Know Your Customer ist kein neues Thema. Treuhänder in Liechtenstein sind seit Inkrafttreten des Sorgfaltspflichtgesetzes (SPG) im Jahr 2009 verpflichtet, ihre Vertragspartner und deren wirtschaftlich Berechtigte zu identifizieren, die Geschäftsbeziehung risikobasiert zu klassifizieren und laufend zu überwachen. Doch was auf dem Papier klar erscheint, wirft in der Praxis immer wieder Fragen auf: Wann reicht die vereinfachte Sorgfaltspflicht? Wie dokumentiere ich die wirtschaftliche Berechtigung bei einer Stiftung ohne bestimmte Begünstigte? Und was erwartet die FMA bei einer Vor-Ort-Kontrolle tatsächlich?
Dieser Artikel fasst die geltenden KYC-Pflichten für liechtensteinische Treuhänder zusammen, ordnet sie in den aktuellen regulatorischen Kontext ein und zeigt, wo in der Praxis die häufigsten Lücken entstehen.
Das regulatorische Fundament: SPG, SPV und TrHG
Die KYC-Pflichten für Treuhänder ergeben sich aus dem Zusammenspiel dreier Rechtsgrundlagen. Das Sorgfaltspflichtgesetz (SPG) bildet den materiellen Kern: Es definiert, wer als Sorgfaltspflichtiger gilt, welche Massnahmen bei Aufnahme und während einer Geschäftsbeziehung zu treffen sind und welche Meldepflichten gegenüber der Stabsstelle Financial Intelligence Unit (FIU) bestehen. Die Sorgfaltspflichtverordnung (SPV) konkretisiert die Anforderungen des SPG und gibt detaillierte Vorgaben zu Identifikationsmethoden, Dokumentation und internen Kontrollen.
Das Treuhändergesetz (TrHG) regelt die berufsspezifischen Anforderungen: Zulassungsvoraussetzungen, Berufspflichten und die disziplinarische Aufsicht. Für KYC-Zwecke ist das TrHG relevant, weil es bestimmt, welche Tätigkeiten einer Treuhandgesellschaft als sorgfaltspflichtig gelten, etwa die Verwaltung von Sitzgesellschaften oder die Errichtung und Verwaltung von Stiftungen und Trusts.
Ergänzend gibt die FMA in ihren Weisungen und Richtlinien Hinweise zur Auslegung. Diese sind zwar nicht Gesetz, werden bei FMA-Kontrollen aber als Massstab herangezogen. Treuhänder sollten insbesondere die FMA-Weisung 2022/6 zur risikobasierten Sorgfaltspflicht und die FMA-Richtlinie 2019/1 zur Identifikation wirtschaftlich Berechtigter kennen.
SPG (LGBl. 2009.047): Sorgfaltspflichtgesetz. Kerngesetz für KYC/AML. Definiert allgemeine, vereinfachte und verstärkte Sorgfaltspflichten, laufende Überwachung, Meldepflichten.
SPV (LGBl. 2009.098): Sorgfaltspflichtverordnung. Konkretisiert die Vorgaben des SPG zu Identifikation, Dokumentation, internen Kontrollen und Risikobewertung.
TrHG (LGBl. 2013.421): Treuhändergesetz. Berufszulassung, Aufsicht, Berufspflichten. Bestimmt den Kreis der sorgfaltspflichtigen Tätigkeiten im Treuhandbereich.
Identifikation des Vertragspartners
Jede Geschäftsbeziehung beginnt mit der Identifikation. Bei natürlichen Personen verlangt das SPG die Aufnahme von Name, Vorname, Geburtsdatum, Staatsangehörigkeit und Wohnadresse. Die Identität ist anhand eines amtlichen Lichtbildausweises zu überprüfen. Bei persönlicher Vorsprache erfolgt die Überprüfung in der Regel durch Einsicht in den Originalausweis und Anfertigung einer Kopie. Bei Fernidentifikation gelten strengere Anforderungen: Die FMA akzeptiert zertifizierte Video-Identifikation oder notariell beglaubigte Ausweiskopien, wobei die konkrete Methode vor Einsatz mit der FMA abgestimmt werden sollte.
