BVwG W276 2219786-1

Spruch:

W276 2219786-1/15E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht erkennt durch den Richter Dr. Gert WALLISCH als Vorsitzender und die Richterin Dr. Sibyll BÖCK und den Richter VizePräs Dr. Michael SACHS als Beisitzer über die Beschwerde der XXXX , vertreten durch RA Mag. Okan Ersoy, Karlsplatz 3, A-1010 Wien, gegen das Straferkenntnis der Finanzmarktaufsichtsbehörde vom 10.04.2019 zu XXXX , nach Durchführung einer mündlichen Verhandlung am 16.10.2019 und am 16.01.2020 zu Recht:

A)

I. Die Beschwerde wird abgewiesen.

II. Die Strafnorm lautet § 35 Abs. 3 erster Strafsatz FM-GwG, BGBl. I Nr. 118/201 iVm § 34 Abs. 1 Z 8 FM-GwG, BGBl. I Nr. 118/2016

III. Die beschwerdeführende Partei hat gemäß § 52 Abs. 2 VwGVG einen Kostenbeitrag in Höhe von EUR 11.200,-- zu den Kosten des verwaltungsgerichtlichen Verfahrens zu leisten.

IV: Der Beitrag zu den Kosten des Verfahrens bei der belangten Behörde beträgt EUR 5.600.

B)

Die Revision ist gemäß Art. 133 Abs. 4 B-VG unzulässig.

ENTSCHEIDUNGSGRÜNDE:

I. Verfahrensgang:

1. Das gegenständlich angefochtene Straferkenntnis der Finanzmarktaufsicht (belangte Behörde, kurz "belBeh" oder "FMA") vom 10.04.2019 zu XXXX wendet sich gegen die XXXX als Beschuldigte (beschwerdeführende Partei, kurz "bfP"). Der Spruch dieses Straferkenntnisses lautet wie folgt:

"Die XXXX ein konzessioniertes Kreditinstitut mit Geschäftsanschrift XXXX , hat als juristische Person folgenden Verstoß zu verantworten:

Die XXXX verfügte im Zeitraum 12.11.2015 (Ende der Vor-Ort-Prüfung) bis 29.11.2017 (Implementierung IT-Tool XXXX ) über keine in einem angemessenen Verhältnis zu Art und Größe des Instituts stehenden Strategien, Kontrollen und Verfahren zur kontinuierliche Überwachung der Geschäftsbeziehungen, einschließlich einer Überprüfung der im Verlauf der Geschäftsbeziehungen ausgeführten Transaktionen, um sicherzustellen, dass diese mit den Kenntnissen des Instituts über den Kunden, seine Geschäftstätigkeit und sein Risikoprofil, einschließlich erforderlichenfalls der Herkunft der Mittel, übereinstimmen.

Die XXXX hätte aufgrund der Größe, Kundenanzahl und Kundenstruktur angemessene und risikobasierte Prozesse und Verfahren zur kontinuierlichen Überwachung einrichten müssen, damit im Hinblick auf das von der Bank betriebene Geschäftsmodell untypische bzw. ungewöhnliche Transaktionen oder Transaktionsmuster von Kunden erkannt werden, Inkohärenzen der abgewickelten Transaktionen zu den der XXXX vorliegenden KYC-Informationen auffallen bzw. dass Transaktionen und Kunden, von denen ein potentiell höheres Risiko ausgeht, anhand von geeigneten Indizien einschließlich differenziert ausgestalteter Schwellenwerte, kurzen Zeitintervallen, etc. überwacht werden und Treffer zeitnah abgearbeitet werden.

Zur Sicherstellung einer - dem Geschäftsmodell und Größe des Institutes - ausgerichteten Anwendung der kontinuierlichen Überwachung von Transaktionen und Geschäftsbeziehungen wäre seitens der XXXX sicherzustellen gewesen, dass Transaktionen und Transaktionsmuster, die nach objektiven Kriterien im Hinblick auf Geldwäscherei oder Terrorismusfinanzierung relevant sind, zeitnah erkannt werden.

Dazu gehören zum Beispiel:

- die kumulierte Weiterleitung von kleineren Beträgen, die zuvor auf dem Konto gesammelt wurden ("Smurfing");

- wiederholte Bartransaktionen (unabhängig von der Betragshöhe);

- Zahlungsausgänge, die besonders zeitnah zu Zahlungseingängen getätigt werden, ("Durchlaufkonten");

- erheblicher Anstieg von Transaktionsvolumina;

Erst mit Implementierung des IT-Systems XXXX (Inbetriebnahme erfolgte am 29.11.2017) verfügte die XXXX über ein angemessenes System zur automatisierten Überwachung von Transaktionen mittels hinterlegter risikobasierter Indizien- und Schwellenwerte zur Erkennung von bestimmten Zahlungsmustern bzw. Abweichungen vom dem KYC-Profil entsprechende Transaktionsmuster (z.B. bzgl. Höhe und Häufigkeit der Zahlungen).

Die Verantwortlichkeit der XXXX ergibt sich folgendermaßen: Die zur Vertretung nach außen berufenen, unten angeführten Mitglieder des Vorstandes der XXXX (ON 06) haben selbst während der unten angeführten Zeit jeweils gegen die oben angeführten Verpflichtungen verstoßen beziehungsweise durch mangelnde Überwachung oder Kontrolle die Begehung der angeführten Verstöße durch eine für die XXXX tätige Person ermöglicht. Dies wird der XXXX jeweils zugerechnet.

XXXX , von 28.02.2017 bis 29.11.2017;

XXXX , von 12.11.2015 bis 10.02.2016;

XXXX , von 12.11.2015 bis 22.03.2017;

XXXX , von 12.11.2015 bis 22.03.2017;

XXXX , von 01.07.2016 bis 29.11.2017;

XXXX , von 20.02.2017 bis 29.11.2017

XXXX , von 20.10.2017 bis 29.11.2017

Sie haben dadurch folgende Rechtsvorschriften verletzt:

§ 23 Abs. 1 Z 3 FM-GwG, BGBl. I Nr. 118/2016 iVm § 6 Abs. 1 Z 6 FM-GwG, BGBl. I Nr. 118/2016 iVm § 35 Abs. 3 erster Strafsatz FM-GwG, BGBl. I Nr. 118/2016 iVm § 34 Abs. 1 Z 8 FM-GwG, BGBl. I Nr. 118/2016

Wegen dieser Verwaltungsübertretungen wird über Sie folgende Strafe verhängt:

​

Ferner haben Sie gemäß § 64 des Verwaltungsstrafgesetzes (VStG) zu zahlen:

* 5.600 Euro als Beitrag zu den Kosten des Strafverfahrens, das sind 10% der Strafe, mindestens jedoch 10 Euro (ein Tag Freiheitsstrafe gleich 100 Euro);

* 0 Euro als Ersatz der Barauslagen für -.

Der zu zahlende Gesamtbetrag (Strafe/Kosten/Barauslagen) beträgt daher

XXXX -"

2. Die Aufforderung zur Rechtfertigung erging am 19.11.2018. Dieser Aufforderung kam die bfP, vertreten durch ihren gewillkürten Vertreter, mit Eingabe vom 25.01.2019 nach.

3. Das gegenständliche Straferkenntnis mit dem oben angeführten Spruch datiert vom 10.04.2019.

4. Gegen dieses Straferkenntnis, zugestellt am 24.04.2019, erhob die bfP fristgerecht Beschwerde am 20.05.2019, der belBeh zugestellt am 21.05.2019.

5. Die belBeh übermittelte dem BVwG die Beschwerde samt Verfahrensakt mit Schreiben vom 04.06.2019, beim BVwG eingelangt am 06.06.2019.

6. Am 16.10.2019 bzw am 16.01.2020 fand eine mündliche Verhandlung vor dem BVwG statt, in der die bfP, vertreten durch deren Vorstand bzw deren rechtlichen Vertreter, zwei Zeugen sowie die belBeh gehört wurden.

7. AM 29.10.2019 langte beim BVwG fristgerecht eine Urkundenvorlage ein, mit der die belBeh entsprechend dem in der mündlichen Verhandlung am 16.10.2019 erteilten gerichtlichen Auftrag folgende Dokumente vorlegte: XXXX (als Beilage ./6 zum Akt genommen), XXXX vom 04.04.2017 (als Beilage ./7 zum Akt genommen), E-Mail Korrespondenz XXXX -FMA (als Beilage ./8 zum Akt genommen).

8. Am 04.11.2019 langte beim BVwG fristgerecht eine Urkundenvorlage ein, mit der die bfP entsprechend dem in der mündlichen Verhandlung am 16.10.2019 erteilten gerichtlichen Auftrag folgende Dokumente vorlegte: Indizienliste (als Beilage ./9 zum Akt genommen), Umlaufbeschluss XXXX vom 08.06.2017 (als Beilage ./10 zum Akt genommen), Ergänzungen zum Kontrollplan (als Beilage ./11 zum Akt genommen), Sitzungsprotokoll vom 16.09.2017 (als Beilage ./12 zum Akt genommen).

9. Sämtlichen zur Vertretung der bfP im Tatzeitraum befugten Vertretern, konkret den Herren XXXX wurde mit Mitteilung vom 23.05.2019 zu XXXX die "Einstellung" des bis dahin jeweils gegen sie geführten Ermittlungsverfahrens mitgeteilt. Die belBeh begründete dies wie folgt: "Unter Hinweis auf das Erkenntnis des VwGH vom 29.03.2019, Ro 2018/02/0023, teilt Ihnen die FMA Folgendes mit: In Bezug auf die unter der GZ XXXX erhobenen Vorwürfe gegen die XXXX wegen des Verdachts der Verletzung von Sorgfaltspflichten zur Verhinderung von Geldwäscherei und Terrorismusfinanzierung (mangelhafte Maßnahmen zur kontinuierlichen Überwachung der Geschäftsbeziehungen) wird gegen sie als im Tatzeitraum Verantwortlicher gem § 9 VStG von einer Verfolgung abgesehen, da gemäß § 99 d Abs 5 BWG (nunmehr § 22 Abs 6 Z 2 FMABG) keine besonderen Umstände für die Bestrafung vorliegen."

II. Das Bundesverwaltungsgericht hat erwogen:

Beweis wurde erhoben durch Einsicht in den Verwaltungs- und den Gerichtsakt sowie durch Durchführung einer mündlichen Verhandlung am 16.10.2019 und am 16.01.2020.

1. Feststellungen:

1.1. Allgemeine Feststellungen

1.1.1 Das Transaktionsmonitoring in der bfP basierte bis zur Einführung des Systems XXXX am 29.11.2017 auf einem wenig differenzierten listenbasierten Excel-Arbeitsblatt, mit dem geldwäscherelevante Transaktionsmuster nicht erkannt werden konnten.

1.1.2 Die bfP verfügte im Zeitraum 12.11.2015 (Ende der Vor-Ort-Prüfung) bis 29.11.2017 (Implementierung IT-Tool XXXX ) über keine in einem angemessenen Verhältnis zu Art und Größe des Instituts stehenden Strategien, Kontrollen und Verfahren zur kontinuierlichen Überwachung der Geschäftsbeziehungen, einschließlich einer Überprüfung der im Verlauf der Geschäftsbeziehungen ausgeführten Transaktionen, um sicherzustellen, dass diese mit den Kenntnissen des Instituts über den Kunden, seine Geschäftstätigkeit und sein Risikoprofil, einschließlich erforderlichenfalls der Herkunft der Mittel, übereinstimmen.

Die bfP hat keine aufgrund der Größe, Kundenanzahl und Kundenstruktur angemessene und risikobasierte Prozesse und Verfahren zur kontinuierlichen Überwachung eingerichtet, damit im Hinblick auf das von der Bank betriebene Geschäftsmodell untypische bzw. ungewöhnliche Transaktionen oder Transaktionsmuster von Kunden erkannt werden, Inkohärenzen der abgewickelten Transaktionen zu den der bfP vorliegenden KYC-Informationen auffallen bzw. dass Transaktionen und Kunden, von denen ein potentiell höheres Risiko ausgeht, anhand von geeigneten Indizien einschließlich differenziert ausgestalteter Schwellenwerte, kurzen Zeitintervallen, etc. überwacht werden und Treffer zeitnah abgearbeitet werden können.

1.1.3 Die bfP hat keine ausreichenden Maßnahmen gesetzt, um sicherzustellen, dass ein am Geschäftsmodell und der Größe des Institutes ausgerichtetes System der kontinuierlichen Überwachung von Transaktionen und Geschäftsbeziehungen, mit der Transaktionen und Transaktionsmuster, die nach objektiven Kriterien im Hinblick auf Geldwäscherei oder Terrorismusfinanzierung relevant sind, eingerichtet wurde und auffällige Transaktionenen zeitnah erkannt werden können.

1.1.4 Erst mit Implementierung des IT-Systems XXXX (Inbetriebnahme erfolgte am 29.11.2017) verfügte die bfP über ein angemessenes System zur automatisierten Überwachung von Transaktionen mittels hinterlegter risikobasierter Indizien- und Schwellenwerte zur Erkennung bestimmter Zahlungsmuster bzw. von Abweichungen von dem KYC-Profil entsprechenden Transaktionsmustern (zB bzgl. Höhe und Häufigkeit der Zahlungen).

1.2. Zur beschwerdeführenden Partei

Die bfP ist in Österreich unter der XXXX im Firmenbuch des Handelsgerichts Wien, mit der Geschäftsanschrift XXXX , mit einem Grundkapital von XXXX eingetragen (Firmenbuchauszug am 14.01.2020, Beilage ./1).

Die Aktionärsstruktur der XXXX stellt sich aktuell wie folgt dar:

Die bfP befindet sich zu 90% im Eigentum der XXXX ., die an der XXXX Börse unter XXXX notiert. Zum 14.01.2020 lag der Kurs bei rund XXXX . Zu 10% steht die bfP im Eigentum des XXXX (Auszug Geschäftsbericht 2018 der bfP, Beilage ./2; VOP Bericht ON 1, S. 5).

Per 30.09.2015 hatte die bfP ca. XXXX Kunden (davon XXXX ). XXXX der Gesamtkunden waren natürliche Personen. Die Anzahl der Kunden der bfP reduzierte sich in den Folgejahren wegen eines Programms zur Reduktion der Einlagekosten und aufgrund mehrfacher Zinssenkungen, um das Niveau der von der bfP angebotenen Zinsen an das allgemein niedrigere Zinsniveau anzupassen.

Die Abteilung "Compliance/AML" unterliegt der Verantwortung des Gesamtvorstandes.

Im Jahr 2018 betrug die Bilanzsumme XXXX . Das Ergebnis der gewöhnlichen Geschäftstätigkeit (EGT) betrug XXXX ., im Vorjahr betrug es XXXX . Zum Zeitpunkt der VOP waren XXXX , derzeit sind XXXX Mitarbeiter bei der bfP beschäftigt.

1.3. Zum VOP-Bericht der belangten Behörde (ON 1)

1.3.1 Im Zeitraum von 02.11.2015 bis 12.11.2015 führte die belBeh bei der bfP eine Vor-Ort-Prüfung ("VOP") gemäß § 3 Abs. 9 BWG durch, um die implementierten Systeme und Kontrolleinrichtungen zur Bekämpfung der Geldwäscherei und Terrorismusfinanzierung im Sinne der §§ 40 bis 41 BWG zu überprüfen. (ON 1 S. 1).

1.3.2 Die belBeh traf im VOP-Bericht (ON 1) folgende aufsichtsrechtliche Feststellungen:

​

Die belBeh hielt ua folgenden Verdacht einer Normverletzung fest:

"Verdacht auf Verletzung von § 41 Abs. 4 Z 1 BWG iVm § 40 Abs. 2a Z 3 BWG: Es ist nicht gewährleistet, dass in der XXXX risikobasierte und angemessene Maßnahmen zur kontinuierlichen Überwachung der Geschäftsbeziehungen ergriffen werden, da lediglich ein listenbasiertes Transaktionsmonitoring ohne Indizienmodell erfolgt (Rz 38 ff, 41)."

1.3.3 Zum Geldwäschebeauftragten der beschwerdeführenden Partei

Der Geldwäschebeauftragte ("GWB") der bfP war von Oktober 2004 bis Mai 2016 XXXX und von Mai 2016 bis April 2019 XXXX , BA. Der GWB sowie sein Stellvertreter sind organisatorisch der Abteilung "Compliance/AML" zugeordnet und ist dem Gesamtvorstand unterstellt.

Zusätzlich dazu nehmen bei der bfP weitere Mitarbeiter aus verschiedenen Bereichen wie "Schaltergeschäfte", "Kundenbetreuung von Termingeldeinlagen", "Embargo und Sanktionsprüfungen" sowie aus der Abteilung "Kredite" Aufgaben im Bereich der Prävention von Geldwäscherei und Terrorismusfinanzierung wahr, wie beispielsweise Kontrollen im Hinblick auf die Vollständigkeit und Plausibilität von Antragsunterlagen.

Das Aufgabengebiet bzw die Befugnisse des GWB umfassen:

- Prüfungsbefugnis;

- Auskunftsbefugnis;

- Vorlagebefugnis;

- Einschaubefugnis;

- Befugnis zum Stopp von Transaktionen;

- Befugnis zur raschen Klärung von verdächtigen und besonders bedenklichen Transaktionen mit dem Vorstand.

Quartalsmäßig erfolgte durch den GWB eine schriftliche Berichterstattung an den Gesamtvorstand. Die Berichte enthalten ua die Prüfungsergebnisse zu den Bereichen "Laufende Überwachung der Transaktionen mittels EDV-Programm " XXXX ", "Warnmitteilungen des VOeBB", "Einhaltung der Identifizierungspflichten", "Monatliche Kontobewegungen", "Monatliche Auslandsüberweisungen", "Monitoring-Kunden", "Erhaltene bankinterne Verdachtsmeldungen", "Verdachtsanzeigen", und "PEP-Kunden".

Die bfP hat betreffend die Beurteilung der fachlichen Eignung der Inhaber von Schlüsselfunktionen eine "Fit & Proper Policy" erlassen, die ua folgendes umfasst:

- gesetzliche Grundlagen;

- die Strategie und Kriterien für die Auswahl von Vorständen, Aufsichtsräten und Inhabern von Schlüsselpositionen;

- die Festlegung des Prozesses und der Verantwortlichkeiten für die Durchführung von Eignungsbeurteilungen von Vorständen, Aufsichtsräten und von Inhabern von Schlüsselpositionen, sowie

- die Strategie für die Sicherstellung der Eignung von Vorständen, Aufsichtsräten und von Inhabern von Schlüsselpositionen beinhaltet und im Zuge der Vor-Ort-Prüfung eingesehen wurde.

1.3.4 Zur Risikoanalyse der beschwerdeführenden Partei gem § 40 Abs 2b BWG

Die bfP verfügt über eine Risikoanalyse ("Manual für Gefährdungsanalyse Österreich", Stand: Oktober 2015). Die statistischen Auswertungen in Bezug auf die Risikoanalyse werden durch den GWB der bfP auf jährlicher Basis aktualisiert. Die bfP hat in ihrer Risikoanalyse auf Gesamtbankebene unternehmens-, produkt- und kundenbezogene Risikokategorien analysiert und ihre Geschäftsbeziehungen mittels verschiedener Risikokriterien in drei Risikoklassen ("gering", "normal" und "hoch") eingestuft. Auf Basis der durchgeführten Risikoanalyse und der darin gemachten Auswertungen und Darstellungen wurde im Ergebnis festgestellt, dass die bfP einem "normalen" Risiko ausgesetzt ist, für Geldwäscherei und Terrorismusfinanzierung missbraucht zu werden.

Die Risikoanalyse der bfP gliedert sich in zwei Teile. Im ersten Teil werden zunächst institutsspezifische Grunddaten (zB Beschreibung der Geschäftsstrategie sowie der Geschäftsbereiche; Beschreibung der Risikokategorien sowie Prinzipien zur Verhinderung von Geldwäsche) erläutert. Im zweiten Teil der Risikoanalyse erfolgte zunächst eine Identifizierung und Klassifizierung einzelner Risikokriterien im Hinblick auf das "Unternehmensrisiko", "Produktrisiko" und das "Kundenrisiko". Darauf aufbauend wurde eine Risikomatrix erstellt. Abschließend erfolgt eine Gesamtbewertung des Risikos auf Unternehmens-, Produktrisiko- und Kundenrisikoebene, für Zwecke der Geldwäscherei und Terrorismusfinanzierung missbraucht zu werden. Des Weiteren befinden sich diverse Unterlagen im Anhang (zB Organigramm, Formular "Kundenerklärung Geldwäsche", "Kundenerklärung KYC/AML" etc.).

Im Rahmen des institutsindividuellen Risikoprofils wurden die institutsspezifischen Risiken identifiziert, analysiert und teilweise bewertet.

Das in § 40 Abs. 2b BWG vorgeschriebene Kriterium "Komplexität der Transaktionen" wurde im Rahmen der Risikoanalyse nicht analysiert.

Die Risikoklassifizierung von Neukunden erfolgte bei der bfP manuell durch den GWB jeweils am Monatsende. Sofern es sich um einen Kunden mit PEP-Bezug handelt, wurde dieser bereits im Zuge der Kundenanlage in das höchste Risiko klassifiziert. Das Vorliegen folgender Kriterien führte zur Klassifizierung eines Kunden in die Risikokategorie "hoch":

- "PEP"-Kunden, Kunden mit Bezug zu PEP

- Kunden, die das Produkt "Termingeld" abschließen

- Domizil in einer "Offshore"-Destination

- "GTV-Bezug"

Sofern ein Kunde der bfP keines dieser Kriterien erfüllt, wurde er in die Risikoklasse "normal" eingestuft. Die Risikoklasse "gering" fand in der Praxis keine Anwendung. Das Risikokriterium "Länderrisiko" wurde bei der Risikoklassifizierung auf Kundenebene nicht miteinbezogen, da nur Länder der GTV oder Offshore-Länder im Zuge der Risikoklassifizierung als risikoerhöhend betrachtet wurden. Weiters fanden zB Hochrisikobranchen, genutzte Produkte der Kunden etc. keinen Einfluss auf die Kundenklassifizierung.

Die Risikoklasse der Kunden wurde nicht im System "KMS" festgehalten, sondern die Dokumentation erfolgte auf einer Excel-Liste, die auf einem zentralen Laufwerk der bfP lag und vom GWB gewartet wurde. Kunden, die im Risiko "hoch" geführt werden, wurden in dieser Excel-Liste entsprechend gekennzeichnet, Kunden im Risiko "normal" wiesen keine Kennzeichnung auf.

Änderungen in den Kundenstammdaten wurden am Ende jeden Monats vom GWB durch Erstellung einer auf Excel basierenden Auswertung ("KMS-Änderungsdokumentationsliste") überprüft. Die Risikoklasse eines Kunden wurde aktualisiert, wenn es zu Änderungen kam (zB ein Wohnsitzwechsel in ein Hochrisikoland).

