Compliance FS Blog

Neues Rundschreiben der BaFin (RS 1/2013 GW vom 26.03.2013): Erklärung und Informationsbericht der FATF

I. Erklärung der FATF („FATF Public Statement“) vom 22.02.2013 zum Iran, zur Demokratischen Volksrepublik Korea (Nordkorea) sowie weiteren Ländern

In der Plenarsitzung in Paris wurde von Seiten der FATF eine aktualisierte Erklärung (Anlage 1) und ein Informationsbericht (Anlage 2) veröffentlicht, welche sich mit wesentlichen Länderdefiziten in Bezug auf Maßnahmen zu Verhinderung von Geldwäsche und Terrorismusfinanzierung befassen.

Die Länder der Kategorie 1 (Iran; Nordkorea) stellen substantielle Risiken für die internationalen Finanzsysteme aller Länder dar. Die Länder der Kategorie 2 (Äthiopien, Ekuador, Indonesien, Jemen, Kenia, Myanmar, Nigeria, Pakistan, Sao Tomé und Principe, Syrien, Tansania, Türkei und Vietnam) weisen strategische Mängel bei der Bekämpfung von Geldwäsche und Terrorismusfinanzierung auf, welche noch nicht beseitigt werden konnten bzw. auch keine Aktionspläne mit Hilfe der FATF zur Beseitigung dieser Mängel erarbeitet haben. Die Türkei ist entgegen der Androhung der Suspendierung weiterhin Mitglied in der FATF (siehe hierzu im Einzelnen Anlage 1).

Bei Geschäftsbeziehungen mit diesen Ländern sind dem Risiko angemessene Sorgfalts- und Organisationspflichten zu erfüllen. Diesbezügliche Ergebnisse aus Sicherungs- und Überprüfungsmaßnahmen (für Innenrevision, Jahresabschluss- und etwaige Sonderprüfungen) sind nachvollziehbar zu dokumentieren. Die Erklärung der FAFT vom 19.10.2012 sowie die Rundschreiben 6/2012 (GW) und 2/2010 (GW) bzgl. zu treffender Gegenmaßnahmen gelten weiterhin fort.

II. Informationsbericht der FATF vom 22.02.2013 zu Ländern unter Beobachtung

Die Länderprüfungen der FATF zeigen weiterhin Defizite einzelner Länder (siehe Informationsbericht der Anlage 2). Auch wenn hier keine weiteren Maßnahmen diesbezüglich bestehen, sollte die aktuelle Situation in diesen Ländern bei Bewertung der Länderrisiken oder von aus diesen Ländern ansässigen Personen angemessen berücksichtigt werden.

III. Verwaltungspraxis der BaFin zu §3 Abs. 2 Nr. 2 zweite Tatbestandsalternative GwG in Bezug auf Bartransaktionen (hier: Verlängerung Nichtsanktionierungsfrist)

Die Frist zum Inkrafttreten der gesetzlichen Regelungen gemäß § 3 Abs. 2 Satz 1 Nr. 2 GwG (Schwellenwert für Geldtransfers) sowie in § 6 Abs. 2 GwG (Abklärung des PeP-Status) aus dem Gesetz zur Optimierung der Geldwäscheprävention und dem damit einhergehenden Absehen der BaFin von aufsichtlichen Maßnahmen bei festgestellten Verstößen durch externe Prüfer wird letztmalig bis zum 30.09.2013 verlängert.

Bei Fragen sprechen Sie Hans Struwe (069 9585 2238) oder Oliver Eis (069 9585 3935) gerne an.

Geldwäscheprävention: Gesetzliche Neuerungen „in der Pipeline“

Im Bereich Geldwäsche bleibt es spannend und die gesetzlichen Neuerungen reißen nicht ab. Voraussichtlich noch in der KW 9 wird eine weitere Änderung des GwG durch die Verkündung des Gesetzes zur Ergänzung des Geldwäschegesetzes, das sich hauptsächlich mit der Regulierung von Glückspiel im Internet beschäftigt, in Kraft treten. Anbieter solcher Dienstleistungen werden durch vier neu eingefügte Paragraphen mit der Erfüllung geldwäscherechtlicher Anforderungen belegt. Implizit entfaltet diese Neuregelung auch Auswirkungen auf den Bankensektor, da seitens der Verpflichteten dort ein Erkennen von Geldströmen zwischen Spielern und Online-Anbietern von Glücksspielen, die in Deutschland registriert sind, möglich sein muss.

