TE Bvwg Erkenntnis 2019/8/12 W210 2138108-1

W210 2138108-1/50E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch die Richterin Dr. Anke SEMBACHER als Vorsitzende und die Richterin Dr. Isabel FUNK-LEISCH sowie den Richter Dr. Stefan KEZNICKL als Beisitzer über die Beschwerde der XXXX , vertreten durch Proksch & Fritzsche Frank Fletzberger Rechtsanwälte GmbH, Nibelungengasse 11, 1010 Wien, gegen das Straferkenntnis der Finanzmarktaufsichtsbehörde vom 13.09.2016, Zl. XXXX , nach Durchführung einer mündlichen Verhandlung am 12.04.2018, 18.04.2018 und 12.08.2019 zu Recht erkannt:

A)

I. Die Beschwerde in der Schuldfrage wird abgewiesen mit der Maßgabe, dass der Spruch wie folgt zu lauten hat:

"Die XXXX (in der Folge: XXXX ; FN XXXX ), ein konzessioniertes Kreditinstitut mit Sitz in XXXX , hat gemäß § 35 Abs. 2 FM-GwG zu verantworten, dass die XXXX im Zeitraum vom 01.01.2014 bis 30.06.2014 in den Geschäftsmodellen ‚ XXXX ', ‚ XXXX ' und ‚ XXXX ' keine angemessenen und geeigneten Verfahren und Strategien für die Risikobewertung eingeführt hatte, um Transaktionen, die mit Geldwäscherei oder Terrorismusfinanzierung zusammenhängen, vorzubeugen und zu verhindern: Die Regelwerke der XXXX sahen im oben genannten Zeitraum in Bezug auf die oben genannten Geschäftsmodelle nicht vor, dass der Sitz bzw. Wohnsitz des wirtschaftlichen Eigentümers oder einer vertretungsbefugten Person in einem in der GTV gelisteten Staat in die Risikoeinstufung einer juristischen Person als Kundin miteinbezogen werden muss.

Die Verantwortlichkeit der juristischen Person gemäß § 35 Abs. 2 FM-GwG ergibt sich folgendermaßen:

Der im Tatzeitraum (01.01.2014 bis 30.06.2014) zum besonderen Beauftragten zur Sicherstellung der Einhaltung der §§ 40 ff zur Bekämpfung von Geldwäscherei und Terrorismusfinanzierung (im Folgenden: Geldwäschebeauftragte oder "GWB") bestellte XXXX , der im Tatzeitraum auch verantwortlicher Beauftragter gemäß § 9 Abs. 2 VStG war, aufgrund dieser Funktion eine Kontrollbefugnis innerhalb der XXXX ausübte und damit ebenfalls Inhaber einer Führungsposition innerhalb der XXXX war, hat die Begehung dieses Verstoßes durch die mit der Durchführung der Aufgaben befassten Mitarbeiter iSd § 35 Abs. 2 FM-GwG ermöglicht und selbst iSd § 34 Abs. 1 Z 8 FM-GwG gegen die Verpflichtungen verstoßen."

II. Der Beschwerde in der Straffrage wird stattgegeben und die Strafe auf XXXX Euro herabgesetzt.

III. Die Strafnorm lautet § 35 Abs. 3 erster Fall FM-GwG iVm § 34 Abs. 1 Z 8 FM-GwG, BGBl. I Nr. 118/2016 idF BGBl. I 107/2017.

IV. Der Beitrag zu den Kosten des Verfahrens bei der belangten Behörde beträgt XXXX Euro.

V. Die beschwerdeführende Partei hat gemäß § 52 Abs. 8 VwGVG keine Kosten des verwaltungsgerichtlichen Strafverfahrens zu tragen.

B)

Die Revision ist gemäß Art 133 Abs. 4 B-VG nicht zulässig.

ENTSCHEIDUNGSGRÜNDE:

I. Verfahrensgang:

Das gegenständlich angefochtene Straferkenntnis vom 13.09.2016 wendet sich gegen die XXXX :

"Die XXXX GmbH (in der Folge: XXXX ; FN XXXX ), ein konzessioniertes Kreditinstitut mit Sitz in XXXX , hat gemäß § 99d BWG zu verantworten, dass die XXXX im Zeitraum vom 01.01.2014 bis 30.06.2014 in den Geschäftsmodellen ‚ XXXX , ‚ XXXX ' und ‚ XXXX ' keine angemessenen und geeigneten Verfahren und Strategien für die Risikobewertung eingeführt hatte, um Transaktionen, die mit Geldwäscherei oder Terrorismusfinanzierung zusammenhängen, vorzubeugen und zu verhindern: Die Regelwerke der XXXX sahen im oben genannten Zeitraum in Bezug auf die oben genannten Geschäftsmodelle nicht vor, dass der Sitz bzw. Wohnsitz des wirtschaftlichen Eigentümers oder einer vertretungsbefugten Person in einem in der GTV gelisteten Staat in die Risikoeinstufung einer juristischen Person als Kundin miteinbezogen werden muss.

Die Verantwortlichkeit der juristischen Person gemäß § 99d BWG ergibt sich folgendermaßen:

Die im Tatzeitraum (von 01.01.2014 bis 30.06.2014) zur Vertretung nach außen berufenen Geschäftsführer (wie aus dem Firmenbuch ersichtlich) haben durch mangelnde Überwachung bzw. Kontrolle der mit der Durchführung der Aufgaben befassten Mitarbeiter die Begehung dieses Verstoßes ermöglicht.

Sie haben dadurch folgende Rechtsvorschriften verletzt:

§ 41 Abs. 4 Z 1 BWG, BGBl. Nr. 532/1993 idF. BGBl. I Nr. 13/2014 iVm. GTV, BGBl. II Nr. 137/2011 iVm. § 98 Abs. 5a Z 3 BWG, BGBl. Nr. 532/1993 idF. BGBl. I Nr. 184/2013 iVm. § 99d, BGBl. Nr. 532/1993 idF. BGBl. I Nr. 184/2013

Wegen dieser Verwaltungsübertretungen wird über die XXXX folgende Strafe verhängt:

Geldstrafe von

falls diese uneinbringlich ist, Ersatzfreiheitsstrafe von

Freiheitsstrafe von

Gemäß §§

209.000 Euro

--

--

§ 98 Abs. 5a Z 3 BWG, BGBl. Nr. 532/1993 idF. BGBl. I Nr. 184/2013 iVm. § 99d, BGBl. Nr. 532/1993 idF. BGBl. I Nr. 184/2013

Weitere Verfügungen (z.B. Verfallsausspruch, Anrechnung von Vorhaft):

--

Ferner haben Sie gemäß § 64 des Verwaltungsstrafgesetzes (VStG) zu zahlen:

• 20.900 Euro als Beitrag zu den Kosten des Strafverfahrens, das sind 10% der Strafe, mindestens jedoch 10 Euro (ein Tag Freiheitsstrafe gleich 100 Euro);

• 0 Euro als Ersatz der Barauslagen für --.