1.3.5 Zum IT-System der beschwerdeführenden Partei

Die gesamte IT-Infrastruktur der bfP wird im Rahmen eines Auslagerungsvertrages durch das XXXX betreut.

Die im Zeitraum 12.11.2015 bis 29.11.2017 bei der bfP implementierten Teile des Systems " XXXX " wurden zur Ex-ante-Prüfung von Transaktionen im Auslandszahlungsverkehr sowie zum Abgleich der Kundennamen mit PEP- und Sanktionslisten im Zuge der Überwachung von Geschäftsbeziehungen verwendet.

Das Kundenmanagementsystem ("KMS") diente der bfP zur Verwaltung der Kundenstammdaten (zB. Name, Adresse, Staatsbürgerschaft, Legitimationsdaten etc.). In diesem System wurden bei bestehenden Kunden sämtliche Änderungen dieser Daten durchgeführt. Eine allfällige PEP Eigenschaft war in diesem System abgebildet, sofern bei der Kundenneuanlage der PEP-Status erkannt worden war. Eine nachträgliche Kennzeichnung als PEP war im KMS nicht möglich.

1.3.6 Zum Transaktionsmonitoring der bfP vor Einführung des Systems XXXX am 29.11.2017

Zum Zeitpunkt der Vor-Ort-Prüfung bestand kein automatisiertes Ex-post Transaktionsmonitoring bei der bfP. Das Transaktionsmonitoring basierte vor Einführung des Systems NORCOM am 29.11.2017 auf manuell geführten Excel-Listen, die auf verschiedenen Kontrollhandlungen des GWB aufbauten:

- Täglich:

- Transaktionsliste "Tagesaktueller Überblick über sämtliche des Vortages getätigten Umsätze der Bank". Diese Liste umfasste sowohl Inlands- und Auslandstransaktionen als auch sämtliche Bartransaktionen, die in der bfP am Vortag durchgeführt wurden.

- Monatlich:

- Transaktionsliste "Überprüfung der monatlichen Umsätze auf den Girokonten der PEP-Kunden". Im Rahmen dieser Prüfung erfolgte eine Kontrolle aller auf Konten von PEP-Kunden getätigten Transaktionen im Hinblick auf Kohärenz mit den vorliegenden KYC-Informationen.

- Transaktionsliste "Überprüfung der monatlichen Umsätze auf den Termingeldkonten". Bei dieser Kontrolle wurden vom GWB drei bis fünf Stichproben von Transaktionen, die auf bzw. von Termingeldkonten getätigt wurden, gezogen und hinsichtlich atypischer Transaktionen wie zB vorzeitige Behebungen oder Auflösungen des Termingeldes, überprüft.

- Transaktionsliste "Überprüfung der monatlichen Umsätze auf den Konten für Offshore-Kunden". Mit dieser Liste prüfte der GWB die Plausibilität stattgefundener Transaktionen.

- Transaktionsliste "Monatliche Kontobewegungen der Girokonten (Offshore-Kunden)".

- Quartalsweise:

- Transaktionsliste "Überprüfung der monatlichen Umsätze auf den Girokonten". Durch diese Liste erfolgte eine Auswertung der Summe von Soll- und Habenbuchungen, die innerhalb eines Monats auf Girokonten getätigt wurden. Anhand dieser Transaktionsliste werden durch den GWB Auffälligkeiten im Transaktionsverhalten der Kunden überprüft.

- Transaktionsliste "Überprüfung aller getätigten Auslandszahlungen". Diese Auswertung umfasste sowohl bare als auch unbare Transaktionen auf Girokonten bzw. Termingeldkonten, aus denen der GWB Stichproben zog, diese überprüft und die Kontrolle dokumentierte.

Aus diesen Transaktionslisten wurden vom GWB Stichproben gezogen, deren Anzahl nicht festgelegt war. Die Ziehung der Stichproben erfolgte vielmehr risikobasiert.

Zusätzlich zu den genannten Überprüfungen führte die Abteilung "Backoffice/Operations" tägliche Kontrollen von aus dem System " XXXX " generierten Treffern durch. Diese Abteilung führte monatliche bzw. bei erfolgten Transaktionen (anlassbezogen) Überprüfungen der Umsätze auf Girokonten von Offshore Unternehmen durch.

1.3.7 Manuelle Maßnahmen - Internes Kontrollsystem vor Einführung des Systems XXXX am 29.11.2017

Bei der bfP waren weitere manuelle Kontrollen vorgesehen, die Folgendes umfassten:

- "Auffinden von PEP - Kunden" bei Neukundenanlage als auch bei Treffern durch das System " XXXX "

- "Bearbeitung der Kontoöffnungsbeschlüsse des Bankenverbandes"

- "Überprüfung der Kunden, die im gesonderten Monitoring geführt werden".

- "Überprüfung der Einhaltung der Identifizierungspflichten bei Neukunden und Kontenanlage aus den Bereichen Spar, Giro, Termingeld und Kredit".

Neben der Dateneingabe in das System "KMS" erfolgte bei juristischen Personen auch eine Überprüfung auf Vollständigkeit hinsichtlich der Feststellung und Überprüfung des wirtschaftlichen Eigentümers.

Weiters zog der GWB quartalsweise fünf bis sechs Stichproben aus getätigten Transaktionen und er überprüfte, ob Unterlagen zur Mittelherkunft vorhanden sind und Legitimationsdaten erfasst wurden.

Bartransaktionen wurden im Rahmen der Kontrollen mitüberprüft, eine Kontrolle ausschließlich im Hinblick auf Bartransaktionen war zum Zeitpunkt der VOP nicht vorgesehen. Weiters wurden Änderungen in den Kundenstammdaten am Ende jedes Monats vom GWB durch Erstellung einer auf Excel basierenden Auswertung überprüft.

1.3.8 Überprüfung der Mittelherkunft

Bei der bfP wurde bei Bartransaktionen ab EUR 15.000 die Mittelherkunft hinterfragt. Ab EUR 50.000 wurden Belege eingefordert und der Kunde hatte auf dem Kassaeinzahlungsbeleg die Mittelherkunft durch Untereschrift zu bestätigen.

Risikobasiert wurde auch bei Zahlungen unterhalb dieser Grenze ein Mittelherkunftsnachweis verlangt, wobei als Nachweise der Mittelherkunft zB Kontoauszüge von Fremdbanken und Sparbücher von Fremdbanken akzeptiert wurden.

1.3.9 Aktualisierung der Dokumente, Daten und Informationen

Bei Hochrisikokunden gab es unterschiedliche Intervalle bei der Aktualisierung von Dokumenten, Daten und Informationen:

Die Daten von PEP-Kunden wurden alle zwei Jahre überprüft. Bei Kunden mit Termingeldkonten, die ebenfalls im hohen Risiko geführt wurden, erfolgte eine Aktualisierung anlassbezogen, etwa bei einer Auszahlung vom oder bei der Auflösung des Kontos. Offshore Kunden wurden jährlich überprüft. Im Rahmen der jährlichen Bonitätsprüfung von juristischen Personen, die Kredite unterhalten, wurden etwaige Änderungen bei der wirtschaftlichen Eigentümerschaft überprüft und gegebenenfalls dokumentiert. Bei juristischen Personen, die ihren Sitz im Inland haben, wurden sämtliche Änderungen über das Firmenbuchsystem "Lustrum" gemeldet.

1.3.10 Regelwerke und Schulungen

Das zentrale Regelwerk der bfP zum Thema Prävention von Geldwäscherei und Terrorismusfinanzierung war die Dienstanweisung "Manual für Geldwäsche - Österreich". Weiters standen den Mitarbeitern diverse Dienstanweisungen ua hinsichtlich der Erfassung von Kundendaten sowie der Produktanlage zur Verfügung.

Grundsätzlich waren alle Mitarbeiter (mit Ausnahme von Boten und Mitarbeitern des Sekretariats) zur Absolvierung einer Schulung zum Thema Prävention von Geldwäscherei und Terrorismusfinanzierung verpflichtet, die jährlich entweder in Form einer Präsenzschulung oder einer Online-Schulung (inkl. Abschlusstest) zu absolvieren war. Die Präsenzschulungen wurden durch externe Berater abgehalten. Neu eingetretene Mitarbeiter wurden zudem innerhalb von rund vier bis sechs Wochen nach Eintritt in das Unternehmen im Rahmen der Online-Schulung geschult. Zusätzlich wurden neue Mitarbeiter anlassbezogen, je nach Berufserfahrung, vor Absolvierung der Online-Schulung persönlich durch den GWB geschult. Im Bedarfsfall wurden vom GWB Schwerpunktschulungen (zB "Verdachtsmomente erkennen") angeboten, die von den Mitarbeitern verpflichtend zu absolvieren waren.

1.3.11 Identifizierung gemäß § 40 Abs. 1 BWG

Die bfP überprüfte die Identität natürlicher Personen bzw. vertretungsbefugter Personen von juristischen Personen durch persönliche Vorlage von zur Identifizierung geeigneter amtlicher Lichtbildausweise. Ausländische Lichtbildausweise wurden von der bfP grundsätzlich nur akzeptiert, wenn diese den österreichischen amtlichen Lichtbildausweisen gleichzuhalten sind und folglich die gesetzlich normierten Merkmale enthielten. Bei Zweifeln an der Echtheit hatten die Mitarbeiter weitere Nachforschungen anzustellen.

Juristische Personen wurden grundsätzlich mittels aktueller Firmenbuch-/ Vereinsregisterauszüge bzw. beweiskräftiger landesüblicher Unterlagen, die nicht älter als sechs Wochen sein durften, identifiziert. Die zur Identifizierung von juristischen Personen notwendigen Angaben wie "Firma/Bezeichnung", "Registrierungsnummer" oder "Sitz" waren bei der Begründung einer Geschäftsbeziehung im Kernbankensystem entsprechend zu befüllen. Insoweit im Falle ausländischer juristischer Personen keine ausländischen Registerauszüge vorhanden waren bzw. waren die vorhandenen Registerauszüge weniger aussagekräftig als österreichische Registerauszüge, so konnten ersatzweise andere Nachweise (zB Steuerregistrierungsbestätigungen, etc.) herangezogen werden, die in Zusammenschau im Hinblick auf die Aussagekraft betreffend die aktuelle Existenz der juristischen Person zu beurteilen sind. Ausländische Urkunden waren im Original vorzulegen und wurden nur in deutscher, englischer oder XXXX Sprache akzeptiert. Bei Urkunden, die in einer anderen Sprache vorgelegt wurden, wurde zusätzlich eine notariell beglaubigte Übersetzung verlangt. Weiters war die Vertretungsbefugnis der gegenüber der bfP auftretenden natürlichen Personen anhand von beweiskräftigen Dokumenten (zB Firmenbuch, Satzung, etc.) zu bescheinigen.

1.3.12 Treuhandbeziehungen gemäß § 40 Abs. 2 BWG

Die bfP forderte ihre Kunden vor Begründung einer dauerhaften Geschäftsbeziehung aktiv auf, bekannt zu geben, ob diese die Geschäftsbeziehung auf eigene oder fremde Rechnung bzw. im fremden Auftrag betreiben wollen. Die Dokumentation dieser Abfrage erfolgt mittels "Tick-Box" auf dem jeweiligen Kontoeröffnungsformular. Zudem wurde auf dem Formular festgehalten, dass der Kunde diesbezügliche Änderungen während aufrechter Geschäftsbeziehung unverzüglich bekannt zu geben hat. Gab der Kunde bekannt, dass er die Geschäftsbeziehung oder die Transaktion auf fremde Rechnung bzw. im fremden Auftrag betreiben will, hatte er die Identität des Treugebers unaufgefordert bekanntzugeben und schriftlich zu bestätigen, dass er sich persönlich oder mittels verlässlicher Gewährspersonen von der Identität des Treugebers überzeugt hat. Das Vorliegen der Treuhandbeziehung war durch ein Vollmachtschreiben zwischen Treugeber und Treuhänder nachzuweisen.

Bei der Eröffnung von Termingeldkonten bestand die Möglichkeit, einen Antrag auf der Homepage mittels Online-Eingabehilfe oder mittels Ausfüllen eines Blankoformulars zu stellen, wobei die erstgenannte Variante auch bei Eröffnung eines Termingeldkontos am Schalter verwendet wurde. Bei der Eröffnung eines Termingeldkontos mittels Online-Eingabehilfe wurde der Kunde nicht aktiv aufgefordert anzugeben, ob die Geschäftsbeziehung auf eigene oder fremde Rechnung oder im fremden Auftrag betrieben wurde.

1.3.13 Wirtschaftlicher Eigentümer gemäß § 40 Abs. 2a Z 1 BWG

Die Feststellung des wirtschaftlichen Eigentümers erfolgte in der bfP durch Befragung der vertretungsbefugten Personen der juristischen Person. Die erhobenen Angaben waren im Kontoeröffnungsantrag im Abschnitt "Erklärung gem. § 40 Abs. 2a BWG und gem. FATCA für juristische Personen" festzuhalten, das vom Kunden zu unterfertigen war.

1.3.14 Politisch Exponierte Personen (PEP)

Sämtliche Kunden sowie Personen mit Bezug zur Geschäftsbeziehung (zB wirtschaftlicher Eigentümer, vertretungsbefugte Personen, etc.) wurden vor Begründung der Geschäftsbeziehung sowie tourlich während laufender Geschäftsbeziehung einer PEP-Prüfung mittels des Systems " XXXX - Sanktions- und PEP-Listenprüfung in Verbindung mit World-Check" unterzogen. Kundenbeziehungen zu PEP wurden grundsätzlich als Kunden mit hohem Risiko klassifiziert.

Bei Neukundenanlage im Kernbankensystem der bfP erfolgte ein automatisierter Namensabgleich gegen PEP-Listen mittels des " XXXX - Sanktions- und PEP-Listenprüfung in Verbindung mit World-Check". Bei einem potentiellen Treffer wurde vom KMS ein Pop-up-Fenster generiert und der Kundenbetreuer aufgefordert, die Abteilung "Compliance/AML" über den Treffer zu informieren. Zeitgleich wurde der GWB auch systemtechnisch per E-Mail über eben diesen potentiellen Treffer informiert.

Die Abteilung "Compliance/AML" nahm im Weiteren eine nähere Überprüfung vor, ob der jeweilige Kunde tatsächlich eine PEP ist. Wenn es sich bei dem Kunden tatsächlich um eine PEP gehandelt hat, wird der Kunde im KMS als PEP gekennzeichnet und durch die Abteilung "Compliance/AML" in die Risikoklasse "hoch" eingestuft. Zur Aufnahme einer Geschäftsbeziehung war in diesem Fall die Zustimmung von zwei Vorständen erforderlich.

Wurde ein Kunde während der laufenden Geschäftsbeziehung eine PEP, dann konnte der PEP- Status im Kundenmanagementsystem nicht eingepflegt werden. Um eine Auflistung sämtlicher Geschäftsbeziehungen samt vollständiger PEP-Kennzeichnung zu erhalten, war eine gesonderte Auswertung auf Excel-Basis durchzuführen.

1.4 Zur Stellungnahme der beschwerdeführenden Partei an die FMA vom 06.06.2016

Die bfP kündigte in ihrer Stellungnahme vom 06.06.2016 an die belBeh (ON 5) an, dass es neben der Aufstockung personeller Ressourcen "in den kommenden Monaten zu einer Implementierung einer vollautomatisierten technischen Infrastruktur kommen" wird. Konkret rechnete die bfP damit, dass "bis Ende des 3. Quartals 2016 ein automatisiertes AML Tool der XXXX implementiert wird."

Die bfP räumte in ihrer Stellungnahme vom 06.06.2016 ein, dass es "momentan keine automatisierte AML Software gibt, womit eine durchgängige Kundenrisikoklassifizierung möglich" ist. Zur Zeit der VOP und bis zur Implementierung des IT-Systems XXXX am 29.11.2017 erfolgte eine manuelle Risikoklassifizierung aller Kunden zum Zeitpunkt der Begründung der Geschäftsbeziehung. Eine automatisierte Risikoklassifizierung aller Kunden zum Zeitpunkt der Begründung der Geschäftsbeziehung war bis zur Einführung des Systems XXXX S nicht möglich.

Zu diesem Zeitpunkt stand der bfP nur eine manuelle und listenbasierte Transaktionsüberwachung zur Verfügung.

1.5 Zur Stellungnahme der beschwerdeführenden Partei an die FMA vom 17.02.2017

Mit 17.02.2017 verfügte die bfP nach wie vor über kein durchgängiges, automatisiertes System der Kundenrisikoeinstufung (Transaktionsmonitoring). Am 03.08.2016 fand ein Erstgespräch zwischen Vertretern der bfP und der XXXX statt.

Die vollständige Umsetzung der geplanten Implementierung wurde mit 31.12.2016 prognostiziert.

Die bfP wies ihre Vertragspartnerin bei der Implementierung eines automatisierten Transaktionsmonitoring, die RBI, mit E-Mail vom 19.01.2017 und der diesem E-Mail beigeschlossenen "Ad-Hoc Meldung über operationelle Risiken" auf eine mögliche Verwaltungsstrafe durch die belBeh wegen der Verletzung des § 34 Abs 1 Z 2 FM-GwG in einem Ausmaß von bis zu EUR 150.000 hin.

1.6 Zur Stellungnahme der beschwerdeführenden Partei an die FMA vom 10.05.2017

Am 07.04.2017 fand in den Räumlichkeiten der belBeh ein Managementgespräch über den Fortschritt des XXXX Projektes (Transaktionsüberwachung und Kundenrisikoeinstufung) statt.

Aufgrund der eingetretenen Verzögerungen bei der Implementierung des Systems XXXX holte die bfP ein Angebot eines anderen Anbieters ein, konkret des Unternehmens XXXX . Dieses Alternativangebot wurde der FMA am 24.04.2017 per Mail übermittelt.

1.7 Zur Stellungnahme der beschwerdeführenden Partei an die FMA vom 14.06.2017

Am 10.05.2017 fand bei der bfP ein Projektgespräch zur Einführung des IT-Systems XXXX statt, an dem neben Vertretern der bfP auch die XXXX , die XXXX , die XXXX und die XXXX teilnahmen.

1.8 Zur Niederschrift der Einvernahme von XXXX am 18.04.2018 (Beilage ./4) und dem E-Mail von XXXX an den GWB der bfP vom 15.09.2017 (Beilage ./5)

Am 18.04.2018 fand eine Einvernahme von XXXX vor der FMA statt. Er wurde zu verschiedenen Fragen der Organisation geldwäscherechtlicher Prüfvorgänge innerhalb der bfP befragt (Beilage ./4).

Am 15.09.2017 richtete XXXX ein E-Mail an den Zeugen XXXX , in dem XXXX auf die fehlende geldwäscherechtliche Überwachung von Hochrisikokunden der bfP hinwies und deswegen einen "Transaktionsstopp" für Geschäfte mit diesen Kunden verhängte. Konkret sollten "ab sofort keine einzige Transaktion für Risikokunden mehr durchgeführt werden." (Beilage ./5).

2. Beweiswürdigung

2.1. Zu den allgemeinen Feststellungen

Die Feststellungen zu dem von der bfP implementierten System zum Transaktionsmonitoring vor und nach dem 29.11.2017 und zur Einführung eines automatisierten und indizienbasierten, kontinuierlichen Systems der Transaktionsüberwachung, das dem Geschäftsmodell und Größe der bfP angemessen gewesen wäre, beruhen auf den Ergebnissen der VOP (ON 1), den Ergebnissen der Einvernahmen im Rahmen der mündlichen Verhandlung vor dem BVwG am 16.10.2019 sowie am 16.01.2020 und den Angaben der bfP in den Stellungnahmen an die FMA (insb ON 5).

2.2 Zur beschwerdeführenden Partei

Die Feststellungen zur bfP ergeben sich aus dem offenen Firmenbuch, dem Geschäftsbericht der bfP aus 2018 (Beilagen ./1 und ./2), aus dem im Akt aufliegenden VOP Bericht (ON 1) und aus den im Rahmen der mündlichen Verhandlung vor dem BVwG durchgeführten Einvernahmen (Verhandlungsschrift vom 16.10.2019 sowie vom 16.01.2020 ["VHS 16.10.2019" bzw "VHS 16.01.2020"]. Sie wurden im Verfahren von keiner Seite bestritten.

Betreffend die Anzahl der Kunden der bfP war von den Angaben der FMA im Straferkenntnis (ON 1, S. 3) auszugehen, weil die bfP keine stringent abweichenden Angaben machen konnte. In der Stellungnahme der bfP vom 06.06.2016 zum VOP-Prüfbericht hat die bfP eine Kundenanzahl von XXXX mit Stichtag 30.09.2015 ausdrücklich bestätigt (ON 5, S. 6). In einer weiteren Stellungnahme der bfP an die FMA vom 17.2.2017 wurde die Kundenanzahl mit XXXX angegeben (ON 2, S. 7). In der Rechtfertigung der bfP an die FMA vom 25.01.2019 wurde die Kundenanzahl mit Stand 27.06.2018 mit 12.874 angeführt (ON 9, S. 3).

Im Rahmen der mündlichen Verhandlung am 16.10.2019 wurde der anwesende Vorstand der bfP, XXXX , mit diesen Angaben konfrontiert und die Frage aufgeworfen, ob die bfP zwischen Februar 2017 und Juni 2018 XXXX Kunden verloren hat bzw wie diese Zahlen zu verstehen seien. Dieser gab dazu an: "Es ging einfach darum die Einlagekosten zu senken. Wir haben unseren Arbeitsplan bzw. die Strategie verändert. Das haben wir im Wissen der FMA gemacht. Wir haben begonnen, unsere Zinsen zu senken. Wir haben unsere Zinsen etwa neunmal gesenkt. Wir haben dann Zinsen auf dem österreichischen Niveau angeboten. Somit sind auch unsere Kunden als Folge dieser Zinssenkungen weniger geworden. Wir haben eine Filiale in Österreich geschlossen" (VHS 16.10.2019, S. 14).

Konkrete bzw von den Angaben der FMA abweichende Angaben ergaben sich aus diesen Beweisergebnissen nicht, weshalb von der von der FMA im Straferkenntnis (ON 1, S 3) angeführten Kundenanzahl auszugehen war.

2.3. Zu den Feststellungen zum VOP-Bericht der FMA (ON 1)

Die Feststellungen ua zum Ergebnis der VOP, zu den Voraussetzungen zur Bestellung und zur Prüfung der fachlichen Eignung des Geldwäschebeauftragten, zur allgemeinen Risikoanalyse, zu den bei der bfP implementierten IT-Systemen, zum Transaktionsmonitoring der bfP vor Einführung des Systems XXXX am 29.11.2017, zur Überprüfung der Mittelherkunft, zu den bei der bfP bestehenden Regelwerken und Schulungsmaßnahmen, zur Identifizierung des wirtschaftlichen Eigentümers und zu PEP ergeben sich aus dem im FMA Akt erliegenden Prüfbericht (ON 1) und aus den im Rahmen der mündlichen Verhandlungen vor dem BVwG durchgeführten Einvernahmen.

