Der Kunde wurde von der XXXX in die höchste Risikostufe "5" eingestuft.

Als wirtschaftlichen Eigentümer des Kunden hat die XXXX die natürliche Person Herrn XXXX (Nationalität: Uruguay) mittels dem Formular "Declaration of Beneficiary Owner" erhoben, das nicht datiert ist und von der vertretungsbefugten Person XXXX unterfertigt wurde. Gemäß Dokument "Überprüfungsliste - Kontoeröffnung & Know Your Client (KYC)" vom 15.01.2013 handelt es sich bei Herrn XXXX um eine politisch exponierte Person. Weitere der Überprüfung des wirtschaftlichen Eigentümers dienliche Unterlagen liegen der XXXX nicht vor. Nur eine Kopie des Reisepasses des Herrn XXXX liegt den Kundenunterlagen bei.

Besonders im Hinblick darauf, dass der Kunde in der XXXX als Hochrisikokunde geführt wird, kann die Hereinholung eines Schreibens, das die vertretungsbefugte Person der Gesellschaft selbst ausgestellt und gefertigt hat, nicht als risikobasierte und angemessene Maßnahme zur Überprüfung der Identität des wirtschaftlichen Eigentümers angesehen werden. Auch aus den der XXXX vorliegenden Firmenunterlagen geht der wirtschaftliche Eigentümer nicht hervor.

4.2. von 01.01.2014 bis 19.05.2014 Testfall 2 "XXXX" (Kundennummer XXXX):

Bei dem Kunden handelte es sich um eine Korrespondenzbank, für die die XXXX Lorokonten in den Währungen EUR, GBP, JPY und CHF unterhielt, welche gemäß Angaben der Abwicklung des Auslandszahlungsverkehrs der Korrespondenzbank dienten. Die Korrespondenzbank wurde in der Rechtsform "Limited" errichtet und ist auf St. Vincent und den Grenadinen domiziliert. Die Geschäftsbeziehung zu dieser Korrespondenzbank wurde durch die XXXX in die Risikoklasse "5" gestuft. Die Geschäftsbeziehung bestand seit 2004.

Die Identität des wirtschaftlichen Eigentümers des Kunden hat die XXXX anhand des Dokumentes "Declaration of Beneficiary Owner" vom 11.09.2012 erhoben. Aus diesem Dokument geht hervor, dass es sich bei der natürlichen Person Herrn XXXX (Kopie des Reisepasses liegt den Kundenunterlagen bei) um den wirtschaftlichen Eigentümer handle, da er 100 % an der XXXX. hielte, die wiederum 100% am XXXX hielte. Der XXXX sei wiederum 100%iger-Eigentümer der XXXX.

Die tatsächliche Kette des wirtschaftlichen Eigentümers des Kunden wurde durch die XXXX nicht geprüft. Insbesondere fehlt die angemessene Überprüfung der Eigentums- und Kontrollverhältnisse zwischen Herrn XXXX und der XXXX. sowie der Eigentums- und Kontrollverhältnisse zwischen der XXXX. und der XXXX.

Die XXXX konnte aufgrund der vorliegenden Informationen nicht überzeugt sein zu wissen, wer der wirtschaftliche Eigentümer der juristischen Person, bei der es sich darüber hinaus um einen Hochrisikokunden handelt, tatsächlich ist.

4.3. von 01.01.2014 bis 19.05.2014 Testfall 6 "XXXX." (Kundennummer XXXX):

Bei dieser Kundin handelt es sich um eine juristische Person mit Sitz in Panama. Die Geschäftsbeziehung zu dieser Kundin besteht seit 2012. Die Kundin wurde von der XXXX in die Risikostufe "4" eingestuft. Der Kredit an diese Kundin wurde im Zuge eines Back-to-back-Treuhandgeschäftes vergeben. Aus den Kundenunterlagen geht hervor, dass die Kundin auf eigene Rechnung handelt.

Die natürliche Person Herr XXXX wurde mittels des Formulars "Declaration of Beneficiary Owner" vom 23.03.2012 als wirtschaftlicher Eigentümer der Kundin erhoben. Herr XXXX ist auch vertretungsbefugte Person der Kundin und hat dieses Formular selbst unterschrieben.

Beweiskräftige Urkunden bzw. Unterlagen zur Überprüfung der Angaben zum wirtschaftlichen Eigentümer der Kundin liegen der XXXX nicht vor. Besonders im Hinblick darauf, dass der Kunde in der XXXX als Hochrisikokunde geführt wird, kann die Hereinholung eines Schreibens, das der (vermeintliche) wirtschaftliche Eigentümer der Gesellschaft selbst ausgestellt und gefertigt hat, nicht als risikobasierte und angemessene Maßnahme zur Überprüfung der Identität des wirtschaftlichen Eigentümers erachtet werden. Auch aus den der XXXX vorliegenden Firmenunterlagen geht der wirtschaftliche Eigentümer nicht hervor.

4.4. von 01.01.2014 bis 02.04.2014 Testfall 8 "XXXX" (Kundennummer XXXX):

Bei der Kundin handelt es sich um eine juristische Person, die auf den Kaimaninseln domiziliert ist. Die Geschäftsbeziehung wurde im Jahr 2000 begründet. Die Kundin wurde in der Risikoklasse "4" geführt.

Die Identität des wirtschaftlichen Eigentümers der Kundin hat die XXXX mittels des Dokuments "Feststellung des wirtschaftlich Berechtigten" (datiert per 23.01.2012 und durch Herrn XXXX gezeichnet) erhoben. Auf dem Dokument wurde angegeben, dass "der/die Antragsteller allein an den Vermögenswerten wirtschaftlich berechtigt ist/sind". Als Antragsteller wurde die juristische Person (die Kundin) angeführt. Diesbezüglich ist festzuhalten, dass wirtschaftliche Eigentümer im Sinne der §§ 40 ff gemäß § 2 Z 74 BWG die natürlichen Personen sind, in deren Eigentum oder unter deren Kontrolle der Kunde letztlich steht. Die Feststellung und Überprüfung der natürlichen Person, unter deren Kontrolle die juristische Person letztlich steht, erfolgte nicht.

Des Weiteren liegt der XXXX das Dokument "Certificate No. 003" vor, auf dem angegeben wurde, dass XXXX Anteilseigner von 99 "Ordinary Shares" ist. Das Dokument enthält keine Apostille und wurde per 13.03.1997, also rund drei Jahre vor Begründung der Geschäftsbeziehung, datiert. Aus dem Dokument "Memorandum of Association" vom 13.03.1997 geht hervor, dass sich das Kapital der Gesellschaft auf USD 50.000 beläuft, bestehend aus 50.000 Aktien ("Ordinary Shares") zum Nennwert von je USD 1.

Diesbezüglich hat die XXXX keine risikobasierten und angemessenen Maßnahmen zur Überprüfung der Identität des wirtschaftlichen Eigentümers der Kundin ergriffen. Eine juristische Person kann nicht wirtschaftlicher Eigentümer iSd § 2 Z 75 BWG sein. Es liegen der XXXX keine der Feststellung sowie Überprüfung der Identität des wirtschaftlichen Eigentümers dienlichen beweiskräftigen Urkunden bzw. Unterlagen vor. Es kann ein Dokument, das zum Zeitpunkt der Feststellung des wirtschaftlichen Eigentümers einer juristischen Person bereits 15 Jahre alt ist (das Formular "Feststellung des wirtschaftlich Berechtigten" wurde per 23.01.2012 datiert, das der Verifizierung des wirtschaftlichen Eigentümers dienliche Dokument "Certificate No. 003" wurde am 13.03.1997 also drei Jahre vor Begründung der Geschäftsbeziehung ausgestellt), nicht als beweiskräftige Urkunde angesehen werden. Aus den der XXXX vorliegenden Firmenunterlagen geht der wirtschaftliche Eigentümer nicht hervor.

4.5. von 01.01.2014 bis 15.12.2014 Kunde XXXX.

Die Geschäftsbeziehung zur Kundin wurde am 20.05.2013 eröffnet. Als wirtschaftliche Eigentümerin der Kundin "XXXX" wurde im Rahmen der Kontoeröffnung seitens der Kundin Frau XXXX namhaft gemacht. Die Kundin war bis 06.03.2014 (generelle Einführung von nur mehr 3 Risikostufen) in der Stufe 4 (von 5) und danach in der höchsten Stufe 3 eingestuft.

Gemäß "Certificate of Shareholders der XXXX." ist die XXXX mit Sitz auf den British Virgin Islands alleiniger Shareholder der Anteile der XXXX. Aus dem Dokument "Nominee Shareholder Declaration of Trust" geht das treuhändige Halten der Anteile an der XXXX durch eine weitere juristische Person, XXXX mit Sitz in Panama, für XXXX hervor. In Bezug auf diese Konstruktion hat die XXXX weder die Eigentumsverhältnisse der XXXX überprüft noch den diesbezüglichen Treuhandvertrag angefordert. Darüber hinaus weist das Dokument "Nominee Shareholder Declaration of Trust" keine Unterschrift der Frau XXXX auf. Zwar liegen der XXXX hinsichtlich der XXXX ein "Certificate of Incorporation" sowie ein "Certificate of Good Standing" vor, diese Dokumente geben allerdings keinerlei Aufschluss darüber, wer wirtschaftlicher Eigentümer der XXXX ist.

Die XXXX hat daher im oben genannten Zeitraum keine dem Risiko adäquaten Überprüfungshandlungen zur Identität der vermeintlichen wirtschaftlichen Eigentümerin gesetzt.

5. Hinsichtlich folgender Kunden, bei denen es sich allesamt um Fälle handelt, in denen ihrem Wesen nach ein erhöhtes Risiko der Geldwäscherei und Terrorismusfinanzierung besteht und die die XXXX daher alle im hohen/höchsten Risiko eingestuft hat, hat die XXXX an ihrem Sitz entgegen § 40b Abs. 1 erster Satz BWG

a. zusätzlich zu der Sorgfaltspflicht des § 40 Abs 2a Z 3 BWG auf risikoorientierter Grundlage keine weiteren angemessenen Sorgfaltspflichten im Sinne des Erfordernisses höherer Standards bei der Erlangung und Überprüfung der Informationen zu Zweck und Art der Geschäftsbeziehung einschließlich Herkunft der Geld- oder Finanzmittel angewendet

b. und die jeweiligen Geschäftsbeziehung auch keiner verstärkten kontinuierlichen Überwachung unterzogen:

(ad a) Die XXXX hätte betreffend Zweck und Art der Geschäftsbeziehung einschließlich der Herkunft der Geld- und Finanzmittel spätestens zu Beginn des Tatzeitraumes dem Risiko des jeweiligen Kunden angemessene Informationen einholen und dokumentieren müssen und die Richtigkeit dieser Informationen anhand beweiskräftiger Unterlagen überprüfen müssen. Die verstärkten Sorgfaltspflichten iSd § 40b Abs. 1 erster Satz BWG verlangen eine auf risikoorientierter Grundlage vorzunehmende Intensivierung der Maßnahmen zur Erlangung und Überprüfung der Informationen zu Zweck und Art der Geschäftsbeziehung einschließlich Herkunft der Geld- oder Finanzmittel und deren Dokumentation.

(ad b) Weiters hätte die XXXX auf risikoorientierter Grundlage eine stärkere, laufende und institutionalisierte Überwachung von Transaktionen dieser Kunden im Hochrisikobereich durchzuführen gehabt sowie die Transaktionen einer verstärkten Plausibilitätsprüfung unterziehen müssen.

5.1. Testfall 1: Kundennummer XXXX "XXXX": von 01.01.2014 bis 14.01.2015:

(ad a.) Ein KYC-Formular wurde am 15.01.2013 erstellt und enthält in Bezug auf Zweck und Art der Geschäftsbeziehung und hinsichtlich der Herkunft der Geld- oder Finanzmittel nur rudimentäre Informationen. In diesem KYC-Formular wurde lediglich angegeben, dass die XXXX in der Vermögensverwaltung tätig ist. Zweck des Kontos, zu erwartende Transaktionen und wichtige Geschäftspartner wurden hier nicht angegeben. Einzig zur Höhe der einzelnen Transaktionen wurde angegeben, dass diese mehr als 250.000 Euro betragen würden. Auch aus der übermittelten Satzung der Gesellschaft können keine Informationen zur konkreten Geschäftstätigkeit des Kunden abgeleitet werden. Das Feld bezüglich der Mittelherkunft ist im KYC-Formular nicht ausgefüllt. Auch sonst finden sich keine Unterlagen diesbezüglich im Kundenakt der XXXX.

Laut Vertreter der XXXX habe der Kunde im Jahr 1989 USD 5.000.000 eingebracht um diese Vermögenswerte bei der XXXX zu veranlagen. In den vergangenen Jahren wuchs das Vermögen an und verblieb in der XXXX. Ersichtlich ist, dass Vermögenswerte in Wertpapieren veranlagt wurden. Das Veranlagungsvermögen des Kunden lag per 12.03.2013 bei mehr als 50 Mio. EUR (Gesamtvermögen 58.474.270,77 EUR). Nachweise über die Geschäftstätigkeit des Kunden liegen nicht vor, die Herkunft der Geld- oder Finanzmittel konnte auch im Zuge der Vor-Ort-Prüfung der FMA durch die verantwortlichen Mitarbeiter nicht angegeben werden und lagen der XXXX bis jedenfalls 14.01.2015 diesbezügliche Informationen nicht vor.

(ad b.) Aufgrund der mangelnden Einholung, Überprüfung und Dokumentation von KYC-relevanten Dokumenten, Daten und Informationen zum Kunden konnte eine Prüfung, inwieweit die im Verlauf der Geschäftsbeziehung abgewickelten Transaktionen mit den Kenntnissen der XXXX über den Kunden, seine Geschäftstätigkeit und sein Risikoprofil, einschließlich erforderlichenfalls der Herkunft der Geld und Finanzmittel, kohärent sind, im Sinne einer verstärkten Überwachung der Hochrisiko-Geschäftsbeziehung nicht stattfinden und hat dementsprechend auch nicht stattgefunden.

5.2. Testfall 3: Kundennummer XXXX "XXXX": von 01.01.2014 bis jedenfalls 14.04.2015:

1 Bei dieser Kundin handelt es sich um eine ukrainische Staatsbürgerin mit Wohnsitz in der Ukraine. Die Geschäftsbeziehung zu dieser Kundin besteht seit 2011. Sie war bei der XXXX in der höchsten Risikostufe eingestuft. Die Kundin unterhält bei der XXXX vier Girokonten. Die Kundin hat angegeben, auf eigene Rechnung zu handeln.

(ad a.) Im Kundenakt befinden sich sowohl ein KYC-Formular (mit dem Hinweis Entwurf) vom 02.03.2011 und ein Update vom 01.02.2013 sowie Memos des Kundenberaters. Diese enthalten zwar Angaben zu Zweck und Art der Geschäftsbeziehung sowie Mittelherkunft, diese sind allerdings nicht dem hohen Risiko der Kundin angemessen und es finden sich auch keine beweiskräftigen Dokumente in den Kundenunterlagen der XXXX, die diese Angaben bestätigen würden.

Im Zuge der Vor-Ort-Prüfung wurde gegenüber der FMA angegeben, dass es sich um eine Unternehmerfamilie handle, die in der Ukraine eines der größten Distributionsunternehmen mit ca. 700 Mitarbeiter führe. Die Vermögenswerte seien auf die Frau (Kundin) des Unternehmers übertragen worden, da die politische Situation in der Ukraine instabil sei. Auch würden die Konten für Zahlungen in USD genützt, da Zahlungen in Fremdwährungen in der Ukraine einer Genehmigung bedürfen. Das Unternehmen der Familie handle angabegemäß eine sehr große Produktpalette, welche u.a. aus Fruchtsaft, Bier, Kosmetikprodukten und Tabak bestehe. Der Kundenbetreuer der XXXX gab an, Lagerhallen des Unternehmens in der Ukraine besichtigt zu haben. Es finden sich keine Dokumente in den vorliegenden Unterlagen, die diese Angaben bestätigen würden.

5.3. Testfall 8: Kundennummer XXXX "XXXX": von 01.01.2014 bis 02.04.2014:

2 Bei der Kundin handelt es sich um eine juristische Person, die auf den Kaimaninseln domiziliert ist. Die Geschäftsbeziehung wurde im Jahr 2000 begründet. Die Kundin wurde in der Risikoklasse "4" geführt und unterhielt ein Girokonto bei der XXXX. Aus dem Dokument "Offenlegung eines Treuhandverhältnisses" geht hervor, dass die Geschäftsbeziehung nach den Kundenangaben auf eigene Rechnung betrieben wurde.

(ad a.) Ein nicht datierter, nicht unterzeichneter Entwurf eines KYC-Formulars liegt den Unterlagen der XXXX über den Kunden bei. Als Kontoinhaber wurde XXXX angegeben, obwohl das Konto für die Gesellschaft XXXX eröffnet wurde. Zu Zweck und Art der Geschäftsbeziehung gibt es wenige Angaben. Unter der Rubrik "Details zum Geschäftsmodell" ist nichts ausgefüllt. Unter der Rubrik "Angaben zum Gesamtvermögen" ist "keine Angaben" angekreuzt. Ebenso ist unter der Rubrik "Jährl. Bruttoumsatz" das Feld "keine Angaben" angekreuzt. Weiters ist angegeben, dass das Unternehmen auch nicht vom Kundenberater besucht worden sei. Vermerkt ist, dass die Einzeltransaktionen zwischen 50.000 bis 250.000 Euro betragen würden. Weitere Recherchen zum Kunden wurden erst im Zuge der VOP der FMA nur auf Anfragen der Prüfer mündlich beim Kunden eingeholt bzw. findet sich ein (nicht datiertes) Memo der damaligen Geldwäschebeauftragten sowie einige Internet-Recherchen im Akt. Aus den Recherchen der XXXX geht hervor, dass der vermeintliche wirtschaftliche Eigentümer (XXXX) Investor in der Immobilienbranche sei und sich verantwortlich für das neue XXXX zeichne. Auch die Investitionen in einen XXXX in XXXX und XXXX werden genannt und eine Leasingrechnung über einen XXXX am XXXX XXXX beigelegt. Um Informationen zu Zweck und Art der Geschäftsbeziehung zur XXXX bzw. Herkunft der Mittel handelt es sich dabei nicht. Weitere Unterlagen zu diesen Unternehmen liegen nicht vor.

(ad b) Aufgrund der mangelnden Einholung, Überprüfung und Dokumentation von KYC-relevanten Dokumenten, Daten und Informationen zum Kunden konnte eine Prüfung, inwieweit die im Verlauf der Geschäftsbeziehung abgewickelten Transaktionen mit den Kenntnissen der XXXX über den Kunden, seine Geschäftstätigkeit und sein Risikoprofil, einschließlich erforderlichenfalls der Herkunft der Geld und Finanzmittel, kohärent sind, im Sinne einer verstärkten Überwachung der Hochrisiko-Geschäftsbeziehung nicht stattfinden und hat dementsprechend auch nicht stattgefunden.

Darüber hinaus stellen sich die Transaktionen wie folgt dar: Die Gesellschaft erhielt Gutschriften auf dem Girokonto, in Auftrag gegeben bei der XXXX durch eine juristische Person. Diese Vermögenswerte wurden nach Gutschrift bar behoben. Im Zeitraum 01.02.2012 bis 14.02.2013 belaufen sich die Gutschriften auf dem Konto auf EUR 241.289,86, während EUR 183.000 bar behoben wurden. Hinsichtlich dieses Transaktionsmusters wurde im Rahmen der Vor-Ort-Prüfung angegeben, dass der Kunde einen engen Freund in XXXX habe und mit diesem in XXXX einen XXXX errichte, es seien daher weitere Transaktionen aus XXXX zu erwarten. Hinsichtlich der Bartransaktionen gab der Kunde gemäß Ausführungen der XXXX an, dass er eine korrekte Versteuerung vornehme. Diesbezüglich ist festzuhalten, dass diese Informationen im Zuge der Vor-Ort-Prüfung durch die damalige Geldwäschebeauftragte nur auf Anfragen der Prüfer eingeholt wurden sowie, dass es seitens der XXXX nötig war, den Kunden zu kontaktieren und die Transaktionen zu hinterfragen, da der XXXX trotz Einstufung des Kunden in die Risikoklasse "4" keinerlei Informationen über den Kunden sowie sein Transaktionsverhalten vorlagen. Dies stellt keine verstärkte Überwachung eines Hochrisikokunden dar. Wofür im angegebenen Zusammenhang Bargeld benötigt wird, erklärt sich überdies auch aus den anlässlich der VOP eingeholten Angaben nicht.

5.4. Kunde Nr. XXXX ("XXXX") von 01.01.2014 bis 20.10.2014:

Die Kontoverbindung Nr. XXXXlautend auf die "XXXX" mit Firmensitz in XXXX, British Virgin Islands wurde am 28.01.2013 begründet. Die Kundin war in der Risikostufe 5 (von 5) bei Begründung der Geschäftsbeziehung eingestuft und wurde im März 2014 (generelle Reduktion der Risikoklassen von 5 auf 3 in der XXXX) in die höchste Risikoklasse 3 eingestuft.

(ad a.) Ein KYC-Formular, datiert mit 26.04.2013, liegt vor. Die Angaben im KYC-Formular insb. zu Zweck und Art der Geschäftsbeziehung sind allerdings nur rudimentär: Es liegen keine Angaben zu allfällige "licenses" und zu den "corporate characteristics and field of business" des Kunden vor. Ebenso fehlen gänzlich unternehmensspezifische Angaben zu "key financials" "key supplieres, licensors und business partners" "key customers". Weiters liegen keine Angaben zu den "discussed functions of the account" vor. Im Formular wird in Bezug auf die "main credit sources" zwar auf ein "Memo" verwiesen, auch dieses enthält allerdings nur rudimentäre Informationen: "the main source of income will come from Forex companies to whom they provide technological support and the outgoing money will be to some smaller companies with whom they cooperate in business activities".

Weiters wurde zwar im KYC-Formular die ungefähre Betragshöhen der geplanten Transaktionen angegeben (Einzeltransaktionen von ca. € 100.000 - € 200.000 bzw. insgesamt ca. € 3 Mio./Jahr), allerdings sind die sonstigen Angaben über die Kundin auch in Zusammenschau mit dem erwähnten "Memo" unbestimmt (zB. "technology support of all"; "the outgoing money will be to some smaller companies with whom they coorperate in business activities") und geben keinen Aufschluss darüber, woher die Gelder tatsächlich kommen, die über das gegenständliche Konto abgewickelt werden bzw. welche Geschäftstätigkeit der Kunde konkret ausübt.

(ad b) Aufgrund der mangelnden Einholung, Überprüfung und Dokumentation von KYC-relevanten Dokumenten, Daten und Informationen zum Kunden konnte eine Prüfung, inwieweit die im Verlauf der Geschäftsbeziehung abgewickelten Transaktionen mit den Kenntnissen über den Kunden, seine Geschäftstätigkeit und sein Risikoprofil, einschließlich erforderlichenfalls der Herkunft der Geld und Finanzmittel, kohärent sind, im Sinne einer verstärkten Überwachung der Hochrisiko-Geschäftsbeziehung nicht stattfinden und hat dementsprechend auch nicht stattgefunden.

Erst im September 2014 hat die XXXX weitere Informationen über die Kundin eingeholt bzw. (erstmals) eine "World-Check-Abfrage" der "XXXX" durchgeführt (datiert mit 29.09.2014) und festgestellt, dass "Warnungen diverser nationaler Aufsichtsbehörden vor diesem Unternehmen vorliegen". Diese Warnungen lagen zT bereits vor Begründung der gegenständlichen Geschäftsbeziehung vor, was aus der World-Check Abfrage selbst auch so hervorgeht ("Financial Services Warnings"). So hat die eine kanadische Finanzmarktaufsichtsbehörde "Autorité des Marchés Financiers" ("AMF") bereits am 17.05.2011 eine Warnung im Hinblick auf die Kundin ausgesprochen. Von einer verstärkten Überwachung eines Hochrisikokunden kann auch vor diesem Hintergrund nicht gesprochen werden.

Am 21.10.2014 erstattete die XXXX eine Meldung wegen des Verdachts bzw. berechtigten Grundes zur Annahme der Geldwäscherei betreffend den Kunden "XXXX" mit Firmensitz in XXXX, British Virgin Islands, an die Geldwäschemeldestelle des Bundeskriminalamtes (BK).

5.5. von 01.01.2014 bis 15.12.2014 Kunde Nr. XXXX ("XXXX"):

Am 20.05.2013 wurde die Geschäftsbeziehung zur Kundin XXXX (Konto Nr. XXXX) eröffnet. Die Kundin wurde zunächst in die Risikoklasse 4 (von 5) bzw. per März 2014 (generelle interne Reduktion auf 3 Risikoklassen) in die Risikoklasse 3 (von 3) eingestuft.

(ad a) Die Kundin wurde im Rahmen des Kontoeröffnungsprozesses in persönlichen Gesprächen über Art und Zweck der Geschäftsbeziehung befragt und hat angegeben, ein "current account" als Geschäftskonto in EUR und USD zu beantragen. Diese Informationen wurden auf dem KYC-Formular vermerkt (vgl. Angaben unter "initial contact"). Als "corporate characteristics and fields of business" wurden "financial support (loans)/worldwide" angegeben, des weiteren 4 russische Unternehmen als "business partners". Zu den "key financials" der Kundin wurde nichts angegeben. Die Mittelherkunft wurde mit "loans" angegeben.

Dass mehr Informationen über den Kunden vorgelegen wären, ergibt sich weder aus dem KYC-Formular, noch wurde dies von der XXXX in ihrer Stellungnahme vom 28.01.2015 behauptet. Es ist somit nicht erkennbar, welcher konkreten operativen Tätigkeit das Unternehmen nachgeht bzw. welche konkreten Transaktionen (Anzahl bzw. Höhe, Auftraggeber, Empfänger, Auftraggeberbank, Empfängerbank, Verwendungszweck, Beibringung von Geschäftsunterlagen bzw. Geschäftsabschlüssen etc.) geplant waren. Insbesondere fehlen Informationen über z.B. tatsächliche ausgeübte Geschäftstätigkeit, tatsächliche Vertragspartner, Verwendungszweck der "loans" sowie Darlegung der Tätigkeiten die im Rahmen des "financial supports" erbracht werden sollen.

(ad b) Aufgrund der mangelnden Einholung, Überprüfung und Dokumentation von KYC-relevanten Dokumenten, Daten und Informationen zum Kunden konnte eine Prüfung, inwieweit die im Verlauf der Geschäftsbeziehung abgewickelten Transaktionen mit den Kenntnissen über den Kunden, seine Geschäftstätigkeit und sein Risikoprofil, einschließlich erforderlichenfalls der Herkunft der Geld und Finanzmittel, kohärent sind, im Sinne einer verstärkten Überwachung der Hochrisiko-Geschäftsbeziehung nicht stattfinden und hat dementsprechend auch nicht stattgefunden.

Am 16.12.2014 erstattete die XXXX bezüglich dieser Kundin eine GW-Verdachtsmeldung, die damit begründet ist, dass im Rahmen eines generellen KYC-updates aufgefallen ist, dass die über die Konten gelaufenen Transaktionen nicht mit den im KYC angegebenen Informationen übereinstimmten. In dem nur etwas mehr als einem Jahr seit Eröffnung der Kontobeziehung erfolgte kein einziger Zahlungsfluss an ein im Zuge der Kontoeröffnung bekanntgegebenes Unternehmen. Es langten auch durchwegs Zahlungen von anderen als den zum damaligen Zeitpunkt angegebenen Unternehmen ein.

Aus der Umsatzliste zeigt sich vielmehr, dass bereits zu Beginn der Geschäftsbeziehung über gegenständliches Konto sehr hohe Transaktionen (z.B. am 28.06.2014 Eingang USD 32.247.294,93, Ausgang USD 20.315.795,81 sowie am 30.07.2013 Eingang USD 17.010.000,00, Ausgang USD 16.010.100,00) abgewickelt wurden.

Bis zur Erstattung der Verdachtsmeldung an die GW-Meldestelle wurden in Bezug auf das Transaktionsverhalten keine angemessenen Recherchen bzw. Prüfung auf Kohärenz vorgenommen. Von einer verstärkten Überwachung eines Hochrisikokunden kann auch vor diesem Hintergrund nicht gesprochen werden.

6. Die XXXX hat an ihrem Sitz entgegen § 40 Abs. 2a Z 3 zweiter Tatbestand BWG von 01.01.2014 bis 02.04.2014 beim Kunden Testfall 8 "XXXX" (Kundennummer XXXX) unterlassen, Gewähr zu leisten, dass die jeweiligen Dokumente, Daten und Informationen stets aktualisiert werden: Die Feststellung der Identität der juristischen Person erfolgte anhand der Dokumente "Memorandum of Association" sowie "Certificate of Incorporation" die per 13.03.1997 datiert wurden und nicht mit einer Apostille versehen sind. Aktuelle Firmenunterlagen, die das aktuelle Bestehen und die aktuelle Identität des Kunden belegen würden, liegen den Unterlagen der XXXX über den Kunden nicht bei.

7. Die XXXX hat an ihrem Sitz von 01.01.2014 bis jedenfalls 23.04.2015 entgegen § 40b Abs. 1 Z 3 lit. a iVm § 41 Abs. 4 Z 1 BWG über keine angemessenen, risikobasierten Verfahren verfügt, anhand derer bestimmt werden kann, ob es sich bei einer juristischen Person als bestehenden Kunden um eine politisch exponierte Person (PEP) handelt oder nicht:

Die Prüfung des Gesamtkundenbestandes gegen Sanktions- sowie PEP-Listen erfolgte monatlich durch das System "Siron-PEP-Embargo", das anlässlich der VOP von der FMA vorgefunden wurde. In diesem System hinterlegte Listen werden im Rahmen eines Wartungsvertrages durch die Firma "Tonbeller AG" wöchentlich aktualisiert.

Insbesondere die wirtschaftlichen Eigentümer einer juristischen Person als Kunde waren von dieser Prüfung nicht erfasst: Diese waren im Kernbankensystem nicht gespeichert und waren daher vom automatisierten Listenabgleich nicht umfasst; es wurden nur die Kundennamen (der "Kundenstamm") mit den Listen abgeglichen.

Die verpflichtende Überprüfung des PEP-Status insbesondere des wirtschaftlichen Eigentümers erfolgte gemäß Dienstanweisung KYC Prozess vom 01.02.2013 bei Kunden im erhöhten bzw. hohen Risiko (Risikoklassen 4 und 5 vor der generellen Reduktion der Risikoklassen von 5 auf 3 in der XXXX im März 2014) nur im Rahmen der jährlichen Aktualisierung der KYC-Dokumente bzw. allenfalls anlassbezogen. Bezüglich Kunden der Risikoklassen 1 bis 3 war in der Dienstanweisung KYC-Prozess vom 01.02.2013 kein Intervall zur Aktualisierung festgelegt. Gemäß Handbuch AML-Policy 0.3. (Datum 20.05.2014), bei der es nur mehr drei Risikoklassen gibt, erfolgt die verpflichtende Überprüfung des PEP-Status insbesondere des wirtschaftlichen Eigentümers bei Kunden der Risikoklasse 3 (hohes Risiko) jährlich bzw. - nicht näher definiert - "öfter auf Basis der individuellen Einschätzung des Kundenbetreuers in Abstimmung mit dem GWB", bei Kunden der Risikoklasse 2 alle 2 Jahre und bei Kunden der Risikoklasse 1 alle 3 Jahre. Diese von der XXXX im Tatzeitraum angewendeten Prüfintervalle sind nicht angemessenen und risikobasiert.

Folglich war auch die Einhaltung der verstärkten Sorgfaltspflichten gem. § 40b Abs. 1 Z 3 lit. c und d BWG hinsichtlich Geschäftsbeziehungen mit Bezug zu politisch exponierten Personen nicht sichergestellt.

8. Die XXXX hat an ihrem Sitz jedenfalls von 01.01.2014 bis 19.05.2014 entgegen §§ 41 Abs. 4 Z 1 iVm der Geldwäscherei- und Terrorismusfinanzierungsrisiko-Verordnung (GTV) unterlassen, in folgendem von der GTV erfassten Fall angemessene und geeignete Strategien und Verfahren für die Sorgfaltspflichten gegenüber Kunden einzuführen, um Transaktionen, die mit Geldwäscherei oder Terrorismusfinanzierung zusammenhängen, vorzubeugen und zu verhindern:

In der GTV werden Staaten, in denen jedenfalls ein erhöhtes Risiko der Geldwäscherei oder Terrorismusfinanzierung besteht, jeweils einzeln aufgezählt, und normiert, dass ein erhöhtes Risiko von GW/TF vorliegt, auch wenn der Fall vorliegt, dass eine Person, zu der der Kunde eine wesentliche Geschäftsbeziehung unterhält, in diesen Ländern Sitz oder Wohnsitz hat. U.a. für diesen Fall müssen verstärkte Sorgfaltspflichten angewendet und die Geschäftsbeziehung einer verstärkten kontinuierlichen Überwachung unerzogen werden. Dies war durch die XXXX mangels Dienstanweisungen im Tatzeitraum nicht sicherstellt, diesbezügliche Anweisungen finden sich jedenfalls nicht in der Dienstanweisung KCY-Prozess mit Datum 01.02.2013.

9. Die XXXX hat an ihrem Sitz jedenfalls von 01.01.2014 bis jedenfalls 19.05.2014 entgegen § 40d Abs. 1 iVm § 41 Abs. 4 Z 1 BWG unterlassen, angemessene und geeignete Strategien und Verfahren für die Gewährleistung der Einhaltung des § 40d Abs. 1 BGW einzuführen. Durch die einschlägige Dienstanweisung KCY-Prozess (galt von 01.02.2013 bis 19.05.2014) und durch das im Tatzeitraum geltende "Questionnaire Correspondent Banking" war nicht gewährleistet, dass die Aufnahme oder Fortführung einer Korrespondenzbankbeziehung mit einer Bank-Mantelgesellschaft (shell bank) gemäß § 2 Z 74 BWG unterlassen wird, und gab es auch sonst keine Dienstanweisung dazu.

10. Die XXXX hat an ihrem Sitz von 01.01.2014 bis jedenfalls 15.08.2014 entgegen § 41 Abs. 4 Z 1 iVm § 41 Abs. 4 Z 6 BWG unterlassen, einen besonderen Beauftragten (GWB) zur Bekämpfung von Geldwäscherei und Terrorismusfinanzierung vorzusehen, der die Einhaltung der §§ 40 ff BWG ausreichend sicherstellen konnte.

Angesichts der Art und des Umfanges der Aufgaben des GWB sowie des Umstandes, dass für den GWB im Tatzeitraum keine echte, sondern nur eine Abwesenheitsvertretung eingerichtet war, waren die Ressourcen, die in der XXXX für die Prävention von Geldwäscherei und Terrorismusfinanzierung eingesetzt waren (50 % der Arbeitszeit einer Person) nicht ausreichend. Dies auch vor dem Hintergrund des risikobehafteten Geschäftsmodells der XXXX (insbesondere "Treuhandfinanzierungen"), das sehr stark auf osteuropäische Kunden ausgerichtet war."

2. Mit formlosen Schreiben, die mit dem gleichen Datum wie das Straferkenntnis versehen waren (14.09.2016) teilte die belangte Behörde den Vorständen und der ehemaligen Geldwäschebeauftragten der beschwerdeführenden Gesellschaft mit, dass die gegen sie eingeleiteten Verwaltungsstrafverfahren gemäß § 99d Abs. 5 BWG eingestellt werden. Das Straferkenntnis wurde der beschwerdeführenden Gesellschaft am 15.09.2016 zugestellt, diese erhob dagegen eine am 13.10.2016 bei der belangten Behörde eingebrachte Beschwerde, welche dem Bundesverwaltungsgericht am 25.10.2016 zur Entscheidung vorgelegt wurde.

3. Mit Beschluss vom 21.11.2016, W230 2138107-1/5E, beantragte das Bundesverwaltungsgericht aus Anlass dieses Verfahrens beim Verfassungsgerichtshof die Aufhebung des § 99d BWG als verfassungswidrig. Die Einbringung dieses Beschlusses beim Verfassungsgerichtshof erfolgte am 23.11.2016 per ERV. Mit weiteren Beschlüssen beantragte es auch in anderen Senatsformationen aus Anlass weiterer, parallel anhängiger, Beschwerdeverfahren die Aufhebung des § 99d BWG (Beschlüsse vom 24.11.2016, W210 2138108-1, vom 22.12.2016, W148 2118633-1, und vom 23.12.2016, W107 2118633-2).

Mit Erkenntnis vom 13.12.2017, G 408/2016 u.a., wies der Verfassungsgerichtshof diese Anträge ab. Dieses Erkenntnis wurde dem Bundesverwaltungsgericht am 28.12.2017 zugestellt.

4. Am 11.04.2018 und am 04.06.2018 fand die mündliche Verhandlung der Beschwerdesache vor dem Bundesverwaltungsgericht statt. Ergänzend erfolgten schriftliche Äußerungen und Stellungnahmen der Verfahrensparteien. Im Zuge der mündlichen Verhandlung gaben die Parteien eine einvernehmliche Erklärung dazu ab, dass sie auf eine fortgesetzte Verhandlung zum Beweisthema der für die Strafbemessung relevanten Gesamtumsatzhöhe verzichten. Mit Verfügung vom 21.01.2019 gab das Gericht den Parteien rekapitulierend die im Verfahren bisher ermittelten (als Bemessungsgrundlage des Strafrahmens relevanten) Gesamtnettoumsätze der Muttergesellschaft der Jahre 2015-2017 bekannt und teilte ihnen mit, dass es auf dieser Grundlage für die Feststellung des (aktuell noch nicht ermittelbaren) Gesamtnettoumsatzes für 2018 im Wege einer Schätzung von einem Betrag von € 28.146.041,22 ausgehe. Die beschwerdeführende Partei teilte mit, dass sie sich gegen diesen Ansatz nicht ausspreche. Die belangte Behörde wandte hingegen ein, dass sich die Bemessungsgrundlage der Strafdrohung stets nach dem "letzten festgestellten" Jahresabschluss richtet, ein solcher liege zuletzt für 2017 (für 2018 aber noch nicht) vor, so dass der im Jahresabschluss 2017 festgestellte Gesamtnettoumsatz heranzuziehen sei.

II. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen:

Allgemeines zum Kreditinstitut

Die XXXX ("XXXX", auch: das KI, die BF) ist ein konzessioniertes Kreditinstitut gemäß § 1 Abs. 1 Bankwesengesetz (BWG) mit der XXXX. Das Kreditinstitut ist eine Kapitalgesellschaft, konkret eine Aktiengesellschaft. Die XXXX ist ein Tochterunternehmen der EU-Mutterfinanzholdinggesellschaft XXXX mit Sitz in XXXX.

Die BF verfügte in den Tatzeiträumen u.a. über eine Konzession zur Erbringung des Einlagen- und des Kreditgeschäfts.

Die BF verfügte in den Tatzeiträumen über zwei Vorstände: XXXX (Vorstand seit 28.12.2007) und XXXX (Vorstand seit 25.03.1999). Beide sind mittlerweile nicht mehr in dieser Funktion im Unternehmen tätig. Eine satzungsmäßige Aufteilung der Zuständigkeiten im Hinblick auf die Thematik der Geldwäscheprävention/Terrorismusfinanzierungsprävention bestand nicht. Der zweitgenannte Vorstand war nach der internen Praxis der hauptsächlich damit Befasste, während der Erstgenannte damit nur ganz allgemein bzw. im Zusammenhang mit der (hier nicht relevanten) IT-durchführungstechnischen Seite in Berührung kam.

Die XXXX bildet als übergeordnetes Kreditinstitut zwei Kreditinstitutsgruppen gemäß § 30 BWG:

1. die Kreditinstitutsgruppe "XXXX", welche die EU-Mutterfinanzholdinggesellschaft XXXX "XXXX", XXXX und ihre nachgeordneten Institute, darunter die XXXX, umfasst, sowie

2. die Kreditinstituts(sub)gruppe "XXXX", welche die XXXX und die ihr nachgeordneten Institute umfasst.

Der im konsolidierten Abschluss der Muttergesellschaft an der Spitze der Gruppe (das ist die "XXXX") ausgewiesene Gesamtnettoumsatz stellte sich in den bisher vorhandenen Abschlüssen wie folgt dar:

2015 € 31.354.948,30

2016 € 18.635.667,91

2017 € 30.767.251,66

Die Ertragslage der beschwerdeführenden Gesellschaft stellt sich laut dem Bericht über die Prüfung des Jahresabschlusses 2017 wie folgt dar:

Bild kann nicht dargestellt werden

Bei der XXXX handelt es sich um eine Privatbank, die XXXX gegründet wurde und bis heute in Privathand gehalten wird. Traditionell ist die XXXX stark auf die Märkte Osteuropas ausgerichtet. Ihre Zielmärkte sind u.a. Österreich und dessen Nachbarländer, CEE, GUS, Russland, Latein- und Mittelamerika sowie die Türkei. Der Gesamtkundenbestand betrug zum Prüfungszeitpunkt (11.03.2013 bis 22.03.2013) rd. 30.000 Kunden. Davon handelt es sich angabegemäß jedoch nur bei 2.000 um tatsächlich aktive Kunden, bei den anderen Kunden handelt es sich um Geschäftsbeziehungen, deren Gegenstand Sparpläne sind, die in der Form nicht mehr angeboten werden. Die Bank ist schwerpunktmäßig in den Geschäftsfeldern "Corporate & Investment Banking", "Corporate & Bank Client Relations" sowie "Customer Relations & Asset Management" tätig. Das Treuhandfinanzierungsgeschäft hat aufgrund der verstärkten Nachfrage aus Osteuropa stark zugenommen (ON 04, Seite 8).

Die XXXX selbst beschrieb ihre Geschäftstätigkeit 2012 wie folgt (vgl. Seite 19 von ON 12):

Bild kann nicht dargestellt werden

Es ist kein Anhaltspunkt ersichtlich, dass sich diese Art der Geschäftstätigkeit seitdem geändert hat.

Die XXXX unterhielt per 30.06.2015 gesamt 20.187 Geschäftsbeziehungen. Allerdings wurde sowohl im Rahmen der Vor-Ort-Prüfung der FMA (im Zeitraum vom 11.03.2013 bis 22.03.2013, Prüfbericht ON 04) sowie im Rahmen der Stellungnahme der XXXX vom 31.07.2015 (ON 58) angegeben, dass ca. 18.000 Geschäftsbeziehungen inaktiv seien.

Betrachtet man die Kundenstruktur in Relation zu den Kunden, die gemäß Angaben der XXXX tatsächlich aktiv sind (vgl. auch die Stellungnahme der XXXX vom 19.11.2015, ON 59), so zeichnete sich (per 30.06.2015) folgendes Bild (diese Zahlen ergeben sich aufgrund der Eingabe der XXXX im Rahmen des Risikoklassifizierungstools der FMA im Jahr 2015; ON 63):

493 Kunden sind in Offshore Destinationen domiziliert;

30 Kunden sind in Ländern domiziliert, welche auf der grauen Liste der Financial Action Task Force (FATF) gelistet sind;

122 Kunden sind politisch exponierte Personen.

Bei der grauen Liste der FATF handelt es sich um eine von 2 Länderlisten, die von der FATF geführt werden. Unterschieden werden das "Public Statement" (gemeinhin auch als "schwarze Liste" bezeichnet) sowie die Liste "Improving Global AML/CFT Compliance" (auch als "graue Liste" bekannt). In der "schwarze Liste" identifiziert die FATF Staaten, die schwerwiegende strategische Mängel in der Bekämpfung der Geldwäscherei und Terrorismusfinanzierung aufweisen und fordert alle anderen Staaten dazu auf, gegenüber diesen Staaten Gegenmaßnahmen zu ergreifen, um das internationale Finanzsystem von Geldwäscherei und Terrorismusfinanzierung zu schützen. Bei der "grauen Liste" handelt es sich um eine Auflistung jener Staaten, die zwar nach Auffassung der FATF ebenfalls strategische Mängel in der Bekämpfung der Geldwäscherei und Terrorismusfinanzierung aufweisen, jedoch in Abstimmung mit der FATF einen konkreten Aktionsplan zur Behebung der identifizierten Mängel erarbeitet haben. Im Gegensatz zur "schwarzen Liste" wird bei der "grauen Liste" die Staatengemeinschaft seitens der FATF nicht explizit zur Ergreifung von Gegenmaßnahmen aufgefordert. Jedoch ist international anerkannt, dass sowohl bei den in der "grauen" als auch in der "schwarzen Liste" aufgelisteten Staaten, aufgrund der festgestellten Defizite bei der Bekämpfung Geldwäscherei und Terrorismusfinanzierung, jedenfalls vom Vorliegen eines erhöhten Risikos auszugehen ist.

Die XXXX unterhält gemäß ihrer Stellungnahme zum Stichtag 12.04.2016 gesamt 304 Geschäftsbeziehungen zu Kunden in Offshore-Destinationen (ON 60). Diese teilen sich wie folgt auf (ON 60, Stellungnahme zum Stichtag 12.04.2016):

Bild kann nicht dargestellt werden

Besonders exponiert, um für die Zwecke der Geldwäscherei missbraucht zu werden, ist die XXXX auch durch den auf dem österreichischen Bankenmarkt außergewöhnlich großen Anteil an Einlagen sowie Aushaftungen, die im Zusammenhang mit einem Back-to-Back-Treuhandgeschäftsmodell stehen. Per 30.06.2015 waren 34 % des Einlagenportfolios sowie 59 % des Kreditportfolios einem so genannten Back-to-Back Treuhandgeschäftsfall zuzuordnen (diese Zahlen ergeben sich aufgrund der Eingabe der XXXX im Rahmen des Risikoklassifizierungstools der FMA im Jahr 2015 ON 63). Unter einem Back-to-Back Treuhandgeschäftsmodell versteht man die Vergabe von barbesicherten Krediten ("Back-to-Back") auftrags eines Treugebers an einen Kreditnehmer. Die Kredite an den jeweiligen Kreditnehmer/Schuldner wurden im Namen der XXXX, aber auf Rechnung des Treugebers vergeben (ON 66, Seite 1).

Gefragt nach den Gründen für diese "Umwegskonstruktion" (warum vergibt das Treugeber-KI den Kredit nicht direkt an den Kreditnehmer und bedient sich stattdessen der XXXX als Treuhänder?) führt die XXXX aus, dass die Abwicklung in Form eines Treuhandkredites grundsätzlich auf Wunsch des Kunden (Treugeber) erfolge. Die Kunden (Treugeber) würden folgende Gründe nennen: Rechtswahl, Repatriierungen, Wahrung der Privatsphäre, Bezug zu Österreich/EU, Inanspruchnahme eines günstigen Zinsgefälles in Österreich gegenüber Drittstaaten (ON 66, Seite 2 und 3).

Die Vorteile für die XXXX bei dieser Abwicklung würden angabegemäß darin liegen, dass diese Ausleihungen nicht mit Eigenmittel zu unterlegen seien und darüber hinaus kein Adressenausfallsrisiko bestehe. Weiters seien die Margen/Provisionen im Auslandsgeschäft deutlich höher als bei vergleichbaren barbesicherten Finanzierungen im Inland. Die XXXX führt auch aus, dass sie bei diesen Treuhandfinanzierungen kein (Ausfalls)Risiko (Kreditrisiko), sondern lediglich das Gestionsrisiko (OpRisk) trage, da die Kredite stets voll besichert seien (ON 66, Seite 1 bis 3).

Diese Tendenz zeigte sich u.a. bereits im Zuge der Vor-Ort-Prüfung 2013 der OeNB, im Rahmen derer festgestellt wurde, dass das Treuhandfinanzierungsgeschäft in der XXXX aufgrund verstärkter Nachfrage aus Osteuropa stark zugenommen hat. So generierte die XXXX zum 31.12.2012 50 % ihrer gesamten Betriebserträge aus dem Geschäftsmodell "Treuhandkreditgeschäft" (siehe OeNB-Vor-Ort-Prüfungsbericht 2013, ON 67 Rz 58).

Bild kann nicht dargestellt werden

In ihrer Stellungnahme vom 01.06.2015 (ON 61) führt die XXXX Folgendes aus:

Die Financial Action Task Force (infolge: FATF) geht von einem erhöhten Risiko aus, wenn von einem Kunden bzw. bei einer Transaktion zwischengeschaltete Unternehmensvehikel oder sonstige Strukturen verwendet werden, die ohne nachvollziehbare Begründung die Komplexität erhöhen oder zu Intransparenz führen.

Die Verwendung derartiger Treuhandkonstruktionen stellt, insbesondere aufgrund ihrer komplexen Strukturen und Eigentümer- bzw. Kontrollverhältnisse, zumeist unter Zuhilfenahme von zwischengeschalteten "Offshore"-Unternehmen, die den wirtschaftlichen Eigentümer (wE) und die Eigentums- und Kontrollverhältnisse nicht klar erkennen lassen, ein erhöhtes Risiko der GW/TF dar. Zudem ist auch ein vernünftiger, nachvollziehbarer wirtschaftlicher Zweck einer derartig aufwendigen Konstruktion aus Einlagen - und Kreditgeschäft unter Zwischenschaltung der XXXX nicht erkennbar.

Bis 06.03.2014 gab es in der XXXX für die Einstufung der Kunden in Hinblick auf deren Geldwäscherei- und Terrorismusfinanzierungsrisiko fünf Risikoklassen, seitdem gibt es nur mehr drei Risikoklassen (ON 26, Seite 119).

Zur jüngeren Prüfungshistorie bei der XXXX bis zum Ende des Tatzeitraumes:

Die OeNB führte bei der XXXX im Zeitraum 27.10.2009 bis 22.01.2010 eine Vor-Ort-Prüfung zu den Prüffeldern Gesamtbankrisikosteuerung, Marktrisiko, Geschäftsbeziehungen mit XXXX, Kreditrisiko, Beteiligungsrisiko, Rechtsrisiko, Systeme und Kontrolleinrichtungen zur Bekämpfung von GW/TF sowie Interne Revision durch. Im Detail vgl. den OeNB-Vor-Ort-Prüfungsbericht 2010, ON 02, sowie die Stellungnahme der XXXX dazu (ON 03). Auch 2013 verfasste die OeNB einen Prüfbericht nach einer Vor-Ort-Prüfung (ON 67).

Im Zeitraum von 11.03.2013 bis 22.03.2013 führte die FMA bei der XXXX eine Vor-Ort-Prüfung im Bereich der Geldwäscherei- und Terrorismusfinanzierungsprävention gemäß § 3 Abs. 9 BWG durch, um sicherzustellen, dass die vom KI zugesicherte Behebung der durch die OeNB festgestellten Mängel tatsächlich erfolgte bzw. die im KI implementierten Systeme zur Prävention von GW/TF geeignet und angemessen sind. Im Detail vgl. Vor-Ort-Prüfungsbericht der FMA, ON 04, die Vollständigkeitserklärung ON 05 sowie die Stellungnahmen der XXXX dazu (ON 06).

Aufgrund behördlicher Wahrnehmungen der FMA u.a. im Zuge der Vor-Ort-Prüfung 2013, wonach das Treuhandfinanzierungsgeschäft in der XXXX aufgrund verstärkter Nachfrage aus Osteuropa stark zugenommen hat, führte die FMA im Jahr 2014 eine Schwerpunktprüfung der "Back-to-Back-Treuhandfinanzierungsgeschäfte" im Hinblick auf die Einhaltung der Sorgfaltspflichten gemäß §§ 40 ff BWG durch.