Auch auf europäischer Ebene ist der Gesetzgeber nicht untätig geblieben. Momentan sind neben weiteren Projekten der Entwurf einer vierten EU-Geldwäscherichtlinie und eine Neufassung der Geldtransferverordnung (EG 1781/2006) in Planung:

Die vierte EU-Geldwäscherichtlinie setzt den nach der FATF-Prüfung 2012 erkannten Anpassungsbedarf der 3. EU-Geldwäscherichtlinie um, insbesondere wegen uneinheitlicher Anwendung der bestehenden EU-Vorschriften in den Mitgliedstaaten und der damit einhergehenden Rechtsunsicherheit.

Ebenso sollen Unzulänglichkeiten der derzeitigen EU-Vorschriften beseitigt und Lücken geschlossen werden. Der Zweck des Entwurfs besteht laut Vorlage in der „Verschärfung und präziseren Ausgestaltung der derzeitigen Anforderungen“. Momentan sind keine wesentlichen Auswirkungen auf bereits vorhandene Systeme bei Kreditinstituten in Deutschland erkennbar, der zu erwartende Anpassungsbedarf (es sollen im Entwurf z.B. nach Verlust des PeP-Status mindestens 18 Monate verstärkte Sorgfaltspflichten gelten, statt der momentanen 12) hält sich nach unserer derzeitigen Einschätzung in Grenzen.

Ebenso wie die erwartete Neuerung im deutschen Geldwäscherecht liegt der Fokus auch auf dem Glückspiel. Der Entwurf der vierten EU-Geldwäscherichtlinie fordert zudem eine verbesserte Zusammenarbeit der Mitgliedsstaaten. Die Richtlinie erlangt jedoch erst durch Umsetzung in nationales Recht Gültigkeit, so dass die endgültigen Auswirkungen der Vierten EU-Geldwäscherichtlinie erst danach abschließend beurteilt werden können. Hier bleibt abzuwarten, wie der deutsche Gesetzgeber den Ermessensspielraum nutzt.

Abschließend bringt der Entwurf zur Neufassung der Geldtransferverordnung (EG 1781/2006) eine begrüßenswerte Ergänzung zur Verbesserung der Rückverfolgbarkeit von Zahlungen: Künftig sind auch die Daten des Begünstigten vergleichbar denen des Auftraggebers zu erheben. Ferner bringt der Entwurf konkretisierende Regelungen zur Behandlung einzelner Transaktionen und Schwellenwerte.

 

Sie haben Fragen zu diesen oder weiteren Compliance-Themen: Sprechen Sie Hans Struwe (069 9585 2238) oder Oliver Eis (069 9585 3935) gerne an.

Fit für Geldwäschesonderprüfungen?!

Eine Vielzahl von gesetzlichen und aufsichtsrechtlichen Neuerungen hat in den letzten Jahren auf die Institute eingewirkt und zu Änderungen in der Aufbau- und Ablauforganisation geführt. Zudem mussten neue Verfahren, Prozesse und Systeme eingeführt sowie neue Regelungen getroffen werden. Des Weiteren ist das Thema sonstige strafbare Handlungen stärker in den Fokus gerückt. Die Um­setzung der zahlreichen neuen Anforderungen hat die Institute zum Teil vor große Herausforderungen gestellt, zumal anfangs noch keine Auslegungs- und Anwen­dungshinweise zur Verfügung standen.

Ob die von den Instituten getroffenen Vorkehrungen zur Verhinderung von Geld-wäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen ange­messen und wirksam sind, haben zum einen die Geldwäschebeauftragten bzw. die Zentrale Stelle und die Internen Revisionen zu kontrollieren bzw. zu prüfen und zum anderen auch die externen Prüfer im Rahmen von Jahresabschluss- und Son­derprüfungen.

Die in den Jahren 2011/2012 durchgeführten Jahresabschluss- und Sonder-prüfungen haben gezeigt, dass bei den Instituten zum Teil noch erhebliche Mängel im Hinblick auf die Umsetzung der neuen Anforderungen bestehen. Vor diesem Hinter­grund sind auch die zahlreichen Sonderprüfungen zu sehen, die sowohl routinemä­ßig als auch in Einzelfällen anlassbezogen seitens der BaFin beauftragt werden.

