W204 2304676-1 – BVwG Entscheidung

W204 2304676-1/33E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch die Richterin Dr. Esther SCHNEIDER als Vorsitzende sowie die Richter Dr. Stefan KEZNICKL und Mag. Günther BACHKÖNIG über die Beschwerde vom 17.12.2024 der XXXX AG, XXXX , vertreten durch Dr. Bettina HÖRTNER, Rechtsanwältin in 1010 Wien, gegen das Straferkenntnis der Finanzmarktaufsichtsbehörde vom 19.11.2024, Zl. FMA-KL32 0300.100/0001-LAW/2020, in einer Rechtssache nach dem Finanzmarkt-Geldwäschegesetz zu Recht erkannt:

A)

Die Beschwerde wird mit der Maßgabe als unbegründet abgewiesen, dass im Spruch des angefochtenen Straferkenntnisses der FMA die Wortfolge „Anlage 3“ auf „Anlage III“ zu ändern ist und die Kundin in Kapitel Ia) jeweils auf „Betriebsges.mbH“ anstelle von „Gmbh“ zu lauten hat sowie das Kapitel „Die Verantwortlichkeit der XXXX Aktiengesellschaft ergibt sich folgendermaßen:“ mit Ausnahme des Satzes „Dies wird der XXXX Aktiengesellschaft auch zugerechnet.“ entfällt.

Die Beschwerdeführerin hat damit gegen § 6 Abs. 5 2. und 3. Satz FM-GwG, BGBl. I Nr. 118/2016, iVm § 35 Abs. 1 und 3 zweiter Strafsatz FM-GwG, BGBl. I Nr. 118/2016 zuletzt geändert BGBl. I Nr. 17/2018, iVm § 34 Abs. 1 Z 2 und Abs. 2 FM-GwG, BGBl. I Nr. 118/2016, verstoßen.

Die Beschwerdeführerin hat gemäß § 52 Abs. 8 VwGVG die Kosten des Beschwerdeverfahrens in Höhe von 117.600,00 Euro zu tragen.

B)

Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig.

Entscheidungsgründe:

I. Verfahrensgang:

I.1. Die Finanzmarktaufsichtsbehörde (im Folgenden: FMA) führte in der Beschwerdeführerin (im Folgenden: BF) mehrere Vor-Ort-Prüfungen (im Folgenden: VOP) durch: – VOP1 vom 14.05.2018 bis zum 24.05.2018 mit VOP1-Prüfbericht (im Folgenden: VOP1-PB) vom 14.11.2018 (Ordnungsnummer im FMA-Akt, im Folgenden: ON, 10), wobei schwerpunktmäßig die Prüffelder „Offshore- Geschäfte“, insbesondere Feststellung und Überprüfung des wirtschaftlichen Eigentümers und KYC-Informationen, „Anwendung von verstärkten Sorgfaltspflichten“, insbesondere bei Kunden und Transaktionen mit Bezug zu Ländern der DelVO, sowie „Prävention von Terrorismusfinanzierung“ überprüft wurden, sowie – VOP2 vom 11.09.2019 bis zum 20.09.2019 und am 18.10.2019 mit VOP2-PB vom 14.02.2020 (ON 48), wobei schwerpunktmäßig die Module „kontinuierliche Überwachung von Geschäftsbeziehungen“, „Bargeldgeschäfte“, „Korrespondenzbankgeschäfte“ und „Strategien und Verfahren bei Gruppen“ überprüft wurden.

I.2. Mittels Aufforderung zur Rechtfertigung vom 05.10.2020 leitete die FMA gegen die BF ein Verwaltungsstrafverfahren ein. In diesem Verfahren wurden der BF anlässlich der VOP1 Einzelverstöße gegen § 6 Abs. 1 Z 2 FM-GwG (Vorwurf I), § 6 Abs. 1 Z 6 FM-GwG (Vorwurf II) sowie gegen § 6 Abs. 1 Z 7 FM-GwG (Vorwurf III) vorgehalten (ON 42).

I.3. Mit Stellungnahme vom 11.12.2020 (ON 47) nahm die BF durch ihre im Rubrum genannte Rechtsvertretung fristgerecht zu diesen Vorwürfen Stellung. Dabei führte sie aus, dass es keine starren gesetzlichen Vorgaben in Bezug auf das Verstehen der Eigentums- und Kontrollstruktur wie auch auf das Überprüfen der Identität des wirtschaftlichen Eigentümers gebe. Die BF sei immer ausreichend über die wirtschaftlichen Eigentümer ihrer Kunden informiert gewesen und ihrer Pflicht zur risikobasierten und angemessenen Aktualisierung der zum Kunden erforderlichen Dokumente, Daten und Informationen vollumfänglich nachgekommen. Eine vom vorliegenden Risiko unabhängige Verpflichtung zur Mittelherkunftsprüfung könne aus § 6 Abs. 1 FM-GWG nicht abgeleitet werden. Das von der BF genutzte Monitoring in Bezug auf Drittländer mit hohem Risiko bilde bereits die strengsten Maßstäbe ab, die an ein Monitoring gerichtet werden könnten, weil Transaktionen ab 1 Cent ex ante überprüft und damit wesentlich strengere Maßstäbe angewandt würden, als die FMA als ausreichend betrachte.

Der zuständige Bereichsleiter Mag. XXXX F XXXX habe zeitnah die gesetzeskonforme Aktualisierung der vorhandenen Informationen, Daten und Dokumente für bestehende Kundenbeziehungen veranlasst, was auch die Dokumentation des wirtschaftlichen Eigentümers umfasst habe.

I.4. Mittels ergänzender Aufforderung zur Rechtfertigung vom 07.10.2022 (ON 51), der BF am 13.10.2022 zugestellt, hielt die FMA der BF anlässlich der VOP2 einen Systemverstoß gegen § 23 Abs. 1 FM-GwG (Vorwurf I), einen Systemverstoß im Bereich der Bewertung der Risiken von Geldwäscherei und Terrorismusfinanzierung anhand von drei Einzelverstößen gegen § 6 Abs. 5 FM-GwG (Vorwurf II, verfahrensgegenständlich) sowie einen Systemverstoß gegen § 23 Abs. 2 FM-GwG (Vorwurf III) vor.

I.5. Mit Stellungnahme vom 15.12.2022 (ON 53) nahm die BF durch ihre im Rubrum genannte Rechtsvertretung zu diesen Vorwürfen Stellung. Die BF habe zum Zeitpunkt der VOP2 über ausreichende personelle Ressourcen zur Geldwäscheprävention verfügt. § 6 Abs. 5 FM-GwG stelle keinen eigenständigen Straftatbestand dar und die vorgeworfenen Verwaltungsübertretungen seien nicht als schwerwiegend zu beurteilen. Die BF habe alle relevanten Risikofaktoren der angeführten und als „niedrig“ risikoeingestuften Kunden berücksichtigt und eine risikobasierte Überwachung der Geschäftsbeziehungen geführt.

I.6. Die FMA stellte am 02.05.2023 das Verfahren betreffend aller Vorwürfe in der Aufforderung zur Rechtfertigung vom 05.10.2020 sowie betreffend der Vorwürfe I und III der ergänzenden Aufforderung zur Rechtfertigung vom 07.10.2022 ein. Dies begründete die FMA einerseits in Bezug auf die Aufforderung zur Rechtfertigung vom 05.10.2020 damit, dass verfolgte Transaktionen teilweise bereits verjährt seien, und andererseits in Bezug auf sämtliche einzustellende Vorwürfe im Wesentlichen mit ihrem Ermessensspielraum, der Verfahrensökonomie und der Opportunität gemäß § 22 Abs. 6 FMABG. Dazu verwies die FMA auf das fortgeführte Verwaltungsstrafverfahren zum Vorwurf II der ergänzenden Aufforderung zur Rechtfertigung vom 07.10.2022. Die FMA konzentriere sich auf bedeutende Verstöße, wobei im Bereich der Prävention von Geldwäsche und Terrorismusbekämpfung in erster Linie schwere Verstöße gegen die Sorgfalts- und Meldepflichten verwaltungsstrafrechtlich geahndet werden sollten. Dabei seien systemische Mängel und Verstöße als schwere Verstöße zu qualifizieren, weil sie sich auf das gesamte System auswirkten. Einzelverstöße könnten im Verwaltungsstrafverfahren exemplarisch zur Untermauerung einer Systemverletzung angeführt werden. Zudem sei der Strafrahmen mit der Verfolgung der drei konkret genannten Einzelverstöße ausgeschöpft, die weiteren Verstöße wirkten sich gemäß § 22 Abs. 8 FMABG nicht straferhöhend aus (ON 54).

I.7. Am 19.11.2024 erging das vorliegend angefochtene, an die BF als juristische Person gerichtete Straferkenntnis der FMA, der BF am 20.11.2024 (sowie auch den darin von der FMA genannten Zurechnungspersonen) zugestellt, mit folgendem Spruch:

„Die XXXX Aktiengesellschaft (fortan kurz „ XXXX “ genannt), ein konzessioniertes Kreditinstitut mit der Geschäftsanschrift XXXX hat als juristische Person folgende Verstöße zu verantworten:

I. Die XXXX hat es im Zeitraum von zumindest 01.01.2017 bis 24.04.2020 unterlassen, die folgenden unter Punkt I.a. bis I.c. aufgezeigten Geschäftsbeziehungen gem. § 6 Abs. 5 FM-GwG in eine angemessene Risikoklasse einzustufen. Die XXXX hat bei der Bewertung der Risiken von Geldwäscherei und Terrorismusfinanzierung, die in Anlage I und Anlage III zum FM-GwG angeführten Variablen nicht oder nur teilweise berücksichtigt.

I a) Geschäftsbeziehung: XXXX GmbH

Im Zeitraum 01.01.2017 bis 24.04.2020 hat die XXXX bei der Kundin XXXX GmbH weder das Risiko der Branche noch die Bargeldintensität mitberücksichtigt und somit die Risikoeinstufung „niedrig“ als angemessen beurteilt. Die XXXX GmbH betrieb im Tatzeitraum an ca. XXXX verschiedenen Standorten in Österreich sogenannte XXXX

Die Bargeldintensität eines Unternehmens (vgl. Anlage 3 Z 1 lit e FM-GwG) sowie das erhöhte Branchenrisiko ( XXXX ) sind als risikoerhöhende Faktoren zu berücksichtigen. Bei diesen Risikofaktoren handelt es sich um solche, die auf ein erhöhtes Risiko hinsichtlich Geldwäsche – und Terrorismusfinanzierung hinweisen.

Die Kundin wird seit 24.4.2020 in der Risikoklasse 3 „hoch“ geführt.

Die XXXX hat es daher im Zeitraum von zumindest 01.01.2017 bis 24.04.2020 unterlassen die Kundin XXXX GmbH in eine gemäß § 6 Abs. 5 FM-GwG angemessene Risikoklasse einzustufen.

I b) Geschäftsbeziehung: XXXX GmbH

Im Zeitraum 01.01.2017 bis 24.04.2020 hat die XXXX bei der Kundin XXXX GmbH weder das Risiko der Branche (Handel mit Edelmetallen) noch die Bargeldintensität mitberücksichtigt und somit die Risikoeinstufung „niedrig“ als angemessen beurteilt. Die XXXX GmbH kaufte und verkaufte im Tatzeitraum Gold sowie Edelmetalle.

Der Bargeldintensität eines Unternehmens (vgl. Anlage 3 Z 1 lit e FM-GwG) sowie dem Bereich von Transaktionen mit Bezug zu Edelmetallen (vgl. Anlage 3 Z 1 lit f FM-GwG) werden vom Gesetzgeber ein erhöhtes Risiko beigemessen. Bei diesen Risikofaktoren handelt es sich um solche, die auf ein erhöhtes Risiko hinsichtlich Geldwäsche – und Terrorismusfinanzierung hinweisen.

Die Kundin wird seit 24.04.2020 in der Risikoklasse 3 „hoch“ geführt.

Die XXXX hat es daher im Zeitraum von zumindest 01.01.2017 bis 24.4.2020 unterlassen die Kundin XXXX GmbH in eine gemäß § 6 Abs. 5 FM-GwG angemessene Risikoklasse einzustufen.

I c) Geschäftsbeziehung: XXXX GmbH

Im Zeitraum 01.01.2017 bis 24.04.2020 hat die XXXX beim Kunden XXXX GmbH weder das Risiko der Branche noch die Bargeldintensität mitberücksichtigt und somit die Risikoeinstufung „niedrig“ als angemessen beurteilt. Das Unternehmen war im Tatzeitraum im Bereich XXXX . tätig.

Die Bargeldintensität eines Unternehmens (vgl. Anlage 3 Z 1 lit e FM-GwG) sowie das erhöhte Branchenrisiko ( XXXX ) sind als risikoerhöhende Faktoren zu berücksichtigen. Bei diesen Risikofaktoren handelt es sich um solche, die auf ein erhöhtes Risiko hinsichtlich Geldwäsche – und Terrorismusfinanzierung hinweisen.

Die Kundin wird seit 24.4.2020 in der Risikoklasse 3 „hoch“ geführt.

Die XXXX hat es daher im Zeitraum von zumindest 01.01.2017 bis 24.4.2020 unterlassen die Kundin XXXX GmbH in eine gemäß § 6 Abs. 5 FM-GwG angemessene Risikoklasse einzustufen.

Die Verantwortlichkeit der XXXX Aktiengesellschaft ergibt sich folgendermaßen:

Die im Tatzeiträumen 01.01.2017 bis 24.4.2020 (I.a, I.b und I.c) zur Vertretung nach außen berufenen Mitglieder des Vorstandes der XXXX (siehe dazu den beiliegenden Auszug (ON 00) aus dem Firmenbuch, der einen integrierten Bestandteil dieses Straferkenntnisses bildet) unter Ausklammerung der Zeiträume, in denen eine der nachfolgenden Personen wirksam als verantwortlicher Beauftragter gemäß § 9 Abs. 2 VStG bestellt war und die nachfolgenden Personen für den Fall ihrer wirksamen Bestellung, nämlich Personen mit einer Kontrollbefugnis innerhalb der XXXX Aktiengesellschaft, konkret Herr XXXX D XXXX , zumindest seit 22.12.2016 bis 02.05.2019, Herr XXXX F XXXX , zumindest seit 22.01.2018, Herr XXXX R XXXX , zumindest seit 02.05.2019, Herr Mag. XXXX K XXXX , zumindest seit 08.02.2018, Herr Mag. XXXX H XXXX , zumindest seit 10.02.2020 sowie Dr. XXXX M XXXX , zumindest seit 22.01.2018 bis 27.01.2020 (ON 04 bis ON 09d, die einen integrierten Bestandteil dieses Straferkenntnisses bilden), haben selbst gegen die angeführten Verpflichtungen verstoßen und durch mangelnde Überwachung und Kontrolle die Begehung der angeführten Verstöße durch eine für die XXXX Aktiengesellschaft tätige Person ermöglicht. Dies wird der XXXX Aktiengesellschaft auch zugerechnet. Die erwähnten Ordnungsnummern (ON) bilden einen integrierten Bestandteil dieses Straferkenntnisses.

Es wurde(n) dadurch folgende Rechtsvorschrift(en) verletzt:

Wegen dieser Verwaltungsübertretung(en) wird folgende Strafe verhängt:

Weitere Verfügungen (z.B. Verfallsausspruch, Anrechnung von Vorhaft):

Ferner ist gemäß § 64 des Verwaltungsstrafgesetzes (VStG) zu zahlen:

 58.800,00 Euro als Beitrag zu den Kosten des Strafverfahrens, das sind 10% der Strafe, mindestens jedoch 10 Euro;

 0 Euro als Ersatz der Barauslagen für ---.

Der zu zahlende Gesamtbetrag (Strafe/Kosten/Barauslagen) beträgt daher

I.8. Am 28.11.2024 nahm die BF durch ihre Rechtsvertretung elektronisch über das System FTAPI Akteneinsicht in den Akt der FMA.

I.9. Mit Schriftsatz vom 17.12.2024, am selben Tag bei der FMA eingelangt, erhob die BF rechtzeitig Beschwerde gegen das unter I.7. genannte Straferkenntnis der FMA vom 19.11.2024 wegen Rechtswidrigkeit der Tatsachenfeststellung, unrichtiger Beweiswürdigung, Mangelhaftigkeit des Verfahrens und unrichtiger rechtlicher Beurteilung.

Es wurde beantragt, das angefochtene Straferkenntnis im vollen Umfang ersatzlos zu beheben und das Verwaltungsstrafverfahren einzustellen; in eventu eine mündliche Verhandlung anzuberaumen, zwei Zeugen (Anmerkung des BVwG: weder aus der BF noch der jeweiligen Kundin) zur Risikoeinordnung der drei Kundinnen zu befragen sowie dann das Straferkenntnis aufzuheben und das Verwaltungsstrafverfahren einzustellen.

Begründend wurde im Wesentlichen vorgebracht, dass § 6 Abs. 5 FM-GWG keine Sorgfaltspflicht, sondern lediglich eine Handlungserleichterung durch Einführung des risikobasierten Ansatzes enthalte und diese Bestimmung deshalb keinen eigenständig verwaltungsstrafrechtlich verfolgbaren Tatbestand darstelle, weshalb dieser nicht Grundlage eines eigenständigen Tatvorwurfs sein und die BF nicht danach bestraft werden könne. Die Einstufung in Risikoklassen sei zudem nicht unionsrechtlich vorgegeben, der Gesetzgeber habe hier nur eine bestehende Praxis der FMA aus deren Rundschreiben gesetzlich festgeschrieben und keine Ausweitung der Verwaltungsstraftatbestände intendiert. Das angefochtene Straferkenntnis sei zudem durch die Miteinbeziehung von Anlage III zu verstärkten Sorgfaltspflichten und der darin genannten Risikofaktoren in die rechtliche Beurteilung eines vermeintlichen Pflichtverstoßes gegen § 6 Abs. 5 FM-GwG mit Rechtswidrigkeit belastet.

Die FMA habe in der angefochtenen Entscheidung Feststellungen zu „Personelle Ressourcen der XXXX im Zusammenhang mit Geldwäscheprävention“ und „4. Maßnahmen im Zusammenhang mit Bargeldgeschäften“ getroffen, die in keinerlei Zusammenhang mit den Vorwürfen stünden, dass bei näher genannten Kundinnen zwar eine Risikoeinstufung vorgenommen worden, jedoch das Risiko der Branche und die Bargeldintensität nicht beachtet worden sei. Die BF beantrage daher, diese Feststellungen ersatzlos zu streichen. Gleichermaßen habe die FMA aber allgemein zur Kundenrisikoeinstufung und konkret zu jener der verfahrensgegenständlichen Kundinnen, deren Branche angemessen als stark erhöhtes bzw. erhöhtes Risiko berücksichtigt worden sei, nicht ausreichend und aktenwidrige Feststellungen getroffen. Da dies für die rechtsrichtige Beurteilung des Sachverhalts und die daraus resultierende rechtliche Würdigung von essenzieller Bedeutung sei, würden ergänzende Feststellungen begehrt. Auch entspreche die unrichtige Beweiswürdigung der FMA nicht den Anforderungen an eine gesetzeskonforme Beweiswürdigung. Ohne sachliche Rechtfertigung habe die FMA den Zeitpunkt des Inkrafttretens des FM-GwG am 01.01.2017 als Beginn des Tatzeitraums herangezogen und den Beginn der Geschäftsbeziehung als Beginn der Pflicht zur Risikoeinstufung und Erstellung des Risikoprofils gar nicht ermittelt.

Die FMA habe die Fahrlässigkeit der BF nicht ohne Weiteres annehmen dürfen, weil die Verschuldensvermutung nur für Strafdrohungen unter 50.000,00 Euro gelte, sondern hätte die notwendigen Ermittlungsschritte setzen müssen, um die Fahrlässigkeit der zur Bestrafung herangezogenen Zurechnungsperson(en) zu beweisen. Zudem stehe die Rechtsansicht der FMA zur Zurechnung an juristische Personen im Widerspruch zum Urteil des EuGH C-807/21 (Deutsche Wohnen) und der Zurechnungsbestimmung der Geldwäscherichtlinie. Die FMA lasse daher in weiterer Folge nicht erkennen, welche Person gegenständlich die Pflichtverletzung begangen haben solle, und treffe im angefochtenen Erkenntnis keine von der Rechtsprechung geforderte Unterscheidung zwischen einer „Führungskräftetat“ und einer sog. „Mitarbeitertat“, sondern vermische die Tatbestände.

Als verfehlt erweise sich die Ansicht der belangten Behörde, dass sich aufgrund der Nichtberücksichtigung von Risikofaktoren und einer darauf beruhenden, aus Sicht der belangten Behörde erfolgten inkorrekten Risikoeinstufung gar ein schwerwiegender Verstoß ergebe. Damit verkenne die belangte Behörde den Unterschied zwischen Grunddelikt gemäß § 34 Abs. 1 FM-GwG und der Qualifikation als schwerwiegend gemäß § 34 Abs. 2 FM-GwG. Der vorgeworfene Verstoß könne denklogisch nicht gleichzeitig — wie dies die belangte Behörde in ihrem Straferkenntnis jedoch getan habe — dh unter nochmaliger Verwendung derselben Begründung, wonach die Risikofaktoren Bargeldintensität und Unternehmensbranche nicht angemessen berücksichtigt worden seien, als schwerwiegender Verstoß für die Festlegung des Strafrahmens und neuerlich in der Strafbemessung herangezogen werden. So verwende die FMA dieselbe Begründung, um die Qualifikation anzuwenden sowie um die Strafhöhe zu begründen, was nicht zulässig sei.

I.10. Die FMA legte dem Bundesverwaltungsgericht die Beschwerde der BF und den dazugehörigen Verwaltungsakt mit Schreiben vom 19.12.2024 vor.

I.11. Am 06.11.2025 nahm die Rechtsvertretung der BF am Bundesverwaltungsgericht Akteneinsicht.

I.12. Am 26.11.2025 führte der erkennende Senat eine mündliche Beschwerdeverhandlung mit der BF und der FMA durch, in der die BF durch ihre Rechtsvertretung und zwei informierte Vertreter vertreten war.

Die ebenfalls im Sinne der ständigen Judikatur des Verwaltungsgerichtshofes als beschuldigte Personen („Zurechnungspersonen“, s. Spruch des angefochtenen Straferkenntnisses) unter gleichzeitiger Übermittlung der Beschwerdeschrift geladenen verantwortlichen Personen in der BF gaben bereits im Vorfeld der mündlichen Verhandlung bekannt, auf die Durchführung einer mündlichen Beschwerdeverhandlung zu verzichten. Sie erschienen nicht zur Beschwerdeverhandlung. Mit Schreiben vom 27.11.2025 wurde ihnen die Verhandlungsniederschrift zur allfälligen Stellungnahme übermittelt, wovon sie bis zur Ausfertigung des vorliegenden Erkenntnisses nicht Gebrauch machten.

I.13. Mit Schreiben vom 01.12.2025 legte die FMA, wie in der Beschwerdeverhandlung zugesagt, dem Bundesverwaltungsgericht zwei (der BF laut Mitteilung in der Beschwerdeverhandlung bereits vorliegende) Rundscheiben der FMA vor und wies zur Frage der aus ihrer Sicht verantwortlichen Person („Zurechnungsperson“ laut VwGH-Judikatur) auf die Bestellungs- sowie Abbestellungsurkunden des XXXX D XXXX als verantwortlichem Beauftragten hin.

Dieses wurde sowohl der BF als auch XXXX D XXXX mit Schreiben vom 02.12.2025 durch das Bundesverwaltungsgericht zur Kenntnis gebracht.

I.14. Mit ebenfalls in der Beschwerdeverhandlung zugesagter Urkundenvorlage und Stellungnahme vom 05.12.2025 führte die BF über das Tool zur automatisierten IT-gestützten Risikobewertung „Smaragd CRS“ aus, dass dieses seit 2018 von der BF genutzt werde, und beschrieb dessen Funktionsweise.

I.15. Mit Stellungnahme der FMA vom 22.12.2025 gab diese an, dass sie nicht bestreite, dass die BF das System „Smaragd CRS“ verwende. Die BF habe allerdings bei Nutzung dieses Programms die einzelnen Risikofaktoren nicht richtig gewichtet, um ein passendes Ergebnis zu gewährleisten.

I.16. Diese Stellungnahme der FMA wurde der BF mit Parteiengehör vom 29.12.2025 zur Kenntnis gebracht. Bis zur Beschlussfassung des vorliegenden Erkenntnisses hat sich diese hierzu nicht geäußert.

II. Das Bundesverwaltungsgericht hat erwogen:

Beweis wurde erhoben durch Einsichtnahme in den Akt des Bundesverwaltungsgerichts (Bezugnahme durch OZ), in den zugrundeliegenden vorgelegten Akt der belangten Behörde (Bezugnahme durch ON) sowie durch Durchführung einer öffentlichen mündlichen Beschwerdeverhandlung am 26.11.2025. In dieser wurden für die BF als Beschuldigte zwei von dieser nominierte informierte Vertreter (unter Wahrung der Beschuldigtenrechte der BF) befragt, nämlich Dr. XXXX K XXXX , Chief Compliance Officer und Geldwäschebeauftragter der BF, und XXXX L XXXX , Bereichsleiterin AML und CTF sowie stellvertretende Geldwäschebeauftragte der BF. Den in der BF verantwortlichen Personen (ua den Vorstandsmitgliedern der BF, dem vorliegend verantwortlichen Beauftragten nach § 9 Abs. 2 VStG) wurde nach der Verhandlung die Möglichkeit gegeben, zur Verhandlungsniederschrift Stellung zu nehmen, wovon diese nicht Gebrauch machten.

II.1. Feststellungen:

II.1.1. Zum Unternehmen XXXX AG (im Folgenden: BF)

Bei der BF handelt es sich um eine börsennotierte Aktiengesellschaft mit Hauptsitz in XXXX , die ihren Sitz in XXXX hat. Die BF ist ein zentraler Bestandteil der internationalen Bankengruppe XXXX AG, einer börsennotierten Holdinggesellschaft. Der Konzern betreut über XXXX Kunden.

Die BF verfügt als operatives Kreditinstitut über eine Konzession der FMA zur Erbringung von Bankdienstleistungen, einschließlich Zahlungsdiensten (s. ua FMA – Unternehmensdaten-bank). Ihr Fokus liegt auf den Kernbereichen Retail-, KMU- und Kommerzkundengeschäft in ganz XXXX . Die BF ist eine der größten Banken XXXX . Sie ist einer der führenden Finanzdienstleister in der XXXX im Bereich Retail KMU, mit dem Heimatmarkt XXXX .

Die BF verfügt über diverse Beteiligungen als Gesellschafterin bzw. Aktionärin. Im Tatzeitraum verfolgte die BF eine Strategie des organischen und anorganischen Wachstums, um das Geschäft über neue Produkte und Kanäle auszuweiten. Je nach geografischer Region, Produktangebot und Marktsegment setzt sie auf eine spezifisch ausgerichtete Mehrmarkenstrategie und diverse Vertriebskanäle. Diese umfassen die traditionellen Marken der BF XXXX (ON 55). Außerhalb Österreichs ist die BF Alleineigentümerin von zumindest folgenden Gesellschaften: XXXX (ON 48 VOP2-PB, S 4).

Die BF betreute zum Stichtag 30.11.2017 ca. XXXX Millionen Kunden, davon waren ca. XXXX Millionen Privatkunden, ca. XXXX Kommerzkunden, ca. XXXX Korrespondenzbanken und ca. XXXX Kunden aus dem Bereich der öffentlichen Hand. Zum 31.12.2017 betrug die Bilanzsumme der BF rund XXXX Milliarden Euro. Das Ergebnis der gewöhnlichen Geschäftstätigkeit betrug rund XXXX Millionen Euro. Daraus ergab sich ein Jahresgewinn von rund XXXX Millionen Euro (ON 10 VOP1-PB, insb. S 6).

Diese Kennzahlen veränderten sich bis zum Stichtag 30.11.2018 nicht wesentlich. So betreute die BF ca. XXXX Millionen Kunden, davon ca. XXXX Millionen Privatkunden, ca. XXXX Kommerzkunden, ca. XXXX Korrespondenzbanken und ca. XXXX Kunden im Bereich der öffentlichen Hand.

Mit Stichtag 31.05.2019 verfügte die BF über XXXX Filialen in Österreich sowie XXXX Tochterbanken bzw. Zweigniederlassungen ( XXXX davon mit Sitz im EWR-Raum und XXXX mit Sitz in einem Drittland) und über insgesamt XXXX Millionen Kunden. Die überwiegende Anzahl hiervon (ca. XXXX Millionen) befand sich in der Risikoklasse 1 „niedrig“. In den höheren Risikoklassen 3 und 4 befanden sich ca. XXXX Kunden (ON 48 VOP2-PB, insb. S 6). Die BF hielt XXXX Beteiligungen an Finanzinstituten gemäß § 2 Z 2 lit a FM-GwG XXXX .

Die BF erstellt ihren konsolidierten Abschluss nach IFRS. Die FMA schätzte bzw. errechnete aus den seitens der BF der Oesterreichischen Nationalbank gemeldeten Kennzahlen einen konsolidierten jährlichen Gesamtumsatz der BF für das Geschäftsjahr 2023 in der Höhe von XXXX Euro und damit eine mögliche Strafhöhe von 10% des jährlichen Gesamtumsatzes mit XXXX Euro. Die wirtschaftliche Lage der BF hat sich seitdem nicht verschlechtert (VHS S 27).

II.1.2. Verantwortliche in der BF zum Tatzeitraum (01.01.2017 bis 24.04.2020)

Im Tatzeitraum vom 01.01.2017 bis 24.04.2020 waren folgende Personen Mitglieder des Vorstands der BF und zur Vertretung dieser nach außen befugt (s. Firmenbuchauszug OZ 6):

• XXXX (Vorsitzender, CEO), geb. XXXX , vertritt seit XXXX .2014 gemeinsam mit einem weiteren Vorstandsmitglied oder einem Gesamtprokuristen

• XXXX (CFO), geb. XXXX , vertritt seit XXXX .2017 gemeinsam mit einem weiteren Vorstandsmitglied oder einem Gesamtprokuristen

• XXXX (Chief Investment Officer), geb. XXXX , vertritt seit XXXX .2017 gemeinsam mit einem weiteren Vorstandsmitglied oder einem Gesamtprokuristen

• XXXX (Head of Retail SME), geb. XXXX , vertritt seit XXXX .2015 gemeinsam mit einem weiteren Vorstandsmitglied oder einem Gesamtprokuristen

• XXXX (verantwortlich für Retail-Geschäft), geb. XXXX , vertritt seit XXXX .2017 gemeinsam mit einem weiteren Vorstandsmitglied oder einem Gesamtprokuristen

• XXXX (Chief Risk Officer, im Folgenden: CRO), geb. XXXX , vertrat von XXXX .2015 bis XXXX .2021 (Funktion gelöscht) gemeinsam mit einem weiteren Vorstandsmitglied oder einem Gesamtprokuristen

Nach der Ressortverteilung im Vorstand der BF war der CRO das zuständige Vorstandsmitglied für Agenden betreffend die Prävention von Geldwäscherei und Terrorismusfinanzierung (ON 10, insb. S 7). Diese konkrete Ressortverteilung findet sich nicht in der Satzung der BF.

Der CRO der BF trat nach langjähriger Erfahrung im Risikomanagement diverser Banken 2013 in die BF ein und war bis zu seiner Bestellung zum CRO Bereichsleiter für Strategisches Risiko in der BF. Als CRO war er aufgrund der internen Ressortverteilung organisatorisch und fachlich für die Konzernrisikosteuerung verantwortlich, worunter auch die Agenden der Prävention von Geldwäscherei und Terrorismusfinanzierung fielen.

Mit Blick auf die vorliegende Rechtssache war XXXX F XXXX (im Folgenden: Bereichsleiter Kommerz), geb. XXXX , mit Bestellungsurkunde vom XXXX .2018 wirksam zum § 9 Abs. 2 VStG-Beauftragten für die Frage der Risikobewertung von Kommerzkunden durch den CRO bestellt worden. In den dort genannten Verantwortungsbereich fiel unter anderem „1. Einhaltung der Verpflichtungen hinsichtlich Sorgfaltspflichten gegenüber Kunden gemäß § 34 Abs. 1 Z 2 iVm den §§ 5-7 sowie 11 Abs. 1 Z 2 lit. a und b FM-GwG und der aufgrund von § 6 Abs. 4, § 8 Abs. 5 und § 9 Abs. 4 FM-GwG erlassenen Verordnungen der FMA hinsichtlich des Kommerzkundenvertriebes“. Die Bestellungsurkunde wurde der FMA noch am selben Tag per E-Mail übermittelt (ON 07).

Der verantwortliche Beauftragte hatte bereits vor dem 09.05.2017 die Funktion des Leiters der Abteilung „Kommerzkunden Immobilien Österreich“ inne und wurde am 09.05.2017 zum Leiter des Bereiches „Austrian Corporates Public Sector" bestellt (ON 12 Beilagen 1-39 S 147; ON 46 S 6; VHS S 14). Als Leiter des Bereiches „Kommerzkunden Vertrieb Österreich“ der BF verfügte er über die erforderliche Anweisungsbefugnis, die für seine rechtswirksame Bestellung als verantwortlicher Beauftragter gemäß § 9 Abs 2 VStG erforderlich war, sein räumlicher Zuständigkeitsbereich erstreckte sich auf die gesamte BF (ON 7, Bestellungsurkunde). Zu den Aufgaben des verantwortlichen Beauftragten gehörte im Tatzeitraum die gesetzeskonforme Aktualisierung der zu den Kunden vorhandenen Informationen, Daten und Dokumente, die auch die Dokumentation der wirtschaftlichen Eigentümer umfasste (ON 46 S 4). Bereits als Leiter der Abteilung „Kommerzkunden Immobilien Österreich“ war er unter anderem dafür verantwortlich, dass die Kommerzkundenbetreuer im Sinne des „Know-Your-Customer“-Prinzips ermittelten, was typische Tageslosungen für den betreffenden Standort der Kommerzkunden darstellten, damit bei Bargeldeinzahlungen über 15.000,00 Euro kein Herkunftsnachweis eingeholt werden musste. Als Leiter des Geschäftskundenbereichs war er auch für die Betreuung der drei gegenständlichen Kundinnen zuständig (VHS S 14).