2.4. Zu den Feststellungen betreffend die Stellungnahme der beschwerdeführenden Partei an die FMA vom 06.06.2016

Die Feststellung zur angekündigten Implementierung eines automatisierten Transaktionsmonitorings beruht auf dem Inhalt des Schreibens der bfP an die belBeh (ON 5, S. 1 und S.5).

Die bis zur Implementierung des IT-Systems XXXX am 29.11.2019 fehlende Möglichkeit einer automatisierten Kundenrisikoklassifizierung bei Begründung der Geschäftsbeziehung beruht auf den Ausführungen im Schreiben der bfP an die belBeh (ON 5, S. 5f, S. 22f).

2.5. Zur Feststellung betreffend die Stellungnahme der beschwerdeführenden Partei an die FMA vom 17.02.2017

Die Feststellung zur eingetretenen Verzögerung bzw zum geplanten Fertigstellungstermin bei der Implementierung eines automatisierten Transaktionsmonitorings beruht auf dem Inhalt des Schreibens der bfP an die belBeh (ON 2, S. 5).

Die Feststellung zur Information der bfP an die RBI über eine mögliche Verwaltungsstrafe durch die belBeh beruht auf Beilage ./6, S. 1 des Anhangs "Ad-Hoc Meldung über operationelle Risiken" zu ON 2.

2.6 Zu den Feststellungen betreffend die Stellungnahme der beschwerdeführenden Partei an die FMA vom 10.05.2017

Die Feststellungen betreffend das Managementgespräch am 07.04.2017 sowie zur Einholung eines Alternativangebotes zur Implementierung eines automatisierten Systems zur Transaktionsüberwachung durch XXXX und die Übermittlung an die belBeh per Mail am 04.04.2017 beruhen auf der Stellungnahme der bfP an die FMA vom 10.05.2017 (ON 3), die Ergebnisse der Einvernahmen im Rahmen der beiden mündlichen Verhandlungen vor dem BVwG und der von der belBeh entsprechend dem gerichtlichen Auftrag eingebrachten Urkundenvorlage vom 24.10.2019.

2.7 Zur Feststellung betreffend die Stellungnahme der beschwerdeführenden Partei an die FMA vom 14.06.2017

Die Feststellung zur Projektbesprechung am 10.05.2017 und den Teilnehmern beruht auf der Stellungnahme der bfP an die FMA vom 14.06.2017 (ON 4).

2.8 Zu den Feststellungen zur Niederschrift der Einvernahme von XXXX am 18.04.2018 (Beilage ./4) und dem E-Mail von XXXX an den GWB der bfP vom 15.09.2017 (Beilage ./5)

Für die Entscheidung von keiner Relevanz war das erstmals in der mündlichen Verhandlung vor dem BVwG vorgelegte E-Mail des damaligen Vorstandes XXXX . Dieser brachte sowohl im Rahmen seiner Einvernahme vor der FMA als auch mit seinem späteren E-Mail an den Zeugen XXXX zum Ausdruck, dass er die geldwäscherechtlichen Prüfvorgänge und das bei der bfP implementierte System des Transaktionsmonitoring für unzureichend hielt und deswegen einen sofortigen "Transaktionsstopp für Risikokunden" verhängte.

Für sich betrachtet scheint dies den verfahrensgegenständlichen Vorwurf unzureichender Maßnahmen zur Vermeidung geldwäscherechtlicher Vorkehrungen, insb bei Hochrisikokunden, durchaus zu stützen. Bei der rechtlichen Würdigung dieses Beweismittel war aber zu berücksichtigen, dass dieses möglicherweise auch in Zusammenhang mit einem zwischen der bfP und Herrn XXXX laufenden, bzw zum damaligen Zeitpunkt bereits drohenden Rechtsstreit stehen könnte. Zudem brachten sowohl der Zeuge XXXX als auch der Zeuge XXXX ihr Unverständnis über den von Herrn XXXX verhängten Transaktionsstopp in glaubwürdiger Weise zum Ausdruck (VHS 16.10.2019, S. 31, 40).

Schließlich war für den erkennenden Senat das Vorgehen der belBeh idZ nicht nachvollziehbar. Denn obwohl der belBeh der gegenständliche E-Mail Verkehr (Beilage ./5) bzw die Ergebnisse der Einvernahme von XXXX (Beilage ./4) spätestens seit 18.04.2018 vorlag und im Rahmen der mündlichen Verhandlung vor dem BVwG am 16.10.2019 dessen Bedeutung hervorgehoben wurde, erwähnte die belBeh dieses Beweismittel im zugrundeliegenden Straferkenntnis vom 10.04.2019 mit keinem Wort und zog es auch nicht zur Begründung des hier zu prüfenden Vorwurfs unzureichender geldwäscherechtlicher Vorkehrungen im Straferkenntnis heran. Gerade dies wäre aber naheliegend gewesen und deutet darauf hin, dass die belBeh diesem Beweismittel offensichtlich selbst keine besondere Relevanz beimaß. Für die Beurteilung der Sach- und Rechtslage war dieses Beweismittel daher von keiner entscheidenden Relevanz.

2.9 Zu den Einvernahmen der zur Vertretung nach außen befugten Personen in der mündlichen Verhandlung am 16.01.2020

Die Stellung als Beschuldigter hat für den Verantwortlichen zur Folge, dass er nicht nur in einem allenfalls gegen ihn geführten Verfahren, sondern auch im Verfahren gegen die juristische Person, als Beschuldigter zu behandeln ist, andernfalls seine Parteirechte nicht gewahrt wären.

Sämtliche Personen, die im inkriminierten Zeitraum dem Vorstand der bfP angehörten, wurden an der jeweils im ZMR angeführten Adresse rechtswirksam und unter Belehrung sämtlicher rechtlicher Folgen und Konsequenzen eines Teilnahmeverzichtes geladen:

- XXXX teilte mit E-Mail vom 14.01.2020 mit, auf die Teilnahme an der für den 16.01.2020 anberaumten Verhandlung zu verzichten;

- XXXX hat die an die laut ZMR ladungsfähige Adresse zugestellte Ladung nicht behoben; die Ladung gilt als rechtswirksam zugestellt;

- XXXX nahm am 2.12.2019 beim BVwG Akteneinsicht und teilte danach am 30.12.2019 per E-Mail mit, auf eine Teilnahme an der Verhandlung am 16.01.2020 zu verzichten;

- XXXX teilte durch seinen anwaltlichen Vertreter mit Eingabe vom 25.11.2019 mit, auf seine Einvernahme zu verzichten;

- XXXX teilte mit E-Mail vom 21.11.2019 mit, die für den 16.01.2020 anberaumte Verhandlung nicht besuchen zu wollen, da er in der XXXX lebe und verzichtete insofern auf die Teilnahme an der Verhandlung;

- XXXX teilte mit E-Mail vom 05.01.2020 mit, auf die Teilnahme an der für den 16.01.2020 anberaumten Verhandlung zu verzichten.

2.10 Zu den gerichtlichen Aufträgen im Rahmen der mündlichen Verhandlung vor dem BVwG am 16.10.2019

2.10.1 Der bfP wurden im Rahmen der mündlichen Verhandlung am 16.10.2019 folgende Aufträge erteilt:

(i): In der Stellungnahme der XXXX an die FMA vom 06.06.2016 (ON 5, S 28) wird eine "Indizienliste" erwähnt. Diese wurde auch immer wieder angesprochen von den Parteien und Zeugen. Diese liegt dem Gericht nicht vor. Das waren die Kriterien, die im manuellen Monitoring Grundlage für die Prüfung waren.

(ii): Heute ist im Verfahren mehrfach die Frage gestellt worden, wann konkret der XXXX der Auftrag erteilt wurde, das neue System zu implementieren, gibt es einen Beschluss des Vorstandes, XXXX zu beauftragen.

(iii): ON 2, Beilage 2: Kontrollplan. Der Vorstand der Bank hat erwähnt, dass es hier Ergänzungen gibt und eine aktualisierte Version des Kontrollplans.

(iv): Nach dem Mail von Herrn XXXX (Beilage ./5) gab es eine Sitzung, über diese gab es ein Protokoll.

Indizienliste (Beilage ./9):

Die vorgelegte Indizienliste listet eine Reihe von Faktoren bzw Prüfkriterien auf, anhand derer bei der bfP die Geldwäscheprüfung vorgenommen wurde. Dabei wird ua auf den Wohnsitz des Kunden und der Frage, ob es sich dabei um ein Risikoland handelt, ob es Sanktionstreffer gibt, ob es sich um eine Überweisung von oder in ein Risikoland handelt, ob es sich um ein atypisches Zahlungsverhalten handelt ("Ausreißer"), ob es sich um einen Bestandskunden oder um "Laufkundschaft" handelt, ob es sich um Spareinlagen oder Termingeld, um Schaltergeschäfte oder um die vorzeitige Tilgung von Kreditverbindlichkeiten handelt, ob es einen PEP Bezug gibt oder ob ein spezielles Kunden oder Branchenrisiko vorliegt, eingegangen. Diese Prüfkriterien werden jeweils mit unterschiedlichen Schwellenwerten belegt.

Eine Prüfung geldwäscherelevanter Transaktionen konnte anhand dieser Prüfkriterien entsprechend den gesetzlichen Vorgaben nach Ansicht des Gerichtes nicht durchgeführt werden, zumal die auf diese Weise rein listenbasierte und eben nicht elektronisch vorgenommene Prüfung eine umfassende Prüfung geldwäscherelevanter Vorgänge nicht leisten konnte.

Umlaufbeschluss XXXX vom 08.06.2017 (Beilage ./10)

Aus dem Umlaufbeschluss der bfP vom 08.06.2017 ergibt sich, dass die bfP erst mit 08.06.2017 den Beschluss gefasst hat, das XXXX Transaktionsüberwachungssystem anzuschaffen. Das Projekt sah drei Phasen der Implementierung vor, die letztlich mit 27.10.2017 abgeschlossen werden sollte. Das System XXXX wurde schließlich einen Monat später, konkret am 29.11.2017 vollständig implementiert. Ausgehend vom Termin der VOP am 12.11.2015 war eine Beschlussfassung zur Implementierung des Systems XXXX erst am 08.06.2017 als verspätet anzusehen.

Sitzungsprotokoll XXXX vom 16.09.2017 (Beilage ./12)

Das Protokoll der Vorstandsitzung der bfP vom 16.09.2017 nimmt ua Bezug auf den von XXXX mit E-Mail vom15.09.2017 ausgesprochenen "Transaktionsstopp", der als "überschießend" bezeichnet wird, weil "einem Verdachtsmoment im konkreten Einzelfall "nachgegangen" werden müsse. Unter Berücksichtigung der nicht als entscheidungsrelevant beurteilten E-Mail von XXXX vom 15.09.2017 (Beilage ./5), mit dem ein Transaktionsstopp verhängt wurde, kommt auch dem Protokoll der im Anschluss an dieses Mail bei der bfP durchgeführten Vorstandssitzung keine Entscheidungsrelevanz zu.

2.10.2 Der belBeh wurden im Rahmen der mündlichen Verhandlung am 16.10.2019 der Auftrag erteilt, das mit ON 3, S 2, angeführte Angebot von XXXX an das BVwG zu übermitteln und gleichzeitig auszuführen, ob dieses Angebot tatsächlich an die FMA übermittelt wurde und zu welchem Zeitpunkt dies passiert ist.

Entsprechend dem gerichtlichen Auftrag übermittelte die belBeh mit Urkundenvorlage vom 24.10.2019 folgende Dokumente: XXXX (Beilage ./6), XXXX vom 04.04.2017 (Beilage ./7), E-Mail Korrespondenz XXXX -FMA (Beilage ./8).

Diese Unterlagen wurden in der Beweiswürdigung an den jeweils angeführten Stellen berücksichtigt.

3. Rechtliche Beurteilung

3.1. Zur Zuständigkeit und zur Zusammensetzung des Senates

Gemäß § 6 BVwGG entscheidet das BVwG durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist.

Gegenständlich liegt gemäß § 22 Abs. 2a FMABG aufgrund der Höhe der im bekämpften Straferkenntnis verhängten Geldstrafe Senatszuständigkeit vor.

3.2. Zu Spruchpunkt A)

3.2.1. Anzuwendende Rechtslage

§ 39 BWG

(Rechtslage vor 1.1.2017; außer Kraft getreten am 31.12.2016)

Sorgfaltspflichten und Bekämpfung von Geldwäscherei und Terrorismusfinanzierung

Allgemeine Sorgfaltspflichten

§ 39. (1) Die Geschäftsleiter eines Kreditinstitutes haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters im Sinne des § 84 Abs. 1 AktG anzuwenden. Dabei haben sie sich insbesondere über die bankgeschäftlichen und bankbetrieblichen Risiken zu informieren, diese durch angemessene Strategien und Verfahren zu steuern, zu überwachen und zu begrenzen sowie über Pläne und Verfahren gemäß § 39a zu verfügen. Weiters haben sie auf die Gesamtertragslage des Kreditinstitutes Bedacht zu nehmen.

(2) Die Kreditinstitute haben für die Erfassung, Beurteilung, Steuerung und Überwachung der bankgeschäftlichen und bankbetrieblichen Risiken sowie ihrer Vergütungspolitik und -praktiken über Verwaltungs-, Rechnungs- und Kontrollverfahren zu verfügen, die der Art, dem Umfang und der Komplexität der betriebenen Bankgeschäfte angemessen sind. Die Verwaltungs-, Rechnungs- und Kontrollverfahren haben weitest gehend auch bankgeschäftliche und bankbetriebliche Risiken sowie Risiken aus der Vergütungspolitik und den Vergütungspraktiken zu erfassen, die sich möglicherweise ergeben können. Die Organisationsstruktur sowie die Verwaltungs-, Rechnungs- und Kontrollverfahren sind schriftlich und in nachvollziehbarer Weise zu dokumentieren. Die Organisationsstruktur hat durch dem Geschäftsbetrieb angemessene aufbau- und ablauforganisatorische Abgrenzungen Interessen- und Kompetenzkonflikte zu vermeiden. Die Zweckmäßigkeit dieser Verfahren und deren Anwendung ist von der internen Revision mindestens einmal jährlich zu prüfen.

(2a) Kreditinstitute können sich für die Entwicklung und laufende Wartung von Rating-Verfahren gemeinsamer Risikoklassifizierungseinrichtungen als Dienstleister bedienen, wenn sie dies der FMA zuvor angezeigt haben. Die Überlassung aller für die Erfassung und Beurteilung von Risiken erforderlichen Informationen durch die teilnehmenden Kreditinstitute an die gemeinsame Risikoklassifizierungseinrichtung ist zu dem ausschließlichen Zweck zulässig, durch Verarbeitung dieser Daten Verfahren zur Risikobeurteilung und Risikobegrenzung zu entwickeln und laufend zu warten und diese Verfahren den teilnehmenden Kreditinstituten zur Verfügung zu stellen; die Übermittlung von personenbezogenen Daten durch die Risikoklassifizierungseinrichtung ist nur an das Kreditinstitut zulässig, das die zu Grunde liegenden Schuldnerdaten eingemeldet hat. Die gemeinsame Risikoklassifizierungseinrichtung, ihre Organe, Bediensteten und sonst für sie tätigen Personen unterliegen dem Bankgeheimnis gemäß § 38. Die FMA hat in Bezug auf die gemeinsame Risikoklassifizierungseinrichtung alle in § 70 Abs. 1 genannten Auskunfts-, Vorlage- und Prüfungsbefugnisse; § 71 ist anzuwenden.

(2b) Die Verfahren gemäß Abs. 2 haben insbesondere zu berücksichtigen:

Z1: das Kreditrisiko und Gegenparteiausfallrisiko

Z2: das Konzentrationsrisiko

Z3: das Marktrisiko

Z4: das Risiko einer übermäßigen Verschuldung

Z5: das operationelle Risiko

Z6: das Verbriefungsrisiko

Z7: das Liquiditätsrisiko

Z8: das Zinsrisiko hinsichtlich sämtlicher Geschäfte, die nicht bereits unter Z 3 erfasst werden

Z9: das Restrisiko aus kreditrisikomindernden Techniken

Z10: die Risiken, die aus dem makroökonomischen Umfeld erwachsen

Z11: das Risiko von Geldwäscherei und Terrorismusfinanzierung

Z12: das Risiko, das sich aus dem Geschäftsmodell eines Institutes ergibt unter Berücksichtigung der Auswirkungen von Diversifizierungsstrategien

Z13: die Ergebnisse von Stresstests bei Instituten, die interne Ansätze verwenden, und

Z14: das systemische Risiko (§ 2 Z 41), das von einem Institut ausgeht.

(2c) Bei neuartigen Geschäften, über deren Risikogehalt keine Erfahrungswerte vorliegen, ist insbesondere auf die Sicherheit der dem Kreditinstitut anvertrauten fremden Gelder und die Erhaltung der Eigenmittel Bedacht zu nehmen. Die Verfahren gemäß Abs. 2 haben die weitest mögliche Erfassung und Beurteilung der sich aus neuartigen Geschäften ergebenden Risiken sowie von Konzentrationsrisiken sicher zu stellen. Bei der Prüfung des Kreditrisikos ist auch die Angemessenheit der von einem Kreditinstitut zur Erfassung von Kreditrisiken angewandten Ansätze unter Berücksichtigung der Art, des Umfangs und der Komplexität des von einem Kreditinstitut getätigten Geschäfte zu beurteilen.

(3) Kreditinstitute haben

Z1: dafür zu sorgen, ihren Zahlungsverpflichtungen jederzeit nachkommen zu können

Z2: eine unternehmensspezifische, den bankwirtschaftlichen Erfahrungssätzen entsprechende Finanz- und Liquiditätsplanung einzurichten

Z3: durch die dauernde Haltung ausreichender flüssiger Mittel für den Ausgleich künftiger Ungleichgewichte der Zahlungseingänge und Zahlungsausgänge ausreichend vorzusorgen

Z4: über Regelungen zur Überwachung und Kontrolle des Zinsrisikos sämtlicher Geschäfte zu verfügen

Z5: entsprechend der Fälligkeitsstruktur ihrer Forderungen und Verbindlichkeiten insbesondere die Zinsanpassungs- und Kündigungsmöglichkeiten so zu gestalten, dass auf mögliche Veränderungen der Marktverhältnisse Bedacht genommen wird, und

Z6: über Unterlagen zu verfügen, anhand derer sich die finanzielle Lage des Kreditinstitutes jederzeit mit hinreichender Genauigkeit rechnerisch bestimmen lässt; diese Unterlagen sind versehen mit entsprechenden Kommentierungen auf Verlangen der FMA vorzulegen

(4) Die FMA hat Mindestanforderungen zum Zwecke der ordnungsgemäßen Erfassung, Steuerung, Überwachung und Begrenzung der Risikoarten gemäß Abs. 2b durch Verordnung festzulegen. Die Verordnung hat hinsichtlich:

Z1: des Kreditrisikos und des Gegenparteiausfallrisikos Art. 79 Richtlinie 2013/36/EU

Z2: des Konzentrationsrisikos Art. 81 der Richtlinie 2013/36/EU

Z3: des Marktrisikos Art. 83 der Richtlinie 2013/36/EU

Z4: des Risikos einer übermäßigen Verschuldung Art. 87 der Richtlinie 2013/36/EU

Z5: des operationellen Risikos Art. 85 der Richtlinie 2013/36/EU

Z6: des Verbriefungsrisikos Art. 82 der Richtlinie 2013/36/EU )

Z7: des Liquiditätsrisikos Art. 86 der Richtlinie 2013/36/EU unter Berücksichtigung der Kriterien des § 39 Abs. 3

Z8: des Zinsrisikos hinsichtlich sämtlicher Geschäfte, die nicht bereits unter Z 3 erfasst werden Art. 84 der Richtlinie 2013/36/EU und hinsichtlich

Z9: des Restrisikos aus kreditrisikomindernden Techniken Art. 80 der Richtlinie 2013/36/EU

zu entsprechen. Hinsichtlich jener Aspekte dieser Verordnung, die von den genannten Bestimmungen abweichen oder zusätzliche Anforderungen festlegen, ist die Zustimmung des Bundesministers für Finanzen einzuholen

(5) In Kreditinstituten jedweder Rechtsform, deren Bilanzsumme eine Milliarde Euro übersteigt oder die übertragbare Wertpapiere ausgegeben haben, die zum Handel an einem geregelten Markt gemäß § 1 Abs. 2 des Börsegesetzes 1989 zugelassen sind, ist eine vom operativen Geschäft unabhängige Risikomanagementabteilung mit direktem Zugang zu den Geschäftsleitern einzurichten, deren Kompetenzen und Ressourcen die Erfüllung folgender Aufgaben sicherstellen:

Z1: Erkennung und Messung der Ausprägung von Risiken gemäß Abs. 2b

Z1: Meldung von Risiken gemäß Abs. 2b und der Risikolage an die Geschäftsleiter

Z1: Beteiligung an der Ausarbeitung der Risikostrategie des Kreditinstituts und allen wesentlichen Entscheidungen zum Risikomanagement

Z1: vollständiger Überblick über die Ausprägung der vorhandenen Risikoarten und die Risikolage des Kreditinstituts.

An der Spitze der Risikomanagementabteilung steht eine Führungskraft, die eigens für diese Funktion zuständig ist. Wenn Art, Umfang und Komplexität der Geschäfte des Instituts es nicht rechtfertigen, ausschließlich für diesen Zweck eine Person zu benennen, kann eine andere Führungskraft des Instituts diese Funktion wahrnehmen, sofern kein Interessenskonflikt besteht. Der Leiter der Risikomanagementabteilung kann seines Amtes nicht ohne die vorherige Information des Aufsichtsrates enthoben werden

§ 40 Abs 2a BWG

(Rechtslage vor 1.1.2017; außer Kraft getreten am 31.12.2016, aufgehoben durch BGBl Nr. 2016/118)

(2a) Kredit- und Finanzinstitute haben weiters

Z1: den Kunden aufzufordern die Identität des wirtschaftlichen Eigentümers des Kunden bekannt zu geben und dieser hat dieser Aufforderung zu entsprechen sowie haben sie risikobasierte und angemessene Maßnahmen zur Überprüfung von dessen Identität zu ergreifen, sodass sie davon überzeugt sind zu wissen, wer der wirtschaftliche Eigentümer ist; im Falle von juristischen Personen oder von Trusts schließt dies risikobasierte und angemessene Maßnahmen ein, um die Eigentums- und die Kontrollstruktur des Kunden zu verstehen

Z2: risikobasierte und angemessene Maßnahmen zu ergreifen, um Informationen über Zweck und Art der angestrebten Geschäftsbeziehung einzuholen

Z3: risikobasierte und angemessene Maßnahmen zu ergreifen, um eine kontinuierliche Überwachung der Geschäftsbeziehung, einschließlich einer Überprüfung der im Verlauf der Geschäftsbeziehung abgewickelten Transaktionen, durchzuführen, um sicherzustellen, dass diese mit den Kenntnissen der Institute über den Kunden, seine Geschäftstätigkeit und sein Risikoprofil, einschließlich erforderlichenfalls der Herkunft der Geld- oder Finanzmittel, kohärent sind, und Gewähr zu leisten, dass die jeweiligen Dokumente, Daten oder Informationen stets aktualisiert werden.