Bei juristischen Personen kommen Handelsregisterauszug, Statuten oder Gründungsurkunde und gegebenenfalls ein aktueller Gesellschafternachweis hinzu. Besondere Aufmerksamkeit verdienen Rechtsformen, die es so nur in Liechtenstein gibt: Anstalten (Establishment), Stiftungen und Trusts. Hier ist neben dem formalen Rechtsträger auch jede handelnde Person zu identifizieren: Stiftungsrat, Protektoren, Treugeber oder Trustees.
Timing: Wann muss die Identifikation abgeschlossen sein?
Das SPG verlangt die Identifikation vor oder bei Aufnahme der Geschäftsbeziehung. In der Praxis bedeutet das: Bevor der Treuhänder die erste Handlung für den Mandanten vornimmt, müssen Identität und Identifikationsdokumente lückenlos vorliegen. Die FMA toleriert kein nachträgliches Vervollständigen über Wochen oder Monate. Ein häufiger Befund bei FMA-Kontrollen ist, dass Mandatseröffnungen faktisch vollzogen werden, während die KYC-Unterlagen noch ausstehen.
Wirtschaftliche Berechtigung: Die Kernfrage bei Strukturen
Die Feststellung der wirtschaftlich berechtigten Person (Beneficial Owner) ist für Treuhänder der anspruchsvollste Teil des KYC-Prozesses. Das SPG definiert als wirtschaftlich berechtigt, wer letztlich die Kontrolle über den Vertragspartner ausübt oder in dessen Auftrag eine Transaktion oder Geschäftsbeziehung eingegangen wird.
Natürliche Personen als Vertragspartner
Handelt eine natürliche Person auf eigene Rechnung, ist sie selbst die wirtschaftlich berechtigte Person. Das muss dennoch ausdrücklich abgeklärt und dokumentiert werden: Die FMA erwartet eine schriftliche Erklärung, dass der Vertragspartner auf eigene Rechnung und im eigenen wirtschaftlichen Interesse handelt.
Juristische Personen und Gesellschaften
Bei Kapitalgesellschaften ist die wirtschaftliche Berechtigung anhand der Beteiligungsstruktur zu ermitteln. Als Schwellenwert gilt eine direkte oder indirekte Beteiligung von 25 % oder mehr. Lässt sich die wirtschaftliche Berechtigung auch nach Ausschöpfung aller Informationsquellen nicht eindeutig feststellen, ist die Geschäftsleitung als wirtschaftlich berechtigte Person zu behandeln.
Stiftungen und Trusts: Besonderheiten in Liechtenstein
Bei Stiftungen und Trusts greift ein erweitertes Konzept der wirtschaftlichen Berechtigung. Das SPG verlangt die Identifikation des Stifters oder Treugebers, der Begünstigten (soweit bereits bestimmt), des Protektors (falls vorhanden) und der Mitglieder des Stiftungsrats oder der Trustees. Bei ermessensabhängigen Begünstigten (Discretionary Beneficiaries), die noch nicht individuell bestimmt sind, genügt zunächst die Dokumentation der Kategorie von Begünstigten, etwa "Nachkommen des Stifters". Die FMA erwartet jedoch, dass bei einer tatsächlichen Ausschüttung an einen konkreten Begünstigten dessen Identifikation nachgeholt wird.
Dieses Thema ist in der Praxis besonders heikel, weil liechtensteinische Stiftungen häufig gerade zum Zweck der Diskretion errichtet werden. Das SPG macht hier keine Ausnahme: Die Identifikationspflicht besteht auch dann, wenn der Stifter Vertraulichkeit wünscht.
Risikoklassifizierung: Der risikobasierte Ansatz
Das SPG folgt dem risikobasierten Ansatz, der sich in drei Stufen gliedert: allgemeine Sorgfaltspflicht (Standard), vereinfachte Sorgfaltspflicht (bei geringem Risiko) und verstärkte Sorgfaltspflicht (bei erhöhtem Risiko). Die Risikoklassifizierung jeder Geschäftsbeziehung ist zu dokumentieren und mindestens bei jedem Review zu überprüfen.