II.1.3.Personelle Ressourcen der BF im Zusammenhang mit Geldwäscheprävention

Dr. XXXX M XXXX wurde erstmals mit 01.11.2016 in der BF zum Geldwäschereibeauftragten bestellt. Er wandte ca. 40 % seiner Zeit für Anti-Money Laundering und Sanktionsthemen auf. Mit 01.11.2014 wurde Dr. XXXX T XXXX zur stellvertretenden Geldwäschereibeauftragten bestellt (ON 10, insb. S 5). Dr. XXXX K XXXX wurde mit 01.05.2019 zur Geldwäschereibeauftragten bestellt (ON 48, insb. S 7).

Im Prüfzeitraum Mai 2018 (VOP1) standen rund 15 Vollzeitäquivalente (im Folgenden: VZÄ) für den Bereich Prävention von Geldwäscherei und Terrorismusfinanzierung in der BF zur Verfügung und war die Abteilung „Compliance AML“ (Anti-Money Laundering) zuständig, die im Bereich „Non-Financial Risk Management Regulatory Compliance“ angesiedelt war (in der Folge „Compliance AML“).

Die BF forcierte kurz vor der VOP2 einen starken Expansionskurs und verfügte über eine hohe Anzahl an Filialen und Gruppenunternehmen sowie Kunden und Transaktionen. So erhielt die BF von 31.05.2018 bis 31.05.2019 ca. 130 Millionen Transaktionen im Bereich AZV- SWIFT (Volumen ca. XXXX Milliarden Euro) und führte ca. 135 Millionen Transaktionen im Bereich AZV- SWIFT durch (Volumen ca. XXXX Milliarden Euro).

Im Prüfzeitraum der VOP2 war der Bereich aufgeteilt in: „AML System Development Maintenance, Reporting“, „AML Monitoring ICS“ (Internal Control System) und „CRS/FATCA“ (Common Reporting Standard). Das gesamte Tagesgeschäft im Bereich der Prävention von Geldwäscherei und Terrorismusfinanzierung fand im Team „AML Monitoring ICS“ statt. Die Personalressourcen verteilten sich wie folgt: 8 VZÄ „AML/TF“, 3 VZÄ „FATCA/GMSG“ und 7,5 VZÄ 1st Line Support in einem Tochterunternehmen der BF. Damit standen der BF selbst nur 11 VZÄ im Bereich von Geldwäscherei und Terrorismusfinanzierung zur Verfügung. Darüber hinaus wurden in den Vertriebs- und Abwicklungseinheiten auch Maßnahmen des Internen Kontrollsystems (im Folgenden: IKS) getätigt (ON 10 S 5; ON 48 S 5ff; ON 49 Stellungnahme S 9 ff).

Die BF hatte einerseits eine Auslagerungsvereinbarung mit dem 100%igen Tochterunternehmen XXXX GmbH und andererseits mit dem Unternehmen XXXX GmbH hinsichtlich der Videoidentifizierung. Die XXXX GmbH übernahm hierbei auszugsweise folgende Aufgaben (VOP1-Prüfbericht ON 10 S 8):

− „First Level“ Kundenscreening und Transaktionsmonitoring

− Überprüfung der „Suspicious-Transactions-Alerts“ auf erster Ebene

− Überprüfung „sITS Transaktionsscreening“.

Weiters übernahm die BF ausgelagerte Kontroll- und Überwachungshandlungen, insbesondere für Tochterunternehmen wie im Bereich der Prävention von Geldwäscherei und Terrorismusfinanzierung (ON 48 S 6f). So hat die 100%ige Tochtergesellschaft der BF Tätigkeiten im Bereich der Prävention von Geldwäscherei und Terrorismusfinanzierung an die BF ausgelagert. Dazu gehören bspw. folgende Tätigkeiten (VOP1-Prüfbericht ON 10 S 8):

− Erstellung der Gefährdungsanalyse

− Erstellung und Konzeption des Schulungsprogrammes

− Bearbeitung der Kontrolle der Alerts im 2nd Level

− Bearbeitung und Einbringung Geldwäsche Verdachtsmeldungen.

Die Anforderungen an Kreditinstitute, Vorkehrungen und Maßnahmen im Bereich von Prävention von Geldwäsche und Terrorismusfinanzierung gemäß den gesetzlichen Bestimmungen zu treffen sowie auch die Anforderungen an die Sorgfaltspflichten sind seit Inkrafttreten des FM-GwG im Jahr 2017 im Tatzeitraum stetig gestiegen und erforderten von den Kreditinstituten eine laufende Anpassung und Evaluierung des Ressourcenbedarfs in diesem Bereich. Hingegen wurden trotz dieser rechtlichen Anforderungen und dem Expansionskurs der BF die VZÄ für den Bereich Prävention von Geldwäsche und Terrorismusfinanzierung in der BF zwischen der VOP1 bis nach der VOP2 nicht verändert und erwiesen sich damit nicht als ausreichend.

Mit Februar 2020 wurde die Organisation der zuständigen Abteilung für die Prävention von Geldwäsche und Terrorismusfinanzierung unter die neu gegründete Abteilung „Financial Crime Management“ eingeordnet. In der neuen Organisationsform gab es bei der BF nunmehr 26,2 VZÄ, die sich exklusiv mit der Prävention von Geldwäsche und Terrorismusfinanzierung beschäftigten (ON 49 Stellungnahme zum Prüfbericht S 9ff).

II.1.4. Zur Vorgehensweise der BF bei der Risikoeinstufung ihrer Kunden

Bis Mai 2018 verwendete die BF zur Risikoeinstufung ihrer Kunden die Software „NORKOM“, die eine zur IT-Software „Smaragd“ mit CRS-Modul ähnliche Systematik hatte (VHS S 14). Seit Mai 2018 wendet die BF zur Kundenrisikoeinstufung das „Smaragd CRS“ (Compliance Risk System) an. Dabei handelt es sich um ein KI-gestütztes Software-System, das Finanzinstituten hilft, Finanzkriminalität wie Geldwäsche und Terrorismusfinanzierung zu bekämpfen, Risiken zu managen und regulatorische Anforderungen zu erfüllen, indem es Transaktionen überwacht, Risikobewertungen durchführt und die Identifizierung wirtschaftlich Berechtigter (Beneficial Owners) erleichtert.

Durch dieses flexible Softwaresystem werden verschiedene Risikofaktoren bewertet. Um ein möglichst realistisches, kundenspezifisches Risiko erstellen zu können, werden die Einzelrisiken der jeweiligen Risikofaktoren zusammengeführt (Kombinationsanalyse). Bestimmte Kombinationen von Einzelrisiken ergeben zusammengefasst das jeweilige Gefährdungspotential des einzelnen Kunden (Kundengesamtrisiko). Die Gewichtung und Bewertung der einzelnen Faktoren sind dabei nicht von Smaragd starr vorgegeben, sondern vom Anwender festzulegen. Das System berechnet die Risikoklasse in der BF täglich neu; dies fünf Mal pro Woche (Beschwerde S 10ff; OZ 27; VHS S 13f).

Für die Kombinationsanalyse wurden in der BF im Tatzeitraum folgende Kundeneinzelrisiken zur Bewertung des kundenspezifischen Risikos herangezogen:

• Nationalität/Wohnsitz/Firmensitz

• Branche (ÖNACE-Code)

• Produkt

• Risikorelevante Beziehungen (z.B. wirtschaftlicher Eigentümer)

• Typologie

Das Gesamtrisiko eines Kunden wurde in drei Schritten ermittelt (Beschwerde S 10 ff; OZ 27):

1. Aus den Eigenschaften eines Kunden (Kunden-Risikodimensionen) wurde das einfache Kundenrisiko ermittelt. Dafür wurde folgende Formel angewandt:

Das „Adressland“ war dabei das Land, in dem der Sitz des Unternehmens lag. Mit dem Faktor „Staatsbürgerschaft“ war die Staatsbürgerschaft des Geschäftsführers / der Geschäftsführerin abgebildet (VHS S 18). Wenn bei den Risikodimensionen „Adressland“ „Österreich“ anzugeben war, bewertete die BF diese Risikodimension mit einem Risikograd von 1,00. Auch wenn bei der Risikodimension „Staatsbürgerschaft“ „Österreich“ eingetragen wurde, bewertete die BF diese Risikodimension mit einem Risikograd von 1,00 (Beschwerde S 11 ff).

Die Bargeldintensität wurde von der BF lediglich im Risikofaktor „Branche“ mitberücksichtigt (VHS S 19), obwohl bei Neukundenanlage jedenfalls

- Art und Zweck der Geschäftsbeziehung,

- Herkunft der Gelder,

- Branche sowie

- Bareinzahlung bei Kontoeröffnung zu erheben waren (ON 10 VOP1-PB S 10).

2. lm zweiten Schritt wurde das Risiko durch Beziehungen zu anderen Kunden hinzugefügt (erweitertes Kundenrisiko). Dafür wurde folgende Formel angewandt:

3. lm dritten Schritt wurde aus dem Risiko der Produkte des Kunden und dem erweiterten Kundenrisiko das Kundengesamtrisiko gebildet. Dazu wurde folgende Formel angewandt:

Mit dem bei der Risikoberechnung berechneten Wert bestimmte die BF den Risikograd unter Zugrundelegung folgender Bandbreiten der Risikograd-Stufen (ua Beschwerde S 11 ff; ON 49; OZ 27 S 3), wobei diese je nach Dokument teils leicht voneinander abwichen:

Stufe 1: Erniedrigt /niedrig 0,00 bis 2,99

Stufe 2: Standard / normal 3,00 bis 4,99 (5,99 laut ON 49 Gefährdungsanalyse)

Stufe 3: Erhöht / hoch 5,00 bis 6,99 (ab 6 laut ON 49)

Stufe 4: Stark erhöht / sehr hoch 7,00 bis 9,99

Wenn bei einem Kunden für die Risikodimensionen „Adressland“ und „Staatsbürgerschaft“ jeweils „Österreich“ und damit zwei Mal der Wert 1,00 in die Risikoberechnungsformel der BF eingesetzt wurde, war es mit der in der BF angewandten Formel kaum noch möglich, zu einem erhöhten oder stark erhöhten Risikograd zu gelangen. Dies selbst dann, wenn das Branchenrisiko als sehr hoch bewertet wurde. Somit wurde der „Österreichfaktor“ durch die BF zu hoch gewichtet und verfälschte dieser das Ergebnis der Risikobewertung.

Nach der Risikoberechnung war es im Smaragd-System möglich, die Risikoeinstufung der Kunden anzupassen und händisch abzuändern. Eine solche Änderung blieb trotz der täglichen Neuberechnung der Risikoeinstufungen im Programm in weiterer Folge aufrecht bestehen. Eine solche händische Änderung in eine höhere Risikostufe wurde im Tatzeitraum üblicher Weise nicht vorgenommen (VHS S 16, 20).

In der Gefährdungsanalyse zur effektiven Verhinderung von Geldwäscherei, Sanktionsverletzungen und Terrorismusfinanzierung in der BF, Auswertungsstand November 2018 (ON 49, Beilage 2.1), wurde dargelegt, dass unter Einbeziehung der Supranationalen Gefährdungsanalyse der EU vom 26.06.2017 dem vom Glücksspielsektor ausgehenden Gefährdungspotential durch ein erhöhtes Branchenrisiko Rechnung getragen wird (S 5). Kunden kritischer Branchen mit hohem Risiko (wie Glückspiel, Baugewerbe, Gastgewerbe, Rotlicht, udgl.) seien automatisch von der Risikoratingsoftware über ein erhöhtes Branchenrisiko in eine höhere Geldwäscherisikoklasse eingestuft und damit einer erhöhten Überwachung zugeführt worden (S 6).

Das Arbeitshandbuch zur Bekämpfung der Geldwäscherei und Terrorismusfinanzierung sowie zur Einhaltung von Embargovorschriften der BF vom 31.07.2019 (im Folgenden: Arbeitshandbuch; ON 49 Beilage 1.2) schrieb vor, dass die Vorschriften der §§ 5ff FM-GwG nicht nur auf Neukunden, sondern auch auf Bestandskunden anzuwenden und die Unterlagen und Kundendaten risikobasiert stets aktuell zu halten waren. Es bestand ein automatisches Kundenrisikorating in Bezug auf Geldwäschegefährdung. Bei Kommerzkonten war je nach Branchenrisiko das Ergreifen angemessener Maßnahmen zur Vermeidung von Geldwäscherei erforderlich. Bei Darlegung der relevanten Bestimmungen wurde hervorgehoben, dass verstärkte Sorgfaltspflichten in einer Risikoanalyse ermittelt werden können, wobei als ein Faktor, der auf ein potentiell erhöhtes Risiko beim Kunden schließen lasse, der Risikofaktor „bargeldintensive Unternehmen“ genannt wurde (S 93).

Es fand sich im Arbeitshandbuch keine Anweisung, Kunden der Glücksspielbranche oder aus dem Edelmetallhandel aufgrund der Branche automatisch oder händisch in eine höhere Risikoklasse einzustufen. Es fand sich keine Anweisung, die tatsächliche Bargeldintensität ergänzend zu berücksichtigen. Eine automatische Einstufung in die höchste Risikoklasse fand sich ua für Offshore-Firmen und PEP (ON 49 1.2. Geldwäschehandbuch, insb. S 38f, 44). Eigentümerstrukturen wurden in geographischer Hinsicht nur berücksichtigt, wenn es sich um ein Hochrisikoland gemäß DelVO der EU oder um PEP handelte (VHS S 18).

Ab Risikoklasse 3, hohes Risiko, war bei juristischen Personen verpflichtend ein sogenanntes „Datenblatt gemäß FM-GwG“ einzuholen und vom Kunden zu unterzeichnen, was im elektronischen Kundenakt abgespeichert wurde (VOP1-PB S 8). Diesbezüglich wurden u.a. die folgenden erweiterten Informationen abgefragt:

- Hauptsächliche wirtschaftliche Tätigkeit (z.B.: Import/Export, Rechtsanwalt, nuklear Industrie),

- Angaben zur Identitätsform (z.B.: politischer Verein, staatsnahes Unternehmen, Stiftung),

- Herkunft der Einkünfte (z.B.: laufender Geschäftsbetrieb, aus Patenten oder Lizenzen, Veranlagungen) sowie

- Jahresumsatz laut letzter Bilanz.

Betreffend die Überprüfung der Aktualität sowie gegebenenfalls die Aktualisierung der vorliegenden Informationen, Daten und Dokumente von Kunden wurden in der BF je nach Risikoklasse die folgenden maximalen Intervalle festgelegt, anlassbezogen musste entsprechend früher aktualisiert werden:

- Kunden der Risikoklasse 4, sehr hohes Risiko: jährlich

- Kunden der Risikoklasse 3, hohes Risiko: jährlich

- Kunden der Risikoklasse 2, mittleres Risiko: alle drei Jahre

- Kunden der Risikoklasse 1, niedriges Risiko: anlassbezogen.

Bezüglich der nächsten Aktualisierungsverpflichtung wurde durch die Abteilung „Compliance AML“ eine Auswertung erstellt und an die Kundenbetreuer mit Setzung einer Frist versandt. Gemäß Arbeitshandbuch und Auskunft des Geldwäschebeauftragten waren dann sämtliche Unterlagen bspw. zum wirtschaftlichen Eigentümer erneut einzuholen sowie das Dokument „Erhebungsblatt wirtschaftlicher Eigentümer“ sowie „Datenblatt gemäß FM-GwG“ erneut durch den Kunden auszufüllen (VOP1-PB S 9).

Wie im Arbeitshandbuch definiert wurde, wandte die BF verstärkte Sorgfaltspflichten grundsätzlich auf sämtliche Kunden, die in den Risikoklassen 3, hoch, und 4, sehr hoch, eingestuft wurden, sowie auf folgende Geschäftsbeziehungen an:

− Geschäftsbeziehungen mit PEP;

− Kunden, die selbst, deren wirtschaftliche Eigentümer oder deren Zeichnungsberechtigte in definierten (Hoch)Risikoländern domiziliert sind (u.a. DelVO der EU 2016/1675);

− „Offshore“-Gesellschaften;

− Stiftungen;

− Korrespondenzbankbeziehungen zu Korrespondenzbanken in Drittländern.

Dies umfasste die folgenden Maßnahmen (VOP1-PB S 9f):

− bei Kontoeröffnung war zusätzlich ein AML-Fragebogen („Datenblatt gemäß FM-GwG“) auszufüllen;

− die Begründung einer neuen Geschäftsbeziehung mit definierten Hochrisikokunden (z.B. Offshore, Stiftungen, etc.) bedurfte der Genehmigung der Abteilung „Compliance AML“, Geschäftsbeziehungen mit PEP waren vom Bereichs- bzw. Filialleiter freizugeben und die Begründung von Korrespondenzbankbeziehungen bedurfte der Genehmigung des Vorstands;

− jährliche Aktualisierung der Informationen, Daten und Dokumente sämtlicher Hochrisikokunden;

− Anwendung von niedrigeren Schwellenwerten im Rahmen der automatisierten kontinuierlichen Transaktionsüberwachung;

− Durchführung von zusätzlichen manuellen Sondermonitorings (z.B. jährliche manuelle Überprüfung der Kontengebarung von Offshore- und PEP-Kunden sowie Stiftungen).

II.1.5. Zu den verfahrensgegenständlichen Kundinnen:

Die vorliegend relevanten Kundinnen der BF unterlagen ihrerseits einer Aufsicht, nicht jedoch durch die FMA. Die BF erhielt selbst weder von der österreichischen Glückspielaufsicht noch vom Responsible Jewellery Council Informationen, die sie zur Erfüllung ihrer Sorgfaltspflichten, wie der Risikoeinstufung, heranziehen oder als Vergleichsmaßstab hätte verwenden können (VHS S 15).

II.1.5.1. Geschäftsbeziehung: XXXX , Kundennummer XXXX (im Folgenden: Kundin 1)

Es handelt sich bei der Kundin 1 um eine juristische Person (GmbH) mit Sitz in XXXX , die seit XXXX ein Geschäftskonto bei der BF führt.

Die Kundin 1 ist ein Tochterunternehmen der XXXX GmbH, die vom Bundesministerium für Finanzen (BMF) beaufsichtigt werden. Diese wird von der XXXX Holding kontrolliert, einer 100% Tochtergesellschaft der XXXX wie auch der XXXX größte wirtschaftliche Eigentümerin ist die XXXX mit Sitz in XXXX . Diese Unternehmen unterliegen den entsprechenden Regelungen des Glückspielgesetzes (GSpG). Im Rahmen des GSpG trifft diese unter anderem die Verpflichtung, einen jährlichen Bericht zu bestimmten Themen, wie beispielsweise Maßnahmen im Bereich des Spielerschutzes oder auch Maßnahmen zur Geldwäsche- und Kriminalitätsvorbeugung, an das BMF zu übermitteln (ON 49, Stellungnahme S 3).

Trotz des Risikos der Branche und des Umstandes, dass die Kundin 1 zudem ein hohes Bargeldaufkommen hatte, welches im konkreten Fall nicht nur vereinzelte Bareinzahlungen darstellte, sondern beispielsweise alleine im Zeitraum von Jänner bis Juli 2019 ca. XXXX Millionen Euro in Bareinzahlungen umfasste, wurde die Geschäftsbeziehung mit der Kundin seit mindestens 01.01.2017 bis zum 24.04.2020 durch die BF in der Risikoklasse 1, niedrig, geführt (ON 53 S 17; ON 48, S 18; ON 49 S 3).

Die BF führte nach der VOP2 der FMA ein Re-Rating durch und veranlasste eine Datenaktualisierung. Die Kundin 1 wird nach Vollzug der Risikoeinstufung seit 24.04.2020 in der Risikoklasse (Risk Score) 3, erhöht, geführt (ON 49 Beilage 1.3). Im Datenblatt gemäß FM-GwG vom 12.05.2020 meldete die Kundin als Jahresumsatz mit Mai 2020 laut letzter Bilanz XXXX Millionen Euro und einen Anteil an unbaren Eingängen aus Nicht-EU-Ländern von 25%, bare Eingänge von monatlich über 15.000,00 Euro (als höchster wählbarer Stufe) und ein geplantes Veranlagungsvolumen von über 700.000,00 Euro (als höchster wählbarer Stufe) ein.

II.1.5.2. Geschäftsbeziehung: XXXX GmbH, Kundennummer XXXX (im Folgenden: Kundin 2)

Es handelt sich bei der Kundin 2 um eine juristische Person (GmbH) mit Sitz in XXXX , die im Bereich des Handels mit Schmuck- und Edelmetallen tätig ist und seit XXXX besteht. Das Unternehmen ist eine Tochtergesellschaft der XXXX AG (zuvor XXXX AG), XXXX . Diese ist wiederum Tochter der XXXX AG. Das Unternehmen führt seit XXXX ein Geschäftskonto bei der BF.

Trotz des Risikos der Branche (Handel mit Edelmetallen) und der Bargeldintensität des Unternehmens wurde die Geschäftsbeziehung seit mindestens 01.01.2017 bis zum 24.04.2020 in der Risikoklasse 1, niedrig, geführt (ON 48 S 20, ON 49 Stellungnahme S 4). In Bezug auf die Bargeldintensität handelte es sich vorliegend nicht nur um vereinzelte Bareinzahlungen, sondern wurden beispielsweise allein im Mai 2019 ca. 510.000,00 Euro in bar eingezahlt.

Die BF führte nach der VOP2 der FMA ein Re-Rating durch und veranlasste eine Datenaktualisierung. Die Kundin 2 wurde und wird von der BF nach Vollzug der Risikoeinstufung seit 24.04.2020 in der Risikoklasse 3, erhöht, geführt (ON 49 S 5 und Beilage 1.3). Im deshalb eingeholten Datenblatt gemäß FM-GwG meldete die Kundin 2 als Jahresumsatz laut letzter Bilanz über XXXX Millionen Euro ein.

II.1.5.3. Geschäftsbeziehung: XXXX , Kundennummer XXXX (im Folgenden: Kundin 3)

Es handelt sich bei der Kundin 3 um eine juristische Person mit damaligem Sitz in XXXX ; s. Firmenbuchauszug, OZ 31) und Tätigkeit in der Glücksspielbranche (z.B. XXXX ). Die Kundin 3 ist seit XXXX Kundin bei der BF und verfügt über zwei Geschäftskonten. Mit Firmenreport vom 13.04.2018 und vom 12.02.2019 (ON 53 Teil 1 Beilagen 5-17 S 254, S 257) hielt die BF fest: „Der wirtschaftliche Eigentümer kann nicht oder nur teilweise ermittelt werden. Das Unternehmen steht direkt oder indirekt im Eigentum des ausländischen Unternehmens XXXX Investment SA, XXXX . Zur weiteren Beteiligungsstruktur oder zu den Mitgliedern der obersten Führungsebene liegen in diesem Zusammenhang keine weiteren Informationen vor.“ Berücksichtigt wurden bei der Risikobewertung nur der Sitz des Unternehmens und die Staatsbürgerschaft des Geschäftsführers, nicht jedoch die weiteren Eigentümerstrukturen außerhalb des EWR, die die BF aber ohnedies nicht kannte (VHS S 18).

Trotz des Risikos der Branche und der Bargeldintensität des Unternehmens, die im konkreten Fall nicht nur vereinzelte Bareinzahlungen darstellte, sondern beispielsweise an einem einzigen Tag (15.07.2019) 88.461,60 Euro in bar betrug, wurde die Geschäftsbeziehung seit mindestens 01.01.2017 bis zum 24.04.2020 in der Risikoklasse 1, niedrig, geführt (ON 53, ON 49 S 6 und Beilage 1.3).

Die Kundin 3 unterliegt den Regeln der österreichischen Glücksspielaufsicht des Bundesministeriums für Finanzen. Konzessionsinhaber im Glücksspielbereich sind verpflichtet, in regelmäßigen Abständen ausführliche Berichte (zu internen Maßnahmen wie z.B. Spielersuchtvorbeugung und Spielerschutz, Responsible Marketing Standards, Maßnahmen zur Geldwäsche- und Kriminalitätsvorbeugung etc.) an das Bundesministerium für Finanzen zu erstatten. Die abgabenrechtliche Glücksspielprüfung sowie ordnungspolitische Aufsicht über die jeweiligen Konzessionäre erfolgt durch das Finanzamt für Gebühren, Verkehrssteuern und Glücksspiel (ON 49 Stellungnahme S 6). Diese Daten standen der BF nicht zur Verfügung (VHS S 15).

Die BF führte nach der VOP2 der FMA ein Re-Rating durch und veranlasste eine Datenaktualisierung. Im Datenblatt gemäß FM-GwG vom 09.04.2020 meldete die Kundin als Jahresumsatz laut letzter Bilanz XXXX Millionen Euro und einen Jahreseingang von über 700.000,00 Euro (höchste wählbare Stufe) sowie bare Eingänge von monatlich über 15.000,00 Euro (höchste wählbare Stufe) ein.

Die Kundin 3 wurde und wird durch die BF nach Vollzug der Risikoeinstufung seit 24.04.2020 in der Risikoklasse 3, erhöht, geführt (ON 49 Beilage 1.3).

II.1.5.4. Zu allen drei Kundinnen

Im von der FMA angenommenen Tatzeitraum fand für keine dieser drei Bestandskundinnen eine Bewertung der Risiken von Geldwäscherei und Terrorismusfinanzierung statt, in der das Branchenrisiko und die Bargeldintensität abgebildet waren.

Es wird festgestellt, dass diese Kundinnen im Tatzeitraum in der Risikoklasse 1 „niedrig“ und nicht mit einem höheren Risiko, nämlich zumindest in „Standard“, Risikoklasse 2, eingeordnet waren. Es wurden bei diesen Kundinnen keine erhöhten Sorgfaltspflichten, wie eine jährliche Überprüfung, eingehalten.

Es fehlte in der BF für derartige Bestandskundinnen am Risikoverständnis und diese wurden als Kundinnen mit geringstem Risiko betrachtet, weil es bislang keine Auffälligkeiten in der Geschäftsbeziehung gab, diese einer eigenen Aufsicht / Kontrolle unterlagen und es sich aus Sicht der BF um einen normalen Geschäftsbetrieb wie auch übliche Tageslosungen handelte. Deshalb wurde für sie bis ins Jahr 2020 auch keine Datenaktualisierung via das Datenblatt gemäß FM-GwG vorgenommen. Sie wurden von der BF in der untersten Risikoklasse „niedrig“ weitergeführt, obwohl das – wenn auch im Tatzeitraum falsch gewichtete – interne Berechnungssystem diese zumindest mit „Standard“ eingestuft hätte und sie damit einem dreijährigen Prüfintervall unterlegen wären.

II.1.6. Maßnahmen im Zusammenhang mit Bargeldgeschäften

Die BF unterhielt viele Geschäftsbeziehungen, bei denen teilweise sehr hohe Bareinzahlungen getätigt wurden, weshalb im Rahmen beider VOP durch die FMA die Maßnahmen geprüft wurden, die die BF im Zusammenhang mit den risikoerhöhenden Faktoren des Bargeldgeschäfts gesetzt hat (VHS S 7f).

Im Qualitätsreport vom 13.05.2019 (ON 53 Teil 2) war in der Übersicht der Kontrollmaßnahmen für „Bareinzahlungen institutseigen“ als „Kontrollziel“ vermerkt: „Begrenzung des erhöhten Geldwäscherisikos in Verbindung mit Bartransaktionen; Überprüfung der Einholung erforderlicher Nachweise; Prüfung Plausibilität Erfassung Ausweisdaten; Prüfung Plausibilität Erfassung Kundendaten; Künftige Vermeidung der Fehler.“ Kontrollinhalt: „Prüfung der Bartransaktionen EUR 15.000,- des vergangenen Monats auf ordnungsgemäße Mittelherkunftsprüfung, Dokumentation gem. Richtlinien.“ Bei monatlichem Kontrollintervall. Festgelegt war, dass bei einem Einzahlungsbetrag von über 15.000,00 Euro zusätzlich zur Einholung von Legitimationsdaten und einer Dokumentation im Programm „alfa“ die Herkunft des Geldes ausreichend dokumentiert werden musste. Ausnahmen, bei denen ein Festhalten der Ausweisdaten nicht erforderlich war, bestanden ua bei Kommerzkonten und der Tageslosung.

Nach dem Arbeitshandbuch der BF (Version vom 31.07.2019) wurden bei Bareinzahlungen urkundliche Herkunftsnachweise zur Mittelherkunft ab einem Betrag von 15.000,00 Euro oder entsprechendem Gegenwert eingeholt. Dies galt auch für Transaktionen, die für sich alleine die Wertgrenze nicht erreichten, jedoch offensichtlich zusammengehörig waren. Nachweise über die Mittelherkunft waren generell risikoorientiert einzuholen, auch unabhängig von den festgesetzten Betragsgrenzen (ON 49 Beilage 1.2 S 18 ff). Folgende Ausnahmen bestanden: „Handelt es sich um typische Tageslosungen, was gegebenenfalls aufgrund des ‚Know-Your-Costumer‘-Prinzips zusammen mit dem Betreuer/Kassier zu evaluieren ist (siehe auch weiter unten) und sind die Einzahlungen diesbezüglich auch in der üblichen Höhe, so kann die Einholung eines Herkunftsnachweises auch bei Beträgen über EUR 15.000,-- unterbleiben.“ (S 18). „Im Gegensatz zu plausiblen derartigen Informationen würden z.B. häufig wechselnde Einzahler oder häufig sehr unterschiedliche Beträge aus Wettbüros, atypischer Gastronomiebetriebe oder dergleichen durchaus das Beibringen von Herkunftsnachweisen erfordern und nicht als unbedenkliche Tageslosung gewertet werden dürfen. Um bei letzteren etwaige Bedenken auszuräumen, sind Herkunftsnachweise vom Kunden zu verlangen (z.B. Tagesabschluss aus der Computerkasse etc.).“ (S 19). „Die Unterlagen sind zu kopieren und gemeinsam mit einer Kopie des Einzahlungsbeleges an die kontoführende Stelle zu übermitteln.“ (S 20). „Sollte der Kunde durch seine langjährige Geschäftsbeziehung bekannt sein und die Angaben glaubwürdig und in Hinblick auf seine Geschäftstätigkeit plausibel sein, können im Einzelfall die Angaben des Kunden auch formlos aufgeschrieben und im Kontoakt abgelegt werden. Beachten Sie aber bei solchen Transaktionen, dass der Kunde das mitunter langjährige Vertrauensverhältnis eventuell ausnutzen könnte“ (S 21).

Die Überwachungsmaßnahmen der BF für Bartransaktionen gliederten sich in folgende Ebenen (ON 48 S 7):

− Automatisierte Pflichtfelder-Validierung bei Durchführung der Transaktion;

− Automatisierte ex-post Überwachung im Rahmen des Indizienmodells;

− Manuelle Kontrollen im Vertrieb;

− Manuelle Kontrollen durch die Abteilung „Geldwäsche“.

Bei Durchführung einer Bartransaktion war ab 15.000,00 Euro das Feld „Mittelherkunft“ als Pflichtfeld definiert und musste dieses ausgefüllt werden, um die Transaktion durchführen zu können. Unter diesem Schwellenwert konnte das Feld befüllt werden und war teils verpflichtend vorzunehmen (ON 48 S 7).

Im Rahmen der automatisierten ex-post Überwachung mittels Indizienmodells mit SMARAGD MDS hatte die BF spezielle Szenarien zum Monitoring von Bartransaktionen auf Kundenebene implementiert. Darunter fielen unter anderem Indizien hinsichtlich Smurfing, auffälligem Barumsatzverhalten bzw. Veränderungen im diesbezüglichen Transaktionsverhalten, hohem Volumen/hoher Anzahl von Barein- bzw. -auszahlungen sowie schneller Bewegungen von Bareinzahlungen ins Ausland (ON 48 S 8).

Monatlich wurden vom Vertrieb manuelle Kontrollen im Rahmen eines „Qualitätsreports“ hinsichtlich Bareinzahlungen zu Gunsten Konten bei Fremdbanken und institutseigenen Konten sowie hinsichtlich Spareinzahlungen und Sparbehebungen durchgeführt (ua Handbuch „Interne Dokumentation Qualitätsreport“, Version 4.0 vom 13.05.2019, sowie Dokument „Bereich FB Qualitätsreport – Übersicht Kontrollmaßnahmen“). Die durchgeführten Kontrollen umfassten im Wesentlichen die Prüfung der Bartransaktionen des vergangenen Monats auf ordnungsgemäße Mittelherkunftsprüfung und auf Einhaltung der Dokumentationserfordernisse gemäß den geltenden Richtlinien (ON 48 S 8; ON 49 Beilage 1.2. Arbeitshandbuch S 18; VHS S 7).

Durch die Abteilung „Geldwäsche“ wurden im Rahmen des Internen Kontrollsystems (IKS) sowie eines Sondermonitorings monatlich manuelle Kontrollen hinsichtlich Bareinzahlungen durchgeführt (Richtlinien „Internes Kontrollsystem RCK“, Version 1.6 vom 05.06.2019, und „Sondermonitoring Geldwäscheprävention“, Version 1.7 vom 04.07.2019 sowie im Dokument „Prävention von Geldwäscherei und Terrorismusfinanzierung: IKS- und Sondermonitoring-Kontrollplan RCK – Abteilung KYC AML“, Stand Juli 2019). Die manuelle Kontrolle im Rahmen des IKS zielte auf die ordnungsgemäße Mittelherkunftsprüfung ab sowie auf die Sicherstellung der Dokumentation gemäß den geltenden Richtlinien für Eigen- und Fremderläge zu Gunsten institutseigener Konten ab 15.000,00 Euro. Im Rahmen der Kontrolle wurden monatlich 10 Stichproben gezogen. Bei einer Grundgesamtheit von rund 1.000 Transaktionen entsprach dies lediglich 1 %. Das Sondermonitoring betraf Bareinzahlungen zu Gunsten Fremdbankkonten ab 1.000,01 Euro. Es wurde auf die ordnungsgemäße Dokumentation gemäß der Richtlinie, insbesondere hinsichtlich Treuhandabfrage, Identifizierung und ggf. Mittelherkunftsnachweis abgezielt. Bei dieser Kontrolle wurden aus rund 3.300 Transaktionen monatlich laut Auskunft in der VOP2 10 Kunden als Stichprobe ausgewählt, von welchen alle durchgeführten Transaktionen überprüft wurden (ON 48 S 8).

Das Arbeitshandbuch der BF enthielt dabei folgende Anweisung: „Zu kontrollieren sind in Stichproben Kontoeröffnungen, Transaktionen und besondere Identifizierungsmethoden nach § 6 Absatz 4 FM-GwG auf die Einhaltung der Sorgfaltspflichten. Im Falle der Auslagerung von Geldwäschesorgfaltspflichten an eine Servicegesellschaft sind angemessene Kontrollen festzulegen und durchzuführen.“ (ON 49 1.2. Arbeitshandbuch S 68).