Aufgrund der Ergebnisse der stichprobenartigen Einzelfallprüfung der "Back-to-Back-Treuhandfinanzierungsgeschäfte" (Pkt. I.4.) beauftragte die FMA am 01.12.2014 gemäß § 70 Abs. 1 Z 2a BWG PwC mit der umfassenden Prüfung aller in der XXXX aktiven "Back-to-Back-Treuhandfinanzierungsgeschäfte" im Hinblick auf die Einhaltung der §§ 40 ff BWG der einzelnen Geschäftsfälle durch die XXXX sowie hinsichtlich der Plausibilität und Kohärenz der durch die Kunden getätigten Transaktionen. Im Detail vgl. PWC-Prüfbericht ON 27, Stellungnahme der XXXX dazu ON 33.

Feststellungen der KPMG Austria AG Wirtschaftsprüfungs- und Steuerberatungsgesellschaft 2013

Die Bankprüfer der XXXX im Jahr 2013, KPMG Austria AG Wirtschaftsprüfungs- und Steuerberatungsgesellschaft, halten in der Anlage zum Prüfbericht 2013 auf Seite 37 (ON 57) in Hinblick auf die mangelnde Prüftätigkeit der Internen Revision betreffend Sorgfaltspflichten zur Verhinderung von Geldwäscherei und Terrorismusfinanzierung unter anderem Folgendes fest:

"Im Zuge unserer Prüfung haben wir festgestellt, dass der Prüfplan für das Geschäftsjahr 2013 nicht vollständig erfüllt wurde und Prüfberichte zum Teil deutlich zeitverzögert nach Ende des Jahres erstellt wurden. Darüber hinaus besteht zum 31. Dezember 2013 kein Stellvertreter für die Leiterin der Internen Revision. Daraus sind Kapazitätsengpässe zu erkennen."

"Im Geschäftsjahr wurde die geplante Prüfung der Maßnahmen zur Bekämpfung von Geldwäscherei und Terrorismusfinanzierung nicht durchgeführt. Der letzte Prüfbericht gemäß § 42 Abs. 4 Z 3 BWG stammt aus 2012 und umfasste die Periode 1. Jänner 2011 bis 30. September 2012. Die Prüfung wurde auf das Geschäftsjahr 2014 verschoben [..]."

Auf weitere festgestellte Gesetzesverletzungen im Rahmen der Stichprobenziehung durch die Bankprüfer, insbesondere auf den sehr hohen Anteil von mangelhaften Testfällen, wird verwiesen (ON 57, Seite 35 und 36).

Gang des behördlichen Verwaltungsstrafverfahrens:

Mit Aufforderung zur Rechtfertigung vom 11.09.2015 wurde das Verwaltungsstrafverfahren eingeleitet. Die Aufforderung wurde am 14.09.2015 zugestellt (ON 36). Am 17.09.2015 erfolgte eine Einvernahme der ehemaligen Geldwäschebeauftragten der XXXX, Frau XXXX, in den Räumlichkeiten der FMA. Im Zuge dessen übergab die ehemalige Geldwäschebeauftragte auch e-mail Verkehr (Beilage 1 zu ON 38) und legte eine umfassende Aussage ab. Die Einvernahme erfolgte nicht förmlich als Zeugin unter Wahrheitspflicht (ON 38, Seite 2). Am 28.09.2015 nahm der Parteienvertreter Dr. Manfred Ketzer vollständige Einsicht in den damaligen Akt der FMA (ON 41). Mit 01.10.2015 rügte der Parteienvertreter Dr. Manfred Ketzer, dass er nicht zusätzlich elektronisch Akteneinsicht bekommen hat (ON 42). Mit 08.10.2015 teilte der Parteienvertreter Dr. Manfred Ketzer mit, dass "in Kenntnis der grob fehlerhaften Aussagen von Frau XXXX in ihrer Vernehmung vom 17.09.2015" eine diesbezüglich gesonderte Stellungnahme eingebracht würde (ON 44). Mit 27.10.2015 wurde eine Rechtfertigung eingebracht (ON 45). Nachdem der Parteienvertreter Dr. Manfred Ketzer mit 20.11.2015 noch einmal eine elektronische Akteneinsicht verlangte (ON 46) teilte ihm die FMA am 21.12.2015 mit, dass bereits Einsicht in die vollständigen Verfahrensakten gewährt worden ist und jederzeit nach Terminvereinbarung eine weitere Akteneinsicht möglich sei (ON 49). Obwohl wie ausgeführt dem Parteienvertreter vollständige Akteneinsicht gewährt und noch einmal angeboten wurde - wiederholte er mit ON 50 seinen Antrag auf elektronische Akteneinsicht.

Mit ON 51 erinnerte die FMA den Parteienvertreter an die Frist bis 17.02.2016 zur Abgabe der im Schriftsatz vom 08.10.2015 in Aussicht gestellten Stellungnahme. Mit ON 52 hielt der Parteienvertreter fest, dass er dazu wissen müsse, ob Frau XXXX Beschuldigte oder Zeugin sei. Er wurde im Folgenden darauf hingewiesen, dass Frau XXXX aufgrund der vorgelegten Bestellungsurkunde gemäß § 9 Abs. 2 VStG behandelt wird und noch einmal darauf hingewiesen, dass die FMA eine Stellungnahme bis 09.03.2016 einlangend erwarte (ON 53), worauf Parteienvertreter Dr. Manfred Ketzer um Fristerstreckung ersuchte (ON 54), die bis 23.03.2016 einlangend gewährt wurde (ON 55). Eine weitere Stellungnahme langte vor Bescheiderlassung nicht ein.

Zu den einzelnen Spruchpunkten

Zu Spruchpunkt 1.

Zum Zeitpunkt der VOP der FMA (11.03. bis 22.03.2013) war in der XXXX die "Risikoanalyse 2012", Stand 01.01.2013 (ON 12) in Geltung.

In der Folge wurde der FMA mit Stellungnahme vom 04.11.2014 (ON 09) ein Entwurf der Risikoanalyse 2014 (Stand Entwurf 28.10.2014) übermittelt (Beilage 1 zu ON 09). Diesbezüglich führte die XXXX in der Stellungnahme vom 04.11.2014 unter Pkt. 2 aus, dass die Risikoanalyse aufgrund einiger struktureller Umstellungen innerhalb der XXXX und der auch mit dem Wechsel in der Person des GWB einhergehenden Umstellung einiger Prozesse, die bis dato noch nicht abschließend erfolgt seien, in den kommenden Monaten noch verfeinert werde.

Weder der Entwurf noch eine finale Version der Risikoanalyse 2014 wurde in der XXXX implementiert (ON 45, Seite 6, erster Absatz). Auch seitens der Bankprüfer wurde in der Anlage zum Prüfungsbericht 2013 (ON 57, Seite 36) festgehalten: "Im Geschäftsjahr 2013 erfolgte keine Risikoanalyse gemäß § 40 Abs. 2b BWG. Die letzte umfassende Analyse fand im Geschäftsjahr 2012 statt."

Aus der Risikoanalyse 2015 (ON 15; Version 0.6.) ist ersichtlich (Seite 2; Versionenverzeichnis), dass es von der Risikoanalyse 2014 nur einen Entwurf, dh nie eine Finalversion gegeben hat. Diese Risikoanalyse 2015 (final) datiert mit Stand 26.03.2015 und enthält auf Seite 2 folgendes Versionenverzeichnis:

Bild kann nicht dargestellt werden

Eine (finale) Risikoanalyse 2014 hat es somit im KI nie gegeben. Dies ist im Einklang mit der Rechtfertigung (ON 45, Seite 6, erster Absatz), aus der sich ebenfalls ergibt, dass die Risikoanalyse 2012 bis zur Risikoanalyse 2015 in Anwendung war.

In der Risikoanalyse 2012 (ON 12) hat die XXXX festgehalten, dass eine Risikoanalyse auf Unternehmensebene auf jährlicher Basis durch den GWB der XXXX zu erstellen sei. Zudem seien die für die Risikoanalyse auf Kundenebene erstellten Risikoauswertungen (damit sind statistische Daten gemeint) auf jährlicher Basis zu erstellen und zu aktualisieren (Seite 5, vorletzter Absatz von ON 12).

Auch im Anhang 1 der Risikoanalyse 2012 heißt es gleich eingangs, dass Ziel der folgenden Analyse ist, die Geschäftstätigkeit der XXXX mindestens auf jährlicher Basis einerseits von der wirtschaftlichen Seite und andererseits mit Blickrichtung auf konkrete Gefahren hinsichtlich GW/TF zu durchleuchten und mit statistischen Daten zu belegen.

Auch in der Risikoanalyse 2015 (ON 15; Version 0.6.) wird im Einklang mit dieser Selbsteinschätzung ausgeführt, dass die Gefährdungsanalyse jährlich überprüft und aktualisiert wird (Seite 8).

Zu Spruchpunkt 2. (vgl. auch Spruchpunkt 4.4., 5.3. und 6.)

Bei der Kundin (Testfall 8) handelt es sich um eine juristische Person (XXXX), die auf den Kaimaninseln domiziliert ist. Die Geschäftsbeziehung wurde im Jahr 2000 begründet. Die Kundin wurde in der Risikoklasse "4" geführt. Die Geschäftsbeziehung wurde per 02.04.2014 beendet (ON 04, Rz 135).

Die Vertretungsbefugnis der Organe der juristischen Person wurde anhand eines Schreibens festgestellt, aus dem hervorgeht, dass als "Director" wiederum eine juristische Person, domiziliert auf den Kaimaninseln ("The Director Ltd") eingesetzt wurde (./ VIII/C/7). Wer dieses (nicht apostillierte) Dokument aufgrund welcher Ermächtigungen unterzeichnet hat, ist (auch in Zusammenschau mit dem Dokument "Memorandum and Articles of Association" (./ VIII/C/5) auf das das Schreiben Bezug nimmt), nicht nachvollziehbar. Die Identität der als "Director" eingesetzten juristischen Person wurde nicht anhand beweiskräftiger Urkunden festgestellt; zur "The Director Ltd" liegen keine Unterlagen zur Identifizierung der Gesellschaft vor, Unterlagen betreffend deren vertretungsbefugten Organe wurden nicht eingeholt und liegen nicht vor. Es wurde weder die Identität der als "Director" eingesetzten juristischen Person ("The Director Ltd") durch Hereinholung beweiskräftiger Unterlagen überprüft, noch erfolgte eine Identifizierung der für die juristische Person ("The Director Ltd") vertretungsbefugten natürlichen Personen durch Vorlage ihrer amtlichen Lichtbildausweise. Es ist aus dem Kundenakt auch nicht ersichtlich, wer diese vertretungsbefugten natürlichen Personen überhaupt sind und ob sie tatsächlich zur Vertretung befugt sind.

Den Kundenunterlagen liegen vier Unterschriftsprobenblätter bei (./ VIII/B/1, ./ VIII/B/3 ./ VIII/B/4, ./ VIII/B/6). Das Aktuellste wurde per 20.02.2013 datiert (./ VIII/B/1). Darauf ist ersichtlich, dass drei natürliche Personen auf dem Konto zeichnungsberechtigt sind (XXXX). Relevante Kontounterlagen (wie z.B. Kontoverträge, Unterschriftsproben, Abfrage der Treuhandschaft (./ VIII/B/2, Ermittlung des wirtschaftlichen Eigentümers, etc.) wurden durch eine dieser Personen (XXXX) gezeichnet. Unterlagen, die XXXX eine Vertretungsbefugnis bescheinigen, liegen nicht vor. Es ist daher festzuhalten, dass die Prüfung der Vertretungsbefugnis des XXXX sowie der weiteren zeichnungsberechtigten Personen nicht erfolgte.

Dies ergibt sich aus dem Prüfbericht ON 04, Rz 136, 137 und aus den Beilagen ./VIII.

In der Stellungnahme vom 06.09.2013 (ON 06, zu Rz 136) behauptet die XXXX, dass die Kundenunterlagen betreffend den Testfall bereits aktualisiert wurden und den Anweisungen gemäß laufend aktualisiert werden.

Entgegen diesen Ausführungen teilte die XXXX in der Stellungnahme vom 04.11.2014 (ON 09) bezugnehmend auf den Testfall 8 "XXXX" (Kundennummer XXXX) mit, dass das KI, aufgrund der Tatsache, dass es der XXXX nicht möglich gewesen sei, die Unterlagen und Informationen zu erhalten, die erforderlich waren, um den gesetzlichen Sorgfaltspflichten in diesem Fall nachzukommen, die gegenständliche Kundenbeziehung am 02.04.2013 (wohl gemeint am 02.04.2014 Anm.) beendet habe. Da in der Stellungnahme der XXXX vom 06.09.2013 aber noch nicht davon die Rede war, dass die Geschäftsbeziehung beendet worden sei, ist wohl von einem Tippfehler auszugehen und daher davon auszugehen, dass die Geschäftsbeziehung per 02.04.2014 beendet wurde.

Es ist daher davon auszugehen, dass die XXXX bis zum Ende der Geschäftsbeziehung über keine Dokumente hinsichtlich der Identität der als "Director" eingesetzten juristischen Person und der für die juristische Person vertretungsbefugten natürlichen Personen (amtlichen Lichtbildausweise) sowie zum Nachweis der Vertretungsbefugnis des XXXX sowie der weiteren zeichnungsberechtigten Personen verfügt hat.

Zu Spruchpunkt 3.

Seit 20.05.2014 ist die Vorgehensweise zur Feststellung und Überprüfung des wirtschaftlichen Eigentümers in der AML-Policy Version 0.3 (ON 56; Pkt. 4.1.3.1.2, Seite 41) bzw. seit 23.04.2015 in der AML-Policy Version 0.4 festgelegt (ON 21).

Hinsichtlich der Feststellung des wirtschaftlichen Eigentümers (wE) ist in der Version 0.3., die laut Verteilerliste auf Seite 2 allen Mitarbeitern zugegangen ist und folglich bis zum Inkrafttreten der Version 0.4 die relevante Anweisung für ihr Handeln ist, angeordnet (vgl. Seite 47 unten):

Bild kann nicht dargestellt werden

Hinsichtlich der Überprüfung der Identität des wE ist angeordnet (Seite 48):

Bild kann nicht dargestellt werden

Weiters heißt es auch, dass der Kundenbetreuer zudem eine risikoorientierte Internetrecherche zu den Kunden ("v.a. für Kunden der Risikoklasse 3") durchzuführen hat, um gegebenenfalls die Kundenangaben zu verifizieren bzw. weitere Unterlagen einzuholen. Anzumerken ist in diesem Zusammenhang, dass zum Zeitpunkt der AML-Policy Version 0.3 in der XXXX 3 Risikoklassen vorhanden waren; Risikoklasse 3 umfasst daher bloß die Hochrisikokunden (siehe Seite 78, von ON 56).

In der Version 0.4. der Anti-Money Laundering Policy der XXXX (ON 21), die laut Verteilerliste (Seite 2) allen Mitarbeitern zugegangen ist und folglich die relevante Anweisung für ihr Handeln ist sind die Anordnungen zum wirtschaftlichen Eigentümer in Pkt. 5.3. (Seite 57 ff) enthalten und lauten wie folgt:

Bild kann nicht dargestellt werden

Eine Anordnung, dass Mitarbeiter des KI bei vom KI nicht angenommenen "hohem" Geldwäsche-Risiko ebenfalls die Angaben des Kunden zur Identität des wirtschaftlichen Eigentümers überprüfen müssen, findet sich jedenfalls in dieser Policy nicht.

In der Dienstanweisung "Know Your Client (KYC) Prozess" vom 01.02.2013 finden sich soweit relevant Folgendes:

"4.2.2. Juristische Personen

4.2.2.1. Normale Sorgfaltspflichten

a) Kunde (=Vertragspartner) der [beschwerdeführenden Gesellschaft]

(...)

b) Wirtschaftlicher Eigentümer

Vor Eingehen einer Geschäftsbeziehung mit juristischen Personen ist auch deren wirtschaftlicher Eigentümer vom Kundenbetreuer festzustellen und gem der in 4.2.1. angeführten Vorgangsweise zu identifizieren.

Als wirtschaftlicher Eigentümer gilt bei österreichischen und vergleichbaren ausländischen Gesellschaften (...)

Direktes und indirektes Halten von ausreichenden Anteilen von Aktien oder Stimmrechten (§ 2 Z 75 lit a sublit aa BWG)

Wirtschaftlicher Eigentümer ist jene natürliche Person, die mehr als 25% des Kapitals oder der Stimmrechte hält. Bei Schachtelgesellschaften (Gesellschaften halten wechselseitig Anteile aneinander) und Konzernverhältnissen muss dabei bis zu den letztlich dahinter stehenden natürlichen Personen eruiert werden, sofern die Beteiligung durchgerechnet mehr als 25% beträgt.

Kontrolle über das Vermögen (§ 2 Z 75 lit a sublit bb BWG)

Wirtschaftlicher Eigentümer ist jene natürliche Person, die auf andere Weise die Kontrolle über die Geschäftsleitung einer Gesellschaft innehat.

Rechtspersonen, die Gelder verwalten oder verteilen d.h. Stiftungen

(...)

Begünstigter (§ 2 Z 75 lit b sublit aa und bb BWG)

Bei Stiftungen ist der wirtschaftliche Eigentümer gemäß § 2 Z 75 lit b sublit aa BWG jede natürliche Person, die in der Stiftungsurkunde zu mindestens 25% als Begünstigter - d.h. als Begünstigter der Zuwendungen der Sachgesamtheit - eingesetzt ist.

Für den Fall, dass die zukünftigen Begünstigten der Zuwendungen der Sachgesamtheit noch nicht identifiziert wurden und es daher nicht möglich ist, einzelne natürliche Personen als wirtschaftliche Eigentümer zu ermitteln, ist gemäß § 2 Z. 75 lit. b sub lit. bb BWG die Personengruppe, in deren Interesse hauptsächlich die Sachgesamtheit wirksam ist oder errichtet wurde, als wirtschaftliche Eigentümer festzustellen.

Wenn sich der Stifter das Recht vorbehält, den Begünstigten erst nach Errichtung der Stiftung bekanntzugeben (wie das ZB gemäß liechtensteinischem Stiftungsrecht möglich ist) oder sich das Recht vorbehält, den Begünstigten zu ändern, ist grundsätzlich davon auszugehen, dass der Stifter der wirtschaftliche Eigentümer der Stiftung ist.

Kontrolle über das Vermögen (§ 2 Z. 75 lit. b sub lit. cc)

des weiteren sind diejenigen natürlichen Personen wirtschaftliche Eigentümer, die die Stiftung zu mindestens 25 % kontrollieren d. h. Kontrolle über das Vermögen der Sachgesamtheit ausüben (ZB Überweisungsbelege an den Stiftungsvorstand).

Die Feststellung des wirtschaftlichen Eigentümers hat grundsätzlich durch Befragung des Kunden zu erfolgen.

Der Kundenbetreuer hat die folgenden Unterlagen bzw. Bestätigungen einzuholen und dabei wie folgt vorzugehen:

* Einholung von Unterlagen bzw. beweiskräftigen Dokumenten zur Feststellung des/der wirtschaftlichen Eigentümer(s)

* Anfertigung einer Kopie der vorgelegten Originaldokumente (der Kundenbetreuer hat dabei die kopierten Originaldokumente zu unterzeichnen und mit dem Hinweis "Kopie vom Originaldokument eingesehen am [Datum]" zu versehen sowie diese paraphierte Kopie im Kundenakte abzulegen)

* Einholung von Nachweisen für Anteile am Unternehmen bzw. Begünstigtenstellung

* Überprüfung der Identität des/der wirtschaftlichen Eigentümer(s)

a) Erklärung wirtschaftliche Eigentümer:

Zur Feststellung des/der wirtschaftlichen Eigentümer hat der Kundenbetreuer den Kunden (= Vertragspartner der [beschwerdeführenden Gesellschaft]) aufzufordern, das Formular "Feststellung des wirtschaftlichen Eigentümers" auszufüllen und firmenmäßig zu unterfertigen.

b) Ausweiskopie:

Für Kunden der Risikoklasse/RKL 3-5 ist eine Kopie des relevanten Ausweisdokumentes (ZB Reisepass) des/der wirtschaftlichen Eigentümer anzufertigen. Der Kundenbetreuer hat dazu eine Kopie der vorgelegten Originaldokumente anzufertigen, die kopierten Originaldokumente zu unterzeichnen und mit dem Hinweis "vom Originaldokument eingesehen am [Datum]" zu versehen sowie diese paraphierte Kopie im Kundenakt abzulegen;

für Kunden der Risikoklasse/RKL1-2 ist keine Kopie des relevanten Ausweisdokumentes des/der wirtschaftlichen Eigentümer(s) anzufertigen. Es sind jedoch mindestens folgende Angaben festzustellen: Vorname, Nachname, Geschlecht, Geburtsdatum.

Bestehen Zweifel an den Angaben des Kunden, sind geeignete Bescheinigungen zum weiteren Nachweis durch den Kundenbetreuer zu verlangen. Der Kundenbetreuer hat in jedem Fall die Eigentums- und Kontrollstruktur des Kunden zu prüfen und zu dokumentieren. Das Konto des Kunden ist mit jenem des wirtschaftlichen Eigentümers zu verknüpfen.

Der Kundenbetreuer hat zudem im Rahmen der normalen Sorgfaltspflichten für den wirtschaftlichen Eigentümer eine World-Check-Abfrage durchzuführen. Das Ergebnis der Abfrage ist auszudrucken und dem Kundenakt beizulegen.

..."

Auch nach der "Risikoanalyse 2015", Seite 68 (ON 15) ist nur in der Risikoklasse 3 eine diesbezügliche Überprüfung vorzunehmen (vgl. Pkt. 5.1.4.2. - Maßnahmen auf Kundenebene). Risikoklasse 3 ist wiederum auf Seite 19 der Risikoanalyse 2015 als "Hohes Risiko" definiert. Dies deckt sich mit den Aussagen der ehemaligen Geldwäschebeauftragten Frau XXXX (ON 38), nach der die tourliche Überprüfung nur für die Risikoklasse 4 und 5 vorgesehen war und man sie habe anweisen wollen, nur die Kunden der Risikoklasse 4 und 5 zu aktualisieren (Seite 5).

Das Ende des Tatzeitraumes wurde im konkreten Verfahren auf Basis der vorhandenen Beweislage mit dem Datum des Eingangs der Rechtfertigung am 27.10.2015 angenommen. Bis dahin war die Verletzung jedenfalls noch aufrecht.

Zu Spruchpunkt 4.1. (vgl. auch Spruchpunkt 5.1.)

Testfall 1: Kundennummer XXXX (Prüfbericht FMA ON 04; Rz 91 ff)

Bei diesem Kunden handelt es sich um eine juristische Person mit Sitz in Aruba. Der Kunde unterhält zum Zeitpunkt der Vor-Ort-Prüfung bei der XXXX ein Girokonto und ein Wertpapierdepot. Aus den vorliegenden Unterlagen geht hervor, dass die Geschäftsbeziehung zu diesem Kunden seit 1989 besteht und auf eigene Rechnung geführt wird. Der Kunde wurde von der XXXX in die höchste Risikostufe "5" eingestuft.

Als wirtschaftlicher Eigentümer der juristischen Person wurde die natürliche Person Herr XXXX (Nationalität: Uruguay) mittels Formular "Declaration of Beneficiary Owner" festgestellt, das nicht datiert und von der vertretungsbefugten Person XXXX unterfertigt wurde (./ I/D/1). Weitere der Verifizierung der Eigentums- und Kontrollstruktur dienliche Unterlagen wurden von der XXXX nicht eingeholt. Nur eine Reisepasskopie des Herr XXXX, liegt den Kundenunterlagen bei (./ I/C/1).

Im Dokument "Überprüfungsliste - Kontoeröffnung & Know Your Client (KYC)" vom 15.01.2013 hat die XXXX festgehalten, dass es sich beim wirtschaftlichen Eigentümer um eine PEP handelt (./ I/E/1).

Aus der Stellungnahme der XXXX vom 02.06.2015 (ON 13) geht hervor, dass die XXXX die noch offenen Informationen (welche Informationen dies sind hat die XXXX nicht dargelegt) eingeholt hätte, diese würden den gesetzlichen Erfordernissen entsprechen, weshalb das Konto auch nicht mehr gesperrt sei (siehe dazu die Stellungnahme der XXXX vom 02.06.2015 zu Pkt. 1).

Aus der Stellungnahme des KI vom 14.01.2015 geht allerdings hervor, dass Kundeninformationen zum damaligen Zeitpunkt jedenfalls noch nicht (vollständig) vorhanden waren und das Konto gesperrt worden sei [wann ist nicht ersichtlich]; im Jahr 2014 sei das Konto als Verrechnungskonto für ein Wertpapierdepot verwendet worden (ON 10).

Der Tatzeitraum endet daher nicht vor dem 14.01.2015, ist aber wegen Subsidiarität zu Spruchpunkt drei als Systemverletzung (erweisbarer Tatzeitraum ab 20.05.2014) nur bis 19.05.2014 vorwerfbar.

Zu Spruchpunkt 4.2.

Testfall 2: Kundennummer XXXX (Prüfbericht FMA ON 04; Rz 97 ff)

Bei dem Kunden handelt es sich um eine Korrespondenzbank aus einem Drittland, für die die XXXX Lorokonten in den Währungen EUR, GBP, JPY und CHF unterhält, welche gemäß Angaben der Abwicklung des Auslandszahlungsverkehrs der Korrespondenzbank dienen. Die Gesellschaft (Korrespondenzbank) wird in der Rechtsform "Limited" geführt und ist auf St. Vincent und den Grenadinen domiziliert. Die Geschäftsbeziehung zu dieser Korrespondenzbank wurde durch die XXXX in die Risikoklasse "5" gestuft, angabegemäß besteht diese Geschäftsbeziehung seit ca. zehn Jahren. Ein Kontovertrag, der mit 27.01.2004 datiert wurde, liegt den Kundenunterlagen bei sowie geht aus den Unterlagen hervor, dass der Kunde auf eigene Rechnung handelt (ON 04, Rz 97).

Der wirtschaftliche Eigentümer wurde anhand des Dokumentes "Declaration of Beneficiary Owner" vom 11.09.2012 festgestellt (./ II/D/2). Aus diesem Dokument geht hervor, dass es sich bei der natürlichen Person Herrn XXXX (Kopie des Reisepasses liegt den Kundenunterlagen bei), Adresse in Ungarn, um den wirtschaftlichen Eigentümer handelt. Auf dem Dokument "Declaration of Beneficiary Owner" wurde ausgeführt, dass es sich bei Herrn XXXX um den wirtschaftlichen Eigentümer handelt, da er 100 % Beteiligung an der XXXX., welche 100% an XXXX hielte und welcher wiederum 100%iger-Eigentümer der XXXX. sei. Den Kundenunterlagen liegt weiters ein Organigramm bei, das diese Struktur veranschaulicht, wobei es sich bei diesem Dokument offensichtlich um kein offizielles Firmendokument handelt, das nicht datiert ist und auch nicht ersichtlich ist, wer dieses Organigramm erstellt hat (./ II/D/2).

Weitere widersprüchliche Unterlagen lagen der XXXX vor. Das Dokument "Register of Shares" (./ II/D/1), das per 17.09.1997 datiert wurde und eine Apostille vom 03.08.2012 enthält. Aus diesem Dokument geht hervor, dass die XXXX sowie zwei weitere Gesellschaften je fünf Aktien an der Bank im gleichen Wert halten. In welchem Besitz die XXXX wiederum steht, geht aus den vorgelegten Unterlagen nicht hervor. In dem Dokument "Certificate of Incumbency" (./ II/C/13) vom 19.09.2012 wurde nur die XXXX als Anteilseigner mit fünf Aktien angeführt, weitere Aktieninhaber gehen aus dem Dokument nicht hervor (ON 04, Rz 101). Aus dem Dokument "Articles of Incorporation" (C4) mit Datum 22.05.2012 geht wiederum hervor, dass es 10 Shares à 1.000.000 USD geben kann.

Die einzelnen Glieder der Kette des wirtschaftlichen Eigentümers wurden durch die XXXX nicht geprüft. Insbesondere fehlt die angemessene Überprüfung der Eigentums- und Kontrollverhältnisse zwischen Herrn XXXX und der XXXX. sowie die Eigentums- und Kontrollverhältnisse zwischen der XXXX. und der XXXX und letztlich der XXXX.

Laut Angaben der XXXX in der Stellungnahme vom 04.11.2014 (ON 9) sei die gegenständliche Kundenbeziehung insofern eingeschränkt worden, als dass sämtliche Konten für diesen Kunden, die für die Abwicklung von Zahlungsverkehrsgeschäfte erforderlich waren, gesperrt worden seien. Lediglich ein Konto sei von dieser Sperre nicht betroffen, welches als Verrechnungskonto für ein Wertpapierdepot dieses Kunden verwendet werde. Über dieses Konto würden Transaktionen laufen, die in Zusammenhang mit den gehaltenen Wertpapierpositionen des Kunden stünden. Die Beziehung des Kunden mit der XXXX als Korrespondenzbank bestehe nicht mehr, eine gänzliche Beendigung der verbliebenen überschaubaren Geschäftsbeziehung sei in Prüfung.

Aus der Stellungnahme der XXXX vom 02.06.2015 (ON 13) geht hervor, dass "das Wertpapier" verkauft worden sei mit Valuta 21.04.2015, sodass der Tatzeitraum jedenfalls dann endet. Das Konto ist nach Angabe der XXXX geschlossen. Der Tatzeitraum ist aber wegen Subsidiarität zu Spruchpunkt drei als Systemverletzung (erweisbarer Tatzeitraum ab 20.05.2014) nur bis 19.05.2014 vorwerfbar.

Zu Spruchpunkt 4.3.

Testfall 6 "XXXX" (Kundennummer XXXX) (Prüfbericht FMA ON 04; Rz 123

ff)

Bei dieser Kundin handelt es sich um eine juristische Person mit Sitz in Panama. Die Geschäftsbeziehung zu dieser Kundin besteht seit 23.03.2012. Die Kundin wurde von der XXXX in die Risikostufe "4" von 5 Risikostufen eingestuft. Der Kredit an diese Kundin wurde im Zuge eines Back-to-back-Treuhandgeschäftes vergeben. Aus den Kundenunterlagen geht hervor, dass die Kundin auf eigene Rechnung handelt.

Die natürliche Person Herr XXXX wurde mittels Formular "Declaration of Beneficiary Owner" vom 23.03.2012 festgestellt. Herr XXXX hat dieses Formular selbst unterschrieben (./ VI/D/1).

Es findet sich im Kundenakt lediglich ein Dokument über eine Treuhandvereinbarung zwischen Frau XXXX (Director der Kundin) und Herrn XXXX (./ VI/C15), das besagt, dass die Dame für Herrn XXXX als Treuhänderin über 1% Anteile an der XXXX tätig ist.

Laut Angaben des KI sei es bei diesem Kunden nicht möglich gewesen, die Unterlagen und Informationen zu erhalten, die erforderlich gewesen sind, um den gesetzlichen Sorgfaltspflichten in diesem Fall nachzukommen. Die Kundenbeziehung sei daher, nach mehreren erfolglosen Versuchen, die Kundeninformationen zu erlangen, am 20.06.2014 beendet worden (ON 09, Seite 3), sodass der Tatzeitraum jedenfalls zu diesem Zeitpunkt endet. Die Tat ist aber wegen Subsidiarität zu Spruchpunkt drei als Systemverletzung (erweisbarer Tatzeitraum ab 20.05.2014) nur bis 19.05.2014 vorwerfbar.

Zu Spruchpunkt 4.4. (vgl. auch Spruchpunkt 2., 5.3. und 6.)

Testfall 8: Kundennummer XXXX (Prüfbericht FMA ON 04; Rz 135 ff)

Bei der Kundin handelt es sich um eine juristische Person, die auf den Kaimaninseln domiziliert ist. Aus den Daten, die mittels der Liste "Kundenliste XXXX ohne Namen per 20121231" übermittelt wurden, geht hervor, dass die Begründung der Geschäftsbeziehung im Jahr 2000 erfolgte. Den Kundenunterlagen liegen Kontoverträge vom 09.10.2000 sowie vom 17.10.2000 bei. Die Kundin wird in der Risikoklasse "4" von 5 Risikoklassen geführt und unterhält ein Girokonto bei der XXXX (Rz 135).

Die Feststellung des wirtschaftlich Berechtigten erfolgte mittels des Dokuments "Feststellung des wirtschaftlich Berechtigten", das per 23.01.2012 datiert und durch eine am Formular gar nicht vermerkte Person, die wohl Herr XXXX ist, gezeichnet wurde (./ VIII/D/1). Auf dem Dokument wurde angegeben, dass "der/die Antragsteller allein an den Vermögenswerten wirtschaftlich berechtigt ist/sind". Als Antragsteller wurde die juristische Person (die Kundin) angeführt.

Aus dem Dokument "Memorandum of Association" vom 13.03.1997 (./ VIII/C/5) geht hervor, dass sich das Kapital der Gesellschaft auf USD 50.000 beläuft, bestehend aus 50.000 Aktien ("Ordinary Shares") zum Nennwert von je USD 1. Das Memorandum of Association sagt nicht aus, wie viele Aktien tatsächlich begeben worden sind (vgl. Rechtfertigung der XXXX, Seite 7).

Des Weiteren liegt den Kundenunterlagen das Dokument "Certificate No. 003" bei, auf dem angegeben wurde, dass XXXX Anteilseigner von 99 "Ordinary Shares" ist (./ VIII/D/2). Das Dokument enthält keine Apostille und wurde per 13.03.1997 datiert. Daraus folgt, dass per 13.03.1997 XXXX 99 Shares hielt.

Bezüglich dieses Kunden wurde in der Stellungnahme vom 04.11.2014 (ON 09) angegeben, dass die Geschäftsbeziehung per 02.04.2013 beendet wurde. Vor dem Hintergrund, dass im März 2013 erst die VOP der FMA stattgefunden hat und in der Stellungnahme 9/2013 nichts zum Ende der Geschäftsbeziehung angegeben wurde, ist davon auszugehen, dass es sich bei dem Datum 02.04.2013 um einen Tippfehler handelt und 2014 gemeint ist. Begründet wurde die Beendigung der Geschäftsbeziehung mit der Tatsache, dass es der XXXX nicht möglich war, die erforderlichen Unterlagen zu bekommen.

Zu Spruchpunkt 4.5. (siehe auch zu Spruchpunkt 5.5.)

Die Geschäftsbeziehung zur Kundin XXXX. wurde am 20.05.2013 eröffnet (ON 26, Seite 120). Der Kunde XXXX. selber ist ein Zypern registriertes Unternehmen (ON 26, Seite 9). Als wirtschaftliche Eigentümerin der Kundin "XXXX" wurde im Rahmen der Kontoeröffnung Frau XXXX namhaft gemacht (ON 26, Seite 119 und Seite 129). Die Kundin war bis 06.03.2014 (generelle Einführung von nur mehr 3 Risikostufen) in der Stufe 4 (von 5) und danach in der höchsten Stufe 3 (von 3) eingestuft (ON 26, Seite 131). XXXX ist australische Staatsbürgerin (ON 26, Seite 119).

Gemäß "Certificate of Shareholders der XXXX." ist die XXXX mit Sitz auf den British Virgin Islands alleiniger Shareholder der Anteile der XXXX (ON 26, Seite 59). Aus dem Dokument "Nominee Shareholder Declaration of Trust" geht das treuhändige Halten der Anteile an der XXXX durch eine weitere juristische Person, XXXX mit Sitz in Panama, für XXXX hervor (ON 26, Seite 73).

In Bezug auf diese Konstruktion hat die XXXX weder die Eigentumsverhältnisse der XXXX überprüft noch den diesbezüglichen Treuhandvertrag angefordert. Darüber hinaus weist das Dokument "Nominee Shareholder Declaration of Trust" keine Unterschrift der Frau XXXX auf. Der XXXX liegen hinsichtlich der XXXX ein "Certificate of Incorporation" sowie ein "Certificate of Good Standing" (ON 26, Seite 33 und 89f f) vor. Diese Dokumente geben allerdings keinerlei Aufschluss darüber, wer wirtschaftlicher Eigentümer der XXXX ist.

Am 16.12.2014 erstattete die XXXX Verdachtsmeldung in Bezug auf den Kunden XXXX. und sperrte das Konto (ON 26, Seite 1f).

Zu Spruchpunkt 5.1. (vgl. auch Spruchpunkt 4.1. und Prüfbericht FMA ON 04; Rz 91 ff)

Bei diesem Kunden (Testfall 1 - Kundennummer XXXX) handelt es sich um eine juristische Person mit Sitz in Aruba. Der Kunde unterhält zum Zeitpunkt der Vor-Ort-Prüfung bei der XXXX ein Girokonto und ein Wertpapierdepot. Die Geschäftsbeziehung zu diesem Kunden besteht seit 1989 und wird auf eigene Rechnung geführt. Der Kunde wurde von der XXXX in die höchste Risikostufe "5" von 5 eingestuft (ON 04; Rz 91).

Ein KYC-Formular wurde am 15.01.2013 erstellt und enthält in Bezug auf Zweck und Art der Geschäftsbeziehung und hinsichtlich der Herkunft der Geld- oder Finanzmittel nur rudimentäre Informationen (ON 04; Rz 91). Dieses wurde aufgrund des jährlichen Updates ausgefüllt (I/E/2). In diesem KYC-Formular wurde lediglich angegeben, dass die XXXX in der Vermögensverwaltung tätig ist. Zweck des Kontos, zu erwartende Transaktionen und wichtige Geschäftspartner wurden hier nicht angegeben. Einzig zur Größe von Einzeltransaktionen wurde angegeben, dass diese mehr als 250.000 Euro betragen.

Auch aus der übermittelten Satzung kann nicht mehr abgeleitet werden, als dass das Geschäftsfeld das Investment in Wertpapier oder der Handel von verschiedensten Produkten darstellen kann, sowie dass als Finanzierungsgesellschaft agiert werden kann (I/C/7).

Das Feld bezüglich der Mittelherkunft wurde im KYC-Formular nicht ausgefüllt. Auch sonst finden sich keine Unterlagen diesbezüglich im Kundenakt. Aus dem Depotbestand per 12.03.2013 ist ersichtlich, dass durch das Investment in Wertpapiere der XXXX und der XXXX ein Veranlagungsvermögen von EUR 52.393.718,89 und ein Gesamtvermögen (inklusive Kontosalden) von EUR 58.474.270,77 bestand (I/F/1).

Laut Vertreter der XXXX habe der Kunde im Jahr 1989 USD 5.000.000 eingebracht, um diese Vermögenswerte bei der XXXX zu veranlagen. In den vergangenen Jahren wuchs das Vermögen an und es verblieb in der XXXX. Der damals zuständige Kundenbetreuer sei bereits verstorben. Recherchen oder ähnliche Nachweise über die Geschäftstätigkeit des Kunden liegen nicht vor, die Herkunft der Geld- oder Finanzmittel konnte im Zuge der Vor-Ort-Prüfung der FMA durch die verantwortlichen Mitarbeiter der XXXX nicht angegeben werden (ON 04; Rz 96).

Aus der Stellungnahme des KI vom 14.01.2015 geht hervor, dass Kundeninformationen zum damaligen Zeitpunkt jedenfalls noch nicht (vollständig) vorhanden waren und das Konto gesperrt worden sei [wann ist nicht ersichtlich] (vgl. ON 10). Der Tatzeitraum ist daher bis jedenfalls diesem Datum anzunehmen.

Zu Spruchpunkt 5.2. (vgl. auch Prüfbericht FMA ON 04; Rz 107 ff)

Testfall 3: Kundennummer XXXX

Bei dieser Kundin handelt es sich um eine ukrainische Staatsbürgerin mit Wohnsitz in der Ukraine. Die Kundin unterhält zum Zeitpunkt der Vor-Ort-Prüfung bei der XXXX vier Girokonten. Aus den vorliegenden Unterlagen geht hervor, dass die Geschäftsbeziehung zu dieser Kundin seit 03.03.2011 besteht, sie wurde von der XXXX in die höchste Risikostufe "5" von 5 eingestuft. Aus der "Überprüfungsliste - Kontoeröffnung & Know Your Client (KYC)" geht hervor, dass die Begründung der Geschäftsbeziehung zu diesem Kunden am 03.03.2011 sowohl vom GWB als auch vom zuständigen Bereichsvorstand genehmigt wurde. Aus den Kundenunterlagen geht weiters hervor, dass die Kundin auf eigene Rechnung handelt (III/B/3).

Nach Einsicht in den Kundenakt ergibt sich Folgendes:

Zweck und Art der Geschäftsbeziehung:

Im Kundenakt gibt es sowohl ein KYC-Formular (mit dem Hinweis Entwurf) vom 02.03.2011 (III/E/3) und ein Update vom 01.02.2013 (III/E/2). Die Kundin wurde auf Empfehlung eines Kundenberaters (XXXX) Kundin bei der XXXX (III/E/3). Aus dem Memo von Herrn XXXX aus März 2012 (III/E/4) geht hervor, dass er die Kundin in der Ukraine besucht hat und dort über die Geschäftstätigkeiten der Kundin und insbesondere ihres Mannes gesprochen hat. Aufgrund der instabilen politischen und wirtschaftlichen Situation in der Ukraine müsste ihr Mann (XXXX) oftmals Vermögen (Immobilienanteile und Barguthaben) auf andere Familienmitglieder überschreiben. Im KYC-Formular vom 02.03.2011 (III/E/3) wurde angegeben, dass Zweck die Veranlagung ist. Betreffend Anzahl der Konten, auf die sich diese Angabe bezieht wird angegeben: € + $. Es ist daher schon auf dieser Ebene unklar, auf welche Konten sich der angegebene Zweck überhaupt beziehen soll. Es gibt wie ausgeführt vier Girokonten! Es wird keine Angabe über das durchschnittliche Jahreseinkommen gemacht, jedoch angegeben, dass das Vermögen bei Immobilien, Finanzanlagen und Beteiligungen jeweils über 250.000 Euro liegt. Beim Punkt "Beteiligungen" jedoch wird entgegen der Angabe zum Vermögen aus Beteiligungen angegeben, dass keine vorliegen. Aus dem Memo des Kundenberaters (III/E/4) geht jedoch hervor, dass das Unternehmen "XXXX" mit Sitz in Tschechien per März 2012 zu 100% XXXX gehört. Auch wurde dort vermerkt, dass mit September 2012 diese Beteiligung nur mehr zu 50% bestand.

Über das Kundenbetreuergespräch vom 20.03.2013 (III/E/5) wird unter anderem festgehalten: "Männer machen das Geschäft in der Ukraine, übertragen die Anteile auf ihre Frauen, wegen der politischen Situation. [...] In der XXXX ist nur der Zahlungsfluss von einer zur nächsten Offshore Firma. Geld wird an westliche Banken ausgelagert, Vertrauen zu UA-Banken ist nicht besonders groß. [...] Vermögen hat der Ehemann der Ehefrau überschrieben, das ist sicherer. Wegen der politischen Situation in der Ukraine. Er hat Angst, dass ihm etwas weggenommen wird, der Ehemann stammt aus einer Unternehmerfamilie."

Im Memo von September 2012 (III/E/5) schreiben Herr XXXX und Herr XXXX, dass sie in Kiew mit den Kunden (XXXX) über die aktuellen und geplanten Geschäftstätigkeiten gesprochen haben. Der Kundenbetreuer gab an, Lagerhallen des Unternehmens XXXX in der Ukraine besucht zu haben und dass das Unternehmen mit XXXX vergleichbar sei (ON 04, Seite 40). In welchem rechtlichen oder wirtschaftlichen Zusammenhang XXXX mit Frau XXXX steht, ist zudem nicht recht klar. Andererseits wurde seitens der XXXX festgehalten, dass XXXX ein großes Distributions- und Logistikunternehmen in der Ukraine sei, vergleichbar mit "XXXX", und Verträge mit internationalen Konzernen, wie XXXX, XXXX, XXXX (einer der größten Bierproduzenten der Welt laut Memo) habe (III/E/5). Weiters sei Ende 2011 auch das Unternehmen XXXX gekauft worden, welche den Vertrieb von Tabakwaren durchführe (III/E/5). Wer konkret dieses Unternehmen auf wessen Rechnung gekauft habe, ist nicht recht nachvollziehbar. Im KYC-Update vom 01.02.2013 (III/E/2) ist vermerkt, dass XXXX, XXXX und XXXX Hauptgeschäftspartner sind, die Zahlungen erhalten. Im Memo von September 2012 (IIIE/5) wird erklärt, dass XXXX eine Fruchtsaftfabrik in der Ukraine sei und XXXX als Hauptdistributor tätig sei und auch die Logistik der Ware übernähme.

Zu den Angaben in den Memos liegen der XXXX keine Unterlagen vor, die diese bestätigen würden. Zwei Mitarbeiter der XXXX haben vor Ort eine Besichtigung durchgeführt (siehe Memo III/E/5). Auch gibt es im Kundenakt einen "Letter of Reference" der "XXXX", die über die gute Finanzgebarung der XXXX und die Erfüllung ihrer Kreditlinien informiert (III/E/8). Solche "Reference Letter" gibt es auch von der "XXXX" bezüglich der "XXXX" (IIIE/6) und "XXXX" (III/E/7) (dabei dürfte es sich um die XXXX handeln, welche aufgrund der lautmalerischen Umsetzung von kyrillischer Schrift auf lateinische Schrift anders geschrieben wurde).

Mittelherkunft:

Im KYC-Formular vom 02.03.2011 (III/E/3) wird bei der Mittelherkunft, darauf verwiesen, dass Herr XXXX ein großer Distributionsunternehmer sei. Auch hier sind die oben genannten Memos zu beachten. Es wird wie vorhin ausgeführt aufgezeigt, was die jeweiligen Geschäftsfelder der Unternehmen sind und aus diesen Einkünften bezieht die Familie XXXX ihr Vermögen. Ob es eine andere Mittelherkunft bezüglich ihres Immobilienvermögens oder ihrer Finanzanlagen gibt, wird nicht angegeben (III/E/3).

Im Zuge der Vor-Ort-Prüfung wurde gegenüber der FMA angegeben, dass es sich um eine Unternehmerfamilie handle, die in der Ukraine eines der größten Distributionsunternehmen führe, das ca. 700 Mitarbeiter habe. Die Vermögenswerte seien auf die Frau (Kundin) des Unternehmers übertragen worden, da die politische Situation in der Ukraine instabil sei. Auch werden die Konten gemäß Angaben für Zahlungen in USD genützt, da Zahlungen in Fremdwährungen in der Ukraine einer Genehmigung bedürfen. Die Unternehmen der Familie handeln angabegemäß eine sehr große Produktpalette, welche u.a. aus Fruchtsaft, Bier, Kosmetikprodukten und Tabak bestehe. Der Kundenbetreuer [XXXX] gab an, Lagerhallen des Unternehmens in der Ukraine besichtigt zu haben und dass das Unternehmen mit XXXX in Österreich vergleichbar sei (ON 04; Rz 110).

Aus der Stellungnahme des KI vom 2.6.2015 (ON 13) geht hervor, dass ein neuerliches KYC-Update vom 14.04.2015 vorliege. Der Tatzeitraum endet daher im Zweifel am 14.4.2015.

Zu Spruchpunkt 5.3. (vgl. auch Spruchpunkt 2. und Spruchpunkt 4.4. und Spruchpunkt 6. und Prüfbericht FMA ON 04; Rz 135 ff)

Bei der Kundin (Testfall 8) handelt es sich um eine juristische Person (XXXX), die auf den Kaimaninseln domiziliert ist. Die Geschäftsbeziehung wurde im Jahr 2000 begründet. Die Kundin wurde in der Risikoklasse "4" von 5 geführt. Es ist davon auszugehen, dass die Geschäftsbeziehung (Girokonto) per 02.04.2014 beendet wurde (ON 04, Rz 135).

Zweck und Art der Geschäftsbeziehung:

Es wurde ein KYC-Formular ausgefüllt (VIII/E/3), welches nicht datiert ist. Als Kontoinhaber wurde XXXX aufgeführt, obwohl das Konto für die Gesellschaft XXXX eröffnet wurde. Zu Zweck und Art der Geschäftsbeziehung gibt es wenige Angaben. Es findet sich der Vermerk, dass sich die Einzeltransaktionen zwischen 50.000 bis 250.000 Euro bewegen würden (VIII/E/3). Am 20. und 21. März 2013 fanden ein Kontakt bzw. Korrespondenz mit einer für die Kundin handelnden Person (XXXX) statt, wobei die beschwerdeführende Gesellschaft das Ansinnen dieser Person, weitere Zeichnungsberechtigte führen zu lassen, abschlägig behandelte und ihr mit E-Mail vom 21.03.2013 eine "Liste der notwendigen Unterlagen" mitteilte (darunter Auszüge aus dem Unternehmensregister der Cayman Islands, eine Bestätigung des "Good standing" der Gesellschaft, eine offizielle Unternehmensadresse, die Anzahl der "shares" und ein "share certificate", die "shareholder" und "beneficial owners" sowie Bestätigungen über juristische Personen, falls solche shareholders sein sollten , vertretungsbefugte Organe der Gesellschaft, eine "Declaration of Trust", aktuelle Passkopien der Vertreter und wirtschaftlichen Eigentümer, gegebenenfalls Vertretungsvollmacht). Es findet sich auch ein Memo der GWB (nicht datiert, aber offenbar von März 2013), Frau XXXX, im Akt, dem Internet-Recherchen der XXXX (durchgeführt offenbar im März 2013) zu Grunde liegen (VIII/E/5). Diese Recherchen erfolgten in zeitlicher Nähe zur Vor-Ort-Prüfung. Trotz Einstufung des Kunden in die Risikoklasse "4" lagen keinerlei weitere Informationen über den Kunden sowie sein Transaktionsverhalten vor.

Demnach handelt es sich bei der Familie XXXX um eine bekannte Wiener Unternehmerfamilie mit Investitionen im Immobilienbereich und Gastronomie (VIII/E/5). Aus den Recherchen der XXXX (VIII/E/5) geht hervor, dass XXXX als Investor in der Immobilienbranche tätig sei und sich verantwortlich für das neue XXXX zeichne. Auch die Investition in einen XXXX in XXXX und XXXX werden genannt und eine Leasingrechnung über einen XXXX am XXXX XXXX beigelegt (VIII/E/5). Geschäftspartner seien Herr XXXX (für den auch eine Worldcheck-Abfrage vorliegt - VIII/E/7) und die XXXX. in XXXX. Die Recherche umfasst auch das Unternehmen XXXX, zu welchem ebenfalls Geschäftsbeziehungen bestehen dürften (Informationen, welcher Art diese Geschäftsbeziehungen sind, gehen nicht hervor). Dies ist aus den Internet-Recherchen selbst nicht belegbar (alles ebenfalls VIII/E/5). Weitere Unterlagen zu diesen Unternehmen liegen nicht vor.

