GwG Compliance: Vereisten voor het voorkomen van witwassen voor financiële diensten
Inleiding
Witwassen blijft een van de ernstigste bedreigingen voor de integriteit van het Europese financiële systeem. Het geschatte jaarlijkse volume van het gewassen geld via EU-financiële instellingen loopt in de honderden miljarden euro's, en Duitsland -- als de grootste economie van Europa -- is een primair doelwit. De Geldwaschegesetz (GwG), de Duitse wet ter voorkoming van witwassen, implementeert de EU-richtlijnen voor het voorkomen van witwassen (momenteel AMLD 5, Richtlijn (EU) 2018/843, met vereisten van AMLD 6 die worden omgezet) in de nationale wetgeving en stelt het kader vast waarbinnen Duitse financiële instellingen witwassen en terroristische financiering moeten identificeren, voorkomen en rapporteren.
Voor banken, betalingsdienstverleners, beleggingsmaatschappijen en verzekeringsmaatschappijen die in Duitsland opereren, is GwG-naleving niet optioneel en de gevolgen van falen zijn ernstig. BaFin, als de bevoegde toezichthoudende autoriteit voor de financiële sector onder Sectie 50 GwG, heeft in de afgelopen jaren boetes opgelegd van meer dan EUR 10 miljoen voor falen in de AML-naleving en heeft de bevoegdheid om stopzettingsbevelen uit te vaardigen, bedrijfsactiviteiten te beperken en managers te verwijderen. Naast de regelgevende sancties hebben falen in AML verwoestende reputatiegevolgen die het vertrouwen van klanten en zakelijke relaties jarenlang kunnen ondermijnen. Dit artikel behandelt de kernverplichtingen van de GwG, praktische implementatie-uitdagingen en hoe automatisering AML-nalevingsprogramma's kan versterken.
Wat is de GwG?
De Geldwaschegesetz is in 2017 aanzienlijk herschreven om de Vierde EU-richtlijn ter voorkoming van witwassen (AMLD 4, Richtlijn (EU) 2015/849) te implementeren en is sindsdien gewijzigd om de Vijfde richtlijn ter voorkoming van witwassen (AMLD 5) op te nemen. De wet stelt verplichtingen vast voor "verplichte entiteiten" (Verpflichtete) -- een categorie die alle kredietinstellingen, financiële dienstverleningsinstellingen, betalingsinstellingen, e-money-instellingen, verzekeringsmaatschappijen die levensverzekeringsproducten aanbieden, beleggingsmaatschappijen en talrijke niet-financiële entiteiten zoals vastgoedmakelaars, notarissen en handelaren in waardevolle goederen omvat.
De GwG is georganiseerd rond verschillende kernpijlers: klantdue diligence (Sorgfaltspflichten), risicobeheer en -analyse, rapportage van verdachte transacties aan de Financial Intelligence Unit (FIU), interne waarborgen (Interne Sicherungsmasssnahmen) en documentatie. Elke verplichte entiteit moet een AML-nalevingsprogramma opstellen dat al deze pijlers behandelt, in verhouding tot haar risicoblootstelling.
BaFin houdt toezicht op de GwG-naleving voor de financiële sector en heeft gedetailleerde richtlijnen uitgegeven via haar "Auslegungs- und Anwendungshinweise zum Geldwaschegesetz" (Interpretatie- en Toepassingsrichtlijnen voor de GwG), die voor het laatst zijn bijgewerkt in 2024. Deze richtlijnen bieden praktische specificaties voor hoe financiële instellingen de GwG-vereisten moeten implementeren. De FIU (Zentralstelle fur Finanztransaktionsuntersuchungen), ondergebracht binnen het Zollkriminalamt (Douane Criminele Inlichtingendienst), ontvangt en analyseert verdachte transactierapporten.
