BVwG W210 2000433-1

Spruch:

IM NAMEN DER REPUBLIK!

W210 2000433-1/12E

Das Bundesverwaltungsgericht hat durch die Richterin Dr. Anke SEMBACHER als Vorsitzende und die Richterin Dr. Sibyll Andrea BÖCK und die Richterin Dr. Yoko KUROKI als Beisitzerinnen über die Beschwerde von XXXX, vertreten durch RA Mag. Nikolaus RAST, Schottengasse 10/IV, 1010 Wien, gegen das Straferkenntnis der Finanzmarktaufsicht Österreich vom XXXX, Zl. XXXX, nach Durchführung einer mündlichen Verhandlung am 19.09.2014 zu Recht erkannt und verkündet:

A)

Gemäß § 50 VwGVG wird der Berufung in der Schuldfrage keine Folge gegeben.

Gemäß § 50 VwGVG wird der Berufung in der Straffrage insofern Folge gegeben, als die Strafe auf insgesamt € 64.800,-- bzw. 298 Stunden Ersatzfreiheitsstrafe herabgesetzt wird.

Der Beschwerdeführer hat einen Beitrag von € 6.480,00 zum Verfahren vor der belangten Behörde zu leisten, das sind 10% der nunmehrig verhängten Strafe.

Der Beschwerdeführer hat gemäß § 52 Abs. 8 VwGVG keine Kosten des verwaltungsgerichtlichen Verfahrens zu tragen.

B)

Die Revision ist gemäß Art 133 Abs. 4 B-VG nicht zulässig.

Text

ENTSCHEIDUNGSGRÜNDE:

I. Verfahrensgang:

Das gegenständlich angefochtene Straferkenntnis vom XXXX richtet sich gegen XXXX, den Beschwerdeführer im gegenständlichen Verfahren zu W210 2000433-1, als Beschuldigten und enthält folgenden Spruch (Hervorhebungen im Original):

"Sehr geehrter Herr XXXX!

I. Sie waren von 01.01.2007 bis 31.12.2012 Vorstand der XXXX (bis 26.08.2008: "XXXX", ab dann bis 08.01.2009 "XXXX"; künftig als "XXXX" bezeichnet), eines konzessionierten Kreditinstitutes gemäß § 1 Abs. 1 BWG mit Sitz in XXXX.

Sie haben in dieser Funktion gemäß § 9 Abs. 1 Verwaltungsstrafgesetz (VStG) als zur Vertretung nach außen Berufener folgendes zu verantworten:

1. Die XXXX hat von 01.01.2009 bis 31.12.2012 entgegen § 40 Abs. 2a Z 3 BWG unterlassen, risikobasierte und angemessene Maßnahmen zu ergreifen, um eine kontinuierliche Überwachung der Geschäftsbeziehungen der XXXX (Monitoring), einschließlich einer Überprüfung der im Verlauf der Geschäftsbeziehungen abgewickelten Transaktionen, mit Ausnahme jener unter Spruchpunkt 3 dieses Straferkenntnisses angeführten Geschäftsbeziehungen, die im Wege des Ferngeschäfts begründet wurden, sowie mit Ausnahme jener unter Spruchpunkt 4 dieses Straferkenntnisses angeführten Geschäftsbeziehungen mit Bezug zu politisch exponierten Personen, sowie mit Ausnahme jener unter Spruchpunkt 6 dieses Straferkenntnisses angeführten Transaktionsüberwachung bei Durchlaufkonten von Korrespondenzbankbeziehungen durchzuführen, um sicherzustellen, dass diese mit den Kenntnissen der XXXX über den Kunden, seine Geschäftstätigkeit, sein Risikoprofil sowie erforderlichenfalls der Herkunft der Mittel, kohärent sind.

Das im Tatzeitraum in der XXXX installierte System zur Überwachung der Geschäftsbeziehungen einschließlich der abgewickelten Transaktionen war auf sieben Listen gestützt, aus denen zunächst Stichproben gezogen wurden: Täglich wurde eine Liste erstellt, aus der Transaktionen über 15.000 EUR ersichtlich waren; monatlich wurden weitere zwei Listen erstellt, die die monatlichen Transaktionen über 500.000 EUR und mehr als 5 Transaktionen bzw. die monatlichen Transaktionen unter einem Gesamtvolumen 500.000 EUR und mehr als 5 Transaktionen erfassten. Eine weitere monatlich erstellte Liste ("Frequent cash Transactions") erfasste alle Bartransaktionen mit mehr als 3 innerhalb des letzten Monats gebuchten Transaktionen. Eine weitere monatlich erstellte Liste der "Dormant Account transactions" erfasste alle Transaktionen der letzten 6 Monate eines "dormant accounts" (keine Transaktion innerhalb der letzten 1,5 Jahre). Jährlich wurden zwei weitere Listen erstellt: "Client Risk Category" und "Review of Operating Accouns".

Das beschriebene, im Tatzeitraum in der XXXX installierte, auf Listen und Stichproben gestütztes System zur Überwachung der Geschäftsbeziehung war nicht risikobasiert und angemessen.

Zwar wurden mit Neubestellung des Beauftragten zur Prävention von Goldwäscherei und Terrorismusfinanzierung, XXXX XXXX (ab 01.01.2012) darüber hinaus alle Transaktionen über 15.000 EUR täglich überprüft, was insbesondere angesichts der Kundenstruktur der XXXX und der mangelhaften Erkennbarkeit von geldwäschegeneigten Zahlungsmustern im Zusammenhang mit Beträgen unter 15.000 EUR ebenfalls nicht als risikobasiertes und angemessenes System betrachtet werden kann.

2. Die XXXX hat entgegen § 41 Abs. 4 Z 1 BWG unterlassen, über angemessene und geeignete Strategien und Verfahren in folgender

Hinsicht zu verfügen:

Unterpunkt 1: von 01.01.2009 bis jedenfalls 31.03.2012 hinsichtlich der Risikobewertung von Geschäftsbeziehungen, die im Wege des Ferngeschäfts (§ 40b Abs. 1 Z 1 BWG) begründet wurden:

Wie die FMA im Zuge der Einschau (4-6.10.2011) festgestellt hat, waren 49 Kunden, deren Geschäftsbeziehung zur XXXX im Wege des Ferngeschäfts begründet wurde, jedenfalls per 31.07.2011 im Gesamtkundenbestand. Wie aus der Liste "Ferngeschäftskunden"; Auszug aus der Gesamtkundenliste, Beilage /D, die einen integrierten Bestandteil dieses Straferkenntnisses bildet, ersichtlich ist, waren 28 dieser Kunden in der Risikoklasse "medium risk" eingestuft: Es handelt sich um die Kunden mit der Nummer XXXX Ein Kunde (es handelt sich um den Kunden mit der Nummer XXXX, domiziliert in den USA) war trotz weiterem Risikofaktor "complex structure" in der Risikoklasse "low risk" eingestuft.

Die XXXX selbst bewertet in der "Gefährdungsanalyse per 31.12.2010" (Seite 19) bezüglich des "Ferngeschäfts" sowohl das abstrakte Risiko, für Zwecke der Geldwäsche bzw. Terrorismusfinanzierung missbraucht zu werden (Bewertung des abstrakten Risikoeintritts), als auch die Wahrscheinlichkeit eines Risikoeintritts selbst unter Berücksichtigung der bankindividuellen Maßnahmen jeweils als "höher".

Das im Tatzeitraum in der XXXX installierte Verfahren zur Risikobewertung, das es ermöglichte, Geschäftsbeziehungen, die im Wege des Ferngeschäfts begründet wurden, die per Gesetz ihrem Wesen nach ein erhöhtes Risiko darstellen und auch nach den internen Arbeitsanweisungen der XXXX als "höheres Risiko" angesehen werden, in der tatsächlichen Risikobewertung der Ferngeschäfts-Kunden letztlich als "mittleres Risiko" bzw. sogar geringes Risiko auszuweisen, war entgegen § 41 Abs. 4 Z 1 BWG nicht angemessen und geeignet.

Unterpunkt 2: von 01.01.2009 bis jedenfalls 31.03.2012 hinsichtlich der Risikobewertung von Geschäftsbeziehungen mit Bezug zu politisch exponierten Personen (PEP) iSd § 2 Z 72 BWG:

Wie aus der Liste PEP-Kunden, Auszug aus der Gesamtkundenliste, Beilage /E, die einen integrierten Bestandteil dieses Straferkenntnisses bildet, ersichtlich ist, wurden von 49 Geschäftsbeziehungen, die jedenfalls zur Zeit der Einschau der FMA (4-6.10.2011) als Geschäftsbeziehungen mit Bezug zu politisch exponierten Personen in der XXXX geführt werden, 41 Geschäftsbeziehungen (rd. 84 %) nicht in einer hohen Risikostufe geführt:

12 Geschäftsbeziehungen mit Bezug zu politisch exponierten Personen sind in der Gesamtkundenliste nicht angeführt (trotz vorhandener Salden), die Risikoeinstufung dieser Kunden ist daher nicht überprüfbar. Es handelt sich um die Kunden mit der Kundennummer:

XXXX

21 Geschäftsbeziehungen mit Bezug zu politisch exponierten Personen werden in der Risikostufe "increased risk" (erhöhtes Risiko) geführt. Es handelt sich um die Kunden mit der Kundennummer: XXXX. Beim Großteil dieser Kunden tritt ein weiteres geographisches Risiko hinzu: Kunde Nr. XXXX hat seinen Wohnsitz in Panama, Nr. XXXX in Belize, XXXX ebenfalls in Belize, XXXX ebenfalls in Belize, XXXX ebenfalls in Belize, XXXX ebenfalls in Belize, XXXX ebenfalls in Belize, XXXX in Panama, XXXX in Belize, XXXX in Belize, XXXX in Belize, XXXX in der Slowakei, XXXX in der Russischen Föderation, XXXX in Belize, XXXX in Belize, XXXX in Belize, XXXX in der Russischen Föderation, XXXX in Kasachstan und XXXX in Serbien.

8 Geschäftsbeziehungen mit Bezug zu politisch exponierten Personen werden in der Risikostufe "medium risk" geführt. Es handelt sich um die Kunden mit der Kundennummer XXXX

Die XXXX selbst bewertet in der "Gefährdungsanalyse per 31.12.2010" (Seite 24) bezüglich Geschäftsbeziehungen mit Bezug zu politisch exponierten Personen sowohl das abstrakte Risiko, für Zwecke der Geldwäsche bzw. Terrorismusfinanzierung missbraucht zu werden (Bewertung des abstrakten Risikoeintritts), als auch die Wahrscheinlichkeit eines Risikoeintritts selbst unter Berücksichtigung der bankindividuellen Maßnahmen jeweils als "höher".

Das im Tatzeitraum in der XXXX installierte Verfahren zur Risikobewertung, das es ermöglichte, Geschäftsbeziehungen zu politisch exponierten Personen, die per Gesetz ihrem Wesen nach ein erhöhtes Risiko darstellen und auch nach den internen Arbeitsanweisungen der XXXX als "höheres Risiko" angesehen werden, und bei denen allenfalls ein weiteres (geographisches) Risiko hinzutritt, in der tatsächlichen Risikobewertung letztlich als (lediglich) erhöhtes bzw. "mittleres Risiko" auszuweisen, war entgegen § 41 Abs. 4 Z 1 BWG nicht angemessen und geeignet.

Unterpunkt 3: von 01.01.2009 bis 31.12.2012 hinsichtlich der Bewertung des Risikos im Auslandszahlungsverkehr:

Die XXXX bewertet in ihrer "Gefährdungsanalyse per 31.12.2010" (Seite 17) das Risiko, im Auslandszahlungsverkehr (AZV) für Zwecke der Geldwäsche oder Terrorismusfinanzierung missbraucht zu werden, abstrakt als "mittel" und unter Berücksichtigung der bankindividuellen Maßnahmen als "niedrig". Diese Einstufung wurde anlässlich der Einschau der FMA (4-6.10.2011) auch praktisch vorgefunden. Diese Einstufung findet sich auch in der "Gefährdungsanalyse für das Jahr 2012". Diese Einstufung ist nach Ansicht der FMA aus risikoorientierter Sicht zu niedrig und daher nicht angemessen.

Unterpunkt 4: von 01.01.2009 bis jedenfalls 31.10.2012 hinsichtlich der Risikobewertung insbesondere unter Berücksichtigung des geographischen Risikos:

Die Arbeitsanweisung der XXXX "Money Laundering Policy, Module I, KYC" (Beilage /B) enthält grundsätzlich Anforderungen zur Berücksichtigung der "geographic area". Liegt ein Fall mit einer "specific geographic area" (= alle, die nicht Länder mit Standardrisiko betreffen) vor, ist der Kunde in eine "Medium/increased/Higher Risk Category" einzustufen (B 2.3.2.). Tatsächlich sind jedoch, wie die FMA anlässlich der Einschau (4-6.10.2011) festgestellt hat, eine Vielzahl der Kunden mit einem geographischen Risiko falsch, dh zu niedrig hinsichtlich ihres Risikos eingestuft: Wie aus der Liste "Kunden per 31.07.2011" Beilage /F, die einen integrierten Bestandteil dieses Straferkenntnisses bildet, im Detail ersichtlich ist, befinden sich 313 Kunden in der Risikoklasse "low risk". Darunter sind zahlreiche Stiftungen mit Sitz in Panama und Belize (zB Kunden Nr. XXXX). Das von in der XXXX im Tatzeitraum installierte Verfahren zur Risikobewertung, das es ermöglichte, eine Geschäftsbeziehung, die jedenfalls eine Gefährdung verwirklicht (konkret: geographisches Risiko), dennoch in die niedrigste Risikokategorie einzustufen, war entgegen § 41 Abs. 4 Z 1 BWG nicht angemessen und geeignet.

3. Die XXXX hat von 01.01.2009 bis 31.12.2012 unterlassen, entgegen § 40b Abs. 1 Z 1 BWG jene Geschäftsbeziehungen, die im Wege des Ferngeschäfts begründet wurden, einer verstärkten kontinuierlichen Überwachung zu unterziehen.

Wie aus der Liste "Ferngeschäftskunden"; Auszug aus der Gesamtkundenliste, Beilage /D, die einen integrierten Bestandteil dieses Straferkenntnisses bildet, ersichtlich ist, waren 28 der Kunden, deren Geschäftsbeziehung im Wege des Ferngeschäfts begründet wurden, in der Risikoklasse "medium risk" eingestuft; 17 im Zuge des Ferngeschäfts begründete Geschäftsbeziehungen wurden in der Risikoklasse "increased risk" geführt. Diese Einstufung führt dazu, dass Kunden der Risikoklasse "medium risk" einem 3-jährigen Prüfintervall unterliegen; Kunden der Risikoklasse "increased risk" unterliegen einem 2-jährigen Prüfintervall.

Angesichts des unter Pkt. 1 dieses Straferkenntnisses beschriebenen grundsätzlich mangelhaften Systems zur Überwachung der Geschäftsbeziehungen und ohne weitere spezielle Überwachungsmaßnahmen wird damit insgesamt den Anforderungen an eine verstärkte kontinuierliche Überwachung iSd § 40b Abs. 1 Z 1 BWG jener Geschäftsbeziehungen, die im Wege des Ferngeschäfts begründet wurden, nicht entsprochen.

4. Die XXXX hat von 01.01.2009 bis 31.12.2012 entgegen § 40b Abs. 1 Z 3 BWG unterlassen, Geschäftsbeziehungen mit Bezug zu politisch exponierten Personen einer verstärkten kontinuierlichen Überwachung zu unterziehen.

Wie aus diesem Straferkenntnis, Spruchpunkt 2, Unterpunkt 2 ersichtlich, wurden 21 Geschäftsbeziehungen mit Bezug zu politisch exponierten Personen in der Risikostufe "increased risk" (erhöhtes Risiko) und 8 Geschäftsbeziehungen mit Bezug zu politisch exponierten Personen in der Risikostufe "medium risk" geführt.

Diese Einstufung führt dazu, dass Kunden der Risikoklasse "medium Risk" einem 3-jährigen Prüfintervall unterliegen; Kunden der Risikoklasse "increased risk" unterliegen einem 2-jährigen Prüfintervall. Angesichts des unter Spruchpunkt 1 dieses Straferkenntnisses beschriebenen grundsätzlich mangelhaften Systems zur Überwachung der Geschäftsbeziehungen und ohne weitere spezielle Überwachungsmaßnahmen wird damit insgesamt den Anforderungen an eine verstärkte kontinuierliche Überwachung der Geschäftsbeziehungen mit Bezug zu politisch exponierten Personen nicht entsprochen.

5. Die XXXX hat von 01.01.2009 bis 31.08.2012 entgegen § 40b Abs. 1 Z 3 lit. a BWG unterlassen, über angemessene, risikobasierte Verfahren zu verfügen, anhand derer bestimmt werden kann, ob es sich bei dem Kunden um eine politisch exponierte Person (PEP) handelt oder nicht.

Jedenfalls bis Ende August 2012 fand eine automatische Überprüfung des Gesamtkundenbestands auf eine allfällige Eigenschaft als Geschäftsbeziehungen mit Bezug zu politisch exponierten Personen nur einmal jährlich statt. Das ist nach Ansicht der FMA nicht ausreichend.

6. Die XXXX hat von 01.01.2009 jedenfalls bis zum Ende der Einschau durch die FMA (6.10.2011) entgegen § 40b Abs. 1 Z 2 BWG unterlassen, über eine verstärkte kontinuierliche Transaktionsüberwachung bei "Durchlaufkonten" von Korrespondenzbankbeziehungen aus Drittländern zu verfügen. Nach der Arbeitsanweisung der XXXX "§ 40b (1) Z 2 BWG Korrespondenzbankbeziehungen bzw. Korrespondenzbanken aus Drittländern" (Beilage /J), die praktisch jedenfalls bis zum Ende der Einschau durch die FMA (6.10.2011) entsprechend umgesetzt wurde, erfolgte die Kontrolle lediglich stichprobenweise durch die Abteilung "Compliance".

7. Hinsichtlich des Kunden mit der XXXXXXXXhat es die XXXX von 01.01.2009 bis 31.12.2012 unterlassen, entgegen §§ 40 Abs. 2a Z 1 iVm 2 Z 75 lit. b sublit. aa BWG risikobasierte und angemessene Maßnahmen zur Überprüfung der Identität des wirtschaftlichen Eigentümers des Kunden zu ergreifen, sodass sie davon überzeugt ist zu wissen, wer der wirtschaftliche Eigentümer dieses Kunden tatsächlich war. Nach dem Vertrag "XXXX", third schedule mit der Überschrift "Primary beneficiaries" ergibt sich, dass der "first Primary Beneficiary" Herr XXXX sein soll, geb. XXXX. Nach seinem Tod oder "such earlier time, as the Trustee, with the consent of the Protector may designate", dessen Kinder bzw. Enkel etc. Nach der Aktenlage ergibt sich weiters, dass Herr XXXX zwei erwachsene Kinder hat. Als wirtschaftlicher Eigentümer wurde hingegen lediglich Herr

XXXX identifiziert.

8. Hinsichtlich des Kunden mit der XXXX hat die XXXX von 01.01.2009 bis 31.08.2012 unterlassen, entgegen § 40b Abs. 1 Z 3 lit. a BWG über angemessene, risikobasierte Verfahren zu verfügen, anhand derer bestimmt werden kann, ob es sich bei dem Kunden um eine politisch exponierte Person (PEP) handelt oder nicht. Konkret wurde die Verwaltung des Fonds auf die XXXX übertragen. Diese AG ist daher für den Trust eine "vertretungsbefugte Person". Der Verwaltungsrat der XXXXbesteht aus XXXX Die Überprüfung der Verwaltungsräte auf eine allfällige PEP-Eigenschaft wurde erst am 19.04.2012 durch die XXXX nachgeholt, wobei die PEP-Abfrage hinsichtlich XXXX aus für die FMA nicht nachvollziehbaren Gründen negativ verlaufen ist.

9. Hinsichtlich des Kunden mit der XXXX hat die XXXX von 01.10.2007 bis 05.06.2012 entgegen § 40 Abs. 1 Z 1 BWG unterlassen, vor Begründung der Geschäftsbeziehung und danach die Identität des Kunden XXXX an Hand von beweiskräftigen Urkunden, die gemäß dem in Argentinien (Sitz des Kunden) landesüblichen Rechtsstandard verfügbar sind, festzustellen und zu überprüfen.

10. Hinsichtlich des Kunden mit der XXXX hat es die XXXX von 31.07.2009 bis 05.06.2012 entgegen § 40 Abs. 1 Z 1 BWG unterlassen, vor Begründung der Geschäftsbeziehung und danach die Identität des Kunden XXXX an Hand von beweiskräftigen Urkunden, die gemäß dem in Argentinien (Sitz des Kunden) landesüblichen Rechtsstandard verfügbar sind, festzustellen und zu überprüfen.

11. Hinsichtlich des Kunden mit der XXXX hat es die XXXX von 20.07.2009 bis 05.06.2012 entgegen § 40 Abs. 1 Z 1 BWG unterlassen, vor Begründung der Geschäftsbeziehung und danach die Identität des Kunden XXXX an Hand von beweiskräftigen Urkunden, die gemäß dem in Argentinien (Sitz des Kunden) landesüblichen Rechtsstandard verfügbar sind, festzustellen und zu überprüfen.

12. Hinsichtlich des Kunden mit der Nummer XXXX hat es die XXXX von 01.10.2007 bis 05.06.2012 entgegen § 40 Abs. 1 Z 1 BWG unterlassen, vor Begründung der Geschäftsbeziehung und danach die Identität des Kunden XXXX an Hand von beweiskräftigen Urkunden, die gemäß dem in Argentinien (Sitz des Kunden) landesüblichen Rechtsstandard verfügbar sind, festzustellen und zu überprüfen.

13. Hinsichtlich des Kunden mit der XXXX) hat es die XXXX von 01.01.2009 bis 11.04.2012 unterlassen, entgegen § 40b Abs. 1 Z 3 lit. a BWG über angemessene, risikobasierte Verfahren zu verfügen, anhand derer bestimmt werden kann, ob es sich bei der vertretungsbefugten Person des Kunden, XXXX um eine politisch exponierte Person handelt.

14. Hinsichtlich der Gruppe der Kunden, zu der jedenfalls folgende Kunden zählen: XXXX hat es die XXXX entgegen § 41 Abs. 1 Z 1 BWG jedenfalls von 01.01.2009 bis 25.01.2012 unterlassen, die Geldwäschemeldestelle (§ 4 Abs. 2 Bundeskriminalamt-Gesetz, BGBl I 22/2002) unverzüglich über den Verdacht oder den berechtigten Grund zur Annahme, dass bevorstehende, laufende oder bereits erfolgte Transaktionen, die über diese Konten abgewickelt wurden, im Zusammenhang mit Vermögensbestandteilen, die aus einer in § 165 StGB aufgezählten strafbaren Handlung herrühren (unter Einbeziehung von Vermögensbestandteilen, die aus einer strafbaren Handlung des Täters selbst herrühren), stehen, in Kenntnis zu setzen. Wie aus der beiliegenden Verdachtsmeldung der FMA vom 26.01.2012, Beilage /K, die einen integrierten Bestandteil dieses Straferkenntnisses bildet, unter Pkt. 1 im Detail ersichtlich ist, wurden insgesamt zahlreiche, von der FMA auch in ihrem "Rundschreiben Verdachtsmeldungen" als unter Gesichtspunkten der Geldwäsche auffällige Umstände verwirklicht, die zu einer Verdachtsmeldung hätten führen müssen.

15. Hinsichtlich des Kunden mit der Nummer XXXX hat es die XXXX von 01.01.2009 bis 28.02.2012 unterlassen, entgegen § 40b Abs. 1 Z 3 lit. a BWG über angemessene, risikobasierte Verfahren zu verfügen, anhand derer bestimmt werden kann, ob es sich bei der vertretungsbefugten Person des Kunden XXXX um eine politisch exponierte Person handelt.

16. Hinsichtlich des Kunden mit der XXXX hat es die XXXX von 01.01.2009 bis 31.12.2012 unterlassen, entgegen § 40 Abs. 2a Z 1 BWG risikobasierte und angemessene Maßnahmen zur Überprüfung der Identität des wirtschaftlichen Eigentümers des Kunden zu ergreifen, sodass sie davon überzeugt ist zu wissen, wer der wirtschaftliche Eigentümer dieses Kunden tatsächlich war.

17. Hinsichtlich des Kunden mit der Nummer XXXX) hat es die XXXX von 01.01.2009 bis 31.12.2012 unterlassen, entgegen § 40 Abs. 2a Z 1 BWG risikobasierte und angemessene Maßnahmen zur Überprüfung der Identität des wirtschaftlichen Eigentümers des Kunden zu ergreifen, sodass sie davon überzeugt ist zu wissen, wer der wirtschaftliche Eigentümer dieses Kunden tatsächlich war.

18. Hinsichtlich des Kunden mit der Nummer XXXX hat es die XXXX von 01.01.2009 bis 31.12.2012 unterlassen, entgegen § 40 Abs. 2a Z 1 BWG risikobasierte und angemessene Maßnahmen zur Überprüfung der Identität des wirtschaftlichen Eigentümers des Kunden zu ergreifen, sodass sie davon überzeugt ist zu wissen, wer der wirtschaftliche Eigentümer dieses Kunden tatsächlich war.

19. Hinsichtlich des Kunden mit der Nummer XXXX hat die XXXX entgegen § 40 Abs. 1 BWG von 01.10.2007 bis 19.04.2012 unterlassen, die Vertretungsbefugnis des Herrn XXXX für den Kunden anhand geeigneter Bescheinigungen zu überprüfen.

20. Hinsichtlich des Kunden mit der Nummer XXXX hat es die XXXX entgegen § 41 Abs. 1 BWG von 07.07.2010 bis 25.01.2012 unterlassen, die Geldwäschemeldestelle (§ 4 Abs. 2 Bundeskriminalamt-Gesetz, BGBl I 22/2002) unverzüglich über den Verdacht oder den berechtigten Grund zur Annahme, dass eine bevorstehende Transaktion, nämlich die Gutschrift von XXXX per 12.07.2010 am Konto Nr. XXXX nach physischer Anlieferung der Banknoten, im Zusammenhang mit Vermögensbestandteilen, die aus einer in § 165 StGB aufgezählten strafbaren Handlung herrühren (unter Einbeziehung von Vermögensbestandteilen, die aus einer strafbaren Handlung des Täters selbst herrühren), steht, in Kenntnis zu setzen.

21. Hinsichtlich des Kunden mit der Nummer XXXX hat die XXXX weiters entgegen § 41 Abs. 1 BWG von 03.08.2010 bis 25.01.2012 unterlassen, die Geldwäschemeldestelle (§ 4 Abs. 2 Bundeskriminalamt-Gesetz, BGBl I 22/2002) unverzüglich über den Verdacht oder den berechtigten Grund zur Annahme, dass eine bevorstehende Transaktion, nämlich die Gutschrift von XXXXper 06.08.2010 am Konto Nr. XXXXnach physischer Anlieferung der Banknoten im Zusammenhang mit Vermögensbestandteilen, die aus einer in § 165 StGB aufgezählten strafbaren Handlung herrühren (unter Einbeziehung von Vermögensbestandteilen, die aus einer strafbaren Handlung des Täters selbst herrühren), stehen, in Kenntnis zu setzen.

II. Die XXXX haftet gemäß § 9 Abs. 7 VStG für die über den Beschuldigten verhängten Geldstrafen und die Verfahrenskosten zur ungeteilten Hand.

Sie haben dadurch folgende Rechtsvorschriften verletzt:

Ad I.1: § 40 Abs. 2a Z 3 BWG, BGBl. Nr. 532/1993 idF BGBl. I Nr. 108/2007 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I Nr. 35/2012

Ad I.2: § 41 Abs. 4 Z 1 BWG, BGBl. Nr. 532/1993 idF BGBl. I Nr. 37/2010 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 37/2010 (bezüglich Unterpunkt 3: iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 35/2012)

Ad 3: § 40b Abs. 1 Z 1 BWG, BGBl. Nr. 532/1993 idF BGBl. I Nr. 37/2010 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 35/2012

Ad 4: § 40b Abs. 1 Z 3 BWG, BGBl. Nr. 532/1993 idF BGBl. I Nr. 37/2010 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 35/2012

Ad 5: § 40b Abs. 1 Z 3 lit. a BWG, BGBl. Nr. 532/1993 idF BGBl. I Nr. 37/2010 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 35/2012

Ad 6: § 40b Abs. 1 Z 2 BWG, BGBl. Nr. 532/1993 idF BGBl. I Nr. 37/2010 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 37/2010

Ad 7: § 40 Abs. 2e BWG, BGBl. Nr. 532/1993 idF BGBl. I 108/2007 iVm § 40 Abs. 2a Z 1 BWG, BGBl. Nr. 532/1993 idF BGBl. I 108/2007 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 35/2012

Ad 8: § 40 Abs. 2e BWG, BGBl. Nr. 532/1993 idF BGBl. I 108/2007 iVm § 40b Abs. 1 Z 3 lit. a BWG, BGBl. Nr. 532/1993 idF BGBl. I 37/2010 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 35/2012

Ad 9: § 40 Abs. 2e BWG, BGBl. Nr. 532/1993 idF BGBl. I 108/2007 iVm § 40 Abs. 1 Z 1 BWG, BGBl. Nr. 532/1993 idF BGBl. I 108/2007 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 35/2012

Ad 10: § 40 Abs. 2e BWG, BGBl. Nr. 532/1993 idF BGBl. I 108/2007 § 40 Abs. 1 Z 1 BWG, BGBl. Nr. 532/1993 idF BGBl. I 108/2007 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 35/2012

Ad 11: § 40 Abs. 2e BWG, BGBl. Nr. 532/1993 idF BGBl. I 108/2007 § 40 Abs. 1 Z 1 BWG, BGBl. Nr. 532/1993 idF BGBl. I 108/2007 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 35/2012

Ad 12: § 40 Abs. 2e BWG, BGBl. Nr. 532/1993 idF BGBl. I 108/2007 § 40 Abs. 1 Z 1 BWG, BGBl. Nr. 532/1993 idF BGBl. I 108/2007 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 35/2012

Ad 13: § 40b Abs. 1 Z 3 lit. a BWG, BGBl. Nr. 532/1993 idF BGBl. I 37/2010 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 37/2010

Ad 14: § 41 Abs. 1 Z 1 BWG, BWG, BGBl. Nr. 532/1993 idF BGBl. I 37/2010 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 37/2010

Ad 15: § 40b Abs. 1 Z 3 lit. a BWG, BGBl. Nr. 532/1993 idF BGBl. I 37/2010 § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 37/2010

Ad 16: § 40 Abs. 2a Z 1 BWG, BGBl. Nr. 532/1993 idF BGBl. I 108/2007 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 35/2012

Ad 17: § 40 Abs. 2a Z 1 BWG, BGBl. Nr. 532/1993 idF BGBl. I 108/2007 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 35/2012

Ad 18: § 40 Abs. 2a Z 1 BWG, BGBl. Nr. 532/1993 idF BGBl. I 108/2007 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 35/2012

Ad 19: § 40 Abs. 1 BWG, BGBl. Nr. 532/1993 idF BGBl. I 108/2007 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 37/2010

Ad 20: § 41 Abs. 4 Z 1 BWG, BGBl. Nr. 532/1993 idF BGBl. I Nr. 37/2010 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 37/2010

Ad 21: § 41 Abs. 1 Z 1 BWG, BGBl. Nr. 532/1993 idF BGBl. I Nr. 37/2010 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 37/2010

Wegen dieser Verwaltungsübertretungen wird über Sie folgende Strafe verhängt:

Geldstrafe von falls diese Freiheitsstrafe von

uneinbringlich ist,

Ersatzfreiheitsstrafe

von

I.1. 10.000 Euro 45 Stunden -

I.2. 25.000 EUR 112 Stunden

I.3. 10.000 EUR 45 Stunden

I.4. 10.000 EUR 45 Stunden

I.5. 10.000 EUR 45 Stunden

I.6. 1.000 EUR 6 Stunden

I.7. 750 EUR 6 Stunden

I.8. 750 EUR 6 Stunden

I.9. 750 EUR 6 Stunden

I.10. 750 EUR 6 Stunden

I.11. 750 EUR 6 Stunden

I.12. 750 EUR 6 Stunden

I.13. 750 EUR 6 Stunden

I.14. 2.500 EUR 11 Stunden

I.15. 750 EUR 6 Stunden

I.16. 750 EUR 6 Stunden

I.17. 750 EUR 6 Stunden

I.18. 750 EUR 6 Stunden

I.19. 750 EUR 6 Stunden

I.20. 2.500 EUR 11 Stunden

I.21. 2.500 EUR 11 Stunden

Gemäß §§:

Jeweils § 98 Abs 5 BWG, BGBl Nr. 532/1993 idF BGBl Nr. I 37/2010 bzw. idF BGBl. I 35/2012

Weitere Verfügungen (z.B. Verfallsausspruch, Anrechnung von Vorhaft):

--

Ferner haben Sie gemäß § 64 des Verwaltungsstrafgesetzes (VStG) zu zahlen:

8.250 Euro als Beitrag zu den Kosten des Strafverfahrens, das sind 10 % der Strafe (je ein Tag Freiheitsstrafe wird gleich 15 Euro angerechnet);

0 Euro als Ersatz der Barauslagen für.

Der zu zahlende Gesamtbetrag (Strafe/Kosten/Barauslagen) beträgt daher 90.750 Euro."

Dagegen richtet sich die am 04.11.2013 bei der

belangten Behörde eingelangte Berufung, nunmehr Beschwerde, des Beschwerdeführers im gegenständlichen Verfahren, in der ausgeführt wird, dass das Verfahren vor der belangten Behörde zulange gedauert habe, der Spruch mangelhaft sei und es dem Bescheid an einer gehörigen Begründung mangle. Die belangte Behörde habe den entscheidungswesentlichen Sachverhalt nicht ermittelt und nicht festgestellt, zudem habe sei es verabsäumt, die notwendigen Beweise aufzunehmen. Die belangte Behörde habe zudem das Recht auf Parteiengehör verletzt, da sie die tragenden Feststellungen nicht zur Stellungnahme zugestellt hätte. Der Beschwerdeführer sei ab 31.10.2012 nicht mehr Vorstand der haftungspflichtigen Gesellschaft gewesen, er habe keinen Zugang zu Akten und Bankdaten gehabt. Der Behörde sei dies bekannt gewesen, dennoch habe sie ihn dazu aufgefordert, dies sei willkürlich.

Am 19.09.2014 hielt der entscheidende Senat im gegenständlichen Verfahren, verbunden mit den Verfahren W210 2000428-1 und W210 2000433-1, eine mündliche Verhandlung ab, an der neben der Beschwerdeführerin zu W210 2000428-1, im Verhandlungsprotokoll und im Folgenden als BF1 bezeichnet, und deren Rechtsvertreter, auch der Beschwerdeführer zu W210 2000433-1 (in der Folge: BF2) und der Beschwerdeführer zu W210 2000435-1 (in der Folge: BF3) samt ihren jeweiligen Rechtsvertretern sowie zwei Vertreter der belangten Behörde teilnahmen.

Der Rechtsvertreter der BF1, im Folgenden als BFV1 bezeichnet, gab in der mündlichen Verhandlung an, dass die BF1 mit guten Gründen erwarten habe dürfen, dass die gesetzlichen Bestimmungen zur Geldwäscheprävention eingehalten würden und ein effizient funktionierendes Kontrollsystem angewendet werde, da ein grundsätzliches Geldwäschepräventionssystem eingerichtet und ein Geldwäschebeauftragter mit entsprechender Qualifikation tätig gewesen sei sowie ein monatliches und quartalsweises Berichtswesen zur Geldwäsche und Compliance bestanden habe. Ferner sei der BF1 auch im individuellen Informationsaustausch mit der Geldwäschebeauftragten (GWB) und innerhalb des Vorstands ein effizientes Prüfsystem vermittelt worden. Ergänzend zum Berufungsvorbringen sei weiters der von der Wirtschaftsprüfungskanzlei XXXX erstellte Bericht zur Geldwäsche im Jahre 2010 vorgelegen, worin die regelkonformen Abläufe und die pflichtgemäße Erfüllung der mit der Geldwäscheprävention betrauten Mitarbeiter ausdrücklich bestätigt worden seien. Daraus müsse geschlossen werden, dass ein gesetzmäßig eingerichtetes Präventionssystem vorhanden gewesen sei. Dieser Bericht habe auch Mängel aufgezeigt, die in weiterer Folge bearbeitet worden seien. Auch darüber habe sich die BF1 informieren bzw. berichten lassen. Insgesamt habe der Bericht somit guten Grund zu der Annahme gegeben, dass sorgfältig und kritisch geprüft und Schwachstellen aufgezeigt worden seien. Aus Sicht der BF1 sei daher ein effizient funktionierendes Kontrollsystem vorgelegen. Dass die bestehenden IT-Systeme nicht hinreichend gewesen sein sollen und ein weiteres geeigneteres System namens "XXXX" eingerichtet werden sollte, sei für die BF1 auf Basis dieser Informations- und Berichtslage in keiner Weise zu erkennen gewesen. Das XXXX-System sei nach Kenntnis und Informationsstand der BF1 seitens der IT-Experten sorgfältig und in angemessener Zeit geprüft, angeschafft und implementiert worden. Ansonsten würden die schriftlichen Ausführungen aufrechterhalten.

Zum Beweis für dieses Vorbringen wurden vorgelegt: Revisionsbericht von XXXX vom 03.12.2010 (Beilage ./1); Konvolut an Berichten der GWB zum Beweis des Vorhandenseins eines monatlichen/quartalsweisen GW-Berichtswesens (Beilage ./2); Aufstellung der Personalverwaltung zum Ausbildungstraining der GWB (Beilage ./3); Unterlagen zum Beweis der Einarbeitung einer "lebenden" Datei in die Seiten der Revision (Beilage ./4); Aufstellung der Compliance-Abteilung zur Implementierung der "XXXX-Software" (Beilage ./5).

Der Rechtsvertreter des BF2 und des BF3, im Folgenden als BFV2 bezeichnet, schloss sich dem Vorbringen des BFV1 an und führte weiter aus, dass sämtliche gesetzlichen Bestimmungen betreffend die Vorwürfe im gegenständlichen Straferkenntnis eingehalten worden seien und entsprechende Anweisungen an die Mitarbeiter bzw. deren Kontrolle erfolgt seien. Insbesondere hätten auch die jeweiligen Prüfer der Bank in der Vergangenheit keinen Grund zu Beanstandungen gefunden. In diesem Zusammenhang werde die Einvernahme der jeweiligen Sachbearbeiter der dem Straferkenntnis zugrunde liegenden Konten sowie die Einschau und Beischaffung der betreffenden Punkte im Straferkenntnis beantragt. Daraus werde sich jedenfalls das hinreichend funktionierende Kontrollsystem ergeben.

Seitens der belangten Behörde wurde vorgebracht, dass sich aus ihrer Sicht aus dem XXXX-Bericht ergebe, dass massive Verfehlungen im Bereich Geldwäsche und Terrorismusfinanzierung aufgedeckt und festgehalten worden seien und allein die Chronologie über die Verbesserungsmaßnahmen zeige, dass diese erforderlich gewesen seien. Darüber hinaus werde auf Punkt 5 des Einschauberichtes verwiesen, wo die Verbesserungsvorschläge von XXXX zusammengefasst seien. Insbesondere werde auch auf die geprüften Einzelkunden verwiesen, wobei durchaus Verdachtsmeldungen an die Geldwäschemeldestelle der XXXXnahe gelegt worden seien. Wie bereits im Einschaubericht (Rz 15) festgehalten, seien die monatlichen Einträge des GWB unzureichend gewesen. Ein Vorstand könne sich nicht allein auf solche Berichte verlassen. Zur Behauptung, dass sich die BF1 auf die Bankprüfungsberichte verlassen haben können, sei festzuhalten, dass Aufgabe des Bankprüfers die Prüfung des Jahresabschlusses sei und darüber hinaus auch Fragen zur Einhaltung von Rechtsvorschriften beantwortet würden. Als externe Kontrollinstanz im Vorfeld der FMA und der Österreichischen Nationalbank (ÖNB) sei es aber nicht seine Aufgabe, einen Vorstand über die Einhaltung von Rechtsvorschriften sein Institut betreffend zu informieren und ihn damit zu entlasten. Vielmehr müsse ein Vorstand selbst in der Lage sein, sich darüber Kenntnis zu verschaffen, ob in seiner Bank alle Systeme rechtmäßig eingerichtet seien.

Der BFV1 führte weiter an, dass im XXXX-Bericht (S. 3) festgehalten sei, dass auf Basis einer vertieften Prüfung der Geldwäsche alle gesetzlich vorgeschriebenen Abläufe wie Geldwäsche und Terrorismusfinanzierung betreffend regelkonform eingerichtet seien und die Aufgaben von der GWB bzw. ihren Mitarbeitern pflichtgemäß erfüllt würden. Der Vorstand habe daher aufgrund dieses von einer auf Basis eines externen Prüfauftrags tätig gewordenen namhaften Wirtschaftsprüfungskanzlei vorgelegten Testats wohl von einem gesetzmäßig eingerichteten Präventionssystem ausgehen dürfen. Wenn die FMA Verfehlungen im XXXX-Bericht aufzeige, sei dies zutreffend. Dabei habe es sich um Stichproben in Kundenakten gehandelt, wo Mängel festgestellt worden seien. In weiteren Einzelbereichen sei zwar Verbesserungsbedarf, aber kein rechtlicher Mangel festgestellt worden. Das ergebe zusätzlich die Grundlage dafür, dass man von einem effizient funktionierenden Kontrollsystem ausgehen dürfe.

Die belangte Behörde legte ein Rundschreiben zum risikoorientierten Ansatz vom 23.12.2009 (Beilage ./6) und ein Rundschreiben zur Feststellung und Überprüfung der Identität vom 03.07.2008 (Beilage ./7) vor.

Die BF1 bestätigte, nachdem sie Angaben zu ihren persönlichen Verhältnissen gemacht hatte, am 01.09.2010 als Vorstand in die haftungspflichtige Gesellschaft eingetreten zu sein. Sie bestätigte weiters die Aufgabenverteilung, wie im Einschaubericht der FMA angeführt. Im Jahr 2011 habe die BF1 noch den "Investment Desk" dazubekommen, dies sei die Portfolio-Verwaltung. Nach dem Rücktritt des BF3 sei die BF1 am 01.11.2012 Sprecherin des Vorstands geworden. Nach dem Rücktritt des BF2 sei sie vom 01.01.2013 bis zum 30.04.2013 Alleinvorstand gewesen und seit 01.05.2013 sei sie gemeinsam mit XXXX im Vorstand der haftungspflichtigen Gesellschaft. Bis zum Ausscheiden des BF2 sei die BF1 auch noch für das Gebiet Markt, dies beinhalte das gesamte Private Banking, zuständig gewesen.

Bei ihrem Eintritt in die haftungspflichtige Gesellschaft hätten der BF2 und der BF3 bereits seit 2007 im Vorstand zusammengearbeitet. Die BF1 habe den Bereich Privat Banking Austria aufbauen sollen und dazu ein Team von drei weiteren Personen mitgebracht. Zu Beginn ihrer Tätigkeit habe sie sich mit allen Abteilungsleitern in Gesprächen befunden, so auch mit der GWB XXXX. Die BF1 habe einen sehr guten persönlichen Eindruck von XXXX XXXX sowie von ihrer Qualifikation erhalten. Die BF1 habe den Eindruck gehabt, dass XXXXXXXX sehr genau arbeite. Ihr gegenüber habe XXXXXXXX angegeben, dass beinahe die Hälfte ihrer Arbeitszeit mit ihren Aufgaben zur Transaktions-Überwachung und zur Überwachung der Kundenbeziehungen ausgefüllt sei. XXXXXXXX sei laut dem Organigramm dem BF2 unterstellt gewesen.

