Hvidvaskloven § 11

§ 12 i den gældende hvidvasklov fastsætter kravene til legitimationsprocedureren. § 14, stk. 1, 2. pkt. fastsætter, at det kan undlades at klarlægge en virksomheds ejer- og kontrolstruktur ud fra en risikovurdering samt legitimering af reelle ejere, hvis transaktionen ikke overstiger 15.000 euro, og § 15 indeholder bestemmelse om personer, der handler på vegne af en anden person eller virksomhed. Tilsvarende indeholder § 2 i bekendtgørelsen om onlinekasino og §§ 3-6 i bekendtgørelsen om landbaserede kasinoer en række krav til registrering og legitimering af spillere.

Den foreslåede § 11 fastsætter de almindelige krav til kundekendskabsproceduren. Der foretages en ændring generelt i lovforslaget og i bestemmelsen, hvorefter begrebet legitimation og legitimationsprocedurer erstattes med kundekendskabsprocedurer. Ændringen betyder generelt, at hvor legitimationsproceduren i praksis ofte blev betragtet som en procedure, der blev foretaget samtidigt med etablering af en forretningsforbindelse, betyder begrebet ”kundekendskabsprocedure” en forpligtelse i hele kundeforholdet. Der foretages derfor præciseringer i bemærkningerne til denne bestemmelse i forhold til nugældende lov, så det tydeligt fremgår, at forpligtelsen i relation til kundekendskab løber i hele kundeforholdet. Samtidigt præciseres det generelt, at kundekendskabsprocedurer skal gennemføres ud fra en risikovurdering af kundeforholdet, og hvad dette medfører.

Lovforslagets § 11 fastsætter, at virksomheder og personer skal indhente kundens identitetsoplysninger. Er kunden en fysisk person, skal der indhentes navn og cpr-nr. eller lignende, hvis den pågældende ikke har et cpr-nr. Er kunden en juridisk person, skal der indhentes navn og CVR-nr. Forslaget viderefører § 12, stk. 2, og § 12, stk. 3. 1. pkt., dog foreslås som noget nyt, at hvis den pågældende kunde ikke har et cpr-nr. eller lignende, skal identitetsoplysninger omfatte fødselsdato. Derudover udgår adresseoplysninger som en del af identitetsoplysninger.

Lovforslagets § 11 fastsætter endvidere, at der skal indhentes identitetsoplysninger på den eller de reelle ejere og gennemføres rimelige foranstaltninger for at kontrollere den eller de reelle ejeres identitet, samt at der for så vidt angår juridiske personer skal gennemføres rimelige foranstaltninger for at kontrollere den eller de reelle ejeres identitet. Forslaget viderefører § 12, stk. 3, 2. pkt. med indholdsmæssige ændringer. § 14, stk. 1, 2. pkt., i gældende hvidvasklov videreføres ikke.

Den foreslåede § 11 fastsætter endvidere, at identitetsoplysningerne skal kontrolleres på baggrund af dokumenter, data eller oplysninger, der er indhentet fra en pålidelig og uafhængig kilde. Den foreslåede bestemmelse er nyaffattet og indsættes som konsekvens af den redaktionelle ændring, hvorefter begrebet legitimering ikke længere fremgår af loven. Dette medfører, at det fremhæves, at kontrol af kundens identitetsoplysninger som udgangspunkt skal ske gennem en anden kilde end kunden.

Det foreslås som noget nyt, at der skal foretages en vurdering af kunden. Det nugældende krav om, at der skal indhentes oplysninger om kundens formål med forretningsforbindelsen og det tilsigtede omfang heraf, ændres til en forpligtelse til, at oplysninger skal indhentes fra kunden, hvor det er relevant at indhente oplysninger om kundens formål med forretningsforbindelsen og den tilsigtede beskaffenhed.

Det nugældende § 12, stk. 5, om overvågning af kundeforholdet m.v. foreslås videreført uden indholdsmæssige ændringer. Der foretages dog her en præcisering i bemærkningerne til bestemmelsen som konsekvens af, at opmærksomhedspligten i den nugældende lov ikke videreføres i lovforslaget, se hertil afsnit 3.7.3. i de almindelige bemærkninger.

Derudover fastsættes det i § 11, at hvis en person oplyser, at vedkommende handler på vegne af en kunde, eller er der i øvrigt tvivl om, hvorvidt en person handler på egne vegne, skal personen identificeres, og vedkommendes identitet skal kontrolleres ved en pålidelig og uafhængig kilde. Virksomheder og personer skal yderligere sikre, at fysiske eller juridiske personer, der handler på vegne af en kunde, er beføjet dertil, dog ikke hvis den pågældende er advokat med beskikkelse her i landet eller i et EU- eller EØS-land. Bestemmelsen er en nyaffattelse af § 14 i gældende hvidvasklov, da bestemmelsen fastlægger, at der altid skal foretages identitetskontrol af en person, der handler på vegne af en kunde, hvor vedkommendes identitet i nugældende hvidvasklov alene skulle klarlægges ud fra en risikovurdering. I gældende hvidvasklov er det et krav, at virksomheder og personer skal fastslå, om den person, de handler med, handler på egne vegne. Dette krav ændres til et krav om, at personen skal oplyse, at denne handler på andres vegne, eller hvis der i øvrigt er tvivl om, at personen handler på egne vegne.

Endvidere fastsættes det i § 11, at virksomheder og personer skal gennemføre alle kundekendskabskravene, men at procedurernes omfang kan gennemføres ud fra en risikovurdering. I vurderingen skal inddrages oplysninger om forretningsforbindelsens formål, omfang, regelmæssighed og varighed. I vurderingen skal som minimum inddrages de faktorer, som fremgår af bilag 2 og 3. Bestemmelsen er en nyaffattelse af § 12, stk. 7, i den nugældende hvidvasklov. Bestemmelsen præciserer i forhold til nugældende ret, at lempede krav, jf. § 21, ikke er en undtagelse til kundekendskabsproceduren. Det ændres i forhold til nugældende ret, hvilke oplysninger der skal inddrages i risikovurdering. Bilag 2 og 3 er nye. Det videreføres i lovforslagets § 11 uden indholdsmæssige ændringer, at virksomheden eller personen skal kunne godtgøre over for den myndighed, der fører tilsyn med den pågældendes overholdelse af loven, at kendskabet til kunden er tilstrækkeligt i forhold til risikoen for hvidvask og finansiering af terrorisme.