Der zu zahlende Gesamtbetrag (Strafe/Kosten/Barauslagen) beträgt daher

229.900 Euro."

2. Das zugrundeliegende Verwaltungsstrafverfahren war zuvor nach Durchführung einer Vor-Ort-Prüfung der FMA durch Aufforderung zur Rechtfertigung an die beschwerdeführende juristische Person am 18.12.2015 eingeleitet worden.

3. Mit Schriftsatz vom 29.01.2016 erfolgte die Rechtfertigung der beschwerdeführenden Partei unter Vorlage von Regelwerken, welche darlegen sollten, dass kein Verstoß gegen § 41 Abs. 4 Z 1 BWG vorliege.

4. Mit Schreiben vom 29.04.2016 wurde der im Tatzeitraum für die beschwerdeführende Partei tätige Geldwäschebeauftragte XXXX unter Hinweis auf die Zeugnisverweigerungsrechte zur Beantwortung weiterer Fragen aufgefordert. Mit Schriftsatz vom 17.05.2016 erstattete XXXX eine entsprechende schriftliche Stellungnahme.

5. Das gegenständliche Straferkenntnis datiert vom 13.09.2016 und wurde der beschwerdeführenden Partei am 16.09.2016 zugestellt.

6. Gegen dieses richtet sich die gegenständliche Beschwerde der beschwerdeführenden Partei, die am 14.01.2016 bei der belangten Behörde einging. In der Beschwerde wird zusammengefasst vorgebracht, dass die internen Regelwerke jedenfalls den Anforderungen des § 41 Abs. 4 Z 1 BWG genügten, es seien Ermittlungen hinsichtlich der Überwachung bzw. Kontrolle durch die Unternehmensorgane unterblieben, die Höhe der Strafe verstoße gegen zwingend anzuwendendes Unionsrecht, zudem sei § 99d Abs. 3 BWG verfassungswidrig.

7. Mit Beschluss vom 24.11.2016, W210 2138108-1/3Z beantragte das Bundesverwaltungsgericht beim Verfassungsgerichtshof die Aufhebung von § 99d BWG unter Stellung mehrerer Eventualanträge, da nach Ansicht des vorlegenden Gerichtes die von § 99d Abs. 3 BWG vorgesehene Höchststrafe in den Kernbereich der Strafgerichtsbarkeit fiel und damit die Zuständigkeit des Bundesverwaltungsgerichts in Frage stand. Dieser Antrag, dem Verfassungsgerichtshof zugegangen am 28.11.2016, wurde zu G 412/2016 protokolliert und in weiterer Folge mit anderen gleichlautenden Anträgen verbunden.

8. Nach Durchführung einer öffentlichen Verhandlung am 03.10.2017 wies der Verfassungsgerichtshof den Antrag zu G 408/2016 ua mit Entscheidung vom 13.12.2017 ab und hielt an der Zuständigkeit des Bundesverwaltungsgerichts für derartig hohe Strafen fest, wobei die Entscheidung unter Verweis auf die geänderten Umstände in der österreichischen Rechtsordnung durch Einführung der Verwaltungsgerichtsbarkeit und auf die Unterschiede zwischen dem Kriminalstrafrecht und dem Verwaltungsstrafrecht von der bisherigen Judikatur des Verfassungsgerichtshofes hinsichtlich der Zuständigkeit für derartige Strafen abging. Das Erkenntnis wurde dem Bundesverwaltungsgericht am 28.12.2017 zugestellt.

9. Am 12.04.2018 und am 18.04.2018 fand im fortgesetzten Verfahren eine mündliche Verhandlung statt, in der der Vertreter der beschwerdeführenden Partei, XXXX , im Beisein des Rechtsvertreters der beschwerdeführenden Partei sowie der Zeuge XXXX sowie die belangte Behörde gehört wurden.

10. Auf Aufforderung gab die FMA am 14.06.2018 bekannt, dass gegen die Geschäftsleiter der beschwerdeführenden juristischen Person in der verfahrensgegenständlichen Sache kein Verwaltungsstrafverfahren gesondert eingeleitet wurde.

11. Mit Entscheidung des Bundesverwaltungsgerichts vom 26.06.2018 wurde der Beschwerde stattgegeben, das angefochtene Straferkenntnis behoben und das Verfahren gemäß § 45 Abs. 1 Z 1 VStG behoben.

12. Dagegen erhob die belangte Behörde eine Amtsrevision, über die der Verwaltungsgerichtshof am 29.03.2019 zu Ro 2018/02/0023-8 entschied. Die bekämpfte Entscheidung des Bundesverwaltungsgerichts wurde dabei behoben.

13. Den Parteien wurde daraufhin die Möglichkeit gegeben, zu den verfahrensrechtlichen Fragen aus dem Erkenntnis Stellung zu nehmen. Sie machten davon Gebrauch, der BFV legte dabei ein Schreiben der belangten Behörde vom 07.05.2019 an den Geschäftsleiter XXXX vor, aus dem hervorgeht, dass die Behörde ein "allfällig eingeleitetes Verfahren" gemäß § 45 Abs. 1 Z 3 VStG eingestellt hat, und ein weiteres Schreiben vom 07.05.2019 an den GWB XXXX zum Absehen von der Bestrafung gemäß § 22 Abs. 6 Z 2 FMABG.

14. Am 12.08.2019 wurde die Verhandlung wiederholt, geladen wurde der Vertreter der BfP sowie der im Tatzeitraum bei der bfP tätige Geldwäschebeauftragte und verantwortliche Beauftrage gemäß § 9 Abs. 2 VStG als Partei und ebenso die belangte Behörde.

II. Das Bundesverwaltungsgericht hat erwogen:

Beweis wurde erhoben durch Einsichtnahme in den gegenständlichen Akt des Bundesverwaltungsgerichts, in den zugrundeliegenden Akt der belangten Behörde sowie durch Durchführung einer mündlichen Verhandlung am 12.04.2018, 18.04.2018 und 12.08.2019:

1. Feststellungen:

Die beschwerdeführende Partei ist ein konzessioniertes Kreditinstitut mit Sitz in XXXX . Die bfP ist eine Tochtergesellschaft der XXXX . Der Gesamtnettoumsatz der bfP betrug laut Konzernjahresabschluss der XXXX als Unternehmen an der Konzernspitze im Jahr 2015 EUR XXXX .

Im Tatzeitraum war XXXX Geschäftsführer der bfP, er vertrat die bfP zusammen mit XXXX .

XXXX war seit 2008 im Unternehmen und als Geldwäschebeauftragter und Compliance Officer tätig. Er war grundsätzlich dem gesamten Vorstand gegenüber berichtspflichtig, in der Praxis berichtete er dem GF XXXX einmal pro Woche und nahm regelmäßig an Geschäftsleitersitzungen teil, die alle zwei Wochen stattfanden. Einmal pro Monat tagte das Compliance Committee. Die Regelwerke wurden vom GWB erarbeitet und mit XXXX laufend diskutiert.

