TE Bvwg Erkenntnis 2019/2/7 W230 2138107-1

W230 2138107-1/37E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch den Richter Mag. Philipp CEDE, LL.M., als Vorsitzenden und die Richterin Mag. Ulrike SCHERZ sowie den Richter Dr. Stefan KEZNICKL als Beisitzer über die Beschwerde der XXXX , vertreten durch Hausmaninger Kletter Rechtsanwälte Gesellschaft mbH, Franz-Josefs-Kai 3, 1010 Wien, gegen das Straferkenntnis der Finanzmarktaufsichtsbehörde vom 14.09.2016, Zl. XXXX , nach Durchführung einer mündlichen Verhandlung in einer Verwaltungsstrafsache nach dem Finanzmarkt-Geldwäschegesetz zu Recht erkannt:

A)

I. Gemäß § 50 VwGVG wird die Beschwerde in der Schuldfrage abgewiesen und das Straferkenntnis in diesem Umfang bestätigt.

II. Gemäß § 50 VwGVG wird der Beschwerde in der Straffrage insoweit Folge gegeben, als in Abänderung des Strafausspruches (Kasten auf Seite 15 des Straferkenntnisses mit der Überschrift "Wegen dieser Verwaltungsübertretungen wird über Sie folgende Strafe verhängt")

1- die Strafe gemäß § 22 Abs. 8 FMABG einheitlich bemessen und in Anwendung des § 35 Abs. 3 erster Satz zweiter Fall Finanzmarkt-Geldwäschegesetz, BGBl I 118/2016 idF BGBl I 17/2018 (FM-GwG) die Geldstrafe mit insgesamt € 500.000, -- EUR festgesetzt wird,

2- wobei gemäß § 44a Z 3 VStG als "Strafdrohung ..., die die höchste Strafe androht" (§ 22 Abs. 8 letzter Satz FMABG) die für die Spruchpunkte 2.1., 2.2., 4.1., 4.2., 4.3., 4.4, 4.5., 5.1., 5.2., 5.3., 5.4., 5.5. und 6. des angefochtenen Straferkenntnisses anzuwendende Strafdrohung in § 34 Abs. 2 iVm. § 35 Abs. 3 erster Satz zweiter Fall FM-GwG herangezogen wird (und berücksichtigt wird, dass die für die Spruchpunkte 1., 3., 7., 8., 9. und 10. des angefochtenen Straferkenntnisses anzuwendende Strafdrohung des § 34 Abs. 1 iVm. § 35 Abs. 3 erster Satz erster Fall FM-GwG geringer ist).

III. Der Beitrag zu den Kosten des verwaltungsbehördlichen Verfahrens vor der belangten Behörde wird gemäß § 64 Abs. 2 VStG mit € 50.000 neu festgesetzt, das sind 10 % der nunmehr verhängten Geldstrafe.

B)

Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig.

ENTSCHEIDUNGSGRÜNDE:

Inhaltsverzeichnis

I. Verfahrensgang: 4

II. Das Bundesverwaltungsgericht hat erwogen: 18

1. Feststellungen: 18

2. Beweiswürdigung: 60

Beweiswürdigung zu den einzelnen festgestellten Pflichtverletzungen 61

3. Rechtliche Beurteilung: 87

3.1. (Senats-)Zuständigkeit 87

3.2. Anwendbare Rechtsnormen 88

3.2.1. Zu Spruchpunkt 1. (Vorwurf "keine geeignete aktuelle Risikoanalyse") 88

3.2.2. Zu den Spruchpunkten 2.1. und 2.2. ("Mangelnde Prüfung von Vertretungsbefugnissen der Organe juristischer Personen bzw. zeichnungsberechtigten Personen") 89

3.2.3. Zu Spruchpunkt 3. 94

3.2.4. Zu Spruchpunkten 4.1. bis 4.5. 96

3.2.5. Zu Spruchpunkt 5. 98

3.2.6. Zu Spruchpunkt 6. 99

3.2.7. Zu Spruchpunkt 7. 100

3.2.8. Zu Spruchpunkt 8. 103

3.2.9. Zu Spruchpunkt 9. 105

3.2.10. Zu Spruchpunkt 10. 106

3.2.11. Zur jeweils anwendbaren Strafnorm (Strafdrohung) und Strafbarkeit der juristischen Person: 107

3.2.12. Zu Verhängung einer "einzigen" Verwaltungsstrafe für mehrere Verwaltungsübertretungen 112

3.3. Allgemeine (alle Spruchpunkte treffende) Voraussetzungen des vorliegenden Straferkenntnisses 113

3.3.1. Zur Einhaltung verfahrensrechtlicher Fristen, deren

Überschreitung die Aufhebung oder Einstellung zur Folge hätte: 113

3.3.2. Verfassungs- und Unionsrechtskonformität der angewendeten

Strafnormen: 115

3.3.3. Zur behaupteten Aussetzungspflicht gem. § 30 VStG: 115

3.3.4. Zur behaupteten Verletzung des Rechts auf Akteneinsicht durch die belangte Behörde: 116

3.3.5. Zur behaupteten Rechtswidrigkeit wegen Unterbleiben einer Bestrafung/Verfolgung der vertretungsbefugten Organe (hier: Vorstände): 119

3.3.6. Zur behaupteten Nichtfeststellung von relevantem Sachverhalt (S. 11-12 der Beschwerde): 126

3.3.7. Zur behaupteten "Rechtswidrigkeit der Berechnung der Strafhöhe" 127

3.4. Zur objektiven Tatbestandsmäßigkeit der im Einzelnen vorgeworfenen Pflichtverletzungen: 132

3.4.1. Zu Spruchpunkt 1. des angefochtenen Straferkenntnisses: 132

3.4.2. Zu Spruchpunkt 2. des angefochtenen Straferkenntnisses: 134

3.4.3. Zu Spruchpunkt 3. des angefochtenen Straferkenntnisses: 135

3.4.4. Zu Spruchpunkt 4.1-4.5. des angefochtenen Straferkenntnisses:

137

3.4.5. Zu Spruchpunkt 5.1.-5.5. des angefochtenen Straferkenntnisses: 140

3.4.6. Zu Spruchpunkt 6. des angefochtenen Straferkenntnisses: 145

3.4.7. Zu Spruchpunkt 7. des angefochtenen Straferkenntnisses: 146

3.4.8. Zu Spruchpunkt 8. des angefochtenen Straferkenntnisses: 147

3.4.9. Zu Spruchpunkt 9. des angefochtenen Straferkenntnisses: 147

3.4.10. Zu Spruchpunkt 10. des angefochtenen Straferkenntnisses: 147

3.5. Objektive und subjektive Zurechnung der Pflichtverletzungen zur juristischen Person 148

3.6. Zur Strafbemessung: 150

Zu B) Zulässigkeit der Revision: 155

I. Verfahrensgang:

1. Im Spruch des angefochtenen Straferkenntnisses vom 14.09.2016 legte die Finanzmarktaufsichtsbehörde (im Folgenden FMA bzw. belangte Behörde) der beschwerdeführenden Gesellschaft Folgendes zur Last:

"Die XXXX (künftig XXXX) ist ein konzessioniertes Kreditinstitut gemäß § 1 Abs. 1 Bankwesengesetz (BWG) mit der Geschäftsanschrift

XXXX.

Im Hinblick auf die in § 99d BWG vorgesehene Möglichkeit der Verhängung von Geldstrafen gegen die XXXX als juristische Person hat die XXXX ab 01.01.2014 zu verantworten, dass die XXXX die im Anschluss unter den Punkten 1. bis 10. konkret beschriebenen Verletzungen von Bestimmungen zur Prävention von Geldwäscherei und Terrorismusfinanzierung begangen hat, da mangelnde Überwachung und Kontrolle gemäß § 99d Abs. 2 BWG durch XXXX und XXXX, beide in den jeweiligen Tatzeiträumen zur Vertretung der XXXX nach außen befugte Vorstände und damit Inhaber einer Führungsposition innerhalb der XXXX, die Begehung der unter den Punkten 1. bis 10. konkret beschriebenen Verletzungen durch die mit der Durchführung der Aufgaben befassten Mitarbeiter ermöglicht haben.