For yderligere beskrivelser af ændringer og baggrunde for ændringer henvises der til afsnit 3.5.3 i de almindelige bemærkninger.

Forslagets § 11 gennemfører artikel 13, stk. 1-4, i 4. hvidvaskdirektiv.

Den foreslåede § 11 fastlægger de almindelige krav til kundekendskabsproceduren, dog suppleret af § 12 for så vidt angår virksomheder, der udbyder livs- og pensionsforsikringer. Bestemmelsen skal ses i sammenhæng med den foreslåede § 17, hvorefter virksomheder og personer ud over kravene i § 11 skal gennemføre skærpede kundekendskabsprocedurer, hvor der vurderes at være øget risiko for hvidvask eller finansiering af terrorisme, og § 21, hvorefter virksomheder og personer skal konstatere, om forretningsforbindelsen eller transaktionen indebærer en begrænset risiko, inden de gennemfører lempede kundekendskabsprocedurer. Derudover foreslås det i § 14, stk. 2, at kontrollen af kundens eller den eller de reelle ejeres identitetsoplysninger kan gennemføres under etableringen af forretningsforbindelsen, hvis det er nødvendigt for ikke at afbryde den normale forretningsgang, og der er begrænset risiko for hvidvask af penge eller finansiering af terrorisme.

Bestemmelserne medfører, at der skal foretages en vurdering af risikoen i det enkelte kundeforhold. Virksomheder og personer skal afdække relevante risikofaktorer i kundeforholdet for at vurdere omfanget af de kundekendskabsprocedurer, der skal gennemføres.

En virksomhed eller person skal i henhold til § 7 udarbejde en risikovurdering af deres forretningsmodel og udmønte denne i henhold til § 8 i skriftlige politikker, procedurer og kontroller. Den overordnede risikovurdering skal virksomheden eller personen anvende til at vurdere niveauet for kundekendskabsproceduren i det enkelte kundeforhold.

En risikovurdering indeholder to elementer - identifikation af risikofaktorer og vurdering af risikofaktorer. Formålet med risikovurderingen er, at virksomheder og personer skal forstå, hvor og i hvilket omfang de i kundeforholdet kan blive udsat for at blive misbrugt til hvidvask eller finansiering af terrorisme.

Ved identifikation af risikofaktorer forstås, at en virksomhed eller person skal identificere alle risikofaktorer i forbindelse med kundeforholdet. Der er i bilag 2 og 3 til lovforslaget oplistet en række risikofaktorer, der kan medføre henholdsvis begrænset og øget risiko. Dette er ikke udtømmende lister. Virksomheder og personer skal indsamle tilstrækkelig information om eller fra kunden, så de sikrer, at de har afdækket alle relevante risikofaktorer.

Ved vurdering af risikofaktorer forstås, at virksomheder og personer ud fra en holistisk betragtning skal vurdere, i hvilket omfang de identificerede risikofaktorer udsætter dem for, at de kan blive misbrugt til hvidvask eller finansiering af terrorisme i kundeforholdet. En måde at vurdere risici kan være at vægte de enkelte risikofaktorer, der medfører den samlede risikovurdering af kundeforholdet. Risikofaktorer hverken skal eller kan vægtes ens, og en enkelt risikofaktorer skal ikke være udslagsgivende undtagen i tilfælde, hvor der er krav om, at der altid skal gennemføres skærpede kundekendskabsprocedurer, jf. §§ 17-20. Resultatet af vurderingen af de relevante risikofaktorer er dermed risikovurderingen af kundeforholdet. I praksis kan kunder inddeles i forskellige profiler på baggrund af en vurdering af risikoen for hvidvask og terrorfinansiering, f.eks. øget risiko, mellem risiko, begrænset risiko eller evt. flere grupper afhængig af virksomheden størrelse, forretningsmodel eller andre faktorer.

En risikovurdering af kunden kan aldrig føre til, at der ikke fastlægges eller registreres oplysninger om kunden, men den fastlægger i hvilket omfang kravene i § 11 skal udføres, samt at der skal iværksættes yderligere foranstaltninger henholdsvis færre foranstaltninger i tilfælde med øget risiko henholdsvis begrænset risiko.

Det foreslås i stk. 1, nr. 1, at virksomheden eller personen skal indhente en kundes identitetsoplysninger.

Det foreslås i stk. 1, nr. 1, litra a, at er kunden en fysisk person, skal identitetsoplysninger omfatte navn og cpr-nr. eller lignende, hvis den pågældende ikke har et cpr-nr. Har den pågældende ikke et cpr-nr. eller lignende, skal identitetsoplysninger omfatte fødselsdato. Det er som udgangspunkt kunden, som skal levere identitetsoplysningerne, hvorfor det i mange tilfælde ikke er tilstrækkeligt, at kunden alene oplyser f.eks. et cpr-nr., og virksomheden herefter selv indhenter navn i Det Centrale Personregister. I tilfælde forbundet med en meget begrænset risiko, f.eks. arbejdsgiverpensioner, kan det dog være tilstrækkeligt, at oplysninger om kunden indhentes fra arbejdsgiveren.

For personer, der ikke er hjemmehørende i Danmark, kan et alternativ til cpr-nr. f.eks. være et lignende nationalt id-nummer eller, hvis et sådan ikke haves, oplysning om fødselsdato. Såfremt virksomheden eller personen anvender en kundes nationale id-nummer, er det væsentligt, at denne sikrer, at der er tale om et unikt nummer, og at nummeret er varigt eller i hvert fald kundens aktive nationale nummer, idet det i enkelte lande er muligt at få et nyt nationalt id-nummer. Fødselsdato kan alene anvendes i det relativt sjældne tilfælde, hvor der ikke i øvrigt foreligger et unikt nummer.

I regi af de skærpede procedurer kan det yderligere være relevant at hente oplysninger om adresse, fødested m.v. Adresseoplysninger kan også være nødvendige for at afdække risikofaktorerne i kundeforholdet.