Welche Faktoren in die Risikobewertung einfliessen
Die SPV benennt vier Kategorien von Risikofaktoren: Kundenrisiko (Branche, Rechtsform, PEP-Status, Herkunft der Vermögenswerte), geographisches Risiko (Sitz oder Wohnsitz in Hochrisikoländern gemäss FATF), Produkt- und Dienstleistungsrisiko (Komplexität der Struktur, Transaktionsvolumen) und Transaktionskanal (persönlicher Kontakt vs. Fernbeziehung).
Für Treuhänder sind bestimmte Konstellationen per se als erhöhtes Risiko einzustufen: politisch exponierte Personen (PEPs) und deren Angehörige, komplexe mehrstufige Strukturen mit Sitz in mehreren Jurisdiktionen, Geschäftsbeziehungen zu Personen aus Hochrisikoländern und Situationen, in denen die Herkunft der Vermögenswerte nicht plausibel erklärt werden kann.
Verstärkte Sorgfaltspflicht: Was das konkret bedeutet
Bei erhöhtem Risiko verlangt das SPG über die Standardmassnahmen hinaus zusätzliche Abklärungen. Dazu gehören die vertiefte Abklärung der Herkunft der Vermögenswerte und des wirtschaftlichen Hintergrunds, die Einholung der Genehmigung der Geschäftsleitung oder des SPG-Beauftragten für Aufnahme oder Weiterführung der Geschäftsbeziehung, eine häufigere Überprüfung (mindestens jährlich statt alle drei bis fünf Jahre) und ein engmaschigeres Transaktionsmonitoring.
Die FMA achtet bei Kontrollen besonders darauf, ob die Risikoklassifizierung nachvollziehbar begründet ist. Ein Mandant, der über eine Anstalt Vermögenswerte aus einem Drittstaat hält, der auf keiner Risikoliste steht, kann trotzdem ein erhöhtes Risiko darstellen, wenn die wirtschaftliche Tätigkeit nicht transparent ist. Die Risikoklassifizierung soll eine eigenständige Einschätzung des Treuhänders widerspiegeln, kein blosses Abhaken von Listen.
Laufende Überwachung: Nicht nur eine Pflichtübung
Die laufende Überwachung ist der Teil des KYC-Prozesses, der in der Praxis am häufigsten vernachlässigt wird. Das SPG verlangt, dass Transaktionen und die Geschäftsbeziehung insgesamt auf Plausibilität überwacht werden. Transaktionen, die nicht zum bekannten Profil des Mandanten passen, etwa eine Stiftung, die plötzlich grosse Barbeträge empfängt, oder ein Mandant, der ohne erkennbaren Grund Überweisungen in Hochrisikoländer tätigt, müssen abgeklärt und dokumentiert werden.
Periodische Reviews
Neben der transaktionsbezogenen Überwachung verlangt das SPG periodische Gesamtüberprüfungen jeder Geschäftsbeziehung. Die Intervalle richten sich nach der Risikoklasse: Bei hohem Risiko jährlich, bei mittlerem Risiko alle drei Jahre und bei niedrigem Risiko alle fünf Jahre. Bei einem Review wird geprüft, ob die erhobenen Daten noch aktuell sind, ob die Risikoklassifizierung noch zutrifft, ob es neue Trigger-Ereignisse gab und ob die Dokumentation vollständig ist.
Ein häufiger Befund bei FMA-Kontrollen: Reviews werden zwar durchgeführt, aber nicht oder nur lückenhaft dokumentiert. Die FMA erwartet eine nachvollziehbare Aufzeichnung darüber, wann ein Review stattfand, wer ihn durchgeführt hat, welche Feststellungen gemacht wurden und welche Massnahmen daraus abgeleitet wurden.