Man habe sich im Gesamtvorstand über die Verpflichtungen hinsichtlich der Prävention von Geldwäsche und Terrorismusfinanzierung unterhalten. In der Anfangszeit der BF1 habe sie sich natürlich die Jahresabschlüsse und Prüfberichte, sowie die AZP angeschaut, jedoch nirgends Hinweise auf Probleme mit AML gefunden.

Der XXXX-Bericht vom 03.10.2010 sei direkt an Herrn XXXX ergangen, der ihn dann unmittelbar danach an den Vorstand per E-Mail verteilt habe. Die BF1 gab an, den Bericht jedenfalls vor 12.01.2011 erhalten zu haben, korrigierte sich dann jedoch und führte aus, dass der Bericht am 24.01.2011 per E-Mail ausgesandt worden sei. Da man diese Berichte zuerst physisch ausgeteilt habe, halte es die BF1 für wahrscheinlich, dass sie den Bericht vor diesem Datum bereits in Händen gehalten habe. Sie habe sich den Bericht genauer angeschaut. Auf Vorhalt durch die beisitzende Richterin Dr. Kuroki von Seite 12, Punkt 2.13, erster Absatz, Konnte die BF1 nicht im Detail antworten. Im Jahr 2011 habe die haftungspflichtige Gesellschaft vier Meldungen erstattet. Herr XXXX habe, zusammen mit dem BF2 und Herrn XXXX, der für den Bankbetrieb, das Mid-Office zuständig gewesen sei, in mehreren Management-Gesprächen über die Umsetzung des Berichtes berichtet. Eine Überprüfung der tatsächlichen Umsetzung sei dadurch erfolgt, dass XXXXXXXX etwa die verbesserungswürdigen Unterlagen nach erfolgter Verbesserung vorgelegt habe. Die BF1 habe es nicht als ihren Aufgabenbereich angesehen, stichprobenartig Einzelkunden zu überprüfen. Sie sei für Private Banking Österreich zuständig gewesen. Eine weitere Überprüfung ihrerseits hätte sie auch als überzogen erachtet, zumal die Verantwortlichen ohnehin damit befasst gewesen seien und auch die Kundenbetreuer an der Verbesserung und Behebung mitgewirkt hätten. Für die BF1 sei relevant gewesen, dass der XXXX-Bericht festgehalten habe, dass die gesetzlichen Bestimmungen eingehalten worden seien.

Die BF1 gab an, den Fit&Proper-Test bei der FMA absolviert zu haben, sich sämtliche Rundschreiben der FMA ausgedruckt und in den Monaten vor ihrem Eintritt studiert zu haben. Sie habe sich auch mit einem Anwalt ihres Vertrauens darüber unterhalten, welche Verpflichtungen mit einem Vorstandsmandat einhergehen und sie habe sich auch in der Bank sehr genau darüber informiert. Ihr sei als außerordentlich positiv aufgefallen, dass XXXX für diese Prüfung im Jahr 2010 herangezogen worden sei. Dies sei für sie ein weiterer Beweis, dass Kontrolleinrichtungen existiert und funktioniert hätten.

Auf Vorhalt von Seite 78 letzter Absatz unten und Seite 79 erster und fünfter Absatz des Straferkenntnisses führte die BF1 aus, davon keine Kenntnis gehabt zu haben. Sie wies auf das Eröffnungsdatum hin und merkte an, zu diesem Datum noch nicht in der Bank gewesen zu sein. In der Folge sei versucht worden, die Dokumente auch einzuholen und die Schließung falle in den Zeitraum, wo sie alleine Vorstand gewesen sei.

Zur Vertretungsregelung im Vorstand gab die BF1 an, dass der BF2 und der BF3 sich bei Urlauben und Abwesenheiten untereinander abgesprochen hätten. Die BF1 sei persönlich nie zur Vertretung herangezogen worden.

Herr XXXX sei interimistisch Compliance-Beauftragter gewesen sei und XXXXXXXX habe ihre Agenden an diesen übertragen. Die Bestellung von XXXX XXXX sei der FMA angezeigt worden, ob es ein Addendum zu seinem Dienstvertrag gebe, wisse die BF1 nicht. XXXX XXXX sei ab 01.01.2012 Geldwäschebeauftragter gewesen. Die zwei Monate davor hätten Herr XXXX und Herr XXXX XXXX gemeinsam gearbeitet. Wie die interne Regelung mit ihm ausgesehen habe, wisse die BF1 nicht. Er habe dem Vorstand berichtet.

Zur Implementierung von XXXX befragt, führte die Bf1 aus, dass man zwei Angebote eingeholt habe. Jenes von XXXX habe man ausscheiden müssen, da die PEP-Screenings nicht enthalten gewesen wären. Es sei eine enorme Aufgabe, eine derartige Software an ein bestehendes Kernbankensystem anzuschließen. Die IT sei diesbezüglich enorm gefragt gewesen und es habe mehrere Termine mit XXXX gegeben. Die Testphase habe im Juli 2012 begonnen. Man habe sich keine Verzögerung zu Schulden kommen lassen und die Größe des Projektes an sich habe diese Dauer bedingt.

Laut der BF1 habe der BF3 wöchentliche Jours fixes mit XXXXXXXX gehabt. Ihr sei bekannt gewesen, dass der BF3 großen Wert darauf gelegt habe, die Kunden persönlich zu kennen und sie habe den Eindruck gehabt, dass hier eine sehr große Nähe zum Kunden bestanden habe und auch zu den Geschäften, die der Kunde gemacht habe. Der BF3 habe berichtet, Kunden persönlich zu kennen. Der BF3 habe Termine bei den Kunden gehabt und auch in der Bank habe es Termine gegeben. Die BF1 sei nie davon ausgegangen, dass es Identifikationsprobleme gegeben habe, auch nicht betreffend Kunden aus Übersee.

Auf weiteres Befragen durch den BFV1 gab die BF1 an, dass die Information zu den wöchentlichen Jours fixes zwischen dem BF3 und der GWB aus den Meetings gewesen sei und sie es auch selbst wahrgenommen habe.

Die BF1 führt aus, dass im Organigramm zum damaligen Zeitpunkt dies so nicht dargestellt gewesen sei, aber dass es der damaligen Regelung entsprochen habe, dass das Gebiet "Legal" und "Compliance", wie im Einschaubericht auf Seite 7 angeführt, dem Gesamtvorstand unterlegen sei.

Man habe natürlich auch im Inlandsbereich die Geldwäschebestimmungen angewandt und die Berichte der GWB seien an den Gesamtvorstand gerichtet gewesen.

Die FMA führte dazu aus, dass ihr im Rahmen der Einschau ein Organigramm mit Stand vom Oktober 2011 vorgelegt worden sei, aus dem hervorgehe, dass die Bereiche "Executive Secretary", "Legal & Compliance" sowie "Internal Audit" dem Gesamtvorstand unterlegen seien.

Die BF1 führte dazu aus, dass das Organigramm mit Fortdauer ihrer Tätigkeit Änderungen unterworfen gewesen sei.

Zur Umsetzung des XXXX-Berichtes führte die BF1 aus, dass man in der Bank wöchentliche Management-Meetings und monatliche Meetings mit den Abteilungsleitern gehabt habe, bei denen sie nachgefragt habe, wie der Stand bei der Umsetzung der Maßnahmen gewesen sei und wer dafür verantwortlich gewesen sei. Zwischenzeitlich habe sie sich bei XXXX XXXX erkundigt und sich von ihm informieren lassen.

Zur Kundenanzahl befragt führte BF1 aus, dass man zum Zeitpunkt der Einschau 4.500 Konten angegeben habe, 1.900 Privatkunden im Ausland und 1.600 ausländische Unternehmen. Heute stehe man bei ca. 2.300 Kunden. XXXXXXXX sei XXXXXXXX zur Seite gestellt gewesen und habe ihres Wissens nach 35 Wochenstunden gearbeitet. Beide Damen seien für das Geldwäsche-Monitoring zuständig gewesen, aber auch für Compliance-Angelegenheiten. Der XXXX-Bericht spreche von 33% Arbeitszeit-Aufwand, XXXXXXXX habe ihr gegenüber einen Aufwand von ca. 50% genannt. Ab Frühling 2012 habe man die Compliance-Abteilung auf vier Mitarbeiter aufgestockt, das bedeute, dass zwei zusätzliche Vollzeitkräfte hinzugekommen seien. Die BF1 wisse nicht, ob die vier Geldwäsche-Verdachtsmeldungen sich mit jenen decken würden, die XXXX auf Seite 12 anführe. Im Jahr 2012 habe die haftungspflichtige Gesellschaft dreißig Verdachtsmeldungen erstattet habe. Diese hohe Anzahl sei auf die XXXX-Prüfung und die FMA zurückzuführen. Die BF1 könne nicht mit gesichertem Wissen bestätigen, dass genau diese Kunden gemeldet worden seien. Sie wisse jedenfalls, dass die entsprechenden Schritte zur Meldung gesetzt worden seien.

Von der Vorsitzenden Richterin abschließend befragt, ob sich die BF1 erklären könne, warum die Umsetzung bzw. Behebung, wie sie in ihrer Rechtfertigung und in der Berufung ausgeführt habe, erst mit ihrem Arbeitsbeginn als Alleinvorständin per 01.01.2013 zügig vorangeschritten sei, gab die BF1 an, dass man nach der XXXX-Prüfung und nach dem Einschaubericht für die Nachdokumentation von Kundenunterlagen in der Gesamtbank eine Task-Force gebildet habe. Es habe sich dabei auch um Geschäfte gehandelt, die in der Vergangenheit gelegen seien und man habe für die Vorlage bei fehlenden Dokumentationen und Unterlagen, einen gewissen Zeitraum einräumen müssen. Die Kunden hätten dann geliefert oder auch nicht. Die finalen Deadlines seien verstärkt gegen Ende 2012 und im 1. Quartal 2013 gewesen, weshalb man erst zu diesem Zeitpunkt die notwendigen Konsequenzen gesetzt habe.

Der BF2 machte Angaben zu seinen persönlichen Verhältnissen und gab an, ab 01.10.2007 für fünf Jahre und drei Monate im Vorstand tätig gewesen zu sein. Von 01.01.2002 bis 30.09.2007 sei er Leiter der Abteilung Finanz- und Rechnungswesen gewesen. Zudem sei er für Personalabteilung und ab Ende 2002 für den Bereich "Internal Service" zuständig gewesen. Zu Beginn seiner Vorstandstätigkeit sei er CFO und Mitglied des Vorstandes gewesen. Er habe die Marktfolgeseite abgedeckt. Das seien die Abteilungen Buchhaltung, Internal Services, IT, Operations (Wertpapierabwicklung) und Depot-Bank, weiters Clients-Services (Zahlungsverkehr, Midoffice und Frost - Front Office Support Unit) und Treasury gewesen. All diese Abteilungen, außer Treasury, seien bei ihm geblieben. Auf Anregung der ÖNB bei einer Prüfung 2012 sei Treasury aus der Zuständigkeit des Vorstands für die Marktfolgeseite herausgenommen worden. Es sei der Marktseite zugeordnet worden, der BF2 wisse nicht mehr ganz genau, wer es bekommen habe. Diese Abteilungen hätten ihm alle direkt berichten müssen. Zusätzlich seien noch die Gebiete Compliance und interne Revision für den Gesamtvorstand dazugekommen.

Die gesamtvorstandliche Verantwortung für Compliance und interne Revision sei während seiner gesamten Funktionszeit aufrecht geblieben. XXXXXXXX XXXX (Compliance) habe aber im Rahmen einer internen Aufteilung dem BF3 berichtet und XXXX XXXX (interne Revision) habe ihm berichtet, dies beziehe sich auf wöchentliche Meetings und die Jours fixes. Nach der Ablösung von XXXX XXXX durch XXXX XXXX habe der BF2 mehr Kontakt zu diesem gehabt. Die direkte Berichterstattung sei im täglichen Geschäft von Vorteil gewesen.

Auf weitere Nachfrage, ob sich der BF2 durch Stichproben von der Arbeit der Compliance-Abteilung vergewissert habe, führte dieser aus, dass, wenn es um die Überarbeitung, zum Beispiel der KYC-Policy oder der AML-Policy gegangen sei, man sich immer zu dritt zusammengesetzt habe, nämlich der BF2, der BF3 und XXXXXXXX.

Der BF2 gab zu Protokoll, dass sich die haftungspflichtige Gesellschaft in der Vergangenheit für rechtliche Fragen an die Kanzlei XXXX gewandt habe. Er könne sich nicht erinnern, dass man dies zu dem konkreten Thema gemacht habe. Er sei sich aber sicher, dass XXXXXXXX das wohl getan habe, denn dies sei langjährige Praxis gewesen. Er sei in Kontakt mit der Compliance-Abteilung, den Fachleuten in der Bank, gewesen. Wenn der Wirtschaftsprüfer ein Thema gehabt hätte, wäre man mit dem Vorstand in Kontakt getreten. Auch die interne Revision wäre an ihn herangetreten, hätte es bei der Geldwäscheprävention ein Problem gegeben.

Der Bf2 sei über das System informiert gewesen. Man habe laufend Management-Gespräche geführt, an denen der BF2, der BF3 und XXXXXXXX sowie später auch die BF1 teilgenommen hätten.

Dem BF2 sei im Rahmen seiner Verantwortung im Gesamtvorstand bekannt gewesen, dass diese Listen überprüft worden seien. Dem BF2 sei bekannt, dass die Abteilung intern und extern überprüft worden sei. Er wisse auch, wie diese Überprüfungen abgelaufen seien, habe die Berichte gelesen. Es habe eine Anforderungsliste gegeben, auf Grund derer der externe Wirtschaftsprüfer sich bestimmte Akten angesehen habe. Auch die interne Revision gehe nach bestimmten Parametern vor. Dazu würden ihm aber ein bestimmtes Transaktionsverhalten und bestimmte Herkunftsländer einfallen und ob etwa ein Kunde einen Kredit gehabt oder investiert habe.

Stichproben durch die interne Revision seien wohl zumindest einmal im Jahr geschehen, vielleicht auch zweimal. Der externe Prüfer habe eine Vorprüfung und dann die eigentliche Prüfung durchgeführt.

Dem BF2 seien Kundengeschäfte bekannt gewesen. Er habe bestimmte Kunden-Konten im System angesehen. Selten habe er Kunden persönlich kennengelernt. Relativ regelmäßig habe er rote, gelbe und grüne Akten angesehen (Kreditakten, Korrespondenz). Wenn er eine Zahlung genehmigen habe müssen, habe er den grünen Akt ansehen müssen, um zu erfahren, wer der Kunde gewesen sei. Man habe wissen wollen, ob der Informationsstand in den Kundenakten stimme. Mit XXXX XXXX und XXXX XXXX habe man bestimmte Kundenakten angesehen. Diese seien oft aus dem Keller geholt worden. Im Fall von Fehlern in Kundenakten sei zusammen mit dem Kundenbetreuer die Compliance-Abteilung hinzugezogen worden und man habe sich den entsprechenden Akt gemeinsam angesehen. Er habe immer die Meinung der Compliance geschätzt. Er wolle sich auch deutlich von den Vorwürfen, die auch gegenüber dem Aufsichtsrat seine Person betreffend erhoben worden seien, dass er die Compliance "overruled" hätte, distanzieren. Er habe und würde nie etwas gegen die ausdrückliche Meinung der Compliance-Abteilung unternehmen.

Wenn jemand einen Verdacht gehabt habe, sei eine Verdachtsmeldung erstattet worden. Für ihn sei das immer eine Compliance-Sache mit Kundenbetreuung gewesen. Es sei nie der Fall gewesen, dass die Compliance zu ihm gekommen sei und auf einen Verdacht hingewiesen habe. Die Regel in der Bank sei gewesen, dass die Compliance eine Verdachtsmeldung erstattet habe, sobald ein Verdacht ihrerseits vorgelegen sei. Für ihn erscheine die von der BF1 genannte Zahl der im Jahr 2012 erstatteten Meldungen eher zu niedrig. Seiner Erinnerung nach seien es 58 XXXX-Fälle und 12 andere Fälle durch die Einschau gewesen. Auf Vorhalt der beisitzenden Richterin Dr. Kuroki, dass dies nach einer relativen passiven Haltung klinge und bei einer geringen Anzahl von Verdachtsanzeigen vielleicht etwas mit dem System nicht stimme, entgegnete der BF2, dass man der Ansicht gewesen sei, dass das System ausreichend gewesen sei. Man habe diese Listen, Schulungen und Meetings und Policies gehabt. Es habe immer wieder Anlass für Überarbeitungen gegeben und solche seien auch durchgeführt worden. Als Beispiel verweise er auf die jährlichen PEP-Checks. Die FMA habe anlässlich der Einschau mitgeteilt, dass ein jährlicher Check zu wenig sei. Man habe den Einschaubericht abwarten wollen.

Mit dem XXXX-Bericht habe der BF2 angenommen, gesetzmäßig zu handeln. Die roten Punkte des XXXX-Berichtes seien selbstverständlich im Vorstand, mit der internen Revision und mit bestimmten Kundenbetreuern besprochen worden. Er sei im Frühling 2011 beauftragt worden, grüne Akten herauszunehmen. Es habe sich dabei um 39 Akten gehandelt, die er sich angesehen habe. Man habe in der Bank gewusst, dass man sich bei der Organisation der Kundenakten verbessern könne. Viele der Kundenbetreuer würden ihre Kunden persönlich kennen und zu ihren Familien fahren, es sei im Akt aber nicht ersichtlich. Der BF2 habe sich in einem E-Mail an die Kundenbetreuer gewandt und zu jedem der 39 Akten notiert, was gefehlt habe. XXXX XXXX und andere hätten dies schon vorher getan und grundsätzlich darauf hingewiesen, dass Kundenakten alles zu enthalten hätten, damit auch ein unbeteiligter Dritter bei Durchsicht der Akten alle notwendigen Informationen zum jeweiligen Kunden in Händen halte. Der BF2 habe die übrigen Vorstandsmitglieder auch laufend über diese Verbesserungsmöglichkeiten informiert. Ein diesbezügliches Memo wurde als Beilage ./8 zum Akt genommen.

Die belangte Behörde wies darauf hin, dass auf Seite 11 des XXXX-Berichtes in Empfehlung 18 stehe, dass die FMA eine monatliche PEP-Überprüfung fordere. Auf die Frage der FMA, ob sich der BF2 erinnern könne, was man diesbezüglich veranlasst habe, gab der BF2 zu Protokoll, dass ihm dies nicht bekannt gewesen sei. Man habe sich auf den XXXX-Bericht verlassen, auch habe die FMA während der Einschau nicht gesagt, dass ein monatlicher PEP-Check notwendig sei. Der BF2 könne sich nicht erinnern, ob bei jenen Kunden, die XXXX auf Seite 12 als verdächtig angeführt habe, Verdachtsmeldungen erstattet worden seien.

Zu den Spruchpunkten 20 und 21 verweise der BF2 auf die Stellungnahme der haftungspflichtigen Gesellschaft, er könne darüber hinaus keine Angaben machen. Er sei in die Implementierung von XXXX nicht eingebunden gewesen, das habe die Compliance-Abteilung gemacht. Der BF2 sei am 31.12.2012 zurückgetreten, die FMA habe dies vom Aufsichtsrat so verlangt.

Der BF3 machte Angaben zu seinen persönlichen Verhältnissen und gab an, seit Februar 2005 im Vorstand der XXXX, jedoch bereits seit 1999 im Firmengeflecht der XXXX tätig gewesen zu sein. Sein Aufgabenbereich als Vorstand der haftungspflichtigen Gesellschaft habe das Front-Office, bestehend aus Private Banking Austria, Private Banking East und Privat Banking International umfasst, weiters den Investment-Desk und Human Resources- Zudem sei er Geschäftsführer der KAG gewesen. Der Direktor des Büros in Singapur habe an ihn berichtet.

Die haftungspflichtige Gesellschaft sei eine sehr kleine Privatbank mit etwa 90 Mitarbeitern und offenen Türen bei allen Vorständen. Das Geschäft sei nicht mit jenem großer Banken zu vergleichen. Im Jahr der Verstaatlichung sei man an die XXXX verkauft worden. Man habe sich immer bemüht, allen Regeln zu entsprechen. Besonders wichtig erscheine dem BF3 die Tatsache, dass die Kundenbetreuer 17 oder 18 Sprachen gesprochen hätten und somit den persönlichen Kundenkontakt hätten halten können. Nicht alle Checks würden aufscheinen. Die Kunden seien sehr speziell gewesen und hätten zum Teil sehr komplexe Vermögenskonstrukte gehabt. Als Bank sei man im Private Banking international tätig gewesen, dies könne mit dem österreichischen Kommerzbankgeschäft nicht verglichen werden. Der BF3 sei, genauso wie seine Kollegen, davon überzeugt gewesen und sei es auch immer noch, dass das System zur Prävention von Geldwäsche/AML gesetzeskonform gewesen sei. Die angesprochenen Stichproben hätten stattgefunden, in regelmäßigen Intervallen, nicht auf starre Regeln basierend, sondern an das Kundeverhalten angeknüpft. Es sei öfters vorgekommen, dass Kundenbetreuer den BF3 kontaktiert hätten, da sie gewusst hätten, dass er Informationen über Transaktionen von Kunden haben könnte. Er sei der Ansicht, dass die geführten Listen ausreichend gewesen seien. Man habe sie, vor allem die täglich geführten, extensiv genutzt.

Die nochmalige Nachfrage, ob der BF3 persönlich Stichproben gezogen habe, bejahte dieser und gab an, Kunden auch direkt angerufen und sich erkundigt zu haben, wofür bestimmte Transaktionen verwendet worden seien. Er habe Rechnungen dafür auch selbst angefordert. Als Privatbank habe man nicht besonders viele Transaktionen pro Tag, da man hauptsächlich im Veranlagungsgeschäft tätig sei. Man spreche in diesem Zusammenhang von durchschnittlich 20-25 Transaktionen über 15.000 Euro. An manchen Tagen seien es aber auch nur fünf. Die Zahlen des Zeugen XXXX XXXX seien schlicht zu hoch gegriffen gewesen. Ein Compliance-Team von vier Personen könne die ausführliche Überwachung von 20-25 Transaktionen pro Tag gewährleisten, 75 bis 100 Transaktionen zu überwachen, wäre eine Herausforderung.

Ab April/Mai 2012 hätten vier Leute in der Compliance-Abteilung gearbeitet, davor hätten XXXXXXXX und XXXXXXXX die Überwachung durchgeführt. Das automatisierte Überwachungssystem sei erst 2012 gekommen.

Der BF3 habe zu keinem Zeitpunkt während seiner aktiven Vorstandstätigkeit bei der FMA, einem Anwalt oder einem anderen Rechtsexperten nachgefragt habe, ob das von der VBA installierte System, allenfalls unter Schilderung des konkreten Systems, den gesetzlichen Anforderungen zur Prävention von Geldwäsche entspreche. Man habe das "Single Point of Contact"-System gehabt, die jährlichen Management-Gespräche mit der FMA. Man sei im Kontakt mit anderen Bankdirektoren gestanden und habe auch gewusst, wieviel Arbeit die Compliance gehabt habe. Auch die Schulungen generell seien ein großes Thema gewesen. Die Neu-Adaptierung von Policies und Arbeitsanweisungen habe intensive Schulungen notwendig gemacht.

Die Anforderungen an die Dokumentation von Kunden seien über die letzten 10 Jahre enorm gestiegen seien. Früher habe ein Zweizeiler ausgereicht, jetzt müsse auf Grund des geltenden Background-Memos jedes Detail recherchiert und festgehalten werden. Auffälligkeiten im Transaktionsverhalten seien anlassfallbezogen überprüft worden, auch bei Transaktionen unter € 15.000. Weiters habe es Stichproben gegeben. Nunmehr müsse schon bei jeder Transaktion angegeben werden, wofür sie getätigt werde.

Der BF3 gab weiters an, dass es sich bei der Aufgabenaufteilung im Vorstand um keine offizielle Aufteilung gehandelt habe. Im Vorstand sei man im ständigen Austausch gestanden. Die GWB habe im täglichen Geschäft vor allem ihn kontaktiert und nach Rücksprache mit ihm den Gesamtvorstand kontaktiert, so etwa bei Verdachtsmeldungen.

Auf Vorhalt der Spruchpunkte 16-18 des angefochtenen Straferkenntnisses führte der BF3 aus, dazu bereits in seiner Rechtfertigung Stellung genommen zu haben. Die Dokumente seien angefordert worden und die Kunden seien ihm und dem Kundenbetreuer persönlich bekannt gewesen.

Zu persönlichen Kundenkontakten befragt, führte der BF3 aus, dass Herr XXXX der wirtschaftlich Begünstigte im Roundstone-Trust gewesen sei, man habe keine Veranlassung gesehen, Unterlagen zu seinen Töchtern einzuholen.

Der BFV1 führte aus, dass der BF3 gemeinsam mit dem BF2 den XXXX-Bericht in Auftrag gegeben habe. Der BF3 gab an, man habe sich sofort nach Erhalt des Berichtes zusammengesetzt und sich an die Aufarbeitung gemacht. Über den Bericht hinaus habe es keine Anmerkungen seitens XXXX gegeben. Man habe sich mit dem Bericht sehr genau auseinandergesetzt und die Kundenbetreuer zu den angesprochenen Kunden kontaktiert. Das Haus sei nicht sehr groß und man habe eng zusammengearbeitet. Es sei durchaus auch vorgekommen, dass, obwohl es sich um Auslandsgeschäfte gehandelt habe, die BF1 dem jeweiligen Kundenberater aufgetragen habe, Verbesserungen zu tätigen. Der BF3 habe nie etwas dagegen gehabt, wenn die BF1 Unstimmigkeiten aufgedeckt habe. Auch der BF2 sei hier aktiv auf die Kundenbetreuer zugegangen.

Auf Vorhalt der Beilage 1 zum Protokoll, Seite 7, führte der BF3 aus, den Bericht zusammen mit XXXXXXXX analysiert zu haben. Man sei zum jeweiligen Teamleiter gegangen und habe Anweisung zur sofortigen Behebung der Missstände gegeben. XXXXXXXX und der BF3 hätten dies auch kontrolliert. Er habe das vor allem mit dem BF2 besprochen, da die BF1 zu Beginn ihrer Tätigkeit vor allem mit der Kundenakquise beschäftigt gewesen sei. Der BF3 gehe aber davon aus, dass sowohl der BF2 als auch die BF1 den Inhalt des Berichtes gekannt hätten, da ihn alle bekommen hätten.

Der BF3 gab an, man habe die Behebung der Mängel ständig besprochen. Man habe intensiv an der Dokumenten-Fehlliste gearbeitet, die dem Vorstand, XXXXXXXX, den Teamleitern und den Kundenbetreuern zugängig gewesen.

Der BF3 sei sich sicher, dass man nur Konten eröffnet habe, wenn alle Dokumente da gewesen seien. Gesetzliche Anforderungen und Änderungen in Sachverhalten würden aber fortlaufende Arbeit an dieser Liste erfordern. Wenn man auf Anfragen keine Antwort bekommen habe, etwa bei langjährigen amerikanischen Kunden, die nicht aufspürbar gewesen seien, habe man das Konto schließlich geblockt, wenn nicht geschlossen.

Zu den im XXXX-Bericht festgehaltenen Mängeln in der Kundenüberwachung befragt verwies der BF3 auf die Stellungnahme der haftungspflichtigen Gesellschaft zum XXXX-Bericht. Er führe dies auf die mangelnde Erfahrung der XXXX-Prüferinnen im Privat Banking International zurück. Man habe in dieser Stellungnahme einiges entkräften können. Sie seien sicher keine Musterschüler gewesen, aber hätten sich sehr bemüht.

Die BF1 gab auch Befragen des BFV1, welche Kundenkontakte im Jour fixe besprochen worden seien und was sie im Vorstand über die Aufarbeitung des XXXX-Berichtes erfahren habe, an, dass es sich dabei um Auslandsgeschäfte gehandelt habe und der BF2 und der BF3 über den Fortschritt im Jour fixe berichtet hätten. Sie habe hier aber keine aktiven Schritte auf die Kundenbetreuer zu gesetzt.

Im Rahmen der Schlussausführungen hielten die belangte Behörde ihre Straferkenntnisse und die Beschwerdeführer ihre Beschwerden vollinhaltlich aufrecht.

Nach Durchführung der nichtöffentlichen Beratung des Senates verkündete die vorsitzende Richterin gemäß § 29 Abs. 2 VwGVG iVm § 47 Abs. 4 VwGVG die Erkenntnisse samt den wesentlichen Entscheidungsgründen und den Rechtsmittelbelehrungen samt Hinweis.

II. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen:

Der Beschwerdeführer zu W210 2000433-1 war von 01.10.2007 bis 31.12.2012 Vorstand der haftungspflichtigen Gesellschaft. Diese ist ein konzessioniertes Kreditinstitut gemäß § 1 Abs. 1 BWG mit Sitz in XXXX. Sein Aufgabengebiet war die Marktfolgeseite mit den Abteilungen Buchhaltung, Internal Services, IT, Operations (Wertpapierabwicklung) und Depot-Bank, weiters Client-Services (Zahlungsverkehr, Midoffice und Frost - Front Office Support Unit) und Treasury.

Es konnte nicht festgestellt werden, dass der Beschwerdeführer zu W210 2000433-1 jemals unter konkreter Schilderung bei der belangten Behörde nachgefragt hat, ob gewählte Konstruktionen und Vorgehensweisen der haftungspflichtigen Gesellschaft rechtmäßig waren.

Die haftungspflichtige Gesellschaft ist ein kleines Bankhaus, dessen Hauptaugenmerk auf Private Banking liegt. Der Kundenstock setzt sich folgendermaßen zusammen: XXXX% der Kunden stammen aus CEE und GUS Ländern, XXXX % aus Nordamerika, XXXX % aus Lateinamerika, XXXX % aus Österreich, XXXX % aus anderen europäischen Ländern sowie XXXX % aus der restlichen Welt.

Von 04.10.2011 bis 06.10.2011 führte die FMA eine Einschau bei der haftungspflichtigen Gesellschaft durch.

Es konnte nicht festgestellt werden, dass die haftungspflichtige Gesellschaft über ein effizientes Regelungs- und Kontrollsystem zur Prävention von Geldwäscherei und Terrorismusfinanzierung verfügte.

Zu Faktum I.1.

In der haftungspflichtigen Gesellschaft war im Zeitraum von 01.01.2009 bis 31.12.2012 ein System von sieben Listen, aus denen zunächst Stichproben gezogen wurden, zur Überwachung von Transaktionen installiert.

Täglich wurde eine Liste erstellt, aus der Transaktionen über 15.000 EUR ersichtlich waren (Liste 420_1, "Daily client transactions"); monatlich wurden weitere zwei Listen erstellt, die die monatlichen Transaktionen über 500.000 EUR und mehr als 5 Transaktionen bzw. die monatlichen Transaktionen unter einem Gesamtvolumen 500.000 EUR und mehr als 5 Transaktionen erfassten. Eine weitere monatlich erstellte Liste ("Frequent cash Transactions") erfasste alle Bartransaktionen mit mehr als 3 innerhalb des letzten Monats gebuchten Transaktionen. Eine weitere monatlich erstellte Liste der "Dormant Account transactions" erfasste alle Transaktionen der letzten 6 Monate eines "dormant accounts" (keine Transaktion innerhalb der letzten 1,5 Jahre). Jährlich wurden zwei weitere Listen erstellt: "Client Risk Category" und "Review of Operating Accouns".

Die haftungspflichtige Gesellschaft hat aus diesen Listen Stichproben gezogen. Es kann nicht festgestellt werden, wie viele Stichproben aus welchen Listen gezogen wurden. Es kann nicht festgestellt werden, wie viele Kunden/Konten tatsächlich in welchen Intervallen zu welchem Schwerpunkt (PEP, Transaktionen, dormant account, verstärkte Sorgfaltspflichten, etc.) geprüft wurden.

Am 01.01.2012 wurde der Beauftragte zur Prävention von Goldwäscherei und Terrorismusfinanzierung, XXXX XXXX, neu bestellt. Ab diesem wurden darüber hinaus alle Transaktionen über 15.000 EUR anhand der Liste 420_1, "Daily client transactions > 15.000 EUR" Liste täglich überprüft.

Am 01.04.2013 startete der Live-Betrieb des Systems "XXXX XXXX, dieses System löste das Listen-System ab.

Zu Faktum I.2.1:

49 Kunden, deren Geschäftsbeziehung zur haftungspflichtigen Gesellschaft im Wege des Ferngeschäfts begründet wurde, waren jedenfalls per 31.07.2011 im Gesamtkundenbestand.

28 dieser Kunden warenin der Risikoklasse "medium risk" eingestuft:

Es handelt sich um die Kunden mit der Nummer XXXX XXXX XXXX Ein Kunde (es handelt sich um den Kunden mit der Nummer XXXX, domiziliert in den USA) war trotz weiterem Risikofaktor "complex structure" in der Risikoklasse "low risk" eingestuft.

"Medium-Risk"-Kunden werden alle zwei Jahre überprüft, "Low-Risk"-Kunden alle drei Jahre.

Im April 2012 wurde in der haftungspflichtigen Gesellschaft ein grundsätzlich neues System zur Risikobewertung ihrer Kunden einschließlich der Kundenbeziehungen, die im Wege des Ferngeschäfts begründet wurden, eingeführt.

Zu Faktum I.2.2:

Mit 31.07.2011 waren jedenfalls 49 Geschäftsbeziehungen mit Bezug zu politisch exponierten Personen ("PEP-Kunden") im Gesamtkundenbestand der haftungspflichtigen Gesellschaft. Davon waren 41 Kunden (rd. 84 %) nicht in der Risikostufe "hoch" geführt:

12 PEP-Kunden sind in der Gesamtkundenliste nicht angeführt (trotz vorhandener Salden), die Risikoeinstufung dieser Kunden ist daher nicht überprüfbar. Es handelt sich um die Kunden mit der Kundennummer: XXXX.

21 PEP-Kunden werden in der Risikostufe "increased risk" (erhöhtes Risiko) geführt. Ein Großteil dieser Kunden ist in den Offshore-Destinationen Panama und Belize domiziliert. Es handelt sich um die Kunden mit der Kundennummer: XXXX.

8 PEP-Kunden werden in der Risikostufe "medium risk" geführt. Es handelt sich um die Kunden mit der Kundennummer: XXXX

Erst mit April 2012 wurde ein grundsätzlich neues System zur Risikobewertung ihrer Kunden einschließlich der Kundenbeziehungen mit Bezug zu politisch exponierten Personen eingeführt.

Zu Faktum I.2.3:

Die haftungspflichtige Gesellschaft bewertet in ihrer "Gefährdungsanalyse per 31.12.2010" das Risiko, im Auslandszahlungsverkehr (AZV) für Zwecke der Geldwäsche oder Terrorismusfinanzierung missbraucht zu werden, abstrakt als "mittel" und unter Berücksichtigung der bankindividuellen Maßnahmen als "niedrig".

Es konnte festgestellt werden, dass es entgegen dem Zweck der "Veranlagung" ein hohes Maß an Transaktionen der Kunden der haftungspflichtigen Gesellschaft gab. Die Transaktionen wurden lediglich durch Abgleich der Kundendaten mit Sanktions- und Verdachtslisten überprüft. Besondere systematische Maßnahmen zur risikoorientierten Überwachung konnten nicht festgestellt werden.

Diese Einstufung bestand zur Zeit der Einschau der FMA (04.10.2011 - 06.10.2011) und findet sich auch in der "Gefährdungsanalyse für das Jahr 2012".

Zu Faktum I.2.4.:

Die Arbeitsanweisung der haftungspflichtigen Gesellschaft zu "Money Laundering Policy, Module I, KYC", Stand Juni 2011, enthält grundsätzlich Anforderungen zur Berücksichtigung der "geographic area". Liegt ein Fall mit einer "specific geographic area", das sind alle, die nicht Länder mit Standardrisiko betreffen, vor, ist der Kunde in eine "Medium/Increased/Higher Risk Category" einzustufen. Gemäß Punkt C.1.1. der Arbeitsanweisung ist aber für die Eigenschaft "Specific geographic area" ein Score von "1, low risk" zu vergeben.

Eine Vielzahl der Kunden mit einem geographischen Risiko sind aber falsch, nämlich zu niedrig hinsichtlich ihres Risikos eingestuft:

313 Kunden befinden sich in der niedrigsten Risikoklasse, 375 Kunden in den Klassen "standard risk" und "low risk". Darunter sind zahlreiche Stiftungen mit Sitz in Panama und Belize (zB Kunden Nr. XXXX).

Im April 2012 wurde die vorhandende Risikoeinstufung erstmals überarbeitet, erst im November 2012 wurden "off-shore-Destinationen" angemessen berücksichtigt.

Die Liste "Specific Geographic Areas", mit der eine hinreichende Feinabstimmung der Länder hinsichtlich ihres Risikos vorgenommen wurde, datiert mit 16.11.2012.

Zu Faktum I.3.:

28 der 49 Kunden, deren Geschäftsbeziehung im Wege des Ferngeschäfts begründet wurden, waren jedenfalls bis Ende März 2012 in der Risikoklasse "medium risk" eingestuft. 17 im Zuge des Ferngeschäfts begründete Geschäftsbeziehungen waren jedenfalls bis Ende März 2012 in der Risikoklasse "increased risk" geführt. Ein Großteil dieser Kunden war in Offshore- Destinationen domiziliert, wie z.B. Panama, Dominica, Belize, Seychellen, etc. Lediglich zwei Kunden wurden mit "higher risk" eingestuft.

Nach den Arbeitsanweisungen der XXXX (insbesondere jene zu Money Laundering Policy, Module I, KYC - Know your Client Policy; Beilage ./B, Beilagenordner I zu den FMA-Akten), werden Kunden, die in den Risikoklassen "low risk" und "medium risk" eingestuft wurden, alle drei Jahre einer Überprüfung durch den Kundenbetreuer unterzogen, Kunden die der Klassifizierung "increased risk" unterliegen, alle zwei Jahre. Nur Kunden, die in der Risikoklasse "high risk" eingestuft sind, wurden und werden jährlich überprüft.

Daneben bestand im Tatzeitraum das unter Faktum I.1. beschriebene System zum (laufenden) Monitoring der Kunden.

Mit Anfang April 2012 wurden die Ferngeschäfts-Kunden hinsichtlich ihres Risikos generell höher gestuft; seit November 2012 sind alle Ferngeschäfts-Kunden als Hochrisikokunden "high risk plus" mit 11 Risikopunkten geführt und werden jährlich einer Überprüfung unterzogen.

Mit 01.04.2013 ist in der haftungspflichtigen Gesellschaft ein grundsätzlich neues, indizienbasiertes System zum Kundenmonitoring (XXXX XXXX) in Echtbetrieb.

Zu Faktum I.4:

Mit jedenfalls 31.07.2011 gab es in der haftungspflichtigen Gesellschaft 49 Geschäftsbeziehungen mit Bezug zu politisch exponierten Personen ("PEP-Kunden") im Gesamtkundenbestand.

41 dieser Kunden (rd. 84 %) wurden nicht in der Risikostufe "hoch" geführt:

12 PEP-Kunden waren in der Gesamtkundenliste nicht angeführt (trotz vorhandener Salden), die Risikoeinstufung dieser Kunden ist daher nicht überprüfbar. Es handelt sich um die Kunden mit der Kundennummer: XXXX

21 PEP-Kunden wurden in der Risikostufe "increased risk" (erhöhtes Risiko) geführt. Ein Großteil dieser Kunden ist in den Offshore-Destinationen Panama und Belize domiziliert. Es handelt sich um die Kunden mit der Kundennummer: XXXX

8 PEP-Kunden wurden in der Risikostufe "medium risk" geführt. Es handelt sich um die Kunden mit der Kundennummer: XXXX

Kunden, die in den Risikoklassen "low risk" und "medium risk" eingestuft wurden, werden alle drei Jahre einer Überprüfung durch den Kundenbetreuer unterzogen, Kunden die der Klassifizierung "increased risk" unterliegen, alle zwei Jahre. Nur Kunden, die in der Risikoklasse "high risk" eingestuft sind, wurden und werden jährlich überprüft.

Mit Anfang April 2012 wurden die PEP-Kunden hinsichtlich ihres Risikos generell höher gestuft; seit November 2012 sind alle PEP-Kunden als Hochrisikokunden "high risk plus" mit 11 Risikopunkten geführt und werden jährlich einer Überprüfung unterzogen.

Mit 31.12.2012 trat die überarbeitete Arbeitsanweisung "Risikoanalyse in Kraft", seit September 2012 führt das System XXXX XXXX eine monatliche Überprüfung hinsichtlich der PEP-Eigenschaft von Kunden durch.

Mit 01.04.2013 ist in der haftungspflichtigen Gesellschaft ein grundsätzlich neues, indizienbasiertes System zum Kundenmonitoring (XXXX XXXX) in Echtbetrieb.

Zu Faktum I.5.:

Bis zur Anschaffung und Installierung des Systems XXXX XXXX im September 2012 wurde der Kundenbestand der haftungspflichtigen Gesellschaft nur einmal jährlich mittels dem System "XXXX" (Anbieter XXXX) auf eine allfällige PEP-Eigenschaft überprüft.

Zu Faktum I.6:

Es kann nicht festgestellt werden, dass die haftungspflichtige Gesellschaft von 01.01.2009 jedenfalls bis zum Ende der Einschau durch die FMA (6.10.2011) über eine verstärkte kontinuierliche Transaktionsüberwachung bei "Durchlaufkonten" von Korrespondenzbankbeziehungen aus Drittländern verfügte.

Nach der Arbeitsanweisung der haftungspflichtigen Gesellschaft mit dem Titel "§ 40b (1) Z 2 BWG Korrespondenzbankbeziehungen bzw. Korrespondenzbanken aus Drittländern", erfolgte die Kontrolle lediglich stichprobenweise durch die Abteilung "Compliance". Diese Arbeitsanweisung wurde jedenfalls bis zum Ende der Einschau durch die FMA (6.10.2011) entsprechend umgesetzt.

Zu Faktum I.7.:

Es konnte nicht festgestellt werden, dass die haftungspflichtige Gesellschaft zwischen 01.01.2009 und 31.12.2012 die Identität des wirtschaftlichen Eigentümers des Kunden mit der Nummer XXXX, einem nach dem Recht von Belize errichteten Trust, abschließend überprüft hat. Die Kontoeröffnung erfolgte am 02.01.2006.

Der Trust wurde zuerst von der "XXXX verwaltet, die Verwaltung wurde mit Vertrag vom 21.01.2007 von der XXXX übernommen.

Festzustellen ist, dass neben Herr XXXX als "Primary Beneficiary" auch weitere Begünstigte im Vertrag vorgesehen sind, nämlich im Falle seines Todes oder im Falle einer abweichenden Widmung zwischen Herrn XXXX auch zu einem früheren Zeitpunkt, seine Kinder oder Enkel. Die Identität der beiden Kinder von Herrn XXXX konnte nicht festgestellt werden.

