DOMSTOLENS DOM (femte avdelningen)
den 10 mars 2016(*)
”Begäran om förhandsavgörande – Åtgärder för att förhindra att det finansiella systemet används för penningtvätt och finansiering av terrorism – Direktiv 2005/60/EG – Åtgärder för kundkontroll – Direktiv 2007/64/EG – Betaltjänster på den inre marknaden”
I mål C‑235/14,
angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Audiencia Provincial de Barcelona (provinsdomstol i Barcelona, Spanien) genom beslut av den 7 maj 2014, som inkom till domstolen den 13 maj 2014, i målet
Safe Interenvíos SA
mot
Liberbank SA,
Banco de Sabadell SA,
Banco Bilbao Vizcaya Argentaria SA,
meddelar
DOMSTOLEN (femte avdelningen)
sammansatt av ordföranden på fjärde avdelningen T. von Danwitz, tillika tillförordnad ordförande på femte avdelningen, samt domarna D. Šváby, A. Rosas (referent), E. Juhász och C. Vajda,
generaladvokat: E. Sharpston
justitiesekreterare: förste handläggaren M. Ferreira,
efter det skriftliga förfarandet och förhandlingen den 6 maj 2015,
med beaktande av de yttranden som avgetts av:
– Safe Interenvíos SA, genom A. Selas Colorado och D. Solana Giménez, abogados,
– Banco Bilbao Vizcaya Argentaria SA, genom J. M. Rodríguez Cárcamo och B. García Gómez, abogados,
– Spaniens regering, genom A. Rubio González och A. Gavela Llopis, båda i egenskap av ombud,
– Portugals regering, genom L. Inez Fernandes, M. Rebelo och G. Miranda, samtliga i egenskap av ombud,
– Europeiska kommissionen, genom J. Rius och I. V. Rogalski, båda i egenskap av ombud,
och efter att den 3 september 2015 ha hört generaladvokatens förslag till avgörande,
följande
Dom
1 Begäran om förhandsavgörande avser tolkningen av artikel 11.1 i Europaparlamentets och rådets direktiv 2005/60/EG av den 26 oktober 2005 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt och finansiering av terrorism (EUT L 309, s. 15), i dess lydelse enligt Europaparlamentets och rådets direktiv 2010/78/EU av den 24 november 2010 (EUT L 331, s. 120) (nedan kallat direktivet om penningtvätt), jämförd med artiklarna 5, 7 och 13 i detta direktiv.
2 Begäran har framställts i ett mål mellan, å ena sidan, Safe Interenvíos SA (nedan kallat Safe) – ett betalningsinstitut – och, å andra sidan, Liberbank SA (nedan kallad Liberbank), Banco de Sabadell SA (nedan kallad Sabadell) och Banco Bilbao Vizcaya Argentaria SA (nedan kallad BBVA), som är tre kreditinstitut (nedan gemensamt kallade bankerna). Målet gäller bankernas beslut att avsluta konton tillhöriga Safe på grund av misstankar om penningtvätt.
Tillämpliga bestämmelser
Unionsrätt
Direktivet om penningtvätt
3 I skäl 5 i direktivet om penningtvätt anges att åtgärder som vidtas inom området för penningtvätt och finansiering av terrorism ”bör stå i samklang med åtgärder som vidtas i andra internationella forum” och ta särskild ”hänsyn till rekommendationerna från arbetsgruppen för finansiella åtgärder (Financial Action Task Force, FATF), som är det viktigaste internationella organ som verkar i kampen mot penningtvätt och finansiering av terrorism. Eftersom FATF:s rekommendationer 2003 blev föremål för en omfattande revidering och utvidgning bör detta direktiv anpassas till den nya internationella normen”.
4 I skäl 10 i nämnda direktiv anges följande:
”De institutioner och personer som omfattas av detta direktiv bör … fastställa och kontrollera de verkliga förmånstagarnas identitet. För att uppfylla detta krav bör dessa institutioner och personer själva avgöra om de vill använda offentliga register över verkliga förmånstagare, be sina kunder om relevanta uppgifter eller erhålla uppgifterna på annat sätt, med beaktande av att omfattningen av sådana krav på kundkontroll är relaterad till risken för penningtvätt och finansiering av terrorism, vilken beror på typen av kund, affärsförbindelse, produkt eller transaktion.”
5 I skälen 22 och 24 i direktivet anges följande:
”(22) Man bör ta hänsyn till att risken för penningtvätt och finansiering av terrorism är olika från fall till fall. I enlighet med en lösning som baserar sig på bedömning av riskerna bör gemenskapslagstiftningen tillåta lägre krav på kundkontroll i lämpliga fall.
…
(24) Likaså bör man i gemenskapslagstiftningen beakta att vissa situationer innebär en större risk för penningtvätt eller finansiering av terrorism. Även om alla kunders identitet och affärsprofil bör fastställas, finns det fall där det krävs särskilt noggranna identifierings- och kontrollförfaranden.”
6 I skäl 33 i direktivet om penningtvätt anges att det röjande av uppgifter som föreskrivs i artikel 28 bör göras i enlighet med bestämmelserna för överföring av personuppgifter till ett tredjeland i enlighet med Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, s. 31) (nedan kallat dataskyddsdirektivet). Bestämmelserna enligt artikel 28 får vidare inte inkräkta på nationell lagstiftning om skydd av personuppgifter och tystnadsplikt.
7 I skäl 48 i direktivet om penningtvätt anges att detta direktiv står i överensstämmelse med de grundläggande rättigheter och principer som erkänns särskilt i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) och inte bör tolkas eller genomföras på ett sätt som strider mot Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, som undertecknades den 4 november 1950 i Rom.
8 I artikel 1.1 och 1.2 i direktivet om penningtvätt föreskrivs följande:
”1. Medlemsstaterna ska säkerställa att penningvätt och finansiering av terrorism förbjuds.
2. Följande handlingar skall vid tillämpningen av detta direktiv anses som penningtvätt när de begås uppsåtligen:
a) Omvandling eller överföring av egendom i vetskap om att egendomen härrör från brottsliga handlingar eller från medverkan till brottsliga handlingar och i syfte att hemlighålla eller dölja egendomens olagliga ursprung, eller för att hjälpa någon som är delaktig i sådan verksamhet att undandra sig de rättsliga följderna av sitt handlande.
b) Hemlighållande eller döljande av en viss egendoms rätta beskaffenhet eller ursprung, av dess belägenhet, av förfogandet över den, av dess förflyttning, av de rättigheter som är knutna till den, eller av äganderätten till den, i vetskap om att egendomen härrör från brottsliga handlingar eller från medverkan till brottsliga handlingar.
c) Förvärv, innehav eller brukande av egendom i vetskap om, vid tiden för mottagandet, att egendomen härrörde från brottsliga handlingar eller från medverkan till brottsliga handlingar.
d) Deltagande, sammanslutning för att utföra försök att utföra och medhjälp, underlättande och rådgivning vid utförandet av någon av de handlingar som nämnts i de tidigare leden.”
9 Enligt artikel 2.1 i direktivet om penningtvätt är direktivet tillämpligt på kreditinstitut, finansiella institut samt en rad juridiska och fysiska personer vid utövandet av deras yrkesmässiga verksamhet.
10 I artikel 3 led 1 i samma direktiv definieras ”kreditinstitut” genom hänvisning till definitionen i artikel 1 led 1 första stycket i Europaparlamentets och rådets direktiv 2000/12/EG av den 20 mars 2000 om rätten att starta och driva verksamhet i kreditinstitut (EGT L 126, s. 1), det vill säga såsom ”ett företag vars verksamhet består i att från allmänheten ta emot insättningar eller andra återbetalbara medel och att bevilja krediter för egen räkning”.