(2b) Die Kredit- und Finanzinstitute haben ihr Geschäft anhand geeigneter Kriterien (insbesondere Produkte, Kunden, Komplexität der Transaktionen, Geschäft der Kunden, Geographie) einer Risikoanalyse betreffend ihres Risikos, für Zwecke der Geldwäscherei und Terrorismusfinanzierung missbraucht zu werden, zu unterziehen. Die Kredit- und Finanzinstitute müssen gegenüber der FMA nachweisen können, dass der Umfang der auf Grund der Analyse gesetzten Maßnahmen im Hinblick auf die Risiken der Geldwäscherei und der Terrorismusfinanzierung als angemessen anzusehen ist.

§ 41 Abs 4 Z1 BWG

(Rechtslage vor 1.1.2017; außer Kraft getreten am 31.12.2016)

(4) Die Kredit- und Finanzinstitute haben

Z1: angemessene und geeignete Strategien und Verfahren für die Sorgfaltspflichten gegenüber Kunden, Verdachtsmeldungen, die Aufbewahrung von Aufzeichnungen, die interne Kontrolle, die Risikobewertung, das Risikomanagement, die Gewährleistung der Einhaltung der einschlägigen Vorschriften und die Kommunikation einzuführen, um Transaktionen, die mit Geldwäscherei oder Terrorismusfinanzierung zusammenhängen, vorzubeugen und zu verhindern sowie geeignete Strategien zur Verhinderung des Missbrauchs von neuen Technologien für Zwecke der Geldwäscherei und der Terrorismusfinanzierung zu entwickeln

Z2: die einschlägigen Strategien und Verfahren ihren Zweigstellen und Tochterunternehmen in Drittländern mitzuteilen

Z3: durch geeignete Maßnahmen das mit der Abwicklung von Transaktionen befasste Personal mit den Bestimmungen, die der Verhinderung oder der Bekämpfung der Geldwäscherei oder der Terrorismusfinanzierung dienen, vertraut zu machen; diese Maßnahmen haben unter anderem die Teilnahme der zuständigen Angestellten an besonderen Fortbildungsprogrammen einzuschließen, damit diese lernen, möglicherweise mit Geldwäscherei oder Terrorismusfinanzierung zusammenhängende Transaktionen zu erkennen und sich in solchen Fällen richtig zu verhalten und im Übrigen bei der Auswahl des Personals auf Zuverlässigkeit in Bezug auf dessen Verbundenheit mit den rechtlichen Werten zu achten; ebenso ist vor der Wahl ihrer Aufsichtsräte auf deren Verbundenheit mit den rechtlichen Werten zu achten

Z4: Systeme einzurichten, die es ihnen ermöglichen, auf Anfragen der Behörde (Abs. 1) oder der FMA, die diesen zur Verhinderung oder Verfolgung von Geldwäscherei oder Terrorismusfinanzierung erforderlich erscheinen, vollständig und rasch darüber Auskunft zu geben, ob sie mit bestimmten natürlichen oder juristischen Personen eine Geschäftsbeziehung unterhalten oder während der letzten fünf Jahre unterhalten haben, sowie über die Art dieser Geschäftsbeziehung

Z5: der FMA jederzeit die Überprüfung der Wirksamkeit der Systeme zur Bekämpfung der Geldwäscherei oder der Terrorismusfinanzierung zu ermöglichen

Z6: innerhalb ihres Unternehmens einen besonderen Beauftragten zur Sicherstellung der Einhaltung der §§ 40 ff zur Bekämpfung von Geldwäscherei und Terrorismusfinanzierung vorzusehen. Die Position des besonderen Beauftragten ist so einzurichten, dass dieser lediglich den Geschäftsleitern gegenüber verantwortlich ist und den Geschäftsleitern direkt - ohne Zwischenebenen - zu berichten hat. Weiters ist ihm freier Zugang zu sämtlichen Informationen, Daten, Aufzeichnungen und Systemen, die in irgend einem möglichen Zusammenhang mit Geldwäscherei und Terrorismusfinanzierung stehen könnten, sowie ausreichende Befugnisse einzuräumen. Kreditinstitute und Finanzinstitute haben durch entsprechende organisatorische Vorkehrungen sicherzustellen, dass die Aufgaben des besonderen Beauftragten jederzeit vor Ort erfüllt werden können.

§ 98 Abs 5a Z3 BWG

(Rechtslage vor 1.1.2017; außer Kraft getreten am 31.12.2016)

(5a) Wer als Verantwortlicher (§ 9 VStG) eines Kreditinstitutes

Z3: die Pflichten der §§ 40, 40a, 40b, 40d oder 41 Abs. 1 bis 4 verletzt

begeht, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet, eine Verwaltungsübertretung und ist von der FMA mit Geldstrafe bis zu 150 000 Euro, im Falle einer Verwaltungsübertretung gemäß Z 3 mit Freiheitsstrafe bis zu sechs Wochen oder mit einer Geldstrafe bis zu 150 000 Euro zu bestrafen.

§ 99d BWG

(Rechtslage vor 1.1.2017; außer Kraft getreten am 02.01.2018, BGBl. Nr. 532/1993 zuletzt geändert durch BGBl. I Nr. 184/2013)

(1) Die FMA kann Geldstrafen gegen juristische Personen verhängen, wenn Personen, die entweder allein oder als Teil eines Organs der juristischen Person gehandelt haben und eine Führungsposition innerhalb der juristischen Person aufgrund

Z1: der Befugnis zur Vertretung der juristischen Person

Z2: der Befugnis, Entscheidungen im Namen der juristischen Person zu treffen, oder

Z3: einer Kontrollbefugnis innerhalb der juristischen Person

innehaben, gegen die in § 98 Abs. 1, Abs. 2 Z 7 und 11, Abs. 5, Abs. 5a oder § 99 Abs. 1 Z 3 oder 4 angeführten Verpflichtungen verstoßen haben, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet.

(2) Juristische Personen können wegen Verstößen gegen die in § 98 Abs. 1, Abs. 2 Z 7 und 11, Abs. 5, Abs. 5a oder § 99 Abs. 1 Z 3 oder 4 angeführten Pflichten auch verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch eine in Abs. 1 genannte Person die Begehung dieser Verstöße durch eine für die juristische Person tätige Person ermöglicht hat, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet.

(3) Die Geldstrafe gemäß Abs. 1 oder 2 beträgt bis zu 10 vH des jährlichen Gesamtnettoumsatzes gemäß Abs. 4 oder bis zu dem Zweifachen des aus dem Verstoß gezogenen Nutzens, soweit sich dieser beziffern lässt

(4) Der jährliche Gesamtnettoumsatz gemäß Abs. 3 ist bei Kreditinstituten der Gesamtbetrag aller in Z 1 bis 7 der Anlage 2 zu § 43 angeführten Erträge abzüglich der dort angeführten Aufwendungen; handelt es sich bei dem Unternehmen um eine Tochtergesellschaft, ist auf den jährlichen Gesamtnettoumsatz abzustellen, der im vorangegangenen Geschäftsjahr im konsolidierten Abschluss der Muttergesellschaft an der Spitze der Gruppe ausgewiesen ist. Bei sonstigen juristischen Personen ist der jährliche Gesamtumsatz maßgeblich. Soweit die FMA die Grundlagen für den Gesamtumsatz nicht ermitteln oder berechnen kann, hat sie diese zu schätzen. Dabei sind alle Umstände zu berücksichtigen, die für die Schätzung von Bedeutung sind.

(5) Die FMA kann von der Bestrafung eines Verantwortlichen gemäß § 9 VStG absehen, wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen die juristische Person verhängt wird und keine besonderen Umstände vorliegen, die einem Absehen von der Bestrafung entgegenstehen.

§ 99e BWG

(Rechtslage vor 1.1.2017; BGBl. Nr. 532/1993 zuletzt geändert durch BGBl. I Nr. 184/2013)

Die FMA hat bei der Festsetzung der Art der Sanktion oder Maßnahme wegen Verstößen gegen die Bestimmungen der in § 70 Abs. 4 angeführten Bundesgesetze, gegen auf Grund dieser Bundesgesetze erlassene Verordnungen oder Bescheide oder gegen die Bestimmungen der Verordnung (EU) Nr. 575/2013 sowie bei der Bemessung der Höhe einer Geldstrafe, soweit angemessen, insbesondere folgende Umstände zu berücksichtigen:

Z1: Die Schwere und Dauer des Verstoßes

Z2: den Grad der Verantwortung der verantwortlichen natürlichen oder juristischen Person

Z3: die Finanzkraft der verantwortlichen natürlichen oder juristischen Person, wie sie sich beispielweise aus dem Gesamtumsatz der verantwortlichen juristischen Person oder den Jahreseinkünften der verantwortlichen natürlichen Person ablesen lässt

Z4: die Höhe der von der verantwortlichen natürlichen oder juristischen Person erzielten Gewinne oder verhinderten Verluste, sofern diese sich beziffern lassen

Z5: die Verluste, die Dritten durch den Verstoß entstanden sind, sofern sich diese beziffern lassen

Z6: die Bereitschaft der verantwortlichen natürlichen oder juristischen Person zu Zusammenarbeit mit der zuständigen Behörde

Z7: frühere Verstöße der verantwortlichen natürlichen oder juristischen Person sowie

Z8: alle potenziellen systemrelevanten Auswirkungen des Verstoßes

Die Bestimmungen des VStG bleiben durch diesen Absatz unberührt

§ 6 FM-GwG

(BGBl. I Nr. 118/2016)

Umfang der Sorgfaltspflichten

(1) Die Sorgfaltspflichten gegenüber Kunden umfassen:

Z1: Feststellung der Identität des Kunden und Überprüfung der Identität auf der Grundlage von Dokumenten, Daten oder Informationen, die von einer glaubwürdigen und unabhängigen Quelle stammen

Z2: Feststellung der Identität des wirtschaftlichen Eigentümers und Ergreifung angemessener Maßnahmen zur Überprüfung seiner Identität, so dass die Verpflichteten davon überzeugt sind zu wissen, wer der wirtschaftliche Eigentümer ist; im Falle von juristischen Personen, Trusts, Gesellschaften, Stiftungen und ähnlichen Rechtsvereinbarungen schließt dies ein, dass angemessene Maßnahmen ergriffen werden, um die Eigentums- und Kontrollstruktur des Kunden zu verstehen

Z3: Bewertung und Einholung von Informationen über den Zweck und die angestrebte Art der Geschäftsbeziehung

Z4: Einholung und Überprüfung von Informationen über die Herkunft der eingesetzten Mittel; solche Informationen können unter anderem die Berufs- bzw. Geschäftstätigkeit, das Einkommen bzw. das Geschäftsergebnis oder die allgemeinen Vermögensverhältnisse des Kunden und seiner wirtschaftlichen Eigentümer umfassen

Z5: Feststellung und Überprüfung der Identität des Treugebers und des Treuhänders gemäß Abs. 3

Z6: kontinuierliche Überwachung der Geschäftsbeziehung, einschließlich einer Überprüfung der im Verlauf der Geschäftsbeziehung ausgeführten Transaktionen, um sicherzustellen, dass diese mit den Kenntnissen der Verpflichteten über den Kunden, seine Geschäftstätigkeit und sein Risikoprofil, einschließlich erforderlichenfalls der Herkunft der Mittel, übereinstimmen

Z7: regelmäßige Überprüfung des Vorhandenseins sämtlicher aufgrund dieses Bundesgesetzes erforderlichen Informationen, Daten und Dokumente sowie Aktualisierung dieser Informationen, Daten und Dokumente

Die Identität jeder Person, die angibt im Namen des Kunden handeln zu wollen (vertretungsbefugte natürliche Person) ist gemäß Z 1 festzustellen und zu überprüfen. Die Vertretungsbefugnis ist auf geeignete Art und Weise zu überprüfen. Der Kunde hat Änderungen der Vertretungsbefugnis während aufrechter Geschäftsbeziehung von sich aus unverzüglich bekannt zu geben

(2) Die Überprüfung der Identität gemäß Abs. 1 Z 1 hat bei

Z1: einer natürlichen Person durch die persönliche Vorlage eines amtlichen Lichtbildausweises zu erfolgen. Als amtlicher Lichtbildausweis in diesem Sinn gelten von einer staatlichen Behörde ausgestellte Dokumente, die mit einem nicht austauschbaren erkennbaren Kopfbild der betreffenden Person versehen sind, und den Namen, das Geburtsdatum und die Unterschrift der Person sowie die ausstellende Behörde enthalten; bei Reisedokumenten von Fremden muss die Unterschrift und das vollständige Geburtsdatum dann nicht im Reisedokument enthalten sein, wenn dies dem Recht des ausstellenden Staates entspricht. Von den Kriterien des amtlichen Lichtbildausweises können einzelne Kriterien entfallen, wenn auf Grund des technischen Fortschritts andere gleichwertige Kriterien eingeführt werden, wie beispielsweise biometrische Daten, die den entfallenen Kriterien in ihrer Legitimationswirkung zumindest gleichwertig sind. Das Kriterium der Ausstellung durch eine staatliche Behörde muss jedoch immer gegeben sein;

Z2: einer juristischen Person anhand von beweiskräftigen Urkunden zu erfolgen, die gemäß dem am Sitz der juristischen Personen landesüblichen Rechtsstandard verfügbar sind. Jedenfalls zu überprüfen sind der aufrechte Bestand, der Name, die Rechtsform, die Vertretungsbefugnis und der Sitz der juristischen Person

(3) Die Verpflichteten haben den Kunden aufzufordern, Folgendes bekannt zu geben:

Z1: ob er die Geschäftsbeziehung (§ 5 Abs. 1 Z 1) oder die gelegentliche Transaktion (§ 5 Abs. 1 Z 2) auf eigene oder fremde Rechnung bzw. im fremden Auftrag betreiben will und

Z2: die Identität seines oder seiner wirtschaftlichen Eigentümer.

Der Kunde hat der Aufforderung zu entsprechen und diesbezügliche Änderungen während aufrechter Geschäftsbeziehung von sich aus unverzüglich bekannt zu geben. Gibt der Kunde bekannt, dass er auf fremde Rechnung bzw. im fremden Auftrag handeln will (Z 1), so hat er dem Verpflichten auch die Identität des Treugebers nachzuweisen und die Verpflichteten haben die Identität des Treugebers festzustellen und zu überprüfen. Die Identität des Treuhänders ist gemäß Abs. 2 Z 1 und zwar ausschließlich bei physischer Anwesenheit des Treuhänders festzustellen. Eine Identifizierung des Treuhänders durch Dritte ist ebenfalls ausgeschlossen. Die Feststellung und Überprüfung der Identität des Treugebers hat bei natürlichen Personen durch Vorlage des Originals oder einer Kopie des amtlichen Lichtbildausweises (Abs. 2 Z 1) des Treugebers zu erfolgen, bei juristischen Personen durch beweiskräftige Urkunden (Abs. 2 Z 2). Der Treuhänder hat weiters eine schriftliche Erklärung gegenüber dem Verpflichteten abzugeben, dass er sich persönlich oder durch verlässliche Gewährspersonen von der Identität des Treugebers überzeugt hat. Verlässliche Gewährspersonen in diesem Sinn sind Gerichte und sonstige staatliche Behörden, Notare, Rechtsanwälte und Dritte im Sinne § 13.

(4) Die persönliche Vorlage des amtlichen Lichtbildausweises im Sinne Abs. 2 kann bei Geschäftsbeziehungen oder Transaktionen ohne persönliche Kontakte durch Sicherungsmaßnahmen ersetzt werden. Den Verpflichteten müssen jedenfalls Name, Geburtsdatum und Adresse des Kunden, bei juristischen Personen die Firma und der Sitz bekannt sein. Als Sicherungsmaßnahmen sind zulässig:

Z1: die Vorlage des amtlichen Lichtbildausweises im Rahmen eines videogestützten elektronischen Verfahrens (Online-Identifikation)

Z2: ein gesetzlich vorgesehenes Verfahren, das gesichert dieselbe Information wie mit der Vorlage eines amtlichen Lichtbildausweises zur Verfügung stellt (elektronischer Ausweis)

Z3: die Abgabe der rechtsgeschäftliche Erklärung des Kunden in Form einer qualifizierten elektronischen Signatur gemäß Art. 3 Z 12 der Verordnung (EU) Nr. 910/2014 oder die Zustellung der rechtsgeschäftlichen Erklärung des Verpflichteten mit eingeschriebener Postzustellung an diejenige Kundenadresse, die als Wohnsitz oder Sitz des Kunden angegeben worden ist, wenn zusätzlich

a) bei juristischen Personen der Sitz zugleich der Sitz der zentralen Verwaltung ist, worüber der Kunde eine schriftliche Erklärung abzugeben hat

b) eine Kopie des amtlichen Lichtbildausweises des Kunden oder seines gesetzlichen Vertreters oder bei juristischen Personen des vertretungsbefugten Organs dem Verpflichteten vor dem Zeitpunkt des Vertragsabschlusses vorliegt, sofern nicht das Rechtsgeschäft elektronisch an Hand einer qualifizierten elektronischen Signatur abgeschlossen wird und

c) bei Kunden mit Sitz oder Wohnsitz in einem Drittland, eine schriftliche Bestätigung eines anderen Kreditinstitutes, mit dem der Kunde eine dauernde Geschäftsverbindung hat, vorliegt, dass die Identität des Kunde im Sinne dieses Bundesgesetzes festgestellt und überprüft wurde und dass die dauernde Geschäftsverbindung aufrecht ist. Hat das bestätigende Kreditinstitut seinen Sitz in einem Drittland, so muss dieses Drittland die Anforderungen gemäß § 13 Abs. 4 erfüllen. An Stelle einer Identifizierung und Bestätigung durch ein Kreditinstitut ist auch eine Identifizierung und schriftliche Bestätigung durch die österreichische Vertretungsbehörde im betreffenden Drittland oder einer anerkannten Beglaubigungsstelle zulässig, oder

Z4: die erste Zahlung im Rahmen der Transaktionen über ein Konto abgewickelt wird, das im Namen des Kunden bei einem Kreditinstitut im Sinne des § 13 eröffnet wurde und ihnen Kopien von Dokumenten des Kunden vorliegen, aufgrund derer die Angaben des Kunden bzw. seiner vertretungsbefugten natürlichen Person glaubhaft nachvollzogen werden können. Anstelle dieser Kopien ist es ausreichend, wenn eine schriftliche Bestätigung des Kreditinstitutes vorliegt, über das die erste Zahlung abgewickelt werden soll, dass die Identität des Kunden im Sinne dieses Bundesgesetzes oder der Richtlinie (EU) 2015/849 festgestellt und überprüft wurde.

Die FMA hat mit Zustimmung des Bundesministers für Finanzen mit Verordnung festzulegen, welche Maßnahmen bei der Online-Identifikation zum Ausgleich des erhöhten Risikos erforderlich sind und dabei insbesondere Anforderungen an die Datensicherheit, Fälschungssicherheit und an jene Personen, die die Online-Identifikation durchführen festzulegen.

(5) Die Verpflichteten können den Umfang der in Abs. 1 bis 3 genannten Sorgfaltspflichten auf risikoorientierter Grundlage bestimmen. Bei der Bewertung der Risiken von Geldwäscherei und Terrorismusfinanzierung sind zumindest die in Anlage I aufgeführten Variablen zu berücksichtigen. Als Ergebnis dieser Bewertung ist jeder Kunde in eine Risikoklasse einzustufen. Die Verpflichteten müssen der FMA gegenüber nachweisen können, dass die von ihnen getroffenen Maßnahmen angesichts der ermittelten Risiken von Geldwäscherei und Terrorismusfinanzierung angemessen sind.

§ 22 FMABG

(BGBl. I Nr. 97/2001 zuletzt geändert durch BGBl. I Nr. 149/2017, außer Kraft getreten am 31.08.2019)

(6) Die FMA kann

Z1: von der Verhängung einer Geldstrafe gegen eine natürliche oder juristische Person oder von beidem absehen, wenn es sich um keinen bedeutenden Verstoß handelt

Z2: von der Bestrafung eines Verantwortlichen gemäß § 9 des Verwaltungsstrafgesetzes 1991 - VStG, BGBl. I Nr. 52/1991, absehen, wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen die juristische Person verhängt wird und keine besonderen Umstände vorliegen, die einem Absehen von der Bestrafung entgegenstehen

§ 23 FM-GwG

(BGBl. I Nr. 118/2016 zuletzt geändert durch BGBl. I Nr. 136/2017)

Anforderungen an die interne Organisation und Schulungen

§ 23. (1) Die Verpflichteten haben Strategien, Kontrollen und Verfahren zur wirksamen Minderung und Steuerung der auf Unionsebene, auf nationaler Ebene und auf Unternehmensebene ermittelten Risiken von Geldwäscherei und Terrorismusfinanzierung einzurichten, die in einem angemessenen Verhältnis zu Art und Größe des Verpflichteten zu stehen haben. Dabei haben sie den Bericht der Europäischen Kommission gemäß Art. 6 Abs. 1 der Richtlinie (EU) 2015/849 , die nationale Risikoanalyse (§ 3) und die Risikoanalyse auf Unternehmensebene (§ 4) zu berücksichtigen. Die Strategien, Kontrollen und Verfahren haben insbesondere Folgendes zu umfassen:

Z1: die Risikoklassifizierung auf Kundenebene (§ 6 Abs. 5)

Z2: die Risikomanagementsysteme (§ 11 Abs. 1 Z 1)

Z3: die Sorgfaltspflichten gegenüber Kunden; dies beinhaltet auch Maßnahmen in Bezug auf neue Produkte, Praktiken und Technologien zum Ausgleich der damit in Zusammenhang stehenden Risiken

Z4: die Verdachtsmeldungen

Z5: die Aufbewahrung von Unterlagen und

Z6: die Vorkehrungen zur Einhaltung des Abs. 6

(2) Die Strategien, Kontrollen und Verfahren (Abs. 1) sind in schriftlicher Form festzulegen und vom Leitungsorgan zu genehmigen; sie sind laufend anzuwenden und sofern erforderlich entsprechend anzupassen. Die laufende Einhaltung der internen Vorschriften, die Teil der Strategien, Kontrollen und Verfahren sind, durch die diesen unterworfenen Mitarbeiter, ist durch den besonderen Beauftragten (Abs. 3) zu überwachen. Dieser ist insbesondere auch für die Einhaltung der gruppenweiten Strategien und Verfahren gemäß § 24 verantwortlich. Darüber hinaus hat eine risikobasierte unabhängige Prüfung der Strategien, Verfahren und Kontrollen sowie deren laufenden Anwendung durch die interne Revision zu erfolgen. Sofern Verpflichtete zur Einrichtung einer internen Revision nicht verpflichtet sind und eine unabhängige Prüfung im Hinblick auf Art und Umfang der Geschäftstätigkeit erforderlich ist, hat die Prüfung durch eine unabhängige Stelle zu erfolgen.