Zu Faktum I.8:

Es konnte nicht festgestellt werden, dass die haftungspflichtige Gesellschaft zwischen 01.01.2009 und 31.08.2012 hinsichtlich des Kunden mit der Nummer XXXX, siehe auch Faktum I.7., überprüft hat, ob es sich bei dem Kunden mit der XXXX um eine politisch exponierte Person (PEP) handelt oder nicht.

Die Verwaltung des Fonds wurde mit Vertrag vom 21.02.2007 auf die XXXX übertragen, eine für den Trust "vertretungsbefugte Person". Ihr Verwaltungsrat besteht aus XXXX

Die Überprüfung der Verwaltungsräte auf eine allfällige PEP-Eigenschaft wurde erst am 19.04.2012 nachgeholt. Dabei verlief die PEP-Abfrage hinsichtlich XXXX negativ. Eine PEP-Abfrage seitens der belangten Behörde am 16.01.2012 hingegen verlief positiv zu XXXX

Vor Faktum I.9. bis I.14.:

Alle Kunden der Kundengruppe XXXX wurden durch einen Vermittler empfohlen, der von der haftungspflichtigen Gesellschaft als "Approved Intermediary" mit Domizil in Argentinien geführt wird. Die Firmenbuchunterlagen liegen zu einem großen Teil in spanischer Sprache vor, mit Teilübersetzungen der Eckdaten durch die Kundenbetreuuer. Eine Aktualisierung der Unterlagen konnte nicht festgestellt werden. Es konnte nicht festgestellt werden, welchen Zweck die Kontoeröffnung in Österreich hatte. Die Konten wurden dazu benutzt, um Beträge zwischen den Firmen der Kundengruppe zu verschieben, ein geschäftlicher Zahlungsverkehr oder Wertpapierveranlagungen fanden nicht statt. Es kam auch zur Vergabe von barbesicherten Krediten, welche vermutlich für den Ankauf von Immobilien und eines Flugzeuges benutzt wurden. Es konnte nicht festgestellt werden, dass diese Transaktionen anhand von Kaufverträgen plausibilisiert worden sind.

Zu Faktum I.9.:

Beim Kunden mit der Kundennummer XXXX handelt es sich um die XXXX angehört. Die Kundengruppe besteht aus 2 Teilen: Ein Teil hat Verbindung zum Argentinischen Energie-Sektor, der andere zum Finanzsektor. Die vertretungsbefugten Personen sind: XXXX. Der Kunde ist in der Risikostufe 4 "increased risk" eingestuft.

Die Geschäftsbeziehung wurde am 12.07.2007 eröffnet und am 05.06.2012 geschlossen.

Es konnte nicht festgestellt werden, dass die haftungspflichtige Gesellschaft zum 12.07.2007 vor Begründung der Geschäftsbeziehung und bis zur Schließung des Kontos am 05.06.2012 die Identität des Kunden mit der Nummer XXXX an Hand von beweiskräftigen Urkunden, die gemäß dem in Argentinien (Sitz des Kunden) landesüblichen Rechtsstandard verfügbar sind, festgestellt und überprüft hat.

Zu Faktum I.10.:

Bei dem Kunden mit der Nummer XXXX handelt es sich um die ebenfalls zur XXXX, ein Investment-Unternehmen mit Sitz in Buenos Aires. Die vertretungsbefugten Personen sind: XXXX Der Kunde ist in der Risikostufe "increased risk" eingestuft.

Die Geschäftsbeziehung wurde am 31.07.2009 eröffnet und am 05.06.2012 geschlossen (Rechtfertigung ON 07, Seite 14).

Es konnte nicht festgestellt werden, dass die haftungspflichtige Gesellschaft zum 31.07.2009, vor Begründung der Geschäftsbeziehung und bis zur Schließung des Geschäftsbeziehung am 05.06.2012 die Identität des Kunden mit der Nummer XXXX an Hand von beweiskräftigen Urkunden, die gemäß dem in Argentinien (Sitz des Kunden) landesüblichen Rechtsstandard verfügbar sind, festgestellt und überprüft hat.

Zu Faktum I.11.:

Beim Kunden mit der Nummer XXXX handelt es sich um die ebenfalls zur XXXX mit Sitz in Buenos Aires. Die vertretungsbefugten Personen sind XXXX. In der haftungspflichtigen Gesellschaft ist XXXX für den Kunden zuständig. Die Dolphin Inversora fungiert als Holding-Gesellschaft im Energie-Sektor. Kontoöffnungsgrund waren "corporate activities".

Es konnte nicht festgestellt werden, in welche Risikostufe der Kunde eingestuft war.

Die Geschäftsbeziehung wurde am 20.07.2009 eröffnet und am 05.06.2012 geschlossen.

Es konnte nicht festgestellt werden, dass die haftungspflichtige Gesellschaft zum 20.07.2009, somit vor Begründung der Geschäftsbeziehung, und bis zur Schließung des Kontos am 05.06.2012 die Identität des Kunden mit der Nummer XXXX an Hand von beweiskräftigen Urkunden, die gemäß dem in Argentinien (Sitz des Kunden) landesüblichen Rechtsstandard verfügbar sind, festgestellt und überprüft hat.

Zu Faktum I.12.:

Beim Kunden mit der Nummer XXXX handelt es sich um die ebenfalls zur XXXXmit Sitz in Buenos Aires. Hauptgeschäftsfeld des Kunden ist "to offer investment, administration and finance advice to their clients". Die vertretungsbefugten Personen sind die bereits bekannten XXXX

Der Kunde ist in der Risikostufe "increased risk", risk score 4," eingestuft.

Die Geschäftsbeziehung wurde am 25.04.2006 eröffnet und am 05.06.2012 geschlossen (Rechtfertigung ON 07, Seite 14).

Es konnte nicht festgestellt werden, dass die haftungspflichtige Gesellschaft zum 25.04.2006, somit vor Begründung der Geschäftsbeziehung, und bis zur Schließung des Kontos am 05.06.2012 die Identität des Kunden mit der XXXX an Hand von beweiskräftigen Urkunden, die gemäß dem in Argentinien (Sitz des Kunden) landesüblichen Rechtsstandard verfügbar sind, festgestellt und überprüft hat.

Zu Faktum I.13.:

Beim Kunden mit der Nummer XXXX handelt es sich um die XXXX mit Sitz in Hamilton, Bermuda. Der Kunde ist Teil der XXXX-Gruppe. Vertretungsbefugte Personen sind die XXXX

Die Geschäftsbeziehung wurde am 04.06.2004 eröffnet und am 06.06.2012 geschlossen.

Der Kunde ist in der Risikostufe 4 (increased risk) eingestuft.

Es konnte nicht festgestellt werden, dass die haftungspflichtige Gesellschaft zwischen 01.01.2009 und 11.04.2012 beim Kunden mit der XXXX regelmäßig überprüft hat, ob es sich bei der vertretungsbefugten Person des Kunden, XXXX, um eine politisch exponierte Person handelt, eine derartige Abfrage findet sich nicht im Kundenakt.

Zu Faktum I.14.:

Es konnte zur Kundengruppe mit den Kunden Nummer XXXX nicht festgestellt werden, dass die haftungspflichtige Gesellschaft zwischen jedenfalls 01.01.2009 und 25.01.2012 Verdachtsmeldungen erstattet hat.

Dies, obwohl zu allen aufgezählten Mitglieder dieser Gruppen Transaktionen vorlagen, die auffällig waren, handelte es sich dabei um Eigenüberträge, Kredite ohne zugrundliegenden Kaufvertrag, vorzeitige Rückführungen von Krediten.

Am 26.01.2012 erstattete die belangte Behörde eine Verdachtsmeldung zu dieser Kundengruppe an die Geldwäschemeldestelle.

Zu Faktum I.15.:

Beim Kunden Nummer XXXX handelt es sich um die XXXX domiziliert auf den Seychellen, die Geschäftsbeziehung wurde am 27.08.2010 eröffnet.

Herr XXXX ist der haftungspflichtigen Gesellschaft gegenüber mit Bankvollmacht ausgestattet (AS 2). Es konnte nicht festgestellt werden, dass vor März 2012 eine PEP-Abfrage zu seiner Person getätigt wurde. Im Kundenakt befindet sich weiters eine "Power of Attorney" auf, die auf Zypern ausgestellt und apostilliert wurde.

Die PEP-Abfrage wurde im März 2012 nachgeholt.

Vor Faktum I.16. bis Faktum I.18:

Vorab ist festzuhalten, dass die Kunden zu den Fakten I.16. bis I. 18, der Kundengruppe 532 angehören, die aus der XXXX mit Sitz auf den Marshall Islands besteht und hinter der eine Marketinggruppe steht, die in Russland und den GUS-Ländern tätig ist.

Zu Faktum I.16.:

Beim Kunden Nummer XXXX handelt es sich um die XXXX, eine Privatstiftung nach österreichischem Recht (eingetragen ins Firmenbuch zu XXXX Die Geschäftsbeziehung wurde am 09.04.2009 eröffnet und am 17.01.2013 geschlossen.

Die Compliance-Abteilung der haftungspflichtigen Gesellschaft hat am 01.04.2009 die Eröffnung der Geschäftsbeziehung zunächst abgelehnt hat. Es konnte festgestellt werden, dass der Beschwerdeführer zu W210 2000435-1 mitgeteilt hat, dass die Firmenbuchadresse ausreichend ist, die Stiftungsurkunde und die "Trustee-Declaration" nachgereicht werden, und dass das Konto eröffnet werden kann. Mit Datum 09.04.2009 ist das Feld "Authorized" durch die Compliance angekreuzt und das Konto wurde eröffnet.

Es konnte nicht festgestellt werden, dass die haftungspflichtige Gesellschaft zwischen 09.04.2009 bis 31.12.2012 den wirtschaftlichen Eigentümer des Kunden zu ihrer Überzeugung festgestellt hat.

Zu Faktum I.17.:

Beim Kunden mit der XXXX handelt es sich um die XXXX eine Privatstiftung nach österreichischem Recht (eingetragen ins Firmenbuch zu FN XXXX. Die Geschäftsbeziehung wurde am 09.04.2009 eröffnet und am 25.03.2013 geschlossen.

Die Compliance-Abteilung hat am 01.04.2009 die Eröffnung der Geschäftsbeziehung wegen fehlender Unterlagen zunächst abgelehnt. Es konnte festgestellt werden, dass der Beschwerdeführer zu W210 2000435-1 mitgeteilt hat, dass die Firmenbuchadresse ausreichend ist, die Stiftungsurkunde und die "Trustee-Declaration" nachgereicht werden, und dass das Konto eröffnet werden kann. Mit Datum 09.04.2009 ist das Feld "Authorized" durch die Compliance angekreuzt und das Konto wurde eröffnet.

Es konnte nicht festgestellt werden, dass die haftungspflichtige Gesellschaft zwischen 09.04.2009 bis 31.12.2012 den wirtschaftlichen Eigentümer des Kunden zu ihrer Überzeugung festgestellt hat.

Zu Faktum I.18.:

Beim Kunden mit der Nummer XXXX handelt es sich um die XXXX eine Aktiengesellschaft nach österreichischem Recht, eingetragen zum XXXX. Die Geschäftsbeziehung wurde am 09.04.2009 eröffnet und am 10.01.2013 geschlossen.

Die Compliance-Abteilung hat am 01.04.2009 die Eröffnung der Geschäftsbeziehung wegen fehlender Unterlagen zunächst abgelehnt. Es konnte festgestellt werden, dass der Beschwerdeführer zu W210 2000435-1 mitgeteilt hat, dass die Firmenbuchadresse ausreichend ist, die "share-declaration" nicht notwendig ist und die Satzung nachgereicht wird. Mit Datum 09.04.2009 ist das Feld "Authorized" durch die Compliance angekreuzt und das Konto wurde eröffnet.

Der Zeuge XXXX hat die Satzung und ein Aktienbuch angefordert, es kann nicht festgestellt werden, wann die Satzung bei der haftungspflichtigen Gesellschaft eingelangt ist.

Es konnte nicht festgestellt werden, dass die haftungspflichtige Gesellschaft zwischen 09.04.2009 und 31.12.2012 den wirtschaftlichen Eigentümer des Kunden zu ihrer Überzeugung festgestellt hat.

Zu Faktum I.19.:

Beim Kunden mit der Nummer XXXX handelt es sich um die XXXX Diese war seit 30.10.2006 Kunde der haftungspflichtigen Gesellschaft. Das Konto wurde per 25.03.2013 geschlossen.

Als Verfügungsberechtigter bzw. "account holder" tritt der Begünstigte der Stiftung, Herr XXXX ist in den Geschäftsfeldern "forresty and water rights" in Panama tätig, er ist auch CEO der "XXXX", einem Unternehmen beschrieben als "database of lost and forgotte bank accounts etc". Dieses Unternehmen unterstützt offenbar Kunden dabei, Gelder, die niemand für sich reklamiert, zurückzubekommen.

Der Kunde war "low risk" eingestuft; per April 2012 wurde der Kunde erstmals und nochmals im November 2012 im Zuge der Höherstufung von Offshore-Destinationen hinsichtlich seines Risikos höher gestuft. Letztlich war der Kunde seit November 2012 auf Grund des geographischen Risikos "Panama" "High Risk Plus" eingestuft.

Es konnte nicht festgestellt werden, dass die haftungspflichtige Gesellschaft vor Begründung der Geschäftsbeziehung am 30.10.2006 und bis zum Einlangen der Vertretungsbefugnis am 19.04.2012 die Vertretungsbefugnis des Herrn XXXX für den Kunden mit der Nummer XXXX überprüft hat.

Zu Faktum I.20.:

Am 12.07.2010 wurden XXXX des Kunden XXXX gutgeschrieben. Die Banknoten wurden durch das Transportunternehmen XXXX angeliefert und stammten aus Bolivien. Die Banknoten im Wert von € XXXX wurden in XXXXaufgegeben. Sie kamen in Wien am Flughafen an und wurden durch XXXX in die Räumlichkeiten der haftungspflichtigen Gesellschaft geliefert. Die Lieferung wurde am 07.07.2010 avisiert.

Es konnte nicht festgestellt werden, dass die haftungspflichtige Gesellschaft den Hintergrund dieser Transaktion überprüft hat. Es liegt kein Zollanmeldeformular für diese Transaktion im Kundenakt auf.

Es konnte nicht festgestellt werden, dass die haftungspflichtige Gesellschaft zwischen 12.07.2010 und 25.01.2012 dazu eine Verdachtsmeldung an die Geldwäschemeldestelle erstattet hat.

Die Geschäftsbeziehung zu diesem Kunden wurde am 25.07.2012 geschlossen.

Zu Faktum I.21.:

Am 06.08.2010 wurden XXXX gutgeschrieben. Die Banknoten wurden durch das Transportunternehmen XXXX angeliefert und stammten aus Bolivien. Die Banknoten im Wert von XXXX aufgegeben. Sie kamen in Wien am Flughafen an und wurden durch XXXX in die Räumlichkeiten der haftungspflichtigen Gesellschaft geliefert. Die Lieferung wurde am 03.08.2010 avisiert.

Es konnte nicht festgestellt werden, dass die haftungspflichtige Gesellschaft den Hintergrund dieser Transaktion überprüft hat. Es liegt kein Zollanmeldeformular für diese Transaktion im Kundenakt auf.

Es konnte nicht festgestellt werden, dass die haftungspflichtige Gesellschaft zwischen 06.08.2010 und 25.01.2012 dazu eine Verdachtsmeldung an die Geldwäschemeldestelle erstattet hat.

Die Geschäftsbeziehung zu diesem Kunden wurde am 25.07.2012 geschlossen.

2. Beweiswürdigung:

Beweis wurde erhoben durch Einsicht in die Akten der FMA zu den zu W210 2000428-1, W210 2000433-1 und W210 2000435-1 anhängigen Verfahren samt aller Beilagen, durch Einsicht in die Akten des Bundesverwaltungsgerichts zu W210 2000428-1, W210 2000433-1 und W210 2000435-1 sowie durch Durchführung einer mündlichen Verhandlung am 19.09.2014, in der die Beschwerdeführer zu W210 2000428-1, W210 2000433-1 und W210 2000435-1 einvernommen worden, und durch Würdigung der in der Verhandlung vorgelegten Dokumente, die als Beilagen zum Verhandlungsprotokoll zum Akt genommen wurden.

Die Feststellungen zur Tätigkeit des Beschwerdeführers zu W210 2000433-1 beruhen auf dem im Akt der FMA aufliegenden Firmenbuchauszug, jene zu seinen Aufgabengebieten auf seiner nachvollziehbaren Aussage im Rahmen der mündlichen Verhandlung am 19.09.2014. Bei dem im Spruch der belangten Behörde wiedergegebenen Zeitpunkt unter I. von 01.01.2007 handelt es sich um einen offenbaren Schreibfehler, wird doch bei allen (relevanten) Tatzeiträumen jedes Mal richtigerweise 01.10.2007 herangezogen.

Die Negativfeststellung zur Auskunftseinholung bei der belangten Behörde ergab sich aus den eigenen Angaben des Beschwerdeführers, der dies durchaus glaubhaft schilderte.

Die Feststellungen zur haftungspflichtigen Gesellschaft fußen auf dem Einschaubericht (ON 1, FMA-Akt zu XXXX, Rz 6ff.)

Die Feststellung zur Durchführung der Einschau fußt auf dem im Akt der belangten Behörde einliegenden Bericht (ON 1 FMA-Akt Herrn XXXX).

Die Negativfeststellung fußt auf der Tatsache, dass zwar nach den Ausführungen aller drei Beschwerdeführer in der Verhandlung Berichte der jeweiligen Geldwäschebeauftragten an den Vorstand Usus waren, diesbezüglich wurden auch Berichte seitens der Geldwäschebeauftragten XXXX XXXX vorgelegt, jedoch ergab die Durchschau der Kundenakten, wie zu den einzelnen Fakten unten ausgeführt, immer wieder, dass die Compliance-Abteilung zwar Kontoeröffnungen abgelehnt hatte, vor allem wegen fehlender Dokumente, jedoch die Konten dennoch eröffnet wurden. Der als Beilage ./1 zum Protokoll der mündlichen Verhandlung vom 19.09.2014 genommene Bericht des Wirtschaftsprüfers XXXX zeichnet hier ein bereits im Berichtszeitpunkt 03.12.2010 sehr genaues Bild, dass an mehreren Punkten Kontrollen fehlten oder versagten. So finden sich etwa die folgenden Empfehlungen: auf Seite 3 wird die Aufstockung der Mitarbeiter in der Compliance-Abteilung empfohlen, um den Client-Risk-Review-Prozess entsprechend durchführen zu können, auf derselben Seite wird festgestellt, dass Mitarbeiter trotz Schulungen im Bereich Anti-Money-Laundering die geschulten Maßnahmen nicht zur Anwendung brachten, auf Seite 5 findet sich die Empfehlung zum Thema, dass die Compliance-Abteilung zwar einen Fragenkatalog für die Kundenbetreuer ausgearbeitet hat, dieser auch branchenüblich sei, die Kundenbetreuer diesen aber ablehnten - dies deutet für den erkennenden Senat auch auf eine Schulungslücke bei den Kundenbetreuern hin, war ihnen die Notwendigkeit von bestimmten Fragen zu Anti-Money-Laundering offenbar nicht bewusst. Auf Seite 9 findet sich auch zum Berichtszeitpunkt zum 03.12.2010, dass bereits auf Dokumentationsmängel in Kundenakten hingewiesen wurde, dies änderte sich offenbar bis zur Einschau der FMA im Oktober 2011 nicht (vgl. ON 1 der FMA-Akten). Das gleiche Bild zeichnet Punkt 2.8. dieses Berichtes. Auch empfahl der Bericht eine Prüfung des gesamten Kundenstamms auf PEP-Eigenschaft der Kunden (Punkt 2.12.) und äußerte Bedenken hinsichtlich der geringen Anzahl der von der haftungspflichtigen Gesellschaft erstatteten Verdachtsmeldungen angesichts des risikobehafteten Kundenstamms der haftungspflichtigen Gesellschaft (Punkt 2.13.) des Berichts. Auch dies änderte sich offenbar bis zur Einschau der belangten Behörde nicht (ON 1 der FMA-Akten). Zudem muss auch darauf hingewiesen werden, dass es sich bei XXXX um einen Wirtschaftsprüfer handelt. Wenn sich die Beschwerdeführer nun auf die Bescheinigung des rechtlich makellosen Handelns in Teil 2 des Berichtes berufen, so muss angesichts der zahlreichen Verbesserungsempfehlungen und Feststellungen zum System im ersten Teil des Berichts und der Tatsache, dass viele dieser Punkte trotz klarer Empfehlungsbehebung auch noch zum Zeitpunkt der Einschau der belangten Behörde im Oktober 2011 und darüber hinaus bestanden haben (vgl. die Beweiswürdigung zu den verschiedenen Punkten), vom Gegenteil ausgegangen werden. Aus all diesen Gründen kann deshalb nicht davon ausgegangen werden, dass hier ein effizientes Regel- und Kontrollsystem vorlag, fehlte es doch offenbar an Konsequenzen und Sanktionen für den Fall eines Ausschlags des Kontrollsystems.

Zu Faktum I.1.

Die Feststellungen zum Listen-System zur Überwachung von Transaktionen in der haftungspflichtigen Gesellschaft beruhen auf dem Bericht (ON1 FMA-Akt zu Herrn XXXX, Rz 53) der belangten Behörde über die vorgenommene Einschau, wonach es keine IT-unterstützte Überwachung gibt, sondern nach den Informationen des Dokuments "AML Transaction Monitoring" sieben Listen und in bestimmten Intervallen durchgeführte Stichproben dieser Überwachung dienen und auf der Stellungnahme zu diesem Bericht (ON2 FMA-Akt zu Herrn XXXX zu Rz 53). Ebenso ergibt sich aus diesem Bericht die Zahl, die Art und der Inhalt dieser Listen. Der Bericht hält auch fest, dass nicht nachvollziehbar ist, wieviele Stichproben gezogen wurden und wie viele Kunden bzw. Konten tatsächlich in welchen Intervallen zu welchem Schwerpunkt (PEP, Transaktionen, dormant account, verstärkte Sorgfaltspflichten, etc.) geprüft werden (ON1 FMA-Akt zu Herrn XXXX, Rz 54). Auch die Stellungnahme zu diesem Bericht gibt keinen Aufschluss über Häufigkeit der Stichproben (ON 2 FMA-Akt zu Herrn XXXX zu RZ 54). Auch ergibt sich aus dem in der Verhandlung vorgelegten XXXX-Bericht (Beilage ./1 zum Protokoll vom 19.09.2014, Seite 47), dass zum Zeitpunkt dieses Berichts im Jahr 2010 die haftungspflichtige Gesellschaft kein eigenes IT-System zu für das "AML/CFT-Monitoring" hatte.

Das Listen-System wird zudem im Bericht der XXXX (Beilage. /AC zu den Akten der FMA, Seite 6) beschrieben. Nach diesem Bericht überprüft die Abteilung Compliance Stichproben aus dieser Liste, dazu gibt es aber keine Dokumentation, Art, Häufigkeit, verwendete Unterlagen seien nicht nachvollziehbar.

Dieses System wurde von dem von der belangten Behörde einvernommenen Zeugen XXXX XXXX grundsätzlich bestätigt (ON 8 FMA-Akt zu Herrn XXXX, Seite 3).

Die Feststellungen zur täglichen Überprüfung aller Transaktionen über Euro 15.000 fußen auf den Angaben des Zeugen XXXX XXXX, wonach diese Überprüfungen vom neuen Geldwäschebeauftragten XXXX XXXX angeordnet wurden und auf den Angaben der haftungspflichtigen Gesellschaft in ihrer Stellungnahme zum Bericht der XXXX über die Vor-Ort-Prüfung bei der haftungspflichtigen Gesellschaft vom 07.09.2012 (Beilage ./AD zu den Akten der FMA, Seite 13), wonach XXXX XXXX diese Funktion seit 01.01.2012 wahrnahm. Diese Bestellung bestätigte auch die Beschwerdeführerin zu W210 2000428-1 in der mündlichen Verhandlung vom 19.09.2014 (Seite 9). Auch datieren alle Arbeitsanweisungen etc. zum Transaktionsmonitoring der Kunden ab frühestens 2012: Flowchart Transaktionsmonitoring (ON 5, FMA-Akt zu XXXX XXXX, Beilage 8 ./AA vom 03.08.2012; Beilage 8 ./AH Arbeitsanweisung Transaktionsdokumentation vom 07.01.2013; Beilage 8 /AJ e-mail Transaktionsmonitoring vom 09.01.2013). Im Gegensatz dazu ergibt sich aus keinem Dokument, dass eine tägliche Kontrolle der Transaktionen über 15.000 EUR bereits ab November 2011 stattgefunden hätte. Aus diesem Grund war die Feststellung zum Beginn dieser Überprüfungen ab 01.01.2012 zu treffen.

Aus den Stellungnahmen des Beschwerdeführers im erstinstanzlichen Verfahren ergibt sich, dass das System "XXXX XXXX" XXXX zum umfassenden Kundenmonitoring ab 01.04.2013 in den Live-Betrieb ging (ON 7 FMA-Akt zu Herrn XXXX, Seite 2). Dies wird auch durch Beilage ./5 zum Verhandlungsprotokoll vom 19.09.2014 bestätigt, wonach die Software im Jänner-Februar 2013 installiert wurde und die Abnahme und technische Inbetriebnahme im März 2013 stattfand.

Zu Faktum I.2.1:

Diese Feststellungen basieren auf dem Bericht der FMA über ihre Einschau vom 04.10.2011 bis zum 06.10.2011 (ON 1 FMA-Akt zu Herrn XXXX Rz 42 ff.). Es findet sich weder im Akt der FMA ein Hinweis, dass dies bestritten würde, noch kam ein solcher während des Verfahrens vor dem Bundesverwaltungsgericht zu Tage.

Auch hat der Beschwerdeführer zu W210 2000XXXXn seiner Rechtfertigung bestätigt, dass diese Risikoeinstufung vorlag, jedoch seit April 2012 durch eine höhere Risikoeinstufung ersetzt wurde (ON 7 FMA-Akt zu Herrn XXXX, Seite 6). Dies wurde auch vom Zeugen Thomas XXXX bestätigt (ON 8 FMA-Akt zu Herrn XXXX). Auch wurden einschlägige Maßnahmen, wie etwa die Genehmigungspflicht durch das Client Acceptance Committee, nach Ende der Vorstandstätigkeit des Beschwerdeführers zu W210 2000433-1 gesetzt (ON 8 FMA-Akt zu Herrn XXXX, Seite 4).

Zudem lässt sich dem Prüfbericht von XXXX (Beilage ./1 zum Protokoll der mündlichen Verhandlung, Seite 8 Empfehlung 8a) entnehmen, dass bereits im Jahr 2010 die Risikoeinstufung für Kunden im Ferngeschäft als zu gering eingeschätzt wurde.

Die Feststellungen zum Prüfungsintervall für Kunden unterschiedlicher Risikoeinstufungen ergeben sich aus aus der "Money Laundering Policy, Module I, KYC - Know your Client Policy", Stand Juni 2011, (Beilage ./B, Seite 46, Beilagenordner I zu den FMA-Akten).

Weder in der Berufung noch im Verfahren vor dem Bundesverwaltungsgericht wurden die diesbezüglichen Feststellungen bestritten.

Zu Faktum I.2.2.:

Diese Feststellungen basieren auf dem Bericht der FMA über ihre Einschau vom 04.10.2011 bis zum 06.10.2011 (ON 1 FMA-Akt zu Herrn XXXX Rz 45 ff.) sowie aus der Liste der PEP-Kunden, Auszug aus der Gesamtkundenliste (Beilage ./E zu den Akten der FMA, Beilagenordner I).

Dies findet sich auch im Bericht der XXXX, wonach nicht alle PEP-Kunden in der höchsten Risikoklasse geführt werden (dort Beilage I/2 der Beilage ./AC zum Akt der FMA).

Es findet sich weder im Akt der FMA ein Hinweis, dass dies bestritten würde, noch kam ein solcher während des Verfahrens vor dem Bundesverwaltungsgericht zu Tage. In der Rechtfertigung (ON 7 FMA-Akt zu Herrn XXXX, Seite 8 f) wurde vielmehr ausgeführt, dass die Mängel der alten Methodik beseitigt worden seien; alle PEP-Konten seien mit der höchsten Risikostufe "high risk plus" eingestuft. Dies deckt sich mit den Ausführungen der haftungspflichtigen Gesellschaft in ihrer Stellungnahme vom 04.05.2012 und mit den Ausführungen des Zeugen XXXX XXXX (ON 08 FMA-Akt zu Herrn XXXX, Seite 6 f), wonach die Risikoeinstufung im April 2012 verbessert und im November 2012 nochmals nachgebessert wurde, seitdem, somit ab Ende März 2012, seien PEP-Kunden alle mit "high-risk-plus". Auch wurden einschlägige Maßnahmen, wie etwa die Genehmigungspflicht durch das Client Acceptance Committee, nach Ende der Vorstandstätigkeit des Beschwerdeführers zu W210 2000433-1 gesetzt (ON 8 FMA-Akt zu Herrn XXXX, Seite 4).

Zudem lässt sich dem Prüfbericht von XXXX (Beilage ./1 zum Protokoll der mündlichen Verhandlung, Seite 8 Empfehlung 8a) entnehmen, dass bereits im Jahr 2010 die Risikoeinstufung für Kunden im Zusammenhang mit politisch-exponierten Personen als zu gering eingeschätzt wurde.

Weder in der Berufung noch im Verfahren vor dem Bundesverwaltungsgericht wurden die diesbezüglichen Feststellungen bestritten.

Zu Faktum I.2.3:

Die Feststellungen ergeben sich aus dem Einschaubericht der FMA (ON 01 FMA-Akte, Rz 40) sowie aus der Arbeitsunterlage "Gefährdungsanalyse per 31.12.2010" der haftungspflichtigen Gesellschaft (Beilage ./A zu den Akten der FMA, Beilagenordner I) und aus der "Gefährdungsanalyse für das Jahr 2012" (Beilage ./5 zur Rechtfertigung ON 06 FMA-Akt zu Herrn XXXX). Zudem wurde dies weder von der haftungspflichtigen Gesellschaft in ihrer Stellungnahme zum Einschaubericht (ON 2 FMA- zu Herrn XXXX) noch vom Beschuldigten in seiner Rechtfertigung (ON 7 FMA-Akt zu Herrn XXXX) bestritten. Die haftungspflichtige Gesellschaft führt vielmehr in ihrer Stellungnahme aus, dass die Veranlagung von Geldern im Mittelpunkt der Geschäftsbeziehungen stünde, es eine niedrige Transaktionsfrequenz gebe und bankinterne Maßnahmen, nämlich der Abgleich der Zahlungen mit verschiedensten Sanktions- und Verdachtslisten, zur Überwachung der Zahlungen gesetzt worden wären (ON 2 FMA-Akt zu Herrn XXXX, Seite 17). Weiters beruft sich die haftungspflichtige Gesellschaft auf die Einhaltung bankenspezifizischer Standards und individuell getroffener Vereinbarungen, Überprüfung der Kommunikationsmittel auf Lösungswörter und/oder Unterschriftenvergleich, Kundenrückrufprozedere bei Zahlungsaufträgen, Verwendung des SWIFT-Verfahrens für Zahlung.

Dementgegen stellen sich die Ergebnisse des Berichtes der belangten Behörde dar, wonach bei den Privatbankkunden der haftungspflichtigen Gesellschaft sehr wohl eine hohe Transaktionsfrequenz festzustellen war (ON 1 FMA-Akt zu Herrn XXXX Rz 58 ff., etwa zur Kundengruppe XXXX, bei der der Zweck mit "Veranlagung" angegeben war, jedoch Beträge zwischen den Mitgliedern der Kundengruppe verschoben wurden). Auch XXXX kam zu diesem Schluss (Beilage ./AC Beilagenordner II zu den FMA-Akten).

Die Feststellung zur niedrigen Einstufung in der Gefährdungsanalyse für das Jahr 2012 fußt auf Beilage ./5 zu ON 5 des FMA-Aktes zu XXXX XXXX (Beilage./5, D.4.1.).

Auch der Prüfbericht von XXXX (Beilage ./1 zum Protokoll der mündlichen Verhandlung Seite 17) hält bereits zur "Gefährdungsanalyse per 31.12.2009" fest, dass es bei Erfüllung einer Risikokategorie trotzdem zu einer Einstufung als "Low-Risk"-Kunde kommen kann, was von XXXX für unrichtig erachtet wird.

Weder in der Berufung noch im Verfahren vor dem Bundesverwaltungsgericht wurden die diesbezüglichen Feststellungen bestritten.

Zu Faktum I.2.4.:

Dies ergibt sich aus dem Einschaubericht der FMA (ON 1 FMA-Akt, Rz 41) sowie aus der Auswertung der Kunden "Kunden per 31.07.2011" (Beilage ./F zu den Akten der FMA, Beilagenordner I). Die Vergabe von nur einem Punkt bei Vorliegen der Eigenschaft "Specific geographic area" sowie zur Einstufung von "specific geographic area" als "medium//increases/high risk" ergibt sich aus der Arbeitseinweisung "Money Laundering Policy, Module I, KYC (Beilage ./B, Beilagenordner I zu den FMA-Akten). Dies erscheint inkonsistent und stellt die Arbeitsanweisung auch als widersprüchlich in sich selbst dar.

Die Feststellung, dass mit April 2012 die Risikoeinstufung (erstmals) überarbeitet wurde, gründet auf der Stellungnahme der haftungspflichtigen Gesellschaft im Verfahren vor der belangten Behörde (ON 2 FMA-Akt). Weiter hat XXXX XXXX in seiner Vernehmung (ON 8 FMA-Akt zu Herrn XXXX) angegeben, dass selbst nach dieser Maßnahme die offshore-destinationen (nur) als "mittleres Risiko" ausgewiesen wurden. Zudem ist aus der Rechtfertigung der Beschwerdeführerin zu W210 2000428-1 im erstinstanzlichen Verfahren (Beilagenordner 2 zu ON 5 des FMA-Aktes zu XXXX XXXX, Beilage ./O) zu entnehmen, dass eine Höherstufung der "specific geographic areas" mit jeweils 3 bis 5 Punkten erst im November 2012 erfolgte.

Dies wurde weder im Verfahren vor der belangten Behörde, noch in der Berufung, noch im Verfahren vor dem Bundesverwaltungsgericht bestritten.

Zu Faktum I.3.:

Die Feststellungen hinsichtlich der konkreten Risiko-Einstufung der Ferngeschäfts-Kunden ergab sich primär aus den Ergebnissen der Einschau der FMA (ON 1 FMA-Akt zu Herrn XXXX, Seite 12 f; Auszug aus der Gesamtkundenliste Beilage ./C, Beilagenorder I zu den FMA-Akten).

Weder im erstinstanzlichen Verfahren noch in der Berufung noch im Verfahren vor dem Bundesverwaltungsgericht wurde Gegenteiliges vorgebracht oder behauptet.

Die Prüfungsintervalle aller Kunden aller Risikoeinstufungen ergeben sich aus aus der "Money Laundering Policy, Module I, KYC - Know your Client Policy", Stand Juni 2011, (Beilage ./B, Seite 46, Beilagenordner I zu den FMA-Akten).

Die Höherstufung im April 2012 und die Einstufung der Kunden als "high risk plus"-Kunden jedenfalls seit November 2012 sowie die dadurch bedingte jährliche Überprüfung ergibt sich auch aus der Rechtfertigung des Beschwerdeführers vor der belangten Behörde (ON 7 FMA-Akt zu Herrn XXXX, Seite 6). Auch der Zeuge XXXX bestätigte dies und konkretisierte die Zeitpunkte in seiner Vernehmung (ON 8 FMA-Akt zu Herrn XXXX).

Die zur Feststellung der Existenz eines Systems zur Überwachung der Geschäftsbeziehungen einschließlich der abgewickelten Transaktionen bis Ende März 2013 führenden Beweismittel wurden bereits unter der Beweiswürdigung des Bundesverwaltungsgerichts zu Faktum I.1. dargestellt.

Zu Faktum I.4.:

Die Feststellungen zur genauen Risiko-Einstufung der PEP-Kunden ergeben sich aus dem Einschaubericht der FMA (ON 1, FMA-Akt zu Herrn XXXX Rz 45 ff.) sowie aus dem Auszug aus der Gesamtkundenliste (Beilage ./E zu den FMA-Akten, Beilagenordner I). Diesem Berichtsergebnis wurde weder von der haftungspflichtigen Gesellschaft noch vom Beschwerdeführer widersprochen.

Die Feststellungen zum Prüfungsintervall für Kunden unterschiedlicher Risikoeinstufungen ergeben sich aus aus der "Money Laundering Policy, Module I, KYC - Know your Client Policy", Stand Juni 2011, (Beilage ./B, Seite 46, Beilagenordner I zu den FMA-Akten). Dies entspricht auch den Feststellungen der XXXX in deren Bericht (Beilage I/2 der Beilage ./AC, Beilagenordner II zu den FMA-Akten). Auch dem XXXX-Bericht (Beilage ./1 zum Protokoll vom 19.09.2014) ist zu entnehmen, dass es unterschiedliche, von der XXXX durchaus kritisch gesehene Einstufungen und damit einhergehende Prüfungsintervalle bereits zu diesem Zeitpunkt existierten.

In seiner Rechtfertigung vor der belangten Behörde stellte der Beschwerdeführer dar, dass die PEP-Kunden nach der Einschau der FMA umgestuft und neuerlich einer Kontrolle unterzogen wurden, und als "high risk plus"-Kunden nunmehr jährlich überprüft werden. Auch der Zeuge XXXX bestätigte diese Umstufung und Höherstufung (ON 8 FMA-Akt zu Herrn XXXX), auch konkretisiert er die Zeitpunkte mit April 2012 im Zusammenhang mit der erstmaligen Höherstufung und November 2012 mit der Umstufung aller PEP-Kunden als "high risk plus" mit 11 Risikopunkten. Die Feststellungen zu XXXX XXXX und zur überarbeiteten Arbeitsanalyse Risikoanalyse fußen auf der Rechtfertigung des Beschwerdeführers (ON 7, FMA-Akt zu Herrn XXXX, Seite 8).

Diese Dokumente decken sich zudem mit dem in der Verhandlung vorgelegten Prüfbericht von XXXX (Beilage ./1 zum Protokoll vom 19.09.2014).

Die zum Thema der Existenz eines Systems zur Überwachung der Geschäftsbeziehungen einschließlich der abgewickelten Transaktionen bis Ende März 2013 verwerteten Beweismittel wurden bereits unter der Beweiswürdigung des Bundesverwaltungsgerichts zu Faktum I.1. dargestellt.

Zu Faktum I.5.:

Die Feststellungen ergeben sich zum einen aus dem Einschaubericht der FMA (ON 1 FMA-Akt zu Herrn XXXX Rz 51), zum anderen aus den Angaben des Beschwerdeführers in seiner Rechtfertigung (ON 7 FMA-Akt zu Herrn XXXX, Seite 1, 12) sowie aus den Angaben des Zeugen XXXX (ON 8 FMA-Akt zu Herrn XXXX, Seite 2 f). Dem Bericht der FMA ist auch zu entnehmen, dass der haftungspflichtigen Gesellschaft anlässlich der Einschau im Jahr 2011 bereits mitgeteilt wurde, dass dieser Kontrollintervall nicht ausreichend ist (ON 1 FMA-Akt zu Herrn XXXX, Rz 51). Die Feststellungen zur Umstellung des Intervalls auf einen monatlichen ergeben sich aus den Angaben in der Rechtfertigung des Beschwerdeführers (ON 7 FMA-Akt zu Herrn XXXX, Seite 1 und 12) und der Einvernahme des Zeugen XXXX XXXX (ON 8 FMA-Akt zu Herrn XXXX).

Zu Faktum I.6:

Die Feststellungen beruhen auf dem Bericht zur Einschau der FMA (ON 1, FMA-Akt zu Herrn XXXX, Rz 49) und auf der Arbeitsanweisung "§40b

(1) Z 2 BWG Korrespondenzbankbeziehungen bzw. Korrespondenzbanken aus Drittländern" (Beilage ./J zu den FMA-Akten, Beilagenordner I), aus deren Punkt e klar eindeutig hervorgeht, dass eine stichprobenartige Überprüfung der Transaktionen seitens der Abteilung Compliance angeordnet wurde.

Wie die FMA zutreffend in ihrer Beweiswürdigung ausgeführt hat, kann daran auch die (insb. Behauptung des Beschuldigten, alle Korrespondenzbankbeziehungen würden jährlich überprüft (ON 7 FMA-Akt zu Herrn XXXX, Seite 13), nichts ändern. Auch der Verweis auf die Transaktionsüberwachung "wie beschrieben" führt ins Leere, kann er sich doch nur auf das Listensystem und die dort angewendete stichprobenartige Überprüfung beziehen. Die Ausführungen zur Überwachung aller Überweisungen und Zahlungen an Korrespondenzbanken beziehen sich, wie von der FMA zutreffend ausgeführt, auf Zeiten nach dem Tatzeitraum.

Es ist im Verfahren vor dem Bundesverwaltungsgericht aber auch nicht herausgekommen, dass die Behauptung des Beschuldigten, die XXXX führe keine "Durchlaufkonten" für Korrespondenzbanken, zutreffe. Über die bereits von der belangten Behörde gewürdigten Stellungnahme der XXXX zum Bericht der XXXX vom 07.09.2012 (Beilage ./AD zu den Akten der FMA, Beilagenordner II, Seite 29), konkret zum Kunden Nr. XXXX (Beilage ./AC zu den Akten der FMA, Beilagenordern II, Seite II/37), zur Existenz von Korrespondenzbankbeziehungen hinaus ist zudem dem in der mündlichen Verhandlung vorgelegten XXXX-Bericht (Beilage ./1 zum Protokoll der mündlichen Verhandlung vom 19.09.2014) auf Seite 34 f. zu entnehmen, dass es darüber hinaus noch Korrespondenzbankbeziehungen gegeben hat.

Zu Faktum I.7.:

Die Feststellungen zum XXXX, dem Eröffnungsdatum des Kontos sowie der beiden Verwalter ergeben sich aus dem Kundenakt (Beilagenordner "XXXX", AS 26 zur Kontoeröffnung, AS 109 zum Vertrag, AS 138 zum ersten Verwalter, unter anderem 164 ff. dieses Aktes zum XXXX).

Die Feststellungen zu den Beneficiaries ergeben sich ebenfalls aus dem Kundenakt (Beilagenordner "XXXX). Herr XXXX wurde im Akt identifiziert, im Akt fehlen aber Unterlagen zu seinen Kindern, weshalb dahingehend eine Negativfeststellung zu treffen war.

Darüberhinausgehend hat bereits die FMA in ihrem Einschaubericht (ON 1, FMA-Akt zu Herrn XXXX) darauf hingeweisen, dass drei Personen als wirtschaftliche Eigentümer im Vertrag aufgeführt wurden (RZ 58 bis 61 des Berichts), jedoch die Legitimationen zu den beiden anderen Personen fehlen.

Weder im Verfahren vor der belangten Behörde noch in der Berufung noch im Verfahren vor dem Bundesverwaltungsgericht wurde dies bestritten, weshalb die Feststellungen auf der nachvollziehbaren und unwiderlegten Aktenlage zu treffen waren.