11 Enligt artikel 3 led 2 a i direktivet om penningtvätt omfattar definitionen av ett ”finansiellt institut” bland annat ”[e]tt företag som inte är ett kreditinstitut, vars huvudsakliga verksamhet består i att bedriva en eller flera av de verksamheter som anges i punkterna 2–12, 14 och 15 i förteckningen i bilaga I till [Europaparlamentets och rådets direktiv 2006/48/EG av den 14 juni 2006 om rätten att starta och driva verksamhet i kreditinstitut (EUT L 177, s. 1), i dess lydelse enligt Europaparlamentets och rådets direktiv 2009/111/EG av den 16 september 2009 (EUT L 302, s. 97)]”. I verksamhetsförteckningen anges, i punkt 4 i denna bilaga, betaltjänster enligt definitionen i artikel 4.3 i Europaparlamentets och rådets direktiv 2007/64/EG av den 13 november 2007 om betaltjänster på den inre marknaden och om ändring av direktiven 97/7/EG, 2002/65/EG, 2005/60/EG och 2006/48/EG samt upphävande av direktiv 97/5/EG (EUT L 319, s. 1), i dess lydelse enligt direktiv 2009/111 (nedan kallat direktivet om betaltjänster) och i punkt 5 i nämnda bilaga ”[u]tställande och administration av andra betalningsmedel … såvida inte denna verksamhet omfattas av punkt 4”.
12 I artikel 5 i direktivet om penningtvätt föreskrivs att ”[m]edlemsstaterna får till förebyggande av penningtvätt och finansiering av terrorism införa eller behålla strängare regler inom det område som omfattas av detta direktiv”.
13 Kapitel II i direktivet om penningtvätt har rubriken ”Krav på kundkontroll”. Kapitlet omfattar artiklarna 6–10 vilka innehåller allmänna bestämmelser om kundkontroll, artiklarna 11 och 12 vilka innehåller särskilda bestämmelser om lägre krav på kundkontroll, samt artikel 13 innehållande specifika bestämmelser om skärpta krav på kundkontroll.
14 Enligt artikel 7 i direktivet om penningtvätt ska institut och personer som omfattas av detta direktiv tillämpa åtgärder rörande kundkontroll vid etableringen av en affärsförbindelse, vid icke regelbundet återkommande transaktioner som uppgår till 15 000 EUR eller mer, om det finns misstankar om penningtvätt eller finansiering av terrorism, oavsett eventuella tröskelbelopp, undantag eller befrielser, och om det råder osäkerhet om tidigare erhållna kunduppgifters tillförlitlighet eller tillräcklighet.
15 Artikel 8 i direktivet om penningtvätt har följande lydelse:
”1. Åtgärderna för att uppfylla kraven på kundkontroll skall inbegripa följande:
a) Att identifiera kunden och styrka kundens identitet på grundval av handlingar, uppgifter eller upplysningar från tillförlitliga och oberoende källor.
b) Att i förekommande fall identifiera den verklige förmånstagaren och vidta riskbaserade och lämpliga åtgärder för att kontrollera dennes identitet, …
c) Att skaffa information om affärsförbindelsens syfte och avsedda form.
d) Att utöva fortlöpande övervakning av den aktuella affärsförbindelsen och därvid kontrollera … de transaktioner som utförs …
2. Institut och personer som omfattas av detta direktiv skall tillämpa vart och ett av kraven på kundkontroll i punkt 1, men får själva avgöra hur omfattande sådana åtgärder skall vara utifrån en riskbaserad analys av typen av kund, affärsförbindelse, produkt eller transaktion. De institut och personer som omfattas av detta direktiv skall kunna bevisa för de behöriga myndigheter[na] … att åtgärdernas omfattning är lämplig med hänsyn till risken för penningtvätt eller finansiering av terrorism.”
16 I artikel 9.1, 9.5 och 9.6 i nämnda direktiv föreskrivs följande:
”1. Medlemsstaterna skall kräva att en kontroll av kundens eller den verklige förmånstagarens identitet äger rum innan en affärsförbindelse ingås eller en transaktion utförs.
…
5. Medlemsstaterna skall se till att en institution eller person som inte kan uppfylla kraven i artikel 8.1 a, b och c inte tillåts utföra en transaktion via ett bankkonto, ingå en affärsförbindelse eller utföra en transaktion eller, om en affärsförbindelse redan har ingåtts, blir tvungen av avbryta denna, och skall överväga att lämna en rapport om kunden till … finansunderrättelseenheten i enlighet med artikel 22.
…
6. Medlemsstaterna skall kräva att de institut och personer som omfattas av detta direktiv tillämpar kravet på kundkontroll inte endast på nya kunder, utan även på befintliga kunder om det efter en riskbedömning anses lämpligt.”
17 I artikel 11.1 i direktivet om penningtvätt föreskrivs följande:
”Med avvikelse från artikel 7 a, 7 b och 7 d, artikel 8 och artikel 9.1 skall inte de institut och personer som omfattas av detta direktiv vara underkastade de krav som föreskrivs i dessa artiklar, om kunden är ett kreditinstitut eller ett finansiellt institut som omfattas av detta direktiv, eller ett kreditinstitut eller ett finansiellt institut i ett tredjeland som fastställer krav som motsvarar dem som fastställs i detta direktiv och vars överensstämmelse med dessa krav är föremål för tillsyn.”
18 I artikel 11.2 i direktivet om penningtvätt föreskrivs andra omständigheter då medlemsstaterna, med avvikelse från artiklarna 7 a, b och d, 8 och 9.1 i direktivet, får tillåta att de institut och personer som omfattas av detta direktiv inte tillämpar kravet på normal kundkontroll. Enligt artikel 11.3 i samma direktiv ska institut och personer som omfattas av detta direktiv, under alla omständigheter, samla tillräckligt med information för att fastställa om kunden är berättigad till ett undantag enligt punkterna 1 och 2.
19 Artikel 13.1 i direktivet om penningtvätt har följande lydelse:
”Medlemsstaterna skall se till att institut och personer som omfattas av detta direktiv utifrån en riskbedömning uppfyller skärpta krav på kundkontroll, utöver de åtgärder som avses i artiklarna 7, 8 och artikel 9.6, i situationer som genom sin natur kan medföra högre risk för penningtvätt och finansiering av terrorism, och åtminstone de situationer som avses i punkterna 2, 3 och 4 och i fråga om andra situationer som medför en hög risk för penningtvätt och finansiering av terrorism och som uppfyller de tekniska kriterier som fastställts i enlighet med artikel 40.1 c”.
20 Artikel 13.2–13.4 i direktivet om penningtvätt avser fall där kunden inte har varit fysiskt närvarande för identifiering, gränsöverskridande korrespondentbankförbindelser med motpart i ett tredjeland och transaktioner eller affärsförbindelser med personer i politiskt utsatt ställning som är bosatta i ett annat medlemsland eller i ett tredjeland. För sådana fall förtecknas särskilda skärpta krav på kundkontroll eller exempel på lämpliga åtgärder.
21 Enligt artikel 20 i direktivet om penningtvätt ska medlemsstaterna kräva att institut och personer som omfattas av detta direktiv ägnar särskild uppmärksamhet åt en viss verksamhet som de på grund av verksamhetens natur anser kunna innebära särskild risk för penningtvätt eller finansiering av terrorism.
22 Artikel 22 i direktivet om penningtvätt, som tillsammans med artikel 23 i samma direktiv innehåller skyldigheter att rapportera, medför krav på att institut och personer som omfattas av detta direktiv, samt i tillämpliga fall deras styrelseledamöter och anställda, samarbetar fullt ut genom att bland annat utan dröjsmål och på eget initiativ underrätta finansunderrättelseenheten när de har vetskap om, misstänker eller har skälig grund att misstänka att penningtvätt eller finansiering av terrorism äger eller har ägt rum eller att försök därtill har gjorts.
