Am 25.11.2019 veröffentlichte die CSSF ihre FAQ Persons involved in AML/CFT for a Luxembourg Investment Fund or Investment Fund Manager supervised by the CSSF for AML/CFT purposes[1] (nachfolgend die „FAQ“). Die FAQ erinnern die Führungs- und Aufsichtsgremien luxemburgischer, von der CSSF regulierter Investmentfonds[3], AIFM und OGAW-Verwaltungsgesellschaften daran, dass diese gemäß Artikel 4 Abs. 1 des Gesetzes vom 12. November 2004 gegen Geldwäsche und Terrorismusfinanzierung[4] (nachfolgend das „Gesetz“) verpflichtet sind, auf Ebene des Vorstands den sog. responsable du respect des obligations (nachfolgend „RR“) zu bestellen sowie – „hierarchisch ggf. nachgeordnet“ – den sog. responsable du contrôle du respect des obligations (nachfolgend „RC“) zu benennen bzw. zu beauftragen. Gleichzeitig beschränkt die CSSF damit das in Artikel 4 Abs. 1 des Gesetzes vorgesehene, den sog. risikobasierten Ansatz reflektierende, Ermessen des Vorstands dahingehend, dass der RC zwingend zu beauftragen ist und nicht nur dann, wenn dies im Hinblick auf die Größe und die Art der Geschäftstätigkeit des Investmentfonds bzw.

der Verwaltungsgesellschaft angezeigt ist.[5] Im Ergebnis unproblematisch und sowohl die Vorgaben der AIFMD[6] als auch gesellschaftsrechtliche Grundsätze widerspiegelnd ist der RR aus der Mitte des Vorstands zu bestellen bzw. kann zumindest für Investmentfonds auch den gesamten Vorstand umfassen. Es muss für Investmentfonds also kein einzelnes Mitglied des Vorstands zum RR bestellt werden. Fragen können allerdings für Investmentfonds zum einen die Auswahl und Beauftragung des RC aufwerfen und zum anderen auch die „Auswahl“ eines passenden RR.

Die FAQ erlauben es grundsätzlich, sowohl den RC als auch den RR aus der Mitte des Vorstands zu bestellen, weisen dabei aber darauf hin, dass diese FAQ aufgrund der vielfältigen Konstellationen, die im Bereich Investmentfonds, AIFMD und Gesellschaftsrecht möglich sind, notwendigerweise generalisierend sind. Leitbild der FAQ ist nach unserem Verständnis in Einklang mit den Vorgaben der AIFMD und des Gesellschaftsrechts die Bestellung des AIFM zum (externen) RC, soweit ein Investmentfonds einen autorisierten AIFM mandatiert hat.  

1. Anforderungen an RR und RC gemäß FAQ und Gesetz
2. Einheitliche Anforderungen

Die FAQ sehen drei Bedingungen vor, die für jeden RR und RC gleichermaßen gelten. Erstens müssen RR und RC die erforderliche Sachkenntnis der Investitionen und Vertriebsstrategien des betroffenen Investmentfonds und der vom Verwalter alternativer Investmentfonds (der „AIFM“) angebotenen Dienstleistungen vorweisen.

Das ergibt sich bereits aus der „job description“ eines RR als auch eines RC und bedarf keiner weiteren Erläuterung. Zweitens müssen beide über nachweisbar (!) ausreichende Erfahrung in Bezug auf die in Luxemburg geltenden AML-KYC-Vorschriften verfügen. Und drittens sind sie verpflichtet, auf Anfrage der luxemburgischen Behörden, die für die Maßnahmen gegen Geldwäsche und Terrorismusfinanzierung zuständig sind, für Fragen und sonstige Kommunikation zur Verfügung zu stehen. Für „lediglich“ registrierte AIF – also die Vorstände entsprechender Investmentfonds – und AIFM kann als Beispiel für eine derartige Kommunikation und die damit verbundene Verantwortlichkeit des Vorstands die CSSF-Kommunikation vom 31.01.2020 hinsichtlich der jährlichen KYC-AML-Umfrage dienen.[7] 

Der Nachweis über ausreichende Erfahrungen im Bereich der luxemburgischen AML-KYC-Anforderungen kann gemäß den FAQ z. B. über dokumentierte Schulungen erfolgen.  