1. Zum Zeitpunkt der Vor-Ort-Prüfung der FMA (im Folgenden "VOP" 11.03.2013 bis 22.03.2013) war in der XXXX die "Risikoanalyse 2012", Stand 01.01.2013 in Geltung. In der Folge wurde der FMA mit Stellungnahme vom 04.11.2014 ein Entwurf der Risikoanalyse 2014 (Stand Entwurf 28.10.2014) übermittelt.

Diesbezüglich führt die XXXX in der Stellungnahme vom 04.11.2014 aus, dass die Risikoanalyse aufgrund einiger struktureller Umstellungen innerhalb der XXXX und der auch mit dem Wechsel in der Person des GWB einhergehenden Umstellung einiger Prozesse, die bis dato noch nicht abschließend erfolgt seien, in den kommenden Monaten noch verfeinert werde.

Eine finale Version der Risikoanalyse 2014 wurde der FMA nie übermittelt.

Mittlerweile wurde der FMA die Risikoanalyse 2015 (Version 0.6.) übermittelt, aus der ersichtlich ist (vgl. Versionenverzeichnis), dass es von der Risikoanalyse 2014 nur einen Entwurf, dh nie eine Finalversion gegeben hat. Die Risikoanalyse 2015 (final) datiert mit Stand 26.03.2015.

Eine Risikoanalyse 2014 wurde in der XXXX final nie implementiert.

In der Risikoanalyse 2012 hat die XXXX selbst festgehalten, dass eine Risikoanalyse auf Unternehmensebene auf jährlicher Basis durch den GWB der XXXX zu erstellen ist. Zudem seien die für die Risikoanalyse auf Kundenebene erstellten Risikoauswertungen auf jährlicher Basis zu erstellen und zu aktualisieren.

Auch im Anhang 1 der Risikoanalyse 2012 heißt es, dass Ziel der folgenden Analyse ist, die Geschäftstätigkeit der XXXX mindestens auf jährlicher Basis einerseits von der wirtschaftlichen Seite und andererseits mit Blickrichtung auf konkrete Gefahren hinsichtlich GW/TF zu durchleuchten und mit statistischen Daten zu belegen.

Dieses Erfordernis eines mindestens jährlichen Updates erklärt sich auch vor der von der XXXX im Anhang 1 selbst wie folgt beschriebenen Geschäftstätigkeit: ‚Die XXXX betreibt kein standardisiertes Massengeschäft, sondern ist durch das flexible Ausnützen sich bietender Geschäftsgelegenheiten, aber auch durch das stete Knüpfen neuer, ausgewählter Kundenkontakte, vorrangig mit der Betreuung und Abwicklung von Einzeltransaktionen befasst. Größtmögliche Flexibilität ist die Maxime bei der Geschäftsabwicklung.'

Es ist daher davon auszugehen, dass die XXXX selbst vor dem Hintergrund ihrer Geschäftstätigkeit es als erforderlich ansieht, die Risikoanalyse mindestens einem jährlichen Update zu unterziehen, um die Risikosituation der XXXX hinsichtlich GW/TF angemessen zu analysieren.

Wie beschrieben, lag in der XXXX die Risikoanalyse 2012 (mit Stand 01.01.2013) vor, die Risikoanalyse 2014 (Stand 28.10.2014) lag nur als nicht implementierter Entwurf vor; erst die Risikoanalyse 2015 wurde final implementiert.

Es hat daher die XXXX an ihrem Sitz entgegen § 40 Abs. 2b BWG von 01.01.2014 bis 25.03.2015 ihr Geschäft nicht anhand geeigneter Kriterien (insbesondere Produkte, Kunden, Komplexität der Transaktionen, Geschäft der Kunden, Geographie) einer Risikoanalyse betreffend ihres Risikos, für Zwecke der GW/TF missbraucht zu werden, unterzogen.

2. Anlässlich der Vor-Ort-Prüfung der FMA ("VOP" 11.03.2013 bis 22.03.2013) wurde als Testfall 8 die Kundin mit der Kundennummer

XXXX geprüft. Dabei handelt es sich um eine juristische Person (XXXX), die auf den Kaimaninseln domiziliert ist. Die Geschäftsbeziehung wurde im Jahr 2000 begründet. Die Kundin wurde in der Risikoklasse "4" (von 5) geführt. Per 02.04.2014 wurde die Geschäftsbeziehung beendet.

2.1. Zur Feststellung der Vertretungsbefugnis der Organe der juristischen Person hat die XXXX ein mit 13.03.1997 datiertes Schreiben herangezogen, aus dem hervorgeht, dass als "Director" wiederum eine juristische Person, domiziliert auf den Kaimaninseln ("The Director Ltd") eingesetzt wurde. Wer dieses (nicht apostillierte) Dokument aufgrund welcher Ermächtigungen unterzeichnet hat, ist (auch in Zusammenschau mit dem Dokument "Memorandum and Articles of Association" auf das das Schreiben Bezug nimmt), nicht nachvollziehbar. Die Identität der als "Director" eingesetzten juristischen Person wurde somit von der XXXX nicht festgestellt; zur "The Director Ltd" liegen der XXXX keine Unterlagen zur Identifizierung der Gesellschaft iSd § 40 Abs. 1 BWG vor, Unterlagen betreffend deren vertretungsbefugten Organe hat die XXXX nicht eingeholt und liegen ihr auch nicht vor. Es wurde weder die Identität der als "Director" eingesetzten juristischen Person ("The Director Ltd") durch Hereinholung von Unterlagen iSd § 40 Abs 1 BWG überprüft, noch erfolgte eine Identifizierung der für die juristische Person ("The Director Ltd") vertretungsbefugten natürlichen Personen durch Vorlage ihrer amtlichen Lichtbildausweise. Es ist aus dem Kundenakt auch nicht ersichtlich, wer diese vertretungsbefugten natürlichen Personen sind.

Es hat daher die XXXX an ihrem Sitz von jedenfalls 01.01.2014 bis zum Ende der Geschäftsbeziehung am 02.04.2014 unterlassen, die Identität der für die Kundin vertretungsbefugten (natürlichen) Personen festzustellen. Die XXXX hätte bis zum Ende der Geschäftsbeziehung jedenfalls auch Zweifel an der Angemessenheit bzw. Echtheit der vorliegenden Dokumente iSd § 40 Abs. 1 Z 5 BWG haben müssen und weitere Schritte zur Feststellung der Identität der für die Kundin vertretungsbefugten natürlichen Personen setzen müssen.

2.2. Weiters erfolgte in Bezug auf die Kundin mit der Kundennummer XXXX (Testfall 8, XXXX) die Prüfung der Vertretungsbefugnis des XXXX sowie der weiteren zeichnungsberechtigten Personen für die Kundin iSd § 40 Abs. 1 BWG von jedenfalls 01.01.2014 bis zum Ende der Geschäftsbeziehung am 02.04.2014 nicht:

Den der XXXX vorliegenden Kundenunterlagen liegen Unterschriftsprobenblätter bei; das aktuellste ist per 20.02.2013 datiert. Daraus ist ersichtlich, dass drei natürliche Personen auf dem Konto zeichnungsberechtigt sind (XXXX). Ein weiteres Unterschriftsprobenblatt ist mit 27.01.2012 datiert und weist XXXX und XXXX als Zeichnungsberechtigte aus. Ein weiteres Unterschriftsprobenblatt ist mit 23.01.2012 datiert und weist XXXX als Zeichnungsberechtigten aus. Ein weiteres Unterschriftsprobenblatt ist mit 10.10.2000 datiert und weist XXXX und XXXX als Zeichnungsberechtigte aus. Relevante Kontounterlagen (wie z.B. Kontoverträge, Unterschriftsproben, Abfrage der Treuhandschaft, Ermittlung des wirtschaftlichen Eigentümers, etc.) wurden durch XXXX gezeichnet.

Die XXXX hat die Vertretungsbefugnis dieser Personen nicht anhand geeigneter Bescheinigungen überprüft; diesbezügliche Unterlagen liegen der XXXX nicht vor.