23 Enligt artikel 28 i direktivet om penningtvätt förbjuds institut och personer som omfattas av detta direktiv samt deras styrelseledamöter och anställda att för berörd kund eller annan tredje person röja att uppgifter har lämnats i enlighet med artiklarna 22 och 23, eller att en undersökning om penningtvätt eller finansiering av terrorism pågår eller kan komma att göras.
24 Medlemsstaterna ska enligt artikel 34.1 i direktivet om penningtvätt kräva att institut och personer som omfattas av detta direktiv inför tillfredsställande och lämpliga riktlinjer och rutiner för kundkontroll, rapportering, bevarande av uppgifter, internkontroll, riskbedömning, riskhantering, efterlevnadskontroll och kommunikation, för att förebygga och förhindra transaktioner som har samband med penningtvätt eller finansiering av terrorism.
25 Artikel 37 i direktivet om penningtvätt avser, i likhet med artikel 36 i detta direktiv tillsyn. I artikel 37.1 stadgas att medlemsstaterna åtminstone ska kräva att de behöriga myndigheterna effektivt övervakar, och vidtar nödvändiga åtgärder för att säkerställa att de institut och personer som omfattas av detta direktiv uppfyller direktivets krav.
Direktivet om betaltjänster
26 I direktivet om betaltjänster fastställs bland annat bestämmelser för att skilja mellan sex kategorier av betaltjänstleverantörer, däribland kreditinstitut i den mening som avses i artikel 4.1 a i direktiv 2006/48 i ändrad lydelse enligt direktiv 2009/111, och betalningsinstitut i den mening som avses i direktivet om betaltjänster.
27 I artikel 4, som har rubriken ”Definitioner”, i nämnda direktiv föreskrivs följande:
”I detta direktiv gäller följande definitioner:
…
3. betaltjänst: en affärsverksamhet som förtecknas i bilagan [och som används för genomförandet av betalningstransaktioner]
4. betalningsinstitut: en juridisk person som har beviljats auktorisation i enlighet med artikel 10 [som kräver att företag som avser att tillhandahålla betaltjänster ska ha auktoriserats som betalningsinstitut innan de börjar tillhandahålla dessa tjänster] att tillhandahålla och utföra betaltjänster inom gemenskapen.
…
22. ombud: en fysisk eller juridisk person som agerar för ett betalningsinstituts räkning vid tillhandahållandet av betaltjänster
…”
28 För att auktoriseras som betalningsinstitut ska enligt artikel 5 första stycket f i direktivet om betaltjänster en ansökan inlämnas tillsammans med ett antal handlingar, bland annat ”[e]n beskrivning av de mekanismer för intern kontroll som sökanden har fastställt för att fullgöra skyldigheterna i fråga om penningtvätt och finansiering av terrorism enligt [direktivet om penningtvätt]”. I artikel 10.2 i direktivet om betaltjänster föreskrivs att auktorisation ska beviljas ”om den information och de bestyrkanden som åtföljer ansökan uppfyller kraven enligt artikel 5 och de behöriga myndigheterna efter att ha granskat ansökan kommer fram till en positiv sammanlagd bedömning”. Auktorisationen får enligt artikel 12.1 i samma direktiv återkallas endast under vissa förutsättningar, bland annat – enligt vad som stadgas under c) i denna bestämmelse – om betalningsinstitutet inte längre uppfyller villkoren för beviljande av auktorisation.
29 Enligt artikel 17.1 i direktivet om betaltjänster ska ett betalningsinstitut som avser att tillhandahålla betaltjänster via ett ombud lämna viss information till behöriga myndigheter i sin hemmedlemsstat som gör det möjligt att ta upp ombudet i det offentliga register över auktoriserade betalningsinstitut, deras ombud och filialer som anges i artikel 13 i samma direktiv. Denna information omfattar ombudets namn och adress och en beskrivning av de mekanismer för intern kontroll som ombuden kommer att använda för att fullgöra skyldigheterna när det gäller penningtvätt och finansiering av terrorism enligt penningtvättdirektivet.
30 Medlemsstaterna ska enligt artikel 20.1 första stycket i direktivet om betaltjänster utse ”antingen offentliga myndigheter eller sådana organ som erkänns i nationell lagstiftning eller av offentliga myndigheter som enligt nationell lagstiftning uttryckligen har fått sådant bemyndigande inklusive nationella centralbanker” som behöriga myndigheter med ansvar för auktorisation och tillsyn av betalningsinstitut. Enligt andra stycket i nämnda artikel 20.1 ska ”[d]e behöriga myndigheterna … se till att de är oberoende av ekonomiska organ och undvika intressekonflikter. Utan att det påverkar tillämpningen av första stycket ska betalningsinstitut, kreditinstitut, institut för elektroniska pengar eller postgiroinstitut, inte utses till behöriga myndigheter”.
31 Artikel 21, med rubriken ”Tillsyn”, i direktivet om betaltjänster har följande lydelse:
”1. Medlemsstaterna ska se till att de kontroller som de behöriga myndigheterna genomför för att kontrollera löpande överensstämmelse med denna avdelning [vilken har rubriken betaltjänstleverantörer] är proportionella och tillräckliga och motsvarar de risker som betalningsinstituten exponeras för.
För att kontrollera att denna avdelning efterlevs ska de behöriga myndigheterna särskilt ha rätt att vidta följande åtgärder:
a) Kräva att betalningsinstitutet tillhandahåller all information som krävs för att övervaka efterlevnaden.
b) Genomföra inspektion på plats i betalningsinstitutet, hos ombud eller filialer som tillhandahåller betaltjänster på betalningsinstitutets ansvar eller hos enheter på vilka betaltjänstverksamhet har lagts ut på entreprenad.
c) Utfärda rekommendationer och riktlinjer och, i tillämpliga fall, bindande administrativa bestämmelser.
d) Tillfälligt upphäva eller återkalla auktorisation i de fall som avses i artikel 12.
2. … medlemsstaterna [ska] svara för att deras behöriga myndigheter mot betalningsinstituten och mot dem som har ett bestämmande inflytande över betalningsinstitutetens verksamhet, när dessa överträder bestämmelser i lagar och andra författningar om tillsyn av och om verksamhet i form av betaltjänstverksamhet, kan besluta om sanktioner eller vidta åtgärder i syfte att särskilt avbryta observerade överträdelser eller orsakerna till sådana överträdelser.
…”
32 I artikel 79, med rubriken ”Dataskydd”, i direktivet om betaltjänster föreskrivs att ”[m]edlemsstaterna ska tillåta att betalningssystem och betaltjänstleverantörer behandlar personuppgifter när detta är nödvändigt för att säkerställa förebyggande, undersökning och avslöjande av betalningsbedrägerier. Behandlingen av personuppgifter ska genomföras i enlighet med [dataskyddsdirektivet]”.
Spansk rätt
33 Lag 10/2010 om åtgärder för att förhindra penningtvätt och finansiering av terrorism (Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo) av den 28 april 2010 (BOE no 103, 29 april 2010, s. 37458), varigenom direktivet om penningtvätt införlivades i spansk rätt, skiljer mellan tre typer av kundkontrollkrav. I artiklarna 3–6 i lagen regleras normala krav på kundkontroll, i artikel 9 i nämnda lag regleras förenklade krav på kundkontroll och i artikel 11 i samma lag regleras skärpta krav på kundkontroll.