Zu Faktum I.8:

Ebenso ist dem Einschaubericht der FMA zu entnehmen (ON 1, FMA-Akt zu Herrn XXXX RZ 58-61), dass keine PEP-Abfragen zu den Verwaltungsräten der XXXX durchgeführt wurden. Der Beschwerdeführer hat, wie bereits von der belangten Behörde ausgeführt, auch in seiner Rechtfertigung (ON 7, FMA-Akt zu Herrn XXXX) angeführt, dass die entsprechende Abfrage nachgeholt wurde, der Zeuge XXXX gab den Zeitpunkt dieser Abfrage mit 19.04.2012 an, die Abfragen finden sich auch als Beilage ./V im Beilagenordner II der belangten Behörde. Aus diesen Abfragen ergibt sich das Datum 19.04.2012 eindeutig. Im Kundenakt (Beilagenordner XXXX findet sich keine früher datierende diesbezügliche Anfrage, außer einer Behauptung der regelmäßigen Überprüfung in der Rechtfertigung des Beschwerdeführers wurden dazu keine Unterlagen vorgelegt. Aus diesem Grund ist davon auszugehen, dass bis zum 19.04.2012 gar keine Abfragen stattfanden.

Die Feststellung zur positiven Abfrage hinsichtlich XXXXfußen auf Beilage ./Q zu den FMA-Akten.

Weder im Verfahren in der Berufung noch im Verfahren vor dem Bundesverwaltungsgericht wurde dies konkret bestritten, weshalb die Feststellungen auf der nachvollziehbaren und unwiderlegten Aktenlage zu treffen waren.

Vor Faktum I.9. bis I.14.:

Die Feststellungen zur Kundengruppe XXXX im Allgemeinen fußen auf dem Einschaubericht der FMA (ON 1, FMA-Akt zu Herrn XXXX Rz 62 ff.).

Zu Faktum I.9.:

Die Feststellungen zur XXXX fußen auf dem Account Opening Memo (Beilagenordner "XXXX", AS 8), ebenso jene zu den vertretungsbefugten Personen (Beilagenordner "XXXX", AS 9). Die Feststellung zur Risikoeinstufung fußt auf der "Client Risk Review" (Beilagenordner "XXXX, AS 277). Der Eröffnungsdatum und das Schließungsdatum ergeben sich aus der Tabelle auf Seite 14 der Rechtfertigung des Beschwerdeführers (ON 7, FMA-Akt zu Herrn XXXX), wenngleich auffällig ist, dass auf dem "Coversheet for Company Accounts" (Beilagenordner "XXXX", AS 6 und 7) hervorgeht, dass zum Zeitpunkt der Kontoeröffnung noch keine Unterlagen in zufriedenstellender Art und Weise vorlagen.

Die Feststellungen zur mangelnden Überprüfung der Identität des Kunden ergeben sich aus den folgenden Überlegungen:

Im gesamten Kundenakt befindet sich kein Firmenbuchauszug oder sonstiges Dokument, das zu einer Identifizierung dienlich sein könnte. Es finden sich lediglich ein Protokoll zur Statutenänderung (Beilagenordner "XXXX, AS 206) aus dem Jahr 2006, eine Übersetzung durch den Kundenbetreuer XXXX XXXX (Beilagenordner "XXXX, AS 207), Volmachtserteilungen an XXXX (Beilagenordner "XXXX", AS 238) und eine Bankvollmacht für diese Personen (Beilagenordner "XXXX", AS 249). Darüberhinaus finden sich noch Bilanzen im Kundenakt, die kein abschließendes Bild über die Identität des Kunden abgeben können. Auffällig ist weiters, dass auf dem Formular "Coversheet for Company Accounts" (Beilagenordner "XXXX AS 6 und 7) festgehalten ist, dass Dokumente nicht im Original vorlagen, Kopien nicht beglaubigt waren und jedenfalls Orginale empfohlen würden, es geht daraus aber nicht hervor, ob und wenn ja, wann diese Dokumente einlangten. Auch die der Rechtfertigung beigelegten Reisepasskopien (ON 7, FMA-Akt zu Herrn XXXX Seite 14 ff) aus dem Jahr 2004 zum Kunden "XXXX" geben keine Auskunft über die Identität des gegenständlichen Kunden im Zeitpunkt der Kontoeröffnung im Jahr 2007. Der Vollständigkeit halber sei erwähnt, dass nach Durchsicht des Kundenaktes der "XXXX", wie bereits von der FMA in ihrer Beweiswürdigung erwähnt, keine Dokumente zum gegenständlichen Kunden im dortigen Kundenakt vorgefunden werden konnten. Die persönliche Bekanntschaft mit dem Kunden lässt auch nicht den Schluss zu, dass an Hand von an Hand von beweiskräftigen Urkunden, die gemäß dem in Argentinien (Sitz des Kunden) landesüblichen Rechtsstandard verfügbar sind, die Identität festgestellt und überprüft wurde.

Wenn der Beschwerdeführer zu W210 2000435-1 in der Verhandlung ausführt, dass das Regelwerk immer komplizierter wurde und er die Kundenbetreuer aufgefordert habe, alle Details festzuhalten, dann mag das wohl so sein, einen Niederschlag im Kundenakt fand dies aber nicht, auch gestand der BF2 in der Verhandlung zu, auf die Vervollständigung der mangelhaften Dokumentation gedrängt zu haben.

Weder im Verfahren in der Berufung noch im Verfahren vor dem Bundesverwaltungsgericht wurde dies konkret bestritten, weshalb die Feststellungen auf der nachvollziehbaren und unwiderlegten Aktenlage zu treffen waren.

Zu Faktum I.10.:

Die Feststellungen zum Kunden und seinen vertretungsbefugten Personen fußen auf der "Company or Trust/Foundation Application" (Beilagenordner "XXXX AS 4 ff.) sowie auf dem "Account Opening Memo" (Beilagenordner "XXXX, AS 24), jene zur Risikoeinstufung auf der "Client Risk Review" (Beilagenordner "XXXX", AS 189). Auch hier ergibt sich aus den Kontoeröffnungsunterlagen, dass die vorgelegten Unterlagen unvollständig waren (Beilagenordner "XXXX", AS 20 ff). Eröffnungsdatum und Schließungsdatum ergeben sich aus der Rechtfertigung des Beschwerdeführers (ON 7, FMA-Akt zu Herrn XXXX, Seite 14.; siehe auch Beilagenordner "XXXX", AS 21).

Auch zu diesem Kunden wurde vorgebracht, dass der Kunde bereits seit 2004 bekannt gewesen sei. Im Kundenakt selbst findet sich aber kein Firmenbuchauszug oder ähnlicher Auszug aus einem Register aus dem Sitzstaat des Kunden, sondern lediglich eine Vollmachtserteilung vom 19.02.2009 (Beilagenordner "XXXX", AS 117 ff.), ein Errichtungsvertrag vom 19.09.2007 (Beilagenordner "XXXX", AS 155 ff.) und eine Änderung der Statuten vom 11.04.2008 (Beilagenordner "XXXX", AS 176 ff.). Wieder ist es auch mit den im Akt aufliegenden Bilanzen des Kunden nicht möglich, ein abschließendes Bild darüber zu bekommen, welche Identität der Kunde tatsächlich hat. Auch gibt der Beschwerdeführer zu W210 2000435-1 im Verfahren selbst an, dass aufgrund der aus 2004 datierenden Unterlagen und der persönlichen Bekanntschaft, auf die er sich auch in der mündlichen Verhandlung bezog, keine weiteren Unterlagen bei Kontoeröffnung für notwendig erachtet wurden, weshalb in einer Gesamtschau all dieser Aspekte davon auszugehen war, dass auch bei diesem kunde keine Feststellung und Überprüfung der Identität des Kunden an Hand von an Hand von beweiskräftigen Urkunden, die gemäß dem in Argentinien (Sitz des Kunden) landesüblichen Rechtsstandard verfügbar sind, stattgefunden hat.

Weder im Verfahren in der Berufung noch im Verfahren vor dem Bundesverwaltungsgericht wurde dies konkret bestritten, weshalb die Feststellungen auf der nachvollziehbaren und unwiderlegten Aktenlage zu treffen waren.

Zu Faktum I.11.:

Die Feststellungen zum Kunden "XXXX" ergeben sich aus den Kontoeröffnungsunterlagen (Beilagenordner "XXXX", AS 4 ff., AS 16 ff.). Die Negativfeststellung zur Risikoeinstufung fußt auf dem Faktum, dass sich im gesamten Kundenakt keine derartige Einstufung oder ein Review dazu findet.

Das Kontoeröffnungsdatum und jenes der Schließung ergeben sich aus der Rechtfertigung des Beschwerdeführers (ON 7, FMA-Akt zu Herrn XXXX, Seite 14) sowie aus dem Kundenakt (Beilagenordner "XXXX", AS 16 ff.). Aus dem Kundenakt ergibt sich aber auch, dass dieses Konto wiederum eröffnet wurde, obwohl nicht alle Unterlagen vorgelegen sind (Beilagenordner "XXXX", AS 18 und 19).

Auch zu diesem Kunden wurde vorgebracht, dass der Kunde bereits seit 2004 bekannt gewesen sei. Im Kundenakt selbst findet sich aber kein Firmenbuchauszug oder ähnlicher Auszug aus einem Register aus dem Sitzstaat des Kunden, sondern lediglich eine beglaubigte Vertretungsbefugnis (Beilagenordner "XXXX", AS 101). Wie bereits von der FMA festgehalten, gibt es im Kundenakt weiters Anhaltspunkte, dass die fehlenden Unterlagen sehr wohl aufgefallen sind, so etwa laut einen handschriftlichen Vermerk auf einem Brief vom 08.09.2009 (Beilagenordner "XXXX", AS 14) und auf einem Email des Compliance-Officer vom 16.07.2009 (Beilagenordner "XXXX", AS 19), auch in den "Notes to File" finden sich wiederholte Dokumentenanfragen (Beilagenordner "XXXX", AS 91 ff.), wobei sich die fehlenden Unterlagen sowohl auf den Kunden als auch auf seine vertretungsbefugten Personen beziehen. Es ist auch nicht nachvollziehbar, welche Dokumente tatsächlich fehlten bzw. nachgereicht wurden, da sich dies aus den diesbezüglichen Vermerken vor allem auf dem Email vom 16.07.2009 nicht erschließt (Beilagenordner "XXXX", AS 19).

Auch gibt der Beschwerdeführer zu W210 2000435-1 in der mündlichen Verhandlung selbst an, dass aufgrund der aus 2004 datierenden Unterlagen und der persönlichen Bekanntschaft, auf die er sich auch in der mündlichen Verhandlung bezog, keine weiteren Unterlagen bei der Kontoeröffnung für notwendig erachtet wurden, weshalb in einer Gesamtschau all dieser Aspekte davon auszugehen war, dass auch bei diesem Kunden keine Feststellung und Überprüfung der Identität des Kunden an Hand von beweiskräftigen Urkunden, die gemäß dem in Argentinien (Sitz des Kunden) landesüblichen Rechtsstandard verfügbar sind, stattgefunden hat.

Weder im Verfahren in der Berufung noch im Verfahren vor dem Bundesverwaltungsgericht wurde dies konkret bestritten, weshalb die Feststellungen auf der nachvollziehbaren und unwiderlegten Aktenlage zu treffen waren.

Zu Faktum I.12.:

Die Feststellungen zum Kunden "XXXX" , seinem Geschäftsfeld, seinen vertretungsbefugten Personen und seiner Risikoeinstufung fußen auf den Unterlagen im Kundenakt (Beilagenordner "XXXX XXXX", AS 8 ff., AS 590). Das Eröffnungsdatum und das Schließungsdatum ergeben sich aus der Tabelle auf Seite 14 der Rechtfertigung des Beschwerdeführers im gegenständlichen Verfahren (ON 7 zu Herrn XXXX).

Auch zu diesem Kunden wurde vorgebracht, dass der Kunde bereits seit 2004 bekannt gewesen sei. Im Kundenakt selbst findet sich aber kein Firmenbuchauszug oder ähnlicher Auszug aus einem Register aus dem Sitzstaat des Kunden, sondern lediglich von einem Notar aufgesetzte und beglaubigte Dokumente wie etwa der Gründungsakt XXXX(Beilagenordner "XXXX XXXX", AS 307, zur 1990 gegründeten ursprünglichen Vorgängergesellschaft, siehe AS 260), die Namensänderung und entsprechende Änderung des Vertrages von XXXX (Beilagenordner "XXXX XXXX", AS 317), die Kapitalerhöhung und Statutenänderung XXXX (Beilagenordner "XXXX XXXX", AS 325), ein Protokoll zur Aktionsärsversammlung XXXX (Beilagenordner "XXXX XXXX", AS 334) sowie Unterlagen zur XXXX(Beilagenordner "XXXX XXXX", AS 339, 354, 359, siehe auch AS 260, wonach die XXXX die gleiche Firma unter anderem Namen gewesen zu sein scheint). Gerade bei einer derartigen Geschichte in dem Unternehmen erscheint es dem erkennenden Senat zumindest fragwürdig, dass niemals Firmenbuchauszüge oder Registerauszüge eingeholt wurden.

Auch gibt der Beschwerdeführer zu W210 2000435-1 in der mündlichen Verhandlung an, dass aufgrund der aus 2004 datierenden Unterlagen und der persönlichen Bekanntschaft, auf die er sich auch in der mündlichen Verhandlung bezog, keine weiteren Unterlagen bei Kontoeröffnung für notwendig erachtet wurden, weshalb in einer Gesamtschau all dieser Aspekte davon auszugehen war, dass auch bei diesem Kunden keine Feststellung und Überprüfung der Identität des Kunden an Hand von an Hand von beweiskräftigen Urkunden, die gemäß dem in Argentinien (Sitz des Kunden) landesüblichen Rechtsstandard verfügbar sind, stattgefunden hat.

Weder im Verfahren in der Berufung noch im Verfahren vor dem Bundesverwaltungsgericht wurde dies konkret bestritten, weshalb die Feststellungen auf der nachvollziehbaren und unwiderlegten Aktenlage zu treffen waren.

Zu Faktum I.13.:

Die Feststellungen zum Kunden "XXXX.", zu seinen vertretungsbefugten Personen, zur Risikoeinstufen ergeben sich aus dem Kundenakt (Beilagenordner "XXXX. XXXX", AS 1 ff, AS 11), jene zur Kontoeröffnung und zur Schließung auf der

Rechtfertigung des Beschwerdeführers (ON 7, FMA-Akt zu Herrn XXXX, Seite 14).

Es findet sich keine PEP-Anfrage in Bezug auf XXXX im Kundenakt der XXXX. Sowohl aus der Stellungnahme der haftungspflichtigen Gesellschaft (ON 2, FMA-Akt zu Herrn XXXX, RZ 83), als auch aus der Zeugenaussage von XXXX XXXX (ON 8, FMA-Akt zu Herrn XXXX, Seite 8) ergibt sich auch, dass diese nachgeholt wurden, wobei der Zeuge XXXX dies mit 11.04.2012 angibt. Es ist davon auszugehen, dass erst mit diesem Datum die Verpflichtung zur Überprüfung eingehalten wurde.

Zu Faktum I.14.:

Diese Feststellung fußt auf den Umständen, dass dies weder vorgebracht wurde, noch aus den einzelnen Kundenakten ersichtlich ist. Auch ergibt sich aus den einzelnen Kundenakten, insbesondere aus jenem zur XXXX., welchen Zweck die Geschäftsbeziehung verfolgte, vielmehr findet sich im Beilagenordner "XXXX. XXXX", AS 20, zwar eine Darstellung der Gesellschaft, aber weder diesem Memo noch den Kontoeröffnungsunterlagen (Beilagenordner "XXXX. XXXX", AS 1 ff, AS 11) ist ein Zweck zu entnehmen. Desgleichen verhält es sich mit Informationen zur geographischen Distanz. Die belangte Behörde hat weiters zutreffend ausgeführt, dass das Doppelbesteuerungsabkommen mit Argentinien bereits 2008 gekündigt wurde. Auch aus der Rechtfertigung des Beschuldigten lässt zur Frage des Zweckes der Kontoeröffnung nichts gewinnen (ON 7 zu Herrn XXXX Seite 14). Auch die Ausführungen der haftungspflichtigen Gesellschaft in der Stellungnahme zum Einschaubericht (ON 2 der FMA-Akten, Rz 72 ff.) können dies nicht abschließend darlegen, legen doch die Transaktionen der einzelnen Kunden der Kundengruppe nahe, dass es hier vermehrt zu Auffälligkeiten gekommen ist. So wurden, um nur einige aufzuzählen, zur XXXX. mehrere Kreditverträge abgeschlossen (Beilagenordner "XXXX. XXXX", AS 160ff und AS 179 ff.), ohne Anführung eines konkreten Verwendungszweckes. Auffällig ist auch die Tatsache, dass das Geld aus Argentinien herausgeschafft werden solle, die XXXX. ein "off-shore vehicle" sei (Beilagenordner "XXXX. XXXX", AS 200). Zudem stellte die belangte Behörde im Rahmen ihrer Einschau fest, dass es immer wieder zu hinterfragenswürdigen Transaktionen gekommen ist, auch wurden sehr hohe Depotgebühren - obwohl mit Ausnahme einer Transaktion keine Wertpapierveranlagungen durchgeführt wurden - vom Vermittler beglichen (ON 1 zu den FMA-Akten, Rz 85). Die Stellungnahme der haftungspflichtigen Gesellschaft, der Kunde habe den Vermittler beauftragt, eine Überweisung durchzuführen, deutet auch nicht daraufhin, dass hier Transaktionen besonders überwacht und deren wirtschaftlicher Hintergrund hinterfragt worden wäre (ON 2 zu den FMA-Akten, Rz 85). Zum Kunden XXXX ergab die Einschau der FMA, dass eine Inkohärenz zwischen den Angaben des Kunden und den erfolgten Transaktionen vorliegt (ON 1 zu den FMA-Akten, Rz 70 ff.) Transaktionen wurden getätigt und dann wieder rückgängig gemacht (ebenda, Rz 71), diese aber selbst von der haftungspflichtigen Gesellschaft, die in ihrer Stellungnahme ausführt, es handle sich um Eigenüberträge (ON 2 zu den FMA-Akten, Rz 70 und 71), zumindest hinterfragungswürdig erschienen (AS 270). Es lässt sich aus dem Kundenakt aber nicht nachvollziehen, ob die Hintergründe dieser Transaktionen tatsächlich erkundet wurden, weshalb davon auszugehen ist, dass es sich wohl um Vermutungen um den wirtschaftlichen Hintergrund, und nicht um tatsächliches Wissen handelt. Beim Kunden XXXX kam es zu einer vorzeitigen Rückführung eines Kredites, wie auch der Stellungnahme der haftungspflichtigen Gesellschaft zu entnehmen ist (ON 2 zu den FMA-Akten, Rz 74), dem Kundenakt sind keine Gründe für die vorzeitigen Rückführung zu entnehmen. Auffällig erschien auch das Splitting der Beträge für die getätigten Termingeldeinlagen (ON 1 zu den FMA-Akten, Rz 74). Zum Kunden XXXX ergibt sich aus den Kontoeröffnungsunterlagen (Beilagenordner "XXXX XXXX", AS 26), dass ein geringfügiger Kredit benötigt würde, die tatsächlichen Kontobewegungen zeigen allerdings ein anderes Bild, auch hier kam es Eigenüberträgen sowie zu einer vorzeitigen Rückführung des Kredits (ON 1 zu den FMA-Akten, Rz 77 ff.), die wiederum mit der vorzeitigen Rückführung eines anderen Kredites erklärt wurde (ON 2 zu den FMA-Akten Rz 77). Zum Kunden XXXX ist auszuführen, dass es zu mehreren Kreditverträgen kam (ON 1 zu den FMA-Akten, Rz 80), deren Hintergrund nicht vollends geklärt ist, so wird ein Kredit aus 2006 zum Zwecke des Immobilienkaufs geführt, ebenso eine Ausleihung aus dem Jahr 2008, weiters sollte mit einem Kredit aus 2007 ein Flugzeug gekauft werden. Dem Kundenakt ist aber kein Kaufvertrag, der diese Vorgänge belegen könnte, zu entnehmen, lediglich zu jenem über 1.200.000 US-Dollar aus dem Jahr 2006 wurde nachträglich ein Kaufvertrag angefordert, der bei Abschluss des Kreditvertrages aber nicht vorlag (ON 2 zu den FMA-Akten, Rz 80 f.). Die FMA stellt in ihrer Einschau vielmehr fest, dass wie bei den übrigen Gesellschaften der Kundengruppe zu mehreren Überweisungen kam, wobei der Kunde selbst Auftraggeber und Begünstigter ist, es scheinen die Gelder im Kreis geschickt worden zu sein.

Nach Beilage ./K (Beilagenordner I zu den FMA-Akten) war es die belangte Behörde selbst, die zu dieser Kundengruppe eine Verdachtsmeldung am 26.01.2012 erstattete.

Zu Faktum I.15.:

Die Feststellungen zur XXXX ergeben sich aus dem Kundenakt (Beilagenordner XXXX XXXX, AS 2 zur Bevollmächtigung von Herrn XXXX, AS 14, zur Kontoeröffnung). Es finden sich zwar PEP-Abfragen mit Datum zum 30.08.2010 im Kundenakt (Beilagenordner XXXX XXXX, AS 19 bis 23), jedoch ist keine zu Herrn XXXX darunter. Die Feststellung zur Power of Attorney ergibt sich aus dem Kundenakt (Beilagenordner XXXX XXXX, AS 37).

Die Feststellung zur im März 2012 durchgeführten PEP-Abfrage zu Herrn XXXX ergibt sich aus der Rechtfertigung des Beschwerdeführers (ON 7, zu Herrn XXXX, Seite 15, Punkt 22).

Im Verfahren vor dem Bundesverwaltungsgericht kam zudem nichts Gegenteiliges zu Tage.

Vor Faktum I.16. bis I.18.:

Die Feststellungen zur Kundengruppe XXXX fußten auf dem Einschaubericht der FMA (ON 1 FMA-Akt zu Herrn XXXX, Rz 91ff.)

Zu Faktum I.16.:

Die Feststellungen zur XXXX ergeben sich aus dem offenen Firmenbuch (Beilagenordner "XXXX", AS 87), jene zur Kontoeröffnung aus dem Formular zu Kontoeröffnung (Beilagenordner "XXXX", AS 3) und jene zur Schließung des Kontos zu den glaubwürdigen Ausführungen des Zeugen XXXX in seiner Vernehmung (ON 8, FMA-Akt zu Herrn XXXX, Seite 8).

Die Feststellung zur Ablehnung durch die Compliance-Abteilung, zur Mitteilung des Beschwerdeführers zu W210 2000433-1 sowie zur tatsächlichen Kontoeröffnung fußen auf dem Formular "Coversheet for Company Accounts" (Beilagenordner "XXXX", AS 12 ff).

Aus den im Beilagenordner zur XXXX aufliegenden Unterlagen geht hervor, dass es neben Herrn XXXX(Beilagenordner "XXXX", AS 50) auch weitere wirtschaftliche Begünstigte gibt, so nämlich die Mitglieder der Familie XXXX (Beilagenordner "XXXX", AS 93). Zudem führte der Beschwerdeführer in seiner Rechtfertigung aus, dass es weitere Begünstigte in Form eines Unternehmens in Dubai gibt (ON 7, zu Herrn XXXX, Seite 15), jedoch XXXX der wirtschaftlich Endbegünstigte sei. Dokumente zu diesen weiteren Begünstigten gibt es nicht. Wie die belangte Behörde in ihrer Beweiswürdigung (und auch der rechtlichen Beurteilung) ausführt, ist die alleinige Angabe des Herrn XXXX nicht ausreichend, um sich von den tatsächlichen wirtschaftlichen Begünstigten bzw. deren Identität zu überzeugen. Zudem hat der Zeuge XXXX vor der belangten Behörde ausgesagt, dass die nunmehr aufliegenden Dokumente (Beilage ./Y, Beilagenordner II zu den FMA-Akten) erst seit 27.04.2012 in der haftungspflichtigen Gesellschaft vorlagen. Auch konnte der Zeuge in seiner Einvernahme nur mutmaßen, wer tatsächlich wirtschaftlich Begünstigter gewesen ist, so dass zutreffend davon ausgegangen werden kann, dass der haftungspflichtigen Gesellschaft bis zur Schließung der Geschäftsbeziehung nicht abschließend bekannt war, wer wirtschaftlich Begünstigter war.

Weder in der Beschwerde noch im Verfahren vor dem Bundesverwaltungsgericht wurde etwas vorgebracht, was die im Verfahren entstandenen Widersprüche und fehlenden Unterlagen entkräftet hätte.

Zu Faktum I.17.:

Die Feststellungen zur XXXX ergeben sich aus dem offenen Firmenbuch (Beilagenordner "XXXX", AS 137 bis 140), jene zur Kontoeröffnung aus dem Formular zu Kontoeröffnung (Beilagenordner "XXXX", AS 3) und jene zur Schließung des Kontos aus den glaubwürdigen Ausführungen des Zeugen XXXX in seiner Vernehmung (ON 8, FMA-Akt zu Herrn XXXX, Seite 8).

Die Feststellung zur Ablehnung durch die Compliance-Abteilung, zur Mitteilung des Beschwerdeführers zu W210 2000435-1 sowie zur tatsächlichen Kontoeröffnung fußen auf dem Formular "Coversheet for Company Accounts" (Beilagenordner "XXXX", AS 2 und 3).

Aus der im Beilagenordner "XXXX" aufliegenden Stiftungsurkunde (AS 118 ff, 119) ist unter Punkt 5 ersichtlich, dass die Begünstigten in einer noch zu errichtenden Stiftungszusatzurkunde bestimmt werden, eine derartige Stiftungsurkunde befindet sich weder in diesem Beilagenordner noch kam sie im Verfahren vor der belangten Behörde oder aber vor dem Bundesverwaltungsgericht zu tage. Weiters existiert eine "Declaration of Ultimate Beneficial Ownership" (Beilagenordner "XXXX XXXX", AS 90), wonach Herr XXXX wirtschaftlicher Eigentümer ist. Zudem gab der Beschwerdeführer in seiner Rechtfertigung (ON 7, FMA-Akt zu Herrn XXXX, Seite 15) an, dass laut dem Stiftungsvorstand zwei Firmen aus Dubai unmittelbar Begünstigte gewesen seien und Mittelflüsse nur zu diesen Firmen stattgefunden hätten. Auch gebe es Dokumente in Form von Share Certificates, wonach Herr XXXX einziger Gesellschafter der Firma sei. Wieder brachte der Zeuge XXXX eine Konvolut von Dokumenten zu den wirtschaftlichen Begünstigten ein (Beilage ./Z, Beilagenordner II zu den FMA-Akten), das ab 27.04.2012 in der haftungspflichtigen Gesellschaft vorgelegen habe. Aus diesen Unterlagen geht hervor, dass die haftungspflichtige Gesellschaft den Kunden aufgefordert hat, seine wirtschaftlich Begünstigten darzulegen, dieser nannte im Schreiben vom 03.05.2012 daraufhin zwei näher genannte Firmen in den Vereinigten Arabischen Emiraten. Auch ist etwa ein Share Certificate (Beilage ./Z, Seite 259) enthalten, dass aber weder unterschrieben noch beglaubigt noch apostilliert ist. Auch zur XXXX konnte der Zeuge XXXX nur vermuten, wer tatsächlich wirtschaftlich Begünstigter war.

Die Widersprüche, mangelnden Dokumente bzw. fehlende Aussagekraft der vorliegenden Zertifikate führen zu dem Schluss, dass der haftungspflichtigen Gesellschaft bis zur Schließung der Geschäftsbeziehung nicht abschließend bekannt war, wer wirtschaftlich Begünstigter war.

Weder in der Beschwerde noch im Verfahren vor dem Bundesverwaltungsgericht wurde etwas vorgebracht oder vorgelegt, was die im Verfahren entstandenen Widersprüche und fehlenden Unterlagen entkräftet hätte.

Zu Faktum I.18.:

Die Feststellungen zur XXXX ergeben sich aus dem offenen Firmenbuch (Beilagenordner "XXXX", AS 146 ff), jene zur Kontoeröffnung aus dem Formular zu Kontoeröffnung (Beilagenordner "XXXX", AS 12) und jene zur Schließung des Kontos aus den glaubwürdigen Ausführungen des Zeugen XXXX in seiner Vernehmung (ON 8, FMA-Akt zu Herrn XXXX, Seite 9).

Die Feststellung zur Ablehnung durch die Compliance-Abteilung, zur Mitteilung des Beschwerdeführers zu W210 2000433-1 sowie zur tatsächliche Kontoeröffnung fußen auf dem Formular "Coversheet for Company Accounts" (Beilagenordner "XXXX", AS 11 f.).

Die Feststellung zur Anforderung der Satzung und eines Aktienbuches fußen auf der Aussage des Zeugen XXXX (ON 8, FMA-Akt zu Herrn XXXX, Seite 9).

Der Beschwerdeführer zu W210 2000433-1 führte in seiner Rechtfertigung aus, dass es zu einem Dokumentationfehler gekommen sei, nur ein Stifter habe die Erklärung über die wirtschaftlichen Endbegünstigten der XXXX unterzeichnet, die Vorstände der XXXX hätten diese Erklärung bestätigt. Aus den unterschiedlichen Dokumenten ergebe sich in einer Gesamtschau, dass es sich bei den wirtschaftlichen Endbegünstigten der XXXX ausschließlich um die beiden wirtschaftlich Endbegünstigten und Stifter der Privatstiftungen handle (ON 7, FMA-Akt zu Herrn XXXX, Seite 16). Der Beschwerdeführer nimmt darin auch Bezug auf ein Protokoll, das in der haftungspflichtigen Gesellschaft seit 16.11.2009 vorgelegen sei, es befindet sich in Beilage ./AA (Beilagenordner II zu den FMA-Akten, AS 279) und datiert vom 08.07.2004. Da das Protokoll aber lediglich festlegt, dass das Grundkapital der Gesellschaft (70.000 EUR) zur Gänze von den Gründern "XXXX" XXXX übernommen werden soll und nichts in dem Dokument darauf schließen lässt, welche natürlichen Personen hinter diesen Stiftungen steht, und zudem das Protokoll zu einem Zeitpunkt datiert, der lange vor der Begründung der Geschäftsbeziehung war, kann daraus nicht abgeleitet werden, wer tatsächlich wirtschaftlich Begünstigter war. Zudem hält der Zeuge XXXX fest (ON 8, FMA-Akt zu Herrn XXXX, Seite 9), dass er dies als mangelhaft erachtete und Satzung und Aktienbuch anfordertet. Da aber auch aus den übrigen Dokumenten nur hervorgeht, dass die Aktionäre die beiden Privatstiftungen "XXXX" XXXX sind, deren wirtschaftlich Begünstigte aber nicht abschließend feststellbar waren (vergleiche dazu oben zu Faktum I.16. und I.17.) ist auch hier davon auszugehen, dass der haftungspflichtigen Gesellschaft bis zur Schließung der Geschäftsbeziehung nicht abschließend bekannt war, wer wirtschaftlich Begünstigter war.

Weder in der Beschwerde noch im Verfahren vor dem Bundesverwaltungsgericht wurde etwas vorgebracht oder vorgelegt, was die im Verfahren entstandenen Widersprüche und fehlenden Unterlagen entkräftet hätte.

Zu Faktum I.19.:

Die Feststellungen zur XXXX basieren auf dem Kundenakt der haftungspflichtigen Gesellschaft (Beilagenordner "XXXX", AS 3 zur Addresse, AS 42 und 43 zur Kontoeröffnung).

Aus dem Kundenakt geht auch hervor, dass Herr XXXX Verfügungsberechtigter ist, seine Unterschrift findet sich auf zahlreichen Dokumenten (Beilagenordner "XXXX XXXX", AS 4, 9, 11, 16, 37, 39), ebenso finden sich Ausweiskopien von ihm im Kundenakt (Beilagenordner "XXXX XXXX, AS 10 bis AS 13). Jedoch findet sich im Kundenakt kein Nachweis dafür, dass vor Begründung der Geschäftsbeziehung und bis zum 19.04.2012 eine urkundliche Bescheinigung dieser Vertretungsmacht von der haftungspflichtigen Gesellschaft eingeholt worden ist. Diese ergibt sich erst aus der Beilage ./AB, die vom Zeugen XXXX in seiner Vernehmung vorgelegt wurde (ON 8, FMA-Akt zu Herrn XXXX, Seite 9), wobei bemerkenswert ist, dass diese Vollmacht per Email übermittelt wurde und einen handschriftlichen Vermerk mit "not sufficient" aufweist. Ebenso lässt sich Beilagenordner II, AS 284, entnehmen, dass der Account mit 25.03.2013 geschlossen wurde. Dies war der Stiftung mit Schreiben vom 26.02.2013 (Beilagenordner II, AS 285) mitgeteilt worden, als Grund waren die zahlreichen Versuche der Kontaktaufnahme und der Ersuchen um Dokumentenübermittlung angeführt worden. Die Schließung des Kontos ist auch der Rechtfertigung des Beschwerdeführers zu entnehmen (ON 7, FMA-Akt zu Herrn XXXX, Seite 9).

Die Feststellung zur Geschäftstätigkeit des Herrn XXXX und des Unternehmens "XXXX" ergibt sich aus dem Kundenakt (Beilagenordner "XXXX XXXX", AS 53 und 68). Die Feststellungen zur Risikoeinstufung ergibt sich aus der Client Risk Review im Kundenakt (Beilagenordner "XXXX XXXX", AS 68 ff.) sowie aus den Ausführungen in der Rechtfertigung des Beschwerdeführers (ON 7, FMA-Akt zu Herrn XXXX, Seite 16 mit Verweis auf die Punkte 1. bis 7. der Rechtfertigung).

Zu Faktum I.20. und Faktum I.21:

Die Feststellungen fußen einerseits auf dem Einschaubericht der FMA (ON 1, FMA-Akt zu Herrn XXXX), den im Akt aufliegenden Quittungen und Unterlagen (Beilage ./N, Beilagenordner I zu den FMA-Akten, Quittung zum Transfer vom 12.07.2010, AS 147 und AS 155; Beilage ./M, Beilagenorder I zu den FMA-Akten, Quittung zum Transfer vom 06.08.2010, AS 138 und AS 145 zur Transaktion vom 06.08.2010) sowie auf den Ausführungen des Beschwerdeführers in seiner Rechtfertigung (ON 7 FMA-Akt zu Herrn XXXX, Seite 16), die Anlieferungen von Banknoten bestätigt. Den Beilagen ./N und ./M (Beilagenordner I zu den FMA-Akten) ist auch zu entnehmen, dass die Banknoten in XXXX (Lieferung vom 12.07.2010, AS 152 und AS 150) und XXXX (Lieferung vom 06.08.2010, AS 139 und 140) aufgegeben wurden und über Miami nach Wien transportiert wurden und dass die Lieferungen am 07.07.2010 und am 03.08.2010 jeweils avisiert wurden.

Die Negativfeststellung zur mangelnden Überprüfung des Hintergrunds der Transaktion fußt auf den mangelnden Unterlagen dazu, weder im Verfahren vor der belangten Behörde noch im Verfahren vor dem Bundesverwaltungsgericht wurde diesbezüglich etwas vorgelegt. Auch hat das Beweisverfahren ergaben, dass die Anfrage bei der Österreichischen Nationalbank nicht in der von der haftungspflichtigen Gesellschaft vorgebrachten Form stattgefunden haben kann, ist diese doch nur mittelbar dokumentiert und konnte sich der angeblich befragte Mitarbeiter der OeNB auch nicht mehr daran erinnern. Vielmehr führte er im Verfahren vor der belangten Behörde aus, dass Auskünfte, wie von der haftungspflichtigen Gesellschaft geschildert, nicht erteilt würden, sondern auf die Zentralbank des jeweiligen Landes verwiesen werde (Beilage ./O, Beilagenordner I zu den FMA-Akten). Sehr wohl ist aber zu entnehmen, dass eine Anfrage bei der bolivianischen Botschaft oder bei der bolivianischen Zentralbank zu den rechtlichen Grundlagen in Bolivien zur Ausfuhr von ausländischen Banknoten durch die haftungspflichtige Gesellschaft nicht stattgefunden hat, fehlen doch solche Anfragen und wurden solche im Verfahren auch nicht behauptet. Schließlich deutet auch der Emailverkehr zwischen dem Kundenbetreuer und dem Beschwerdeführer zu W210 2000433-1 (Beilage ./M, Beilagenorder I zu den FMA-Akten, Seite 143) daraufhin, dass die haftungspflichtige Gesellschaft den Hintergrund der beiden Geschäfte nicht ohne weiteres als plausibel annahm und mit den Anlieferungen der Vorstand befasst wurde. Die Feststellung zum fehlenden Formular fußt auf Beilage ./M und Beilage ./N (Beilagenordner II zu den FMA-Akten), in diesem Konvolut findet sich kein derartiges Formular, lediglich eine Anmeldung ohne weitere behördliche Vermerke, Stempel oder Unterschriften zur ersten Transaktion.

Die Feststellung zu den nicht erstatteten Verdachtsmeldungen fußen auf der Rechtfertigung des Beschwerdeführers (ON 7, FMA-Akt zu Herrn XXXX, Seite 17) sowie am Einschaubericht der FMA (ON 1, FMA-Akt zu Herrn XXXX, RZ 109), wonach die belangte Behörde selbst am 26.02.2012 die entsprechenden Meldungen erstattete.

3. Rechtliche Beurteilung:

3.1. Zur Zuständigkeit des Bundesverwaltungsgerichts, zum anzuwendenden Recht und zur Zulässigkeit der Beschwerde

Gemäß § 22 Abs. 2a FMABG, BGBl I 97/2001 idF BGBl 184/2013, entscheidet über Beschwerden gegen Bescheide der FMA das Bundesverwaltungsgericht durch Senat, ausgenommen in Verwaltungsstrafsachen, wenn weder eine primäre Freiheitsstrafe noch eine 600 Euro übersteigende Geldstrafe verhängt wurde. Mit Ablauf des 31.12.2013 liegt in Fällen der Finanzmarktaufsicht somit keine Zuständigkeit des vormaligen Unabhängigen Verwaltungssenates Wien, nunmehr Verwaltungsgericht Wien, vor. Der Akt wurde auch mit Schriftsatz vom 09.01.2014 dem Bundesverwaltungsgericht zuständigkeitshalber vorgelegt. Aufgrund einer geschäftsverteilungsmäßigen Abnahme wurde der Akt am 04.04.2014 der Gerichtsabteilung W210 zugeteilt.

Mit dem angefochtenen Straferkenntnis wurde eine Geldstrafe von €

82.500,-- verhängt. Der Vorschrift des § 22 Abs. 2a FMABG nach liegt somit gegenständlich Senatszuständigkeit vor.

Das Verfahren der Verwaltungsgerichte mit Ausnahme des Bundesfinanzgerichtes ist durch das VwGVG, BGBl. I 2013/33 i.d.F. BGBl. I 2013/122, geregelt (§ 1 leg.cit.). Gemäß § 58 Abs. 2 VwGVG bleiben entgegenstehende Bestimmungen, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bereits kundgemacht wurden, in Kraft. Gemäß § 38 VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Art. 130 Abs. 1 B-VG in Verwaltungsstrafsachen die Bestimmungen des Verwaltungsstrafgesetzes 1991 - VStG, BGBl. Nr. 52/1991, mit Ausnahme des 5. Abschnittes des II. Teiles, und des Finanzstrafgesetzes - FinStrG, BGBl. Nr. 129/1958, und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.

Das angefochtene Straferkenntnis wurde dem Beschwerdeführer zu W210 200433-1 am 22.10.2013 zugestellt, die gegenständliche Berufung, nunmehr Beschwerde, langte am 04.11.2013 bei der belangten Behörde ein.

Die Beschwerde ist somit zulässig.

3.2. Zu Spruchpunkt A): Zur Abweisung der Beschwerde und zum Kostenabspruch

Die Beschwerde ist aber unbegründet:

Im Verfahren ist entgegen den Beschwerdebehauptungen nicht hervorgekommen, dass dem Beschwerdeführer nicht ausreichend rechtliches Gehör geschenkt worden wäre, auch wurden ihm die Beweisergebnisse vorgehalten und konnte er dazu Stellung nehmen. Der rechtlichen Beurteilung ist der Beschwerdeführer in seiner Beschwerde nicht konkret entgegengetreten.

3.2.1. Zur objektiven Tatseite:

3.2.1.1. Zu § 40 Abs. 1 BWG und den Fakten I.19., I.10. und I.11:

§ 40 Abs. 1 BWG in der Stammfassung BGBl. 532/1993 lautete:

"(1) Die Kredit- und Finanzinstitute haben die Identität eines Kunden festzuhalten:

1. Bei Anknüpfung einer dauernden Geschäftsbeziehung, ausgenommen

a) bei der Eröffnung von Sparbüchern und Wertpapierkonten und

b) zum Zwecke der Durchführung von Geschäften gemäß § 12 Depotgesetz;

2. bei allen nicht in den Rahmen einer dauernden Geschäftsbeziehung fallenden Transaktionen, deren Betrag sich auf mindestens 200 000 S oder Schilling-Gegenwert beläuft, und zwar unabhängig davon, ob die Transaktion in einem einzigen Vorgang oder in mehreren Vorgängen, zwischen denen eine Verbindung offenkundig gegeben ist, getätigt wird; ist der Betrag zu Beginn der Transaktion nicht bekannt, so ist die Identität dann festzuhalten, sobald der Betrag bekannt ist und festgestellt wird, daß er mindestens 200 000 S oder Schilling-Gegenwert beträgt;

3. wenn der begründete Verdacht besteht, daß der Kunde objektiv an Transaktionen mitwirkt, die der Geldwäscherei (§§ 165 und 278a Abs. 2 StGB) dienen."

Den Materialien zu § 40 Abs. 1 BWG in der Stammfassung (RV 1130 BlgNR 23. GP, Seite 142) ist zu entnehmen, dass eine eindeutige Zuordenbarkeit von Transaktionen über Kreditinstitute zu den handelnden Personen für spätere Nachforschungen wegen Geldwäscherei erforderlich ist. Beim ersten Kontakt mit einem Kunden ist die Identität des Kunden anhand von amtlichen Dokumenten festzustellen und unter Vermerk der Daten festzuhalten. Jede zeichnungsberechtigte Person muss sich jedenfalls einmal gegenüber dem Kreditinstitut ausgewiesen haben. Den Ausführungen zu Z1 ist zu entnehmen, dass eine dauernde Geschäftsbeziehung beispielsweise bei Eröffnung eines Kontos vorliegt.

In der Fassung BGBl. I 35/2003, in Kraft ab 01.10.2003, wird dann im Gesetzestext selbst festgehalten:

"§ 40. (1) Die Kredit- und Finanzinstitute haben die Identität eines Kunden festzuhalten:

1. bei Anknüpfung einer dauernden Geschäftsbeziehung;

2. bei allen nicht in den Rahmen einer dauernden Geschäftsbeziehung fallenden Transaktionen, deren Betrag sich auf mindestens 15 000 Euro oder Euro-Gegenwert beläuft, und zwar unabhängig davon, ob die Transaktion in einem einzigen Vorgang oder in mehreren Vorgängen, zwischen denen eine Verbindung offenkundig gegeben ist, getätigt wird; ist der Betrag zu Beginn der Transaktion nicht bekannt, so ist die Identität dann festzuhalten, sobald der Betrag bekannt ist und festgestellt wird, daß er mindestens 15 000 Euro oder Euro-Gegenwert beträgt;

3. wenn der begründete Verdacht besteht, dass der Kunde einer terroristischen Vereinigung (§ 278b StGB) angehört oder dass der Kunde objektiv an Transaktionen mitwirkt, die der Geldwäscherei (§ 165 StGB - unter Einbeziehung von Vermögensbestandteilen, die aus einer strafbaren Handlung des Täters selbst herrühren) oder der Terrorismusfinanzierung (§ 278d StGB) dienen.