XXXX ist seit 01.10.2008 auch verantwortlicher Beauftragter gemäß § 9 Abs. 2 VStG. Die Bestellungsurkunde vom 01.10.2008 legt dar, dass die Bestellung auf die "Verantwortung für die Einhaltung der auf die Gesellschaft anwendbaren aufsichtsrechtlichen Bestimmungen, insbesondere der Bestimmungen des Österreichischen Bankwesengesetzes, ausgenommen die von § 98 Abs. 2 Z 8 und 9 umfassten Bestimmungen beschränkt" ist.

Die Urkunde hält weiter fest:

"Herr XXXX nimmt in unserem Unternehmen die Funktion des ‚Compliance Director' wahr und verfügt somit über eine entsprechende Anordnungsbefugnis im von der Bestellung umfassten Bereich. Er hat seinen Hauptwohnsitz in Österreich. Die in § 9 Abs. 4 VStG angeführten Voraussetzungen der Bestellung sind erfüllt.

Zum Nachweis, dass Herr XXXX seine Bestellung zugestimmt hat, legen wir die Erklärung vom 1. Oktober 2008 bei."

XXXX hat diese Bestellung auch angenommen, sie wurde auch an die belangte Behörde gemeldet und langte dort am 03.10.2008 ein. Seine "Declaration of Acceptance" vom 01.10.2008 lautet im englischen Original:

"I, XXXX , hereby declare my acceptance oft he appointment as responsible delegate according to Para.9 VstG (Verwaltungsstrafgesetz) regarding the compliance of XXXX with the applicable regulatory provisions, in particular the provisions of the Austrian Banking ACT, except for the provisions mentioned in § 98 Sect. 2 number 8 and 9."

Die Risikoanalyse 2012 geht für das Geschäftsfeld " XXXX von einem mittleren geographischen Risiko aus und begründet dies damit, dass die Kunden im Rahmen der Feststellung und Überprüfung ihrer Identität sorgfältig geprüft würden. Jedoch hält die Analyse fest, dass viele Zahlung von oder nach Ländern mit einem hohen oder mittleren Risiko gehen würden. So sind zu diesem Zeitpunkt 8% des Umsatzes mit Hochrisikoländern, 18% mit Ländern mittleren Risikos und die Mehrheit mit Ländern mit geringem Risiko verbunden. Manche Überweisungen hätten kein bekanntes Ziel, weshalb das Länderrisiko hier nicht evaluiert werden konnte. Die Analyse hält fest, dass dies durch sorgfältige Evaluierung geändert werden muss und zu einer Einstufung in ein höheres Gesamtrisiko führen kann. Zu " XXXX " stufte die Analyse das geographische Risiko für das Jahr 2012 als niedrig ein, dies aufgrund der Herkunftsländer der Kunden. Die Risikoanalyse hält jedoch auch zusammenfassend fest, dass die bfP einem nicht geringen Risiko zum Missbrauch für Geldwäsche und Terrorismusfinanzierung in den Bereichen " XXXX " ausgesetzt ist.

Die Regelwerke der bfP sahen aber sowohl in Bezug auf das Geschäftsmodell " XXXX ", als auch für die Geschäftsmodelle " XXXX " und " XXXX " zumindest im Zeitraum vom 01.01.2014 bis 30.06.2014 nicht vor, dass der Sitz bzw. Wohnsitz des wirtschaftlichen Eigentümers oder einer vertretungsbefugten Person in einem in der GTV, BGBl. II 322/2011, gelisteten Staat in die Risikoeinstufung einer juristischen Person als Kundin miteinbezogen werden musste.

Für den Geschäftsbereich " XXXX )" galt ab 17.09.2013 die " XXXX Neben Anweisungen für die Feststellung und Überprüfung der Identität von potentiellen Kunden bzw. deren vertretungsbefugten Personen und wirtschaftlichen Eigentümern hält Pkt. 5.3. unter "Client Evaluation" fest, dass die Risikoeinstufung vom "Accredition Team" für alle Neukunden und all jene Kunden, deren KYC-dokumentation aktualisiert werden muss, zu erfolgen hat. Dies hat unter Benutzung der "Risk Score Card" , Pkt. A., zu geschehen. Ziel soll sein, durch die Einstufung, Risiken zu minimieren und der Compliance-Abteilung die Transaktionsüberwachung zu erleichtern, diese effizienter zu machen. Basierend auf dem Ergebnis dieser Beurteilung werden Hochrisikokunden, Ergebnis 10 bis 7, jedes Jahr neu akkreditiert, Kunden mit mittlerem Risiko (Ergebnis 6,99 bis 4) alle zwei Jahre und Kunden mit niedrigem Risiko alle drei Jahre (3,99 - 1). Das Ergebnis ist in den Kundenakt einzutragen. Das Ergebnis wird durch die Analyse verschiedener Parameter und der Vergabe von Wertigkeiten errechnet, so dass ein Wert zwischen 1 und 10 erreicht wird. Die Parameter sind "Location", "Compliance List", "Method of Acquisition", "Organization Type", "Company Start Date", "Customer T&C Signoff" und "Industry". Wenn ein Kunde auf einer "Compliance List" steht, dass wird er immer mit Ergebnis 10 eingestuft. Diese Listen mit Ergebnis 10 sind betitelt mit "Hold or managed by a politically exposed person", "High value electronic devices reseller", "Luxury good reseller (eg: Dior, Gucci, Armani, etc.)", "Company which manipulates cash (eg: groceries, restaurants etc.)", "Escort or security company", "Real estate developer", "Not well known or new charity/association", "High value wine and spirits reseller", "Precious metal/precious stones reseller", "High value art reseller", "Weapons/defence reseller", "Company using exclusevly third party domiciliary services for address". Die Dauer des Bestehens eines Kunden sowie die Dauer des Bestehens der Geschäftsbeziehung mit der bfP werden ebenso mit einer Bewertung zwischen 1 und 10 versehen, wobei diese niedriger wird, je länger die Dauer ist. Schließlich findet sich noch die Gewichtung des Risikos für die verschiedenen Personen, natürliche Person ebenso wie die unterschiedlichen Ausformungen juristischer Personen. Schließlich wird noch eine Liste der Risikogewichtung je nach Art des Geschäftsfeldes des Kunden definiert und darauf verwiesen, dass die Einstufung des Risikos "Country" hoch, mittel oder niedrig sein kann. Weitere Risikokategorieren bzw. Definition von weiteren Risiken finden sich nicht in diesem Abschnitt.

Unter B. nimmt das Handbuch zur Bewertung des Kundenprofils auf Risikotypen ("b-3/Types of risks") Bezug, diese müssen mit dem verkauften Produkt korrespondieren.