34 Normalkrav på kundkontroll innefattar – såsom föreskrivs i artiklarna 3–6 i lag 10/2010 – åtgärder för att formellt identifiera personerna i fråga, att identifiera de verkliga förmånstagarna, att erhålla information om föremålet för och beskaffenheten av den avsedda affärsförbindelsen samt löpande övervakning av affärsförbindelsen.
35 I artikel 7.1 i lag nr 10/2010 föreskrivs följande:
”Personer som omfattas av denna lag ska vidta alla åtgärder för kundkontroll som föreskrivs i föregående artiklar. Nämnda personer får emellertid besluta i vilken mån de åtgärder som föreskrivs i artiklarna 4, 5 och 6 ska tillämpas med beaktande av den risk och typ av kund, affärsrelation, produkt eller transaktion det rör sig om. Dessa uppgifter återfinns i de uttryckliga regler som gäller för att godtas som kund. …
Personer som avses i denna lag ska kunna visa för de behöriga myndigheterna att de åtgärder som vidtagits är av lämplig omfattning i förhållande till risken för penningtvätt och finansiering av terrorism. Detta ska visas genom en föregående riskanalys som under alla omständigheter ska göras skriftligen.
Personer som omfattas av denna lag ska systematiskt vidta åtgärder för kundkontroll vid tecken på penningtvätt eller finansiering av terrorism, oavsett eventuella undantag, befrielser eller tröskelbelopp, eller om det råder osäkerhet om tidigare erhållna kunduppgifters tillförlitlighet eller tillräcklighet.”
36 Enligt artikel 7.3 i lag 10/2010 får personer som omfattas av lagen inte inleda en affärsförbindelse eller genomföra en transaktion om de inte kan uppfylla de krav på kundkontroll som föreskrivs i lagen. Om detta visar sig omöjligt under tiden affärsförbindelsen pågår ska de avsluta förbindelsen.
37 I artikel 9 i lag 10/2010 anges följande:
”1. Utan att det påverkar bestämmelserna i artikel 7.1 tredje stycket har personer som omfattas av denna lag rätt att inte tillämpa de åtgärder för kundkontroll som föreskrivs i artiklarna 3.2, 4, 5 och 6 på följande kunder:
…
b) Finansiella institut med säte inom Europeiska unionen eller i likvärdiga tredjeländer som varit föremål för tillsyn i syfte att säkerställa att åtgärderna för kundkontroll iakttas.
…
Ekonomi- och finansministern får genom beslut utesluta att förenklade åtgärder för kundkontroll tillämpas gentemot vissa kunder.
2. Tillämpning av förenklade åtgärder för kundkontroll gentemot vissa kunder som företer en låg risk för penningtvätt eller finansiering av terrorism får tillåtas genom lag eller förordning.
3. Personer som omfattas av denna lag ska under alla omständigheter samla in tillräckliga uppgifter för att avgöra om kunden kan omfattas av ett eller flera av de undantag som föreskrivs i denna artikel”.
38 I artikel 11 i lag 10/2010 anges följande:
”Personer som omfattas av denna lag ska, utöver normala åtgärder för kundkontroll, även tillämpa skärpta krav på kundkontroll i de situationer som anges i detta avsnitt och i samtliga andra fall som avses i bestämmelserna om det föreligger en hög risk för penningtvätt eller finansiering av terrorism.
Personer som omfattas av denna lag ska dessutom, utifrån den riskbedömning de gör, tillämpa skärpta krav på kundkontroll i de situationer som genom sin natur kan medföra högre risk för penningtvätt och finansiering av terrorism. Privat bankverksamhet, tjänster som består i överföring av penningmedel och valutaväxlingstransaktioner ska anses förete en sådan risk.
De åtgärder för skärpt kundkontroll som fordras inom de sektorer och verksamhetsområden som företer en sådan hög risk för penningtvätt eller finansiering av terrorism får preciseras genom lag eller förordning”.
Målet vid den nationella domstolen och tolkningsfrågorna
39 Safe är ett bolag som ombesörjer överföring av penningmedel till andra medlemsstater än den där bolaget är etablerat eller till tredjeländer via de konton som bolaget innehar hos kreditinstitut.
40 Sedan banker upptäckt oegentligheter bland de ombud som överförde penningmedel via konton som Safe innehade hos dem, begärde bankerna att Safe skulle lämna uppgifter enligt lag 10/2010. När Safe vägrade att lämna sådana uppgifter avslutade bankerna de konton som Safe innehade hos dem.
41 Det framgår av handlingarna i målet att BBVA, den 11 maj 2011, informerade den exekutiva avdelningen vid kommissionen för åtgärder mot penningtvätt och ekonomisk brottslighet vid Spaniens centralbank (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias del Banco de España) (nedan kallad Sepblac) om dessa oegentligheter, och uppgav att man misstänkte att Safe ägnade sig åt penningtvätt. Den 22 juli 2011 informerade BBVA Safe om att man definitivt avslutat bolagets konto.
42 Safe angrep BBVA:s beslut att avsluta bolagets konto inför Juzgado de lo Mercantil no 5 de Barcelona (handelsdomstol nr 5 i Barcelona). Bolaget angrep även liknande beslut som meddelats av två andra banker. Bolaget anförde att det utgjorde illojal konkurrens att avsluta bolagets konto och att detta hindrade bolaget från att utöva sin verksamhet, som består i att överföra medel till andra medlemsstater än den där bolaget är etablerat, normalt. Safe gjorde således gällande att bolaget hade en lagstadgad skyldighet att inneha ett konto i en bank för att kunna genomföra sådana överföringar av penningmedel, vilket bolaget gjort genom bankerna, och att Safe konkurrerade med dem på marknaden. Safe vidhöll vidare att bankerna uppmanat bolaget att lämna uppgifter om sina kunder, var medlen kom i från och vart de skulle, med hänvisning till bestämmelserna i lag 10/2010 – vilket bankerna bestrider – och att det stred mot nationell dataskyddslagstiftning att lämna dessa uppgifter till bankerna.
43 Bankerna genmälde att deras åtgärder var förenliga med lag 10/2010, att de var berättigade särskilt på grund av riskerna som var förenade med överföring av penningmedel till andra stater än den där bolaget är etablerat och att de inte stod i strid med konkurrensrätten.
44 Den 25 september 2012 ogillade Juzgado de lo Mercantil no 5 de Barcelona (handelsdomstol nr 5 i Barcelona) Safes talan. Nämnda domstol fann att bankerna hade rätt att begära att Safe skulle vidta skärpta åtgärder för kundkontroll och lämna uppgifter om dess kunder förutsatt att bankerna på grund av bolagets agerande fann tecken på förfaranden som stod i strid med lag 10/2010.
45 Samma domstol prövade i varje enskilt fall huruvida bankernas agerande var motiverat. Den kom fram till att inte någon av bankerna hade överträtt något särskilt förbud mot konkurrensbegränsande handlingar, men att Sabadell och Liberbank, till skillnad från BBVA, hade agerat på ett illojalt sätt genom att inte motivera de vidtagna åtgärderna. Nämnda domstol fann däremot att BBVA:s handlande var motiverat, eftersom det grundades på kontroller som visade att 22 procent av de överföringar som genomförts via Safes konton under perioden 1 september–30 november 2010 inte ombesörjts av ombud som var auktoriserade av Safe och upptagna i de register som förs av Spaniens centralbank. Under den perioden hade dessutom överföringar gjorts av 1 291 personer, vilket vida översteg antalet ombud för Safe. Riskerna med överföringar som inte genomförs av identifierade ombud hade dessutom framhållits i en expertrapport.
46 Safe, Sabadell och Liberbank överklagade domen till Audiencia Provincial de Barcelona (provinsdomstol i Barcelona) som prövar de tre överklagandena tillsammans.