4. nach dem 31. Oktober 2000 bei jeder Einzahlung auf Spareinlagen und nach dem 30. Juni 2002 auch bei jeder Auszahlung von Spareinlagen, wenn der ein- oder auszuzahlende Betrag mindestens 15 000 Euro oder Euro-Gegenwert beträgt.

Die Identität eines Kunden ist durch persönliche Vorlage seines amtlichen Lichtbildausweises festzustellen. Als amtlicher Lichtbildausweis in diesem Sinn gelten von einer staatlichen Behörde ausgestellte Dokumente, die mit einem nicht austauschbaren erkennbaren Kopfbild der betreffenden Person versehen sind, und den Namen, das Geburtsdatum und die Unterschrift der Person sowie die ausstellende Behörde enthalten; bei Reisedokumenten von Fremden muss das vollständige Geburtsdatum dann nicht im Reisedokument enthalten sein, wenn dies dem Recht des ausstellenden Staates entspricht. Bei juristischen Personen und bei nicht eigenberechtigten natürlichen Personen ist die Identität der vertretungsbefugten natürlichen Person durch Vorlage ihres amtlichen Lichtbildausweises festzustellen und die Vertretungsbefugnis anhand geeigneter Bescheinigungen zu überprüfen. Die Feststellung der Identität der juristischen Person hat anhand von beweiskräftigen Urkunden zu erfolgen, die gemäß dem am Sitz der juristischen Personen landesüblichen Rechtsstandard verfügbar sind. Von den vorstehenden Bestimmungen darf nur in den Fällen gemäß Abs. 2, 2a, 8 und 9 abgewichen werden."

Dazu halten die Materialien (RV 32 BlgNR XXII. GP) wie folgt fest:

"Zu § 40 Abs. 1:

Die Änderung stellt entsprechend den Anforderungen der EU-RL 97/2001/EG klar, dass die Identifizierung eigenberechtigter natürlicher Personen ausschließlich anhand eines amtlichen Lichtbildausweises erfolgen darf. Weiters werden zwecks sicherer Identitätsfeststellung und Klarheit für die Anwender die erforderlichen Kriterien des Ausweisdokuments festgelegt. Jedenfalls zur Identifizierung geeignet sind Reisepass, Personalausweis oder Führerschein, jedoch kommen auch andere Lichtbildausweise in Frage, sofern die erforderlichen Kriterien erfüllt werden. Bedacht zu nehmen ist jedoch auf die Tatsache, dass manche Reisedokumente von Fremden, insbesondere aus dem arabischen Raum, kein vollständiges Geburtsdatum aufweisen. Das Fehlen dieses Merkmals schließt den Passinhaber nicht notwendigerweise von der Identifizierung aus; wenn jedoch Zweifel an der eindeutigen Identifizierbarkeit des Passinhabers bestehen, insbesondere wenn jeder Hinweis auf das Alter der betreffenden Person fehlt, darf der Ausweis nicht zur Identifizierung herangezogen werden. 'Nicht austauschbares Kopfbild' heißt, dass Ausweise, bei denen das Lichtbild selbst anzubringen ist, nicht zur Identifizierung geeignet sind (zB Fahrausweise f. öff. Verkehrsmittel, Schipass, Schülerausweis, u.ä.; bei diesen fehlt auch das Kriterium der behördlichen Ausstellung). Die Regelung entspricht Art. 3 Abs. 1 Geldwäsche-RL idF der RL 97/2001/EG , welcher für die Feststellung der Identität ein 'beweiskräftiges Dokument' verlangt; es ist klar, dass andere Urkunden als amtliche Lichtbildausweise für diesen Zweck ausscheiden, da einerseits bei Urkunden ohne Lichtbild eben die Feststellung der Identität nicht möglich ist und andererseits nur ein behördliches Dokument per se als beweiskräftig angesehen werden kann.

Bei Rechtsgeschäften von nicht eigenberechtigten natürlichen Personen (Minderjährige, Pflegebefohlene) und juristischen Personen ist zur Identifizierung wie folgt vorzugehen:

Die vertretungsbefugte natürliche Person (gesetzlicher Vertreter, Organ, Prokurist, ...) hat sich mit ihrem amtlichen Lichtbildausweis zu identifizieren. Die Identität desjenigen, in dessen Namen die Transaktion erfolgt, sowie das Vorliegen der Vertretungsbefugnis, ist anhand 'geeigneter Bescheinigungen' zu überprüfen, das heißt, es wird im Interesse der Praxisgerechtigkeit auf Formstrenge verzichtet, wobei jedoch stets die Sorgfaltspflicht zu beachten ist. So wird etwa zu berücksichtigen sein, dass Kinder häufig noch keinen Lichtbildausweis haben. Daher kann jeweils ein altersadäquatübliches Dokument zur Identifizierung herangezogen werden; bei Kleinkindern wird in der Regel die Geburtsurkunde oder die Eintragung im Reisepass des gesetzlichen Vertreters ausreichen, um Identität des Vertretenen und den Vertretungszusammenhang zu bescheinigen. Festzuhalten ist jedenfalls, dass diese Bestimmungen ausschließlich der ordnungsmäßigen Identitätsfeststellung dienen und keinen zivilrechtlichen Regelungsgehalt aufweisen (beispielsweise in Fragen des Sorgerechts; ein entsprechender Gerichtsbeschluss muss daher von einem als 'Vater' erscheinenden Vertreter, welcher die Geburtsurkunde des Kindes vorweisen kann, nicht automatisch verlangt werden, ein solcher Beschluss wäre aber jedenfalls eine geeignete Urkundsbescheinigung). Zur Identifizierung von Kindern, deren gesetzlicher Vertreter sich mit amtlichem Lichtbildausweis identifiziert, können, jeweils wieder altersadäquat, als Bescheinigung auch 'Pseudo-Ausweise' herangezogen werden, die zur alleinigen Identifizierung nicht ausreichend wären, wie zB Schülerausweise. Da durch die Identifizierungsvorschriften kein Eingriff ins Zivilrecht erfolgt, ist jedoch stets auch auf die altersadäquate Rechtsgeschäftsfähigkeit Minderjähriger Bedacht zu nehmen. In diesem Sinn kann ein mündiger Minderjähriger mit eigenem Einkommen, der ja selbst Bankgeschäfte tätigen kann, sich auch selbst (dh. ohne gesetzlichen Vertreter) identifizieren. In diesem Fall muss er aber seinen amtlichen Lichtbildausweis vorlegen.

Auch bei juristischen Personen gilt, dass die vertretungsbefugte natürliche Person anhand ihres amtlichen Lichtbildausweises zu identifizieren ist. Keine Formstrenge, jedoch Sorgfaltspflicht, gilt bei der Feststellung der Identität der juristischen Person sowie des Vertretungszusammenhangs. Zur Identitätsfeststellung der juristischen Person jedenfalls zu bescheinigen ist Firma und Sitz. Primär wäre ein Firmenbuchauszug oder Auszug aus einem vergleichbaren Register heranzuziehen, sofern solche im Sitzstaat nicht existieren, können ersatzweise auch andere Nachweise herangezogen werden, wobei auf landesübliche Standards in zumutbarer Weise zu achten sein wird (zB allfällige staatliche Konzessionen, Bestätigung einer Handelskammer-Mitgliedschaft, Bankauskunft, Hauptversammlungsprotokoll). Die Vertretungsbefugnis ist ebenfalls primär durch Firmenbuch-, bzw. entsprechenden Registerauszug zu bescheinigen, sofern kein solches Register im Sitzstaat geführt wird, werden Vollmachten (Prokura) oder Organbestellungsurkunden vorzulegen sein.

In allen Fällen des Umgangs mit Bescheinigungen gilt, dass die Kredit- und Finanzinstitute keine detektivischen Nachforschungen betreiben müssen, jedoch ist eine auch von Art und Umfang des Geschäftes sowie dem Sitz des Kunden bestimmte Sorgfaltspflicht anzuwenden, die von entsprechend geschultem Personal erwartet werden kann. Hervorzuheben ist weiters, dass nach Art. 3 Abs. 1 Geldwäsche-RL (neue Fassung) im Zusammenhang mit Identitätsfeststellungen jedenfalls 'Dokumente' erforderlich sind, das bedeutet, dass bloße mündliche Erklärungen, zB über das Vorliegen einer Vollmacht nicht ausreichend sind."

In der von der belangten Behörde angewendeten Fassung BGBl. I 108/2007, die zum Zeitpunkt der Überschreitung in Geltung war, lautete § 40 Abs. 1 BWG wie folgt:

"§ 40. (1) Die Kredit- und Finanzinstitute haben die Identität eines Kunden festzustellen und zu überprüfen:

1. vor Begründung einer dauernden Geschäftsbeziehung;

Spareinlagengeschäfte nach § 31 Abs. 1 dieses Bundesgesetzes und Geschäfte nach § 12 Depotgesetz gelten stets als dauernde Geschäftsbeziehung

2. vor Durchführung von allen nicht in den Rahmen einer dauernden Geschäftsbeziehung fallenden Transaktionen, deren Betrag sich auf mindestens 15 000 Euro oder Euro-Gegenwert beläuft, und zwar unabhängig davon, ob die Transaktion in einem einzigen Vorgang oder in mehreren Vorgängen, zwischen denen eine Verbindung offenkundig gegeben ist, getätigt wird; ist der Betrag vor Beginn der Transaktion nicht bekannt, so ist die Identität dann festzustellen, sobald der Betrag bekannt ist und festgestellt wird, dass er mindestens 15 000 Euro oder Euro-Gegenwert beträgt;

3. wenn der Verdacht oder der berechtigte Grund zu der Annahme besteht, dass der Kunde einer terroristischen Vereinigung (§ 278b StGB) angehört oder dass der Kunde objektiv an Transaktionen mitwirkt, die der Geldwäscherei (§ 165 StGB - unter Einbeziehung von Vermögensbestandteilen, die aus einer strafbaren Handlung des Täters selbst herrühren) oder der Terrorismusfinanzierung (§ 278d StGB) dienen;

4. nach dem 31. Oktober 2000 bei jeder Einzahlung auf Spareinlagen und nach dem 30. Juni 2002 auch bei jeder Auszahlung von Spareinlagen, wenn der ein- oder auszuzahlende Betrag mindestens 15 000 Euro oder Euro-Gegenwert beträgt;

5. bei Zweifeln an der Echtheit oder der Angemessenheit zuvor erhaltener Kundenidentifikationsdaten.

Die Identität eines Kunden ist durch persönliche Vorlage seines amtlichen Lichtbildausweises festzustellen. Als amtlicher Lichtbildausweis in diesem Sinn gelten von einer staatlichen Behörde ausgestellte Dokumente, die mit einem nicht austauschbaren erkennbaren Kopfbild der betreffenden Person versehen sind, und den Namen, das Geburtsdatum und die Unterschrift der Person sowie die ausstellende Behörde enthalten; bei Reisedokumenten von Fremden muss das vollständige Geburtsdatum dann nicht im Reisedokument enthalten sein, wenn dies dem Recht des ausstellenden Staates entspricht. Bei juristischen Personen und bei nicht eigenberechtigten natürlichen Personen ist die Identität der vertretungsbefugten natürlichen Person durch Vorlage ihres amtlichen Lichtbildausweises festzustellen und die Vertretungsbefugnis anhand geeigneter Bescheinigungen zu überprüfen. Die Feststellung der Identität der juristischen Person hat anhand von beweiskräftigen Urkunden zu erfolgen, die gemäß dem am Sitz der juristischen Personen landesüblichen Rechtsstandard verfügbar sind. Von den vorstehenden Bestimmungen darf nur in den Fällen gemäß Abs. 8 und § 40a abgewichen werden. Von den Kriterien des amtlichen Lichtbildausweises können einzelne Kriterien entfallen, wenn auf Grund des technischen Fortschritts andere gleichwertige Kriterien eingeführt werden, wie beispielsweise biometrische Daten, die den entfallenen Kriterien in ihrer Legitimationswirkung zumindest gleichwertig sind. Das Kriterium der Ausstellung durch eine staatliche Behörde muss jedoch immer gegeben sein."

Diese Bestimmung ist wortident mit dem zum Entscheidungszeitpunkt in Geltung stehenden § 40 Abs. 1 BWG idF BGBl. I 184/2013.

§ 40 Abs. 1 Z 1 BWG legt die Pflicht dar, den Kunden vor Begründung der Geschäftsbeziehung zu identifizieren, seine Identität festzustellen und zu überprüfen.

§ 40 Abs. 1 Z 2 BWG betrifft Einzeltransaktionen außerhalb des Rahmens einer dauernden Geschäftsbeziehung in Höhe von € 15.000, die in einem einzelnen Vorgang oder aus mehreren Vorgängen mit einem offensichtlichen Zusammenhang bestehen. Diese Identifizierungspflicht (vgl. dazu bereits das Rundschreiben zur Feststellung und Überprüfung der Identität vom 03.07.2008, Rz 133 ff.) besteht grundsätzlich vor Durchführung der Transaktion, es kommt nicht auf den Vertragsabschlusszeitpunkt an, sondern auf jenen der Leistungserbringung durch das Kreditinsitut (Blume in Dellinger, Bankwesengesetz Kommentar, Band 3, § 40 Rz 67, 70).

§ 40 Abs. 1 Z 3 BWG verlangt die Identifizierung des Kunden bei Vorliegen eines Verdachtes oder eines berechtigten Grundes zur Annahme der Beteiligung an einer terroristischen Vereinigung oder der objektiven Teilnahme an Transaktionen, die der Geldwäscherei oder der Terrorismusfinanzierung, durch den Kunden selbst. Hierbei spielt die Transaktionshöhe keine Rollen, vielmehr hat die Identifizierung unabhängig davon zu erfolgen (Blume in Dellinger, Bankwesengesetz Kommentar, Band 3, § 40 Rz 26). Die FMA geht in ihrem Rundschreiben zur Feststellung und Überprüfung vom 03.07.2008 davon aus, dass die objektive Mitwirkung des Kunden nicht verlangt, dass er wissen musste bzw. es nicht einmal ernstlich für möglich halten musste, dass die Transaktion einem der beiden kriminalisierten Zwecke diente (Beilage ./7 zum Protokoll zur mündlichen Verhandlung, Rz 138; gleiches dazu auch siehe Blume in Dellinger, Bankwesengesetz Kommentar, Band 3, § 40 Rz 29). Verdacht kann entstehen durch das Verhalten des Kunden, die Art der Transaktion, die Herkunft des Kunden, die Herkunft der Gelder, die zugrundeliegende Geschäftskonstruktion oder durch die Kombination dieser Punkte (Blume in Dellinger, Bankwesengesetz Kommentar, Band 3, § 40 Rz 30). Wurde ein Kunde bereits zuvor aufgrund der Ziffern 1 oder 2 identifiziert, so ist die Identität gemäß Z 5 leg.cit. bei begründetem Verdacht oder hinreichendem Grund zur Annahme erneut zu identifizieren (Blume in Dellinger, Bankwesengesetz Kommentar, Band 3, § 40 Rz 35).

§ 40 Abs. 1 Z 4 BWG legt das Augenmerk auf Ein- und Auszahlungen auf bzw. von Spareinlagen. Die Pflicht entsteht hier bei der Transaktion, diese darf nicht durchgeführt werden, solange nicht identifiziert wurde (Blume in Dellinger, Bankwesengesetz Kommentar, Band 3, § 40 Rz 37). Die Pflicht bezieht sich auf den Inhaber des Sparkontos und auf die vertretungsbefugten Personen, die eine Transaktion berechtigterweise durchführen. Hier gilt dies wieder für Transaktionen ab € 15.000,-- (Beilage ./6 zum Protokoll der mündlichen Verhandlung, Rz 144).

Schließlich hält § 40 Abs. 1 Z 5 BWG fest, dass die Identifizierungspflicht auch dann besteht, wenn Zweifel an der Echtheit oder Angemessenheit der erhaltenen Kundenidentifikationsdaten bestehen. Hier ist eine neuerliche Identifizierung durchzuführen. Wird die Echtheit der Daten bezweifelt, dann sind weitere Dokumente, Daten oder andere Informationen von glaubwürdigen und unabhängigen Stellen heranzuziehen. Wird dennoch keine Identifizierung im notwendigen Maß möglich, so hat das Kreditinstitut gemäß § 40 Abs. 2d BWG vorzugehen und die bestehende Geschäftsbeziehung zu beenden (Blume in Dellinger, Bankwesengesetz Kommentar, Band 3, § 40 Rz 40). Dies gilt für bereits bestehende Geschäftsbeziehungen und ist als Dauerdelikt zu werten, ist doch dieser Vorschrift erst dann genüge getan, wenn die Identifizierung tatsächlich erneut durchgeführt wurde. Hier wird nicht nur die Nichtdurchführung, sondern auch die Aufrechterhaltung des Zustandes der mangelnden Identifizierung bei Zweifeln an Echtheit oder Angemessenheit der vorliegenden Dokumente verpönt.

Bereits aufgrund des Gesetzestextes ist davon auszugehen, dass das Kreditinstitut die Identität eines jeden Kunden in den in den Z 1 bis 5 dargelegten Fällen festzustellen hat und diese anhand von tauglichen, amtlichen Dokumenten zu überprüfen ist.

Diese Einschätzung findet sich zudem auch im Schrifttum, so etwa Blume in Dellinger, Bankwesengesetz Kommentar, Band 3, § 40 Rz 8 ff. Dies ergibt sich auch aus dem seit 03.07.2008 in Geltung befindlichen Rundschreiben der FMA zur Feststellung und Überprüfung der Identität (Beilage ./7 zum Protokoll der mündlichen Verhandlung vom 19.09.2008), in dem auch Schritt für Schritt die Vorgehensweise zur Feststellung und Überprüfung dargestellt wurde. So sind etwa zu einer juristischen Person "die Firma/Bezeichnung, Rechtsform, Registrierungsland, Registrierungsbehörde- und soweit vorhanden - Registrierungsnummer, Sitz, Unternehmensgegenstand, Vor- und Nachname(n) und Geburtsdatum der geschäftsführenden Organe und der sonstigen gegenüber dem beaufsichtigten Unternehmen vertretungsbefugten Personen" notwendige Angaben (Beilage ./7 zum Protokoll der mündlichen Verhandlung vom 19.09.2008, Seite 4). Als beweiskräftige Urkunden zur Überprüfung der Identität von juristischen Personen sieht das Rundschreiben vor allem "den österreichischen Auszügen vergleichbare Auszüge" an, wobei hier auf das Firmenbuch und das Zentrale Vereinsregister Bezug genommen wird. Für den Fall, dass diese Registerauszüge weniger aussagekräftig oder im Recht des Sitzstaates nicht vorgesehen sind, muss die Identität zusätzlich anhand sonstiger Dokumente, Daten oder Informationen, die aus einer glaubwürdigen und unabhängigen Quelle stammen, überprüft werden. Als aus einer glaubwürdigen und unabhängigen Quelle stammend sieht das Rundschreiben etwa Konzessionen staatlicher Behörden, die Bestätigung einer Handelskammermitgliedschaft, eine Bankauskunft, eine Steuerregistrierungsbestätigung und ein Hauptversammlungsprotokoll (Beilage ./7 zum Protokoll der mündlichen Verhandlung vom 19.09.2014, Seite 8). Bereits die Erläuterungen zu RV 32 BlgNR XXII. GP halten fest, dass Dokumente beizuschaffen sind und mündliche Zusicherungen nicht ausreichen.

Aus all diesen Quellen ist abzuleiten, dass das Kreditinstitut verpflichtet ist, in diesen vom Gesetz angeführten Fällen den Kunden selbst, aber auch die mit seiner Vertretung befugten Personen zu identifizieren. Hinsichtlich der vertretungsbefugten Personen hat dies durch Vorlage eines amtlichen Lichtbildausweises und einer Bescheinigung ihrer Vertretungsbefugnis zu erfolgen. Die Vertretungsmacht kann dabei aus Rechtsgeschäft, Gesetz oder Satzung des Kunden abgeleitet werden (Blume in Dellinger, Bankwesengesetz Kommentar, Band 3, § 40 Rz 66), wobei die rechtsgeschäftliche Vertretungsbefugnis durch eine Vollmacht eingeräumt werden kann, diese Vollmacht ist dem Kreditinstitut offenzulegen (Blume in Dellinger, Bankwesengesetz Kommentar, Band 3, § 40 Rz 67, 70).

Zu Faktum I.19.:

Die Geschäftsbeziehung zur XXXX XXXX wurde bereits am 30.10.2006 begründet, Verfügungsberechtigter war seit diesem Zeitpunkt Herr XXXX Wie den Feststellungen zu entnehmen ist, lag bis zum 19.04.2012 keine Bescheinigung der Vertretungbefugnis des XXXX vor. Aus diesem Grund ist davon auszugehen, dass die haftungspflichtige Gesellschaft ihrer Verpflichtung, bereits bei Begründung die Vertretungsbefugnis anhand von geeigneten Bescheinigungen festzustellen und zu überprüfen, nicht nachgekommen ist. Weiter hätte die haftungspflichtige Gesellschaft Zweifel an der Angemessenheit der vorliegenden Dokumente im Sinne des § 40 Abs. 1 Z 5 BWG haben müssen und weitere Schritte zur Identifizierung setzen müssen. Erst mit Eintreffen der Vollmacht am 19.04.2012 war diese Vertretungsmacht erstmals ausreichend belegt.

Damit hat sie aber von 30.10.2006 bis 19.04.2012 ihre Verpflichtung nach § 40 Abs. 1 Z 5 BWG klar verletzt, die rechtliche Subsumtion des ermittelten Sachverhalts hatte infolge der vorliegenden Mängel an relevanten Dokumenten aber nicht nur unter § 40 Abs. 1 BWG, sondern spezifizierend unter § 40 Abs. 1 Z 5 BWG zu erfolgen (zur Frage der Änderung der rechtlichen Subsumtion eines als erwiesen angenommenen Sachverhalts bei Entscheidungen des Verwaltungsgerichtes in Verwaltungsstrafsachen gemäß § 50 VwGVG vgl. VwGH 31.07.2014, Ro 2014/02/0999).

Der Tatzeitraum betreffend den Beschwerdeführer im gegenständlichen Verfahren erstreckt sich von dem Zeitpunkt seines Eintritts in den Vorstand am 01.10.2007 bis zum 19.04.2012.

Zu Faktum I.10. und zu Faktum I.11:

Die Geschäftsbeziehung zum Kunden "XXXX wurde am 31.07.2009 begründet (Faktum I.10.), jene zum Kunden "XXXX am 20.07.2009 (Faktum I.11.). Sie sind als Neukunden am 01.01.2008 einzustufen, die Verpflichtungen zur Identifizierung trifft das Kreditinstitut somit bereits bei Begründung der Geschäftsbeziehung.

Wie in den Feststellungen und der Beweiswürdigung zu diesen beiden Fakten dargestellt lagen zu keiner Zeit ab den Kontoeröffnungen bis zur Schließung der Konten entsprechende vollständige Dokumente vor, die es erlaubt hätten, die Identität der beiden Kunden festzustellen und zu überprüfen, fehlte doch jeglicher Registerauszug und konnte auch aus der Zusammenschau der vorliegenden Dokumente die Identität der Kunden nicht festgestellt und überprüft werden. Zumindest Zweifel an der Angemessenheit, wenn nicht Zweifel an der Echtheit dieser vorliegenden Dokumente hätten aufgekommen müssen, schon allein, da bereits bei Kontoeröffnung die Compliance-Abteilung auf die Unangemessenheit der vorliegenden Dokumente hinwies, in weiterer Folge unterblieb aber jegliche Überprüfung.

Auch vermag der Hinweis des Beschwerdeführers, man habe die dahinterstehenden Personen ohnehin persönlich gekannt, nicht zu überzeugen, geht doch der klare Gesetzeswortlaut (siehe auch RV 32 BlgNR XXII. GP, letzter Satz zu § 40 Abs. 1 ) davon aus, dass hier die Identität anhand von beweiskräftigen Unterlagen zu überprüfen ist und nicht anhand von persönlichen Bekanntschaften. Es würde auch dem Zweck der Norm, zur Verhinderung von Geldwäsche und Terrorismusfinanzierung, entgegenstehen, würden diese Daten nur eventuell wechselnden Bankmitarbeitern bekannt sein und nicht in geeigneter Weise nachvollziehbar dokumentiert sein wie in den beiden vorliegenden Fällen.

Da bis 05.06.2012 keine ausreichenden Dokumente vorlagen, war das jeweilige Konto zu schließen. In beiden Fällen ist die haftungspflichtige Gesellschaft ihrer Verpflichtung gemäß § 40 Abs. 1 Z 5 BWG nicht nachgekommen (zur Frage der Änderung der rechtlichen Subsumtion eines als erwiesen angenommenen Sachverhalts bei Entscheidungen des Verwaltungsgerichtes in Verwaltungsstrafsachen gemäß § 50 VwGVG vgl. VwGH 31.07.2014, Ro 2014/02/0999).

Der Tatzeitum erstreckt sich von 31.07.2009 bis 05.06.2012 (Faktum I.10.) und von 20.07.2009 bis 05.06.2012 (Faktum I.11).

Der Vollständigkeit halber muss festgehalten werden, dass die belangte Behörde zu den Fakten I.10. und I.11. in der Aufzählung der verletzten Rechtsvorschriften diese irrigerweise in Verbindung mit § 40 Abs. 2e BWG (zur Verpflichtung der Anwendung von §§ 40 ff BWG auf Altkunden; das sind Kunden zum 01.01.2008) gebracht hat. Da es sich in beiden Fällen aber um Neukunden ab 01.01.2008 handelt, war dies in der rechtlichen Beurteilung des Bundesverwaltungsgerichts ebenso richtigzustellen (zur Frage der Änderung der rechtlichen Subsumtion eines als erwiesen angenommenen Sachverhalts bei Entscheidungen des Verwaltungsgerichtes in Verwaltungsstrafsachen gemäß § 50 VwGVG vgl. VwGH 31.07.2014, Ro 2014/02/0999).

3.2.1.1.1. In Verbindung mit § 40 Abs. 2e BWG mit dem Fakten I.9. und I.12.:

In der von der belangten Behörde angewendeten Fassung BGBl. I 108/2007 lautet § 40 Abs. 2e BWG wie folgt:

"(2e) Die Kredit- und Finanzinstitute haben die Sorgfaltspflichten gemäß §§ 40 ff zur Feststellung und Überprüfung der Kundenidentität nicht nur auf alle neuen Kunden, sondern zu geeigneter Zeit auch auf die bestehende Kundschaft auf risikoorientierter Grundlage anzuwenden."

§ 40 Abs. 2e BWG war zuvor durch BGBl. I 107/2008 eingeführt worden und setzte Art. 9 Abs. 6 der Richtlinie 2005/50/EG zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und Terrorismusfinanzierung, ABl. L 309, Seite 15) um. Nach den Materialien (RV 286 BlgNR. 23. GP, Seite 6) ist die Verpflichtung zur Anwendung auf bestehende Kunden "zu geeigneter Zeit" derart zu verstehen, "dass die Kredit- und Finanzinstitute die geforderten Maßnahmen zu setzen haben, sobald es der eigene Geschäftsgang ohne einen unzumutbaren Aufwand für den Kunden zulässt". Diese Fassung trat am 1.1.2008 in Kraft und steht nach wie vor unverändert in Kraft.

Daraus lässt sich ableiten, dass die Identifizierungspflichten des § 40 Abs. 1 BWG nicht nur auf Neukunden ab 01.01.2008, sondern auch auf die zum 01.01.2008 bereits bestehenden Kunden anzuwenden sind. Die Kreditinstitute konnten zu geeigneter Zeit, bei bestehenden Kunden diese Neuidentifizierung bzw. die Informationserhebung starten, was insbesondere die neu eingeführten Verpflichtungen hinsichtlich des wirtschaftlichen Eigentümers und der Art der Geschäftsbeziehung betrifft (Blume in Dellinger, Bankwesengesetz Kommentar, Band 3, § 40 Rz 121).

Zu Faktum I.9. und zu Faktum I.12.:

Die Geschäftsbeziehung zur XXXX bestand von 12.07.2007 bis zum 05.06.2012 (Faktum I.9.) und jene zur XXXX vom 25.04.2006 bis zum 05.06.2012. Sie sind also dem Kundenbestand zum 01.01.2008 zuzurechnen, die Identifizierungspflichten sind zu geeigneter Zeit auch auf sie anzuwenden.

Wie in den Feststellungen und der Beweiswürdigung zu diesen beiden Fakten dargestellt, lagen zu keiner Zeit ab den Kontoeröffnungen bis zur Schließung der Konten entsprechende Dokumente vor, die es erlaubt hätten, die Identität der beiden Kunden festzustellen und zu überprüfen, fehlte doch jeglicher Registerauszug und konnte auch aus der Zusammenschau der vorliegenden Dokumente die Identität der Kunden nicht festgestellt und überprüft werden. Zumindest Zweifel an der Angemessenheit dieser vorliegenden Dokumente hätten aufgekommen müssen, schon allein, da bereits bei Kontoeröffnung die Compliance-Abteilung auf die Unangemessenheit der vorliegenden Dokumente hinwies, in weiterer Folge unterblieb aber jegliche Überprüfung.

Da die haftungspflichtige Gesellschaft trotz gebotener Zweifel an der Angemessenheit der vorliegenden Dokumente in keinem der beiden vorliegenden Fällen ihren Identifizierungspflichten gemäß § 40 Abs. 1 Z 5 BWG nachgekommen ist, ist sie in diesen beiden Fällen aber ihrer Verpflichtung nach § 40 Abs. 1 Z 5 BWG zur Feststellung und Überprüfung der Identität bei Zweifeln an Echtheit oder Angemessenheit der vorliegenden Dokumente durch Nachholung in geeigneter Zeit ab Inkrafttreten von § 40 Abs. 2e BWG mit 01.01.2008 bis zur Schließung der beiden Geschäftsbeziehungen nachgekommen. Auch hier war die Subsumierung des festgestellten Sachverhalts zu spezifizieren, lag doch evidenterweise bis zum Ende der Geschäftsbeziehung keine entsprechende Identifizierung trotz der Angebrachtheit von Zweifeln vor (zur Frage der Änderung der rechtlichen Subsumtion eines als erwiesen angenommenen Sachverhalts bei Entscheidungen des Verwaltungsgerichtes in Verwaltungsstrafsachen gemäß § 50 VwGVG vgl. VwGH 31.07.2014, Ro 2014/02/0999).

Der Tatzeitraum betreffend den Beschwerdeführer im gegenständlichen Verfahren erstreckt sich in beiden Fällen von dem Zeitpunkt seines Eintritts in den Vorstand am 01.10.2007 bis zum 05.06.2012.

3.2.1.2. Zu § 40 Abs. 2a BWG im Allgemeinen

§ 40 Abs. 2a BWG in der zum Tatzeitpunkt geltenden Fassung BGBl. I 108/2007 lautet:

"(2a) Kredit- und Finanzinstitute haben weiters

1. den Kunden aufzufordern die Identität des wirtschaftlichen Eigentümers des Kunden bekannt zu geben und dieser hat dieser Aufforderung zu entsprechen sowie haben sie risikobasierte und angemessene Maßnahmen zur Überprüfung von dessen Identität zu ergreifen, sodass sie davon überzeugt sind zu wissen, wer der wirtschaftliche Eigentümer ist; im Falle von juristischen Personen oder von Trusts schließt dies risikobasierte und angemessene Maßnahmen ein, um die Eigentums- und die Kontrollstruktur des Kunden zu verstehen,

2. risikobasierte und angemessene Maßnahmen zu ergreifen, um Informationen über Zweck und Art der angestrebten Geschäftsbeziehung einzuholen,

3. risikobasierte und angemessene Maßnahmen zu ergreifen, um eine kontinuierliche Überwachung der Geschäftsbeziehung, einschließlich einer Überprüfung der im Verlauf der Geschäftsbeziehung abgewickelten Transaktionen, durchzuführen, um sicherzustellen, dass diese mit den Kenntnissen der Institute über den Kunden, seine Geschäftstätigkeit und sein Risikoprofil, einschließlich erforderlichenfalls der Herkunft der Geld- oder Finanzmittel, kohärent sind, und Gewähr zu leisten, dass die jeweiligen Dokumente, Daten oder Informationen stets aktualisiert werden."

Diese Fassung entspricht auch der zum Entscheidungszeitpunkt des Verwaltungsgerichtes in Geltung befindlichen Fassung BGBl. I 184/2013.

§ 40 Abs. 2a BWG war davor mit BGBl. I 107/2007 an die damalige europarechtliche Rechtslage angepasst worden, wie sich aus den Materialien ergibt (RV 286 BlgNR. 23. GP, Seite 5):

"Umsetzung von Art. 8 Abs. 1 lit. b, c und d der Richtlinie.

Angesichts der großen Bedeutung des Aspekts der Prävention von Geldwäscherei und Terrorismusfinanzierung werden in Übereinstimmung mit den neuen internationalen Standards spezifischere und detailliertere Bestimmungen über die Feststellung der Identität der wirtschaftlichen Eigentümer und die Überprüfung von deren Identität eingeführt. Die Definition des "wirtschaftlichen Eigentümers" ist in § 2 Z 75 enthalten.

Risikobasierte Maßnahmen sind auf Grundlage einer Risikoanalyse gemäß § 40 Abs. 2b durchzuführen. Die Kredit- und Finanzinstitute sollten die Gelegenheit eines persönlichen Kontakts mit dem Kunden zur Aktualisierung ihrer Kenntnis über den Kunden, seine Geschäftstätigkeit und sein Risikoprofil zu nützen.

Die bisher in § 40 Abs. 2a alt enthaltenen Regeln über die Sorgfaltspflichten beim Schulsparen sind in § 40a Abs. 3 Z 2 neu enthalten."

Der Begriff des wirtschaftlichen Eigentümers ergibt sich aus § 2 Z 75 BWG, dieser lautet für den hier vorliegenden Fall von Gesellschaften wie folgt:

"75. Wirtschaftlicher Eigentümer im Sinne der §§ 40ff: die natürlichen Personen, in deren Eigentum oder unter deren Kontrolle der Kunde letztlich steht. Der Begriff des wirtschaftlichen Eigentümers umfasst insbesondere:

a) bei Gesellschaften:

aa) die natürlichen Personen, in deren Eigentum oder unter deren Kontrolle eine Rechtsperson über das direkte oder indirekte Halten oder Kontrollieren eines ausreichenden Anteils von Aktien oder Stimmrechten jener Rechtsperson, einschließlich über Beteiligungen in Form von Inhaberaktien, letztlich steht, bei der es sich nicht um eine auf einem geregelten Markt notierte Gesellschaft handelt, die dem Gemeinschaftsrecht entsprechenden Offenlegungsanforderungen oder gleichwertigen internationalen Standards unterliegt;

ein Anteil von 25 % plus einer Aktie gilt als ausreichend, damit dieses Kriterium erfüllt wird;

bb) die natürlichen Personen, die auf andere Weise die Kontrolle über die Geschäftsleitung einer Rechtsperson ausüben;

b) bei Rechtspersonen, wie beispielsweise Stiftungen, und bei Trusts, die Gelder verwalten oder verteilen:

aa) sofern die künftigen Begünstigten bereits bestimmt wurden, jene natürlichen Personen, die die Begünstigten von 25% oder mehr der Zuwendungen eines Trusts oder einer Rechtsperson sind;

bb) sofern die Einzelpersonen, die Begünstigte des Trusts oder der Rechtsperson sind, noch nicht bestimmt wurden, die Gruppe von Personen, in deren Interesse hauptsächlich der Trust oder die Rechtsperson wirksam ist oder errichtet wurde;

cc) die natürlichen Personen, die eine Kontrolle über 25% oder mehr des Vermögens eines Trusts oder einer Rechtsperson ausüben;"

3.2.1.2.1. Zu § 40 Abs. 2a Z 1 BWG und den Fakten I.16., I.17., I.18. und I.7.:

Zu § 40 Abs. 2a Z 1 BWG ist davon auszugehen, dass darin weitere Verpflichtungen des Kreditinstituts zu verstehen sind. Dieses hat den Kunden aufzufordern, seinen wirtschaftlichen Eigentümer bekannt zu geben, der Kunde hat dieser Aufforderung zu entsprechen. Es ist auch hier davon auszugehen, dass diese Feststellung und Überprüfung vor Begründung der Geschäftsbeziehungen zu erfolgen hat (Blume in Dellinger, Bankwesengesetz Kommentar, Band 3, § 40 Rz 83 ff.), egal ob sie von dauerhafter Natur sind oder Einzeltransaktionen betreffen, denn das Gesetz differenziert in § 40 Abs. 2a BWG nicht zwischen diesen beiden grundsätzlichen Möglichkeiten. Sehr wohl enthält § 40 Abs. 2a Z 1 BWG aber die Anforderung der Intensivierung aller Maßnahmen je höher die Risikoeinstufung des Kunden ist, hier spricht das Gesetz von der Ergreifung von risikobasierten und angemessenen Maßnahmen zur Überprüfung von dessen Identität (Blume in Dellinger, Bankwesengesetz Kommentar, Band 3, § 40 Rz 86).

Nach Durchführung dieser Maßnahmen muss das Kreditinstitut sich davon überzeugt haben, wer wirtschaftlicher Eigentümer seines Kunden ist (Blume in Dellinger, Bankwesengesetz Kommentar, Band 3, § 40 Rz 87). Auch das Rundschreiben der FMA vom 03.07.2008 geht darauf ein, wer wirtschaftlicher Eigentümer von Gesellschaften ist (Beilage ./7 zum Protokoll vom 19.09.2014, Seite 22 ff.) und legt den Umfang dieser Verpflichtung zur Identifizierung fest (ebenda, Seite 27). Es geht dabei davon aus, dass die Überzeugung erst dann gegeben ist, wenn im Hinblick auf das konkrete Risiko der Geldwäscherei und Terrorismusfinanzierung angemessene Schritte zur Überprüfung der Angaben zur Identität des wirtschaftlichen Eigentümers gesetzt wurde und dabei keine Anhaltspunkte zu Tage getreten sind, dass die Angaben der juristischen Person nicht stimmen (Beilage ./7 zum Protokoll vom 19.09.2014, Seite 28). Dabei wird aber davon ausgegangen, dass diese Informationen überhaupt eingeholt wurden und dem Kreditinstitut auch tatsächlich vorliegen.

Zu Faktum I.16., Faktum I.17. und Faktum I.18:

Zu keinem dieser drei Fakten konnte, wie oben den Feststellungen und der Beweiswürdigung zu diesen drei Akten zu entnehmen ist, festgestellt werden, wer tatsächlich wirtschaftlich Begünstigter hinter den drei Kunden XXXX"XXXX" und XXXX war. Es gab lediglich Mutmaßungen im Ermittlungsverfahren der belangten Behörde, wer dies sein könnte.

Damit kann aber keine Rede davon sein, dass dem Erfordernis der Überzeugung von der Identität eines wirtschaftlichen Begünstigten in diesen drei Fällen genüge getan wurde, denn diese würde das Vorliegen von Dokumenten zur Identität der wirtschaftlichen Eigentümer bedingen. Gerade solche Dokumente liegen aber nicht vor. Dem Gesetzestext ist auch nicht zu entnehmen, dass der Verpflichtung durch persönliche Bekanntheit eines der möglichen wirtschaftlichen Begünstigten genüge getan wird. Vielmehr spricht das Gesetz von einer klaren Verpflichtung, die Identität des wirtschaftlichen Eigentümers in Erfahrung zu bringen und sie zu überprüfen. Dies war weder zu Beginn der gegenständlichen Geschäftsbeziehungen der Fall, noch lagen diese Informationen zum Zeitpunkt der Schließung der jeweiligen Konten vor. Der Tatzeitraum beginnt deshalb, wie von der belangten Behörde zwar richtig festgestellt am 09.04.2009, irrigerweise gibt sie im Spruch und der rechtlichen Beurteilung aber jeweils den 01.01.2009 als Tatbeginn an. Das Bundesverwaltungsgericht geht in allen drei Fällen davon aus, dass der Tatzeitraum erst mit der Kontoeröffnung am 09.04.2009 beginnt. Der Schließungstag stellt zwar prinzipiell die Beendigung des jeweiligen Tatzeitraums dar. Im Fall des Beschwerdeführers zu W210 2000433-1 endete dieser aber, wie bereits von der belangten Behörde richtigerweise angeführt, mit seinem Ausscheiden aus dem Vorstand zum 31.12.2012.

Aus diesen Gründen wurde die Verpflichtung des § 40 Abs. 2a Z 1 BWG in allen drei Fällen verletzt.

Zu Faktum I.7. In Verbindung mit § 40 Abs. 2e BWG

Wie oben unter 3.2.1.1.1. zu § 40 Abs. 2e BWG ausgeführt, treffen die Identifizierungspflichten nach § 40 ff BWG nicht nur auf Neukunden ab 01.01.2008, sondern auch auf die zum 01.01.2008 bereits bestehenden Kunden zu. Die Kreditinstitute konnten zu geeigneter Zeit, bei bestehenden Kunden diese Neuidentifizierung bzw. die Informationserhebung starten, was insbesondere die neu eingeführten Verpflichtungen hinsichtlich des wirtschaftlichen Eigentümers und der Art der Geschäftsbeziehung betrifft (Blume in Dellinger, Bankwesengesetz Kommentar, Band 3, § 40 Rz 121). Nach den Materialien (RV 286 BlgNR. 23. GP, Seite 6) ist die Verpflichtung zur Anwendung auf bestehende Kunden "zu geeigneter Zeit" derart zu verstehen, "dass die Kredit- und Finanzinstitute die geforderten Maßnahmen zu setzen haben, sobald es der eigene Geschäftsgang ohne einen unzumutbaren Aufwand für den Kunden zulässt".

Wie aus den Feststellungen und der Beweiswürdigung zu diesem Faktum ersichtlich, ist lediglich Herr XXXX identifiziert worden, von den laut dem Vertrag weiteren zumindest zwei Begünstigten fehlen jegliche Daten, nicht einmal Name, Adresse oder dergleichen sind bekannt. Der haftungspflichtigen Gesellschaft war die entsprechende Bestimmung aber bekannt und es war auch zumindest bekannt, dass Herr XXXX zwei Kinder hatte. Dennoch verabsäumte es die haftungspflichtige Gesellschaft zu einem Zeitpunkt nach dem Inkrafttreten von § 40 Abs. 2e BWG ihrer Verpflichtung nach § 40 Abs. 2a Z 1 BWG nachzukommen und die weiteren wirtschaftlichen Begünstigten zu identifizieren.

Zum Tatzeitraum ist anzuführen, dass § 40 Abs. 2e BWG zwar mit 01.01.2008 in Kraft, da das Gesetz aber zur Durchführung zu geeigneter Zeit spricht, ist es durchaus zuzugestehen, dass hier ein volles Jahr zur Umsetzung und zur Aufnahme des Kontaktes mit dem Kunden angesetzt wird, womit dem Terminus "zu geeigneter Zeit" in § 40 Abs. 2e BWG wohl genüge getan ist.