Im Rahmen des Maßnahmenverfahrens wurde die Stichprobenanzahl erhöht und es wurde dargelegt, dass alle MitarbeiterInnen aus den relevanten Bereichen und Abteilungen Schulungen iZm den Risikofaktoren bei Bargeldgeschäften erhalten hatten (ON 48 S 8).

II.2. Beweiswürdigung:

Der eingangs dargestellte Verfahrensgang ergibt sich unstrittig aus dem Akt der FMA wie auch aus jenem des Bundesverwaltungsgerichtes.

Die Feststellungen sind insgesamt im Wesentlichen unstrittig, wurden in weiten Bereichen bereits durch die FMA getroffen (wenn auch mit dem Verfahrensgang vermischt) und beruhen auf unbedenklichen Beweismitteln, die von der BF sowie der FMA vorgelegt und von den Parteien in der Beschwerdeverhandlung als echt und richtig anerkannt wurden. Da auch das Bundesverwaltungsgericht daran nicht zweifelt, konnten diese den Sachverhaltsfeststellungen zugrunde gelegt werden und wurde – zur eindeutigen Zuordnung, um Redundanzen zu vermeiden und die Zuordnung zu erleichtern – bereits in den Feststellungen auf die jeweilige Quelle verwiesen.

Im Einzelnen beruhen die Feststellungen auf folgenden Erwägungen:

Ad II.1.1. Zur BF

Die Daten zum Unternehmen, wie dessen Börsennotierung, Umsatzerlöse, Marktkapitalisierung etc. wurden bereits von der FMA festgestellt, entsprechen den von der BF in den VOP der FMA wie auch im Verfahren vorgelegten Unterlagen und wurden von der BF in der mündlichen Verhandlung ausdrücklich als unstrittig bezeichnet (VHS S 6).

In Bezug auf die Frage des möglichen Strafrahmens und zur Schätzung des jährlichen Gesamtumsatzes des konsolidierten Abschlusses haben sowohl die FMA wie auch die BF in der Beschwerdeverhandlung betont, dass sich das Unternehmensergebnis der BF nicht entscheidungsrelevant verändert, insbesondere nicht verschlechtert hat (VHS S 27; s. auch (https://www. XXXX ). Die diesbezüglich auf der Website veröffentlichten Daten wurden der BF in der Beschwerdeverhandlung auch vorgehalten, weshalb das Bundesverwaltungsgericht von den von der FMA herangezogenen Daten und Berechnungen des Strafrahmens ausgehen konnte.

Ad. II.1.2. Verantwortliche in der BF

Die Feststellungen zum (Gesamt-)Vorstand, der Aufgabenverteilung sowie zum zuständigen Vorstandsmitglied für Geldwäscheprävention wurden bereits von der FMA getroffen und von der BF in der mündlichen Verhandlung ausdrücklich als unstrittig bezeichnet (VHS S 6).

Die Vorstandsmitglieder im Tatzeitraum ergeben sich aus dem unstrittigen Firmenbuchauszug (Firmenbuchauszug OZ 6) und die Feststellungen zum Bereichsleiter Kommerz als verantwortlichem Beauftragten gemäß § 9 Abs. 2 VStG aus den vorliegenden und unstrittigen Bestellungsurkunden, die seitens der BF der FMA gemäß § 22 Abs. 5 FMABG mitgeteilt wurden. Der Bereichsleiter Kommerz war der einzige Beauftragte nach § 9 Abs. 2 VStG (aller von der FMA herangezogenen Beauftragten), in dessen Verantwortungsbereich laut Bestellungsurkunde und sonstigem Zuständigkeitsbereich die Kommerzkunden und insbesondere die drei verfahrensgegenständlichen Kundinnen als eindeutig große Unternehmen fielen. Er schilderte im Verfahren auch detailliert seine Rolle und Bemühungen in diesem Bereich als Bereichsleiter Kommerzkunden wie auch als verantwortlicher Beauftragter im Rahmen der VOP. Deshalb konnte mit Verweis auf seine Tätigkeit und seinen Verantwortungsbereich sowie die klare Bestellungsurkunde, die der FMA unstrittig auch zuging, davon ausgegangen werden, dass er als verantwortlicher Beauftragter wirksam ab 22.01.2018 bis Tatzeitraumende für die Wahrung der Bestimmung des § 6 Abs. 5 FM-GwG für Kommerzkunden bestellt war (ON 46 S 6; ON 12 Beilagen 1-39 S 147). Dies wurde auch in der Beschwerdeverhandlung bestätigt (VHS S 14).

Mit Verweis auf das Urteil des EuGH 29.01.2026, C-291/24, und die anderen vorliegenden Bestellungsurkunden der strafrechtlich Verantwortlichen der BF, in denen die Einhaltung der verfahrensgegenständlichen Verpflichtungen beispielsweise auf „hinsichtlich des Filialvertriebes“ (ON 6, ON 06a, ON 9), „im Rahmen des eBankings“ (ON 08) oder des „Privatkundenvertriebs“ (ON 05a) eingeschränkt bzw. die Bestimmung des § 6 Abs. 5 FM-GwG eindeutig nicht mit umfasst war, ist auf die weiteren von der FMA in ihrem Straferkenntnis als „Zurechnungspersonen“ genannten Personen nicht weiter einzugehen. Deren Nennung im Straferkenntnis und auch wiederholt im Beschwerdeverfahren (VHS S 23f; OZ 25) erschließt sich dem Bundesverwaltungsgericht nicht. Dass die Zuordnung derartiger Kunden nicht über die Einzahlungen der Tageslosungen durch Mitarbeiter in den einzelnen Filialen definiert wurde und diese damit in den Filialbetrieb fallen könnten, sondern eine gesamthafte Verantwortlichkeit für die Kundinnen der BF stattfand, gebieten bereits die allgemeine Logik wie auch der risikoorientierte Ansatz, den die BF dem Grunde nach wählte.

Ad. II.1.3. Personelle Ressourcen der BF im Zusammenhang mit Geldwäscheprävention

Die BF beantragte in der gegenständlichen Beschwerde die Streichung der hier unter II.1.3. inhaltlich angeführten Feststellungen mit der Begründung, die personellen Ressourcen stünden mit den gegenständlichen Vorwürfen in keinerlei Zusammenhang (Beschwerde S 8). In der Verhandlung wurde die BF darüber befragt, ob sie den Sachverhaltsdarstellungen der FMA auch inhaltlich entgegentrete. Dazu gab die BF an, dass die Sachverhaltsdarstellungen in diesem Zusammenhang missverständlich dargestellt worden seien, die Kennzahlen jedoch stimmten (VHS S 8). Dieselben Kennzahlen wurden von der BF auch in der Stellungnahme vom 15.05.2020 bereits selbst vorgebracht, sind damit unstrittig und konnten festgestellt werden (ON 49 Stellungnahme zum Prüfbericht S 9 ff; ON 10 S 5; ON 48 S 5). Die dargelegten und unstrittigen Kennzahlen gebieten geradezu die weiteren Schlüsse und Feststellungen daraus.

Ad II.1.4. Zur Vorgehensweise der BF bei Risikoeinstufungen

Die Berechnung der Risikoeinstufung von Kunden der BF wurde von dieser sowohl im Rahmen der Beschwerde als auch im Rahmen der Stellungnahme nach der Verhandlung inhaltlich gleich ausgeführt und mit einer Systembeschreibung zu Smaragd CRS belegt (Beschwerde S 10ff; OZ 27). Die FMA gab ausdrücklich an, dass sie nicht bestreite, dass dieses System bei der BF im Tatzeitraum zur Anwendung gekommen ist. Sie sprach sich hierzu gegen die von der BF angewandte Gewichtung der Risikofaktoren aus, nicht aber dagegen, dass die Gewichtung, so wie von der BF vorgebracht wurde, dem Grunde nach stattgefunden hat. Es konnte in Zusammenschau dieser Angaben von der Richtigkeit der angegebenen Risikogruppen ausgegangen und diese festgestellt werden. Hervorzuheben ist jedoch, dass in der ebenfalls im Verfahren vorgelegten Gefährdungsanalyse beispielsweise eine leicht andere Einstufung mit einem breiteren Standard/Normalbereich ausgewiesen wurde.

Zur vor Smaragd verwendeten Software NORKOM gaben die informierten Vertreter der BF in der mündlichen Verhandlung an, dass diese Smaragd in der Systematik sehr ähnlich gewesen sei und die verfahrensrelevanten Kundinnen auch in dieser Software bereits nicht mit hohem Risiko eingestuft gewesen seien (VHS S 14). Daran ergab sich kein Zweifel. Glaubhaft wurde ebenfalls dargelegt, dass sich durch die neue Anwendung von Smaragd deshalb kein neues Rating für Bestandskunden ergab, weil die von der BF gesetzten Parameter nicht geändert wurden (VHS S 14).

Dass es praktisch nicht möglich war, dass Kunden in eine höhere Gesamtrisikoklasse eingestuft wurden, wenn für die Risikodimensionen „Adressland“ und „Staatsbürgerschaft“ jeweils „Österreich“ und damit der Wert „1,00“ in die Risikoberechnungsformel der BF eingesetzt wurde, ergibt sich schon aus der vorgelegten Formel der BF selbst. Die niedrigen Werte lassen das Branchenrisiko nicht wesentlich ins Gewicht fallen bzw. werten dieses maßgeblich um. Auch die informierten Vertreter der BF konnten in der Beschwerdeverhandlung von keiner Konstellation berichten, bei der es trotz doppelter Österreich-Einstufung bei hohem Branchenrisiko zu einer erhöhten Risikoeinstufung kommen würde. Der informierte Vertreter sprach hier von Konstellationen, in denen PEP vorkommen, was jedoch ein untaugliches Beispiel war, weil diese von der BF entsprechend dem Arbeitshandbuch automatisch und ohnehin in die höchste Risikoklasse eingestuft wurden (VHS S 17). Daraus ergibt sich die Feststellung, dass das Branchenrisiko in diesen Berechnungen nicht ausreichend berücksichtigt wurde, sondern vielmehr die Österreichanbindung das Ergebnis der Risikobewertung verfälschte. Eine händische Nachbesserung, die jedenfalls möglich gewesen wäre, fand zudem unstrittig nicht statt. Eine solche hätte im Vier-Augen-Prinzip durch das Geldwäsche-Team mit Genehmigung des GWB vorgenommen werden können (OZ 27 S 4).

Zwar ist den unbestrittenen Dokumenten „Gefährdungsanalyse“ wie auch dem „Arbeitshandbuch“ zu entnehmen, dass in der BF dem Grunde nach das Gefährdungspotential des Glückspielsektors wie auch der Edelmetallbranche bekannt war, ganz offensichtlich und mit Verweis auf die dargelegten Berechnungen des Gesamtrisikos wurden diese von der vollautomatischen Risikoratingsoftware (OZ 27 S 4), deren Parameter die BF unstrittig selbst festgelegt und seit NORKOM nicht verändert hatte (VHS S 14), trotz des erhöhten und von der BF erkannten Branchenrisikos gerade nicht einer erhöhten Risikoklasse (und damit einer erhöhten Wachsamkeit im Rahmen ihrer Sorgfaltspflicht) zugeführt (ON 49, Beilage 2.1. Gefährdungsanalyse S 6). Auch gab das Arbeitshandbuch eine klare Vorgangsweise mit hohen Bargeldbeträgen vor, schwächte dies dann aber aufgrund der langjährigen Geschäftsbeziehung wieder ab, obwohl auch hier die Faktoren „bargeldintensives Unternehmen“ und Glückspiel (konkret: Wettbüro) als risikoerhöhend bezeichnet wurden und auf zusätzliche Gefahren hingewiesen wurde. Als eigener Risikofaktor wurde die Bargeldintensität unstrittig nicht herangezogen.

Ad II.1.5 Zu den verfahrensgegenständlichen Kundinnen

Ohne Zweifel waren die drei Kundinnen selbst in ihren jeweiligen Branchen Beaufsichtigte, wie die BF wiederholt (ua ON 49 Stellungnahme S 3) und zu Recht aufzeigte. Dies ändert jedoch nichts an der Zugehörigkeit zu einer risikoerhöhenden Branche wie auch dem hinzukommenden Umstand, dass regelmäßig besonders hohe Bargeldeinzahlungen erfolgten. Unstrittig erhielt die BF weder von den Beaufsichtigten noch von deren Aufsicht konkrete Unterlagen, die sie in ihre eigene Sorgfaltsprüfung hätte einbeziehen oder die ihre Pflichten hätten mindern können (VHS S 15).

Der BF wird in diesem Zusammenhang auch geglaubt, dass es bis 2020 nie Auffälligkeiten bzw. einen sonstigen Anlass für investigative Recherchetätigkeiten in Bezug auf derartige Bestandskunden gab. Die BF verkennt mit diesem Vorbringen jedoch, dass die Risikoeinstufung keine im Wesentlichen rückblickende Aussage über die Integrität eines Kunden darstellt, sondern sich objektiv mit den abstrakt drohenden Risiken (aus der Branche, der Bargeldintensität etc.) auseinandersetzt, die gegebenenfalls verstärkte Kontroll- und Monitoringmaßnahmen nach sich zu ziehen haben.

Die Sachverhaltsdarstellungen der FMA bezüglich der drei verfahrensgegenständlichen Kundinnen sind ausdrücklich unstrittig und konnten übernommen werden (VHS S 6) bzw. ergeben sich auch aus dem offenen Firmenbuch bzw. dem WiEReG und den von der BF vorgelegten Dokumenten. Insbesondere ist auch unstrittig, um welche Kundinnen es sich handelt, auch wenn die FMA einen Zusatz im Namen der Kundin 1 nicht in das angefochtene Straferkenntnis aufnahm, was vorliegend durch das Bundesverwaltungsgericht zu korrigieren war. Da die BF aber konkret zu dieser Kundin Ausführungen traf, sich verteidigte und sich keinerlei Verwechslungen ergaben, sondern die drei Kundinnen von der BF eindeutig zugeordnet wurden, konnte sie jedenfalls ihre Verteidigungsrechte vollumfassend wahrnehmen. Sie hat auch nichts Gegenteiliges in ihrer Beschwerde vorgebracht.

Unstrittig handelte es sich bei allen Kundinnen auch um Bestandskunden und waren diese bereits vor dem 01.01.2017 in der BF bereits eingestuft, „geratet“ (VHS S 13).

Nicht zu folgen war jedoch dem zu ihren früheren Angaben stark widersprüchlichen und sogar aktenwidrigen Vorbringen der BF zeitlich ab ihrer Beschwerde, wonach die Kundinnen im vorgeworfenen Tatzeitraum in der Risikogruppe „Standard“ eingestuft gewesen seien (Beschwerde S 11 ff; VHS S 14). So erwähnten sowohl die BF als auch die FMA vor Einbringung der Beschwerde in sämtlichen Unterlagen, Beweismitteln und Stellungnahmen stets, dass die Kundinnen in die Risikoklasse „niedrig“ eingestuft waren (ON 48 S 18; ON 49 Stellungnahme S 3ff; ON53 S 17). Dies ergibt sich auch ohne jeden Zweifel aus dem VOP2-PB (ON 49) und insbesondere dessen Beilage 1.3., einem Screenshot aus dem System der BF, der zu keinem Zeitpunkt beanstandet wurde, sondern vielmehr der eigenen Rechtfertigung der BF (ON 49) entspricht. In ihrer Rechtfertigung verwies die BF zudem selbst auf „Beilage 1.3. Anpassung Geldwäsche-Risikoklasse der Stichproben“.

Dieser Screenshot zeigt damit unstrittig die Anpassung der Geldwäscherei-Risikoklasse der drei mittels Stichprobe ermittelten Kundinnen (deren Kundennummern sind zur weiteren Zuordnung den Akten, ohne dass Zweifel aufkommen könnten, zu entnehmen). So standen diese am 31.01.2020 jeweils noch auf einem „Risk_Score“ von lediglich „1“ und wurden am 24.04.2020 auf die Risikostufe „3“ erhöht. Hierzu nahm die BF in ihrer Stellungnahme zum VOP2-PB (ON 49) auch ausführlich Stellung. Die FMA anerkannte dieses Re-Rating und richtete das Ende des Tatzeitraums an dieser neuen und risikoangepassten Einstufung aus. Die BF erklärte die vor der Überprüfung und dem Re-Rating erfolgte Risikoeinstufung „niedrig“ in weiterer Folge damit, dass es sich um langjährige Bestandskunden gehandelt habe, bei denen es keine Auffälligkeiten und keinen sonstigen Anlass für investigative Recherchetätigkeiten geben habe, so hätten keine Transaktionen aus Offshore oder anderen Hochrisikoländern bzw. betraglich auffällige Transaktionen stattgefunden. Die Transaktionen seien vorwiegend im Inlandszahlungsverkehr bzw. im EU-Raum getätigt worden. Compliance Themen als auch Themen rund um den Bereich Corporate Social Responsibility sähen diese Unternehmen als einen wichtigen Aspekt ihrer Geschäftstätigkeit an und sie unterlägen den strengen Überwachungen der jeweiligen Aufsicht bzw. Zertifizierungsstelle. Die regelmäßigen und branchenüblichen hohen Einzahlungen seien als „übliche Tageslosungen“ eingestuft worden, Schwankungen gehörten zum „normalen Geschäftsbetrieb“. Es sei jedoch unverzüglich eine Datenaktualisierung veranlasst und die jeweilige Kundin nunmehr in ein hohes Risiko eingestuft worden (ON 49 S 3ff).

Deshalb war dem späteren Vorbringen der BF in der Beschwerde wie auch in der Beschwerdeverhandlung nicht zu folgen, dass die Kundinnen im Tatzeitraum in „Standard“ eingestuft gewesen seien. Hinzu kommt, dass die diesbezüglich vorgelegten Schriftstücke undatiert sind und damit zeitlich nicht zugeordnet werden können. Ihnen kann damit nicht jene Beweiskraft zukommen, wie den datierten und bereits durch die BF bereits anerkannten Schriftstücken. Mit Verweis auf die obigen Ausführungen und unter Vorhalt der eigenen Ausführungen der BF ist schlicht ausgeschlossen, dass es sich dabei um Auszüge aus dem System der BF im Tatzeitraum mit dem damaligen Rating handelte. Dem widerspricht auch das auf die Kundinnen angewandte Prüfintervall. Damit muss auch das Vorbringen ins Leere gehen, dass – entgegen der angefochtenen Entscheidung – die Branche und die Bargeldintensität sehr wohl beachtet worden seien, vielmehr fand keine solche Prüfung statt.

Aber selbst, wenn man der BF in ihrem Vorbringen in der Beschwerde und der Beschwerdeverhandlung folgte, wäre für sie daraus nichts zu gewinnen, dass das Risiko der drei Kundinnen wie folgt berechnet worden sein soll:

 Kundin 1: Die BF habe bei der Risikoeinstufung der Kundin 1 die Branche ,,Glückspiel Dienstleistungen“ mit dem Risikograd 9,00, somit als stark erhöht, bewertet. Weiter sei das Risiko in geographischer Hinsicht für die Risikodimensionen „Adressland“ sowie die „Staatsangehörigkeit“ jeweils mit dem Risikograd von 1,00 sowie das Produktrisiko mit einem Risikograd von 3,00 bewertet worden. Die Risikoberechnung der BF nach der oben angeführten Berechnungsmethode habe ein Kundenrisiko von 5,67 (damit noch erhöhtes Risiko) und unter Berücksichtigung des Produktrisikos ein Kundengesamtrisiko von 4,49 und damit eine Risikoeinstufung von lediglich ,,Standard“ ergeben (Beschwerde S 11f, Beilage./1 der Beschwerde). Als solche sei die Kundin jedenfalls ab dem 01.01.2017 geführt worden.

 Kundin 2: Die BF habe bei der Risikoeinstufung der Kundin 2 die Branche ,,Erzeugung und erste Bearbeitung von Edelmetallen“ mit dem Risikograd 6,00, somit als erhöht, bewertet. Weiter sei das Risiko in geographischer Hinsicht — die Risikodimensionen „Adressland“ bzw. „Staatsangehörigkeit“ – jeweils mit dem Risikograd von 1,00 sowie das Produktrisiko mit einem Risikograd von 3,00 bewertet worden. Die Risikoberechnung der BF nach der oben angeführten Berechnungsmethode habe in weiterer Folge ein Kundenrisiko von 3,13 und unter Berücksichtigung des Produktrisikos ein Kundengesamtrisiko von 3,07 ergeben. Unter Anwendung der Risikostufen der BF habe die BF sohin für die Kundin 2 eine Risikoeinstufung im unteren ,,Standard“-Bereich errechnet (Beschwerde S 12, Beilage./2 der Beschwerde) und diese als solche jedenfalls ab dem 01.01.2017 geführt.

 Kundin 3: Die BF habe bei der Risikoeinstufung der Kundin 3 die Branche ,,Glückspiel Dienstleistungen“ mit dem Risikograd 9,00, somit als stark erhöht, bewertet. Weiter sei das Risiko in geographischer Hinsicht — die Risikodimensionen „Adressland“ bzw. „Staatsangehörigkeit“ — jeweils mit dem Risikograd von 1,00 sowie das Produktrisiko mit einem Risikograd von 3,00 bewertet worden. Die Risikoberechnung der BF nach der oben angeführten Berechnungsmethode habe ein Kundenrisiko von 5,67 und unter Berücksichtigung des Produktrisikos ein Kundengesamtrisiko von 4,49 ergeben. Unter Anwendung der Risikostufen der BF habe die BF sohin für die Kundin 3 eine Risikoeinstufung von ,,Standard“ errechnet (Beschwerde S 12f, Beilage./3 der Beschwerde) und diese als solche jedenfalls ab dem 01.01.2017 geführt.

Mit dieser Vorlage zeigt die BF lediglich das systematische, grundsätzliche Problem auf. Einerseits nämlich, dass die Kundinnen selbst nach dem eigenen internen Bewertungsprogramm der BF statt in „Standard“ gänzlich verfehlt tatsächlich im Tatzeitraum in „niedrig“ eingestuft waren. Andererseits aber auch, wie nicht risikoangemessen die Parameter in ihrem Programm gesetzt waren, wenn ein Kunde durch den bloßen Österreichbezug trotz der enormen und damit per se risikobehafteten Bargeldbeträge wie auch der per se schon risikobehafteten Branche, die die BF ja selbst bereits zu Beginn des Tatzeitraumes (s. obige Feststellungen aus deren Gefährdungsanalyse und dem Arbeitsbuch) erkannte, im Tatzeitraum lediglich in den Standardbereich eingestuft worden wären. Dadurch wären sie in einen lediglich dreijährigen Prüfungsintervall gefallen und fiel jedes besondere Augenmerk auf diese Kundinnen weg. Ergänzend wurden die schwankenden, hohen Bareinzahlungen als branchenübliche Tageslosungen aus dem normalen Geschäftsbetrieb eingestuft, weshalb hierzu keine Dokumentation oder weiterer Abgleich mit der kundeninternen Dokumentation (Kassa etc.) erfolgte. So konzentrierte die BF sich im Tatzeitraum auf die Frage von PEP und Offshore, durchaus auch Fremdkontenüberweisungen etc. und übersah ganz offensichtlich das Risiko ihrer weiteren Bestandskunden, obwohl sie in ihren internen Dokumenten selbst bereits zu einem frühen Zeitpunkt darauf hinwies. So beließ die BF diese Bestandskunden in der untersten Risikokategorie und damit in einem „anlassbezogenen Prüfintervall“. Sie erkannte aber auch die im Bewertungsprogramm fälschlich gesetzten Parameter nicht und korrigierte die dortige Einstufung nicht händisch.

Den von der BF in ihrer Beschwerde zusätzlich begehrten Feststellungen zur Berechnung der Risikoklassen der gegenständlichen Kundinnen und den dabei verwendeten Risikoeinstufungen (Beschwerde S 11f, Beilage./1 der Beschwerde; Stellungnahme S 3; OZ 27) trat die FMA in der Beschwerdeverhandlung damit zu Recht entgegen, indem sie auf die tatsächliche Einstufung als „niedrig“ und darauf verwies, dass das Smaragd-System als solches in den VOP gar nicht geprüft worden sei. Die Parameter stimmten zudem nicht mit den Parametern zusammen, die bei den einzelnen Kunden ausgeführt worden seien, und es sei nicht ersichtlich, welchen Zeitraum das abdecke bzw. woher diese Berechnungen stammten (VHS S 9f).

Die BF beantragte in ihrer Beschwerde zum Beweisthema, dass es sich bei zwei Kundinnen „selbst um ein staatlich streng überwachtes Unternehmen handelt“ bzw. die Kundin „selbst strengen Regeln und Richtlinien im Rahmen der Edelmetallbeschaffung und -verarbeitung unterliegt“, die Einvernahme einerseits einer „Zeugin“ aus einem Glückspielunternehmen andererseits eines „Zeugen“, der selbst Edelmetallhändler ist. Diese Anträge wurden in der Beschwerdeverhandlung zum Beweisthema, in welchem regulatorischen Umfeld die Kunden sich bewegten, aufrecht gehalten.

Dass die Kundinnen selbst beaufsichtigte Unternehmen waren (und sind) und wie diese beaufsichtigt werden, war zu keinem Zeitpunkt im Verfahren strittig (s. obige Feststellungen, aber auch VHS S 27), weshalb dem Antrag auf Zeugenbefragung bereits nicht zu entsprechen war. Wie oben dargelegt, kann dies die BF jedoch nicht ihrer eigenen Sorgfaltspflichten als Kreditinstitut entheben. Beide beantragten Personen waren zudem weder Angestellte noch Beauftragte der BF (im Übrigen auch nicht ihrer Kundinnen), die Angaben zu den Vorgängen innerhalb der BF und zur Einhaltung deren Sorgfaltspflichten machen könnten (vgl. Kirchbacher, StPO15 § 154 Rz 2, Stand 15.11.2023, rdb.at). Ein Zeuge kann jedoch nur seine Wahrnehmungen schildern; zu sachverständigen Schlussfolgerungen ist ein Zeuge hingegen nicht berufen (VwGH 09.10.2023, Ra 2023/13/0001, Rechtssatz; s. auch VwGH 06.07.2016, Ro 2016/08/0012).

Die Fragen, ob sich ein Umstand als risikoerhöhend auswirkt, eine Risikoklasse angemessen gewählt wurde und angemessene Maßnahmen getroffen wurden, sind Rechtsfragen (vgl. VwGH 25.10.2019, Ra 2019/02/0075) und wären damit auch keinem Sachverständigenbeweis zugänglich. Ein Sachverständiger hat nämlich keine Rechtsfragen zu beantworten und er darf auch nicht in den Bereich der Beweiswürdigung vordringen. Vielmehr hat das erkennende Gericht eine eigene Auseinandersetzung mit der zu beantwortenden Rechtsfrage vorzunehmen (VwGH 25.05.2021, Ra 2021/02/0069; 21.08.2025, Ra 2024/02/0151).

Ad II.1.6. Maßnahmen im Zusammenhang mit Bargeldgeschäften

Die BF beantragte auch hier die Streichung der unter II.1.6. inhaltlich angeführten Feststellungen mit der Begründung, die (Überwachungs-)Maßnahmen im Zusammenhang mit Bargeldgeschäften stünden mit den gegenständlichen Vorwürfen in keinerlei Zusammenhang (Beschwerde S 9). In der Verhandlung wurde die BF darüber befragt, ob sie den Sachverhaltsdarstellungen der FMA inhaltlich entgegentrete. Dazu gab die BF auch hierzu an, dass die Sachverhaltsdarstellungen in diesem Zusammenhang zwar missverständlich dargestellt worden seien, die Kennzahlen jedoch stimmten (VHS S 8).

Dieselben von der FMA beschriebenen Vorgangsweisen finden sich auch im von der BF vorgelegten Arbeitshandbuch (ON 49 Beilage 1.2 S 18 ff). Diese sind damit unstrittig und konnten daher wie auch die Auszüge aus den unbedenklichen, von der BF im Verfahren vorgelegten und in den Feststellungen näher bezeichneten Dokumenten festgestellt werden.

II.3. Rechtliche Beurteilung:

II.3.1. Zur Zuständigkeit des Bundesverwaltungsgerichts

Gemäß § 6 Bundesverwaltungsgerichtsgesetz (BVwGG), BGBl I Nr 10/2013, entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist, was vorliegend gemäß § 22 Abs. 2a Finanzmarktaufsichtsbehördengesetz (FMABG) der Fall ist.

II.3.2. Zu Spruchpunkt A):

II.3.2.1. Anzuwendende Rechtslage:

Unionsrecht

Für die vorliegende Rechtssache von Relevanz ist die Richtlinie (EU) 2015/849 des Europäischen Parlaments und des Rates vom 20. Mai 2015 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung, zur Änderung der Verordnung (EU) Nr. 648/2012 des Europäischen Parlaments und des Rates und zur Aufhebung der Richtlinie 2005/60/EG des Europäischen Parlaments und des Rates und der Richtlinie 2006/70/EG der Kommission (im Folgenden: RL 2015/849).

Deren Erwägungsgründe lauten auszugsweise wie folgt:

„(1) Ströme von illegalem Geld können die Integrität, Stabilität und das Ansehen des Finanzsektors schädigen und eine Bedrohung für den Binnenmarkt der [Europäischen] Union sowie die internationale Entwicklung darstellen. Geldwäsche, die Finanzierung des Terrorismus und organisierte Kriminalität sind nach wie vor bedeutende Probleme, die auf Ebene der Union angegangen werden sollten. Ergänzend zur Weiterentwicklung strafrechtlicher Maßnahmen auf Unionsebene sind zielgerichtete und verhältnismäßige Maßnahmen, die verhindern, dass das Finanzsystem zum Zwecke der Geldwäsche und der Terrorismusfinanzierung genutzt wird, unverzichtbar und können hier zu zusätzlichen Ergebnissen führen.

[…]

(22) Das Risiko der Geldwäsche und Terrorismusfinanzierung ist nicht in allen Fällen gleich hoch. Aus diesem Grund sollte nach einem ganzheitlichen, risikobasierten Ansatz verfahren werden. Dieser stellt nicht die Möglichkeit einer ungebührlich ausufernden Freistellung für Mitgliedstaaten und Verpflichtete dar. Er setzt eine faktengestützte Entscheidungsfindung voraus, die es ermöglicht, gezielter auf die für die Union und die dort tätigen natürlichen und juristischen Personen bestehenden Risiken der Geldwäsche und Terrorismusfinanzierung einzugehen.

(23) Das Bedürfnis der Mitgliedstaaten und der Union, die für sie bestehenden Risiken von Geldwäsche und Terrorismusfinanzierung zu ermitteln, zu verstehen und zu mindern, bildet die Grundlage des risikobasierten Ansatzes. […]

(30) Risiken sind naturgemäß veränderlich, und die Variablen können das potenzielle Risiko für sich genommen oder in Kombination mit anderen erhöhen oder verringern und damit den als angemessen anzusehenden Umfang der Präventivmaßnahmen, zum Beispiel der Sorgfaltspflichten gegenüber Kunden, beeinflussen. Es gibt daher Umstände, unter denen verstärkte Sorgfaltspflichten gelten sollten, und andere, unter denen vereinfachte Sorgfaltspflichten ausreichen können.

(31) Es sollte anerkannt werden, dass in bestimmten Situationen ein erhöhtes Risiko der Geldwäsche oder Terrorismusfinanzierung besteht. Wenngleich die Identität und das Geschäftsprofil sämtlicher Kunden festgestellt werden sollte, gibt es Fälle, in denen eine besonders gründliche Feststellung und Überprüfung der Kundenidentität erforderlich ist.

[…]

(59) Die Bedeutung der Bekämpfung von Geldwäsche und Terrorismusfinanzierung sollte die Mitgliedstaaten veranlassen, im nationalen Recht wirksame, verhältnismäßige und abschreckende verwaltungsrechtliche Sanktionen und Maßnahmen für den Fall vorzusehen, dass die zur Umsetzung dieser Richtlinie erlassenen nationalen Vorschriften nicht eingehalten werden. […] Daher sollte diese Richtlinie verwaltungsrechtliche Sanktionen und Maßnahmen der Mitgliedstaaten zumindest für schwere, wiederholte oder systematische Verstöße gegen die Anforderungen an die Sorgfaltspflichten gegenüber Kunden, die Aufbewahrung von Aufzeichnungen und Belegen, die Meldung von verdächtigen Transaktionen und die internen Kontrollen der Verpflichteten anwenden können, vorsehen. […]“

Art. 5 RL 2015/849 lautet:

„Die Mitgliedstaaten können zur Verhinderung von Geldwäsche und Terrorismusfinanzierung in den Grenzen des Unionsrechts strengere Vorschriften auf dem unter diese Richtlinie fallenden Gebiet erlassen oder beibehalten.“

Art. 8 RL 2015/849 lautet:

„(1) Die Mitgliedstaaten sorgen dafür, dass die Verpflichteten angemessene Schritte unternehmen, um die für sie bestehenden Risiken der Geldwäsche und Terrorismusfinanzierung unter Berücksichtigung von Risikofaktoren, einschließlich in Bezug auf ihre Kunden, Länder oder geografische Gebiete, Produkte, Dienstleistungen, Transaktionen oder Vertriebskanäle zu ermitteln und zu bewerten. Diese Schritte stehen in einem angemessenen Verhältnis zu Art und Größe der Verpflichteten.

(2) Die in Absatz 1 genannten Risikobewertungen werden aufgezeichnet, auf aktuellem Stand gehalten und den jeweiligen zuständigen Behörden und den betroffenen Selbstverwaltungseinrichtungen zur Verfügung gestellt. Die zuständigen Behörden können beschließen, dass einzelne aufgezeichnete Risikobewertungen nicht erforderlich sind, wenn die in dem Sektor bestehenden konkreten Risiken klar erkennbar sind und sie verstanden werden.

(3) Die Mitgliedstaaten sorgen dafür, dass die Verpflichteten über Strategien, Kontrollen und Verfahren zur wirksamen Minderung und Steuerung der auf Unionsebene, auf mitgliedstaatlicher Ebene und bei sich selbst ermittelten Risiken von Geldwäsche und Terrorismusfinanzierung verfügen. Die Strategien, Kontrollen und Verfahren stehen in einem angemessenen Verhältnis zu Art und Größe dieser Verpflichteten.

