AFM deckt fünf PEP-Sorgfaltspflichtverstöße auf: Was Firmen jetzt beheben müssen
Die niederländische Finanzmarktaufsicht (AFM) hat die Ergebnisse einer thematischen Untersuchung veröffentlicht, wie Finanzunternehmen die Sorgfaltspflicht gegenüber politisch exponierten Personen (PEPs) handhaben. Das Fazit ist deutlich: Unternehmen wenden Standardverfahren an, wo das Gesetz eine individuelle Risikobewertung verlangt, und mehrere arbeiten mit veralteten Screening-Listen und unzureichend geschultem Personal. Für Krypto-Dienstleister und die sie betreuenden Wirtschaftsprüfungsgesellschaften sind die AFM-Erkenntnisse ein direktes Signal, dass PEP-Rahmenwerke geprüft werden.
Warum die AFM jetzt die PEP-Bearbeitung überprüfte
Die Überprüfung wurde durch frühere Aufsichtserkenntnisse ausgelöst, die im Rahmen des periodischen Fragebogenzyklus der AFM aufkamen. Der Umfang umfasste Wertpapierfirmen, Investmentfonds und Finanzdienstleister, bewertet anhand ihrer Verpflichtungen aus den Gesetzen zur Geldwäschebekämpfung, Terrorismusfinanzierung und Sanktionen. PEPs nehmen in diesem Rahmen eine besondere Stellung ein: Da sie herausragende öffentliche Ämter innehaben oder innehatten, gelten sie als anfälliger für Korruption und Bestechung und sind regulatorisch standardmäßig als höheres Risiko eingestuft.
Der breitere AML-Kontext
Die Überprüfung der AFM ist Teil einer umfassenderen europäischen Initiative, die AML-Kontrollen in allen regulierten Sektoren zu verschärfen, einschließlich der Krypto-Dienstleister, die nun unter MiCA tätig sind. Unternehmen, die kürzlich eine CASP-Genehmigung durchlaufen haben oder ihre Compliance-Infrastruktur zur Erfüllung der MiCA-Anforderungen aufbauen, sollten diese Überprüfung als aktuellen Maßstab dafür betrachten, wie Regulierungsbehörden PEP-Prozesse in der Praxis erwarten.
Die fünf von der AFM identifizierten Mängel
Die Überprüfung ergab fünf eindeutige Feststellungen, die jeweils auf eine Lücke zwischen der schriftlichen Richtlinie und der tatsächlichen Praxis hinweisen. Zusammengenommen beschreiben sie eine Compliance-Kultur, die PEP-Screening als reine Checklisten-Übung behandelt und nicht als risikobasierten Prozess.
1. Allgemeine verstärkte Sorgfalt statt individueller Risikobewertung
Wenn Unternehmen einen PEP identifizierten und eine verstärkte Sorgfalt anwendeten, stellte die AFM fest, dass sie ihre Maßnahmen nicht immer an das spezifische Risikoprofil dieser Person anpassten. Nicht jeder PEP birgt das gleiche Risiko: Ein pensionierter Gemeinderat stellt ein anderes Risikobild dar als ein amtierender Finanzminister in einer korruptionsanfälligen Jurisdiktion. Die AFM stellt klar, dass Unternehmen jeden PEP anhand seiner eigenen Umstände bewerten und entsprechende angemessene Maßnahmen ergreifen müssen.
2. Nationalität als alleiniges Risikokriterium
Bei einigen Unternehmen wurde festgestellt, dass sie die Nationalität eines Kunden als unabhängigen Faktor in der Risikobewertung verwendeten. Die AFM beanstandet dies auf zwei Ebenen. Erstens ist es analytisch schwach: Die Nationalität allein sagt wenig über die tatsächliche Korruptionsanfälligkeit einer Person aus. Zweitens, und schwerwiegender, schafft es ein erhebliches Risiko einer ungerechtfertigten Diskriminierung. Die Nationalität kann ein breiteres Risikobild informieren, darf aber nicht das alleinige Gewicht der Bewertung tragen.
3. Inkonsistente Definition und Anwendung des PEP-Umfangs
Die PEP-Kategorie umfasst nicht nur die Person, die eine herausragende öffentliche Funktion ausübt, sondern auch deren unmittelbare Familienangehörige und enge Geschäftspartner. Die AFM stellte fest, dass diese Definition innerhalb der Unternehmen nicht einheitlich angewandt wurde; einige Teams legten eine engere Auslegung zugrunde als gesetzlich vorgeschrieben. Ein inkonsistentes internes Verständnis führt direkt zu verpassten Screening-Treffern und unvollständigen Sorgfaltsakten.