Im KYC-Formular (VIII/E/3) wurden keine Angaben über das Vermögen und zum Umsatz der Kundin gemacht und weiters angegeben, dass das Unternehmen auch nicht vom Kundenberater besucht worden sei. Die Ergebnisse der Internet-Recherchen erklären jedoch nicht, woher die Mittel der Kundin stammen, sondern eher, wie sie investiert werden.

Anlässlich der VOP wurde noch folgendes festgehalten (Vor-Ort-Prüfbericht ON 04 Rz 141):

Die Transaktionen stellen sich wie folgt dar: Die Gesellschaft erhält Gutschriften auf dem Girokonto, in Auftrag gegeben bei der XXXX durch eine juristische Person. Diese Vermögenswerte wurden nach Gutschrift bar behoben. Im Zeitraum 01.02.2012 bis 14.02.2013 belaufen sich die Gutschriften auf dem Konto auf EUR 241.289,86, während EUR 183.000 bar behoben wurden. Hinsichtlich dieses Transaktionsmusters wurde im Rahmen der Vor-Ort-Prüfung angegeben, dass der Kunde einen engen Freund in XXXX habe und mit diesem in XXXX einen XXXX errichte, es seien daher weitere Transaktionen aus XXXX zu erwarten. Hinsichtlich der Bartransaktionen gab der Kunde gemäß Ausführungen der XXXX an, dass er eine korrekte Versteuerung vornehme.

Auch wenn anlässlich der VOP Informationen eingeholt und beigebracht wurden, geht die XXXX in ihrer Stellungnahme vom November 2014 offenbar selbst davon aus, dass sie bis zur Beendigung der Geschäftsbeziehung (02.04.2014, vgl. Spruchpunkt 2.) nicht alle erforderlichen Informationen zum Kunden hatte (ON 09, Seite 3). So nahm sie wie folgt Stellung: "Testfall 8 - Kundennummer XXXX ‚ XXXX' Aufgrund der Tatsache, dass es der XXXX nicht möglich war, die Unterlagen und Informationen zu erhalten, die erforderlich waren[,] um den gesetzlichen Sorgfaltspflichten nachzukommen, wurde die gegenständliche Kundenbeziehung am 02.04.2013 beendet". (Im Lichte des Kontexts war offenbar der 02.04.2014 als Datum der Beendigung der Kundenbeziehung gemeint).

Zu Spruchpunkt 5.4.

Die Kontoverbindung Nr. XXXX lautend auf die "XXXX" mit Firmensitz in XXXX, British Virgin Islands wurde am 28.01.2013 begründet (ON 25, Kontoeröffnung - Unterlagen). Die Kundin war in der Risikostufe 5 (von 5) bei Begründung der Geschäftsbeziehung eingestuft und wurde im März 2014 (generelle Reduktion der Risikoklassen von 5 auf 3 in der XXXX) in die höchste Risikoklasse 3 eingestuft (ON 25, Schreiben der XXXX vom 13.11.2014, Seite 1).

Ein KYC-Formular, datiert mit 26.04.2013, liegt vor. Die Angaben im KYC-Formular insb. zu Zweck und Art der Geschäftsbeziehung sind allerdings nur rudimentär: Es liegen keine Angaben zu allfälligen "licenses" und zu den "corporate characteristics and field of business" des Kunden vor. Ebenso fehlen gänzlich unternehmensspezifische Angaben zu "key financials" "key suppliers, licensors und business partners" "key customers" (ON 25, KYC-Formular, Seite 2). Weiters liegen keine Angaben zu den "discussed functions of the account" vor (ON 25, KYC-Formular, Seite 3). Im Formular wird in Bezug auf die "main credit sources" zwar (ON 25, KYC-Formular, Seite 4) auf ein "Memo" verwiesen, auch dieses enthält allerdings nur rudimentäre Informationen: "the main source of income will come from Forex companies to whom they provide technological support and the outgoing money will be to some smaller companies with whom they cooperate in business activities". Weiters wurden zwar im KYC-Formular die ungefähre Betragshöhen der geplanten Transaktionen angegeben (Einzeltransaktionen von ca. € 100.000 - € 200.000 bzw. insgesamt ca. € 3 Mio./Jahr), allerdings sind die sonstigen Angaben über die Kundin auch in Zusammenschau mit dem erwähnten "Memo" unbestimmt (zB. "technology support of all"; "the outgoing money will be to some smaller companies with whom they coorperate in business activities") (vgl. ON 25, KYC-Formular, Seite

5 - Memo) und geben keinen Aufschluss darüber, woher die Gelder

tatsächlich kommen, die über das gegenständliche Konto abgewickelt werden bzw. welche Geschäftstätigkeit der Kunde konkret ausübt.

Im Übrigen liegt zwar der Gesellschaftsvertrag sowie die Satzung der Gesellschaft vor, jedoch geht aus diesen Unterlagen der Geschäftszweck des Unternehmens nicht hervor (Pkt. 4.2 des vorliegenden Gesellschaftsvertrages lautet "For the purposes of section 9(4) of the Act, there are no limitations on the business that the Company may carry on"). Ob bzw. welche konkrete operative Tätigkeit das Unternehmen erbringt, ist nicht erkennbar (ON 25, Satzung).

Bereits am 21.03.2013 hat die XXXX eine "World-Check-Abfrage" der "XXXX" und zur "XXXX" durchgeführt und festgestellt, dass zu Ersterer eine Warnmeldung einer kanadischen Finanzmarktaufsichtsbehörde aus Mai 2011 vorliegt, wonach diese nicht zu "forex or portfolio management services" berechtigt sei und und dass zu Letzterer eine Warnmeldung der Financial Services Agency (FSA) vorliegt, wonach das Unternehmen nicht berechtigt ist, das Geschäft mit Finanzinstrumenten zu betreiben.

Erst im September 2014 hat die XXXX weitere Informationen über die Kundin eingeholt (ON 25, Schreiben der XXXX vom 13.11.2014, Seite 3).

Zu Spruchpunkt 5.5. (vgl. auch zu Spruchpunkt 4.5.)

Am 20.05.2013 wurde die Geschäftsbeziehung zur Kundin XXXX (Konto Nr. XXXX) eröffnet (ON 26, Seite 119). Die Kundin wurde zunächst in die Risikoklasse 4 (von 5) bzw. per März 2014 (generelle interne Reduktion auf 3 Risikoklassen) in die Risikoklasse 3 (von 3) eingestuft (ON 26, Seite 131).

Die Kundin wurde im Rahmen des Kontoeröffnungsprozesses in persönlichen Gesprächen über Art und Zweck der Geschäftsbeziehung befragt und hat angegeben, ein "current account" als Geschäftskonto in EUR und USD zu beantragen (ON 26, Seite 110). Als "corporate characteristics and fields of business" wurden "financial support (loans)/worldwide" angegeben, des weiteren 4 russische Unternehmen als "business partners". Zu den "key financials" der Kundin wurde nichts angegeben (ON 26, Seite 115). Die Mittelherkunft (Initial payments) wurde mit "loans" angegeben (ON 26, Seite 116).

Mehr Informationen über den Kunden lagen diesbezüglich nicht vor. Dass mehr Informationen über den Kunden vorgelegen wären, ergibt sich weder aus dem KYC-Formular, noch wurde dies von der XXXX in ihrer Stellungnahme vom 28.01.2015 behauptet (ON 26, Seite 129).

Es ist somit nicht erkennbar, welcher konkreten operativen Tätigkeit das Unternehmen nachgeht bzw. welche konkreten Transaktionen (Anzahl bzw. Höhe, Auftraggeber, Empfänger, Auftraggeberbank, Empfängerbank, Verwendungszweck, Beibringung von Geschäftsunterlagen bzw. Geschäftsabschlüssen etc.) geplant waren.

Am 16.12.2014 sperrte die XXXX das Konto und erstattete die XXXX bezüglich dieser Kundin eine GW-Verdachtsmeldung, die damit begründet ist, dass im Rahmen eines generellen KYC-updates aufgefallen ist, dass die über die Konten gelaufenen Transaktionen nicht mit den im KYC angegebenen Informationen übereinstimmten (ON 26, Seite 1). In dem nur etwas mehr als einem Jahr seit Eröffnung der Kontobeziehung erfolgte kein einziger Zahlungsfluss an ein im Zuge der Kontoeröffnung bekanntgegebenes Unternehmen (ON 26, ON 41). Es langten auch durchwegs Zahlungen von anderen als den zum damaligen Zeitpunkt angegebenen Unternehmen ein.

Aus der Umsatzliste zeigt sich, dass bereits zu Beginn der Geschäftsbeziehung über gegenständliches Konto sehr hohe Transaktionen (z.B. am 28.06.2014 Eingang USD 32.247.294,93, Ausgang USD 20.315.795,81 sowie am 30.07.2013 Eingang USD 17.010.000,00, Ausgang USD 16.010.100,00) abgewickelt wurden (ON 26, ON 41).

Zu Spruchpunkt 6. (vgl. auch Spruchpunkt 2. und Spruchpunkt 4.4. und Spruchpunkt 5. und Prüfbericht FMA ON 04; Rz 135 ff)

Bei der Kundin (Testfall 8) handelt es sich um eine juristische Person (XXXX), die auf den Kaimaninseln domiziliert ist. Die Geschäftsbeziehung wurde im Jahr 2000 begründet (ON 04, Rz 135).

Die Feststellung der Identität der juristischen Person erfolgte anhand der Dokumente "Memorandum of Association" (VIII/C/5) sowie "Certificate of Incorporation" (VIII/C/5) die per 13.03.1997 datiert wurden und keine Apostille enthalten. Aktuelle Firmenunterlagen liegen den Kundenunterlagen nicht bei (vgl. auch ON 04 Rz 136).

Die Beendigung der Geschäftsbeziehung erfolgte per 02.04.2014 (vgl. Spruchpunkt 2.).

Zu Spruchpunkt 7.

Die Prüfung des Gesamtkundenbestandes gegen Sanktions- sowie PEP-Listen erfolgte jedenfalls ab 01.01.2014 monatlich durch das System "Siron-PEP-Embargo". In diesem System hinterlegte Listen werden im Rahmen eines Wartungsvertrages durch die Firma "Tonbeller AG" wöchentlich aktualisiert. Wirtschaftliche Eigentümer sind in dieser Prüfung nicht inbegriffen. Es wurden nämlich nur die Kundennamen (wie auf dem Kontoauszug) mit den Listen abgeglichen, nicht aber die wirtschaftlichen Eigentümer. Denn diese waren im Kernbankensystem nicht gespeichert und waren daher vom automatisierten Listenabgleich nicht umfasst (In Feststellung 33 des Vor-Ort-Prüfberichtes der FMA (ON 04) wird auf Rz 75 (und über diese wiederum auf Rz 27) verwiesen, wobei diese Rz insb. das System zur Überprüfung des Gesamtkundenbestandes auf politische exponierte Personen (PEP) beschreiben; vgl. auch ON 04, Rz 30).

Die Überprüfung des PEP-Status der Personen, die in Bezug zu den Geschäftsbeziehungen der XXXX stehen (= unter anderem wirtschaftliche Eigentümer), erfolgte tourlich je nach Risikoklasse des Kunden, im Rahmen der Aktualisierung der KYC-Dokumente (Rz 75). Bezüglich dieser tourlichen Überprüfung ist von einer "zumindest einmal im Jahr" auferlegten erfolgenden Verpflichtung auszugehen, wenn es sich um Kunden im erhöhten oder hohen Risiko handelt (vgl. DA KYC, ON 18, Seite 49 und 50).

Die Überprüfung von wirtschaftlichen Eigentümern einer juristischen Person auf PEP-Status im Rahmen der Prüfung des Gesamtkundenbestandes war daher nur im Rahmen der Verpflichtung zur tourlichen, mindestens jährlichen Überprüfung der Kontoeröffnungs- und KYC-Unterlagen und nur bei Kunden im erhöhten oder hohen Risiko (Risikoklasse 4 und 5) vorgesehen (vgl. DA KYC, ON 18, Seite 49 und 50).

Bezüglich Kunden der Risikoklassen 1 bis 3 war in der genannten Dienstanweisung KYC-Prozess (ON 18) kein Intervall zur Aktualisierung festgelegt. Gemäß Handbuch AML-Policy 0.3. ab 20.05.2014 (ON 56) erfolgt die verpflichtende Überprüfung des PEP-Status insbesondere des wirtschaftlichen Eigentümers bei Kunden der Risikoklasse 3 jährlich bzw. - nicht näher definiert - "öfter auf Basis der individuellen Einschätzung des Kundenbetreuers in Abstimmung mit dem GWB", bei Kunden der Risikoklasse 2 alle 2 Jahre und bei Kunden der Risikoklasse 1 alle 3 Jahre (vgl. Seite 81 der ON 56).

Dieses mangelhafte System manifestierte sich darin, dass bei Sichtung der Kundenakte im Zuge der Vor-Ort-Prüfung erhebliche Mängel in der PEP-Feststellung aufgetreten sind, wobei es sich insb. um fehlende PEP-Überprüfungen handelt bzw. aus den Nachweisen bezüglich PEP-Überprüfung ersichtlich war, dass die Intervalle einer PEP-Überprüfung dem Risiko nicht angemessen waren. (Diesbezüglich ist darauf hinzuweisen, dass die Testfälle aus den Hochrisikokunden gezogen wurden).

Die XXXX trat den Feststellungen der FMA bezüglich des Fehlens von PEP-Überprüfungsmaßnahmen bzw. Nachweisen nicht substantiiert entgegen getreten, sondern lieferte fehlende Nachweise nach bzw. beendete in Fällen, wo dies nicht möglich war, die Geschäftsbeziehung.

Im Detail:

Testfall 1: PEP-Abfragen der vertretungsbefugten natürlichen Person sowie des wirtschaftlichen Eigentümers des Kunden wurden in den Kundenunterlagen nicht dokumentiert (Rz 95 VOP-Prüfbericht ON 04).

Testfall 2: Den Kundenunterlagen liegen "World-Check" Abfragen für die vertretungsbefugte Person "C" vom 08.06.2012, 29.06.2012 und vom 18.01.2013 sowie für den angegebenen wirtschaftlichen Eigentümer "D" vom 18.01.2013 und vom 12.03.2013 (diese wurde durch die XXXX im Zuge der Vor-Ort-Prüfung getätigt) bei. Ältere "World-Check"-Abfragen des wirtschaftlichen Eigentümers liegen den Unterlagen nicht bei. In dem den Kundenunterlagen beiliegenden "World-Check"-Report über die Korrespondenzbank vom 17.09.2012 sind Warnmitteilungen im Hinblick auf die Korrespondenzbank seitens der Aufsichtsbehörden bzw. Nationalbanken der Länder Gibraltar, Schweden, Norwegen, Spanien, Litauen sowie der Tschechischen Republik ersichtlich (Rz 103 VOP-Prüfbericht).

Testfall 2: In dem Dokument "Certificate of Incumbency" wurden zwei weitere "Directors" angeführt, es handelt sich um die natürlichen Personen "G" sowie "H", die anhand von zum Zeitpunkt der Überprüfung gültigen Pässen, deren Kopien in den Kundenunterlagen dokumentiert wurden, identifiziert wurden. Ob "World-Check"-Abfragen dieser Personen getätigt wurden, ist aus den Kundenunterlagen nicht ersichtlich (Rz 104 VOP-Prüfbericht).

Testfall 3: Die Kundin sowie eine gemäß Unterschriftsprobenblatt zeichnungsberechtigte Person wurden mittels zum Zeitpunkt der Begründung der Geschäftsbeziehung gültigen Reisepässen identifiziert, welche in Kopie den Kundenunterlagen beiliegen. Eine "World-Check"-Abfrage der zeichnungsberechtigten natürlichen Person wurde erst am 15.03.2013 im Zuge der Vor-Ort-Prüfung erstellt (Rz 108 VOP-Prüfbericht).

Testfall 5: "World-Check"-Abfragen der vertretungsbefugten Person wurden am 05.09.2005 sowie am 05.06.2012 im Kundenakt dokumentiert. Es ist daher festzuhalten, dass die jährliche Überprüfung eines allfälligen PEP-Status der vertretungsbefugten Personen bei Kunden der Risikoklasse "5", wie im Zuge der Vor-Ort-Prüfung kommuniziert und in den Regelwerken ausgeführt, nicht erfolgt. Des Weiteren haben die Verfahren zur Bestimmung, ob eine PEP in die Geschäftsbeziehung eingebunden ist, laufend (insbesondere auch vor Begründung der Geschäftsbeziehung bzw. im Zuge der Anwendung der Sorgfaltspflichten gemäß §§ 40 ff BWG auf die bestehende Kundschaft) zu erfolgen (Rz 119 VOP-Prüfbericht).

Testfall 6: Die Identität der juristischen Person wurde von der XXXX festgestellt und mittels apostilliertem "Notaría Undécima del Circuito de Panamá" vom 15.12.2010 und 17.01.2011 überprüft. Eine "World-Check"-Abfrage der Kundin, der "Directors" und eines "Subscriber" (es handelt sich hierbei gemäß Unterlagen um Aktienanteilinhaber von mindestens einer Aktie) des Kunden vom 27.03.2012 und 06.03.2013 liegt den Unterlagen bei. Von einem weiteren "Subscriber" liegen hinsichtlich der "World-Check"-Abfrage keine Unterlagen bei. Auch nach Aufforderung von Seiten der FMA wurden im Rahmen der Vor-Ort-Prüfung diese Unterlagen nicht nachgereicht. (Rz 124 VOP-Prüfbericht).

Testfall 6: Die Vertretungsbefugnis der natürlichen Person "A" (zum Zeitpunkt der Begründung der Geschäftsbeziehung gültige Legitimationsdaten liegen den Kundenunterlagen bei) wurde mittels der apostillierten "Power of Attorney" (die zum Zeitpunkt der Überprüfung gültig war) sowie dem Dokument "Resolution of Directors in writing" vom 11.11.2011 festgestellt. Von dieser natürlichen Person wurde am 27.03.2012 und am 06.03.2013 eine "World-Check"-Abfrage durchgeführt. Diesbezüglich ist festzuhalten, dass die Verfahren zur Bestimmung, ob eine PEP in die Geschäftsbeziehung eingebunden ist, laufend (insbesondere auch vor Begründung der Geschäftsbeziehung) zu erfolgen haben. Ein jährlicher Abgleich der vertretungsbefugten Personen gegen PEP- und Sanktionslisten ist als zeitlich nicht adäquat einzustufen (Rz 125 VOP-Prüfbericht).

Testfall 7: Nebst dieser Person sind gemäß Unterschriftsprobe zwei weitere natürliche Personen auf dem Konto zeichnungsberechtigt. Zum Zeitpunkt der Identifizierung durch die XXXX sowie zum Zeitpunkt der Überprüfung durch die FMA gültige Legitimationsdaten dieser drei Personen liegen vor. Es wurden "World-Check"-Abfragen dieser Personen am 24.04.2006 sowie am 22.03.2012 getätigt. Diesbezüglich ist festzuhalten, dass die Verfahren zur Bestimmung, ob eine PEP in die Geschäftsbeziehung eingebunden ist, laufend (insbesondere auch vor Begründung der Geschäftsbeziehung bzw. im Zuge der Anwendung der Sorgfaltspflichten gemäß §§ 40 ff BWG auf die bestehende Kundschaft) zu erfolgen haben (Rz 130 VOP-Prüfbericht).

Testfall 8: "World-Check"-Abfragen der natürlichen Person "A" wurden am 23.01.2012 sowie am 21.03.2013 durchgeführt.

"World-Check"-Abfragen der weiteren zeichnungsberechtigten Personen liegen nicht vor, weiters wurden keine bei Risikokunden vorgesehenen jährlichen Reviews dokumentiert. Diesbezüglich ist festzuhalten, dass die Verfahren zur Bestimmung, ob eine PEP in die Geschäftsbeziehung eingebunden ist, laufend (insbesondere auch vor Begründung der Geschäftsbeziehung bzw. im Zuge der Anwendung der Sorgfaltspflichten gemäß §§ 40 ff BWG auf die bestehende Kundschaft) zu erfolgen haben. Ein jährlicher Abgleich der vertretungsbefugten Personen ("A") gegen PEP- und Sanktionslisten ist als zeitlich nicht adäquat einzustufen (Rz 140 VOP-Prüfbericht).

Die XXXX gab in ihrer Stellungnahme zu den Einzelfällen Folgendes an:

Testfall 1 "XXXX" (Kundennummer XXXX):

Mit dem Kunden sei die XXXX in Kontakt. Es seien noch nicht alle Unterlagen vollständig aktualisiert, die XXXX sei jedoch zuversichtlich, dass diese in naher Zukunft im KI einlangen (ON 09). Auf Nachfrage seitens der Abt. IV/5 teilte das KI in der Stellungnahme vom 14.01.2015 (ON 10) mit, dass es dem KI trotz Kontakt mit dem Kunden und nach Zusage des Kunden nicht möglich gewesen sei, die noch ausstehenden Informationen vom Kunden zu bekommen, weshalb das Konto nunmehr gesperrt worden sei. Das gegenständliche Konto sei im Jahr 2014 rein als Verrechnungskonto für ein Wertpapierdepot verwendet worden.

Testfall 2 "XXXX" (Kundennummer XXXX):

Laut Angaben der XXXX in der Stellungnahme vom 04.11.2014 (ON 09) sei die gegenständliche Kundenbeziehung insofern eingeschränkt worden, als dass sämtliche Konten für diesen Kunden, die für die Abwicklung von Zahlungsverkehrsgeschäfte erforderlich waren, gesperrt worden seien. Lediglich ein Konto sei von dieser Sperre nicht betroffen, welches als Verrechnungskonto für ein Wertpapierdepot dieses Kunden verwendet werde. Über dieses Konto würden Transaktionen laufen, die in Zusammenhang mit den gehaltenen Wertpapierpositionen des Kunden stünden. Die Beziehung des Kunden mit der XXXX als Korrespondenzbank bestehe nicht mehr, eine gänzliche Beendigung der verbliebenen überschaubaren Geschäftsbeziehung sei in Prüfung.

Auf Nachfrage seitens der Abt. IV/5, ob die Beendigung der Geschäftsbeziehung durchgeführt wurde, teilte die XXXX mit Schreiben vom 24.02.2015 (ON 11) mit, dass die Geschäftsbeziehung aktuell beendet werde. Der Kunde habe lediglich einen Wertpapiertitel, welcher bislang noch nicht transferiert worden sei. Ergänzend teilte die XXXX in der Stellungnahme vom 24.02.2015 (ON 10) mit, dass der Kunde und die vertretungsbefugten Personen hinsichtlich möglicher PEP-Eigenschaften in der Datenbank "World-Check" überprüft worden seien.

Testfall 3 "XXXX" (Kundennummer XXXX):

Zu diesem Kunden übermittelte die XXXX in der Stellungnahme vom 04.11.2015 ein "KYC Update". Ergänzend teilte die XXXX in der Stellungnahme vom 24.02.2015 mit, dass Abfragen mit den Datenbanken "World-Check" und "World-Compliance" durchgeführt worden seien.

Testfall 5 "XXXX" (Kundennummer XXXX):

Laut Angaben des KI sei die Einholung weiterer Unterlagen und Informationen über den Kunden nicht möglich gewesen und sei die Geschäftsbeziehung am 25.04.2013 (wohl gemeint am 25.04.2014 Anm.) beendet worden (ON 09).

Testfall 6 "XXXX" (Kundennummer XXXX):

Testfall 7 "XXXX" (Kundennummer XXXX):

Laut Angaben des KI sei auch bei diesem Kunden die Einholung weiterer Unterlagen und Informationen nicht möglich gewesen, weshalb die Geschäftsbeziehung am 09.06.2014 beendet worden sei (ON 09).

Testfall 8 "XXXX" (Kundennummer XXXX):

Auch bei diesem Kunden sei die Einholung von weiteren Unterlagen und Informationen nicht möglich gewesen, weshalb die Geschäftsbeziehung am 02.04.2013 (wohl gemeint am 02.04.2014 Anm.) beendet worden sei (ON 09).

Zu Spruchpunkt 8.

In der Dienstanweisung vom 01.02.2013 mit dem Betreff Know Your Client (KYC) Prozess (ON 18) findet sich auf Seite 62 folgende Anordnung:

Bild kann nicht dargestellt werden

In Bezug auf Personen, zu denen der Kunde eine wesentliche Geschäftsbeziehung unterhält, und die Wohnsitz oder Sitz in einem der GTV-Staaten haben, war die Anwendung der verstärkten Sorgfaltspflichten gemäß den Vorschriften des § 41 Abs. 4 Z 1 BWG nicht sichergestellt. Weder war sie durch die genannte Dienstanweisung KYC sichergestellt, noch sonst, weil eine solche Prüfung weder im Rahmen der Kundenidentifizierung noch bei einer anderen Gelegenheit schriftlich vorgesehen war.

Dies ist letztlich auch im Einklang mit der Rechtfertigung der XXXX vom 27.10.2015, Seite 12: Die FMA habe lediglich erhoben, ob es schriftliche Dienstanweisungen im Tatzeitraum gab, welche nach Ansicht der FMA sicherstellen würden, dass diesbezügliche Anweisungen betreffend die in der GTV genannten Staaten eingehalten werden. Diese Sachverhaltsfeststellung greife aber zu kurz. Im Ergebnis wird also nicht bestritten, dass es keine schriftliche dbzgl. Dienstanweisung gab.

Im Nachfolgedokument AML-Policy 0.3. (ab 20.5.2014) findet sich hingegen folgende Passage:

Bild kann nicht dargestellt werden

Daher war das Ende des Tatzeitraumes mit Implementierung der AML-Policy 0.3. am 20.05.2014 anzunehmen (ON 56).

Zu Spruchpunkt 9.

Die XXXX unterhielt im Zeitpunkt der Vor-Ort-Prüfung der FMA (11.03.2013 bis 22.03.2013) insgesamt fünf Geschäftsbeziehungen zu Korrespondenzbanken aus Drittländern, wobei im Rahmen einer dieser Geschäftsbeziehungen Lorokonten in den Währungen EUR, JPY, CHF und GBP für eine Bank mit Sitz auf St. Vincent und den Grenadinen geführt werden. Im Rahmen der anderen vier Geschäftsbeziehungen werden Nostrokonten zur Abwicklung des Zahlungsverkehrs der XXXX unterhalten.

Bei Begründung einer Geschäftsbeziehung zu einer Korrespondenzbank in einem Drittland sind gemäß Dienstanweisung "Know Your Client (KYC) Prozess" verstärkte Sorgfaltspflichten anzuwenden. Diese beinhalten u.a. die Einholung von Informationen über den Sitzstaat der Bank und dessen Beaufsichtigung, die Eigentümerstruktur, die Geschäftstätigkeit und die Kundenstruktur. Dies erfolgt anhand des standardisierten Fragebogens "Correspondent banking questionnaire", den die Korrespondenzbank auszufüllen hat. In der Dienstanweisung wurden weiters der Recherche dienliche Quellen angeführt, wie z.B. Jahres- oder Geschäftsberichte der Korrespondenzbank. Des Weiteren wurde ausgeführt, dass in Abstimmung mit dem GWB ein Besuch der Korrespondenzbank erwogen werden kann, sollten vorhandene Informationen nicht ausreichend sein.

Die Einschätzung, ob die Korrespondenzbank über ausreichende Maßnahmen zur Identifizierung ihrer Kunden und Überwachung der Geschäftsbeziehungen verfügt, erfolgt anhand des "The Wolfsberg Group AMP Questionnaire" in Abstimmung mit dem GWB. Weiters ist durch den Kundenbetreuer ein KYC-Formular zu erstellen. In der Dienstanweisung wurde weiters festgehalten, dass die Aufnahme bzw. Fortführung einer Korrespondenzbankbeziehung mit einer Bank-Mantelgesellschaft unzulässig ist (Rz 71 ff des FMA Vor-Ort-Prüfberichtes (ON 04)).

Das oben erwähnte Formular "Questionnaire Correspondent Banking" (ON 27) ist seit 01.01.2013 in der XXXX im Einsatz. Es sei auch geplant, weitere Geschäftsbeziehungen zu Korrespondenzbanken zu begründen (ON 04, Rz 74).

Die einschlägige Dienstanweisung KYC-Prozess galt diesbezüglich ab 01.02.2013 (ON 18, Seite 1) bis jedenfalls 19.05.2014 (AML-Policy Version 0.3 (ON 56; Seite 63). Auch die "Questionnaire Correspondent Banking" galt im Tatzeitraum. Auf diese wird auch noch in der AML-Policy Version 0.3 verwiesen (ON 56; Seite 62).

Auf dem Formular Questionnaire Correspondent Banking sind durch die Korrespondenzbank Fragen im Hinblick auf die Rechtsform, den Sitz der Bank, deren Registrierung und Bankprüfer, die Leitung der Bank, Anteilseigner, den Leiter der Gruppe "AML-Compliance", etc. zu beantworten. Außerdem hat das Institut "Questions regarding the reputation and the quality of the supervision" zu beantworten (Seite 2 des Formulars).

Weitere Maßnahmen, durch die die XXXX ausschließt, dass es sich bei der Korrespondenzbank um eine Bank-Mantelgesellschaft gemäß § 2 Z 74 BWG handelt, wurden nicht gesetzt.

Den Fragen, ob das Institut in dem Land, in dem es gegründet wurde, physisch präsent ist, sodass eine echte Leitung und Verwaltung stattfinden könnte bzw. inwiefern das Institut einer regulierten Finanzgruppe angeschlossen ist, wird gemäß vorliegenden Ausführungen nicht nachgegangen.

Dies deckt sich auch mit den Aussagen der ehemaligen Geldwäschebeauftragten Frau XXXX (ON 38), nach der die übrigen Mitarbeiter wohl ausschließlich das genannte Formular "Questionnaire Correspondent Banking" (ON 27) verwendet hätten, auf dem sogar die Frage nach der Shell Bank fehle (Seite 7).

Folgender Testfall 2 ist in diesem Zusammenhang ebenfalls zu nennen:

Testfall 2: Kundennummer XXXX

Folgende, der Identifizierung der juristischen Person dienliche

Firmenunterlagen, liegen den Kundenunterlagen bei: "By-Laws" vom 16.09.2004, (nicht apostilliert); "Offshore Banking Licence" vom 19.09.1997, ausgestellt durch die "Offshore Finance Authority", (nicht apostilliert); "Certificate of Good Standing" vom 25.09.2003 (nicht apostilliert); "Certificate of Incorporation with List of Directors" vom 28.04.2003 (nicht apostilliert); "Articles of Incorporation" vom 21.02.2003 (nicht apostilliert). Des Weiteren liegt den Unterlagen das Dokument "Declaration of Domicile" bei, in dem das Domizil der Bank, St. Vincent und die Grenadinen, bestätigt wird. Eine Bestätigung bzw. weitere Informationen dahingehend, dass die echte Leitung und Verwaltung im Firmensitz auf St. Vincent und den Grenadinen stattfindet, enthält dieses Dokument nicht und geht dies aus den weiteren Kundenunterlagen nicht hervor.

Vielmehr ist nach Sichtung der Kundenunterlagen davon auszugehen, dass jegliche Kommunikation mit der Geschäftsstelle der Bank in Budapest abgewickelt wird. Ob es sich bei dem Firmensitz der Bank auf St. Vincent und den Grenadinen tatsächlich um eine physische Präsenz handelt, sodass dort eine echte Leitung und Verwaltung stattfinden könnte sowie eine dahingehende Prüfung dieses Sachverhaltes seitens der XXXX, um ausschließen zu können, dass es sich bei vorliegender Korrespondenzbank um eine Bank-Mantelgesellschaft gemäß § 2 Z 74 BWG handelt, wurde in den Kundenunterlagen nicht dokumentiert.

Diesbezüglich gab der GWB an, dass die handelnden Personen der Bank bekannt seien. Im Zuge der Vor-Ort-Prüfung wurde eine Liste von 24 Mitarbeitern der Korrespondenzbank, die gemäß beiliegendem E-Mail eines Vertreters der Korrespondenzbank in einem Büro auf St. Vincent und den Grenadinen angesiedelt sind, vorgelegt. Auffällig sind die in beiliegendem E-Mail angegebenen Kontaktdaten des "Chairman" der Korrespondenzbank: Der Chairman des Unternehmens gab eine ungarische Mobiltelefonnummer an, ist aber gemäß Kontaktdaten weiters unter der Nummer der angegebenen Hauptanstalt auf St. Vincent und den Grenadinen erreichbar. Da aus der beiliegenden Korrespondenz hervorgeht, dass der Chairman selbst den Mitarbeiterstand auf St. Vincent und den Grenadinen erfragen musste, lässt sich daraus iVm der ungarischen Mobiltelefonnummer schließen, dass der Chairman in der Geschäftsstelle der Bank in Budapest ansässig ist und die Telefonnummer der angegebenen Hauptanstalt direkt in diese Geschäftsstelle umgeleitet wird.

Am 21.03.2013 reichte die XXXX weitere Unterlagen nach (es handelt sich um einen Ausdruck aus den Kontaktdaten der Homepage der Korrespondenzbank), aus denen die Telefonnummer sowie Faxnummer des "Helpdesk/Customer Service" hervorgeht. Die Vorwahl dieser Nummer lautet gemäß diesen Unterlagen +361. Diesbezüglich ist anzumerken, dass "+36" die Landesvorwahl Ungarns und der Zusatz "1" die Vorwahl für Budapest ist. Die vorliegenden Unterlagen vermitteln verstärkt den Eindruck, dass sich die echte Leitung und Verwaltung dieser Korrespondenzbank tatsächlich in Budapest befindet. Es ist daher nicht auszuschließen, dass es sich bei dieser Korrespondenzbank um eine Bank-Mantelgesellschaft mit tatsächlicher Leitung und Verwaltung in Budapest handelt (vgl. zu alledem ON 04 Rz 99 und 100).

Auch nach den Aussagen der ehemaligen Geldwäschebeauftragten Frau XXXX (ON 38) deuten alle Indizien darauf hin, dass es sich um eine Shell Bank handelt (Seite 6).

Bezüglich Testfall 2 hat die XXXX in ihrer Stellungnahme vom 06.09.2013 angegeben, dass die Kundenunterlagen des Testfalles bereits aktualisiert wurden und laufend aktualisiert werden.

In der Stellungnahme vom 04.11.2014 (ON 09) gibt die XXXX dazu folgendes an:

Bild kann nicht dargestellt werden

Erkennbar ist daraus, dass die Korrespondenzbankbeziehung beendet wurde; wann dies konkret war, ist nicht ersichtlich.

Zu Spruchpunkt 10.

Geldwäschereibeauftragte (GWB) im Zeitpunkt der Vor-Ort-Prüfung der XXXX, konkret seit 21.02.2013 bis 14.08.2014 war XXXX. Dies wurde auch von der XXXX in der Rechtfertigung auf Seite 14 bestätigt. Sie war im Zeitpunkt der VOP gleichzeitig Compliance Officer sowie verantwortlich für den Bereich "Verwaltung". Frau XXXX widmete jedenfalls zur Zeit der VOP der FMA täglich ca. 50 % ihrer Arbeitszeit Agenden der Prävention von Geldwäscherei und Terrorismusfinanzierung (Angaben Frau XXXX, Prüfbericht ON 04; Rz 9).

XXXX wurde im Falle ihrer Abwesenheit durch XXXX vertreten. Es handelt sich hierbei um eine ausschließliche Abwesenheitsvertretung zur Sicherstellung der ex-ante-Prüfung von Auslandszahlungen, der Kontrolle der "Alerts" aus "SironAML" sowie von ad-hoc Anfragen der Kundenbetreuer (Prüfbericht ON 04, Rz 10).

Die Stellenbeschreibung der Geldwäschebeauftragen XXXX vom Mai 2013 (ON 29) stellt sich wie folgt dar. Es beinhaltet ein sehr umfangreiches Aufgabenfeld für eine Halbtagstätigkeit:

Bild kann nicht dargestellt werden

Auf Frau XXXX folgte per 14.08.2014 Frau XXXX. Gemäß Stellungnahme der XXXX vom Jänner 2015. Sie wendete 90% ihrer Arbeitszeit für Agenden der GW/TF auf (ON 10). Mit 01.01.2015 wurde das AML-Team auf 2 Personen erweitert (durch Einrichtung einer Stellvertretung für Frau XXXX).

Zum Thema Geldwäschebeauftragte ist auch folgende Aussage des ehemaligen Vorstandes XXXX anlässlich seiner Vernehmung zu erwähnen (Vernehmungsprotokoll ON 31):

Bild kann nicht dargestellt werden

Nach Einschätzung des Vorstandes war somit angesichts der hohen Anforderungen von §§ 40 ff BWG sowohl Frau XXXX als auch Frau XXXX "für die große Arbeitsbelastung bzw. Führungsaufgaben nicht so gut geeignet". Frau XXXX war zudem einer Doppelbelastung als Compliance-Beauftragten ausgesetzt.

Frau XXXX war zuvor Assistenz des Vorstandes und Compliance-Officer bei der Wertpapiervertriebsgesellschaft der XXXX. Sie eignete sich - da die vormalige GWB XXXX die XXXX bereits verlassen hatte, ihre neue Rolle "on the job" an. Erst seit 01.01.2015 wurde das AML-Team erweitert, indem eine Stellvertretung für Frau XXXX eingestellt wurde; seitdem bestehe das AML-Team aus 2 Personen (Bericht der PWC (ON 32)).

Die Urkunde, mit der die Geldwäschebeauftragte (Frau XXXX) zur verantwortlichen Beauftragten bestellt werden sollte, hat folgenden Wortlaut:

"Vorstandsbeschluss

Anwesend: 1. Herr XXXX

2. Herr XXXX

Gemäß § 9 Abs. 2 VStG sind die zur Vertretung nach außen Berufenen berechtigt, andere als die zur Vertretung nach aßen befugten Personen als verantwortliche(n) Beauftragte(n) zu bestellen, dem/denen für bestimmte räumlich oder sachlich abgegrenzte Bereiche des Unternehmens die Verantwortung für die Einhaltung der Verwaltungsvorschriften obliegt.

Der Vorstand beschließt hiermit einstimmig, dass

Frau XXXX

Zu der für den Bereich der Einhaltung der Geldwäschereibestimmungen der XXXX gemäß §§ 40 und 41 Abs 1 bis 4 verantwortlichen Beauftragten gemäß § 9 Abs. 2 VStG. Die verantwortliche Beauftragte hat ihren Hauptwohnsitz im Inland und ihr kommt für die genannten Bereiche innerhalb der XXXX Anordnungsbefugnis zu. Mit ihrer Unterschrift unter diesen Vorstandsbeschluss stimmt die verantwortliche Beauftragte ihrer Bestellung zu.

Wien, am 21.2.2013

[Unterschriften]

XXXX

Zustimmung und Kenntnisnahme der Bestellung:

[Unerschrift]

XXXX"

Die Finanzmarktaufsichtsbehörde verfügt zwar über Infrastruktur zur Führung von elektronischen Akten und nutzte diese auch im vorliegenden Verwaltungsstrafverfahren. Zusätzliche technische Infrastruktur, die zur Gewährung von elektronischer Akteneinsicht geeignet ist, steht ihr aber derzeit nicht zur Verfügung. Dem Bundesverwaltungsgericht werden die Akten des Verwaltungsstrafverfahrens in ausgedruckter Papierform vorgelegt. Das Bundesverwaltungsgericht führt seine (und die vorgelegten) Akten in Papierform. Dem Beschwerdevertreter wurde in die ausgedruckten Akten Einsicht gewährt.

2. Beweiswürdigung:

Zu den allgemeinen Charakteristika der beschwerdeführenden Gesellschaft (inklusive Kundenstruktur, Geschäftsmodell etc), ihrer Vorgeschichte und dem Verlauf der Prüfung, können die Feststellungen des angefochtenen Bescheides übernommen werden. Diese stützen sich auf den Akteninhalt und ihnen wurde im Verfahren nicht entgegengetreten. Die Feststellung zur faktischen Aufgabenaufteilung der Vorstände in Bezug auf Geldwäschepräventionsthemen beruht auf in der mündlichen Verhandlung (einvernehmlich) verlesene niederschriftliche Aussagen von Frau XXXX und die diese Aussage in Bezug auf die Hauptaufgabenteilung der Vorstände im Wesentlichen bestätigenden Aussagen des Vorstands XXXX in der Verhandlung.

Die Feststellung, dass der belangten Behörde die technischen Möglichkeiten zur elektronischen Akteneinsicht (nicht auch: Aktenführung) fehlen, wird in der Beschwerde damit bestritten, dass die Einschränkung auf technisch mögliche Formen nur bezüglich der Ferneinsicht in elektronische Akten gelte (nicht aber hinsichtlich der elektronischen Einsicht bei der Behörde selbst). Außerdem sei es unrichtig, dass die belangte Behörde nicht über die "nötige Ausstattung zur Gewährung der elektronischen Akteneinsicht" verfüge, denn sie habe "sogar einen eigenen EDV-Schulungsraum, in dem wohl die Infrastruktur für eine elektronische Akteneinsicht" bestehe oder "zumindest problemlos hergestellt werden" könne. Damit werden (offenbar infolge einer unzutreffenden rechtlichen Prämisse) keine substantiierten Behauptungen in die Richtung aufgestellt, dass die belangte Behörde zusätzlich zur technischen Infrastruktur für elektronische Aktenführung auch technische Möglichkeiten spezifisch zur elektronischen Akteneinsicht hat, es werden auch keine dahingehenden Beweisanträge gestellt, sondern es wird aus dem Vorhandensein der Ausrüstung für technische Aktenführung (und einem internen EDV-Schulungsraum) im Wege einer Vermutung auf die gleichzeitige Verfügbarkeit der technischen Mittel zur elektronischen Akteneinsicht geschlossen. Dieser Vermutung liegt offenkundig das (unzutreffende) Verständnis zugrunde, dass mit der Infrastruktur für elektronische Aktenführung ohne weitere zusätzliche Technik (zB Hard- oder Software) eo ipso auch die Infrastruktur zur elektronischen Akteneinsicht vorhanden sei. Dem kann sich das Bundesverwaltungsgericht nicht anschließen und es ist auch sonst nicht hervorgekommen, dass die belangte Behörde derartige technische Möglichkeiten hat, die zusätzlich zur elektronischen Aktenführung auch die elektronische Akteneinsicht bewerkstelligen. Dass es sich dabei um ein spezifisches, zusätzliches technisches Erfordernis handelt, wird in der rechtlichen Beurteilung unter Pkt. II.3.3.4 näher dargelegt.

Beweiswürdigung zu den einzelnen festgestellten Pflichtverletzungen

Das Bundesverwaltungsgericht übernimmt aus folgenden Gründen mit Modifikationen (dazu näher im Folgenden) die Feststellungen des angefochtenen Bescheides:

Zu Spruchpunkt 1. des angefochtenen Straferkenntnisses:

Die Feststellungen zu Zeitpunkt der Erstellung, Inhalt und Zeitpunkt des In-Kraft-Setzens der jeweils erwähnten Risikoanalysen (2012 mit Stand 1.1.2013 und nachfolgend 2015) ergeben sich aus dem Akteninhalt, insb. den darin enthaltenen Ausdrucken der Risikoanalysen. Diese Fakten sind inhaltlich vom Beschwerdevorbringen unwidersprochen; das Beschwerdevorbringen konzentriert sich in diesem Punkt auf die Wertung dieser Fakten. Dazu wird auf die rechtliche Beurteilung verwiesen.

Zu Spruchpunkt 2. des angefochtenen Straferkenntnisses:

Die im angefochtenen Bescheid diesbezüglich getroffenen Feststellungen besagen zusammengefasst, dass im relevanten Tatzeitraum die Feststellung der Identität und Vertretungsbefugnisse der Vertretungsorgane für eine als juristische Person auftretende Kundin nicht erfolgt sei (2.1.) und die Vertretungsbefugnis der für diese Kundin als Zeichnungsberechtigte geführten Personen nicht geprüft wurde (2.2.).

In der Beschwerde berief sich die beschwerdeführende Gesellschaft dazu auf den Umstand, dass die im Kundenakt ersichtlichen "zahlreichen" Unterschriftenprobenblätter einen "intensiven Kundenkontakt" und "präzise Kenntnis [ihrer] Mitarbeiter über Belange dieser Kundin" belegen würden. Daher seien für die beschwerdeführende Gesellschaft "keinerlei Gründe" vorgelegen, daran zu zweifeln, dass "die identifizierten Personen (Österreicher) wirtschaftliche Eigentümer bzw. zeichnungsbefugt sind. Dieses Vorbringen geht jedoch am relevanten Beweisthema vorbei, so dass es sich erübrigt, entsprechende nähere Ermittlungen zu pflegen und ergänzende Feststellungen zu treffen: Relevant ist die Frage der Prüfung der Vertretungsbefugten für die juristische Person und der Vertretungsbefugnis der Zeichnungsberechtigten. Darüber hinaus ist persönliches nicht objektivierbar erhobenes und dokumentiertes Wissen einzelner Mitarbeiter schon abstrakt nicht geeignet, die Erfüllung der hier relevanten Pflicht darzutun, wofür auf die rechtliche Beurteilung verwiesen wird. Abgesehen von dieser Behauptung ergänzender Tatsachen wurde den bereits im Straferkenntnis getroffenen Feststellungen zu diesen Punkten nicht entgegengetreten; das Bundesverwaltungsgericht kann sie übernehmen, weil sie sich in unbedenklicher Weise auf den Akteninhalt stützen können.

Zu Spruchpunkt 3. des angefochtenen Straferkenntnisses:

Zu den Feststellungen des Spruchpunktes 3. des angefochtenen Straferkenntnisses wird zunächst auf die im angefochtenen Bescheid getroffenen Feststellungen und die darin enthaltenen - zutreffenden - beweiswürdigenden Verweise auf das im Akt liegende Urkundenmaterial hingewiesen. Die beschwerdeführende Partei trat dem Vorwurf in diesem Punkt einerseits damit entgegen, dass in der täglichen Praxis bei jedem einzelnen Kunden eine entsprechende Überprüfung stattgefunden habe (zu diesem Vorbringen verweist das Bundesverwaltungsgericht auf die rechtliche Beurteilung). Auf Ebene der Beweise zum Inhalt der vorhandenen allgemeinen "Strategien und Verfahren" bringt die Beschwerde zunächst nichts vor (außer, dass die gleiche Textierung auch bei anderen Banken verwendet werde - dazu siehe die rechtliche Beurteilung), in der mündlichen Beschwerdeverhandlung stütze die beschwerdeführende Partei ihre Behauptung angemessener Verfahren und Strategien ergänzend aber noch auf folgende Beweismittel und Vorbringen:

Beilage ./3 "Checklist Customer Acceptance"

Beilage .4/ "Schulungsunterlage für Mitarbeiter der XXXX im Hinblick auf Bekämpfung von Geldwäsche und Terrorismusfinanzierung".

Der Beschwerdevertreter leitet aus der Beilage ./3 ab, dass vorgesehen gewesen sei, dass der Geldwäschebeauftragte und der Finanzvorstand bei Risikoklassen drei und aufwärts "einzuschalten" seien, dass aber im Übrigen "in jedem Fall" eine "Identifikation" stattfinde. Auch eine "Verifikation" finde in jedem Fall statt. Der Schritt, der in den AML-Policies vorgesehen sei, sei "ein zusätzlicher Schritt", der sich auf bestimmte Risikoklassen beziehe (Hinweis auf AML-Policy Version 0.3, S. 52 ff).

Dieses Vorbringen und die Bezugnahme auf die Beilagen .3/ und ./4 sind nicht geeignet, das Vorhandensein einer internen Vorschrift zu belegen, wonach bei juristischen Personen in sämtlichen Risikoklassen regelmäßig auch eine Überprüfung seiner wirtschaftlichen Eigentümerstruktur bankintern allgemein (dh. eben in Form von Strategien und Verfahren) vorgesehen wurde. Die Beilage .3/ belegt insofern nur, dass die Mitarbeiter bei der Identifikation das Formular Know Your Client zu verwenden und eine Erklärung des Kunden einzuholen hätten. Ganz allgemein enthält die Beilage nur Anweisungen und Vorgaben zu Prozessen der Einholung von Kundenangaben bei Beginn der Kundenbeziehung, nicht aber Anweisungen und Vorgaben für weitere vom Bankmitarbeiter zu treffenden Schritte zur Überprüfung dieser Informationen (dh. der Vollständigkeit und Richtigkeit von Kundenangaben), wie sie - beschränkt auf Hochrisikokunden - in den AML-Policies exemplarisch genannt werden (Einholung von zusätzlichen beweiskräftigen Unterlagen zur belegbaren Überprüfung des wirtschaftlichen Eigentümers). In Ermangelung sonstiger klarer Vorgaben auch in Richtung einer solchen (über die bloße Identifikation und die Informationseinholung hinausgehenden) Überprüfung verbleiben als einzig ersichtliche interne Maßnahmen mit derartigen Überprüfungsvorgaben die bereits im angefochtenen Bescheid genannten AML-Policies, die aber zusätzlich zur Identifikation eben ausdrücklich beschränkt auf Kunden mit höherem Risiko des Kunden eine mit "Unterlagen bzw. beweiskräftigen Urkunden" vorzunehmende "Überprüfung" seines wirtschaftlichen Eigentümers vorsehen. Die darin enthaltene Unterscheidung zwischen der Vorgangsweise für "alle Kunden" und jener für "Kunden der RK 3" besteht eindeutig (und primär) darin, dass nur für Letztere die erwähnte "Überprüfung" vorgesehen ist, für Erstere somit nicht. Dass aus der Checklist Customer Acceptance (Beilage ./3) etwas anderes hervorginge, kann zum Einen - wie dargelegt - schon aus deren Inhalt nicht gesehen werden, zum Anderen wäre ja die Gesamtheit der internen Vorgaben auch unklar und widersprüchlich (und damit in dieser Hinsicht nicht "angemessen" und "geeignet"), wenn Mitarbeiter aus einem themenspezifischen Dokument (den AML-Policies) wegen der aufgezeigten Formulierung diesbezüglich eine klare Beschränkung auf bestimmte Risikoklassen ableiten müssen, gleichzeitig aber von ihnen erwartet wird, dass sie aus einem anderen Dokument (wie zB der besagten Checklist) wiederum die implizite Aufhebung dieser Beschränkung herauslesen sollen.