(4) Die in Absatz 3 genannten Strategien, Kontrollen und Verfahren umfassen

a) die Ausarbeitung interner Grundsätze, Kontrollen und Verfahren, unter anderem in Bezug auf eine vorbildliche Risikomanagementpraxis, Sorgfaltspflichten gegenüber Kunden, Verdachtsmeldungen, Aufbewahrung von Unterlagen, interne Kontrolle, Einhaltung der einschlägigen Vorschriften einschließlich der Benennung eines für die Einhaltung der einschlägigen Vorschriften zuständigen Beauftragten auf Leitungsebene, wenn dies angesichts des Umfangs und der Art der Geschäftstätigkeit angemessen ist und Mitarbeiterüberprüfung;

b) eine unabhängige Prüfung, die die unter Buchstabe a genannten internen Strategien, Kontrollen und Verfahren testet, sollte dies mit Blick auf Art und Umfang der Geschäftstätigkeit angemessen sein.

(5) Die Mitgliedstaaten schreiben den Verpflichteten vor, bei ihrer Führungsebene eine Genehmigung für die von ihnen eingerichteten Strategien und Verfahren einzuholen, und die getroffenen Maßnahmen bei Bedarf zu überwachen und zu verbessern.“

Art. 13 RL 2015/849 lautet:

„(1) Die Sorgfaltspflichten gegenüber Kunden umfassen:

a) Feststellung der Identität des Kunden und Überprüfung der Kundenidentität auf der Grundlage von Dokumenten, Daten oder Informationen, die von einer glaubwürdigen und unabhängigen Quelle stammen;

b) Feststellung der Identität des wirtschaftlichen Eigentümers und Ergreifung angemessener Maßnahmen zur Überprüfung seiner Identität, so dass die Verpflichteten davon überzeugt sind zu wissen, wer der wirtschaftliche Eigentümer ist; im Falle von juristischen Personen, Trusts, Gesellschaften, Stiftungen und ähnlichen Rechtsvereinbarungen schließt dies ein, dass angemessene Maßnahmen ergriffen werden, um die Eigentums- und Kontrollstruktur des Kunden zu verstehen;

c) Bewertung und gegebenenfalls Einholung von Informationen über den Zweck und die angestrebte Art der Geschäftsbeziehung;

d) kontinuierliche Überwachung der Geschäftsbeziehung, einschließlich einer Überprüfung der im Verlauf der Geschäftsbeziehung ausgeführten Transaktionen, um sicherzustellen, dass diese mit den Kenntnissen der Verpflichteten über den Kunden, seine Geschäftstätigkeit und sein Risikoprofil, einschließlich erforderlichenfalls der Herkunft der Mittel, übereinstimmen, und Gewährleistung, dass die betreffenden Dokumente, Daten oder Informationen auf aktuellem Stand gehalten werden.

Bei Durchführung der unter Unterabsatz 1 Buchstaben a und b genannten Maßnahmen müssen sich die Verpflichteten zudem vergewissern, dass jede Person, die vorgibt, im Namen des Kunden zu handeln, dazu berechtigt ist, und die Identität dieser Person feststellen und überprüfen.

(2) Die Mitgliedstaaten sorgen dafür, dass die Verpflichteten alle in Absatz 1 genannten Sorgfaltspflichten gegenüber Kunden erfüllen. Die Verpflichteten können den Umfang dieser Sorgfaltspflichten jedoch auf risikoorientierter Grundlage bestimmen.

(3) Die Mitgliedstaaten schreiben vor, dass die Verpflichteten bei der Bewertung der Risiken von Geldwäsche und Terrorismusfinanzierung zumindest die in Anhang I aufgeführten Variablen berücksichtigen.

(4) Die Mitgliedstaaten sorgen dafür, dass die Verpflichteten gegenüber zuständigen Behörden oder Selbstverwaltungseinrichtungen nachweisen können, dass die Maßnahmen angesichts der ermittelten Risiken von Geldwäsche und Terrorismusfinanzierung angemessen sind.“

Art. 18 Abs. 3 RL 2015/849 sieht vor:

„(3) Wenn Mitgliedstaaten und Verpflichtete die Risiken von Geldwäsche und Terrorismusfinanzierung bewerten, berücksichtigen sie zumindest die in Anhang III dargelegten Faktoren für ein potenziell höheres Risiko.“

Art. 58 Abs. 1 RL 2015/849 sieht vor:

„(1) Die Mitgliedstaaten stellen sicher, dass die Verpflichteten für Verstöße gegen die nationalen Vorschriften zur Umsetzung dieser Richtlinie gemäß diesem Artikel und den Artikeln 59 bis 61 verantwortlich gemacht werden können. Jede sich daraus ergebende Sanktion oder Maßnahme muss wirksam, verhältnismäßig und abschreckend sein.“

Art. 59 RL 2015/849 bestimmt auszugsweise:

„(1) Die Mitgliedstaaten tragen dafür Sorge, dass dieser Artikel zumindest für die Verstöße gegen die in folgenden Artikeln festgelegten Anforderungen durch die Verpflichteten gilt, wenn es sich um schwerwiegende, wiederholte oder systematische Verstöße oder eine Kombination davon handelt:

a) Artikel 10 bis 24 (Sorgfaltspflicht gegenüber Kunden), […]

(2) Die Mitgliedstaaten sorgen dafür, dass in den in Absatz 1 genannten Fällen die verwaltungsrechtlichen Sanktionen und Maßnahmen, die verhängt werden können, mindestens Folgendes umfassen:

a) die öffentliche Bekanntgabe der natürlichen oder juristischen Person und der Art des Verstoßes;

b) eine Anordnung, nach der die natürliche oder juristische Person ihre Verhaltensweise einzustellen und von einer Wiederholung abzusehen hat;

c) bei Verpflichteten, die einer Zulassungspflicht unterliegen, Entzug oder Aussetzung der Zulassung;

d) vorübergehendes Verbot für jede für den Verstoß verantwortlich gemachte Person, die Leitungsaufgaben bei einem Verpflichteten wahrnimmt, oder jede andere für den Verstoß verantwortlich gemachte natürliche Person, bei Verpflichteten Leitungsaufgaben wahrzunehmen;

e) maximale Geldbußen in mindestens zweifacher Höhe der infolge des Verstoßes erzielten Gewinne, soweit sich diese beziffern lassen, oder von mindestens 1 000 000 EUR.

(3) Abweichend von Absatz 2 Buchstabe e stellen die Mitgliedstaaten sicher, dass für Verpflichtete, die ein Kreditinstitut oder Finanzinstitut sind, folgende Sanktionen ebenfalls zur Anwendung kommen können:

a) im Falle einer juristischen Person maximale Geldbußen von mindestens 5 000 000 EUR oder 10% des jährlichen Gesamtumsatzes gemäß dem letzten verfügbaren vom Leitungsorgan gebilligten Abschluss; wenn es sich bei dem Verpflichteten um eine Muttergesellschaft oder die Tochtergesellschaft einer Muttergesellschaft handelt, die einen konsolidierten Abschluss nach Artikel 22 der Richtlinie 2013/34/EU aufzustellen hat, so ist der relevante jährliche Gesamtumsatz der jährliche Gesamtumsatz oder die entsprechende Einkunftsart gemäß den einschlägigen Rechnungslegungsrichtlinien, der bzw. die im letzten verfügbaren konsolidierten Abschluss ausgewiesen ist, der vom Leitungsorgan der Muttergesellschaft an der Spitze gebilligt wurde; […]“

Art. 60 Abs. 4 bis 6 der RL 2015/849 lautet wie folgt:

„(4) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden bei der Festsetzung von Art und Ausmaß der verwaltungsrechtlichen Sanktionen oder Maßnahmen alle maßgeblichen Umstände berücksichtigen, darunter gegebenenfalls

a) die Schwere und Dauer des Verstoßes,

b) den Verschuldensgrad der verantwortlich gemachten natürlichen oder juristischen Person,

c) die Finanzkraft der verantwortlich gemachten natürlichen oder juristischen Person, wie sie sich beispielsweise aus dem Gesamtumsatz der verantwortlich gemachten juristischen Person oder den Jahreseinkünften der verantwortlich gemachten natürlichen Person ablesen lässt,

d) die von der verantwortlich gemachten natürlichen oder juristischen Person durch den Verstoß erzielten Gewinne, sofern sich diese beziffern lassen,

e) die Verluste, die Dritten durch den Verstoß entstanden sind, sofern sich diese beziffern lassen,

f) der Bereitwilligkeit der verantwortlich gemachten natürlichen oder juristischen Person, mit der zuständigen Behörde zusammenzuarbeiten,

g) frühere Verstöße der verantwortlich gemachten natürlichen oder juristischen Person.

5) Die Mitgliedstaaten stellen sicher, dass eine juristische Person für Verstöße im Sinne des Artikels 59 Absatz 1 verantwortlich gemacht werden kann, die zu ihren Gunsten von einer Person begangen wurden, die allein oder als Teil eines Organs der juristischen Person gehandelt hat und die aufgrund einer der folgenden Befugnisse eine Führungsposition innerhalb der juristischen Person innehat:

a) Befugnis zur Vertretung der juristischen Person,

b) Befugnis, Entscheidungen im Namen der juristischen Person zu treffen, oder

c) Kontrollbefugnis innerhalb der juristischen Person.

(6) Die Mitgliedstaaten stellen ferner sicher, dass eine juristische Person verantwortlich gemacht werden kann, wenn mangelnde Überwachung oder Kontrolle durch eine in Absatz 5 dieses Artikels genannte Person das Begehen eines der in Artikel 59 Absatz 1 genannten Verstöße zugunsten der juristischen Person durch eine ihr unterstellte Person ermöglicht hat.“

Seither wurden die einschlägigen Bestimmungen weiter verschärft und konkretisiert; vgl. Richtlinie (EU) 2024/1640 des Europäischen Parlaments und des Rates vom 31. Mai 2024.

Nationales Recht

Umgesetzt wurden diese Bestimmungen insbesondere im Finanzmarkt-Geldwäschegesetz (FM-GwG).

§ 6 FM-GwG, BGBl. I Nr. 118/2016, in Kraft vom 01.01.2017 bis zum 09.01.2020, lautete:

„§ 6. (1) Die Sorgfaltspflichten gegenüber Kunden umfassen:

1. Feststellung der Identität des Kunden und Überprüfung der Identität auf der Grundlage von Dokumenten, Daten oder Informationen, die von einer glaubwürdigen und unabhängigen Quelle stammen;

2. Feststellung der Identität des wirtschaftlichen Eigentümers und Ergreifung angemessener Maßnahmen zur Überprüfung seiner Identität, so dass die Verpflichteten davon überzeugt sind zu wissen, wer der wirtschaftliche Eigentümer ist; im Falle von juristischen Personen, Trusts, Gesellschaften, Stiftungen und ähnlichen Rechtsvereinbarungen schließt dies ein, dass angemessene Maßnahmen ergriffen werden, um die Eigentums- und Kontrollstruktur des Kunden zu verstehen;

3. Bewertung und Einholung von Informationen über den Zweck und die angestrebte Art der Geschäftsbeziehung;

4. Einholung und Überprüfung von Informationen über die Herkunft der eingesetzten Mittel; solche Informationen können unter anderem die Berufs- bzw. Geschäftstätigkeit, das Einkommen bzw. das Geschäftsergebnis oder die allgemeinen Vermögensverhältnisse des Kunden und seiner wirtschaftlichen Eigentümer umfassen;

5. Feststellung und Überprüfung der Identität des Treugebers und des Treuhänders gemäß Abs. 3;

6. kontinuierliche Überwachung der Geschäftsbeziehung, einschließlich einer Überprüfung der im Verlauf der Geschäftsbeziehung ausgeführten Transaktionen, um sicherzustellen, dass diese mit den Kenntnissen der Verpflichteten über den Kunden, seine Geschäftstätigkeit und sein Risikoprofil, einschließlich erforderlichenfalls der Herkunft der Mittel, übereinstimmen;

7. regelmäßige Überprüfung des Vorhandenseins sämtlicher aufgrund dieses Bundesgesetzes erforderlichen Informationen, Daten und Dokumente sowie Aktualisierung dieser Informationen, Daten und Dokumente.

Die Identität jeder Person, die angibt im Namen des Kunden handeln zu wollen (vertretungsbefugte natürliche Person), ist gemäß Z 1 festzustellen und zu überprüfen. Die Vertretungsbefugnis ist auf geeignete Art und Weise zu überprüfen. Der Kunde hat Änderungen der Vertretungsbefugnis während aufrechter Geschäftsbeziehung von sich aus unverzüglich bekannt zu geben.

(2) Die Überprüfung der Identität gemäß Abs. 1 Z 1 hat bei

1. einer natürlichen Person durch die persönliche Vorlage eines amtlichen Lichtbildausweises zu erfolgen. Als amtlicher Lichtbildausweis in diesem Sinn gelten von einer staatlichen Behörde ausgestellte Dokumente, die mit einem nicht austauschbaren erkennbaren Kopfbild der betreffenden Person versehen sind, und den Namen, das Geburtsdatum und die Unterschrift der Person sowie die ausstellende Behörde enthalten; bei Reisedokumenten von Fremden muss die Unterschrift und das vollständige Geburtsdatum dann nicht im Reisedokument enthalten sein, wenn dies dem Recht des ausstellenden Staates entspricht. Von den Kriterien des amtlichen Lichtbildausweises können einzelne Kriterien entfallen, wenn auf Grund des technischen Fortschritts andere gleichwertige Kriterien eingeführt werden, wie beispielsweise biometrische Daten, die den entfallenen Kriterien in ihrer Legitimationswirkung zumindest gleichwertig sind. Das Kriterium der Ausstellung durch eine staatliche Behörde muss jedoch immer gegeben sein;

2. einer juristischen Person anhand von beweiskräftigen Urkunden zu erfolgen, die gemäß dem am Sitz der juristischen Personen landesüblichen Rechtsstandard verfügbar sind. Jedenfalls zu überprüfen sind der aufrechte Bestand, der Name, die Rechtsform, die Vertretungsbefugnis und der Sitz der juristischen Person.

(3) Die Verpflichteten haben den Kunden aufzufordern, Folgendes bekannt zu geben:

1. ob er die Geschäftsbeziehung (§ 5 Abs. 1 Z 1) oder die gelegentliche Transaktion (§ 5 Abs. 1 Z 2) auf eigene oder fremde Rechnung bzw. im fremden Auftrag betreiben will und

2. die Identität seines oder seiner wirtschaftlichen Eigentümer.

Der Kunde hat der Aufforderung zu entsprechen und diesbezügliche Änderungen während aufrechter Geschäftsbeziehung von sich aus unverzüglich bekannt zu geben. Gibt der Kunde bekannt, dass er auf fremde Rechnung bzw. im fremden Auftrag handeln will (Z 1), so hat er dem Verpflichten auch die Identität des Treugebers nachzuweisen und die Verpflichteten haben die Identität des Treugebers festzustellen und zu überprüfen. Die Identität des Treuhänders ist gemäß Abs. 2 Z 1 und zwar ausschließlich bei physischer Anwesenheit des Treuhänders festzustellen. Eine Identifizierung des Treuhänders durch Dritte ist ebenfalls ausgeschlossen. Die Feststellung und Überprüfung der Identität des Treugebers hat bei natürlichen Personen durch Vorlage des Originals oder einer Kopie des amtlichen Lichtbildausweises (Abs. 2 Z 1) des Treugebers zu erfolgen, bei juristischen Personen durch beweiskräftige Urkunden (Abs. 2 Z 2). Der Treuhänder hat weiters eine schriftliche Erklärung gegenüber dem Verpflichteten abzugeben, dass er sich persönlich oder durch verlässliche Gewährspersonen von der Identität des Treugebers überzeugt hat. Verlässliche Gewährspersonen in diesem Sinn sind Gerichte und sonstige staatliche Behörden, Notare, Rechtsanwälte und Dritte im Sinne § 13.

(4) Die persönliche Vorlage des amtlichen Lichtbildausweises im Sinne Abs. 2 kann bei Geschäftsbeziehungen oder Transaktionen ohne persönliche Kontakte durch Sicherungsmaßnahmen ersetzt werden. Den Verpflichteten müssen jedenfalls Name, Geburtsdatum und Adresse des Kunden, bei juristischen Personen die Firma und der Sitz bekannt sein. Als Sicherungsmaßnahmen sind zulässig:

1. die Vorlage des amtlichen Lichtbildausweises im Rahmen eines videogestützten elektronischen Verfahrens (Online-Identifikation),

2. ein gesetzlich vorgesehenes Verfahren, das gesichert dieselbe Information wie mit der Vorlage eines amtlichen Lichtbildausweises zur Verfügung stellt (elektronischer Ausweis),

3. die Abgabe der rechtsgeschäftlichen Erklärung des Kunden in Form einer qualifizierten elektronischen Signatur gemäß Art. 3 Z 12 der Verordnung (EU) Nr. 910/2014 oder die Zustellung der rechtsgeschäftlichen Erklärung des Verpflichteten mit eingeschriebener Postzustellung an diejenige Kundenadresse, die als Wohnsitz oder Sitz des Kunden angegeben worden ist, wenn zusätzlich

a) bei juristischen Personen der Sitz zugleich der Sitz der zentralen Verwaltung ist, worüber der Kunde eine schriftliche Erklärung abzugeben hat,

b) eine Kopie des amtlichen Lichtbildausweises des Kunden oder seines gesetzlichen Vertreters oder bei juristischen Personen des vertretungsbefugten Organs dem Verpflichteten vor dem Zeitpunkt des Vertragsabschlusses vorliegt, sofern nicht das Rechtsgeschäft elektronisch an Hand einer qualifizierten elektronischen Signatur abgeschlossen wird und

c) bei Kunden mit Sitz oder Wohnsitz in einem Drittland, eine schriftliche Bestätigung eines anderen Kreditinstitutes, mit dem der Kunde eine dauernde Geschäftsverbindung hat, vorliegt, dass die Identität des Kunde im Sinne dieses Bundesgesetzes festgestellt und überprüft wurde und dass die dauernde Geschäftsverbindung aufrecht ist. Hat das bestätigende Kreditinstitut seinen Sitz in einem Drittland, so muss dieses Drittland die Anforderungen gemäß § 13 Abs. 4 erfüllen. An Stelle einer Identifizierung und Bestätigung durch ein Kreditinstitut ist auch eine Identifizierung und schriftliche Bestätigung durch die österreichische Vertretungsbehörde im betreffenden Drittland oder einer anerkannten Beglaubigungsstelle zulässig,

oder

4. die erste Zahlung im Rahmen der Transaktionen über ein Konto abgewickelt wird, das im Namen des Kunden bei einem Kreditinstitut im Sinne des § 13 eröffnet wurde und ihnen Kopien von Dokumenten des Kunden vorliegen, aufgrund derer die Angaben des Kunden bzw. seiner vertretungsbefugten natürlichen Person glaubhaft nachvollzogen werden können. Anstelle dieser Kopien ist es ausreichend, wenn eine schriftliche Bestätigung des Kreditinstitutes vorliegt, über das die erste Zahlung abgewickelt werden soll, dass die Identität des Kunden im Sinne dieses Bundesgesetzes oder der Richtlinie (EU) 2015/849 festgestellt und überprüft wurde.

Die FMA hat mit Zustimmung des Bundesministers für Finanzen mit Verordnung festzulegen, welche Maßnahmen bei der Online-Identifikation zum Ausgleich des erhöhten Risikos erforderlich sind und dabei insbesondere Anforderungen an die Datensicherheit, Fälschungssicherheit und an jene Personen, die die Online-Identifikation durchführen festzulegen.

(5) Die Verpflichteten können den Umfang der in Abs. 1 bis 3 genannten Sorgfaltspflichten auf risikoorientierter Grundlage bestimmen. Bei der Bewertung der Risiken von Geldwäscherei und Terrorismusfinanzierung sind zumindest die in Anlage I aufgeführten Variablen zu berücksichtigen. Als Ergebnis dieser Bewertung ist jeder Kunde in eine Risikoklasse einzustufen. Die Verpflichteten müssen der FMA gegenüber nachweisen können, dass die von ihnen getroffenen Maßnahmen angesichts der ermittelten Risiken von Geldwäscherei und Terrorismusfinanzierung angemessen sind.“

Diese Bestimmung wurde seither in Umsetzung des Unionsrechts weiter konkretisiert. Der vorliegend primär relevante § 6 Abs. 5 FM-GwG fand dabei jedoch keine Veränderung, s. dessen identen Wortlaut in BGBl. I Nr. 151/2024:

„(5) Die Verpflichteten können den Umfang der in Abs. 1 bis 3 genannten Sorgfaltspflichten auf risikoorientierter Grundlage bestimmen. Bei der Bewertung der Risiken von Geldwäscherei und Terrorismusfinanzierung sind zumindest die in Anlage I aufgeführten Variablen zu berücksichtigen. Als Ergebnis dieser Bewertung ist jeder Kunde in eine Risikoklasse einzustufen. Die Verpflichteten müssen der FMA gegenüber nachweisen können, dass die von ihnen getroffenen Maßnahmen angesichts der ermittelten Risiken von Geldwäscherei und Terrorismusfinanzierung angemessen sind.“

§ 9 Abs. 1. FM-GwG, BGBl. I Nr. 118/2016 in Kraft vom 01.01.2017 bis zum 09.01.2020, lautete:

„§ 9. (1) In den in § 10 bis § 12 genannten Fällen, bei natürlichen oder juristischen Personen, die in Drittländern mit hohem Risiko niedergelassen sind und wenn ein Verpflichteter aufgrund seiner Risikoanalyse (§ 4) oder auf andere Weise feststellt, dass ein erhöhtes Risiko der Geldwäscherei oder Terrorismusfinanzierung besteht, hat er verstärkte Sorgfaltspflichten gegenüber Kunden anzuwenden, um diese Risiken angemessen zu beherrschen und zu mindern. Hierbei sind die Risiken von Geldwäscherei und Terrorismusfinanzierung für bestimmte Arten von Kunden, geografische Gebiete und für bestimmte Produkte, Dienstleistungen, Transaktionen oder Vertriebskanäle zu bewerten und zumindest die in Anlage III dargelegten Faktoren für ein potenziell erhöhtes Risiko zu berücksichtigen.“

§ 9 Abs. 1 FM-GwG, BGBl. I Nr. 62/2019 in Kraft seit 10.01.2020, lautete:

„§ 9. (1) In den in § 9a bis § 12 genannten Fällen, sowie wenn ein Verpflichteter aufgrund seiner Risikoanalyse (§ 4) oder auf andere Weise feststellt, dass ein erhöhtes Risiko der Geldwäscherei oder Terrorismusfinanzierung besteht, hat er verstärkte Sorgfaltspflichten gegenüber Kunden zur angemessenen Steuerung und Minderung dieser Risiken anzuwenden. Hierbei sind die Risiken von Geldwäscherei und Terrorismusfinanzierung für bestimmte Arten von Kunden, geografische Gebiete und für bestimmte Produkte, Dienstleistungen, Transaktionen oder Vertriebskanäle zu bewerten und zumindest die in Anlage III dargelegten Faktoren für ein potenziell erhöhtes Risiko zu berücksichtigen.“

§ 35 Abs. 1 bis 3 FM-GwG, BGBl. I Nr. 118/2016, in Kraft vom 01.01.2017 bis 02.01.2018 (für die Rechtssache unverändert auch mit BGBl. I Nr. 107/2017 in Kraft vom 03.01.2018 bis 31.05.2018 und mit BGBl. Nr. 17/2018 in Kraft vom 01.06.2018 bis 13.12.2024) lautete:

„(1) Die FMA kann Geldstrafen gegen juristische Personen verhängen, wenn eine Pflichtverletzung gemäß § 34 Abs. 1 bis 3 zu ihren Gunsten von einer Person begangen wurde, die allein oder als Teil eines Organs der juristischen Person gehandelt hat und die aufgrund einer der folgenden Befugnisse eine Führungsposition innerhalb der juristischen Person innehat:

1. Befugnis zur Vertretung der juristischen Person,

2. Befugnis, Entscheidungen im Namen der juristischen Person zu treffen oder

3. Kontrollbefugnis innerhalb der juristischen Person.

(2) Juristische Personen können wegen Pflichtverletzungen gemäß § 34 Abs. 1 bis 3 auch dann verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch eine in Abs. 1 genannte Person die Begehung einer in § 34 Abs. 1 bis 3 genannten Pflichtverletzungen zugunsten der juristischen Person durch eine für sie tätige Person ermöglicht hat.

(3) Die Geldstrafe gemäß Abs. 1 und 2 beträgt bei Pflichtverletzungen gemäß § 34 Abs. 1 bis zu 150 000 Euro und bei Pflichtverletzungen gemäß § 34 Abs. 2 und 3 bis zu 5 000 000 Euro oder 10 vH des jährlichen Gesamtumsatzes. Der jährliche Gesamtumsatz bestimmt sich nach den jährlichen Umsatzerlösen aus dem letzten festgestellten Jahresabschluss. Wenn es sich bei dem Verpflichteten um ein Kreditinstitut, ein E-Geld-Institut gemäß § 3 Abs. 2 und § 9 Abs. 1 E-Geldgesetz 2010, das ein CRR-Finanzinstitut gemäß Art. 4 Abs. 1 Nr. 26 der Verordnung (EU) Nr. 575/2013 ist, ein Zahlungsinstitut gemäß § 3 Z 4 ZaDiG, das ein CRR-Finanzinstitut gemäß Art. 4 Abs. 1 Nr. 26 der Verordnung (EU) Nr. 575/2013 ist, einen AIFM gemäß § 2 Abs. 1 Z 2 AIFMG oder eine Wertpapierfirma gemäß § 1 Z 1 WAG 2007 handelt, ist der jährliche Gesamtumsatz die Summe der in Z 1 bis 7 der Anlage 2 zu § 43 BWG angeführten Erträge abzüglich der dort angeführten Aufwendungen. Wenn es sich bei dem Verpflichteten um ein Versicherungsunternehmen gemäß § 5 Z 1 VAG 2016 oder um ein kleines Versicherungsunternehmen gemäß § 5 Z 3 VAG 2016 handelt, ist der jährliche Gesamtumsatz die Summe der in § 146 Abs. 4 Z 1 bis 8 und 10 bis 11 VAG 2016 angeführten Erträge abzüglich der dort angeführten Aufwendungen. Wenn es sich bei dem Verpflichteten um eine Muttergesellschaft oder die Tochtergesellschaft einer Muttergesellschaft handelt, die einen konsolidierten Abschluss nach Art. 22 der Richtlinie 2013/34/EU aufzustellen hat, so bestimmt sich der jährliche Gesamtumsatz nach den jährlichen Umsatzerlösen oder der entsprechenden Einkunftsart gemäß den einschlägigen Rechnungslegungsrichtlinien, die im letzten verfügbaren festgestellten konsolidierten Abschluss ausgewiesen sind. Soweit die FMA die Grundlagen für den Gesamtumsatz nicht ermitteln oder berechnen kann, hat sie diese zu schätzen. Dabei sind alle Umstände zu berücksichtigen, die für die Schätzung von Bedeutung sind.“

§ 35 Abs. 1 bis 3 FM-GwG, BGBl. I Nr. 151/2024, in Kraft seit 14.12.2024, lautet:

„(1) Die FMA kann Geldstrafen gegen juristische Personen verhängen, wenn eine Pflichtverletzung gemäß § 34 Abs. 1, 2 und4 zu ihren Gunsten von einer Person begangen wurde, die allein oder als Teil eines Organs der juristischen Person gehandelt hat und die – wenngleich ihr nicht die Funktion eines Verantwortlichen gemäß § 9 VStG zukommen muss – aufgrund einer der folgenden Befugnisse eine Führungsposition innerhalb der juristischen Person innehat:

1. Befugnis zur Vertretung der juristischen Person,

2. Befugnis, Entscheidungen im Namen der juristischen Person zu treffen oder

3 Kontrollbefugnis innerhalb der juristischen Person.

(2) Juristische Personen können wegen Pflichtverletzungen gemäß § 34 Abs. 1, 2 und 4 auch dann verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch eine in Abs. 1 genannte Person die Begehung einer in § 34 Abs. 1, 2 und 4 genannten Pflichtverletzungen zugunsten der juristischen Person durch eine für sie tätige Person ermöglicht hat.

(3) Die Geldstrafe gemäß Abs. 1 und 2 beträgt bei Pflichtverletzungen gemäß § 34 Abs. 1 bis zu 150 000 Euro und bei Pflichtverletzungen gemäß § 34 Abs. 2 und 3 bis zu 5 000 000 Euro oder 10 vH des jährlichen Gesamtumsatzes. Der jährliche Gesamtumsatz bestimmt sich nach den jährlichen Umsatzerlösen aus dem letzten festgestellten Jahresabschluss. Wenn es sich bei dem Verpflichteten um ein Kreditinstitut, ein E-Geld-Institut gemäß § 3 Abs. 2 und § 9 Abs. 1 E-Geldgesetz 2010, das ein CRR-Finanzinstitut gemäß Art. 4 Abs. 1 Nr. 26 der Verordnung (EU) Nr. 575/2013 ist, ein Zahlungsinstitut gemäß § 4 Z 4 ZaDiG 2018, das ein CRR-Finanzinstitut gemäß Art. 4 Abs. 1 Nr. 26 der Verordnung (EU) Nr. 575/2013 ist, einen AIFM gemäß § 2 Abs. 1 Z 2 AIFMG oder eine Wertpapierfirma gemäß § 1 Z 1 WAG 2018 handelt, ist der jährliche Gesamtumsatz die Summe der in Z 1 bis 7 der Anlage 2 zu § 43 BWG angeführten Erträge abzüglich der dort angeführten Aufwendungen. Wenn es sich bei dem Verpflichteten um ein Versicherungsunternehmen gemäß § 5 Z 1 VAG 2016 oder um ein kleines Versicherungsunternehmen gemäß § 5 Z 3 VAG 2016 handelt, ist der jährliche Gesamtumsatz die Summe der in § 146 Abs. 4 Z 1 bis 8 und 10 bis 11 VAG 2016 angeführten Erträge abzüglich der dort angeführten Aufwendungen. Wenn es sich bei dem Verpflichteten um eine Muttergesellschaft oder die Tochtergesellschaft einer Muttergesellschaft handelt, die einen konsolidierten Abschluss nach Art. 22 der Richtlinie 2013/34/EU aufzustellen hat, so bestimmt sich der jährliche Gesamtumsatz nach den jährlichen Umsatzerlösen oder der entsprechenden Einkunftsart gemäß den einschlägigen Rechnungslegungsrichtlinien, die im letzten verfügbaren festgestellten konsolidierten Abschluss ausgewiesen sind. Soweit die FMA die Grundlagen für den Gesamtumsatz nicht ermitteln oder berechnen kann, hat sie diese zu schätzen. Dabei sind alle Umstände zu berücksichtigen, die für die Schätzung von Bedeutung sind.“

§ 34 Abs. 1 FM-GwG, BGBl. I Nr. 118/2016, lautete im gesamten Tatzeitraum (dies entspricht im Wesentlichen der aktuellen Fassung BGBl. I Nr. 151/2024):

„(1) Wer als Verantwortlicher (§ 9 VStG) eines Verpflichteten, die Pflichten gemäß […]

2. § 5 bis § 12 (Sorgfaltspflichten gegenüber Kunden) und der aufgrund von § 6 Abs. 4, § 8 Abs. 5 und § 9 Abs. 4 erlassenen Verordnungen der FMA,

[…]

verletzt, begeht eine Verwaltungsübertretung und ist von der FMA mit einer Geldstrafe bis zu 150 000 Euro zu bestrafen.“

§ 34 Abs. 2 FM-GWG, BGBl. I Nr. 118/2016, in Kraft vom 01.01.2017 bis 13.12.2024, lautete:

„(2) Wenn es sich bei den Pflichtverletzungen gemäß Abs. 1 Z 2, 4, 7, 9 und 10 um schwerwiegende, wiederholte oder systematische Verstöße oder eine Kombination davon handelt, beträgt die Geldstrafe bis zu 5 000 000 Euro oder bis zu dem Zweifachen des aus der Pflichtverletzung gezogenen Nutzens, soweit sich dieser beziffern lässt.“

Dieselbe inhaltliche Norm wurde aus redaktionellen Gründen mit BGBl. I Nr. 151/2024 in § 34 Abs. 4 FM-GwG verschoben. § 34 Abs. 4 FM-GwG, BGBl. I Nr. 151/2024, in Kraft seit 01.01.2025, lautet:

„(4) Wenn es sich bei den Pflichtverletzungen gemäß Abs. 1 Z 2, 4, 7, 8, 9, 10 und 12 sowie bei Pflichtverletzungen gemäß Abs. 2 Z 1 bis 5 um schwerwiegende, wiederholte oder systematische Verstöße oder eine Kombination davon handelt, beträgt die Geldstrafe bis zu 5 000 000 Euro oder bis zu dem Zweifachen des aus der Pflichtverletzung gezogenen Nutzens, soweit sich dieser beziffern lässt.“

In den Gesetzesmaterialien über den Initiativantrag, findet sich zur Umgestaltung des § 34 FM-GwG das Folgende (Hervorhebung durch das Bundesverwaltungsgericht; s. Bericht des Budgetausschusses, 5 der Beilagen zu den Stenographischen Protokollen des Nationalrates XXVIII. GP, S 7):

„§ 34 wird in Folge der Umsetzung der Verordnung (EU) 2023/1113 sowie der Aufhebung der Verordnung (EU) 2015/847 neu gefasst. In Abs. 1 wird Z 12 angefügt. Damit kann die Verletzung der nunmehr in Kraft getretenen Bestimmungen des § 23a sanktioniert werden. Abs. 2 sowie die Ergänzung im neuen Abs. 4 hinsichtlich der Pflichtverletzungen gemäß Abs. 2 Z 1 bis 5 dienen der Umsetzung der Artikel 29, 30 und 31 der Verordnung (EU) 2023/1113. Der nunmehr in Kraft getretene Abs. 3 entspricht vollinhaltlich dem bisherigen Abs. 5 dieser Bestimmung. Der bisherige Abs. 2 wird in Abs. 4 überführt. Gleichzeitig wird Abs. 4 um die Z 8 (interne Organisation) ergänzt und damit auf besonders wesentliche Pflichten im Bereich der Bekämpfung von Geldwäscherei erstreckt, die einen besonderen Beitrag zur Verhinderung von Verstößen gegen das FM-GwG leisten sollen. Dementsprechend sind in diesem Bereich wirksame, verhältnismäßige und abschreckende Sanktionen im Sinne des Artikel 58 Abs. 1 der Richtlinie (EU) 2015/849 aus spezial- und generalpräventiven Gründen erforderlich.“

Anlage I FM-GwG, BGBl. I Nr. 118/2026, in Kraft seit 01.01.2017, lautet (in Einklang mit der RL 2015/849):

„Zu (§ 6): Die nachstehende Liste ist eine nicht erschöpfende Aufzählung von Risikovariablen, denen die Verpflichteten bei der Festlegung der zur Anwendung der Sorgfaltspflichten nach § 6 Abs. 5 zu ergreifenden Maßnahmen Rechnung tragen müssen:

1. Zweck eines Kontos oder einer Geschäftsbeziehung,

2.Höhe der von einem Kunden eingezahlten Vermögenswerte oder Umfang der ausgeführten Transaktionen,

3.Regelmäßigkeit oder Dauer der Geschäftsbeziehung.“

Anlage III FM-GwG, BGBl. I Nr. 118/2016, in Kraft von 01.01.2017 bis 09.01.2020, lautet (in Einklang mit der RL 2015/849):

„Zu (§ 9): Die nachstehende Liste ist eine nicht erschöpfende Aufzählung von Faktoren und möglichen Anzeichen für ein potenziell erhöhtes Risiko nach § 9 Abs. 1:

1. Risikofaktoren bezüglich Kunden:

a) außergewöhnliche Umstände der Geschäftsbeziehung,

b) Kunden, die in geografischen Gebieten mit hohem Risiko gemäß Z 3 ansässig sind,

c) juristische Personen oder Rechtsvereinbarungen, die als Instrumente für die private Vermögensverwaltung dienen,

d) Unternehmen mit nominellen Anteilseignern oder als Inhaberpapieren emittierten Aktien,

e) bargeldintensive Unternehmen,

f) angesichts der Art der Geschäftstätigkeit als ungewöhnlich oder übermäßig kompliziert erscheinende Eigentumsstruktur des Unternehmens;

2. Risikofaktoren bezüglich Produkten, Dienstleistungen, Transaktionen oder Vertriebskanälen:

a) Banken mit Privatkundengeschäft,

b) Produkte oder Transaktionen, die Anonymität begünstigen könnten,

c) Geschäftsbeziehungen oder Transaktionen ohne persönliche Kontakte und ohne bestimmte Sicherungsmaßnahmen wie z. B. elektronische Unterschriften,

d) Eingang von Zahlungen unbekannter oder nicht verbundener Dritter,

e) neue Produkte und neue Geschäftsmodelle einschließlich neuer Vertriebsmechanismen sowie Nutzung neuer oder in der Entwicklung begriffener Technologien für neue oder bereits bestehende Produkte;

3. Risikofaktoren in geographischer Hinsicht:

a) unbeschadet des § 2 Z 17, ermittelte Länder, deren Finanzsysteme laut glaubwürdigen Quellen (z. B. gegenseitige Evaluierungen, detaillierte Bewertungsberichte oder veröffentlichte Follow-up-Berichte) nicht über hinreichende Systeme zur Bekämpfung von Geldwäscherei und Terrorismusfinanzierung verfügen,

b) Drittländer, in denen Korruption oder andere kriminelle Tätigkeiten laut glaubwürdigen Quellen signifikant stark ausgeprägt sind,

c) Länder, gegen die beispielsweise die Union oder die Vereinten Nationen Sanktionen, Embargos oder ähnliche Maßnahmen verhängt hat/haben,

d) Länder, die terroristische Aktivitäten finanziell oder anderweitig unterstützen oder in denen bekannte terroristische Organisationen aktiv sind.“

Seither wurde die Anlage III wiederholt ergänzt; vorliegend relevant mit BGBl. I Nr. 62/2019, in Kraft seit 10.01.2020, ua in Z 2. Risikofaktoren bezüglich Produkten, Dienstleistungen, Transaktionen oder Vertriebskanälen um lit. f:

„f) Transaktionen in Bezug auf Öl, Waffen, Edelmetalle, Tabakerzeugnisse, Kulturgüter und andere Artikel von archäologischer, historischer, kultureller oder religiöser Bedeutung oder von außergewöhnlichem wissenschaftlichen Wert sowie Elfenbein und geschützte Arten;“

§ 5 Verwaltungsstrafgesetz 1991 (VStG), BGBl. I Nr. 57/2018, in Kraft seit 01.01.2019, lautet:

„(1) Wenn eine Verwaltungsvorschrift über das Verschulden nicht anderes bestimmt, genügt zur Strafbarkeit fahrlässiges Verhalten. Fahrlässigkeit ist bei Zuwiderhandeln gegen ein Verbot oder bei Nichtbefolgung eines Gebotes dann ohne weiteres anzunehmen, wenn zum Tatbestand einer Verwaltungsübertretung der Eintritt eines Schadens oder einer Gefahr nicht gehört und der Täter nicht glaubhaft macht, daß ihn an der Verletzung der Verwaltungsvorschrift kein Verschulden trifft.

