TE Bvwg Erkenntnis 2019/10/24 W172 2184033-1

W172 2184033-1/37E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch den Richter Mag. Dr. Martin MORITZ als Vorsitzenden und die Richterin MMag. Dr. Esther SCHNEIDER als Beisitzerin und den Richter Mag. Rainer FELSEISEN als Beisitzer über die Beschwerde von XXXX , vertreten durch Fellner Wratzfeld & Partner, Rechtsanwälte GmbH, Schottenring 12, 1010 Wien, gegen das Straferkenntnis der Finanzmarktaufsichtsbehörde vom 04.12.2017, Zl. FMA-KL23 5128.100/0001-LAW/2017, nach Durchführung einer mündlichen Verhandlung am 30.09.2019 zu Recht erkannt:

A)

I. Die Beschwerde in der Schuldfrage wird mit der Maßgabe abgewiesen, dass der Spruch nunmehr wie folgt zu lauten hat:

"Die XXXX (HRB XXXX ), ein konzessioniertes Kreditinstitut mit Geschäfts-anschrift XXXX , Deutschland, hat, als juristische Person folgende Verstöße zu verantworten:

Ihre Rechtsvorgängerin XXXX AG XXXX , ein konzessioniertes Kreditinstitut mit Geschäftsanschrift XXXX , hat von 01.01.2008 bis zumindest 25.10.2016 unterlassen, risikobasierte und angemessene Maßnahmen mittels interner Strategien, Prozesse und Verfahren festzulegen, um Gewähr zu leisten, dass die zur Erfüllung der Sorgfaltspflichten betreffend Geldwäscherei und Terrorismusfinanzierung erforderlichen jeweiligen Dokumente, Daten oder Informationen stets aktualisiert werden.

Dies dadurch, dass die XXXX AG es von 01.01.2008 bis zumindest 25.10.2016 unterlassen hat, risikobasierte und angemessene Maßnahmen, die die Einhaltung der (schriftlichen) Arbeitsanweisungen betreffend die Aktualisierung von Dokumenten, Daten und Informationen bei Kunden, insbesondere Hochrisikokunden, sicherstellen, festzulegen. Dies insbesondere im Hinblick darauf wer, wann und wie kontrollieren muss bzw. wo die Kontrollhandlung dokumentiert wird. Weiters hat die XXXX AG unterlassen, wirksame Mängelbehebungsprozesse diesbezüglich festzulegen.

Vom 01.01.2008 bis zumindest 25.10.2016 waren ein Eskalationsprozess, welcher eine fristgerechte Aktualisierung der Unterlagen sicherstellen soll, und ein Kontrollsystem jedenfalls noch nicht eingerichtet.

Erst im Oktober 2016 reagierte das Unternehmen tatsächlich auf die nicht aktualisierten Customer Profiles. Im Rahmen dieses Aufarbeitungsprozesses wurde schlussendlich erst im Februar 2017 mittels "Board Resolution" am 21.02.2017 ein Aktualisierungsprozess eingerichtet ("Escalation Process for Overdue Reviews"). Darüber hinaus wurde beschlossen, dass die Abteilung "Compliance" als zweite Kontrollinstanz im Zusammenhang mit KYC Informationen, Aktualisierung und Monitoring von Transaktionen tätig werden muss. Auch wurde erst mit 21.02.2017 ein genau definierter Transaktionsüberwachungsprozess eingeführt sowie ein Kontrollprozess eingerichtet. Der Kontrollprozess bezieht nunmehr den Kundenbetreuer und das AML Department als auch als zweite Kontrollinstanz das Compliance Department mit ein. Das Compliance Department hat quartalsweise zu überprüfen, ob die Prüfmaßnahmen vom Kundenbetreuer und dem AML Department ordnungsgemäß durchgeführt wurden.

Die im Tatzeitraum zur Vertretung nach außen berufenen Mitglieder des Vorstandes der XXXX AG namentlich:

(.) XXXX , vom 01.01.2014 bis 25.10.2016;

(.) XXXX , vom 01.01.2014 bis 25.10.2016;

(.) XXXX , vom 01.01.2014 bis 25.10.2016;

(.) XXXX , vom 01.06.2016 bis 25.10.2016;

(.) XXXX , vom 01.01.2014 bis 21.08.2014;

(.) XXXX , vom 01.10.2016 bis 12.01.2017, und

(.) XXXX , vom 01.01.2014 bis 12.01.2017,

haben selbst gegen die angeführten Verpflichtungen verstoßen beziehungsweise durch mangelnde Überwachung oder Kontrolle die Begehung der angeführten Verstöße durch eine für die XXXX AG tätige Person ermöglicht."

II. Die Strafnorm lautet § 41 Abs. 4 Z 1 BWG, BGBl. Nr. 532/1993 i.d.F. BGBl. I Nr. 13/2014 i.V.m. § 40 Abs. 2a Z 3 letzter Halbsatz BWG, BGBl. Nr. 532/1993 i.d.F. BGBl. I Nr. 184/2013 i.V.m. § 99d BWG, BGBl. Nr. 532/1993 i.d.F. BGBl. I Nr. 184/2013 i.V.m. § 35 Abs. 3 erster Strafsatz FM-GwG, BGBl I Nr. 118/2016 i.V.m. § 34 Abs. 1 Z 8 FM-GwG, BGBl I Nr. 118/2016.

III. Die XXXX hat gemäß § 52 Abs. 2 VwGVG einen Beitrag von EUR 16.000,- zum verwaltungsgerichtlichen Verfahren zu leisten, das sind 20 % der durch die belangte Behörde verhängten Strafe.

B)

Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.

ENTSCHEIDUNGSGRÜNDE

I. Verfahrensgang

1. Die Prüfabteilung der Finanzmarktaufsichtsbehörde (im Folgenden auch "FMA") führte im Zeitraum vom 16.03.2015 bis 27.03.2015 bei der Rechtsvorgängerin der XXXX , der Beschwerdeführerin (im Folgenden auch: "BF" bzw. "X-SE"), der XXXX AG (im Folgenden auch: "Z-AG"), eine Vor-Ort-Prüfung gemäß § 3 Abs. 9 BWG durch, über den sie dann einen Prüfbericht, datiert mit 30.07.2015, erstellte (ON 02; im Folgenden sind mit der Angabe von "ON" Teile des FMA-Aktes gemeint).

2. In Erwiderung auf diesen Prüfbericht übermittelte die BF eine Stellungnahme mit Schreiben vom 25.09.2015 (ON 3).

3. Die Österreichische Nationalbank (im Folgenden auch: "OeNB") übermittelte einen Prüfbericht gemäß § 8 Sanktionsgesetz und § 5 Devisengesetz, datiert mit 27.09.2016 (ON 19).

4. In Erwiderung auf diesen Prüfbericht übermittelte die Z-AG eine Stellungnahme mit Schreiben vom 25.10.2016 (ON 20).

5. Nach schriftlicher Aufforderung der FMA am 09.05.2017 (ON 21), zugestellt am gleichen Tag, übermittelte die Z-AG eine schriftliche Rechtfertigung mit Schreiben vom 11.07.2017

(ON 23)

6. Mit Straferkenntnissen der FMA vom 04.12.2017, Zl. FMA KL23 5128.100/0001 LAW/2017, (ON 25), zugestellt am 14.12.2017, erging an die Rechtsvorgängerin der BF, der Z-AG, folgender Spruch:

"Die Z-AG XXXX , ein konzessioniertes Kreditinstitut mit Geschäftsanschrift XXXX , hat, als juristische Person ab 01.01.2014 folgende Verstöße zu verantworten:

Die Z-AG hat von 01.01.2008 bis zumindest 25.10.2016 unterlassen risikobasierte und angemessene Maßnahmen mittels interner Strategien, Prozesse und Verfahren festzulegen um Gewähr zu leisten, dass die zur Erfüllung der Sorgfaltspflichten betreffend Geldwäscherei und Terrorismusfinanzierung erforderlichen jeweiligen Dokumente, Daten oder Informationen stets aktualisiert werden.