Auswirkungen auf die Auswahl eines RR

  Soweit eine bestimmte Person des Vorstands zum RR gewählt werden soll, aber auch dann, wenn angedacht ist, den gesamten Vorstand zum RR zu bestellen, führen die dargestellten Anforderungen häufig zu einer „Selektion“, jedenfalls wenn der Vorstand gemäß der gängigen Marktpraxis aus einem Vertreter des Initiators, einem Vertreter der Dienstleister des Investmentfonds und einem unabhängigen Vorstand mit Sitz in Luxemburg besteht. Der Vertreter des Initiators wird selten die Anforderungen an nachweisbare Erfahrung im luxemburgischen AML/KYC-Recht erfüllen, ganz abgesehen davon, dass der Initiator die Dienstleister in Luxemburg vor dem Hintergrund auswählt, um derartige Themen nicht selbst auf dem Tisch zu haben. Es stellt sich also die Frage, ob es eine gute Idee ist, den Vertreter des Initiators der Möglichkeit auszusetzen, einen unerwarteten Anruf von der CSSF zu erhalten, die dann ein paar Fragen zur aktuellen AML-KYC-Situation des Fonds stellt.[8] 

Bei dem Vertreter der Dienstleister sollte die Nachweispflicht über die geforderten AML-KYC Kenntnisse grundsätzlich erfüllbar sein, denn die Mitarbeiter der hiesigen Dienstleister sind ohnehin verpflichtet, entsprechende Schulungen zu absolvieren. Hier kann es allerdings aus unserer Sicht zu vermeidbaren Interessenkonflikten kommen, da der Vorstand eines Investmentfonds für die Überwachung der Dienstleister und damit auch für den Arbeitgeber des RC verantwortlich ist. Der RR würde sich also selbst überwachen, wenn ein Dienstleister des Investmentfonds über einen Mitarbeiter gleichzeitig den RR stellt.[9] Ein solcher Interessenkonflikt lässt sich aus unserer Sicht hier vermeiden, wenn a) nicht der gesamte Vorstand die Funktion des RR übernimmt und b) erst recht nicht der Vertreter eines Dienstleisters, der entweder als AIFM die Verantwortung für die Einhaltung der AML-KYC-Vorgaben trägt – dazu nachfolgend mehr – oder für die Investoren-DD verantwortlich ist, z. B. als Transfer- und Registerstelle. In Anbetracht der Rolle, die AML-KYC-Compliance spielt, sowie die zunehmende Fokussierung auf die Verantwortung der Vorstände insgesamt, kombiniert mit den Vorgaben der AIFMD, Interessenkonflikte womöglich zu vermeiden, erscheint es uns sinnvoll, keine Interessenkonflikte zu produzieren, wo diese vermieden werden können.

In diesem Fall bliebe der unabhängige Vorstand als RR, dessen DD seitens des Initiators dann die Frage nach dokumentierter Sachkenntnis im Bereich des luxemburgischen AML-KYC-Rechts direkt mit abdecken sollte – zusammen mit der Frage, ob dieser Vorstand überhaupt bereit ist, diese Verantwortung zu übernehmen.[10]

Zusätzliche Anforderungen an den RC

Die RC müssen zusätzlich zu dem ausreichenden Wissen über das lux. AML-KYC-Recht über eine ausreichende Expertise in diesem Bereich verfügen. Mit anderen Worten: Sie müssen ihr Wissen auch anwenden oder zumindest in der näheren[11] Vergangenheit angewandt haben. Hier wird es für viele Vorstände eines Investmentfonds ggf. schon eng, so dass diese bereits aus diesem Grund nicht die Funktion des RC übernehmen können.