Duitsland is ook lid van de Financial Action Task Force (FATF), en de wederzijdse evaluatierapporten van de FATF bieden aanvullende context voor het begrijpen van hoe de Duitse AML-vereisten zich verhouden tot internationale normen. De meest recente FATF-evaluatie van Duitsland (2022) identificeerde verbeterpunten op het gebied van transparantie van uiteindelijke begunstigden en toezichthoudende effectiviteit, die beide invloed hebben gehad op de daaropvolgende wijzigingen in de GwG.
Belangrijke vereisten
Klantdue diligence (Secties 10-17 GwG)
De hoeksteen van de GwG-naleving is de verplichting tot klantdue diligence (CDD). Onder Sectie 10 GwG moeten verplichte entiteiten CDD-maatregelen uitvoeren bij het aangaan van een zakelijke relatie, het uitvoeren van incidentele transacties boven EUR 15.000 (of EUR 1.000 voor bepaalde overboekingsdiensten), wanneer er verdenking van witwassen of terroristische financiering is, of wanneer er twijfels zijn over eerder verkregen identificatiegegevens.
CDD bestaat uit vier kerncomponenten:
Identificatie van de contractpartij (Sectie 11 GwG): Het verkrijgen van de naam, geboortedatum, geboorteplaats, nationaliteit en adres van natuurlijke personen, of de bedrijfsnaam, rechtsvorm, registratienummer en geregistreerd adres van rechtspersonen. De identificatie moet worden geverifieerd met behulp van betrouwbare, onafhankelijke bronnen -- voor natuurlijke personen meestal een identiteitsdocument; voor rechtspersonen een uittreksel uit het handelsregister (Handelsregister).
Identificatie van de uiteindelijke begunstigde (Sectie 11(5) GwG / Sectie 3 GwG): Bepalen van de natuurlijke persoon/personen die uiteindelijk eigenaar zijn of controle uitoefenen over de contractpartij. Voor rechtspersonen betekent dit het identificeren van elke natuurlijke persoon die meer dan 25% van de aandelen of stemrechten bezit, of die op andere wijze controle uitoefent. Het Transparenzregister (Transparantieregister) dat wordt beheerd door de Bundesanzeiger is een belangrijke bron voor informatie over uiteindelijke begunstigden, en verplichte entiteiten moeten dit raadplegen als onderdeel van hun CDD-proces.
Beoordeling van de zakelijke relatie (Sectie 10(1)(4) GwG): Begrijpen van het doel en de beoogde aard van de zakelijke relatie, inclusief de verwachte transactiepatronen en de bron van de fondsen.
Continue monitoring (Sectie 10(1)(5) GwG): Voortdurende monitoring van de zakelijke relatie om ervoor te zorgen dat transacties consistent zijn met de kennis van de instelling over de klant, en het bijwerken van CDD-informatie wanneer triggergebeurtenissen zich voordoen.
Verhoogde due diligence (EDD) is vereist onder Sectie 15 GwG voor situaties met een hoger risico, inclusief relaties met politiek prominente personen (PEPs, gedefinieerd in Sectie 1(12) GwG), correspondentenbankrelaties en transacties met hoogrisico derde landen die door de Europese Commissie zijn geïdentificeerd.
Risicobeoordeling en -beheer (Secties 4-9 GwG)
Sectie 4 GwG vereist dat elke verplichte entiteit een organisatiebrede risicobeoordeling voor witwassen (Risikoanalyse) uitvoert. Deze beoordeling moet de specifieke risico's van witwassen en terroristische financiering voor de entiteit identificeren en evalueren, rekening houdend met factoren zoals klanttypes, aangeboden producten en diensten, distributiekanalen, geografische blootstelling en transactievolumes.
De risicobeoordeling moet worden gedocumenteerd, regelmatig worden bijgewerkt (ten minste jaarlijks voor financiële instellingen) en op verzoek aan BaFin beschikbaar worden gesteld. De richtlijnen van BaFin specificeren dat de risicobeoordeling een substantieel document moet zijn dat het werkelijke risicoprofiel van de entiteit weerspiegelt, en geen generiek sjabloon.