Dies dadurch, dass die Z-AG es von 01.01.2008 bis zumindest 25.10.2016 unterlassen hat risikobasierte und angemessene Maßnahmen, die die Einhaltung der (schriftlichen) Arbeitsanweisungen betreffend die Aktualisierung von Dokumenten, Daten und Informationen bei Kunden, insbesondere Hochrisikokunden, sicherstellen, festzulegen. Dies insbesondere im Hinblick darauf wer, wann und wie kontrollieren muss bzw. wo die Kontrollhandlung dokumentiert wird. Weiters hat die Z-AG unterlassen, wirksame Mängelbehebungsprozesse diesbezüglich festzulegen.

Vom 01.01.2008 bis zumindest 25.10.2016 waren ein Eskalationsprozess, welcher eine fristgerechte Aktualisierung der Unterlagen sicherstellen soll, und ein Kontrollsystem jedenfalls noch nicht eingerichtet.

Erst im Oktober 2016 reagierte das Unternehmen tatsächlich auf die nicht aktualisierten "Customer Profiles". Im Rahmen dieses Aufarbeitungsprozesses wurde schlussendlich erst im Februar 2017 mittels "Board Resolution" am 21.02.2017 ein Aktualisierungsprozess eingerichtet ("Escalation Process for Overdue Reviews"). Darüber hinaus wurde beschlossen, dass die Abteilung "Compliance" als zweite Kontrollinstanz im Zusammenhang mit KYC Informationen, Aktualisierung und Monitoring von Transaktionen tätig werden muss. Auch wurde erst mit 21.02.2017 ein genau definierter Transaktionsüberwachungsprozess eingeführt sowie ein Kontrollprozess eingerichtet. Der Kontrollprozess bezieht nunmehr den Kundenbetreuer und das AML Department als auch als zweite Kontrollinstanz das Compliance Department mit ein. Das Compliance Department hat quartalsweise zu überprüfen, ob die Prüfmaßnahmen vom Kundenbetreuer und dem AML Department ordnungsgemäß durchgeführt wurden.

Die im Tatzeitraum 01.01.2014 bis 25.10.2016 zur Vertretung nach außen berufenen Mitglieder des Vorstandes der Z-AG (siehe dazu den beiliegenden Auszug aus dem Firmenbuch, der einen integrierten Bestandteil dieses Straferkenntnisses bildet) haben selbst gegen die angeführten Verpflichtungen verstoßen beziehungsweise durch mangelnde Überwachung oder Kontrolle die Begehung der angeführten Verstöße durch eine für die Z-AG tätige Person ermöglicht.

Sie haben dadurch folgende Rechtsvorschrift(en) verletzt:

1. § 41 Abs. 4 Z 1 BWG, BGBl. Nr. 532/1993 idF BGBl. I Nr. 13/2014 iVm 40 Abs. 2a Z 3 letzter Halbsatz BWG, BGBl. Nr. 532/1993 idF BGBl. I Nr. 184/2013 iVm § 99d BWG, BGBl. Nr. 532/1993 idF BGBl. I Nr. 184/2013 iVm § 35 Abs. 3 erster Strafsatz FM-GwG, BGBl I Nr. 118/2016 iVm § 34 Abs. 1 Z 8 FM-GwG, BGBl I Nr. 118/2016

Wegen dieser Verwaltungsübertretung(en) wird über Sie folgende Strafe verhängt:

Geldstrafe von

Gemäß §§

80.000,- Euro

§ 35 Abs. 3 erster Strafsatz FM-GwG, BGBl I Nr. 118/2016 iVm § 34 Abs. 1 Z 8 FM-GwG, BGBl I Nr. 118/2016

Weitere Verfügungen (z.B. Verfallsausspruch, Anrechnung von Vorhaft):

--

Ferner haben Sie gemäß § 64 des Verwaltungsstrafgesetzes (VStG) zu zahlen:

* 8.000,- Euro als Beitrag zu den Kosten des Strafverfahrens, das sind 10% der Strafe, mindestens jedoch 10 Euro (ein Tag Freiheitsstrafe gleich 100 Euro);

* 0 Euro als Ersatz der Barauslagen für ---.

Der zu zahlende Gesamtbetrag (Strafe/Kosten/Barauslagen) beträgt daher

XXXX -

7. Hiergegen wurde mit Schriftsatz vom 11.01.2018 Beschwerde von der Z-AG (OZ 1; im Folgenden sind mit der Angabe von "OZ" Teile des Aktes des Bundesverwaltungsgerichts [im Folgenden auch: "BVwG"] gemeint), eingebracht am gleichen Tag, erhoben.

Beantragt wurde, das BVwG möge

(i) gemäß § 44 Abs. 1 VwGVG eine mündliche Verhandlung durchführen;

(ii) das angefochtene Straferkenntnis ersatzlos aufheben und das Verfahren gemäß § 38 VwGVG i.V.m § 45 Abs. 1 VStG einstellen;

in eventu

(iii) gemäß § 45 Abs. 1 Z 4 VStG eine Ermahnung aussprechen;

in eventu

(iv) die Strafhöhe auf ein tat- und schuldangemessenes Maß herabsetzen.

8. Mit Beschluss des BVwG vom 19.09.2018, GZ W210 2184033-1/4E, wurde das Beschwerdeverfahren gemäß § 34 Abs. 3 VwGVG ausgesetzt, bis der Verwaltungsgerichtshof über die ordentliche Revision im Verfahren zu Ro 2018/02/0023 entschieden hat.

9. Hiergegen wurde von der FMA mit Schriftsatz vom 27.09.2018 eine außerordentliche Revision an den Verwaltungsgerichtshof (im Folgenden auch: "VwGH") erhoben (OZ 6), die beim VwGH am 04.10.2018 einlangte (OZ 8).

10. Mit Beschluss des VwGH vom 02.05.2019, Ra 2018/02//0291, zugestellt dem BVwG am 06.05.2019, wurde diese außerordentliche Revision als gegenstandslos erklärt und das Verfahren eingestellt (OZ 11). Begründet wurde dies u.a. damit, dass der VwGH mit Erkenntnis vom 29.03.2019, Ro 2018/02/0023, diejenige Entscheidung getroffen hat, bis zu der das BVwG mit o.g. Beschluss das gegenständliche Beschwerdeverfahren ausgesetzt hat.

11. In Erwiderung auf das schriftliche Parteiengehör des BVwG übermittelte nunmehr die X-SE als BF mit Schreiben vom 07.05.2019 (OZ 12) und die FMA mit Schreiben vom 08.05.2019 (OZ 15) jeweils eine schriftliche Stellungnahme.

12. Nach schriftlicher Aufforderung des BVwG übermittelten die FMA mit Schreiben vom 11.09.2019 (OZ 20) und die BF mit Schreiben vom 12.09.2019 (OZ 19) sowie in Erwiderung auf diese mit Schreiben der FMA vom 20.09.2019 (OZ 26) und mit Schreiben der BF vom 23.09.2019 (OZ 28) jeweils schriftliche Stellungnahmen.

13. Am 30.09.2019 wurde eine mündliche Verhandlung vor dem BVwG durchgeführt (OZ 34).

An dieser Verhandlung nahmen neben einem Rechtsvertreter und einem informierten Vertreter der BF als weitere Verfahrensparteien XXXX (im Folgenden auch: "VP1"), XXXX (im Folgenden auch: "VP2") und XXXX (im Folgenden auch: "VP3"), dieser durch den anwesenden Rechtsvertreter ebenfalls vertreten, sowie zwei Vertreter der FMA teil. Die darüber hinaus geladenen weiteren Verfahrensparteien blieben unentschuldigt der Verhandlung fern. Als Zeuge wurde XXXX (im Folgenden auch: "AA") einvernommen.