47 Den hänskjutande domstolen anser att samtliga parter lyder under lag 10/2010 då de ingår i de kategorier som anges i artikel 2 i denna lag, vilka innefattar kreditinstitut och betalningsinstitut. Samtliga parter konkurrerar dessutom på marknaden och bedriver samma verksamhet bestående i överföringar av penningmedel till andra stater än den de är etablerade i. Betalningsinstitut som Safe måste emellertid bedriva sådan verksamhet via konton hos kreditinstitut, såsom bankerna.
48 Inför den hänskjutande domstolen påstod Safe för det första att BBVA inte behövde vidta åtgärder för kundkontroll när kunderna utgörs av finansiella institut, eftersom dessa står under tillsyn direkt av myndigheterna, i detta fall av Spaniens centralbank. För det andra gjorde bolaget gällande att i Spanien får endast Sepblac ha tillgång till uppgifter avseende betalningsinstitutens kunder. För det fall BBVA antas vara skyldigt att vidta sådana åtgärder för kundkontroll, borde BBVA för det tredje först ha gjort en detaljerad och fullständig granskning av Safes regler för efterlevnad av tillämplig lagstiftning. I förevarande fall nöjde sig BBVA med att beställa en expertrapport som baserats på BBVA:s uppgifter. För det fjärde är lag 10/2010 inte tillämplig på personer såsom exempelvis ombud, som bistår finansiella institut vid överföring av penningmedel.
49 Sabadell gjorde inför den hänskjutande domstolen gällande att Juzgado de lo Mercantil no 5 de Barcelona (handelsdomstolen nr 5 i Barcelona) i sin dom godtog att Sabadell i princip kunde tillämpa skärpta åtgärder för kundkontroll, men ansåg att det inte kunde göra det i detta fall. Liberbank påstod att det var berättigat att avsluta Safes konto, eftersom Safe underlåtit att lämna ut begärd information.
50 Den hänskjutande domstolen anser att det finns tre huvudfrågor avseende tolkningen av artikel 11.1 i direktivet om penningtvätt.
51 Fråga 1 gäller huruvida den nationella lagstiftaren – med avseende på artikel 5 i direktivet, enligt vilken medlemsstaterna till förebyggande av penningtvätt och finansiering av terrorism får införa eller behålla strängare regler inom det område som omfattas av detta direktiv – kan anses ha rätt att införliva det undantag eller den befrielse som föreskrivs i artikel 11.1 i samma direktiv med en annan lydelse än vad som framgår av dess exakta innehåll. Enligt artikel 9.1 b i lag 10/2010 har de personer som omfattas av lagen ”rätt att inte tillämpa de [normala] åtgärder för kundkontroll” avseende kunder som är finansiella institut etablerade i unionen eller i likvärdiga tredjeländer, som är föremål för tillsyn i syfte att säkerställa att åtgärderna för kundkontroll iakttas.
52 Tolkningen av artikel 11.1 i direktivet om penningtvätt, jämförd med artikel 7 i samma direktiv, aktualiserar för det andra frågan huruvida unionslagstiftaren avsåg att införa ett absolut undantag från skyldigheten för kreditinstitut att vidta åtgärder för kundkontroll när kunderna är betalningsinstitut som i sin tur omfattas av direktivet på grund av deras ställning som finansiella institut som även omfattas av sina egna tillsynssystem.
53 För det tredje aktualiseras frågan huruvida det undantag som föreskrivs i nämnda bestämmelse endast gäller åtgärder för kundkontroll, eller om det även omfattar skärpta åtgärder för kundkontroll.
54 Ytterligare frågor uppstår härutöver för det fall artikel 11.1 i direktivet om penningtvätt ska tolkas så, att finansiella institut har rätt att vidta åtgärder för kundkontroll eller skärpta åtgärder för kundkontroll eller till och med är skyldiga att göra detta, oavsett om det ska ske med stöd av unionsrätten eller enligt nationell lagstiftning.
55 Dessa övriga frågor gäller dels sambandet mellan artikel 11.1 i direktivet om penningtvätt och artikel 21 i direktivet om betaltjänster. Frågorna syftar till att avgöra gränserna för de åtgärder för kundkontroll eller skärpta åtgärder för kundkontroll som banker, i förekommande fall, kan komma att tillämpa gentemot betalningsinstitut; dels avser de att få klarlagt huruvida det är förenligt med unionsrätten, i synnerhet dataskyddsdirektivet, att betalningsinstitut lämnar ut kunduppgifter till kreditinstitut.
56 Mot denna bakgrund beslutade Audiencia Provincial de Barcelona (provinsdomstol i Barcelona) att vilandeförklara målet och ställa följande frågor till EU-domstolen:
”1) Beträffande tolkningen av artikel 11.1 i direktivet om penningtvätt:
a) Ska nämnda artikel, jämförd med artikel 7 i samma direktiv, tolkas så, att unionslagstiftaren har haft för avsikt att införa ett verkligt undantag från regeln att kreditinstitut får tillämpa åtgärder för kundkontroll av sina egna kunder när dessa är betalningsinstitut som omfattas av ett eget tillsynssystem, eller rör det sig enbart om en rätt att göra sådana undantag?
b) Ska nämnda artikel, jämförd med artikel 5 i samma direktiv, tolkas så, att den nationella lagstiftaren kan införliva det undantag som föreskrivs i nämnda bestämmelse med ordalag som skiljer sig från bestämmelsens lydelse?
c) Är undantaget i artikel 11.1 även tillämpligt på åtgärder för skärpt kundkontroll på samma sätt som på åtgärder för kundkontroll?
2) Alternativt, för det fall svaret på de föregående frågorna innebär att kreditinstitut får tillämpa åtgärder för kundkontroll och skärpta åtgärder för kundkontroll mot betalningsinstitut, så ställs följande frågor:
a) Hur omfattande möjligheter har kreditinstitut att övervaka betalningsinstitutens verksamhet? Kan de med stöd av bestämmelserna i direktivet om penningtvätt anses ha rätt att övervaka betalningsinstitutens förfaranden och åtgärder för kundkontroll, eller är det endast sådana offentliga organ som avses i direktivet om betaltjänster, i förevarande fall Banco de España, som har rätt att göra det?
b) Kräver denna rätt för kreditinstituten att vidta åtgärder några särskilda skäl som kan härledas från betalningsinstitutets handlingar, eller får de vidtas generellt, enbart av det skälet att betalningsinstitutet bedriver en riskfylld verksamhet som penningöverföringar till utlandet?
c) Om EU-domstolen finner att det krävs konkreta skäl för att kreditinstitut ska få tillämpa åtgärder för kundkontroll mot betalningsinstitut:
i) Vilka relevanta beteenden ska banken beakta för att få vidta åtgärder för kundkontroll?
ii) Kan ett kreditinstitut anses ha rätt att för det ändamålet bedöma de åtgärder för kundkontroll som ett betalningsinstitut tillämpar i sina förfaranden?
iii) Krävs det för att få utnyttja denna rätt att banken har kunnat upptäcka något beteende i betalningsinstitutets verksamhet som gör att det kan misstänkas för medverkan i penningtvätt eller finansiering av terrorism?
3) För det fall EU-domstolen finner att kreditinstituten har rätt att vidta skärpta åtgärder för kundkontroll mot betalningsinstitut:
a) Är det skäligt att denna rätt innefattar krav på tillhandahållande av uppgifter om identiteten på alla de kunder hos betalningsinstitutet från vilka pengar skickas, samt om identiteten på mottagarna?
b) Är det förenligt med dataskyddsdirektivet att betalningsinstituten ska vidarebefordra uppgifter om sina kunder till de kreditinstitut som de är tvungna att samarbeta med och som de samtidigt konkurrerar med på marknaden?”