(1a) Abs. 1 zweiter Satz gilt nicht, wenn die Verwaltungsübertretung mit einer Geldstrafe von über 50 000 Euro bedroht ist.

[…]“

§ 9 VStG, BGBl. I Nr. 3/2008, in Kraft seit 05.01.2008 lautet auszugsweise:

„(1) Für die Einhaltung der Verwaltungsvorschriften durch juristische Personen oder eingetragene Personengesellschaften ist, sofern die Verwaltungsvorschriften nicht anderes bestimmen und soweit nicht verantwortliche Beauftragte (Abs. 2) bestellt sind, strafrechtlich verantwortlich, wer zur Vertretung nach außen berufen ist.

(2) Die zur Vertretung nach außen Berufenen sind berechtigt und, soweit es sich zur Sicherstellung der strafrechtlichen Verantwortlichkeit als erforderlich erweist, auf Verlangen der Behörde verpflichtet, aus ihrem Kreis eine oder mehrere Personen als verantwortliche Beauftragte zu bestellen, denen für das ganze Unternehmen oder für bestimmte räumlich oder sachlich abgegrenzte Bereiche des Unternehmens die Verantwortung für die Einhaltung der Verwaltungsvorschriften obliegt. Für bestimmte räumlich oder sachlich abgegrenzte Bereiche des Unternehmens können aber auch andere Personen zu verantwortlichen Beauftragten bestellt werden.“

II.3.2.2. Zur Verfolgungsverjährung und zum Verfahrensgegenstand

Die der BF vorgeworfene Verwaltungsstraftat gemäß § 6 Abs. 5 FM-GwG, wonach die BF es unterlassen hat, die näher genannten Kundinnen in eine angemessene Risikoklasse einzustufen, stellt ein Dauerdelikt dar. Die Verjährungsfrist beginnt nach der ständigen Rechtsprechung des Verwaltungsgerichtshofes von dem Zeitpunkt an zu laufen, an dem das strafbare Verhalten geendet hat (VwGH 28.02.2016, Ra 2018/16/0143, VwGH 06.04.2023, Ra 2020/17/0068). Das strafbare Verhalten hat gegenständlich jedenfalls und unstrittig mit der Höherstufung der drei Kundinnen in die Risikoklasse 3, „erhöht“, am 24.04.2020 geendet.

Gemäß § 36 FM-GwG idF BGBl I Nr. 118/2016 iVm § 31 Abs. 1 VStG ist die Verfolgung einer Person unzulässig, wenn gegen sie binnen einer Frist von drei Jahren keine Verfolgungshandlung vorgenommen worden ist. Die belangte Behörde setzte durch ihr Schreiben vom 07.10.2022 (ergänzende Aufforderung zur Rechtfertigung, vgl. Verfahrensgang I.4.), mit dem sie der BF ihren verfahrensgegenständlichen Rechtsverstoß vorhielt, binnen laufender Verfolgungsverjährung ihre hierzu erste Verfolgungshandlung.

Die mittlerweile längere Frist des § 36 FM-GwG idF BGBl. I Nr. 151/2024 von sechs Jahren kommt vorliegend nicht zum Tragen, weil sie erst nach Ablauf der Verfolgungsverjährungsfrist in Kraft trat und so folglich die bereits abgelaufene Frist nicht verlängern konnte. Die Entscheidung der FMA vom 19.11.2024 ist damit bereits außerhalb der Verfolgungsverjährungsfrist erlassen worden und das Bundesverwaltungsgericht an den konkreten Vorwurf in der Aufforderung zur Rechtfertigung vom 07.10.2022 (wie bereits zuvor die FMA selbst) gebunden.

II.3.2.3. Zur objektiven Tatseite:

§ 6 Abs. 5 FM-GwG als eigenständiger Straftatbestand

Die FMA sprach im gegenständlichen Straferkenntnis aus, dass die BF gegen § 6 Abs. 5 FM-GwG verstoßen habe, weil sie bei der Bewertung der Risiken von Geldwäscherei und Terrorismusfinanzierung die in Anlage I und Anlage III zum FM-GwG angeführten Variablen nicht oder nur teilweise berücksichtigt und damit unterlassen habe, die Geschäftsbeziehungen mit den drei genannten Kundinnen in eine angemessene Risikoklasse einzustufen.

Die BF brachte dazu wiederholt vor, dass es sich bei § 6 Abs. 5 FM-GwG nicht um einen eigenständigen Straftatbestand handle. § 6 Abs. 4, 5 FM-GwG enthielten ausschließlich Bestimmungen darüber, wie bei Einhaltung der Sorgfaltspflichten in den Abs. 1 bis 3 vorzugehen sei. § 6 Abs. 5 FM-GwG enthalte zudem lediglich eine „Kann-Bestimmung“ und könne daher keinesfalls eine eigenständige Verpflichtung oder gar einen Straftatbestand darstellen.

Darauf ist zu erwidern, dass § 6 Abs. 5 1. Satz FM-GwG zuerst tatsächlich die Möglichkeit eröffnet, den Umfang der in den Abs. 1 – 3 genannten Sorgfaltspflichten auf risikobasierter Grundlage zu bestimmen (s. Krakow/Potocnik/Reiher in Dellinger [Hrsg], Bankwesengesetz – Kommentar, 11. Lfg 2022, § 6 FM-GwG Umfang der Sorgfaltspflichten – Kommentierung Rz 202). Diese Frage stellt sich vorliegend jedoch gar nicht. Unstrittig hat die BF davon Gebrauch gemacht, indem sie diesen risikobasierten Ansatz zur Wahrnehmung ihrer Sorgfaltspflichten selbst wählte. Unstrittig nahm sie auch im Tatzeitraum eine Risikoberechnung für ihre Kunden – insbesondere für Neukunden oder Bestandskunden wie PEP – vor, wählt diesen Ansatz auch weiterhin und richtet ihre Sorgfaltspflichten danach aus, wie ihren Handbüchern und den von ihr vorgelegten weiteren Unterlagen zu entnehmen ist (ON 49 1.2. Arbeitshandbuch, insb. S 67; ON 11 Stellungnahme zur VOP1 S 1, S 36f; ON 47 Stellungnahme der BF vom 11.12.2020). Schon deshalb untersteht sie diesem von ihr gewählten risikobasierten Ansatz und kann sie sich nicht darauf berufen, dass dieser für sie aufgrund des Gesetzeswortlautes nicht verpflichtend sei. Auf ihr weiteres Vorbringen zur Rechtsnatur von § 6 Abs. 5 erster Satz FM-GwG war deshalb nicht weiter einzugehen.

Davon losgelöst sind jedoch § 6 Abs. 5 2. bis 4. Satz FM-GwG zur Bewertung der Risiken von Geldwäscherei und Terrorismusfinanzierung zu sehen, die nicht auf die Absätze 1 bis 3 leg.cit. verweisen, sondern vielmehr den Verpflichteten weitere Sorgfaltspflichten auferlegen, wonach sie bei der Bewertung der Risiken von Geldwäscherei und Terrorismusfinanzierung zumindest die Variablen in Anlage I zu berücksichtigen und als Ergebnis dieser Bewertung jeden Kunden in eine Risikoklasse einzustufen haben (Sätze 2 und 3). Damit in direktem Zusammenhang steht, dass die Verpflichteten gegenüber der FMA nachweisen können müssen, dass die getroffenen Maßnahmen angesichts der ermittelten Risiken von Geldwäscherei und Terrorismusfinanzierung auch angemessen sind (Satz 4). Bereits aus dem klaren Wortlaut der Bestimmung („sind zu berücksichtigen“ „ist einzustufen“, „müssen nachweisen können“) ergibt sich die gesetzliche Verpflichtung einerseits zur Durchführung einer solchen Bewertung zur Einstufung in eine Risikoklasse und andererseits zum Nachweis, dass die getroffenen Maßnahmen angesichts der ermittelten Risiken von Geldwäscherei und Terrorismusfinanzierung auch angemessen sind (vgl. auch Krakow/Potocnik/Reiher aaO Rz 208). Die Argumentation der BF, dass es sich hier um keine „Muss-Bestimmung“ und folglich um keine sanktionierbare Verpflichtung handle, ist deshalb nicht nachvollziehbar.

Den diesbezüglichen Gesetzesmaterialien ist zu entnehmen, dass mit § 6 Abs. 5 FM-GwG Art. 13 Abs. 2 bis 4 RL 2015/849 umgesetzt wurden (1335 der Beilagen XXV. GP S 7). Auch diesen unionsrechtlichen Bestimmungen ist zu entnehmen, dass die Mitgliedstaaten dafür zu sorgen haben, dass die Verpflichteten alle Sorgfaltspflichten gegenüber Kunden erfüllen – wenn auch der Umfang auf risikoorientierter Grundlage bestimmt werden kann – und weiter den Verpflichteten vorzuschreiben ist, dass sie bei der Bewertung der Risiken von Geldwäsche und Terrorismusfinanzierung zumindest die in Anhang I aufgeführten Variablen berücksichtigen (Art. 13 Abs. 3 RL 2015/849). Hierzu müssen sie nachweisen können, dass die gesetzten Maßnahmen angesichts der ermittelten Risiken angemessen sind (Art. 13 Abs. 4 RL 2015/849). Auch diesem Wortlaut ist klar eine Verpflichtung der Verpflichteten zu entnehmen, ein solches Risiko zu ermitteln. Die strukturelle Untergliederung des Art. 13 RL 2015/849 indiziert überdies die vorliegend vorgenommene getrennte Betrachtungsweise und zeigt auf, dass der EU-Gesetzgeber hier keine bloße Einschränkung auf den risikobasierten Ansatz von Sorgfaltspflichten sieht, wie die BF vermeint.

Die BF brachte zu ihrer Ansicht der nicht bestehenden Verpflichtung nach § 6 Abs. 5 FM-GwG zusätzlich vor, dass die Einstufung in Risikoklassen nicht unionsrechtlich vorgegeben sei und die Gesetzesmaterialien des österreichischen Gesetzgebers dazu ausführten, dass mit Abs. 5 die geübte Praxis der FMA, jeden Kunden in eine Risikoklasse einzustufen, „bloß“ gesetzlich festgelegt werden solle, weshalb keine gesetzlichen Pflichten hierdurch begründet würden. Auch diese Argumentation der BF überzeugt nicht. Wie sie selbst vorbringt, ist die Einstufung in Risikoklassen nicht unionsrechtlich vorgegeben. Dies lässt aber keinesfalls darauf schließen, dass entgegen des klaren Wortlautes „ist…einzustufen“ mit Verweis auf das FMA-Rundschreiben, das hier umgesetzt werden soll, keine Verpflichtung bestehen könnte. Vielmehr kann dem Gesetzgeber gerade nicht unterstellt werden, dass er keine Verpflichtung oder Rechtsfolgen erzeugen wollte, wenn dieser eine bereits geübte (und bewährte) Praxis gesetzlich festschreibt. Vielmehr ist davon auszugehen, dass der österreichische Gesetzgeber damit eine Klarstellung und Verpflichtung erzielen und das gewünschte Handeln entsprechend vorschreiben wollte. Darauf deuten auch die Gesetzesmaterialien hin, wonach die derzeit geübte Praxis der Verpflichtung zur Zuordnung eines jeden Kunden in eine Risikoklasse ja gerade „gesetzlich festgelegt werden“ sollte (1335 der Beilagen XXV. GP S 7; s. OZ 25 Rundschreiben zum risikoorientierten Ansatz vom 01.12.2011 Rz 43f.).

Entgegen der Ansicht der BF steht dem auch das Unionsrecht keinesfalls entgegen. Einerseits braucht es nach Bewertung des ermittelten Risikos geradezu eine schematische Einordnung, um daran angemessene Maßnahmen zu knüpfen. Andererseits betonte der EuGH in seinem einschlägigen Urteil vom 29.01.2026, (Rs C-291/04, Rz 34f), dass die RL 2015/849 nur eine Mindestharmonisierung vornimmt, wobei die Mitgliedstaaten den Umfang der Sanktionen gegen Verpflichtete zwar nicht beschränken dürfen, jedoch die Möglichkeit haben, weitere darüber hinausgehende Sanktionen und Maßnahmen vorzusehen. Auch bestimmt Art. 5 RL 2015/849, dass die Mitgliedstaaten zur Verhinderung von Geldwäsche und Terrorismusfinanzierung in den Grenzen des Unionsrechts strengere Vorschriften auf dem unter diese Richtlinie fallenden Gebiet erlassen oder beibehalten können.

Die BF brachte in diesem Zusammenhang auch vor, dass eine Bestrafung nach § 6 Abs. 5 FM-GwG dem strafrechtlichen Legalitätsprinzip und dem Klarheitsgebot widerspreche, weil keine oder keine unmissverständliche Strafandrohung vorliege. Wie ausgeführt, bestehen bei Betrachtung des § 6 Abs. 5 FM-GwG (wie auch des zugrundeliegenden Art. 13 RL 2015/849), vorliegend konkret die Sätze 2 und 3, keine Zweifel daran, dass dieser Verpflichtungen enthält und im Weiteren einen Straftatbestand darstellt, den §§ 34 und 35 FM-GwG aufgreifen und sanktionieren. Verstöße dieser Norm gegen das strafrechtliche Legalitätsprinzip oder das Klarheitsgebot sind dabei für das Bundesverwaltungsgericht nicht erkennbar. Vielmehr kann den Verpflichteten unterstellt werden, dass sie durchaus in der Lage sind, die Risiken von Geldwäscherei und Terrorismusbekämpfung zu bewerten und darauf aufbauend ihre Kunden in Risikoklassen einzuteilen sowie anhand dieser dann zu beurteilen, welche geeigneten Maßnahmen sie zu ergreifen haben. Ihnen wurde deshalb diese Beurteilung bewusst überlassen, gleichermaßen sind sie auch in der Lage, die Angemessenheit der ergriffenen Maßnahmen der Aufsichtsbehörde darzulegen (vgl. VfSlg 19771/2013, VfGH 28.06.2013, G10/2013 ua, V4/2013 ua).

Zur Verwirklichung des objektiven Tatbestands durch die BF

Zunächst ist festzuhalten, dass es sich bei der BF unstrittig um eine Verpflichtete im Sinne des § 1 Abs. 1 FM-GwG handelt, weil sie im Tatzeitraum ebenfalls unstrittig ein Kreditinstitut war. Der EuGH stellte hierzu in seinem einschlägigen Urteil vom 29.01.2026, Rs C-291/04, klar, dass die Verpflichtungen, wie vorliegend die Sorgfaltspflichten, die die RL 2015/849 den Verpflichteten auferlegt, direkt der juristischen Person als Verpflichteter obliegen (Rz 26).

Die BF war daher nach § 6 Abs. 5 2 und 3. Satz FM-GwG, der die einschlägigen Bestimmungen der RL 2015/849 umsetzt, verpflichtet, jeden ihrer Kunden einer Bewertung der Risiken von Geldwäscherei und Terrorismusfinanzierung zu unterziehen und als Ergebnis dieser Bewertung jeden Kunden in eine Risikoklasse einzustufen.

Eine solche Risikobewertung ist die Voraussetzung dafür, dass die Verpflichteten überhaupt erst angemessene Sorgfaltsmaßnahmen gegenüber einem betreffenden Kunden anwenden können. Fehlt es an einer solchen Bewertung, so ist es weder dem betreffenden Mitgliedstaat noch gegebenenfalls den Verpflichteten möglich, im Einzelfall zu entscheiden, welche Sorgfaltspflichten anzuwenden sind (EuGH 17.11.2022, Rodl Partner, C-562/20 Rz 35; 19.06.2025, Laimz SIA, C 509/23 Rz 36). Die Basis einer korrekten Anwendung der Sorgfaltspflichten des FM-GwG ist folglich eine dem Risiko des jeweiligen Kunden angemessene Einstufung zu Beginn bzw. im Laufe der Geschäftsbeziehung. Nur wenn sich der Kunde in der für ihn korrekten Risikoklasse befindet, können die für ihn aufgrund seines Risikos erforderlichen Sorgfaltspflichten gemäß § 6 FM-GwG und die angemessenen Maßnahmen entsprechend angewendet werden (s. auch Wolfbauer ZFR 2025/223 Rz 36). Generell gilt, dass diese Maßnahmen umso umfangreicher sein müssen, je höher das individuelle Risiko des Kunden bewertet wurde (vgl. zum gleichlautenden Wortlaut des § 40 Abs. 2b BWG vor Überführung ins FM-GwG: Pitnik in Laurer/M. Schütz/Kammel/Ratka, BWG4 § 40 Rz 17, Stand 01.12.2016, rdb.at).

Um das Risiko, das eine Geschäftsbeziehung im Hinblick auf Geldwäscherei und Terrorismusfinanzierung darstellt, beurteilen zu können, müssen Verpflichtete über ausreichend Wissen über den Kunden sowie das zu erwartende Kunden- und Transaktionsverhalten verfügen. Die Einholung ausreichender Informationen über den Kunden wird durch die Implementierung umfassender Prozesse zur Einhaltung der gesetzlich normierten Sorgfaltspflichten sichergestellt. Der Hinweis auf risikobasierte und angemessene Einstufung wie auch Maßnahmen ist als Hinweis auf ein bewegliches System zu verstehen, in dem die Anforderungen umso höher anzusetzen sind, je risikoreicher die Geschäftsbeziehung anzusehen ist. Je risikoreicher die Geschäftsbeziehung, desto detailliertere Angaben werden zu erheben sein. Das kann auch die Bekanntgabe der Quelle und Herkunft von Finanzmitteln, detaillierte Beschreibungen der Geschäftstätigkeit und der Geschäftsfelder sowie eine detaillierte Darstellung der gesamten Unternehmensstruktur des Kunden umfassen (Krakow/Potocnik/Reiher in Dellinger [Hrsg], Bankwesengesetz – Kommentar, 11. Lfg 2022, § 6 FM-GwG Umfang der Sorgfaltspflichten – Kommentierung Rz 201). Beaufsichtigte Unternehmen sollten deshalb die Angemessenheit der Risikoeinstufung wie auch der für eine Risikokategorie festgelegten Sorgfaltspflichten einer laufenden Beobachtung und einer Anpassung im Anlassfall nach Natur, Art und Komplexität der Geschäfte unterziehen (vgl. OZ 25 Rundschreiben zum risikoorientierten Ansatz Rz 64).

Nach erfolgtem „Customer due diligence Prozess“ (CDD) verfügen Verpflichtete über ausreichende Kenntnis im Hinblick auf die Identität von Kunden, welcher Tätigkeit Kunden nachgehen und aus welchem Grund sie sich für den Verpflichteten entschieden haben. Basierend auf den im Rahmen der CDD eingeholten Know-Your-Customer-Informationen (KYC) sind Verpflichtete in der Lage, ein Risikoprofil des Kunden zu erstellen. Dieses Risikoprofil unterstützt die Verpflichteten bei der Entscheidung, ob eine Geschäftsbeziehung begründet bzw. fortgeführt oder beendet werden soll sowie in welchem Umfang Maßnahmen zu setzen sind. Die Anwendung unterschiedlich intensiver Präventionsmaßnahmen, je nach Kundenrisiko, ist dabei keine Neuigkeit des FM-GwG und findet sich beispielswiese bereits im Jahr 2014 in den Guidelines der FATF (FATF, Guidance for a risk-based Approach The Banking Sector, Okt. 2014, S 9). Die individuelle Einstufung des Kunden in eine Risikokategorie diente bereits vor dem 01.01.2017 als Basis für die Festlegung des Umfangs und der Häufigkeit der durch die Verpflichtete gegenüber ihren Kunden anzuwendenden Maßnahmen und Sorgfaltspflichten zur Prävention der Geldwäscherei und Terrorismusfinanzierung (FMA, Rundschreiben zum risikobasierten Ansatz, Rz 43; Pitnik in Laurer/M. Schütz/Kammel/Ratka, BWG4 § 40 Rz 19, Stand 01.12.2016, rdb.at). Hierzu müssen die Verpflichteten die Bewertungen der Risiken der Geldwäsche und der Terrorismusfinanzierung, denen sie ausgesetzt sind, auf aktuellem Stand halten (EuGH 17.11.2022, Rodl Partner, C-562/20, Rz 84) und haben auf der Grundlage einer auf aktuellem Stand gehaltenen Risikobewertung bei einem Bestandskunden – gegebenenfalls verstärkte – Sorgfaltspflichten anzuwenden, wenn dies angemessen erscheint (EuGH 19.06.2025, C 509/23 Rn 74ff). Wie die FMA richtig hervorhob, können Maßnahmen dabei nur dann angemessen sein, wenn bereits die ermittelten Risiken ausreichend bewertet wurden. Einer solchen Bewertung ist eine Angemessenheit geradezu immanent. Folglich muss in erster Linie bereits die Risikoeinstufung der Kunden angemessen sein.

Bei der Bewertung der Risiken von Geldwäscherei und Terrorismusfinanzierung sind dabei jedenfalls die in Anlage I FM-GwG aufgeführten Variablen zu berücksichtigen. Es handelt sich bei den in der Anlage I genannten Risikofaktoren jedoch bei weitem nicht um eine erschöpfende Aufzählung, sondern um ein Mindesterfordernis, wonach zumindest (1.) der Zweck eines Kontos oder einer Geschäftsbeziehung, (2.) die Höhe der von einem Kunden eingezahlten Vermögenswerte oder Umfang der ausgeführten Transaktionen und (3.) die Regelmäßigkeit oder Dauer der Geschäftsbeziehung zu berücksichtigen sind (Krakow/Potocnik/Reiher in Dellinger [Hrsg], Bankwesengesetz – Kommentar, 11. Lfg 2022, § 6 FM-GwG Umfang der Sorgfaltspflichten – Kommentierung Rz 201 ff). Darüber hinaus haben die Verpflichteten des FM-GwG anlassbezogen weitere Risikofaktoren in ihrer Berechnung zu berücksichtigen. Es obliegt grundsätzlich den Verpflichteten, unter Anwendung welcher über Anlage I hinausgehender Risikofaktoren sie zu einer angemessenen Risikoeinstufung gelangen. Sollte dabei die Berücksichtigung von Risikofaktoren, die nicht in Anlage I enthalten sind, notwendig sein, haben die Verpflichtendes diese zu implementieren.

Unternehmen, deren Geschäftstätigkeit verstärkt auf Bargeld ausgerichtet ist, können ein erhöhtes Risiko darstellen, da z.B. Bargeld, das durch kriminelle Handlungen erworben wurde, mit Erlösen einer legitimen Geschäftstätigkeit vermischt werden kann und auf diese Weise, z.B. die Einzahlung der aus krimineller Tätigkeit stammenden Vermögenswerte auf ein Bankkonto ohne weitere Rückfragen durch die Bank möglich ist (OZ 25 Rundschreiben der FMA zum risikoorientierten Ansatz Rz 34). Schon die dritte Geldwäscherichtlinie sowie die ESMA im Jahr 2012 forderten, dass besondere Aufmerksamkeit auf alle Aktivitäten zu richten ist, die aufgrund ihrer Art als mit Geldwäsche/Terrorismusfinanzierung in Zusammenhang stehend angesehen werden, insbesondere bei komplexen oder ungewöhnlich großen Transaktionen (EBA, ESMA und EIOPA, Report on the legal and regulatory provisions and supervisory expectations across EU Member States of Simplified Due Diligence requirements where the customers are credit and financial institutions under the Third Money Laundering Directive [2005/60/EC], April 2012, S 8).

So sich Anhaltspunkte auf ein erhöhtes Risiko bereits aus der Branche ergeben, haben die Verpflichteten jedenfalls zum Zwecke der Identifizierung von allfälligen (Hoch)Risikokunden zusätzlich die in der Anlage III FM-GwG angeführten Risikovariablen zu berücksichtigen (s. § 9 FM-GwG; vgl. auch Krakow/Potocnik/Reiher in Dellinger [Hrsg], Bankwesengesetz – Kommentar, 11. Lfg 2022, § 6 FM-GwG Umfang der Sorgfaltspflichten – Kommentierung Rz 205; Andreas Pawlik/Dorothea Lamprecht, Geschäftsbeziehungen mit Offshore-Gesellschaften im Anwendungsbereich des FM-GwG, ecolex 2023/214). Bargeldintensität wird deshalb auch in Anlage III als potentieller Faktor und mögliches Anzeichen für ein potenziell erhöhtes Risiko angeführt (Anlage III Abs. 1 lit e FM-GwG).

Entsprechend umsichtig und nachvollziehbar müssen die Verpflichteten nach Erhebung der Risikofaktoren in weiterer Folge auch bei der Gewichtung der herangezogenen Risikofaktoren umgehen, um zu einem angemessenen Ergebnis zu gelangen. Andernfalls kann nicht davon ausgegangen werden, dass Verpflichtete der FMA gegenüber nachweisen können, dass die von ihnen erfolgte Einstufung in eine Risikoklasse und darauf aufbauend die getroffenen Maßnahmen angesichts der ermittelten Risiken von Geldwäscherei und Terrorismusfinanzierung auch tatsächlich angemessen sind.

Wenn die BF mit ihrer Beschwerde vorbringt, dass Anlage III nicht zwingend anzuwenden ist, so sind ihr die obigen Ausführungen, aber auch ihre eigene Stellungnahme vom 15.12.2022 (ON 53 S 16; Hervorhebung im Original) vorzuhalten: „Zu den einzelnen Geschäftsbeziehungen ist im Allgemeinen anzuführen, dass nicht ein Risikofaktor allein bei der Risikoeinstufung und -beurteilung des Kunden maßgeblich ist, sondern eine Zusammenschau aller relevanten Risikofaktoren. Gemäß § 6 Abs.5 FM-GwG sind zumindest die in Anlage I angeführten Variablen zu berücksichtigen. Außerdem sind gemäß § 8 Abs.1 FM-GwG zumindest die in Anlage II dargelegten Faktoren für ein potenziell geringes Risiko und gemäß § 9 Abs. 1 FM-GwG zumindest die in Anlage III dargelegten Faktoren für ein potenziell erhöhtes Risiko zu berücksichtigen. Das bedeutet somit, dass eine bestimmte Branche oder ein bargeldintensives Geschäft für sich allein genommen noch lange zu keiner Höherstufung des Kunden bzw. zu erhöhtem Risiko des Kunden führen muss. Vielmehr sind alle relevanten Risikovariablen zu bewerten und ergeben in Zusammenschau eine Grundlage für eine risikobasierte Überwachung der jeweiligen Geschäftsbeziehung.“

Dies ist der BF vorliegend nicht gelungen. Sie hatte ihre Bestandskunden trotz deren auch in ihren internen Anweisungen und Analysen anerkannten risikobehafteten Branchen und den ihr bekannten Erwägungsgründen der RL 2015/849 in die niedrigste Risikoklasse 1 zugeordnet, obwohl sie selbst im Verfahren darlegte, dass diese jedenfalls aufgrund ihres Bewertungssystems zur Risikoklasse 2 zu rechnen seien. Damit hob sie selbst bereits hervor, dass auch aus ihrer Sicht die Einordnung in die niedrigste Stufe nicht angemessen war. So zeigte die BF im Beschwerdeverfahren selbst auf, dass eine Neuberechnung des Risikos nach dem Smaragd-System jedenfalls eine deutlich höhere Risikostufe für die Kundinnen ergeben hat, an die auch bereits ein Prüfintervall gebunden war.

Vorliegend drängt sich deshalb der Eindruck auf, dass die BF die bestehenden Kundenbeziehungen trotz Inkrafttretens des FM-GwG und der dortigen Verpflichtungen aufgrund der niedrigsten Risikostufe im Tatzeitraum keinerlei neuerlichen Risikobewertung unterzogen hat. Dies deshalb, weil Kunden in der niedrigsten Risikostufe nur einer anlassbezogenen Prüfung und keinem Prüfintervall unterlagen und die BF – wie sie in der Stellungnahme anlässlich der ergänzenden Aufforderung zur Rechtfertigung darlegte – vermeinte, die Kunden zu kennen. Diese seien zudem selbst Beaufsichtigte. Sie wertete deren hohen Tagsatzungen als gewöhnlich und Teil des normalen Geschäftsbetriebes und es habe ihrer Ansicht nach bislang auch keinerlei Auffälligkeiten und keinen sonstigen Anlass für investigative Recherchetätigkeiten gegeben. Damit hat die BF aber vorliegend entgegen der Zielsetzung der RL 2015/849 und des FM-GwG wie von der FMA ausgesprochen, weder das Branchenrisiko noch die hinzukommende Bargeldintensität berücksichtigt. Trotz eingehender Hinweise auf ein erhöhtes Risiko bereits der Branche hat die BF es vielmehr unterlassen, neben den Vorgaben der Anlage I auch die Risikofaktoren der Anlage III FM-GwG mitzuberücksichtigen, wie sie jedoch für eine angemessene Risikobewertung und -einstufung bei derartigen Hinweisen verpflichtet wäre.

Der Formulierung des § 6 Abs. 5, hier 2. und 3. Satz, FM-GwG ist zu entnehmen, dass es sich um eine stetige Verpflichtung handelt und nicht nur um die Verpflichtung, nachweisen zu können, dass Kunden zu Geschäftsbeziehungsbeginn richtig eingestuft wurden. Die Verpflichteten nach dem FM-GwG müssen vielmehr ihre Präventionsmaßnahmen im Zusammenhang mit der Geldwäscherei und Terrorismusfinanzierung laufend an neue Regulatorien und sonstige Gegebenheiten anpassen. Die FATF hat in diesem Sinne bereits im Jahr 2014 ausgesprochen, dass eine CDD-Überprüfung laufend stattfinden oder durch bestimmte Transaktionen ausgelöst werden sollte. Die Überwachung umfasst auch eine Aktualisierung des Kundenprofils, was eine neue Risikoberechnung und Einstufung sowie die Anwendung neuer oder zusätzlicher CDD-Maßnahmen erforderlich machen kann (vgl. FATF, Guidance for a risk-based Approach The Banking Sector, Okt. 2014, S 23). In diesem Sinne hat auch die BF in ihrem Arbeitshandbuch festgelegt, dass die Vorschriften der §§ 5ff FM-GwG nicht nur auf Neukunden, sondern auch auf Bestandskunden anzuwenden und die Unterlagen und Kundendaten risikobasiert stets aktuell zu halten sind (ON 49 Beilage 1.2. Arbeitshandbuch, insb. S 18, 67f). Gleichermaßen kann hierzu auch auf die oben dargelegte Judikatur des EuGH verwiesen werden.