14. Mit Schriftsatz vom 07.10.2019 gab die BF bekannt, dass sie keine Fortsetzung der mündlichen Verhandlung am 30.09.2010 beantragt (OZ 35). Die FMA hat bereits während dieser Verhandlung auf eine Fortsetzung dieser verzichtet.

15. An weiteren entscheidungswesentlichen Unterlagen wurden u.a. in das Verfahren eingebracht:

- Abteilungshandbuch (im Folgenden auch: "AHB"), KYC-Unit, Version 2.1,

vom 01.07.2014 (ON 11);

- Board Resolution der Z-AG vom 21.02.2017, Nr. 21/2017 (ON 14);

- Board Resolution der Z-AG vom 21.02.2017, Nr. 18/2017 (ON 15);

- AHB, KYC-Unit, Version 2.2, vom 17.04.2015 (ON 12);

- AHB, Arbeitsprozesse der KYC-Unit, Version 3.0, vom 21.12.2015 (ON 13);

- Compliance and AML/CTF Manual, Oktober 2014, Version 1.0 (ON 17);

- AML/CTF vom 23.05.2016, Version 2.0 (ON 18);

- Besuchsberichte XXXX vom 23.09.2016 (Beil. ./2 und ./3 zu ON 23);

- KYC-Questionnaires XXXX vom 12.04., 24.02. und 01.04.2016 (Beil. ./4 bis ./6 zu ON 23);

- ML/TF Risk Analysis, Version 5.0, vom 17.02.2016 (Beil. ./7 zu ON 23);

- Risk Management Manual, Version 2.2, vom 27.09.2011 (Beil. ./10 zu ON 23);

- Organisationshandbuch, Version 3.0, aus Jänner 2013 (Exzerpt) (Beil. ./13 zu ON 23).

- Beispiele von Kontosperren (Beil. ./15 zu ON 23);

- Auszug aus dem österreichischen Firmenbuch zu FN XXXX (Beil. ./2 zu OZ 1);

- Auszug aus dem österreichischen Firmenbuch zu FN XXXX (Beil. ./4 zu OZ 12);

- Auszug aus dem deutschen Handelsregister zu HRB XXXX (Beil. ./5 zu OZ 12);

- Auszug aus dem österreichischen Firmenbuch betreffend die Löschung der Z-AG und Verschmelzung (Beil. ./6 zu OZ 12); sowie

- Kopie der notariell beurkundeten Amtsbestätigung gemäß § 89a NO betreffend die Gesamtrechtsnachfolge (Beil. ./7 zu OZ 12)

II. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen

1.1. Die Rechtsvorgängerin der BF war ein in XXXX ansässiges Institut, welches vornehmlich für Firmenkunden tätig war. Der Fokus der Geschäftstätigkeit lag primär auf der Finanzierung von Firmenkunden mit Sitz in Russland. Darüber hinaus wurden auch Finanzierungen in CIS-Ländern durchgeführt. Die Geschäftstätigkeit der BF war somit stark von der politischen Stabilität, der Dauer und dem Ausmaß der verhängten Sanktionen sowie der wirtschaftlichen Situation in Russland und der damit verbundenen Bonität der Kunden abhängig. Die Refinanzierung der Z-AG erfolgte im Wesentlichen durch die Z-AG, Zweigniederlassung in XXXX Deutschland, welche für Privatkunden Online-Sparprodukte anbot. Das Institut unterhielt zahlreiche ausländische Korrespondenzbankbeziehungen - darunter auch mit Instituten mit Sitz in Russland (ON 19, Rz. 11, 13).

Mit Wirkung zum 29.12.2017 wurde die Z-AG mit Sitz in XXXX und der Geschäftsanschrift XXXX , im Wege der Gesamtrechtsnachfolge auf die damalige Y-AG mit dem Sitz in XXXX Deutschland, eingetragen im Handelsregister des Amtsgerichts unter HRB XXXX als übernehmende Gesellschaft verschmolzen. Unmittelbar danach hat die Y-AG die Rechtsform einer Societas Europaea (SE) mit dem Firmenwortlaut "X-SE" angenommen. Sie hat ihren Sitz in XXXX , Deutschland, die Geschäftsanschrift lautet XXXX ; eingetragen ist diese Gesellschaft im Handelsregister des Amtsgerichts XXXX unter HRB XXXX . Die X-SE trat als Gesamtrechtsnachfolgerin in die Verpflichtungen der Z-AG ein (Beil. ./2 zu OZ 1, Beil. ./4 bis ./7 zu OZ 12; s.a. OZ 12, S. 2).

Nach der Verschmelzung der österreichischen Muttergesellschaft mit der deutschen Tochtergesellschaft ist nun die Gesellschaft in XXXX eine Zweigniederlassung der X-SE. Der Kundenstock hat sich verändert, an der Vermögenssituation der BF hat sich auch nach der Rechtsnachfolge nichts Wesentliches geändert (OZ 34, S. 19).

1.2. Die im Tatzeitraum zur Vertretung nach außen berufenen Mitglieder des Vorstandes der

Z-AG, waren u.a.

(.) XXXX , vom 01.01.2014 bis 25.10.2016;

(.) XXXX , vom 01.01.2014 bis 25.10.2016;

(.) XXXX , vom 01.01.2014 bis 25.10.2016;

(.) XXXX , vom 01.06.2016 bis 25.10.2016;

(.) XXXX , vom 01.01.2014 bis 21.08.2014;

(.) XXXX , vom 01.10. bis 12.01.2017, und

(.) XXXX , vom 01.01.2014 bis 12.01.2017.

Vom 01.12.2013 bis 01.08.2015 war XXXX (im Folgenden auch: "BB") mit den Agenden Compliance, KYC und AML betraut. Ab 01.08.2015 übernahm der VP1 das Ressort. Compliance Agenden fielen nicht in die direkte Zuständigkeit der übrigen Vorstände. Die ressortmäßig unzuständigen Vorstände haben im Rahmen ihrer Kontroll- und Aufsichtspflicht lediglich stichprobenartig und unzureichend überwacht, ob maßgebliche Verwaltungsvorschriften im Bereich AML betrachtet werden (ON 23, S. 22). Die Aufteilung der Zuständigkeiten im Vorstand der Z-AG beruhten auf einer Geschäftsordnung (OZ 34, S. 4).

1.3. Der Geldwäsche- und Compliance-Beauftragte der Z-AG war AA seit Mitte 2006 bis zum Ende seines Dienstverhältnisses, somit auch während des Tatzeitraums. Aufgrund seiner hierarchischen Stellung in der Bank berichtete der AA direkt dem Vorstand bzw. dessen Mitgliedern (OZ 34, S. 5).

1.4. Die grundsätzliche Risikogeneigtheit der Kundenstruktur im Hinblick auf Geldwäscherei und Terrorismusfinanzierung lässt sich anhand folgender Zahlen ablesen:

- Etwa 80% der Kunden waren Branchen zuzuordnen, die einem erhöhten Geldwäscherisiko verbunden sind;

- 28% der Kunden waren in der Region Russland/GUS domiziliert;

- 22% der Kunden hatten ihren (Wohn)sitz in "Off-Shore" Destinationen;

- es bestanden ca. 120 Geschäftsbeziehungen mit Bezug zu PEP;

- ein großer Teil der Kundschaft der Beschuldigten war in Ländern, die im März 2015 von Sanktionsmaßnahmen durch andere Staaten bzw. Organisationen betroffen waren (ON 2, Rz. 6).