4. Veraltete oder falsche Screening-Listen
Selbst wo Screening-Prozesse existierten, verließen sich einige Unternehmen auf Listen, die nicht mehr aktuell waren. Der PEP-Status ändert sich: Wahlen, Ernennungen und Rücktritte verschieben das Gefährdungsprofil einer Person. Eine Person, die bei der Aufnahme ein PEP war, kann es nicht mehr sein; ein Kunde, der bei der Aufnahme kein PEP war, kann einer geworden sein. Die AFM stellt fest, dass Änderungen des PEP-Status während einer laufenden Kundenbeziehung erfasst werden müssen und Unternehmen nicht davon ausgehen können, dass ihre Tools dies automatisch handhaben.
5. Richtlinie vorhanden, aber Umsetzung und Dokumentation mangelhaft
Vielleicht die betrieblich bedeutsamste Feststellung: Viele Unternehmen hatten angemessene schriftliche Richtlinien, konnten aber nicht nachweisen, dass diese in der Praxis befolgt wurden, und ihre Dokumentation der einzelnen Sorgfaltsmaßnahmen war unzureichend. Im Rahmen einer Durchsetzungs- oder Prüfungsmaßnahme ist eine nicht dokumentierte Kontrolle praktisch keine Kontrolle. Die AFM betont, dass jeder Schritt, der während der Kunden-Sorgfaltspflicht unternommen wird, ordnungsgemäß aufgezeichnet werden muss.
Tools, Drittanbieter und wo die Verantwortung liegt
Unternehmen verlassen sich zunehmend auf Screening-Tools von Drittanbietern, um PEPs zu identifizieren, und die AFM hat grundsätzlich nichts dagegen einzuwenden. Was die Überprüfung jedoch klarstellt: Die Auslagerung der Screening-Aufgabe überträgt nicht die regulatorische Verantwortung. Die Unternehmen bleiben vollständig dafür verantwortlich, zu überprüfen, ob das von ihnen verwendete Tool die korrekten Prüfungen durchführt, ob seine Listen aktuell sind und ob eventuelle Lücken in der Abdeckung identifiziert und durch manuelle Prozesse ausgeglichen werden.
Implikationen für die digitale Asset-Bilanzierung und Compliance-Infrastruktur
Für Unternehmen, die Krypto-Buchhaltungssoftware oder Software für die Bilanzierung digitaler Assets zur Verwaltung von Kundenportfolios verwenden, ist dies ein relevanter betrieblicher Punkt. Screening-Tools, die in die Kunden-Onboarding- oder Transaktionsüberwachungs-Workflows integriert sind, unterliegen dem gleichen Vorbehalt: Das Unternehmen, nicht der Anbieter, trägt die Verantwortung für das Compliance-Ergebnis. Die Überprüfung der SLAs des Anbieters hinsichtlich der Aktualisierungsfrequenz der Listen und der Genauigkeitsgarantien ist ein praktischer erster Schritt. Dies steht in direktem Zusammenhang mit den Sorgfaltsfragen, die Unternehmen zu jedem datenabhängigen Compliance-Prozess stellen sollten, wie in unserem Beitrag zur Auswirkung der Datenqualität von Blockchain-Analysen auf die AML-Screening-Genauigkeit erläutert.
Mitarbeiterschulung: Zweckmäßig, nicht allgemein
Die AFM stellte fest, dass einige Unternehmen sich auf allgemeine Finanzqualifikationen verließen, um die Schulungsanforderung für Personal zu erfüllen, das PEP-Sorgfaltspflichten durchführt. Die Überprüfung stellt klar, dass dies unzureichend ist. Die Schulung muss auf die spezifischen Funktionen zugeschnitten sein, die die Mitarbeiter ausüben, und auf realen Szenarien basieren. Ein breites Branchendiplom befähigt einen Analysten nicht automatisch, eine PEP-Beziehung korrekt abzugrenzen, verbundene Parteirisiken zu bewerten oder zu erkennen, wann sich der politische Status eines Kunden geändert hat.
Compliance-Verantwortliche sollten ihre aktuellen Schulungsprogramme auf die spezifischen Aufgaben überprüfen, die ihre Teams im PEP-Screening und bei der Überprüfung durchführen. Wo Lücken bestehen, ist eine gezielte Weiterbildung, nicht das Vertrauen auf allgemeine Qualifikationen, die erwartete Reaktion.
Praktische Schritte für Compliance-Beauftragte und Wirtschaftsprüfungsgesellschaften
Die AFM-Erkenntnisse lassen sich in eine klare Checkliste für Unternehmen übersetzen, die ihre eigenen PEP-Rahmenwerke überprüfen. Keiner dieser Schritte erfordert eine regulatorische Änderung: Sie spiegeln bereits geltende Verpflichtungen wider.