Zu der in der Verhandlung vorgelegten Beilage ./4 ist beweiswürdigend Folgendes auszuführen:

Inhaltlich handelt es sich bei der Beilage ./4 um eine Schulungsunterlage (Vortragsfolien), die in allgemeiner Weise die Regelwerke, Zwecke, Ziele, Prinzipien, Behörden, Akteure, Hauptaugenmerke und Methoden der finanzmarktaufsichtsrechtlichen Maßnahmen zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung darstellt. Die den Namen des damaligen Geldwäschebeauftragten (offenkundig als Vortragenden) und das Datum 01.02.2013 aufweisende Vortragsunterlage ist untergliedert in die Abschnitte "1. Vorstellung und Zielsetzung", "2. Begriffsbestimmungen & Phasen der Geldwäsche", "4. Maßnahmen zur Prävention von Geldwäsche & Terrorismusfinanzierung", "5. Aufgaben des Geldwäschebeauftragten",

"6. Verdachtsmeldungen", "7. Anlassfälle und Typologien von Geldwäsche". Die zum Abschnitt 4. gehörende Folie 13 enthält zB eine Aufzählung der "Vorteile und Herausforderungen des risikoorientierten Ansatzes", wobei als Vorteile etwa genannt werden: "effizientere Ressourcennutzung, Minimierung des für den Kunden entstehenden Aufwandes, besseres Risikomanagement, Konzentrierung auf höhere Risiken, Flexiblere Anpassung an neue Risiken oder sich verändernde Risiken, Fokus auf tatsächliche und identifizierte Gefahren". Die nachfolgende Folie 14 illustriert unter dem Titel "Der Risikoorientierte Ansatz im Überblick" den Schritt "1. Risikoanalyse" (mit Aufzählung von Unterpunkten "Risikokriterien - Produkte, Kunden, Komplexität der Transaktionen, Geschäft der Kunden, Geografie - Risikovariablen" und den Schritt

"2. Risikobasierte & angemessene Maßnahmen" mit den Unterpunkten "Gesetzlich vorgegebene Sorgfaltspflichten § 40 BWG / verstärkt / vereinfacht" und "Ermessen des Instituts - zB Dienstanweisung". Sodann beschreiben die Folien 15 und 16 punktationsartig, wie bei Erstellung einer Risikoanalyse vorgegangen wird und welche Kriterien dabei zu beachten sind. Auf Folie 20 wird eine Beschreibung unter dem Titel "Standard Sorgfaltspflichten" eingeleitet, dort wird beschrieben, wer als "Kunde" zu verstehen ist ("Kunde ist, wer von einem beaufsichtigten Unternehmen - im eigenen oder fremden Auftrag - einen Vertrag abschließt ...."). Anschließend beschreibt Folie 21 unter dem Titel "Standard Sorgfaltspflichten" untergliedert in die drei Spalten "Wer/Wann/Wie" verschiedene Schritte der Identifizierung und Überprüfung. Dazu findet sich unter der Spalte "Wie" ein Aufzählungspunkt mit folgendem Text: "Risikobasierte und angemessene Maßnahmen zur Überprüfung der Identität des wirtschaftlichen Eigentümers, Mitwirkungspflicht des Kunden". In der Folie 35 wird beschrieben, welche allgemeinen organisatorischen Rahmenbedingungen im Unternehmen vorzugeben sind ("Anlage KYC Profil / Kundenidentifizierung, - Zuständigkeiten - Art der Erfassung - elektronisch vs. Papierform; Relevante KYC Prozesse - Kundenannahmeprozess (‚on boarding Prozess') Genehmigungsprozess - Eskalationsprozess - Überwachungsprozess; KYC Policy / Handbuch; Umsetzung - Softwarelösungen"). Folie 27 trägt den Titel "Identifizierung von juristischen Personen - Wirtschaftlicher Eigentümer" und Folie 28 enthält ein Fallbeispiel. Weiters enthält die Folie 27 die gesetzliche Definition des wirtschaftlichen Eigentümers gemäß § 2 Z 75 BWG und eine Erläuterung dazu.

Bereits aus dem gesamten Aufbau und der inhaltlichen Stoßrichtung dieser Vortragsunterlage lässt sich erkennen, dass diese nicht darauf abzielt, unternehmensinterne Handlungsanweisungen zu formulieren, sondern dazu dient, die Systematik und Instrumente der finanzmarktaufsichtsrechtlichen Maßnahmen zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung in rechtlich-abstrakter Hinsicht zu erklären, verständlich aufzubereiten und prinzipienartig darzustellen. Einer solchen Unterlage, die ihrerseits objektiv gar nicht den Anspruch vermittelt, bereits unternehmensintern konkret formulierte Vorgaben zu beschreiben, zumal sie ja auch auf das Erfordernis solcher erst zu erstellender Vorgaben verweist (Folie 35) und ähnlich offen-abstrakt wie die Gesetzeslage verfasst ist, kann bei redlicher Betrachtung nicht entnommen werden, dass es sich bei der Vortragsunterlage selbst bereits um ein von der Unternehmensleitung sanktioniertes, konkret für das Unternehmen angepasstes und als Regelwerk formuliertes Maßnahmenbündel handeln soll. Auch die Berücksichtigung dieser Vortragsunterlage kann daher nicht zu der Feststellung führen, dass die Problematik der Formulierung der AML-Policies, in denen eine Überprüfung des wirtschaftlichen Eigentümers auf Hochrisikokategorien beschränkt war, ausgeglichen gewesen wäre.

Das Bundesverwaltungsgericht bestätigt daher ungeachtet der im Beschwerdeverfahren erhobenen Einwände und geltend gemachten Beweismittel die bereits im angefochtenen Bescheid dazu getroffene Feststellung, die sich unbedenklich auf die Unterlagen des Verwaltungsaktes stützt.

Die beschwerdeführende Partei hat in der mündlichen Verhandlung jedoch zusätzlich auch noch auf den Inhalt der Dienstanweisung vom 1.2.2013 mit dem Betreff "Know Your Client (KYC) Prozess" hingewiesen, die sich als Ordnungsnummer 18 im Akt der belangten Behörde befindet. Der im Zusammenhang mit der Überprüfung des wirtschaftlichen Eigentümers stehende Teil dieser Dienstanweisung wurde in die Feststellungen ergänzend aufgenommen. Zu den Konsequenzen dieser Feststellungen und dem Verhältnis zum festgestellten Inhalt der AML-Handbücher (AML-Policies) wird auf die Ausführungen in der rechtlichen Beurteilung verwiesen.

Die in der Verhandlung getätigten Aussagen der Frau XXXX zur Praxis von Kundenanbahnungsprozesses fließen in die Feststellungen zu diesem Spruchpunkt nicht ein, weil der Vorwurf einer Pflichtverletzung die Einrichtung der der Praxis vorgelagerten Strategien und Verfahren im Sinne von organisatorischen Maßnahmen und Regulativen betrifft.

Zu Spruchpunkten 4.1. bis 4.5. des angefochtenen Straferkenntnisses:

Die von der belangten Behörde festgestellten Pflichtverletzungen zu diesen Spruchpunkten betreffen die Unterlassung risikobasierter Maßnahmen zur Überprüfung der Identität der wirtschaftlichen Eigentümer in fünf Fällen von Kundenbeziehungen mit Kunden, die einer hohen Risikokategorie zugeordnet wurden.

Spruchpunkt 4.1

Die zu Spruchpunkt 4.1. festgestellten Tatsachen bestritt die Beschwerde nicht und der Beschwerdevertreter bestätigte auch in der mündlichen Verhandlung, dass es ihm diesbezüglich letztlich "um die hier aufgeworfene Rechtsfrage" gehe. Die von der belangten Behörde herangezogen Beweismittel (insb. die im Verwaltungsakt enthaltenen Kundenunterlagen) hält auch das Bundesverwaltungsgericht für aufschlussreich und es teilt die darauf gestützte Beweiswürdigung, so dass es die Feststellung übernehmen konnte.

Spruchpunkt 4.2.

Der als Pflichtverletzung festgestellte Sachverhalt zu Spruchpunkt

4.2. bezieht sich auf einen Zeitraum von 01.01.2014 bis 19.05.2014 (Tatzeitraum). Zur Bekämpfung dieser Feststellungen bezieht sich das Beschwerdevorbringen darauf, dass "zweifelsfreie Unterlagen" vorhanden seien, die "die Eigentümerkette" des Kunden "bis hinauf zum wirtschaftlichen Eigentümer" nachweisen würden. Die entsprechenden Unterlagen zu den zwischengeschalteten Gesellschaften "seien ordnungsgemäß erstellt, im Kundenakt aufliegend und auch mit dem Stempel der Financial Services Authority" versehen. Auch der im Akt aufliegende KPMG-Prüfbericht plausibilisiere die Geschäftstätigkeit dieses Kunden. Ergänzend legte die beschwerdeführende Partei in der Verhandlung ein Unterlagenkonvolut (Beilage ./5 zur Verhandlungsniederschrift) vor.

Dieses besteht aus Kopien von:

1. einer "Declaration of beneficiary Owner" vom 11.09.2012,

2. einem (am 30.09.2014 apostillierten) "Certificate of Incumbency" vom 30.09.2014, das zur XXXX ausgestellt wurde und den XXXX als "Sole Owner" (Alleineigentümer) ausweist,

3. einem (am 30.09.2014 apostillierten) und vom Registrar of International Business Companies ausgestellten "Certificate of Good Standing" vom 30.09.2014 betreffend die XXXX,

4. einer (am 30.09.2014 apostillierten) Bestätigung der International Financial Services Authority von Saint Vincent and the Grenadines vom 24.5.2012 (?) betreffend die XXXX,

5. einem mit 22.08.2014 datierten (und am 03.10.2014 apostillierten) "Certificate of Incorporation betreffend die XXXX,

6. einem mit 06.10.2014 datierten "Certificate of Status" des Deputy registrar of Companies of the State of Saint Vincent and the Grenadines betreffend die XXXX.,

7. einem (am 22.01.2013 apostillierten) vom Registrar of International Business Companies ausgestellten "Certificate of Good Standing" vom 21.02.2013 betreffend die XXXX,

8. einem (am 12.06.2012 apostillierten) vom Registrar of International Business Companies ausgestelltes "Certificate of Good Standing" vom 11.06.2012 betreffend die XXXX,

9. einem (am 03.08.2012 apostillierten) "Certificate of Incumbency" vom 02.08.2012, das zur XXXX ausgestellt wurde und den XXXX als "the share holder"ausweist,

10. einem (am 03.08.2012 apostillierten) "Register of shares" betreffed die XXXX, in dem die XXXX, die XXXX und die XXXX als "shareholder" ausgewiesen werden, wobei aus dem Dokument hervorgeht, dass die XXXX ihre Anteile am 09.12.2009 an die XXXX transferiert hat,

11. einem "Share Certificate vom 08.02.2011 der XXXX. In dem bestätigt wird, dass die XXXX 5 shares hält,

12. einem mit 30.09.2014 datierten und apostillierten "Certificate of Incumbency" betreffend die XXXX, in dem bestätigt wird, dass "settlor" und "beneficiary" dieses Trusts die XXXX ist.

13. einem ebensolchen Dokument vom 02.08.2012,

14. einem Trust deed vom 21.12.2010 (Registrierungsstempel vom 07.02.2011, Apostillierung vom 03.08.2012) über den XXXX, abgeschlossen zwischen der XXXX. (als Trustee) und der XXXX (als "Settlor")

15. einem mit 30.09.2014 datierten (am selben Tag apostillierten) "Certificate of Incumbency" betreffend die XXXX

16. einem (am 30.09.2014 apostillierten) vom Registrar of International Business Companies ausgestellten "Certificate of Good Standing" vom 30.09.2014 betreffend XXXX,

17. einem (am 17.07.2012 notariell beglaubigten) vom Registrar of Corporate Affairs der British Virgin Islands ausgestellten "Certificate of Good Standing" vom 16.07.2012 betreffend XXXX, sowie einem dazugehörigen "Certificate of Incorporation" und einem "Share Certificate" vom 19.07.2011, aus dem hervorgeht, dass die XXXX 50,000 Shares zu je 1 US$ ausgeben kann und dass Herr XXXX Inhaber von 1,000 "ordinary shares" ist.

Bei Berücksichtigung der Daten dieser Urkunden ist festzuhalten, dass nur die oben unter Punkt 1., 7., 8., 9., 10., 11., 13., 14. und 17. aufgezählten Dokumente der beschwerdeführenden Gesellschaft bereits zum vorgeworfenen Tatzeitraum vorliegen konnten.

Bei einer Gesamtschau dieser Dokumente gelangt das Bundesverwaltungsgericht zu der Feststellung, dass eine Überprüfung der in der Kundenerklärung (declaration of beneficiary owner, oben Pkt. 1.) behaupteten Informationen zum wirtschaftlichen Eigentümer, insbesondere zu den Eigentumsverhältnisse an der XXXX und an der XXXX im vorgeworfenen Zeitraum nicht unternommen wurde, weil frühestens mit der in Punkt 17. genannten Urkunde ein Beleg über share-Inhaber der erstgenannten Gesellschaft vorlag, der aber nur bescheinigt, dass Herr XXXX Inhaber von 1,000 Aktien ist, ohne dass dokumentiert wäre, wieviele Aktien ausgegeben worden sind, was vor dem Hintergrund, dass laut "Certificate of Incorporation" bis zu 50.000 shares ausgegeben werden können, die Inhaberschaft weiter klärungsbedürftig erscheinen lassen musste. Dazu kommt, wie von der belangten Behörde bereits festgehalten, dass das keinen offiziellen Charakter vermittelnde Dokument "Register of shares" (oben Pkt. 10.) auch die XXXX neben der XXXX als share-Inhaber der XXXX. ausweist, so dass eine mit allen sonstigen Urkunden in einem Spannungsverhältnis stehende und damit aufklärungsbedürftige Information über die Eigentumsverhältnisse an der XXXX. vorlag. Davon, dass die beschwerdeführende Gesellschaft, wie in der Beschwerde behauptet, über "zweifelsfreie Unterlagen verfügt, die die Eigentümerkette vom Kunden bis hinauf zum wirtschaftlichen Eigentümer nachweisen", kann - jedenfalls bezogen auf den Tatzeitraum - vor dem Hintergrund der vorliegenden Beweismittel keine Rede sein.

Zu Spruchpunkt 4.3.

In Bezug auf die zu diesem Spruchpunkt festgestellten Tatsachen bringt die Beschwerde vor, dass der wirtschaftliche Eigentümer der Kundin (einer juristischen Person) "einwandfrei" durch das Formular "Declaration of Beneficiary Owner" identifiziert worden sei. Eine Überprüfung sei erfolgt, weil einerseits für den Sachbearbeiter der beschwerdeführenden Gesellschaft "kein Grund" bestanden habe, an der Eigenschaft der genannten natürlichen Person als wirtschaftlicher Eigentümer zu zweifeln, andererseits, weil in der Jurisdiktion Panama "kein extern geführtes, von Behörden als richtig gewährleistetes Register" bestehe, welches Treuhandschaften bestätige. Folglich bleibe als endgültiges Identifikationsmerkmal die hier vorliegende Treuhandbestätigung. Deren Unterfertigung durch den wirtschaftlichen Eigentümer sei nicht Anlass für Zweifel, sondern tatsächlich Ausdruck der ordnungsmäßen Handhabung. Dieses Vorbringen tritt den im angefochtenen Bescheid getroffenen Feststellungen nicht entgegen. Der Beschwerdevertreter bestätigte in der mündlichen Verhandlung, dass das Vorbringen eher die rechtliche Würdigung betreffe, es ist daher auf diese zu verweisen. Auch das Bundesverwaltungsgericht findet die Feststellungen auf Basis der bereits von der belangten Behörde hierzu herangezogenen Beweise richtig und übernimmt diese Feststellungen daher.

Zu Spruchpunkt 4.4.

Auch zu diesem Spruchpunkt stellte der Beschwerdevertreter in der mündlichen Verhandlung klar, dass das Beschwerdevorbringen auf die rechtliche Würdigung des bereits im Straferkenntnis festgestellten Sachverhalts abziele. Dazu wird daher ebenfalls auf die rechtliche Beurteilung verwiesen. Das Bundesverwaltungsgericht hält die auf Basis der im Verwaltungsakt enthaltenen Beweismittel getroffene und im Bescheid unter Verweis auf diese dargestellte Beweiswürdigung für richtig und übernimmt daher die darauf aufbauenden Feststellungen.

Zu Spruchpunkt 4.5.

Mit diesem Spruchpunkt wurde der beschwerdeführenden Gesellschaft im angefochtenen Bescheid die mangelhafte Überprüfung des wirtschaftlichen Eigentümers einer Kundin (XXXX.) vorgeworfen, einer juristischen Person, die in der höchsten Risikostufe geführt wurde und eine bestimmte natürliche Person als wirtschaftliche Eigentümerin namhaft gemacht habe (XXXX).

In der Beschwerde wird dazu auf Ebene der Würdigung der Beweismittel vorgebracht, dass das Dokument "Nominee Shareholder Declaration of Trust" (Verwaltungsakt ON 29, S 73) das wirtschaftliche Eigentum der betreffenden natürlichen Person (XXXX) an der XXXX belegt habe. Durch dieses Dokument sei auch nachgewiesen, dass die XXXX die Anteile an der XXXX treuhändig gehalten habe.

Dem ist entgegenzuhalten, dass die in dieser Urkunde als wirtschaftliche Eigentümerin bezeichnete natürliche Person, als "beneficial owner" von "The Company" bezeichnet wird, wobei in diesem Dokument als "The Company" die "XXXX" definiert wird. Inwiefern dadurch die Eigenschaft der natürlichen Person als wirtschaftliche Eigentümerin der XXXX belegt sei, erschließt sich dem Bundesverwaltungsgericht nicht. Die Vereinbarung bedeutet nur, dass XXXX als Treuhänder für diese Person handeln und die Anteile an der XXXX halten soll, sagt aber nichts darüber aus, wer wirtschaftlicher Eigentümer der XXXX ist. Wie außerdem die belangte Behörde bereits festgehalten hat, ist die Eignung dieser Urkunde schon grundsätzlich zu verneinen, weil sie als Vereinbarung verfasst ist, aber nur von einer Vertragspartei (nicht aber von der darin genannten natürlichen Person) unterschrieben ist.

Weiters wird (auch in der Beschwerdeverhandlung) vorgebracht, dass sich aus den Urkunden, nämlich dem "Memorandum and Articles of Association" der Kundin nachweisen ließ, dass die XXXX alle Anteile an der Kundin (XXXX.) gehalten habe.

Dies hat die belangte Behörde auf Grundlage der erwähnten Unterlage ohnehin festgestellt (und diese Feststellung wurde vom Verwaltungsgericht übernommen).

Die Beschwerde behauptet, damit sei "die Identifikationskette durchgehend vorhanden" gewesen. In der Beschwerdeverhandlung berief sich der Beschwerdevertreter ergänzend auf (neuerlich in Kopie vorgelegte) Urkunden zu diesem Fall, nämlich ein "Certificate" des Wirtschaftsministeriums von Zypern, das belege, dass die XXXX der XXXX sei (dies ist aber ohnehin festgestellt), und ein "Certificate of Incumbency" der XXXX, das belege, dass die XXXX Shareholder der XXXX sei.

Letzterem ist entgegenzuhalten, dass sich aus besagtem "Certificate of Incumbency" nur die Eigenschaft der XXXX als Anteilsinhaberin der XXXX ergibt, aber nichts über die Eigentümer der erstgenannten Gesellschaft.

Sowohl aus den im Verwaltungsverfahren gewonnenen als auch den im Beschwerdeverfahren ergänzend erhobenen Beweisen folgt daher, dass eine entsprechende Nachprüfung der Angaben zum wirtschaftlichen Eigentümer bei der XXXX, einer (indirekten) Muttergesellschaft der Kundin im Tatzeitraum nicht erfolgte, so dass nicht angemessen überprüft wurde, ob die als wirtschaftliche Eigentümerin der Kundin bezeichnete natürliche Person dies auch tatsächlich war.

Zu Spruchpunkt 5. (5.1. bis 5.5.) des angefochtenen Straferkenntnisses:

In diesem Abschnitt behandelt das angefochtene Straferkenntnis den Vorwurf, dass die beschwerdeführende Gesellschaft in den fünf genannten Fällen von Kundenbeziehungen einerseits unterlassen hat, weitere angemessene Sorgfaltspflichten im Sinne höherer Standards bei der Erlangung und Überprüfung der Informationen zu Zeck und Art der Geschäftsbeziehung (einschließlich Herkunft der Geld- und Finanzmittel) anzuwenden (jeweils Punkt a. der einzelnen Spruchpunkte), und es andererseits unterlassen hat, auf risikoorientierter Grundlage eine stärkere, laufende und institutionalisierte Überwachung von Transaktionen dieser Kunden durchzuführen und die Transaktionen einer verstärkten Plausibilitätsprüfung zu unterziehen (jeweils Punkt b. der einzelnen Spruchpunkte).

Zu Punkt 5.1.

Auf Ebene der Beweiswürdigung bestreitet die beschwerdeführende Gesellschaft die Feststellungen des angefochtenen Bescheides nicht, sondern bestätigte in der mündlichen Verhandlung ausdrücklich, dass sie sich gegen die rechtliche Würdigung der von der Behörde getroffenen Feststellungen wendet. Das Bundesverwaltungsgericht kann sich den Feststellungen anschließen, die beweiswürdigend auf die im Verwaltungsakt befindlichen Unterlagen gestützt werden können.

Zu Punkt 5.2.

Zu diesem Punkt wurden in der Beschwerde keine neuen Beweise angeboten und die Feststellungen auch nicht bestritten. Das Vorbringen baut vielmehr auf den Feststellungen der belangten Behörde auf und bestreitet deren rechtliche Schlussfolgerung. Zum Sachverhalt teilt das Bundesverwaltungsgericht die Feststellungen des angefochtenen Straferkenntnisses, die sich zweifelsfrei aus den aktenkundigen Unterlagen ableiten lassen.

Zu Punkt 5.3.

Das Beschwerdevorbringen (S. 23) der Beschwerde wendet sich auch hier im Wesentlichen (siehe aber sogleich) gegen die von der belangten Behörde vertretene Bewertung des festgestellten Verhaltens (und hier vor allem gegen die Bedachtnahme auf Geschehen aus den Jahren 2012 und 2013 für einen nach 1.1.2014 liegenden Tatvorwurf) und nicht gegen die Feststellungen an sich. Auch das Bundesverwaltungsgericht teilt im Wesentlichen unter Berücksichtigung der schon im angefochtenen Bescheid in unbedenklicher Weise herangezogenen Unterlagen des Verwaltungsakts die von der belangten Behörde dazu getroffenen Feststellungen. Bestritten wird in der Beschwerde lediglich die Feststellung, dass die entsprechenden Informationen von Mitarbeitern der beschwerdeführenden Gesellschaft "nur wegen der Vorortprüfung der FMA erhoben worden" sind. Dazu behauptet sie vielmehr (belegt dies für den betreffenden Kunden aber nicht weiter), dass sie selbstverständlich "laufend" Prüfungen durchführe und dass von ihren Mitarbeitern vorgesehen war, diesbezüglich weitere Informationen zum Kundenakt einzuholen. In der Beschwerdeverhandlung legte der Beschwerdevertreter Unterlagen vor (Beilage ./2 zur Verhandlungsniederschrift). Diese bescheinigen einen Kontakt bzw. Korrespondenz mit einer für die Kundin handelnden Person (XXXX) am

20. und 21. März 2013, nämlich, dass das Ansinnen dieser Person, weitere Zeichnungsberechtigte führen zu lassen, abschlägig behandelt wurde und ihr mit E-Mail vom 21.03.2013 von der beschwerdeführenden Gesellschaft eine "Liste der notwendigen Unterlagen" mitgeteilt wurde (darunter Auszüge aus dem Unternehmensregister der Cayman Islands, eine Bestätigung des "Good standing" der Gesellschaft, eine offizielle Unternehmensadresse, die Anzahl der "shares" und ein "share certificate", die "shareholder" und "beneficial owners" sowie Bestätigungen über juristische Personen, falls solche shareholders sein sollten , vertretungsbefugte Organe der Gesellschaft, eine "Declaration of Trust", aktuelle Passkopien der Vertreter und wirtschaftlichen Eigentümer, gegebenenfalls Vertretungsvollmacht). Das Bundesverwaltungsgericht nimmt diesen Kundenkontakt in seine Feststellungen auf. Entsprechend dem Vorbringen entfernt es im Zweifel zu Gunsten der beschwerdeführenden Gesellschaft die kausal anmutende Wertung, dass die festgestellten Informationen "nur" auf Anfragen der Prüfer bei der Vor-Ort-Kontrolle eingeholt wurden und ändert diese Feststellung dahin gehend ab, dass diese Informationseinholung zeitlich mit der Prüfung zusammenfiel. Auf den Spruch, wo festgestellt wurde, dass entsprechende Recherchen "im Zuge" der Vor-Ort-Prüfung stattfanden, hat dies keine Auswirkung, weil diese Formulierung lediglich eine (korrekte) Beschreibung der zeitlichen Abfolge des Geschehens ausdrückt. Dass hingegen mehr und detaillierte Informationen eingeholt worden wären, dass dies schön früher oder gar "laufend" geschehen wäre, lässt sich anhand des vorliegenden Beweismaterials entgegen dem Beschwerdevorbringen nicht feststellen. Das Bundesverwaltungsgericht kann sich in diesem Zusammenhang deswegen auf die schriftlich vorliegende Beweislage stützen, weil zu erwarten ist, dass entsprechende Schritte jedenfalls dokumentiert werden (dass eine unvollständige Dokumentation geführt worden wäre, behauptet die beschwerdeführende Gesellschaft auch nicht) und das Nichtvorliegen derartiger Dokumentation auf das Nichtsetzen dieser Schritte schließen lässt.

Zu Punkt 5.4.

Zu diesem Punkt bestreitet die Beschwerde den im Bescheid festgestellten Sachverhalt im Wesentlichen nicht. Soweit gerügt wurde, dass im Bescheid eine Warnmeldung nicht der französischen sondern einer kanadischen Finanzmarktaufsichtsbehörde festgestellt wurde, hat das Bundesverwaltungsgericht die - ansonsten übernommenen - Feststellungen entsprechend modifiziert; im Spruch war diese Feststellung ohnehin richtig). Die beschwerdeführende Gesellschaft bringt aber ergänzend vor, dass die Einholung der erforderlichen Informationen nicht erst nach Abwarten der Sonderprüfung geschehen sei. Vielmehr habe sich damals "extern" der Sachverhalt insofern geändert, als Kunden der betreffenden Gesellschaft bei der Beschwerdeführenden Partei nachfragten und Auskünfte einholten. Dies habe die beschwerdeführende Partei veranlasst, diese Kundin einer "intensiven Sonderprüfung" zu unterziehen, was in der Folge zu einer "verdichteten Kenntnislage" und einer Verdachtsmeldung an die Geldwäschemeldestelle des BMI durch die beschwerdeführende Partei geführt habe. Dieses Handeln beweise eine "aufmerksame, kenntnisreiche Herangehensweise" ihrer Mitarbeiter.

Das Bundesverwaltungsgericht hält dazu fest, dass die beschwerdeführende Partei ihre in der Beschwerde aufgestellte Behauptung auf Nachfrage des vorsitzenden Richters, "zu welchem

Zeitpunkt ... Kunden an die Bank herangetreten [sind], um derartige

Auskünfte ... zu verlangen" nicht näher präzisieren konnte. Für das

Bundesverwaltungsgericht ist diese Behauptung aber letztlich nicht weiter relevant (weshalb auch Feststellungen dazu unterblieben), weil der Vorwurf nicht in die Richtung geht, auf verschärfende Momente in Form von Anfragen nach einiger Dauer der Kundenbeziehung nicht reagiert zu haben, sondern dahin geht, dass die beschwerdeführende Gesellschaft diesen Kunden, den sie als Hochrisikokunden geführt hat, trotz dürftiger Wissenslage über dessen Geschäftstätigkeiten nicht schon deswegen aus eigenem Antrieb einer verstärkten Überwachung unterzogen hat.

Soweit in der Beschwerdeverhandlung ein World-Check-Auszug vorgelegt wurde zum Beleg, dass dieser bereits früher (März 2013) zu diesem Kunden eingeholt worden sei, wird auch dies in die Feststellungen ergänzend aufgenommen, ebenso wie der Umstand, dass in diesem Auszug bereits eine entsprechende Warnmitteilung ersichtlich war. Zur Würdigung dieses Umstandes, ebenso zur Wertung des Inhalts der Auskunft über die Meldung einer kanadischen Aufsichtsbehörde wird auf die rechtliche Beurteilung verwiesen.

Zu Punkt 5.5. wurden die Feststellungen in der Beschwerde nicht bekämpft, dies bestätigte der Beschwerdevertreter auch in der Verhandlung. Das Bundesverwaltungsgericht kann diese Feststellungen übernehmen, es teilt nach Durchsicht der herangezogenen Akteninhalte die zugrundeliegende Beweiswürdigung.

Zu Spruchpunkt 6. des angefochtenen Straferkenntnisses:

Dieser Vorwurf lautet dahin, dass die beschwerdeführende Gesellschaft bei einem Kunden, zu dem die Kundenbeziehung bereits seit 2000 bestand, und für den sie damals eine Kundenidentifizierung anhand von Unterlagen aus 1997 vorgenommen hatte, über Jahre hindurch keine Gewähr für eine Aktualisierung der Dokumente, Daten und Informationen über den Kunden bot. Der vorgeworfene Tatzeitraum war von 1.1.2014 bis 2.4.2014. Auf der Beweisebene tritt die Beschwerde (S 23f) den betreffenden Feststellungen nicht entgegen. Das Bundesverwaltungsgericht kann die behördlichen Feststellungen ausgehend von den unbedenklichen Urkunden im Akt gleichlautend übernehmen. Das in der Beschwerde erstattete Vorbringen richtet sich gegen die Subsumtion und wird daher in der rechtlichen Beurteilung beantwortet.

Zu Spruchpunkt 7. des angefochtenen Straferkenntnisses:

Diese Feststellungen betreffen den Umfang und die Intervalle der regelmäßigen Überprüfung der Eigenschaft von Personen (einschließlich der wirtschaftlichen Eigentümer der Kunden) als PEP (Politically Exposed Persons) bei Bestandskunden (dh. im längerfristigen Verlauf der Kundenbeziehung nach bereits erfolgter Aufnahme als Kunde). Mit dem Beschwerdeschriftsatz bemängelte die beschwerdeführende Partei die Richtigkeit der Feststellungen zunächst nicht und rügt in diesem Zusammenhang im Wesentlichen, dass die FMA die von ihr angewendeten Intervalle nicht als angemessen beurteilt hat und bemängelt weiters, dass Zeiträume vor 1.1.2014 herangezogen wurden (zu all dem s. rechtliche Beurteilung). Sie beruft sich zudem auf die Praxis einer anderen Bank, die ihr bei einer Tagung am 24.09.2015 zur Kenntnis gelangt sei (zur fehlenden rechtlichen Relevanz dieses Vorbringens s. rechtliche Beurteilung). In relevanten Punkten bestritt die Beschwerde die diesbezüglichen Feststellungen somit (zunächst) nicht.

Erst im Zuge der Beschwerdeverhandlung wurde diesbezüglich ein zusätzliches Vorbringen zum Sachverhalt erstattet und behauptet, es treffe nicht zu, dass die beschwerdeführende Partei Daten der wirtschaftlichen Eigentümer von juristischen Personen nicht in das "Kernbankensystem" eingetragen habe. Sie habe "stets dafür Sorge getragen, dass alle relevanten Kundendaten im Kernbankensystem eingepflegt sind". Dies betreffe "sowohl die Daten des Kunden als auch eines wirtschaftlichen Berechtigten bei juristischen Personen". Es seien daher auch "die erforderlichen PEP-Überprüfungen" abgewickelt worden. Soweit "in einzelnen Fällen nicht alle Daten zum wirtschaftlichen Eigentümer im Kernbankensystem eingepflegt waren", handle es sich um "Ausnahmefälle, die nur besonders alte Kunden betreffen".

Das Bundesverwaltungsgericht weist darauf hin, dass bereits im FMA-Vor-Ort-Prüfbericht vom 11.07.2013 die Feststellung enthalten war, dass bei der automatisierten Prüfung des Gesamtkundenbestands gegen Sanktions- sowie PEP-Listen die wirtschaftlichen Eigentümer, Zeichnungsberechtigten und vertretungsbefugten Personen "nicht inbegriffen" seien (Rz 27 und 75 des FMA-Prüfberichts, ON 4 des Verwaltungsakts). Weiters wurde dort festgehalten, dass "gemäß Dienstanweisung KYC Prozess" im Rahmen der jährlichen Überprüfung der Kundendaten hinsichtlich deren Aktualität natürliche Personen (schließt angabegemäß den Kunden, wirtschaftliche Eigentümer sowie vertretungsbefugte Organe und Personen mit ein) im System ‚World Check' "manuell" (aaO Rz. 58) hinsichtlich Embargo- und PEP-Listen geprüft würden. Diese jährlichen Abfragen seien in den Kundenakten jedoch nur zum Teil dokumentiert worden, weshalb festzuhalten sei, dass diese Regelung nicht systemhaft umgesetzt werde. Die Ausführungen der Regelwerke hinsichtlich der Prüfung einer allfälligen PEP-Eigenschaft von Personen mit Bezug zu einer Geschäftsbeziehung zu einer juristischen Person seien unzureichend (Rz 58 und 75 des FMA-Prüfberichts, ON 4 des Verwaltungsakts), da nicht festgehalten sei, dass etwa auch vertretungsbefugte Personen einer juristischen Person zu prüfen seien.

Dass dieser Feststellung, wonach auch alle wirtschaftlichen Eigentümer sowie vertretungsbefugte und zeichnungsberechtigte Personen einer juristischen Person im Kernbankensystem nicht systematisch hinterlegt waren, nicht bereits bei erster Gelegenheit und im Detail entgegengetreten wurde, spricht gegen die Glaubhaftigkeit der nunmehr aufgestellten Behauptung, dass die Bank systematisch bei allen Kunden auch die Eintragung des wirtschaftlichen Eigentümers im Kernbankensystem vorgenommen hatte. Dass Daten (u.a.) zu wirtschaftlichen Eigentümern juristischer Personen im Kernbankensystem nicht durchgehend in einer für einen Abgleich tauglichen Weise eingetragen waren, erschließt sich bereits aus den Feststellungen des Prüfberichts (aaO Rz. 27), den daraus hervorgehenden (ihm zugrundeliegenden) Angaben der beschwerdeführenden Partei und ihren weiteren Stellungnahmen: Denn es würde sich die im KYC-Prozess vorgesehene manuelle jährliche Überprüfung der in einem Kundenakt dokumentieren "natürlichen Personen" mit Embargo- und PEP-Listen erübrigen (und als völlig unwirtschaftlich erweisen), wenn bereits der automatisierte Abgleich mit dem "Kernbankensystem" diese Funktion erfüllt hätte. Dazu kommt die Aussage des Vorstands, der in der mündlichen Verhandlung angab, er glaube, "es gab ein Systemthema insofern, als Kundendaten im Kernbankensystem und in dem AML-Zusatztool getrennt erfasst wurden, und es hier nach [s]einer Erinnerung zu keinem automatischen Datenabgleich kam". Weiters sagte dieser dazu aus, dass es "damals ein Projekt innerhalb der Bank [gegeben habe], um ein Programm zu implementieren, um für einen Datenabgleich zu sorgen".

Somit kann das Fehlen der entsprechenden Erfassung der einer PEP-Überprüfung zu unterziehenden Personen bei den anlässlich der Vor-Ort-Prüfung untersuchten "Testfällen" nicht als "Einzelfälle" abgetan werden, sondern muss festgehalten werden, dass für die vorgefundene langjährige Praxis ("Altfälle", also Bestandkunden) offenbar keine verlässlich systematische und durch (zB elektronische) Kontrollmechanismen abgesicherte Erfassung der wirtschaftlichen Eigentümer in einer zur regelmäßigen Überprüfung der PEP-Eigenschaft genutzten Datenbank oder Liste ersichtlich gemacht werden konnte, was sich auch daraus ergibt, dass ein dahingehender Kontrollmechanismus im Verfahren oder etwa das Angebot entsprechender Nachweise zur Funktionsfähigkeit der Erfassung beim Großteil der Bestandkunden gar nicht versucht wurde und vielmehr auf Aussagen von Mitarbeitern verwiesen wurde, die sich dafür nur auf ihre Erinnerung berufen konnten. Aus der Aussage der von der beschwerdeführenden Partei in der Verhandlung angebotenen Auskunftsperson ergibt sich, dass Erfassungslücken bei Bestandkunden jedenfalls möglich waren ("Bei Altfällen mag es sein, dass Daten unvollständig sind. Seit ich aber im Private-Banking-Bereich tätig bin, d.h. seit Mitte 2012, war es jedenfalls so, dass alle Daten über wirtschaftlich Berechtigte vollständig bei Neukunden eingetragen worden sind. Sollten Daten gefehlt haben, wurde das selbstverständlich nachverfolgt, und zwar auch betreffend Altkunden"). Die in der mündlichen Verhandlung aussagende Auskunftsperson gab selbst sinngemäß an, dass bei Bestandkunden diesbezüglich Eintragungen aufzuarbeiten waren; schon die Notwendigkeit einer solchen Aufarbeitung bei Bestandkunden lässt darauf schließen, dass zum Zeitpunkt bis zur Fertigstellung dieser Aufarbeitung nicht von einer systematischen Erfassung (im Sinne einer Strategie und eines Verfahrens) der wirtschaftlichen Eigentümer von juristischen Personen, die ja überhaupt erst eine Voraussetzung für die Sinnhaftigkeit der regelmäßigen Prüfung der erfassten Personen auf PEP-Eigenschaft bildet, auszugehen war. Entsprechende Erfassungslücken ergeben sich auch aus den Aussagen der bereits im Verwaltungsverfahren einvernommenen ehemaligen Geldwäschebeauftragten, deren niederschriftliche Aussagen in der mündlichen Verhandlung mit Zustimmung beider Parteien verlesen wurden. Diese gab allgemein zur Führung und Vollständigkeit der Kundenakten an, dass diese "in der Hängeregistratur im Kassensaal aufbewahrt" waren, die Dokumente seien "während der Dienstzeit für jedermann [gemeint: Mitarbeiter] zugänglich" gewesen; Die Kundenakten seien "damals jedenfalls nicht gescannt, nicht kopiert und an keinem zweiten Ort abgelegt" gewesen, es seien teilweise ganze Akten bzw. Aktenteile verschwunden gewesen, es sei nicht feststellbar, ob Dokumente von vornherein fehlten oder aus den Hängeregistern entfernt wurden. Dieser Zustand sei für die GWB ein "großes Thema" gewesen, es sei aber nicht durchsetzbar gewesen. Die Gründe für das Fehlen erforderlicher Dokumente seien "Schlampigkeit, häufig wechselnde Kundenbetreuer, mangelnde Kontrolle durch die Verantwortlichen" gewesen. Sie habe bereits im Sommer 2013 "mit Unterstützung von Aushilfskräften (Studenten), die alle Verschwiegenheitserklärungen unterschrieben hatten, begonnen, Excel-sheets mit den fehlenden Kundendokumenten zu erstellen". Sie seien dabei nach Kontonummern systematisch vorgegangen und seien auf Basis dieser Excel Datei an die Kundenbetreuer herangetreten, um die Unterlagen von Kunden einholen zu lassen. Mehrmals die Woche seien die eingelangten Unterlagen kontrolliert und die Kundenakten erst dann wieder in die Registratur zurückgegeben worden, wenn alle Dokumente da waren. Diese Arbeit sei noch lange nicht fertig gewesen, als die GWB die beschwerdeführende Partei verlassen habe.

Zum Beweis der Einhaltung entsprechender Sorgfalt legte der Beschwerdevertreter in der mündlichen Verhandlung einen (offenbar nur einen Auszug wiedergebenden) Ausdruck eines E-Mails des Vorstands an die Geldwäschebeauftragte vom 31.03.2013 vor. Damit beantwortete der Vorstand eine Vorkorrespondenz mit der Geldwäschebeauftragten (diese Vorkorrespondenz ist nicht vollständig in der vorgelegten Unterlage wiedergegeben und das vorangehende E-Mail der Geldwäschebeauftragten lautet nur "Fyi [Initialen]", ohne dass beigefügt wurde, worüber sie informiert hat). Die Antwort des Vorstandes lautet: "liebe Frau [...], wie noch am Freitag besprochen, sollen wir darauf achten, dass wir alle Stammdaten in einem einzigen System erfassen, allenfalls ein automatischer Datenabgleich zwischen verschiedenen Systemen, die darauf zugreifen, erfolgt und somit die Fehleranfälligkeit minimiert wird. Bitte um entsprechende Berücksichtigung und neue Vorschläge. Meines Erachtens sollte man FATCA dabei auch gleich im Kopf behalten. ..."

Dieses Beweismittel belegt nur, dass Bemühungen in Diskussion waren, die Technik des automatisierten Abgleichs mit "Stammdaten" zu optimieren, nicht aber, dass die vorgelagerte Voraussetzung der Vorgehensweise bei der vollständigen Erfassung dieser Stammdaten (oder zumindest ehestmöglichen Rückerfassung), einschließlich wirtschaftlicher Eigentümer bei juristischen Personen, vollständig und systematisch implementiert war.

Dem auf der Tatsachenebene in der mündlichen Verhandlung erstatteten Vorbringen zur Bestreitung des im Straferkennntnis (ansonsten nicht bestrittenen) festgestellten Sachverhalts kann daher nicht gefolgt werden. Auch sonst teilt das Bundesverwaltungsgericht die im Straferkenntnis zu diesem Spruchpunkt getroffenen Feststellungen, die sich nachvollziehbar auf das vorhandene Beweismaterial stützen können.

Zu Spruchpunkt 8. des angefochtenen Straferkenntnisses:

Die Feststellungen zu Spruchpunkt 8. betreffen das Faktum, dass die beschwerdeführende Gesellschaft keine geeigneten und angemessenen Strategien zu Sorgfaltspflichten gegenüber Kunden verfügt habe, die Geschäftsbeziehungen zu Partnern in Ländern laut der GTV (Terrorismusfinanzierungsrisiko-Verordnung) haben, weil es keine entsprechende "Abbildung" dieser Kategorie in Dienstanweisungen oder internen Regelungen gegeben hat. Die Beschwerde bestreitet diese Feststellungen mit dem ergänzenden Tatsachenvorbringen, dass es in der beschwerdeführenden Partei "laufend Schulungen" gegeben habe und eine Weiterleitung von externen Rundschreiben des Bankenverbands und von Informationsschreiben von Anwaltskanzleien stattgefunden habe. In der Beschwerdeverhandlung wurde dazu ergänzend ausgeführt, dass es sich bei solchen Schreiben um grundlegende Infomationen handle, z. B. dazu, welche Länder in der GTV angeführt sind. Erst darauf basierend könnten Mitarbeiter dann in weiterer Folge individuelle Maßnahmen setzen. Sie hätten im Unternehmen davon jedenfalls Kenntnis gehabt. Implementiert worden sei dies beispielsweise in der "Checklist Customer Acceptance"; der Beschwerdevertreter verwies zu diesem Beweisthema neuerlich auf die mit Beilage./4 zur Verhandlungsniederschrift vorgelegte Schulungsunterlage, insbesondere der Folie Nr. 16, auf der Risikokriterien in geographischer Hinsicht angeführt seien, und die Folie Nr. 19, wo auf die Relevanz der GTV hingewiesen werde.

Zu diesem Vorbringen ist, wie bereits im Zusammenhang mit der Beweiswürdigung zu Spruchpunkt 3., festzuhalten, dass die vorgelegte Schulungsunterlage inhaltlich auf abstrakter und allgemeiner Ebene gehalten ist, auf die rechtlichen Rahmenbedingungen hinweist und weder auf die Gegebenheiten im Unternehmen spezifisch eingeht noch dafür konkrete Handlungsanweisungen oder Vorgaben enthält, so dass daraus der Nachweis für Strategien und Verfahren im hier geforderten Sinn von vornherein nicht erbracht werden kann, dies gilt umso mehr für den Verweis auf externe Rundschreiben oder auf - nicht auf die Unternehmensspezifika der beschwerdeführenden Gesellschaft zugeschnittene -Informationsschreiben von Anwaltskanzleien zur generell-abstrakten Rechtslage.

In der mündlichen Verhandlung verwies der Beschwerdevertreter zum Beleg des Bestehens einer auf die GTV zugeschnittenen Kategorisierung auf Folgendes: Zum einen sei im Formular "Checklist Customer Acceptance" (Beilage ./10 zur Verhandlungsniederschrift)

das Feld "PEP: Ja / Nein ... Grund: ..." vorgesehen gewesen, so dass

bei Aufnahme einer Kundenbeziehung die Eigenschaft des Kunden als "Politically Exposed Person" zu untersuchen und zu dokumentieren war. Zum anderen sei auf Seite 5 dieses Formulars zu verweisen, wo im Rahmen des vorgesehenen Scoring-Systems ein Scoringpunkteabzug für den Fall vorgesehen war, dass der wirtschaftliche Eigentümer in einem EU Staat beheimatet ist, was im Gegenschluss bedeute, dass ein hohes Risikoscoring zu erfolgen habe, wenn dieser in einem Drittstaat domiziliert sei. Schließlich sei auch auf die im Formular ebenso vorgesehene Scoringpunkte-Erhöhung für den Fall hinzuweisen, dass Transaktionen mit Off-Shore-Destinationen getätigt werden.

Nach den im Tatzeitraum (1.1.2014-19.05.2014) in Geltung stehenden Bestimmungen der GTV waren folgende Staaten als "Staaten, in denen jedenfalls ein erhöhtes Risiko der Geldwäsche oder Terrorismusfinanzierung besteht", definiert:

Vom Beginn des Tatzeitraums (1.1.2014) bis 29.04.2014 (VO BGBl. II Nr. 377/2011 idF BGBl. II 485/2013)

" 1. Islamische Republik Iran,

2. Demokratische Volksrepublik Korea,

3. Demokratische Volksrepublik Algerien,

4. Republik Ecuador,

5. Demokratische Bundesrepublik Äthiopien,

6. Republik Indonesien,

7. Republik Kenia,

8. Republik der Union von Myanmar,

9. Islamische Republik Pakistan,

10. Arabische Republik Syrien,

11. Vereinigte Republik Tansania,

12. Republik Türkei,

13. Republik Jemen und

14. Republik Somalia."

von 30.04.2014 bis 19.05.2014 (VO BGBl. II Nr. 377/2011 idF BGBl. II 94/2014)

"1. Islamische Republik Iran,

2. Demokratische Volksrepublik Korea,

3. Plurinationaler Staat Bolivien,

4. Republik Kuba,

5. Demokratische Bundesrepublik Äthiopien,

6. Republik Kenia,

7. Republik der Union von Myanmar,

8. Bundesrepublik Nigeria,

9. Demokratische Republik São Tomé und Príncipe,

10. Demokratische Sozialistische Republik Sri Lanka,

11. Arabische Republik Syrien und

12. Republik Türkei."

Das Bundesverwaltungsgericht kann - entgegen dem Vorbringen - bei Durchsicht der erwähnten Beweismittel nicht finden, dass die im angesprochenen Scoring eingezogene Differenzierung nach EU-Staaten und Drittstaaten bzw. von nicht im Sinne der hier aufgezählten Staaten definierten "Off-Shore Destinationen" eine auf die Differenzierung im Sinne der oben aufgezählten Staaten (GTV-Staaten) spezifisch zugeschnittene Vorgangsweise dartun kann. Wie die Behörde in der Verhandlung zudem richtig eingewendet hat, fokussieren die Scoringwerte der Customer Acceptance Checklist nicht auf Geschäftspartner des Kunden und auch nicht auf einzelne Transaktionen während aufrechter Geschäftsbeziehung, so dass daraus eine transaktionsbezogene Differenzierung nach Herkunft von oder Destination nach einem GTV-Staat nicht ersichtlich ist. Auch aus den Aussagen der in der Verhandlung dazu einvernommenen Auskunftsperson ließ sich nicht ableiten, dass in der beschwerdeführenden Gesellschaft zu diesem Punkt eine im Voraus geregelte Systematik eingerichtet war; vielmehr verwies sie auf den Umstand, dass die Hauptkunden und -lieferanten auf PEP-Eigenschaft überprüft und mittels World-Check-Daten überprüft würden (was keinen Bezug zur hier relevanten GTV-Kategorisierung hat) und - auf die Frage, was mit der von einem Kunden abgefragten Information über die Jurisdiktion von Geschäftspartnern eines Kunden zu geschehen hatte - dass der "Mitarbeiter an und für sich [wisse], dass bei gewissen Ländern eine höhere Sorgfalt anzuwenden" sei. Weiters wies sie in der Verhandlung darauf hin, dass die Bank "heute" ein automatisiertes System habe, bei dem "ex ante, wenn Zahlungen hereinkommen, diese nach gewissen Parametern gestoppt werden, z.B. wenn bestimmte Länder als Risikoquellen hinterlegt sind". Aus diesen Aussagen ergibt sich für das Bundesverwaltungsgericht das Bild, dass im Tatzeitraum eine entsprechende GTV-länderspezifische Sensibilität der bankinternen Systeme, Vorgaben und internen Anweisungen eben nicht existierte. Dieses Bild erfährt auch unter Berücksichtigung der in der Verhandlung erwähnten, im Tatzeitraum implementierten AML-Policy 2013 (ON 19 im Verwaltungsakt, der Beschwerdevertreter erwähnte insb. die S. 23), keine Veränderung. Der Beschwerdevertreter meinte, eine entsprechende GTV-länderspezifische Maßnahme darin zu erkennen, dass in dieser Stelle der "Policies" die Pflicht der Mitarbeiter zum Einholen "von notwendigen Unterlagen" vorgeschrieben war und dass diese "aufgrund der vorgenommenen Schulungen" für die Mitarbeiter davon abhänge, ob es sich um eine GTV-Relevanz handle. Ein unternehmensinternes Verfahren oder generelle Maßnahmen, die eine entsprechende Implementierung nachweisen, können weder daraus noch mit Blick auf die angesprochenen Schulungen erkannt werden.

Zu Spruchpunkt 9. des angefochtenen Straferkenntnisses:

Zu diesem Punkt stellte die belangte Behörde im angefochtenen Straferkenntnis - zusammengefasst - fest, dass weder durch das im Tatzeitraum in der Bank geltende "Questionnaire Correspondent Banking" noch durch sonst irgendeine Dienstanweisung gewährleistet war, dass die Aufnahme oder Fortführung einer Korrespondenzbankbeziehung mit einer Bank-Mantelgesellschaft (shell bank) unterlassen wird. Konkret hielt die belangte Behörde unter Bezugnahme auf die Dienstanweisung KYC-Prozess (in Geltung ab 1.2.2013; ON 18 im verwaltungsbehördlichen Akt), den "Questionnaire Correspondent Banking" und die darauf Bezug nehmende AML-Policy 0.3 fest, dass eine Korrespondenzbank gemäß dem "Questionnaire" Fragen im Hinblick auf die Rechtsform, den Sitz der Bank, deren Registrierung und Bankprüfer, die Leitung der Bank, Anteilseigner, den Leiter der Gruppe "AML-Compliance" etc. sowie "Questions regarding the reputation and the quality of the supervision" zu beantworten hat. Demgegenüber würden weitere Maßnahmen, durch die ausgeschlossen werden kann, dass es sich bei der Korrespondenzbank um eine Bank-Mantelgesellschaft handelt, nicht gesetzt. So werde den Fragen, ob das Institut in dem Land, in dem es gegründet wurde, physisch präsent ist, so dass eine echte Leitung und Verwaltung stattfinden könnte, bzw. inwiefern das Institut einer regulierten Finanzgruppe angeschlossen ist, nicht nachgegangen.