Sectie 6 GwG vereist dat verplichte entiteiten interne waarborgen (Interne Sicherungsmasssnahmen) implementeren die in verhouding staan tot hun risicoblootstelling. Voor financiële instellingen omvat dit het aanstellen van een GwG-nalevingsfunctionaris (Geldwaschebeauftragter) onder Sectie 7 GwG, die lid van het management moet zijn of rechtstreeks aan het management moet rapporteren. De compliance officer moet aan BaFin worden gemeld en moet over voldoende middelen, bevoegdheden en toegang tot informatie beschikken.
Rapportage van verdachte transacties (Sectie 43 GwG)
Wanneer een verplichte entiteit feiten identificeert die wijzen op witwassen of terroristische financiering, moet zij zonder vertraging een verdachte transactierapport (Verdachtsmeldung) indienen bij de FIU. Sectie 43 GwG definieert de criteria voor het indienen van een rapport breed: een rapport moet worden ingediend wanneer een activum dat verband houdt met een transactie de opbrengsten van een strafbaar feit zou kunnen zijn, of wanneer er feiten zijn die wijzen op witwassen of terroristische financiering.
De rapportageverplichting is strikt. BaFin en de FIU hebben benadrukt dat overrapportage te verkiezen is boven onderrapportage, en dat de beslissing om een rapport in te dienen niet mag worden beïnvloed door de verwachte uitkomst van de analyse van de FIU. Rapporten worden elektronisch ingediend via het goAML-portaal van de FIU (goAML Web).
Onder Sectie 47 GwG is het verplichte entiteiten verboden om aan de klant of een derde partij bekend te maken dat er een verdachte transactierapport is ingediend (tipping-off verbod). Overtreding van dit verbod kan leiden tot strafrechtelijke sancties onder Sectie 57 GwG.
Documentatie (Sectie 8 GwG)
Alle CDD-informatie en documentatie moeten vijf jaar na het einde van de zakelijke relatie of de voltooiing van de incidentele transactie (Sectie 8(4) GwG) worden bewaard. Transactiegegevens moeten ook vijf jaar worden bewaard. Documenten moeten worden opgeslagen op een manier die het mogelijk maakt om ze binnen een redelijke termijn aan BaFin en de FIU beschikbaar te stellen.
Relatie tot andere kaders
GwG-naleving kruist verschillende andere regelgevende kaders. De vereisten van DORA voor ICT-risicobeheer (Artikelen 5-16) zijn direct relevant omdat AML-monitoringsystemen -- transactie-monitoringplatforms, screeningtools en case managementsystemen -- kritische ICT-systemen zijn die moeten voldoen aan DORA's vereisten voor veerkracht, testen en incidentrapportage. Een falen in het AML-transactiemonitoringsysteem is zowel een GwG-nalevingskwestie als een DORA-incident.
GDPR creëert een spanning met GwG die financiële instellingen zorgvuldig moeten beheren. Sectie 11a van de GwG staat expliciet de verwerking van persoonsgegevens voor AML-doeleinden toe en bepaalt dat het principe van gegevensminimalisatie van de GDPR de verzameling van gegevens die door de GwG vereist zijn, niet verhindert. Echter, instellingen moeten nog steeds voldoen aan de transparantie-, beveiligings- en rechten van betrokkenen-bepalingen van de GDPR voor zover deze niet in conflict komen met de verplichtingen van de GwG. De richtlijnen van BaFin behandelen deze interactie en stellen dat de verplichtingen van de GwG voorrang hebben waar er een direct conflict is.
ISO 27001 ondersteunt de informatiebeveiligingsvereisten die de integriteit van AML-systemen onderbouwen. De vertrouwelijkheid en integriteit van klantgegevens, verdachte transactierapporten en AML-onderzoeksdossiers moeten worden beschermd door middel van passende technische en organisatorische maatregelen. Het controlekader van ISO 27001 biedt een gestructureerde aanpak om aan deze vereisten te voldoen.