Die Anordnung von  Sonderprüfungen ist zunehmend auch auf die man­gelnde Aussagekraft von Jahresabschlussberichten zurückzuführen. Nach Ansicht der BaFin verschaffen ihr die durchgeführten Jahresabschlussprüfungen im Bereich der Prävention von  Geldwäsche, Terrorismusfinanzierung und sonstigen strafba­ren Handlungen vielfach nicht den nötigen Einblick in die von den Instituten ge­troffenen Präventionsmaßnahmen.

Durch Sonderprüfungen i.S.d. § 44 Absatz 1 KWG soll in diesen Fällen durch einen weiteren externen Prüfer (nicht Jahresabschlussprüfer des zu prüfenden In­stituts) festgestellt werden, ob die gesetzlichen und regulatorischen Anforde­rungen in angemessener und wirksamer Weise vom Institut umgesetzt wur­den. Durch die Sonderprüfungen soll auch eine Zweitbeurteilung eingeholt werden, ob den Instituten möglicherweise nicht streng genug auf die Finger gesehen wurde. Sonderprüfungen sind somit ein Instrumentarium der BaFin zur intensiven Beaufsichtigung und Kontrolle von Instituten.

Insbesondere in den letzten Monaten war eine Zunahme von Geld-wäschesonderprüfungen zu beobachten. Dazu beigetragen hat auch eine Sonder-aktion der Bafin, die in einem Block insgesamt 40 Geldwäschesonderprü­fungen bei Sparkassen und Genossenschaftsbanken im vierten Quartal 2012 be­auftragt hat.

Die Wahrscheinlichkeit ist dementsprechend hoch, dass bei Instituten entspre­chende Sonderprüfungen durchgeführt werden. Aus diesem Grunde sollten sich die Institute fit machen für Sonderprüfungen. Eine rechtzeitige und gründliche Vorbereitung ist dabei ebenso wichtig, wie die professionelle Begleitung des exter­nen Prüfers während der Sonderprüfung. Je zielorientierter die Vorbereitung im Vorfeld erfolgt, desto effizienter, ressourcensparender und reibungsloser verläuft die Prüfung. Dies sind die Grundvoraussetzungen für eine beanstandungs-arme Prüfung.

In Bezug auf die Ausgestaltung und den Umfang der Prüfungen ist zu beachten, dass sich diese infolge der zahlreichen neuen gesetzlichen und aufsichtsrechtli­chen Anforderungen im Zeitablauf erheblich gewandelt haben. Die neuen Rege­lungen (insbesondere §§ 25c bis 25i KWG und §§ 20, 21 PrüfbV) haben den Prü­fungsansatz und -vorgehensweise sowie die Prüfungsintensität enorm verän­dert. Hierdurch und durch neue zusätzliche Prüfungsfelder haben sich auch der Umfang der Prüfungen und die Berichterstattung über die durchgeführten Prüfun­gen deutlich erhöht. Zudem haben die Prüfungen der Sicherungsmaßnahmen zur Verhinderung sonstiger strafbarer Handlungen nunmehr den gleichen Stellen­wert, wie die Prüfungen der Präventionsmaßnahmen zur Bekämpfung von Geld­wäsche und Terrorismusfinanzierung. Das Thema sonstige strafbare Handlungen ist somit auch für die Prüfer stärker in den Fokus gerückt.

Große Auswirkungen auf die Prüfungen hat auch der BaFin-Fragebogen gemäß § 21 Absatz 8 PrüfbV. Obwohl dieser grundsätzlich nur im Rahmen von Ab-schlussprüfungen anzuwenden ist, wird dessen Verwendung zwischenzeitlich von der BaFin auch bei Sonderprüfungen vorgegeben. Durch die Vorgabe der inzwischen 49 Sachverhalte, zu denen der Prüfer im Bericht und im BaFin-Fragenbogen Stellung zu beziehen hat, hat der Prüfer hin­sichtlich Gegenstand und Umfang der zu prüfenden Normen kein Ermessen mehr.

Bei den durchgeführten Prüfungen hat sich zudem herausgestellt, dass bis auf we­nige Ausnahmen die festgestellten Mängel keine Einzelfälle waren, sondern bei mehreren Instituten festgestellt wurden. Aufgrund dieser Erfahrungen werden die Sonderprüfer diese bekannten Sachverhalte bei ihren Prüfungen gezielt hinterfra­gen. Daher ist es ratsam, die festgestellten Mängel im Hinblick auf die eigene Be­troffenheit kritisch zu beleuchten und aus den Fehlern anderer zu lernen, um sich nicht selbst die Finger zu verbrennen.