Des Weiteren muss jeder RC Zugang zu allen internen Dokumenten und Systemen haben, die zur Erfüllung seiner Aufgaben erforderlich sind und den hiesigen Aufsichtsbehörden ohne Verzögerung zur Verfügung stehen. Jeder Vorstand sollte grundsätzlich eine seinen Aufgaben bzw. Verantwortlichkeiten entsprechende Datenlage über den Investmentfonds jederzeit zur Verfügung haben. Die Vorstände eines Investmentfonds sind jedoch in Einklang mit den Vorgaben der AIFMD sowie des Gesetzes von 1915 über Handelsgesellschaften (nachfolgend das „Gesetz von 1915“) nicht für die operative, tägliche KYC-AML-Arbeit zuständig. Schon mangels Substanz auf Ebene der Vorstände der Investmentfonds in gesellschaftsrechtlicher Form mandatieren diese ja in der Regel externe Dienstleister mit der täglichen Wahrnehmung der operativen Tätigkeiten des Investmentfonds. Dementsprechend gibt es auch in aller Regel keinen direkten Zugriff auf die Daten dieser Investmentfonds auf Vorstandsebene, geschweige denn auf die internen Systeme der Dienstleister, abgesehen von dem Vorstand, der von dem/einem Dienstleister gestellt wird und dann nur in Bezug auf dessen Arbeitgeber. Also auch in diesem – interessenkonfliktsträchtigen – Fall ist nicht zwingend ein solcher Zugriff gewährleistet, z. B. wenn Investoren-DD und Transaktions-DD von unterschiedlichen Unternehmen wahrgenommen werden.

Darüber hinaus weist die AIFMD dem AIFM die umfassende Verantwortung für die täglichen Geschäfte des Investmentfonds zu, wozu unter anderem die Verantwortung für die Einhaltung geltender Rechtsvorschriften gehört[12], so dass für die Vorstände „nur“ die Überwachung dieser Tätigkeiten seitens des AIFM und ggf. der weiteren Dienstleister übrig bleibt. Soweit ein autorisierter AIFM mandatiert wurde, ist der Vorstand vom „day-to-day“-Management des Investmentfonds ausgeschlossen.[13] In Anbetracht dieses aufsichtsrechtlich geforderten Ausschlusses von der täglichen Geschäftsführung einerseits und den geschilderten Verantwortlichkeiten des RC andererseits scheint eine Mandatierung eines Vorstands als RC widersinnig. Beide Aspekte – die „Substanzlosigkeit“ des Investmentfonds-Vorstands und dessen Ausschluss von der täglichen Geschäftsführung – lassen den geforderten Zugang zu allen internen AML-KYC-relevanten Dokumenten und Systemen, um Fragen der Aufsichtsbehörden unverzüglich beantworten zu können, sowie den täglichen Umgang mit diesen Daten für einen RC auf Ebene des Vorstands mehr als fraglich erscheinen, um nicht zu sagen ausgeschlossen. Aus unserer Sicht würde die Wahrnehmung des RC durch den Vorstand für alle Investmentfonds mit autorisiertem, externem AIFM dadurch zwingend zu einer doppelten Verantwortung und „doppelten“ Beschäftigung mit den AML-KYC-Funktionen führen müssen – einmal auf Ebene des Vorstandsmitglieds, welches die Funktion des RC übernimmt, und einmal auf Ebene des AIFM und ggf. sogar ein drittes Mal, wenn die Transfer- und Registerfunktion von einem weiteren Dienstleister übernommen wurde. Das scheint wenig effizient. Die FAQ verweisen hinsichtlich der Qualifikation des RC und der Anforderungen an den RC des Weiteren explizit auf die Verordnung 12-02 der CSSF (nachfolgend die „VO 12-02“).[14] Diese sieht vor, dass der RC innerhalb der Organisation über die Autorität und Befugnisse verfügen muss, die für die effektive und autonome Ausübung seiner Funktionen erforderlich sind.[15] Er muss die AML/CFT-Maßnahmen des Investmentfonds umsetzen und ist befugt, aus eigener Initiative Maßnahmen vorzuschlagen, um zu gewährleisten, dass der Investmentfonds seinen Pflichten bezüglich AML/CFT nachkommt[16]. Dabei ist es dem RC unbenommen, die Ausübung dieser Aufgaben auf einen oder mehrere Mitarbeiter und/oder externe Dienstleister zu übertragen[17]. Diese Vorgaben entsprechen a) der Funktion eines Compliance-Officers im Rahmen der Organisation eines AIFM oder auch eines anderen PSF, b) der Verantwortungszuweisung an den AIFM durch die AIFMD[18] und c) dem Zusammenspiel aus den Vorgaben des Gesetzes von 1915 und der AIFMD. Der Vorstand ist für die Überwachung der mandatierten Dienstleister und der Umsetzung der Fonds-Dokumentation verantwortlich. Es handelt sich also um eine „nachträgliche“ Überwachungstätigkeit, während der AIFM umfassend für das „day-to-day“-Management der Investmentfonds verantwortlich ist. Wie bereits dargestellt, korrespondiert die Funktion des RC somit rechtlich mit dem Verantwortungsbereich des AIFM und auch mit dessen organisatorischer Aufstellung.  