Pkt. 7 des Handbuches widmet sich jenen Kunden, die aufgrund ihres Geschäftsfeldes ein erhöhtes Risiko von Geldwäscherei darstellen ("Sensitive clients"), das Handbuch verlangt eine erhöhte Sorgfalt im Umgang mit diesen Kunden und gibt eine deklarative Aufzählung von vierzehn möglichen, verdächtigen Situationen aus dem Umgang mit diesen Kunden wieder, auf die Kundenbetreuer zu achten haben. Eine Situation in Verbindung mit dem Sitz bzw. Wohnsitz des wirtschaftlichen Eigentümers oder einer vertretungsbefugten Person in einem in der GTV, BGBl. II 322/2011, gelisteten Staat in die Risikoeinstufung einer juristischen Person als Kundin findet sich darin nicht.

Für den Geschäftsbereich " XXXX " und den Geschäftsbereich " XXXX " galt die XXXX Version 5.1, revidiert am 29.03.2013. Pkt 2.1. hält unter dem Titel "Money Transfer" die Identifizierungsansprüche bei Überweisungen in Zusammenhang mit Österreich, Deutschland, Vereinigtem Königreich, Bulgarien, Rumänien und Polen fest. Unter Pkt. 2.2. mit dem Titel "Banking Business and XXXX " hält 2.2.1. die notwendigen Dokumente für die Kundenidentifizierung fest, ein Hinweis auf ein spezifisches Vorgehen zu Kunden aus einem in der GTV, BGBl. II 322/2011, gelisteten Staat findet sich darin nicht. Pkt.2.2.2 definiert die möglichen Informationsquellen. Es findet sich in der Version 5.1. keine Anweisung, dass der Sitz oder Wohnsitz in einem in der GTV, BGBl. II 322/2011, gelisteten Staat in die Risikoeinstufung einzufließen hat. Pkt. 2.2.3. hält fest, dass basierend auf einem Fragebogen ein Kunde in eine von zwei Risikoklassen, nämlich "industry risk" und "geographical risk" eingestuft wird. Es fehlt jeglicher Anhaltspunkt, nach welchen Kriterien bzw. aus welchen Gründen ein Kunde in die Klasse "geographical risk" einzustufen ist. Pkt. 2.2.3. hält zusätzlich fest, dass die KYC-Dokumentation von Hochrisikokunden alle 12 Monate aktualisiert werden sollten, jene für Kunden im mittlerem Risiko alle 24 Monate und jene mit niedrigem Risiko zumindest alle 36 Monate. Bis 30.06.2014 wurde das Handbuch durch die Versionen 5.2. und 5.3. erweitert. Diese Versionen widmeten sich dem Pkt 2.2.5. "Correspondent Banking Relationships", der durch Version 5.2. eingeführt und Version 5.3. erweitert wurde. Pkt. 2.2.3 der Version

5.1. und der Version 5.3., die am 01.06.2014 in Kraft trat, stimmen überein. Eine Definition der geographischen Risiken findet sich weder in Version 5.1. noch in Version 5.3. Version 5.3. enthält aber nun einen Pkt 2.2.5 zu den Korrespondenzbankbeziehungen, dessen Einleitungssatz darauf hinweist, dass erhöhte Sorgfaltspflichten nicht nur bei allen im Gesetz und in der GTV, BGB. II 322/2011 vorgesehenen Fällen anzuwenden sind, sondern generell in allen Fällen, wo das Risiko der Geldwäscherei und Terrorismusfinanzierung besteht.

Pkt 2.1. hält unter dem Titel "Money Transfer" die Identifizierungsansprüche bei Überweisungen in Zusammenhang mit Österreich, Deutschland, Vereinigtem Königreich, Bulgarien, Rumänien und Polen fest.

Ab 30.06.2014 galt XXXX , Version 6.0, revidiert am 30.06.2014. Diese enthält nun ab Seite 14 einen neuen Punkt mit dem Titel "Compliance Risk Assessment and Customer Acceptance" mit detaillierten Anweisungen, wie das Risiko zu erheben ist, ein Muster der dort genannten "Risk Score Card" liegt in dem Handbuch auf Seite 16 und 17 auf. Auf Seite 19 gibt es nun den Punkt "'Knock-out'-principles/High Risk Customers", in dem jedem Kunden, dessen Sitz in einem in der GTV, BGBl. II 322/2011, gelisteten Staat ist, bzw. dessen vertretungsbefugte Person ihren Wohnsitz in einem in der GTV, BGBl. II 322/2011, gelisteten Staat hat, automatisch die Risikoeinstufung "hoch" zugeschrieben wird. Damit verbunden hält das Handbuch ab 30.06.2014 auch jährliche Prüfintervalle für die Kundendaten durch Compliance, eine jährliche Überprüfung der Risikoeinstufung im Hinblick auf die Gefahr von Geldwäscherei und Terrorismusfinanzierung durch Compliance sowie eine händische Überprüfung aller Transaktionen dieser Kunden durch Compliance fest.

Darüber hinaus gab es für die drei Geschäftsbereiche keine anderen Regelwerke, Dienstanweisungen und dergleichen schriftlicher Natur, dass der Wohnsitz bzw. Sitz des wirtschaftlichen Eigentümers einer juristischen Person die Risikobewertung der Transaktion bzw. des Kunden miteinzukalkulieren ist.

2. Beweiswürdigung:

Die Feststellungen zur bfP, zu den Geschäftsleitern ergeben sich einerseits aus dem im Akt aufliegenden historischen Firmenbuchauszug und aus den Angaben des Geschäftsleiters im verwaltungsgerichtlichen Verfahren (FMA-Akt, ON 2 und ON 9; BVwG-Akt, OZ 18, Seite 3 ff.)

Die Feststellungen zur wirtschaftlichen Situation der bfP ergeben sich aus den eigenen Angaben der bfP gegenüber der belangten Behörde und wurden im Verfahren nicht bestritten (FMA-Akt, ON 9).

Die Feststellungen zur Anstellung von XXXX , seiner Funktion, seiner Arbeit bei der bfP sowie der Vorgehensweise bei der Erstellung der Handbücher und Regelwerke ergeben sich aus den vorgelegten Urkunden (BVwG-Akt, OZ 23, Beilage ./1) und den Angaben des Geschäftsleiters in seiner zeugenschaftlichen Einvernahme (BVwG-Akt, OZ 18, Seite 3 ff.), die sich auch mit den Darstellungen im Vor-Ort-Prüfungsbericht decken (FMA-Akt, ON 1, Seite 7).

Die Feststellungen zur Risikoanalyse ergeben sich aus der im Akt der belangte Behörde aufliegenden, unbedenklichen Abschrift der Analyse 2012 (FMA-Akt, Beilagenordner, Beilage ./4), wobei die Eigeneinstufung in "nicht geringes" Risiko sich aus den Seiten 208 und 209 ergibt.