In der Beschwerde entgegnet die beschwerdeführende Partei dem damit, dass die belangte Behörde selbst festgestellt habe, dass in der Dienstanweisung AML-Policy vorgesehen ist: "die Aufnahme bzw. Fortführung einer Korrespondenzbank Beziehung mit einer Bank-Mantelgesellschaft ist unzulässig. Eine Bank-Mantelgesellschaft ist ein Institut, das in einem Staat gegründet wurde, in dem es nicht physisch präsent ist und das keiner beaufsichtigten Finanzgruppe angehört." Im Rahmen der Aufnahme einer Korrespondenzbankbeziehung werde mittels des "Questionnaire Correspondent Banking" eine detaillierte Prüfung der Unternehmens- und Zulassungsdaten, des Geschäftsmodells und auch des AML-Compliancesystems vorgenommen. Diese Vorgangsweise stimme mit den gesetzlichen Anforderungen und praktischen Notwendigkeiten vollkommen überein. Es werde auch die Identität des jeweiligen Geldwäschebeauftragten abgefragt. Den Abschluss des Questionnaires bilde eine eigene Erklärung, dass die übermittelten Informationen aktuell, genau und wahrheitsgetreu die AML-Grundsätze der Korrespondenzbank widerspiegeln.

Weiters wird in der Beschwerde vorgebracht, dass generell eine Überprüfung der Angaben der Korrespondenzbank anhand eigener Recherche (Abfrage und Überprüfung der Konzessionen etc.) zu erfolgen habe bzw. die Korrespondenzbank gegebenenfalls zur Nach- oder Ausbesserung ihrer Angaben anzuhalten sei. Der "Questionnaire" werde regelmäßig angepasst. Die Mitarbeiter der beschwerdeführenden Gesellschaft seien durch Dienstanweisung explizit angewiesen worden, bei Verdacht des Vorliegens einer Korrespondenzbank (gemeint wohl: einer als Korrespondenzbank auftretenden Bank-Mantelgesellschaft) auch Internetrecherche vorzunehmen. Natürlich werde hierbei auch auf den physischen Sitz der Verwaltung und die lokale Präsenz abgestellt. In der Beschwerdeverhandlung konkretisierte der Beschwerdevertreter dieses Vorbringen, indem er zum Beweis auf die Dienstanweisung KYC-Prozess (ON 18 im verwaltungsbehördlichen Akt) rekurrierte, in der auf den Seiten 37 ff "Anweisungen zu Korrespondenzbankbeziehungen" zu finden seien und sich auf S. 39 die Aussage finde, dass die Aufnahme oder Fortführung einer Geschäftsbeziehung mit einer solchen Gesellschaft unzulässig sei. Daher sei in diesem Dokument beschrieben, "welche Prüfungshandlungen in Bezug auf Bank-Mantelgesellschaften vorzunehmen sind". Auf S. 37 des Dokuments seien "Festlegungen" bzw. "Kriterien" enthalten, die, wenn sie nicht zutreffen, im Umkehrschluss auf das Vorliegen einer shell-bank (Bank-Mantelgesellschaft) schließen ließen. Außerdem sei vorgesehen, dass eine Korrespondenzbankbeziehung zwingend unter Einbindung von Vorstandsmitgliedern begründet werde.

Dem erwiderte die belangte Behörde in der mündlichen Verhandlung, dass das bloße Einholen der Antworten zum Fragebogen nicht ausreichend sei, sondern konkrete Prüfungshandlungen, wie Vorgaben, wie überprüft werden soll, ob eine Bank-Mantelgesellschaft vorliegt oder nicht, erforderlich seien. In den Dienstanweisungen hätten auch Prüfungsschritte gefehlt, wie beispielsweise die Angaben im Fragebogen überprüft werden sollen.

Das Bundesverwaltungsgericht kann auf Basis des Beschwerdevorbringens, des mündlichen Vorbringens und der in der Beschwerde (und in der Verhandlung) genannten Stellen der zitierten Beweismittel nicht finden, dass die bereits im angefochtenen Bescheid zu diesem Punkt getroffenen Feststellungen unzutreffend wären. Das Beschwerdevorbringen, insbesondere die Bezugnahme auf die zitierte Passage der S. 39 der Dienstanweisung KYC-Prozess (ON 18 des Verwaltungsakts), wonach "die Aufnahme oder Fortführung einer Geschäftsbeziehung mit einer Bank-Mantelgesellschaft" unzulässig sei, ist nicht geeignet, Näheres darzutun, etwa dazu,

dass die Mitarbeiter der beschwerdeführenden Gesellschaft in Dienstanweisungen genau darüber informiert waren, wodurch sich eine Bank-Mantelgesellschaft kennzeichnet,

worauf es ankommt, um eine Bankmantelgesellschaft zu erkennen,

welchen Merkmalen bei Überprüfung eines solchen Geschäftspartners näher nachzugehen ist,

wie bei einer solchen Überprüfung vorzugehen ist, welche Schritte bei Kundenanbahnung zu unternehmen sind und welche bei laufender Geschäftsbeziehung.

Außerdem beziehen sich die Informationen, die mit dem "Questionnaire Correspondent Banking" abgefragt werden, auf Daten zu Unternehmen, die - selbst wenn sie überprüft werden und sich als zutreffend erweisen - noch keine Aussage darüber zulassen, ob eine Bank eine Bank-Mantelgesellschaft ist.

Zu Spruchpunkt 10. des angefochtenen Straferkenntnisses:

Zu diesem Spruchpunkt wurde im angefochtenen Straferkenntnis festgestellt, dass keine ausreichende Personaldotierung der Funktion des Geldwäschebeauftragten vorhanden war.

In der Beschwerde wird dazu festgehalten, dass die als Geldwäschebeauftragte eingesetzte Person im Tatzeitraum im Schnitt zumindest 50 % ihrer Arbeitszeit diesem Thema widmen konnte und die restliche Zeit bei Bedarf dem Thema "Compliance" gewidmet war. Es könne sein, dass die Struktur der beschwerdeführenden Partei im Tatzeitraum "schlank" war. Dies bedeute jedoch nicht automatisch, dass diese rechtswidrig klein war. Im Gegenteil sei der Verhinderung von Geldwäsche und Terrorismusfinanzierung von allen Mitarbeitern der beschwerdeführenden Gesellschaft stets höchste Aufmerksamkeit gewidmet worden. In der Verhandlung stellte der Beschwerdevertreter ergänzend fest, dass die Geldwäschebeauftragte an einem bestimmten Arbeitstag auch 100 % ihrer Arbeitstätigkeit für Geldwäsche-Themen aufwenden konnte. Es sei somit unzutreffend, dass die Geldwäschebeauftragte höchstens 50 % ihrer Arbeitszeitzeit an einem Tag für diese Themen verwenden konnte. Vorgebracht wurde weiters, dass die Zusammenarbeit zwischen der Geldwäschebeauftragten und dem Vorstand, in concreto XXXX, stets eng gewesen sei und die Geldwäscheprüfungen bei der beschwerdeführenden Gesellschaft "sehr genau vorgenommen" worden seien. Zum Beweis dafür wurde ein E-Mail (Beilage ./11 zur Verhandlungsniederschrift) vorgelegt, aus dem sich ergibt, dass in einem konkreten Fall weitere schriftliche Unterlagen von einem Kunden einzufordern gewesen wären. Angesprochen auf die aus dem Akt hervorgehenden Aussagen der damaligen Geldwäschebeauftragten, wonach diese die Regelung ihrer Stellvertretung bemängelt habe, gab der Beschwerdevertreter in der mündlichen Verhandlung an, dass diese nicht eine viel genauere Geldwäsche-Policy an den Tag legte als der Vorstand oder andere AML-Mitarbeiter, dass es aber "gewisse Reibereien" in der Zusammenarbeit im AML-Team gegeben habe. Diese seien aber dann behoben worden, als auf Wunsch von Frau XXXX Frau Mag. XXXX ihre Assistentin geworden sei. Somit sei auch schon damals "eine erweiterte Kapazität diesem Thema gewidmet" worden.

Der Senatsvorsitzende äußerte in der mündlichen Verhandlung den Vorhalt, dass es sich aus dem Akteninhalt ergebe, dass für die Geldwäschebeauftragte zunächst nur ein Abwesenheitsvertreter vorgesehen war, und von dieser eine darüber hinausgehende Personaldotierung eingefordert wurde, worauf der Vorstand in weiterer Folge auch entsprechend reagiert habe. Auf die Frage, ob dies bedeute, dass die Personaldotierung damals tatsächlich nicht ausreichend war, antwortete der Beschwerdevertreter verneinend und mit dem Hinweis, dass man das Ganze als ein "sich entwickelndes" System sehen müsse und "nicht zu jeder Zeit dieselbe Intensität an AML-Prüfung erforderlich" sei. Außerdem handle es sich bei der beschwerdeführenden Gesellschaft um ein "kleines Kreditinstitut", weshalb die "etwas kleinere AML-Abteilung" den gesetzlichen Erfordernissen entspreche. Dem entgegnete die belangte Behörde in der Verhandlung (unwidersprochen) damit, dass sich die notwendige Größe einer AML -Abteilung nicht nur nach der Größe des Instituts, sondern auch nach Aspekten wie der Kundenstruktur, den Produkten, der Komplexität der Kundengeschäfte und der Komplexität der Kundenstrukturen bemesse. Gerade im Fall der beschwerdeführenden Gesellschaft seien entsprechende Kriterien erfüllt, es handle sich bei ihr um Kunden in signifikantem Ausmaß mit komplexen Eigentümerbeteiligungsstrukturen, internationalem Bezug zu off-shore-Ländern etc.

Das Bundesverwaltungsgericht hält zu den bezüglich dieses Punktes getroffenen Feststellungen des angefochtenen Bescheides (Seite 51-53 des angefochtenen Bescheides) fest, dass jene Feststellungen, mit denen der konkrete Zeiteinsatz der bis 1.1.2015 als Geldwäschebeauftragte eingesetzten Personen (zunächst Frau XXXX und ab 14.8.2014 Frau XXXX), die Tatsache, dass die Erstgenannte gleichzeitig Compliance-Beauftragte und für den Bereich "Verwaltung" verantwortlich war, ebenso wie die Inhalte der Stellenbeschreibung der Geldwäschebeauftragten vom Mai 2013, die Tatsache einer Abwesenheitsvertretung etc. konstatiert wurden, nicht bestritten wurden. Dass die Geldwäschebeauftragte, wie in der Beschwerde vorgebracht, auch einmal mehr als 50%, ja sogar 100% ihrer Arbeitskraft diesem Thema widmen konnte, steht der Richtigkeit des (auf Basis der Vor-Ort-Prüfungsergebnisse unbedenklich) festgestellten durchschnittlichen Zeiteinsatzes von 50% nicht entgegen. Das Tatsachenvorbringen der beschwerdeführenden Partei geht vielmehr in die Richtung, dass der so festgestellte Personaleinsatz im Lichte der konkreten (im Verfahren unstrittigen und festgestellten) Situation der beschwerdeführenden Partei (Größe, Geschäftsmodell, Kundenstruktur etc.) als angemessen anzusehen ("ausreichend") gewesen sei. Soweit dieser Beweis mit Hinweisen darauf angetreten wurde, dass die Prüfung einzelner Geschäftsfälle besonders "genau" und die Zusammenarbeit zwischen der Geldwäschebeauftragten und dem Vorstand eng gewesen seien, ist zu bemerken, dass derartige Umstände keine Schlussfolgerungen auf die Größe, Kundenstruktur, Geschäftsmodelle etc. der beschwerdeführenden Gesellschaft, erlauben, die ein bestimmtes Ausmaß an Personalressourcen als ausreichend oder nicht ausreichend qualifizieren ließen, sodass ein näheres Eingehen auf derartige Umstände nicht zielführend ist. Bei einer Gesamtschau auf die Summe der hier einschlägigen Beweismittel ergibt für das Bundesverwaltungsgericht aber eine Beweislage, die verdichtet darauf hinweist, dass die Personen, die im Tatzeitraum der Funktion des Geldwäschebeauftragten eingesetzt wurden, bei den ihnen zur Verfügung stehenden Ressourcen mit den hierfür anfallenden Anforderungen kapazitätsmäßig überlastet waren. In diese Richtung deuteten bereits die zeitlichen Verzögerungen bei der Aktualisierung der Risikoanalyse, also einer der vielen, aber auch einer der vordringlichsten und prominentesten (und für die Unternehmensleitung daher klar wahrnehmbaren) Aufgaben der Geldwäschebeauftragten (statt einer Aktualisierung spätestens am 1.1.2014 erfolgte diese erst im März 2015), zumal diese Verzögerung von dem in der Verhandlung einvernommenen Vorstandsmitglied kausal darauf zurückgeführt wurde, dass es einen "gewissen Wechsel in der Person der GWB in diesem Zeitraum" gegeben habe und sich daraus "sicherlich gewisse Reibungsverluste" ergeben haben, die "zu einem Zeitmangel geführt haben". Ebenfalls in diese Richtung einer kapazitätsmäßigen Überlastung deuten die Aussagen dieses Vorstandes, dass sich "in diesem Bereich der GW-Prävention in den letzten 5-7 Jahren ungemein viel geändert" hat und "in gewisser Hinsicht jedes Bankinstitut so gestellt war, dass es den jeweils sich ändernden Anforderungen hinterherhinken [sic!] musste" und dass "so gesehen" auch hier "ständig eine Personalaufstockung des Personalstandes" in der beschwerdeführenden Gesellschaft erfolgt sei. Ergänzt hatte der Vorstand diese Aussage mit der Erklärung, dass "er beim besten Willen nicht beurteilen" könne, "ob man Frau XXXX von anderen Arbeiten drei Monate früher hätte befreien müssen oder nicht". Bestätigt hatte der Vorstand in der Verhandlung auch die aus den Aussagen der damaligen Geldwäschebeauftragten hervorgehende Tatsache, dass diese ab Sommer 2013 begonnen hatte, mit Unterstützung von Studenten als Aushilfskräfte sämtliche bestehenden Kundenakten zu durchforsten, um systematisch zu kontrollieren, ob fehlende Dokumente oder Angaben nachzuholen sind. Allein dies legt nahe, dass von der Geldwäschebeauftragten bereits damals laufend derartige Mängel in der Kundenaktenführung zu Bestandskunden aufzuarbeiten waren, dass sie auf Aushilfskräfte zurückgreifen musste. Dazu hält das Bundesverwaltungsgericht fest, dass es sich dabei augenscheinlich nicht um eine ungeplante Bedarfsspitze handelte, sondern die Aufarbeitung von Lücken der bisherigen laufenden Aufgabenwahrnehmung, so dass dieser Umstand für sich schon eine Inadäquanz des damaligen regulären Ressourceneinsatzes aufzeigt. Dass in den Jahren vor und während dem Tatzeitraum laufend Änderungen der Rechtslage stattgefunden hätten, denen die beschwerdeführende Gesellschaft nur "hinterherhinken" konnte, ist nicht ersichtlich (abgesehen davon, dass dies nicht daran hindern würde, schon vorsorglich Vorkehrungen für Personalressourcen zu treffen). Weiters bestätigte der Vorstand im Ergebnis auch, dass die Zusammenarbeit zwischen der betreffenden Geldwäschebeauftragten (die - unstrittig - ab 21.03.2013 in dieser Funktion war) und ihrem Stellvertreter von Reibungen gekennzeichnet war, was ihm selbst auch bewusst war. Bestätigt wird das Bild einer nicht zureichenden Personalallokation durch die in der Verhandlung (mit Zustimmung beider Parteien) verlesene und auch im angefochtenen Bescheid wörtlich wiedergegebene Aussage des genannten Vorstandsmitglieds,

wonach "Die Anforderungen an GW Prävention zweifelsohne ... in den

letzten Jahren spürbar gestiegen" seien, wonach "der aktuelle GWB ... die Bank jeden Tag als letzter" verlasse und wonach es "im Rückblick" erscheine, dass "die beiden letzten GWB" (XXXX) "für die große, aber leider unabdingbare Arbeistsbelastung bzw. Führungsaufgaben nicht so gut geeignet" gewesen seien.

3. Rechtliche Beurteilung:

Zu A) Zur Abweisung der Beschwerde unter Maßgabe von Änderungen des Spruchs

3.1. (Senats‑)Zuständigkeit

Die Beschwerde richtet sich gegen einen Bescheid der Finanzmarktaufsichtsbehörde. Es handelt sich nicht um eine Verwaltungsstrafsache, bei der "weder eine primäre Freiheitsstrafe noch eine 600 Euro übersteigende Geldstrafe verhängt wurde". Infolgedessen ist zur Erledigung der Beschwerde gemäß § 22 Abs. 2 FMABG und § 7 Abs. 1 BVwGG ein aus drei Richtern bestehender Senat des Bundesverwaltungsgerichtes zuständig.

3.2. Anwendbare Rechtsnormen

Die den Tatvorwürfen zugrunde liegenden gesetzlichen Straftatbestände wurden vom Gesetzgeber nach Bescheiderlassung modifiziert, legistisch vom Bankwesengesetz herausgenommen und in das neu erlassene Finanzmarkt-Geldwäschegesetz (FM-GwG) transferiert. Diese Änderungen erfolgten durch BGBl. I 118/2016 und traten mit 01.01.2017 in Kraft.

Im Folgenden stellt das Bundesverwaltungsgericht daher die im Straferkenntnis angewendeten Straftatbestände dar und stellt ihnen ihre jeweilige Nachfolgeregelung im FM-GwG gegenüber, um zu veranschaulichen, dass das jeweils angelastete Verhalten auch nach dieser gesetzlichen Modifikation als Verwaltungsübertretung strafbar war und sohin für die einzelnen Tatvorwürfe jeweils kein Fall vorliegt, der aufgrund des § 1 Abs. 2 VStG schon dem Grunde nach zu einer Einstellung (oder partiellen Einstellung) des Strafverfahrens zu führen hätte.

Wie aus Pkt. 3.2.11. ersichtlich ist, hat sich jedoch bei einzelnen Tatbeständen die Strafdrohung in einer den Normadressaten begünstigenden Weise geändert (worauf im Rahmen der Strafbemessung Bedacht genommen wird).

3.2.1. Zu Spruchpunkt 1. (Vorwurf "keine geeignete aktuelle Risikoanalyse")

Relevant ist § 40 Abs. 2b BWG. Diese Normen finden sich inhaltlich nunmehr im FM-GwG in § 1, § 2, § 4 Abs. 1, wieder:

Die relevanten Teile des BWG lauteten:

In § 40 BWG (,aufgehoben durch FM-GwG, BGBl. I Nr. 118/2016, 31.12.2016)

"Sorgfaltspflichten zur Bekämpfung von Geldwäscherei und Terrorismusfinanzierung

§ 40. (1) ...

(2) ...

(2a) ...

(2b) Die Kredit- und Finanzinstitute haben ihr Geschäft anhand geeigneter Kriterien (insbesondere Produkte, Kunden, Komplexität der Transaktionen, Geschäft der Kunden, Geographie) einer Risikoanalyse betreffend ihres Risikos, für Zwecke der Geldwäscherei und Terrorismusfinanzierung missbraucht zu werden, zu unterziehen. Die Kredit- und Finanzinstitute müssen gegenüber der FMA nachweisen können, dass der Umfang der auf Grund der Analyse gesetzten Maßnahmen im Hinblick auf die Risiken der Geldwäscherei und der Terrorismusfinanzierung als angemessen anzusehen ist."

Die entsprechenden Bestimmungen des FM-GwG lauten:

"§ 1. Dieses Bundesgesetz ist auf Kredit- und Finanzinstitute (Verpflichtete) anzuwenden.

...

Begriffsbestimmungen

§ 2. Für die Zwecke dieses Bundesgesetzes bezeichnet der Ausdruck:

1. Kreditinstitut: ein Kreditinstitut gemäß § 1 Abs. 1 BWG und ein CRR-Kreditinstitut gemäß § 9 BWG, das Tätigkeiten im Inland über eine Zweigstelle erbringt.

...

Risikoanalyse auf Unternehmensebene

§ 4. (1) Die Verpflichteten haben die potentiellen Risiken der Geldwäscherei und Terrorismusfinanzierung, denen ihr Unternehmen ausgesetzt ist, auf Basis von Daten und Informationen unter Berücksichtigung von sämtlichen relevanten Risikofaktoren, insbesondere jene in Bezug auf Kunden, Länder oder geografische Gebiete, Produkte, Dienstleistungen, Transaktionen und Vertriebskanäle sowie sonstigen neuen oder sich entwickelnden Technologien sowohl für neue als auch bereits existierenden Produkte, zu ermitteln und zu bewerten. Dabei haben sie die Ergebnisse der nationalen Risikoanalyse (§ 3) und des Berichts der Europäischen Kommission über die Risiken der Geldwäscherei und Terrorismusfinanzierung im Binnenmarkt (Art. 6 Abs. 1 der Richtlinie (EU) 2015/849 ) zu berücksichtigen. Die Ermittlung und Bewertung in Bezug auf neue Produkte, Praktiken und Technologien hat jedenfalls vor der Einführung dieser zu erfolgen. Die Ermittlungs- und Bewertungsschritte haben in einem angemessenen Verhältnis zu Art und Größe der Verpflichteten zu stehen."

3.2.2. Zu den Spruchpunkten 2.1. und 2.2. ("Mangelnde Prüfung von Vertretungsbefugnissen der Organe juristischer Personen bzw. zeichnungsberechtigten Personen")

Die relevanten Bestimmungen des BWG fanden sich in § 40 Abs. 1 leg.cit. und hatten folgenden Wortlaut:

§ 40 Abs. 1 und Abs. 2e BWG:

"Sorgfaltspflichten zur Bekämpfung von Geldwäscherei und Terrorismusfinanzierung

§ 40. (1) Die Kredit- und Finanzinstitute haben die Identität eines Kunden festzustellen und zu überprüfen:

1. vor Begründung einer dauernden Geschäftsbeziehung;

Spareinlagengeschäfte nach § 31 Abs. 1 dieses Bundesgesetzes und Geschäfte nach § 12 Depotgesetz gelten stets als dauernde Geschäftsbeziehung;

2. vor Durchführung von allen nicht in den Rahmen einer dauernden Geschäftsbeziehung fallenden Transaktionen, deren Betrag sich auf mindestens 15 000 Euro oder Euro-Gegenwert beläuft, und zwar unabhängig davon, ob die Transaktion in einem einzigen Vorgang oder in mehreren Vorgängen, zwischen denen eine Verbindung offenkundig gegeben ist, getätigt wird; ist der Betrag vor Beginn der Transaktion nicht bekannt, so ist die Identität dann festzustellen, sobald der Betrag bekannt ist und festgestellt wird, dass er mindestens 15 000 Euro oder Euro-Gegenwert beträgt;

3. wenn der Verdacht oder der berechtigte Grund zu der Annahme besteht, dass der Kunde einer terroristischen Vereinigung (§ 278b StGB) angehört oder dass der Kunde objektiv an Transaktionen mitwirkt, die der Geldwäscherei (§ 165 StGB - unter Einbeziehung von Vermögensbestandteilen, die aus einer strafbaren Handlung des Täters selbst herrühren) oder der Terrorismusfinanzierung (§ 278d StGB) dienen;

4. nach dem 31. Oktober 2000 bei jeder Einzahlung auf Spareinlagen und nach dem 30. Juni 2002 auch bei jeder Auszahlung von Spareinlagen, wenn der ein- oder auszuzahlende Betrag mindestens 15 000 Euro oder Euro-Gegenwert beträgt;

5. bei Zweifeln an der Echtheit oder der Angemessenheit zuvor erhaltener Kundenidentifikationsdaten.

Die Identität eines Kunden ist durch persönliche Vorlage seines amtlichen Lichtbildausweises festzustellen. Als amtlicher Lichtbildausweis in diesem Sinn gelten von einer staatlichen Behörde ausgestellte Dokumente, die mit einem nicht austauschbaren erkennbaren Kopfbild der betreffenden Person versehen sind, und den Namen, das Geburtsdatum und die Unterschrift der Person sowie die ausstellende Behörde enthalten; bei Reisedokumenten von Fremden muss das vollständige Geburtsdatum dann nicht im Reisedokument enthalten sein, wenn dies dem Recht des ausstellenden Staates entspricht. Bei juristischen Personen und bei nicht eigenberechtigten natürlichen Personen ist die Identität der vertretungsbefugten natürlichen Person durch Vorlage ihres amtlichen Lichtbildausweises festzustellen und die Vertretungsbefugnis anhand geeigneter Bescheinigungen zu überprüfen. Die Feststellung der Identität der juristischen Person hat anhand von beweiskräftigen Urkunden zu erfolgen, die gemäß dem am Sitz der juristischen Personen landesüblichen Rechtsstandard verfügbar sind. Von den vorstehenden Bestimmungen darf nur in den Fällen gemäß Abs. 8 und § 40a abgewichen werden. Von den Kriterien des amtlichen Lichtbildausweises können einzelne Kriterien entfallen, wenn auf Grund des technischen Fortschritts andere gleichwertige Kriterien eingeführt werden, wie beispielsweise biometrische Daten, die den entfallenen Kriterien in ihrer Legitimationswirkung zumindest gleichwertig sind. Das Kriterium der Ausstellung durch eine staatliche Behörde muss jedoch immer gegeben sein.

...

(2e) Die Kredit- und Finanzinstitute haben die Sorgfaltspflichten gemäß §§ 40 ff zur Feststellung und Überprüfung der Kundenidentität nicht nur auf alle neuen Kunden, sondern zu geeigneter Zeit auch auf die bestehende Kundschaft auf risikoorientierter Grundlage anzuwenden."

Im FM-GwG finden sich die folgenden einschlägigen Regelungen:

"3. Abschnitt

Sorgfaltspflichten gegenüber Kunden

Anwendung der Sorgfaltspflichten

§ 5. Die Verpflichteten haben in folgenden Fällen Sorgfaltspflichten gegenüber Kunden gemäß § 6 anzuwenden:

1. bei Begründung einer Geschäftsbeziehung; Spareinlagengeschäfte nach § 31 Abs. 1 BWG und Geschäfte nach § 12 Depotgesetz gelten stets als Geschäftsbeziehung;

2. ...

3. ...

4. ...

5. bei Zweifeln an der Echtheit oder der Angemessenheit zuvor erhaltener Kundenidentifikationsdaten.

Umfang der Sorgfaltspflichten

§ 6. (1) Die Sorgfaltspflichten gegenüber Kunden umfassen:

1. Feststellung der Identität des Kunden und Überprüfung der Identität auf der Grundlage von Dokumenten, Daten oder Informationen, die von einer glaubwürdigen und unabhängigen Quelle stammen;

2. - 7. ...

Die Identität jeder Person, die angibt im Namen des Kunden handeln zu wollen (vertretungsbefugte natürliche Person) ist gemäß Z 1 festzustellen und zu überprüfen. Die Vertretungsbefugnis ist auf geeignete Art und Weise zu überprüfen. Der Kunde hat Änderungen der Vertretungsbefugnis während aufrechter Geschäftsbeziehung von sich aus unverzüglich bekannt zu geben.

(2) Die Überprüfung der Identität gemäß Abs. 1 Z 1 hat bei

1. einer natürlichen Person durch die persönliche Vorlage eines amtlichen Lichtbildausweises zu erfolgen. Als amtlicher Lichtbildausweis in diesem Sinn gelten von einer staatlichen Behörde ausgestellte Dokumente, die mit einem nicht austauschbaren erkennbaren Kopfbild der betreffenden Person versehen sind, und den Namen, das Geburtsdatum und die Unterschrift der Person sowie die ausstellende Behörde enthalten; bei Reisedokumenten von Fremden muss die Unterschrift und das vollständige Geburtsdatum dann nicht im Reisedokument enthalten sein, wenn dies dem Recht des ausstellenden Staates entspricht. Von den Kriterien des amtlichen Lichtbildausweises können einzelne Kriterien entfallen, wenn auf Grund des technischen Fortschritts andere gleichwertige Kriterien eingeführt werden, wie beispielsweise biometrische Daten, die den entfallenen Kriterien in ihrer Legitimationswirkung zumindest gleichwertig sind. Das Kriterium der Ausstellung durch eine staatliche Behörde muss jedoch immer gegeben sein;

2. einer juristischen Person anhand von beweiskräftigen Urkunden zu erfolgen, die gemäß dem am Sitz der juristischen Personen landesüblichen Rechtsstandard verfügbar sind. Jedenfalls zu überprüfen sind der aufrechte Bestand, der Name, die Rechtsform, die Vertretungsbefugnis und der Sitz der juristischen Person.

...

(5) Die Verpflichteten können den Umfang der in Abs. 1 bis 3 genannten Sorgfaltspflichten auf risikoorientierter Grundlage bestimmen. Bei der Bewertung der Risiken von Geldwäscherei und Terrorismusfinanzierung sind zumindest die in Anlage I aufgeführten Variablen zu berücksichtigen. Als Ergebnis dieser Bewertung ist jeder Kunde in eine Risikoklasse einzustufen. Die Verpflichteten müssen der FMA gegenüber nachweisen können, dass die von ihnen getroffenen Maßnahmen angesichts der ermittelten Risiken von Geldwäscherei und Terrorismusfinanzierung angemessen sind.

Zeitpunkt der Anwendung der Sorgfaltspflichten

§ 7. (1) Die Feststellung und Überprüfung der Identität des Kunden,

... (§ 6 Abs. 1 Z 1 ...) ... hat vor Begründung einer

Geschäftsbeziehung und vor Ausführung einer gelegentlichen Transaktion zu erfolgen. Die Feststellung und Überprüfung der Identität einer vertretungsbefugten natürlichen Person (§ 6 Abs. 1 Schlussteil) hat zu erfolgen, wenn sich diese auf ihre Vertretungsbefugnis beruft.

(2) Abweichend von Abs. 1 können die Verpflichteten die Überprüfung der Identität des Kunden, des wirtschaftlichen Eigentümers und des Treugebers erst während der Begründung einer Geschäftsbeziehung abschließen, wenn dies notwendig ist, um den normalen Geschäftsablauf nicht zu unterbrechen und ein geringes Risiko der Geldwäscherei oder Terrorismusfinanzierung besteht. In diesem Fall werden die betreffenden Verfahren so bald wie möglich nach dem ersten Kontakt abgeschlossen.

(3) Abweichend von Abs. 1 ist die Eröffnung eines Bankkontos - einschließlich Konten, über die Wertpapiertransaktionen vorgenommen werden können - bei einem Verpflichteten zulässig, sofern ausreichend sichergestellt ist, dass Transaktionen von dem Kunden oder für den Kunden erst vorgenommen werden, wenn die Sorgfaltspflichten gemäß § 6 Abs. 1 Z 1 bis 5 vollständig erfüllt sind.

(4) - (5) ...

(6) Die Verpflichteten haben die Sorgfaltspflichten gegenüber Kunden nicht nur auf alle neuen Kunden, sondern zu geeigneter Zeit auch auf die bestehende Kundschaft auf risikobasierter Grundlage anzuwenden. Dies ist insbesondere dann der Fall, wenn sich bei einem Kunden maßgebliche Umstände ändern.

(7) Wenn die Verpflichteten ihren Sorgfaltspflichten gegenüber einem Kunden, mit Ausnahme von § 6 Abs. 1 Z 6 und 7 nicht nachkommen oder nachkommen können, dürfen sie keine Transaktion über ein Bankkonto vornehmen, keine Geschäftsbeziehung begründen und keine Transaktionen ausführen. Zudem müssen sie eine bereits bestehende Geschäftsbeziehung beenden. Versicherungsunternehmen dürfen bei Lebensversicherungsverträgen keine Geschäftsbeziehung begründen und keine Transaktion durchführen, wenn sie ihren Sorgfaltspflichten gegenüber einem Kunden oder einem Begünstigten nicht nachkommen oder nachkommen können. Betriebliche Mitarbeitervorsorgekassen dürfen keine Transaktion durchführen, wenn sie ihren Sorgfaltspflichten gegenüber einem Kunden nicht nachkommen oder nachkommen können. In Fällen des § 6 Abs. 1 Z 6 kann eine Transaktion bis zum Abschluss der erforderlichen Prüfschritte aufgehalten werden. In allen Fällen haben die Verpflichteten in Erwägung zu ziehen, in Bezug auf den Kunden eine Verdachtsmeldung gemäß § 16 an die Geldwäschemeldestelle zu erstatten.

(8) ...

Vereinfachte Sorgfaltspflichten

§ 8. (1) Wenn ein Verpflichteter aufgrund seiner Risikoanalyse (§ 4) feststellt, dass in bestimmten Bereichen nur ein geringes Risiko der Geldwäscherei oder Terrorismusfinanzierung besteht, so kann er vereinfachte Sorgfaltspflichten gegenüber Kunden anwenden. Hierbei sind die Risiken von Geldwäscherei und Terrorismusfinanzierung für bestimmte Arten von Kunden, geografische Gebiete und für bestimmte Produkte, Dienstleistungen, Transaktionen oder Vertriebskanäle zu bewerten und zumindest die in Anlage II dargelegten Faktoren für ein potenziell geringes Risiko zu berücksichtigen.

....

Verstärkte Sorgfaltspflichten

§ 9. (1) In den in § 10 bis § 12 genannten Fällen, bei natürlichen oder juristischen Personen, die in Drittländern mit hohem Risiko niedergelassen sind und wenn ein Verpflichteter aufgrund seiner Risikoanalyse (§ 4) oder auf andere Weise feststellt, dass ein erhöhtes Risiko der Geldwäscherei oder Terrorismusfinanzierung besteht, hat er verstärkte Sorgfaltspflichten gegenüber Kunden anzuwenden, um diese Risiken angemessen zu beherrschen und zu mindern. Hierbei sind die Risiken von Geldwäscherei und Terrorismusfinanzierung für bestimmte Arten von Kunden, geografische Gebiete und für bestimmte Produkte, Dienstleistungen, Transaktionen oder Vertriebskanäle zu bewerten und zumindest die in Anlage III dargelegten Faktoren für ein potenziell erhöhtes Risiko zu berücksichtigen.

..."

3.2.3. Zu Spruchpunkt 3.

Zu Spruchpunkt 3. des angefochtenen Straferkenntnisses ("keine angemessenen Strategien und Verfahren zur Überprüfung der Identität des/r wirtschaftlichen Eigentümer/s einschließlich risikobasierter und angemessener Maßnahmen, um die Eigentums- und Kontrollstruktur des Kunden zu verstehen") sind folgende Normen maßgeblich:

BWG:

"Sorgfaltspflichten zur Bekämpfung von Geldwäscherei und Terrorismusfinanzierung

§ 40

...

(2a) Kredit- und Finanzinstitute haben weiters

1. den Kunden aufzufordern die Identität des wirtschaftlichen Eigentümers des Kunden bekannt zu geben und dieser hat dieser Aufforderung zu entsprechen sowie haben sie risikobasierte und angemessene Maßnahmen zur Überprüfung von dessen Identität zu ergreifen, sodass sie davon überzeugt sind zu wissen, wer der wirtschaftliche Eigentümer ist; im Falle von juristischen Personen oder von Trusts schließt dies risikobasierte und angemessene Maßnahmen ein, um die Eigentums- und die Kontrollstruktur des Kunden zu verstehen,

...

Meldepflichten

§ 41. (1) ...

(2) - (3) ...

(4) Die Kredit- und Finanzinstitute haben

1. angemessene und geeignete Strategien und Verfahren für die Sorgfaltspflichten gegenüber Kunden, Verdachtsmeldungen, die Aufbewahrung von Aufzeichnungen, die interne Kontrolle, die Risikobewertung, das Risikomanagement, die Gewährleistung der Einhaltung der einschlägigen Vorschriften und die Kommunikation einzuführen, um Transaktionen, die mit Geldwäscherei oder Terrorismusfinanzierung zusammenhängen, vorzubeugen und zu verhindern sowie geeignete Strategien zur Verhinderung des Missbrauchs von neuen Technologien für Zwecke der Geldwäscherei und der Terrorismusfinanzierung zu entwickeln;

..."

Im FM-GwG:

"Umfang der Sorgfaltspflichten

§ 6. (1) Die Sorgfaltspflichten gegenüber Kunden umfassen:

1. ...

2. Feststellung der Identität des wirtschaftlichen Eigentümers und Ergreifung angemessener Maßnahmen zur Überprüfung seiner Identität, so dass die Verpflichteten davon überzeugt sind zu wissen, wer der wirtschaftliche Eigentümer ist; im Falle von juristischen Personen, Trusts, Gesellschaften, Stiftungen und ähnlichen Rechtsvereinbarungen schließt dies ein, dass angemessene Maßnahmen ergriffen werden, um die Eigentums- und Kontrollstruktur des Kunden zu verstehen;

(2) ...

(3) Die Verpflichteten haben den Kunden aufzufordern, Folgendes bekannt zu geben:

1. ...

2. die Identität seines oder seiner wirtschaftlichen Eigentümer.

...

Anforderungen an die interne Organisation und Schulungen

§ 23. (1) Die Verpflichteten haben Strategien, Kontrollen und Verfahren zur wirksamen Minderung und Steuerung der auf Unionsebene, auf nationaler Ebene und auf Unternehmensebene ermittelten Risiken von Geldwäscherei und Terrorismusfinanzierung einzurichten, die in einem angemessenen Verhältnis zu Art und Größe des Verpflichteten zu stehen haben. Dabei haben sie den Bericht der Europäischen Kommission gemäß Art. 6 Abs. 1 der Richtlinie (EU) 2015/849 , die nationale Risikoanalyse (§ 3) und die Risikoanalyse auf Unternehmensebene (§ 4) zu berücksichtigen. Die Strategien, Kontrollen und Verfahren haben insbesondere Folgendes zu umfassen:

1. die Risikoklassifizierung auf Kundenebene (§ 6 Abs. 5),

2. die Risikomanagementsysteme (§ 11 Abs. 1 Z 1),

3. die Sorgfaltspflichten gegenüber Kunden; dies beinhaltet auch Maßnahmen in Bezug auf neue Produkte, Praktiken und Technologien zum Ausgleich der damit in Zusammenhang stehenden Risiken,

...

(2) Die Strategien, Kontrollen und Verfahren (Abs. 1) sind in schriftlicher Form festzulegen und vom Leitungsorgan zu genehmigen; sie sind laufend anzuwenden und sofern erforderlich entsprechend anzupassen. Die laufende Einhaltung der internen Vorschriften, die Teil der Strategien, Kontrollen und Verfahren sind, durch die diesen unterworfenen Mitarbeiter, ist durch den besonderen Beauftragten (Abs. 3) zu überwachen. Dieser ist insbesondere auch für die Einhaltung der gruppenweiten Strategien und Verfahren gemäß § 24 verantwortlich. Darüber hinaus hat eine risikobasierte unabhängige Prüfung der Strategien, Verfahren und Kontrollen sowie deren laufenden Anwendung durch die interne Revision zu erfolgen. Sofern Verpflichtete zur Einrichtung einer internen Revision nicht verpflichtet sind und eine unabhängige Prüfung im Hinblick auf Art und Umfang der Geschäftstätigkeit erforderlich ist, hat die Prüfung durch eine unabhängige Stelle zu erfolgen.

..."

3.2.4. Zu Spruchpunkten 4.1. bis 4.5.

Die Spruchpunkte 4.1. bis 4.5. betreffen jeweils "unterlassene konkrete Überprüfung der Identität der/s wirtschaftlichen Eigentümer/s, einschließlich risikobasierter und angemessener Maßnahmen, um die Eigentums- und Kontrollstruktur des Kunden zu verstehen". Dabei umfasste der Vorwurf bei den Spruchpunkten 4.1., 4.2. und 4.4. jeweils auch die Tatbestandsverwirklichung im Hinblick auf § 40 Abs. 2e BWG (Erfordernis der Überprüfung "zu geeigneter Zeit auch auf die bestehende Kundschaft auf risikoorientierter Grundlage"). Die dafür relevanten Vorschriften des BWG und, seit 01.01.2017, des FM-GwG laute(te)n wie folgt:

Im BWG:

"Sorgfaltspflichten zur Bekämpfung von Geldwäscherei und Terrorismusfinanzierung

§ 40

...

(2a) Kredit- und Finanzinstitute haben weiters

...

..."

Im FM-GwG:

"Umfang der Sorgfaltspflichten

§ 6. (1) Die Sorgfaltspflichten gegenüber Kunden umfassen:

1. ...

...

Zeitpunkt der Anwendung der Sorgfaltspflichten

§ 7. (1) Die Feststellung und Überprüfung der Identität des Kunden, des wirtschaftlichen Eigentümers, des Treugebers und des Treuhänders (§ 6 Abs. 1 Z 1, 2 und 5) und die Einholung und Überprüfung von Informationen über den Zweck und die angestrebte Art der Geschäftsbeziehung und über die Herkunft der eingesetzten Mittel (§ 6 Abs. 1 Z 3 und 4) hat vor Begründung einer Geschäftsbeziehung und vor Ausführung einer gelegentlichen Transaktion zu erfolgen. Die Feststellung und Überprüfung der Identität einer vertretungsbefugten natürlichen Person (§ 6 Abs. 1 Schlussteil) hat zu erfolgen, wenn sich diese auf ihre Vertretungsbefugnis beruft.

...

...."

3.2.5. Zu Spruchpunkt 5.

Der Spruchpunkt 5. des angefochtenen Straferkenntnisses betrifft in Fällen von erhöhtem Risiko der Geldwäsche und Terrorismusfinanzierung den Vorwurf der Unterlassung zusätzlicher Maßnahmen wie der Anwendung zusätzlicher Standards bei der Erlangung und Überprüfung der Informationen zu Zweck und Art der Geschäftsbeziehung sowie der Unterlassung einer verstärkten kontinuierlichen Überwachung der jeweiligen Geschäftsbeziehung. Die für den Spruchpunkt 5. (konkret gegliedert in: Spruchpunkte 5.1. bis 5.5.) einschlägigen Bestimmungen lauteten im BWG und lauten im FM-GwG wie folgt:

In § 40 Abs. 2a Z 3 BWG:

"Sorgfaltspflichten zur Bekämpfung von Geldwäscherei und Terrorismusfinanzierung

§ 40. (1) - (2) ...

(2a) Kredit- und Finanzinstitute haben weiters

2. risikobasierte und angemessene Maßnahmen zu ergreifen, um Informationen über Zweck und Art der angestrebten Geschäftsbeziehung einzuholen,

3. risikobasierte und angemessene Maßnahmen zu ergreifen, um eine kontinuierliche Überwachung der Geschäftsbeziehung, einschließlich einer Überprüfung der im Verlauf der Geschäftsbeziehung abgewickelten Transaktionen, durchzuführen, um sicherzustellen, dass diese mit den Kenntnissen der Institute über den Kunden, seine Geschäftstätigkeit und sein Risikoprofil, einschließlich erforderlichenfalls der Herkunft der Geld- oder Finanzmittel, kohärent sind, und Gewähr zu leisten, dass die jeweiligen Dokumente, Daten oder Informationen stets aktualisiert werden.

..."

In § 40b Abs 1 BWG:

"Verstärkte Sorgfaltspflichten gegenüber Kunden

§ 40b. (1) Die Kredit- und Finanzinstitute haben in den Fällen, in denen ihrem Wesen nach ein erhöhtes Risiko der Geldwäscherei oder Terrorismusfinanzierung besteht, auf risikoorientierter Grundlage zusätzlich zu den Pflichten der § 40 Abs. 1, 2, 2a und 2e weitere angemessene Sorgfaltspflichten anzuwenden und die Geschäftsbeziehung einer verstärkten kontinuierlichen Überwachung zu unterziehen. Sie haben jedenfalls zusätzlich:

..."

Im FM-GwG:

"Verstärkte Sorgfaltspflichten

...

...."

3.2.6. Zu Spruchpunkt 6.

Die für Spruchpunkt 6. des Straferkenntnisses (Vorwurf "nicht gewährleisteter Aktualisierung der Dokumente, Daten und Unterlagen") relevanten Normen des BWG und des FM-GwG laut(et)en wie folgt:

Im BWG:

§ 40 Abs. 2a Z 3 BWG:

"Sorgfaltspflichten zur Bekämpfung von Geldwäscherei und Terrorismusfinanzierung

§ 40

...

(2a) Kredit- und Finanzinstitute haben weiters

1. ...

2. ...

Im FM-GwG:

§ 6 Abs. 1 Z 7 FM-GwG iVm. § 34 Abs. 1 Z 2 FM-GwG:

"Umfang der Sorgfaltspflichten

§ 6. (1) Die Sorgfaltspflichten gegenüber Kunden umfassen:

1. - 6. ...

7. regelmäßige Überprüfung des Vorhandenseins sämtlicher aufgrund dieses Bundesgesetzes erforderlichen Informationen, Daten und Dokumente sowie Aktualisierung dieser Informationen, Daten und Dokumente.

...

3.2.7. Zu Spruchpunkt 7.

Der Spruchpunkt 7. des angefochtenen Straferkenntnisses behandelt den Vorwurf des "Fehlens angemessener, risikobasierter Verfahren, anhand derer bestimmt werden kann, ob es sich bei einer juristischen Person als bestehende[m] Kunden um eine politisch exponierte Person (PEP) handelt oder nicht". Die für diesen Spruchpunkt 7. relevanten Normen des BWG und des FM-GwG laut(et)en wie folgt:

In § 40b Abs. 1 Z 3 lit. a BWG:

"Verstärkte Sorgfaltspflichten gegenüber Kunden

1. - 2. ...

3. hinsichtlich Transaktionen oder Geschäftsbeziehungen mit Bezug zu politisch exponierten Personen von anderen Mitgliedstaaten oder von Drittländern, wobei diesen Personen solche gleichzuhalten sind, die erst im Laufe der Geschäftsbeziehung politisch exponierte Personen werden,

a) über angemessene, risikobasierte Verfahren zu verfügen, anhand derer bestimmt werden kann, ob es sich bei dem Kunden um eine politisch exponierte Person handelt oder nicht,

b) - e) ....

Meldepflichten

§ 41. (1) -(3) ...

(4) Die Kredit- und Finanzinstitute haben

..."

Im FM-GwG:

"Verstärkte Sorgfaltspflichten

(2) - (4) ...

...

Transaktionen und Geschäftsbeziehungen mit politisch exponierten Personen

§ 11. (1) Die Verpflichteten haben zusätzlich zu den in § 6 festgelegten Sorgfaltspflichten gegenüber Kunden

1. über angemessene Risikomanagementsysteme, einschließlich risikobasierter Verfahren, zu verfügen, um feststellen zu können, ob es sich bei dem Kunden, dem wirtschaftlichen Eigentümer des Kunden oder dem Treugeber des Kunden um eine politisch exponierte Person handelt und diese Verfahren vor Begründung der Geschäftsbeziehung sowie in angemessenen regelmäßigen Abständen während aufrechter Geschäftsbeziehung anzuwenden.

...

(4) Die in diesem Paragraphen genannten Maßnahmen gelten auch für Familienmitglieder oder Personen, die politisch exponierten Personen bekanntermaßen nahestehen.

Anforderungen an die interne Organisation und Schulungen

1. die Risikoklassifizierung auf Kundenebene (§ 6 Abs. 5),

2. die Risikomanagementsysteme (§ 11 Abs. 1 Z 1),

3. die Sorgfaltspflichten gegenüber Kunden; dies beinhaltet auch Maßnahmen in Bezug auf neue Produkte, Praktiken und Technologien zum Ausgleich der damit in Zusammenhang stehenden Risiken,

4. die Verdachtsmeldungen,

5. die Aufbewahrung von Unterlagen und

6. die Vorkehrungen zur Einhaltung des Abs. 6

..."

3.2.8. Zu Spruchpunkt 8.

Der Spruchpunkt 8. des angefochtenen Bescheides betrifft den Vorwurf unterlassener Einführung geeigneter Strategien und Verfahren für die Sorgfaltspflichten, um Transaktionen vorzubeugen, die mit Geldwäscherei und Terrorismusfinanzierung zusammenhängen in einem von der GTV erfassten Fall. Die für Spruchpunkt 8. des Straferkenntnisses relevanten Normen des BWG und des FM-GwG laute(te)n wie folgt:

§ 41 Abs. 4 Z 1 BWG iVm. Terrorismusfinanzierungsrisiko-Verordnung (GTV) iVm. § 98 Abs. 5a Z 3 iVm. § 99d BWG

"Verstärkte Sorgfaltspflichten gegenüber Kunden

1. - 3. ...

Die FMA kann darüber hinaus mit Zustimmung des Bundesministers für Finanzen durch Verordnung für weitere Fälle, bei denen ihrem Wesen nach ein erhöhtes Risiko der Geldwäscherei oder Terrorismusfinanzierung besteht, insbesondere im Zusammenhang mit Staaten, in denen laut glaubwürdiger Quelle ein erhöhtes Risiko der Geldwäscherei und der Terrorismusfinanzierung besteht, den Kredit- und Finanzinstituten die Verpflichtung auferlegen, zusätzlich zu den Pflichten des § 40 Abs. 1, 2, 2a und 2e weitere angemessene Sorgfaltspflichten anzuwenden und die Geschäftsbeziehung einer verstärkten kontinuierlichen Überwachung zu unterziehen.

Meldepflichten

§ 41.

(1) - (3) ...

(4) Die Kredit- und Finanzinstitute haben

In § 9 FM-GwG:

"Verstärkte Sorgfaltspflichten

(2) Wenn Verpflichtete über Zweigstellen bzw. Zweigniederlassungen oder Tochterunternehmen mit Sitz in Drittländern mit hohem Risiko verfügen, müssen sie in diesen nicht automatisch verstärkte Sorgfaltspflichten gegenüber Kunden anwenden, wenn sich diese Zweigstellen bzw. Zweigniederlassungen oder Tochterunternehmen uneingeschränkt an die gruppenweit anzuwendenden Strategien und Verfahren (§ 24) halten. Diesfalls haben die Verpflichteten auf risikoorientierter Grundlage zu beurteilen, ob die Anwendung verstärkter Sorgfaltspflichten erforderlich ist.

(3) Die Verpflichteten haben Hintergrund und Zweck aller komplexen und ungewöhnlich großen Transaktionen und aller ungewöhnlichen Muster von Transaktionen ohne offensichtlichen wirtschaftlichen oder rechtmäßigen Zweck zu untersuchen, soweit dies im angemessenen Rahmen möglich ist. Um zu bestimmen, ob diese Transaktionen oder Tätigkeiten verdächtig sind, haben die Verpflichteten insbesondere den Umfang und die Art der Überwachung der Geschäftsbeziehung zu verstärken.

(4) Die FMA kann mit Zustimmung des Bundesministers für Finanzen mit Verordnung festlegen, in welchen Bereichen, neben den in diesem Bundesgesetz genannten, ein erhöhtes Risiko der Geldwäscherei oder Terrorismusfinanzierung besteht, wenn dies in der nationalen Risikoanalyse (§ 3) festgestellt wurde oder die FMA selbst das Vorliegen eines erhöhten Risikos unter Berücksichtigung von Abs. 1 zweiter Satz festgestellt hat. In einer Verordnung gemäß diesem Absatz hat die FMA soweit erforderlich den konkreten Umfang der verstärkten Sorgfaltspflichten gegenüber Kunden festzulegen.

3.2.9. Zu Spruchpunkt 9.

Der Spruchpunkt 9. des angefochtenen Straferkenntnisses betrifft den Vorwurf unterlassener Einführung angemessener und geeigneter Strategien und Verfahren für die Gewährleistung der Einhaltung des § 40d Abs. 1 BWG. Die für Spruchpunkt 9. des Straferkennntnisses relevanten Normen des BWG und des FM-GwG laute(te)n

Im BWG:

"Unzulässige Geschäftsbeziehungen

§ 40d. (1) Die Kreditinstitute haben die Aufnahme oder Fortführung einer Korrespondenzbankbeziehung mit einer Bank-Mantelgesellschaft (shell bank) gemäß § 2 Z 74 zu unterlassen und haben angemessene Maßnahmen zu ergreifen, um dafür zu sorgen, dass sie nicht eine Korrespondenzbankbeziehung mit einem Kreditinstitut eingehen oder fortführen, von dem bekannt ist, dass es zulässt, dass seine Konten von einer Bank-Mantelgesellschaft genutzt werden.