Det foreslås i stk. 1, nr. 1, litra b, at er kunden en juridisk person, skal identitetsoplysninger omfatte navn og CVR-nr. eller lignende, hvis den juridiske person ikke har et CVR-nr. For juridiske personer, der ikke er hjemmehørende i Danmark, kan lignende identifikation være en anden form for identificerbart registreringsnummer, f.eks. TIN-nummer (Tax Identification Number), LEI-kode (Legal Entity Identifier) eller et nationalt unikt registreringsnummer. For kunder, der ikke har et cvr-nummer, er det endvidere afgørende, at virksomheden eller personen har oplysninger om kundens juridiske status. Dette vil i mange tilfælde fremgå af kundens navn som f.eks. udenlandske limited selskaber eller trusts.

I regi af de skærpede procedurer kan det yderligere være relevant at hente oplysninger om adresse og eventuelt tilknyttede adresser. Adresseoplysninger kan også være nødvendige for at afdække risikofaktorerne i kundeforholdet.

Det foreslås i stk. 1, nr. 2, at virksomheden eller personen skal kontrollere kundens identitetsoplysninger på grundlag af dokumenter, data eller oplysninger indhentet fra en pålidelig og uafhængig kilde. Forslaget medfører, at der skal foretages kontrol af kundernes identitetsoplysninger for både fysiske og juridiske personer. At kontrollen skal foretages på grundlag af dokumenter, data eller oplysninger indhentet fra en pålidelig og uafhængig kilde betyder, at kontrollen ikke kan baseres alene på oplysninger indhentet fra kunden. Kilden behøver ikke være en offentlig myndighed, men kravet om pålidelig kilde indebærer, at ikke enhver ekstern kilde kan anvendes.

Det er væsentligt, at kontrollen sker på baggrund af aktuelle kilder, hvilket specielt er relevant i forbindelse med anvendelse af fysiske legitimationsdokumenter. Dette skyldes, at kundens forhold kan have ændret sig siden udstedelsen af disse. F.eks. er det i Danmark nu i sjældne tilfælde blevet muligt at ændre sit cpr-nr.

I situationer, hvor kunden er fysisk fremmødt, vil kontrol i form af billedlegitimation give virksomheden eller personen øget sikkerhed for, at kunden er den person, denne udgiver sig for at være, hvilket især vil være aktuelt i tilfælde med høj risiko.

I forhold til kunder, der ikke møder fysisk frem, er den ekstra sikkerhed, der som udgangspunkt foreligger ved billedlegitimation ved fysisk fremmøde, ikke tilsvarende. I distanceforhold kan en øget sikkerhed opnås ved anvendelse af et middel til fjernkommunikation, hvor det er muligt at se kunden samtidig med, at denne fremviser billedlegitimation. Det vil i denne forbindelse være nødvendigt at dokumentere kontrolhandlingen ved optagelse, skærmprint eller lignende. Det vil i sådanne tilfælde i stedet for billedlegitimation være relevant at anvende f.eks. en digital signatur.

Andre uafhængige og pålidelige kilder kan være private udbydere af sådanne oplysninger, digitale signaturer, telefonbøger og verificering af dokumenter fra en uafhængig og pålidelig tredjemand. Kontrollen kan foretages ved hjælp af dokumenter, data eller oplysninger. En kontrol kan derfor være et opslag i et it-system, en søgning i en database m.v. Oplysninger i forbindelse med denne form for kontrol ved en uafhængig og pålidelige kilde skal også opbevares i henhold til forslagets § 30, stk. 1, nr. 1.

Det er en konkret vurdering, hvor meget dokumentation, data eller oplysninger der skal foreligge for, at der er tale om en tilstrækkelig kontrol af kundens identitetsoplysninger. Der må i den konkrete situation ikke være anledning til tvivl om, at kunden er den person, denne udgiver sig for at være. Personligt fremmøde er ikke en forudsætning for kontrol. Er der ikke et personligt fremmøde, kan en samlet risikovurdering af risikofaktorer i kundeforholdet føre til, at der skal gennemføres skærpede kundekendskabsprocedurer. Se også her bilag 3.

Ved tilfælde med øget risiko skal der foretages yderligere handlinger, uanset at kundens identitetsoplysninger er kontrolleret. Virksomheden eller personen kan kræve yderligere dokumenter fra kunden, foretage opslag i eksterne kilder eller kræve, at første betaling sker fra en bankkonto i kundens navn m.v. alt efter, hvilke procedurer der kan medføre, at virksomheden eller personen ikke er i tvivl om, at kunden er den, denne udgiver sig for at være.

Anvendes der fysiske legitimationsdokumenter, skal der tages kopi af disse, og dokumenterne skal opbevares i mindst 5 år efter kundeforholdets ophør, jf. forslagets § 30, stk. 1, nr. 1, og stk. 2. Der kan også ske kontrol ved øvrige eksterne kilder, som f.eks. Det Centrale Personregister eller i form af en digital signatur, der er udstedt af en pålidelig og uafhængig kilde. Oplysninger i forbindelse med denne form for legitimering skal opbevares i henhold til forslagets § 30, stk. 1, nr. 1. Der kan også anvendes f.eks. regninger udstedt af offentlige myndigheder. Det væsentlige er, at virksomheden eller personen vurderer, at der er tale om en uafhængig og pålidelig kilde.

Ved kontrol af juridiske personers identitetsoplysninger skal kundens oplysninger om navn og cvr-nr. eller lignende, hvis den juridiske person ikke har et cvr-nr., bekræftes ved hjælp af dokumenter, data eller oplysninger fra en pålidelig og uafhængig kilde eller kilder. Der skal endvidere foretages kontrol af kundens juridiske type eller virksomhedsform, samt af at den juridiske person eksisterer.

Det er, som for fysiske personer, en konkret risikovurdering, hvor meget dokumentation, data eller oplysninger der skal indhentes, for at der er tale om en tilstrækkelig kontrol af virksomhedens identitetsoplysninger.

For virksomheder i Danmark, herunder aktie- og anpartsselskaber, erhvervsdrivende fonde, interessentskaber og enkeltmandsvirksomheder, kan kontrollen bestå af f.eks. opslag i Det Centrale Virksomhedsregister, udskrifter fra SKAT indeholdende identifikationsoplysninger, f.eks. årsopgørelse, samt kopi af stiftelsesdokument og vedtægter eller et sammenskrevet selskabsresumé fra Erhvervsstyrelsen.