Aus all diesen Gründen hat die haftungspflichtige Gesellschaft ihre Verpflichtung nach § 40 Abs. 2a Z 1 BWG in Verbindung mit § 40 Abs. 2e BWG, beide in der Fassung BGBl. I 108/2007, zwischen 01.01.2009 und zumindest 31.12.2012, dem Ausscheiden des Beschwerdeführers zu W210 2000433-1, verletzt.

3.2.1.2.2. Zu § 40 Abs. 2a Z 3 BWG und Faktum I.1.:

Der UVS Wien hielt in seiner Entscheidung vom 22.08.2013 zu 06/FM/46/15240/2012 zu § 40 Abs. 2a Z 3 BWG fest:

"Bei der kontinuierlichen Überwachung der Geschäftsbeziehung, wie sie vom Gesetzgeber den Banken in § 40 Abs. 2a Z 3 BWG als Rechtspflicht auferlegt wird, haben Banken insbesondere zu prüfen, ob die im Verlauf der Geschäftsbeziehung abgewickelten Transaktionen im Hinblick auf Art, Frequenz und Höhe dem aufgrund der vorliegenden Informationen über den Kunden, seine Geschäftstätigkeit und sein Risikoprofil, einschließlich erforderlichenfalls der Herkunft der Geld- oder Finanzmittel, vorhersehbarem Transaktionsverhalten entsprechen und vor diesem Hintergrund ‚plausibel' erscheinen. Die Bank soll - wie bereits die erstinstanzliche Behörde zutreffend dargelegt hat - dadurch in die Lage versetzt werden, Auffälligkeiten im Transaktionsverhalten zu identifizieren, damit diese analysiert und erforderlichenfalls die vom Gesetz vorgesehenen Maßnahmen (etwa Klärung der Herkunft der Mittel, Aktualisierung von Daten, Informationen und Dokumenten, Einstufung in eine höhere Risikokategorie, Verdachtsmeldung an die Geldwäschemeldestelle) gesetzt werden können."

Die Überwachung muss das Kreditinstitut also in die Lage versetzen, zu beurteilen, ob das Verhalten eines Kunden auch zum Zweck seiner Geschäftsbeziehung passt. Blume spricht hier von der Plausibilität (Blume in Dellinger, Bankwesengesetz Kommentar, Band 3, § 40 Rz 109). Das angewendete System muss es dem Kreditinstitut ermöglichen, Auffälligkeiten zu erkennen und diese zu analysieren. Das Kreditinstitut sollte auch in der Lage sein, daraus entsprechende Schlüsse zu ziehen und Maßnahmen zu setzen (Blume in Dellinger, Bankwesengesetz Kommentar, Band 3, § 40 Rz 109). In dem seit 23.12.2009 vorliegenden Rundschreiben zum risikoorientierten Ansatz (Beilage ./6 zum Protokoll vom 19.09.2014, Seite 19 f.) hält die belangte Behörde fest, dass die "Durchführung einer kontinuierlichen Überwachung der Geschäftsbeziehung, einschließlich einer Überprüfung der im Verlauf abgewickelten Transaktionen", wesentlich ist, "um sicherzustellen, dass diese mit den Kenntnissen des beaufsichtigten Unternehmens über den Kunden, seine Geschäftstätigkeit und sein Risikoprofil, einschließlich erforderlichenfalls der Herkunft der Geld- oder Finanzmittel kohärent sind, und Gewähr zu leisten, dass die jeweiligen Dokumente, Daten und Informationen stets aktualisiert werden." Das Rundschreiben hält auch fest, dass die Transaktionsüberwachung laufend zu erfolgen hat (Beilage ./6 zum Protokoll vom 19.09.2014, Seite 20). Aus diesem Rundschreiben sind auch eine Reihe von Maßnahmen ersichtlich, die geeignet sein können, um eine Geschäftsbeziehung zu überwachen (ebenda, Seite 20). Diese sind etwa die Aktualisierung der Informationen zur Identitätsfeststellung und Unterlagen zur Identitätsüberprüfung unter Berücksichtigung des Umstandes, ob es sich beim Kunden um eine natürliche oder juristische Person handelt; die Überprüfung und Aktualisierung der Angaben, ob auf eigene oder fremde Rechnung bzw. im fremden Auftrag gehandelt wird; die Überprüfung und Aktualisierung der Angaben zum wirtschaftlichen Eigentümer; die Überprüfung der Herkunft der Geld- oder Finanzmittel und Beschaffung zusätzlicher Daten; die Verfahren zur Bestimmung, ob eine politisch exponierte Person in die Geschäftsbeziehung, sei es z.B. als Kunde, Treugeber oder wirtschaftlicher Eigentümer eingebunden ist, diese Verfahren sind nicht nur am Beginn der Geschäftsbeziehung, sondern auch während der Geschäftsbeziehung anzuwenden; die Kontrolle, ob das typische Kundenverhalten Änderungen erfahren hat, wie z.B. Höhe der Transaktionen, Frequenz der Transaktionen, Absender und Empfänger der Transaktionen, Zeichnungsberechtigungen; die Berücksichtigung des Umstandes, dass eine Verdachtsmeldung erstattet oder zumindest erwogen wurde; die Berücksichtigung des Umstandes, ob bei Geldtransfers vollständige Auftraggeberdaten enthalten sind und die Einbeziehung von Informationen aus institutsexternen Quellen wie z. B. Terror- und Sanktionslisten, Verdachtslisten, Konzerninformationen, andere Informationsquellen mit Breitenwirkung.

Aus § 40 Abs. 2a Z 3 BWG lassen sich somit zwei Verpflichtungen ableiten: Einerseits hat das Kreditinstitut in regelmäßigen Abständen die Vollständigkeit und Aktualität der zur Erfüllung der (verstärkten) Sorgfaltspflichten zur Bekämpfung von Geldwäscherei und Terrorismusfinanzierung erforderlichen Dokumente, Daten und Informationen zu überprüfen.

Andererseits hat das Kreditinstitut zu prüfen, ob die im Verlauf der Geschäftsbeziehung abgewickelten Transaktionen im Hinblick auf risikobasiert festzulegende Prüfkriterien (etwa Art, Frequenz, Höhe bzw. Wert, Zweck sowie Auftraggeber- und Empfänger der Transaktion) mit dem vorhersehbaren Transaktionsverhalten übereinstimmen, das sich aus den vorliegenden Dokumenten, Daten und Informationen gewonnenen Kenntnisse des Kreditinstituts über den Kunden und den wirtschaftlichen Berechtigten ableiten lässt. Auffälligkeiten im Transaktionsverhalten sollen dadurch identifiziert, analysiert werden, um die vom Gesetz vorgesehenen Maßnahmen (etwa Aktualisierung von Daten, Informationen und Dokumenten, Einstufung in eine höhere Risikokategorie, Verdachtsmeldung und Beendigung der Geschäftsbeziehung) setzen zu können. Die Transaktionsprüfung hat laufend zu erfolgen, stellt aber nur einen Teilaspekt dar. Ein im Kreditinstitut installiertes System zur kontinuierlichen Überwachung der Geschäftsbeziehung muss diesen Anforderungen entsprechen.

Die beiden Tatbestände korrelieren auch, können doch nur vollständige Daten eine geeignete Überwachung ermöglichen.

Die Art der Überwachung ist abhängig von der eingesetzten Überwachungsmethode (manuell, automatisch oder eine Kombination aus beidem), die wiederum von der "Art, Komplexität des Kreditinstitutes und der Quantität der zu überwachenden Geschäftsbeziehungen" abhängig ist. Der Umfang der Überwachung ergibt sich aus der Risikoeinstufung des Kunden (Blume in Dellinger, Bankwesengesetz Kommentar, Band 3, § 40 Rz 107). Der Schluss ist aber zulässig, dass die verwendeten Systeme an Hand von bestimmten Indizien Kontobewegungen und Transaktionsmuster überprüfen können, Unregelmäßigkeiten darin erkennen sowie eine Relation zwischen Transaktionsmuster, dem Kunden, dem Zweck seiner Geschäftsbeziehung und seinem Risikoprofil herstellen können sollten. Unter Sanktion wird das Unterlassen des Ergreifens von Maßnahmen, also der Schaffung von Einrichtungen, die eine solche Überwachung überhaupt erst ermöglichen, gestellt.

Zu Faktum I.1.:

Bei der haftungspflichtigen Gesellschaft handelt es sich um ein kleineres Bankhaus, dessen Hauptaugenmerk auf Private Banking liegt. Wie sich aus den Feststellungen ergibt, setzt sich der Kundenstock zu einem überwiegenden Teil aus ausländischen Kunden zusammen.

Die von der haftungspflichtigen Gesellschaft geführten Listen berücksichtigen hauptsächlich Transaktionen, somit nur einen Teilaspekt der von § 40 Abs. 2a Z 3 BWG geforderten Maßnahmen. Es kam im Verfahren nicht zu Tage, dass aus diesen Informationen auch Rückschlüsse auf die Veränderung des Kundenverhaltens gezogen oder Auffälligkeiten im Kundenverhalten aufgedeckt werden konnten. Auch kam nicht zu Tage, dass das Listensystem in der Lage wäre, alleine Transaktionen untereinander in Relation zu setzen, benötigt doch schon die Transaktionsüberprüfung auf Mittelverwendung, Zahlungsherkunft, Zahlungsgrund, Kundendaten und allfällige Vertragsverhältnisse allein die Arbeitskraft von mehreren Mitarbeitern, selbst wenn man nur etwa 20 bis 25 Transaktionen pro Tag annimmt.

Zudem kam es nur zu einer stichprobenartigen Überprüfung der Listen. Jedoch kam auch im Verfahren vor dem Bundesverwaltungsgericht nicht zu Tage, wieviele Stichproben aus welchen Listen gezogen wurden. Das Listensystem ist auch nicht geeignet, anhand bestimmter Indizien Kontobewegungen und Transaktionsmuster zu überprüfen, Unregelmäßigkeiten darin zu erkennen, geschweige denn eine Relation zwischen Transaktionsmuster, dem Kunden, dem Zweck seiner Geschäftsbeziehung und seinem Risikoprofil herzustellen. Im vorliegenden Fall ist nicht einmal feststellbar, mit welcher Frequenz Stichproben stattfanden, wieviele Kunden oder Konten dabei überprüft wurden oder welchen Schwerpunkt die Stichproben hatten (etwa PEP, Transaktionen, dormant accounts, verstärkte Sorgfaltspflichten). Auch scheint nach dem oben Ausgeführten eine lediglich jährliche PEP-Abfrage oder eine stichprobenartige Überprüfung von Kundendaten mit Verdachts- und Sanktionslisten für eine kontinuierliche Überprüfung von Geschäftsbeziehungen, auch in einem kleinem Bankhaus, nicht geeignet im Sinne des § 40 Abs. 2a Z 3

BWG.

Aus all dem lässt sich ableiten, dass eine kontinuierliche Überwachung der Geschäftsbeziehungen und Transaktionen nicht gegeben war und damit keine Einrichtungen zur kontinuierlichen Überwachung der Geschäftsbeziehung und zur Überprüfung von Transaktionen in der haftungspflichtigen Gesellschaft vorlagen.

Erst die Einführung des gängigen Systems XXXX ermöglichte der haftungspflichtigen Gesellschaft eine kontinuierliche Überwachung ihrer Geschäftsbeziehungen und Transaktionen. Dieses System wurde mit 01.04.2013 in Betrieb genommen.

Angesichts der Tatsache, dass die angewendeten Listen keine Einrichtung zur kontinuierlichen Überwachung der Geschäftsbeziehungen und zur umfassenden Überprüfung von Transaktionen darstellen können, wurde seitens der haftungspflichtigen Gesellschaft ihre Verpflichtung nach § 40 Abs. 2a Z 3 BWG bis zur Inbetriebnahme des Systems XXXX verletzt.

Im Falle des Beschwerdeführers im vorliegenden Fall ist der Tatzeitraum von 01.01.2009 bis 31.12.2012, dem Datum seines Ausscheidens, anzusetzen.

3.2.1.3. Zu § 40b Abs. 1 BWG im Allgemeinen

§ 40b Abs. 1, 2 und 3 BWG in der Fassung BGBl. I 108/2007, lauteten:

"(1) Die Kredit- und Finanzinstitute haben in den Fällen, in denen ihrem Wesen nach ein erhöhtes Risiko der Geldwäscherei oder Terrorismusfinanzierung besteht, auf risikoorientierter Grundlage zusätzlich zu den Pflichten der § 40 Abs. 1, 2, 2a und 2e weitere angemessene Sorgfaltspflichten anzuwenden. Sie haben jedenfalls zusätzlich:

1. in den Fällen, in denen der Kunde oder die für ihn im Sinne des § 40 Abs. 1 vertretungsbefugte natürliche Person zur Feststellung der Identität nicht physisch anwesend ist und daher die persönliche Vorlage eines amtlichen Lichtbildausweises nicht möglich ist, spezifische und angemessene Maßnahmen zu ergreifen, um das erhöhte Risiko auszugleichen; sie haben - außer bei Verdacht oder bei berechtigtem Grund zu der Annahme gemäß § 40 Abs. 1 Z 3, da in diesen Fällen jedenfalls der Geschäftskontakt zu unterbleiben hat - dafür zu sorgen, dass zumindest: entweder

a) die rechtsgeschäftliche Erklärung des Kunden entweder an Hand einer qualifizierten elektronischen Signatur gemäß § 2 Z 3a Signaturgesetz, BGBl. I Nr. 190/1999, vorliegt; oder, wenn dies nicht der Fall ist, dass die rechtsgeschäftliche Erklärung des Kredit- oder Finanzinstitutes schriftlich mit eingeschriebener Postzustellung an diejenige Kundenadresse abgegeben wird, die als Wohnsitz oder Sitz des Kunden angegeben worden ist,

b) ihnen Name, Geburtsdatum und Adresse des Kunden, bei juristischen Personen die Firma und der Sitz bekannt sind; bei juristischen Personen muss der Sitz zugleich der Sitz der zentralen Verwaltung sein, worüber der Kunde eine schriftliche Erklärung abzugeben hat. Weiters muss eine Kopie des amtlichen Lichtbildausweises des Kunden oder seines gesetzlichen Vertreters oder bei juristischen Personen des vertretungsbefugten Organs dem Kredit- oder Finanzinstitut vor dem Zeitpunkt des Vertragsabschlusses vorliegen, sofern nicht das Rechtsgeschäft elektronisch an Hand einer qualifizierten elektronischen Signatur abgeschlossen wird und

c) wenn der Sitz oder Wohnsitz außerhalb des EWR liegt, eine schriftliche Bestätigung eines anderen Kreditinstitutes, mit dem der Kunde eine dauernde Geschäftsverbindung hat, vorliegt, dass der Kunde im Sinne des § 40 Abs. 1, 2 und 2a Z 1 und 2 bzw. Art. 8 Abs. 1 lit. a bis c der Richtlinie 2005/60/EG identifiziert wurde und dass die dauernde Geschäftsverbindung aufrecht ist. Hat das bestätigende Kreditinstitut seinen Sitz in einem Drittland, so muss dieses Drittland den Anforderungen der Art. 16 bis 18 der vorgenannten Richtlinie gleichwertige Anforderungen stellen. An Stelle einer Identifizierung und Bestätigung durch ein Kreditinstitut ist auch eine Identifizierung und schriftliche Bestätigung durch die österreichische Vertretungsbehörde im betreffenden Drittland oder einer anerkannten Beglaubigungsstelle zulässig

oder

d) die erste Zahlung im Rahmen der Transaktionen über ein Konto abgewickelt wird, das im Namen des Kunden bei einem Kreditinstitut im Sinne des § 40 Abs. 8 eröffnet wurde; diesfalls müssen ihnen jedoch jedenfalls Name, Geburtsdatum und Adresse des Kunden, bei juristischen Personen die Firma und der Sitz bekannt sein und ihnen Kopien von Dokumenten des Kunden vorliegen, aufgrund derer die Angaben des Kunden bzw. seiner vertretungsbefugten natürlichen Person glaubhaft nachvollzogen werden können. Anstelle dieser Kopien ist es ausreichend, wenn eine schriftliche Bestätigung des Kreditinstitutes vorliegt, über das die erste Zahlung abgewickelt werden soll, dass der Kunde im Sinne des § 40 Abs. 1, 2, 2a und 2e bzw. Art. 8 Abs. 1 lit. a bis c der Richtlinie 2005/60/EG identifiziert wurde;

2. in Bezug auf grenzüberschreitende Korrespondenzbankbeziehungen zu Korrespondenzbanken aus Drittländern

a) ausreichende Informationen über eine Korrespondenzbank zu sammeln, um die Art ihrer Geschäftstätigkeit in vollem Umfang zu verstehen und sich auf der Grundlage öffentlich verfügbarer Informationen von ihrem Ruf und der Qualität der Beaufsichtigung überzeugen zu können,

b) sich von den Kontrollen zur Bekämpfung der Geldwäscherei und der Terrorismusfinanzierung zu überzeugen, die die Korrespondenzbank vornimmt,

c) die Zustimmung der Führungsebene einzuholen, bevor sie neue Korrespondenzbankbeziehungen eingehen,

d) die jeweiligen Verantwortlichkeiten eines jeden Instituts zu dokumentieren,

e) sich im Falle von "Durchlaufkonten" ("payable through accounts") zu vergewissern, dass die Korrespondenzbank die Identität der Kunden überprüft hat, die direkten Zugang zu den Konten der Korrespondenzbank haben, und diese Kunden ferner einer kontinuierlichen Überwachung unterzogen hat und, dass die Korrespondenzbank in der Lage ist, auf Ersuchen des ersten Instituts entsprechende Daten in Bezug auf diese Sorgfaltspflichten gegenüber Kunden vorzulegen;

3. hinsichtlich Transaktionen oder Geschäftsbeziehungen zu politisch exponierten Personen von anderen Mitgliedstaaten oder von Drittländern,

a) über angemessene, risikobasierte Verfahren zu verfügen, anhand derer bestimmt werden kann, ob es sich bei dem Kunden um eine politisch exponierte Person handelt oder nicht,

b) die Zustimmung der Führungsebene einzuholen, bevor sie Geschäftsbeziehungen mit diesen Kunden aufnehmen,

c) angemessene Maßnahmen zu ergreifen, mit denen die Herkunft des Vermögens und die Herkunft der Gelder bestimmt werden kann, die im Rahmen der Geschäftsbeziehung oder der Transaktion eingesetzt werden, und

d) die Geschäftsbeziehung einer verstärkten kontinuierlichen Überwachung zu unterziehen."

Die Materialien zu BGBl. I 107/2007 (RV 286 BlgNR. 23. GP, Seite 6), mit dem § 40b Abs. 1 BWG in Umsetzung von Art. 13 Abs. 2 bis 4 der Richtlinie Richtlinie 2005/50/EG zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und Terrorismusfinanzierung, ABl. L 309, Seite 15) eingeführt wurde, halten dazu fest:

"Umsetzung von Art. 13 Abs. 2 bis 4 der Richtlinie.

Das Regime für die Identifizierung bei Ferngeschäften baut auf der Regelung von § 40 Abs. 8 alt auf. In der Praxis würde das in Österreich eingeführte "Ident. Brief-Verfahren" den neuen Anforderungen gemäß § 40b Abs. 1 Z 1 lit. a grundsätzlich entsprechen.

Hierdurch wird anerkannt, dass in bestimmten Situationen ein erhöhtes Risiko der Geldwäscherei oder der Terrorismusfinanzierung besteht. Wenngleich das Identitäts- und Geschäftsprofil sämtlicher Kunden festgestellt zu werden hat, gibt es Fälle, in denen eine besonders gründliche Feststellung und Überprüfung der Identität des Kunden erforderlich ist. Dies gilt besonders für Geschäftsbeziehungen zu Einzelpersonen, die wichtige öffentliche Positionen bekleiden oder bekleidet haben und insbesondere aus Ländern stammen, in denen Korruption weit verbreitet ist. Für den Finanzsektor können bei derartigen Geschäftsbeziehungen insbesondere große Gefahren für seinen Ruf und/oder rechtliche Risiken bestehen.

Die internationalen Anstrengungen auf dem Gebiet der Korruptionsbekämpfung rechtfertigen auch eine erhöhte Wachsamkeit bei derartigen Fällen sowie die vollständige Beachtung der normalen Sorgfaltspflichten bei der Feststellung der Kundenidentität inländischer politisch exponierter Personen bzw. der verstärkten Sorgfaltspflichten bei der Feststellung der Kundenidentität politisch exponierter Personen, die in einem anderen Mitgliedstaat oder einem Drittland ansässig sind. Gemäß Z 2 lit. b müssen die Kredit- und Finanzinstitute sich soweit möglich und zumutbar von der Funktionsfähigkeit der Kontrollen zur Bekämpfung der Geldwäscherei und der Terrorismusfinanzierung überzeugen.

Die Einholung der Zustimmung der Führungsebene zur Aufnahme von Geschäftsbeziehungen gemäß Z 3 lit. b beinhaltet nicht die Verpflichtung zur Einholung der Zustimmung der Geschäftsleitung, sondern der Zustimmung jener Ebene in der Hierarchie, der die Person, die um eine derartige Zustimmung ersucht, unmittelbar untersteht.

Die Kredit- und Finanzinstitute werden trotz Anwendung gebotener Sorgfaltsmaßstäbe möglicherweise übersehen, dass ein Kunde unter eine der Kategorien fällt, nach denen eine Person als politisch exponiert gilt, obwohl sie diesbezüglich hinreichende und angemessene Maßnahmen ergriffen haben. In solchen Fällen fehlt es an der Schuld der Kredit- und Finanzinstitute hinsichtlich der verwaltungsstrafrechtlichen Verantwortlichkeit."

In der von der belangten Behörde angewendeten Fassung BGBl. I 37/2010 lautet § 40b Abs. 1 BWG wie folgt:

"§ 40b. (1) Die Kredit- und Finanzinstitute haben in den Fällen, in denen ihrem Wesen nach ein erhöhtes Risiko der Geldwäscherei oder Terrorismusfinanzierung besteht, auf risikoorientierter Grundlage zusätzlich zu den Pflichten der § 40 Abs. 1, 2, 2a und 2e weitere angemessene Sorgfaltspflichten anzuwenden und die Geschäftsbeziehung einer verstärkten kontinuierlichen Überwachung zu unterziehen. Sie haben jedenfalls zusätzlich:

1. in den Fällen, in denen der Kunde oder die für ihn im Sinne des § 40 Abs. 1 vertretungsbefugte natürliche Person zur Feststellung der Identität nicht physisch anwesend ist und daher die persönliche Vorlage eines amtlichen Lichtbildausweises nicht möglich ist, spezifische und angemessene Maßnahmen zu ergreifen, um das erhöhte Risiko auszugleichen; sie haben - außer bei Verdacht oder bei berechtigtem Grund zu der Annahme gemäß § 40 Abs. 1 Z 3, da in diesen Fällen jedenfalls der Geschäftskontakt zu unterbleiben hat - dafür zu sorgen, dass zumindest: entweder

a) die rechtsgeschäftliche Erklärung des Kunden entweder an Hand einer qualifizierten elektronischen Signatur gemäß § 2 Z 3a Signaturgesetz, BGBl. I Nr. 190/1999, vorliegt; oder, wenn dies nicht der Fall ist, dass die rechtsgeschäftliche Erklärung des Kredit- oder Finanzinstitutes schriftlich mit eingeschriebener Postzustellung an diejenige Kundenadresse abgegeben wird, die als Wohnsitz oder Sitz des Kunden angegeben worden ist,

b) ihnen Name, Geburtsdatum und Adresse des Kunden, bei juristischen Personen die Firma und der Sitz bekannt sind; bei juristischen Personen muss der Sitz zugleich der Sitz der zentralen Verwaltung sein, worüber der Kunde eine schriftliche Erklärung abzugeben hat. Weiters muss eine Kopie des amtlichen Lichtbildausweises des Kunden oder seines gesetzlichen Vertreters oder bei juristischen Personen des vertretungsbefugten Organs dem Kredit- oder Finanzinstitut vor dem Zeitpunkt des Vertragsabschlusses vorliegen, sofern nicht das Rechtsgeschäft elektronisch an Hand einer qualifizierten elektronischen Signatur abgeschlossen wird und

c) wenn der Sitz oder Wohnsitz außerhalb des EWR liegt, eine schriftliche Bestätigung eines anderen Kreditinstitutes, mit dem der Kunde eine dauernde Geschäftsverbindung hat, vorliegt, dass der Kunde im Sinne des § 40 Abs. 1, 2 und 2a Z 1 und 2 bzw. Art. 8 Abs. 1 lit. a bis c der Richtlinie 2005/60/EG identifiziert wurde und dass die dauernde Geschäftsverbindung aufrecht ist. Hat das bestätigende Kreditinstitut seinen Sitz in einem Drittland, so muss dieses Drittland den Anforderungen der Art. 16 bis 18 der vorgenannten Richtlinie gleichwertige Anforderungen stellen. An Stelle einer Identifizierung und Bestätigung durch ein Kreditinstitut ist auch eine Identifizierung und schriftliche Bestätigung durch die österreichische Vertretungsbehörde im betreffenden Drittland oder einer anerkannten Beglaubigungsstelle zulässig

oder

d) die erste Zahlung im Rahmen der Transaktionen über ein Konto abgewickelt wird, das im Namen des Kunden bei einem Kreditinstitut im Sinne des § 40 Abs. 8 eröffnet wurde; diesfalls müssen ihnen jedoch jedenfalls Name, Geburtsdatum und Adresse des Kunden, bei juristischen Personen die Firma und der Sitz bekannt sein und ihnen Kopien von Dokumenten des Kunden vorliegen, aufgrund derer die Angaben des Kunden bzw. seiner vertretungsbefugten natürlichen Person glaubhaft nachvollzogen werden können. Anstelle dieser Kopien ist es ausreichend, wenn eine schriftliche Bestätigung des Kreditinstitutes vorliegt, über das die erste Zahlung abgewickelt werden soll, dass der Kunde im Sinne des § 40 Abs. 1, 2, 2a und 2e bzw. Art. 8 Abs. 1 lit. a bis c der Richtlinie 2005/60/EG identifiziert wurde;

2. in Bezug auf grenzüberschreitende Korrespondenzbankbeziehungen zu Korrespondenzbanken aus Drittländern, zu Korrespondenzbanken aus dem EWR jedoch vorbehaltlich einer Beurteilung als erhöhtes Risiko,

a) ausreichende Informationen über eine Korrespondenzbank zu sammeln, um die Art ihrer Geschäftstätigkeit in vollem Umfang zu verstehen und sich auf der Grundlage öffentlich verfügbarer Informationen von ihrem Ruf und der Qualität der Beaufsichtigung überzeugen zu können,

b) sich von den Kontrollen zur Bekämpfung der Geldwäscherei und der Terrorismusfinanzierung zu überzeugen, die die Korrespondenzbank vornimmt,

c) die Zustimmung der Führungsebene einzuholen, bevor sie neue Korrespondenzbankbeziehungen eingehen,

d) die jeweiligen Verantwortlichkeiten eines jeden Instituts zu dokumentieren,

e) sich im Falle von "Durchlaufkonten" ("payable through accounts") zu vergewissern, dass die Korrespondenzbank die Identität der Kunden überprüft hat, die direkten Zugang zu den Konten der Korrespondenzbank haben, und diese Kunden ferner einer kontinuierlichen Überwachung unterzogen hat und, dass die Korrespondenzbank in der Lage ist, auf Ersuchen des ersten Instituts entsprechende Daten in Bezug auf diese Sorgfaltspflichten gegenüber Kunden vorzulegen;

3. hinsichtlich Transaktionen oder Geschäftsbeziehungen mit Bezug zu politisch exponierten Personen von anderen Mitgliedstaaten oder von Drittländern, wobei diesen Personen solche gleichzuhalten sind, die erst im Laufe der Geschäftsbeziehung politisch exponierte Personen werden,

a) über angemessene, risikobasierte Verfahren zu verfügen, anhand derer bestimmt werden kann, ob es sich bei dem Kunden um eine politisch exponierte Person handelt oder nicht,

b) die Zustimmung der Führungsebene einzuholen, bevor sie Geschäftsbeziehungen mit diesen Kunden aufnehmen,

c) angemessene Maßnahmen zu ergreifen, mit denen die Herkunft des Vermögens und die Herkunft der Gelder bestimmt werden kann, die im Rahmen der Geschäftsbeziehung oder der Transaktion eingesetzt werden, und

d) die Geschäftsbeziehung einer verstärkten kontinuierlichen Überwachung zu unterziehen.

Die FMA kann darüber hinaus mit Zustimmung des Bundesministers für Finanzen durch Verordnung für weitere Fälle, bei denen ihrem Wesen nach ein erhöhtes Risiko der Geldwäscherei oder Terrorismusfinanzierung besteht, insbesondere im Zusammenhang mit Staaten, in denen laut glaubwürdiger Quelle ein erhöhtes Risiko der Geldwäscherei und der Terrorismusfinanzierung besteht, den Kredit- und Finanzinstituten die Verpflichtung auferlegen, zusätzlich zu den Pflichten des § 40 Abs. 1, 2, 2a und 2e weitere angemessene Sorgfaltspflichten anzuwenden und die Geschäftsbeziehung einer verstärkten kontinuierlichen Überwachung zu unterziehen."

Zu dieser Novelle BGBl. I 37/2010 halten die Materialien (RV 661 BlgNR 24.GP, Seite 4) fest:

"In Abs. 1 erfolgt die Umsetzung der Anmerkung zur FATF-Empfehlung Nr. 5 und Nr. 8. Die Neuregelung ermöglicht der FMA durch Verordnung weitere Hoch-Risiko Fälle vorzusehen, bei denen verstärkte Sorgfaltspflichten anzuwenden sind. Außerdem wird durch Verordnung der FMA auch eine Anordnung besonderer Sorgfalt in Bezug auf Hochrisiko-Staaten entsprechend der Anmerkung zur FATF-Empfehlung Nr. 21 ermöglicht. Als glaubwürdige Quellen gilt insbesondere die FATF, die solche Informationen veröffentlicht und weithin zugänglich macht. Weiters wird eine Verpflichtung der Kredit- und Finanzinstitute eingeführt, die Geschäftsbeziehung einer kontinuierlichen Überwachung zu unterwerfen. Damit ist aber auch bestimmt, dass der Weiterbestand der Richtigkeit der Feststellungen einer kontinuierlichen Überwachung unterworfen ist. So ist etwa der Weiterbestand der Geschäftsbeziehung auf eigene Rechnung - und dass nicht etwa zwischenzeitig eine Treuhandbeziehung vorliegt - auf risikobasierter Grundlage zu prüfen. Beim Fernabsatz ist freilich eine verstärkte kontinuierliche Überwachung - vorbehaltlich des risikobasierten Ansatzes - jedoch nicht erforderlich, wenn die Geschäftsbeziehung lediglich im Ferngeschäft angeknüpft, aber nicht fortgesetzt wird."

Die Fassung BGBl. I 37/2010 entspricht auch jener Fassung, die zum Zeitpunkt der Erlassung dieses Erkenntnisses in Kraft ist, das ist die Fassung von BGBl. I 184/2013.

Stuft das Kreditinstitut einen Kunden aufgrund seiner Risikoanalyse mit einem erhöhten Risiko der Geldwäscherei und der Terrorismusfinanzierung ein, so treffen das Kreditinstitut neben den Pflichten nach § 40 Abs. 1, 2, 2a und 2e BWG zusätzliche Sorgfaltspflichten und die Verpflichtung, die Geschäftsbeziehung einer kontinuierlichen Überwachung zu unterziehen. Die in § 40b Abs. 1 BWG genannten Fälle sind jedenfalls mit "hohem Risiko" einzustufen, dazu besteht eine gesetzliche Vermutung (Blume in Dellinger, Bankwesengesetz Kommentar, Band 3, § 40b Rz 1 und 2).

In ihrem Rundschreiben vom 23.12.2009 zum risikoorientierten Ansatz geht die belangte Behörde davon aus, dass Maßnahmen im Rahmen der verstärkten Sorgfaltspflicht etwa die folgenden sein können: höhere Wachsamkeit seitens des beaufsichtigten Unternehmens gegenüber Hochrisikokunden und Transaktionen, die über den Rahmen des Geschäftszweiges hinausgehen; höhere Standards bei den Verfahrensweisen für die Feststellung der Kundenidentität ("know your customer", KYC) und/oder verstärkte Sorgfaltspflichten; Erhebung zusätzlicher Angaben zur Identität; höhere Standards bei der Überprüfung der Herkunft der Geld- oder Finanzmittel und deren Dokumentation; Einholung der Zustimmung von nächsthöheren Führungsebenen, damit Kontoeröffnung und neue Geschäftsbeziehungen genehmigt werden; stärkere, laufende und institutionalisierte Überwachung von Transaktionen; vermehrte, laufende Kontrollen und häufigere, institutionalisierte Überprüfungen bzw. Beobachtung der Geschäftsbeziehungen und verstärkte und intensivierte Schulung der Mitarbeiter (Beilage ./6 zum Protokoll der mündlichen Verhandlung vom 19.09.2014, Rz 57). Auch das Nachfolgerundschreiben vom 01.12.2011 hält an dieser Aufzählung fest.

Neben den verstärkten Sorgfaltspflichten hat das Kreditinstitut auch eine verstärkte kontinuierliche Überwachung der Geschäftsbeziehung zu unternehmen.

3.2.1.3.1. Zu § 40b Abs. 1 Z 1 BWG und Faktum I.3.:

Kumulativ sind nach § 40b Abs. 1 BWG die folgenden Punkte zu erfüllen (Blume in Dellinger, Bankwesengesetz Kommentar, Band 3, § 40b Rz 7). Gemäß lit. a leg.cit. muss entweder die rechtsgeschäftliche Erklärung des Kunden anhand einer qualifizierten elektronischen Signatur im Sinne von § 2 Z 3a Signaturgesetz, BGBl. I 90/1999, vorliegen oder die rechtsgeschäftliche Erklärung muss vom Kreditinstitut schriftlich mit eingeschriebener Postzustellung an diejenige Kundenadresse abgegeben werden, die als Wohnsitz oder Sitz des Kunden angegeben worden ist. Lit. b leg.cit. verlangt, dass Name, Geburtsdatum und Adresse des Kunden bekannt sind, bei juristischen Personen haben Sitz und Firma bekannt zu sein. Nach dem Gesetzeswortlaut hat der Sitz auch Sitz der zentralen Verwaltung zu sein, der Kunde hat sich darüber schriftlich zu erklären. Zudem hat eine Kopie des amtlichen Lichtbildausweises des Kunden oder seines gesetzlichen Vertreters oder seines vertretungsbefugten Organs vor dem Zeitpunkt des Vertragsabschlusses vorzuliegen, sofern das Geschäft nicht mittels qualifizierter elektronischer Signatur abgeschlossen wird. § 40b Abs. 1 lit. c BWG verlangt für den Fall, dass der Sitz oder Wohnsitz des Kunden außerhalb des EWR liegt, eine Bestätigung eines anderen Kreditinstitutes, mit dem der Kunde eine dauernde Geschäftsbeziehung hat, wonach der Kunde den gesetzlichen Bestimmungen nach - verwiesen wird hier auf § 40 Abs. 1, 2, 2a Z 1 und 2 BWG sowie auf Art. 8 Abs. 1 lit. a bis c der Richtlinie 2005/60/EG - identifiziert wurde und die Geschäftsbeziehung andauert. Hat das andere Kreditinstitut seinen Sitz in einem Drittland, so müssen dort gleichwertige Anforderungen an die Identifizierung herrschen. Als Alternative ist nach lit. c auch noch eine Identifizierung und schriftliche Bestätigung durch die österreichische Vertretungsbehörde im Drittland oder einer anderen Beglaubigungsstelle zulässig.

§ 40b Abs. 1 lit. d BWG legt alternativ dazu die Möglichkeit offen, im Rahmen der Transaktionen über ein Konto, das im Namen des Kunden bei einem Kreditinstitut im Sinne des § 40 Abs. 8 BWG eröffnet wurde, die erste Transaktion abzuwickeln. Jedenfalls haben dem Kreditinstitut aber Namen, Geburtsdatum und Adresse des Kunden, bei juristischen Personen Sitz und Firma bekannt zu sein sowie Kopien jener Dokumente vorzuliegen, anhand derer die Angaben des Kunden oder seiner vertretungsbefugten natürlichen Personen glaubhaft nachvollzogen werden können. Diese Vorgehensweise substituiert eine Vorgehensweise nach § 40 Abs. 1 BWG (Blume in Dellinger, Bankwesengesetz Kommentar, Band 3, § 40b Rz 9).

Die Verpflichtungen in § 40b Abs. 1 Z 1 lit. a bis d BWG betreffen somit die Feststellung der Identität von Kunden im Ferngeschäft, die mangelnde physische Anwesenheit soll durch ausgleichende Maßnahmen wettgemacht werden (Blume in Dellinger, Bankwesengesetz Kommentar, Band 3, § 40b Rz 6 f.). Dies entspricht einer Anpassung der in den §§ 40 Abs. 1, 2, 2a Z 1 und 2 BWG auferlegten Identifizierungs-, Ermittlungs- und Offenlegungspflichten an die Situation eines erhöhten Risikos der Geldwäscherei und Terrorismusfinanzierung. Je nach Einstufung in eine Risikostufe sind Maßnahmen zu setzen.

Das Gesetz selbst geht dabei davon aus, dass bei Fernabsatzgeschäften immer ein erhöhtes Risiko der Geldwäscherei und Terrorismusfinanzierung vorliegt.

Zu Faktum I.3.:

Die haftungspflichtige Gesellschaft hielt, wie oben in den Feststellungen und der Beweiswürdigung angeführt, in ihrer Arbeitsanweisung Money Laundering Policy, Module I, Know-Your-Customer (Beilage ./B, Beilagenordner I zu den FMA-Akten) fest, dass ein laufendes Kundenmonitoring stattzufinden hat, dazu wurde eine Risikoeinstufung etabliert, mit dem zwingende Überprüfungen in bestimmten Intervallen einhergingen. Kunden mit niedrigem Risiko und mit mittlerem oder leicht erhöhtem Risiko wurden alle drei Jahre überprüft, Kunden mit erhöhtem Risiko alle zwei Jahre und Kunden mit höherem Risiko jedes Jahr. Wie sich aus den Feststellungen zu Faktum I.3. ergibt, waren zum 31.07.2011 lediglich 2 der 49 Kunden, deren Geschäftsbeziehung im Fernabsatz begründet wurde, mit "higher risk" eingestuft und unterlagen demnach dem einjährigen Prüfungsintervall, 28 Kunden unterlagen nur dem dreijährigen Intervall und 17 dem zweijährigen Intervall. Damit unterlagen knapp 96% dieser Kunden keiner jährlichen Überprüfung.

Die belangte Behörde führt im angefochtenen Straferkenntnis zur Frage der kontinuierlichen Überwachung wie folgt aus:

"Als solche Maßnahme der kontinuierlichen (verstärkten) Überwachung der Geschäftsbeziehung kommt nach Ansicht der FMA insb. angesichts des primären Geschäftsfeldes der V. und des Kundenstammes der V. letztlich nur eine kontinuierliche Überwachung der Kunden aufgrund eines auf die Bedürfnisse der V. zugeschnittenen und kalibrierten Indizienmodells in Frage, das nach Zuordnung der Kunden zu Kundengruppen auf Basis bestimmter, definierter Indizien (zB statischer transaktionsbedingter Indizien, wie etwa Anzahl Haben- oder Sollumsätze, hoher einzelner Haben- oder Sollumsatz; dynamischer transaktionsbedingter Indizien wie etwa zunehmende/abnehmende Anzahl der Habentransaktionen im Vergleich zum Durchschnitt der vergangenen zwölf Monate; kundenbezogener Indizien wie etwa Beruf, Alter, Wohnsitz, Nationalität etc des Kunden; unbedingter Indizien, die sofort einen Alarm auslösen, zB Bartransaktionen über einem bestimmten Wert; sowie etwa Indizien, die in Verbindung mit bestimmten Ländern stehen) kontinuierlich die im Rahmen der Geschäftsbeziehungen getätigten Transaktionen überprüft.

Wie bereits zu Faktum I.1. ausgeführt, gab es bis zum 01.04.2013 - Zeitpunkt der Installierung von XXXX - kein geeignetes System zu Überwachung der Geschäftsbeziehungen an sich. In Anbetracht der erhöhten Sorgfaltspflichten und der Verpflichtung zur verstärkten Überwachung von Geschäftsbeziehungen mit Kunden mit erhöhtem Risiko muss aber davon ausgegangen werden, dass angesichts der Tatsache, dass schon das Basissystem zur Überwachung nicht ausreichend war, die Risikoeinstufung von Kunden im Fernabsatzgeschäft entgegen dem Gesetzeswortlaut zu 96 % falsch erfolgte, kein adäquates System zur kontinuierlichen und verstärkten Überwachung von Kunden im Fernabsatzgeschäft im Sinne des § 40b Abs. 1 Z 1 BWG vorlag und die haftungspflichtige Gesellschaft ihrer diesbezüglichen Verletzung nicht nachgekommen ist.

Die Verpflichtung bestand seit 01.01.2008 mit Inkraftreten der Novelle BGBl. I 107/2007 und BGBl. I 208/2007, wie bereits oben ausgeführt, ist es dem Kreditinstitut zumutbar, diese Verpflichtungen binnen einem Jahr umzusetzen, so dass spätestens ab 01.01.2009 die entsprechenden Maßnahmen hätten gesetzt werden können und ein adäquates Überwachungssystem hätte installiert sein müssen.

Der Tatzeitraum endet mit Ausscheiden des Beschwerdeführers zu W210 200433-1 am 31.12.2012.

3.2.1.3.2. Zu § 40b Abs. 1 Z 2 BWG und Faktum I.6.:

Gemäß § 40b Abs. 1 Z 2 BWG unterliegen auch grenzüberschreitende Korrespondenzbankbeziehungen einem erhöhten Risiko der Geldwäscherei und Terrorismusfinanzierung. Eine Korrespondenzbankbeziehung zwischen einer in- und einer ausländischen Bank dient der leichteren Abwicklung von Transaktionen für Kunden und für das Kreditinstitut selbst (Blume in Dellinger, Bankwesengesetz Kommentar, Band 3, § 40b Rz 10). Die verstärkten Sorgfaltspflichten gelten für Kreditinstitut in Drittländern, für jene aus dem EWR nur dann, wenn die Risikoanalyse ein erhöhtes Risiko hervorgebracht hat. In jedem Fall sind zusätzlich zu § 40 Abs. 1, 2, 2a und 2e BWG Maßnahmen zu setzen (Blume in Dellinger, Bankwesengesetz Kommentar, Band 3, § 40b Rz 11).

Das Kreditinstitut hat jedenfalls nach § 40b Abs. 1 Z 2 lit. a BWG ausreichende Informationen über eine Korrespondenzbank zu sammeln, um die Art ihrer Geschäftstätigkeit in vollem Umfang zu verstehen und sich auf der Grundlage öffentlich verfügbarer Informationen von ihrem Ruf und der Qualität der Beaufsichtigung überzeugen zu können. Gemäß lit. b leg.cit. hat es sich von den Kontrollen zur Bekämpfung der Geldwäscherei und der Terrorismusfinanzierung zu überzeugen, die die Korrespondenzbank vornimmt. Nach lit. c leg.cit. ist die Zustimmung der Führungsebene einzuholen, bevor sie neue Korrespondenzbankbeziehungen eingehen. § 40b Abs. 1 Z 2 lit. d BWG hält fest, dass die jeweiligen Verantwortlichkeiten eines jeden Instituts zu dokumentieren sind. Schließlich hat sich das Kreditinstitut gemäß lit. e leg.cit. im Falle von "Durchlaufkonten" ("payable through accounts") zu vergewissern, dass die Korrespondenzbank die Identität der Kunden überprüft hat, die direkten Zugang zu den Konten der Korrespondenzbank haben, und diese Kunden ferner einer kontinuierlichen Überwachung unterzogen hat und dass die Korrespondenzbank in der Lage ist, auf Ersuchen des ersten Instituts entsprechende Daten in Bezug auf diese Sorgfaltspflichten gegenüber Kunden vorzulegen.