Welche Konsequenzen hat es, wenn der Investmentfonds die tägliche AML-KYC-DD auf Dritte delegiert?

 Für einen AIFM stellt sich die Frage, ob sich an der Analyse etwas ändert, wenn der Investmentfonds die tägliche AML-KYC-Arbeit an eine rechtlich getrennte Einheit auslagert, z. B. einen anderen Dienstleister. Das kommt häufig im Rahmen der Investoren-DD durch die beauftragte Transfer- und Registerstelle und hinsichtlich des Transaktions-Monitorings vor, also der AML-KYC-Prüfung im Rahmen des Transaktionsgeschäfts sowie bei Delegation des Portfoliomanagements auf einen externen Asset-Manager. In diesen Fällen ließe sich seitens des AIFM einwenden, dass er die Anforderungen der VO 12-02 und der FAQ nicht erfüllen könne, da es an den Zugriffs- und Einflussnahmemöglichkeiten auf die verantwortlichen Stellen fehle.  

Die Antwort auf diese Frage ist „nein“. Die AIFMD versteht die Verantwortungs- und Delegationsvorschriften umfassend und hält Regeln für solche Fälle bereit, in denen der AIFM über keine „Durchgriffsrechte“ auf dritte Dienstleister verfügt. Diese Vorgaben der AIFMD finden entsprechend Anwendung im Hinblick auf die hier relevanten AML-KYC-Prüfungen und Systeme seitens dritter Dienstleister. Da die FAQ und die VO 12-02 eine schriftliche Vereinbarung zwischen Investmentfonds und RC hinsichtlich der Aufgaben des RC verlangen, wenn es sich um einen „externen“ RC handelt, sollten entsprechende Regelungen in diese Vereinbarung aufgenommen werden.

Gemäß Artikel 42 Abs. 5 der VO 12-02 ist der RC verpflichtet, dem Vorstand regelmäßig schriftliche Berichte über die Umsetzung der AML/CFT-Maßnahmen und die in diesem Zusammenhang festgestellten Probleme, Risiken usw. vorzulegen. Diese Prozedur sollten Vorstand und RC in Anbetracht der konkreten Ausgestaltung des Investmentfonds und damit unter Beachtung des risikobasierten Ansatzes gemeinsam festlegen.  