Zu den Kundinnen 1 und 3

Wie festgestellt handelt es sich bei der Kundin 1 um ein in der Branche ,,Glückspiel-Dienstleistungen“ tätiges Unternehmen mit hohem Bargeldaufkommen, das von der BF auf der untersten Risikostufe 1 eingestuft war. Das Branchenrisiko im Bereich Glücksspiel für Geldwäsche ist aufgrund der Anonymität der Zahlenden und der großen Transfervolumen als stark erhöht anzusehen. Vorliegend anerkannte die BF in ihrer Beschwerde zwar ein Branchenrisiko solcher Kundinnen mit 9 von 10. Dies wandte sie aber im Tatzeitraum weder auf die Kundin 1 an noch bewertete sie die besonders hohe Bargeldintensität, die als weiterer Risikofaktor hier vorlag. Selbst hätte sie die Kundin in ihrem Smaragd-System berechnen lassen, wäre aufgrund der unangemessen hohen Gewichtung des „Österreichfaktors“ für eine solche Kundin immer noch lediglich ein Gesamtrisiko von „Standard“ errechnet worden. Die besonderen Sorgfaltsmaßnahmen, die erst ab Risikostufe 3 vorgesehen waren, hätten auch hier nicht gegriffen. Zudem wurde die Bargeldüberprüfung für diese Kundin ausgesetzt.

Wie beweiswürdigend bereits dargelegt, sind die Argumente der BF, dass es sich lediglich um Inlandszahlungsverkehr bzw. jenen im EU-Raum gehandelt habe und die Kundin der strengen Überwachung der Glücksspielaufsicht unterlag, im Vergleich mit dem hohen Branchenrisiko bei zusätzlichem entsprechendem Bargeldaufkommen wenig tauglich. Selbst bei konzessionierten Glücksspielunternehmen besteht ein abstraktes Risiko der Beimischung von Drittgeldern, welches ausschließlich durch verstärkte Kontroll- und Monitoringmaßnahmen mitigiert werden kann.

Gleiches gilt für die Angabe, dass bisherige Transaktionen des Unternehmens nicht zu Auffälligkeiten geführt hätten. Auch dies kann die BF in einer derart risikobehafteten Branche, die vorliegend zusätzlich besonders bargeldintensiv ist, nicht von ihren erhöhten Sorgfaltspflichten befreien. Hinzu kommt, dass die BF in der Gefährdungsanalyse der Geldwäschebeauftragten, Auswertungsstand November 2018 (ON 49 Beilage 2.1.), selbst als Branche, deren Geschäftsfeld zwangsläufig dazu führe, dass sie sich im Grenzbereich zur Kriminalität bewege, das Glückspiel nannte (S 29). Dies sei aus Erfahrungswerten ein Beispiel einer risikobehafteten Branche (S 28). Gänzlich entgegen ihrer eigenen Vorgangsweise für die Kundin 1 mit Einstufung in ein niedriges Risiko wie auch im Falle einer Smaragd-Berechnung mit „Standard“-Risiko legte die BF in ihrer Gefährdungsanalyse dar, dass Kunden kritischer Branchen mit hohem Risiko (wie Glückspiel, Baugewerbe, Gastgewerbe, Rotlicht, udgl., hier auch mit Verweis auf die nationale Gefährdungsanalyse von 2015) automatisch von der Risikoratingsoftware über ein erhöhtes Branchenrisiko in eine höhere Geldwäscherisikoklasse eingestuft und damit einer erhöhten Überwachung zugeführt würden (S 6), was sie vorliegend in ihrem Bewertungssystem Smaragd jedoch nicht umsetzte.

Unternehmen aus dieser Hochrisikobranche müssen aufgrund dieser Risikofaktoren jedenfalls auch nach Berücksichtigung risikomindernder Faktoren in einer ausreichend hohen Risikoklasse verbleiben, um sicherzustellen, dass die notwendigen Maßnahmen und Sorgfaltspflichten im Zusammenhang mit Geldwäscheprävention überhaupt angewendet werden. Die gegenständliche Einstufung der Kundin 1 in die Risikoklasse „niedrig“ war gänzlich nicht ausreichend oder sachlich gerechtfertigt, um eine dem Risiko entsprechende Geldwäsche- und Terrorismusfinanzierungsprävention zu gewährleisten. Aufgrund dieser gänzlich nicht verhältnismäßigen und nicht risikoadäquaten Bewertung der Risikofaktoren und damit nicht angemessenen Einstufung der Kundin 1 in die niedrigste Risikostufe hat die BF den objektiven Tatbestand des von der FMA vorgeworfenen § 6 Abs. 5 2. und 3. Satz FM-GwG erfüllt.

All diese Ausführungen gelten auch für die Kundin 3. Für diese ist überdies hervorzuheben, dass bei der BF in deren Firmenreport sogar über mehrere Jahre vermerkt war, das deren wirtschaftlicher Eigentümer mit Sitz in der Schweiz nicht bekannt sei. Dennoch kam es zu keiner Aktualisierung oder Heranziehung des FM-GwG-Datenblattes und Einholung von Auskünften bei der BF, weil eben die Einstufung der Kundin auch nach Einführung des FM-GwG auf „niedrig“ verblieb. Auch hier ist der objektive Tatbestand des von der FMA vorgeworfenen § 6 Abs. 5 2. und 3. Satz FM-GwG erfüllt.

Zur Kundin 2

Wie festgestellt, handelt es sich bei der Kundin 2 um ein in der Branche ,,Erzeugung und erste Bearbeitung von Edelmetallen“ tätiges Unternehmen mit hohem Bargeldaufkommen, das ebenfalls in die Risikostufe „niedrig“ eingestuft war. Auch hier gilt das oben für die Kundin 1 Dargestellte, wenn auch Kundin 2 nicht der Aufsicht, sondern der Überwachung durch eine Zertifizierungsstelle unterlag. Wesentlicher Unterschied war einzig, dass die BF in ihrem Smaragd-System das Branchenrisiko dieser Kundin lediglich mit 6 (nicht mit 9) annahm.

Auch hier wurde in der Gefährdungsanalyse der BF (ON 49 Beilage 2.1 S 28) festgehalten, dass als Beispiel für risikobehaftete Branchen aus der nationalen Risikoanalyse (2015), die in Österreich teilweise eine Rolle spielten, so dass sie als risikobehaftete Branchen zu sehen seien, gelte: „Handel mit Edelmetallen (Punkt 7. Nationalen Risikoanalyse, Risiko mittel)“ (Gefährdungsanalyse ON 49 2.1 S 28f).

Auch dieses Branchenrisiko war der BF laut ihren unternehmensinternen Anweisungen und Analysen sowie ihren eigenen Ausführungen im gesamten Tatzeitraum bekannt. Auch hier bewirkte trotz Kenntnis des hohen Branchenrisikos die Einstufung in die Risikoklasse „niedrig“, dass vorliegend keine angemessene Risikoeinstufung stattfand und darauf aufbauend die notwendigen Maßnahmen und Sorgfaltspflichten im Zusammenhang mit Geldwäscheprävention nicht angewendet wurden sowie keine fortlaufende Kontrolle bzw. regelmäßige Aktualisierung stattfand, in die neben des Branchenrisikos auch die Bargeldintensität entsprechend einfloss. Auch hier zeigte die BF mit ihren Smaragdberechnungen selbst auf, dass die niedrigste Risikostufe keinesfalls angemessen war.

Aber auch die Zuordnung zur zweiten Risikostufe würde lediglich belegen, dass die ermittelten Risiken von Geldwäscherei und Terrorismusfinanzierung, deren Abwägung und die Einstufung in eine Risikoklasse nicht angemessen waren. Neuerlich hat die BF den objektiven Tatbestand des § 6 Abs. 5 2. und 3. Satz FM-GwG erfüllt.

Seit 14.12.2024 – für die vorliegende Rechtssache selbstredend nicht relevant – finden sich Transaktionen in Bezug auf Edelmetalle überhaupt in der Liste der möglichen Anzeichen für ein potenziell erhöhtes Risiko der Anlage III FM-GwG.

II.3.2.4. Zur Frage des systematischen Verstoßes

Nach § 34 Abs. 2 FM-GwG in der Fassung von BGBl. I Nr. 118/2016 (heute in § 34 Abs. 4 FM-GwG geregelt) sind Verstöße unter anderem gegen § 5 bis § 12 FM-GwG qualifiziert zu bestrafen, wenn es sich dabei um schwerwiegende, wiederholte oder systematische Verstöße oder eine Kombination davon handelt.

Unter systematisch ist „nach einem System […] vorgehend, einem System folgend; planmäßig und konsequent“ und in der Fachsprache „einem bestimmten System entsprechend“ zu verstehen (Hörtner in Hörtner/Trautmann, Praxishandbuch FM-GwG (2020) § 34 Rz 16, Stand 01.10.2020, rdb.at). Grundsätzlich kann bei völligem Unterlassen der Anwendung von relevanten Vorschriften von einem entsprechenden Verstoß ausgegangen werden.

Gegenständlich hat die BF die Risikoeinstufung für die Bestandskundinnen im Tatzeitraum nach dem FM-GwG wohl nicht neu und ansonsten – wohl insbesondere für Neukunden – nach der in II.1.4. festgestellten Methodik berechnet.

Die Risikoeinstufung der drei Kundinnen in Risikoklasse 1 überrascht mit Verweis auf die interne Kenntnis der Bedeutung der jeweiligen Branche, der anerkannten Risikoanfälligkeit dieser Branchen und der Vorgehensweise in Bezug auf die Bargeldintensität. Das entsprechende Risiko wurde in der BF folglich schlicht nicht gesehen, wie auch die Rechtfertigung in der Stellungnahme der BF vom 15.05.2020 (durch den Geldwäschebeauftragten und dessen Stv.) anlässlich der ergänzenden Aufforderung zur Rechtfertigung und die Argumentation mit dem (nicht seitens der BF überprüften) Verhalten in der Vergangenheit und dem Verweis auf PEP und Off-Shore zeigt. Ein derartiges Vorgehen bei gleich mehreren stichprobenweise von der FMA gezogenen Kunden zeigt bereits eine entsprechende Systematik auf, wie die FMA zu Recht hervorhob.

Ins Leere gehen muss hierbei, wenn durch die BF verwiesen wird, dass ab Risikoklasse 3 jährliche Aktualisierungen der Daten erfolgten, und die BF darlegte, dass dies bei diesen Kundinnen entsprechend erfolgt sei. Den durch die BF vorgelegten Unterlagen und Datenblättern der Dokumentation innerhalb der BF ist keinerlei Aktualisierung in einer derartigen Regelmäßigkeit zu entnehmen. Vielmehr war zur Kundin 3 beispielsweise sogar über mehrere Jahre im internen Firmenreport vermerkt, dass deren wirtschaftlicher Eigentümer in der Schweiz nicht geklärt sei. Bei allen Kundinnen erhielten die hohen Bargeldeinzahlungen lediglich den laut System erforderlichen Eintrag einer „Tageslosung“ oder vergleichbar, es fand aber keine sonstige Kontrolle oder ein Abgleich mit den Unterlagen und Nachweisen der Kundinnen statt. Dass keine Aktualisierung erfolgte, erklärt sich nicht zuletzt auch aus der niedrigsten Risikoklasse, in die diese Kundinnen einordnet worden waren, an die ein „anlassbezogenes“ Prüfintervall geknüpft war.

Hinzu kommt, dass das diesbezüglich fehlende Bewusstsein auch in der Darlegung der Berechnungsformel und der Parameter des Smaragd-Systems im Verfahren offensichtlich wurde, wie die FMA zu Recht bemängelte. Einerseits hat das Ermittlungsverfahren ergeben, dass trotz Systemumstellung und der gebotenen laufenden Anpassungen die Parameter des früheren Systems jedenfalls für die Bestandskunden weitergeführt wurden. Andererseits wurde laut den vorgelegten Unterlagen zwar das Branchenrisiko anerkannt, jedoch wurde die Bargeldintensität, obwohl dieses einen weiteren risikoerhöhenden Faktor darstellt, nicht ergänzend berücksichtigt. Vielmehr wurde angenommen, dass ein hohes Branchenrisiko, wie beispielsweise im Glückspiel, jedenfalls einen hohe Bargeldintensität umfasse. Damit fehlte dem System bereits ein Parameter, um unterschiedliche Unternehmen der Branche angemessen und risikoorientiert beurteilen zu können. Gerade darin liegt jedoch ein besonders hohes, ergänzendes Risiko.

Dazu kommt, dass im ersten Schritt dieser Berechnung einmal das Land, in dem das Unternehmen seinen Sitz hat, berücksichtigt wurde und einmal das Land, dessen Staatsbürgerschaft der Geschäftsführer des Kunden hatte. Wenn dort sowohl für das Adressland als auch die Staatsbürgerschaft der Wert 1,00 eingesetzt wurde, war es rechnerisch aufgrund der durch die BF vergebenen Parameter, wie in der Beschwerdeverhandlung durch den informierten Vertreter der BF eingeräumt wurde, fast nicht möglich, überhaupt in die Risikostufe „erhöht“ oder gar die Stufe „stark erhöht“ eingestuft zu werden. Dies selbst dann nicht, wenn der Branche ein besonders hohes Risiko zugewiesen worden war, wie sich am Beispiel der drei Kundinnen zeigte. Auf die weiteren Unternehmensstrukturen der wirtschaftlichen Eigentümer der Kunden bzw. etwaige Holdings außerhalb des EWR wurde hierbei ganz offensichtlich ebenfalls keine angemessene Rücksicht genommen bzw. entsprechende Daten teils bei den Bestandskunden – doppelt jenen in der niedrigsten Stufe – nicht vermerkt oder auch gar nicht erhoben, wie sich bei Kundin 3 mit Verweis zeigte.

Die besondere Anfälligkeit dieser Bewertungsstruktur zeigt sich dabei, dass die Einstufung mit dem Sitz des konkreten Unternehmens (unabhängig von der weiteren Unternehmensstruktur) wie auch die Nationalität des Geschäftsführers durch die Unternehmen besonders leicht zu beeinflussen waren, wodurch sich in weiterer Folge auch die Risikoeinstufung der BF verhältnismäßig leicht beeinflussen ließ. Durch die Erlangung einer Risikoeinstufung von 1 oder 2 wurden in weiterer Folge auch keine oder kaum risikobegleitende angemessene Maßnahmen ergriffen, weil diese erst ab Risikoklasse 3 jährlich zum Einsatz kamen, während für die Stufe „Standard“ nur alle drei Jahre eine Aktualisierung zu erfolgen hatte, bei den vorliegenden Kunden in der niedrigsten Risikoklasse überhaupt nur anlassbezogen. Erschwerend kommt hierbei auch der Umgang mit (zu niedrig eingestuften) Bestandkundinnen und deren hohen Tageslosungen, die als üblicher Geschäftsbetrieb gewertet und gänzlich nicht überprüft wurden, hinzu, wie oben dargelegt wurde.

Auch wenn dies für die genannten drei Kundinnen im Tatzeitraum irrelevant gewesen sein muss, weil belegt ist, dass diese Kundinnen bis zum Ende des Tatzeitraumes (und der Risikoerhöhung in Stufe 3) überhaupt in der Risikoklasse 1 geführt waren, zeigt sich auch hier das systemische Problem, wonach die Parameter über das laut BF im Tatzeitraum im Einsatz befindliche System gänzlich falsch gesetzt waren. Dies widersprach nicht zuletzt auch der eigenen Gefährdungsanalyse der BF, wonach bei einem solchen Risiko zumindest ein hohes Risiko bestehen bleiben muss, um die Durchführung der hierfür angemessenen Maßnahmen sicherzustellen. Insbesondere wurde trotz dieser risikoanfälligen Parametersetzung im Smaragd-System auch nicht händisch nachkorrigiert, wie die Beschwerdeverhandlung unstrittig ergeben hat. Wie festgestellt, fand sich auch im Arbeitshandbuch zur Bekämpfung der Geldwäscherei und Terrorismusfinanzierung sowie zur Einhaltung von Embargovorschriften der BF keine Anweisung dazu, Kunden mit solch risikoerhöhenden Faktoren zumindest manuell in eine höhere Risikoklasse einzustufen.

Diese Vorgangsweise bewirkte in weiterer Folge, dass derartige Kunden aus der für die Risikoklassen 3 und 4 vorgesehenen zeitnahen Datenaktualisierung, die für Hochrisikokunden zumindest ab Anfang 2018 vorgesehen war (vgl. ON 11 Stellungnahme zur VOP1-PB S 7) herausfielen. Erst mit Höherstufung (Tatzeitraumende) wurde die Einholung aktueller KYC-Unterlagen für die drei Kundinnen angestoßen (ON50 Stellungnahme vom 27.11.2020 S 26). In der BF wurde folglich übersehen, dass die Risikoeinstufung keine Aussage über die frühere Integrität des Kunden darstellt, sondern ausschließlich die abstrakten Risiken ua aus Branche und Zahlungsform reflektiert. Langjährige Geschäftsbeziehungen stellen keinen Ersatz für objektiv überprüfbare geldwäscherechtliche Kriterien dar, auch wenn sie (angemessen) im Rahmen der risikoorientierten Gesamtbeurteilung stabilisierend berücksichtigt werden können, wobei gleichermaßen aber nicht zu unterschätzen ist, dass gerade solche Geschäftsbeziehungen missbraucht werden können (oft unbemerkt).

Bei der niedrigsten Risikoeinstufung der drei verfahrensgegenständlichen Kundinnen kann daher nicht von einem Zufall oder Übersehen von Einzelfällen ausgegangen werden, die im Rahmen der Geldwäscheprävention nicht aufgefallen sind. Der Grund für diese niedrigen Einstufungen liegt vielmehr in der grundsätzlichen systematisch unzureichenden Einstufung von Bestandskunden und von Unternehmen, die selbst der Aufsicht unterliegen. Diese drei Kundinnen wurden dem System der BF folgend planmäßig und konsequent aus systemimmanenten Gründen in die niedrigste Risikostufe eingestuft, wo sie unbemerkt bis zu den Beanstandungen der FMA verblieben.

Die Verstöße der BF gegen § 6 Abs. 5 2. und 3. Satz FM-GwG stellen daher gegenständlich systemische Verstöße iSd § 34 Abs. 2 FM-GwG in der Fassung von BGBl. I Nr. 118/2016 (heute in § 34 Abs. 4 FM-GwG) dar, wodurch die BF den objektiven Tatbestand auch dieser Qualifikation erfüllt, wie ihr die FMA bereits aufgezeigt hat.

II.3.2.5. Zur Frage des Tatzeitraums

Die obige Prüfung hat die Verwirklichung des objektiven Tatbildes des § 6 Abs. 5 2. und 3. Satz FM-GwG bestätigt. Das Ermittlungsverfahren hat überdies ergeben, dass die Einstufung der genannten Kundinnen in die geringste Risikoklasse bereits vor dem 01.01.2017 bis zur Höherstufung im System auf die Risikostufe 3 am 24.04.2020 vorlag.

In ihrem Straferkenntnis nahm die FMA den Zeitraum vom 01.01.2017 bis zum 24.04.2020 als Tatzeitraum an und stellte in der Beschwerdeverhandlung klar, dass die Verpflichtungen zur Risikoeinstufung jedenfalls mit der Einführung des FM-GwG bestanden hätten und fortlaufend gelten würden.

In der Beschwerde brachte die BF vor, dass die FMA den 01.01.2017 ohne jegliches Indiz für ein beginnendes Fehlverhalten an diesem Tag angenommen und damit ohne sachliche Rechtfertigung auf den Zeitpunkt des Inkrafttretens des FM-GwG abgestellt habe, wodurch der BF die Beweislast für ein korrektes Verhalten ab diesem Zeitpunkt auferlegt worden sei.

Der BF ist beizupflichten, dass Verwaltungsübertretungen allgemein gemäß § 25 Abs. 1 VStG von Amts wegen zu verfolgen sind. Die FMA führt in ihrer Entscheidung konkret aus, worin sie den Verstoß gegen § 6 Abs. 5 FM-GwG sieht, nämlich in der unangemessen niedrigen Risikoeinstufung der drei Kundinnen, in die wichtige Risikofaktoren nicht eingeflossen sind. Der Vorwurf, dass die FMA der BF die Beweislast für ein korrektes Verhalten seit 01.01.2017 auferlegen würde, ist nicht nachvollziehbar. Vielmehr ergab sich für sie die Nachweispflicht der angemessenen Maßnahmen anlässlich ihrer Risikoanalyse bereits aus § 40 Abs. 2b BWG, BGBl. Nr. 532/1993 aufgehoben durch BGBl. I Nr. 118/2016, und waren die Kundinnen unstrittig schon vor dem 01.01.2017 so eingestuft (VHS S 13 f) wie bis zum Ende des Tatzeitraums. Auch ist nicht ersichtlich, weshalb die BF hierfür im Verfahren keinen Nachweis erbringen können sollte, weil eine neue Einstufung jedenfalls in der BF dokumentiert wäre. So konnte sie durchaus die Risikoeinstufungen der Kundinnen zu verschiedenen Zeitpunkten im Verfahren aufzeigen (ON 49 Beilage 1.3). Erwiesen ist daraus auch die niedrigste Einstufung. Andernfalls hätte die BF zudem bereits in ihren Stellungnahmen auf eine höhere Einstufung hingewiesen, statt die Gründe für die niedrige Einstufung zu erläutern.

Der gegenständliche Straftatbestand fand sich inhaltlich wie dargelegt bereits vor dem 01.01.2017 bereits in § 40 Abs. 2b BWG. Da die BF nicht bestreitet, dass die Kundinnen bereits vor dem und am 01.01.2017 in einer niedrigen Risikoklasse eingestuft waren, ist nicht ersichtlich, wie die BF durch den Beginn des Tatzeitraums mit Inkrafttreten des FM-GwG in ihren Rechten beschwert sein soll. Vielmehr nahm die FMA Rücksicht auf die nun in Bezug auf die Risikoklassen getroffene gesetzliche Formulierung, die starke Weiterentwicklung dieses Rechtsgebietes, eine unzulässige ex post Betrachtung und eine für die Zeit vor dem 01.01.2017 zunehmend schwierigere Möglichkeit, die notwendigen Beweise vorzulegen – sie ging gleichzeitig auch ressourcensparend für die FMA vor. Oben wurde überdies bereits dargelegt, dass es sich vorliegend um eine laufende Sorgfaltspflicht handelt und nicht um eine, die lediglich an den Beginn einer Geschäftsbeziehung geknüpft ist.

Vorliegend kann die BF sich auch nicht darauf berufen, dass den Verpflichteten zumindest ein Jahr für die Datenaktualisierung des Altbestandes bei neuen gesetzlichen Regelungen zugestanden werde (BVwG 19.09.2014, W210 2000428-1/10E). Einerseits handelt es sich vorliegend nicht um eine derartige gänzlich neue Bestimmung, die eine solche Auslegung gebieten würde und waren die Kundinnen unstrittig bereits zuvor in Risikoklassen eingeteilt, in denen sie schlicht verblieben. Der klare Wortlaut der RL 2015/849 war der BF überdies bereits hinreichend bekannt, weshalb sie sich auch vorbereiten konnte. Andererseits mangelte es vorliegend auch nicht daran, dass die BF einzelne Kunden zu Beginn des Tatzeitraums bzw. des Inkrafttretens des FM-GwG noch nicht umgestellt hatte bzw. einzelne Adaptierungen vornahm (s. hierzu auch ON11, Stellungnahme zu VOP1-PB S 6f), sondern daran, dass sie im gesamten Tatzeitraum und bereits davor, keine entsprechenden Handlungsanleitungen hatte, die für derartige Kundinnen eine angemessene Berücksichtigung der Risiken nach sich gezogen hätte.

Nicht zuletzt ist der BF zum Beginn des Tatzeitraums ihr eigenes Vorbringen in ON 47 vorzuhalten, wo sie darlegte, dass Tatvorwürfe betreffend risikobasierte und angemessene Maßnahmen wie auch einer Gewährleistung der Aktualisierung von Informationen, Dokumenten und Daten nicht vor dem 01.01.2017 anzusetzen seien (34ff). Eine Ausweitung des Tatzeitraums kommt in einem Beschwerdeverfahren aber ohnehin nicht in Betracht.

Der Zeitpunkt, zu dem die BF die Risikoeinstufungen der verfahrensgegenständlichen Kundinnen auf die Risikostufe 3, hoch, angehoben hat, ist unstrittig und belegt.

Daher war der Tatzeitraum vom 01.01.2017 bis zum 24.04.2020 anzunehmen.

II.3.2.6. Zur subjektiven Tatseite

Einleitend wird angemerkt und weiter unten im Einzelnen genau dargelegt, dass gemäß dem Wortlaut der 4. Geldwäsche-Richtlinie (RL 2015/849) in Zusammenschau mit der Judikatur des EuGH vom 29.01.2026 (C-291/24) davon auszugehen ist, dass auf der subjektiven Tatseite keine Grundlage dafür besteht, dass ein schuldhaftes Verhalten einer verantwortlichen natürlichen Person festzustellen ist, um die juristische Person als selbst Verpflichtete zu bestrafen. Es genügt, anzugeben, welche natürlichen Personen durch Handlungen oder Unterlassungen zugunsten einer juristischen Person deren Verantwortlichkeit auslösen könnten (Rz 33).

Zur diesbezüglichen Judikatur

Die bisherige Judikatur des Verwaltungsgerichtshofs zur Bestrafung der juristischen Person im Verwaltungsstrafrecht ging davon aus, dass die Bestrafung einer juristischen Person voraussetzt, dass eine ihr zurechenbare natürliche Person eine Straftat begangen und gegen ihre Verpflichtungen verstoßen oder sie durch mangelnde Kontrolle oder Überwachung eine „Mitarbeitertat“ ermöglicht hat (VwGH 29.03.2019, Ro 2018/02/0023, Rz 25; 29.03.2019, Ro 2018/02/002; 13.12.2019, Ra 2019/02/0184; 13.12.2019, Ro 2019/02/0011). Für eine Bestrafung der juristischen Person war dabei entscheidend, dass die zur Beurteilung eines tatbestandsmäßigen, rechtswidrigen und schuldhaften Verhaltens, das auch allfälligen zusätzlichen Voraussetzungen der Strafbarkeit genügt, erforderlichen Feststellungen getroffen und im Spruch alle notwendigen Elemente für eine Bestrafung der natürlichen Person aufgenommen wurden (§ 44a VStG), dies mit dem Zusatz, dass das Verhalten der natürlichen Person der juristischen Person zugerechnet werde (VwGH 29.03.2019, Ro 2018/02/0023, Rz 33).

In seinem Urteil vom 29.01.2026 zu Rs C-291/24 hat der EuGH jedoch hierzu klargestellt, dass die Verpflichtungen, die die Richtlinie 2015/849 den Verpflichteten auferlegt, sowohl juristische als auch natürliche Personen betrifft, sofern diese Personen als Verpflichtete im Sinne von Art. 2 Abs. 1 dieser Richtlinie angesehen werden können (Rz 26). Art. 58 Abs. 1 dieser Richtlinie verpflichte die Mitgliedstaaten, sicherzustellen, dass die Verpflichteten für Verstöße gegen die nationalen Vorschriften zur Umsetzung dieser Richtlinie verantwortlich gemacht werden können. Dies betreffe insbesondere die in Art. 59 der Richtlinie 2015/849 vorgesehenen Sanktionen, die gemäß Art. 59 Abs. 1 zumindest für die Verstöße durch die Verpflichteten gelten, wenn es sich um schwerwiegende, wiederholte oder systematische Verstöße oder eine Kombination davon handle (vgl. Rz 27). Nichts in diesem Art. 58 Abs. 1 lasse jedoch die Annahme zu, dass die Verantwortlichkeit eines Verpflichteten nach dieser Richtlinie, wenn es sich bei ihm um eine juristische Person handle, davon abhängen könnte, dass nach nationalem Recht eine natürliche Person verantwortlich wäre (Rz 28).

Handle es sich bei dem Verpflichteten um eine juristische Person, beschränke sich, da eine solche nur über natürliche Personen handeln könne, deren Handlungen ihr zuzurechnen seien, die Richtlinie 2015/849 auf die Einführung von Regeln, die es ermöglichten, die Voraussetzungen festzulegen, unter denen zum einen die Verstöße, die die Verantwortlichkeit einer juristischen Person begründen, auch den natürlichen Personen zuzurechnen seien, die für sie nach nationalem Recht verantwortlich seien, und unter denen zum anderen das Verhalten bestimmter natürlicher Personen die Verantwortlichkeit einer juristischen Person auslösen könne (Rz 29).

Aus Art. 58 Abs. 3 der Richtlinie gehe nicht hervor, dass die Verhängung einer Sanktion gegen eine juristische Person als Verpflichteter von der vorherigen Feststellung abhinge, dass der betreffende Verstoß von einer natürlichen Person begangen worden sei. Vielmehr sei die Verantwortlichkeit natürlicher Personen nach nationalem Recht nur akzessorisch und ergänze die Verantwortlichkeit der betreffenden juristischen Person nach der RL 2015/849 (Rz 31).

Zum anderen stellten die Mitgliedstaaten nach Art. 60 Abs. 5 und 6 der RL 2015/849 sicher, dass eine juristische Person sowohl für Verstöße verantwortlich gemacht werden könne, die zu ihren Gunsten von einer Person begangen worden seien, die allein oder als Teil eines Organs der juristischen Person gehandelt habe und die eine Führungsposition innerhalb der juristischen Person innehabe, als auch dann, wenn mangelnde Überwachung oder Kontrolle durch eine solche Person das Begehen von Verstößen zugunsten der juristischen Person durch eine ihr unterstellte Person ermöglicht habe (Rz 32).

Dieser Art. 60 Abs. 5 und 6 beschränke sich darauf, anzugeben, welche natürlichen Personen durch Handlungen oder Unterlassungen zugunsten einer juristischen Person deren Verantwortlichkeit auslösen könnten. Hingegen lasse sich daraus nicht ableiten, dass zuvor diese natürlichen Personen nach nationalem Recht verantwortlich sein müssten und dass sie im Spruch der Entscheidung, mit der eine Sanktion gegen die fragliche juristische Person verhängt werde, namhaft gemacht würden und in ihm ihre Verantwortlichkeit für den betreffenden Verstoß bejaht werde (Rz 33).

Eine Auslegung der Art. 58 bis 60 der Richtlinie 2015/849, wonach die Mitgliedstaaten die Verantwortlichkeit einer juristischen Person von der vorherigen Feststellung abhängig machen könnten, dass der Verstoß von einer natürlichen Person begangen worden sei, liefe im Übrigen der in Art. 58 Abs. 1 dieser Richtlinie vorgesehenen Anforderung zuwider, wonach jede Sanktion oder Maßnahme, die sich aus der Verantwortlichkeit der Verpflichteten für Verstöße gegen die nationalen Vorschriften zur Umsetzung dieser Richtlinie ergebe, wirksam, verhältnismäßig und abschreckend sein müsse. Eine solche Anforderung könnte nämlich die Wirksamkeit und den abschreckenden Charakter der Sanktionen schwächen, die die Richtlinie 2015/849 unmittelbar juristischen Personen als Verpflichteten auferlege (Rz 36 mit Verweis auf EuGH 05.12.2023, Deutsche Wohnen, C-807/21, Rz 51).

Nach ständiger Rechtsprechung des Gerichtshofs bei der Anwendung ihres innerstaatlichen Rechts müssten nationale Gerichte dieses, soweit irgend möglich, anhand des Wortlauts und des Zwecks der fraglichen Richtlinie auslegen, um das in ihr festgelegte Ergebnis zu erreichen und damit Art. 288 Abs. 3 AEUV nachzukommen. Diese Verpflichtung zur konformen Auslegung des nationalen Rechts sei nämlich dem System des AEU-Vertrags immanent, da den nationalen Gerichten dadurch ermöglicht werde, im Rahmen ihrer Zuständigkeiten die volle Wirksamkeit des Unionsrechts sicherzustellen, wenn sie über die bei ihnen anhängigen Rechtsstreitigkeiten entscheiden würden (Urteil vom 26. Juni 2025, Makeleio und Zougla, C-555/23 und C-556/23, EU:C:2025:484, Rn. 85 und die dort angeführte Rechtsprechung; Rz 37).

Der Grundsatz der konformen Auslegung verlange, dass die nationalen Gerichte unter Berücksichtigung des gesamten innerstaatlichen Rechts und unter Anwendung der dort anerkannten Auslegungsmethoden alles tun, was in ihrer Zuständigkeit liegt, um die volle Wirksamkeit der fraglichen Richtlinie zu gewährleisten und zu einem Ergebnis zu gelangen, das mit dem von der Richtlinie verfolgten Ziel im Einklang steht (Urteil vom 26. Juni 2025, Makeleio und Zougla, C-555/23 und C-556/23, EU:C:2025:484, Rn. 86 und die dort angeführte Rechtsprechung; Rz 45).

Der Verwaltungsgerichtshof (VwGH 01.02.2024, Ra 2020/04/0187) hat mit direkter Relevanz für die vorliegende Rechtssache anlässlich des EuGH-Urteils Deutsche Wohnen SE (EuGH 05.12.2023, C-807/21), in einer Sache nach der DSGVO bereits eingeräumt, dass die aus dem nationalen Recht (dem VStG) abgeleitete Vorgabe in seinem Erkenntnis VwGH Ro 2019/04/0229, wonach für eine Verhängung einer Geldbuße nach der DSGVO über eine juristische Person im Spruch des Straferkenntnisses alle notwendigen Elemente für eine Bestrafung der natürlichen Person aufzunehmen seien, unangewendet bleiben müsse. Der EuGH habe betont, dass die Verpflichtete selbst diese Sorgfaltspflichten einzuhalten habe. Damit könne nicht nur die namentlichen Nennung der verantwortlichen Personen (bislang „Zurechnungspersonen“) unterbleiben, sondern habe auch keine Zurechnung deren Sorgfaltspflichtverletzung zu erfolgen, wobei nicht verkannt werde, dass eine juristische Person naturgemäß nur durch die natürliche Person handeln könne.