Das Gesetz trifft hier klare Anweisungen, die kumulativ zu erfüllen sind. Es gibt keinen Hinweis, in den Materialien und im Gesetzeswortlaut selbst, der hier Raum für Interpretation ließe. Weiters gilt auch für Korrespondenzbankbeziehungen das Erfordernis einer verstärkten Überwachung der Geschäftsbeziehung, womit auch die kontinuierliche Überwachung der im Rahmen dieser Korrespondenzbankbeziehungen getätigten Transaktionen fällt.

Zu Faktum I.6.:

Wie bereits zu Faktum I.1. ausgeführt, gab es bis zum 01.04.2013 - Zeitpunkt der Installierung von XXXX - kein geeignetes System zu Überwachung der Geschäftsbeziehungen an sich. In Anbetracht der erhöhten Sorgfaltspflichten und der Verpflichtung zur verstärkten Überwachung von Geschäftsbeziehungen mit Kunden mit erhöhtem Risiko muss aber davon ausgegangen werden, dass angesichts der Tatsache, dass schon das Basissystem zur Überwachung nicht ausreichend war, auch die lediglich stichprobenweise Überprüfung von Transaktionen nicht ausreichend war, um den Verpflichtungen gemäß § 40b Abs. 1 Z 2 BWG zu entsprechen.

Auch hier beginnt der Tatzeitraum mit 01.01.2009 unter Einbeziehung einer angemessenen Umsetzungsfrist von einem Jahr seit Inkraftreten der Novelle BGBl. I 107/2007 und BGBl. I 108/2007 und endet mit Abschluss der Einschau der FMA am 06.10.2011.

3.2.1.3.3. Zu § 40b Abs. 1 Z 3 BWG und Faktum I.4.:

Nach § 40b Abs. 1 Z 3 BWG sind auch Geschäftsbeziehungen zu politisch exponierten Personen (PEP) von anderen Unionsmitgliedstaaten oder von Drittländern ex lege mit erhöhtem Risiko versehen. Die Definition politisch exponierter Personen findet sich in § 2 Z 72 BWG in der Fassung BGBl. I 184/2013 und lautet:

"72. politisch exponierte Personen: diejenigen natürlichen Personen, die wichtige öffentliche Ämter ausüben und deren unmittelbare Familienmitglieder oder ihnen bekanntermaßen nahe stehende Personen; unbeschadet der im Rahmen der verstärkten Sorgfaltspflichten gegenüber Kunden auf risikobezogener Grundlage getroffenen Maßnahmen sind die Kredit- und Finanzinstitute jedoch nicht verpflichtet, eine Person, die seit mindestens einem Jahr keine wichtigen öffentlichen Ämter mehr ausübt, als politisch exponiert zu betrachten.

a) ,Wichtige öffentliche Ämter' hiebei sind die folgenden Funktionen:

aa) Staatschefs, Regierungschefs, Minister, stellvertretende Minister und Staatssekretäre;

bb) Parlamentsmitglieder;

cc) Mitglieder von obersten Gerichten, Verfassungsgerichten oder sonstigen hochrangigen Institutionen der Justiz, gegen deren Entscheidungen, von außergewöhnlichen Umständen abgesehen, kein Rechtsmittel eingelegt werden kann;

dd) Mitglieder der Rechnungshöfe oder der Vorstände von Zentralbanken;

ee) Botschafter, Geschäftsträger oder hochrangige Offiziere der Streitkräfte;

ff) Mitglieder der Verwaltungs-, Leitungs- oder Aufsichtsorgane staatlicher Unternehmen.

Sublit. aa bis ee gelten auch für Positionen auf Gemeinschaftsebene und für Positionen bei internationalen Organisationen.

b) Als "unmittelbare Familienmitglieder" gelten:

aa) Ehepartner;

bb) der Partner, der nach einzelstaatlichem Recht dem Ehepartner gleichgestellt ist;

cc) die Kinder und deren Ehepartner oder Partner, die nach einzelstaatlichem Recht dem Ehepartner gleichgestellt sind;

dd) die Eltern.

c) Als ,bekanntermaßen nahe stehende Personen' gelten folgende Personen:

aa) jede natürliche Person, die bekanntermaßen mit einem Inhaber eines wichtigen öffentlichen Amtes gemeinsame wirtschaftliche Eigentümerin von Rechtspersonen, wie beispielsweise Stiftungen, oder von Trusts ist oder sonstige enge Geschäftsbeziehungen zum Inhaber eines wichtigen öffentlichen Amtes unterhält;

bb) jede natürliche Person, die alleinige wirtschaftliche Eigentümerin von Rechtspersonen, wie beispielsweise Stiftungen, oder von Trusts ist, die bekanntermaßen tatsächlich zum Nutzen des Inhabers eines wichtigen öffentlichen Amtes errichtet wurden;"

Gemäß § 40b Abs. 1 Z 3 lit. a BWG hat das Kreditinstitut über angemessene und risikobasierte Verfahren zu verfügen, um in der Lage sein, bestimmen zu können, ob es sich bei einem Kunden um eine politisch exponierte Person handelt. § 40b Abs. 1 Z 3 lit. b BWG verpflichtet zu Einholung der Zustimmung der Führungsebene, bevor die Geschäftsbeziehung zu einem solchen Kunden aufgenommen wird. Gemäß § 40b Abs. 1 Z 3 lit. c BWG sind angemessene Maßnahmen zu ergreifen, mit denen die Herkunft des Vermögens und der Gelder bestimmt werden kann, die in der Geschäftsbeziehung oder Transaktion eingesetzt werden. Nach lit. d leg.cit. sind diese Geschäftsbeziehungen explizit einer verstärkten Überwachung zu unterziehen.

Demnach ist eine Person dann politisch exponiert, wenn sie in einem Mitgliedstaat oder einen Drittland ein wichtiges öffentliches Amt ausübt oder bis vor einem Jahr ausgeübt hat, gleichfalls auch ihre unmittelbaren Familienmitglieder und ihr bekanntermaßen nahe stehende Personen.

Handelt es sich bei einem Kunden um eine juristische Person, so ist die PEP-Eigenschaft der wirtschaftlichen Eigentümer zu überprüfen (vgl. dazu Beilage ./6 zum Protokoll der mündlichen Verhandlung vom 19.09.2014, Rz 130).

Die belangte Behörde ging in ihrem Rundschreiben zum risikobasierten Ansatz zur Prävention von Geldwäscherei und Terrorismusfinanzierung vom 23.12.2009 davon aus, dass sollte der Kunde oder sein wirtschaftlicher Eigentümer eine politisch exponierte Person sein, diese Kunden immer in die höchste Risikoklasse, jedenfalls bei Auslandsbezug, einzustufen sind (Beilage ./6 zum Protokoll zur mündlichen Verhandlung vom 19.09.2014, Rz 130 und 132).

Wie dem Einleitungssatz des § 40b Abs. 1 Z 3 BWG zu entnehmen ist, gelten diese Verpflichtungen bei Begründung der Geschäftsbeziehung genauso wie in ihrem weiteren Verlauf, vor allem wenn der Kunde oder sein wirtschaftlicher Eigentümer zu einem späteren Zeitpunkt während aufrechter Geschäftsbeziehung die Kriterien des § 2 Z 72 BWG erfüllt, wodurch auch die Notwendigkeit einer Überwachung aller Kunden auf eine mögliche PEP-Eigenschaft bedingt ist. Aus dem letzten Satz des Einleitungsabsatzes zu § 2 Z 72 BWG wiederum ist zu entnehmen, dass die verstärkte Überwachung bis ein Jahr nach Beendigung der Funktion in Geltung ist. Im Rundschreiben vom 23.12.2009 geht die FMA davon aus, dass in solchen Fällen eine individuelle Analyse der zum Zeitpunkt der Beendigung bestehenden aktuellen Risiken durchgeführt werden sollte und eine Beibehaltung der verstärkten Sorgfaltspflichten bei Anhaltspunkten für ein erhöhtes Risiko geboten sein kann (Beilage ./6 zum Protokoll der mündlichen Verhandlung vom 19.09.2014, Rz 143).

Zu Faktum I.4.:

Wie bereits oben zu I.3. festgehalten, hielt die haftungspflichtige Gesellschaft in ihrer Arbeitsanweisung "Money Laundering Policy, Module I, Know-Your-Customer" (Beilage ./B, Beilagenordner I zu den FMA-Akten) fest, dass ein laufendes Kundenmonitoring stattzufinden hat, dazu wurde eine Risikoeinstufung etabliert, mit dem zwingende Überprüfungen in bestimmten Intervallen einhergingen. Kunden mit niedrigem Risiko und mit mittlerem oder leicht erhöhtem Risiko wurden alle drei Jahre überprüft, Kunden mit erhöhtem Risiko alle zwei Jahre und Kunden mit höherem Risiko jedes Jahr.

Wie sich aus den Feststellungen und der Beweiswürdigung zu Faktum I.4. ergibt, war ein Großteil der Kunden mit PEP-Eigenschaft zumindest bis April 2012, wenn nicht bis November 2012 nicht mit hohem Risiko geführt, was dazu führte, dass sie in Dreijahresintervallen oder Zweijahresintervallen geprüft wurden, nicht aber in einem jährlichen Intervall. Eine jährliche Überprüfung bedingt aber noch keine verstärkte kontinuierliche Überwachung.

Vielmehr ist, wie oben zu Faktum I.3. ausgeführt, der belangten Behörde zu folgen, wenn sie zur Frage der kontinuierlichen verstärkten Überwachung ausführt, dass es dazu "eines auf die Bedürfnisse der haftungsgpflichtigen Gesellschaft zugeschnittenen und kalibrierten Indizienmodells" bedarf, "das nach Zuordnung der Kunden zu Kundengruppen auf Basis bestimmter, definierter Indizien (zB statischer transaktionsbedingter Indizien, wie etwa Anzahl Haben- oder Sollumsätze, hoher einzelner Haben- oder Sollumsatz; dynamischer transaktionsbedingter Indizien wie etwa zunehmende/abnehmende Anzahl der Habentransaktionen im Vergleich zum Durchschnitt der vergangenen zwölf Monate; kundenbezogener Indizien wie etwa Beruf, Alter, Wohnsitz, Nationalität etc des Kunden; unbedingter Indizien, die sofort einen Alarm auslösen, zB Bartransaktionen über einem bestimmten Wert; sowie etwa Indizien, die in Verbindung mit bestimmten Ländern stehen) kontinuierlich die im Rahmen der Geschäftsbeziehungen getätigten Transaktionen überprüft."

Wie bereits zu Faktum I.1. ausgeführt, gab es bis zum 01.04.2013 - Zeitpunkt der Installierung von XXXX - kein geeignetes System zu Überwachung der Geschäftsbeziehungen an sich, bis zum September 2012 gab es keine monatliche Überprüfung des Kundenbestandes hinsichtlich der PEP-Eigenschaft, obwohl bereits zumindest seit dem XXXX-Bericht bekannt war, dass eine monatliche Überwachung seitens der belangten Behörde verlangt wurde (Beilage ./1 zum Protokoll der mündlichen Verhandlung vom 19.09.2014, Seite 11 Empfehlung 18). Wie bereits zu den Kunden, deren Geschäftsbeziehung im Fernabsatz begründet wurden, ausgeführt, siehe Faktum I.3., ist in Anbetracht der erhöhten Sorgfaltspflichten und der Verpflichtung zur verstärkten Überwachung von Geschäftsbeziehungen mit Kunden mit PEP-Eigenschaft auch hier davon auszugehen, dass angesichts der Tatsache, dass schon das Basissystem zur Überwachung nicht ausreichend war, die Risikoeinstufung von Kunden mit PEP-Eigenschaft entgegen dem Gesetzeswortlauf zu einem hohen Prozentsatz falsch erfolgte, kein adäquates System zur kontinuierlichen und verstärkten Überwachung von Kunden mit PEP-Eigenschaft im Sinne des § 40b Abs. 1 Z 3 lit. d BWG vorlag und die haftungspflichtige Gesellschaft ihrer diesbezüglichen Verletzung nicht nachgekommen ist.

Wie sich aus dem Spruch und der rechtlichen Beurteilung im angefochtenen Straferkenntnis zu Faktum I.4 ergibt, wird hier das Unterbleiben einer kontinuierlichen verstärkten Überwachung von Geschäftsbeziehungen mit Kunden mit PEP-Eigenschaften gemäß § 40b Abs. 1 Z 3 lit. d BWG sanktioniert, in der Aufzählung der verletzten Rechtsvorschriften wird jedoch nur § 40b Abs. 1 Z 3 BWG zitiert. Da die kontinuierliche verstärkte Überwachung aber konkret unter § 40b Abs. 1 Z 3 lit. d BWG fällt, war diese Subsumtion durch das Bundesverwaltungsgericht explizit zu präzisieren (zur Frage der Änderung der rechtlichen Subsumtion eines als erwiesen angenommenen Sachverhalts bei Entscheidungen des Verwaltungsgerichtes in Verwaltungsstrafsachen gemäß § 50 VwGVG vgl. VwGH 31.07.2014, Ro 2014/02/0999).

Die Verpflichtung bestand seit 01.01.2008 mit Inkraftreten der Novelle BGBl. I 107/2007 und BGBl. I 108/2007, wie bereits oben ausgeführt, ist es dem Kreditinstitut zumutbar, diese Verpflichtungen binnen einem Jahr umzusetzen, so dass spätestens ab 01.01.2009 die entsprechenden Maßnahmen hätten gesetzt werden können und ein adäquates Überwachungssystem hätte installiert sein müssen.

Der Tatzeitraum endet mit Ausscheiden des Beschwerdeführers zu W210 200433-1 am 31.12.2012.

3.2.1.3.3.1. Zu § 40b Abs. 1 Z 3 lit. a BWG und den Fakten I.5., I.13., I.15. und I.8.:

Gemäß § 40b Abs. 1 Z 3 lit. a BWG hat das Kreditinstitut über angemessene und risikobasierte Verfahren zu verfügen, um in der Lage sein, bestimmen zu können, ob es sich bei einem Kunden um eine politisch exponierte Person handelt. In ihrem Rundschreiben zum risikobasierten Ansatz zur Prävention von Geldwäscherei und Terrorismusfinanzierung vom 23.12.2009 legt die FMA dar, dass die

"Verwendung automationsunterstützter Datenbanken ... ein

wesentliches Hilfsmittel bei der Feststellung der PEP-Eigenschaft eines potentiellen Kunden" ist, sie erachtet es aber nicht als Voraussetzung. Sollte eine Datenbank ausgewählt werden, ist sie zu überprüfen (Beilage. /6 zum Protokoll zur mündlichen Verhandlung vom 19.09.2014, Rz 131).

Zu Faktum I.5.:

Das Verfahren hat ergeben, dass bis zum September 2012, als das System XXXX XXXX in Betrieb genommen wurde, der Kundenbestand der haftungspflichtigen Gesellschaft lediglich einmal jährlich auf eine mögliche PEP-Eigenschaft überprüft wurde. Angesichts der Tatsache, dass das Gesetz die PEP-Eigenschaft sofort zu dem Zeitpunkt als gegeben sieht, wenn eine politische Funktion übernommen wird, reicht der gewählte Überwachungszeitraum von einem Jahr nicht aus, um dieser Verpflichtung gehörig nachzukommen. Vielmehr ist, wie auch vom vorgelegten XXXX-Bericht angeführt, ein monatlicher Prüfintervall zu wählen (Beilage ./1 zum Protokoll der mündlichen Verhandlung vom 19.09.2014, Seite 11 Empfehlung 18).

Die Verpflichtung trat mit 01.01.2008 in Kraft, der Tatzeitraum ist, wie bereits oben angeführt, nach Zugeständnis einer Vorbereitungsphase beginnend mit 01.01.2009 anzusetzen und endet mit 31.08.2012, da ab September 2012 durch das System XXXX XXXX die monatliche Überprüfung des Kundenstamms auf eine mögliche PEP-Eigenschaft gegeben war.

Zu Faktum I.13.:

Unabhängig vom mangelhaften System (siehe Faktum I.5) wurde zu Faktum I.13 festgestellt, dass die vertretungsbefugte Person der XXXX. zu keinem Zeitpunkt hinsichtlich ihrer PEP-Eigenschaft überprüft wurde. Wie oben ausgeführt ist aber in jenen Fällen, in denen der Kunde eine juristische Person ist, deren vertretungsbefugte Person auf ihre PEP-Eigenschaft zu überprüfen, weshalb im Falle der XXXX. und ihrer vertretungsbefugten Person, Herrn XXXX, davon auszugehen wird, dass bis zur Nachholung der PEP-Abfrage zu Herrn XXXX am 11.04.2012, die Verpflichtung gemäß § 40b Abs. 1 Z 3 lit. a BWG verletzt wurde.

Der Tatzeitraum beginnt ein Jahr nach Inkrafttreten der Verpflichtung, wie bereits ausgeführt aufgrund des Zugeständnisses einer Umsetzungsperiode, mit 01.01.2009 und endet mit der Nachholung der tatsächlichen Abfrage am 11.04.2012.

Wie oben unter 3.2.1.1.1. zu § 40 Abs. 2e BWG ausgeführt, treffen die Identifizierungspflichten nach § 40 ff BWG nicht nur auf Neukunden ab 01.01.2008, sondern auch auf die zum 01.01.2008 bereits bestehenden Kunden zu. Die Kreditinstitute konnten zu geeigneter Zeit, bei bestehenden Kunden diese Neuidentifizierung bzw. die Informationserhebung starten, was insbesondere die neu eingeführten Verpflichtungen hinsichtlich des wirtschaftlichen Eigentümers und der Art der Geschäftsbeziehung betrifft (Blume in Dellinger, Bankwesengesetz Kommentar, Band 3, § 40 Rz 121). Nach den Materialien (RV 286 BlgNR. 23. GP, Seite 6) ist die Verpflichtung zur Anwendung auf bestehende Kunden "zu geeigneter Zeit" derart zu verstehen, "dass die Kredit- und Finanzinstitute die geforderten Maßnahmen zu setzen haben, sobald es der eigene Geschäftsgang ohne einen unzumutbaren Aufwand für den Kunden zulässt".

Da die Geschäftsbeziehung bereits vor dem 01.01.2008 bestanden hat, wurde die Verpflichtung des § 40b Abs. 1 Z 3 lit. a BWG iVm § 40 Abs. 2e BWG verletzt, hier war die rechtliche Subsumtion insofern durch Verbindung mit § 40 Abs. 2e BWG zu vervollständigen (zur Frage der Änderung der rechtlichen Subsumtion eines als erwiesen angenommenen Sachverhalts bei Entscheidungen des Verwaltungsgerichtes in Verwaltungsstrafsachen gemäß § 50 VwGVG vgl. VwGH 31.07.2014, Ro 2014/02/0999).

Zu Faktum I.15.:

Das Beweisverfahren hat zu Faktum I.15 ergeben, dass erst mit Ende März 2012 die PEP-Eigenschaft der vertretungsbefugten Person der XXXX, des Herrn XXXX XXXX, überprüft wurde, obwohl eine Verpflichtung zur Überprüfung der PEP-Eigenschaft von vertretungsbefugten Personen von Kunden, die juristische Personen sind, vor Aufnahme der Geschäftsbeziehung und kontinuierlich während des Bestandes der Gschäftsbeziehung, besteht. Dieser Verpflichtung gemäß § 40b Abs. 1 Z 3 lit. a BWG wurde bis zur Durchführung der Abfrage Ende März 2012 nicht nachgekommen.

Den Feststellungen der belangten Behörde war bereits zutreffend zu entnehmen, dass die Geschäftsbeziehung erst mit 27.08.2010 begonnen wurde, nur im Spruch wird der Tatzeitraum jedoch irrigerweise beginnend mit 01.01.2009 angegeben. Auch das Bundesverwaltungsgericht geht, wie in den Feststellungen und der Beweiswürdigung zu Faktum I.15 ausgewiesen, davon aus, dass der Tatzeitraum mit der Kontoeröffnung am 27.08.2010 beginnt und mit der Nachholung der tatsächlichen Abfrage im März 2012 per 28.02.2012 endet.

Zu Faktum I.8 in Verbindung mit § 40 Abs. 2e BWG:

Wie oben unter 3.2.1.1.1. zu § 40 Abs. 2e BWG ausgeführt, treffen die Identifizierungspflichten nach § 40 ff BWG nicht nur auf Neukunden ab 01.01.2008, sondern auch auf die zum 01.01.2008 bereits bestehenden Kunden zu. Die Kreditinstitute konnten zu geeigneter Zeit, bei bestehenden Kunden diese Neuidentifizierung bzw. die Informationserhebung starten, was insbesondere die neu eingeführten Verpflichtungen hinsichtlich des wirtschaftlichen Eigentümers und der Art der Geschäftsbeziehung betrifft (Blume in Dellinger, Bankwesengesetz Kommentar, Band 3, § 40 Rz 121). Nach den Materialien (RV 286 BlgNR. 23. GP, Seite 6) ist die Verpflichtung zur Anwendung auf bestehende Kunden "zu geeigneter Zeit" derart zu verstehen, "dass die Kredit- und Finanzinstitute die geforderten Maßnahmen zu setzen haben, sobald es der eigene Geschäftsgang ohne einen unzumutbaren Aufwand für den Kunden zulässt".

Wie das Beweisverfahren ergeben hat, wurde bis 19.04.2012 keine einzige PEP-Abfrage hinsichtlich der Verwaltungsräte der XXXX der vertretungsbefugten Person des XXXXgetätigt, und selbst diese waren mangelhaft, ergaben sie zu XXXX, einem Cousin des herrschenden Fürsten XXXX, eine negative Abfrage, während eine Abfrage der belangten Behörde vom 16.01.2012 ein positives Ergebnis zu seiner Person erbrachte. Das verwendete System ist deshalb als mangelhaft zu bewerten, weshalb davon auszugehen war, dass der Verpflichtung des § 40b Abs. 1 Z 3 lit. a BWG iVm § 40 Abs. 2e BWG erst mit der Inbetriebnahme des Systems XXXX XXXX nachgekommen wurde und der Tatzeitraum aus diesen Gründen richtigerweise von 01.01.2009 bis 31.08.2012 andauerte.

3.2.1.4. Zu § 41 Abs. 1 Z 1 BWG und den Fakten I.20. und I.21.:

§ 41 Abs. 1 Z 1 BWG lautete in der Fassung BGBl. I 108/2007 wie folgt:

"Meldepflichten

§ 41. (1) Ergibt sich der Verdacht oder der berechtigte Grund zu der Annahme,

1. daß eine bereits erfolgte, eine laufende oder eine bevorstehende Transaktion der Geldwäscherei (§ 165 StGB - unter Einbeziehung von Vermögensbestandteilen, die aus einer strafbaren Handlung des Täters selbst herrühren) dient, oder

2. daß der Kunde der Verpflichtung zur Offenlegung von Treuhandbeziehungen gemäß § 40 Abs. 2 zuwidergehandelt hat, oder

3. dass der Kunde einer terroristischen Vereinigung gemäß § 278b StGB angehört oder dass die Transaktion der Terrorismusfinanzierung gemäß § 278d StGB dient,

so haben die Kredit- und Finanzinstitute die Behörde (§ 6 SPG) hievon unverzüglich in Kenntnis zu setzen und bis zur Klärung des Sachverhalts jede weitere Abwicklung der Transaktion zu unterlassen, es sei denn, daß die Gefahr besteht, daß die Verzögerung der Transaktion die Ermittlung des Sachverhalts erschwert oder verhindert. Im Zweifel dürfen Aufträge über Geldeingänge durchgeführt werden und sind Aufträge über Geldausgänge zu unterlassen. Die Kredit- und Finanzinstitute sind berechtigt, von der Behörde zu verlangen, daß diese entscheidet, ob gegen die unverzügliche Abwicklung einer Transaktion Bedenken bestehen; äußert sich die Behörde (§ 6 SPG) bis zum Ende des folgenden Bankarbeitstages nicht, so darf die Transaktion unverzüglich abgewickelt werden. Die Kredit- und Finanzinstitute haben jeder Tätigkeit besondere Aufmerksamkeit zu widmen, deren Art ihres Erachtens besonders nahe legt, dass sie mit Geldwäscherei oder Terrorismusfinanzierung zusammenhängen könnte, insbesondere komplexe oder unüblich große Transaktionen und alle unüblichen Muster von Transaktionen ohne offensichtlichen wirtschaftlichen oder erkennbaren rechtmäßigen Zweck. Darüber sind in geeigneter Weise Aufzeichnungen zu erstellen."

Bis auf die letzten beiden Sätze dieser Bestimmung bestand diese Verpflichtung bereits in der Fassung BGBl. I 35/2003, die von 15.06.2003 bis 31.12.2007 in Kraft stand.

Die Materialien zu BGBl. I 107/2007, mit der § 41 Abs. 1 BWG in dieser Form eingeführt wurde, halten dazu fest (RV 286 BlgNR. 23. GP, Seite 9):

"Umsetzung von Art. 20 und Art. 22 Abs. 1 lit. a der Richtlinie. Art. 22 Abs. 2 der Richtlinie sieht außerdem vor, "dass die in Abs. 1 genannten Informationen der zentralen Meldestelle des Mitgliedstaats übermittelt werden, in dessen Hoheitsgebiet sich das Institut (oder die Person), von dem (oder der) diese Informationen stammen, befindet. Die Übermittlung erfolgt in der Regel durch die Person(en), die nach den in Artikel 34 der Richtlinie genannten Verfahren benannt wurde(n)." Diese Zuständigkeitsbestimmung wird durch Abs. 1 verwirklicht, da die "inländischen" Kredit- und Finanzinstitute dazu verpflichtet sind und die anderen im Inland Tätigen auf Grund des III. Abschnitts des BWG ebenfalls zur Einhaltung der §§ 40 ff BWG verpflichtet sind.

Die Kredit- und Finanzinstitute haben verdächtige Transaktionen der Behörde gemäß § 6 SPG, die als nationale zentrale Meldestelle (FIU) fungiert, zu melden und deren Aufgabe ist es, Meldungen verdächtiger Transaktionen und andere Informationen, die potenzielle Geldwäscherei oder Terrorismusfinanzierung betreffen, entgegenzunehmen, zu analysieren und an die zuständigen Behörden weiterzugeben."

Art. 20 und Art. 22 Abs. 1 lit. a der Richtlinie 2005/50/EG zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und Terrorismusfinanzierung, ABl. L 309, Seite 15) lauten:

"Artikel 20

Die Mitgliedstaaten schreiben vor, dass die dieser Richtlinie unterliegenden Institute und Personen jeder Tätigkeit besondere Aufmerksamkeit widmen, deren Art ihres Erachtens besonders nahe legt, dass sie mit Geldwäsche oder Terrorismusfinanzierung zusammenhängen könnte, insbesondere komplexe oder unüblich große Transaktionen und alle unüblichen Muster von Transaktionen ohne offensichtlichen wirtschaftlichen oder erkennbaren rechtmäßigen Zweck.

...

Artikel 22

(1) Die Mitgliedstaaten schreiben vor, dass die dieser Richtlinie unterliegenden Institute und Personen sowie gegebenenfalls deren leitendes Personal und deren Angestellte in vollem Umfang zusammenarbeiten, indem sie

a) die zentrale Meldestelle von sich aus umgehend informieren, wenn sie wissen, den Verdacht oder berechtigten Grund zu der Annahme haben, dass eine Geldwäsche oder Terrorismusfinanzierung begangen oder zu begehen versucht wurde oder wird,"

§ 41 Abs. 1 BWG in der von der belangten Behörde angewendeten Fassung BGBl. I 37/2010 lautet:

"§ 41. (1) Ergibt sich der Verdacht oder der berechtigte Grund zur Annahme,

1. dass eine versuchte, bevorstehende, laufende oder bereits erfolgte Transaktion im Zusammenhang mit Vermögensbestandteilen, die aus einer in § 165 StGB aufgezählten strafbaren Handlung herrühren (unter Einbeziehung von Vermögensbestandteilen, die aus einer strafbaren Handlung des Täters selbst herrühren), steht; oder

2. dass ein Vermögensbestandteil aus einer in § 165 StGB aufgezählten strafbaren Handlung herrührt (unter Einbeziehung von Vermögensbestandteilen, die aus einer strafbaren Handlung des Täters selbst herrühren), oder

3. dass der Kunde der Verpflichtung zur Offenlegung von Treuhandbeziehungen gemäß § 40 Abs. 2 zuwidergehandelt hat oder

4. dass die versuchte, bevorstehende, laufende oder bereits erfolgte Transaktion oder der Vermögensbestandteil im Zusammenhang mit einer kriminellen Vereinigung gemäß § 278 StGB, einer terroristischen Vereinigung gemäß § 278b StGB, einer terroristischen Straftat gemäß § 278c StGB oder der Terrorismusfinanzierung gemäß § 278d StGB steht,

so haben die Kredit- und Finanzinstitute die Behörde (Geldwäschemeldestelle (§ 4 Abs. 2 des Bundeskriminalamt-Gesetzes, BGBl. I Nr. 22/2002)) hievon unverzüglich in Kenntnis zu setzen und bis zur Klärung des Sachverhalts jede weitere Abwicklung der Transaktion zu unterlassen, es sei denn, dass die Gefahr besteht, dass die Verzögerung der Transaktion die Ermittlung des Sachverhalts erschwert oder verhindert. Im Zweifel dürfen Aufträge über Geldeingänge durchgeführt werden und sind Aufträge über Geldausgänge zu unterlassen. Die Kredit- und Finanzinstitute sind berechtigt, von der Behörde zu verlangen, dass diese entscheidet, ob gegen die unverzügliche Abwicklung einer Transaktion Bedenken bestehen; äußert sich die Behörde bis zum Ende des folgenden Bankarbeitstages nicht, so darf die Transaktion unverzüglich abgewickelt werden. Die Kredit- und Finanzinstitute haben jeder Tätigkeit besondere Aufmerksamkeit zu widmen, deren Art ihres Erachtens besonders nahe legt, dass sie mit Geldwäscherei oder Terrorismusfinanzierung zusammenhängen könnte, insbesondere komplexen oder unüblich großen Transaktionen und alle unüblichen Muster von Transaktionen ohne offensichtlichen wirtschaftlichen oder erkennbaren rechtmäßigen Zweck; ebenso haben sie soweit als möglich den Hintergrund und den Zweck dieser Tätigkeiten und Transaktionen zu prüfen und zwar insbesondere, wenn diese im Zusammenhang mit Staaten stehen, in denen laut glaubwürdiger Quelle ein erhöhtes Risiko der Geldwäscherei und der Terrorismusfinanzierung besteht (§ 40b Abs. 1). Darüber sind in geeigneter Weise schriftliche Aufzeichnungen zu erstellen und mindestens fünf Jahre nach der Prüfung aufzubewahren."

Die Materialien dazu (RV 661 BlgNR 24. GP, Seite 4) halten fest:

In Abs. 1 Z 1 erfolgt die Umsetzung der Anmerkung zur FATF - Empfehlung Nr. 13, wodurch die Meldepflicht auch auf Transaktionen über Vermögen, die aus Straftaten stammen, erweitert wird. Im Übrigen wird entsprechend der Anmerkung zur FATF - Empfehlung Nr.13 auch die ‚versuchte Transaktion' in die Meldepflicht einbezogen. Zusätzlich erfolgt in Abs. 1 Z 4 die Umsetzung der Anmerkung zur FATF - Empfehlung 13 und FATF -Sonderempfehlung IV zur Meldepflicht iZm Terrorismusfinanzierung. Im vorletzten und letzten Satz von Abs. 1 erfolgt die Umsetzung der Anmerkung zur FATF - Empfehlung Nr.11, die eine Verpflichtung zur Analyse des Hintergrundes und des Zwecks von unüblichen Transaktionen vorsieht und die Aufbewahrung der zu erstellenden Aufzeichnungen über mindestens fünf Jahre verlangt. Die Aufbewahrung schriftlicher Aufzeichungen darf auch mittels zeitgemäßer elektronischer Speichermedien erfolgen. In Abs.1 erfolgt auch die Umsetzung der Anmerkung zur FATF - Empfehlung Nr. 21."

Diese Bestimmung steht in der zum Entscheidungszeitpunkt des Bundesverwaltungsgerichts geltenden Fassung BGBl. I 13/2014 unverändert in Geltung.

Die Meldepflicht nach § 41 Abs. 1 BWG entsteht, wenn Verdacht geschöpft wird oder wenn ausreichende Gründe vorliegen, um Verdacht zu schöpfen, es handelt sich hierbei um Alternativen (Krichbaumer in Dellinger, Banwesengesetz Kommentar, § 41 Rz 14). In der jeweiligen Situation muss Geldwäscherei so wahrscheinlich sein, "dass eine andere, normale, legale, harmlose Erklärung kaum in Betracht kommt" (Krichbaumer in Dellinger, Bankwesengesetz Kommentar, § 41 Rz 15). Dies entstammt der Judikatur des Obersten Gerichtshofes (OGH 19.12.2006, 4 Ob 230/06m, RS 0121562), der wie folgt festhält:

"Ein begründeter Verdacht, dass eine Transaktion der Geldwäscherei dient, liegt vor, wenn hinreichende tatsächliche Anhaltspunkte die Annahme der Wahrscheinlichkeit des Vorliegens der Geldwäscherei rechtfertigen. Verdächtig ist eine Transaktion etwa dann, wenn die Art des Geschäfts an sich unplausibel ist oder wenn eine andere, normale, legale, harmlose Erklärung kaum in Betracht kommt."

Der Verwaltungsgerichtshof verstand unter begründetem Verdacht in Bezug auf Geldwäscherei in seinem Erkenntnis vom 30.08.2005 zu 2004/01/0451 "eine über die bloße Möglichkeit hinausgehende qualifizierte Wahrscheinlichkeit, die durch objektive Umstände nahe gelegt und durch entsprechende Beweisergebnisse untermauert sein muss, [..], dass die in Frage stehende Transaktion der Geldwäscherei dient." Die Umstände müssen auch im Zeitpunkt der fraglichen Transaktion einen begründeten Verdacht darstellen, um die Verpflichtung des § 41 Abs. 1 BWG auszulösen.

Als Transaktionen im Sinne des § 41 Abs. 1 BWG sind vor allem Bareinzahlungen, Schaltergeschäfte und Überweisungen anzusehen (Krichbaumer in Dellinger, Bankwesengesetz Kommentar, § 41 Rz 19). Bei einer Transaktion, die erst bevorsteht, in deren Fall die Bank bereits einen konkreten Auftrag erhalten hat und bereit ist für die Durchführung, ist die Meldung an die Geldwäschemeldestelle ebenso zu veranlassen wie in jenem Fall, in dem die Bank den Antrag ablehnt (Krichbaumer in Dellinger, Bankwesengesetz Kommentar, § 41 Rz 20).

Die FMA geht in ihrem Rundschreiben zu Verdachtsmeldungen vom 01.12.2011 (Rz 108) zur geltenden Rechtslage davon aus, dass die folgenden Fälle einen meldepflichtigen Verdacht begründen können:

"Geschäfte und Transaktionen, die keinen offenkundigen wirtschaftlichen Zweck verfolgen; Geschäfte, die eine erhebliche und nicht plausible geographische Distanz zwischen beaufsichtigtem Unternehmen und Wohnsitz/Hauptsitz des Kunden aufweisen; Geschäfte mit Ländern, die gesellschaftsrechtliche Konstruktionen anbieten, die die Feststellung und Überprüfung der Mittelherkunft erschweren und in denen laut glaubwürdiger Quellen ein erhöhtes Risiko der Geldwäscherei und Terrorismusfinanzierung besteht; Geschäfte mit juristischen Personen oder Konstruktionen, die der Verwaltung von Vermögen dienen, in denen zusätzliche potenzielle Risikofaktoren wie z. B. internationale Verflechtungen oder weitgehende Anonymität des wirtschaftlichen Eigentümers auftreten; Zuhilfenahme von komplexen Firmenkonstrukten ("off-shore") oder solchen, die den wirtschaftlichen Eigentümer nicht klar erkennen lassen; wiederholte Transaktionen knapp unterhalb der Identifizierungsschwelle ("Smurfing"); fehlende oder unvollständige Angaben zum Auftraggeber bei Zahlungsaufträgen; hohe Bardeckungen bzw. vorzeitige hohe Rückführungen bei Krediten ohne plausiblen Hintergrund über die Herkunft dieser Vermögenswerte; ungewöhnliche Bargeschäfte; häufige und nicht erklärte Übertragung von Konten auf verschiedene beaufsichtigte Unternehmen bzw. Umschichtung auf neue Verträge;

Mittelbewegungen, die nicht mit dem wirtschaftlichen Hintergrund des Kunden in Einklang stehen; häufige und nicht geklärte Mittelbewegung zwischen beaufsichtigten Unternehmen verschiedener Standorte;

Umtausch in hohem Umfang von Banknoten mit kleinem Nominale in Banknoten mit großem Nominale; große Projektgeschäfte im In- und Ausland, bei denen der Großteil der Finanzierungdurch nicht näher genannte Investoren gesichert ist oder hohe Eigenkapitalanteile angeboten werden, deren Ursprung nicht plausibel dargestellt wird; große Handelsgeschäfte mit Rohstoffen, die über intransparente internationale Firmenverflechtungen nur finanztechnisch über Österreich abgewickelt werden und deren Warenfluss sich von Österreich aus nicht nachvollziehen bzw. kontrollieren lässt; Export-/Importfinanzierung von Hochrisikogütern bzw. in Länder, die Sanktionen, Embargos oder ähnlichen Maßnahmen internationaler Organisationen im Bereich der Bekämpfung der Geldwäscherei und Terrorismusfinanzierung unterworfen sind; Transaktionen, bei denen Wertpapiere zu einem hohen Preis gekauft werden und mit einem erheblichen Verlust verkauft werden; dies kann ein Hinweis darauf sein, dass Werte von einer Person auf eine andere übertragen werden; Kauf und Verkauf von nicht gelisteten Wertpapieren mit einer großen Preisdifferenz innerhalb einer kurzen Zeitspanne; dies kann ein Hinweis darauf sein, dass Werte von einer Person auf eine andere übertragen werden; Aktivierung inaktiver Konten ohne plausiblen Grund; kostspielige Umstrukturierung von Transaktionen ohne erkennbaren Grund."

§ 41 Abs. 1 BWG verlangt nach dem klaren Wortlaut des Gesetzes einerseits die sofortige Meldung an die Geldwäschemeldestelle und andererseits die Unterlassung der jeweiligen Transaktion bis zur Klärung des Sachverhaltes (vgl. auch UVS 14.12.2010, 06/FM/46/7789/2010).

Zu Faktum I.14.:

Die Prävention von Geldwäscherei und Terrorismusfinanzierung dient der Integrität, Stabilität und Solidität der Kredit- und Finanzinstitute sowie dem Vertrauen in den Finanzmarkt (RV 286 BlgNR 23. GP, Seite 3). Wenn nun Kreditinstitute ihren Verpflichtungen nach § 41 Abs. 1 Z 1 BWG nicht nachkommen, so besteht die Gefahr, dass das System derart ausgenutzt wird, dass dies alles in Gefahr gebracht wird.

Die im Falle dieser Kundengruppe vorliegenden Verdachtsmomente lassen sich wie folgt zusammenfassen: Der Zweck der ursprünglichen Geschäftsbeziehung zur XXXX. lässt sich nicht mehr nachvollziehen, zu einigen weiteren werden sie mit notwendigen Krediten, die dann zu Eigenüberträgen führen, angegeben. Das Konstrukt diente, wie zum Kunden XXXX. von der haftungspflichtigen Gesellschaft selbst angeführt, als "off-shore-vehicle", um Gelder außer Landes zu bringen. Obwohl Wertpapierveranlagungen im Vordergrund gestanden haben sollen, finden sich kaum derartige Geschäfte in den Unterlagen der Kundengruppe. Auch wurde die geographische Distanz zwischen der Kundengruppe und der haftungspflichtigen Gesellschaft nie wirklich hinterfragt. Dies sind nur die augenscheinlichsten Punkte, die einem bei einer Durchsicht der Kundenakten unter Beachtung des Rundschreibens der FMA zu den Verdachtsmeldungen ins Auge stechen. Keine der Transaktionen wurde kritisch hinterfragt, vielmehr wurden alle durchgeführt, follow-up Fragen wurden zwar gestellt, aber nicht beantwortet (siehe etwa zur XXXX der AV im dortigen Kundenakt AS 270).

Wie von der belangten Behörde in ihrer rechtlichen Beurteilung richtig ausgeführt, haben Kreditinstitute in den Fällen, bei denen ein erhöhtes Risiko der Geldwäscherei oder Terrorismusfinanzierung besteht, erhöhte Sorgfaltspflichten auf risikoorientierter Grundlage anzuwenden. Verwiesen wurde hier auf die Verpflichtungen zu § 40 Abs. 1, 2, 2a und 2e BWG sowie § 40b Abs. 1 und 2 BWG. Vor allem sind alle Transaktionen in diesen Geschäftsbeziehungen besonders sorgfältig zu prüfen. Es ist im Verfahren nicht zutage gekommen, dass die haftungspflichtige Gesellschaft trotz der vorliegenden Auffälligkeiten eine erhöhte Überwachung der Geschäftsbeziehungen ab 01.01.2009 gestartet hätte. Das haftungspflichtige Unternehmen hätte aufgrund der vorliegenden Auffälligkeiten in den Geschäftsbeziehungen ausreichende Gründe gehabt, um im Sinne des § 41 Abs. 1 Z 1 BWG Verdacht zu schöpfen, wodurch die Meldeverpflichtung, die auch für bereits abgeschlossene Transaktionen besteht, ausgelöst wurde.

Bei Verletzungen von Meldepflichten handelt es sich um Dauerdelikte, die erst beendet sind, wenn die Meldung tatsächlich erbracht wurde. Der Tatzeitraum beginnt unter Zugeständnis einer Umsetzungszeit am 01.01.2009 und endet mit Erstattung der Meldungen am 26.01.2012 in Folge der Einschau durch die FMA mit 25.01.2012.

Durch die Tatsache, dass die haftungspflichtige Gesellschaft Meldungen zu dieser Kundengruppe an die Geldwäschemeldestelle gemäß § 41 Abs. 1 Z 1 BWG unterlassen hat, hat sie ihre Verpflichtung nach § 41 Abs. 1 Z 1 BWG verletzt.

Zu Faktum I.20. und zu Faktum I.21.:

Bei den beiden gegenständlichen Transaktionen, es handelte sich, wie den Feststellungen zu den beiden Fakten zu entnehmen ist, um jeweils hohe Bareinzahlungsbeträge in Form von Euro-Banknoten, handelt es sich gemäß den Bestimmungen des Gesetzes um Transaktionen im Sinne des § 41 Abs. 1 Z 1 BWG. Die haftungspflichtige Gesellschaft bestritt auch nicht, dass sie keine Verdachtsmeldungen erstattet hat.