1.5. Die Einzelfallüberprüfungen der FMA, Testfall 1, 3, 4 und 5, (ON 2, Rz. 81 ff.) als auch der OeNB (Kunde 114.360, Rz. 81; Kunden 114.475 und 114.476, Rz. 84; Kunde 7.203.090, Rz. 86) haben ergeben, dass trotz der Tatsache, dass es sich jeweils um Hochrisikokunden handelte, die Customer Profiles veraltet waren und keine angemessene und risikobasierte Aktualisierung KYC relevanter Daten, Dokumente und Informationen durchgeführt wurde (ON 2, Rz. 85, 98, 106, 113) Hinsichtlich einer Wiedervorlage und Aktualisierung waren im Mai 2016 141 Fälle überfällig (ON 19, Rz. 52).

1.6. Im AHB, Version 2.1, vom 01.07.2014 (ON 11) sowie AHB, Version 2.2, vom 17.04.2015 (ON 12) war unter Punkt 9 zwar festgehalten, dass ein Scoringsystem und eine Risikokategorisierung eingeführt werden sollen, um dadurch Wiedervorlagefristen zu erstellen, die für die kontinuierliche Überprüfung der Kunden maßgeblich sind. Es wurden aber keine Arbeitsanleitungen sowie Arbeitsanweisungen erteilt beziehungsweise näher definiert, was eine derartige laufende Überwachung bedeutet beziehungsweise welche Maßnahmen die Mitarbeiter in diesem Zusammenhang konkret umzusetzen haben. Darüber hinaus waren die Wiedervorlagefristen zu lange gewählt (s. ON 25, S. 4).

Mit 21.12.2015 wurde das AHB, Version 3.0 (ON 13), abermals überarbeitet. In dieser Version wurde erstmals der "Workflow für eine Kundenanlage" unter Punkt 9 schriftlich festgehalten und unter Punkt 10 das "Scoringsystem und die Risikokategorisierung" adaptiert sowie vorgefertigte Formulare in das Handbuch aufgenommen. Es wurde ein Prozess definiert, wie der Mitarbeiter bei einer Neukundenanlage vorzugehen hat, welche Dokumente zu prüfen sind sowie welche Formulare notwendig sind. Darüber hinaus wurde festgehalten, dass der zugeteilte Kundenbetreuer für das Anlegen eines Customer Profiles zuständig ist, welches zumindest einmal jährlich aktualisiert werden muss. Festgehalten wurde ebenso, dass jegliche Änderung vom Kundenbetreuer an das "KYC"-Unit zu melden ist (s.a. ON 25, S. 4).

1.7. Auch hinsichtlich der im Verlauf der Geschäftsbeziehung zu überwachenden Transaktionen wurden unzureichende Maßnahmen gesetzt.

Konkret war in den Compliance Guidelines AML/CTF, Oktober 2014, Version 1.0 (ON 17), unter Punkt 10.7.4 zwar festgehalten, dass die Transaktionsüberwachung wichtig sei, es wurden aber keine direkten Arbeitsanweisungen schriftlich festgehalten. Hingewiesen wurde darauf, dass die Transaktionen vom Kundenbetreuer zu überwachen und auf Plausibilität zu prüfen seien. Sollte "etwas Unübliches" entdeckt werden, seien weitere Informationen hinsichtlich des Kunden und der Transaktion einzuholen. Es wurde weder definiert, was unter "etwas Unübliches" zu verstehen ist, noch wurde ein Prozess festgelegt, was der Kundenbetreuer in einem derartigen Fall genau zu tun hat. Die Risiken im Zusammenhang mit der Transaktionsüberwachung wurden nicht definiert (s.a. ON 25, S. 4).

In den Compliance Guidelines AML/CTF vom 23.05.2016, Version 2.0 (ON 18), wurde in den Punkten 2.7.4 und 2.7.5 bereits konkreter erläutert, was unter einer Transaktionsüberwachung zu verstehen ist und wie die Mitarbeiter vorgehen sollten. Hervorgehoben wurde jedenfalls die Wichtigkeit der Zusammenarbeit mit dem KYC Unit und der Crosscheck mit den Daten und Dokumenten des Kunden sowie den Informationen über den Kunden (s.a. ON 25, S. 4 f.).

1.8. Tatsächlich hat sich im Rahmen der Prüfung der BF durch die OeNB am 31.05.2016 herausgestellt, dass noch im Mai 2016 nach wie vor 141 veraltete Customer Profiles vorhanden waren, die nicht aktualisiert waren (ON 19, Rz. 52). Die von der FMA im Rahmen der Vor-Ort-Prüfung untersuchten Testfälle (ON 2, Rz. 81 ff.) unterstreichen das Prüfergebnis der OeNB. Zwar gab es schriftliche Arbeitsanweisungen (siehe ON 11, ON 12, ON 13, ON 17 und ON 18), die jedoch nur zum Teil Ansprüchen der Angemessenheit erfüllten, jedoch wurden diese unzureichend angewendet und es wurde nicht hinreichend kontrolliert, ob diese Anweisungen auch tatsächlich angewendet werden (dazu näher weiter unten, s.a. ON 25, S. 4).

1.9. Dem Unternehmen lagen bis zuletzt keine aktuellen Daten, Dokumente und Informationen über den Großteil der Kunden vor. Folglich war eine wirksame laufende Überwachung der Kunden, einschließlich der Überwachung der durchgeführten Transaktionen nicht sichergestellt. Aufgrund der nicht durchgeführten Aktualisierungen konnte demgemäß auch keine automationsunterstützte Überwachung greifen (dazu näher weiter unten, s. ON 25, S. 5).

Erst im Oktober 2016 reagierte das Unternehmen tatsächlich auf die nicht aktualisierten Customer Profiles. Im Rahmen dieses Aufarbeitungsprozesses wurde schlussendlich erst im Februar 2017 mittels "Board Resolution" vom 21.02.2017, Nr. 18/2017, ein Aktualisierungsprozess eingerichtet ("Escalation Process for Overdue Reviews"). Darüber hinaus wurde beschlossen, dass die Abteilung "Compliance" als zweite Kontrollinstanz im Zusammenhang mit KYC-Informationen für die Aktualisierung und das Monitoring von Transaktionen tätig werden muss. Auch wurde erst mit 21.02.2017 ein genau definierter Transaktionsüberwachungsprozess eingeführt sowie ein Kontrollprozess eingerichtet. Der Kontrollprozess bezog nunmehr den Kundenbetreuer und das AML Department als auch als zweite Kontrollinstanz das Compliance Department mit ein. Das Compliance Department hatte nunmehr quartalsweise zu überprüfen, ob die Prüfmaßnahmen vom Kundenbetreuer und dem AML Department ordnungsgemäß durchgeführt wurden (ON 15; s.a. ON 25, S. 5).

Eine tatsächlicher Aktualisierungs- sowie Überwachungsprozess und eine nachgelagerte Kontrollschleife wurden frühestens mit 25.10.2016 in der BF implementiert (s. ON 25, S. 5).

1.10. Die Berichterstattung durch den Geldwäsche- und Compliance-Beauftragten erfolgte durch halbjährliche Compliance-Berichte an den Gesamtvorstand und durch ad hoc-Berichte an den zuständigen Ressortvorstand. Darüber hinaus gab es vierteljährliche Berichte an die Muttergesellschaft in Moskau, die auch an den Vorstand der Z-AG weitergeleitet wurden (ON 23, S. 22 f.; OZ 34, S. 15 f.). Da die Vorstandsmitglieder der Z-AG zumeist auch Abteilungsleiter waren, nahmen sie auch an den regelmäßigen Abteilungsleitersitzungen teil, bei denen auch der Geldwäsche-Beauftragte anwesend war. Diese Sitzungen fanden je nachdem, wann die Vorstandsmitglieder anwesend waren, statt, wöchentlich oder zumindest zweimal im Monat. Wegen der Bedeutung der Aufgabe der Geldwäscheprävention stand der Geldwäschebeauftragte auch mit den anderen Vorstandsmitgliedern in Kontakt (OZ 34, S. 6).