KWG Sectie 25h behandelt specifiek de AML-vereisten voor kredietinstellingen, en vult de algemene GwG-verplichtingen aan met aanvullende vereisten die zijn afgestemd op de banksector. Deze omvatten de eis voor groepsbrede AML-beleidslijnen en procedures, de verplichting om CDD-maatregelen toe te passen op bestaande klanten op een risicosensitieve basis, en specifieke vereisten voor correspondentenbankrelaties.
Compliance-automatisering met Matproof
GwG-naleving is van nature data-intensief en documentatie-intensief. Het CDD-proces alleen al genereert duizenden records voor zelfs middelgrote financiële instellingen, die allemaal moeten worden geverifieerd, opgeslagen, gemonitord en bijgewerkt. Transactiemonitoringsystemen verwerken dagelijks miljoenen gegevenspunten. De risicobeoordeling moet worden onderhouden als een levend document. En dit alles moet worden aangetoond voor BaFin-inspecties en de jaarlijkse audit onder Sectie 29 KWG.
Matproof automatiseert de bewijsverzameling en monitoringaspecten van GwG-naleving die het meest kwetsbaar zijn voor hiaten en menselijke fouten. Het platform monitort continu of de vereiste AML-controles aanwezig en functioneel zijn: Zijn de screeningsystemen goed geconfigureerd en up-to-date? Zijn de regels voor transactiemonitoring afgestemd op de gedocumenteerde risicobeoordeling? Werken de triggers voor CDD-beoordelingen correct?
Het platform koppelt de GwG-vereisten aan specifieke bewijsitems en verzamelt deze automatisch uit verbonden systemen. Wanneer BaFin een AML-gerichte inspectie uitvoert -- wat regelmatig gebeurt, vaak met minimale voorafgaande kennisgeving -- kunnen compliance-teams gestructureerde bewijsbundels produceren die de voortdurende effectiviteit van hun AML-programma aantonen in plaats van te vertrouwen op momentopnames die mogelijk niet de werkelijke dagelijkse operaties weerspiegelen.
Matproof's cross-framework mapping zorgt ervoor dat AML-gerelateerd bewijs ook voldoet aan overlappende vereisten onder DORA (voor ICT-systeemresilience), KWG Sectie 25h (voor bankspecifieke AML-controles) en GDPR (voor documentatie van gegevensbescherming). Alle gegevens blijven binnen Duitse datacenters, wat essentieel is gezien de zeer gevoelige aard van AML-nalevingsgegevens, inclusief verdachte transactierapporten en klantonderzoeksdossiers.
Implementatie Roadmap
Fase 1 (Weken 1-3): Risicobeoordeling Review. Beoordeel en werk de organisatiebrede risicobeoordeling voor witwassen onder Sectie 4 GwG bij. Zorg ervoor dat deze de huidige klantprofielen, productaanbiedingen, geografische blootstellingen en distributiekanalen weerspiegelt. Documenteer de methodologie en conclusies. Dit is de basis waarop alle andere AML-maatregelen zijn gebouwd.
Fase 2 (Weken 4-6): CDD Proces Audit. Voer een uitgebreide audit uit van het CDD-proces tegen Secties 10-17 GwG. Verifieer dat identificatie- en verificatieprocedures voldoen aan de richtlijnen van BaFin, dat bepalingen van uiteindelijke begunstigden goed zijn gedocumenteerd, dat verhoogde due diligence wordt toegepast waar vereist, en dat de triggers voor voortdurende monitoring functioneren.
Fase 3 (Weken 7-9): Automatisering van Controles. Implementeer geautomatiseerde monitoring voor AML-controles. Configureer bewijsverzameling voor transactiemonitoringsystemen, screeningtools, CDD-databases en trainingsrecords. Stel dashboards in die realtime inzicht geven in de effectiviteit van het AML-programma.