Die XXXX hätte bis zum Ende der Geschäftsbeziehung jedenfalls auch Zweifel an der Angemessenheit bzw. Echtheit der vorliegenden Dokumente iSd § 40 Abs. 1 Z 5 BWG haben müssen und weitere Schritte zur Überprüfung der Vertretungsbefugnis anhand geeigneter Bescheinigungen setzen müssen.

3. Die XXXX hat an ihrem Sitz entgegen §§ 41 Abs. 4 Z 1 iVm 40 Abs. 2a Z 1 BWG jedenfalls von 20.05.2014 bis jedenfalls 27.10.2015 unterlassen, angemessene und geeignete Strategien und Verfahren zur Überprüfung der Identität des/r wirtschaftlichen Eigentümer(s) ihrer Kunden einzuführen, sodass sie davon überzeugt ist zu wissen, wer der/die wirtschaftliche(n) Eigentümer sind. Im Falle von juristischen Personen oder von Trusts schließt dies risikobasierte und angemessene Maßnahmen ein, um die Eigentums- und die Kontrollstruktur des Kunden zu verstehen.

Seit 20.05.2014 ist die Vorgehensweise zur Feststellung und Überprüfung des wirtschaftlichen Eigentümers in der AML-Policy Version 0.3 und seit 23.04.2015 in der AML-Policy Version 0.4 festgelegt.

Maßnahmen zur Überprüfung der Identität des wirtschaftlichen Eigentümers (dies schließt gem. § 40 Abs. 2a Z 1 BWG im Falle von juristischen Personen oder von Trusts risikobasierte und angemessene Maßnahmen ein, um die Eigentums- und die Kontrollstruktur des Kunden zu verstehen), in der XXXX auch als "Verifikation" bezeichnet, sind in der AML-Policy Version 0.3 auf Kunden der "Risikoklasse 3" und in der AML-Policy Version 0.4 auf Fälle eines "hohen Geldwäsche-Risikos" beschränkt. Dies ergibt sich überdies aus der "Risikoanalyse 2015", wonach die Verifikation in Bezug auf den wirtschaftlichen Eigentümer auf Kunden der Risikoklasse 3 beschränkt ist (vgl. Pkt. 5.1.4.2. - Maßnahmen auf Kundenebene). Durch diese Beschränkung der Maßnahmen zur Überprüfung der Identität des wirtschaftlichen Eigentümers auf Kunden der (höchsten) "Risikoklasse 3" bzw. auf Fälle eines "hohen Geldwäsche-Risikos" wurden in der XXXX keine angemessenen und geeigneten Strategien und Verfahren zur Überprüfung der Identität des/r wirtschaftlichen Eigentümer(s) eingeführt.

4. Hinsichtlich folgender Kunden, die alle im hohen Risiko eingestuft waren, hat die XXXX an ihrem Sitz entgegen §§ 40 Abs. 2a Z 1 iVm § 2 Z 75 BWG und hinsichtlich 4.1. und 4.2. und 4.4. iVm § 40 Abs. 2e BWG unterlassen, risikobasierte und angemessene Maßnahmen zur Überprüfung der Identität des wirtschaftlichen Eigentümers des Kunden zu ergreifen, sodass sie davon überzeugt war zu wissen, wer der wirtschaftliche Eigentümer dieses Kunden war:

4.1. von 01.01.2014 bis jedenfalls 19.05.2014 Testfall 1 "XXXX" (Kundennummer XXXX):

Bei diesem Kunden handelt es sich um eine juristische Person mit Sitz in Aruba. Die Geschäftsbeziehung zu diesem Kunden besteht seit 1989. Der Kunde wurde von der XXXX in die höchste Risikostufe "5" eingestuft.

Als wirtschaftlichen Eigentümer des Kunden hat die XXXX die natürliche Person Herrn XXXX (Nationalität: Uruguay) mittels dem Formular "Declaration of Beneficiary Owner" erhoben, das nicht datiert ist und von der vertretungsbefugten Person XXXX unterfertigt wurde. Gemäß Dokument "Überprüfungsliste - Kontoeröffnung & Know Your Client (KYC)" vom 15.01.2013 handelt es sich bei Herrn XXXX um eine politisch exponierte Person. Weitere der Überprüfung des wirtschaftlichen Eigentümers dienliche Unterlagen liegen der XXXX nicht vor. Nur eine Kopie des Reisepasses des Herrn XXXX liegt den Kundenunterlagen bei.

Besonders im Hinblick darauf, dass der Kunde in der XXXX als Hochrisikokunde geführt wird, kann die Hereinholung eines Schreibens, das die vertretungsbefugte Person der Gesellschaft selbst ausgestellt und gefertigt hat, nicht als risikobasierte und angemessene Maßnahme zur Überprüfung der Identität des wirtschaftlichen Eigentümers angesehen werden. Auch aus den der XXXX vorliegenden Firmenunterlagen geht der wirtschaftliche Eigentümer nicht hervor.

4.2. von 01.01.2014 bis 19.05.2014 Testfall 2 "XXXX" (Kundennummer XXXX):

Bei dem Kunden handelte es sich um eine Korrespondenzbank, für die die XXXX Lorokonten in den Währungen EUR, GBP, JPY und CHF unterhielt, welche gemäß Angaben der Abwicklung des Auslandszahlungsverkehrs der Korrespondenzbank dienten. Die Korrespondenzbank wurde in der Rechtsform "Limited" errichtet und ist auf St. Vincent und den Grenadinen domiziliert. Die Geschäftsbeziehung zu dieser Korrespondenzbank wurde durch die XXXX in die Risikoklasse "5" gestuft. Die Geschäftsbeziehung bestand seit 2004.

Die Identität des wirtschaftlichen Eigentümers des Kunden hat die XXXX anhand des Dokumentes "Declaration of Beneficiary Owner" vom 11.09.2012 erhoben. Aus diesem Dokument geht hervor, dass es sich bei der natürlichen Person Herrn XXXX (Kopie des Reisepasses liegt den Kundenunterlagen bei) um den wirtschaftlichen Eigentümer handle, da er 100 % an der XXXX. hielte, die wiederum 100% am XXXX hielte. Der XXXX sei wiederum 100%iger-Eigentümer der XXXX.

Die tatsächliche Kette des wirtschaftlichen Eigentümers des Kunden wurde durch die XXXX nicht geprüft. Insbesondere fehlt die angemessene Überprüfung der Eigentums- und Kontrollverhältnisse zwischen Herrn XXXX und der XXXX. sowie der Eigentums- und Kontrollverhältnisse zwischen der XXXX. und der XXXX.

Die XXXX konnte aufgrund der vorliegenden Informationen nicht überzeugt sein zu wissen, wer der wirtschaftliche Eigentümer der juristischen Person, bei der es sich darüber hinaus um einen Hochrisikokunden handelt, tatsächlich ist.

4.3. von 01.01.2014 bis 19.05.2014 Testfall 6 "XXXX." (Kundennummer XXXX):

Bei dieser Kundin handelt es sich um eine juristische Person mit Sitz in Panama. Die Geschäftsbeziehung zu dieser Kundin besteht seit 2012. Die Kundin wurde von der XXXX in die Risikostufe "4" eingestuft. Der Kredit an diese Kundin wurde im Zuge eines Back-to-back-Treuhandgeschäftes vergeben. Aus den Kundenunterlagen geht hervor, dass die Kundin auf eigene Rechnung handelt.

Die natürliche Person Herr XXXX wurde mittels des Formulars "Declaration of Beneficiary Owner" vom 23.03.2012 als wirtschaftlicher Eigentümer der Kundin erhoben. Herr XXXX ist auch vertretungsbefugte Person der Kundin und hat dieses Formular selbst unterschrieben.

Beweiskräftige Urkunden bzw. Unterlagen zur Überprüfung der Angaben zum wirtschaftlichen Eigentümer der Kundin liegen der XXXX nicht vor. Besonders im Hinblick darauf, dass der Kunde in der XXXX als Hochrisikokunde geführt wird, kann die Hereinholung eines Schreibens, das der (vermeintliche) wirtschaftliche Eigentümer der Gesellschaft selbst ausgestellt und gefertigt hat, nicht als risikobasierte und angemessene Maßnahme zur Überprüfung der Identität des wirtschaftlichen Eigentümers erachtet werden. Auch aus den der XXXX vorliegenden Firmenunterlagen geht der wirtschaftliche Eigentümer nicht hervor.