Mit der oben dargestellten Judikatur ist klargestellt, dass die BF selbst als Verpflichtete Trägerin von Rechten und Pflichten ist und für deren Einhaltung Sorge zu tragen hat, auch wenn sie naturgemäß durch natürliche Personen, insbesondere die zur Vertretung nach Außen Berufenen wie die erwähnten Vorstandsmitglieder, aber auch durch den zuständigen Bereichsleiter handelt. Die von der FMA im Spruch genannten Zurechnungspersonen waren damit jedoch weder näher zu bestimmen noch genau zu benennen und folglich mit Verweis auf den Spruch dieses Erkenntnisses aus dem Spruch des angefochtenen Straferkenntnisses der FMA zu streichen.

Das Vorbringen der BF zur Entscheidung des EuGH in der Rechtsache C-807/21 (Deutsche Wohnen), dass es notwendig sei, die verantwortlichen natürlichen Personen, deren Verhalten der BF zugerechnet werden sollten, klar zu identifizieren, muss daher ins Leere gehen. Gleichermaßen sind die in Frage kommenden natürlichen Personen weder Zurechnungspersonen noch als Parteien mit vollen Beschuldigtenrechte zu behandeln (entgegen VwGH 29.03.2019, Ro 2018/02/0023; 08.09.2022, Ro 2022/02/0017). Dass allen von der FMA ohne jede Differenzierung, teils bedingt genannten Zurechnungspersonen im vorliegenden Verfahren wegen der bisherigen VwGH-Judikatur noch alle Parteirechte eingeräumt wurden, die diese jedoch ohnehin nicht wahrnahmen, schadet vorliegend nicht, sondern liegt in der Natur einer derartigen Judikaturänderung.

Hervorzuheben ist an dieser Stelle auch, dass die Parteien des Verfahrens ihre jeweilige Rechtsansicht zur Benennung von Zurechnungspersonen bereits im Beschwerdeverfahren darlegten und sich dabei gerade auch auf das EuGH-Urteil Deutsche Wohnen bezogen (s. auch VHS S 25), weshalb eine Befassung mit dem vorliegenden Urteil, das überdies im Wesentlichen die Rolle von Zurechnungspersonen betrifft, im Wege eines gesonderten Parteiengehörs oder einer fortgesetzten Beschwerdeverhandlung nicht geboten war.

Zu den Verantwortlichen in der BF

Laut oben zitierter Judikatur des EuGH verlangen Art. 60 Abs. 5 und 6 FM-GwG die Angabe, welche natürlichen Personen durch Handlungen oder Unterlassungen zugunsten einer juristischen Person deren Verantwortlichkeit „auslösen können“ (EuGH 29.01.2026 aaO Rz 32).

Für die Einhaltung der vorliegenden Vorschriften und deren Umsetzung in der BF waren der in den Feststellungen genannte Gesamtvorstand bzw. dessen Mitglieder als Vertreter der BF im Sinne des § 9 Abs. 1 VStG verantwortlich, insbesondere wurde der in den Feststellungen genannte CRO mit dem Ressort zur Einhaltung der vorliegenden Sorgfaltspflichten betreffend die Prävention von Geldwäscherei und Terrorismusfinanzierung betraut. Unabhängig davon, dass durch diese nicht in der Satzung vorgesehene Aufteilung die Zuständigkeit der anderen Vorstandsmitglieder nicht entfällt, zeichnet der CRO wesentlich für die Umsetzung der vorliegenden Bestimmungen und auch für die diesbezüglichen internen Anweisungen (ua das Geldwäschehandbuch und die Gefahrenanalyse) und Vorgangsweisen sowie deren Umsetzung / Nichtumsetzung verantwortlich.

Die zur Vertretung nach außen Berufenen (Vorstände) sind nach § 9 Abs. 2 erster Satz VStG zudem berechtigt, aus ihrem Kreis eine oder mehrere Personen als verantwortliche Beauftragte für bestimmte räumlich oder sachlich abgegrenzte Bereiche ihres Unternehmens zu bestellen. Liegt ein solche wirksame Bestellung vor, dann sind die anderen zur Vertretung nach außen Berufenen nicht mehr nach österreichischem Recht verwaltungsstrafrechtlich verantwortlich (VwGH 08.09.2022, Ro 2022/02/2022, RS 5). Der spätere Bereichsleiter Kommerz war jedenfalls ab 09.05.2017 Leiter der Abteilung Kommerzkunden Immobilien Österreich und Leiter des Bereiches „Austrian Corporates Public Sector" mit entsprechender Anordnungsbefugnis. Die Bestellungsurkunde zum verantwortlichen Beauftragten nach § 9 Abs. 2 VStG wurde von der BF am 22.01.2018 an die FMA übermittelt und beinhaltet auch die nachweisliche Annahmeerklärung in Bezug auf die Bestellung. Mit der Bestellung des Bereichsleiters Kommerz zum verantwortlichen Beauftragten gemäß § 9 Abs. 2 VStG trat laut österreichischem Recht ein Wechsel in der verwaltungsstrafrechtlichen Verantwortlichkeit ein (zum Wechsel in der verwaltungsstrafrechtlichen Verantwortlichkeit und zu ihren Voraussetzungen siehe VwGH 03.05.2021, Ra 2020/02/0276, Rz 34). Damit war der Bereichsleiter Kommerz ab 22.01.2018 als verantwortlicher Beauftragter im Sinne des § 9 Abs. 2 VStG wirksam bestellt.

Zur Verwirklichung der subjektiven Tatseite

Übertretungen des § 6 Abs. 5 FM-GwG sind Ungehorsamsdelikte im Sinne des § 5 Abs. 1 VStG, weil zum Tatbestand dieser Verwaltungsübertretung nicht der Eintritt eines Schadens oder einer Gefahr gehört. Sofern eine Verwaltungsübertretung über das Verschulden nichts Näheres bestimmt, wie § 35 FM-GwG, genügt gemäß § 5 Abs. 1 VStG auf der subjektiven Tatseite fahrlässiges Verhalten, um eine Strafbarkeit zu begründen. Diesfalls ist die Schuldform auch im Spruch nicht zu spezifizieren (VwGH 11.06.2014, 2013/08/0096; 09.05.2019, Ra 2018/02/0199; Wessely in Raschauer/Wessely, VStG3 § 5 Rz 1, Stand 01.01.2023, rdb.at).

Vorliegend gilt die Vermutung des § 5 Abs. 1 VStG, wonach Fahrlässigkeit bei Zuwiderhandeln gegen ein Verbot oder bei Nichtbefolgung eines Gebotes dann ohne weiteres anzunehmen ist, wenn zum Tatbestand einer Verwaltungsübertretung der Eintritt eines Schadens oder einer Gefahr nicht gehört und der Täter nicht glaubhaft macht, dass ihn an der Verletzung der Verwaltungsvorschrift kein Verschulden trifft, jedoch mit Verweis auf § 5 Abs. 1a VStG nicht, weil die Verwaltungsübertretung des § 6 Abs. 5 FM-GwG mit einer Geldstrafe von über 50.000,00 Euro bedroht ist.

Das VStG enthält keine Definition der Schuldform Fahrlässigkeit. Zur Auslegung dieses Begriffes wird in der Judikatur auf die Bestimmungen des StGB zurückgegriffen (VwGH 20.03.2018, Ra 2017/03/0092; BVwG 13.06.2019, W204 2209288-1). Unter Fahrlässigkeit ist im allgemeinen Sprachgebrauch das Außerachtlassen der gehörigen Sorgfalt zu verstehen. Im Verwaltungsstrafrecht ist sie als ein „Komplex von Unrechts- und Schuldkomponente“ zu verstehen. Fahrlässiges Handeln setzt erstens voraus, dass der Täter einer objektiven, das heißt allgemein verbindlichen Sorgfaltspflicht zuwiderhandelt, und verlangt zweitens, dass dem Handelnden die Einhaltung dieser Sorgfaltspflicht nach seinen individuellen Verhältnissen auch subjektiv möglich und zumutbar ist (Burgstaller/Schütz in Höpfel/Ratz, WK2 StGB § 6 Rz 23, Stand 01.04.2017, rdb.at).

Umfasst sind – parallel zum StGB – die bewusste und die unbewusste Fahrlässigkeit. Zur Frage des Ausmaßes der objektiven Sorgfaltspflicht hat der Verwaltungsgerichtshof bereits wiederholt ausgesprochen, dass der dafür geltende Maßstab ein objektivnormativer ist. Massfigur ist der einsichtige und besonnene Mensch, den man sich, in die Lage des Täters versetzt, zu denken hat. Objektiv sorgfaltswidrig hat der Täter folglich dann gehandelt, wenn sich ein einsichtiger und besonnener Mensch des Verkehrskreises, dem der Handelnde angehört, an seiner Stelle anders verhalten hätte“ (VwGH 20.03.2018, Ra 2017/03/0092; Hörtner in Hörtner/Trautmann, Praxishandbuch FM-GwG § 38 Rz 7, Stand 01.10.2020, rdb.at).

Ein Verschulden ist hingegen dann nicht anzunehmen, „wenn der Verantwortliche nachweist, dass er eine qualitätsgesicherte Organisation eingerichtet und geführt hat, die durch externe Prüfung oder durch interne Überwachung (zB durch Betrauung geeigneter Mitarbeiter mit Kontrollaufgaben, fortlaufende Schulungen, den Einsatz automatisierter Überwachungsinstrumente etc.) regelmäßig kontrolliert wird.“ (49/ME XXVI.GP-Ministerialentwurf – Erläuterungen zu § 5 Abs. 1a VStG; Hörtner in Hörtner/Trautmann, Praxishandbuch FM-GwG § 38 Rz 8, Stand 01.10.2020, rdb.at).

Gleichermaßen ist es nicht Aufgabe der Behörde, Anleitungen dahingehend zu geben, wie ein funktionierendes Kontrollsystem aussehen müsste, sondern hat sie nur zu überprüfen, ob das behauptete Kontrollsystem ausreichend gestaltet ist, um mangelndes Verschulden darzutun (VwGH 20.12.1996, 93/02/0160; 24.5.2013, 2012/02/0072; 30.9.2014, Ra 2014/02/0045; 12.2.2020, Ra 2020/02/0005; Wessely in Raschauer/Wessely, VStG3 § 5 Rz 39, Stand 01.01.2023, rdb.at)

Ein solch fahrlässiges Verhalten ist der BF vorzuwerfen. Wie festgestellt und in der Beweiswürdigung näher dargelegt, wusste die BF bereits aus den Bestimmungen des BWG, aus den Rundschreiben der FMA wie auch den Richtlinien der FATF und der nationalen wie auch supranationalen Gefährdungsanalyse um das Risiko der Edelmetall- wie auch Glückspielbranche, das sie auch selbst in ihren internen Dokumenten festhielt. So stellte sie in ihrer Gefährdungsanalyse selbst dar, dass Kunden kritischer Branchen mit hohem Risiko (wie Glückspiel, Baugewerbe, Gastgewerbe, Rotlicht, udgl., hier auch mit Verweis auf die nationale Gefährdungsanalyse von 2015) automatisch einer erhöhten Überwachung zugeführt würden (S 6). Gleichmaßen erkannte sie auch das Risiko von Bargeld und schwankenden Tageslosungen. Sie hielt zwar in ihrem Arbeitshandbuch fest, dass die Einholung eines Herkunftsnachweises auch bei Beträgen über 15.000.00 Euro unterbleiben könne, betonte aber, dass häufig wechselnde Einzahler oder häufig sehr unterschiedliche Beträge aus Wettbüros etc. durchaus das Beibringen von Herkunftsnachweisen erforderten und nicht als unbedenkliche Tageslosung gewertet werden dürften, weshalb Herkunftsnachweise vom Kunden zu verlangen seien (z.B. Tagesabschluss aus der Computerkasse etc.). Die Unterlagen seien zu kopieren und gemeinsam mit einer Kopie des Einzahlungsbeleges an die kontoführende Stelle zu übermitteln. Explizit warnt sie auch davor, dass bei solchen Transaktionen ein Kunde das mitunter langjährige Vertrauensverhältnis ausnutzen könnte (S ,18ff).

Damit waren der BF nicht nur die Risikofaktoren jedenfalls ab 01.01.2017 (bzw. bereits davor) bekannt, sondern hat sie diese auch selbst dargestellt und festgehalten. Auch das Arbeitshandbuch der BF verpflichtete dazu, die Unterlagen und Kundendaten risikobasiert stets aktuell zu halten. In einer Zusammenschau mit der Anweisung, auch Bestandskunden zu überprüfen, hätten zu niedrig ausgefallene Risikoeinstufungen spätestens im Rahmen von Datenaktualisierungen auffallen müssen. Die BF kannte als Verpflichtete auch die Vorgängerbestimmung zu § 6 Abs. 5 FM-GwG, den Richtlinientext wie auch die diesbezüglichen Handlungsanleitungen der FMA und konnte somit den Übergang am 01.01.2017 nahtlos vorbereiten. (Hoch-)Risikokunden sollten dann auch zeitnah neuerlich überprüft werden und einer jährlichen Überprüfung der Kundenbeziehung unterliegen. Diese Bemühungen in Bezug auf die Risikokunden hat der Bereichsleiter Kommerz auch anlässlich des ersten VOP1-Berichtes ausführlich dargelegt.

Hiervon haben sich aber die einschlägigen Richtlinien in der BF, die keine konkreten Handlungsanleitungen enthielten, und die gelebte Praxis im Tatzeitraum diametral unterschieden. So ist dem VOP1-PB und den hierzu ergangenen Erklärungen insbesondere des verantwortlichen Bereichsleiters zu entnehmen, dass es selbst bei der Überprüfung von Hochrisikokunden teils zu massiven Verzögerungen kam und die BF vor 2018 nicht in der Lage war, ihr Prüfintervall einzuhalten. Die vorliegend genannten Kundinnen waren trotz deren anerkannt risikobehafteten Branche und der hohen Bargeldintensität bzw. sogar bei teilweiser Unkenntnis der wirtschaftlichen Eigentümer – wie oben festgestellt und beweiswürdigend dargelegt – bereits vor dem 01.01.2017 überhaupt in der niedrigsten Risikostufe eingestuft und wurden deshalb nicht neu überprüft. Ihre Bargeldeinzahlungen in schwankender, beträchtlicher Höhe wertete die BF als übliche Tageslosung aus dem normalen Geschäftsbetrieb. Ihre Geschäftsbeziehung unterlag damit als Bestandskunden im gesamten Tatzeitraum keiner besonderen Kontrolle oder regelmäßigen Überprüfung, wodurch auf objektiver Tatseite festzuhalten war, dass mangels Einbezugs der Branche und der Bargeldintensität keine dem ermittelten Risiko von Geldwäscherei und Terrorismusfinanzierung angemessene Risikoeinstufung stattgefunden hatte.

Dies muss umso mehr gelten, als die BF im Beschwerdeverfahren selbst darlegte, dass bei Berechnung laut ihrem internen Programm eine höhere Risikostufe (wenn mit Standard auch nach wie vor zu gering), an das zumindest ein Prüfintervall von 3 Jahren gekoppelt war, ermittelt worden sei. Dennoch verblieben die Kundinnen auf der unangemessenen Risikostufe 1 und ohne eine Überprüfung der Kundenbeziehung. Hinzu kommt, dass die BF auch die Parameter in ihrem Risikobewertungssystem derart gesetzt hatte, dass bei doppeltem Österreichbezug in den Risikodimensionen „Adressland“ und „Staatsbürgerschaft“ mit der in der BF angewandten Formel kaum noch möglich war, ein erhöhtes oder stark erhöhtes Risikograd zu errechnen. Zwar wurden die jeweiligen Branchen als risikobehaftet anerkannt, der ebenfalls und unabhängig davon – vorliegend ergänzend – risikorelevante Faktor der Bargeldintensität wurde hingegen nicht berücksichtigt. Es erfolgte auch keine Nachprüfung oder zumindest händische Korrektur, die dauerhaft im System hätte hinterlegt werden können.

Indem die BF Bestandskunden trotz deren auch laut den internen Richtlinien der BF anerkannt risikoanfälligen Branche in der Risikoklasse 1 belassen hat, konnte sie auch keine annähernd angemessenen Maßnahmen in Bezug auf das Risiko von Geldwäscherei und Terrorismusfinanzierung treffen. Vielmehr zeigte die BF anhand ihrer unternehmensinternen Dokumente wie festgestellt selbst auf, dass erst ab Risikoklasse 3 regelmäßige Überprüfungen und Aktualisierungen stattfanden. Trotz besonders hoher Tageslosungen, die zudem aufgrund des Geschäftsbetriebes in unterschiedlicher Höhe auftraten, wurden keine begleitenden Maßnahmen getroffen, sondern entgegen der Grundvorgabe der Prüfung ab 15.000,00 auch hiervon abgesehen und nur im System ein Grund vermerkt, ohne jedoch – zumindest in regelmäßigen Stichproben – einen Abgleich mit den Kassenbelegen etc. der Kundinnen vorzunehmen. Damit muss gänzlich ins Leere gehen, dass die Kundinnen aufgrund der langen Kundenbeziehung und mangels bisheriger Verdachtsfälle unauffällig gewesen seien, weshalb die Risikoeinstufung aus Sicht der BF entsprach. Vielmehr wären derartige Vorfälle schlicht nicht aufgefallen. Zudem geht es vorliegend im Wesentlichen nicht um eine rückwirkende Betrachtung, auch wenn Erfahrungswerte einfließen dürfen, sondern um eine präventive Vorgehensweise mit einer Bewertung des Missbrauchspotenzials sowie dem inhärenten Risiko einer Geschäftsbeziehung.

Da aus einer ex ante-Sicht beim Risikoeinstufungssystem wie auch den angemessenen Maßnahmen als Grundlage jeder Geldwäschereiprävention eine besonders hohe Sorgfalt zu erwarten ist, muss ein derartiges Verhalten einer Verpflichteten als grob fahrlässiges Vorgehen gewertet werden. Eine einsichtige und besonnene Person des Verkehrskreises, dem die BF angehört, hätte sich an ihrer Stelle anders verhalten. Erst mit Hinweis der FMA wurden die drei genannten Kundinnen am 24.04.2020 auf die Risikostufe 3 gehoben und fand im Anschluss, wie der verantwortliche Bereichsleiter Kommerz darlegte, die für solche Kunden vorgeschriebene Überprüfung der jeweiligen Kundenbeziehung und in weiterer Folge auch eine neue Risikofaktorengewichtung im System statt, wie die Beschwerdeverhandlung ergeben hat.

Es gelang der BF vorliegend auch nicht, darzulegen, dass sie eine derart qualitätsgesicherte Organisation eingerichtet und geführt hätte, die durch externe Prüfung oder durch interne Überwachung (zB durch Betrauung geeigneter Mitarbeiter mit Kontrollaufgaben, fortlaufende Schulungen, den Einsatz automatisierter Überwachungsinstrumente etc.) regelmäßig kontrolliert wurde, dass dies für sie entschuldend wirken könnte. Vielmehr erwiesen sich, wie festgestellt, die Organisation, Personalausstattung, die Arbeitsanweisungen und auch die Kontrolle des Geldwäschereibereichs gerade nicht als ausreichend, weshalb es erst zum vorgeworfenen Verstoß kommen musste. Während beispielsweise das Arbeitshandbuch vorschrieb, dass die Vorschriften der §§ 5ff FM-GwG nicht nur auf Neukunden, sondern auch auf Bestandskunden anzuwenden und die Unterlagen und Kundendaten risikobasiert stets aktuell zu halten waren, es bestehe ein automatisches Kundenrisikorating in Bezug auf Geldwäschegefährdung (ON 49 1.2. Geldwäschehandbuch, insb. S 18, S 67f), legte die BF hierauf kein Augenmerk und ging auch teils gegen die Ausführungen in der Gefährdungsanalyse vor.

Dabei wird nicht verkannt, dass sich ihre Produkte und die weit überwiegende Anzahl ihrer Kundenbeziehungen im geringsten Risikobereich bewegten und sie PEP und Off-Shore-Beziehungen uä automatisch in das höchste Risiko setzte. Für Bestandskunden gab es aber weder ausreichende Handlungsanleitungen noch eine ausreichende Kontrolle, die der schriftlich festgehaltenen eigenen Zielsetzung für eine angemessene Risikoüberprüfung wie auch den selbst ausgesprochenen Warnungen auch nur annähernd entsprochen hätten. Die nachfolgenden 10 Stichproben im Monat im Rahmen des Internen Kontrollsystems bei rund 1.000 Transaktionen über 15.000,00 Euro zu Gunsten institutseigener Konten und die 10 monatlichen Stichproben bei rund 3.300 Transaktionen über 1.000,00 Euro zu Gunsten Fremdbankkonten erscheinen in Anbetracht der steigenden Sorgfaltspflichten und hohen Kundenzahlen wie auch die oben dargelegte Personalausstattung zudem als deutlich zu wenig.

Die BF hat zudem die Schwäche ihres Bewertungssystems mit den von ihr gesetzten Parametern übersehen bzw. auch nicht die notwendigen Maßnahmen getroffen, um auf solche Fehler aufmerksam zu werden, und das System überdies in Bezug auf seine Parameter nicht aktualisiert. Daran ändert auch nichts, wenn die BF darlegt, dass die BF erfahrene Mitarbeiter im Bereich der Geldwäscheprävention beschäftigt habe und diverse Schulungen der Mitarbeiter vorgenommen wurden. Dabei wird durchaus auch anerkannt, dass die BF ausgewiesene Experten als Führungskräfte berufen hatte. So weist beispielsweise der als Vorstandsmitglied zur Einhaltung der Bestimmungen des § 6 Abs. 5 FM-GwG verantwortliche CRO jahrelange Erfahrung im Bankensektor auf. Dennoch hat er die Geldwäscheprävention (durchaus mit dem Geldwäschebeauftragten) nicht ausreichend betrieben, waren die Anleitungen hierzu nicht ausreichend und hat sein bzw. das Kontrollsystem des Vorstands für diesen Teilbereich offensichtlich versagt. Gleiches gilt für den ab dem 22.01.2018 als verantwortlicher Beauftragter berufenen Bereichsleiter (Leiters der Abteilung Kommerzkunden Immobilien Österreich und Leiter des Bereiches „Austrian Corporates Public Sector"), der speziell für die Betreuung der drei verfahrensgegenständlichen Kundinnen zuständig war. Auch er hat keine angemessenen Maßnahmen ergriffen, um eine ausreichend strenge Risikoeinstufung der Kommerzkunden und in weiterer Folge die Anwendung der angemessenen Maßnahmen zur Prävention der Geldwäscherei und Terrorismusfinanzierung zu gewährleisten. Dies obwohl er als strafrechtlich Verantwortlicher nach § 9 Abs. 2 VStG zur Einhaltung unter anderem des § 6 FM-GwG für seinen Bereich verpflichtet war.

Da die BF durch natürliche Personen handelt, ist ihr all dies auch vorzuhalten. Eine Handlung oder Kenntnis eines Leitungsorgans der Beschwerdeführerin ist hierfür jedoch gar nicht erforderlich (EuGH 05.12.2023, C-807/21, Deutsche Wohnen SE, Rz 77). Art. 60 Abs. 5 und 6 RL 2015/849 beschränkt sich laut EuGH (Urteil 29.01.2026, C-291/24, Rz 32) vielmehr darauf, anzugeben, welche natürlichen Personen durch Handlungen oder Unterlassungen zugunsten einer juristischen Person deren Verantwortlichkeit auslösen können, was vorliegend mit bloßen Verweis auf die Verantwortlichen nach § 9 VStG auch erfolgt ist.

Vorliegend wird durch den erkennenden Senat auch nicht verkannt, dass die Anforderungen an Kreditinstitute, Vorkehrungen und Maßnahmen im Bereich von Prävention von Geldwäscherei und Terrorismusfinanzierung gemäß den gesetzlichen Bestimmungen zu treffen, sowie auch die Anforderungen an die Sorgfaltspflichten seit Inkrafttreten des FM-GwG im Jahr 2017 im Tatzeitraum wie auch seither stetig gestiegen sind und eine ex post-Betrachtung nicht zulässig ist. Wie dargelegt, waren die genannten Risiken den Verpflichteten und explizit auch der BF aber bereits lange vor dem 01.01.2017 ausreichend bekannt. Auch hatte sie ihre Handlungsanleitungen und Kontrollsystem laufend entsprechend anzupassen und ihren diesbezüglichen Ressourcenbedarf entsprechend zu evaluieren. Hingegen war festzustellen, dass trotz der rechtlichen Anforderungen und dem damaligen Expansionskurs der BF die VZÄ für den Bereich Prävention von Geldwäsche und Terrorismusfinanzierung in der BF zwischen der VOP1 bis nach der VOP2 nicht erhöht wurden und sich damit auch nicht als ausreichend erwiesen, weshalb sie selbst die Überprüfungsintervalle ihrer ausgewiesenen Hochrisikokunden nicht einzuhalten vermochte. Erst mit Februar 2020 wurde die Organisation der zuständigen Abteilung für die Prävention von Geldwäsche und Terrorismusfinanzierung unter die neu gegründete Abteilung „Financial Crime Management“ eingeordnet. In der neuen Organisationsform gab es bei der BF dann 26,2 VZÄ, die sich exklusiv mit der Prävention von Geldwäscherei und Terrorismusfinanzierung beschäftigten (ON 49 Stellungnahme zum Prüfbericht S 9 ff). Auch die Gewichtung der Parameter im Risikoberechnungssystem wurden in weiterer Folge umgestellt und entsprechende Anweisungen erlassen. Die BF führte zudem verstärkt Schulungen der Mitarbeiter durch und passte die Risikoeinstufung von Bestandskunden an das tatsächliche Risiko an.

Die BF als beschuldigte juristische Person hat, ausgehend vom festgestellten Sachverhalt und unter Berücksichtigung der Vorgaben des § 6 Abs. 5 2.und 3. Satz FM-GwG, einem ihr auferlegten gesetzlichen Gebot, nämlich der Einhaltung der Sorgfaltspflichten nicht entsprochen, indem sie Bestandskunden ohne Überprüfung unangemessen in der niedrigsten Stufe beließ, wobei sie wesentliche Risikofaktoren, wie die Branche und die Bargeldintensität, nicht in ihren Bewertungen berücksichtigte. Hinzu kommt, dass sie im Tatzeitraum auch in ihrem Risikoberechnungssystem die Risikofaktoren nicht ausreichend gewichtete und darauf aufbauend keine auf risikobasierter Grundlage erfolgende Aktualisierungen (auch nicht im 3-Jahresprüfintervall laut eigener diesbezüglicher – zumindest behaupteter – Berechnung) durchführte.

Zusammengefasst hat sie auch das subjektive Tatbild des § 6 Abs. 5 2.und 3. Satz FM-GwG grob fahrlässig verwirklicht.

All dies wurde auch zum Vorteil der BF begangen, da diese durch die zu niedrigen Risikoeinstufungen weniger (intensive) Maßnahmen zur Prävention der Geldwäscherei und Terrorismusfinanzierung durchgeführt hat, als sie hätte durchführen müssen und sich dadurch Aufwendungen und Ressourceneinsatz erspart hat.

II.3.2.5. Zur Strafnorm des § 35 FM-GwG

Wie oben ausgeführt, hat die BF den Tatbestand der Sorgfaltspflichtverletzung nach § 6 Abs. 5 FM-GwG objektiv und subjektiv verwirklicht. Gem. § 35 Abs. 1 FM-GwG kann die FMA bei einer solchen Pflichtverletzung eine Geldstrafe gegen die juristische Person verhängen, was vorliegend der Fall ist.

Wie der EuGH in seiner Entscheidung vom 29.01.2026 hervorhob, hat gemäß Art. 58 Abs. 1 RL 2015/849 jede Sanktion oder Maßnahme, die sich aus der Verantwortlichkeit der Verpflichteten für Verstöße gegen die nationalen Vorschriften zur Umsetzung dieser Richtlinie ergibt, wirksam, verhältnismäßig und abschreckend zu sein. Wie bereits aufgezeigt, erfüllt die Sorgfaltspflichtverletzung der BF auch die Qualifikation des heutigen § 34 Abs. 4 FM-GwG (im Tatzeitraum wie auch zum Entscheidungszeitpunkt der FMA noch § 34 Abs. 2 FM-GwG idF BGBl. I Nr. 118/2016) mit dem dortigen hohen Strafrahmen, den auch die FMA herangezogen hat. Im Tatzeitraum wie auch zum Entscheidungszeitpunkt der FMA am 19.11.2024 (wie auch im Tatzeitraum) sah § 35 Abs. 3 FM-GwG bei Pflichtverletzungen gemäß § 34 Abs. 2 FM-GwG den zweiten, hohen Strafsatz von bis zu 5 000 000 Euro oder 10 vH des jährlichen (konsolidierten) Gesamtumsatzes vor.

Nach § 1 Abs 2 VStG richtet sich die Strafe nach dem zur Zeit der Tat geltenden Recht, es sei denn, dass das zur Zeit der Entscheidung geltende Recht in seiner Gesamtauswirkung für den Täter günstiger wäre. Vorliegend stellt sich die Frage deshalb nach dem aktuell zur Verfügung stehenden Strafrahmen und ob das Günstigkeitsprinzip zur Anwendung zu gelangen hat:

Durch eine Umstrukturierung des § 34 durch den Gesetzgeber aufgrund einer weiteren (hier nicht relevanten) Ergänzung dieser Norm wurde § 34 Abs. 2 in Abs. 4 „überführt“ bzw. umnummeriert. Während der Gesetzgeber in § 35 Abs. 1 FM-GwG in seinem dortigen Verweis auf § 34 FM-GwG den Abs. 4 noch ergänzte, verblieb § 35 Abs. 3 FM-GwG erster Satz jedoch in seinem historischen Wortlaut mit Verweis auf § 34 Abs. 2 FM-GwG. Anders als im Tatzeitraum und im Zeitpunkt der Erlassung des angefochtenen Straferkenntnisses der FMA fehlt folglich aktuell der Verweis in § 35 Abs. 3 FM-GwG idgF BGBl. I Nr. 151/2024, dass Geldstrafen für juristische Personen bei Pflichtverletzungen gemäß § 34 Abs. 4 (schwerwiegende, wiederholte oder systematische Verstöße oder eine Kombination) bis zu 5 000 000 Euro oder 10 vH des jährlichen Gesamtumsatzes betragen.

Rein aufgrund des aktuellen Gesetzeswortlauts wäre mit Verweis auf das Günstigkeitsprinzip des § 1 Abs. 2 VStG die Qualifikation des § 34 Abs. 4 FM-GwG in der Fassung von BGBl. I Nr. 151/2024 mit dem entsprechend hohen von der FMA angewandten Strafrahmen 10 vH des jährlichen Gesamtumsatzes nicht auf juristische Personen anzuwenden.

Dies steht jedoch im groben Widerspruch zur Zielsetzung der RL 2015/849 wie auch zum Anwendungsvorrang des Unionsrechts und der ständigen Judikatur der EuGH. Eine solche Auslegung würde nämlich die Wirksamkeit und den abschreckenden Charakter der Sanktionen maßgeblich schwächen, die die Richtlinie 2015/849 unmittelbar juristischen Personen als Verpflichteten auferlegt (vgl. EuGH 29.01.2026, C-291/24, Rz 36; 05.12.2023, Deutsche Wohnen, C-807/21, Rz 51). Deshalb müssen Gerichte bei der Anwendung ihres innerstaatlichen Rechts dieses, soweit irgend möglich, anhand des Wortlauts und des Zwecks der fraglichen Richtlinie auslegen, um das in ihr festgelegte Ergebnis zu erreichen und damit Art. 288 Abs. 3 AEUV nachzukommen. Diese Verpflichtung zur konformen Auslegung des nationalen Rechts ist nämlich dem System des AEU-Vertrags immanent, da den nationalen Gerichten dadurch ermöglicht wird, im Rahmen ihrer Zuständigkeiten die volle Wirksamkeit des Unionsrechts sicherzustellen, wenn sie über die bei ihnen anhängigen Rechtsstreitigkeiten entscheiden (EuGH 29.01.2026, C-291/24, Rz 37; 26.06.2025, C-555/23 und C-556/23, Rz 85).

Der Grundsatz der konformen Auslegung verlangt, dass die nationalen Gerichte unter Berücksichtigung des gesamten innerstaatlichen Rechts und unter Anwendung der dort anerkannten Auslegungsmethoden alles tun, was in ihrer Zuständigkeit liegt, um die volle Wirksamkeit der fraglichen Richtlinie zu gewährleisten und zu einem Ergebnis zu gelangen, das mit dem von der Richtlinie verfolgten Ziel im Einklang steht (EuGH 29.01.2026, C-291/24, Rz 45; 26.06.2025, C-555/23 und C-556/23, Rz 86). Dies entspricht auch der Judikatur des Verwaltungsgerichtshofes im Verwaltungsstrafrecht (s. hierzu VwGH 22.10.2025, Ra 2024/11/0111, ua Rz 40).

Durch den fehlenden Verweis auf § 34 Abs. 4 FM-GwG, BGBl. I Nr. 151/2024, widerspricht das FM-GwG dem ausdrücklichen Wortlaut wie auch der Zielsetzung der vierten Geldwäscherichtlinie (RL 2015/849), die im besonderen öffentlichen Interesse gelegen ist. In Art. 59 Abs. 3 lit. a der Richtlinie (EU) 2015/849 findet sich nämlich ausdrücklich, dass im Falle einer juristischen Person, die ein Kredit- oder Finanzinstitut ist, die maximalen Geldbußen von mindestens 5.000.000 EUR oder 10 % des jährlichen Gesamtumsatzes zur Anwendung kommen können müssen. Dies ist genau die Strafdrohung des § 35 Abs. 3 FM-GwG. Indem diese Strafhöhe nicht mit der Qualifikation des § 34 Abs. 4 FM-GwG, BGBl. I Nr. 151/2024, verknüpft wird, entspricht das FM-GwG aktuell nicht dem Wortlaut der Richtlinie (EU) 2015/849. Bereits dies zeigt den Redaktionsfehler auf, der dem Gesetzgeber ungewollt unterlaufen ist (vgl. VwGH 14.09.2017, Ro 2015/15/0042, RS).