Nicht unmittelbar der Aufsicht der CSSF unterliegende Investmentfonds bzw. Investmentfonds ohne autorisierten AIFM

  Für Investmentfonds, die nicht der unmittelbaren Aufsicht der CSSF unterliegen, wie z. B. der RAIF oder die unregulierte SCS/SCSp in der Ausgestaltung als AIF mit einem autorisierten AIFM, gilt zunächst das bereits Gesagte: Auch hier ist der AIFM für die Einhaltung der rechtlichen Vorgaben und damit auch der AML-KYC-Gesetzgebung der europäischen Union bzw. Luxemburgs verantwortlich. Für die jeweiligen AIFM selbst, aber auch sonstige von dem Investmentfonds mandatierte PSF, gelten die Vorgaben des Gesetzes und damit der VO 12-02 sowie die Klarstellungen der FAQ ohnehin. Gesellschaftsrechtlich und damit gemäß den Vorgaben des Gesetzes von 1915 sind die Vorstände des Investmentfonds – Verwaltungsräte oder Komplementäre – das „Aufsichtsgremium“ für alle von dem jeweiligen Investmentfonds mandatierte Dienstleister. Für diese Aufsicht haften die Vorstände auch gegenüber Investoren und sonstigen Gläubigern. Teil dieser Aufsichtsfunktion ist die regelmäßige Überwachung, dass die mandatierten Dienstleister, wie z. B. ein AIFM, ihren Job erledigen. Um dieser Pflicht dokumentiert nachzukommen, sollten die Vorstände „unregulierter“[19] Investmentfonds aus unserer Sicht im Ergebnis den gleichen Anforderungen nachkommen wie ihre Kollegen in Investmentfonds, welche der unmittelbaren Aufsicht der CSSF unterliegen.

Auch registrierte AIF in gesellschaftsrechtlicher Form, denen nicht die Infrastruktur eines „autorisierten“ AIFM zur Verfügung steht, unterliegen den Vorgaben des Gesetzes von 1915. Auch für diese Investmentfonds und insbesondere deren mandatierte Dienstleister, wie z. B. eine Transfer- und Registerstelle, gelten die Vorgaben des Gesetzes und der VO 12-02. Mangels autorisiertem AIFM ist hier allerdings die Beauftragung des RC anders zu regeln. Dies kann auf Ebene des Vorstands erfolgen. Anders als in den oben beschriebenen Fällen stellt sich insbesondere die Frage der Interessenkonflikte anders dar. Die Verwaltung dieser Fonds, insbesondere das Portfolio- und Risikomanagement, fokussiert sich in der Regel ohnehin stärker auf Ebene des Vorstands. Allerdings ist der Dokumentationsaufwand nicht zu unterschätzen, der dann neben dem Transaktionsgeschäft auch die Investoren-DD erfasst. Hier ist eine entsprechende Abstimmung und Vereinbarung mit der Transfer- und Registerstelle erforderlich. Die FAQ sind daher auch für diese Vorstände eine gute Erinnerung.    

[1] Abrufbar auf Englisch: http://www.cssf.lu/fileadmin/files/Metier_OPC/FAQ/FAQ_Persons_involved_in_AML_CFT_for_a_Luxembourg_Investment_Fund_or_Investment_Fund_Manager_251119.pdf und auf Französisch: http://www.cssf.lu/fileadmin/files/Metier_OPC/FAQ/FAQ_Persons_involved_in_AML_CFT_for_a_Luxembourg_Investment_Fund_or_Investment_Fund_Manager_251119.pdf.

[2] Nachfolgend sprechen wir zusammenfassend für Verwaltungsräte und Komplementäre von Investmentfonds sowie für die Geschäftsführungen der AIFM und OGAW-Verwaltungsgesellschaften von „Vorstand“.

[3] Inwieweit auch nicht direkt von der CSSF regulierte Investmentfonds, wie z. B. RAIF und SCS/SCSp-AIF erfasst sind, wird in diesem Artikel am Ende ebenfalls beleuchtet.

