Anti-Geldwäsche: Strenge neue Regeln für die Krypto-Branche in Kraft

Nun ist es also so weit. Heute, am 10. Jänner 2020 treten neue Regelungen für die Krypto-Branche in Österreich in Kraft. Gemeint ist die Einbeziehung von Dienstleistern in Bezug auf virtuelle Währungen in das rechtliche Regime zur Verhinderung von Geldwäsche und Terrorismusfinanzierung. Überraschend kamen die neuen Regeln freilich nicht. Bereits 2018 hatte das EU-Parlament eine Richtlinie dazu erlassen (Anm.: AML5). Und im Juli vergangenen Jahres hat schließlich auch das österreichische Parlament ein entsprechendes Umsetzungsgesetz verabschiedet. Viel Zeit also, sich als Unternehmen in der Krypto-Branche auf die Neuerungen einzustellen.

+++ Mehr zum Thema Krypto +++

Unangenehme Aha-Erlebnisse

Und dennoch: Für viele Unternehmen wurde die Zeit knapp. Möglicherweise wurde einfach der Umfang an neuen Regelungen unterschätzt. Für ein Aha-Erlebnis der unangenehmen Art sorgte auch die Erkenntnis, dass viele bisher wie selbstverständlich gelebte Gepflogenheiten in der Branche nach den neuen Regeln nicht mehr zulässig sein würden. Aber was sind nun eigentlich diese Regelungen zur Verhinderung von Geldwäsche und Terrorismusfinanzierung, die Kryptounternehmen nun treffen?

Ein "Picasso der Legistik"

In Österreich unterliegen seit 10. Jänner 2020 auch sogenannte "Dienstleister in Bezug auf virtuelle Währungen" dem Finanzmarkt Geldwäsche-Gesetz (FM-GwG), einem Gesetz, das wohl zutreffend als "Picasso der Legistik" bezeichnet werden darf. Gemeint ist damit vor allem der erste Eindruck, der bei der Lektüre entsteht. Gemeint ist aber auch, dass sich das legislative Kunstwerk FM-GwG dem geneigten Leser bei nahezu jeder erneuten Auseinandersetzung ein wenig anders darstellt. Und auch, dass es wohl ebenso viel Spielraum für Interpretation zulässt, wie der echte Picasso.

#rooftop.talk zum Thema:

https://www.facebook.com/derBrutkasten/videos/338845837042727/

Gleichstellung mit Banken bei Geldwäsche und Terrorismusfinanzierung

Aber zurück zum Thema: Neu ist, dass neben Kredit- und Finanzinstituten nunmehr als dritte Gruppe auch "Dienstleister in Bezug auf virtuelle Währungen" als Verpflichtete im Gesetz ausdrücklich genannt sind. Im Wesentlichen bedeutet dies, dass für die Kryptobranche dieselben Regeln zur Prävention von Geldwäsche und Terrorismusfinanzierung gelten, wie für die Bankenwelt. Möglicherweise hat diese Gleichstellung einen erfreulichen Nebeneffekt: Krypto-Unternehmen könnte es in Zukunft vielleicht einfacher fallen, in Österreich an ein Geschäftskonto zu gelangen. Bekanntlich ist ja bereits dieser erste Schritt in der Branche ein Spießrutenlauf. Die Gleichstellung mit Banken bedeutet aber vor allem eines: Viele neue Pflichten. Bevor diese detaillierter behandelt werden, ist aber noch eine andere Frage wesentlich:

Wer ist "Dienstleister in Bezug auf virtuelle Währungen"?

Die neuen Regeln gelten für "Dienstleister in Bezug auf virtuelle Währungen". Wer ist aber überhaupt ein solcher Dienstleister? Um das zu beantworten, enthält das Gesetz gleich zwei Definitionen. Einerseits definiert es den Begriff der virtuellen Währung, andererseits den Begriff des Dienstleisters.

Was ist eine "virtuelle Währung"?