Prövning av tolkningsfrågorna
Fråga 1
57 Det framgår av handlingarna i målet att BBVA började misstänka penningtvätt eller finansiering av terrorism efter det att man upptäckt oegentligheter i informationen beträffande de ombud som överförde medel via Safes konto hos BBVA. BBVA begärde upplysningar av Safe enligt lag 10/2010. Sedan bolaget vägrat att lämna dessa upplysningar avslutade BBVA bolagets konto. Enligt artikel 9 i lagen är det förvisso tillåtet att tillämpa förenklade åtgärder för kontroll av kunder som består av finansiella institut vars efterlevnad av kraven på kundkontroll är föremål för tillsyn enligt artikel 11 i samma lag. Skärpta åtgärder för kundkontroll ska däremot vidtas i situationer där det enligt en riskbedömning föreligger en högre risk för penningtvätt eller finansiering av terrorism. Bland de situationer som, på grund av sin natur, innebär en sådan risk återfinns särskilt tjänster avseende överföring av penningmedel.
58 Den hänskjutande domstolen har ställt sin första fråga för att få klarhet i huruvida artiklarna 5, 7, 11.1 och 13 i direktivet om penningtvätt ska tolkas så, att de inte utgör hinder för en nationell lagstiftning, såsom den som är aktuell i det nationella målet, som dels tillåter tillämpning av normala åtgärder för kontroll av kunder som utgörs av finansiella institut vars efterlevnad av kraven på kontroll är föremål för tillsyn, dels föreskriver att institut och personer som omfattas av direktivet, utifrån den riskbedömning de gör, ska tillämpa skärpta åtgärder för kundkontroll i de situationer som genom sin natur kan medföra högre risk för penningtvätt och finansiering av terrorism, såsom vid överföring av penningmedel.
59 Direktivet om penningtvätt föreskriver i avsnitt 1–3, i kapitel II med rubriken ”Krav på kundkontroll”, tre typer av kundkontroll, nämligen normala, förenklade och skärpta krav på sådan kontroll.
60 Avsnitt 1 i detta kapitel har rubriken ”Allmänna bestämmelser”. I artikel 7 a–d i direktivet om penningtvätt anges de situationer då institut och personer som omfattas av direktivet är skyldiga att tillämpa normala åtgärder för kundkontroll, eftersom dessa bedöms innebära en risk för penningtvätt eller finansiering av terrorism som kan förhindras genom åtgärderna enligt artiklarna 8 och 9. Dessa situationer uppstår vid etableringen av en affärsförbindelse, vid icke regelbundet återkommande transaktioner som uppgår till 15 000 EUR eller mer, vid misstanke om penningtvätt eller finansiering av terrorism och om det råder osäkerhet om hur tillförlitliga eller tillräckliga tidigare erhållna kunduppgifter är.
61 I de situationer som avses i artikel 7 är de institut och personer som omfattas av direktivet skyldiga att tillämpa normala åtgärder för kundkontroll. Sådana åtgärder består enligt artikel 8.1 i direktivet i att identifiera kunden och kontrollera dennes identitet, i förekommande fall att identifiera den verkliga förmånstagaren, att skaffa information om affärsförbindelsens syfte och avsedda form samt fortlöpande övervaka affärsförbindelsen och redan genomförda transaktioner. Omfattningen av dessa krav på kundkontroll får såsom följer av artikel 8.2 anpassas utifrån en riskbaserad analys av typen av kund, affärsförbindelse, produkt eller transaktion.
62 Enligt artikel 9.6 i direktivet om penningtvätt ska medlemsstaterna kräva att de institut och personer som omfattas av detta direktiv tillämpar kravet på kundkontroll inte endast på nya kunder, utan även på befintliga kunder om det efter en riskbedömning anses lämpligt. Dock ska medlemsstaterna enligt artikel 9.1 i nämnda direktiv kräva att en kontroll av kundens eller den verklige förmånstagarens identitet äger rum innan en affärsförbindelse ingås eller en transaktion utförs.
63 I artiklarna 7–9 i direktivet om penningtvätt har unionslagstiftaren följaktligen identifierat de omständigheter då den anser att det i nationell lagstiftning ska föreskrivas normala åtgärder rörande kundkontroll för att undvika en risk för penningtvätt eller finansiering av terrorism.
64 I andra situationer, som bland annat beror på typen av kund, affärsförbindelse, produkt eller transaktion, kan risken vara mer eller mindre hög, såsom framgår av skälen 10, 22 och 24 i direktivet om penningtvätt. Artiklarna 11 och 13 i samma direktiv avser dessa situationer och medlemsstaterna görs skyldiga att tillse att olika nivåer av kundkontroll tillämpas.
65 Under vissa omständigheter som anges i artikel 11 i direktivet om penningtvätt är det inte nödvändigt att tillämpa de åtgärder avseende kundkontroll som föreskrivs i artiklarna 8 och 9.1 i direktivet när de enligt artikel 7 a, b och d i princip borde ha tillämpats. Det gäller här situationer där unionslagstiftaren funnit att risken för penningtvätt eller finansiering av terrorism var lägre på grund av kundens identitet eller värdet på eller innehållet i transaktionen eller produkten.
66 Så är enligt artikel 11.1 i direktivet om penningtvätt fallet när kunden till ett institut eller en person som omfattas av direktivet själv är ett kreditinstitut eller ett finansiellt institut som omfattas av detta direktiv.
67 Det ska dock understrykas att artikel 11.1 i direktivet om penningtvätt inte utgör något undantag från artikel 7 c i nämnda direktiv.
68 Enligt den bestämmelsen, jämförd med artikel 11.1 i direktivet, ska åtgärder för kundkontroll alltid tillämpas om det finns misstankar om penningtvätt eller finansiering av terrorism. Detta uttryck definieras inte i direktivet. När en sådan misstanke uppstår får en medlemsstat följaktligen inte tillåta eller kräva att förenklade åtgärder för kundkontroller tillämpas.
69 EU-domstolen påpekar vidare att, till skillnad från vad Safe har anfört, utgör det undantag som föreskrivs i artikel 11.1 i direktivet om penningtvätt inte hinder för nationella bestämmelser enligt vilka berörda institut och personer ska tillämpa skärpta krav på kundkontroll enligt artikel 13 i direktivet.
70 Syftet med artikel 11.1 i direktivet är nämligen endast att undantag görs från de normala åtgärder för kundkontroll som föreskrivs i avsnitt I i kapitel II. Eftersom bestämmelsen inte innehåller någon hänvisning till artikel 13 i direktivet om penningtvätt – artikeln ingår i avsnitt 3 i detta kapitel – inverkar den inte, såsom generaladvokaten påpekade i punkt 94 i sitt förslag till avgörande, på den kundkontroll som fordras när det föreligger en högre risk. Institut och personer som omfattas av direktivet får dessutom inte tillämpa förenklade åtgärder för kundkontroll ”[i] enlighet med en lösning som baserar sig på bedömning av riskerna” annat än i lämpliga fall, såsom framgår av skäl 22 i direktivet. Av skäl 24 i direktivet följer det dock att även om alla kunders identitet och affärsprofil bör fastställas, finns det fall där det krävs särskilt noggranna identifierings- och kontrollförfaranden på grund av att det föreligger en högre risk för penningtvätt eller finansiering av terrorism.
71 Om det föreligger en högre risk för penningtvätt eller finansiering av terrorism enligt artikel 13 i direktivet om penningtvätt, utgör det förhållandet att kunden själv är ett institut eller person som omfattas av direktivet följaktligen inte hinder för att en medlemsstat kan kräva att det tillämpas skärpta krav på kundkontroll i den mening som avses i artikel 13 i direktivet i förhållande till denna kund.