Sie haben Fragen hierzu? Sprechen Sie Hans Struwe (+49 69 9585 2238) und Oliver Eis (+49 69 9585 3935) gerne an.

Vorgaben zu BT 1 MaComp nach 3. Neufassung der MaComp am 27. Januar 2013 in Kraft getreten

Mit dem Anschreiben vom 30. November 2012  hat die BaFin die 3. Neufassung der MaComp veröffentlicht. Jene enthält u.a. eine Überarbeitung des Moduls BT 1 MaComp. Gemäß den „Leitlinien über bestimmte Aspekte der Anforderungen an die Compliance-Funktion unter MiFID“ treten die Vorgaben des BT 1 MaComp zum 27. Januar 2013 in Kraft. Dessen neue Struktur wird durch die Umsetzung der ESMA-Guideline bedingt. Kernpunkte des neuen Moduls BT 1 MaComp sind:

    1. Der bisherige BT 1.2 Tz. 6 MaComp (alte Fassung) wurde in BT 1.2.1.1 MaComp (Neufassung) dahingehend erweitert, dass die Compliance-Funktion im Rahmen ihrer regelmäßigen Risikoanalyse nunmehr auch ein Risikoprofil im Hinblick auf Compliance-Risiken zu ermitteln hat. Grundlage der Bestimmung des Risikoprofils sind Art, Umfang und Komplexität der angebotenen Wertpapierdienstleistungen und Wertpapiernebendienstleistungen sowie die Arten der gehandelten und vertriebenen Finanzinstrumente.
    2. Ebenfalls neu ist, dass sich die Überwachungshandlungen der Compliance-Funktion gem. BT 1.2.1.2 MaComp (Neufassung) auch auf den Ablauf des Beschwerdeverfahrens erstrecken. Zwar muss diese nicht an der operativen Bearbeitung der Beschwerden beteiligt sein. Die Beschwerden sind seitens Compliance jedoch als Informationsquelle im Kontext ihrer allgemeinen Überwachungsaufgaben heranzuziehen. Daher hat das Wertpapierdienstleistungsunternehmen der Compliance-Funktion uneingeschränkten Zugang zu allen Beschwerden zu gewähren.
    3. Den Beratungsaufgaben der Compliance-Funktion wird nunmehr ein eigener Gliederungspunkt in BT 1.2.3 MaComp (Neufassung) gewidmet. Umfangreicher als im bisherigen BT1.2 Tz. 5 MaComp (alte Fassung) wird hiernach konkretisiert, wie die Compliance-Funktion ihren Beratungspflichten u.a. bei Schulung und täglicher Betreuung von Mitarbeitern sowie der Erstellung neuer Grundsätze und Verfahren nachzukommen hat.
    4. Des Weiteren enthält BT 1.2.4 MaComp (Neufassung) detaillierte Ausführungen zur Beteiligung der Compliance-Funktion an Prozessen. Diese beinhaltet u.a. die Beratung der operativen Bereiche und Einbringung von Sachkenntnissen bei der Erschließung neuer Geschäftsfelder, Dienstleistungen, Märkte und Handelsplätze, der Auflage neuer Finanzprodukte sowie der Einführung neuer Werbestrategien im Bereich der Wertpapierdienstleistungen
    5. BT 1.3.2.1 MaComp (Neufassung) präzisiert überdies den Überwachungsplan, welcher ehemals in BT 1.1.3 MaComp (alte Fassung) geregelt wurde, indem dieser sich nunmehr auch auf unvorhergesehene Ereignisse erstrecken muss und fortlaufend an Änderungen im Risikoprofil des Unternehmens anpassen ist.

Auch wenn sich mit dieser Neufassung des Moduls BT 1 MaComp hinsichtlich der Compliance-Funktion die materiellen Änderungen in einem überschaubaren Rahmen halten, werden jedoch der Regelungsumfang und die Detailtiefe deutlich erhöht.

Ein Jahr DK-Hinweise – Wohin mit der „Zentralen Stelle“?

Auch rund ein Jahr nach Veröffentlichung der Auslegungs- und Anwendungshinweise der Deutschen Kreditwirtschaft (DK) vom 16. Dezember 2011 bestehen in vielen Häusern nach wie vor Unsicherheiten in Bezug auf die konkrete Ausgestaltung der Sorgfaltspflichten und der internen Sicherungsmaßnahmen.