(2) Jedenfalls ist den Kredit- und Finanzinstituten das Führen anonymer Konten und die Entgegennahme anonymer Spareinlagen untersagt; § 40 Abs. 5 bis 7 sind anzuwenden.

...

Meldepflichten

§ 41 ...

(4) Die Kredit- und Finanzinstitute haben

In §§ 12,23 FM-GwG:

"Unzulässige Geschäftsbeziehungen und Maßnahmen bei Nicht-Kooperationsstaaten

§ 12. (1) Die Verpflichteten haben die Aufnahme oder Fortführung einer Korrespondenzbankbeziehung mit einer Bank-Mantelgesellschaft zu unterlassen und haben angemessene Maßnahmen zu ergreifen, um dafür zu sorgen, dass sie keine Korrespondenzbankbeziehung mit einem Kredit- oder Finanzinstitut eingehen oder fortführen, das bekanntermaßen zulässt, dass seine Konten von einer Bank-Mantelgesellschaft genutzt werden.

...

Anforderungen an die interne Organisation und Schulungen

1. die Risikoklassifizierung auf Kundenebene (§ 6 Abs. 5),

2. die Risikomanagementsysteme (§ 11 Abs. 1 Z 1),

3. die Sorgfaltspflichten gegenüber Kunden; dies beinhaltet auch Maßnahmen in Bezug auf neue Produkte, Praktiken und Technologien zum Ausgleich der damit in Zusammenhang stehenden Risiken,

4. die Verdachtsmeldungen,

5. die Aufbewahrung von Unterlagen und

6. die Vorkehrungen zur Einhaltung des Abs. 6

..."

3.2.10. Zu Spruchpunkt 10.

Der Spruchpunkt 10. des angefochtenen Straferkenntnisses betrifft den Vorwurf unterlassener Einsetzung eines besonderen Beauftragten (GWB) zur Bekämpfung von Geldwäscherei und Terrorismusfinanzierung, der die Einhaltung der §§ 40 ff BWG ausreichend sicherstellen konnte. Die für Spruchpunkt 10. des Straferkennntnisses relevanten Normen des BWG und des FM-GwG laute(te)n wie folgt:

§ 41 Abs. 4 Z 1 iVm. § 41 Abs. 4 Z 6 BWG:

"Meldepflichten

§ 41.

(1) - (3) ...

(4) Die Kredit- und Finanzinstitute haben

1. - 5. ...

6. innerhalb ihres Unternehmens einen besonderen Beauftragten zur Sicherstellung der Einhaltung der §§ 40 ff zur Bekämpfung von Geldwäscherei und Terrorismusfinanzierung vorzusehen. Die Position des besonderen Beauftragten ist so einzurichten, dass dieser lediglich den Geschäftsleitern gegenüber verantwortlich ist und den Geschäftsleitern direkt - ohne Zwischenebenen - zu berichten hat. Weiters ist ihm freier Zugang zu sämtlichen Informationen, Daten, Aufzeichnungen und Systemen, die in irgend einem möglichen Zusammenhang mit Geldwäscherei und Terrorismusfinanzierung stehen könnten, sowie ausreichende Befugnisse einzuräumen. Kreditinstitute und Finanzinstitute haben durch entsprechende organisatorische Vorkehrungen sicherzustellen, dass die Aufgaben des besonderen Beauftragten jederzeit vor Ort erfüllt werden können."

In § 23 Abs. 3 FM-GwG:

"Anforderungen an die interne Organisation und Schulungen

§ 23. (1) - (2) ...

(3) Die Verpflichteten haben einen besonderen Beauftragten zur Sicherstellung der Einhaltung der Bestimmungen dieses Bundesgesetzes zu bestellen. Die Position des besonderen Beauftragten ist so einzurichten, dass dieser lediglich dem Leitungsorgan gegenüber verantwortlich ist und dem Leitungsorgan direkt - ohne Zwischenebenen - zu berichten hat. Weiters ist ihm freier Zugang zu sämtlichen Informationen, Daten, Aufzeichnungen und Systemen, die in irgendeinem möglichen Zusammenhang mit Geldwäscherei und Terrorismusfinanzierung stehen könnten, sowie ausreichende Befugnisse zur Durchsetzung der Einhaltung der Bestimmungen dieses Bundesgesetzes einzuräumen. Verpflichtete haben durch entsprechende organisatorische Vorkehrungen sicherzustellen, dass die Aufgaben des besonderen Beauftragten jederzeit vor Ort erfüllt werden können. Die Verpflichteten haben sicherzustellen, dass der besondere Beauftragte jederzeit über ausreichende Berufsqualifikationen, Kenntnisse und Erfahrungen verfügt (fachliche Qualifikation) und zuverlässig und integer ist (persönliche Zuverlässigkeit).

...".

3.2.11. Zur jeweils anwendbaren Strafnorm (Strafdrohung) und Strafbarkeit der juristischen Person:

Die für alle hier betroffenen Tatvorwürfe relevanten Bestimmungen zur Strafbarkeit der juristischen Person fanden sich zunächst in §§ 98 Abs. 5a Z 3, 99d BWG und wurden dann durch §§ 34, 35 FM-GwG ersetzt. Diese Vorschriften lauten wie folgt:

§ 98 Abs. 5a Z 3 BWG und § 99d BWG lauteten (für den Beschwerdefall anwendbar bis 31.12.2016):

"§ 98 ...

(5a) Wer als Verantwortlicher (§ 9 VStG) eines Kreditinstitutes

1. ...

2. ...

3. die Pflichten der §§ 40, 40a, 40b, 40d oder 41 Abs. 1 bis 4 verletzt;

begeht, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet, eine Verwaltungsübertretung und ist von der FMA mit Geldstrafe bis zu 5 Millionen Euro oder bis zu dem Zweifachen des aus dem Verstoß gezogenen Nutzens, soweit sich dieser beziffern lässt, zu bestrafen.

...

§ 99d. (1) Die FMA kann Geldstrafen gegen juristische Personen verhängen, wenn Personen, die entweder allein oder als Teil eines Organs der juristischen Person gehandelt haben und eine Führungsposition innerhalb der juristischen Person aufgrund

1. der Befugnis zur Vertretung der juristischen Person,

2. der Befugnis, Entscheidungen im Namen der juristischen Person zu treffen, oder

3. einer Kontrollbefugnis innerhalb der juristischen Person

innehaben, gegen die in § 98 Abs. 1, Abs. 2 Z 7 und 11, Abs. 5, Abs. 5a oder § 99 Abs. 1 Z 3 oder 4 angeführten Verpflichtungen verstoßen haben, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet.

(2) Juristische Personen können wegen Verstößen gegen die in § 98 Abs. 1, Abs. 2 Z 7 und 11, Abs. 5, Abs. 5a oder § 99 Abs. 1 Z 3 oder 4 angeführten Pflichten auch verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch eine in Abs. 1 genannte Person die Begehung dieser Verstöße durch eine für die juristische Person tätige Person ermöglicht hat, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet.

(3) Die Geldstrafe gemäß Abs. 1 oder 2 beträgt bis zu 10 vH des jährlichen Gesamtnettoumsatzes gemäß Abs. 4 oder bis zu dem Zweifachen des aus dem Verstoß gezogenen Nutzens, soweit sich dieser beziffern lässt.

(4) Der jährliche Gesamtnettoumsatz gemäß Abs. 3 ist bei Kreditinstituten der Gesamtbetrag aller in Z 1 bis 7 der Anlage 2 zu § 43 angeführten Erträge abzüglich der dort angeführten Aufwendungen; handelt es sich bei dem Unternehmen um eine Tochtergesellschaft, ist auf den jährlichen Gesamtnettoumsatz abzustellen, der im vorangegangenen Geschäftsjahr im konsolidierten Abschluss der Muttergesellschaft an der Spitze der Gruppe ausgewiesen ist. Bei sonstigen juristischen Personen ist der jährliche Gesamtumsatz maßgeblich. Soweit die FMA die Grundlagen für den Gesamtumsatz nicht ermitteln oder berechnen kann, hat sie diese zu schätzen. Dabei sind alle Umstände zu berücksichtigen, die für die Schätzung von Bedeutung sind.

(5) Die FMA kann von der Bestrafung eines Verantwortlichen gemäß § 9 VStG absehen, wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen die juristische Person verhängt wird und keine besonderen Umstände vorliegen, die einem Absehen von der Bestrafung entgegenstehen."

§§ 34 und 35 FM-GwG (in Kraft seit 01.01.2017):

"8. Abschnitt

Strafbestimmungen und Veröffentlichungen

Pflichtverletzungen

§ 34. (1) Wer als Verantwortlicher (§ 9 VStG) eines Verpflichteten, die Pflichten gemäß

1. § 4 (Durchführung, Aufzeichnung und Aktualisierung der Risikoanalyse),

2. § 5 bis § 12 (Sorgfaltspflichten gegenüber Kunden) und der aufgrund von § 6 Abs. 4, § 8 Abs. 5 und § 9 Abs. 4 erlassenen Verordnungen der FMA,

3. § 13 bis § 15 (Ausführung durch Dritte),

4. § 16 bis § 17 (Meldepflichten),

5. § 19 Abs. 2 (Schutz vor Bedrohungen oder Anfeindungen im Beschäftigungsverhältnis),

6. § 20 (Verbot der Informationsweitergabe),

7. § 21 Abs. 1 bis 3 (Aufbewahrungspflichten) und der aufgrund von § 21 Abs. 3 erlassenen Verordnungen der FMA,

8. § 23 Abs. 1 bis 3 oder 6 (interne Organisation),

9. § 23 Abs. 4, 5 oder 7 (Schulungen, Verantwortlichkeit des Leitungsorgans und Benennung der zentralen Kontaktstelle) oder

10. § 24 (Strategien und Verfahren bei Gruppen)

verletzt, begeht eine Verwaltungsübertretung und ist von der FMA mit einer Geldstrafe bis zu 150 000 Euro zu bestrafen.

(2) Wenn es sich bei den Pflichtverletzungen gemäß Abs. 1 Z 2, 4, 7, 9 und 10 um schwerwiegende, wiederholte oder systematische Verstöße oder eine Kombination davon handelt, beträgt die Geldstrafe bis zu 5 000 000 Euro oder bis zu dem Zweifachen des aus der Pflichtverletzung gezogenen Nutzens, soweit sich dieser beziffern lässt.

...

Strafbarkeit von juristischen Personen

§ 35. (1) Die FMA kann Geldstrafen gegen juristische Personen verhängen, wenn eine Pflichtverletzung gemäß § 34 Abs. 1 bis 3 zu ihren Gunsten von einer Person begangen wurde, die allein oder als Teil eines Organs der juristischen Person gehandelt hat und die aufgrund einer der folgenden Befugnisse eine Führungsposition innerhalb der juristischen Person innehat:

1. Befugnis zur Vertretung der juristischen Person,

2. Befugnis, Entscheidungen im Namen der juristischen Person zu treffen oder

3. Kontrollbefugnis innerhalb der juristischen Person.

(2) Juristische Personen können wegen Pflichtverletzungen gemäß § 34 Abs. 1 bis 3 auch dann verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch eine in Abs. 1 genannte Person die Begehung einer in § 34 Abs. 1 bis 3 genannten Pflichtverletzungen zugunsten der juristischen Person durch eine für sie tätige Person ermöglicht hat.

(3) Die Geldstrafe gemäß Abs. 1 und 2 beträgt bei

Pflichtverletzungen gemäß § 34 Abs. 1 bis zu 150 000 Euro und bei

Pflichtverletzungen gemäß § 34 Abs. 2 und 3 bis zu 5 000 000 Euro oder 10 vH des jährlichen Gesamtumsatzes. Der jährliche Gesamtumsatz bestimmt sich nach den jährlichen Umsatzerlösen aus dem letzten festgestellten Jahresabschluss. Wenn es sich bei dem Verpflichteten um ein Kreditinstitut, ein E-Geld-Institut gemäß § 3 Abs. 2 und § 9 Abs. 1 E-Geldgesetz 2010, das ein CRR-Finanzinstitut gemäß Art. 4 Abs. 1 Nr. 26 der Verordnung (EU) Nr. 575/2013 ist, ein Zahlungsinstitut gemäß § 3 Z 4 ZaDiG, das ein CRR-Finanzinstitut gemäß Art. 4 Abs. 1 Nr. 26 der Verordnung (EU) Nr. 575/2013 ist, einen AIFM gemäß § 2 Abs. 1 Z 2 AIFMG oder eine Wertpapierfirma gemäß § 1 Z 1 WAG 2018 handelt, ist der jährliche Gesamtumsatz die Summe der in Z 1 bis 7 der Anlage 2 zu § 43 BWG angeführten Erträge abzüglich der dort angeführten Aufwendungen. Wenn es sich bei dem Verpflichteten um ein Versicherungsunternehmen gemäß § 5 Z 1 VAG 2016 oder um ein kleines Versicherungsunternehmen gemäß § 5 Z 3 VAG 2016 handelt, ist der jährliche Gesamtumsatz die Summe der in § 146 Abs. 4 Z 1 bis 8 und 10 bis 11 VAG 2016 angeführten Erträge abzüglich der dort angeführten Aufwendungen. Wenn es sich bei dem Verpflichteten um eine Muttergesellschaft oder die Tochtergesellschaft einer Muttergesellschaft handelt, die einen konsolidierten Abschluss nach Art. 22 der Richtlinie 2013/34/EU aufzustellen hat, so bestimmt sich der jährliche Gesamtumsatz nach den jährlichen Umsatzerlösen oder der entsprechenden Einkunftsart gemäß den einschlägigen Rechnungslegungsrichtlinien, die im letzten verfügbaren festgestellten konsolidierten Abschluss ausgewiesen sind. Soweit die FMA die Grundlagen für den Gesamtumsatz nicht ermitteln oder berechnen kann, hat sie diese zu schätzen. Dabei sind alle Umstände zu berücksichtigen, die für die Schätzung von Bedeutung sind.

Aus dieser Gegenüberstellung wird deutlich, dass die Strafdrohung gegenüber juristischen Personen für einen Teil der im vorliegenden Beschwerdefall angewendeten Übertretungstatbestände mit Erlassung des FM-GwG gesenkt wurde:

§ 99d BWG normierte noch einen nicht näher differenzierenden Strafrahmen von "bis zu 10 vH des jährlichen Gesamtnettoumsatzes gemäß Abs. 4 oder bis zu dem Zweifachen des aus dem Verstoß gezogenen Nutzens, soweit sich dieser beziffern lässt" für jede der hier relevanten Übertretungen, weil § 99d BWG diese Strafdrohung - ohne zu differenzieren - an alle Übertretungen "gemäß § 98 Abs. 5a" (BWG) knüpfte. Sämtliche im Beschwerdefall relevanten Übertretungen waren nach dem BWG durch § 98 Abs. 5a Z 3 BWG pönalisiert und fielen daher im Fall einer juristischen Person unter den Strafrahmen des § 99d Abs. 3 BWG. Auch die belangte Behörde ging von dieser Sichtweise aus.

Demgegenüber findet sich in § 35 FM-GwG nunmehr eine Unterscheidung bei dem für juristische Personen anzuwendenden Strafrahmen, je nachdem, ob die juristische Person eine "Pflichtverletzung" nach § 34 Abs. 1 FM-GwG oder eine solche nach § 34 Abs. 2 leg.cit. zu

verantworten hat: "Die Geldstrafe ... beträgt bei

Pflichtverletzungen gemäß § 34 Abs. 1 bis zu 150 000 Euro und bei

Pflichtverletzungen gemäß § 34 Abs. 2 und 3 bis zu 5 000 000 Euro oder 10 vH des jährlichen Gesamtumsatzes."

§ 34 Abs. 2 FM-GwG erfasst nur (qualifizierte Formen von) "Pflichtverletzungen gemäß [§ 34] Abs. 1 Z 2,4, 7, 9 und 10" FM-GwG. In dieser Aufzählung sind die Ziffern 1, 3, 5, 6 und 8 des § 34 Abs. 1 FM-GwG nicht enthalten. Pflichtverletzungen im Sinne dieser Ziffern fallen daher ausschließlich unter die Strafdrohung des § 34 Abs. 1 FM-GwG. Dies folgt bereits aus dem eindeutigen Gesetzeswortlaut. Überlegungen in die Richtung, dass eine Zuordnung zu Abs. 2 leg.cit. wertungsmäßig indiziert sein könnte, weil es sich bei diesen Übertretungen um "Organisationsmängel" handelt, verbieten sich angesichts dieses eindeutigen Wortlautes und des strafrechtlichen Analogieverbots. Davon abgesehen ließen sich auch Argumente dafür anführen, dass entsprechende Mängel dann eine schwerere Bestrafung erfordern, wenn sie sich nicht auf die abstrakte Organisationsebene beschränkt, sondern bereits auf der konkreten Transaktionsebene verwirklicht haben.

Dies wirkt sich im Beschwerdefall zu Gunsten der beschwerdeführenden Partei aus, weil die in den Spruchpunkten 1., 3., 7., 8., 9. und 10. des angefochtenen Bescheides erfassten Vorwürfe nur dem § 34 Abs. 1 FM-GwG zu subsumieren sind:

In Spruchpunkt 1. geht es um eine Pflichtverletzung im Sinne von § 34 Abs. 1 Z 1 FM-GwG (Durchführung, Aufzeichnung und Aktualisierung der Risikoanalyse). Diese Pflichtverletzung ist nur von § 34 Abs. 1 Z 1 FM-GwG und somit nicht von der Aufzählung des § 34 Abs. 2 leg.cit. erfasst und unterliegt daher seit 01.01.2017 dem Strafhöchstrahmen von 150 000 Euro, sohin einer zwischenzeitig günstigeren Strafdrohung. Das Gleiche gilt für Spruchpunkt 3., 7., 8., 9. und 10.; diese unterliegen jeweils einem Tatbestand des § 23 Abs. 1 FM-GwG (interne Organisation) und die entsprechende Pflichtverletzung ist daher gemäß § 34 Abs. 1 Z 8 FM-GwG erfasst, der in der Aufzählung des § 34 Abs. 2 leg.cit. fehlt, so dass diese Pflichtverletzungen seit 01.01.2017 - jeweils für sich betrachtet - dem Strafhöchstrahmen von 150 000 Euro unterliegen. Für die Strafbarkeit der juristischen Person normiert § 35 Abs. 3 FM-GwG nur bei "Pflichtverletzungen gemäß § 34 Abs. 2 und 3" die Strafhöhe mit "bis zu 5 000 000 Euro oder 10 vH des jährlichen Gesamtumsatzes" und sieht demgegenüber für Pflichtverletzungen, die nur dem § 34 Abs. 1 FM-GwG subsumiert werden können, bloß eine Strafdrohung von "bis zu 150 000 Euro" vor. Auf die Konsequenzen dieser Rechtsänderung wird im Rahmen der Ausführungen zur Strafbemessung näher eingegangen.

3.2.12. Zu Verhängung einer "einzigen" Verwaltungsstrafe für mehrere Verwaltungsübertretungen

Eine weitere gesetzliche Änderung erfolgte nach Erlassung des angefochtenen Straferkenntnisses durch die auf das Finanzmarktaufsichtsrecht beschränkte Modifikation des Kumulationsprinzips und die Pflicht zur Erlassung einer Gesamtstrafe ("einzige[n] Verwaltungsstrafe") im finanzmarktaufsichtsrechtlichen Verwaltungsstrafrecht:

In § 2 und § 22 Abs. 8 bis 10 FMABG ist, abweichend vom Kumulationsprinzip des § 22 Abs. 2 VStG, seit 03.01.2018 (BGBl. I 107/2017) Folgendes vorgesehen:

"§ 2. (1) Zur Bankenaufsicht zählt die Wahrnehmung der behördlichen Aufgaben und Befugnisse, die

1.- 18. ...

19. im Finanzmarkt-Geldwäschegesetz - FM-GwG, BGBl. I Nr. 118/2016,

20. - 21. ...

geregelt und der FMA zugewiesen sind.

Verfahrensbestimmungen

§ 22. (1) - (7) ...

(8) Wenn durch eine Tat oder durch mehrere selbständige Taten mehrere Verwaltungsübertretungen gemäß einem oder mehreren der in § 2 genannten Bundesgesetze begangen wurden oder fällt eine Tat unter mehrere einander nicht ausschließende Strafdrohungen, so ist eine einzige Verwaltungsstrafe zu verhängen. Diese Verwaltungsstrafe ist jeweils nach der Strafdrohung zu bestimmen, die die höchste Strafe androht.

(9) Wurde gemäß Abs. 8 eine Verwaltungsstrafe verhängt und soll nunmehr eine weitere Verwaltungsstrafe verhängt werden, die nach der Zeit der Begehung schon in dem früheren Verfahren hätte verhängt werden können, so ist eine Zusatzstrafe zu verhängen. Diese darf das Höchstmaß der Strafe nicht übersteigen, die für die nun zu bestrafende Tat angedroht ist. Die Summe der Strafen darf jeweils die Strafen nicht übersteigen, die nach Abs. 8 zulässig und bei gemeinsamer Bestrafung zu verhängen wären. Wäre bei gemeinsamer Bestrafung keine höhere Strafe als die in dem früheren Verfahren ausgesprochene Strafe zu verhängen, so ist von einer Zusatzstrafe abzusehen.

(10) Ein Erschwerungsgrund für die Zumessung der Strafe ist es, wenn mehrere Verwaltungsübertretungen derselben oder verschiedener Art begangen worden sind."

3.3. Allgemeine (alle Spruchpunkte treffende) Voraussetzungen des vorliegenden Straferkenntnisses

Im Folgenden befasst sich das Bundesverwaltungsgericht mit allgemeinen verfahrensrechtlichen Voraussetzungen des vorliegenden Straferkenntnisses, den von der beschwerdeführenden Partei erhobenen unionsrechtlichen und verfahrensrechtlichen Rügen sowie verfassungsrechtlichen Bedenken:

3.3.1. Zur Einhaltung verfahrensrechtlicher Fristen, deren Überschreitung die Aufhebung oder Einstellung zur Folge hätte:

3.3.1.1. 15-Monats-Frist gem. § 43 VwGVG:

§ 43 Abs. 1 VwGVG normiert für das Beschwerdeverfahren eine Entscheidungsfrist von 15 Monaten "ab Einlangen der Beschwerde". Nach § 34 Abs. 2 VwGVG werden in die Berechnung dieser Frist Zeiten gemäß § 34 Abs. 2 und § 51 VwGVG nicht eingerechnet. Zu den nicht in die Frist einzuberechnenden Zeiten zählt nach § 34 Abs. 2 Z 2 VwGVG

"die Zeit eines Verfahrens ... vor dem Verfassungsgerichtshof". Die

Beschwerde ist bei der belangten Behörde am 13.10.2016 eingelangt. Das Bundesverwaltungsgericht stellte einen Gesetzesprüfungsantrag gem. Art. 140 B-VG, der am 23.11.2016 per ERV beim Verfassungsgerichtshof eingebracht wurde. Die den Gesetzesprüfungsantrag erledigende Entscheidung des Verfassungsgerichtshofes ist am 28.12.2017 beim Bundesverwaltungsgericht eingelangt. Das verfassungsgerichtliche Verfahren dauerte somit 13 Monate und 5 Tage, die der 15-Monats-Frist hinzuzurechnen sind. Die Frist würde daher am 18.02.2019 ablaufen und ist zum Zeitpunkt der Erlassung der vorliegenden Entscheidung daher gewahrt.

3.3.1.2. Strafbarkeitsverjährungsfrist:

Die Frist für die Strafbarkeitsverjährung (§ 31 Abs. 2 VStG) legt § 36 FM-GWG mit fünf Jahren fest. Diese durch das FM-GwG bewirkte Verlängerung der im VStG (mit drei Jahren) normierten Frist ist am 01.01.2017 in Kraft getreten (BGBl. I Nr. 118/2016).

§ 1 Abs. 2 VStG steht einer Anwendung einer geänderten Verjährungsbestimmung auf vor dem Inkrafttreten der jeweiligen Novelle begangene Straftaten nicht entgegen, sofern zum Zeitpunkt des Inkrafttretens der geänderten Bestimmung Verjährung noch nicht eingetreten war. Ein allgemeines, die Verjährungsbestimmungen erfassendes Günstigkeitsprinzip lässt sich auch aus Art. 7 Abs. 1 EMRK nicht ableiten (vgl. VwGH 20.06.1990, 89/02/0120; VwSlg. 19.107 A/2015; VwSlg. 19.453 A/2016 Rz 18; EuGH 08.09.2015 [Große Kammer] Rs. C-105/14 Taricco Rz 57).

Nach § 31 Abs. 2 VStG beginnt der Lauf der Strafbarkeitsverjährungsfrist mit dem Tag, "an dem die strafbare Tätigkeit abgeschlossen worden ist oder das strafbare Verhalten aufgehört hat". In die Strafbarkeitsverjährungsfrist werden unter

anderem nicht eingerechnet "die Zeit eines Verfahrens ... vor dem

Verfassungsgerichtshof" (§ 32 Abs. 2 Z 4 VStG).

Ausgehend vom jeweils im Bescheid angenommenen Tatzeitraumende (02.04.2014 [Spruchpunkte 2.1., 2.2., 4.4., 5.3., 6.], 23.04.2014 [Spruchpunkt 7.], 19.05.2014 [Spruchpunkt 4.1., 4.2., 4.3., 8., 9.], 15.08.2014 [Spruchpunkt 10.], 20.10.2014 [Spruchpunkt 5.4.], 15.12.2014 [Spruchpunkte 4.5., 5.5.], 14.01.2015 [Spruchpunkt 5.1.], 25.03.2015 [Spruchpunkt 1.], 14.04.2015 [Spruchpunkt 5.2.], 23.04.2015 [Spruchpunkt 7.], 27.10.2015 [Spruchpunkt 3.]) wäre die dreijährige Strafbarkeitsverjährungsfrist bei In-Kraft-Treten der Gesetzesänderung, mit der die Fristverlängerung bewirkt wurde (01.01.2017) selbst dann noch nicht abgelaufen, wenn man das zwischen 23.11.2016 und 28.12.2017 anhängige verfassungsgerichtliche Normenkontrollverfahren außer Betracht lässt. Die nunmehr auf fünf Jahre verlängerte Frist ist auch zum nunmehrigen Entscheidungszeitpunkt nicht abgelaufen, sondern würde sogar unter Ausklammerung der Dauer des verfassungsgerichtlichen Verfahrens frühestens am 02.04.2019 ablaufen. Die Strafbarkeitsverjährungsfrist ist daher gewahrt.

3.3.1.3. Verfolgungsverjährungsfrist:

§ 36 FM-GwG bestimmt eine vom VStG (§ 31 Abs. 1) abweichende Verfolgungsverjährungfrist von drei Jahren ab dem Tatende. Davor galt eine Frist von 18 Monaten (§ 99b BWG). Diese Frist ist gewahrt, weil die belangte Behörde ihre (die im angefochtenen Bescheid enthaltenen Vorwürfe umfassende) Aufforderung zur Rechtfertigung vom 11.09.2015 (zugestellt am 14.09.2015) fristgerecht erlassen hatte.

3.3.2. Verfassungs- und Unionsrechtskonformität der angewendeten Strafnormen:

Zu den in der Beschwerde geltend gemachten Bedenken ob der Verfassungskonformität der im angefochtenen Bescheid angewendeten Strafnorm im Lichte der Rechtsprechung des Verfassungsgerichtshofes zum "Kernbereich der Strafgerichtsbarkeit" nach Art. 91 Abs. 1 B-VG wird auf das aus Anlass des vorliegenden Beschwerdeverfahrens ergangene Erkenntnis des Verfassungsgerichtshofes vom 13.12.2017, G 408/2016 u.a., verwiesen, in dem der Verfassungsgerichtshof seine bisherige Judikatur zu dieser Frage im Wesentlichen aufgegeben und die Bedenken gegen die angefochtene Strafbestimmung des § 99d BWG verworfen hat.

Soweit die Beschwerde, anknüpfend an die darin aufgeworfenen verfassungsrechtlichen Bedenken, auch die Vorlage an den Gerichtshof der Europäischen Union anregt, tritt das Bundesverwaltungsgericht dem nicht bei. Anders als in der Beschwerde vertreten wird, lässt sich aus dem Unionsrecht keine Verpflichtung erkennen, die Umsetzung der Sanktionierung nach Art. 66 und 67 RL 2013/36/EU durch Regelung eines Strafverfahrens unter Beteiligung von Laien und/oder durch Einbindung eines Instanzenzuges an ein "ordentliches Strafgericht" vorzunehmen.

3.3.3. Zur behaupteten Aussetzungspflicht gem. § 30 VStG:

Nach § 30 Abs. 1 VStG sind Verwaltungsübertretungen unabhängig von anderen dem Beschuldigten zur Last liegenden strafbaren Handlungen zu verfolgen, und zwar in der Regel auch dann, wenn die strafbaren Handlungen durch ein und dieselbe Tat begangen worden sind. § 30 Abs. 2 VStG normiert, dass dann, wenn eine "Tat von den Behörden nur zu ahnden [ist], wenn sie nicht den Tatbestand einer in die Zuständigkeit anderer Verwaltungsbehörden oder der Gerichte fallenden strafbaren Handlung bildet", und es zweifelhaft ist, ob diese Voraussetzung erfüllt ist, die Behörde das Strafverfahren auszusetzen hat, "bis über diese Frage von der sonst in Betracht kommenden Verwaltungsbehörde oder vom Gericht rechtskräftig entschieden ist".

Die Beschwerde macht geltend, die belangte Behörde hätte § 30 Abs. 2 VStG missachtet, weil sie das Verwaltungsstrafverfahren im Hinblick auf gleichzeitig durch die Staatsanwaltschaft gegen ehemalige Organe der beschwerdeführenden Gesellschaft gesetzte Strafverfolgungsschritte (wegen des Verbrechens der Geldwäsche) auszusetzen gehabt hätte. Abgesehen davon, dass dieses Beschwerdevorbringen in der mündlichen Verhandlung ausdrücklich zurückgenommen wurde, ist dazu Folgendes auszuführen:

In der mündlichen Verhandlung hat der Vertreter der beschwerdeführenden Partei die Frage, ob gegen sie selbst (als Verband) betreffend die hier einschlägigen Kundenbeziehungen wegen einer Verdachtslage hinsichtlich des Delikts der Geldwäsche (§ 165 StGB) von Staatsanwaltschaften oder Gerichten ermittelt werde, verneint. Der Beschwerdevertreter äußerte auch, dass demzufolge gegen die Weiterführung des verwaltungsgerichtlichen Verfahrens kein Einwand unter dem Gesichtspunkt des § 30 Abs. 2 VStG bestehe. Das Bundesverwaltungsgericht kann es daher dahingestellt lassen, ob die belangte Behörde zur Aussetzung verpflichtet gewesen wäre, weil jedenfalls im Stadium des reformatorisch zu führenden Verfahrens vor dem Bundesverwaltungsgericht für die beschwerdeführende Gesellschaft kein Aussetzungstatbestand verwirklicht war, so dass jedenfalls das vorliegende Erkenntnis keine Verletzung einer aus § 30 Abs. 2 VStG resultierenden Aussetzungspflicht verwirklicht.

3.3.4. Zur behaupteten Verletzung des Rechts auf Akteneinsicht durch die belangte Behörde:

§ 17 Abs. 1 AVG lautet:

"Soweit in den Verwaltungsvorschriften nicht anderes bestimmt ist, können die Parteien bei der Behörde in die ihre Sache betreffenden Akten Einsicht nehmen und sich von Akten oder Aktenteilen an Ort und Stelle Abschriften selbst anfertigen oder auf ihre Kosten Kopien oder Ausdrucke erstellen lassen. Soweit die Behörde die die Sache betreffenden Akten elektronisch führt, kann der Partei auf Verlangen die Akteneinsicht in jeder technisch möglichen Form gewährt werden."

In der Beschwerde wird die Auffassung vertreten, die belangte Behörde habe die beschwerdeführende Partei in ihrem Recht auf Akteneinsicht verletzt. Die belangte Behörde führe ihre Akten "ausschließlich in elektronischer Form". Das Akteneinsichtsrecht werde von der Behörde dadurch verletzt, dass sie der beschwerdeführenden Partei Akteneinsicht nur in Form von selbst angefertigten Ausdrucken und nicht in elektronischer Form gewährt habe. In der mündlichen Verhandlung ergänzte der Beschwerdevertreter seine Ausführungen dazu und brachte vor, dass er sowohl bei der belangten Behörde als auch beim Bundesverwaltungsgericht Akteneinsicht genommen habe. Dem Bundesverwaltungsgericht liege der physische Akt (in Form von Papierausdrucken) vor, so wie er ihn anlässlich der Akteineinsicht bei der belangten Behörde sehen konnte. Allerdings sei die Akteneinsicht nicht elektronisch gewährt worden und es sei nicht auszuschließen, dass in elektronischer Form nicht doch noch allfällige Unterlagen zu mildernden Umständen oder zu entkräftenden Aspekten bei der belangten Behörde vorhanden seien, die nicht der Akteneinsicht unterworfen worden seien.

Zum Teil macht der Beschwerdevertreter mit diesem Vorbringen nicht nur die Mangelhaftigkeit der Form der Gewährung von Akteneinsicht (Papierausdruckform nach Medienbruch versus elektronische Form), sondern die Unvollständigkeit der Aktenführung geltend. Fragen der Vollständigkeit der Aktenführung stellen sich aber unabhängig davon, ob die Aktenführung elektronisch oder papierförmig erfolgt. Gleichzeitig gab der Beschwerdevertreter an, dass er Anhaltspunkte dafür oder Hinweise darauf, dass der ihm zur Akteneinsicht vorgelegte Verwaltungsakt nicht vollständig gewesen sei (dass also der Behörde bekannte entlastende Unterlagen nicht in den Akt aufgenommen worden seien), nicht habe; das Vorbringen ist daher spekulativ. Auch das Bundesverwaltungsgericht hat dafür keine Anhaltspunkte. Der Beschwerdevertreter bestritt auch nicht, dass die ihm zur Verfügung gestellten Ausdrucke und Kopien den elektronischen Akteninhalt soweit korrekt wiedergeben. Auch für das Bundesverwaltungsgericht sind Bedenken ob der Vollständigkeit der für das vorliegende Verwaltungsstrafverfahren geführten Akten nicht hervorgekommen. Das Bundesverwaltungsgericht stützt seine Entscheidung ausschließlich auf Aktenkundiges.

Das Bundesverwaltungsgericht selbst führt den Akt im verwaltungsgerichtlichen Beschwerdeverfahren nicht elektronisch (der EDV-Einsatz beschränkt sich hier vielmehr auf ein Kanzleiinformationssystem). In Ermangelung der technischen Möglichkeiten zur elektronischen Vorlage wird der von einer Behörde geführte elektronische Akt auch nicht im "elektronischen Original" (§ 21 E-GovG), sondern entweder in Form von Ausdrucken oder in Form von pdf-Dateien vorgelegt. Das Bundesverwaltungsgericht trifft seine Entscheidung aufgrund der von der belangten Behörde hergestellten Papierausdrucke des Behördenakts zuzüglich der im verwaltungsgerichtlichen Verfahren entstandenen (papierförmigen) Gerichtsakten. Ausgehend davon stellt sich die von der Beschwerde gerügte Frage auf Ebene des verwaltungsgerichtlichen Beschwerdeverfahrens nicht. Das Bundesverwaltungsgericht hat jedoch zu überprüfen, ob die Weigerung der belangten Behörde, im Stadium des verwaltungsbehördlichen Verfahrens Akteneinsicht in elektronischer Form zu gewähren, dem Gesetz entsprach.

Der angefochtene Bescheid stützt die Verweigerung der elektronischen Form von Akteneinsicht darauf, dass bei der Behörde die technischen Voraussetzungen hiefür nicht vorliegen.

Dies wird in der Beschwerde damit bestritten, dass die Einschränkung auf technisch mögliche Formen nur bezüglich der Ferneinsicht in elektronische Akten gelte (nicht aber hinsichtlich der elektronischen Einsicht bei der Behörde selbst). Außerdem sei es unrichtig, dass die belangte Behörde nicht über die "nötige Ausstattung zur Gewährung der elektronischen Akteneinsicht" verfüge, denn sie habe "sogar einen eigenen EDV-Schulungsraum, in dem wohl die Infrastruktur für eine elektronische Akteneinsicht" bestehe oder "zumindest problemlos hergestellt werden" könne.

Mit diesem Vorbringen gelingt es nicht, das Vorhandensein einer "technisch möglichen Form" der Akteneinsicht aufzuzeigen. Wenn Behördenakten elektronisch geführt werden, inkludiert die behördeninterne Ansicht unterschiedslos sowohl jene Aktenteile, die nicht der Akteneinsicht zugänglich sind (etwa, soweit es sich um behördeninterne Willensbildungsprozesse handelt) als auch jene, die der Akteneinsicht zugänglich sind. Die Verwendung von EDV bei der Aktenführung bedeutet nicht automatisch, dass gleichzeitig dadurch auch schon die technische Möglichkeit der elektronischen Akteneinsicht existiert. Evidenterweise bedarf es einer zusätzlichen - zumindest softwaretechnischen - Lösung, um den elektronisch geführten Akt, wie er der Behörde intern zugänglich ist, für den Zweck einer elektronischen Akteneinsicht so aufzubereiten, dass technisch zwischen den der Akteneinsicht zugänglichen und den der Akteneinsicht nicht zugänglichen Bestandteilen differenziert und getrennt wird. Eine direkte und unvermittelte Nutzung der für die elektronische Aktenführung eingesetzten Geräte (Bildschirm, Tastatur) und der zur standardmäßigen behördeninternen Nutzung konzipierten Software (behördeninternes Programm und Nutzerzugangsdaten) etwa in der Form, dass der Akteneinsicht Nehmende - ohne eine solche vorherige technische Differenzierung - einfach am Arbeitsplatz eines Behördenmitarbeiters Platz nimmt und mit dessen Zugangskennung Einsicht nimmt (oder, wie es der Beschwerde vorzuschweben scheint: dafür ein am Netzwerk angeschlossenes Gerät in einem "Schulungsraum" benutzt), wäre keine Akteneinsicht im gesetzlich geforderten Sinn. Dass eine über die bloße Aktenführungs-EDV-Infrastruktur hinausgehende technische Lösung im hier beschriebenen Sinn bei der belangten Behörde existiert, behauptet die Beschwerde aber nicht substantiiert und ist auch nicht ersichtlich. Dass der Vorbehalt der "technisch möglichen Form" nur für den Fernzugriff, nicht aber für elektronische Akteneinsichten am Behördenstandort gälte, ergibt sich aus dem Gesetz nicht. Die Beschwerde konnte dem Bundesverwaltungsgericht daher keine Gesetzwidrigkeit der von der belangten Behörde gewählten Modalitäten der Akteneinsicht aufzeigen.

3.3.5. Zur behaupteten Rechtswidrigkeit wegen Unterbleiben einer Bestrafung/Verfolgung der vertretungsbefugten Organe (hier: Vorstände):

Im Schriftsatz vom 17.12.2018 wandte sich die beschwerdeführende Partei gegen ihre Bestrafung als juristische Person mit dem Argument, dass die belangte Behörde keine ausreichenden Feststellungen zum Verschulden der damaligen Geschäftsleiter getroffen habe. Weiters behauptet die beschwerdeführende Partei, dass "dieselbe Situation" gegeben sei wie in dem vom Bundesverwaltungsgericht zu W204 2152855-1 entschiedenen Verfahren.

In diesem Verfahren wurde ein Straferkenntnis gegen eine juristische Person unter anderem mit der Begründung aufgehoben, dass kein ausreichendes Verfahren gegen die involvierten natürlichen Personen geführt worden sei und diese nicht ebenfalls bestraft worden seien. Eine gleichartige Entscheidung traf das Bundesverwaltungsgericht zu 25.06.2018 zu W210 2138108-1 (gegen dieses Erkenntnis ist eine Amtsrevision beim Verwaltungsgerichtshof zu Zl. Ro 2018/02/0023 anhängig).

Die beschwerdeführende Partei erhob im Schriftsatz vom 17.12.2018 "die Begründung des BVwG in Abschnitt II.3.3. der Entscheidung vom 27.6.2918 zu W204 2152855-1" ausdrücklich zu ihrem eigenen Vorbringen und beruft sich zudem auf die "vergleichbare Situation" im Verfahren W210 2184033-1 (dieses Verfahren hat das Bundesverwaltungsgericht mit Beschluss vom 19.09.2018 ausgesetzt im Hinblick auf das anhängige Revisionsverfahren zu Ro 2018/02/0023).

Diesem Vorbringen ist Folgendes entgegenzuhalten:

In den von der beschwerdeführenden Gesellschaft zitierten Entscheidungen des Bundesverwaltungsgerichtes wurde - mit näherer Begründung unter Berücksichtigung des vergleichbaren Regelungskomplexes des Verbandsverantwortlichkeitsgesetzes (VbVG) - die Auffassung vertreten: "Der rechtskräftige Schuldspruch über die natürliche Person ermöglicht somit erst die Strafbarkeit der juristischen Person." Das Gericht hob mit diesen Entscheidungen Straferkenntnisse gegen juristische Personen mit der Begründung auf, dass keine Verfolgung der in Betracht kommenden natürlichen Personen (Organe) erfolgt sei (siehe auch BVwG 25.06.2018, W210 2138108-1; 27.06.2018, W210 2162676-1; 02.07.2018, W172 2152614-1).

Dazu hält der erkennende Senat fest:

Zwar ergibt sich aus dem System des VbVG, dass der Schuldspruch über einen Mitarbeiter (bei Verantwortung des Verbands für eine Mitarbeitertat) oder über einen Entscheidungsträger (bei Verantwortung des Verbands für eine Entscheidungsträgertat), wenn er rechtskräftig wird, idR auch Bindungswirkungen gegenüber dem Verband entfaltet, was unter anderem dadurch gerechtfertigt ist, dass der Verband im individualstrafrechtlichen Verfahren des Mitarbeiters oder des Entscheidungsträgers, das mit dem Verbandsstrafverfahren "gemeinsam zu führen" ist (§ 15 Abs. 1 1. Satz VbVG), die Parteirechte eines Beschuldigten hat (§ 15 Abs. 1 2. Satz VbVG), so dass der Verband gegen eine Verurteilung des Mitarbeiters oder des Entscheidungsträgers auch zur Erhebung von Rechtsmitteln legitimiert ist, jedenfalls so weit, als diese Verurteilungen für die Verbandsverantwortlichkeit präjudiziell wären (Hilf/Zeder in Höpfel/Ratz, WK2 VbVG § 15 Rz 5).

Allerdings enthält bereits das System des VbVG nichts, was zu der Schlussfolgerung zwingen würde, dass eine Verurteilung des Mitarbeiters und/oder Entscheidungsträgers eine conditio sine qua non der Verantwortlichkeit und Verurteilung des Verbands ist. Das Gegenteil trifft zu, weil § 22 Abs. 3 VbVG sogar ausdrücklich regelt, wie vorzugehen ist, wenn im Verfahren über die natürliche Person ein Freispruch ergangen ist. Dasselbe muss gelten, wenn bezüglich der natürlichen Person(en) Verfolgungshindernisse bestehen, diese etwa nicht mehr straffähig oder schon verstorben sind oder ihr Verfahren diversionell erledigt wurde (zu diesem Fall s Hilf/Zeder in Höpfel/Ratz, WK2 VbVG § 22 Rz 7).

Auch im - hier anwendbaren - verwaltungsstrafrechtlichen System nach dem FM-GwG (BWG), dem FMABG und dem VStG deutet nichts darauf hin, dass die Bestrafung oder auch nur die vorherige Verfolgung einer natürlichen Person (insb. eines Entscheidungsträgers) Voraussetzung einer Bestrafung der juristischen Person wäre. Derartige Anhaltspunkte ergeben sich auch weder aus grundsätzlichen Wertungen oder verfassungsrechtlichen Gesichtspunkten bei der Anwendung von Normen zur Strafbarkeit einer juristischen Person noch aus dem Wortlaut des VStG oder der hier einschlägigen Normen des FM-GwG und BWG. Der Verfassungsgerichtshof hat ausgesprochen, dass es bei der Ausgestaltung einer Regelung über die Strafbarkeit juristischer Personen verfassungsrechtlich geboten ist, dass gesetzlich "ein hinreichender Konnex zwischen der juristischen Person und jenen natürlichen Personen besteht, deren Verhalten ihr zugerechnet wird" (VfSlg. 20.112/2016 Rz. 52). Im Fall des VbVG sah er dieses Gebot dadurch als erfüllt an, dass § 3 leg.cit. "sowohl den sachlichen Zusammenhang zwischen der Anlasstat und der Sphäre des Verbands" (nämlich durch die Erfordernisse des § 3 Abs. 1 Z 1 oder 2 VbVG:

Tatbegehung zugunsten des Verbands oder Verletzung von Verbandspflichten) "als auch die sachlichen Zurechnungsmerkmale zwischen der Anlasstat und den Verbandsorganen" (nämlich durch § 3 Abs. 2 [Entscheidungsträgertat] oder die Erfordernisse des § 3 Abs. 3 VbVG [Sorgfaltsverstöße des Entscheidungsträgers bei der Mitarbeitertat]) konkretisiert (VfSlg. 20.112/2016 Rz. 54).

Diese Anforderungen (Zusammenhang zur Verbandssphäre und Zurechenbarkeit zu Verbandsorganen) sind auch im Fall der verwaltungsstrafrechtlichen Strafbarkeit juristischer Personen nach § 99d BWG (nunmehr § 35 FM-GwG) iVm. dem VStG auf gesetzlicher Ebene hinreichend konkretisiert. Denn bei den hier anzuwendenden Verwaltungsübertretungen handelt es sich schon grundsätzlich um typische Fälle von "Verbandspflichten", was sich schon daraus ergibt, dass die für Kreditinstitute geltenden Geldwäschepräventionspflichten ausdrücklich an solche Institute adressiert sind und es sich nach den Vorstellungen des Gesetzgebers bei einem solchen Institut idR schon voraussetzungsgemäß um eine konzessionierte juristische Person handeln soll. Dem trug schon die bisherige Rechtslage Rechnung, weil die Strafbarkeit für die betreffende Verwaltungsübertretung von vornherein ausschließlich für zur Vertretung nach außen berufene Organe der verpflichteten juristischen Person vorgesehen war (und eine unmittelbare Bestrafung von Mitarbeitern oder gar von allein handelnden natürlichen Personen daher ausschied; siehe in § 98 Abs. 5a BWG und nunmehr in § 34 Abs. 1 FM-GwG die Wendung "Wer als Verantwortlicher (§ 9 VStG) ..."). Entgegen der Auffassung Severin Glasers (Zur Verfassungsmäßigkeit der Verwaltungsstrafbarkeit juristischer Personen, ZWF 2017, 61 [66]) war schon gemäß § 99d BWG die Konkretisierung in Richtung einer "Verbandspflicht" und infolgedessen das Erfordernis einer Zurechenbarkeit der betreffenden Übertretungen zur Verbandssphäre ausreichend im Gesetz vorherbestimmt (die Erfüllung dieses Kriteriums ist bei Anwendung auf den hier zu prüfenden Sachverhalt evident).

Im Übrigen lag diese Grenzziehung dem Gesetz schon nach der bisherigen, vor Erlassung des § 99d BWG geltenden, Rechtslage zugrunde. Denn auch bisher galt bei der allfälligen Bestrafung der zur Vertretung nach außen befugten Organe iSd. § 9 VStG als gesetzlich geforderte Voraussetzung, dass es sich bei der Tat um die Verletzung von Rechtsvorschriften handelt, deren Einhaltung spezifisch der juristischen Person obliegt (vgl. näher dazu Lewisch in Lewisch/Fister/Weilguni, VStG2 § 9 Rz 7; s auch Thienel/Schulev-Steindl, Verwaltungsverfahrensrecht5, 423). Das Verwaltungsstrafgesetz gebot daher für Fälle der Bestrafung nach § 9 VStG immer schon die Prüfung, ob eine Verbandspflicht vorliegt. Dass dieses gesetzliche Erfordernis nicht noch näher ausformuliert und im Detail "konkretisiert" wurde, fand der Verfassungsgerichtshof in seiner langjährigen Rechtsprechung zu § 9 VStG noch nie bedenklich. Im Fall von § 99d BWG (§ 35 FM-GwG) beinhaltet daher das Gesetz schon durch Anknüpfung an § 9 VStG die Voraussetzung, dass die Pflichtverletzung unter die Verbandspflichten der juristischen Person fällt.

Aber nicht nur durch diese schon im Gesetz verankerte Voraussetzung wird der Zusammenhang zur juristischen Person normativ abgesichert:

Seit Erlassung des FM-GwG konkretisiert das Gesetz in § 35 FM-GwG diesen Konnex zur Verbandssphäre zusätzlich (alternativ) auch durch die Vorgabe, dass die Pflichtverletzung (zB von Mitarbeitern) "zu Gunsten" der juristischen Person begangen wurde (vgl. das Kriterium "zu ihren Gunsten" bei der Entscheidungsträgertat-Variante nach § 35 Abs. 1 bzw. "zugunsten der juristischen Person" bei der Mitarbeitertat-Variante des § 35 Abs. 2 FM-GwG).

Schließlich ist mit den hier anwendbaren Bestimmungen auch sichergestellt, dass die geforderten Zurechnungsmerkmale zwischen der Pflichtverletzung und den Verbandsorganen konkretisiert sind. Denn der Gesetzgeber macht die Strafbarkeit der juristischen Person davon abhängig, dass entweder ein Entscheidungsträger selbst die Tat begangen hat (§ 35 Abs. 1 FM-GwG: die Entscheidungsträgerdefinition der Z 1 bis 3 des § 35 Abs. 1 FM-GwG ist vergleichbar mit jener des § 2 Abs. 1 Z 1 bis 3 VbVG), oder dass im Fall einer Mitarbeitertat (§ 35 Abs. 2 FM-GwG) die Entscheidungsträger die Begehung ermöglicht haben, indem sie "mangelnde Überwachung oder Kontrolle" walten lassen haben.

In der konkreten Anwendung auf Ebene eines gegen die juristische Person geführten Verfahrens lassen sich die verfassungsgesetzlich geforderten und vom Gesetzgeber konkretisierten Kriterien der Zurechenbarkeit zur juristischen Person auch in ausreichender Weise feststellen und überprüfen.

Entgegen dem (auf das Erkenntnis BVwG 27.06.2018, W204 2152855-1 gestützten) Vorbringen der beschwerdeführenden Partei ist es dabei aber nicht gesetzlich geboten (oder sogar verfassungsrechtlich gefordert), dass die Strafbarkeit der juristischen Person von der vorherigen (rechtskräftigen) Bestrafung einer natürlichen Person abhängig gemacht wird.

Eine derartige zwingende Voraussetzung gebietet auch das System des VbVG nicht zwingend, es können ihm daher auch keine Wertungsgesichtspunkte entnommen werden, die bei Anwendung des § 35 FM-GwG (vormals § 99d BWG) und des VStG für eine derartige Annahme sprächen.