72 Medlemsstaterna ska enligt artikel 13 i direktivet om penningtvätt se till att institut och personer som omfattas av detta direktiv utifrån en riskbedömning uppfyller skärpta krav på kundkontroll, utöver de åtgärder som avses i artiklarna 7, 8 och 9.6, i situationer som genom sin natur kan medföra högre risk för penningtvätt och finansiering av terrorism, och åtminstone de situationer som avses i punkterna 2, 3 och 4.
73 Det följer av uttrycket ”åtminstone” att även om det i artikel 13 i direktivet om penningtvätt anges vissa situationer då medlemsstaterna ska se till att skärpta krav på kundkontroll tillämpas, är uppräkningen inte uttömmande. Medlemsstaterna har, då de införlivar direktivet, ett betydande utrymme för skönsmässig bedömning av hur skyldigheten att föreskriva skärpta krav på kundkontroll ska genomföras på ett lämpligt sätt och för att fastställa såväl i vilka situationer det föreligger en sådan högre risk samt åtgärder för kundkontroll.
74 Även om ett instituts överföring av penningmedel till andra medlemsstater än den där institutet är etablerat inte avses i artikel 13.2–13.4 i direktivet om penningtvätt, utgör således denna artikel – såsom generaladvokaten påpekade i punkt 95 i sitt förslag till avgörande – inte hinder för att medlemsstaterna i nationell rätt, efter en riskbedömning, anger andra situationer som genom sin natur medför en högre risk och därför berättigar och till och med kräver tillämpning av skärpt kundkontroll, utöver normal kundkontroll.
75 Trots det undantag som föreskrivs i artikel 11.1 i direktivet om penningtvätt är medlemsstaterna, enligt artiklarna 7 och 13 i samma direktiv, således skyldiga att se till att institut och personer som omfattas av dess tillämpningsområde – i situationer där kunden själv är ett institut eller person som omfattas av direktivet om penningtvätt – tillämpar normala åtgärder för kundkontroll enligt artikel 7 c i direktivet och skärpta åtgärder för kundkontroll enligt artikel 13 i samma direktiv i situationer som genom sin natur kan medföra högre risk för penningtvätt och finansiering av terrorism.
76 När det gäller artikel 9 i lag 10/2010 som tillåter tillämpning av normala åtgärder för kundkontroll i förhållande till finansiella institut även om det inte föreligger någon misstanke eller högre risk för penningtvätt och finansiering av terrorism i den mening som avses i artiklarna 7 c och 13 i direktivet om penningtvätt, erinrar EU-domstolen om följande. Genom nämnda direktiv görs endast en minimiharmonisering och även om medlemsstaterna har införlivat artiklarna 7, 11 och 13 i direktivet på ett korrekt sätt med sina nationella rättssystem har de enligt artikel 5 i direktivet möjlighet att införa eller behålla strängare regler om de avser att stärka kampen mot penningtvätt och finansiering av terrorism (se, för ett liknande resonemang, dom Jyske Bank Gibraltar, C‑212/11, EU:C:2013:270, punkt 61).
77 EU-domstolen påpekar vidare att de ”strängare regler” som avses i artikel 5 i direktivet om penningtvätt kan gälla situationer för vilka direktivet föreskriver en viss typ av kundkontroll och även andra situationer beträffande vilka medlemsstaterna anser att det föreligger en risk.
78 Artikel 5 i direktivet om penningtvätt ingår i kapitel I som har rubriken ”Syfte, tillämpningsområde och definitioner” och är tillämplig på alla bestämmelser inom det område som direktivet reglerar för att förebygga penningtvätt och finansiering av terrorism. Artikelns räckvidd är följaktligen inte begränsad till bestämmelserna i kapitel II, med rubriken ”Krav på kundkontroll”. En medlemsstat kan således föreskriva att ett kreditinstitut ska tillämpa åtgärder för kundkontroll gentemot ett betalningsinstitut, även om villkoren i artikel 11.1 i direktivet om penningtvätt är uppfyllda och således även om det inte föreligger någon misstanke i den mening som avses i artikel 7 c i direktivet samt i andra situationer än de som avses i artiklarna 7 och 13.
79 Genom att föreskriva att medlemsstaterna till förebyggande av penningtvätt och finansiering av terrorism får införa eller behålla strängare regler inom det område som omfattas av detta direktiv, ger artikel 5 i direktivet inte medlemsstaterna en möjlighet eller skyldighet att lagstifta med stöd av unionsrätten. Den innebär endast, till skillnad från bestämmelserna i kapitel II i nämnda direktiv, ett erkännande av medlemsstaternas befogenhet enligt nationell rätt att införa sådana strängare bestämmelser utanför ramarna för det system som upprättas genom direktivet (se, analogt, dom Julián Hernández m.fl., C‑198/13, EU:C:2014:2055, punkt 44).
80 Mot bakgrund av ovanstående överväganden ska tolkningsfråga 1 besvaras enligt följande:
– Artiklarna 5, 7, 11.1 och 13 i direktivet om penningtvätt ska tolkas så, att de inte utgör hinder för en nationell lagstiftning, såsom den som är aktuell i det nationella målet, som dels tillåter tillämpning av normala åtgärder för kontroll av kunder som utgörs av finansiella institut vars efterlevnad av kraven på kontroll är föremål för tillsyn, om det finns misstankar om penningtvätt eller finansiering av terrorism i den mening som avses i artikel 7 c i detta direktiv, dels föreskriver att institut och personer som omfattas av direktivet, utifrån den riskbedömning de gör, ska tillämpa skärpta åtgärder för kundkontroll i de situationer som genom sin natur kan medföra högre risk för penningtvätt och finansiering av terrorism i den mening som avses i artikel 13.1 i samma direktiv, såsom vid överföring av penningmedel.
– Även om det inte föreligger någon sådan misstanke eller sådan risk får medlemsstaterna enligt artikel 5 i direktivet om penningtvätt införa eller behålla strängare regler om dessa regler avser att stärka kampen mot penningtvätt och finansiering av terrorism.
Fråga 2, delfrågorna 2 a och2 c ii
81 Den hänskjutande domstolen har ställt fråga 2 a för att få klarhet i hur direktivet om penningtvätt ska tolkas såvitt gäller gränserna för kreditinstitutens befogenheter, enligt direktivet, i förhållande till betalningsinstitut som är deras kunder och som för övrigt omfattas av direktivet om penningtvätt och av direktivet om betaltjänster. Genom fråga 2 c ii önskar den hänskjutande domstolen få klarhet i huruvida direktivet om penningtvätt ska tolkas så, att ett kreditinstitut får utvärdera de åtgärder för kundkontroll som tillämpas av ett betalningsinstitut.
82 Det framgår av begäran om förhandsavgörande att frågorna avser en tolkning av både direktivet om penningtvätt och av direktivet om betaltjänster, i synnerhet artikel 21 i sistnämnda direktiv. Däri definieras de nationella myndigheternas befogenheter att kontrollera betalningsinstituten. Den hänskjutande domstolen undrar över räckvidden av den befogenhet som kan tilldelas kreditinstituten för att kontrollera betalningsinstitutens transaktioner. Nämnda domstol anser att direktivet om betaltjänster endast ger behörig nationell myndighet denna kontrollbefogenhet, i förevarande fall Sepblac, men är osäker på om inte direktivet om penningtvätt indirekt ger bankerna en viss kontrollbefogenhet över betalningsinstituten genom möjligheten att vidta skärpta åtgärder för kundkontroll.