Nach der neuen Definition sind virtuelle Währungen eine "digitale Darstellung eines Werts, die von keiner Zentralbank oder öffentlichen Stelle emittiert wurde oder garantiert wird und nicht zwangsläufig an eine gesetzlich festgelegte Währung angebunden ist und die nicht den gesetzlichen Status einer Währung oder von Geld besitzt, aber von natürlichen oder juristischen Personen als Tauschmittel akzeptiert wird und die auf elektronischem Wege übertragen, gespeichert und gehandelt werden kann." Wesentlich ist dabei der Hinweis des Gesetzgebers, dass virtuelle Währungen nur solche digitalen Assets sind, die als Tauschmittel akzeptiert werden. Bitcoin, Ether, Dash, Litecoin, Monero und Konsorten sind damit klar virtuelle Währungen. Security Token – also tokenisierte Wertpapiere – oder Token mit anderer Funktion, sind hingegen keine virtuellen Währungen, wenn sie nicht als Tauschmittel akzeptiert werden. Im Detail ergeben sich freilich Abgrenzungsfragen. Die Frage, ob es sich bei einem digitalen Asset um eine virtuelle Währung handelt, ist durchaus in der Praxis relevant. Eine Dienstleistung in Bezug auf virtuelle Währung setzt nämlich voraus, dass sie - Überraschung - in Bezug auf eine virtuelle Währung erbracht wird. Ob ein digitales Asset eine virtuelle Währung ist, sollte daher als Vorfrage stets auch mitüberlegt werden.

Wer ist in dem Zusammenhang ein "Dienstleister"?

Nach der zweiten neuen Definition ist "Dienstleister in Bezug auf virtuelle Währungen" jemand, der eine oder mehrere der folgenden Dienstleistungen anbietet:

• Dienste zur Sicherung privater kryptografischer Schlüssel, um virtuelle Währungen im Namen eines Kunden zu halten, zu speichern und zu übertragen (Anbieter von elektronischen Geldbörsen)
• Tausch von virtuellen Währungen in Fiatgeld und umgekehrt
• Tausch einer oder mehrerer virtueller Währungen untereinander
• Übertragung von virtuellen Währungen
• Zurverfügungstellung von Finanzdienstleistungen für die Ausgabe und den Verkauf von virtuellen Währungen

Die ersten drei Varianten sind selbsterklärend. Wer fremde private Schlüssel verwaltet, gilt als Dienstleister in Bezug auf virtuelle Währungen; ebenso wer virtuelle Währungen verkauft oder ankauft oder den Tausch zwischen verschiedenen virtuellen Währungen ermöglicht. Die letzten beiden Varianten werfen allerdings mehr Fragen auf als sie beantworten. Umfasst das Übertragen von virtuellen Währungen beispielsweise auch Mining? Oder umfasst das Übertragen von virtuellen Währungen auch Anwendungen, die Metamask integrieren, um das "Bezahlen" mit virtuellen Währungen zu ermöglichen? Wahrscheinlicher ist freilich, dass damit nur Unternehmer erfasst werden sollen, die eigene virtuelle Währungen für andere weiterleiten; so klar steht dies aber nicht im Gesetz. Ähnlich unklar ist, was das Zurverfügungstellen von Finanzdienstleistungen für die Ausgabe und den Verkauf von virtuellen Währungen umfasst.

Welche neuen Pflichten gelten nun für die Krypto-Branche?

Risikoanalyse auf Unternehmensebene

Liest man die Verpflichtungen der Reihe nach, so wirken sie überschaubar. Der Teufel steckt allerdings - wie so oft - im Detail: So ist beispielsweise eine Risikoanalyse auf Unternehmensebene zu erstellen. Dabei soll untersucht werden, welche Risiken im eigenen Unternehmen bestehen, für Geldwäsche oder Terrorismusfinanzierung missbraucht zu werden. Damit man aber die Risiken seines Unternehmens einschätzen kann, bedarf es zuvor einer genauen Auseinandersetzung mit dem eigenen Geschäftsmodell. Geschäftsmodell- und Risikoanalyse sind somit quasi miteinander verschränkt. Ändert oder erweitert sich das Geschäftsmodell, so ist auch die Risikoanalyse anzupassen.