Insbesondere aus den für den Tatzeitraum gültigen und vorgelegten Handbüchern ist klar ersichtlich, dass der Sitz bzw. Wohnsitz des wirtschaftlichen Eigentümers oder einer vertretungsbefugten Person in einem in der GTV, BGBl. II 322/2011, gelisteten Staat in die Risikoeinstufung einer juristischen Person als Kundin miteinbezogen werden musste, wobei sich zu allererst aus der Stellungnahme zum Prüfbericht vom 30.06.2014 ergibt, dass die bfP die entsprechende Maßnahmen zur Herstellung des von der FMA geforderten Zustandes erst nach dem Prüfbericht ergriff und diese Umsetzung mit der Stellungnahme anzeigte (BVwG-Akt, OZ 17, Beilage ./1, "Stellungnahme zum Vor-Ort Prüfbericht der FMA vom 21.05.2014", Seite 18).

Die Feststellungen XXXX , Version 2.0 und ihrem Inhalt ergeben sich einerseits aus der von der bfP im Verfahren vorgelegten unbedenklichen Urkunde (FMA-Akt, ON 4, Beilage ./1), an deren Echtheit kein Zweifel besteht. Aus eben diesem Handbuch ergibt sich auch, dass die Sitzdaten bzw. Wohnsitzdaten nicht in die Risikoeinstufung einbezogen worden sind, so denn diese Verpflichtung ist im gesamten Handbuch nicht niedergeschrieben, sondern wird vielmehr im Handbuch selbst dem "Accreditation Team" die Einstufung aufgrund der vordefinierten Matrix, der Risk Score Card (FMA-Akt, ON 4, Beilage ./1, Seite 27 ff)., vorgeschrieben (FMA-Akt, ON 4, Beilage ./1, Seite 17), die Risikoklassifizierung auf Einzelkundenebene in diesem Geschäftsbereich anhand der Score-Card offenbar der Standardfall war. Das Fehlen einer schriftlichen Anweisung im Geschäftsbereich " XXXX " wurde auch vom Geschäftsleiter in seiner Aussage bestätigt (BVwG-Akt, OZ 18, Seite 4).

Der Geltungsbereich der XXXX ergibt sich bereits aus der Urkunde selbst. Die Feststellung zur XXXX Version 5.1, revidiert am 29.03.2013, und ihrem Inhalt zur Risikoeinstufung von Kunden und deren Transaktionen fußt auf der im Verfahren vorgelegten unbedenklichen Urkunde (FMA-Akt-Beilagenordner, Beilage ./1), die sich von der Beilage ./4 dahingehend unterscheidet, als diese nach ihrem eigenen Wortlaut erst am 01.06.2014 in Kraft trat.

Die Feststellung zur XXXX Version 6.0, revidiert am 30.06.2014, und deren Inhalt fußen ebenso auf der im Verfahren vorgelegten unbedenklichen Urkunde (FMA-Akt-Beilagenordner, Beilage ./3, Seiten 14 ff.), die Änderungen zu den Vorversionen ergeben sich auch schon aus dem Überblick der Versionierung auf Seite 3 des Handbuchs.

3. Rechtliche Beurteilung:

3.1. Zur Zulässigkeit der Beschwerde

Gemäß § 22 Abs. 2a FMABG, BGBl I 97/2001 idF BGBl 184/2013, entscheidet über Beschwerden gegen Bescheide der FMA das Bundesverwaltungsgericht durch Senat, ausgenommen in Verwaltungsstrafsachen, wenn weder eine primäre Freiheitsstrafe noch eine 600 Euro übersteigende Geldstrafe verhängt wurde. Im gegenständlichen Fall wurde durch die belangte Behörde eine Geldstrafe in Höhe von € 209.900,-- verhängt, somit liegt Senatszuständigkeit vor.

Die Beschwerde ist rechtzeitig und zulässig.

3.2. Maßgebliche Rechtsnormen

3.2.1. Zu § 41 Abs. 4 Z 1 und seinen Nachfolgebestimmungen

§ 41 Abs. 4 Z 1 BWG in der Fassung BGBl. I 108/2007 lautete:

"(4) Die Kredit- und Finanzinstitute haben

1. angemessene und geeignete Strategien und Verfahren für die Sorgfaltspflichten gegenüber Kunden, Verdachtsmeldungen, die Aufbewahrung von Aufzeichnungen, die interne Kontrolle, die Risikobewertung, das Risikomanagement, die Gewährleistung der Einhaltung der einschlägigen Vorschriften und die Kommunikation einzuführen, um Transaktionen, die mit Geldwäscherei oder Terrorismusfinanzierung zusammenhängen, vorzubeugen und zu verhindern;

[2. .... 6.]

Die Behörde (§ 6 SPG) hat den Kredit- und Finanzinstituten Zugang zu aktuellen Informationen über Methoden der Geldwäscherei und der Terrorismusfinanzierung und über Anhaltspunkte zu verschaffen, an denen sich verdächtige Transaktionen erkennen lassen. Ebenso sorgt sie dafür, dass eine zeitgerechte Rückmeldung in Bezug auf die Wirksamkeit von Verdachtsmeldungen bei Geldwäscherei oder Terrorismusfinanzierung und die daraufhin getroffenen Maßnahmen erfolgt, soweit dies praktikabel ist."

Die Materialien zu BGBl. I 107/2007 (RV 286 BlgNR 23. GP, Seiten 9 und 10) halten dazu fest:

"Umsetzung von Art. 32 und 34 der Richtlinie in Abs. 4 Z 1, 2 und 4; Umsetzung von Art. 35 der Richtlinie in Abs. 4 Z 3 und im Schlussteil des Abs. 4.

Kredit- und Finanzinstitute haben in der Lage zu sein, gegenüber der Behörde rasch auf Anfragen zu antworten, ob sie mit bestimmten Personen Geschäftsbeziehungen unterhalten. Um solche Geschäftsbeziehungen feststellen und die betreffenden Informationen rasch zur Verfügung stellen zu können, haben die Kredit- und Finanzinstitute über wirksame, dem Umfang und der Art ihres Geschäfts entsprechende Systeme verfügen. Insbesondere für Kreditinstitute und größere Finanzinstitute sind elektronische Systeme zweckmäßig. Besonders wichtig ist dies im Zusammenhang mit Verfahren, die zu Maßnahmen wie dem Einfrieren oder der Beschlagnahme von Vermögenswerten (einschließlich Vermögen von Terroristen) entsprechend den einschlägigen nationalen oder gemeinschaftlichen Rechtsvorschriften im Hinblick auf die Terrorismusbekämpfung führen.

Die Geldwäscherei und die Terrorismusfinanzierung sind grenzübergreifende Probleme, und daher hat auch ihre Bekämpfung grenzübergreifend zu sein. Kredit- und Finanzinstitute, die Zweigstellen oder Tochterunternehmen in Drittländern haben, in denen die Rechtsvorschriften für diesen Bereich unzureichend sind, sollten den Gemeinschaftsstandard dort zur Anwendung bringen, um zu vermeiden, dass sehr verschiedene Standards innerhalb eines Instituts oder einer Institutsgruppe zur Anwendung kommen, und haben, falls diese Anwendung nicht möglich ist, die FMA zu benachrichtigen.