1.11. Zum Zwecke der Aktualisierung der Customer Profiles wurden zunächst die Kunden schriftlich aufgefordert, die angefragten Informationen bzw. Unterlagen zu übermitteln. Dieser Vorgang ging über die Kundenberater, nicht über die KYC-Abteilung oder die Geldwäsche-Abteilung. Unter Vorlage von Wiedervorlagelisten wurde dem Vorstand berichtet, wobei sich der VP2 als das für das Firmenkundengeschäft zuständige Vorstandsmitglied aufgrund dieser Listen bemühte, dass die Kunden die Informationen übermittelten (OZ 34, S. 6 f., 9). Die von den Kunden übermittelten Unterlagen wurden direkt an die Compliance-Abteilung weitergeleitet, da diese und nicht die Kundenberater die Unterlagen auf ihre Vollständigkeit etc. hin zu prüfen hatten (OZ 34, S. 16).

1.12. Im Falle, dass ein Kunde die angeforderten Informationen nicht übermittelte, wurden von der Z-AG im Tatzeitraum keine Konsequenzen beim säumigen Kunden wie Androhung und Durchführung einer Kontosperre oder Beendigung der Geschäftsbeziehungen gezogen (OZ 34, S. 10), selbst wenn der Geldwäschebeauftragte dies anregte (OZ 34, S. 10). Zur Setzung derartiger Maßnahmen war nur der Vorstand befugt, nicht der Geldwäschebeauftragte (OZ 34, S. 11).

Erst mit der "Board Resolution" der Z-AG vom 21.02.2017, Nr. 18/2017 (ON 15), die als Umsetzungsmaßnahme in der Stellungnahme der BF vom 25.10.2016 (ON 20) angekündigt worden war, wurde die Aufhebung der Kundenbeziehung als Konsequenz vorgesehen (OZ 34, S. 13).

1.13. Die Dokumentation der Problemfälle mit Kunden erfasste beispielsweise die Anzahl der getätigten Anrufe oder Kundenbesuche, Fristsetzungen, die Sammlung von Dokumenten, Schriftsätzen und Wiedervorlagen. Da zunächst kein elektronisches System vorhanden war, erfolgte die Dokumentation manuell. Erst gegen 2016 wurde das Bankensystem erweitert, sodass neben der physischen Dokumentation auch der elektronische Akt zur Verfügung stand. Die Einführung des elektronischen Aktes erfolgte schleppend (OZ 34, S. 7). Das Lotus-Notes-Systems mit der Alarmfunktion bestand aber schon vor dem Jahr 2016 (OZ 34, S. 8). Das zusätzlich zur Überprüfung von Transaktionen jedes Kunden auf Kohärenz erforderliche Programm Siron KYC stand im Tatzeitraum jedoch noch nicht zur Verfügung (OZ 34, S. 11).

2. Beweiswürdigung

Beweis wurde erhoben durch Einsichtnahme in die Akten der belangten Behörde und des Bundesverwaltungsgerichtes sowie durch Durchführung einer mündlichen Verhandlung am 30.09.2019 mit der Befragung des VP2 und der Einvernahme des Zeugen AA.

Der Sachverhalt gründet sich auf den Inhalt der angeführten Akten der belangten Behörde und des Bundesverwaltungsgerichtes sowie auf das Ergebnis dieser Verhandlung.

Die Feststellungen beruhen auf den oben in Ziff. II.1. angeführten schriftlichen Quellen. An der Echtheit dieser Quellen und am Wahrheitsgehalt ihrer Angaben sind keine Zweifel hervorgekommen.

Den Angaben des Zeugen konnte gefolgt werden, da er einen seriösen Eindruck vermittelte und aufgrund seiner Eigenschaft als im Tatzeitraum für das gegenständliche Beweisthema zuständiger Compliance- und Geldwäschebeauftragter der Z-AG kompetent und authentisch sein damaliges Aufgabengebiet und die betreffenden Vorgänge darlegte. Angesichts des Umstands, dass dem Zeugen bewusst war, dass er mit seiner Aussage nicht nur im Hinblick auf seine damalige Tätigkeit zu einer zu Kritik anratenden Beurteilung beitragen würde, sondern ihm auch - dem Gericht erkennbar- als ehemaliger Angestellter der Z-AG unangenehm war, in Anwesenheit von Vertretern der BF möglicherweise mit seiner Aussage zu belasten, spricht für eine besondere Glaubwürdigkeit derjenigen Angaben von ihm, die die Vorhalte der FMA unterstützten bzw. bestätigten. Da der Zeuge, vom Gericht befragt, keine Probleme im Zusammenhang mit seinem Ausscheiden aus dem Dienstverhältnis mit der Z-AG anführte und solche auch nicht hervorgekommen sind, kann eine etwaige Voreingenommenheit des Zeugen gegenüber der Z-AG bzw. der BF ihm nicht vorgehalten werden. Die mittlerweile eingetretene größere Zeitspanne seit den befragten Ereignissen relativieren diese Glaubwürdigkeitsbeurteilung der Angaben des Zeugen insofern nicht, da er, wo seiner Ansicht nach Erinnerungslücken bei ihm auftraten, er auch darauf hinwies. Mit diesem vorsichtigen Umgang machte er einen gewissenhaften und redlichen Eindruck.

Dem Vorbringen des VP2 in der Verhandlung war so weit zu folgen, als es nicht im Widerspruch zu den Ergebnissen des Ermittlungsverfahrens, insbesondere zu den Angaben des Zeugen, trat. Dort, wo der VP2, auch in Abweichung von der Aussage des Zeugen, die Vorhalte der FMA zu entkräften versuchte, konnte er seine die BF entlastenden Angaben nicht belegen.

Diese Beurteilung gilt auch für die Angaben des IV, vor allem konnten die im Rahmen der Verhandlung von Seiten der BF vorgelegten Beweismittel die im Straferkenntnis erhobenen Vorwürfe nicht widerlegen.

So sah zwar das Organisationshandbuch, gültig ab Jänner 2013 (Beil. ./13 zu ON 23), auf S. 138, Pkt. 10.13.2 im 7. Punkt vor, dass zu den Aufgaben des Geldwäschebeauftragten auch der Entscheidungsvorschlag an den Vorstand gehöre, ob eine Kundenbeziehung in einem Verdachtsfall aufgelöst oder eine Kontosperre verhängt werde (OZ 34, S. 13). Doch wurde in diesem Organisationshandbuch die Konsequenz der Kontosperre bloß im Falle des Vorliegens eines Verdachtsfalles angeführt. Die ausdrückliche Anführung der Konsequenz der Kontosperre im Falle einer Nichtübermittlung der erforderlichen Informationen durch den Kunden erfolgte erst mit der "Board-Resolution" vom 21.02.2017, Nr. 18/2017 (ON 15).

Auch aus dem Mailverkehr vom 17.12.2015 (Beil. ./15 zu ON 23) unter dem Betreff u.a. Kontosperre, aus dem sich ergab, dass derartige Kontosperren durchgeführt worden sind, mit dem Hinweis, dass für solche Veranlassungen die Zustimmung vom Geldwäschebeauftragten einzuholen ist (OZ 34, S. 14), kam nicht hervor, dass eine Kontosperre aufgrund einer säumigen Aktualisierung stattgefunden hätte. Vielmehr wurde in der Verhandlung dargelegt, dass dieses Instrument gerade nicht herangezogen wurde und es sich bei den in den Unterlagen erwähnten Kontosperren bereits um einen konkreten Verdachtsfall gehandelt hat.