4.4. von 01.01.2014 bis 02.04.2014 Testfall 8 "XXXX" (Kundennummer XXXX):

Bei der Kundin handelt es sich um eine juristische Person, die auf den Kaimaninseln domiziliert ist. Die Geschäftsbeziehung wurde im Jahr 2000 begründet. Die Kundin wurde in der Risikoklasse "4" geführt.

Die Identität des wirtschaftlichen Eigentümers der Kundin hat die XXXX mittels des Dokuments "Feststellung des wirtschaftlich Berechtigten" (datiert per 23.01.2012 und durch Herrn XXXX gezeichnet) erhoben. Auf dem Dokument wurde angegeben, dass "der/die Antragsteller allein an den Vermögenswerten wirtschaftlich berechtigt ist/sind". Als Antragsteller wurde die juristische Person (die Kundin) angeführt. Diesbezüglich ist festzuhalten, dass wirtschaftliche Eigentümer im Sinne der §§ 40 ff gemäß § 2 Z 74 BWG die natürlichen Personen sind, in deren Eigentum oder unter deren Kontrolle der Kunde letztlich steht. Die Feststellung und Überprüfung der natürlichen Person, unter deren Kontrolle die juristische Person letztlich steht, erfolgte nicht.

Des Weiteren liegt der XXXX das Dokument "Certificate No. 003" vor, auf dem angegeben wurde, dass XXXX Anteilseigner von 99 "Ordinary Shares" ist. Das Dokument enthält keine Apostille und wurde per 13.03.1997, also rund drei Jahre vor Begründung der Geschäftsbeziehung, datiert. Aus dem Dokument "Memorandum of Association" vom 13.03.1997 geht hervor, dass sich das Kapital der Gesellschaft auf USD 50.000 beläuft, bestehend aus 50.000 Aktien ("Ordinary Shares") zum Nennwert von je USD 1.

Diesbezüglich hat die XXXX keine risikobasierten und angemessenen Maßnahmen zur Überprüfung der Identität des wirtschaftlichen Eigentümers der Kundin ergriffen. Eine juristische Person kann nicht wirtschaftlicher Eigentümer iSd § 2 Z 75 BWG sein. Es liegen der XXXX keine der Feststellung sowie Überprüfung der Identität des wirtschaftlichen Eigentümers dienlichen beweiskräftigen Urkunden bzw. Unterlagen vor. Es kann ein Dokument, das zum Zeitpunkt der Feststellung des wirtschaftlichen Eigentümers einer juristischen Person bereits 15 Jahre alt ist (das Formular "Feststellung des wirtschaftlich Berechtigten" wurde per 23.01.2012 datiert, das der Verifizierung des wirtschaftlichen Eigentümers dienliche Dokument "Certificate No. 003" wurde am 13.03.1997 also drei Jahre vor Begründung der Geschäftsbeziehung ausgestellt), nicht als beweiskräftige Urkunde angesehen werden. Aus den der XXXX vorliegenden Firmenunterlagen geht der wirtschaftliche Eigentümer nicht hervor.

4.5. von 01.01.2014 bis 15.12.2014 Kunde XXXX.

Die Geschäftsbeziehung zur Kundin wurde am 20.05.2013 eröffnet. Als wirtschaftliche Eigentümerin der Kundin "XXXX" wurde im Rahmen der Kontoeröffnung seitens der Kundin Frau XXXX namhaft gemacht. Die Kundin war bis 06.03.2014 (generelle Einführung von nur mehr 3 Risikostufen) in der Stufe 4 (von 5) und danach in der höchsten Stufe 3 eingestuft.

Gemäß "Certificate of Shareholders der XXXX." ist die XXXX mit Sitz auf den British Virgin Islands alleiniger Shareholder der Anteile der XXXX. Aus dem Dokument "Nominee Shareholder Declaration of Trust" geht das treuhändige Halten der Anteile an der XXXX durch eine weitere juristische Person, XXXX mit Sitz in Panama, für XXXX hervor. In Bezug auf diese Konstruktion hat die XXXX weder die Eigentumsverhältnisse der XXXX überprüft noch den diesbezüglichen Treuhandvertrag angefordert. Darüber hinaus weist das Dokument "Nominee Shareholder Declaration of Trust" keine Unterschrift der Frau XXXX auf. Zwar liegen der XXXX hinsichtlich der XXXX ein "Certificate of Incorporation" sowie ein "Certificate of Good Standing" vor, diese Dokumente geben allerdings keinerlei Aufschluss darüber, wer wirtschaftlicher Eigentümer der XXXX ist.

Die XXXX hat daher im oben genannten Zeitraum keine dem Risiko adäquaten Überprüfungshandlungen zur Identität der vermeintlichen wirtschaftlichen Eigentümerin gesetzt.

5. Hinsichtlich folgender Kunden, bei denen es sich allesamt um Fälle handelt, in denen ihrem Wesen nach ein erhöhtes Risiko der Geldwäscherei und Terrorismusfinanzierung besteht und die die XXXX daher alle im hohen/höchsten Risiko eingestuft hat, hat die XXXX an ihrem Sitz entgegen § 40b Abs. 1 erster Satz BWG

a. zusätzlich zu der Sorgfaltspflicht des § 40 Abs 2a Z 3 BWG auf risikoorientierter Grundlage keine weiteren angemessenen Sorgfaltspflichten im Sinne des Erfordernisses höherer Standards bei der Erlangung und Überprüfung der Informationen zu Zweck und Art der Geschäftsbeziehung einschließlich Herkunft der Geld- oder Finanzmittel angewendet

b. und die jeweiligen Geschäftsbeziehung auch keiner verstärkten kontinuierlichen Überwachung unterzogen:

(ad a) Die XXXX hätte betreffend Zweck und Art der Geschäftsbeziehung einschließlich der Herkunft der Geld- und Finanzmittel spätestens zu Beginn des Tatzeitraumes dem Risiko des jeweiligen Kunden angemessene Informationen einholen und dokumentieren müssen und die Richtigkeit dieser Informationen anhand beweiskräftiger Unterlagen überprüfen müssen. Die verstärkten Sorgfaltspflichten iSd § 40b Abs. 1 erster Satz BWG verlangen eine auf risikoorientierter Grundlage vorzunehmende Intensivierung der Maßnahmen zur Erlangung und Überprüfung der Informationen zu Zweck und Art der Geschäftsbeziehung einschließlich Herkunft der Geld- oder Finanzmittel und deren Dokumentation.

(ad b) Weiters hätte die XXXX auf risikoorientierter Grundlage eine stärkere, laufende und institutionalisierte Überwachung von Transaktionen dieser Kunden im Hochrisikobereich durchzuführen gehabt sowie die Transaktionen einer verstärkten Plausibilitätsprüfung unterziehen müssen.

5.1. Testfall 1: Kundennummer XXXX "XXXX": von 01.01.2014 bis 14.01.2015:

Bei diesem Kunden handelt es sich um eine juristische Person mit Sitz in Aruba. Die Geschäftsbeziehung zu diesem Kunden besteht seit 1989. Der Kunde wurde von der XXXX in die höchste Risikostufe "5" eingestuft und unterhielt bei der XXXX ein Girokonto und ein Wertpapierdepot.

(ad a.) Ein KYC-Formular wurde am 15.01.2013 erstellt und enthält in Bezug auf Zweck und Art der Geschäftsbeziehung und hinsichtlich der Herkunft der Geld- oder Finanzmittel nur rudimentäre Informationen. In diesem KYC-Formular wurde lediglich angegeben, dass die XXXX in der Vermögensverwaltung tätig ist. Zweck des Kontos, zu erwartende Transaktionen und wichtige Geschäftspartner wurden hier nicht angegeben. Einzig zur Höhe der einzelnen Transaktionen wurde angegeben, dass diese mehr als 250.000 Euro betragen würden. Auch aus der übermittelten Satzung der Gesellschaft können keine Informationen zur konkreten Geschäftstätigkeit des Kunden abgeleitet werden. Das Feld bezüglich der Mittelherkunft ist im KYC-Formular nicht ausgefüllt. Auch sonst finden sich keine Unterlagen diesbezüglich im Kundenakt der XXXX.