Um sicherzustellen, dass die Kredit- und Finanzinstitute auf dem Gebiet der Bekämpfung von Geldwäscherei und Terrorismusfinanzierung engagiert bleiben, werden sie, soweit dies praktikabel ist, geeignete Rückmeldung über den Nutzen ihrer Meldungen und die daraufhin ergriffenen Maßnahmen erhalten.

Der Beauftragte gemäß Z 6 hat direkt der Geschäftsführung zu berichten; dem Gedanken der Proportionalität Rechnung tragend kann bei kleineren und mittleren Instituten eine Verbindung der Tätigkeit als Geldwäschebeauftragter mit anderen Aufgaben erfolgen."

§ 41 Abs. 4 BWG wurde mit BGBl. I 37/2010 novelliert und lautete ab 01.07.2011 bis zu seiner Aufhebung per 31.12.2016 wie folgt:

"(4) Die Kredit- und Finanzinstitute haben

1. angemessene und geeignete Strategien und Verfahren für die Sorgfaltspflichten gegenüber Kunden, Verdachtsmeldungen, die Aufbewahrung von Aufzeichnungen, die interne Kontrolle, die Risikobewertung, das Risikomanagement, die Gewährleistung der Einhaltung der einschlägigen Vorschriften und die Kommunikation einzuführen, um Transaktionen, die mit Geldwäscherei oder Terrorismusfinanzierung zusammenhängen, vorzubeugen und zu verhindern sowie geeignete Strategien zur Verhinderung des Missbrauchs von neuen Technologien für Zwecke der Geldwäscherei und der Terrorismusfinanzierung zu entwickeln;

[2. .... 6.]

Gemäß den Materialien zu BGBl. I 37/2010 wurde mit der Novelle Folgendes bezweckt (RV 661 BlgNR 24. GP, Seite 5):

"In Abs. 4 Z 1 erfolgt die Umsetzung der Anmerkung zur FATF - Empfehlung Nr. 8, wodurch den Kredit- und Finanzinstituten auch die Verpflichtung auferlegt wird, Strategien zu entwickeln, den Missbrauch von neuen Technologien zu verhindern."

§ 41 Abs. 4 Z 1 BWG wurde während des Verfahrens zu G 402/2016 aufgehoben durch BGBI. I 118/2016. Die Regierungsvorlage hält dazu fest (RV 1335 BlgNR. 25. GP, S. 22):

"Die Melde- und Zusammenarbeitspflichten der Kredit- und Finanzinstitute mit der Geldwäschemeldestelle, die bisher in § 41 Abs. 1, 1a und 2 geregelt wurden, finden sich künftig in § 16 Abs. 1 bis 3 FM-GwG, die Inhalte der übrigen Bestimmungen des § 41 wurden ebenfalls in das FM-GwG verschoben. In diesem Zusammenhang wird § 41 unter Berücksichtigung der besonderen Systematik des BWG (§ 38 Abs. 2) an diese Verschiebung angepasst."

Die Nachfolgerbestimmungen finden sich im FM-GwG, BGBI. I 118/2016 und lauten ab 01.01.2017 auszugsweise wie folgt:

"Umfang der Sorgfaltspflichten

§ 6. (1) ..(4)

(5) Die Verpflichteten können den Umfang der in Abs. 1 bis 3 genannten Sorgfaltspflichten auf risikoorientierter Grundlage bestimmen. Bei der Bewertung der Risiken von Geldwäscherei und Terrorismusfinanzierung sind zumindest die in Anlage I aufgeführten Variablen zu berücksichtigen. Als Ergebnis dieser Bewertung ist jeder Kunde in eine Risikoklasse einzustufen. Die Verpflichteten müssen der FMA gegenüber nachweisen können, dass die von ihnen getroffenen Maßnahmen angesichts der ermittelten Risiken von Geldwäscherei und Terrorismusfinanzierung angemessen sind.

...

Verstärkte Sorgfaltspflichten

§ 9. (1) In den in § 10 bis § 12 genannten Fällen, bei natürlichen oder juristischen Personen, die in Drittländern mit hohem Risiko niedergelassen sind und wenn ein Verpflichteter aufgrund seiner Risikoanalyse (§ 4) oder auf andere Weise feststellt, dass ein erhöhtes Risiko der Geldwäscherei oder Terrorismusfinanzierung besteht, hat er verstärkte Sorgfaltspflichten gegenüber Kunden anzuwenden, um diese Risiken angemessen zu beherrschen und zu mindern. Hierbei sind die Risiken von Geldwäscherei und Terrorismusfinanzierung für bestimmte Arten von Kunden, geografische Gebiete und für bestimmte Produkte, Dienstleistungen, Transaktionen oder Vertriebskanäle zu bewerten und zumindest die in Anlage III dargelegten Faktoren für ein potenziell erhöhtes Risiko zu berücksichtigen.

....

Anforderungen an die interne Organisation und Schulungen

§ 23. (1) Die Verpflichteten haben Strategien, Kontrollen und Verfahren zur wirksamen Minderung und Steuerung der auf Unionsebene, auf nationaler Ebene und auf Unternehmensebene ermittelten Risiken von Geldwäscherei und Terrorismusfinanzierung einzurichten, die in einem angemessenen Verhältnis zu Art und Größe des Verpflichteten zu stehen haben. Dabei haben sie den Bericht der Europäischen Kommission gemäß Art. 6 Abs. 1 der Richtlinie (EU) 2015/849, die nationale Risikoanalyse (§ 3) und die Risikoanalyse auf Unternehmensebene (§ 4) zu berücksichtigen. Die Strategien, Kontrollen und Verfahren haben insbesondere Folgendes zu umfassen:

1. die Risikoklassifizierung auf Kundenebene (§ 6 Abs. 5),

2. die Risikomanagementsysteme (§ 11 Abs. 1 Z 1),

3. die Sorgfaltspflichten gegenüber Kunden; dies beinhaltet auch Maßnahmen in Bezug auf neue Produkte, Praktiken und Technologien zum Ausgleich der damit in Zusammenhang stehenden Risiken,

...

(2) Die Strategien, Kontrollen und Verfahren (Abs. 1) sind in schriftlicher Form festzulegen und vom Leitungsorgan zu genehmigen; sie sind laufend anzuwenden und sofern erforderlich entsprechend anzupassen. Die laufende Einhaltung der internen Vorschriften, die Teil der Strategien, Kontrollen und Verfahren sind, durch die diesen unterworfenen Mitarbeiter, ist durch den besonderen Beauftragten (Abs. 3) zu überwachen. Dieser ist insbesondere auch für die Einhaltung der gruppenweiten Strategien und Verfahren gemäß § 24 verantwortlich. Darüber hinaus hat eine risikobasierte unabhängige Prüfung der Strategien, Verfahren und Kontrollen sowie deren laufenden Anwendung durch die interne Revision zu erfolgen. Sofern Verpflichtete zur Einrichtung einer internen Revision nicht verpflichtet sind und eine unabhängige Prüfung im Hinblick auf Art und Umfang der Geschäftstätigkeit erforderlich ist, hat die Prüfung durch eine unabhängige Stelle zu erfolgen."