Fase 4 (Weken 10-12): Testen en Herstel. Voer scenario-gebaseerd testen van het AML-programma uit, inclusief gesimuleerde verdachte transacties en testindiening van verdachte transactierapporten. Identificeer zwaktes en herstel deze. Documenteer het testen en de uitkomsten als bewijs van de effectiviteit van het programma.
Voortdurend: Continue Monitoring en Rapportage. Behoud geautomatiseerde bewijsverzameling. Werk de risicobeoordeling ten minste jaarlijks bij. Rapporteer de effectiviteit van het AML-programma aan het management en de toezichthoudende raad per kwartaal. Bereid je voor op BaFin-inspecties door een altijd actuele bewijsrepository te onderhouden.
FAQ
Wie moet een GwG-nalevingsfunctionaris (Geldwaschebeauftragter) aanstellen?
Onder Sectie 7 GwG moeten alle verplichte entiteiten in de financiële sector een GwG-nalevingsfunctionaris aanstellen. Dit omvat kredietinstellingen, financiële dienstverleningsinstellingen, betalingsinstellingen, e-money-instellingen en verzekeringsmaatschappijen die levensverzekeringen aanbieden. De compliance officer moet lid van het management zijn of rechtstreeks aan het management rapporteren, moet over voldoende middelen en bevoegdheden beschikken, en moet aan BaFin worden gemeld. Voor groepen moet het moederbedrijf ook een groepsniveau GwG-nalevingsfunctionaris aanstellen.
Wat triggert een verdachte transactierapport onder de GwG?
Sectie 43 GwG vereist een rapport wanneer er feiten zijn die suggereren dat een activum dat verband houdt met een zakelijke relatie of transactie de opbrengsten van een strafbaar feit zou kunnen zijn, of dat er een poging tot witwassen of terroristische financiering wordt gedaan. De drempel is opzettelijk laag -- verdenking, niet zekerheid, triggert de verplichting. Veelvoorkomende triggers zijn ongebruikelijke transactiepatronen, discrepanties in klantinformatie, transacties met hoogrisico-jurisdicties en klantgedrag dat inconsistent is met het gedocumenteerde zakelijke doel. BaFin heeft consequent verklaard dat het beter is om een rapport in te dienen en de FIU te laten bepalen dat het ongegrond is dan om een werkelijk verdachte transactie niet te rapporteren.
Wat zijn de sancties voor GwG-overtredingen?
Administratieve boetes onder Sectie 56 GwG kunnen oplopen tot EUR 1 miljoen voor individuen en tot EUR 5 miljoen of 10% van de totale omzet van het voorgaande jaar voor rechtspersonen (waarvan het hoogste geldt) voor ernstige, herhaalde of systematische overtredingen. BaFin kan ook openbare berispingen uitvaardigen (Sectie 57 GwG) en, in extreme gevallen, de bedrijfsactiviteiten van de instelling beperken of haar vergunning intrekken onder KWG Sectie 35. Strafrechtelijke sancties voor witwassen zelf zijn gedefinieerd in Sectie 261 van het Duitse Strafwetboek (Strafgesetzbuch) en kunnen gevangenisstraf tot tien jaar omvatten.
Hoe beïnvloedt de aankomende EU AML-regelgeving (AMLR) de GwG-naleving?
De EU-richtlijn ter voorkoming van witwassen (AMLR), onderdeel van het AML-wetgevingspakket van de EU dat in 2024 is aangenomen, zal rechtstreeks van toepassing zijn in alle lidstaten en zal veel van de inhoud van de GwG vervangen. De nieuwe EU Anti-Money Laundering Authority (AMLA), gevestigd in Frankfurt, zal bepaalde hoogrisico financiële instellingen rechtstreeks toezicht houden. De GwG zal echter blijven bestaan als de nationale uitvoeringswetgeving voor aspecten die lidstaat-specifieke regels vereisen, waaronder de aanwijzing van bevoegde autoriteiten en nationale specifieke risicofactoren. Financiële instellingen moeten beginnen hun AML-programma's af te stemmen op de vereisten van de AMLR terwijl ze de huidige GwG-naleving behouden.