Laut Vertreter der XXXX habe der Kunde im Jahr 1989 USD 5.000.000 eingebracht um diese Vermögenswerte bei der XXXX zu veranlagen. In den vergangenen Jahren wuchs das Vermögen an und verblieb in der XXXX. Ersichtlich ist, dass Vermögenswerte in Wertpapieren veranlagt wurden. Das Veranlagungsvermögen des Kunden lag per 12.03.2013 bei mehr als 50 Mio. EUR (Gesamtvermögen 58.474.270,77 EUR). Nachweise über die Geschäftstätigkeit des Kunden liegen nicht vor, die Herkunft der Geld- oder Finanzmittel konnte auch im Zuge der Vor-Ort-Prüfung der FMA durch die verantwortlichen Mitarbeiter nicht angegeben werden und lagen der XXXX bis jedenfalls 14.01.2015 diesbezügliche Informationen nicht vor.

(ad b.) Aufgrund der mangelnden Einholung, Überprüfung und Dokumentation von KYC-relevanten Dokumenten, Daten und Informationen zum Kunden konnte eine Prüfung, inwieweit die im Verlauf der Geschäftsbeziehung abgewickelten Transaktionen mit den Kenntnissen der XXXX über den Kunden, seine Geschäftstätigkeit und sein Risikoprofil, einschließlich erforderlichenfalls der Herkunft der Geld und Finanzmittel, kohärent sind, im Sinne einer verstärkten Überwachung der Hochrisiko-Geschäftsbeziehung nicht stattfinden und hat dementsprechend auch nicht stattgefunden.

5.2. Testfall 3: Kundennummer XXXX "XXXX": von 01.01.2014 bis jedenfalls 14.04.2015:

1 Bei dieser Kundin handelt es sich um eine ukrainische Staatsbürgerin mit Wohnsitz in der Ukraine. Die Geschäftsbeziehung zu dieser Kundin besteht seit 2011. Sie war bei der XXXX in der höchsten Risikostufe eingestuft. Die Kundin unterhält bei der XXXX vier Girokonten. Die Kundin hat angegeben, auf eigene Rechnung zu handeln.

(ad a.) Im Kundenakt befinden sich sowohl ein KYC-Formular (mit dem Hinweis Entwurf) vom 02.03.2011 und ein Update vom 01.02.2013 sowie Memos des Kundenberaters. Diese enthalten zwar Angaben zu Zweck und Art der Geschäftsbeziehung sowie Mittelherkunft, diese sind allerdings nicht dem hohen Risiko der Kundin angemessen und es finden sich auch keine beweiskräftigen Dokumente in den Kundenunterlagen der XXXX, die diese Angaben bestätigen würden.

Im Zuge der Vor-Ort-Prüfung wurde gegenüber der FMA angegeben, dass es sich um eine Unternehmerfamilie handle, die in der Ukraine eines der größten Distributionsunternehmen mit ca. 700 Mitarbeiter führe. Die Vermögenswerte seien auf die Frau (Kundin) des Unternehmers übertragen worden, da die politische Situation in der Ukraine instabil sei. Auch würden die Konten für Zahlungen in USD genützt, da Zahlungen in Fremdwährungen in der Ukraine einer Genehmigung bedürfen. Das Unternehmen der Familie handle angabegemäß eine sehr große Produktpalette, welche u.a. aus Fruchtsaft, Bier, Kosmetikprodukten und Tabak bestehe. Der Kundenbetreuer der XXXX gab an, Lagerhallen des Unternehmens in der Ukraine besichtigt zu haben. Es finden sich keine Dokumente in den vorliegenden Unterlagen, die diese Angaben bestätigen würden.

(ad b.) Aufgrund der mangelnden Einholung, Überprüfung und Dokumentation von KYC-relevanten Dokumenten, Daten und Informationen zum Kunden konnte eine Prüfung, inwieweit die im Verlauf der Geschäftsbeziehung abgewickelten Transaktionen mit den Kenntnissen der XXXX über den Kunden, seine Geschäftstätigkeit und sein Risikoprofil, einschließlich erforderlichenfalls der Herkunft der Geld und Finanzmittel, kohärent sind, im Sinne einer verstärkten Überwachung der Hochrisiko-Geschäftsbeziehung nicht stattfinden und hat dementsprechend auch nicht stattgefunden.

5.3. Testfall 8: Kundennummer XXXX "XXXX": von 01.01.2014 bis 02.04.2014:

2 Bei der Kundin handelt es sich um eine juristische Person, die auf den Kaimaninseln domiziliert ist. Die Geschäftsbeziehung wurde im Jahr 2000 begründet. Die Kundin wurde in der Risikoklasse "4" geführt und unterhielt ein Girokonto bei der XXXX. Aus dem Dokument "Offenlegung eines Treuhandverhältnisses" geht hervor, dass die Geschäftsbeziehung nach den Kundenangaben auf eigene Rechnung betrieben wurde.

(ad a.) Ein nicht datierter, nicht unterzeichneter Entwurf eines KYC-Formulars liegt den Unterlagen der XXXX über den Kunden bei. Als Kontoinhaber wurde XXXX angegeben, obwohl das Konto für die Gesellschaft XXXX eröffnet wurde. Zu Zweck und Art der Geschäftsbeziehung gibt es wenige Angaben. Unter der Rubrik "Details zum Geschäftsmodell" ist nichts ausgefüllt. Unter der Rubrik "Angaben zum Gesamtvermögen" ist "keine Angaben" angekreuzt. Ebenso ist unter der Rubrik "Jährl. Bruttoumsatz" das Feld "keine Angaben" angekreuzt. Weiters ist angegeben, dass das Unternehmen auch nicht vom Kundenberater besucht worden sei. Vermerkt ist, dass die Einzeltransaktionen zwischen 50.000 bis 250.000 Euro betragen würden. Weitere Recherchen zum Kunden wurden erst im Zuge der VOP der FMA nur auf Anfragen der Prüfer mündlich beim Kunden eingeholt bzw. findet sich ein (nicht datiertes) Memo der damaligen Geldwäschebeauftragten sowie einige Internet-Recherchen im Akt. Aus den Recherchen der XXXX geht hervor, dass der vermeintliche wirtschaftliche Eigentümer (XXXX) Investor in der Immobilienbranche sei und sich verantwortlich für das neue XXXX zeichne. Auch die Investitionen in einen XXXX in XXXX und XXXX werden genannt und eine Leasingrechnung über einen XXXX am XXXX XXXX beigelegt. Um Informationen zu Zweck und Art der Geschäftsbeziehung zur XXXX bzw. Herkunft der Mittel handelt es sich dabei nicht. Weitere Unterlagen zu diesen Unternehmen liegen nicht vor.

(ad b) Aufgrund der mangelnden Einholung, Überprüfung und Dokumentation von KYC-relevanten Dokumenten, Daten und Informationen zum Kunden konnte eine Prüfung, inwieweit die im Verlauf der Geschäftsbeziehung abgewickelten Transaktionen mit den Kenntnissen der XXXX über den Kunden, seine Geschäftstätigkeit und sein Risikoprofil, einschließlich erforderlichenfalls der Herkunft der Geld und Finanzmittel, kohärent sind, im Sinne einer verstärkten Überwachung der Hochrisiko-Geschäftsbeziehung nicht stattfinden und hat dementsprechend auch nicht stattgefunden.