Anlage III zum FM-GwG lautet:

"Zu (§ 9):

Die nachstehende Liste ist eine nicht erschöpfende Aufzählung von Faktoren und möglichen Anzeichen für ein potenziell erhöhtes Risiko nach § 9 Abs. 1:

1. Risikofaktoren bezüglich Kunden:

a) außergewöhnliche Umstände der Geschäftsbeziehung,

b) Kunden, die in geografischen Gebieten mit hohem Risiko gemäß Z 3 ansässig sind,

c) juristische Personen oder Rechtsvereinbarungen, die als Instrumente für die private Vermögensverwaltung dienen,

d) Unternehmen mit nominellen Anteilseignern oder als Inhaberpapieren emittierten Aktien,

e) bargeldintensive Unternehmen,

f) angesichts der Art der Geschäftstätigkeit als ungewöhnlich oder übermäßig kompliziert erscheinende Eigentumsstruktur des Unternehmens;

2. Risikofaktoren bezüglich Produkten, Dienstleistungen, Transaktionen oder Vertriebskanälen:

a) Banken mit Privatkundengeschäft,

b) Produkte oder Transaktionen, die Anonymität begünstigen könnten,

c) Geschäftsbeziehungen oder Transaktionen ohne persönliche Kontakte und ohne bestimmte Sicherungsmaßnahmen wie z. B. elektronische Unterschriften,

d) Eingang von Zahlungen unbekannter oder nicht verbundener Dritter,

e) neue Produkte und neue Geschäftsmodelle einschließlich neuer Vertriebsmechanismen sowie Nutzung neuer oder in der Entwicklung begriffener Technologien für neue oder bereits bestehende Produkte;

3. Risikofaktoren in geographischer Hinsicht:

a) unbeschadet des § 2 Z 17, ermittelte Länder, deren Finanzsysteme laut glaubwürdigen Quellen (z. B. gegenseitige Evaluierungen, detaillierte Bewertungsberichte oder veröffentlichte Follow-up-Berichte) nicht über hinreichende Systeme zur Bekämpfung von Geldwäscherei und Terrorismusfinanzierung verfügen,

b) Drittländer, in denen Korruption oder andere kriminelle Tätigkeiten laut glaubwürdigen Quellen signifikant stark ausgeprägt sind,

c) Länder, gegen die beispielsweise die Union oder die Vereinten Nationen Sanktionen, Embargos oder ähnliche Maßnahmen verhängt hat/haben,

d) Länder, die terroristische Aktivitäten finanziell oder anderweitig unterstützen oder in denen bekannte terroristische Organisationen aktiv sind."

3.2.2. Zur GTV und ihren Nachfolgebestimmungen

Die Verordnung der FMA über weitere Fälle eines erhöhten Geldwäsche- oder Terrorismusfinanzierungsrisikos kam im vorliegenden Fall in der Fassung BGBL. II 377/2011 zur Anwendung. Die GTV normierte, dass ein erhöhtes Risiko für Geldwäscherei und Terrorismusfinanzierung bei Kunden besteht, wenn der Kunde oder die für ihn im Sinne des § 40 Abs. 1 BWG oder des § 98b Abs. 1 VAG vertretungsbefugte Person oder eine Person, zu der der Kunde eine wesentliche Geschäftsbeziehung unterhält, der Treugeber oder der wirtschaftliche Eigentümer seinen Wohnsitz oder Sitz in einem der in der GTV gelisteten Staaten hat oder eine Transaktion über ein Konto abgewickelt wird, das bei einem Kreditinstitut in einem der in der GTV aufgeführten Staaten eingerichtet ist.

Diese Verordnung trat bereits außer Kraft, ebenso die Nachfolgeverordnung BGBL. II 422/2015. Nun mehr ist die Aufzählung der Hochrisikoländer unionsrechtlich geregelt und findet sich in der delegierten Verordnung (EU) 2016/1675 der Kommission vom 14. Juli 2016 zur Ergänzung der Richtlinie (EU) 2015/849 des Europäischen Parlaments und des Rates durch Ermittlung von Drittländern mit hohem Risiko, die strategische Mängel aufweisen (ABl. Nr. L 254 vom 20.09.2016 S. 1). Erwägungsgrund 2 der Verordnung hält fest, dass alle Verpflichteten im Sinne der Richtlinie (EU) 2015/849 in ihren Beziehungen zu natürlichen und juristischen Personen, "die in Drittländern mit hohem Risiko niedergelassen sind, verstärkte Sorgfaltspflichten anwenden" sollen.

3.2.3. Zu den angewendeten Strafbestimmungen und ihren Nachfolgebestimmungen

§ 98 BWG in der Fassung BGBl. I 184/2013 lautet auszugsweise:

"§ 98.

[...]

(5a) Wer als Verantwortlicher (§ 9 VStG) eines Kreditinstitutes

[...]

3. die Pflichten der §§ 40, 40a, 40b, 40d oder 41 Abs. 1 bis 4 verletzt;

[...]

begeht, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet, eine Verwaltungsübertretung und ist von der FMA mit Geldstrafe bis zu 150 000 Euro, im Falle einer Verwaltungsübertretung gemäß Z 3 mit Freiheitsstrafe bis zu sechs Wochen oder mit einer Geldstrafe bis zu 150 000 Euro zu bestrafen."

§ 99d Bankwesengesetz (BWG), BGBl. Nr. 532/1993 in der Fassung BGBl. I 184/2013 lautet:

"§ 99d. (1) Die FMA kann Geldstrafen gegen juristische Personen verhängen, wenn Personen, die entweder allein oder als Teil eines Organs der juristischen Person gehandelt haben und eine Führungsposition innerhalb der juristischen Person aufgrund

1. der Befugnis zur Vertretung der juristischen Person,

2. der Befugnis, Entscheidungen im Namen der juristischen Person zu treffen, oder

3. einer Kontrollbefugnis innerhalb der juristischen Person

innehaben, gegen die in § 98 Abs. 1, Abs. 2 Z 7 und 11, Abs. 5, Abs. 5a oder § 99 Abs. 1 Z 3 oder 4 angeführten Verpflichtungen verstoßen haben, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet.

(2) Juristische Personen können wegen Verstößen gegen die in § 98 Abs. 1, Abs. 2 Z 7 und 11, Abs. 5, Abs. 5a oder § 99 Abs. 1 Z 3 oder 4 angeführten Pflichten auch verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch eine in Abs. 1 genannte Person die Begehung dieser Verstöße durch eine für die juristische Person tätige Person ermöglicht hat, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet.