Foreninger eller almennyttige organisationer uden et cvr-nr. kan kontrolleres ved foreningens stiftelsesdokument og vedtægter suppleret med oplysninger om de personer, som kan handle på vegne af foreningen.

Ved ejerforeninger og andelsboligforeninger kan kravet om kontrol opfyldes ved matrikelnummer. Disse oplysninger kan hentes fra de vedtægter, som er tinglyst på ejendommen, sammenholdt med foreningens ejerregister/andelsregister.

Ved private uddannelsesinstitutioner afhænger opfyldelse af kravet af, hvorledes institutionen er organiseret. Er institutionen f.eks. organiseret som en fond, skal identifikation og kontrol af identitetsoplysninger foretages på samme måde som ved en fond osv.

En risikovurdering kan føre til, at indhentede kontroldokumenter, for så vidt angår udenlandske juridiske personer, skal søges bekræftet hos en relevant udenlandsk myndighed eller person, f.eks. en advokat, det lokale danske konsulat eller selskabets pengeinstitut.

Det foreslås i stk. 1, nr. 3, at virksomheden eller personen skal indhente identitetsoplysninger på den eller de reelle ejere og gennemføre rimelige foranstaltninger for at kontrollere den eller de reelle ejeres identitet, således at virksomheden eller personen med sikkerhed ved, hvem den eller de reelle ejere er. Er kunden en juridisk person, skal der herunder gennemføres rimelige foranstaltninger for at klarlægge den juridiske persons ejer- og kontrolstruktur.

Det foreslås i stk. 1, nr. 3, 1. pkt., at virksomheden eller personen skal indhente identitetsoplysninger på den eller de reelle ejere og gennemføre rimelige foranstaltninger for at kontrollere den eller de reelle ejeres identitet, således at virksomheden eller personen med sikkerhed ved, hvem den eller de reelle ejere er. Den foreslåede bestemmelse medfører både, at der skal indhentes identitetsoplysninger på reelle ejere af juridiske personer, og at der skal indhentes identitetsoplysninger i andre tilfælde som f.eks. i forbindelse med samlekonti, herunder advokaters klientkonti. Klienterne er i den forbindelse de reelle ejere af klientkontoen, jf. § 2, nr. 9.

En virksomhed eller person skal altid indhente den eller de reelle ejeres identitetsoplysninger. At der skal gennemføres ”rimelige foranstaltninger” for at kontrollere en reel ejers identitetsoplysninger betyder, at der ud fra en risikovurdering kan anvendes oplysninger, der udleveres af kunden, hvilket ikke er tilladt i forhold til kontrol af kundens egne identitetsoplysninger. Modsætningsvist kan der i tilfælde med øget risiko være behov for at foretage kontrol af den eller de reelle ejeres identitetsoplysninger ved flere uafhængige og pålidelige kilder. I alle kundeforhold skal der derfor gennemføres foranstaltninger for at kontrollere den reelle ejers identitetsoplysninger, men foranstaltningernes omfang fastlægges ud fra en risikovurdering af kundeforholdet. Begrebet ”med sikkerhed ved” skal forstås således, at der ikke må foreligge omstændigheder, der giver anledning til tvivl om, at oplysningerne om den eller de reelle ejere er forkerte. Risikovurderingen af kundeforholdet fastlægger endvidere, hvor grundige undersøgelser der skal foretages. Vedrørende identitetsoplysninger på reelle ejere henvises til stk. 1, nr. 1, litra a.

Det foreslås i stk. 1, nr. 3, 2. pkt., at er kunden en juridisk person, skal der herunder gennemføres rimelige foranstaltninger for at klarlægge den juridiske persons ejer- og kontrolstruktur. Ved ”ejer- og kontrolstruktur” forstås blandt andet, at der skal indhentes oplysninger om navne på ledelsen og tegningsregler. Der er tale om en konkret risikovurdering i forhold til, hvor indgående undersøgelser der skal iværksættes for at klarlægge kundens ejer- eller kontrolstruktur. I tilfælde med begrænset risiko kan det være tilstrækkeligt med et organisationsdiagram, der viser ejerandele eller oplysninger indhentet via cvr-registeret, mens det i andre tilfælde kan være påkrævet at indhente dokumentation for ejerandele i form af vedtægter eller lignende. I alle kundeforhold skal der derfor gennemføres foranstaltninger for at klarlægge en juridisk persons ejer- og kontrolstruktur, men foranstaltningernes omfang fastlægges ud fra en risikovurdering af kundeforholdet.

Reelle ejere, som nævnt i 1. pkt., vil være en del af en juridisk persons ejer- og kontrolstruktur, og klarlæggelsen af den juridiske persons ejer- og kontrolstruktur bidrager derfor yderligere til at underbygge dette.

Den foreslåede stk. 1, nr. 3, skal ses i sammenhæng med kravene i kapitel III i 4. hvidvaskdirektiv om, at medlemslandene skal indføre en forpligtelse for juridiske personer til at indhente og opbevare ajourførte oplysninger om den juridiske persons reelle ejere, og at disse oplysninger skal gøres tilgængelige for myndigheder og virksomheder og personer, der er omfattet af 4. hvidvaskdirektivs kend-din-kunde-krav. Der henvises til artikel 30 og 31 i 4. hvidvaskdirektiv. Virksomheder og personer, der er omfattet af lovforslaget, kan benytte det kommende register over reelle ejere, der vil blive ført af Erhvervsstyrelsen, til at understøtte deres arbejde med at opfylde pligterne i henhold til dette lovforslag, men de kan ikke alene henholde sig til registrets oplysninger, medmindre dette anses for tilstrækkeligt i henhold til en risikovurdering af det konkrete kundeforhold, jf. artikel 30, stk. 8, hvorefter virksomheder og personer ikke udelukkende kan henholde sig til oplysningerne i registeret. Kundekendskabskravene skal opfyldes ved hjælp af en risikobaseret tilgang. Det skal derudover bemærkes, at den offentligt tilgængelige del af registeret over reelle ejere ikke indeholder oplysninger om den reelle ejers cpr-nr.