Hinzu kommt, dass vorliegend dem Gesetzgeber, der lediglich die Verweisnorm umstrukturiert hat, nicht unterstellt werden kann, dass er richtlinienwidrig vorgehen und ein Ergebnis erzielen wollte, wonach ein höherer Strafsatz im Falle der Qualifikation des Art. 59 Abs. 1 RL 2015/849 lediglich natürliche Personen treffen soll. Vielmehr widerspricht dies seinem in den Gesetzesmaterialien klar geäußerten Wunsch nach wirksamen, verhältnismäßigen und abschreckenden Sanktionen im Sinne des Artikel 58 Abs. 1 der RL 2015/849 und handelt es sich folglich sichtlich und einzig um ein Redaktionsversehen des österreichischen Gesetzgebers (s. Initiativantrag 1/A vom 24.10.2024, XXVIII. GP, in der konstituierenden Sitzung des Nationalrates), bei dem übersehen wurde, in einer Umstrukturierung des § 34 FM-GwG auch den Verweis in § 35 Abs. 3 FM-GwG mit anzupassen, wo sich nach wie vor der (historisch auch richtige) Verweis auf § 34 Abs. 2 FM-GwG findet. Folglich gibt es in den Gesetzesmaterialien auch keine Hinweise darauf, dass juristische Personen beim qualifizierten Straftatbestand des § 34 Abs. 4 FM-GwG nicht mit dem erhöhten zweiten Strafsatz des § 35 Abs. 3 FM-GwG bestraft werden sollen. Den Gesetzesmaterialien ist zum neuen Abs. 4 nur zu entnehmen, dass 34 FM-GwG in Folge der Umsetzung der Verordnung (EU) 2023/1113 neu gefasst und dabei der bisherige Abs. 2 in Abs. 4 überführt werden soll. „Gleichzeitig wird Abs. 4 um die Z 8 (interne Organisation) ergänzt und damit auf besonders wesentliche Pflichten im Bereich der Bekämpfung von Geldwäscherei erstreckt, die einen besonderen Beitrag zur Verhinderung von Verstößen gegen das FM-GwG leisten sollen. Dementsprechend sind in diesem Bereich wirksame, verhältnismäßige und abschreckende Sanktionen im Sinne des Artikel 58 Abs. 1 der Richtlinie (EU) 2015/849 aus spezial- und generalpräventiven Gründen erforderlich“ (5 der Beilagen XXVIII. GP - Ausschussbericht NR, S 7).

In den Gesetzesmaterialen zu § 35 FM-GwG findet sich ebenfalls nichts indiziert, dass der Ausschluss der Qualifikation für juristische Personen beabsichtigt wäre und sich der zweite hohe Strafsatz für juristische Personen lediglich auf Verordnungsverstöße und Verletzung der Offenlegungspflichten als Treuhänder beschränken sollte (5 der Beilagen XXVIII. GP - Ausschussbericht NR, S 7). Auch bei alleiniger Betrachtung des § 35 Abs. 3 FM-GwG erscheint widersprüchlich, dass auf die unterschiedlichen Strafdrohungen in § 34 Abs. 2 und 3 FM-GwG verwiesen werden soll, nicht aber auf dessen wesentlichen Abs. 4. Es ist daher keineswegs von einer gewünschten etwaigen Lockerung des Gesetzgebers und der Unanwendbarkeit des zweiten Strafsatzes des § 35 Abs. 3 FM-GwG auf die qualifizierten Verwaltungsstraftatbestände des FM-GwG auszugehen, sondern vielmehr vom Ziel einer weiteren Verschärfung der Bestimmungen.

Der OGH judizierte bereits in einem strafrechtlichen Fall, indem es zur Verschiebung inhaltlich gleichbleibender Normen kam und die entsprechenden Verweise nicht angepasst worden waren, dass inhaltliche Änderungen der ursprünglichen Fassung (hier des SuchtgiftG 1951), die im Laufe der Zeit erfolgt seien, die Verweisung des § 64 Abs. 1 Z 4 StGB und das Vorliegen der inländischen Gerichtsbarkeit nicht in Frage stellen könnten. Es handle sich um eine klare Rechtslage. So sei bloß die bisherige ziffernmäßige Bezeichnung des § „6“ in § „12“ (SuchtgiftG) geändert worden, sodass der bisherige § 6 nunmehr als § 12 (SuchtgiftG) fortbestanden habe. Dass das betreffende Zitat in § 64 Abs. 1 Z 4 StGB dieser Bezeichnungsänderung nicht angeglichen worden sei, könne demnach die Geltung dieser Vorschrift in Bezug auf jene strafbaren Handlungen nach dem SuchtgiftG, die nunmehr die Paragraphenbezeichnung „12“ anstatt bisher „6“ tragen würden, nicht berühren (ÖJZ 1984/72 (EvBl): OGH 21.6.1983, 9 Os 52/83). Von einer „Lücke im Gesetz“ könne somit keine Rede sein.

Dieser Judikatur ist zu entnehmen, dass eine „berichtigende Auslegung“ dann zulässig ist, wenn das durch eine Gesetzesnovellierung verursachte Redaktionsversehen bloß eine unrichtige Paragrafenbezeichnung betrifft, weil es sich dann um eine klare Rechtslage handelt und der entsprechende Paragraf - oder wie vorliegend Absatz – fortbesteht. Der Verweis muss nur ursprünglich richtig gewesen und der Inhalt der verwiesenen Norm darf im Rahmen einer Novellierung nicht verändert worden sein (Rosbaud, Ist die Missachtung einer nachträglichen Entflechtungsmaßnahme nach § 142 KartG strafbar? Zur Zulässigkeit der „berichtigenden Auslegung“ im Strafrecht, JBl 2005, 158). All diese Voraussetzungen sind auch gegenständlich gegeben. Hervorzuheben ist, dass das Redaktionsversehen zudem erst nach dem Ausspruch der Strafe durch die FMA erfolgt ist. Auch die Literatur steht dem Umgang mit Redaktionsversehen ähnlich gegenüber. Sie geht – wie die FMA in der Beschwerdeverhandlung vorbrachte – davon aus, dass der gesetzliche Ausdruck seine bindende Kraft nach überwiegender Lehre dort verliert, wo er nachweislich fehlerhaft ist (Höpfel, JBl 1979, 505).

Unter Bedachtnahme auf die historische Entwicklung sowie die vom Gesetz verfolgte und auch unionsrechtliche Zielsetzung – nämlich der Verhinderung der Nutzung des Finanzsystems der Union zum Zwecke der Geldwäsche und der Terrorismusfinanzierung; konkret gemäß einem risikobasierten Ansatz eine Gesamtheit von Vorbeugungs- und Abschreckungsmaßnahmen vorzusehen, die es ermöglichen, Geldwäsche und Terrorismusfinanzierung effizient zu bekämpfen, um, wie aus dem ersten Erwägungsgrund der Richtlinie hervorgeht, zu verhindern, dass Ströme von illegalem Geld die Integrität, Stabilität und das Ansehen des Finanzsektors der Union schädigen und eine Bedrohung für deren Binnenmarkt sowie die internationale Entwicklung darstellen können (EuGH 29.01.2026, C-261/24; Rz 24; EuGH 19.06.2025, C-671/23 Rz 35) – erweist sich § 35 Abs. 3 als erkennbar unvollständig; dies nicht zuletzt auch mit Blick auf den Wortlaut der RL 2015/849 und die sich daraus ergebenden Verpflichtungen der Mitgliedstaaten in Hinblick auf die vorzusehenden Strafhöhen. § 35 Abs. 3 FM-GwG „muss daher – dieses Redaktionsversehen korrigierend“ – und in Einklang mit der Judikatur des Verwaltungsgerichtshofes „so gelesen werden, dass der darin enthaltene Verweis auch“ § 34 Abs. 4 FM-GwG umfasst (VwGH 22.10.2025, Ra 2024/11/0111, Rz 40).

Daher ist vorliegend davon auszugehen, dass § 35 Abs. 3 FM-GwG berichtigend dahingehend ausgelegt werden darf, dass er weiterhin auf die inhaltliche Norm des früheren § 34 Abs. 2 bzw. nunmehrigen § 34 Abs. 4 FM-GwG verweist.

Vorliegend geht es im Wesentlichen um die Frage der Reichweite des Günstigkeitsprinzips des § 1 Abs. 2 VStG, das der „berichtigenden“ Auslegung des § 35 Abs. 3 FM-GwG entgegenstehen könnte; nämlich im Vergleich zum klaren Redaktionsversehen, dem eindeutigen Willen des Gesetzgebers und dem Auslegungsvorrang des Gemeinschaftsrechts. Das Günstigkeitsprinzip zielt darauf ab, dass sich verändernde Unwerturteile der Gesellschaft, die durch abgeänderte Strafnormen ihren Ausdruck in der Rechtsordnung finden, einem Bestraftwerdenden ausschließlich zum Vorteil gereichen können. Wenn also das Unwerturteil über das zur Zeit der Begehung strafbare Verhalten nachträglich milder geworden ist, so ist das nachträglich günstigere Recht für die Bestrafung anzuwenden (VfGH 15.06.1959, B 47/59; VwGH 01.09.1998, 94/05/0293; Wessely in Raschauer/Wessely, VStG3 § 1 Rz 18, Stand 01.01.2023, rdb.at).

Eine solche Milderung oder Änderung des Unwerturteils hat es gegenständlich nicht gegeben, mangels materieller Rechtsänderung liegt somit keine lex-mitior Situation vor. Geldwäscheprävention und die damit verbundenen präventiven Verpflichtungen für Verpflichtete des FM-GwG sind seit dem Tatzeitraum keineswegs als weniger wichtig angesehen oder abgeschwächt worden. So wurden auch die Straftatbestände des FM-GwG nicht reduziert, sondern vielmehr über die letzten Jahre immer wieder ergänzt, erweitert und verschärft und nahmen den eher umgekehrten Weg in Bezug auf die Frage des Rechtsgüterschutzes (vgl. Höpfel 508). Wie bereits ausgeführt, steht die Anwendbarkeit des jetzigen § 34 Abs. 4 FM-GwG auf juristische Personen nicht aufgrund eines geänderten Unwerturteils in Frage, sondern basiert dies ganz offensichtlich auf einem bloßen Redaktionsversehen des österreichischen Gesetzgebers (Einbringung als Initiativantrag in der konstituierenden Sitzung des Nationalrates). Die Anwendung der erhöhten Strafdrohung nach § 35 Abs. 3 FM-GwG auf die BF widerspricht daher auch nicht dem Ziel des Günstigkeitsvergleichs (vgl. auch VwGH 23.05.2014, 2014/02/0032, RS, zur Verneinung der Verkürzung der Strafbarkeitsverjährung in § 96a Abs. 3 BörseG 1989 wegen dessen Verweises auf § 31 VStG, der eine Umstrukturierung erfahren hatte).

Hinzu kommt, dass die BF als Expertin in ihrem Bereich und Verpflichtete, die in einem besonders schützenswerten Rechtsgebiet tätig ist, auch keinen erhöhten Vertrauensschutz genießt. Vielmehr kennt und kannte sie zum Tatzeitraum wie auch nach wie vor den entsprechenden Strafrahmen und das darin enthaltene Unrecht (vgl. zur Zugänglichkeit und Vorhersehbarkeit EGMR 17.09.2009, Nr. 10249/03, Scoppola vs. Italien, Nr. 2, Rz 99ff mit weiteren Verweisen). Der VfGH hat bereits zu verschiedenen Materien im Finanzmarktbereich ausgeführt, dass jene Personen, die einer Materie besonders nahestehen und in einem bestimmten Sachgebiet somit als Fachleute gelten, in eben diesem Sachgebiet zu einem ordnungsgemäßen Verhalten, zur Sorgfalt, zum Ergreifen „geeigneter“ Maßnahmen, angehalten werden und ein entgegenstehendes Verhalten unter Strafsanktion steht (VfGH 28.06.2013, G10/2013, V4/2013 mwN). Die BF, die jedenfalls als Fachperson des Bankwesens und der Geldwäscheprävention einzustufen ist, hat sich daher mit den in diesem Zusammenhang anzuwendenden Normen und Verpflichtungen auseinanderzusetzen. So ist der BF auch der Inhalt der RL 2015/849 bestens bekannt, wie das Beschwerdeverfahren gezeigt hat, kennt sie die Linie des EuGH und auch die maximale Geldbuße von mindestens 5.000.000 EUR oder 10 % des jährlichen Gesamtumsatzes. Die BF weiß daher auch, dass der aktuelle Gesetzestext mit dem fehlenden Verweis der vierten Geldwäscherichtlinie nun ausdrücklich widerspricht und konnte nicht davon ausgehen, dass wegen der Änderung zeitlich nach Erlassung des erstinstanzlichen Straferkenntnisses nun der niedrigere Strafsatz auf sie anzuwenden sein würde. Auch nach Auffassung des Europäischen Gerichtshofes für Menschenrechte entspricht es dem Grundsatz der Rechtsstaatlichkeit von einem Strafgericht zu erwarten, dass es auf jede strafbare Handlung die Strafe anwendet, die der Gesetzgeber als verhältnismäßig ansieht (EGMR 17.09.2009, Nr. 10249/03, Scoppola vs. Italien, Rz 108).

Folgte man dieser Rechtsansicht nicht, so ist auch dadurch durch die BF nichts zu gewinnen. So kann die FMA gemäß § 35 Abs. 1 FM-GwG Geldstrafen gegen juristische Personen verhängen, wenn eine Pflichtverletzung gemäß § 34 Abs. 4 zu ihren Gunsten begangen wurde, wobei § 34 Abs. 4 FM-GwG für Pflichtverletzungen gemäß Abs. 1 Z 2 (Sorgfaltspflichten gegenüber Kunden), bei denen es sich um schwerwiegende, wiederholte oder systematische Verstöße oder eine Kombination davon handelt, eine Geldstrafe bis zu 5 000 000 Euro oder bis zu dem Zweifachen des aus der Pflichtverletzung gezogenen Nutzens, soweit sich dieser beziffern lässt, vorsieht. Es ist davon auszugehen, dass – so wegen des Redaktionsversehens nicht der der Richtlinie entsprechende und vom Gesetzgeber gewollte Rahmen heranzuziehen ist – zumindest dem Wortlaut und den Verweisen gefolgt und vom (für die natürliche Person vorgesehenen) Strafsatz ausgegangen werden kann und nicht auf den 1. Strafsatz des § 35 Abs. 3 FM-GwG von lediglich 150 000,00 Euro zurückzufallen ist. So hat der Gesetzgeber ja in § 35 Abs. 1 und 2 FM-GwG jeweils der FMA die Möglichkeit gegeben, Geldstrafen gegen juristische Personen bei einer Pflichtverletzung gemäß § 34 Abs. 4 FM-GwG zu verhängen, sieht dann aber in § 35 Abs. 3 FM-GwG (bei strenger Anlehnung an den Wortlaut und Verneinung eines Redaktionsfehlers) keinen Strafsatz hierfür vor, weshalb aufgrund der Systematik, der bestehenden Verweise und des Wortlauts zumindest auf jenen des § 34 Abs. 4 zurückgegriffen werden könnte.

Gegen das strafrechtliche Legalitätsprinzip, somit dem Grundsatz nach dem es keine Strafe ohne Gesetz geben darf, in Bezug auf „Verwaltungsübertretungen“ gemäß § 1 Abs 1 VStG (Lewisch in Lewisch/Fister/Weilguni, VStG3 § 1 Rz 3, Stand 01.07.2023, rdb.at), wird gegenständlich auch nicht verstoßen. Vielmehr bestand während des gesamten Tatzeitraums wie auch bei Erlassung des Straferkenntnisses der FMA unmissverständlich der genannte Verweis in § 35 Abs. 3 FM-GwG auf den damaligen § 34 Abs. 2 FM-GwG, war die Gebotsnorm klar formuliert und unmissverständlich sowie die Straftat der BF durchgehend mit derselben Strafe bedroht. Diese ist auch – wie oben dargelegt – nach wie vor mit Strafe bedroht, das Unwerturteil hat sich seither eher verschärft als gelockert.

II.3.2.8. Zur Strafbemessung

Der Strafrahmen für den Verstoß der BF errechnet sich, wie zuvor ausgeführt, nach den Bestimmungen des § 35 Abs. 3 FM-GwG. Demnach ist im Falle von Verstößen gegen §§ 6 Abs. 5 2. und 3. Satz iVm 34 Abs. 4 FM-GwG bis zu 5.000.000 Euro oder 10 vH des jährlichen Gesamtumsatzes als Strafe zu verhängen. Der jährliche Gesamtumsatz bestimmt sich nach den jährlichen Umsatzerlösen aus dem letzten festgestellten Jahresabschluss.

Wenn es sich bei dem Verpflichteten um ein Kreditinstitut handelt, ist der jährliche Gesamt-umsatz die Summe der in Z 1 bis 7 der Anlage 2 zu § 43 BWG angeführten Erträge abzüglich der dort angeführten Aufwendungen (§ 35 Abs. 3 dritter Satz FM-GwG). Wenn es sich bei dem Verpflichteten um eine Muttergesellschaft oder die Tochtergesellschaft einer Muttergesellschaft handelt, die einen konsolidierten Abschluss nach Art. 22 der Richtlinie 2013/34/EU aufzustellen hat, so bestimmt sich der jährliche Gesamtumsatz nach den jährlichen Umsatzerlösen oder der entsprechenden Einkunftsart gemäß den einschlägigen Rechnungslegungsrichtlinien, die im letzten verfügbaren festgestellten konsolidierten Abschluss ausgewiesen sind (§ 35 Abs. 3 fünfter Satz FM-GwG).

Zum Stichtag 31.12.2023 war die BF daher eine Muttergesellschaft gemäß § 35 Abs. 3 fünfter Satz FM-GwG, die einen konsolidierten Abschluss nach Art. 22 der Richtlinie 2013/34/EU aufzustellen hatte. Dies ist sie auch weiterhin.

Soweit die FMA die Grundlagen für den Gesamtumsatz nicht ermitteln oder berechnen kann, hat sie diese zu schätzen (§ 35 Abs. 3 letzter Satz FM-GwG). Dabei sind alle Umstände zu berücksichtigen, die für die Schätzung von Bedeutung sind. Eine solche Schätzung hat die FMA gegenständlich vorgenommen, da die BF den konsolidierten Abschluss zum Stichtag 31.12.2023 nach IFRS erstellt hat und deshalb für sie keine Daten zu den in Z 1 bis 7 der Anlage 2 zu § 43 BWG angeführten Erträgen und Aufwendungen bestehen. Eine exakte Umlegung der IFRS-Daten auf UGB-Daten ist nicht möglich.

Die FMA hat daher für das Geschäftsjahr 2023 der BF auf konsolidierter Ebene einen jährlichen Gesamtumsatz in der Höhe von XXXX Euro berechnet. Dies unter Zugrundelegung der letzten geprüften Daten, die aufgrund aufsichtsrechtlicher Vorschriften der Oesterreichischen Nationalbank zum Stichtag des letzten festgestellten Jahresabschlusses zu melden waren. Dieser Betrag wurde als jährlicher Gesamtumsatz der BF festgestellt. Seitdem hat sich die wirtschaftliche Lage der BF unstrittig nicht verschlechtert, weshalb auf die von der FMA berechneten Werte zurückgegriffen werden kann. 10% des jährlichen Gesamtumsatzes sind daher XXXX ,00 Euro. Da dieser Betrag höher als 5 000 000 EUR ist, kann die Geldstrafe gemäß § 35 Abs. 3 zweiter Strafsatz FM-GwG bis zu XXXX ,00 EUR betragen.

Wenn durch mehrere selbstständige Taten mehrere Verwaltungsübertretungen gemäß einem der in § 2 FMABG genannten Bundesgesetze – darunter auch das FM-GwG – begangen wurden, so ist eine einzige Verwaltungsstrafe zu verhängen (§ 22 Abs. 8 erster Satz FMABG). Diese Verwaltungsstrafe ist jeweils nach der Strafdrohung zu bestimmen, die die höchste Strafe androht (§ 22 Abs. 8 zweiter Satz FMABG). Ein Erschwerungsgrund für die Zumessung der Strafe ist es, wenn mehrere Verwaltungsübertretungen derselben oder verschiedener Art begangen worden sind (§ 22 Abs. 10 FMABG).

Für die vorgeworfenen Taten, bei denen es sich um durchaus schwerwiegende Pflichtverletzungen im Sinn des § 34 Abs. 2 FM-GwG in der Fassung von BGBl. I Nr. 118/2016 handelt, ist eine einzige Geldstrafe bis zu XXXX ,00 Euro zu verhängen; dies gilt insbesondere wie vorliegend, wenn diese Taten als Teil einer Systematik erkannt wurden und die Strafdrohung bereits die Tatmehrheit bzw. den schwerwiegenden Verstoß umfasst.

Die Verwaltungsstrafbehörde ist verpflichtet, ihre Strafbemessung in nachvollziehbarer Weise zu begründen, dh die bei der Ermessensausübung maßgebenden Umstände und Erwägungen insoweit aufzuzeigen, als dies für die Rechtsverfolgung durch die Parteien und die Nachprüfbarkeit durch den Verwaltungsgerichtshof erforderlich ist (siehe Weilguni in Lewisch/Fischer/Weilguni [Hrsg], VStG2 2017, § 19, Rz 1f). Diesen Anforderungen ist die belangte Behörde in der Begründung ihrer Strafbemessung nachgekommen.

Gemäß § 19 Abs. 1 VStG sind Grundlage für die Bemessung der Strafe die Bedeutung des strafrechtlich geschützten Rechtsgutes und die Intensität seiner Beeinträchtigung durch die Tat. Überdies sind die nach dem Zweck der Strafdrohung in Betracht kommenden Erschwerungs- und Milderungsgründe, soweit sie nicht schon die Strafdrohung bestimmen, gegeneinander abzuwägen. Auf das Ausmaß des Verschuldens ist besonders Bedacht zu nehmen. Unter Berücksichtigung der Eigenart des Verwaltungsstrafrechtes sind die Bestimmungen der §§ 32 bis 35 des Strafgesetzbuches sinngemäß anzuwenden. Die Einkommens-, Vermögens- und Familienverhältnisse des Beschuldigten sind bei der Bemessung von Geldstrafen zu berücksichtigen (§ 19 Abs. 2 VStG).

Wichtig ist, dass im Verwaltungsstrafrecht, anders als im gerichtlichen Strafrecht, Grundlage für die Strafbemessung nicht primär das Verschulden ist, sondern der objektive Unrechtsgehalt der Tat (vgl. Weilguni in Lewisch/Fister/Weilguni, VStG2 [2017] § 19 Rz 7). Durch die gegenständlichen Pflichtverletzungen wurde das im öffentlichen Interesse gelegene Ziel der Verhinderung des Missbrauchs des Finanzsystems für Zwecke der Geldwäscherei und Terrorismusfinanzierung erheblich beeinträchtigt. Gerade die mit Übertretungen des § 6 Abs. 5 FM-GwG verbundene Höhe der Strafdrohung macht deutlich, dass der Gesetzgeber Verstößen gegen die Verpflichtung, nachweisbar angesichts der ermittelten Risiken von Geldwäscherei und Terrorismusfinanzierung angemessene Maßnahmen anzuwenden, einen hohen Unrechtsgehalt zugemessen hat. Verstöße gegen die Sorgfaltspflichten zur Prävention von Geldwäscherei und Terrorismusfinanzierung stellen einen schweren Eingriff in das Rechtsschutzsystem des FM-GwG dar (vgl BVwG 19.09.2014, W210 2000433-1), Gleiches muss folglich auch hier gelten.

Betreffend den Grad der Verantwortung der verantwortlichen juristischen Person ging die FMA zu Recht von fahrlässigem Verhalten aus. Das fahrlässige Verhalten wurde von der FMA weder als mildernd noch als erschwerend gewertet. Dieser Annahme der FMA ist durch den erkennenden Senat entgegenzusetzen, dass er vorliegend eine grobe Fahrlässigkeit erkennt. Diese liegt darin begründet, dass die BF – bzw. die für sie handelnden natürlichen Personen – es unterlassen haben, ausreichende Leitlinien und Anweisungen zu geben und sicherzustellen, dass die bestehenden Anweisungen nicht widersprüchlich sind, eingehalten werden und nicht zur Vereinfachung Ausnahmen zu schaffen, die der Sorgfaltspflicht massiv entgegenstehen. Zumutbare Vorkehrungen zur Tatverhinderung wurden nicht getroffen.

Erschwerend wurde von der FMA vorliegend die große Bedeutung des verletzten Rechtsgutes, das mit der Verletzung des Rechtsguts verbundenen hohe Unrecht sowie die hohe Intensität der Beeinträchtigung des verletzten Rechtsguts gewertet. Auch die zurechenbare Dauer der Verstöße wurde als erschwerend berücksichtigt, weil diese über drei Jahre betragen hat.

Der erkennende Senat teilt die Meinung der FMA in diesem Zusammenhang auch hier nicht, sondern geht davon aus, dass die hohe Intensität der Beeinträchtigung des verletzten Rechtsguts, die aufgrund des systematischen Verstoßes anzunehmen ist, bereits aufgrund der Erfüllung der Qualifikation mit Heranziehung des 2. Strafsatzes des § 35 Abs. 3 FM-GwG abgegolten wird.

Darüber hinaus schließt sich der erkennende Senat den von der FMA herangezogenen Erschwerungsgründen an und verweist in diesem Zusammenhang insbesondere auf den den Zeitraum von drei Jahren überschreitenden außergewöhnlich langen Tatzeitraum, der nur dadurch beendet wurde, weil die FMA während der VOP entsprechende Stichproben zog und darauf aufmerksam machte. Gerade dieser erhebliche Tatzeitraum mit den obigen Ausführungen und dem Verhalten der BF im Beschwerdeverfahren, das nicht der Klärung zuträglich war (s. unten), lassen die Höhe der verhängten Strafe als angemessen erscheinen. Die Länge des Tatzeitraums bleibt auch dann übermäßig lange, wenn die BF vorbringt, dass im Rahmen der VOP2 keine Auffälligkeiten in den Aktivitäten und Transaktionen der drei Kundinnen gefunden wurden, da Ziel der Regelung des § 6 Abs. 5 2. und 3. Satz FM-GwG ist, die ausreichende Berücksichtigung der Risikofaktoren bei der Bewertung der Risiken von Geldwäscherei und Terrorismusfinanzierung zu garantieren, um eine Einstufung einer Kundenbeziehung in eine angemessene Risikoklasse zu gewähren, die Grundlage für weitere Sorgfaltspflichten ist.

Zum Vorwurf der BF, es handle sich um eine rein formale Beanstandung, ist auf die obigen Ausführungen zu verweisen und festzuhalten, dass Verstöße gegen die Präventionsmaßnahmen für Geldwäscherei und Terrorismusfinanzierung schwere Eingriffe in das Rechtschutzsystem des FM-GwG darstellen. Hier wurde die Basis für die Anwendung angemessener Maßnahmen und Sorgfaltspflichten zur Geldwäscheprävention verfälscht und damit die gesamte Prävention der Geldwäscherei und Terrorismusfinanzierung der BF maßgeblich gefährdet.

Mildernd hat bereits die FMA die Unbescholtenheit der BF berücksichtigt. Worin im Verwaltungsstrafverfahren jedoch eine Kooperationsbereitschaft lag, wobei weder ein Tat- noch ein Schuldeingeständnis erfolgten, erschließt sich dem Bundesverwaltungsgericht nicht. Explizit hervorzuheben ist, dass dies nicht das Vorverfahren um die VOP betrifft, in dem die BF sich besonders konstruktiv und einsichtig zeigte. Jedoch hat die BF auch im Beschwerdeverfahren keine Schuld eingeräumt, sondern vielmehr für die Beschwerdeverhandlung Vertreter entsandt, die wenig Auskunft zu geben gewillt waren und zudem teils im Tatzeitraum noch keine eigenen Wahrnehmungen gemacht hatten. Hinzu kommt, dass fälschlich behauptet wurde, die Kundinnen seien stets in Standard eingestuft gewesen und darin sei das Branchenrisiko mitsamt der Bargeldintensität rechnerisch berücksichtigt worden, was sich anhand der verlesenen Akten jedoch als aktenwidrig erwies. Hierzu legte die BF undatierte Systemausdrucke vor. Ein Schuldeingeständnis oder einen besonderen Beitrag zur Aufklärung hat die BF damit nicht geliefert.

Im Beschwerdeverfahren sind ansonsten keine weiteren straferhöhenden oder –mildernden Gründe hervorgekommen. Mit Verweis auf das Ergebnis der Gewinn- und Verlustrechnung, das Betriebsergebnis und die Betriebserträge ist die finanzielle Lage der BF auch unstrittig als solide zu bezeichnen, so dass die Bezahlung der Geldstrafe zu keiner maßgeblichen Beeinträchtigung der Finanzkraft (§ 158 38 Z 3 FM-GwG) der BF führen wird. Ein Bedarf zur Anpassung des von der FMA verhängten Betrages von 588.000,00 Euro an die Finanzkraft des Unternehmens besteht daher nicht, wie bereits die FMA zu Recht darlegte.

Die BF brachte in ihrer Beschwerde vor, es sei nicht nachvollziehbar, wie die FMA zu dem der Strafbemessung zugrunde gelegten Basisbetrag in Höhe von EUR 840.000,00 gelangt sei. Dem ist entgegenzuhalten, dass es sich bei der Festlegung eines derartigen Basisbetrags um eine Ermessensentscheidung handelt, die innerhalb des der FMA gesetzlich eingeräumten Ermessensspielraums liegt. Ein Basisbetrag in dieser Höhe – der etwas mehr als ein halbes Prozent der gesetzlich vorgesehenen Höchststrafe ausmacht – erscheint daher im Hinblick auf die Umstände des gegenständlichen Falls keinesfalls als nicht angemessen.

Die konkret verhängte Geldstrafe, die mit 0,38% des verfügbaren Strafrahmens im untersten Bereich der Strafdrohung angesiedelt ist, ist mit Verweis auf die obigen Ausführungen unter Berücksichtigung der Ergebnisse der Beschwerdeverhandlung im Hinblick auf den verwirklichten Tatunwert gemessen am zur Verfügung stehenden Strafrahmen von XXXX ,00 Euro tat- und schuldangemessen und ihre Verhängung erforderlich, um die BF und Dritte von der Begehung gleicher oder ähnlicher strafbarer Handlungen abzuhalten (vgl. zur Ermessensausübung durch das Verwaltungsgericht Köhler in Brandtner/Köhler/Schmelz [Hrsg], VwGVG Kommentar, 2020, § 50 VwGVG Rz 20, 40ff; VwGH 16.12.2016, Ra 2014/02/0087; 29.01.2020, Ra 2019/09/0088).

Zur Veränderung des Spruchs ist hervorzuheben, dass es sich vorliegend nicht um eine materielle Veränderung des Spruchs des Straferkenntnisses handelte, sondern lediglich die laut EuGH-Judikatur nicht zulässige Zurechnung ausgeschieden und redaktionelle Korrekturen vorzunehmen waren. Nach der Rechtsprechung des Verwaltungsgerichtshofes liegt im Übrigen selbst dann kein Verstoß gegen das Verbot der reformatio in peius vor, wenn das Verwaltungsgericht im Rahmen der vorzunehmenden eigenen Bewertung von Milderungs- und Erschwerungsgründen trotz Wegfalls eines Erschwerungsgrundes oder Hinzutritt eines Milderungsgrundes in begründeter Weise zur gleichen Strafhöhe gelangt, wie die Verwaltungsstrafbehörde (vgl. VwGH 16.02.2023, Ra 2021/02/0170; 29.03.2022, Ro 2020/02/0003 und 0004, mwN; 23.02.2022, Ra 2020/17/0024).

Nur der Vollständigkeit halber ist hervorzuheben, dass, folgte man dem errechneten Strafrahmen nicht und wäre der oben dargelegte geringere Strafrahmen von 5.000.000,00 Euro heranzuziehen, so wäre neuerlich die Strafhöhe nicht zu bemängeln, weil mit Verweis auf eine Abwägung aller oben dargelegten Parameter eine Strafe für eine derart lange Dauer, die Ausformung, die grobe Fahrlässigkeit, das fehlende Eingeständnis, die General- und Spezialprävention, die vorzuwerfende Systematik wie auch die erschwerenden Umstände und die Tatmehrheit (wegen Wegfall der Qualifikation), das fehlende Bewusstsein hierzu in der BF, die selbst für (Hoch-)Risikokunden keine angemessene Risikoeinstufung vornahm, eine Strafe von weniger als 12% des Rahmens mit einer Gesamtsumme von 588.000 und Verweis auf die Judikatur des EuGH zur Wirkung derartigen Strafen und ihr oben dargelegtes Verhalten im Verfahren selbst unter Berücksichtigung der Unbescholtenheit jedenfalls angemessen erschiene.

Da der Beschwerde durch das Bundesverwaltungsgericht nicht Folge gegeben worden ist, waren der BF die Kosten des Beschwerdeverfahrens in Höhe von 20% der verhängten Strafe aufzuerlegen (§ 52 Abs. 2 VwGVG). 20 % der auferlegten Strafe von 588.000,00 Euro sind 117.600,00 Euro.

II.3.2.9. Zahlungsinformation

Sie haben den Gesamtbetrag von insgesamt 764.400,00 Euro (Strafe iHv 588.000,00 Euro, Kosten des verwaltungsbehördlichen Verfahrens iHv 58.800,00 Euro und Kosten des verwaltungsgerichtlichen Verfahrens iHv 117.600,00 Euro) binnen 2 Wochen auf das Konto des Bundesverwaltungsgerichtes (BVwG) mit dem IBAN AT840100000005010167 (BIC BUNDATWW) unter Angabe der Verfahrenszahl spesenfrei für den Empfänger einzuzahlen oder unter Mitnahme dieses Erkenntnisses beim Bundesverwaltungsgericht einzuzahlen. Bei Verzug muss damit gerechnet werden, dass der Betrag nach erfolgter Mahnung zwangsweise eingetrieben werden wird.

Die Geldstrafe fließt dem Bund zu (§ 39 FMA-GwG).

II.3.3. Zu Spruchpunkt B) Unzulässigkeit der Revision:

Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die Revision ist gemäß § 25a Abs. 1 VwGG zulässig, weil Rechtsfragen iSd Art. 133 Abs. 4 B-VG zu beurteilen waren, denen grundsätzliche Bedeutung zukommt. Soweit ersichtlich, fehlt es an einer Rechtsprechung des Verwaltungsgerichtshofes zur Frage des Redaktionsversehen des Gesetzgebers im Verwaltungsstrafrecht in Bezug auf den Strafsatz unter Beachtung des Günstigkeitsprinzips wie auch des Anwendungsvorrangs des Unionsrechts sowie der Bedeutung des vorliegenden Rechtsgutes. Die Auslegung durch den Verwaltungsgerichtshof hat aus Sicht des Bundesverwaltungsgerichts auch über den konkreten Einzelfall hinausgehende Bedeutung, weil zahlreiche Beschwerdeverfahren juristischer Personen nach dem FM-GwG beim Bundesverwaltungsgericht anhängig sind.