(3) Die Geldstrafe gemäß Abs. 1 oder 2 beträgt bis zu 10 vH des jährlichen Gesamtnettoumsatzes gemäß Abs. 4 oder bis zu dem Zweifachen des aus dem Verstoß gezogenen Nutzens, soweit sich dieser beziffern lässt.

(4) Der jährliche Gesamtnettoumsatz gemäß Abs. 3 ist bei Kreditinstituten der Gesamtbetrag aller in Z 1 bis 7 der Anlage 2 zu § 43 angeführten Erträge abzüglich der dort angeführten Aufwendungen; handelt es sich bei dem Unternehmen um eine Tochtergesellschaft, ist auf den jährlichen Gesamtnettoumsatz abzustellen, der im vorangegangenen Geschäftsjahr im konsolidierten Abschluss der Muttergesellschaft an der Spitze der Gruppe ausgewiesen ist. Bei sonstigen juristischen Personen ist der jährliche Gesamtumsatz maßgeblich. Soweit die FMA die Grundlagen für den Gesamtumsatz nicht ermitteln oder berechnen kann, hat sie diese zu schätzen. Dabei sind alle Umstände zu berücksichtigen, die für die Schätzung von Bedeutung sind.

(5) Die FMA kann von der Bestrafung eines Verantwortlichen gemäß § 9 VStG absehen, wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen die juristische Person verhängt wird und keine besonderen Umstände vorliegen, die einem Absehen von der Bestrafung entgegenstehen."

Die Materialien zu § 99d BWG hielten wortwörtlich fest (RV 2438 BlgNR 24. GP, S. 63; Hervorhebungen nicht im Original):

"Durch diese Bestimmung wird neben dem Konzept der strafrechtlichen Verantwortlichkeit für juristische Personen nach § 9 VStG auch eine direkte Verantwortlichkeit und Sanktionierung von juristischen Personen ermöglicht. Die Formulierung orientiert sich dabei an der bereits in § 370 Abs. 1a und 1b GewO bestehenden Formulierung. Diese Ergänzung des Konzepts des § 9 VStG ist zwingend erforderlich, weil es aufgrund der unionsrechtlichen Vorgaben des Art. 66 Abs. 2 lit. c sowie Art. 67 Abs. 2 lit. e Richtlinie 2013/xx/EU unerlässlich ist, auch juristische Personen als unmittelbare Strafadressaten vorzusehen, wenn gegen Pflichten verstoßen wird, welche die juristische Person selbst betreffen. Die Strafmöglichkeit ist dann gegeben, wenn Personen, die bestimmte "Schlüsselfunktionen" bei juristischen Personen ausüben, gegen gesetzliche Verpflichtungen des BWG verstoßen, die sowohl natürliche als auch juristische Personen als Normadressaten haben können (etwa bei den Tatbeständen des § 98 Abs. 1), im konkreten Anlassfall jedoch eine juristische Person von den Pflichten betroffen ist (z.B. GmbH nimmt Einlagen ohne Konzession entgegen), oder wenn die oa Personen gegen Pflichten verstoßen, die sich systematisch nur an juristische Personen als Normadressaten richten können (z.B. § 40 Abs. 1). Die Möglichkeit einer Bestrafung des Verantwortlichen gemäß § 9 VStG bleibt weiterhin parallel bestehen. Gegenüber dem gerichtlichen Strafrecht, insbesondere der strafrechtlichen Verantwortlichkeit von Verbänden gemäß Verbandsverantwortlichkeitsgesetz (VbVG), besteht wie üblich Subsidiarität der verwaltungsstrafrechtlichen Strafnorm. Aufgrund der in Abs. 3 festgesetzten Höhe der Strafdrohungen im Verwaltungsstrafverfahren (bis zu 10 vH des jährlichen Gesamtnettoumsatzes; bis zu der zweifachen Höhe des aus dem Verstoß gezogenen Nutzens), welche durch die Richtlinie 2013/xx/EU vorgegeben sind und somit umgesetzt werden müssen, ist im Hinblick auf Art. 91 B-VG bzw. die dazu ergangene Judikatur des VfGH der Bestand dieser Strafdrohungen verfassungsgesetzlich abzusichern. Unter dem aus dem ‚Verstoß gezogenen Nutzen' ist bei der Bestrafung juristischer Personen jener Nutzen zu verstehen, der durch den Verstoß allfällig der zu bestrafenden juristischen Person zu Gute gekommen ist.

In Abs. 4 wird die Definition des jährlichen Gesamtnettoumsatzes vorgenommen. In Abs. 5 wird der FMA aus Gründen der Verfahrensökonomie und aus generellen präventiven Überlegungen ein gewisses Ermessen bei der Anwendung der §§ 98ff eingeräumt. Dieses Ermessen beschränkt sich dabei darauf, dass im durch diese Gesetzesnovelle neu geregelten Falle der Verhängung einer Geldstrafe gegen eine juristische Person wegen einer Verwaltungsübertretung von der Bestrafung des Verantwortlichen gemäß § 9 VStG wegen derselben Verwaltungsübertretung abgesehen werden kann."

Die bezogene Richtlinie 2013/36/EU des Europäischen Parlaments und des Rates vom 26. Juni 2013 über den Zugang zur Tätigkeit von Kreditinstituten und die Beaufsichtigung von Kreditinstituten und Wertpapierfirmen, zur Änderung der Richtlinie 2002/87/EG und zur Aufhebung der Richtlinien 2006/48/EG und 2006/49/EG, ABl. 2013, L 176, S. 338 ff., verlangte für bestimmte Verstöße in Art. 67 wirksame innerstaatliche Sanktionen. Sie sieht hohe Verwaltungssanktionen vor (Geldbußen), die sowohl gegen die beteiligten natürlichen Personen als auch gegen die verantwortliche juristische Person verhängt werden können (müssen). Die Richtlinie geht davon aus, dass die Mitgliedstaaten die Verstöße alternativ auch durch das gerichtliche Strafrecht pönalisieren können.

Da die Bestimmung des § 41 Abs. 4 Z 1 BWG in das FM-GwG verschoben wurde, finden sich nun auch die im Entscheidungszeitpunkt anzuwendenden Bestimmungen zur Zurechnung an die juristische Person und zur Strafe im FM-GwG, nämlich in den §§ 34 und 35 FM-GwG, in der um Entscheidungszeitpunkt geltenden Fassung BGBl. I 17/2018:

"Strafbestimmungen und Veröffentlichungen

Pflichtverletzungen

§ 34. (1) Wer als Verantwortlicher (§ 9 VStG) eines Verpflichteten, die Pflichten gemäß

[..]

8. § 23 Abs. 1 bis 3 oder 6 (interne Organisation),

[..]

ve