Trigger-basierte Ad-hoc-Reviews
Unabhängig vom regulären Review-Zyklus können Ereignisse eine sofortige Überprüfung auslösen: Änderung der wirtschaftlich berechtigten Person, Wohnsitzwechsel in ein Hochrisikoland, Transaktionen die nicht ins Profil passen, negative Medienberichte über den Mandanten oder eine beteiligte Person sowie Änderungen in der Organisationsstruktur des Mandanten. Das SPG verlangt, dass der Treuhänder auf solche Ereignisse zeitnah reagiert.
Screening-Pflichten: PEP, Sanktionen, Adverse Media
Neben der Identifikation und Risikoklassifizierung verlangt das SPG ein Screening gegen Sanktionslisten und die Feststellung, ob eine Person politisch exponiert ist. In der Praxis umfasst ein vollständiges Screening drei Bereiche.
PEP-Screening
Politisch exponierte Personen sowie deren Familienangehörige und nahestehende Personen unterliegen automatisch der verstärkten Sorgfaltspflicht. Die FMA erwartet, dass das PEP-Screening bei Aufnahme der Geschäftsbeziehung, bei jedem Review und in regelmässigen Intervallen wiederholt wird. Ein Mandant kann während einer laufenden Geschäftsbeziehung zum PEP werden, etwa durch Wahl in ein öffentliches Amt.
Sanktions-Screening
Das Screening gegen die aktuellen EU-Sanktionslisten und die OFAC-SDN-Liste (soweit geschäftsrelevant) ist bei Aufnahme jeder Geschäftsbeziehung, bei jeder Transaktion über einer bestimmten Schwelle und bei jedem Update der Sanktionslisten durchzuführen. Treuhänder mit vielen Mandaten sollten einen automatisierten Abgleich einsetzen. Manuelles Screening ist bei grösseren Beständen fehleranfällig und kaum dokumentierbar.
Adverse Media
Die Überprüfung auf negative Medienberichte ist in der SPV nicht explizit als eigenständige Pflicht benannt, wird von der FMA aber als Bestandteil einer angemessenen Risikoanalyse erwartet. Insbesondere bei Geschäftsbeziehungen mit erhöhtem Risiko fragt die FMA bei Kontrollen nach, ob und wie der Treuhänder negative Medienberichterstattung berücksichtigt hat.
Die Rolle des SPG-Beauftragten
Jede Treuhandgesellschaft muss einen SPG-Beauftragten bestellen und bei der FMA melden. Der SPG-Beauftragte ist verantwortlich für die Einhaltung der Sorgfaltspflichten, die Schulung der Mitarbeitenden, die interne Kontrollstruktur und die Kommunikation mit der FIU bei Verdachtsmeldungen.
In der Praxis ist der SPG-Beauftragte häufig ein Partner oder Geschäftsführer, der die Funktion zusätzlich zu seiner operativen Tätigkeit ausübt. Die FMA hat in jüngsten Kontrollen zunehmend darauf geachtet, ob der SPG-Beauftragte seine Funktion tatsächlich wahrnimmt: Gibt es regelmässige interne Berichte? Werden Schwachstellen dokumentiert und nachverfolgt? Existiert ein aktueller Jahresbericht des SPG-Beauftragten?
Ein SPG-Beauftragter, der nur auf dem Papier existiert, ist ein roter Befund bei jeder FMA-Kontrolle.
Dokumentation und Aufbewahrungspflichten
Das SPG verlangt die Aufbewahrung sämtlicher KYC-Unterlagen für mindestens zehn Jahre nach Beendigung der Geschäftsbeziehung. Dazu gehören Identifikationsdokumente und deren Kopien, die Dokumentation der wirtschaftlichen Berechtigung, die Risikoklassifizierung mit Begründung, Review-Protokolle und deren Ergebnisse, Screening-Ergebnisse (PEP, Sanktionen, Adverse Media), Transaktionsbelege und Plausibilitätsprüfungen sowie Korrespondenz mit der FIU.