(3) Die Verpflichteten haben einen besonderen Beauftragten zur Sicherstellung der Einhaltung der Bestimmungen dieses Bundesgesetzes zu bestellen. Die Position des besonderen Beauftragten ist so einzurichten, dass dieser lediglich dem Leitungsorgan gegenüber verantwortlich ist und dem Leitungsorgan direkt - ohne Zwischenebenen - zu berichten hat. Weiters ist ihm freier Zugang zu sämtlichen Informationen, Daten, Aufzeichnungen und Systemen, die in irgendeinem möglichen Zusammenhang mit Geldwäscherei und Terrorismusfinanzierung stehen könnten, sowie ausreichende Befugnisse zur Durchsetzung der Einhaltung der Bestimmungen dieses Bundesgesetzes einzuräumen. Verpflichtete haben durch entsprechende organisatorische Vorkehrungen sicherzustellen, dass die Aufgaben des besonderen Beauftragten jederzeit vor Ort erfüllt werden können. Die Verpflichteten haben sicherzustellen, dass der besondere Beauftragte jederzeit über ausreichende Berufsqualifikationen, Kenntnisse und Erfahrungen verfügt (fachliche Qualifikation) und zuverlässig und integer ist (persönliche Zuverlässigkeit).

(4) Die Verpflichteten haben ein Mitglied des Leitungsorgans zu bestimmen, das für die Einhaltung der Bestimmungen, die der Verhinderung oder der Bekämpfung der Geldwäscherei oder der Terrorismusfinanzierung dienen, zuständig ist.

(5) Die Verpflichteten haben durch Maßnahmen, die in angemessenem Verhältnis zu ihren Risiken, ihrer Art und ihrer Größe stehen, sicherzustellen, dass ihre Beschäftigten die Bestimmungen, die der Verhinderung oder der Bekämpfung der Geldwäscherei oder der Terrorismusfinanzierung dienen, in dem Ausmaß kennen, das für die Erfüllung ihrer Aufgaben erforderlich ist. Diese Maßnahmen haben unter anderem die Teilnahme der zuständigen Beschäftigten an besonderen fortlaufenden Fortbildungsprogrammen einzuschließen, bei denen sie lernen, möglicherweise mit Geldwäscherei oder Terrorismusfinanzierung zusammenhängende Transaktionen zu erkennen und sich in solchen Fällen richtig zu verhalten.

(6) Im Übrigen haben die Verpflichteten bei der Auswahl ihrer Beschäftigten auf Zuverlässigkeit in Bezug auf deren Verbundenheit mit den rechtlichen Werten zu achten; ebenso ist vor der Wahl ihrer Aufsichtsräte auf deren Verbundenheit mit den rechtlichen Werten zu achten.

(7) E-Geld-Emittenten im Sinne des Art. 2 Z 3 der Richtlinie 2009/110/EG und Zahlungsdienstleister im Sinne des Art. 4 Z 11 der Richtlinie (EU) 2015/2366 , die ihren Sitz in einem anderen Mitgliedstaat haben und im Inland in anderer Form als einer Zweigstelle niedergelassen sind, haben im Inland eine zentrale Kontaktstelle zu benennen, wenn sie die in dem Delegierten Rechtsakt gemäß Art. 45 Abs. 10 der Richtlinie (EU) 2015/849 genannten Kriterien erfüllen, die dafür zuständig ist, im Auftrag des benennenden Instituts die Einhaltung der Vorschriften zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung zu gewährleisten und die Aufsicht durch die FMA zu erleichtern, indem sie unter anderem der FMA auf Ersuchen Dokumente und Informationen zur Verfügung stellt.

§ 34 FM-GwG

(BGBl. I Nr. 118/2016; zuletzt geändert durch BGBl. I Nr. 107/2017)

Strafbestimmungen und Veröffentlichungen / Pflichtverletzungen

§ 34. (1) Wer als Verantwortlicher (§ 9 VStG) eines Verpflichteten, die Pflichten gemäß

Z1: § 4 (Durchführung, Aufzeichnung und Aktualisierung der Risikoanalyse)

Z2: § 5 bis § 12 (Sorgfaltspflichten gegenüber Kunden) und der aufgrund von § 6 Abs. 4, § 8 Abs. 5 und § 9 Abs. 4 erlassenen Verordnungen der FMA

Z3: § 13 bis § 15 (Ausführung durch Dritte)

Z4: § 16 bis § 17 (Meldepflichten)

Z5: § 19 Abs. 2 (Schutz vor Bedrohungen oder Anfeindungen im Beschäftigungsverhältnis)

Z6: § 20 (Verbot der Informationsweitergabe)

Z7: § 21 Abs. 1 bis 3 (Aufbewahrungspflichten) und der aufgrund von § 21 Abs. 3 erlassenen Verordnungen der FMA

Z8: § 23 Abs. 1 bis 3 oder 6 (interne Organisation)

Z9: § 23 Abs. 4, 5 oder 7 (Schulungen, Verantwortlichkeit des Leitungsorgans und Benennung der zentralen Kontaktstelle) oder

Z10: § 24 (Strategien und Verfahren bei Gruppen)

verletzt, begeht eine Verwaltungsübertretung und ist von der FMA mit einer Geldstrafe bis zu 150 000 Euro zu bestrafen.

(2) Wenn es sich bei den Pflichtverletzungen gemäß Abs. 1 Z 2, 4, 7, 9 und 10 um schwerwiegende, wiederholte oder systematische Verstöße oder eine Kombination davon handelt, beträgt die Geldstrafe bis zu 5 000 000 Euro oder bis zu dem Zweifachen des aus der Pflichtverletzung gezogenen Nutzens, soweit sich dieser beziffern lässt.

(3) Wer als Verantwortlicher (§ 9 VStG) eines Verpflichteten

Z1: wiederholt oder systematisch vorgeschriebene Angaben zum Auftraggeber oder zum Begünstigten unter Verstoß gegen Art. 4 bis 6 der Verordnung (EU) 2015/847 nicht übermittelt

Z2: die Aufbewahrung von Aufzeichnungen gemäß Art. 16 der Verordnung (EU) 2015/847 nicht sicherstellt und dies ein wiederholtes, systematisches und schweres Versäumnis darstellt

Z3: es verabsäumt wirksame risikobasierte Verfahren unter Verstoß gegen Art. 8 oder 12 der Verordnung (EU) 2015/847 einzuführen oder

Z4: sofern der Verpflichtete ein zwischengeschalteter Zahlungsdienstleister gemäß Art. 3 Z 5 ist, in schwerwiegender Weise gegen Art. 11 oder 12 der Verordnung (EU) 2015/847 verstößt

begeht eine Verwaltungsübertretung und ist von der FMA mit einer Geldstrafe bis zu 5 000 000 Euro oder bis zu dem Zweifachen des aus der Pflichtverletzung gezogenen Nutzens, soweit sich dieser beziffern lässt, zu bestrafen

(Anm.: Abs. 4 aufgehoben durch Art. 21 Z 5, BGBl. I Nr. 107/2017)

(5) Wer als Treuhänder seiner Offenlegungsverpflichtung gemäß § 6 Abs. 3 nicht nachkommt, begeht eine Verwaltungsübertretung und ist von der FMA mit einer Geldstrafe bis zu 60 000 Euro zu bestrafen

§ 35 FM-GwG

(BGBl. I Nr. 118/2016 zuletzt geändert durch BGBl. I Nr. 17/2018)

Strafbarkeit von juristischen Personen

(1) Die FMA kann Geldstrafen gegen juristische Personen verhängen, wenn eine Pflichtverletzung gemäß § 34 Abs. 1 bis 3 zu ihren Gunsten von einer Person begangen wurde, die allein oder als Teil eines Organs der juristischen Person gehandelt hat und die aufgrund einer der folgenden Befugnisse eine Führungsposition innerhalb der juristischen Person innehat:

Z1: Befugnis zur Vertretung der juristischen Person

Z2: Befugnis, Entscheidungen im Namen der juristischen Person zu treffen oder

Z3: Kontrollbefugnis innerhalb der juristischen Person

(2) Juristische Personen können wegen Pflichtverletzungen gemäß § 34 Abs. 1 bis 3 auch dann verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch eine in Abs. 1 genannte Person die Begehung einer in § 34 Abs. 1 bis 3 genannten Pflichtverletzungen zugunsten der juristischen Person durch eine für sie tätige Person ermöglicht hat.

(3) Die Geldstrafe gemäß Abs. 1 und 2 beträgt bei Pflichtverletzungen gemäß § 34 Abs. 1 bis zu 150 000 Euro und bei Pflichtverletzungen gemäß § 34 Abs. 2 und 3 bis zu 5 000 000 Euro oder 10 vH des jährlichen Gesamtumsatzes. Der jährliche Gesamtumsatz bestimmt sich nach den jährlichen Umsatzerlösen aus dem letzten festgestellten Jahresabschluss. Wenn es sich bei dem Verpflichteten um ein Kreditinstitut, ein E-Geld-Institut gemäß § 3 Abs. 2 und § 9 Abs. 1 E-Geldgesetz 2010, das ein CRR-Finanzinstitut gemäß Art. 4 Abs. 1 Nr. 26 der Verordnung (EU) Nr. 575/2013 ist, ein Zahlungsinstitut gemäß § 4 Z 4 ZaDiG 2018, das ein CRR-Finanzinstitut gemäß Art. 4 Abs. 1 Nr. 26 der Verordnung (EU) Nr. 575/2013 ist, einen AIFM gemäß § 2 Abs. 1 Z 2 AIFMG oder eine Wertpapierfirma gemäß § 1 Z 1 WAG 2018 handelt, ist der jährliche Gesamtumsatz die Summe der in Z 1 bis 7 der Anlage 2 zu § 43 BWG angeführten Erträge abzüglich der dort angeführten Aufwendungen. Wenn es sich bei dem Verpflichteten um ein Versicherungsunternehmen gemäß § 5 Z 1 VAG 2016 oder um ein kleines Versicherungsunternehmen gemäß § 5 Z 3 VAG 2016 handelt, ist der jährliche Gesamtumsatz die Summe der in § 146 Abs. 4 Z 1 bis 8 und 10 bis 11 VAG 2016 angeführten Erträge abzüglich der dort angeführten Aufwendungen. Wenn es sich bei dem Verpflichteten um eine Muttergesellschaft oder die Tochtergesellschaft einer Muttergesellschaft handelt, die einen konsolidierten Abschluss nach Art. 22 der Richtlinie 2013/34/EU aufzustellen hat, so bestimmt sich der jährliche Gesamtumsatz nach den jährlichen Umsatzerlösen oder der entsprechenden Einkunftsart gemäß den einschlägigen Rechnungslegungsrichtlinien, die im letzten verfügbaren festgestellten konsolidierten Abschluss ausgewiesen sind. Soweit die FMA die Grundlagen für den Gesamtumsatz nicht ermitteln oder berechnen kann, hat sie diese zu schätzen. Dabei sind alle Umstände zu berücksichtigen, die für die Schätzung von Bedeutung sind.

§ 38 FM-GwG

(BGBl. I Nr. 118/2016 zuletzt geändert durch BGBl. I Nr. 62/2019)

Wirksame Ahndung von Pflichtverletzungen

§ 38. (1) Bei der Festsetzung einer Aufsichtsmaßnahme gemäß § 31 Abs. 3 oder der Verhängung einer Geldstrafe gemäß § 34 oder § 35 hat die FMA alle maßgeblichen Umstände zu berücksichtigen, darunter gegebenenfalls

Z1: die Schwere und Dauer der Pflichtverletzung

Z2: den Verschuldensgrad der verantwortlich gemachten natürlichen oder juristischen Person

Z3: die Finanzkraft der verantwortlich gemachten natürlichen oder juristischen Person, wie sie sich beispielsweise aus dem Gesamtumsatz der verantwortlich gemachten juristischen Person oder den Jahreseinkünften der verantwortlich gemachten natürlichen Person ableiten lässt

Z4: die von der verantwortlich gemachten natürlichen oder juristischen Person durch die Pflichtverletzung erzielten Gewinne, sofern sich diese beziffern lassen

Z5: die Verluste, die Dritten durch die Pflichtverletzung entstanden sind, sofern sich diese beziffern lassen

Z6: der Bereitwilligkeit der verantwortlich gemachten natürlichen oder juristischen Person, mit der zuständigen Behörde zusammenzuarbeiten und

Z7: frühere Pflichtverletzungen der verantwortlich gemachten natürlichen oder juristischen Person und Verurteilungen wegen § 165 StGB (Geldwäscherei), § 278a StGB (kriminelle Organisation), § 278b StGB (terroristischen Vereinigung), § 278c StGB (terroristischen Straftat) oder der § 278d StGB (Terrorismusfinanzierung) bei natürlichen Personen oder Verurteilungen wegen vergleichbarer Straftaten in anderen Mitgliedstaaten oder Drittstaaten

Die Bestimmungen des VStG bleiben durch diesen Absatz unberührt.

(2) Die FMA hat vor Verhängung einer Geldstrafe gemäß § 34 oder § 35 eine Strafregisterauskunft von der beschuldigten natürlichen Person oder von der oder den natürlichen Personen, die gemäß § 35 allein oder als Teil eines Organs der juristischen Person gehandelt haben, einzuholen. Bestehen Anhaltspunkte, die einen Eintrag in einem Strafregister eines anderen Mitgliedstaates nahelegen, dann hat die FMA die Landespolizeidirektion Wien um die Einholung von Strafregisterauskünften aus dem oder den betreffenden Mitgliedstaaten zu ersuchen

3.2.2. Zur objektiven Tatseite

3.2.2.1 Zum Standpunkt der FMA

Die belBeh führte von 02.11.2015 bis 12.11.2015 bei der bfP eine VOP gemäß § 3 Abs. 9 BWG durch, um die implementierten Systeme und Kontrolleinrichtungen zur Bekämpfung von Geldwäscherei und Terrorismusfinanzierung im Sinne der §§ 40 bis 41 BWG zu überprüfen. Dabei traf die belBeh eine Reihe von aufsichtsrechtlichen Feststellungen (vgl oben Pkt 1.3.2) und kritisierte insb Folgendes:

- Konkrete Maßnahmen zur Aktualisierung von Kundendaten wären in den Regelwerken der bfP abzubilden. (ON 1, S, 2ff)

- Die Risikoanalyse auf Kundenebene erfolgt nicht risikobasiert und angemessen, da wesentliche Risikofaktoren nicht berücksichtigt wurden. (ON 1, S, 2ff)

- Es ist nicht sichergestellt, dass sämtliche Kunden zum Zeitpunkt der Begründung der Geschäftsbeziehung in eine ihrem Risiko entsprechende Risikoklasse eingestuft werden. (ON 1, S, 2ff)

- Es besteht zum Zeitpunkt der Vor-Ort-Prüfung kein automatisiertes Ex-postTransaktionsmonitoring (ON 1 Rz 38)

- Bezugnehmend auf die kontinuierliche Überwachung ist festzuhalten, dass das Transaktionsmonitoring in der bfP auf einem wenig differenzierten listenbasierten Excel-Arbeitsblatt basiert und daher geldwäscherelevante Transaktionsmuster (zB "Smurfing") nicht erkannt werden können (ON 1 Rz 123).

Aus Sicht der belBeh wäre zur Sicherstellung einer am Geschäftsmodell und Größe der bfP ausgerichteten Anwendung der kontinuierlichen Überwachung von Transaktionen und Geschäftsbeziehungen von der bfP sicherzustellen gewesen, dass Transaktionen und Transaktionsmuster, die nach objektiven Kriterien im Hinblick auf Geldwäscherei oder Terrorismusfinanzierung relevant sind, zeitnah erkannt werden

Die bfP hätte aus Sicht der belBeh aufgrund ihrer Größe, Kundenanzahl und Kundenstruktur angemessene und risikobasierte Prozesse und Verfahren zur automationsunterstützten kontinuierlichen Überwachung einrichten müssen, um dadurch geeignete "Maßnahmen" iSd § 40 Abs 2a Z3 BWG zu "ergreifen" und um im Hinblick auf das von der bfP betriebene Geschäftsmodell untypische bzw. ungewöhnliche Transaktionen oder Transaktionsmuster und Inkohärenzen der abgewickelten Transaktionen zu den der bfP vorliegenden KYC-Informationen erkennen zu können. Weiters hätte ein insofern "angemessenes" Transaktionsmonitoring ermöglichen müssen, Transaktionen und Kunden, von denen ein potentiell höheres Risiko ausgeht, anhand von geeigneten Indizien einschließlich differenziert ausgestalteter Schwellenwerte, kurzen Zeitintervallen, etc. (intensiver) zu überwachen und Treffer zeitnah abzuarbeiten.

Aus Sicht der belBeh ist es iS eines risikobasierten und angemessenen Transaktionsmonitorings gemäß § 6 Abs. 1 Z 6 FM-GwG wesentlich, dass die von der Bank festgelegten Schwellenwerte und Indizien automatisch auf die gesamten Transaktionen anschlagen, d.h. ein System implementiert ist, das zeitnah Abweichungen und Auffälligkeiten erkennt. Gerade dieses zeitnahe und umfassende Erkennen ist mit einem bloß teilautomatisierten Transaktionsmonitoring aus Sicht der belBeh nicht möglich.

Dagegen kann ein automationsunterstütztes IT-System, so die belBeh, individuell auf das Erkennen bestimmter "Muster" (Abweichungen anhand bestimmter Indizien inkl. Schwellenwerte) kalibriert werden und können somit insbesondere bei einer hohen Kundenanzahl bzw Transaktionsanzahl zeitnah Abweichungen erkannt werden. Ein listenbasiertes, manuelles Transaktionsmonitoring ermöglicht dagegen keine umfangreiche und insbesondere risikobasierte Überwachung.

Erst mit der Implementierung des IT-Systems XXXX am 29.11.2017, so die belBeh, verfügte die bfP über ein System zur automatisierten Überwachung von Transaktionen mittels hinterlegter risikobasierter Indizien- und Schwellenwerte zur Erkennung bestimmter Zahlungsmuster bzw. Abweichungen vom dem KYC-Profil entsprechender Transaktionsmuster.

Die bfP habe daher bis zur vollständigen Implementierung des Systems XXXX am 29.11.2017 über eine im Verhältnis zu ihrer Art und Größe unzureichende Transaktionskontrolle verfügt. (vgl dazu das Straferkenntnis der FMA, ON 13 S. 9 bis 12)

3.2.2.2 Zum Standpunkt der beschwerdeführenden Partei

Die bfP nahm im Anschluss an die VOP und die von der belBeh übermittelten Prüfergebnisse mehrfach auf die von der belBeh erhobenen Vorwürfe Stellung und kündigte dabei mehrfach die zeitnahe Implementierung eines vollautomatisierten Systems der Transaktionsüberwachung an.

Mit Stellungnahme an die belBeh vom 06.06.2016 (ON 5) kündigte die bfP an, dass es neben der Aufstockung personeller Ressourcen "in den kommenden Monaten zu einer Implementierung einer vollautomatisierten technischen Infrastruktur kommen" wird. Konkret rechnete die bfP damit, dass "bis Ende des 3. Quartals 2016 ein automatisiertes AML Tool der XXXX implementiert wird."

Die bfP räumte weiters ein, dass es "momentan keine automatisierte AML Software gibt, womit eine durchgängige Kundenrisikoklassifizierung möglich" ist. Zur Zeit der VOP und bis zur Implementierung des IT-Systems XXXX am 29.11.2017 erfolgte vielmehr eine manuelle Risikoklassifizierung aller Kunden zum Zeitpunkt der Begründung der Geschäftsbeziehung. Eine automatisierte Risikoklassifizierung aller Kunden zum Zeitpunkt der Begründung der Geschäftsbeziehung war bis zur Einführung des Systems XXXX nicht möglich.

Bis zum 29.11.2017 stand der bfP dagegen nur eine manuelle und listenbasierte Transaktionsüberwachung zur Verfügung.

Weiters weist die bfP in ihrer Stellungnahme vom 06.06.2016 (ON 5, S. 28) darauf hin, dass das gesamte listenbasierte Monitoringsystem anlässlich der VOP grundsätzlich überarbeitet wurde. Die dafür adaptierte Indizienliste weise nunmehr 28 risikobasierte Indiziensachverhalte auf, die durch tägliche, wöchentliche sowie monatliche Reports Transaktionen von Kunden auffällig werden lassen (Beilage ./9). Das bei der bfP damals implementierte System der Transaktionsüberwachung habe zudem nicht bloß einen standardisierten, sondern einen risikobasierten Ansatz verfolgt, der neben PEP Kunden auch Risikobranchen, riskante Unternehmensformen wie Stiftungen, Vereine, Trusts, Umsätze von Laufkunden etc in einem methodisch ausgearbeiteten institutsspezifischen Indizienmodell erfasste.

In der Stellungnahme der bfP an die FMA vom 17.02.2017 (ON 2) räumte die bfP ein, weiterhin über kein durchgängiges, automatisiertes System der Kundenrisikoeinstufung (Transaktionsmonitoring) zu verfügen. Die von der FMA geforderten Überwachungsmuster könnten von dem zu diesem Zeitpunkt nach wie vor durchgeführten manuellen, listenbasierten Transaktionsmonitoring nicht geleistet werden, zumal ein solches Prüfverfahren nur durch ein vollautomatisiertes Transaktionsüberwachungsprogramm verwirklicht werden könne (ON 2, S. 8).

Die bfP räumte demnach mehrfach ein, bis zum 29.11.2017 über kein automatisiertes Transaktionsmonitoring zu verfügen, sie betonte in allen ihren Stellungnahmen aber stets, dass auch das das bei der bfP im Einsatz befindliche listenbasierte, manuelle Prüfsystem die gesetzlichen Vorgaben erfülle. In ihrer Stellungnahme vom 10.05.2017 (ON 3, S. 6ff) beschrieb die bfP das vor Implementierung des Systems XXXX in Verwendung stehende manuelle System, das auf 11 unterschiedlichen Kategorien der Kundenrisikoeinstufung beruht habe. Dabei sei zwischen privaten und juristischen Personen, Neu- und Laufkunden, PEPs, wirtschaftlichen Eigentümern als identifizierte PEPs, Kunden im Fernabsatz, Kunden mit Wohnsitz in einer Off-Shore Destination, Risikobranchen bzw Kunden mit Unternehmensrisiko und nicht akzeptierten Kunden differenziert worden. Die Methodik der Kundenrisikoeinstufung sei nach zwei Grundsätzen, konkret der "2-aus-2-Regel" oder einem "dominanten Risikofaktor" erfolgt. Die Kundenrisikoeinstufung sei dann auf Basis einer "Faktorengewichtung" durchgeführt worden. In bestimmten Fällen wurde diese "2-aus-2-Regel" außer Kraft gesetzt und jedenfalls eine "hohe" Risikoeinstufung vorgenommen. Bei bestimmten weiteren Faktoren wurde eine Kundenbeziehung überhaupt mit "nicht akzeptiert" eingestuft.