3. Rechtliche Beurteilung

3.1. Zur Zuständigkeit des Bundesverwaltungsgerichts, zum anzuwendenden Recht und zur Zulässigkeit der Beschwerden

Gemäß § 6 Bundesverwaltungsgerichtsgesetz (BVwGG) entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist.

Gemäß § 22 Abs. 2a Finanzmarktaufsichtsbehördengesetz (FMABG) entscheidet über Beschwerden gegen Bescheide der FMA das Bundesverwaltungsgericht durch Senat, ausgenommen in Verwaltungsstrafsachen bei Bescheiden, bei denen weder eine primäre Freiheitsstrafe noch eine 600 Euro übersteigende Geldstrafe verhängt wurde.

Gegenständlich wurde im bekämpften Straferkenntnis eine 600 Euro übersteigende Geldstrafe verhängt, sodass die Zuständigkeit eines Senates vorliegt.

Das Verfahren der Verwaltungsgerichte mit Ausnahme des Bundesfinanzgerichtes ist durch das Verwaltungsverfahrensgesetz (VwGVG) geregelt (§ 1 leg. cit.). Gemäß § 59 Abs. 1 VwGVG bleiben entgegenstehende Bestimmungen in Bundes- oder Landesgesetzen, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bereits kundgemacht sind, unberührt.

Gemäß § 38 VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Art. 130 Abs. 1 B-VG in Verwaltungsstrafsachen die Bestimmungen des Verwaltungsstrafgesetzes 1991 - VStG, BGBl. Nr. 52/1991, mit Ausnahme des 5. Abschnittes des II. Teiles, und des Finanzstrafgesetzes - FinStrG, BGBl. Nr. 129/1958, und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.

Gemäß § 50 Abs. 1 VwGVG (unter der Überschrift: "Erkenntnisse") hat das Verwaltungsgericht über Beschwerden gemäß Art. 130 Abs. 1 B-VG in der Sache selbst zu entscheiden, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist.

Gemäß § 24 VStG gilt, soweit sich aus diesem Bundesgesetz nichts Anderes ergibt, das AVG auch im Verwaltungsstrafverfahren. Die §§ 2, 3, 4, 11, 12, 13 Abs. 8, 14 Abs. 3 zweiter Satz, 37 zweiter Satz, 39 Abs. 3, 41, 42, 44a bis 44g, 51, 57, 68 Abs. 2 und 3, 75 und 78 bis 82 AVG sind im Verwaltungsstrafverfahren nicht anzuwenden.

Das bekämpfte Straferkenntnis wurde der BF am 14.12.2017 zugestellt, die dagegen rechtzeitig erhobene Beschwerde langte am 11.01.2018 bei der belangten Behörde ein.

Die gegenständliche Beschwerde ist somit rechtzeitig und auch zulässig.

3.2. Zu Spruchpunkt A)

3.2.1. Rechtslage und anwendbare Bestimmungen

3.2.1.1. Die im Tatzeitraum in Geltung stehende Rechtslage

§ 40 Abs. 2a Z 3 BWG, BGBl. I Nr. 532/1993 idF BGBl. I Nr. 184/2013, lautete:

"Kredit- und Finanzinstitute haben weiters

[...]

3. risikobasierte und angemessene Maßnahmen zu ergreifen, um eine kontinuierliche Überwachung der Geschäftsbeziehung, einschließlich einer Überprüfung der im Verlauf der Geschäftsbeziehung abgewickelten Transaktionen, durchzuführen, um sicherzustellen, dass diese mit den Kenntnissen der Institute über den Kunden, seine Geschäftstätigkeit und sein Risikoprofil, einschließlich erforderlichenfalls der Herkunft der Geld- oder Finanzmittel, kohärent sind, und Gewähr zu leisten, dass die jeweiligen Dokumente, Daten oder Informationen stets aktualisiert werden."

§ 41 Abs. 4 Z 1 BWG, BGBl. I Nr. 532/1993 idF BGBl. I Nr. 13/2014, lautete:

"(4) Die Kredit- und Finanzinstitute haben

1. angemessene und geeignete Strategien und Verfahren für die Sorgfaltspflichten gegenüber Kunden, Verdachtsmeldungen, die Aufbewahrung von Aufzeichnungen, die interne Kontrolle, die Risikobewertung, das Risikomanagement, die Gewährleistung der Einhaltung der einschlägigen Vorschriften und die Kommunikation einzuführen, um Transaktionen, die mit Geldwäscherei oder Terrorismusfinanzierung zusammenhängen, vorzubeugen und zu verhindern sowie geeignete Strategien zur Verhinderung des Missbrauchs von neuen Technologien für Zwecke der Geldwäscherei und der Terrorismusfinanzierung zu entwickeln;"

Gemäß den Materialien zu BGBl. I Nr. 37/2010 wurde mit der Novelle Folgendes bezweckt (RV 661 BlgNR 24. GP, Seite 5):

"In Abs. 4 Z 1 erfolgt die Umsetzung der Anmerkung zur FATF - Empfehlung Nr. 8, wodurch den Kredit- und Finanzinstituten auch die Verpflichtung auferlegt wird, Strategien zu entwickeln, den Missbrauch von neuen Technologien zu verhindern."

§ 41 Abs. 4 Z 1 BWG wurde während des Verfahrens zu G 402/2016 aufgehoben durch BGBI. I 118/2016. Die Regierungsvorlage hält dazu fest (RV 1335 BlgNR. 25. GP, S. 22):

"Die Melde- und Zusammenarbeitspflichten der Kredit- und Finanzinstitute mit der Geldwäschemeldestelle, die bisher in § 41 Abs. 1, 1a und 2 geregelt wurden, finden sich künftig in § 16 Abs. 1 bis 3 FM-GwG, die Inhalte der übrigen Bestimmungen des § 41 wurden ebenfalls in das FM-GwG verschoben. In diesem Zusammenhang wird § 41 unter Berücksichtigung der besonderen Systematik des BWG (§ 38 Abs. 2) an diese Verschiebung angepasst."

§ 98 Abs. 5a Z 3 BWG in der Fassung BGBl. I Nr. 184/2013 lautete auszugsweise:

"Wer als Verantwortlicher (§ 9 VStG) eines Kreditinstitutes

3. die Pflichten der §§ 40, 40a, 40b, 40d oder 41 Abs. 1 bis 4 verletzt;

begeht, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet, eine Verwaltungsübertretung und ist von der FMA mit Geldstrafe bis zu 150 000 Euro, im Falle einer Verwaltungsübertretung gemäß Z 3 mit Freiheitsstrafe bis zu sechs Wochen oder mit einer Geldstrafe bis zu 150 000 Euro zu bestrafen."

§ 99d BWG in der Fassung BGBl. I Nr. 184/2013 lautete:

"§ 99d. (1) Die FMA kann Geldstrafen gegen juristische Personen verhängen, wenn Personen, die entweder allein oder als Teil eines Organs der juristischen Person gehandelt haben und eine Führungsposition innerhalb der juristischen Person aufgrund

1. der Befugnis zur Vertretung der juristischen Person,

2. der Befugnis, Entscheidungen im Namen der juristischen Person zu treffen, oder

3. einer Kontrollbefugnis innerhalb der juristischen Person

innehaben, gegen die in § 98 Abs. 1, Abs. 2 Z 7 und 11, Abs. 5, Abs. 5a oder § 99 Abs. 1 Z 3 oder 4 angeführten Verpflichtungen verstoßen haben, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet.