[4] Abrufbar auf Englisch: http://www.cssf.lu/fileadmin/files/Lois_reglements/Legislation/Lois/L_121104_AML_upd100818_eng.pdf und auf Französisch: http://www.cssf.lu/fileadmin/files/Lois_reglements/Legislation/Lois/L_121104_blanchiment_upd100818.pdf.

[5] An dieser Stelle sei darauf hingewiesen, dass sich die AML-KYC-Anforderungen für Investmentfonds nicht in einer entsprechenden Prüfung und Überwachung der Investoren eines Investmentfonds erschöpfen, sondern auch die Investmentseite der Fonds umfassen. (Auch) dieser Aspekt des Risikomanagements fällt in den Verantwortungsbereich des AIFM, unabhängig davon, ob „autorisiert“ oder „registriert“, in letzterem Fall also in der Verantwortung des Vorstands liegt.

[6] Wir beschränken uns in unserem Artikel wie gehabt auf die AIFMD und blenden die OGAW-RL aus. Im Hinblick auf die AIF gehen wir nachfolgend von einer gesellschaftlichen Organisationsform aus und nicht von einem FCP, da für letztere RR u. RC notwendigerweise aus den Reihen der Verwaltungsgesellschaft bestellt werden (können). Die Verwaltungsgesellschaften verfügen bereits über entsprechende Funktionen, so dass sich die nachfolgend diskutierten Fragen nicht stellen sollten.

[7] Abrufbar nur auf Englisch: http://www.cssf.lu/fileadmin/files/Lois_reglements/Circulaires/Blanchiment_terrorisme/lettre-circulaire_310120_AML-CFT.pdf.

[8] Auch wenn davon auszugehen ist, dass die CSSF eher bei den ansässigen Vorständen anruft, lassen FAQ und Gesetz genau das zu.

[9] Soweit ein Dienstleister ein Mitglied des Vorstands bestellt, besteht hier grundsätzlich ein Interessenkonflikt. Die Frage ist nur, ob dieser ausgeweitet werden soll. An dieser Stelle der Hinweis, dass die AIFMD vom Grundsatz der Vermeidung von Interessenkonflikten ausgeht und nur, wo Interessenkonflikte nicht zu vermeiden sind, die Vorschriften im Umgang mit solchen gelten.

[10] Auch an dieser Stelle sei beispielhaft auf Fn. 7 verwiesen.

[11] Sollte die praktische Erfahrung zu lange zurückliegen, kann an der Relevanz dieser Erfahrung gezweifelt werden, wenn man berücksichtigt, wie sich a) die Anforderungen als solche in der letzten Zeit geändert haben und b) welche Entwicklungen im Bereich der IT hier erfolgt sind.

[12] Vgl. hinsichtlich dieser sehr allg. Vorgabe: Anhang I Punkt 2 a) iv) der AIFMD: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32011L0061&from=DE und hinsichtlich der Verantwortung des AIFM: ESMA FAQ Question 2: https://www.esma.europa.eu/sites/default/files/library/esma34-32-352_qa_aifmd.pdf.

[13] ESMA FAQ Question 3: https://www.esma.europa.eu/sites/default/files/library/esma34-32-352_qa_aifmd.pdf.

[14] Abrufbar auf Englisch: http://www.cssf.lu/fileadmin/files/Lois_reglements/Legislation/RG_CSSF/RCSSF_No12-02eng.pdf und auf Französisch: http://www.cssf.lu/fileadmin/files/Lois_reglements/Legislation/RG_CSSF/RCSSF_No12-02.pdf.

[15] VO 12-02, Art. 40 (3).

[16] VO 12-02, Art. 42 (1).

[17] VO 12-02, Art. 41.

[18] Wir verweisen auf Fn. 12.

[19] Eine irreführende Bezeichnung, da es in der Welt, in der wir leben, so etwas wie einen unregulierten Investmentfonds nicht gibt. RAIF und SCS/SCSp-AIF unterliegen genauso den Vorgaben der AIFMD wie z. B. FIS.