Vielmehr lässt sich in unbedenklicher Weise auch ohne Vorschaltung eines vorherigen Strafverfahrens gegen die natürliche Person im Verfahren gegen die juristische Person auch im Wege der Lösung als Vorfrage und durch Führung entsprechender Ermittlungen (notfalls durch das Verwaltungsgericht) die Frage klären, ob die für die Strafbarkeit der juristischen Person maßgeblichen Zurechnungskriterien erfüllt sind, dies schließt die Klärung der Frage ein, ob Entscheidungsträgern Sorgfaltsverstöße zur Last liegen.

In der von der beschwerdeführenden Partei zitierten Entscheidung des BVwG (27.06.2018, W204 2152855-1, ebenso bereits BVwG 25.06.2018, W210 2138108-1, in die gleiche Richtung auch BVwG 02.07.2018, W172 2152614-1) vertrat das Bundesverwaltungsgericht die Rechtsauffassung, dass "nur der rechtskräftige Schuldspruch über die natürliche Person" eine Strafbarkeit der juristischen Person "ermöglicht", dass also die Verurteilung der natürlichen Person eine unabdingbare Voraussetzung für die Strafbarkeit der juristischen Person bilde. Diese Rechtsauffassung stützte es unter anderem auf eine Entscheidung des OGH zum VbVG (OGH 13.12.2016, 11 Os 104/16b).

In dieser Entscheidung hat der OGH aber nur zum Ausdruck gebracht, dass ein rechtskräftig ergangenes Urteil über die natürliche Person Bindungswirkungen gegenüber der juristischen Person entfaltet, was dem oben dargestellten Konzept des VbVG entspricht.

Diese Aussage ist aber von der Frage zu trennen, ob eine solche Bestrafung auch Voraussetzung für eine Verantwortlichkeit der juristischen Person ist.

Wie dargelegt, verneint der erkennende Senat diese Frage. Für die Annahme einer solchen Voraussetzung der Verantwortlichkeit der juristischen Person bestehen bereits im Anwendungsbereich des VbVG daher keine prinzipiellen Gründe. Umso weniger bestehen solche Gründe im Anwendungsbereich der hier maßgeblichen Regelungen des VStG, des FM-GwG (BWG) und des FMABG, die zum Verhältnis der Verfahren gegen die natürlichen Personen und des Verfahrens gegen die juristische Person weder eine zwingend gleichzeitige Verfahrensführung noch wechselseitige Parteistellungserfordernisse oder Ähnliches normieren.

Eine andere Frage ist, ob eine gegenüber der natürlichen Person bereits ergangene "freisprechende" Erledigung Bindungswirkungen zu Gunsten des Verbands entfalten kann. Dies ist hier relevant, weil die belangte Behörde im vorliegenden Fall u.a. gegenüber den Vorständen der beschwerdeführenden Gesellschaft verfahrenseinstellende Erledigungen erlassen hat. Auf dem Boden der Annahme einer Bindungswirkung würde eine Einstellung des Verwaltungsstrafverfahrens gegenüber der natürlichen Person (dem Entscheidungsträger) bewirken, dass auch im Verfahren gegen die juristische Person keine (zB) Sorglosigkeit des Entscheidungsträgers (und folglich keine Zurechenbarkeit zur juristischen Person) angenommen werden dürfte, sofern die Einstellung eine solche "von Schuld freisprechende" Aussage impliziert. Eine Einstellung, die entsprechende Wirkungen erzeugt, würde der Verurteilung der juristischen Person u.U. entgegenstehen.

Gegen die Annahme, dass von den einstellenden Erledigungen im vorliegenden Fall Bindungswirkungen zu Gunsten der juristischen Person ausgehen, spricht grundsätzlich schon die fehlende Personenidentität zwischen Vorständen und juristischer Person, aber auch die fehlende Bescheidqualität der einstellenden Erledigungen. Anders als im System des VbVG, das Gleichzeitigkeit der Verfahren ausdrücklich gebietet und Bindungszusammenhänge nahelegt, ist im hier gegebenen Regelungszusammenhang eine Beschuldigtenparteistellung der juristischen Person im Verfahren gegen die Organe nicht vorgesehen (die Parteistellung kraft Haftungszusammenhangs gem. § 9 Abs. 7 VStG kommt einer Regelung, die ausdrücklich die Parteistellung als Beschuldigter vorsieht, nicht gleich). Daraus folgt, dass - abgesehen von fehlenden Gründen einer Bindungswirkung nach den soeben erwähnten allgemeinen Grundsätzen - eine solche Wirkung hier auch im Besonderen nicht eigens vorgesehen ist.

Die Frage, ob eine gegenüber der natürlichen Person ergehende freisprechende Erledigung grundsätzlich geeignet wäre, Bindungswirkungen zu Gunsten des Verbands zu entfalten, kann im vorliegenden Fall aber dahingestellt bleiben. Denn im konkreten Fall hat die belangte Behörde gegen die zur Vertretung nach außen befugten Organe (die Vorstände) der beschwerdeführenden Partei jedenfalls keine von einem Schuldvorwurf inhaltlich "freisprechenden" Einstellungen erlassen, sondern Mitteilungen, aus

denen nur hervorgeht, dass "das gegen [s]ie ... geführte

Verwaltungsstrafverfahren gem. § 99d Abs. 5 BWG eingestellt wurde".

Bei der Deutung einer verfahrenseinstellenden Erledigung ist für den Zweck der Frage, ob sie "Sperrwirkungen" entfaltet, auf deren konkreten Inhalt abzustellen.

Das Bundesverwaltungsgericht geht davon aus, dass eine solche Beurteilung (auch wenn sie hier nicht die doppelte Verfolgung derselben Person betrifft) nach ähnlichen Maßstäben zu erfolgen hat, wie sie der Verwaltungsgerichtshof im Zusammenhang mit der Sperrwirkung von strafrechtlichen Einstellungen im Lichte des Verbots, wegen der gleichen Tat neuerlich verfolgt zu werden (Art. 4 7. ZPEMRK) entwickelt hat (dazu vgl. VwSlg. 19.136 A/2015, weiters VwGH 10.01.2017, Ra 2016/02/0230; 07.04.2017, Ra 2016/02/0236).

Die belangte Behörde stützte sich bei den Einstellungserledigungen ausdrücklich auf § 99d Abs. 5 BWG.

Die zitierte Bestimmung sah vor, dass die FMA "von der Bestrafung eines Verantwortlichen gemäß § 9 VStG absehen" kann, "wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen die juristische Person verhängt wird und keine besonderen Umstände vorliegen, die einem Absehen von der Bestrafung entgegenstehen".

Diese Bestimmung wurde durch BGBl. I 107/2017 wortgleich in § 22 Abs. 6 Z 2 FMABG übernommen.

Die parlamentarischen Materialien führten zur Erläuterung des § 99d Abs. 5 BWG Folgendes aus:

"In Abs. 5 wird der FMA aus Gründen der Verfahrensökonomie und aus generellen präventiven Überlegungen ein gewisses Ermessen bei der Anwendung der §§ 98ff eingeräumt. Dieses Ermessen beschränkt sich dabei darauf, dass im durch diese Gesetzesnovelle neu geregelten Falle der Verhängung einer Geldstrafe gegen eine juristische Person wegen einer Verwaltungsübertretung von der Bestrafung des Verantwortlichen gemäß § 9 VStG wegen derselben Verwaltungsübertretung abgesehen werden kann."

Daraus geht hervor, dass der Gesetzgeber sich bei dieser Gesetzesbestimmung nicht auf eine Ermächtigung zur Einstellung in Fällen mangelnden Verschuldens oder mangelnder Rechtswidrigkeit im Verhalten der natürlichen Person beschränkt hat, sondern Überlegungen der Verfahrensökonomie und Opportunität als Rechtfertigungen der Verfahrenseinstellung gelten lassen wollte. Dem Wortlaut und den erkennbaren Motiven des Gesetzgebers zufolge soll die Verfolgung der juristischen Person - unter Umständen - den Grund für die Einstellung gegenüber der natürlichen Person bilden. Das Bundesverwaltungsgericht hat § 99d Abs. 5 BWG im vorliegenden Verfahren nicht anzuwenden, sondern nur als Hintergrund für die Deutung der Erledigungen der FMA heranzuziehen, mit denen den Vorständen die Verfahrenseinstellung mitgeteilt wurde. Das Bundesverwaltungsgericht hat daher im vorliegenden Verfahren weder zu beurteilen, ob diese Einstellungen gesetzeskonform gewesen sind, noch, ob ihre Rechtsgrundlage (§ 99d Abs. 5 BWG) verfassungskonform ist, noch, ob diese überhaupt zutreffenderweise als eigener Tatbestand einer Einstellung (dh. neben den Tatbeständen des § 45 VStG) in Betracht kommen kann. Für die hier anzustellende Deutung des Inhalts dieser Einstellungserledigungen genügt es festzuhalten, dass sich die FMA darin auf das Zitat des § 99d Abs. 5 BWG als Rechtsgrundlage beschränkt hat und diese Bestimmung daher (zu Recht oder zu Unrecht) in der Weise interpretiert hat, dass diese Rechtsgrundlage einen separaten, von den Gründen des § 45 VStG getrennten Einstellungsgrund bildet, und dass die Einstellung in einem solchen Fall von ihr nicht als "inhaltliche Entscheidung" über den Tatvorwurf anzusehen ist, der die Qualität eines Freispruchs erreicht. Die FMA hat ihren auf das Gesetzeszitat beschränkten Erledigungen implizit jene Aspekte zugrunde gelegt, die in den oben zitierten parlamentarischen Materialien zum Ausdruck kamen.

Daher geht davon keine Bindungswirkung für das vorliegende Verfahren aus.

3.3.6. Zur behaupteten Nichtfeststellung von relevantem Sachverhalt (S. 11-12 der Beschwerde):

Die Beschwerde behauptet, die belangte Behörde habe die Feststellung von relevanten Sachverhaltselementen unterlassen, weil sie an einzelnen Stellen der Sachverhaltsfeststellungen des angefochtenen Straferkenntnisses "pauschale Verweise auf weitere Quellen wie zB den OeNB Vor-Ort-Prüfungsbericht von 2010 (ON 20), die Stellungnahme der [beschwerdeführenden Partei] dazu (ON 03), den OeNB-Prüfbericht von 2013 oder auch den PwC-Prüfbericht (ON 27) sowie die Stellungnahme der [beschwerdeführenden Partei] dazu (ON 33)" aufgenommen habe. Dies sei einerseits deswegen rechtswidrig, weil der vorgeworfene Tatzeitraum erst ab dem 01.01.2014 beginne, weshalb die Verweise auf Berichte und Stellungnahmen aus 2010 und 2013 "das zulässige, weil relevante, Maß der Sachverhaltsfeststellung völlig überschreite[n]" würden. Es sei für die beschwerdeführende Partei auch unklar, inwieweit sie die "über den Querverweis implementierten Sachverhaltsfeststellungen" in ihrem Rechtsmittel aufgreifen müsse, weshalb das Straferkenntnis "unbestimmt" und schon aus diesem Grund rechtswidrig sei. Viele Ausführungen der einbezogenen Berichte würden aus "Perioden weit über den Tatzeitraum hinaus" stammen und könnten "denkunmöglich mit den gegenständlichen Vorwürfen zu tun haben"; zudem mache die belangte Behörde dadurch vertrauliche Informationen der beschwerdeführenden Gesellschaft einem größeren Personenkreis zugänglich. Es sei "nicht auszuschließen", dass die gesetzlich vorgeschriebene Geheimhaltung von in diesen älteren OeNB-Berichten enthaltenen Informationen zu Kunden der beschwerdeführenden Gesellschaft und zu "anderen themenfremden Belangen" der beschwerdeführenden Gesellschaft gebrochen wurde, was auch im Lichte des § 14 Abs. 2 FMABG "höchst unerfreulich" sei.

Diesem Vorbringen ist Folgendes zu entgegnen: Das Bundesverwaltungsgericht folgt dem allgemeinen Grundsatz, dass bei der Interpretation eines Bescheides im Zweifel nicht ein solcher Inhalt zu unterstellen ist, der ihn als gesetzwidrig erscheinen lässt (vgl. die Judikatur, die von diesem Grundsatz selbst für die Auslegung des Spruchs von Bescheiden ausgeht, VwGH 17.02.1994, 93/06/0120; 25.04.2006, 2004/06/0195; 22.02.2017, Ra 2014/10/0037). Die in den Feststellungen des angefochtenen Straferkenntnisses stellenweise in Klammern angeführten Berichte lassen sich zwanglos so verstehen, dass es sich dabei nicht um Verweise auf in diesen Berichten enthaltene Passagen der Art handelt, dass diese durch den Verweis ebenfalls zum Inhalt der Feststellungen erhoben werden sollen, sondern es handelt sich dabei schlicht um Quellenangaben, die als beweiswürdigende Hinweise bereits auf Ebene der Feststellungen verdeutlichen sollen, auf welches Beweismittel sich die Behörde für die jeweilige Feststellung jeweils gestützt hat. Eine solche Vorgangsweise begegnet grundsätzlich keinen Bedenken. Dazu kommt, dass die beschwerdeführende Partei alle diese herangezogenen Quellen kennt, weil sie allesamt im Verwaltungsakt, in den sie Akteneinsicht genommen hat, enthalten sind.

Es existiert auch keine Rechtsnorm, die es verbietet, Beweismittel, die aus einem Zeitraum vor einem inkriminierten Tatzeitraum stammen, zur Feststellung von Zuständen, die im Tatzeitraum geherrscht haben, aus vorhergehenden Zeiträumen vorbestehend im Tatzeitraum (Tatzeitpunkt) vorgefunden wurden und geduldet worden sind, oder von Handlungen, die im Tatzeitraum vorgefallenen sind, heranzuziehen, weil solche Beweismittel durchaus Aussagekraft über länger andauernde und in den Tatzeitraum fortwirkende Zustände, Eigenschaften und die wirtschaftlichen Verhältnisse der betroffenen juristischen Person und der involvierten Akteure haben können. Welche konkreten Informationen im angefochtenen Bescheid enthalten sind, die dem Personenkreis, der im vorliegenden Verfahren davon Kenntnis erlangen kann, nicht zugänglich gemacht werden dürften, hat die beschwerdeführende Partei nicht konkret aufgezeigt. Für das Bundesverwaltungsgericht ist nichts Derartiges ersichtlich.

3.3.7. Zur behaupteten "Rechtswidrigkeit der Berechnung der Strafhöhe"

Die Beschwerde bestreitet mit verschiedenen Argumenten die Höhe der als Strafrahmenobergrenze heranzuziehenden Größe. In diesem Zusammenhang sind zwei Fragenkreise zu klären: Zum Einen ist die Frage zu klären, an welches "Geschäftsjahr" die relevanten Bestimmungen anknüpfen, wenn sie als Obergrenze des Strafrahmens an einen bestimmten Prozentsatz vom Gesamtumsatz des Vorjahres anknüpfen: An das Geschäftsjahr vor Tatbeginn, jenes vor Tatende, jenes vor Entscheidung der Verwaltungsbehörde oder jenes vor Entscheidung der jeweiligen Behörde (also der Verwaltungsbehörde und im Rechtsmittelfall des Bundesverwaltungsgerichts). Zum Anderen ist die Frage zu klären, ob es - wie von der beschwerdeführenden Partei vertreten - im Hinblick auf das Günstigkeitsprinzip des § 1 Abs. 2 VStG (iVm. § 7 EMRK und Art. 49 GRC) eine Auswirkung auf die in einem konkreten Verfahren zu beachtende Strafrahmenobergrenze hat, wenn sich der Bezugswert des "Gesamtumsatzes" im Laufe der Jahre bis zum Ergehen der jeweiligen Entscheidung verringert hat.

Die relevanten Umsatzzahlen betrugen in den Jahren 2015-2017:

2015 Gesamtumsatz € 31.354.948,30 davon 10% = € 3.135.494,83

2016 Gesamtumsatz € 18.635.667,91, davon 10% = € 1,863.566,79

2017 Gesamtumsatz € 30.767.251,66, davon 10% = € 3.076.725,17

Im Beschwerdeschriftsatz bezieht sich die beschwerdeführende Partei auf die für die Berechnung des anzuwendenden Strafrahmens relevante Wortfolge des § 99d Abs. 3 BWG ("bis zu 10 vH des jährlichen Gesamtnettoumsatzes") beziehungsweise § 99d Abs. 4 BWG.

Der der Strafdrohung zugrunde liegende Artikel der Richtlinie 2013/36/EU lautet

"Art. 67

Sonstige Bestimmungen

(1) ...

(2) Die Mitgliedstaaten stellen sicher, dass die Verwaltungssanktionen oder anderen Verwaltungsmaßnahmen, die in den in Absatz 1 genannten Fällen verhängt werden können, mindestens Folgendes umfassen:

a) - d) ...

e) im Falle einer juristischen Person Bußgelder von bis zu 10 % des jährlichen Gesamtnettoumsatzes einschließlich des Bruttoertrags, bestehend aus Zinserträgen und ähnlichen Erträgen, Erträgen aus Aktien, anderen Anteilsrechten und variabel verzinslichen/festverzinslichen Wertpapieren sowie Erträgen aus Provisionen und Gebühren entsprechend Artikel 305 der Verordnung (EU) Nr. 575/2013 ) des Unternehmens im vorangegangenen Geschäftsjahr,

f) - g) ...

Ist das Unternehmen nach Unterabsatz 1 Buchstabe e Tochterunternehmen eines Mutterunternehmens, bezeichnet ‚Bruttoertrag' den Bruttoertrag, der im vorangegangenen Geschäftsjahr im konsolidierten Abschluss des Mutterunternehmens an der Spitze der Gruppe ausgewiesen wurde."

§ 99d Abs. 4 BWG lautete:

"(4) Der jährliche Gesamtnettoumsatz gemäß Abs. 3 ist bei Kreditinstituten der Gesamtbetrag aller in Z 1 bis 7 der Anlage 2 zu § 43 angeführten Erträge abzüglich der dort angeführten Aufwendungen; handelt es sich bei dem Unternehmen um eine Tochtergesellschaft, ist auf den jährlichen Gesamtnettoumsatz abzustellen, der im vorangegangenen Geschäftsjahr im konsolidierten Abschluss der Muttergesellschaft an der Spitze der Gruppe ausgewiesen ist. Bei sonstigen juristischen Personen ist der jährliche Gesamtumsatz maßgeblich. Soweit die FMA die Grundlagen für den Gesamtumsatz nicht ermitteln oder berechnen kann, hat sie diese zu schätzen. Dabei sind alle Umstände zu berücksichtigen, die für die Schätzung von Bedeutung sind."

Die beschwerdeführende Gesellschaft weist darauf hin, dass bei der Formulierung des "vorangegangenen Geschäftsjahres" nicht klar sei, ob damit das Jahr gemeint ist, das der Verhängung der Geldstrafe durch die belangte Behörde vorangegangen ist oder aber das Jahr, das der Begehung der jeweiligen Pflichtverletzung vorangegangen ist. Diesbezügliche Klarstellungen seien weder den Erläuterungen zur Regierungsvorlage (2438 BlgNR 25. GP , 64) noch den Erwägungsgründen der der gesetzlichen Regelung zugrunde liegenden EU-Richtlinie (RL 2013/36/EU ) zu entnehmen.

Im Beschwerdeschriftsatz vertrat die beschwerdeführende Gesellschaft dazu die Auffassung, dass jene Interpretation "sachgerecht" sei, die auf das der Begehung der Pflichtverletzung vorangehende Geschäftsjahr abstellt. Andernfalls entstünde ein "Wertungswiderspruch" oder ein "gesetzlich nicht vorgesehenes Steuerungselement", weil es von der Disposition der belangten Behörde bei der Festlegung des Bescheiderlassungszeitpunkts abhänge, welches Geschäftsjahr als "vorangegangenes" in Betracht komme. Außerdem wäre die FMA bei dieser Lesart jedes Jahr über längere Zeit nicht in der Lage, eine Strafe festzusetzen, weil der "Vorjahresumsatz" unter Einbeziehung der Gruppe gesichert erst mit Vorlage des geprüften Jahresabschlusses vorliege, was bis zu 6 Monate dauern dürfe. Damit wäre die FMA während der Hälfte des Kalenderjahres nicht in der Lage, die korrekte Strafhöhe zu bemessen. Auf den Beschwerdefall angewendet wirke sich diese Deutung so aus, dass die Strafbemessung auf die Umsatzzahlen jenes Geschäftsjahres abstellen müsse, das dem 01.01.2014 (Beginn des Tatzeitraumes) vorangegangen sei, somit auf das Geschäftsjahr 2013 (1.1.2013-31.12.2013). Der angefochtene Bescheid ziehe jedoch rechtswidrigerweise die Umsatzzahlen des Geschäftsjahres 2015 heran.

Im Schriftsatz vom 04.04.2018 vertrat die beschwerdeführende Partei die Auffassung, dass die Strafbemessung im Hinblick auf das Günstigkeitsprinzip am (vergleichsweise geringeren) Gesamtjahresumsatz des Jahres 2016 zu bemessen sei.

Die belangte Behörde vertrat in der mündlichen Verhandlung den Standpunkt, dass an den jeweils letzten festgestellten Umsatz, betrachtet vom jeweiligen Zeitpunkt der Entscheidung (der FMA bzw. des BVwG), anzuknüpfen sei. Darüber hinaus sei das Verbot der reformatio in peius (somit die Strafhöhe des Bescheides als Obergrenze) zu beachten.

Das Bundesverwaltungsgericht geht von Folgendem aus:

Zur Berechnung der Strafrahmenobergrenze ist auszuführen, dass es zwar zutrifft, dass weder die parlamentarischen Materialien des § 99d BWG (bzw. §§ 34, 35 FM-GwG) noch der Wortlaut der zugrundeliegenden EU Richtlinie konkrete Anhaltspunkte dafür bieten, welches Bezugsjahr als "Vorjahr" gemeint ist, wenn der Gesamtumsatz des Vorjahres heranzuziehen ist. Zu beachten ist aber, dass die zugrundeliegende Regelung der Richtlinie offenkundig (in Struktur, Zwecksetzung und Terminologie) dem Vorbild anderer, gleich aufgebauter unionsrechtlicher Regelungen über die Verhängung verwaltungsrechtlicher Geldbußen gegen Unternehmen folgt und daher auf dem unionsrechtlich geprägten Vorverständnis solcher Geldbußen aufbaut. Das unionsrechtliche Wettbewerbsrecht kennt eine jahrzehntelang bestehende und in zahlreichen Fällen angewendete Rechtslage zur Verhängung solcher Bußgelder. So sah bereits die Verordnung Nr. 17/1962 in ihrem Artikel 15 Absatz 2 vor, dass die Europäische Kommission "gegen Unternehmen und Unternehmensvereinigungen durch Entscheidung Geldbußen in Höhe von eintausend bis zu einer Million ECU oder über diesen Betrag hinaus bis zu zehn vom Hundert des von dem einzelnen an der Zuwiderhandlung beteiligten Unternehmen im letzten Geschäftsjahr erzielten Umsatzes

festsetzen, wenn sie vorsätzlich oder fahrlässig ... gegen Artikel

85 Absatz 1 ... des Vertrages verstoßen" (vgl. auch die gleichartige

Nachfolgeregelung in Art. 23 Abs. 2 Verordnung 1/2003 ). Nach der Rechtsprechung der Unionsgerichte ist als "letztes Geschäftsjahr" das letzte vom betroffenen Unternehmen bei Erlass der Entscheidung abgeschlossene Geschäftsjahr gemeint (EuG 15.03.2000, T-25/95 u.a., Cimenteries CBR / Kommission, Rz 5009). Entsprechend übertragen gilt daher auch im Anwendungsbereich des Art. 67 RL 2013/36/EU und folglich des § 99d BWG (bzw. §§ 34, 35 FM-GwG), dass nicht vom Tatzeitpunkt, sondern vom Entscheidungszeitpunkt auszugehen ist.

Die hier vertretene Auslegung entspricht auch dem telos der einschlägigen rechtlichen Grundlagen, weil es dem Sinn und Zweck einer gegen ein Unternehmen zu verhängenden Geldbuße gerecht wird, die Strafhöhe (vergleichbar mit der Berücksichtigung der jeweils zum Entscheidungszeitpunkt aktuellen Einkommens- und Vermögenslage einer natürlichen Person) vorzugsweise entsprechend aktueller Daten über die wirtschaftlichen Kraft des Unternehmens festzusetzen, um eine angemessen pönalisierende, aber auch verhältnismäßige Sanktion zu erreichen. Dem würde eine Auslegung nicht gerecht, die nicht (zumindest annähernd) auf die Verhältnisse zum Entscheidungszeitpunkt, sondern auf die historischen Verhältnisse zum Tatzeitpunkt abstellt.

Daraus folgt, dass auch bei der Auslegung der Art. 66 und 67 RL 2013/36/EU und somit auch der Auslegung der zu ihrer Umsetzung erlassenen Bestimmungen des § 99d BWG und der §§ 34, 35 FM-GwG mit "Gesamtumsatz des Vorjahres" das Vorjahr aus dem Blick des Entscheidungszeitpunkts, nicht aber aus dem Blick der Tatverwirklichung gemeint ist.

Zu klären ist noch, ob auf den letzten festgestellten Jahresabschluss abzustellen ist, oder ob es - wie in der Beschwerde offenbar vertreten - auf Umsätze des jeweils letzten Kalenderjahres ankommt, die dann gegebenenfalls erst im Strafverfahren zu ermitteln oder in Anwendung der Schätzungsbefugnis des § 99d Abs. 4 BWG (§ 35 Abs. 3 FM-GwG) zu schätzen wären.

Dem im Beschwerdeschriftsatz vorgetragenen Argument, dass in bestimmten Zeiträumen des Kalenderjahres ein Vorjahresumsatz noch nicht feststehe und die Regelung bei Anknüpfung auf Umsätze des zum jeweiligen Entscheidungszeitpunkts vorangegangenen Jahres dazu führe, dass die FMA über mehrere Monate pro Jahr nicht "straffähig" wäre, ist zu entgegnen, dass eine solche Regelung eine vergröbernde Betrachtungsweise anlegen darf und es daher nicht geboten ist, sie so auszulegen, dass sie jeweils auf (auch noch nicht in einem Jahresabschluss festgestellte) Umsatzzahlen jeweils des letzten Kalender- oder Wirtschaftsjahres abstellt und dass daher im Fall von Zeiten, in denen solche Umsatzzahlen für das letzte Kalender- oder Wirtschaftsjahr noch nicht vorliegen (oftmals also bis zum Ablauf der Frist für die Erstellung des Jahresabschlusses), eine Ermittlung dieser Zahlen im Strafverfahren stattzufinden hätte, womit dem Gesetzgeber eine schwer vollziehbare Regelung unterstellt würde. Vielmehr kann die Regelung zwanglos so ausgelegt werden, dass auf den jeweils letzten festgestellten Jahresabschluss ankommt (so auch der Wortlaut des § 35 Abs. 3 FM-GwG), dies entspricht auch dem Wortlaut des Art. 67 Abs. 2 der RL 2013/36/EU , wenn dieser festlegt, dass als "‚Bruttoertrag'" der Bruttoertrag gemeint ist, "der im vorangegangenen Geschäftsjahr im konsolidierten Abschluss des Mutterunternehmens an der Spitze der Gruppe ausgewiesen wurde". Dass der Gesetzgeber in § 99d Abs. 4 BWG (und § 35 Abs. 3 FM-GwG) eine Schätzungsbefugnis vorgesehen hat, bedeutet daher nicht, dass ein noch nicht in einem Abschluss festgestellter Vorjahresumsatz zu schätzen wäre, sondern dient der Ermittlung einer Bemessungsgrundlage zB in Fällen, in denen ein solcher Abschluss überhaupt nicht existiert.

Das mit der Beschwerde gegen ein Straferkenntnis befasste Verwaltungsgericht entscheidet reformatorisch auf Grundlage der Sach- und Rechtslage zum Zeitpunkt seiner eigenen Entscheidung und seine Entscheidung tritt an die Stelle jener der Verwaltungsbehörde. Das Bundesverwaltungsgericht hat daher zum gegenwärtigen Entscheidungszeitpunkt (2019) den letzten festgestellten Gesamtumsatz heranzuziehen. Als letzter festgestellter Gesamtumsatz liegt aktuell jener des Jahres 2017 vor, der der Strafbemessung daher zugrunde zu legen ist.

Anders als die beschwerdeführende Partei meint, bewirkt das verwaltungsstrafrechtliche Günstigkeitsprinzip des § 1 Abs. 2 VStG (auch im Lichte von Art. 7 EMRK und Art. 49 GRC) nicht, dass von den in den vergangenen Jahren unterschiedlich ausfallenden Gesamtumsatzzahlen die jeweils geringste als für sie Günstigste (konkret also die Umsatzzahl für das Jahr 2016) heranzuziehen ist. Das strafrechtliche Günstigkeitsprinzip verlangt nämlich die rückwirkende Anwendung des jeweils günstigeren Gesetzes im Fall von Änderungen der Rechtslage, nicht aber die Heranziehung der jeweils günstigsten strafhöhebestimmenden Fakten bei unveränderter Rechtslage. Der Vergleich nach § 1 Abs. 2 VStG (auch den Anforderungen des Art. 7 EMRK entsprechend) hat sich auf "einen umfassenden Günstigkeitsvergleich mehrerer in Betracht kommender Rechtslagen" zu beziehen (VfSlg. 19.957/2015, Hervorhebung nur hier).

Im Ergebnis ist die anzuwendende Strafrahmenobergrenze daher mit 10 % des (letzten festgestellten) Gesamtumsatzes des Jahres 2017, also mit € 3.076.725,17 festgelegt.

3.4. Zur objektiven Tatbestandsmäßigkeit der im Einzelnen vorgeworfenen Pflichtverletzungen:

Die Beschwerde bestritt die in den Spruchpunkten des angefochtenen Straferkenntnisses vorgeworfenen Pflichtverletzungen teils auf Ebene der Beweiswürdigung, teils auf Ebene der rechtlichen Subsumtion. Zu Letzterem ist im Einzelnen jeweils Folgendes auszuführen:

3.4.1. Zu Spruchpunkt 1. des angefochtenen Straferkenntnisses:

Wie festgestellt, hat die beschwerdeführende Gesellschaft zwar eine Risikoanalyse 2012 erstellt, die den Stand 01.01.2013 hatte, jedoch erst im Jahr 2015 eine neuerliche aktualisierte Risikoanalyse erstellt. Eine Risikoanalyse 2014 hat das Entwurfsstadium nie überschritten und ist nie implementiert worden. In rechtlicher Hinsicht bringt die Beschwerde dazu vor, dass aus § 40 Abs. 2b BWG nicht abzuleiten sei, dass eine neue und überarbeitete Risikoanalyse "jährlich" zu erlassen und anzuwenden ist. Die Risikoanalyse 2012 sei "fachkundig und unter Beiziehung externer Berater aufbereitet, erstellt und angewandt" worden und habe "bis zur Anwendung der Risikoanalyse 2015 ein vollkommen taugliches Instrument" dargestellt, um den Voraussetzungen des § 40 Abs. 2b BWG zu entsprechen. Es sei nicht nachvollziehbar, "weshalb zB eine Risikoanalyse mit Stand 1.1.2013 am 31.12.2013 ordnungsgemäß und tauglich sein soll" und "mit Ablauf des Tages, also am 1.1.2014 völlig unbrauchbar und rechtswidrig wäre". Es liege sohin weder eine Pflichtverletzung vor noch sei die dafür verhängte Strafhöhe von €

124.000,- angemessen. In der mündlichen Verhandlung ergänzte der Beschwerdevertreter sein Vorbringen mit dem Hinweis, dass auch aus den Rundschreiben der FMA zur Risikoanalyse nicht zu entnehmen sei, dass die Aktualisierung einer unternehmensinternen Risikoanalyse zwingend jährlich zu erfolgen habe.

Diesem Vorbringen ist entgegenzuhalten, dass die aufgrund der Risikoanalyse gesetzten Maßnahmen im Hinblick auf das im konkreten Institut bestehende Risiko "angemessen" sein müssen (§ 40 Abs. 2b letzter Satz BWG) und dass die Risikoanalyse anhand "geeigneter" Kriterien zu erstellen ist (§ 40 Abs. 2b erster Satz BWG). Die Einhaltung dieser Verpflichtung ist auch nach Erlassung des FM-GwG strafbewehrt; dem steht nicht entgegen, dass die neue Rechtslage (§ 4 Abs. 1 FM-GwG) die Pflichten ergänzt hat.

Die Begriffe der Angemessenheit und der Geeignetheit als Merkmale einer gesetzeskonformen Risikoanalyse inkludieren auch deren zeitliche Aktualität. Ist ein Unternehmen Verhältnissen ausgesetzt, die sich rasch ändern können, oder muss das Unternehmen zeitnah von (selbst- oder fremdbestimmten) Veränderungen ausgehen, die die für die Risikoanalyse relevanten Faktoren beeinflussen könnten, kann die Aktualität einer Risikoanalyse innerhalb kürzerer Zeiträume verloren gehen als im Fall eines Unternehmens, das weniger starken, weniger schnelllebigen oder weniger unabsehbaren Einflüssen ausgesetzt ist. Jede gesetzeskonforme unternehmensinterne Risikoanalyse wird daher im Regelfall auf einer (zumindest stillschweigenden) Prämisse über ihre eigene zeitliche Aktualität beruhen. Im Fall der beschwerdeführenden Gesellschaft kam diese Prämisse auch im Text der Risikoanalyse 2012 (Stand 1.1.2013) zum Ausdruck. Dieser geht von einer Aktualisierung nach einem Jahr und folglich von einer einjährigen Aktualität aus. Dass diese Einschätzung der Risikoanalyse unangemessen oder ihre faktischen Grundlagen unzutreffend gewesen wären, wurde nicht behauptet und ist auch durch nichts indiziert. Es ergibt sich daraus, dass die von der beschwerdeführenden Gesellschaft selbst erstellte Risikoanalyse eine Aktualisierung spätestens ab Anfang des Jahres 2014 als angemessen erfordert hätte. Das Bundesverwaltungsgericht weist darauf hin, dass bei einer solchen Ausgangslage auch der Fall, dass sich herausstellt, dass sich die Verhältnisse nach einem Jahr de facto nicht geändert haben, nicht zum Entfall der periodisch angemessenen förmlichen Aktualisierungspflicht führen können (weil auch die nach einem Jahr getroffene Feststellung der unveränderten weiteren Aktualität verglichen zur vorherigen - auf ein Jahr angelegten - Risikoanalyse eine neue, aktuelle, risikoanalysierende Evaluierung beinhaltet). Ein bloßer Entwurf kann dies nicht ersetzen. Dass die zeitlich angemessene Aktualisierung unterblieben ist, stellte daher eine Verletzung der Verpflichtung zur Erstellung einer angemessenen und geeigneten Risikoanalyse dar, deren Tatbestandsmäßigkeit von 01.01.2014 bis zum Tag vor Implementierung der Risikoanalyse 2015 (25.03.2015) im angefochtenen Bescheid zutreffend festgehalten wurde.

3.4.2. Zu Spruchpunkt 2. des angefochtenen Straferkenntnisses:

Aus den zu Spruchpunkt 2.1. des angefochtenen Straferkenntnisses ergangenen (im vorliegenden Erkenntnis im Wesentlichen übernommenen) Feststellungen ergibt sich, dass die Mitarbeiter der beschwerdeführenden Gesellschaft im genannten Fall einer Geschäftsbeziehung zu einer juristischen Person, die seit 2000 aktiv war, auch im vorgeworfenen Tatzeitraum (beginnend mit 2014) eine Prüfung der Identität der vertretungsbefugten Organe, dh. der als Organe der juristischen Person eingesetzten natürlichen Personen unterlassen haben.

Aus den zu Spruchpunkt 2.2. des angefochtenen Straferkenntnisses ergangenen Feststellungen ergibt sich, dass eine Überprüfung der Vertretungsbefugnis der als Zeichnungsberechtigte dokumentierten Personen unterlassen wurde.

§ 40 Abs. 1 BWG verlangte, dass (zunächst gem. § 40 Abs. 1 Z 1 BWG vor Begründung einer dauernden Geschäftsbeziehung) die Identität eines Kunden durch persönliche Vorlage eines amtlichen Lichtbildausweises festzustellen und zu überprüfen ist. Bei juristischen Personen ist die Identität der vertretungsbefugten natürlichen Personen durch Vorlage ihres amtlichen Lichtbildausweises festzustellen und die Vertretungsbefugnis anhand geeigneter Bescheinigungen überprüfen. Nach § 40 Abs. 1 Z 5 BWG bestand eine solche Verpflichtung zudem "bei Zweifeln an der Echtheit oder Angemessenheit zuvor erhaltener Kundenidentifikationsdaten" und § 40 Abs. 2e BWG sah weiters allgemeiner vor, dass die Kredit- und Finanzinstitute (u.a.) diese Sorgfaltspflichten zur Feststellung und Überprüfung der Kundenidentität nicht nur auf alle neuen Kunden, sondern zu geeigneter Zeit auch auf die bestehende Kundschaft auf risikoorientierter Grundlage anzuwenden haben.

Entsprechendes normieren § 6 Abs. 1 (drittletzter Satz) und § 6 Abs. 2 Z 2 (entsprechen § 40 Abs. 1 BWG), § 7 Abs. 6 FM-GwG (entspricht § 40 Abs. 2e BWG) sowie § 5 Z 5 FM-GwG (entspricht § 40 Abs. 1 Z 5 BWG).

Wenn in der Beschwerde (S .22) dazu ausgeführt wird, dass der beschwerdeführenden Partei "zahlreiche Unterschriftenprobenblätter" vorgelegen seien, die einen "intensiven Kontakt und die präzise Kenntnis der Mitarbeiter über die Belange des Kunden" belegen würden, dass "die Kundin in Gastronomie-Projekte in Wien einbezogen" gewesen sei und keine Gründe zu Zweifel daran bestünden, dass "die identifizierten Personen wirtschaftliche Eigentümer und zeichnungsbefugt" seien, ist damit nicht dargetan, dass eine gesetzeskonforme Überprüfung der Identität der Organe der juristischen Person und die Dokumentation dieser Überprüfung stattgefunden hat. Eine von der Bank eingeräumte Zeichnungsbefugnis und das Vorliegen von entsprechenden Unterschriftenproben sagen nichts darüber aus (geschweige denn dokumentieren sie), ob die/der Betreffende zur Vertretung befugtes Organ der Gesellschaft ist. Persönliche Kenntnis einzelner Mitarbeiter, die nicht beweiskräftig dokumentiert ist (und auch in Abwesenheit oder nach Ausscheiden der betreffenden Mitarbeiter nachvollziehbar bleibt), ersetzt die Erfüllung der gesetzlichen Erfordernisse nicht. Auch wird die Identität einer Person oder eine Eigenschaft als wirtschaftlicher Eigentümer "Unterschriftenprobenblättern" nicht nachgewiesen oder dokumentiert. Wer wirtschaftlicher Eigentümer der juristischen Person ist, ist im Übrigen eine von der Frage der Vertretungsbefugnis und Identität der Organe unterschiedliche Thematik, so dass das Vorbringen insofern am Vorwurf vorbei geht.

Der angefochtene Bescheid war daher in der Annahme der objektiven Verwirklichung einer Verwaltungsübertretung in diesem Punkt zu bestätigen. Der Tatbestand war bereits beginnend mit dem Zeitpunkt des Geltungsbeginns der für die Strafbarkeit der juristischen Person maßgeblichen Strafnorm (§ 99d BWG) für die juristische Person verwirklicht, weil zu diesem Zeitpunkt bereits eine langjährige (nämlich seit 2000 aufrechte) Kundenbeziehung bestand und Zweifel an der Angemessenheit der Kundenidentifikationsdaten bestehen mussten, die - auch angesichts der Risikoklassifikation - zu einer Feststellung und Überprüfung während laufender Kundenbeziehung führen mussten. Die Tatbildverwirklichung dauerte bis zur Beendigung der Kundenbeziehung an, so dass auch der Tatzeitraum bereits im angefochtenen Bescheid zutreffend abgegrenzt wurde.

3.4.3. Zu Spruchpunkt 3. des angefochtenen Straferkenntnisses:

Wie in Spruchpunkt 3. des angefochtenen Straferkenntnisses (und entsprechend auch im vorliegenden Erkenntnis) festgestellt, hat es die beschwerdeführende Gesellschaft unterlassen, von 20.05.2014 bis jedenfalls 27.10.2015 "angemessene und geeignete Strategien und Verfahren zur Überprüfung der Identität des/r wirtschaftlichen Eigentümer(s) ihrer Kunden einzuführen, so dass sie davon überzeugt ist zu wissen, wer der/die wirtschaftliche(n) Eigentümer sind". Dies war dadurch verwirklicht, dass die beschwerdeführende Gesellschaft seit 20.05.2014 die Vorgehensweise zur Feststellung und Überprüfung des wirtschaftlichen Eigentümers in der AML-Policy Version 0.3 und seit 23.04.2015 in der AML-Policy Version 0.4 festgelegt hat. Das Erfordernis, im Fall von juristischen Personen oder Trusts risikobasierte und angemessene Maßnahmen zu ergreifen, um die Eigentums- und Kontrollstruktur des Kunden zu verstehen, war in der AML-Policy Version 0.3 auf Kunden der "Risikoklasse 3 und in der AML-Policy Version 0.4 auf Fälle eines "hohen Geldwäscherisikos" beschränkt. Durch diese Beschränkungen, die sich im Übrigen auch aus der "Risikoanalyse 2015" ergaben, waren die Strategien und Verfahren zur Überprüfung der Identität des wirtschaftlichen Eigentümers in der beschwerdeführenden Gesellschaft nicht "angemessen und geeignet".

Wenn in der Beschwerde dazu vorgebracht wird, dass dieser Vorwurf deshalb unzutreffend sei, weil die Identität des wirtschaftlichen Eigentümers von juristischen Personen durch Mitarbeiter der beschwerdeführenden Gesellschaft "ausnahmslos festgestellt" werde und "im Bankbetrieb keine Beschränkung auf Fälle der höchsten Risikoklasse vorgenommen" werde, übergeht sie das Thema: Die als verletzt angesehene Regelung bezieht sich nicht auf die jeweilige (behauptete) kundenbezogene Praxis im Einzelfall, sondern verlangt - dem vorgelagert - eine allgemeine organisatorische Maßnahmenstruktur im Sinne von "Strategien und Verfahren".

Die beschwerdeführende Gesellschaft beruft sich darauf, dass in anderen Bankinstituten die gleiche Textierung verwendet worden sei, dort aber unbeanstandet geblieben sei. Solche Umstände können - selbst wenn dies zutreffend wäre - nicht zur Entlastung beitragen (keine Gleichheit im Unrecht; zB VwGH 25.11.2015, Ra 2015/09/0095; 09.11.2016, Ro 2014/10/0056).

Auch der Hinweis, dass die belangte Behörde im einleitenden Teil des Spruches einen Zeitpunkt "ab 01.01.2014" genannt, aber im Spruchpunkt 3. den Tatzeitraum beginnend mit 20.5.2014 datiert hat, zeigt keine Rechtswidrigkeit des angefochtenen Bescheides auf, da es sich beim einleitenden Teil des Spruches um eine allgemeine Bezugnahme auf die Summe der einschlägigen Pflichtverletzungen handelt, die der juristischen Person seit 01.01.2014 angelastet werden. Von diesen Pflichtverletzungen war tatsächlich der Großteil bereits seit 01.01.2014 verwirklicht, aber nicht alle. Auch im Lichte dessen, dass die relevante Strafnorm gegenüber der juristischen Person seit 01.01.2014 in Kraft ist, ist es daher zutreffend und nicht widersprüchlich, bei der allgemeinen einleitenden Bezugnahme davon zu sprechen, dass die juristische Person die im Bescheid festgestellten Verstöße "ab 01.01.2014" zu verantworten hat. Eine solche allgemeine einleitende Bezugnahme steht einer bei den einzelnen Spruchpunkten individuellen Festsetzung des jeweils konkreten Tatzeitraumes nicht entgegen.

Auch der in der Beschwerdeverhandlung erhobene Einwand, die Angemessenheit der internen vorgesehenen Anweisungen (Strategien und Verfahren) sei durch den Inhalt der Dienstanweisung vom 1.2.2013 (ON 18, Seite 24 ff) gesichert, verfängt nicht. Es ist nämlich festzuhalten, dass die Anforderung an die Angemessenheit und Geeignetheit von Verfahren und Strategien auch die inhaltliche Konsistenz von mehreren nebeneinander bestehenden unternehmensinternen Anweisungen zu ein und demselben Themenkreis erfordert. Selbst wenn man die Dienstanweisung vom 1.2.2013 dahin verstehen wollte, dass darin eine risikobasierte Überprüfung der Angaben eines Kunden zur Frage des wirtschaftlichen Eigentümers vorgesehen wird, müssen diese Anforderungen durch den Inhalt der gleichzeitig bestehenden bzw. danach implementierten AML-Handbücher bzw. AML Policies als relativiert bzw. geradezu aufgehoben angesehen werden. Dabei ist zu beachten, dass der Zweck einer Verpflichtung zu unternehmensinternen allgemeinen organisatorischen Anweisungen eine für die Mitarbeiter als Adressaten verständliche, widerspruchsfreie und in sich konsistente Regelung erfordert, die bei einem Widerspruch wie dem hier aufgezeigten zu Unklarheiten führt, die sie als nicht angemessen oder geeignet erscheinen lässt.

§ 41 Abs. 4 Z 1 BWG verlangte im Tatzeitraum, dass ein Kreditinstitut "angemessene und geeignete Strategien und Verfahren für die Sorgfaltspflichten gegenüber Kunden" einführt, "um Transaktionen, die mit Geldwäscherei oder Terrorismusfinanzierung zusammenhängen, vorzubeugen und zu verhindern". Zu den angesprochenen Sorgfaltspflichten gehört die in § 40 Abs. 2a Z 1 leg.cit geregelte Pflicht des Kreditinstituts, "risikobasierte und angemessene Maßnahmen" zur Überprüfung der Identität des Kunden zu ergreifen, "sodass sie davon überzeugt sind zu wissen, wer der wirtschaftliche Eigentümer ist; im Falle von juristischen Personen oder von Trusts schließt dies risikobasierte und angemessene Maßnahmen ein, um die Eigentums- und die Kontrollstruktur des Kunden zu verstehen".

Die Pflicht zur Einführung "geeigneter Strategien und Verfahren" war durch die hier in den AML-Policies festgelegte Beschränkung der Überprüfung des wirtschaftlichen Eigentümers auf Hochrisikokunden verletzt. Wie die belangte Behörde zu Recht ausführt, ist die in den allgemeinen Richtlinien der beschwerdeführenden Partei enthaltene prinzipielle Ausnahme von Kunden mittleren Risikos von der Überprüfung des wirtschaftlichen Eigentümers nicht angemessen.

Die Tatbestandsmäßigkeit des Verhaltens ist daher zu bejahen, ebenso wie die völlig unbestrittene Zurechnung dieses Verhaltens zu Mitarbeitern der beschwerdeführenden Gesellschaft.

3.4.4. Zu Spruchpunkt 4.1-4.5. des angefochtenen Straferkenntnisses:

Wie bereits ausgeführt, betreffen die Spruchpunkte 4.1. bis 4.5. des angefochtenen Straferkenntnisses jeweils die "unterlassene konkrete Überprüfung der Identität der/s wirtschaftlichen Eigentümer/s, einschließlich risikobasierter und angemessener Maßnahmen, um die Eigentums- und Kontrollstruktur des Kunden zu verstehen". Dabei umfasste der Vorwurf bei den Spruchpunkten 4.1., 4.2. und 4.4. jeweils auch die Tatbestandsverwirklichung im Hinblick auf § 40 Abs. 2e BWG (Erfordernis der Überprüfung "zu geeigneter Zeit auch auf die bestehende Kundschaft auf risikoorientierter Grundlage").

Zu Spruchpunkt 4.1. kritisiert die Beschwerde in rechtlicher Hinsicht, dass es "unverständlich" sei, dass ein Schreiben, welches von einer vertretungsbefugten Person der Gesellschaft ausgestellt und gefertigt wurde, "keine belastbare, zuverlässige Unterlage" zur Feststellung des wirtschaftlichen Eigentümers sei, "wenn kein Grund für Zweifel an der Richtigkeit der Angabe" bestehe. Diese Form der "Selbstauskunft" sei hier angemessen, außerdem liege eine Geschäftsbeziehung vor, die jahrzehntelang (seit 1989) bestehe und "ohne Auffälligkeiten" gewesen sei.

Ähnliches bringt die Beschwerde in Bezug auf Spruchpunkt 4.3. vor; diesbezüglich vertritt sie, dass der wirtschaftliche Eigentümer durch Deklaration "einwandfrei identifiziert" worden sei und es in der hier fraglichen Jurisdiktion von Panama kein offizielles Register gebe, das Treuhandschaften bestätige. Folglich sei die durch die als wirtschaftlicher Eigentümer benannte Person unterfertigte Erklärung ausreichend.

Diesem Vorbringen ist zu entgegnen, dass sich das Gesetz nicht damit begnügt, dass der Kunde die Identität des wirtschaftlichen Eigentümers "bekannt gibt" (und/oder dieser sich als solcher deklariert), sondern zusätzlich verlangt, dass risikobasierte und angemessene Maßnahmen zur Überprüfung des so bekannt Gegebenen gesetzt werden.

Bei dem in Spruchpunkt 4.1. angesprochenen Kunden handelte es sich - wie festgestellt - nach der eigenen Kategorisierung der beschwerdeführenden Gesellschaft um einen Kunden der höchsten Risikostufe, so dass nicht ersichtlich ist, inwiefern eine bloße Selbstauskunft, wie sie als Mindesterfordernis bei geringem Risiko allenfalls akzeptiert werden mag, als "risikobasierte" und "angemessene" Maßnahme eingestuft werden sollte. Wie bereits im angefochtenen Bescheid im Ergebnis festgehalten wurde, können informelle Kontakte und/oder der persönliche Wissensstand einzelner Mitarbeiter oder leitender Personen der beschwerdeführenden Gesellschaft eine ausreichend objektivierbare und zumindest unternehmensintern dokumentierte Überprüfung im gesetzlich geforderten Sinn nicht ersetzen. Vergleichbares gilt für den in Spruchpunkt 4.3. angesprochenen Kunden, der in der Risikokategorie 4 von 5 geführt war, und bei dem sich eine nähere Überprüfung (die über die Deklaration des behaupteten wirtschaftlichen Eigentümers selbst hinausgeht), nicht feststellen ließ. Dabei ist festzuhalten, dass eine Treuhandvereinbarung im Kundenakt lag, wonach eine Treuhänderin für die als wirtschaftlichen Eigentümer namhaft gemachte Person einen Anteil von 1% an der Kundin hält (was die Frage aufwirft, woraus sich das wirtschaftliche Eigentum des namhaft gemachten wirtschaftlichen Eigentümers ergeben kann). Der Umstand, dass in der einschlägigen Jurisdiktion (Panama) kein offizielles Register bestehe, taugt nicht als Rechtfertigung für die Unterlassung entsprechender Prüfungsschritte, sondern lässt vielmehr eine entsprechend intensivere Überprüfung angezeigt erscheinen, die hier nicht stattfand.