(2) Juristische Personen können wegen Verstößen gegen die in § 98 Abs. 1, Abs. 2 Z 7 und 11, Abs. 5, Abs. 5a oder § 99 Abs. 1 Z 3 oder 4 angeführten Pflichten auch verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch eine in Abs. 1 genannte Person die Begehung dieser Verstöße durch eine für die juristische Person tätige Person ermöglicht hat, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet.

(3) Die Geldstrafe gemäß Abs. 1 oder 2 beträgt bis zu 10 vH des jährlichen Gesamtnettoumsatzes gemäß Abs. 4 oder bis zu dem Zweifachen des aus dem Verstoß gezogenen Nutzens, soweit sich dieser beziffern lässt.

(4) Der jährliche Gesamtnettoumsatz gemäß Abs. 3 ist bei Kreditinstituten der Gesamtbetrag aller in Z 1 bis 7 der Anlage 2 zu § 43 angeführten Erträge abzüglich der dort angeführten Aufwendungen; handelt es sich bei dem Unternehmen um eine Tochtergesellschaft, ist auf den jährlichen Gesamtnettoumsatz abzustellen, der im vorangegangenen Geschäftsjahr im konsolidierten Abschluss der Muttergesellschaft an der Spitze der Gruppe ausgewiesen ist. Bei sonstigen juristischen Personen ist der jährliche Gesamtumsatz maßgeblich. Soweit die FMA die Grundlagen für den Gesamtumsatz nicht ermitteln oder berechnen kann, hat sie diese zu schätzen. Dabei sind alle Umstände zu berücksichtigen, die für die Schätzung von Bedeutung sind.

(5) Die FMA kann von der Bestrafung eines Verantwortlichen gemäß § 9 VStG absehen, wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen die juristische Person verhängt wird und keine besonderen Umstände vorliegen, die einem Absehen von der Bestrafung entgegenstehen."

Die Materialien zu § 99d BWG hielten wortwörtlich fest (RV 2438 BlgNR 24. GP, S. 63; Hervorhebungen nicht im Original):

"Durch diese Bestimmung wird neben dem Konzept der strafrechtlichen Verantwortlichkeit für juristische Personen nach § 9 VStG auch eine direkte Verantwortlichkeit und Sanktionierung von juristischen Personen ermöglicht. Die Formulierung orientiert sich dabei an der bereits in § 370 Abs. 1a und 1b GewO bestehenden Formulierung. Diese Ergänzung des Konzepts des § 9 VStG ist zwingend erforderlich, weil es aufgrund der unionsrechtlichen Vorgaben des Art. 66 Abs. 2 lit. c sowie Art. 67 Abs. 2 lit. e Richtlinie 2013/xx/EU unerlässlich ist, auch juristische Personen als unmittelbare Strafadressaten vorzusehen, wenn gegen Pflichten verstoßen wird, welche die juristische Person selbst betreffen. Die Strafmöglichkeit ist dann gegeben, wenn Personen, die bestimmte "Schlüsselfunktionen" bei juristischen Personen ausüben, gegen gesetzliche Verpflichtungen des BWG verstoßen, die sowohl natürliche als auch juristische Personen als Normadressaten haben können (etwa bei den Tatbeständen des § 98 Abs. 1), im konkreten Anlassfall jedoch eine juristische Person von den Pflichten betroffen ist (z.B. GmbH nimmt Einlagen ohne Konzession entgegen), oder wenn die oa Personen gegen Pflichten verstoßen, die sich systematisch nur an juristische Personen als Normadressaten richten können (z.B. § 40 Abs. 1). Die Möglichkeit einer Bestrafung des Verantwortlichen gemäß § 9 VStG bleibt weiterhin parallel bestehen.

Gegenüber dem gerichtlichen Strafrecht, insbesondere der strafrechtlichen Verantwortlichkeit von Verbänden gemäß Verbandsverantwortlichkeitsgesetz (VbVG), besteht wie üblich Subsidiarität der verwaltungsstrafrechtlichen Strafnorm. Aufgrund der in Abs. 3 festgesetzten Höhe der Strafdrohungen im Verwaltungsstrafverfahren (bis zu 10 vH des jährlichen Gesamtnettoumsatzes; bis zu der zweifachen Höhe des aus dem Verstoß gezogenen Nutzens), welche durch die Richtlinie 2013/xx/EU vorgegeben sind und somit umgesetzt werden müssen, ist im Hinblick auf Art. 91 B-VG bzw. die dazu ergangene Judikatur des VfGH der Bestand dieser Strafdrohungen verfassungsgesetzlich abzusichern. Unter dem aus dem ?Verstoß gezogenen Nutzen' ist bei der Bestrafung juristischer Personen jener Nutzen zu verstehen, der durch den Verstoß allfällig der zu bestrafenden juristischen Person zu Gute gekommen ist.

In Abs. 4 wird die Definition des jährlichen Gesamtnettoumsatzes vorgenommen. In Abs. 5 wird der FMA aus Gründen der Verfahrensökonomie und aus generellen präventiven Überlegungen ein gewisses Ermessen bei der Anwendung der §§ 98ff eingeräumt. Dieses Ermessen beschränkt sich dabei darauf, dass im durch diese Gesetzesnovelle neu geregelten Falle der Verhängung einer Geldstrafe gegen eine juristische Person wegen einer Verwaltungsübertretung von der Bestrafung des Verantwortlichen gemäß § 9 VStG wegen derselben Verwaltungsübertretung abgesehen werden kann."

Die bezogene Richtlinie 2013/36/EU des Europäischen Parlaments und des Rates vom 26. Juni 2013 über den Zugang zur Tätigkeit von Kreditinstituten und die Beaufsichtigung von Kreditinstituten und Wertpapierfirmen, zur Änderung der Richtlinie 2002/87/EG und zur Aufhebung der Richtlinien 2006/48/EG und 2006/49/EG, ABl. 2013, L 176, S. 338 ff., verlangt für bestimmte Verstöße in Art. 67 wirksame innerstaatliche Sanktionen. Sie sieht hohe Verwaltungssanktionen vor (Geldbußen), die sowohl gegen die beteiligten natürlichen Personen als auch gegen die verantwortliche juristische Person verhängt werden können (müssen). Die Richtlinie geht davon aus, dass die Mitgliedstaaten die Verstöße alternativ auch durch das gerichtliche Strafrecht pönalisieren können.

§ 99e BWG, BGBl. I Nr. 532/1993 idF BGBl. I Nr. 184/2013, lautete:

"Die FMA hat bei der Festsetzung der Art der Sanktion oder Maßnahme wegen Verstößen gegen die Bestimmungen der in § 70 Abs. 4 angeführten Bundesgesetze, gegen auf Grund dieser Bundesgesetze erlassene Verordnungen oder Bescheide oder gegen die Bestimmungen der Verordnung (EU) Nr. 575/2013 sowie bei der Bemessung der Höhe einer Geldstrafe, soweit angemessen, insbesondere folgende Umstände zu berücksichtigen:

1. Die Schwere und Dauer des Verstoßes;

2. den Grad der Verantwortung der verantwortlichen natürlichen oder juristischen Person;

3. die Finanzkraft der verantwortlichen natürlichen oder juristischen Person, wie sie sich beispielweise aus dem Gesamtumsatz der verantwortlichen juristischen Person oder den Jahreseinkünften der verantwortlichen natürlichen Person ablesen lässt;

4. die Höhe der von der verantwortlichen natürlichen oder juristischen Person erzielten Gewinne oder verhinderten Verluste, sofern diese sich beziffern lassen;

5. die Verluste, die Dritten durch den Verstoß entstanden sind, sofern sich diese beziffern lassen;

6. die Bereitschaft der verantwortlichen natürlichen oder juristischen Person zu Zusammenarbeit mit der zuständigen Behörde;

7. frühere Verstöße der verantwortlichen natürlichen oder juristischen Person sowie

8. alle potenziellen systemrelevanten Auswirkungen des Verstoßes.