Darüber hinaus stellen sich die Transaktionen wie folgt dar: Die Gesellschaft erhielt Gutschriften auf dem Girokonto, in Auftrag gegeben bei der XXXX durch eine juristische Person. Diese Vermögenswerte wurden nach Gutschrift bar behoben. Im Zeitraum 01.02.2012 bis 14.02.2013 belaufen sich die Gutschriften auf dem Konto auf EUR 241.289,86, während EUR 183.000 bar behoben wurden. Hinsichtlich dieses Transaktionsmusters wurde im Rahmen der Vor-Ort-Prüfung angegeben, dass der Kunde einen engen Freund in XXXX habe und mit diesem in XXXX einen XXXX errichte, es seien daher weitere Transaktionen aus XXXX zu erwarten. Hinsichtlich der Bartransaktionen gab der Kunde gemäß Ausführungen der XXXX an, dass er eine korrekte Versteuerung vornehme. Diesbezüglich ist festzuhalten, dass diese Informationen im Zuge der Vor-Ort-Prüfung durch die damalige Geldwäschebeauftragte nur auf Anfragen der Prüfer eingeholt wurden sowie, dass es seitens der XXXX nötig war, den Kunden zu kontaktieren und die Transaktionen zu hinterfragen, da der XXXX trotz Einstufung des Kunden in die Risikoklasse "4" keinerlei Informationen über den Kunden sowie sein Transaktionsverhalten vorlagen. Dies stellt keine verstärkte Überwachung eines Hochrisikokunden dar. Wofür im angegebenen Zusammenhang Bargeld benötigt wird, erklärt sich überdies auch aus den anlässlich der VOP eingeholten Angaben nicht.

5.4. Kunde Nr. XXXX ("XXXX") von 01.01.2014 bis 20.10.2014:

Die Kontoverbindung Nr. XXXXlautend auf die "XXXX" mit Firmensitz in XXXX, British Virgin Islands wurde am 28.01.2013 begründet. Die Kundin war in der Risikostufe 5 (von 5) bei Begründung der Geschäftsbeziehung eingestuft und wurde im März 2014 (generelle Reduktion der Risikoklassen von 5 auf 3 in der XXXX) in die höchste Risikoklasse 3 eingestuft.

(ad a.) Ein KYC-Formular, datiert mit 26.04.2013, liegt vor. Die Angaben im KYC-Formular insb. zu Zweck und Art der Geschäftsbeziehung sind allerdings nur rudimentär: Es liegen keine Angaben zu allfällige "licenses" und zu den "corporate characteristics and field of business" des Kunden vor. Ebenso fehlen gänzlich unternehmensspezifische Angaben zu "key financials" "key supplieres, licensors und business partners" "key customers". Weiters liegen keine Angaben zu den "discussed functions of the account" vor. Im Formular wird in Bezug auf die "main credit sources" zwar auf ein "Memo" verwiesen, auch dieses enthält allerdings nur rudimentäre Informationen: "the main source of income will come from Forex companies to whom they provide technological support and the outgoing money will be to some smaller companies with whom they cooperate in business activities".

Weiters wurde zwar im KYC-Formular die ungefähre Betragshöhen der geplanten Transaktionen angegeben (Einzeltransaktionen von ca. € 100.000 - € 200.000 bzw. insgesamt ca. € 3 Mio./Jahr), allerdings sind die sonstigen Angaben über die Kundin auch in Zusammenschau mit dem erwähnten "Memo" unbestimmt (zB. "technology support of all"; "the outgoing money will be to some smaller companies with whom they coorperate in business activities") und geben keinen Aufschluss darüber, woher die Gelder tatsächlich kommen, die über das gegenständliche Konto abgewickelt werden bzw. welche Geschäftstätigkeit der Kunde konkret ausübt.

(ad b) Aufgrund der mangelnden Einholung, Überprüfung und Dokumentation von KYC-relevanten Dokumenten, Daten und Informationen zum Kunden konnte eine Prüfung, inwieweit die im Verlauf der Geschäftsbeziehung abgewickelten Transaktionen mit den Kenntnissen über den Kunden, seine Geschäftstätigkeit und sein Risikoprofil, einschließlich erforderlichenfalls der Herkunft der Geld und Finanzmittel, kohärent sind, im Sinne einer verstärkten Überwachung der Hochrisiko-Geschäftsbeziehung nicht stattfinden und hat dementsprechend auch nicht stattgefunden.

Erst im September 2014 hat die XXXX weitere Informationen über die Kundin eingeholt bzw. (erstmals) eine "World-Check-Abfrage" der "XXXX" durchgeführt (datiert mit 29.09.2014) und festgestellt, dass "Warnungen diverser nationaler Aufsichtsbehörden vor diesem Unternehmen vorliegen". Diese Warnungen lagen zT bereits vor Begründung der gegenständlichen Geschäftsbeziehung vor, was aus der World-Check Abfrage selbst auch so hervorgeht ("Financial Services Warnings"). So hat die eine kanadische Finanzmarktaufsichtsbehörde "Autorité des Marchés Financiers" ("AMF") bereits am 17.05.2011 eine Warnung im Hinblick auf die Kundin ausgesprochen. Von einer verstärkten Überwachung eines Hochrisikokunden kann auch vor diesem Hintergrund nicht gesprochen werden.

Am 21.10.2014 erstattete die XXXX eine Meldung wegen des Verdachts bzw. berechtigten Grundes zur Annahme der Geldwäscherei betreffend den Kunden "XXXX" mit Firmensitz in XXXX, British Virgin Islands, an die Geldwäschemeldestelle des Bundeskriminalamtes (BK).

5.5. von 01.01.2014 bis 15.12.2014 Kunde Nr. XXXX ("XXXX"):

Am 20.05.2013 wurde die Geschäftsbeziehung zur Kundin XXXX (Konto Nr. XXXX) eröffnet. Die Kundin wurde zunächst in die Risikoklasse 4 (von 5) bzw. per März 2014 (generelle interne Reduktion auf 3 Risikoklassen) in die Risikoklasse 3 (von 3) eingestuft.

(ad a) Die Kundin wurde im Rahmen des Kontoeröffnungsprozesses in persönlichen Gesprächen über Art und Zweck der Geschäftsbeziehung befragt und hat angegeben, ein "current account" als Geschäftskonto in EUR und USD zu beantragen. Diese Informationen wurden auf dem KYC-Formular vermerkt (vgl. Angaben unter "initial contact"). Als "corporate characteristics and fields of business" wurden "financial support (loans)/worldwide" angegeben, des weiteren 4 russische Unternehmen als "business partners". Zu den "key financials" der Kundin wurde nichts angegeben. Die Mittelherkunft wurde mit "loans" angegeben.

Dass mehr Informationen über den Kunden vorgelegen wären, ergibt sich weder aus dem KYC-Formular, noch wurde dies von der XXXX in ihrer Stellungnahme vom 28.01.2015 behauptet. Es ist somit nicht erkennbar, welcher konkreten operativen Tätigkeit das Unternehmen nachgeht bzw. welche konkreten Transaktionen (Anzahl bzw. Höhe, Auftraggeber, Empfänger, Auftraggeberbank, Empfängerbank, Verwendungszweck, Beibringung von Geschäftsunterlagen bzw. Geschäftsabschlüssen etc.) geplant waren. Insbesondere fehlen Informationen über z.B. tatsächliche ausgeübte Geschäftstätigkeit, tatsächliche Vertragspartner, Verwendungszweck der "loans" sowie Darlegung der Tätigkeiten die im Rahmen des "financial supports" erbracht werden sollen.

(ad b) Aufgrund der mangelnden Einholung, Überprüfung und Dokumentation von KYC-relevanten Dokumenten, Daten und Informationen zum Kunden konnte eine Prüfung, inwieweit die im Verlauf der Geschäftsbeziehung abgewickelten Transaktionen mit den Kenntnissen über den Kunden, seine Geschäftstätigkeit und sein Risikoprofil, einschließlich erforderlichenfalls der Herkunft der Geld und Finanzmittel, kohärent sind, im Sinne einer verstärkten Überwachung der Hochrisiko-Geschäftsbeziehung nicht stattfinden und hat dementsprechend auch nicht stattgefunden.