Definitionen af reel ejer fremgår af lovforslagets § 2, nr. 9. I henhold til definitionen skal den daglige ledelse i en juridisk person, der ikke er et retligt arrangement, anses som reel ejer, hvis der ikke er identificeret en person, eller hvis der er tvivl om, hvorvidt den eller de personer, der er identificeret, er den eller de reelle ejere. Det er en forudsætning for at betragte den daglige ledelse som reel ejer, at der ikke er identificeret nogen anden person, der direkte eller indirekte ejer eller kontrollerer en tilstrækkelig del af ejerandelene eller stemmerettighederne, eller som udøver kontrol ved hjælp af andre midler. Det er endvidere en forudsætning, at alle muligheder er udtømte, og at dette ikke har givet grund til mistanke om hvidvask eller finansiering af terrorisme. Det forudsættes, at virksomheden og personen, der er omfattet af lovforslaget, finder det tilstrækkeligt dokumenteret, at den juridiske person ikke har reelle ejere som defineret i forslagets § 2, nr. 9. Det er ikke tilstrækkeligt at konstatere, at det ikke er muligt at få identificeret reelle ejere, hvis den forpligtede virksomhed eller person ved eller har grundlag for at formode, at reelle ejere eksisterer. Bestemmelsen skal i øvrigt forstås således, at hvis der er tvivl om, hvorvidt den eller de personer, der er identificeret, er den eller de reelle ejere, skal såvel disse som den daglige ledelse betragtes som reel ejer.

Virksomheder og personer skal notere de foranstaltninger ned, de har iværksat for at identificere de reelle ejere, inden de betragter den daglige ledelse som reel ejer. Om begrebet daglig ledelse henvises til bemærkningerne til forslagets § 2, nr. 1.

Det bemærkes i den forbindelse, at komplicerede ejerstrukturer kan være et forsøg på at sløre den eller de reelle ejere af en juridisk person. En risikovurdering af et sådan kundeforhold kan derfor medføre, at der ikke kan etableres en forretningsforbindelse eller gennemføres enkeltstående transaktioner, uden disse oplysninger foreligger, jf. § 14, stk. 1. I sådanne tilfælde vil det derfor ikke være tilstrækkeligt at betragte den daglige ledelse som reel ejer. Modsætningsvist vil der i forhold til mange foreninger oftest være udgangspunktet, at den daglige ledelse betragtes som reel ejer, da der sjældent vil være en person, der opfylder kravene i § 2, nr. 9, litra a.

Den foreslåede bestemmelse betyder, at er kunden en juridisk person, vil virksomheden eller personen omfattet af loven altid skulle have identitetsoplysninger på reelle ejere bortset fra de situationer, hvor den legale ejer af kunden er et selskab, hvis ejerandele handles på et reguleret marked eller et tilsvarende marked, som er undergivet oplysningspligt i overensstemmelse med EU-retten eller tilsvarende internationale standarder.

Det foreslås i stk. 1, nr. 4, at virksomheden og personen skal vurdere og hvor relevant indhente oplysninger om forretningsforbindelsens formål og tilsigtede beskaffenhed.

Den foreslåede bestemmelse betyder, at virksomheder og personer i alle tilfælde skal foretage en vurdering af forretningsforbindelsens formål og tilsigtede beskaffenhed, men kun hvor det er relevant, vil det være påkrævet, at virksomheder og personer indhenter disse oplysninger fra kunden. Hvorvidt indhentning af oplysninger fra kunden er relevant, er en konkret vurdering i den enkelte forretningsforbindelse. For eksempel vil formålet ved tegning af pensions- og livsforsikringer være reguleret i selve pensions- eller livsforsikringsaftalen. Det vil derfor sjældent være nødvendigt at indhente yderligere oplysninger i disse tilfælde. Som udgangspunkt vil det derfor sjældent være nødvendigt at indhente oplysninger om forretningsforbindelsens formål i typiske forbrugerforhold, da dette vil fremgå af det produkt, kunden vælger.

Ved ”forretningsforbindelsens formål” forstås, at virksomheden eller personen skal vide, hvorfor kunden ønsker at indgå i en given forrentningsforbindelse, samt hvad formålet med forretningsforbindelsen er. Det er nødvendigt at forstå, hvorfor kunden ønsker et givent produkt eller ydelse. Herunder kan det være relevant at indhente oplysninger om antallet, størrelsen og frekvensen af transaktioner, der ønskes gennemført, så det er muligt i overvågning at fastlægge mistænkelige transaktioner, omfanget af transaktioner m.v. Oplysninger om forretningsforbindelsens formål skal indgå i overvågningen af kunden. I tilfælde hvor oplysningerne ikke indhentes fra kunden, anvendes i stedet i overvågningen de oplysninger, som virksomheden eller personen har vurderet er typisk for en sådan kunde.

Ved forretningsforbindelsens ”tilsigtede beskaffenhed” forstås, at virksomheden eller personen skal kende de egenskaber og forhold ved forretningsforbindelsen, der tilsammen giver forretningsforbindelsen dens særpræg. Herunder kan det være relevant at kende kundens forretningsmodel, forstå, hvorfra kundens midler oprinder, forstå, hvorledes en virksomhed opnår sin indtjening m.v. Det vil oftere være nødvendigt at indhente oplysninger fra kunden om den tilsigtede beskaffenhed end om forretningsforbindelsens formål.

Der er væsentligt, at virksomheden og personen forholder sig til de oplysninger, de indhenter fra kunden. Er der f.eks. tale om en kunde uden indkomst, som oplyser at ville indgå en forretningsforbindelse eller foretage transaktioner, der ikke normalt foretages af personer uden indkomst, er det væsentligt, at virksomheden og personen reelt forholder sig til informationerne og ikke blot tilrettelægger overvågningen ud fra det af kunden oplyste omfang. Virksomheden og personen skal allerede ved oprettelsen af kundeforholdet eller inden gennemførelsen af transaktionen forholde sig til, f.eks. hvorfor kunden kan investere et relativt stort beløb set i forhold til dennes indkomst.