Die Dokumentation muss so strukturiert sein, dass die FMA bei einer Kontrolle in angemessener Zeit nachvollziehen kann, welche Sorgfaltsmassnahmen getroffen wurden und warum. Lose Aktenordner mit unsortierten Dokumentkopien erfüllen diesen Anspruch nicht. Die FMA erwartet ein Dossier pro Geschäftsbeziehung mit klar erkennbarer Chronologie.
Häufige Befunde bei FMA-Kontrollen
Aus der Beratungspraxis und aus publizierten FMA-Jahresberichten lassen sich wiederkehrende Schwachstellen identifizieren, die bei Treuhändern besonders häufig auftreten:
- Unvollständige Identifikation: Ausweiskopien fehlen oder sind abgelaufen, wirtschaftlich Berechtigte sind nicht oder nur pauschal dokumentiert.
- Fehlende oder oberflächliche Risikoklassifizierung: Mandate werden pauschal als "niedriges Risiko" eingestuft, ohne individuelle Begründung.
- Verspätete oder fehlende Reviews: Periodische Überprüfungen werden nicht fristgerecht durchgeführt oder nicht dokumentiert.
- Kein systematisches Screening: PEP- und Sanktions-Screenings werden manuell und unregelmässig durchgeführt, Ergebnisse sind nicht nachvollziehbar archiviert.
- SPG-Beauftragter nur formell bestellt: Kein Jahresbericht, keine dokumentierten Kontrollhandlungen, keine Mitarbeiterschulungen.
- Mangelhaftes Transaktionsmonitoring: Auffällige Transaktionen werden nicht zeitnah abgeklärt oder die Abklärung wird nicht dokumentiert.
Diese Befunde führen zu Beanstandungen, die in schweren Fällen mit Bussen oder regulatorischen Massnahmen geahndet werden können. Die FMA hat in den vergangenen Jahren ihre Kontrollfrequenz bei Treuhändern erhöht und setzt dabei zunehmend auf thematische Prüfungen, etwa zur Qualität der UBO-Dokumentation oder zur Wirksamkeit der internen Kontrollsysteme.
Ausblick: SPG-Revision und AMLR
Die oben beschriebenen Pflichten gelten heute. Ab Juli 2027 tritt mit der EU-Geldwäscheverordnung (AMLR) ein neues Regime in Kraft, das die materiellen Sorgfaltspflichten europaweit vereinheitlicht. Für Liechtenstein bedeutet das eine Totalrevision des SPG: Die materiellen Pflichten (Identifikation, Risikoklassifizierung, laufende Überwachung) werden durch die AMLR ersetzt, das SPG bleibt als organisatorischer Rahmen bestehen.
Für Treuhänder heisst das: Wer die bestehenden SPG-Pflichten heute sauber erfüllt, hat die beste Ausgangslage für den Übergang zur AMLR. Wer hingegen Rückstände bei Reviews, Screening oder Dokumentation vor sich herschiebt, wird ab 2027 mit zwei Problemen gleichzeitig kämpfen: dem Aufarbeiten alter Lücken und dem Umsetzen neuer Anforderungen.
Wo stehen Ihre KYC-Prozesse?
SilverSeed unterstützt Treuhänder in Liechtenstein bei der strukturierten Überprüfung und Optimierung ihrer KYC-Organisation. In einem ersten Gespräch klären wir, wo Ihre grössten Lücken liegen und welche Massnahmen Priorität haben.
Fazit
KYC für Treuhänder in Liechtenstein ist kein einmaliger Akt bei Mandatseröffnung. Es ist ein fortlaufender Prozess, der Identifikation, Risikoklassifizierung, Screening, laufende Überwachung und regelmässige Reviews umfasst. Die FMA prüft zunehmend, ob die Pflichten substanziell gelebt werden: dokumentiert, aktuell, nachvollziehbar.
Treuhandgesellschaften, die ihre KYC-Organisation jetzt auf den Prüfstand stellen, sind nicht nur für die nächste FMA-Kontrolle besser aufgestellt. Sie schaffen auch die Grundlage dafür, den Übergang zur AMLR ab 2027 ohne Hektik zu bewältigen.