In ihrer Rechtfertigung vom 25.01.2019 (ON 9) führte die bfP aus, dass zur Erfüllung der gesetzlichen Vorgaben der Einsatz einer IT-Softwarelösung nicht verpflichtend sei. Die Transaktionsüberwachung müsse bloß der Art, Größe, Komplexität und Umfang der betriebenen Bankgeschäfte angemessen sein und auf Grundlage und im Rahmen der institutsspezifischen Risikoanalyse nach dem risikobasierten Ansatz durchgeführt werden. Aufgrund des überschaubaren und konservativen Produktsortiments, der geringen Kundenanzahl und dem niedrigen Transaktionsvolumen sei das Gefahrenpotential bei der bfP generell niedrig.

Schon vor der Einführung des Systems XXXX am 29.11.2017 habe die bfP über eine kontinuierliche Kunden- und Transaktionsüberwachung verfügt, die nicht nur über das listenbasierte Prüfsystem erfolgt sei, sondern auch über zahlreiche andere Teilelemente, wie etwa das interne Kontrollsystem, tägliche Batchprüfungen der Sanktions- und PEP Listen, Prüf- und Kontrollhandlungen im Rahmen der Kundenannahmepolitik, Stichprobenprüfungen, Aktualisierung von Kundendaten (KYC), etc.

Für die Überwachung von Finanztransaktionen, insb zum Abgleich mit der PEP Prüfung, sei bereits vor der Einführung des XXXX Systems im November 2017 das Teilsystem " XXXX " von XXXX im Einsatz gewesen. Damit sei eine PEP Prüfung aller Neukunden möglich gewesen. Bis zur Implementierung des Systems XXXX im November 2017 sei bei der bfP daher bereits ein teilautomatisiertes Transaktionsmonitoring im Einsatz gewesen.

Zusammenfassend wurde aus Sicht der bfP durch die Einführung eines automatisierten und indizienunterlegten Systems der Transaktionsüberwachung per 29.11.2017 die Transaktionsprüfung bei der bfP zwar wesentlich verbessert. Ein gesetzeskonformes Prüfsystem sei aber auch schon davor durch ein ausreichend differenziertes, manuelles und listenbasiertes Prüfsystem installiert gewesen.

Nach Abwägung der jeweiligen Standpunkte war den Argumenten der bfP nicht zu folgen.

3.2.2.3 Zur rechtlichen Beurteilung der objektiven Tatseite

§ 40 Abs. 2a Z 3 BWG (ab 01.01.2017: § 6 Abs. 1 Z 6 FM-GwG) stellt zweifellos die zentrale Norm bei der Beurteilung der Rechtspflichten zur Prävention von Geldwäscherei und Terrorismusfinanzierung dar. § 40 Abs 2a Z 3 BWG fordert die Ergreifung risikobasierter und angemessener Maßnahmen, um eine kontinuierliche Überwachung der Geschäftsbeziehung, einschließlich einer Überprüfung der im Verlauf der Geschäftsbeziehung abgewickelten Transaktionen, durchzuführen, um sicherzustellen, dass diese mit den Kenntnissen der Institute über den Kunden, seine Geschäftstätigkeit und sein Risikoprofil, einschließlich erforderlichenfalls der Herkunft der Geld- oder Finanzmittel, kohärent sind, und Gewähr zu leisten, dass die jeweiligen Dokumente, Daten oder Informationen stets aktualisiert werden.

Aber auch § 23 Abs 1 FM-GwG ordnet die Einrichtung von Strategien, Kontrollen und Verfahren zur wirksamen Minderung und Steuerung der auf Unionsebene, auf nationaler Ebene und auf Unternehmensebene ermittelten Risiken von Geldwäscherei und Terrorismusfinanzierung an, die in einem angemessenen Verhältnis zu Art und Größe des Verpflichteten zu stehen haben. Gemäß § 23 Abs 1 Z 3 FM-GwG haben die eingerichteten Strategien, Kontrollen und Verfahren insbesondere auch Maßnahmen in Bezug auf neue Produkte, Praktiken und Technologien zum Ausgleich der damit in Zusammenhang stehenden Risiken zu umfassen.

Diese durchaus strengen gesetzlichen Vorgaben verlangen von Kreditinstituten ein höchstmögliches Maß an Kontroll- und Prüfmaßnahmen, um jede Form von Geldwäsche und Terrorismusfinanzierung schnellstmöglich und umfassend zu erkennen und zu verhindern. Ganz wesentlich ist dabei die Möglichkeit, EDV-technisch indizienbasierte Prüfschemen einzusetzen, die auf objektive Weise und so zeitnah wie möglich auffälliges und potentiell geldwäschegeneigtes Verhalten erkennen können, um - darauf aufbauend - weitere Prüfschritte einleiten zu können. Das bei der bfP vor Implementierung des automatisierten Systems XXXX am 29.11.2017 eingesetzte teilautomatisierte System " XXXX " konnte diese Art der automatisierten Prüfung nicht leisten, was auch die die von der bfP damals vorgenommene manuelle Prüfung nicht ausgeglichen konnte. Die bfP brachte es in ihrer Stellungnahme vom 10.05.2017 (ON 3, S. 6) selbst auf den Punkt, wenn sie darauf hinwies, dass die bfP über ein listenbasiertes Indizienmodell mit täglicher Transaktionsüberwachung verfügte, das "bestmöglich" den gesetzlichen Anforderungen gerecht zu werden versuchte, es aber "selbstverständlich" sei, dass "ein automatisiertes System, aufgrund der technischen Vielfältigkeit und der besseren Funktionalität über Komponenten [verfüge], die in einem listenbasierte Modell nicht abgedeckt werden können. Auch das Case Management könne effizienter abgewickelt werden." (ON 3, S. 6)

Dem ist jedenfalls beizupflichten und deckt sich dies auch mit den gesetzlichen Vorgaben, die eine kontinuierliche und risikobasierte Überwachung der Kundentransaktionen vorschreiben, weil eben nur so sichergestellt war (und ist), dass ein Kreditinstitut über die notwendigen Kenntnisse über seine Kunden, deren Geschäftstätigkeit und Risikoprofil, einschließlich (erforderlichenfalls) auch der Herkunft der Geld- oder Finanzmittel verfügt.

Die Judikatur bestätigt diese gesetzlichen Vorgaben: "Andererseits hat das Kreditinstitut zu prüfen, ob die im Verlauf der Geschäftsbeziehung abgewickelten Transaktionen im Hinblick auf risikobasiert festzulegende Prüfkriterien (etwa Art, Frequenz, Höhe bzw. Wert, Zweck sowie Auftraggeber- und Empfänger der Transaktion) mit dem vorhersehbaren Transaktionsverhalten übereinstimmen, das sich aus den vorliegenden Dokumenten, Daten und Informationen gewonnenen Kenntnisse des Kreditinstituts über den Kunden und den wirtschaftlichen Berechtigten ableiten lässt. Auffälligkeiten im Transaktionsverhalten sollen dadurch identifiziert, analysiert werden, um die vom Gesetz vorgesehenen Maßnahmen (etwa Aktualisierung von Daten, Informationen und Dokumenten, Einstufung in eine höhere Risikokategorie, Verdachtsmeldung und Beendigung der Geschäftsbeziehung) setzen zu können. Die Transaktionsprüfung hat laufend zu erfolgen, stellt aber nur einen Teilaspekt dar. Ein im Kreditinstitut installiertes System zur kontinuierlichen Überwachung der Geschäftsbeziehung muss diesen Anforderungen entsprechen." (BVwG 19.09.2014, W210 2000435-1).

Auch der VwGH hielt idZ fest: "Kreditinstitute sind verpflichtet, risikobasierte und angemessene Maßnahmen zu ergreifen, um eine kontinuierliche Überwachung der Geschäftsbeziehung, einschließlich einer Überprüfung der im Verlauf der Geschäftsbeziehung abgewickelten Transaktionen, durchzuführen, um sicherzustellen, dass diese mit den Kenntnissen der Institute über den Kunden, seine Geschäftstätigkeit und sein Risikoprofil, einschließlich erforderlichenfalls der Herkunft der Geld- und Finanzmittel kohärent sind, und Gewähr zu leisten, dass die jeweiligen Dokumente, Daten und Informationen stets aktualisiert werden." (VwGH 10.10.2014, 2014/02/0020)

Laurer äußert sich zwar recht kritisch zur legistischen Ausgestaltung des § 40 Abs 2a Z 3 BWG, aber auch er hält fest: "Wenn eine Überwachung der Geschäftsbeziehung durch das KI (FI) verlangt wird, ist notwendigerweise auch die der Transaktionen erfasst ..." (vgl Laurer in Laurer/Borns/Strobel/M.Schütz, BWG3 § 40 Rz 17).

Die bfP verweist idZ auf die Vorgabe des § 39 Abs 2 BWG, nach der Kreditinstitute für die Erfassung, Beurteilung, Steuerung und Überwachung der bankgeschäftlichen und bankbetrieblichen Risiken sowie ihrer Vergütungspolitik und -praktiken über Verwaltungs-, Rechnungs- und Kontrollverfahren zu verfügen haben, die der Art, dem Umfang und der Komplexität der betriebenen Bankgeschäfte angemessen sind und verbindet diesen Verweis mit dem Vorbringen, dass die bfP eben diesen Vorgaben bereits vor Einführung des automatisierten Systems XXXX im November 2017 entsprochen habe. Dies insb deshalb, weil die bei der bfP implementierten Systeme und Prüfungsabläufe an der Größe, dem Geschäftsfeld und der Komplexität der von ihr betriebenen Bankgeschäfte orientiert und insofern "angemessen" waren. Die bfP vertritt hier offenbar die Auffassung, dass die Erfüllung der Vorgaben des § 39 Abs 2 BWG die Einhaltung der Anforderungen des § 40 Abs. 2a Z 3 BWG obsolet macht.

Dieses Argument überzeugt bei Nähe besehen nicht, zumal einerseits § 39 Abs 2 BWG tatsächlich nicht in Widerspruch zu den Vorgaben des § 40 Abs. 2a Z 3 BWG steht und die bfP andererseits im inkriminierten Zeitraum eben über kein iSd § 39 Abs 2 BWG "angemessenes" Transaktionsmonitoring verfügte.

Tatsächlich verlangen beide Bestimmungen "angemessene" Maßnahmen zur Hintanhaltung von Geldwäsche und Terrorismusfinanzierung. "Angemessen" muss demnach zweierlei sein: Einerseits haben die vom Kreditinstitut gesetzten Maßnahmen insofern angemessen zu sein, um eine kontinuierliche Überwachung der Geschäftsbeziehung, sowie der im Verlauf der Geschäftsbeziehung abgewickelten Transaktionen zu ermöglichen. "Angemessen" haben diese Maßnahmen aber auch mit Blick auf Art, Umfang und der Komplexität der betriebenen Bankgeschäfte zu sein, um hier das erforderliche Augenmaß bei der Dimensionierung von Prüf- und Kontrollmaßnahmen zu wahren, hier etwa mit Blick auf die Größe eines Instituts oder auch die Anzahl der umgesetzten Banktransaktionen (Höllerer/Phum/Stern sprechen idZ treffend von der "Angemessenheit und Proportionalität" des zu implementierenden Risikomanagementsystems; vgl Höllerer/Phum/Stern in Dellinger, BWG II § 39 Rz 41).

Die beiden Bestimmungen stehen zueinander nicht in Widerspruch, im Gegenteil ergänzen sie einander. Dies wird auch mit Blick auf den weiteren Wortlaut des § 39 Abs 2 BWG deutlich, wo darauf hingewiesen wird, dass die Verwaltungs-, Rechnungs- und Kontrollverfahren weitestgehend auch bankgeschäftliche und bankbetriebliche Risiken (...) zu erfassen haben, die sich möglicherweise ergeben können.

Ganz sicher bezweckte § 39 Abs 2 BWG demnach keine Einschränkung der allgemeinen gesetzlichen Vorgaben des § 40 Abs. 2a Z 3 BWG.

Auch die Kommentarliteratur zu § 39 Abs 2 BWG fügt sich in dieses Bild, wenn ausgeführt wird: § 39 "Abs 2 enthält überdies die Kriterien für die Angemessenheit und Proportionalität (...). Das Risikomanagementsystem muss sowohl die einzelnen Risikoarten als auch die Gesamtheit aller wesentlichen Risiken des Kreditinstitutes umfassen." Und konkret betreffend die erforderlichen Systeme wird klargestellt: "Als Voraussetzung für ein effizientes Risikomanagementsystem sind robuste und konsistente Methoden, Prozesse und organisatorische Voraussetzungen sowie EDV-Systeme und eine EDV-Infrastruktur erforderlich. Auch wenn in Abs 1 nur das Steuern, Überwachen und Begrenzen gefordert wird, umfasst der Prozess des Risikomanagements in einem stetigen Kreislauf die Identifizierung, die Quantifizierung, die Aggregation, die Planung und Steuerung sowie die Überwachung des Risikos." (Höllerer/Phum/Stern in Dellinger, BWG II § 39 Rz 41).

Zu berücksichtigen sind zudem die Vorgaben des § 23 Abs 1 Z 3 FM-GwG, wo nicht nur die Einrichtung von Strategien, Kontrollen und Verfahren zur wirksamen Minderung der Risiken von Geldwäscherei und Terrorismusfinanzierung verlangt wird, sondern darüber hinaus auch angeordnet wird, dass diese Maßnahmen in Bezug auf neue Produkte, Praktiken und Technologien zum Ausgleich der damit in Zusammenhang stehenden Risiken zu aktualisieren sind. Die vom Kreditinstitut einzurichtenden Systeme haben daher auch mit der Zeit zu gehen und müssen aktualisiert werden, um die immer neuen Möglichkeiten der Geldwäsche und Terrorismusfinanzierung erkennen und entsprechend bekämpfen zu können.

In den Materialien zu § 23 Abs 1 Z 3 FM-GwG (RV 1335 BlgNr XXV. GP ) wird festgehalten, dass diese Bestimmung "in Umsetzung der FATF-Empfehlung 15 präzisiert [wird], dass Maßnahmen zum Ausgleich des Risikos in Hinblick auf neue Produkte, Praktiken und Technologien vorzusehen sind." Konkret führt die Die Financial Action Task Force (FATF) in der vom Gesetzgeber zitierten Empfehlung aus: "Countries and financial institutions should identify and assess the money laundering or terrorist financing risks that may arise in relation to (a) the development of new products and new business practices, including new delivery mechanisms, and (b) the use of new or developing technologies for both new and pre-existing products. In the case of financial institutions, such a risk assessment should take place prior to the launch of the new products, business practices or the use of new or developing technologies. They should take appropriate measures to manage and mitigate those risks." (FATF-Empfehlung 15, International Standards on combating Money Laundering and the financing of Terrorism & Proliferation).

Wie sich aus den Ausführungen der belBeh im Rahmen der mündlichen Verhandlung vor dem BVwG ergab, unterschied sich das bei der bfP im Einsatz befindliche teilautomatisierte System " XXXX " wesentlich von dem im November 2011 implementierten vollautomatischen System. Der bei der Verhandlung am 16.10.2019 einvernommene Parteienvertreter konnte die Frage nach den mit der Implementierung des Systems XXXX verbundenen Verbesserungen zwar nur mit dem allgemeinen Verweis auf den Ausschluss des "Faktors Mensch" beantworten (VHS 16.10.2019, S. 14). Deutlicher auf den Punkt brachte es hingegen der im inkriminierten Zeitraum bei der bfP verantwortliche GWB, XXXX , der angab: "Ein manuelles System kann keine aggredierten Daten analysieren und erkennen. Darum ist die Intensität der Prüfung weitaus höher und auch der Ressourcenaufwand höher." (VHS 16.10.2019, S. 26). In diesem Sinne gab auch der bei der bfP in Geldwäscheangelegenheiten zuständige Mitarbeiter XXXX an: "Die Datenbereitstellung war automatisch, die Datenquellen waren automatisch angebunden. D.h. es ist mehr Zeit für die eigentliche hochwertige Analyse-Tätigkeit übriggeblieben." (VHS 16.10.2019, S. 39).

Zudem führte der Zeuge XXXX aus: "Es ist völlig klar, dass ein manuelles System das Risiko von operationellen Fehlern nicht in der gleichen Weise erkennen konnte, wie ein modernes System erkennen konnte. Immer dort, wo Menschen "zwischengeschaltet" sind, kann es zu Fehlern kommen. Es macht einen Unterschied, wie die Kundenstruktur Institutsbezogen ist. In meiner Tätigkeit vor meiner Arbeit für die bfP hatte ich ein Umsatzvolumen von über 10 Milliarden zu überwachen. Die Kundenstruktur war deutlich komplexer, sodass kein Weg an einer automatisierten Überwachung geführt hat." (VHS 16.10.2019, S. 27).

Auf die Frage des BFV, ob das System der bfP noch vor Implementierung des Systems XXXX am 29.11.2017 nach Ansicht des Zeugen XXXX angemessen war, antwortete dieser zunächst, dass das alte System ressourcenaufwendig, aber seines Erachtens "gemessen an den Verhältnissen der Bank und ihrer Kundenstruktur (...) adäquat gewesen sei". Gleichzeitig räumte er auf Nachfrage des BFV, ob die bfP über die erforderlichen Ressourcen verfügte, aber ein, dass diese Ressourcen nur zeitweise zur Verfügung standen ("Um ehrlich zu sein: "Jein". Zeitweise ja, zeitweise nein").

Auch aus den Beweisergebnissen im Rahmen der Einvernahmen vor dem BVwG ergab sich für das erkennende Gericht das Bild einer vor der Implementierung des Systems XXXX unzureichenden und entsprechend den gesetzlichen Vorgaben eben nicht "angemessenen" Überprüfung der Zahlungsströme, weil einerseits eine manuelle Überwachung nicht das erreicht, was ein automatisiertes System leisten kann und andererseits, weil der bfP eben nicht durchgehend die entsprechenden Ressourcen zur Verfügung standen, um ein manuelles, listenbasierendes System entsprechend den gesetzlichen Vorgaben einzurichten und aufrecht zu erhalten.

Eine rechtliche Beurteilung der im gegenständlichen Verfahren einschlägigen Normen ergibt somit, dass die bfP im inkriminierten Zeitraum zwar Kontrollsysteme, manuelle Transaktionsprüfungen und teilautomatisierte Prüfvorgänge implementiert hat, dass diese Prüfsysteme aber in ihrer Gesamtheit den gesetzlichen Vorgaben, insb des § 40 Abs 2a Z3 bzw des § 23. Abs 1 Z 3 FM-GWG nicht entsprochen haben.

3.2.3. Zu subjektiven Tatseite:

3.2.3.1 Bei Ungehorsamsdelikten wie dem vorliegenden wird nicht der Eintritt eines Schadens oder eine Gefahr vorausgesetzt, sondern erschöpft sich das Tatbild in dem bloßen Zuwiderhandeln gegen ein Verbot oder in der Nichtbefolgung eines Gebotes. Das Tatbild umschreibt ein menschliches Verhalten ohne Rücksicht auf den Eintritt eines Erfolges oder einer Schädigung" (VwGH 11.09.2015, 2013/17/0485). Da bei Ungehorsamsdelikten das Vorliegen von Fahrlässigkeit gesetzlich vermutet wird, muss der Beschuldigte glaubhaft machen, dass ihn an der Verletzung der Verwaltungsvorschrift kein Verschulden trifft (Lewisch in Lewisch/Fister/Weilguni, VStG2 § 5 Rz 6 und 9; VwGH 30.10.1991, 91/09/0132; 18.06.1990, 89/10/0221).

Im hier gegenständlichen Straferkenntnis wird die subjektive Verantwortlichkeit der im Tatzeitraum jeweils zur Vertretung der bfP nach außen berufenen Personen (ON 6) damit begründet, dass diese jeweils während des inkriminierten Zeitraums gegen die oa Verpflichtungen verstoßen beziehungsweise durch mangelnde Überwachung oder Kontrolle die Begehung der angeführten Verstöße durch eine für die bfP tätige Person ermöglicht haben.

Das Verhalten der in ON 6 sowie im Straferkenntnis (ON 13, S. 2) angeführten Personen wird der bfP jeweils zugerechnet, weil die jeweiligen Mitglieder des Vorstandes der bfP stets als organschaftliche Vertreter der bfP gehandelt haben.

3.2.3.2 § 9 Abs. 1 VStG ist aber nach der Rechtsprechung des VwGH dahingehend einzuschränken, dass die Strafbarkeit nur im Rahmen des eigenen Verschuldens des Beschuldigten liegt, und dieser dazulegen hat, dass die Einhaltung der Norm ohne sein Verschulden nicht möglich war (vgl. VwGH 19.09.1990, 90/03/0148; 19.09.1989, 89/08/0221). Der Judikatur des VwGH zu § 5 Abs. 1 VStG ist zu entnehmen, dass es sich dabei um eine Glaubhaftmachung und nicht um einen Vollbeweis handelt (grundsätzlich dazu VwGH 30.10.1991, 91/09/0060; Lewisch in Lewisch/Fister/Weilguni, VStG2 § 5 Rz 9 ff).

Im Falle eines Ungehorsamsdeliktes gemäß § 5 Abs. 1 VStG ist demnach Fahrlässigkeit anzunehmen, es sei denn, der Beschuldigte macht glaubhaft, dass ihn an der Verletzung der Verwaltungsvorschrift kein Verschulden trifft. Dies ist dann der Fall, wenn der Beschuldigte im Betrieb ein wirksames Kontrollsystem eingerichtet hat, sodass er unter den vorhersehbaren Verhältnissen mit gutem Grund die Einhaltung der gesetzlichen Vorschriften erwarten konnte. Nur ein derartiges, durch den Beschuldigten eingerichtetes Kontrollsystem hat daher entschuldigende Wirkung. Ein solches liegt aber nur dann vor, wenn dadurch die Überwachung der Einhaltung der Rechtsnormen, deren Übertretung dem Beschuldigten zur Last gelegt wurde, jederzeit sichergestellt werden kann (VwGH 26.06.2018, Ra 2016/05/0005; 24.07.2012, 2009/03/0141 mwN). Die von ihm gesetzten Maßnahmen müssen dazu mit Grund die Einhaltung der gesetzlichen Vorschriften erwarten lassen. Sobald ein Vertretungsorgan die "vernünftigerweise geschuldeten Vorkehrungen trifft, hat es für eine gleichwohl eintretende Tatbestandsverwirklichung nicht einzustehen" (Lewisch in Lewisch/Fister/Weilguni, VStG2 § 9 Rz 6). Die Unkenntnis einer Verwaltungsvorschrift ist gemäß § 5 Abs. 2 VStG nur in einigen wenigen Ausnahmefällen entschuldigend. Wie der VwGH in ständiger Rechtsprechung zu § 5 Abs. 2 VStG festgehalten hat, trifft den Normunterworfenen bei Veranlassung dazu eine Erkundigungspflicht (Lewisch in Lewisch/Fister/Weilguni, VStG2 § 5 Rz 18). Werden derartige Erkundigungen bei der Behörde oder aber bei einem berufsmäßigen Parteienvertreter unterlassen (vgl. VwGH 30.11.1981, 81/17/0126), so trägt die Partei das Risiko des Irrtums (Lewisch in Lewisch/Fister/Weilguni, VStG2 § 5 Rz 18).