Der skal alene indhentes oplysninger om formål og den tilsigtede beskaffenhed ved indgåelse af en forretningsforbindelse samt i forbindelse med gennemførelse af løbende kundekendskabsprocedurer, jf. den foreslåede § 10, nr. 1. Det vil modsætningsvist sige, at oplysningerne ikke skal indhentes ved enkeltstående transaktioner.

Det foreslås i stk. 1, nr. 5, at virksomheder og personer løbende skal overvåge en etableret forretningsforbindelse. Transaktioner, der gennemføres som led i en forretningsforbindelse, skal overvåges for at sikre, at transaktionerne er i overensstemmelse med virksomhedens eller personens viden om kunden og kundens forretnings- og risikoprofil, herunder om nødvendigt midlernes oprindelse, samt for at sikre ajourføring af dokumenter, data eller oplysninger. Bestemmelsen medfører en overvågningspligt samt pligt til ajourføring af dokumenter, data eller oplysninger. Der er alene en pligt til løbende overvågning af forretningsforbindelser.

Det foreslås i stk. 1, nr. 4, 1. pkt., at virksomheder og personer løbende skal overvåge en etableret forretningsforbindelse. Overvågning kan foretages både manuelt og systemisk. Overvågningsforpligtelsen gælder både i forbindelse med aktiviteter, som f.eks. den almindelige kontakt med kunden, og ved transaktioner. Det kan derfor være relevant at etablere både manuel eller systemisk overvågning.

I mange virksomheder, herunder finansielle virksomheder og udbydere af spil, vil overvågning kræve en effektiv it-systemløsning på grund af omfanget af kunder og kompleksiteten af produkter og transaktioner. Det er dog ikke et krav, at der etableres en it-systemløsning. Det er alene et krav, at det sikres, at der foretages den fornødne overvågning.

Hvis der er tale om rådgivningsopgaver, formidlingsaftaler eller lignende, skal kravet om løbende overvågning forstås som overvågning af, om kundens forespørgsler er usædvanlige set i forhold til virksomhedens oplysninger om kunden og dennes forretningsprofil. Transaktioner, der ikke har direkte forbindelse til opgaven, er ikke omfattet.

Overvågningen skal blandt andet dække komplekse og usædvanligt store transaktioner samt alle usædvanlige transaktionsmønstre, der ikke har et klart økonomisk eller påviseligt lovligt formål, jf. den foreslåede § 25, stk. 1.

Det foreslås i stk. 1, nr. 5, 2. pkt., at transaktioner, der gennemføres som led i en forretningsforbindelse, skal overvåges for at sikre, at transaktionerne er i overensstemmelse med virksomhedens eller personens viden om kunden og kundens forretnings- og risikoprofil, herunder om nødvendigt midlernes oprindelse.

Det betyder, at virksomheden eller personen løbende skal overvåge, om der forekommer usædvanlige transaktioner eller aktiviteter, f.eks. på kundens konti, set i forhold til den viden, som den pågældende har om kunden, samt i forhold til kundens forretnings- og risikoprofil.

Overvågning af, om ”transaktionerne er i overensstemmelse med virksomhedens eller personens viden om kunden”, sætter krav om, at overvågning af den enkelte kundes adfærd skal ske i forhold til virksomhedens kendskab til kunden. Overvågningen af, om ”transaktionerne er i overensstemmelse kundens forretnings- og risikoprofil”, sætter krav om, at kundens transaktioner og aktiviteter derudover overvåges for at sikre, at disse er i overensstemmelse med de øvrige kunder med samme forretnings- og risikoprofil.

Ved ”kunden risikoprofil” forstås, at overvågningen skal foretages ud fra risikovurdering af forretningsforbindelsen. Bestemmelsen skal ses i sammenhæng med forslagets § 17, hvorefter der skal stilles skærpede krav til kundekendskab, hvor der vurderes at være øget risiko for hvidvask eller finansiering af terrorisme, og § 21, hvorefter der kan stilles lempede krav til kundekendskabsproceduren, hvor der vurderes at være begrænset risiko for hvidvask og finansiering af terrorisme. En risikovurdering kan aldrig føre til, at en forretningsforbindelse ikke overvåges.

Ved ”kundens forretningsprofil” forstås f.eks. oplysninger om formålet med en forretningsforbindelse, omfanget af transaktioner og transaktionernes størrelse, oplysninger om regelmæssighed og varighed. Oplysningerne er ikke i sig selv risikofaktorer, men det er oplysninger, der kan påvirke risikovurderingen af kundeforholdet og derfor også skal inddrages i risikovurderingen, jf. også stk. 3, 3. pkt.

Bestemmelsen giver mulighed for, at virksomheden eller personen tilrettelægger overvågningen på forskellige måder. Overvågningen kan f.eks. tilrettelægges efter det individuelle kundeforhold og kundens transaktioner og justeres jævnligt på baggrund af kundens historik. Overvågningen skal dog foretages på baggrund af kundens forretnings- og risikoprofil. Hos nogle virksomheder og personer kan forretningsmodellen være simpel og medføre, at alle kunder overvåges på samme måde. Det er i alle tilfælde væsentligt for at kunne gennemføre tilstrækkelig overvågning, at oplysningerne om kunden er opdaterede og korrekte, og at overvågningen justeres, såfremt kundens risikoprofil ændres.

Det fremgår af bestemmelsen, at overvågningen skal sikre, at transaktionerne er i overensstemmelse med virksomhedens eller personens viden om kunden og kundens forretnings- og risikoprofil, herunder om nødvendigt midlernes oprindelse. Ved midlernes oprindelse forstås, at der skal søges oplysning herom, hvis dette er nødvendigt for at afgøre, om en transaktion er sædvanlig eller usædvanlig ud fra kendskabet til indtjenings- og formueforhold, herunder likviditet. I regi af de skærpede kundekendskabskrav kan det være nødvendigt i relation til kunder, der vurderes som øget risiko, at kende midlers oprindelse, inden der foretages transaktioner for kunden.

”Midlernes oprindelse” dækker dermed både oplysninger om, hvorfra kundens formue oprinder, hvorfra de midler, der indgår i transaktionen, oprinder, eller hvor midlerne, der indgår i forretningsforbindelsen, kommer fra.