Die Bestimmungen des VStG bleiben durch diesen Absatz unberührt."

3.2.1.2. Zur Rechtslage seit 01.01.2017

§ 6 Abs. 1 FM-GwG, BGBl. I Nr. 118/2016, lautet auszugsweise:

"(1) Die Sorgfaltspflichten gegenüber Kunden umfassen:

[...]

7. regelmäßige Überprüfung des Vorhandenseins sämtlicher aufgrund dieses Bundesgesetzes erforderlichen Informationen, Daten und Dokumente sowie Aktualisierung dieser Informationen, Daten und Dokumente."

§ 23 Abs. 1 und 2 FM-GwG, BGBl. I Nr. 118/2016, lautet auszugsweise:

"Anforderungen an die interne Organisation und Schulungen

(1) Die Verpflichteten haben Strategien, Kontrollen und Verfahren zur wirksamen Minderung und Steuerung der auf Unionsebene, auf nationaler Ebene und auf Unternehmensebene ermittelten Risiken von Geldwäscherei und Terrorismusfinanzierung einzurichten, die in einem angemessenen Verhältnis zu Art und Größe des Verpflichteten zu stehen haben. Dabei haben sie den Bericht der Europäischen Kommission gemäß Art. 6 Abs. 1 der Richtlinie (EU) 2015/849, die nationale Risikoanalyse (§ 3) und die Risikoanalyse auf Unternehmensebene (§ 4) zu berücksichtigen. Die Strategien, Kontrollen und Verfahren haben insbesondere Folgendes zu umfassen:

1.die Risikoklassifizierung auf Kundenebene (§ 6 Abs. 5),

2.die Risikomanagementsysteme (§ 11 Abs. 1 Z 1),

3.die Sorgfaltspflichten gegenüber Kunden; dies beinhaltet auch Maßnahmen in Bezug auf neue Produkte, Praktiken und Technologien zum Ausgleich der damit in Zusammenhang stehenden Risiken,

4.die Verdachtsmeldungen,

5.die Aufbewahrung von Unterlagen und

6.die Vorkehrungen zur Einhaltung des Abs. 6

(2) Die Strategien, Kontrollen und Verfahren (Abs. 1) sind in schriftlicher Form festzulegen und vom Leitungsorgan zu genehmigen; sie sind laufend anzuwenden und sofern erforderlich entsprechend anzupassen. Die laufende Einhaltung der internen Vorschriften, die Teil der Strategien, Kontrollen und Verfahren sind, durch die diesen unterworfenen Mitarbeiter, ist durch den besonderen Beauftragten (Abs. 3) zu überwachen. Dieser ist insbesondere auch für die Einhaltung der gruppenweiten Strategien und Verfahren gemäß § 24 verantwortlich. Darüber hinaus hat eine risikobasierte unabhängige Prüfung der Strategien, Verfahren und Kontrollen sowie deren laufenden Anwendung durch die interne Revision zu erfolgen. Sofern Verpflichtete zur Einrichtung einer internen Revision nicht verpflichtet sind und eine unabhängige Prüfung im Hinblick auf Art und Umfang der Geschäftstätigkeit erforderlich ist, hat die Prüfung durch eine unabhängige Stelle zu erfolgen."

§ 34 Abs. 1 FM-GwG, BGBl. I Nr. 118/2016, lautet auszugsweise:

"Pflichtverletzungen

§ 34. (1) Wer als Verantwortlicher (§ 9 VStG) eines Verpflichteten, die Pflichten gemäß

[...]

8. § 23 Abs. 1 bis 3 oder 6 (interne Organisation),

verletzt, begeht eine Verwaltungsübertretung und ist von der FMA mit einer Geldstrafe bis zu 150 000 Euro zu bestrafen.

(2) Wenn es sich bei den Pflichtverletzungen gemäß Abs. 1 Z 2, 4, 7, 9 und 10 um schwerwiegende, wiederholte oder systematische Verstöße oder eine Kombination davon handelt, beträgt die Geldstrafe bis zu 5 000 000 Euro oder bis zu dem Zweifachen des aus der Pflichtverletzung gezogenen Nutzens, soweit sich dieser beziffern lässt.

§ 35 FM-GwG, BGBl. I Nr. 118/2016, lautet:

"Strafbarkeit von juristischen Personen

Die FMA kann Geldstrafen gegen juristische Personen verhängen, wenn eine Pflichtverletzung gemäß § 34 Abs. 1 bis 3 zu ihren Gunsten von einer Person begangen wurde, die allein oder als Teil eines Organs der juristischen Person gehandelt hat und die aufgrund einer der folgenden Befugnisse eine Führungsposition innerhalb der juristischen Person innehat:

1. Befugnis zur Vertretung der juristischen Person,

2. Befugnis, Entscheidungen im Namen der juristischen Person zu treffen oder

3. Kontrollbefugnis innerhalb der juristischen Person.

(2) Juristische Personen können wegen Pflichtverletzungen gemäß § 34 Abs. 1 bis 3 auch dann verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch eine in Abs. 1 genannte Person die Begehung einer in § 34 Abs. 1 bis 3 genannten Pflichtverletzungen zugunsten der juristischen Person durch eine für sie tätige Person ermöglicht hat.

(3) Die Geldstrafe gemäß Abs. 1 und 2 beträgt bei Pflichtverletzungen gemäß § 34 Abs. 1 bis zu 150 000 Euro und bei Pflichtverletzungen gemäß § 34 Abs. 2 und 3 bis zu 5 000 000 Euro oder 10 vH des jährlichen Gesamtumsatzes. Der jährliche Gesamtumsatz bestimmt sich nach den jährlichen Umsatzerlösen aus dem letzten festgestellten Jahresabschluss. Wenn es sich bei dem Verpflichteten um ein Kreditinstitut, ein E-Geld-Institut gemäß § 3 Abs. 2 und § 9 Abs. 1 E-Geldgesetz 2010, das ein CRR-Finanzinstitut gemäß Art. 4 Abs. 1 Nr. 26 der Verordnung (EU) Nr. 575/2013 ist, ein Zahlungsinstitut gemäß § 3 Z 4 ZaDiG, das ein CRR-Finanzinstitut gemäß Art. 4 Abs. 1 Nr. 26 der Verordnung (EU) Nr. 575/2013 ist, einen AIFM gemäß § 2 Abs. 1 Z 2 AIFMG oder eine Wertpapierfirma gemäß § 1 Z 1 WAG 2018 handelt, ist der jährliche Gesamtumsatz die Summe der in Z 1 bis 7 der Anlage 2 zu § 43 BWG angeführten Erträge abzüglich der dort angeführten Aufwendungen. Wenn es sich bei dem Verpflichteten um ein Versicherungsunternehmen gemäß § 5 Z 1 VAG 2016 oder um ein kleines Versicherungsunternehmen gemäß § 5 Z 3 VAG 2016 handelt, ist der jährliche Gesamtumsatz die Summe der in § 146 Abs. 4 Z 1 bis 8 und 10 bis 11 VAG 2016 angeführten Erträge abzüglich der dort angeführten Aufwendungen. Wenn es sich bei dem Verpflichteten um eine Muttergesellschaft oder die Tochtergesellschaft einer Muttergesellschaft handelt, die einen konsolidierten Abschluss nach Art. 22 der Richtlinie 2013/34/EU aufzustellen hat, so bestimmt sich der jährliche Gesamtumsatz nach den jährlichen Umsatzerlösen oder de