3.2.3.3 Die bfP hat in ihren Stellungnahmen an die FMA, aber auch in ihrer Rechtfertigung bzw ihrer Beschwerde gegen das Straferkenntnis mehrfach darauf hingewiesen, dass den zur Vertretung nach außen berufenen Vertretern der bfP kein Vorwurf zu machen sei, weil diese stets alles unternommen hätten, um den gesetzlichen Vorgaben zu entsprechen und die organschaftlichen Vertreter der bfP zudem kein Verschulden an den eingetretenen Verzögerungen bei der Implementierung des IT-Systems XXXX getroffen habe.

So wies die bfP in ihrer Rechtfertigung vom 25.01.2019 darauf hin, dass die vollständige Implementierung der Transaktionsüberwachungssoftware XXXX für den 31.12.2016 geplant gewesen und die dann eingetretenen Verzögerungen nicht in der Sphäre der bfP gelegen gewesen sei (ON 9, S. 9). Da das gesamte Kernbankensystem der bfP an den XXXX angeschlossen gewesen sei und die XXXX ebenfalls die Software XXXX zur Kunden- und Transaktionsüberwachung heranziehen würde, sei die bfP zwecks rascher Implementierung auf die Umsetzung durch den Kernbankenprovider "dringend" angewiesen gewesen, zumal allein die Definition und Bereitstellung der Schnittstellen zu den Kunden-, Transaktions- und Kontendaten im Rahmen eines Datenmappings Monate in Anspruch genommen hätte.

Der Projektbeginn sei im Weiteren "bedauerlicherweise und ohne Verschulden" der bfP mehrfach und grundlos hinausgezögert worden, bis im Jänner 2017 der bfP mitgeteilt worden sei, dass die XXXX die bfP bei der Implementierung nicht unterstützen werde (ON 9, S. 10).

Auch in ihrer Beschwerde verwies die bfP darauf, dass der Grund für die Verzögerung bei der Implementierung und damit der Produktivschaltung der automatisierten Software XXXX nicht in der Sphäre der bfP gelegen gewesen sei. Zudem verwies die bfP ein weiteres Mal auf die enge EDV-technische Verflechtung mit dem XXXX , die der Beauftragung eines von der bfP bislang nicht eingesetzten anderen EDV Unternehmens erheblich erschwert hätte (ON 1, S. 10).

Diese Ausführungen der bfP vermögen im Ergebnis nicht zu überzeugen.

3.2.3.4 Es ist grundsätzlich nachvollziehbar, dass sich die bfP aufgrund der langjährigen EDV-technischen Anbindung an die XXXX an diese gewandt hat, um die Implementierung der automatisierten Software XXXX durchzuführen. Nachvollziehbar erscheint weiters, dass das Kernbankensystem der bfP an den XXXX angeschlossen war und die XXXX selbst die Software XXXX zur Kunden- und Transaktionsüberwachung heranzog. Durch die neue Definition und Bereitstellung der Schnittstellen zu den Kunden-, Transaktions- und Kontendaten für einen bislang unbeteiligten Dritten war aus Sicht der bfP wohl tatsächlich eine Verzögerung bei der Umsetzung zu erwarten gewesen.

Dies allein entschuldigt die bfP bzw die für sie aufgetretenen organschaftlichen Vertreter jedoch nicht. Denn die belBeh hat das Fehlen eines angemessenen Systems zum Transaktionsmonitorings, mit dem typische geldwäscherechtliche Vorgänge unmittelbar nach Auftreten eines entsprechenden Verdachts erkannt werden können (die belBeh wies in ihrem VOP-Bericht beispielsweise auf die Gefahr des "smurfing" oder auch des Betriebs reiner Durchlaufkonten hin, ON 1; S. 17) mehrfach kritisiert, hat der bfP mehrfach die Möglichkeit gegeben, den den gesetzlichen Vorgaben widersprechenden Zustand zu beseitigen und Maßnahmen zu setzen, um ein angemessenes Transaktionsmonitoring zu implementieren.

Die bfP hat zwar immer wieder auf den verzögerten Projektstart hingewiesen und auch klargestellt, dass sie selbst an den eingetretenen Verzögerungen kein direktes Verschulden trifft. Die bfP bzw die für sie auftretenden organschaftlichen Vertreter haben aber insgesamt zwei Jahre Zeit gehabt, entweder das zuletzt implementierte System XXXX zu einem früheren Zeitpunkt zu installieren oder aber auf ein anderes, inhaltlich gleichwertiges System auszuweichen, um den gesetzlichen Vorgaben zu entsprechen. Es wäre daher an der bfP gelegen gewesen, bereits zu einem früheren Zeitpunkt ein den gesetzlichen Vorgaben entsprechendes System zu implementieren, auch wenn die Einbindung eines bislang mit der bfP nicht zusammenarbeitenden EDV-Unternehmens einen höheren Aufwand bedeutet hätte.

Die bfP wusste um die gesetzlichen Anforderungen, sie kannte die über einen Zeitraum von insg zwei Jahren mehrfach formulierten Anforderungen der belBeh zur Implementierung eines adäquaten Transaktionsmonitoring, sodass sich die bfP nicht durch einen Verweis auf eine allenfalls verzögerte Umsetzung durch einen von der bfP beauftragten Dritten entschuldigen kann.

Zu Ende gedacht wäre die Einhaltung bank-, kapitalmarkt-, aufsichtsrechtlicher oder auch geldwäscherechtlicher Bestimmungen ansonsten stets dann obsolet, wenn sich ein Kreditinstitut bei der Erfüllung der ihn treffenden rechtlichen Verpflichtungen eines Dritten bedient und dieser seiner vertraglichen Verpflichtungen nicht oder nur verzögert nachkommt. Die Grenze wäre diesfalls nur noch dort zu ziehen, wo sich das Kreditinstitut wissentlich einer dazu ungeeigneten Person bedient.

Es wäre der bfP möglich und auch zumutbar gewesen, ein anderes Unternehmen mit der Umsetzung zu beauftragen und auf diese Weise fristgerecht einen den gesetzlichen Vorgaben entsprechenden Zustand herzustellen. Dies ergibt sich auch aus der Einholung eines Alternativangebotes durch die bfP, konkret vom Unternehmen XXXX (Beilage ./6 und ./7). Dieses Unternehmen wurde von der bfP - nicht zuletzt aufgrund der bei der Umsetzung mit der XXXX eingetretenen Verzögerungen - zur Anbotslegung eingeladen. Spätestens mit April 2017 lag der bfP daher ein Alternativangebot vor, das die bfP der belBeh mit E-Mail vom 24.04.2017 weitergeleitet hat. Wie sich aus dem von XXXX an die belBeh verfassten Mail ergibt, rechnete der GWB der bfP mit einem möglichen Projektstart Ende September 2017. Ausdrücklich verwies der Zeuge XXXX in seinem damaligen Mail an die FMA auf die mögliche technische Umsetzung wenn er ausführte: "Die von mir verfasste Risikoanalyse sowie die listenbasierte Transaktionsüberwachung ist jedenfalls mit dem XXXX ) und XXXX (Kundenrisikoeinstufung und basierte Transaktionskontrolle) methodisch kompatibel sowie technisch umsetzbar." Der Umstieg auf einen neuen Anbieter mag daher - gegenüber dem bisherigen XXXX - mit einem höheren Aufwand verbunden gewesen sein und hätte wohl auch die Harmonisierung bislang im Einsatz befindlicher Schnittstellen erfordert. Ein solcher Umstieg wäre aber technisch möglich gewesen und es liegt in der Verantwortung der für die bfP handelnden Mitglieder des Vorstandes, diesen Weg nicht gegangen zu sein, sondern lieber zugewartet zu haben, um eine Lösung mit dem bisherigen Projektpartner, der XXXX , zu erreichen.

3.2.3.5 Auch die Vorgabe des § 5 Abs. 2 VStG, nach der ein Beschuldigter sich strafbefreiend auf die Unkenntnis der Verwaltungsvorschrift berufen kann, greift im Fall der bfP nicht, weil diese ja in zahlreichen Stellungnahmen an die belBeh selbst eingeräumt hat, dass das geforderte automatisierte Transaktionsüberwachungssystem Prüfschritte in einer Intensität und auch Geschwindigkeit ermöglicht, die ein rein manuelles und listenbasiertes System nicht leisten kann. Der bfP waren die gesetzlichen Vorgaben daher im Detail bekannt, zumal die belBeh darauf mehrfach und über einen Zeitraum von zwei Jahren hingewiesen hat. Von einer Unkenntnis der Verwaltungsvorschrift kann im hier vorliegenden Fall daher keine Rede sein.

3.2.3.6 Das Verschulden der bfP bzw der für sie einschreitenden zur Vertretung nach außen berufenen Personen (ON 6, Straferkenntnis ON 13, S. 2) konnte auch nicht als geringfügig angesehen werden, da weder hervorgekommen ist, noch aufgrund der Tatumstände anzunehmen war, dass die Einhaltung der Vorschrift eine besondere Aufmerksamkeit erfordert habe oder dass die Verwirklichung der Tatbestände aus besonderen Gründen nur schwer hätte vermieden werden können.

3.2.3.7 Auch die mit BGBl I 2018/57 eingeführte und für die bfP allenfalls günstigere Norm des § 5 Abs 1a VStG, wonach Abs. 1 zweiter Satz dieser Bestimmung nicht gilt, wenn die Verwaltungsübertretung mit einer Geldstrafe von über 50 000 Euro bedroht ist, vermag an der hier angenommenen Strafbarkeit des der bfP zuzurechnenden Verhaltens ihrer organschaftlichen Vertreter nichts zu ändern.

Zu dieser Bestimmung halten die Materialien (RV 193 BlgNr XXVI. GP ) folgendes fest:

Zu Z 1 (§ 5 Abs. 1a): § 5 Abs. 1 VStG sieht in Bezug auf Fahrlässigkeitsdelikte unter weiteren Voraussetzungen vor, dass ein Verschulden "ohne weiteres anzunehmen" ist; es handelt sich demnach um eine - allerdings widerlegliche - gesetzliche Vermutung, dass den Beschuldigten ein Verschulden trifft. Diese Vermutung soll dann nicht gelten, wenn eine (einzelne) Verwaltungsübertretung mit einer Geldstrafe von über 50 000 Euro bedroht ist. Ist eine Verwaltungsübertretung (als solche) mit einer Geldstrafe von über 50 000 Euro bedroht, erreicht eine entsprechende Tat eine Gravität, bei der ein Verschulden nicht ohne weiteres anzunehmen ist. Gemäß § 9 Abs. 1 VStG ist für die Einhaltung der Verwaltungsvorschriften durch juristische Personen oder eingetragene Personengesellschaften strafrechtlich verantwortlich, wer zur Vertretung nach außen berufen ist. Nach der Judikatur des Verwaltungsgerichtshofes trifft eine solche Person allerdings dann kein Verschulden, wenn sie glaubhaft macht, ein wirksames Kontrollsystem eingerichtet zu haben, das im Ergebnis mit gutem Grund die Einhaltung der Verwaltungsvorschriften erwarten lässt. Die diesbezüglichen Anforderungen sind nach der Rechtsprechung des VwGH laut Ansicht der hL streng (vgl. Lewisch in Lewisch/Fister/Weilguni, VStG2 § 9 Rz 43). In Abkehr von dieser Rechtsprechung soll ein Verschulden nicht anzunehmen sein, wenn der Verantwortliche nachweist, dass er eine qualitätsgesicherte Organisation eingerichtet und geführt hat, die durch externe Prüfung oder durch interne Überwachung (zB durch Betrauung geeigneter Mitarbeiter mit Kontrollaufgaben, fortlaufende Schulungen, den Einsatz automatisierter Überwachungsinstrumente etc.) regelmäßig kontrolliert wird. Eine qualitätsgesicherte Organisation liegt etwa vor, wenn ein verlässlicher Mitarbeiter geschult und mit einer entsprechenden Kontrollaufgabe betraut wird. Kontrollsysteme wie beispielsweise die Sicherstellung des Vier-Augen-Prinzips, regelmäßige Stichproben usw. stellen weitere Maßnahmen dar, die geeignet sein können, die Einhaltung der Verwaltungsvorschriften sicherzustellen. In diesen Fällen ist anzunehmen, dass die juristische Person ausreichende Vorkehrungen getroffen hat, um die Verwirklichung des Tatbildes durch den zuständigen Mitarbeiter (den unmittelbaren Täter) zu verhindern, weswegen eine Strafbarkeit als verantwortliches Organ gemäß § 9 Abs. 1 VStG ausgeschlossen ist (vgl. auch BVwG vom 6.8.2015, W 120 2011394-1).

Im hier gegenständlichen Fall ist die Verletzung der von der bfP einzuhaltenden Bestimmungen (§ 35 Abs. 3 erster Strafsatz FM-GwG, BGBl. I Nr. 118/201 iVm § 34 Abs. 1 Z 8 FM-GwG, BGBl. I Nr. 118/2016) mit einer Geldstrafe von EUR 150.000, sohin mit über 50.000 EUR bedroht. Es ist daher - ausgehend von der gesetzlichen Vorgabe, nicht ohne weiteres von einem Verschulden der bfP bzw der für sie einschreitenden organschaftlichen Vertreter auszugehen. Die bfP hat aber - nach eingehender Prüfung - und ohne dies ohne weiteres anzunehmen, gerade kein "wirksames Kontrollsystem" eingerichtet, das sie "die Einhaltung der Verwaltungsvorschriften" erwarten hätte lassen können. Auch die - erst nach Beendigung des gesetzwidrigen Zustandes eingeführte - Norm des § 5 Abs 1a VStG ändert daher nichts an der hier getroffenen Wertung.

3.2.3.8 Zum Erkenntnis des VwGH vom 29.03.2019, Ro 2018/02/0025 (idS auch VwGH 29.03.2019, Ro 2018/02/0023-8 und VwGH 29.03.2019, Ro 2018/02/0028-5) und der Stellung der zur Vertretung nach außen Befugten gemäß § 9 VStG im Verfahren der juristischen Person.

3.2.3.8.1 Zum Erkenntnis des Verwaltungsgerichtshofes vom 29.03.2019, Ro 2018/02/0025

Mit Erkenntnis vom 29.03.2019 zu Ro 2018/02/0025 hielt der VwGH fest:

"14 Aus dem Wortlaut der Bestimmung des § 99d BWG, mit dem jede Gesetzesauslegung zu beginnen hat (VwGH 21.9.2018, Ro 2018/02/0013), ergibt sich die vom Verwaltungsgericht vertretene Auffassung, wonach die Bestrafung der juristischen Person einen rechtskräftigen Schuldspruch gegen eine dort angeführte natürliche "Führungsperson" voraussetzt, keineswegs, zumal in § 99d BWG nur von einem "Verstoß" und in § 35 FM-GwG nur von einer "Pflichtverletzung" die Rede ist. Gegen die Ansicht des Verwaltungsgerichtes sprechen auch das Fehlen einer entsprechenden Norm sowie die der FMA eröffnete Möglichkeit, zufolge § 99d Abs. 5 BWG von der Bestrafung eines Verantwortlichen gemäß § 9 VStG unter bestimmten Umständen abzusehen, wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen die juristische Person verhängt wird. Auch die Gesetzesmaterialien deuten nicht in die vom Verwaltungsgericht angedachte Richtung, wenn davon gesprochen wird, dass die Möglichkeit einer Bestrafung des Verantwortlichen gemäß § 9 VStG weiterhin parallel bestehen bleibt und aus Gründen der Verfahrensökonomie von der Bestrafung des Verantwortlichen gemäß § 9 VStG wegen derselben Verwaltungsübertretung abgesehen werden kann.

15 Demnach kann von einer zwingenden Zweistufigkeit des Verfahrens, bei dem das Verwaltungsgericht offenbar die Urteilsabfolge des § 22 Abs. 2 VbVG vor Augen hatte, nicht die Rede sein.

16 Davon ausgehend stellen sich im Revisionsfall - wegen des unionsrechtlichen Bezugs unter dem Aspekt eines fairen Verfahrens gemäß Art. 47 Abs. 2 GRC, auf den sich auch juristische Personen berufen können (vgl. Jarras, Charta der Grundrechte der Europäischen Union, Art. 47 Rz 12) - weitere, auch vom Verwaltungsgericht aufgeworfene Fragen, zumal § 99d BWG - anders als die Verbandsverantwortlichkeit nach dem VbVG - nicht von verfahrensrechtlichen Bestimmungen flankiert ist.

17 Auch findet sich sonst kein besonderes Verfahrensrecht für das Verwaltungsstrafverfahren gegen juristische Personen, weshalb - soweit auf juristische Personen anwendbar - auf das von der FMA bei der Ahndung von Verwaltungsübertretungen heranzuziehende FMBAG sowie das VStG (Art. I Abs. 2 Z 2 EGVG), das wiederum auf Teile des AVG verweist (§ 24 VStG) und das (subsidiär) auch im verwaltungsgerichtlichen Strafverfahren anzuwenden ist (§ 38 VwGVG), zurückzugreifen ist.

18 Den Ausgangspunkt eines Verwaltungsstrafverfahrens bildet § 25 VStG, wonach Verwaltungsübertretungen (mit Ausnahme von Privatanklagesachen) von Amts wegen zu verfolgen sind (Grundsatz der Amtswegigkeit). Die Behörde hat daher grundsätzlich ein Verwaltungsstrafverfahren einzuleiten und eine Strafe zu verhängen.

19 In Abkehr vom Amtswegigkeitsprinzip sieht § 99d BWG (ebenso wie die Nachfolgebestimmung des § 35 FM-GwG) ein Ermessen der FMA vor ("kann...verhängen"), juristische Personen als unmittelbare Strafadressaten zu verfolgen sowie gegebenenfalls zu bestrafen.

20 Gegen die Bestrafung juristischer Personen bestehen im Übrigen keine verfassungsrechtlichen Bedenken (vgl. zur Verbandsverantwortlichkeit VfGH 2.12.2016, G 497/2015 ua).

21 Blickt man auf die wegen des Unionsrechtsbezugs hier maßgebenden Verfahrensgarantien des Art. 47 GRC, ist es folgerichtig, dass die juristische Person als Beschuldigte nach § 32 VStG anzusehen ist, wenn sie im Verdacht steht, eine Verwaltungsübertretung zu verantworten zu haben und die Behörde gegen sie eine Verfolgungshandlung richtet. Sie ist dann auch Partei im Sinne des AVG.

22 Ist die juristische Person Beschuldigte im Verwaltungsstrafverfahren (§ 32 VStG), hat sie alle mit dieser Parteistellung verbundenen Rechte. So etwa ist dem Beschuldigten rechtliches Gehör einzuräumen (§ 40 VStG), er muss an ihn gestellte Fragen nicht beantworten (§ 33 Abs. 2 VStG). Der Beschuldigte hat Zugang zu einem Gericht (Verwaltungsgericht), das grundsätzlich eine öffentliche mündliche Verhandlung durchzuführen hat (§ 44 VwGVG), in der dem Beschuldigten Frage- und Informationsrechte zustehen, er kann sich auch vertreten lassen (§ 46 VwGVG). Auch ermöglicht der Strafrahmen des § 99d Abs. 3 BWG mangels Untergrenze eine einzelfallgerechte Strafhöhe (zur Verfassungsmäßigkeit von § 99d BWG in Bezug auf die Strafhöhe vgl. VfGH 13.12.2017, G 408/2016-31 ua).

23 Zudem sind auch die Einschränkungen und Ausnahmen vom Amtswegigkeitsprinzip, die sich etwa aus § 25 Abs. 3 VStG (Absehen von der Anzeigeerstattung), aus § 34 VStG (Vorläufiges Absehen von der Einleitung oder Fortführung des Strafverfahrens) oder aus § 45 Abs. 1 VStG (Absehen von der Einleitung oder Fortführung eines Strafverfahrens und Einstellung) ergeben, auf das gegen die juristische Person als Beschuldigte geführte Verfahren zu ihren Gunsten anwendbar, soweit sie nicht ausschließlich auf natürliche Personen zugeschnitten sind.

24 Durch diese der juristischen Person zukommende prozedurale Rechtsstellung wird den an das Recht auf ein faires Verfahren gestellten Anforderungen entsprochen, weshalb die von Art. 47 GRC geforderten Verfahrensgarantien in einem Verfahren nach dem VStG auch für die juristische Person gewährleistet sind (vgl. zu Art. 6 EMRK im Strafverfahren gegen einen Verband nochmals VfGH 2.12.2016, G 497/2015 ua).

25 Die Bestrafung der juristischen Person nach der in Rede stehenden Bestimmung setzt voraus, dass eine ihr zurechenbare natürliche Person (Führungsperson) eine Straftat begangen hat. Der Strafbarkeit der juristischen Person nach § 99d Abs. 1 und 2 BWG liegt dabei der Vorwurf zu Grunde, die dort genannten Führungspersonen hätten gegen die dort angeführten "Verpflichtungen verstoßen" (Abs. 1) oder sie hätten durch mangelnde Kontrolle oder Überwachung eine "Mitarbeitertat" ermöglicht (Abs. 2).

26 Die in § 99d BWG verwiesenen Verbots- und Gebotsnormen richten sich entweder direkt an die juristische Person (§ 98 Abs. 1 BWG) oder an den Verantwortlichen gemäß § 9 VStG (§ 98 Abs. 2, Abs. 5, Abs. 5a und § 99 Abs. 1 BWG).

27 Der verfassungsrechtlich geforderte Zusammenhang für die Zurechnung der Anlasstat zur juristischen Person kommt dadurch zum Ausdruck, dass einerseits eine Führungsperson entweder die Tat selbst begangen hat (Abs. 1) oder die Begehung der Tat eines Mitarbeiters durch mangelnde Überwachung und Kontrolle ermöglicht wurde (Abs. 2), andererseits Verbandspflichten verletzt wurden (§ 98 Abs. 1 BWG) bzw. der Verband einen Nutzen aus der Tat zieht (§ 99d Abs. 3 leg.cit.) (vgl. zu § 3 VbVG neuerlich VfGH 2.12.2016, G 497/2015 ua).