Det foreslås i stk. 1, nr. 5, 3. pkt., at dokumenter, data eller oplysninger om kunden løbende skal ajourføres. I forbindelse med den løbende overvågning af forretningsforbindelsen skal det f.eks. sikres, at transaktionerne er i overensstemmelse med virksomhedens eller personens viden om kunden. I den forbindelse kan der f.eks. blive indhentet oplysninger om midlernes oprindelse. Sådanne oplysninger skal noteres ned og løbende ajourføres. Som en del af den løbende overvågning kræves det endvidere, at dokumenter, data eller andre oplysninger om kunden løbende ajourføres med henblik på at vurdere, hvorvidt forretningsforbindelsens risiko er ændret.

Overtrædelse af bestemmelsen er strafbelagt, jf. § 71, stk. 1, 2. pkt. og stk. 2. Ansvarssubjekterne for overtrædelse af § 11, stk. 1, er virksomheder og personer omfattet af loven, og den strafbetingede handling består i ikke at gennemføre hele eller dele af kundekendskabsproceduren, når dette er påkrævet i henhold til § 10, jf. dog § 14. Et eksempel på overtrædelse af bestemmelsen er en virksomhed, der ikke kontrollerer en kundes identitetsoplysninger ved en uafhængig og pålidelig kilde, inden der udføres en pengeoverførelse på 100.000 kr.

Det foreslås i stk. 2, at oplyser en person, at vedkommende handler på vegne af en kunde, eller er der i øvrigt tvivl om, hvorvidt en person handler på egne vegne, skal personen identificeres, og vedkommendes identitet skal kontrolleres ved en pålidelig og uafhængig kilde. Virksomheder og personer omfattet af denne lov skal yderligere sikre, at fysiske eller juridiske personer, der handler på vegne af en kunde, er beføjet dertil, dog ikke hvis den pågældende er advokat med beskikkelse her i landet eller i et EU- eller EØS-land. Den foreslåede bestemmelse omhandler krav til identifikation og kontrol af identitetsoplysningerne af personer, der handler på en anden persons eller virksomheds vegne. Bestemmelsen gennemfører artikel 13, stk. 1, 2. led, i 4. hvidvaskdirektiv.

I henhold til den foreslåede stk. 2, 1. pkt., skal virksomheder og personer, hvis en person oplyser, at vedkommende handler på vegne af en kunde, eller der i øvrigt er tvivl om, hvorvidt en person handler på egne vegne, identificere personen, og vedkommendes identitet skal kontrolleres ved en pålidelig og uafhængig kilde. Som udgangspunkt er der derfor alene en pligt til at identificere og kontrollere personens identitet, hvis denne selv oplyser, at denne handler på en andens vegne. Det betyder derfor, at virksomheder og personer ikke i enhver situation skal sikre, om den person, de har kontakt med, handler på vegne af en anden fysisk eller juridisk person. Dette skal kun finde sted, hvis situationen giver anledning til at betvivle, at personen handler på egne vegne. Ved tvivl kan det være tilstrækkeligt eksempelvis at spørge kunden, om denne handler på egne vegne eller på vegne af en anden person, medmindre der er anledning til at tro, at oplysningerne herom ikke er korrekte. Dette kan ske både mundtligt over for kunden eller ved at spørge kunden skriftligt, f.eks. i relation til netbankkunder. Hvis virksomheden eller personen ikke er sikker på, at en person handler på egne vegne, selvom denne oplyser dette, skal virksomheden eller personen altid kontrollere personens identitet.

Der kan være produkter, hvor der altid forligger fuldmagtsforhold, som f.eks. ved oprettelse af børneopsparingskonti.

Den fysiske eller juridiske person, på hvis vegne der handles, vil være den kunde, der indgås en forretningsforbindelse med. Virksomheden eller personen skal derfor i forhold til selve kunden opfylde kravene i stk. 1. Den befuldmægtigede skal identificeres, og vedkommendes identitet skal kontrolleres ved en pålidelig og uafhængig kilde. Angående kontrol ved pålidelig og uafhængig kilde henvises til stk. 1, nr. 2.

I henhold til det foreslåede stk. 2, 2. pkt., skal virksomheder og personer omfattet af loven sikre sig, at den, der handler på vegne af en anden fysisk eller juridisk person, er beføjet hertil, dog ikke hvis den pågældende er advokat med beskikkelse her i landet eller i et EU- eller EØS-land. Dette kan ske ved forevisning af en fuldmagt.

Identiteten og fuldmagtsforholdet kan i nogle situationer ved begrænset risiko blive bekræftet ved den befuldmægtigedes fremvisning af ét dokument. F.eks. udsteder kommuner identitetskort til ansatte. Identiteten på kommuneansatte, som social- og sundhedshjælpere, der handler på vegne af andre borgere, kan ud fra en risikovurdering foretages ved, at den ansatte fremviser dette kort, da kortet er forsynet med oplysninger om medarbejderen og dokumenterer ansættelsesforholdet.

Det foreslås samtidig, at kravet om dokumentation af fuldmagtsforholdet ikke skal gælde, hvis den pågældende er advokat med beskikkelse her i landet eller i et EU- eller EØS-land.

Forslaget om at undtage advokater fra at skulle dokumentere klientforholdet, som er en videreførelse af eksisterende regler, begrundes med, at advokater efter dansk retstradition i kraft af advokatbeskikkelsen anses for at være beføjet til at handle på vegne af en klient, uden at der stilles krav om fremlæggelse af en skriftlig fuldmagt eller anden dokumentation. Dette har blandt andet udmøntet sig i retsplejelovens § 265, stk. 2, hvorefter retterne ikke afkræver advokater bevis for fuldmagtsforholdet til klienten. Tilsvarende følger det af fast forvaltningsretlig praksis, at advokater ikke skal forevise en fuldmagt, hvis der på vegne af en klient f.eks. anmodes om aktindsigt. Advokater vil i henhold til § 11, stk. 3, alene være undtaget fra kravet om dokumentation af klientforholdet, men ikke fra de øvrige krav i § 11.

Overtrædelse af bestemmelsen er strafbelagt, jf. § 71, stk. 1, 2. pkt. og stk. 2. Ansvarssubjekterne for overtrædelse af § 11, stk. 2, er virksomheder og personer omfattet af § 1, stk. 1, og den strafbare handling består i ikke at identificere og kontrollere identitetsoplysninger på en person, der handler på vegne af en kunde, eller at sikre, at personen er beføjet til at handle på vegne af kunden. Et eksempel på overtrædelse af bestemmelsen er en virksomhed, der ikke kontrollerer identitetsoplysninger på en person, der oplyser at handle på vegne af en kunde.