Risikoklassifizierung auf Kundenebene

Gleiches gilt für die sogenannte "Risikoklassifizierung auf Kundenebene": Für Kunden sind Kriterien zu definieren, wie diese in verschiedene Risikogruppen eingeteilt werden können. Unterschiedliche Risikoeinstufungen können nämlich unterschiedlich intensive Sorgfaltspflichten auslösen. Und um zu bestimmten, welche Intensität bei einem Kunden gerade richtig ist, bedarf es der vorherigen Klassifizierung. Von den verschiedenen neuen sogenannten Sorgfaltspflichten seien nachfolgend nur auszugsweise einige genannt:

• Feststellung und Überprüfung der Kundenidentität
• Feststellung und Überprüfung wirtschaftlicher Eigentümer
• Feststellung und Bewertung von Art und Zweck der Geschäftsbeziehung
• Feststellung und Überprüfung der Mittelherkunft

Für diese und andere Sorgfaltspflichten kann es unterschiedliche Herangehensweisen geben. Wesentlich ist aber stets, dass neben dem Feststellen auch ein Überprüfen erfolgen muss. Was in den genannten Fällen als Feststellen und was als Überprüfen gilt, muss dabei nicht immer sonnenklar sein.

Geldwäschebeauftragter, anonyme Whistleblower-Meldungen und laufende Dokumentation

Neu ist unter anderem weiters, dass ein Geldwäschebeauftragter zu bestellen ist. Dieser muss nicht nur fachlich geeignet und persönlich zuverlässig sein, er muss sich auch stets fortbilden. Mitarbeiter sind zu schulen und einzuweisen. Es muss auch die Möglichkeit für anonyme Whistleblower-Meldungen von Mitarbeitern geschaffen werden. Es sind weiters Datenbankzugänge einzurichten, um etwa Verdachtsmeldungen an die Geldwäschemeldestelle abzusetzen oder die wirtschaftlichen Eigentümer festzustellen (oder war es doch zu deren Überprüfung?). Die Einhaltung aller Verpflichtungen ist nachvollziehbar zu kontrollieren und alles zu dokumentieren. Für zehn Jahre. Es genügt also nicht, ein Dokument zu verfassen, das in einer Schublade verschwindet, bis es bei einer Kontrolle hervorgeholt wird. Die Herausforderung für Unternehmen liegt also darin, für alle Verpflichtungen nach dem FM-GwG Prozesse zu schaffen, und deren Einhaltung auch zu kontrollieren. Gerade für kleinere Unternehmen kann dies eine große Herausforderung sein.

Registrierungspflicht bei der FMA

Das neue Gesetz stärkt die Position der FMA in ihrer Aufsichtsrolle. Dienstleister in Bezug auf virtuelle Währungen müssen sich bei der FMA registrieren, und zwar unabhängig davon, ob sie in Österreich ansässig sind oder nur vom Ausland aus in Österreich aktiv sein möchten. Im Zuge der Registrierung muss unter anderem das Geschäftsmodell beschrieben werden, aber etwa auch, welche internen Kontrollmaßnahmen vorgesehen sind, um die Vorschriften zur Verhinderung von Geldwäsche und Terrorismusfinanzierung einzuhalten. Die FMA kann eine Registrierung verweigern, wenn sie Zweifel daran hat, dass die Anforderungen des FM-GwG erfüllt werden, oder wenn sie Zweifel an der persönlichen Zuverlässigkeit des Dienstleisters oder dessen Geschäftsleiters oder Eigentümers hat. Die FMA kann einmal vorgenommene Registrierungen auch widerrufen, und die Tätigkeit von nicht registrierten Dienstleistern untersagen. Wer übrigens ohne eine solche Registrierung Dienstleistungen in Bezug auf virtuelle Währungen anbietet, der begeht eine Verwaltungsübertretung, mit Strafrahmen von bis zu 200.000 Euro.

Ausblick

Wer überlegt, ein Unternehmen in der Krypto-Branche zu gründen, der kommt nun nicht mehr umhin, sich im Detail mit den neuen Regeln vertraut zu machen. Diese Regeln sollten von Anbeginn an mitberücksichtigt werden. Wer etwa zuerst ein Kundenmanagementsystem programmiert, um erst im Anschluss daran zu erkennen, dass sich einige der Sorgfaltspflichten damit hätten lösen lassen, der wird sich über den neuerlichen Programmieraufwand zurecht ärgern. Sicher ist, dass die neuen Regeln eine Hürde für den Markteintritt für neue Unternehmen geschaffen haben. Die Hürde kann aber gemeistert werden. Welche langfristigen Auswirkungen das Gesetz hat, wird erst die Zeit zeigen. ⇒ Zur Page der Kanzlei [Artikellinks]