Am 16.12.2014 erstattete die XXXX bezüglich dieser Kundin eine GW-Verdachtsmeldung, die damit begründet ist, dass im Rahmen eines generellen KYC-updates aufgefallen ist, dass die über die Konten gelaufenen Transaktionen nicht mit den im KYC angegebenen Informationen übereinstimmten. In dem nur etwas mehr als einem Jahr seit Eröffnung der Kontobeziehung erfolgte kein einziger Zahlungsfluss an ein im Zuge der Kontoeröffnung bekanntgegebenes Unternehmen. Es langten auch durchwegs Zahlungen von anderen als den zum damaligen Zeitpunkt angegebenen Unternehmen ein.

Aus der Umsatzliste zeigt sich vielmehr, dass bereits zu Beginn der Geschäftsbeziehung über gegenständliches Konto sehr hohe Transaktionen (z.B. am 28.06.2014 Eingang USD 32.247.294,93, Ausgang USD 20.315.795,81 sowie am 30.07.2013 Eingang USD 17.010.000,00, Ausgang USD 16.010.100,00) abgewickelt wurden.

Bis zur Erstattung der Verdachtsmeldung an die GW-Meldestelle wurden in Bezug auf das Transaktionsverhalten keine angemessenen Recherchen bzw. Prüfung auf Kohärenz vorgenommen. Von einer verstärkten Überwachung eines Hochrisikokunden kann auch vor diesem Hintergrund nicht gesprochen werden.

6. Die XXXX hat an ihrem Sitz entgegen § 40 Abs. 2a Z 3 zweiter Tatbestand BWG von 01.01.2014 bis 02.04.2014 beim Kunden Testfall 8 "XXXX" (Kundennummer XXXX) unterlassen, Gewähr zu leisten, dass die jeweiligen Dokumente, Daten und Informationen stets aktualisiert werden: Die Feststellung der Identität der juristischen Person erfolgte anhand der Dokumente "Memorandum of Association" sowie "Certificate of Incorporation" die per 13.03.1997 datiert wurden und nicht mit einer Apostille versehen sind. Aktuelle Firmenunterlagen, die das aktuelle Bestehen und die aktuelle Identität des Kunden belegen würden, liegen den Unterlagen der XXXX über den Kunden nicht bei.

7. Die XXXX hat an ihrem Sitz von 01.01.2014 bis jedenfalls 23.04.2015 entgegen § 40b Abs. 1 Z 3 lit. a iVm § 41 Abs. 4 Z 1 BWG über keine angemessenen, risikobasierten Verfahren verfügt, anhand derer bestimmt werden kann, ob es sich bei einer juristischen Person als bestehenden Kunden um eine politisch exponierte Person (PEP) handelt oder nicht:

Die Prüfung des Gesamtkundenbestandes gegen Sanktions- sowie PEP-Listen erfolgte monatlich durch das System "Siron-PEP-Embargo", das anlässlich der VOP von der FMA vorgefunden wurde. In diesem System hinterlegte Listen werden im Rahmen eines Wartungsvertrages durch die Firma "Tonbeller AG" wöchentlich aktualisiert.

Insbesondere die wirtschaftlichen Eigentümer einer juristischen Person als Kunde waren von dieser Prüfung nicht erfasst: Diese waren im Kernbankensystem nicht gespeichert und waren daher vom automatisierten Listenabgleich nicht umfasst; es wurden nur die Kundennamen (der "Kundenstamm") mit den Listen abgeglichen.

Die verpflichtende Überprüfung des PEP-Status insbesondere des wirtschaftlichen Eigentümers erfolgte gemäß Dienstanweisung KYC Prozess vom 01.02.2013 bei Kunden im erhöhten bzw. hohen Risiko (Risikoklassen 4 und 5 vor der generellen Reduktion der Risikoklassen von 5 auf 3 in der XXXX im März 2014) nur im Rahmen der jährlichen Aktualisierung der KYC-Dokumente bzw. allenfalls anlassbezogen. Bezüglich Kunden der Risikoklassen 1 bis 3 war in der Dienstanweisung KYC-Prozess vom 01.02.2013 kein Intervall zur Aktualisierung festgelegt. Gemäß Handbuch AML-Policy 0.3. (Datum 20.05.2014), bei der es nur mehr drei Risikoklassen gibt, erfolgt die verpflichtende Überprüfung des PEP-Status insbesondere des wirtschaftlichen Eigentümers bei Kunden der Risikoklasse 3 (hohes Risiko) jährlich bzw. - nicht näher definiert - "öfter auf Basis der individuellen Einschätzung des Kundenbetreuers in Abstimmung mit dem GWB", bei Kunden der Risikoklasse 2 alle 2 Jahre und bei Kunden der Risikoklasse 1 alle 3 Jahre. Diese von der XXXX im Tatzeitraum angewendeten Prüfintervalle sind nicht angemessenen und risikobasiert.

Folglich war auch die Einhaltung der verstärkten Sorgfaltspflichten gem. § 40b Abs. 1 Z 3 lit. c und d BWG hinsichtlich Geschäftsbeziehungen mit Bezug zu politisch exponierten Personen nicht sichergestellt.

8. Die XXXX hat an ihrem Sitz jedenfalls von 01.01.2014 bis 19.05.2014 entgegen §§ 41 Abs. 4 Z 1 iVm der Geldwäscherei- und Terrorismusfinanzierungsrisiko-Verordnung (GTV) unterlassen, in folgendem von der GTV erfassten Fall angemessene und geeignete Strategien und Verfahren für die Sorgfaltspflichten gegenüber Kunden einzuführen, um Transaktionen, die mit Geldwäscherei oder Terrorismusfinanzierung zusammenhängen, vorzubeugen und zu verhindern:

In der GTV werden Staaten, in denen jedenfalls ein erhöhtes Risiko der Geldwäscherei oder Terrorismusfinanzierung besteht, jeweils einzeln aufgezählt, und normiert, dass ein erhöhtes Risiko von GW/TF vorliegt, auch wenn der Fall vorliegt, dass eine Person, zu der der Kunde eine wesentliche Geschäftsbeziehung unterhält, in diesen Ländern Sitz oder Wohnsitz hat. U.a. für diesen Fall müssen verstärkte Sorgfaltspflichten angewendet und die Geschäftsbeziehung einer verstärkten kontinuierlichen Überwachung unerzogen werden. Dies war durch die XXXX mangels Dienstanweisungen im Tatzeitraum nicht sicherstellt, diesbezügliche Anweisungen finden sich jedenfalls nicht in der Dienstanweisung KCY-Prozess mit Datum 01.02.2013.

9. Die XXXX hat an ihrem Sitz jedenfalls von 01.01.2014 bis jedenfalls 19.05.2014 entgegen § 40d Abs. 1 iVm § 41 Abs. 4 Z 1 BWG unterlassen, angemessene und geeignete Strategien und Verfahren für die Gewährleistung der Einhaltung des § 40d Abs. 1 BGW einzuführen. Durch die einschlägige Dienstanweisung KCY-Prozess (galt von 01.02.2013 bis 19.05.2014) und durch das im Tatzeitraum geltende "Questionnaire Correspondent Banking" war nicht gewährleistet, dass die Aufnahme oder Fortführung einer Korrespondenzbankbeziehung mit einer Bank-Mantelgesellschaft (shell bank) gemäß § 2 Z 74 BWG unterlassen wird, und gab es auch sonst keine Dienstanweisung dazu.

10. Die XXXX hat an ihrem Sitz von 01.01.2014 bis jedenfalls 15.08.2014 entgegen § 41 Abs. 4 Z 1 iVm § 41 Abs. 4 Z 6 BWG unterlassen, einen besonderen Beauftragten (GWB) zur Bekämpfung von Geldwäscherei und Terrorismusfinanzierung vorzusehen, der die Einhaltung der §§ 40 ff BWG ausreichend sicherstellen konnte.

Angesichts der Art und des Umfanges der Aufgaben des GWB sowie des Umstandes, dass für den GWB im Tatzeitraum keine echte, sondern nur eine Abwesenheitsvertretung eingerichtet war, waren die Ressourcen, die in der XXXX für die Prävention von Geldwäscherei und Terrorismusfinanzierung eingesetzt waren (50 % der Arbeitszeit einer Person) nicht ausreichend. Dies auch vor dem Hintergrund des risikobehafteten Geschäftsmodells der XXXX (insbesondere "Treuhandfinanzierungen"), das sehr stark auf osteuropäische Kunden ausgerichtet war."