Wie von der belangten Behörde in ihrer rechtlichen Beurteilung richtig ausgeführt, haben Kreditinstitute in den Fällen, bei denen ein erhöhtes Risiko der Geldwäscherei oder Terrorismusfinanzierung besteht, erhöhte Sorgfaltspflichten auf risikoorientierter Grundlage anzuwenden. Verwiesen wurde hier auf die Verpflichtungen zu § 40 Abs. 1, 2, 2a und 2e BWG sowie § 40b Abs. 1 und 2 BWG. Vor allem sind alle Transaktionen in diesen Geschäftsbeziehungen besonders sorgfältig zu prüfen.

Angesicht dieser Verpflichtungen und der im Zeitpunkt der Avisierung und der Durchführung der beiden Transaktionen vorliegenden Informationen wären Verdachtsmeldungen in beiden Fällen notwendig gewesen:

Die Transaktionen waren für die haftungspflichtige Gesellschaft nicht plausibel, entnimmt man doch dem Schriftverkehr, dass im August 2012 noch weitere Informationen eingeholt würden. Zudem fehlten notwendige behördliche Schriftstücke, die von der Bank nicht eingefordert wurden. Wichtige Erkundigungen bei den entsprechenden Behörden wie etwa der Zentralbank Boliviens wurden unterlassen, obwohl zumindest Bedenken in der haftungspflichtigen Gesellschaft zum Hintergrund der beiden Transaktionen und zum Zweck der Geschäftsbeziehung an sich existierten. Auch wurde Bolivien zum Zeitpunkt der beiden Transaktionen noch von der FATF als "high-risk and non-cooperative Jurisdiction" geführt. Es lagen somit ausreichende Gründe vor, um im Sinne des § 41 Abs. 1 Z 1 BWG Verdacht zu schöpfen, wodurch die Meldeverpflichtung in beiden Fällen ausgelöst wurde.

Bei Verletzungen von Meldepflichten handelt es sich um Dauerdelikte, die erst beendet sind, wenn die Meldung tatsächlich erbracht wurde. Bereits bei Avisierung der beiden Transaktionen hätte die haftungspflichtige Gesellschaft angesichts der Bedenken ihrerseits, der außergewöhnlichen Natur der Transaktionen und der mangelnden Dokumentation Verdacht schöpfen müssen, der Tatzeitraum beginnt deshalb zu Faktum I.20 mit 07.07.2010 und zu Faktum I.21 mit 03.08.2010. Der Tatzeitraum ist deshalb mit Erstattung der Meldungen am 26.01.2012 in Folge der Einschau durch die FMA mit 25.01.2012 beendet.

Durch die Tatsache, dass die haftungspflichtige Gesellschaft in beiden Fällen die Meldung an die Geldwäschemeldestelle gemäß § 41 Abs. 1 Z 1 BWG unterlassen hat, hat sie ihre Verpflichtung nach § 41 Abs. 1 Z 1 BWG verletzt.

3.2.1.5. Zu § 41 Abs. 4 Z 1 BWG und den Fakten I.2.1., I.2.2., I.2.3. und I.2.4.:

§ 41 Abs. 4 Z 1 BWG in der Fassung BGBl. I 108/2007 lautet:

"(4) Die Kredit- und Finanzinstitute haben

1. angemessene und geeignete Strategien und Verfahren für die Sorgfaltspflichten gegenüber Kunden, Verdachtsmeldungen, die Aufbewahrung von Aufzeichnungen, die interne Kontrolle, die Risikobewertung, das Risikomanagement, die Gewährleistung der Einhaltung der einschlägigen Vorschriften und die Kommunikation einzuführen, um Transaktionen, die mit Geldwäscherei oder Terrorismusfinanzierung zusammenhängen, vorzubeugen und zu verhindern;

[2. .... 6. ]

Die Behörde (§ 6 SPG) hat den Kredit- und Finanzinstituten Zugang zu aktuellen Informationen über Methoden der Geldwäscherei und der Terrorismusfinanzierung und über Anhaltspunkte zu verschaffen, an denen sich verdächtige Transaktionen erkennen lassen. Ebenso sorgt sie dafür, dass eine zeitgerechte Rückmeldung in Bezug auf die Wirksamkeit von Verdachtsmeldungen bei Geldwäscherei oder Terrorismusfinanzierung und die daraufhin getroffenen Maßnahmen erfolgt, soweit dies praktikabel ist."

Die Materialien zu BGBl. I 107/2007 (RV 286 BlgNR 23. GP, Seiten 9 und 10) halten dazu fest:

"Umsetzung von Art. 32 und 34 der Richtlinie in Abs. 4 Z 1, 2 und 4; Umsetzung von Art. 35 der Richtlinie in Abs. 4 Z 3 und im Schlussteil des Abs. 4.

Kredit- und Finanzinstitute haben in der Lage zu sein, gegenüber der Behörde rasch auf Anfragen zu antworten, ob sie mit bestimmten Personen Geschäftsbeziehungen unterhalten. Um solche Geschäftsbeziehungen feststellen und die betreffenden Informationen rasch zur Verfügung stellen zu können, haben die Kredit- und Finanzinstitute über wirksame, dem Umfang und der Art ihres Geschäfts entsprechende Systeme verfügen. Insbesondere für Kreditinstitute und größere Finanzinstitute sind elektronische Systeme zweckmäßig. Besonders wichtig ist dies im Zusammenhang mit Verfahren, die zu Maßnahmen wie dem Einfrieren oder der Beschlagnahme von Vermögenswerten (einschließlich Vermögen von Terroristen) entsprechend den einschlägigen nationalen oder gemeinschaftlichen Rechtsvorschriften im Hinblick auf die Terrorismusbekämpfung führen.

Die Geldwäscherei und die Terrorismusfinanzierung sind grenzübergreifende Probleme, und daher hat auch ihre Bekämpfung grenzübergreifend zu sein. Kredit- und Finanzinstitute, die Zweigstellen oder Tochterunternehmen in Drittländern haben, in denen die Rechtsvorschriften für diesen Bereich unzureichend sind, sollten den Gemeinschaftsstandard dort zur Anwendung bringen, um zu vermeiden, dass sehr verschiedene Standards innerhalb eines Instituts oder einer Institutsgruppe zur Anwendung kommen, und haben, falls diese Anwendung nicht möglich ist, die FMA zu benachrichtigen.

Um sicherzustellen, dass die Kredit- und Finanzinstitute auf dem Gebiet der Bekämpfung von Geldwäscherei und Terrorismusfinanzierung engagiert bleiben, werden sie, soweit dies praktikabel ist, geeignete Rückmeldung über den Nutzen ihrer Meldungen und die daraufhin ergriffenen Maßnahmen erhalten.

Der Beauftragte gemäß Z 6 hat direkt der Geschäftsführung zu berichten; dem Gedanken der Proportionalität Rechnung tragend kann bei kleineren und mittleren Instituten eine Verbindung der Tätigkeit als Geldwäschebeauftragter mit anderen Aufgaben erfolgen."

§ 41 Abs. 4 BWG wurde mit BGBl. I 37/2010 novelliert (der dadurch neu angefügte Teil wurde durch das Bundesverwaltungsgericht hervorgehoben) und lautete ab 01.07.2011 wie folgt:

(4) Die Kredit- und Finanzinstitute haben

1. angemessene und geeignete Strategien und Verfahren für die Sorgfaltspflichten gegenüber Kunden, Verdachtsmeldungen, die Aufbewahrung von Aufzeichnungen, die interne Kontrolle, die Risikobewertung, das Risikomanagement, die Gewährleistung der Einhaltung der einschlägigen Vorschriften und die Kommunikation einzuführen, um Transaktionen, die mit Geldwäscherei oder Terrorismusfinanzierung zusammenhängen, vorzubeugen und zu verhindern sowie geeignete Strategien zur Verhinderung des Missbrauchs von neuen Technologien für Zwecke der Geldwäscherei und der Terrorismusfinanzierung zu entwickeln;

[2. ... 6. ...]

Die Behörde (Abs. 1) hat den Kredit- und Finanzinstituten Zugang zu aktuellen Informationen über Methoden der Geldwäscherei und der Terrorismusfinanzierung und über Anhaltspunkte zu verschaffen, an denen sich verdächtige Transaktionen erkennen lassen. Ebenso sorgt sie dafür, dass eine zeitgerechte Rückmeldung in Bezug auf die Wirksamkeit von Verdachtsmeldungen bei Geldwäscherei oder Terrorismusfinanzierung und die daraufhin getroffenen Maßnahmen erfolgt, soweit dies praktikabel ist."

Gemäß den Materialien zu BGBl. I 37/2010 wurde mit der Novelle Folgendes bezweckt (RV 661 BlgNR 24. GP, Seite 5):

"In Abs. 4 Z 1 erfolgt die Umsetzung der Anmerkung zur FATF - Empfehlung Nr. 8, wodurch den Kredit- und Finanzinstituten auch die Verpflichtung auferlegt wird, Strategien zu entwickeln, den Missbrauch von neuen Technologien zu verhindern."

Die Bestimmung des § 41 Abs. 4 Z 1 BWG sowie der Ausleitungssatz des § 41 Abs. 4 BWG zu den Verpflichtungen der Behörde nach Abs. 1 leg.cit. ist nach wie vor in der Fassung BGBl. I 13/2014 unverändert in Kraft.

Zu Faktum I.2.1.:

Geschäftsbeziehungen, die als Fernabsatzgeschäft begründet worden, das sind nach dem Gesetz (§ 40b Abs. 1 Z 1 BWG) jene, in denen der Kunde oder seine vertretungsbefugte Person, nicht physisch anwesend sind, weisen ex lege ein erhöhtes Risiko der Geldwäscherei oder Terrorismusfinanzierung auf. Kreditinstitute haben dabei erhöhte Sorgfaltspflichten walten zu lassen und die Beziehung einer verstärkten Überwachung zu unterziehen. Die Maßnahmen sind von der Risikoeinstufung wesentlich abhängig.

Wie das Beweisverfahren ergeben hat, erachtet die haftungspflichtige Gesellschaft das Risiko bezüglich des Ferngeschäftes insgesamt als "höher", dennoch war eine Vielzahl der Kunden im Fernabsatz nur mit "medium risk", einer sogar mit "low risk" eingestuft. Diese systematische Falscheinstufung der Beziehungen, die bereits ex lege ein erhöhtes Risiko aufweisen, in den internen Arbeitsabläufen, lassen nur den Schluss zu, dass die haftungspflichtige Gesellschaft ihrer Verpflichtung nach § 41 Abs. 4 Z 1 BWG nicht nachgekommen ist. Die Risikoeinstufung wurde erst im März 2012 geändert und im November 2013 nachgebessert. Maßnahmen, die nach dieser Zeit gesetzt wurde, wie etwa die Einführung des Client Acceptance Committee, konnten keinen Einfluss auf diese Einschätzung haben.

Es ist deshalb davon auszugehen, dass zumindest ab 01.04.2012 ein System, das der Verpflichtung eines angemessenen und risikoorientierten Verfahren zur Risikobewertung von Fernabsatzkunden gemäß § 41 Abs. 4 Z 1 BWG entspricht, bestanden hat. Der Tatzeitraum beginnt unter Zugeständnis eines Umsetzungsjahres ab Inkrafttreten der Bestimmung per 01.01.2009 und endet daher mit 31.03.2012.

Zu Faktum I.2.2.:

Geschäftsbeziehungen zu politisch-exponierten Personen (§ 40b Abs. 1 Z 2 BWG iVm § 2 Z 72 BWG) weisen ex lege ein erhöhtes Risiko der Geldwäscherei oder Terrorismusfinanzierung auf. Kreditinstitute haben dabei erhöhte Sorgfaltspflichten walten zu lassen und die Beziehung einer verstärkten Überwachung zu unterziehen. Die Maßnahmen sind von der Risikoeinstufung wesentlich abhängig.

Wie das Beweisverfahren ergeben hat, erachtet die haftungspflichtige Gesellschaft das Risiko bezüglich der Geschäfte mit politisch-exponierten Personen insgesamt als "höher", dennoch wiesen 12 Geschäftsbeziehungen mit PEP-Bezug gar keine Risikobewertung auf, 21 Geschäftsbeziehungen wurden mit erhöhtem Risiko eingestuft, obwohl sie zusätzlich ein geographisches Risiko aufwiesen, und 8 Geschäftsbeziehungen mit PEP-Bezug wurden nur mit mittlerem Risiko bewertet. Diese systematische Falscheinstufung der Beziehungen, die bereits ex lege ein erhöhtes Risiko aufweisen, in den internen Arbeitsabläufen, lassen nur den Schluss zu, dass die haftungspflichtige Gesellschaft ihrer Verpflichtung nach § 41 Abs. 4 Z 1 BWG nicht nachgekommen ist. Die Risikoeinstufung wurde erst im März 2012 geändert und im November 2013 nachgebessert. Maßnahmen, die nach dieser Zeit gesetzt wurde, wie etwa die Einführung des Client Acceptance Committee, konnten keinen Einfluss auf diese Einschätzung haben.

Es ist deshalb davon auszugehen, dass zumindest ab 01.04.2012 ein System, das der Verpflichtung eines angemessenen und risikoorientierten Verfahren zur Risikobewertung von Geschäftsbeziehungen mit politisch-exponierten Personen gemäß § 41 Abs. 4 Z 1 BWG entspricht, bestanden hat. Der Tatzeitraum beginnt unter Zugeständnis eines Umsetzungsjahres ab Inkrafttreten der Bestimmung per 01.01.2009 und endet daher mit 31.03.2012.

Zu Faktum I.2.3.:

Die haftungspflichtige Gesellschaft beurteilt ihr eigenes Risiko zum 31.12.2010, im Auslandszahlungsverkehr für Geldwäscherei und Teorrismusfinanzierung missbraucht zu werden, abstrakt als "mittel" und aufgrund ihrer eigenen Maßnahmen als "niedrig". Allein die Tatsache, dass es zu wesentlich mehr Transaktionen kam, als von der Bank angenommen, wie das Beweisverfahren nicht nur zu Faktum I.2.3. ergeben hat, stellt diese Einstufung mehr als in Frage. Zusätzlich hat das Beweisverfahren erbracht, dass die haftungspflichtige Gesellschaft letzten Endes lediglich auf zwei Maßnahmen, die Durchführung der Zahlungen mittels SWIFT-Verfahrens und die Überwachung der Zahlungen mittels Abgleich der Kundendaten mit Sanktions- und Verdachtslisten, vertraut, die spezifisch für den Auslandszahlungsverkehr geeignet sind. Dies erscheint einzelfallbezogen und konnte auch nicht darlegen, wie in regelmäßigen Abständen an Hand bestimmter Indizien Transaktionsmuster und Kontobewegungen damit überprüft und Abweichungen oder Unregelmäßigkeiten damit erkannt hätten werden können.

Es ist davon auszugehen, dass die haftungspflichtige Gesellschaft ihr eigenes Risiko, im Auslandszahlungsverkehr für Geldwäscherei und Terrorismusfinanzierung missbraucht zu werden, als zu niedrig eingestuft hat und damit über keine angemessenen Strategien und Verfahren für die Risikobewertung, um Transaktionen, die mit Geldwäscherei oder Terrorismusfinanzierung zusammenhängen, vorzubeugen und zu verhindern, im Sinne des § 41 Abs. 4 Z 1 BWG verfügt hat. Wie das Beweisverfahren ergeben hat, existierte diese zu niedrige Einstufung auch noch für das Jahr 2012, weshalb der Tatzeitraum unter Zugeständnis einer Umsetzungsfrist von einem Jahr per 01.01.2009 ab 01.01.2009 bis 31.12.2012, zu diesem Zeitpunkt schied der Beschwerdeführer zu W210 2000433-1 aus, anzusetzen war.

Zu Faktum I.2.4.:

Das Beweisverfahren hat, wie oben dargestellt, ergeben, dass eine Vielzahl der Kunden mit einem geographischen Risiko falsch, nämlich zu niedrig hinsichtlich ihres Risikos eingestuft wurden: 313 Kunden befinden sich in der niedrigsten Risikoklasse, 375 Kunden in den Klassen "standard risk" und "low risk". Darunter sind zahlreiche Stiftungen mit Sitz in Panama und Belize (zB Kunden Nr. XXXX). Hier wurden Kunden, die das konkrete Risiko der "specific geographic area" erfüllt haben, ohne ersichtlichen Grund in den niedrigsten Kategorien eingestuft, obwohl die haftungspflichtige Gesellschaft die Eigenschaft "specific geographic area" als zur Einstufung "medium/increased/high risk" führend angibt. Ein Verfahren zur Risikobewertung von Kunden, das eine derartige Einstufung auf der Risikoskala ermöglicht, kann schon deshalb keinesfalls als angemessen im Sinne des § 41 Abs. 4 Z 1 BWG angesehen werden und wurde von der haftungspflichtigen Gesellschaft gegen ihre Verpflichtung gemäß § 41 Abs. 4 Z 1 BWG verstoßen.

Die schrittweise Überarbeitung dieser Risikobewertung begann im April 2012 und wurde dem Beweisverfahren nach im November 2012 abgeschlossen, ab diesem Zeitpunkt wurden auch die besonders prekären "off-shore"-Destinationen berücksichtigt. Aus diesen Gründen war der Tatzeitraum richtigerweise unter Zugeständnis einer Umsetzungsfrist von einem Jahr per 01.01.2009 ab 01.01.2009 bis 31.10.2012 anzusetzen.

3.2.1.6. Zur Strafsanktionsnorm des § 98 Abs. 2 Z 6 BWG idF BGBl. I 108/2007 und den unterschiedlichen Fassungen des § 98 Abs. 5 bzw. 5a BWG in den Fassungen BGBl. I 37/2010, BGBl. I 35/2012 und BGBl. I 184/2013:

§ 98 Abs. 2 Z 6 BWG in der Fassung BGBl. I 48/2006, am 31.03.2006 in Geltung stehend bis 31.12.2007, sowie in der Fassung BGBl. I 108/2007 in Geltung vom 01.01.2008 bis zum 30.06.2010 lautete:

"(2) Wer als Verantwortlicher (§ 9 VStG) eines Kreditinstitutes

... 6. die Pflichten der §§ 40, 40a, 40b, 40d und 41 Abs. 1 bis 4 verletzt;

....

begeht, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet, eine Verwaltungsübertretung und ist von der FMA mit Geldstrafe bis zu 30 000 Euro zu bestrafen."

Mit BGBl. I 37/2010 wurde in Abs. 5 ein eigener Absatz für die Verstöße gegen Verpflichtungen der §§ 40, 40a, 40d und 41 Abs. 1 bis 4 BWG geschaffen und die Höchststrafe auf bis zu sechs Wochen Freiheitsstrafe oder einer Geldstrafe bis zu € 75.000,-- angehoben.

§ 98 Abs. 5 BWG in der Fassung BGBl. I 37/2010, in Geltung vom 01.07.2010 bis zum 30.04.2012, lautete:

"(5) Wer als Verantwortlicher (§ 9 VStG) eines Kreditinstitutes, wenn auch nur fahrlässig, die Pflichten der §§ 40, 40a, 40b, 40d und 41 Abs. 1 bis 4 verletzt, begeht, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet, eine Verwaltungsübertretung und ist von der FMA mit Freiheitsstrafe bis zu sechs Wochen oder mit einer Geldstrafe bis zu 75 000 Euro zu bestrafen."

In weiterer Folge erfolgte eine Anhebung der Höchstgeldstrafe durch BGBl. I 35/2012, in Geltung ab 01.05.2012, die Bestimmung des § 98 Abs. 5 BWG lautete in dieser Fassung:

"(5) Wer als Verantwortlicher (§ 9 VStG) eines Kreditinstitutes, wenn auch nur fahrlässig, die Pflichten der §§ 40, 40a, 40b, 40d und 41 Abs. 1 bis 4 verletzt, begeht, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet, eine Verwaltungsübertretung und ist von der FMA mit Freiheitsstrafe bis zu sechs Wochen oder mit einer Geldstrafe bis zu 150 000 Euro zu bestrafen."

Zum Zeitpunkt der gegenständlichen Entscheidung am 19.09.2014 ist der Straftatbestand seit 01.01.2014, eingeführt mit BGBl. I 184/2013 und nunmehr bestehend in der Fassung BGBl. I 59/2014, inhaltlich unverändert in § 98 Abs. 5a Z 3 BWG geregelt und mit bis zu sechs Wochen Freiheitsstrafe oder bis zu € 150.000,-- Geldstrafe unter Strafe gestellt.

Somit kam es in den meisten Fällen zu einer Änderung der Sanktionshöhe, wurde doch die Höchststrafe von € 75.000 auf €

150.000,-- angehoben, in den Fällen der Fakten I.19, I.9 und I.12 zu einer zweimaligen Änderung der Höhe der Geldhöchststrafe sowie zur Einführung der Höchstfreiheitsstrafe von bis zu sechs Wochen. Dazu ist festzuhalten, dass aufgrund der Änderung der Sanktionshöhe während des Tatzeitraumes zu beachten ist, dass bei Vorliegen eines Dauerdeliktes das Tatende entscheidend ist. Selbst im Falle einer strengeren Regel ist die Tat nach dem neuen Recht zu beurteilen, da das strafbare Verhalten in der Zeit der strengeren Strafdrohung fortgesetzt wurde (vgl. VwGH 24.04.2014, 2014/02/0014 mwN). Liegt jedoch der Tatzeitraum überwiegend im Geltungsbereich einer günstigeren Strafdrohung, hat das im Rahmen der Entscheidung nach § 19 VStG Berücksichtigung zu finden (vgl. das Erkenntnis vom 7. März 2000, Zl. 96/05/0107).

Der belangten Behörde ist aus diesen Gründen auch nicht entgegenzutreten, wenn sie diese Vorgaben entsprechend zur Anwendung bringt.

3.2.1.7. Ergebnis zur objektiven Tatseite

In Erfüllung der objektiven Tatbestände wurden somit zusammengefasst zu den einzelnen Fakten (die Nummerierung entspricht jener im angefochtenen Straferkenntnis) die folgenden Rechtsvorschriften verletzt:

Zu Faktum I.1: § 40 Abs. 2a Z 3 BWG, BGBl. Nr. 532/1993 idF BGBl. I Nr. 108/2007 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I Nr. 35/2012

Zu Faktum I.2.1.: § 41 Abs. 4 Z 1 BWG, BGBl. Nr. 532/1993 idF BGBl. I Nr. 37/2010 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 37/2010

Zu Faktum I.2.2.: § 41 Abs. 4 Z 1 BWG, BGBl. Nr. 532/1993 idF BGBl. I Nr. 37/2010 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 37/2010

Zu Faktum I.2.3.: § 41 Abs. 4 Z 1 BWG, BGBl. Nr. 532/1993 idF BGBl. I Nr. 37/2010 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 35/2012

Zu Faktum I.2.4.: § 41 Abs. 4 Z 1 BWG, BGBl. Nr. 532/1993 idF BGBl. I Nr. 37/2010 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 37/2010

Zu Faktum I.3.: § 40b Abs. 1 Z 1 BWG, BGBl. Nr. 532/1993 idF BGBl. I Nr. 37/2010 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 35/2012

Zu Faktum I.4.: § 40b Abs. 1 Z 3 BWG, BGBl. Nr. 532/1993 idF BGBl. I Nr. 37/2010 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 35/2012

Zu Faktum I.5.: § 40b Abs. 1 Z 3 lit. a BWG, BGBl. Nr. 532/1993 idF BGBl. I Nr. 37/2010 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 35/2012

Zu Faktum I.6.: § 40b Abs. 1 Z 2 BWG, BGBl. Nr. 532/1993 idF BGBl. I Nr. 37/2010 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 37/2010

Zu Faktum I.7.: § 40 Abs. 2e BWG, BGBl. Nr. 532/1993 idF BGBl. I

108/2007 iVm § 40 Abs. 2a Z 1 BWG, BGBl. Nr. 532/1993 idF BGBl. I

108/2007 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 35/2012

Zu Faktum I.8.: § 40 Abs. 2e BWG, BGBl. Nr. 532/1993 idF BGBl. I 108/2007 iVm § 40b Abs. 1 Z 3 lit. a BWG, BGBl. Nr. 532/1993 idF BGBl. I 37/2010 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 35/2012

Zu Faktum I.9.: § 40 Abs. 2e BWG, BGBl. Nr. 532/1993 idF BGBl. I

108/2007 iVm § 40 Abs. 1 Z 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I

108/2007 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 35/2012

Zu Faktum I.10.: § 40 Abs. 1 Z 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 108/2007 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 35/2012

Zu Faktum I.11.: § 40 Abs. 1 Z 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 108/2007 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 35/2012

Zu Faktum I.12.: § 40 Abs. 2e BWG, BGBl. Nr. 532/1993 idF BGBl. I

108/2007 iVm § 40 Abs. 1 Z 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I

108/2007 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 35/2012

Zu Faktum I.13.: § 40 Abs. 2e BWG, BGBl. Nr. 532/1993 idF BGBl. I 108/2007 iVm § 40b Abs. 1 Z 3 lit. a BWG, BGBl. Nr. 532/1993 idF BGBl. I Nr. 37/2010 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 37/2010

Zu Faktum I.14.: § 41 Abs. 1 Z 1 BWG, BWG, BGBl. Nr. 532/1993 idF BGBl. I 37/2010 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 37/2010

Zu Faktum I.15.: § 40b Abs. 1 Z 3 lit. a BWG, BGBl. Nr. 532/1993 idF BGBl. I Nr. 37/2010 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 37/2010

Zu Faktum I.16.: § 40 Abs. 2a Z 1 BWG, BGBl. Nr. 532/1993 idF BGBl. I 108/2007 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 35/2012

Zu Faktum I.17.: § 40 Abs. 2a Z 1 BWG, BGBl. Nr. 532/1993 idF BGBl. I 108/2007 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 35/2012

Zu Faktum I.18.: § 40 Abs. 2a Z 1 BWG, BGBl. Nr. 532/1993 idF BGBl. I 108/2007 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 35/2012

Zu Faktum I.19.: § 40 Abs. 1 Z 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 108/2007 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 37/2010

Zu Faktum I.20.: § 41 Abs. 1 Z 1 BWG, BGBl. Nr. 532/1993 idF BGBl. I Nr. 37/2010 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 37/2010

Zu Faktum I.21.: § 41 Abs. 1 Z 1 BWG, BGBl. Nr. 532/1993 idF BGBl. I Nr. 37/2010 iVm § 98 Abs 5 BWG, BGBl. Nr. 532/1993 idF BGBl. I 37/2010

3.2.2. Zur subjektiven Verantwortlichkeit des Beschwerdeführers:

Weder im Verfahren vor dem belangten Behörde noch in der Berufung, nunmehr Beschwerde, noch in der mündlichen Verhandlung wurde behauptet, dass ein Verantwortlicher nach § 9 Abs. 2 VStG bestellt worden sei.

Der Beschwerdeführer ist somit gemäß § 9 Abs. 1 VStG für die gegenständlichen Verwaltungsübertretungen der haftungspflichtigen Gesellschaft verwaltungsstrafrechtlich verantwortlich. § 9 Abs. 1 VStG ist aber nach der Rechtsprechung des Verwaltungsgerichtshofes dahingehend einzuschränken, dass die Strafbarkeit nur im Rahmen des eigenen Verschuldens des Beschuldigten, nunmehr des Beschwerdeführers liegt, und dieser darzulegen hat, dass die Einhaltung der Norm ohne sein Verschulden nicht möglich war (vgl. VwGH 19.09.1990, 90/03/0148; 19.09.1989, 89/08/0221).

Festgehalten werden muss, dass aus der bloß intern vorgesehenen Arbeitsaufteilung zwischen den Vorständen nach der Judikatur zu § 9 VStG keine Pflichtenbeschränkung abgeleitet werden kann (vgl. Lewisch in Lewisch/Fister/Weilguni, VStG - Verwaltungsstrafgesetz, (2013), § 9 Rz 16).

Das Vertretungsorgan hat initiativ alles darzutun, das es entlastet (N. Raschauer in Gruber/N. Raschauer, Wertpapieraufsichtsgesetz, Band I, § 95 Rz 4). Der Judikatur des Verwaltungsgerichtshofes zu § 5 Abs. 1 VStG ist zu entnehmen, dass es sich dabei um eine Glaubhaftmachung und nicht um einen Vollbeweis handelt (grundsätzlich dazu VwGH 30.10.1991, 91/09/0060). Die von ihm gesetzten Maßnahmen müssen dazu mit Grund die Einhaltung der gesetzlichen Vorschriften erwarten lassen. Sobald ein Vertretungsorgan die "vernünftigerweise geschuldeten Vorkehrungen

trifft, hat es für die .... eintretende Tatbestandsverwirklichung

nicht einzustehen" (Lewisch in Lewisch/Fister/Weilguni, VStG - Verwaltungsstrafgesetz, (2013), § 9 Rz 6). Die Unkenntnis einer Verwaltungsvorschrift ist gemäß § 5 Abs. 2 VStG nur in einigen wenigen Ausnahmefällen entschuldigend.

Wie der Verwaltungsgerichtshof in ständiger Rechtsprechung zu § 5 Abs. 2 VStG festgehalten hat, trifft den Normunterworfenen bei Veranlassung dazu eine Erkundigungspflicht (Lewisch in Lewisch/Fister/Weilguni, VStG - Verwaltungsstrafgesetz, (2013), § 5 Rz 18). Aus dem bloßen Schweigen der zuständigen Behörde zu einer Anfrage betreffend die rechtliche Qualifikation einer Tätigkeit kann noch nicht auf die Zulässigkeit der Tätigkeit (ohne Konzession nach dem BWG) geschlossen werden (VwGH 04.09.2008, 2008/17/0034). Werden derartige Erkundigungen bei der Behörde oder aber bei einem berufsmäßigen Parteienvertreter unterlassen (vgl. VwGH 30.11.1981, 81/17/0126), so trägt die Partei das Risiko des Irrtums (Lewisch in Lewisch/Fister/Weilguni, VStG - Verwaltungsstrafgesetz, (2013), § 5 Rz 19). Wird in derartigen Fällen gerade eine Konstruktion entwickelt, mit der etwa eine Konzessionspflicht nach dem BWG gerade noch vermieden werden sollte, so ist an diese Erkundigungspflicht ein besonders strenger Maßstab anzulegen (VwGH 27.01.2014, 2011/17/0073 mwN).

Grundsätzlich können jedoch nur Mitteilungen der Behörde aufgrund einer vollständigen Sachverhaltsmitteilung entschuldigend wirken (Lewisch in Lewisch/Fister/Weilguni, VStG - Verwaltungsstrafgesetz, (2013), § 5 Rz 21). Auch wird ein hoher Maßstab an derartige Auskünfte von anderer Seite gelegt, so müssen sich jene von berufsmäßigen Parteienvertretern an der höchstgerichtlichen Judikatur bzw. an der Meinung der zuständigen Behörde orientieren (Lewisch in Lewisch/Fister/Weilguni, VStG - Verwaltungsstrafgesetz, (2013), § 5 Rz 19).

Solange weder eine Auskunft der zuständigen Stelle noch ein Feststellungsbescheid vorliegt, kann der Rechtsunterworfene sich auch nicht auf einen Schuldausschließungsgrund im Hinblick auf fehlende Judikatur des Verwaltungsgerichtshofes berufen (vgl. VwGH 04.09.2008, 2008/17/0034; 07.10.2013, 2013/17/0592).

Im Verfahren ist nicht hervorgekommen, dass die Beschwerdeführer zu W210 2000428-1, W210 2000433-1 und W210 2000435-1, also auch der Beschwerdeführer im gegenständlichen Verfahren, zu einem Zeitpunkt während der ihnen angelasteten Tatzeiträume bei der FMA angefragt hätten, ob die gewählten Konstruktion und Vorgehensweisen rechtskonform seien.

Vielmehr verließen sich sämtliche der drei Vorstände auf Umstände wie etwa den XXXX-Bericht oder auch den vorgelegten XXXX-Bericht vom 03.12.2010, der dem Vorbringen nach rechtlich einwandfreies Handeln bescheinigt hätte. Dem ist entgegenzuhalten, dass im ersten Teil des Berichtes von XXXX eine Vielzahl von Verbesserungsvorschlägen zur Prävention von Geldwäscherei und Terrorismusfinanzierung enthalten sind, auch mit Verweisen auf die tatsächlichen rechtlichen Gegebenheiten und Erwartungen seitens der FMA. Weiters ist darauf hinzuweisen, dass es sich bei XXXX um einen Wirtschaftsprüfer handelt, dessen rechtliche Expertise nicht notwendigerweise jene der belangten Behörde wiedergibt und sich auch nicht notwendigerweise auf die Judikatur des Verwaltungsgerichtshofes stützt. Vielmehr hätten die Vorstände spätestens bei Kenntnis des Berichts im Jänner 2011 die Vorgehensweise der haftungspflichtigen Gesellschaft kritisch hinterfragen und durch konkrete Nachfragen bei der belangten Behörde auf ihre Gesetzmäßigkeit überprüfen müssen.

Zum Vorbringen, dass die FMA trotz Kenntnis der Sachlage geschwiegen habe, ist zusätzlich darauf zu verweisen, dass das bloße Tolerieren eines rechtswidrigen Zustandes bzw. dessen Nicht-Bestrafung durch die Behörde keinen Entschuldigungsgrund darstellt (Lewisch in Lewisch/Fister/Weilguni, VStG - Verwaltungsstrafgesetz, (2013), § 5 Rz 22).

Im Verfahren ist auch nicht hervorgekommen, dass ein effizientes Regel- und Kontrollsystem in der haftungspflichtigen Gesellschaft existiert hätte. Ein derartiges Kontrollsystem müsste sich an den einschlägigen Regeln orientieren, Instruktionen hinsichtlich ihrer Einhaltung beinhalten, wirksame Kontrollen beinhalten, die sich nicht in Stichproben erschöpfen können, und Sanktionen für den Fall von Verstößen vorsehen (Lewisch in Lewisch/Fister/Weilguni, VStG - Verwaltungsstrafgesetz, (2013), § 9 Rz 43). Im Rahmen seiner Mitwirkungsobliegenheit hat der Beschwerdeführer in einem derartigen Fall aus Eigenem anzuführen, wie ein derartiges System im Details funktionieren soll, wer für die Ergreifung von Maßnahmen zuständig ist, auf welche Art, in welchem Umfang und in welchen zeitlichen Abständen Kontrollen durchgeführt worden sind (VwGH 26.05.2014, 2012/03/0084; Lewisch in Lewisch/Fister/Weilguni, VStG - Verwaltungsstrafgesetz, (2013), § 9 Rz 44). Wie bereits oben ausgeführt, kam es bei Schulungen zu Unzulänglichkeiten - Mitarbeiter wurden geschult, aber die Maßnahmen wurden seitens der Mitarbeiter nicht eingehalten -, wurden Einwände der Geldwäschebeauftragten ignoriert - so wurden Konten trotz Zustimmungsverweigerung der Compliance-Abteilung wegen mangelnder Identitätsfeststellung und Identitätsüberprüfung eröffnet - und konnte nicht festgestellt werden, dass es zu Sanktionen gekommen ist, wenn das Kontrollsystem anschlug, vielmehr zeigte sich das Bild, das dies ignoriert wurde und im Tagesgeschäft weitergegangen wurde. Ein effizientes Kontroll- und Regelsystem kann darin in keinem Fall erblickt werden.

Aufgrund der Tatsache, dass der Beschwerdeführer im gegenständlichen Verfahren als verwaltungsstrafrechtlich Verantwortlicher gemäß § 9 Abs. 1 VStG keinen Entschuldigungsgrund im Sinne des § 5 Abs. 2 VStG vorbringen konnte, ist von der subjektiven Vorwerfbarkeit des Verhaltens auszugehen.

Den Beschwerdeführer im gegenständlichen Verfahren trifft somit auch subjektiv ein Verschulden.

3.2.3. Zur Strafbemessung:

Gemäß § 19 VStG sind Grundlage für die Bemessung der Strafe die Bedeutung des strafrechtlich geschützten Rechtsgutes und die Intensität seiner Beeinträchtigung durch die Tat. Überdies sind die nach dem Zweck der Strafdrohung in Betracht kommenden Erschwerungs- und Milderungsgründe, soweit sie nicht schon die Strafdrohung bestimmen, gegeneinander abzuwägen. Auf das Ausmaß des Verschuldens ist besonders Bedacht zu nehmen. Unter Berücksichtigung der Eigenart des Verwaltungsstrafrechtes sind die §§ 32 bis 35 des Strafgesetzbuches sinngemäß anzuwenden. Die Einkommens- und Vermögensverhältnisse und allfällige Sorgepflichten des Beschuldigten sind bei der Bemessung von Geldstrafen zu berücksichtigen.

Das BWG sieht unter anderem auch engmaschige Bestimmungen für die Prävention von Geldwäsche und Terrorismusfinanzierung vor. Verstöße gegen diese Bestimmungen stellen einen schweren Eingriff in das Rechtsschutzsystem des BWG dar und der Unrechtsgehalt der vorliegenden Verwaltungsübertretungen, selbst bei Fehlen sonstiger nachteiliger Folgen, ist demnach als hoch einzustufen.

Das Verschulden der Berufungswerber konnte nicht als geringfügig angesehen werden, da weder hervor gekommen ist, noch aufgrund der Tatumstände anzunehmen war, dass die Verwirklichung der Tatbestände aus besonderen Gründen nur schwer hätte vermieden werden können.

Wie oben bei der zugrundeliegenden Rechtslage aufgeführt, wurde § 98 Abs. 2 Z 6 BWG bzw. § 98 Abs. 5 BWG je nach Tatzeitraum ein oder gar zweimal hinsichtlich der Sanktionshöhe erhöhend geändert. Dazu ist, wie oben zu den Strafsanktionsnormen ausgeführt, festzuhalten, dass aufgrund dieser Änderung der Sanktionshöhe während des Tatzeitraumes zu beachten ist, dass bei Vorliegen eines Dauerdeliktes das Tatende entscheidend ist, bei überwiegendem Tatzeitraum im Geltungszeitraum der günstigeren Strafdrohung ist dies bei der Strafbemessung zu beachten.

Die belangte Behörde verhängte zu den einzelnen Spruchpunkten nur sehr geringe Strafen, dies kommt deutlich zu Tage, wenn man die verhängten Strafen mit der jeweiligen Strafdrohung in Relation setzt. So wurden zu den Fakten I.1, I.3, I.4, I.5, I.2.1., 1.2.2.,

1.2.3 und 1.2.4 jeweils nur 6,67% der jeweils zu verhängenden Höchststrafen verhängt, das sind bei der Höchststrafdrohung von €

75.000 € 5.000 und bei der Höchststrafdrohung von € 150.000 €

10.000. Bei diesen Vergehen handelt es sich zumeist um Verstöße gegen systemrelevante Verpflichtungen der haftungspflichtigen Gesellschaft. Zu den Fakten I.20., I.21., I.14 wurden aufgrund der konkreten Vergehen gegen die Verpflichtung zur Erstattung von Verdachtsmeldungen jeweils 3,3% der jeweils zu verhängenden Höchststrafe von € 75.000 verhängt, nämlich jeweils € 2.500. Lediglich 1,3% der jeweils möglichen Höchststrafe von € 75.000 wurde zu Faktum I.6 verhängt, somit € 1.000. Nur 1% der möglichen Höchststrafe von € 75.000, sohin € 750, wurde zu den Fakten I.19, I.13. und I.15 verhängt. Lediglich 0,5% der jeweils zu verhängenden Höchststrafe von € 150.000 wurden zu I.16., I.17., I.18., I.7., I.8., I.9., I.10., I.11., I.12 verhängt , das sind jeweils € 750.

Im Verfahren vor der belangten Behörde wurde die Unbescholtenheit des Beschwerdeführers im gegenständlichen Verfahren beachtet. Im vorliegenden Verfahren kam zu Tage, dass Herr XXXX über kein Einkommen verfügt und Sorgepflichten gegenüber zwei minderjährigen Kindern und einer Gattin hat. Dies wurde entsprechend in Form einer Herabsetzung der Strafe auf € ingesamt € 64.800,-- berücksichtigt. Im Detail wurden die Strafen zu den einzelnen Fakten wie folgt heruntergesetzt:

Faktum Strafe im Straferkenntnis der belangten Behörde (€/h) nunmehr herabgesetzte Strafe (€/h)

I.1 10.000,00 45 8.000,00 32

I.2 25.000,00 112 20.000,00 90

I.3 10.000,00 45 8.000,00 32

I.4 10.000,00 45 8.000,00 32

I.5 10.000,00 45 8.000,00 32

I.6 1.000,00 6 800,00 5

I.7 750,00 6 500,00 4

I.8 750,00 6 500,00 4

I.9 750,00 6 500,00 4

I.10 750,00 6 500,00 4

I.11 750,00 6 500,00 4

I.12 750,00 6 500,00 4

I.13 750,00 6 500,00 4

I.14 2.500,00 11 2.000,00 9

I.15 750,00 6 500,00 4

I.16 750,00 6 500,00 4

I.17 750,00 6 500,00 4

I.18 750,00 6 500,00 4

I.19 750,00 6 500,00 4

I.20 2.500,00 11 2.000,00 9

I.21 2.500,00 11 2.000,00 9

Insgesamt € 82.500 403 h € 64.800,00 298 h

Weitere mildernde Umstände oder Erschwerungsgründe sind im Verfahren nicht hervorgekommen.

Aufgrund der Bedeutung der zu schützenden Rechtsgüter und dem nicht bloß geringfügigen Verschulden des Beschwerdeführers war von einem Vorgehen nach § 45 Abs. 1 Z 6 bzw. § 45 Abs. 1 letzter Satz VStG, Nachfolgerbestimmung des § 21 VStG, entfallen mit BGBl. I 33/2013, abzusehen.

3.2.4. Zum Kostenabspruch:

Da der Beschwerdeführer mit seiner Beschwerde zumindest teilweise durchgedrungen ist, ist ihm gemäß § 52 Abs. 8 VwGVG kein Beitrag zu den Kosten des Beschwerdeverfahrens aufzuerlegen.

3.3. Zu Spruchpunkt B.) zur Unzulässigkeit der Revision:

Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die Revision ist gemäß Art 133 Abs. 4 B-VG nicht zulässig, weil die Entscheidung nicht von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt.

Die Bestimmungen der §§ 40 BWG ff. sind eindeutig und klar formuliert. Die Judikatur des Verwaltungsgerichtshofes zu §§ 5 und 9 VStG ist ebenso ausführlich wie vielschichtig, jedenfalls eindeutig in den sich in diesem Verfahren stellenden Fragen (vgl. die Ausführungen unter Punkt 3. zur rechtlichen Beurteilung). Die Rechtsprechung des Verwaltungsgerichtshofes hinsichtlich der Kriterien des Vorliegens eines Dauerdeliktes und der Bedeutung einer Änderung der Strafdrohung während des Tatzeitraumes eines Dauerdeliktes erscheint zum Entscheidungszeitpunkt vom 19.09.2014 ebenso eindeutig (siehe rechtliche Beurteilung zu Punkt 3.2.1 mit den jeweiligen Judikaturzitaten).

Weder weicht die gegenständliche Entscheidung von dieser bisherigen Rechtsprechung des Verwaltungsgerichtshofes ab, noch fehlt es an einer Rechtsprechung; weiters ist die vorliegende Rechtsprechung des Verwaltungsgerichtshofes auch nicht als uneinheitlich zu beurteilen. Auch liegen keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfrage vor. Die zugrundeliegenden Normen sind klar und bestimmt, dass kein Hinweis vorliegt, der das Vorliegen einer Rechtsfrage von grundsätzlicher Bedeutung vermuten ließe.