Insbesondere die Ansiedlung der „Zentralen Stelle“ zur Prävention von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen ist für viele Häuser, insbesondere für kleinere und mittelgroße Institute, häufig eine echte Herausforderung.

Einerseits ist die Zentrale Stelle als Instrument der Geschäftsleitung organisatorisch und fachlich unmittelbar dem Vorstand bzw. der Geschäftsführung nachzuordnen, disziplinarisch zu unterstellen und dieser berichtspflichtig.

Andererseits soll grundsätzlich keine Anbindung an andere Organisations- und Stabseinheiten erfolgen, soweit nicht eine Anbindung auf gleicher Ebene an andere Kontrollbereiche (die DK-Hinweise verweisen in diesem Zusammenhang explizit auf die WpHG-Compliance und das Risikocontrolling bei gleichzeitiger Leitungswahrnehmung von beiden Bereichen) angedacht ist.

Allerdings sind Anbindungen an andere Organisations- und Stabseinheiten prinzipiell möglich. Hier kommt es darauf an, mögliche Interessenkonflikte, die mit der bestehenden oder beabsichtigten Organisationsstruktur verbunden sind, herauszuarbeiten und ggf. kompensierende Maßnahmen zu ergreifen und dies zu dokumentieren. Ferner ist zu begründen, warum diese Organisationsstruktur gewählt wurde.

Ähnlich der diversen Öffnungsklauseln, die die MaRisk bieten, können also auch bei der Ausgestaltung der zentralen Stelle bei Beachtung der Voraussetzungen entsprechende Freiräume genutzt werden. Hierbei können Risikoabwägungen, Verhältnismäßigkeit (z.B. Institutsgröße) sowie Wirtschaftlichkeitsaspekte eine entscheidende Rolle spielen. Wichtig ist jedoch die prüfungstechnisch nachvollziehbare Dokumentation der Gründe für die Ausgestaltung der zentralen Stelle.

Sie haben Fragen hierzu oder zu weiteren Aspekten der Auslegungs- und Anwendungshinweise der DK? Sprechen Sie Hans Struwe (+49 69 9585 2238) und Oliver Eis (+49 69 9585 3935) gerne an.

BaFin verlängert Nichtsanktionierungsfrist für Verstöße gegen das Geldwäscheoptimierungsgesetz

Die BaFin hat in ihrem neuen „Rundschreiben 9/2012 (GW) – Verlängerung der Nichtsanktionierungsfrist“ vom 17. Dezember 2012 die Frist für aufsichtliche Maßnahmen bei Verstößen gegen die durch das Geldwäscheoptimierungsgesetz (GwOptG) geänderten bzw. neu eingefügten Regelungen in § 3 Abs. 2 Satz 1 Nr. 2 GwG (Schwellenwert für Geldtransfers) sowie in § 6 Abs. 2 GwG (Abklärung des PEP-Status)  bis zum 31. März 2013 verlängert.

Sie haben Fragen zur Umsetzung des Geldwäscheoptimierungsgesetzes? Sprechen Sie uns gerne an!

Compliance-Funktion nach der MaRisk-Novelle 2012: Kleiner Abschnitt, große Wirkung?

Nachdem im April 2012 durch die BaFin mit dem Entwurf für eine Überarbeitung der Mindestanforderungen an das Risikomanagement (MaRisk) der Konsultationsprozess eingeleitet wurde, erwarteten die Marktteilnehmer die Veröffentlichung der neuen MaRisk noch vor dem nahenden Weihnachtsfest. Am 14. Dezember 2012 war es dann soweit, die BaFin hat die Überarbeitung mit dem Rundschreiben 10/2012 (BA) – Mindestanforderungen an das Risikomanagement – MaRisk veröffentlicht.

Während bei der Veröffentlichung der Neufassung der MaRisk im Dezember 2010 überwiegend das Risikomanagement betroffen war, werden sich dieses Jahr auch insbesondere die Compliance-Officer intensiv mit den Neuerungen der MaRisk auseinandersetzen (müssen).

Die BaFin hat in AT 4.4.2 die Anforderungen an eine neue Compliance-Funktion dargestellt, die den Risiken, die sich aus der Nichteinhaltung der wesentlichen rechtlichen Regelungen und Vorgaben ergeben können, entgegenzuwirken hat. Die Compliance-Funktion wird damit erstmals als besondere Funktion i.S.d. MaRisk herausgestellt und gleichwertig neben die Bereiche Risikocontrolling und Interne Revision gestellt.