Zu Spruchpunkt 4.2. richtete sich die Stoßrichtung der Beschwerde und des ergänzenden Vorbringens in der Verhandlung in erster Linie gegen die Beweiswürdigung und die darauf beruhende Sachverhaltsfeststellung des angefochtenen Bescheides. Dazu wird auf die hier getroffene Beweiswürdigung zu diesem Punkt verwiesen, die zum Ergebnis führte, dass die einschlägigen Feststellungen des angefochtenen Bescheides bestätigt und übernommen werden konnten. In rechtlicher Hinsicht ist dazu festzuhalten, dass es bei einem Kunden, der von der beschwerdeführenden Gesellschaft der höchsten Risikostufe zugeordnet war, eine Verletzung des § 40 Abs. 2a BWG (nunmehr § 6 Abs. 1 Z 2, § 7 Abs. 1 FM-GwG) darstellt, wenn - wie hier festgestellt - trotz langjähriger Kundenbeziehung insofern eine mangelhafte Überprüfung des angeblichen wirtschaftlichen Eigentümers dieser Korrespondenzbank erfolgt, als einzelne Teile der angegebenen Eigentümer- und Kontrollstruktur (zwischen der Kundin und der als wirtschaftlicher Eigentümer angegebenen natürlichen Person) nicht in tauglicher und beweiskräftiger Weise überprüft wurden.

In Bezug auf Spruchpunkt 4.4. ist festzuhalten, dass bereits die Deklaration des wirtschaftlichen Eigentümers ins Leere ging, weil als solcher die Kundin ("Antragsteller"), also eine juristische Person namhaft gemacht wurde. Darüber hinaus ergibt sich aus den Feststellungen, dass nicht schlüssig überprüfbar festgehalten wurde, wer rechtlicher Eigentümer der Kundin ist, weil von dieser zwar 50.000 "ordinary shares" ausgegeben werden dürfen, keine Information darüber vorlag, wieviele "shares" tatsächlich begeben wurden, eine bestimmte natürliche Person am 13.03.1997 als Inhaber von 99 "ordinary shares" ausgewiesen wurde und ansonsten keine relevanten Informationen dokumentiert waren. Gerade bei einem Kunden, der einer Risikoklasse 4 (von 5) zugeordnet wird, kann diese Vorgangsweise nicht als "risikobasierte" und "angemessene" Maßnahme der Überprüfung des wirtschaftlichen Eigentümers qualifiziert werden.

In Bezug auf Spruchpunkt 4.5. ist ebenfalls festzuhalten, dass die der beschwerdeführenden Gesellschaft vorliegenden Dokumente keine nachvollziehbare Darstellung der Eigentümer- und Kontrollstruktur von der als wirtschaftliche Eigentümerin angegebenen Person bis zur Kundin erbringen konnte. Bei dieser Dokumentationslage (und insb. angesichts der fehlenden Überprüfung der Eigentumsverhältnisse der XXXX) kann der beschwerdeführenden Gesellschaft - gerade mit Blick auf die Risikoklassifizierung der Kundin mit Stufe 4 (von 5) und dann 3 (von 3) - nicht zugebilligt werden, dass eine angemessene und risikobasierte Überprüfung des wirtschaftlichen Eigentümers stattgefunden hat.

3.4.5. Zu Spruchpunkt 5.1.-5.5. des angefochtenen Straferkenntnisses:

Wie erwähnt betreffen die Spruchpunkte 5.1. bis 5.5. des angefochtenen Straferkenntnisses in Fällen von erhöhtem Risiko der Geldwäsche und Terrorismusfinanzierung den Vorwurf der Unterlassung zusätzlicher Maßnahmen wie der Anwendung zusätzlicher Standards bei der Erlangung und Überprüfung der Informationen zu Zweck und Art der Geschäftsbeziehung sowie den Vorwurf der Unterlassung einer verstärkten kontinuierlichen Überwachung der jeweiligen Geschäftsbeziehung.

In rechtlicher Hinsicht argumentiert die Beschwerde in Hinblick auf Spruchpunkt 5.1. damit, dass aus dem Kundenakt (darin befindliche Kundeninformationen) belegbar und aufgrund von persönlichen Wahrnehmungen von Mitarbeitern (ebenso wie Abrechnungen und Überweisungsbelegen) bekannt sei, dass es sich um einen langjährigen Kunden handelt, der im Kaffeegeschäft tätig sei. Die Geschäftstätigkeit der Kundin sei "nicht zu beanstanden" gewesen, weil über die Jahre eine Vermögenshäufung am Konto stattgefunden habe, welche durch Erträgnisse aus dem Kaffeegeschäft erwirtschaftet worden sei. Auch bei einem risikobasierten Ansatz sei keine Verfehlung erkennbar; daran würde auch der Umstand nichts ändern, dass die Identifikation des wirtschaftlichen Eigentümers durch eine "Declaration of Beneficiary Owner" stattgefunden habe, die vom vertretungsbefugten Organ der Kundin unterfertigt war.

Zu diesem Beschwerdevorbringen (das im Wesentlichen eine Wiederholung des in der Rechtfertigung erstatteten Vorbringens darstellt, mit dem sich die Behörde im angefochtenen Bescheid auseinandergesetzt hat) kann das Bundesverwaltungsgericht wiederholend auf die bereits im angefochtenen Bescheid dazu dargelegten rechtlichen Ausführungen verweisen, die das Bundesverwaltungsgericht teilt und denen die Beschwerde auch nicht substantiiert entgegen tritt:

Besonders im Hinblick auf das hohe Risiko, dem dieser Kunde schon aufgrund des Sitzes unterliegt (Aruba), sowie aufgrund des hohen Anlagevolumens wäre eine nachvollziehbare KYC-Dokumentation als unerlässlich zu erachten.

Aufgrund der mangelnden Einholung und Dokumentation von KYC-relevanten Dokumenten, Daten und Informationen (insbesondere im Hinblick auf Zweck und Art der Geschäftsbeziehung einschließlich Herkunft der Geld- oder Finanzmittel und deren Dokumentation) konnte eine Prüfung, inwieweit die im Verlauf der Geschäftsbeziehung abgewickelten Transaktionen mit den Kenntnissen über den Kunden, seine Geschäftstätigkeit und sein Risikoprofil, einschließlich erforderlichenfalls der Herkunft der Geld und Finanzmittel, kohärent sind, nicht stattfinden. Die Herkunft der Geld- oder Finanzmittel konnte nicht angegeben werden. Auch passt das Vorbringen der Beschwerde (wie auch bereits der Rechtfertigung), dass dieser langjährige Kunde im Kaffeegeschäft tätig sei, nicht mit den Angaben im KYC-Formular zusammen. In diesem wurde lediglich angegeben, dass die Kundin in der Vermögensverwaltung tätig sei, was etwas anderes als das Kaffeegeschäft ist. Über die oberflächliche Angabe ("Tätigkeit in der Kaffeebranche") hinaus gibt es keine risikoadäquaten Informationen, Daten und Dokumente, aus denen Art, Umfang oder Zeitpunkt von etwaigen Leistungen, Produkten oder Lieferungen von Waren, Gütern etc. hervorgehen. In Bezug auf die Angaben "Vermögensverwaltung" wären detaillierte Informationen über das Portfoliomanagement, zB für wen, welche Produkte, welche Veranlagungsstrategien und Märkte, etc. erforderlich, anhand derer die Kohärenzprüfung der tatsächlich abgewickelten Transaktionen erfolgen kann.

Beispielsweise fehlen konkrete Informationen, von wem die Gelder kommen, die über das Konto abgewickelt werden (Mittelherkunft) sowie deren ungefähre Betragshöhe, sowie welcher wirtschaftlichen Tätigkeit sie zuzuordnen sind. Ebenso sind Hintergrundinformationen über die Kunden bzw. Informationen, welche konkrete operative Tätigkeit diese ausüben, einzuholen. Derartige Dokumente können beispielsweise Registerauszüge, Firmen-bzw. Geschäftsunterlagen wie Gesellschaftsverträge, Kaufverträge, Finanzierungspläne oder Datenbankauszüge sowie Internetrecherchen etc. sein. Bei Zweifel sind weitere Recherchen zu setzen bzw. weitere Daten, Dokumente und Informationen über den Kunden und seine operative Tätigkeit einzuholen. Hinzuweisen ist darauf, dass das vorliegende KYC-Formular vom 15.01.2013 nur rudimentär ausgefüllt ist. Neben der Information, dass der Kunde "persönlich bekannt" sei, geht daraus iZm dem Geschäftsmodell/Geschäftszweck lediglich hervor, dass dieses/dieser "Vermögensverwaltung" sei. Was darunter im Detail zu verstehen ist, ist nicht klar.

Eine verstärkte Überwachung der Hochrisiko-Geschäftsbeziehung iSd § 40b Abs. 1 BWG hat daher nicht stattgefunden.

Zu Spruchpunkt 5.2. bringt die Beschwerde vor, dass die Mitarbeiter der beschwerdeführenden Gesellschaft "Marktkenntnisse in der Ukraine" gehabt hätten, so dass ihnen bekannt gewesen sei, dass dieser Kundin "tatsächlich eine Unternehmensgruppe in der Ukraine zuzuordnen" sei. Dieser Umstand habe "aufgrund der häufigen Anwesenheit in der Ukraine auch geprüft und plausibilisiert" werden können; die beschwerdeführende Gesellschaft habe bei dieser Kundenbeziehung "mehr getan als bloß Dokumente einzuholen", vielmehr hätten sich ihre Mitarbeiter vor Ort "Informationen geholt" und sich "vergewissert".

Mit diesem Vorbringen gelingt es der Beschwerde nicht, die rechtliche Würdigung des angefochtenen Straferkenntnisses zu diesem Punkt als unzutreffend darzustellen. Auch in diesem Punkt teilt das Bundesverwaltungsgericht die im Folgenden zusammengefasst wiedergegebenen Überlegungen des angefochtenen Bescheides:

Aus den vorliegenden Unterlagen geht nicht einmal beweiskräftig hervor, dass die Kundin Eigentümerin der verschiedenen im Sachverhalt angegebenen Unternehmen wäre. Beweiskräftige Unterlagen liegen nicht vor, sondern nur rudimentäre Memos der beschwerdeführenden Gesellschaft. Die Einholung und Dokumentation von Zweck und Art der Geschäftsbeziehung sowie von der Herkunft der Mittel in den Kundenunterlagen war dem hohen Risiko nicht angemessen, dem dieser Kunde unterliegt. Besonders im Hinblick auf das hohe Risiko, dem dieser Kunde unterliegt, ist die nachvollziehbare KYC-Dokumentation als unerlässlich zu erachten. Aufgrund der mangelnden Einholung und Dokumentation von KYC-relevanten Dokumenten, Daten und Informationen (insbesondere im Hinblick auf Zweck und Art der Geschäftsbeziehung einschließlich Herkunft der Geld- oder Finanzmittel und deren Dokumentation) konnte eine Prüfung, inwieweit die im Verlauf der Geschäftsbeziehung abgewickelten Transaktionen mit den Kenntnissen über den Kunden, seine Geschäftstätigkeit und sein Risikoprofil, einschließlich erforderlichenfalls der Herkunft der Geld und Finanzmittel, kohärent sind, nicht stattfinden.

Wie ausgeführt, befinden sich im Kundenakt sowohl ein KYC-Formular (mit dem Hinweis "Entwurf") vom 02.03.2011 und ein Update vom 01.02.2013 sowie Memos des Kundenberaters. Diese enthalten zwar Angaben zu Zweck und Art der Geschäftsbeziehung sowie Mittelherkunft, sind allerdings nicht dem hohen Risiko der Kundin angemessen und es finden sich auch keine beweiskräftigen Dokumente in den Kundenunterlagen der beschwerdeführenden Gesellschaft, die diese Angaben bestätigen würden.

Ergänzend ist festzuhalten, dass bei Begründung der Geschäftsbeziehung am 03.03.2011 keine Informationen eingeholt wurden, woher die Gelder kommen, die über das Konto abgewickelt werden (Mittelherkunft) sowie deren ungefähre Betragshöhe. Das im Kundenakt befindliche KYC-Formular vom 02.03.2011 ist nur rudimentär ausgefüllt. Informationen zur Betragshöhe der Transaktionen wurden erst im Zuge des KYC-Updates vom 01.02.2013 eingeholt (u. "Size of unit transaction" - more than € 250 000"). Die Ausführungen zum Geschäftszweck im KYC-Update vom 01.02.2013 sind nur schwer leserlich. Hervor geht allerdings, dass der Kunde u.a. mit Kosmetikprodukten und Parfum sowie "building equipment" handle. Angegeben wurde, dass es sich um eine Unternehmerfamilie handle, die in der Ukraine eines der größten Distributionsunternehmen mit ca. 700 Mitarbeitern führe. Die Vermögenswerte seien auf die Frau (Kundin) des Unternehmers übertragen worden, da die politische Situation in der Ukraine instabil sei. Auch würden die Konten für Zahlungen in USD genützt, da Zahlungen in Fremdwährungen in der Ukraine einer Genehmigung bedürfen. Das Unternehmen der Familie handle angabegemäß eine sehr große Produktpalette, welche u.a. aus Fruchtsaft, Bier, Kosmetikprodukten und Tabak bestehe. Der Kundenbetreuer der XXXX gab an, Lagerhallen des Unternehmens in der Ukraine besichtigt zu haben. Es finden sich keine Dokumente in den vorliegenden Unterlagen, die diese Angaben bestätigen würden. Beispielsweise fehlen Firmen- bzw. Geschäftsunterlagen wie Gesellschaftsverträge, Kaufverträge, Finanzierungspläne oder Datenbankauszüge sowie Internetrecherchen etc.

Den Mitarbeitern der XXXX war aufgrund der mangelnden Dokumentation all der relevanten Informationen eine Kohärenzprüfung von angegebenem Zweck und Art der Geschäftsbeziehung mit durch den Kunden getätigten Transaktionen anhand der vorliegenden Unterlagen nicht möglich. Folglich hat keine verstärkte Überwachung der Hochrisiko-Geschäftsbeziehung stattgefunden.

Zu Spruchpunkt 5.3. bringt die Beschwerde vor, dass die belangte Behörde die Sorgfaltspflichten "verkenne" und "überspanne", wenn sie meint, dass zu einem Konto, auf welchem sonst hauptsächlich geschäftliche Überweisungen seit vielen Jahren stattgefunden haben, einige wenige Barbehebungen sofort zur Rechtswidrigkeit des Verhaltens des Kreditinstituts und seiner Mitarbeiter führt. Es sei auch unzutreffend, dass entsprechende zusätzliche Informationen erst "wegen der Vorortprüfung der FMA" eingeholt worden seien. Zudem sei es rechtswidrig, im angelasteten Tatzeitraum (dh. ab 1.1.2014) ein strafbares Verhalten anzunehmen, weil die Bargeldbehebungen im Februar 2012 und im Februar 2013 stattgefunden hätten, also sogar zu Zeitpunkten vor In-Kraft-Treten von § 99d BWG.

Mit diesem Vorbringen geht die Beschwerde an den wesentlichen Punkten des Tatvorwurfs vorbei: Vorgeworfen wurden nicht die damaligen Barbehebungen als solche und es wurde auch nicht daraus abgeleitet, dass das Verhalten des Kreditinstituts unmittelbar deswegen rechtswidrig gewesen sei. Vielmehr bilden die Barbehebungen einen Aspekt im Gesamtbild der Kundenbeziehung, der die Notwendigkeit, im Zeitraum 01.01.2014 (Beginn der verwaltungsstrafrechtlichen Verantwortlichkeit der juristischen Person) bis 02.04.2014 (Ende der Geschäftsbeziehung) Klarheit über die im Verlauf der Geschäftsbeziehung abgewickelten Transaktionen zu erlangen, als dringlich verdeutlicht hat. Dieses Gesamtbild war schon in den Jahren vor 2014 durch gravierende Unschärfen und Unsicherheiten in der dokumentierten Kenntnis vom Kunden gekennzeichnet, etwa weil kein datiertes und unterzeichnetes KYC-Formular vorlag, darin als Kontoinhaber jemand anderer angegeben wurde als jene Person, für die das Konto eröffnet wurde, nur rudimentäre Informationen über Zweck und Art der Geschäftsbeziehung vorlagen, nichts unter den Rubriken "Details zum Geschäftsmodell" ausgefüllt war, unter der Rubrik "Angaben zum Gesamtvermögen" und "jährl. Bruttoumsatz" das Feld "keine Angaben" angekreuzt waren, all dies obwohl es sich um einen Hochrisikokunden handelte. Soweit in der Beschwerde behauptet wurde, die im Bescheid getroffene Aussage, dass "weitere Recherchen zum Kunden erst im Zuge der VOP mündlich beim Kunden eingeholte wurden" unzutreffend sei, wurde dem Beschwerdevorbringen in diesem Punkt durch eine abweichende Feststellung (partiell) Rechnung getragen. Allerdings können diese Feststellungen nichts daran ändern, dass die Informationslage über die Art der Mittelherkunft, das Vermögen, den Umsatz und Geschäfte und Transaktionen der Kundin (nämlich der Gesellschaft XXXX) auch zu diesem Zeitpunkt völlig unklar blieb. Daher war eine Verletzung der Pflicht zur verstärkten kontinuierlichen Überwachung der Geschäftsbeziehung festzustellen.

Zu Spruchpunkt 5.4. bringt die Beschwerde in rechtlicher Hinsicht vor, dass die beschwerdeführende Partei ohnehin eine intensive Sonderprüfung vorgenommen habe, nachdem bei ihr Nachfragen von Geschäftspartnern der Kundin eingelangt seien. Zudem sei nicht per se ein Sorgfaltsverstoß darin zu erblicken, dass eine Kundenbeziehung begonnen wird, wenn über einen Kunden eine "Warnmeldung" einer Finanzmarktaufsichtsbehörde vorliegt. Dazu komme, dass eine Warnmeldung von einer kanadischen Behörde ausgegangen sei, nur an kanadische Investoren gerichtet und nur von allgemeiner Natur gewesen sei. Eine besondere Bedeutung lasse sich daraus unter Gesichtspunkten der Geldwäsche- und Terrorismusfinanzierungs-Prävention nicht ableiten.

Dem ist entgegenzuhalten, dass der die Pflichtverletzung begründende Vorwurf nicht allein in der Nichtberücksichtigung einer "Warnmeldung" lag, sondern darin, dass - wie aus den Feststellungen hervorgeht - über diesen Kunden allgemein, und zwar schon bei Beginn der Kundenbeziehung zu wenig Information vorlag, so dass die "Warnmeldung" schon damals nur als (im Tatzeitraum ab 1.1.2014 jedenfalls vorgefundenes) zusätzliches Indiz für eine nähere Nachforschung - dies (bei deren Unterbleiben:) auch und erst recht im weiteren Verlauf der Kundenbeziehung - zu sehen ist. Dass eine dieser "Warnmeldungen" von einer kanadischen Behörde stammt und an kanadische Investoren adressiert war, ändert nichts daran, denn sie indiziert, dass das Unternehmen auf einem von ihm tangierten Markt zumindest einen Anlass zu einer (finanzmarkt)behördlichen Reaktion ("Warnung") gegeben hat, was nähere Klärung erfordert. Bei einem Kunden wie dem vorliegenden, der einem besonders hohen Risiko zugeordnet wird, hätte es eingehenderer Vergewisserung von dem Geschäftsmodell, Transaktionen, Vermögen, Mittelherkunft etc. bedurft, so dass das Unterbleiben einer solchen verstärkten Überwachung tatbestandsmäßig ist.

Auch in dem zu Spruchpunkt 5.5. beschriebenen Fall hat die erforderliche verstärkte Überwachung der Hochrisiko-Geschäftsbeziehung nicht stattgefunden, was in der Beschwerde auch nicht bestritten wurde. Die Kundin war in der Risikoklasse 4 (von 5) und dann 3 (von 3) eingestuft und der Wissensstand der beschwerdeführenden Gesellschaft über diese Kundin war äußerst begrenzt, so waren etwa die eingeholten Angaben zu den Geschäftstätigkeiten des Kunden vage, jene zu den wirtschaftlichen Daten und Transaktionen der Kundin fehlend, zur Mittelherkunft wurden nur "loans" angegeben; demgegenüber erfolgten auf dem Konto Transaktionen mit US$-Beträgen in zweistelliger Millionenhöhe. Auch in diesem Punkt ist daher die Tatbestandsmäßigkeit des Verhaltens im Tatzeitraum zu bejahen.

3.4.6. Zu Spruchpunkt 6. des angefochtenen Straferkenntnisses:

In rechtlicher Hinsicht bemängelt die beschwerdeführende Gesellschaft vor allem, dass die belangte Behörde eine Aktualisierungspflicht angenommen hat, obwohl der vorgeworfene Tatzeitraum nur einige wenige Monate betragen habe. Es sei nicht ersichtlich, weshalb die beschwerdeführende Gesellschaft "genau innerhalb dieser weniger als 100 Tage Anfang 2014 die angebliche Verpflichtung zur Einholung angeblich aktualisierter Unterlagen gehabt hätte und daher für jeden Tag dieser Periode eine Strafe von € 120 gerechtfertigt wäre".

Mit diesem Vorbringen klammert die beschwerdeführende Gesellschaft jedoch völlig aus, dass es sich um eine Kundin handelt, die der Risikoklasse 4 (von 5) und dann 3 (von 3) zugeordnet wurde, und dass zum 1.1.2014, dem Datum zu dem die verwaltungsstrafrechtliche Verantwortlichkeit der juristischen Person begonnen hat, eine Geschäftsbeziehung vorzufinden war, die bereits seit 2000 bestanden hatte und für die die Identität der Kundin zuletzt bei Begründung der Kundenbeziehung erhoben wurde, dies schon damals anhand einer unaktuellen (weil von 13.03.1997 datierenden) und nicht apostillierten Urkunde aus den Kaimaninseln. Zudem hätte - wie festgestellt - in ein lokales Register Einsicht genommen werden können, was jedoch nicht erfolgt ist. Das Bundesverwaltungsgericht ist der Auffassung, dass das Verhalten (die Nichtaktualisierung) unter diesen Umständen als Verletzung der Pflicht nach § 40 Abs. 2a Z 3 BWG (Gewährleistung, dass die jeweiligen Dokumente, Daten oder Informationen stets aktualisiert werden) zu qualifizieren ist.

3.4.7. Zu Spruchpunkt 7. des angefochtenen Straferkenntnisses:

Soweit sich die Beschwerdeführer auf die bei einem anderen Kreditinstitut verwendeten Systeme beruft, ist auf das bereits unter Pkt. 3.4.3. Gesagte zu verweisen (keine Gleichheit im Unrecht). Auch auf der Verschuldensebene kann dieses Vorbringen nichts beitragen, weil die beschwerdeführende Partei vorbringt, von diesen Umständen am 24.09.2015 (also nach dem vorgeworfenen Tatzeitraum) erfahren zu haben.

Abgesehen davon geht das Vorbringen, soweit es die Angemessenheit der einjährigen "Prüfintervalle" behauptet, nicht ganz auf den Vorwurf ein. Hervorzuheben ist nämlich einerseits, dass diese Angemessenheit nur generell aber nicht für Hochrisikokunden behauptet wurde, dass nicht einmal bei Hochrisikokunden ein regelmäßiges kürzeres Intervall behauptet wurde, zudem, dass zwar der automatisierte Abgleich des Gesamtkundenbestandes gegen Sanktions- und PEP-Listen technisch in kürzeren Abständen (monatlich) praktiziert wurde, aber die wirtschaftlichen Eigentümer von juristischen Personen davon (mangels systematischer Einpflege in das Kernbankensystem) nicht erfasst waren. Es ist daher ein Verfahren zur angemessenen regelmäßigen Überprüfung, das technisch zumutbar gewesen wäre und gerade bei Risikokunden nur bei standardisiert kürzeren Prüfintervallen dem Risiko adäquat gewesen hätte, nicht eingerichtet gewesen.

Wenn die Beschwerde bemängelt, dass sich "die im Bescheid auf den Seiten 45ff angeführten ‚Testfälle' ..." auf Zeiträume beziehen, "welche vor dem 1.1.2014 liegen" und daher zur "Begründung der behaupteten Verfehlungen" nicht dienen könnten, ist ihr entgegenzuhalten, dass diese Feststellungen lediglich dazu dienen, das von der beschwerdeführenden Gesellschaft zum Beginn des angenommenen Tatzeitraums vorgefundene Bild zu illustrieren (arg: "dieses mangelhafte System manifestierte sich darin ..."), und zu belegen, dass im Tatzeitraum die Einrichtung von angemessenen und risikobasierten Verfahren zur regelmäßigen Überprüfung der PEP-Eigenschaft der mit Kunden (insb. juristischen Personen) verbundenen Personen auch im Hinblick auf die Resultate in einzelnen Anwendungsfällen erforderlich aber nicht vorhanden war.

3.4.8. Zu Spruchpunkt 8. des angefochtenen Straferkenntnisses:

Zu dem in der Beschwerdebezüglich des Spruchpunktes 8. (Fehlen von geeigneten Strategien und Verfahren für Sorgfaltspflichten gegenüber Kunden mit Geschäftsbezug zu Personen mit Sitz in einem der in der Geldwäscherei- und Terrorismusfinanzierungsverordnung [GTV] genannten Staaten) erstatteten Vorbringen wird auf die Auseinandersetzung der der Beweiswürdigung verwiesen. Wie dazu festgestellt, lagen eine entsprechende Strategie bzw. Verfahren im Tatzeitraum nicht vor.

3.4.9. Zu Spruchpunkt 9. des angefochtenen Straferkenntnisses:

Wie in der Beweiswürdigung (unter näherer Auseinandersetzung mit dem Sachverhalts- und Beweisvorbringen in der Beschwerde und der Verhandlung) ausgeführt wurde, konnte nicht nachgewiesen werden, dass im Tatzeitraum Strategien und Verfahren vorhanden waren, mit denen die Mitarbeiter für Zwecke der Kundenaufnahme oder in laufenden Kundenbeziehungen über Merkmale einer Bank-Mantelgesellschaft informiert wurden, oder sogar instruiert wurden, wie diese (oder etwa ein dahingehende Verdacht) zu erkennen wären, wie dem nachzugehen wäre und wie vorhandene Informationen daraufhin zu überprüfen oder vervollständigen wären.

3.4.10. Zu Spruchpunkt 10. des angefochtenen Straferkenntnisses:

Die Beschwerde bestreitet auf der rechtlichen Ebene die Bewertung des für die Funktion der Geldwäschebeauftragten zur Verfügung gestellten Ressourcen als "nicht ausreichend". Soweit sie dieser Bewertung des angefochtenen Bescheides in der Beschwerde (und in der Verhandlung) entgegentritt, argumentiert sie mit der "Größe des Kreditinstituts", die jedoch - wie von der Behörde in der Verhandlung zutreffend angemerkt wurde - nicht das alleinige Kriterium für die Bewertung darstellt, ob der konkrete zugewiesene Personalkapazität "angemessen" ist oder nicht, da dies in hohem Maße auch von der Risikoaffinität des Portfolios, Geschäftsmodells und Kundenbestands eines Kreditinstituts abhängig ist. Aus demselben Grund ist auch der in der Beschwerde erwähnte Vergleich mit dem einer UVS-Entscheidung zugrunde liegenden Sachverhalt nicht geeignet, die Angemessenheit im vorliegenden Fall darzutun. Wie in der Beweiswürdigung ausgeführt, deutet die Beweislage auf eine kapazitätsmäßige Überlastung des im Tatzeitraum dieser Funktion zugewiesenen Personals, kurzum darauf, dass der personelle Bedarf die eingesetzten Ressourcen überstieg, worauf die die beschwerdeführende Partei schließlich ja auch durch eine zusätzliche Personalallokation reagiert hat. Unabhängig von dieser Beweislage ist für das Bundesverwaltungsgericht auch sonst nicht überzeugend, dass die Geldwäschebeauftragtenfunktion bei einem Bankunternehmen mit rund 60 Mitarbeitern und der in den Feststellungen beschriebenen Risikoexposition mit jenen Aufgaben, die sich aus dem festgestellten GWB-Aufgabenprofil ergeben, durch die im Tatzeitraum zugewiesene Kapazität ausreichend und damit in angemessener Weise dotiert war.

3.5. Objektive und subjektive Zurechnung der Pflichtverletzungen zur juristischen Person

Wie bereits unter Punkt 3.3.5. näher ausgeführt, stellt die hier anwendbare Rechtslage (in verfassungsrechtlich unbedenklicher Weise) sicher, dass die Strafbarkeit der juristischen Person nur eintritt, wenn ein hinreichender Konnex zwischen der juristischen Person und der Tat sowie der juristischen Person und jenen natürlichen Personen besteht, deren Tatverhalten ihr zugerechnet wird.

Dieser Konnex ist im Fall der vorliegenden Pflichtverletzungen durchwegs zu bejahen.

Zunächst ist festzuhalten, dass sämtliche der Pflichtverletzungen nicht auf Verhalten Außenstehender, sondern (unstrittig) auf Verhalten von Mitarbeitern / Organen der beschwerdeführenden Gesellschaft zurückzuführen sind (Mitarbeitertaten).

Weiters ist schon objektiv der Konnex zur juristischen Person für diese Pflichtverletzungen zu bejahen, weil es sich bei den hier in Rede stehenden Pflichten um typische Fälle "Verbandspflichten" handelt, für die allesamt eine Bestrafung eines zur Vertretung befugten Organs gemäß § 9 VStG in Betracht kommt (eine Begehung durch Mitarbeiter unabhängig vom Verbandspflichtenverhältnis ist dagegen für die vorliegenden Delikte kaum denkbar).

Schließlich ist auch festzuhalten, dass die Pflichtverletzungen durch das Verhalten der Entscheidungsträger der beschwerdeführenden Gesellschaft "ermöglicht" wurden, indem diese ein Organisationsverschulden im Sinne mangelnder Überwachung und Kontrolle an den Tag gelegt haben:

Zu beachten war hier in erster Linie die interne (informelle, nicht satzungsmäßige) Aufgabenaufteilung zwischen den beiden Vorständen, die das im Verfahren einvernommene Vorstandsmitglied so beschrieb, dass er hauptsächlicher Ansprechpartner für die Fragen der Geldwäscheprävention und Terrorismusbekämpfung war, während das andere Vorstandsmitglied damit weniger in organisatorischer Hinsicht, sondern eher allgemein bzw. im Zusammenhang mit der (hier nicht relevanten) IT-durchführungstechnischen Seite in Berührung kam. Das Ermittlungsverfahren konzentrierte sich daher in erster Linie auf das Verhalten des erstgenannten Vorstandsmitgliedes, den das andere Vorstandsmitglied (ohne behauptete oder sonst ersichtliche nähere Überprüfung und Kontrolle) handeln ließ. Aber auch das im Verfahren einvernommene (intern mit der GWT-Thematik hauptbefasste) Vorstandsmitglied hat nicht die für eine geeignete "Überwachung und Kontrolle" notwendige Sorgfalt walten lassen und damit ein der beschwerdeführenden Gesellschaft zuzurechnendes Verschulden verwirklicht. Gründe für diese Annahme liegen schon darin, dass gerade für die organisatorischen Maßnahmen, die der Gesetzgeber zur Vorsorge gegen unangemessene Handhabung der Sorgfaltspflichten im Bereich der Prävention von Geldwäscherei und Terrorismusfinanzierung vorschreibt, nicht in ausreichender Weise Vorkehrungen getroffen waren. Diese Vorkehrungen, konkret in erster Linie die ausreichende Ausstattung der Funktion des Geldwäschebeauftragten, aber auch die ausreichend umfassende und rechtzeitige vorherige Einschätzung notwendiger genereller Maßnahmen (Risikoanalyse), liegen in der Wissenssphäre und Mitverantwortung der Vorstände, hier also des intern dafür hauptverantwortlich eingesetzten Vorstandes. Wie im angefochtenen Straferkenntnis zu Recht festgehalten wurde, fällt hier der Umstand ins Gewicht, dass die Interne Revision im relevanten Zeitraum die Prüfung zum Fragenkreis Geldwäscheprävention / Terrorismusfinanzierungsprävention ausgeklammert hat, dass diese auf das Geschäftsjahr 2014 verschoben wurde und diesbezüglich in der Internen Revision Kapazitätsengpässe zu verzeichnen waren. Diese Umstände deuten auch darauf hin, dass in Bezug auf dieses Thema für die Vorstände ein Kontrollverlust bemerkbar sein musste. Weiters ist auch die Feststellung jener Pflichtverletzungen, die die Unzulänglichkeit der in der beschwerdeführenden Gesellschaft unternehmensweit eingesetzten Verfahren und Strategien aufzeigen, ein Indiz für ein - den Eintritt anderer, daraus folgender, Pflichtverletzungen ermöglichendes - Organisationsverschulden, weil diese Strategien und Verfahren ja als Instrumente dafür konzipiert sind, um den Eintritt konkreter Unzulänglichkeiten bei der Einhaltung der Sorgfaltspflichten in einzelnen Kundenbeziehungen zu verhindern, zu minimieren, aufzudecken und/oder zu korrigieren.

Eine vollständige Abwälzung der Verantwortlichkeit des Vorstands (auch für Zwecke der Beurteilung nach § 35 FM-GwG) auf die Geldwäschebeauftragte konnte im Hinblick auf deren Überlastungssituation nicht eintreten, so dass auf die Relevanz einer Bestellung eines verantwortlichen Beauftragten im System des § 35 Abs. 2 FM-GwG nicht näher eingegangen werden muss (und auch dahingestellt bleiben kann, ob die nicht klar auch auf eine strafrechtliche Verantwortlichkeitsüberwälzung hinweisende und auch das mit "§§ 40 und 41 Abs 1 und 4" gemeinte Gesetz nicht näher klarifizierende Bestellungsurkunde den gesetzlichen Erfordernissen entspricht).

In diesem Sinne schließt sich das Bundesverwaltungsgericht dem folgenden zusammenfassenden Absatz der S. 94 des angefochtenen Bescheides an:

"Da die Vorstände sohin bei allen im Bereich der Prävention von Terrorismusfinanzierung und Geldwäsche erforderlichen Internen Kontrolleinrichtungen (Revision und GWB) Mängel sehen mussten, sind sämtliche Verletzungen im Bereich Prävention von Terrorismusfinanzierung und Geldwäsche durch entsprechendes Organisationsverschulden der Vorstände begründet. Sie haben keine Maßnahmen getroffen, die unter vorhersehbaren Verhältnissen mit Grund die Einhaltung der gesetzlichen Vorschriften erwarten ließen. Darüber hinaus waren die Dienstanweisung KYC (ON 18), die AML-Policy 02. (ON 19) und die AML-Policy 0.3. (ON 56) und die AML-Policy 0.4. dem Gesamtvorstand bekannt, weil er diese auch aktenkundig zur Genehmigung vorgelegt bekommen hat."

3.6. Zur Strafbemessung:

Die belangte Behörde hatte zum Zeitpunkt der Erlassung des angefochtenen Straferkenntnisses (September 2016) noch eine Rechtslage anzuwenden, derzufolge einzelne Verwaltungsübertretungen nach dem hier anwendbaren BWG (nunmehr FM-GwG) jeweils gesondert zu verfolgen und auch gesondert zu bestrafen sind (Kumulationsprinzip, § 22 Abs. 2 VStG).

Wie bereits bei Darstellung der anwendbaren Rechtsvorschriften (Pkt. II.3.2.12.) erwähnt, hat der Gesetzgeber diese Rechtslage für den Anwendungsbereich der hier fraglichen Materie des Finanzmarktaufsichtsrechts einer Änderung zugeführt. Seit 03.01.2018 sieht dazu § 22 Abs. 8 FMABG vor:

"Wenn durch eine Tat oder durch mehrere selbständige Taten mehrere Verwaltungsübertretungen gemäß einem oder mehreren der in § 2 genannten Bundesgesetze begangen wurden oder fällt eine Tat unter mehrere einander nicht ausschließende Strafdrohungen, so ist eine einzige Verwaltungsstrafe zu verhängen. Diese Verwaltungsstrafe ist jeweils nach der Strafdrohung zu bestimmen, die die höchste Strafe androht."

Eine Änderung gegenüber den im VStG verankerten Normen (insb. § 22 Abs. 2 VStG) erfolgte daher insofern, als im Anwendungsbereich der in § 22 Abs. 8 iVm. § 2 FMABG genannten Materiengesetze nunmehr auch im Fall "selbständiger Taten" "eine einzige Verwaltungsstrafe" zu verhängen ist.

Für die Verhängung einer solchen "einzigen" Verwaltungsstrafe für mehrere Verwaltungsübertretungen sieht der Gesetzgeber in § 22 Abs. 9 FMABG nunmehr vor:

"(10) Ein Erschwerungsgrund für die Zumessung der Strafe ist es, wenn mehrere Verwaltungsübertretungen derselben oder verschiedener Art begangen worden sind.

Gemäß § 22 Abs. 8 letzter Satz FMABG gilt als gesetzlich zur Verfügung stehender Strafrahmen die Strafdrohung, die die höchste Strafe androht. Zur Anwendung kommt daher der bereits in § 99d Abs. 3 BWG vorgesehene (zum Zeitpunkt der Erlassung des angefochtenen Straferkenntnisses auf sämtliche Spruchpunkte anwendbare) Strafrahmen von "bis zu 10 vH des jährlichen Gesamtnettoumsatzes", der auch in § 35 Abs. 3 erster Satz zweiter Fall FM-GwG angedroht ist. Dieser Strafrahmen des § 35 Abs. 3 erster Satz zweiter Fall FM-GwG ist anwendbar, weil es sich im Sinne von § 34 Abs. 2 leg.cit. bei den hier (jedenfalls in den Spruchpunkten 2., 4., 5.) festzustellenden Pflichtverletzungen "gemäß § 34 Abs. 1 Z 2, 4, 7, 9 und 10" FM-GwG um (zumindest) "wiederholte" Verstöße handelte.

Das Verwaltungsgericht hat auf Grund der Sach- und Rechtslage zu entscheiden, die ihm zum Zeitpunkt seiner eigenen Entscheidung vorliegt (das Vorliegen eines Ausnahmefalls, wie zB im Zusammenhang zeitraumbezogener Regelungen, ist hier nicht ersichtlich). Einschränkungen erfährt dieser Grundsatz insofern, als gemäß § 1 Abs. 2 VStG nur aufgrund der zum Tatzeitpunkt geltenden Strafnormen entschieden werden darf und zwischenzeitige Vergünstigungen der Rechtslage zu Gunsten des Beschuldigten wirken (§ 1 Abs. 2 VStG, Art. 7 EMRK), und dadurch, dass auf Grund einer vom Beschuldigten oder auf Grund einer zu seinen Gunsten erhobenen Beschwerde in einem Erkenntnis keine höhere Strafe verhängt werden darf als im angefochtenen Bescheid (§ 42 VwGVG).

Diesen Erfordernissen hat das Bundesverwaltungsgericht im vorliegenden Erkenntnis Rechnung zu tragen. Dass die im Straferkenntnis für einzelne Spruchpunkte (Verwaltungsübertretungen) ausgesprochenen Verwaltungsstrafen jeweils gesondert festgesetzt wurden, hindert nicht eine Abänderung im Rechtsmittelstadium durch Strafneufestsetzung in Form einer "einzigen Verwaltungsstrafe" (also einer Gesamtstrafe). Dies ergibt sich bereits durch einen Größenschluss aus der - in vergleichbarem Zusammenhang ergangenen - bisherigen Judikatur des Verwaltungsgerichtshofes, die es zulässt, wenn die Rechtsmittelinstanz eine unzutreffende Verhängung von Einzelstrafen in eine gesetzlich gebotene Gesamtstrafe umwandelt:

Nach der Judikatur ist "die zusammenfassende Vereinigung von - verwaltungsbehördlich fälschlich angenommenen - Einzelstrafen zu einer (herabgesetzten) Gesamtstrafe" zulässig (VwGH 19.05.2009, 2007/10/0184) oder auch die richtige Erfassung des Tatgeschehens nicht in Form mehrerer Einzelakte, sondern als fortgesetztes Delikt (VwGH 19.03.2001, 98/17/0010; zu beidem s. Lewisch in Lewisch/Fister/Weilguni VStG2 § 42 VwGVG Rz 7). Die Rechtsprechung geht in diesen Konstellationen davon aus, dass es keinen Verstoß gegen das Verbot der reformatio in peius (§ 42 VwGVG, vormals § 51 Abs. 4 VStG) und auch keine Sachüberschreitung darstellt, wenn die Rechtsmittelbehörde das gesamte, dem Beschuldigten im Straferkenntnis angelastete Verhalten ihrerseits als strafbar erkennt und lediglich die rechtliche Subsumtion dahingehend ändert, dass anstelle von mehreren Verwaltungsübertretungen eine Verwaltungsübertretung angenommen wird "wenn die verhängte Strafe nicht höher ist als die Summe der von der ersten Instanz insgesamt verhängten Strafen" (vgl. VwGH 08.10.1992, 90/19/0521 mit Hinweis auf das Erkenntnis VwSlg. 7771 A/1970).

Unter Beachtung dieser Grenze, nämlich dass "die verhängte Strafe nicht höher ist als die Summe der von der ersten Instanz insgesamt verhängten Strafen", hat das Bundesverwaltungsgericht daher im vorliegenden Straferkenntnis eine einheitliche Verwaltungsstrafe festzusetzen (vgl. dazu bereits BVwG 22.06.2018, W107 2151963-1). Im angefochtenen Straferkenntnis wurden 19 gesonderte Geldstrafen verhängt (6 mal € 124.000,-, 10 mal € 12.000,- und 3 mal € 1.000,-). Die sich aus der Summe der im angefochtenen Straferkenntnis verhängten Strafen ergebende Obergrenze beläuft sich vorliegendenfalls auf € 867.000,-.

§ 38 FM-GwG lautet:

"Wirksame Ahndung von Pflichtverletzungen

§ 38. Bei der Festsetzung einer Aufsichtsmaßnahme gemäß § 31 Abs. 3 oder der Verhängung einer Geldstrafe gemäß § 34 oder § 35 hat die FMA alle maßgeblichen Umstände zu berücksichtigen, darunter gegebenenfalls

1. die Schwere und Dauer der Pflichtverletzung,

2. den Verschuldensgrad der verantwortlich gemachten natürlichen oder juristischen Person,

3. die Finanzkraft der verantwortlich gemachten natürlichen oder juristischen Person, wie sie sich beispielsweise aus dem Gesamtumsatz der verantwortlich gemachten juristischen Person oder den Jahreseinkünften der verantwortlich gemachten natürlichen Person ableiten lässt,

4. die von der verantwortlich gemachten natürlichen oder juristischen Person durch die Pflichtverletzung erzielten Gewinne, sofern sich diese beziffern lassen,

5. die Verluste, die Dritten durch die Pflichtverletzung entstanden sind, sofern sich diese beziffern lassen,

6. der Bereitwilligkeit der verantwortlich gemachten natürlichen oder juristischen Person, mit der zuständigen Behörde zusammenzuarbeiten und

7. frühere Pflichtverletzungen der verantwortlich gemachten natürlichen oder juristischen Person.

Die Bestimmungen des VStG bleiben durch diesen Absatz unberührt."

Die belangte Behörde hat diese Kriterien im angefochtenen Straferkenntnis grundsätzlich zutreffend angewendet, die Prämissen dieser Beurteilung sind auch zum nunmehrigen Entscheidungszeitpunkt im Wesentlichen unverändert und die beschwerdeführende Gesellschaft hat der Gewichtung der von der Behörde dabei herangezogenen Parameter nichts entgegengesetzt.Bei der Strafbemessung ist noch Folgendes zu beachten:

Grundlage für die Bemessung der Strafe sind die Bedeutung des strafrechtlich geschützten Rechtsgutes und die Intensität seiner Beeinträchtigung durch die Tat (§ 19 Abs. 1 VStG).

Bei Verhängung der "einzigen Verwaltungsstrafe" ist zwar gem. § 22 Abs. 8 FMABG bei der Strafbemessung die Verwaltungsstrafe jeweils nach der Strafdrohung zu bestimmen, die die höchste Strafe androht. Hier ist also die Strafdrohung heranzuziehen, die einen Strafrahmen von 10% des letzten festgestellten Gesamtumsatzes der beschwerdeführenden Gesellschaft abstellt. Dieser Betrag lag im Zeitpunkt der Erlassung des Straferkenntnisses bei (pro Verstoß) €

3.135.494,83 (10 % des festgestellten Gesamtnettoumsatzes der Konzernmutter für 2015) und liegt nunmehr bei € 3.076.725,17 (10 % des letzten festgestellten Gesamtnettoumsatzes der Konzernmutter, also jenes für 2017). Dass das Günstigkeitsprinzip des § 1 Abs. 2 VStG nicht dazu führt, dass die zwischenzeitig niedrigere Umsatzzahl des Jahres 2016 als Bemessungsgrundlage heranzuziehen ist, wurde bereits unter Punkt II.3.3.7. ausgeführt.

Allerdings ist zu beachten, dass - anders als zum Tatzeitpunkt - nicht sämtliche der hier inkriminierten Verwaltungsübertretungen mit der hier in Betracht kommenden höchsten Strafdrohung von 10 % des festgestellten Gesamtnettoumsatzes bedroht sind, sondern nur noch die in den Spruchpunkten 2., 4., 5. und 6. des angefochtenen Straferkenntnisses festgestellten Pflichtverletzungen. Alle übrigen der hier festgestellten Verwaltungsübertretungen (Spruchpunkte 1., 3., 7., 8., 9. und 10.) unterliegen - wie dargestellt - seit 01.01.2017 dem Strafhöchstrahmen von 150.000 Euro, sohin einer im Sinne von § 1 Abs. 2 VStG zwischenzeitig günstigeren Strafdrohung.

Gegenüber der Rechtslage zum Zeitpunkt der Erlassung des angefochtenen Straferkenntnisses wurde die Obergrenze des Strafrahmens der hier in Frage kommenden Delikte für einen Teil der Spruchpunkte somit empfindlich reduziert. Dies wirkt sich zwar nicht auf die Höhe der im Straferkenntnis verhängten Strafe (Strafsumme) als absolute Obergrenze für Zwecke der Beachtung des verfahrensrechtlichen Verschlechterungsverbots nach § 42 VwGVG aus und auch nicht auf die bei Festsetzung der "einheitlichen Verwaltungsstrafe" nach § 22 Abs. 8 FMABG im vorliegenden Fall relevante "Strafdrohung, die die höchste Strafe androht", hat jedoch Konsequenzen auf Ebene der Bewertung der durch diese Verwaltungsübertretungen jeweils zu berücksichtigenden "Bedeutung des strafrechtlich geschützten Rechtsgutes" (§ 19 Abs. 1 VStG) und hat daher entsprechend in die Strafbemessung des Bundesverwaltungsgerichtes einzufließen.

Die belangte Behörde ist bei den mit den Spruchpunkten 1., 3., 7., 8., 9. und 10. inkriminierten Pflichtverletzungen (die von ihr als "Systemmängel" bezeichnet wurden) von einer grundsätzlichen Angemessenheit der Ausschöpfung des (damals geltenden) Strafrahmens zu 5 % ausgegangen (und verhängte jeweils eine Geldstrafe von € 124.000). Dies entspräche bei linearer Übertragung auf den nunmehr dafür anwendbaren Strafrahmen (150.000) einem Betrag von jeweils

7.500.

Diese lineare Übertragung ist freilich nicht adäquat, weil sie die im Rahmen der Bemessung einer "einzigen" Verwaltungsstrafe nach § 22 Abs. 9 FMABG gebotene erschwerende Berücksichtigung des Zusammentreffens "mehrere Verwaltungsübertretungen derselben oder verschiedener Art" vernachlässigt. Das Bundesverwaltungsgericht ist auch nicht der Auffassung, dass die erschwerende Berücksichtigung in der Form zu erfolgen hat, dass der Erschwerungsgrund in der Form zur Anwendung kommt, dass eine simple Addition der einzelnen Strafsummen (oder Addition der Prozente des Strafrahmens) vorzunehmen wäre, die im Fall einer gesonderten Verhängung von Einzelstrafen für jeden einzelnen Plichtverstoß zu verhängen wären.

Dessen ungeachtet ist nicht nur die Anzahl der hier zusammentreffenden Pflichtverletzungen im gegebenen Zusammenhang gravierend, sondern auch die Bedeutung des durch die verletzten Normen geschützten Rechtsguts der Prävention von Terrorismusfinanzierung und Geldwäsche beachtlich. Dabei ist zu berücksichtigen, dass - wie bereits in den Ausführungen zur subjektiven Zurechenbarkeit ausgeführt wurde - die Normen über die Risikoanalyse und Verfahren und Strategien bzw. interne Organisation in diesem Zusammenhang als Steuerungs- und Kontrollvoraussetzungen auch mit Blick auf die konkrete Einhaltung der Regelungen in Einzelkundenbeziehungen besonders relevant sind.

Auch bei der Betrachtung der weiteren Pflichtverletzungen, nämlich der Verstöße auf Einzelkundenebene (für diese zog die belangte Behörde - mit Abweichungen bei einzelnen Spruchpunkten - jeweils 0,5 % des Strafrahmens heran) fällt die Häufung von Pflichtverletzungen auf und ist daher vom Bundesverwaltungsgericht unter Anwendung von § 22 Abs. 9 FMABG erschwerend in Anschlag zu bringen. Dazu kommt, dass es sich insgesamt um eine Häufung von Verstößen gegen auf gleichartige Schutzzwecke abzielende Bestimmungen und damit einschlägige Verstöße handelt, die ein Gesamtbild mangelnder Sorgfalt im einschlägigen Bereich zeichnet.

Mildernd ist freilich die vor den inkriminierten Tatzeiträumen (dh. vor 1.1.2014) festzustellende Unbescholtenheit der beschwerdeführenden Gesellschaft zu berücksichtigen.

Unter Berücksichtigung aller für die Strafbemessung im vorliegenden Fall relevanten Umstände (einschließlich der - nach § 19 VStG zu berücksichtigenden - inzwischen herabgesetzten Strafdrohung für die Übertretungen nach Spruchpunkten 1., 3., 7., 8., 9. und 10. gemäß der Nummerierung des Straferkenntnisses) gelangt das Bundesverwaltungsgericht zu dem Ergebnis, dass eine Geldstrafe von €

500.000,- schuld- und tatangemessen ist.

Entsprechend der neu festgesetzten (in Summe reduzierten) Strafhöhe war der mit 10 % der verhängten Strafe bemessene Kostenbeitrag zum Verfahren vor der Verwaltungsbehörde anzupassen (§ 64 Abs. 2 VStG; Spruchpunkt A.III. des vorliegenden Erkenntnisses) und hatte eine Vorschreibung eines Verfahrenskostenbeitrags für das verwaltungsgerichtliche Verfahren zu unterbleiben (§ 52 Abs. 8 VwGVG).

Zu B) Zulässigkeit der Revision:

Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig, weil die Entscheidung von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. Die Normen über die Strafbarkeit der juristischen Person und die Festsetzung einer einheitlichen Verwaltungsstrafe sind neu und es existiert daher auch keine Rechtsprechung des Verwaltungsgerichtshofes.

Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)

BVwG W230 2138107-1

Inhalt

Spruch:

Stichworte