Unmittelbare Überprüfungsprioritäten
Erstens: Überprüfen Sie, wie die verstärkte Sorgfalt tatsächlich auf Einzelfallebene angewendet wird, nicht nur wie die Richtlinie es beschreibt. Ziehen Sie eine Stichprobe aktueller PEP-Akten und prüfen Sie, ob die angewandten Maßnahmen auf die Person zugeschnitten waren. Zweitens: Entfernen Sie die Nationalität als alleinigen Risikofaktor, falls sie derzeit als solcher fungiert. Sie kann ein kontextueller Datenpunkt bleiben, aber die Risikobewertung muss durch das Profil der Person bestimmt werden. Drittens: Stellen Sie sicher, dass die von allen Teams angewandte PEP-Definition Familienangehörige und enge Geschäftspartner umfasst, nicht nur die Hauptperson. Viertens: Kontaktieren Sie Ihren Screening-Tool-Anbieter und holen Sie eine schriftliche Bestätigung ein, wie häufig die Listen aktualisiert werden und wie Statusänderungen während der Beziehung gekennzeichnet werden. Fünftens: Dokumentieren Sie alles. Wenn ein Schritt nicht aufgezeichnet ist, hat er aus aufsichtsrechtlicher Sicht nicht stattgefunden.
Für Unternehmen, die kürzlich mit den AFM-Anforderungen in anderen Bereichen befasst waren, wie etwa bei der Umsetzung der Online-Schnittstellenanforderungen der AFM für Krypto-Dienstleister, sollte die PEP-Sorgfaltspflicht als Teil desselben Compliance-Prüfungszyklus behandelt werden, nicht als separater Arbeitsbereich.
Unternehmen, die PEP-Workflows über mehrere Jurisdiktionen hinweg verwalten, sollten auch beachten, dass die zugrunde liegende Verpflichtung aus den EU-Geldwäschebekämpfungsrichtlinien stammt, was bedeutet, dass in anderen Mitgliedstaaten eine gleichwertige aufsichtliche Aufmerksamkeit wahrscheinlich ist. Die veröffentlichten Erkenntnisse der AFM bieten Compliance-Teams einen konkreten Rahmen, den sie als Benchmark nutzen können, unabhängig davon, wo sich ihre Kunden befinden.
Quelle: AFM (Autoriteit Financiële Markten)
Was umfasst die PEP-Überprüfung der AFM?
Die Überprüfung bewertete, wie Wertpapierfirmen, Investmentfonds und Finanzdienstleister die Sorgfaltspflicht gegenüber politisch exponierten Personen handhaben, einschließlich der Nutzung von Screening-Tools, Mitarbeiterschulung, Dokumentation und individueller Risikobewertungspraktiken.
Erfüllt die Nutzung eines Screening-Tools eines Drittanbieters die PEP-Anforderungen der AFM?
Nein. Die AFM stellt klar, dass die Verantwortung für die Richtigkeit und Vollständigkeit des PEP-Screenings beim Unternehmen verbleibt. Unternehmen müssen überprüfen, ob das von ihnen genutzte Tool korrekte Prüfungen durchführt und ob seine zugrunde liegenden Listen aktuell gehalten werden, einschließlich der Erfassung von Änderungen des PEP-Status während der laufenden Beziehung.
Darf die Nationalität als Faktor bei PEP-Risikobewertungen verwendet werden?
Die AFM stellte fest, dass die Verwendung der Nationalität als alleiniges oder primäres Kriterium ein Risiko ungerechtfertigter Diskriminierung schafft und analytisch unzureichend ist. Sie kann Teil eines breiteren Kontextbildes sein, aber die individuelle Rolle, Geschichte und Gefährdung der Person muss die Bewertung leiten.
Wer gilt nach den von der AFM angewandten Regeln als PEP?
Die Kategorie umfasst die Person, die eine herausragende öffentliche Funktion ausübt oder ausgeübt hat, deren unmittelbare Familienangehörige und deren enge Geschäftspartner. Die AFM stellte fest, dass dieser volle Umfang innerhalb der Unternehmen nicht einheitlich angewandt wurde.
Welche Schulung erwartet die AFM für Personal, das PEP-Sorgfaltspflichten durchführt?
Die Schulung muss auf die spezifischen Funktionen zugeschnitten sein, die die Mitarbeiter ausüben, und nicht durch allgemeine Finanzqualifikationen erfüllt werden. Die AFM erwartet Programme, die auf realer Praxis basieren und auf die tatsächlichen PEP-bezogenen Aufgaben der jeweiligen Rolle abgestimmt sind.