Die rege Diskussion um die Umsetzung der Anforderungen an diese neue Compliance-Funktion zeigte bereits im Rahmen des Konsultationsprozesses, dass damit ein erheblicher Aufwand verbunden sein könnte. In Gesprächen aufkommende Fragen wie

  • Muss Compliance zukünftig auch die Steuererklärung kontrollieren?
  • Prüfen Interne Revision und Compliance gleichberechtigt nebeneinander?
  • Müssen wir uns als Compliance um jede Vorschrift kümmern?
  • Was sind wesentliche Regelungen?
  • Was ändert sich für uns?

machen deutlich, dass hier eine große Unsicherheit hinsichtlich der Umsetzung und Ausgestaltung besteht.

Um diesen Unsicherheiten entgegenzuwirken, hat die BaFin im Anschreiben an die Verbände zur Veröffentlichung der Endfassung der MaRisk 2012 erläuternd Stellung genommen. Demnach zielen die neuen Anforderungen insbesondere auf eine angemessene Compliance-Kultur innerhalb der Institute ab, die sich auch in den Geschäftsbereichen wiederfinden muss. Die Geschäftsbereiche werden auch weiterhin für die Einhaltung der rechtlichen Regelungen und Vorgaben verantwortlich sein, während die neue Compliance-Funktion eine beratende und koordinierende Aufgabe übernehmen soll. Hinsichtlich des Umfangs der rechtlichen Regelungen und Vorgaben wurde in dem Anschreiben klargestellt, dass nicht alle relevanten Rechtsbereiche eines Instituts einbezogen werden müssen, sondern risikoorientiert die Bereiche, denen ein wesentliches Compliance-Risiko anhaftet.

Trotz der bestehenden Unsicherheiten und Interpretationsfragen sehen wir in der Neugestaltung der Compliance-Funktion auch die Chance, dass sich die Institute nachhaltig und umfassend mit ihren Compliance-Risiken auseinandersetzen und damit in der Lage sein werden, diese Risiken effizienter zu minimieren. Dass dies erforderlich ist, belegt leider auch die fortwährende Berichterstattung in den öffentlichen Medien (Falschberatung, Libor-Manipulation, Insiderhandel, Untreue-Tatbestände, Lustreisen, etc.).

Den bestehenden Interpretationsunsicherheiten zum Trotz werden sich im Markt entsprechende Standards entwickeln. Auch die BaFin beabsichtigt zusammen mit der Bundesbank nach Möglichkeit bereits im ersten Halbjahr 2013 im Fachgremium MaRisk mit der Praxis die Auslegungs- und Anwendungsfragen weiter zu diskutieren.

Unabhängig davon haben wir die folgenden Kernthesen für die neue Compliance-Funktion aufgestellt:

  • Compliance wird zukünftig eine weitergehende Rolle und Verantwortung als bisher im Institut wahrnehmen müssen.
  • Compliance wird als Frühwarnindikator für Geschäftsleitung und Aufsichtsorgan Risiken rechtzeitig erkennen müssen.
  • Compliance wird eine aktive Rolle in der Prävention von Risiken übernehmen.
  • Zur Umsetzung der neuen Compliance-Funktion wird ein kultureller Wandel in den Instituten erforderlich sein.

Die schwierigste Aufgabe am Anfang wird jedoch sein, wie die unter Risikogesichtspunkten zu bestimmenden wesentlichen rechtlichen Regelungen und Vorgaben identifiziert werden. Vor allem vor dem Hintergrund, dass in AT 4.4.2 diese Auswahl offen dargestellt wird, während in dem Anschreiben an die Verbände eine gewisse Vorauswahl mit den Bereichen Wertpapierdienstleistungen, Geldwäsche und Terrorismusfinanzierung, allgemeine Verbraucherschutzvorgaben, Datenschutzvorgaben und Fraud getroffen wurde. Diese Aufzählung ist aber nicht abschließend, da laut Anschreiben auch andere Bereiche, soweit als wesentlich eingestuft, zu beachten sind. Daher wird es an dieser Stelle entscheidend sein, eine transparente und für Dritte nachvollziehbare Vorgehensweise zur Identifikation der wesentlichen rechtlichen Regelungen und Vorgaben zu entwickeln. Dabei sollte die Konsistenz zu anderen Risikobewertungen (z.B. Operational Risk) berücksichtigt werden und eine effiziente Vorgehensweise durch Nutzung bestehender Prozesse zur Erhebung von Risiken gewählt werden.