2. Mit formlosen Schreiben, die mit dem gleichen Datum wie das Straferkenntnis versehen waren (14.09.2016) teilte die belangte Behörde den Vorständen und der ehemaligen Geldwäschebeauftragten der beschwerdeführenden Gesellschaft mit, dass die gegen sie eingeleiteten Verwaltungsstrafverfahren gemäß § 99d Abs. 5 BWG eingestellt werden. Das Straferkenntnis wurde der beschwerdeführenden Gesellschaft am 15.09.2016 zugestellt, diese erhob dagegen eine am 13.10.2016 bei der belangten Behörde eingebrachte Beschwerde, welche dem Bundesverwaltungsgericht am 25.10.2016 zur Entscheidung vorgelegt wurde.

3. Mit Beschluss vom 21.11.2016, W230 2138107-1/5E, beantragte das Bundesverwaltungsgericht aus Anlass dieses Verfahrens beim Verfassungsgerichtshof die Aufhebung des § 99d BWG als verfassungswidrig. Die Einbringung dieses Beschlusses beim Verfassungsgerichtshof erfolgte am 23.11.2016 per ERV. Mit weiteren Beschlüssen beantragte es auch in anderen Senatsformationen aus Anlass weiterer, parallel anhängiger, Beschwerdeverfahren die Aufhebung des § 99d BWG (Beschlüsse vom 24.11.2016, W210 2138108-1, vom 22.12.2016, W148 2118633-1, und vom 23.12.2016, W107 2118633-2).

Mit Erkenntnis vom 13.12.2017, G 408/2016 u.a., wies der Verfassungsgerichtshof diese Anträge ab. Dieses Erkenntnis wurde dem Bundesverwaltungsgericht am 28.12.2017 zugestellt.

4. Am 11.04.2018 und am 04.06.2018 fand die mündliche Verhandlung der Beschwerdesache vor dem Bundesverwaltungsgericht statt. Ergänzend erfolgten schriftliche Äußerungen und Stellungnahmen der Verfahrensparteien. Im Zuge der mündlichen Verhandlung gaben die Parteien eine einvernehmliche Erklärung dazu ab, dass sie auf eine fortgesetzte Verhandlung zum Beweisthema der für die Strafbemessung relevanten Gesamtumsatzhöhe verzichten. Mit Verfügung vom 21.01.2019 gab das Gericht den Parteien rekapitulierend die im Verfahren bisher ermittelten (als Bemessungsgrundlage des Strafrahmens relevanten) Gesamtnettoumsätze der Muttergesellschaft der Jahre 2015-2017 bekannt und teilte ihnen mit, dass es auf dieser Grundlage für die Feststellung des (aktuell noch nicht ermittelbaren) Gesamtnettoumsatzes für 2018 im Wege einer Schätzung von einem Betrag von € 28.146.041,22 ausgehe. Die beschwerdeführende Partei teilte mit, dass sie sich gegen diesen Ansatz nicht ausspreche. Die belangte Behörde wandte hingegen ein, dass sich die Bemessungsgrundlage der Strafdrohung stets nach dem "letzten festgestellten" Jahresabschluss richtet, ein solcher liege zuletzt für 2017 (für 2018 aber noch nicht) vor, so dass der im Jahresabschluss 2017 festgestellte Gesamtnettoumsatz heranzuziehen sei.

II. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen:

Allgemeines zum Kreditinstitut

Die XXXX ("XXXX", auch: das KI, die BF) ist ein konzessioniertes Kreditinstitut gemäß § 1 Abs. 1 Bankwesengesetz (BWG) mit der XXXX. Das Kreditinstitut ist eine Kapitalgesellschaft, konkret eine Aktiengesellschaft. Die XXXX ist ein Tochterunternehmen der EU-Mutterfinanzholdinggesellschaft XXXX mit Sitz in XXXX.

Die BF verfügte in den Tatzeiträumen u.a. über eine Konzession zur Erbringung des Einlagen- und des Kreditgeschäfts.

Die BF verfügte in den Tatzeiträumen über zwei Vorstände: XXXX (Vorstand seit 28.12.2007) und XXXX (Vorstand seit 25.03.1999). Beide sind mittlerweile nicht mehr in dieser Funktion im Unternehmen tätig. Eine satzungsmäßige Aufteilung der Zuständigkeiten im Hinblick auf die Thematik der Geldwäscheprävention/Terrorismusfinanzierungsprävention bestand nicht. Der zweitgenannte Vorstand war nach der internen Praxis der hauptsächlich damit Befasste, während der Erstgenannte damit nur ganz allgemein bzw. im Zusammenhang mit der (hier nicht relevanten) IT-durchführungstechnischen Seite in Berührung kam.

Die XXXX bildet als übergeordnetes Kreditinstitut zwei Kreditinstitutsgruppen gemäß § 30 BWG:

1. die Kreditinstitutsgruppe "XXXX", welche die EU-Mutterfinanzholdinggesellschaft XXXX "XXXX", XXXX und ihre nachgeordneten Institute, darunter die XXXX, umfasst, sowie

2. die Kreditinstituts(sub)gruppe "XXXX", welche die XXXX und die ihr nachgeordneten Institute umfasst.

Der im konsolidierten Abschluss der Muttergesellschaft an der Spitze der Gruppe (das ist die "XXXX") ausgewiesene Gesamtnettoumsatz stellte sich in den bisher vorhandenen Abschlüssen wie folgt dar:

2015 € 31.354.948,30

2016 € 18.635.667,91

2017 € 30.767.251,66

Die Ertragslage der beschwerdeführenden Gesellschaft stellt sich laut dem Bericht über die Prüfung des Jahresabschlusses 2017 wie folgt dar:

Bild kann nicht dargestellt werden

Bei der XXXX handelt es sich um eine Privatbank, die XXXX gegründet wurde und bis heute in Privathand gehalten wird. Traditionell ist die XXXX stark auf die Märkte Osteuropas ausgerichtet. Ihre Zielmärkte sind u.a. Österreich und dessen Nachbarländer, CEE, GUS, Russland, Latein- und Mittelamerika sowie die Türkei. Der Gesamtkundenbestand betrug zum Prüfungszeitpunkt (11.03.2013 bis 22.03.2013) rd. 30.000 Kunden. Davon handelt es sich angabegemäß jedoch nur bei 2.000 um tatsächlich aktive Kunden, bei den anderen Kunden handelt es sich um Geschäftsbeziehungen, deren Gegenstand Sparpläne sind, die in der Form nicht mehr angeboten werden. Die Bank ist schwerpunktmäßig in den Geschäftsfeldern "Corporate & Investment Banking", "Corporate & Bank Client Relations" sowie "Customer Relations & Asset Management" tätig. Das Treuhandfinanzierungsgeschäft hat aufgrund der verstärkten Nachfrage aus Osteuropa stark zugenommen (ON 04, Seite 8).

Die XXXX selbst beschrieb ihre Geschäftstätigkeit 2012 wie folgt (vgl. Seite 19 von ON 12):

Bild kann nicht dargestellt werden

Es ist kein Anhaltspunkt ersichtlich, dass sich diese Art der Geschäftstätigkeit seitdem geändert hat.

Die XXXX unterhielt per 30.06.2015 gesamt 20.187 Geschäftsbeziehungen. Allerdings wurde sowohl im Rahmen der Vor-Ort-Prüfung der FMA (im Zeitraum vom 11.03.2013 bis 22.03.2013, Prüfbericht ON 04) sowie im Rahmen der Stellungnahme der XXXX vom 31.07.2015 (ON 58) angegeben, dass ca. 18.000 Geschäftsbeziehungen inaktiv seien.

Betrachtet man die Kundenstruktur in Relation zu den Kunden, die gemäß Angaben der XXXX tatsächlich aktiv sind (vgl. auch die Stellungnahme der XXXX vom 19.11.2015, ON 59), so zeichnete sich (per 30.06.2015) folgendes Bild (diese Zahlen ergeben sich aufgrund der Eingabe der XXXX im Rahmen des Risikoklassifizie