Det foreslås i stk. 3, at virksomheder og personer skal gennemføre alle kundekendskabskravene i stk. 1 og 2. Procedurens omfang kan dog gennemføres ud fra en risikovurdering. I vurderingen skal inddrages oplysninger om forretningsforbindelsens formål, omfang, regelmæssighed og varighed. I vurderingen skal som minimum inddrages de faktorer, som fremgår af bilag 2 og 3. Stk. 3 skal ses i sammenhæng med forslagets §§ 17-20, hvorefter der skal stilles skærpede krav til kundekendskabsproceduren, hvor der vurderes at være øget risiko for hvidvask og finansiering af terrorisme. Stk. 3 skal desuden ses i sammenhæng med forslagets § 21, stk. 1, hvorefter der kan stilles lempede krav til kundekendskabsproceduren i tilfælde, hvor der vurderes at være begrænset risiko for hvidvask og finansiering af terrorisme.

Det foreslås i stk. 3, 1. pkt., at virksomheder og personer skal gennemføre alle kundekendskabskravene i stk. 1 og 2. Dette betyder, at selv i tilfælde med begrænset risiko kan en virksomhed eller person ikke undlade at gennemføre enkelte eller flere af kravene nævnt i stk. 1 og 2. Der er i forhold til enhver kunde krav om, at identitetsoplysninger – herunder også reelle ejere eller daglig ledelse, hvor dette er krævet - indhentes, at identitetsoplysningerne kontrolleres, kundens forretnings- og risikoprofil fastlægges samt at kundeforholdet overvåges.

Det følger imidlertid af stk. 3, 2. pkt., at procedurens omfang kan gennemføres ud fra en risikovurdering. I henhold til stk. 1, nr. 3, skal en virksomhed eller person fastlægge kundens forretnings- og risikoprofil og anvende denne til at gennemføre den indledende kundekendskabsprocedure. Kundens risiko- og forretningsprofil kan ændres i forbindelse med den indledende kundekendskabsprocedure, f.eks. hvis virksomheden eller personen opdager, at kunden er en politisk eksponeret person, eller andre oplysninger bliver tilvejebragt, der medfører, at kunden er øget risiko. Modsætningsvis kan kunden også blive betragtet som en mindre risiko end den oprindelige risikoprofil, f.eks. hvis kunden ved en fejl har oplyst, at denne ønsker et højrisikoprodukt men senere alene ønsker et produkt med begrænset risiko. Gennemførelsen af den indledende kundekendskabsprocedure fastlægger herefter kundens risikoprofil og risikovurderingen af det pågældende kundeforhold. Risikovurdering af det enkelte kundeforhold omfatter henholdsvis identifikation af risikofaktorer og vurdering af risikofaktorer med henblik på en endelig risikovurdering af kunden, jf. også stk. 1, nr. 3. Risikovurdering af kunden skal som minimum afdække tilstedeværelsen af en eller flere af de højrisikofaktorer, der fremgår af bilag 3 til lovforslaget. Endvidere kan afdækning af relevante lavrisikofaktorer indgå i den indledende kundekendskabsprocedure. Disse faktorer fremgår af bilag 2 til lovforslaget. Herudover kan yderligere risici komme på tale, hvor dette skønnes relevant.

Virksomhedens eller personens overvågning af kunden skal tilrettelægges på baggrund af den risikovurdering, der er foretaget af kunden. Der henvises til bemærkningerne til § 17, stk. 1, og § 21, stk. 1.

Kundekendskabsprocedurerne skal gennemføres gennem hele kundeforholdet. Kundens risikoprofil/risikovurderingen skal derfor løbende opdateres, jf. den foreslåede § 10, nr. 1.

Det foreslås i stk. 3, 3. pkt., at forretningsforbindelsens formål, omfang, regelmæssighed og varighed skal inddrages i vurderingen. Bestemmelsen gennemfører bilag 1 til 4. hvidvaskdirektiv.

I forbindelse med omfang skal virksomheder og personer inddrage omfanget af de aktiver, som en kunde vil indsætte, eller transaktionernes størrelse. Forretningsforbindelsens regelmæssighed eller varighed skal endvidere inddrages. De opremsede parametre er ikke risikofaktorer i sig selv, men er væsentlige oplysninger, som virksomheden eller personen skal anvende til at vurdere risikoen i forhold til den konkrete kunde.

Det foreslås i stk. 3, 4. pkt., at i vurderingen skal som minimum inddrages de faktorer, som fremgår af bilag 2 og 3. Den foreslåede bestemmelse betyder, at hvis nogen af de i bilag 2 og 3 nævnte risikofaktorer er til stede i kundeforholdet, skal disse afdækkes og indgå i risikovurderingen af kundeforholdet. Dette betyder dog ikke, at alle virksomheder og personer i ethvert kundeforhold skal forholde sig til alle faktorer. Bestemmelsen finder alene anvendelse, hvis faktorerne reelt er til stede i det konkrete kundeforhold. Der henvises i øvrigt til bemærkningerne til bilag 2 og 3.

Det foreslås i stk. 4, at virksomheden eller personen skal kunne godtgøre over for den myndighed, der fører tilsyn med den pågældendes overholdelse af loven, at undersøgelsens omfang og risikovurderingen i det enkelte kundeforhold er tilstrækkelig i forhold til risikoen for hvidvask og finansiering af terrorisme. Hermed menes, at der er indhentet tilstrækkelige oplysninger til at kunne foretage en risikovurdering af kundeforholdet, at risikovurderingen inddrager relevante faktorer, og at vægtningen af faktorer er fornuftig. Risikovurderingen vil bero på et skøn foretaget af virksomheden eller personen omfattet af loven, og der må således indrømmes den pågældende en vis frihed i udøvelsen af skønnet, så de har mulighed for at prioritere ressourcer til områder med øget risiko. Tilsynsmyndighederne skal tage hensyn til det skøn, som den enkelte virksomhed eller person overlades i lovforslaget.