28 Wegen eines Verstoßes gegen eine verwaltungsstrafrechtlich sanktionierte Verpflichtung kann bestraft werden, wer den entsprechenden Tatbestand rechtswidrig und schuldhaft (§ 5 VStG) verwirklicht; im konkreten Fall einen oder mehrere Tatbestände des § 98 Abs. 1, Abs. 2 Z 7 und 11, Abs. 5, Abs. 5a oder § 99 Abs. 1 Z 3 oder 4 BWG.

29 Da die juristische Person nicht selbst handeln kann, ist ihre Strafbarkeit gemäß § 99d BWG eine Folge des tatbestandsmäßigen, rechtswidrigen und schuldhaften Verhaltens einer Führungsperson. Demgemäß ist für die Wirksamkeit der gegen die juristische Person gerichteten Verfolgungshandlung die genaue Umschreibung der Tathandlung der natürlichen Person vonnöten. Eine Verfolgungshandlung im Sinne der §§ 31 und 32 VStG muss nämlich eine bestimmte Verwaltungsübertretung zum Gegenstand haben, was erfordert, dass sie sich auf alle der späteren Bestrafung zugrunde liegenden Sachverhaltselemente beziehen muss (VwGH 8.3.2017, Ra 2016/02/0226, mwN). Richtet sich ein so erhobener Vorwurf gegen die juristische Person, so ist - wegen der Abhängigkeit der Strafbarkeit der juristischen Person von der Übertretung der ihr zurechenbaren natürlichen Person - darin auch der Vorwurf gegen die darin genannte natürliche Person enthalten.

30 Wird aber einer namentlich genannten oder aus der sonstigen Umschreibung eindeutig nach individuellen Kriterien bestimmten (vgl. Lewisch/Fister/Weilguni, Verwaltungsgstrafgesetz², Rn 13 zu § 32) Führungsperson in einer Verfolgungshandlung gegen die juristische Person eine der genannten Straftaten vorgeworfen und kommt die Führungsperson für eine Bestrafung in Betracht, was aufgrund der in § 99d BWG verwiesenen Bestimmungen (nur) auf die Verantwortlichen gemäß § 9 VStG zutrifft, steht der Verantwortliche gemäß § 9 VStG im Verdacht dieser Verwaltungsübertretung, weshalb er ab diesem Zeitpunkt gemäß § 32 Abs. 1 VStG Beschuldigter ist, zumal die Amtshandlung nicht an den Verdächtigen adressiert sein muss (vgl. aaO, Rn 15). Neben der besonderen Stellung im Verwaltungsstrafverfahren als Partei ist dieser Umstand auch für die Verfolgungsverjährung sowohl hinsichtlich der juristischen als auch der natürlichen Person von Bedeutung (§ 31 Abs. 1 VStG).

31 Bei dieser Gelegenheit ist festzuhalten, dass es - sei es für die Verfolgungshandlung, sei es für die Bestrafung - für die Bestimmtheit der verfolgten Person, soweit sie im Spruch nicht ohnehin namentlich genannt wird, nicht ausreicht, wenn auf der Erledigung nicht beigeschlossene Urkunden (wie im vorliegenden Straferkenntnis auf das "Firmenbuch") verwiesen wird; wie oben gezeigt wurde, genügt die bloße Bestimmbarkeit der Person nicht.

32 Die Stellung als Beschuldigter hat für den Verantwortlichen zur Folge, dass er nicht nur in einem allenfalls gegen ihn geführten Verfahren als Beschuldigter zu behandeln ist, sondern auch im Verfahren gegen die juristische Person, andernfalls seine Parteirechte nicht gewährleistet wären.

33 Mit Blick auf die eingangs wiedergegebene Zulässigkeitsfrage bedeutet dies, dass das Verfahren gegen die natürliche Person nicht vorrangig zu führen und zu beenden ist sowie keinen Schuldspruch gegen diese erfordert, um auch die juristische Person bestrafen zu dürfen. Für eine Bestrafung der juristischen Person ist vielmehr entscheidend, dass die zur Beurteilung eines tatbestandsmäßigen, rechtswidrigen und schuldhaften Verhaltens, das auch allfälligen zusätzlichen Voraussetzungen der Strafbarkeit genügt, erforderlichen Feststellungen getroffen und im Spruch alle notwendigen Elemente für eine Bestrafung der natürlichen Person aufgenommen werden (§ 44a VStG), mit dem Zusatz, dass das Verhalten der natürlichen Person der juristischen Person zugerechnet werde. Es kommt nicht darauf an, ob und gegebenenfalls gegen welche natürliche Person - ebenfalls - ein Verwaltungsstrafverfahren geführt wird oder wurde. (...).

39 Der Vergleich zwischen der dargestellten Rechtslage (insbesondere § 35 FM-GwG) und § 99d BWG zeigt, dass beide Bestimmungen den im Wesentlichen gleichen Regelungsinhalt aufweisen, weshalb auch § 35 FM-GwG die vom Verwaltungsgericht seiner Verfahrenseinstellung zu Grunde gelegte "Zweistufigkeit des Verfahrens" nicht erfordert. Demnach ist bei der Bestrafung von juristischen Personen auch im Geltungsbereich von § 35 FM-GwG, ergänzt durch § 22 Abs. 6 Z 2 FMABG, ebenso vorzugehen, wie dies oben im Verfahren gemäß § 99d BWG vorgezeichnet wurde."

Aus all dem ergibt sich, dass eine taugliche Verfolgungshandlung gemäß § 32 Abs. 2 VStG gegen die juristische Person auch den Vorwurf gegen die darin genannte natürliche Person enthält. In den Fällen des § 99d BWG und § 35 FM-GwG trifft dies nur auf die Verantwortlichen gemäß § 9 VStG zu. Sowohl die juristische Person als auch die genannte natürliche Person sind ab diesem Zeitpunkt Beschuldigter gemäß § 32 Abs. 1 VStG mit sämtlichen Rechten eines Beschuldigten. Die natürliche Person ist auch im Verfahren der juristischen Person Partei.

Die Person, deren Verhalten zugerechnet wird, muss bestimmt im Sinne des § 32 Abs. 2 VStG sein, nicht bloß bestimmbar, der bloße Verweis auf eine Urkunde, ohne dass diese der Verfolgungshandlung oder dem Straferkenntnis beiliegt, reicht nicht aus Die bloße Funktionsbezeichnung ist nicht ausreichend, um eine Amtshandlung als Verfolgungshandlung zu qualifizieren."; VwGH 29.03.2019, Ro 2018/02/2018, Rz 31).

An die Formulierung der Verfolgungshandlung und an die Formulierung des Spruches stellt der VwGH den Anspruch, dass "im Spruch alle notwendigen Elemente für die Bestrafung der natürlichen Person aufgenommen werden (§ 44a VstG), mit dem Zusatz, dass das Verhalten der natürlichen Person zugerechnet wird." (VwGH 29.03.2019, Ro 2018/02/2018, Rz 33), zudem sind die "zur Beurteilung eines tatbestandsmäßigen, rechtswidrigen und schuldhaften Verhaltens, das auch allfälligen zusätzlichen Voraussetzungen der Strafbarkeit genügt, erforderlichen Feststellungen" zur natürlichen Person zu treffen. Es ist nicht ausschlaggebend, ob und gegen welche natürliche Person ein Verwaltungsstrafverfahren in derselben Sache geführt wurde.

3.2.3.8.2 Die Stellung der zur Vertretung nach außen Befugten gemäß § 9 VStG

Als Resultat aus dem oben genannten Erkenntnis des VwGH gilt, dass eine konkret bestimmte Führungsperson auch im Verfahren der juristischen Person als Beschuldigter zu behandeln ist, andernfalls seine Parteienrechte nicht gewahrt werden (VwGH 29.03.2019, Ro 2018/02/2018, Rz 32).

Im vorliegenden Verfahren wurden daher sämtliche im inkriminierten Zeitraum zur Vertretung nach außen befugten Personen geladen und die Möglichkeit eingeräumt, im verwaltungsgerichtlichen Verfahren auszusagen. Beschuldigten im Verwaltungsstrafverfahren (§ 32 VStG) ist "rechtliches Gehör" einzuräumen (§ 40 VStG), sie müssen die an sie gerichteten Fragen nicht beantworten (§ 33 Abs. 2 VStG). Beschuldigte haben Zugang zu einem Gericht (Verwaltungsgericht), das grundsätzlich eine öffentliche mündliche Verhandlung durchzuführen hat (§ 44 VwGVG), in der den Beschuldigten Frage- und Informationsrechte zustehen; sie können kann sich auch vertreten lassen (§ 46 VwGVG).

Auch nur einen der Beteiligten in der Ausübung seiner Rechte durch willkürliches Setzen von Verfahrensakten zu beschneiden, würde nach Ansicht des erkennenden Senates an Willkür grenzen und sowohl einen Verstoß gegen Art. 6 EMRK, Art. 47 GRC und als auch Außerachtlassen jeglicher dazu ergangener Judikatur des VfGH und des VwGH bedeuten (vgl. etwa VwGH, 21.11.2000, 99/09/0002 zur Verfahrensstellung der haftungspflichtigen Gesellschaft gemäß § 9 Abs. 7 VStG; explizit: VwGH 29.03.2019, Ro 2018/02/2018, Rz 32 ).

Aus all diesen Gründen wurden sämtliche im inkriminierten Zeitraum vertretungsbefugten Personen geladen und ihnen die Gelegenheit gegeben, ihre Parteienrechte auszuüben.

3.2.3.9 Aus den im Rahmen der rechtlichen Beurteilung ausgeführten Gründen folgt, dass die bfP im gegenständlichen Verfahren, vertreten durch die jeweils zur Vertretung nach außen gem § 9 Abs 1 VStG berufenen Personen (ON 6, Straferkenntnis ON 13, S. 2) im Tatzeitraum für die Einhaltung der Bestimmungen der §§ 40 Abs 2a Z 3 BWG, § 39 Abs 2 BWG und 23 Abs 1 Z3 FM-GwG verantwortlich war und ihr die Verwaltungsübertretungen im verfahrensgegenständlichen zeitlichen Rahmen auch subjektiv vorwerfbar sind.

3.2.4. Zur Strafbemessung

Gemäß § 19 VStG sind Grundlage für die Bemessung der Strafe die Bedeutung des strafrechtlich geschützten Rechtsgutes und die Intensität seiner Beeinträchtigung durch die Tat. Überdies sind die nach dem Zweck der Strafdrohung in Betracht kommenden Erschwerungs- und Milderungsgründe, soweit sie nicht schon die Strafdrohung bestimmen, gegeneinander abzuwägen. Auf das Ausmaß des Verschuldens ist besonders Bedacht zu nehmen. Unter Berücksichtigung der Eigenart des Verwaltungsstrafrechtes sind §§ 32 bis 35 StGB sinngemäß anzuwenden.

Im vorliegenden Verfahren ist weiters § 35 Abs 3 erster Strafsatz iVm § 34 Abs 1 Z 8 iVm Z 2 FM-GwG, und damit die Schwere und Dauer des Verstoßes, der Grad der Verantwortung der verantwortlichen natürlichen oder juristischen Person, die Finanzkraft der verantwortlichen natürlichen oder juristischen Person, wie sie sich beispielweise aus dem Gesamtumsatz der verantwortlichen juristischen Person ablesen lässt, weiters die Höhe der von der verantwortlichen juristischen Person erzielten Gewinne oder verhinderten Verluste, sofern diese sich beziffern lassen, ebenso die Verluste, die Dritten durch den Verstoß zugefügt wurde, sofern sich dieser beziffern lässt, der Verlust, der dem Funktionieren der Märkte oder der Wirtschaft allgemein zugefügt wurde, sofern sich dieser beziffern lässt, die Bereitschaft der verantwortlichen natürlichen oder juristischen Person zur Zusammenarbeit mit der zuständigen Behörde, frühere Verstöße der verantwortlichen natürlichen oder juristischen Person sowie nach dem Verstoß getroffene Maßnahmen der für den Verstoß verantwortlichen natürlichen oder juristischen Person zur Verhinderung einer Wiederholung dieses Verstoßes, zu berücksichtigen.

3.2.4.1 Die belangte Behörde wertete die Unbescholtenheit der bfP als juristische Person als mildernd, ebenso deren Bereitschaft, mit der FMA zusammenzuarbeiten.

Als erschwerend wertete die belBeh unter Verweis auf § 38 Z 1 FM-GwG, dass es sich beim konkreten Verstoß "um eine systemische Verletzung der Verpflichtungen betreffend die Prävention von Geldwäscherei und Terrorismusfinanzierung handelt." Dabei verwies die FMA auf den Umstand, dass die bfP im Zeitraum der VOP bis zur Implementierung des IT-System XXXX über keine im Verhältnis zu ihrer Art und Größe angemessene Transaktionskontrolle verfügte und dieser Zustand insgesamt etwa zwei Jahre andauerte. IZm der Schwere und der Dauer des Verstoßes berücksichtigte die belBeh aber auch den Umstand, dass mit dem Fehlverhalten keine erzielten Gewinne oder Verluste für Dritte festgestellt werden konnten (§ 38 Z 4 und 5 FM-GwG).

Weitere Milderungsgründe oder Erschwerungsgründe kamen im Verfahren nicht hervor.

Vor diesem Hintergrund wurde von einer Basisstrafe in der Höhe von EUR 80.000,00 ausgegangen. Die Milderungsgründe gewichtete die FMA zweimal mit 15% der Basisstrafe, sohin mit insgesamt EUR 24.000 (vgl Straferkenntnis ON 13, S. 17).

Die belBeh erachtete daher im Hinblick auf den verwirklichten Tatunwert und unter Berücksichtigung der Kriterien des § 38 FM-GwG gemessen am zur Verfügung stehenden Strafrahmen eine Strafe von insgesamt EUR 56.000,00 als angemessen und auch als erforderlich, um die bfP und Dritte von der Begehung gleicher oder ähnlicher strafbaren Handlungen abzuhalten.

3.2.4.2 Gemäß § 1 Abs. 2 VStG richtet sich die Strafe nach dem zur Zeit der Tat geltenden Recht, es sei denn, dass das zur Zeit der Entscheidung geltende Recht in seiner Gesamtauswirkung für den Täter günstiger wäre.

Das von der bfP zu verantwortende Fehlverhalten dauerte über einen Zeitraum von ca zwei Jahren an, es handelt sich sohin um ein Dauerdelikt.

Das zur Zeit der Tat geltende Recht orientiert sich an dem zum Zeitpunkt der Beendigung des mit Strafe bedrohten Verhaltens geltenden Recht (VwGH 07.03.2000, 96/05/ 0107), selbst wenn sich die Rechtslage zum Nachteil des Täters verändert hat (VwGH 02.05.2005, 2001/10/0183; W. Wessely in N. Raschauer/W. Wessely, VStG § 1 Rz 8).

Die belBeh bezog in die Strafbemessung zudem ein, unter welchem Regime der überwiegende Teil der Tat verwirklicht wurde (VwGH 28.09.2006, 2005/07/0096; W. Wessely in N. Raschauer/W. Wessely, VStG § 1 Rz 8). Im gegenständlichen Fall endete der Tatzeitraum nach dem 01.01.2017 (Inkrafttreten des FM-GwG), konkret am 29.11.2017. Daher ist nach Auffassung der belBeh in diesem Fall sowohl das nach dem Zeitpunkt der Tat geltende Recht als auch das zur Zeit der Entscheidung geltende Recht das FM-GwG (BGBl I Nr. 2016/118), in der jeweils geltenden Fassung maßgeblich.

§ 35 Abs. 3 erster Strafsatz iVm § 34 Abs. 1 FM-GwG sieht für den im Spruchpunkt des Straferkenntnisses angeführten Systemverstoß (§ 23 Abs. 1 Z 3 FM-GwG) eine Strafdrohung von bis zu EUR 150.000,00 vor. Wie die belBeh zutreffend anmerkt, ist in diesen Fällen "ein Überwiegen des Tatzeitraumes während der Geltung der günstigeren Strafdrohung im Rahmen der Entscheidung nach § 19 VStG" zu berücksichtigen (VwGH 28.09.2006, 2005/07/0096; W. Wessely in N. Raschauer/W. Wessely, VStG § 1 Rz 8; vgl ON 13, S. 15).

Im gegenständlichen Fall liegt der überwiegende Tatzeitraum vor dem Inkrafttreten des FM-GwG (Tatzeitraum 12.11.2015 bis 29.11.2017). Somit war zu prüfen, ob die Rechtslage vor dem Inkrafttreten des FM-GwG in seiner Gesamtauswirkung für die bfP günstiger war.

Nach der Rechtslage im überwiegenden Tatzeitraum (§ 99d Abs 3 BWG, BGBl. I Nr. 532/1993 idF BGBl. I Nr. 184/2013) wäre für den hier gegenständlichen Verstoß eine Geldstrafe bis zu 10 vH des jährlichen Gesamtnettoumsatzes oder bis zum Zweifachen des aus dem Verstoß gezogenen Nutzens, soweit sich dieser beziffern lässt, zu verhängen. Das wären im konkreten Fall EUR 1.659.274,84 (10 vH des jährlichen Gesamtnettoumsatzes in der Höhe von EUR 16.592.748,42) gewesen. Die FMA nimmt dabei auf den Geschäftsbericht der bfP aus dem Jahr 2017 (ON 10) Bezug.

Somit war die Rechtslage für den Täter im überwiegenden Tatzeitraum nicht günstiger und hat diese daher im Rahmen der Entscheidung nach § 19 VStG keine Berücksichtigung zu finden. Es sind im gegenständlichen Beschwerdeverfahren daher die Strafsanktionsnormen der §§ 34 und 35 FM-GwG anzuwenden.

Den Erwägungen der belBeh war idZ zu folgen. Die bfP ist diesen auch nicht fundiert entgegengetreten.

3.2.4.3 Ein Herabsetzen der Strafe scheint dem erkennenden Gericht angesichts des objektiven Unrechtsgehalts und der hohen Bedeutung des geschützten Rechtsgutes nicht schuld- und tatangemessen.

Aus generalpräventiven Gründen erscheint für den erkennenden Senat somit eine Geldstrafe weiterhin geboten. Da die bfP auch weiterhin im Finanzmarktbereich tätig ist, sprechen auch spezialpräventive Gründe für die Strafe. Das Verschulden der bfP konnte nicht als geringfügig angesehen werden, da weder hervorgekommen ist, noch aufgrund der Tatumstände anzunehmen war, dass die Verwirklichung der Tatbestände aus besonderen Gründen nur schwer hätte vermieden werden können oder das Verschulden atypisch gering gewesen wäre. Den bloß rudimentären Ausführungen der bfP in der Beschwerde vom 20.5.2019 (S 11, letzter Satz) war daher im Ergebnis nicht zu folgen.

Insoweit die Beschwerde auf die Erteilung einer Ermahnung abzielt, ist ihr aufgrund der hohen Bedeutung des zu schützenden Rechtsgutes und des nicht bloß geringfügigen Verschuldens der bfP nicht stattzugeben und kam ein Vorgehen nach § 45 Abs. 1 Z 6 bzw. § 45 Abs. 1 letzter Satz VStG, Nachfolgerbestimmung des § 21 VStG, entfallen mit BGBl. I 33/2013, angesichts der konkreten Sach- und Rechtslage nicht in Betracht (vgl. Fister in Lewisch/Fister/Weilguni, VStG, 2. Auflage, § 45 RZ 3).

3.2.5. Ergebnis

Die Beschwerde war aus all diesen Gründen abzuweisen.

3.2.6. Zur unterbliebenen mündlichen Verkündung

Die Verkündung der Entscheidung entfiel gemäß § 29 Abs. 3 VwGVG, zumal der zu entscheidende Sachverhalt aufgrund seiner Komplexität und des Umfangs einer mündlichen Verkündung entgegenstand. Den Parteien des Verfahrens wurde eine schriftliche Ausfertigung der Entscheidung zugestellt. Die bfP, der BFV und die belBeh verzichteten ausdrücklich auf die mündliche Verkündung der Entscheidung.

3.2.6. Kosten

Gemäß § 52 Abs. 1 VwGVG hat in jedem Erkenntnis, mit dem ein Straferkenntnis bestätigt wird, ausgesprochen zu werden, dass der Bestrafte einen Beitrag zu den Kosten des Strafverfahren zu leisten hat. Dieser Beitrag ist für das Beschwerdeverfahren mit 20% der verhängten Strafe, mindestens jedoch mit zehn Euro zu bemessen (§ 52 Abs. 2 VwGVG). Dieser Kostenbeitrag fließt der Gebietskörperschaft zu, die den Aufwand des Verwaltungsgerichtes zu tragen hat.

Die bfP ist weder im Schuldspruch durchgedrungen noch hatte ihre Beschwerde gegen die Strafhöhe Erfolg, das BVwG bestätigt die von der belBeh verhängte Strafe in Höhe von EUR 56.000. Der von der belangten Behörde geforderte Beitrag zum Verfahren vor der belangten Behörde beträgt unverändert EUR 5.600. Gemäß § 52 Abs. 1 und 2 VwGVG beträgt der der bfP aufzuerlegende Beitrag zu den Kosten des Strafverfahrens EUR 11.200.

Die bfP hat den Gesamtbetrag von EUR 72.800 (Strafe, Kosten des verwaltungsbehördlichen Verfahrens und des verwaltungsgerichtlichen Beschwerdeverfahrens) binnen 2 Wochen auf das Konto des Bundesverwaltungsgerichtes (BVwG) mit dem IBAN AT840100000005010167 (BIC BUNDATWW) unter Angabe der Verfahrenszahl spesenfrei für den Empfänger einzuzahlen oder unter Mitnahme dieses Erkenntnisses beim Bundesverwaltungsgericht einzuzahlen. Bei Verzug muss damit gerechnet werden, dass der Betrag nach erfolgter Mahnung zwangsweise eingetrieben und im Fall seiner Uneinbringlichkeit die Ersatzfreiheitsstrafe vollstreckt wird.

Der festgesetzte Kostenbeitrag fließt gemäß § 52 Abs 2 VwGVG dem Bund zu.

3.3. Zu Spruchpunkt B)

Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig, weil die Entscheidung nicht von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. Weder weicht die gegenständliche Entscheidung von der bisherigen Rechtsprechung des Verwaltungsgerichtshofes ab, noch fehlt es an einer Rechtsprechung; weiters ist die vorliegende Rechtsprechung des Verwaltungsgerichtshofes auch nicht als uneinheitlich zu beurteilen. Die Rechtsprechung des Verwaltungsgerichtshofes ist vorhanden und eindeutig, wie unter Punkt II.3.2. dargestellt, ist sie zudem einheitlich. Auch liegen keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfrage vor.