83 EU-domstolen påpekar att direktivet om penningtvätt behandlar krav på kundkontroll som åligger institut och personer som omfattas av direktivet. I artikel 8.1 i direktivet definieras således de aspekter av en affärsförbindelse som institut och personer som omfattas av direktivet ska erhålla information om.
84 Enligt artikel 9.5 första stycket i direktivet om penningtvätt ska medlemsstaterna se till att en berörd institution eller person som inte kan uppfylla kraven i artikel 8.1 a, b och c i direktivet inte tillåts utföra en transaktion via ett bankkonto, ingå en affärsförbindelse eller utföra en transaktion eller blir tvungen av avbryta en affärsförbindelse. En åtgärd som består i att avbryta en affärsförbindelse, i enlighet med artikel 9.5 första stycket i direktivet om penningtvätt, är följaktligen resultatet av att ett institut eller en person som omfattas av direktivet är oförmögen att uppfylla kraven på kundkontroll enligt artikel 8.1 a–c i direktivet, såsom dessa har genomförts av medlemsstaterna.
85 Artikel 9.5 i direktivet om penningtvätt är inte för sin tillämpning beroende av orsaken till att ett institut eller en person som omfattas av direktivet inte kan uppfylla kraven på kundkontroll enligt artikel 8.1 a–c. Den omständigheten att kunden till ett institut eller en person som omfattas av direktivet om penningtvätt inte samarbetar genom att tillhandahålla information som gör det möjligt för aktören att efterleva nationell rätt varigenom artikel 8 i direktivet införlivas, är således inte nödvändig för att utlösa de följder som anges i artikel 9.5.
86 Icke desto mindre ska institut och personer som omfattas av direktivet om penningtvätt enligt artikel 8.2 kunna bevisa för de behöriga myndigheter som nämns i artikel 37 att omfattningen av de åtgärder som vidtagits för att uppfylla kraven på kundkontroll – där räckvidden får anpassas utifrån en riskbaserad analys av typen av kund, affärsförbindelse, produkt eller transaktion – är lämplig med hänsyn till risken för penningtvätt eller finansiering av terrorism.
87 Åtgärderna ska ha en konkret koppling till risken för penningtvätt och finansiering av terrorism och stå i proportion till denna. En åtgärd som består i att avsluta en affärsförbindelse, såsom föreskrivs i artikel 9.5 första stycket i direktivet om penningtvätt, bör med avseende på artikel 8.2 i samma direktiv inte vidtas i avsaknad av tillräckliga uppgifter avseende risken för penningtvätt och finansiering av terrorism.
88 I artikel 37 i direktivet om penningtvätt föreskrivs för övrigt att behöriga nationella myndigheter effektivt ska övervaka och vidta nödvändiga åtgärder för att säkerställa att institut och personer som omfattas av direktivet, inbegripet kreditinstitut och betalningsinstitut som tillämpar åtgärder för kundkontroll gentemot en av sina kunder, uppfyller direktivets krav.
89 De krav på kundkontroll och rapporteringsskyldighet som åligger kreditinstituten, å ena sidan, och den tillsyns- och övervakningsplikt som åligger behöriga nationella myndigheter, å andra sidan, utgör en samling preventiva och avskräckande åtgärder som på ett effektivt sätt ska bekämpa penningtvätt och finansiering av terrorism och bevara det finansiella systemets stabilitet och integritet.
90 När institut och personer som omfattas av direktivet agerar enligt nationell rätt varigenom artiklarna 8 och 9 i direktivet om penningtvätt har införlivats, så innebär detta emellertid inte – till skillnad från vad Safe har hävdat – att de intar den övervakande roll som är förbehållen behöriga myndigheter.
91 Detta innebär inte heller att institut och personer som omfattas av direktivet om penningtvätt får underminera betalningsinstitutens övervakningsuppgifter som behöriga myndigheter, enligt artikel 21 i direktivet om betaltjänster, ska utföra för att kontrollera efterlevnaden av bestämmelserna i avdelning II, med rubriken ”Betaltjänstleverantörer”, i direktivet och träda i nämnda övervakningsmyndigheters ställe.
92 Institut och personer som omfattas av direktivet om penningtvätt ska förvisso tillämpa de åtgärder för kundkontroll som avses i artikel 8 i direktivet, jämförd med artikel 11 och i förekommande fall artikel 13 i samma direktiv. De kan i detta avseende komma att beakta åtgärder för kundkontroll som deras kunder har vidtagit i sina egna förfaranden. Tillsyns- och kontrollåtgärder är emellertid icke desto mindre förbehållna behöriga myndigheter enligt artiklarna 17 och 21 i direktivet om betaltjänster och artiklarna 36 och 37 i direktivet om penningtvätt.
93 Fråga 2 a och 2 c ii ska följaktligen besvaras på följande sätt. Direktivet om penningtvätt ska tolkas så, att institut och personer som omfattas av direktivet inte får underminera betalningsinstitutens övervakningsuppgifter som behöriga myndigheter, enligt artikel 21 i direktivet om betaltjänster, ska utföra och får inte heller träda i dessa myndigheters ställe. Direktivet om penningtvätt ska vidare tolkas så, att ett finansiellt institut, inom ramen för dess skyldighet att utöva tillsyn över kunderna, visserligen får beakta åtgärder för kundkontroll som ett betalningsinstitut vidtagit gentemot sina egna kunder, men alla åtgärder för kundkontroll som nämnda institut vidtar ska vara anpassade till risken för penningtvätt och finansiering av terrorism.
Fråga2, delfrågorna 2 b, 2 c i och 2 c iii
94 Den hänskjutande domstolen har ställt fråga 2 b, 2 c i och 2 c iii för att få klarhet i huruvida artiklarna 5 och 13 i direktivet om penningtvätt – för det fall artikel 11.1 i nämnda direktiv inte anses utgöra hinder för att en medlemsstat tillåter att ett kreditinstitut tillämpar andra åtgärder än förenklade åtgärder för kundkontroll i förhållande till ett betalningsinstitut som är dess kund – ska tolkas så, att när en medlemsstat använder antingen sitt utrymme för skönsmässig bedömning enligt artikel 13 eller den behörighet som avses i artikel 5, får ett kreditinstituts tillämpning av skärpta åtgärder för kundkontroll gentemot ett betalningsinstitut som är dess kund grundas på den typ av allmän verksamhet som betalningsinstitutet utövar, i förevarande fall penningöverföring, eller om det är nödvändigt att spåra ett särskilt beteende i institutets transaktioner som föranleder misstanke om deltagande i penningtvätt eller finansiering av terrorism.
95 Frågan har uppkommit i en tvist som inbegriper institut som omfattas av direktivet om penningtvätt. Instituten har grundat sina kundkontrollsåtgärder gentemot kunden – ett betalningsinstitut – på nationell rätt som är tillämplig på situationer som den nationella lagstiftaren bedömt innebära en högre risk, i förevarande fall tillhandahållande av tjänster för penningöverföring, och som inte anges i artikel 13 i direktivet. Frågan är kopplad till omständigheter där en medlemsstat antingen använt sitt utrymme för skönsmässig bedömning enligt denna artikel såvitt gäller tillämpningen av skärpta åtgärder för kundkontroll gentemot ett betalningsinstitut, eller grundat sig på den behörighet som avses i artikel 5 i direktivet för att enligt nationell rätt tillåta kreditinstitut att tillämpa eller inte tillämpa förenklade åtgärder för kundkontroll gentemot sina kunder som är betalningsinstitut och att vidta de åtgärder för kundkontroll som de finner lämpligast.
96 När den berörda medlemsstaten gör detta är den emellertid skyldig att utöva sin behörighet med iakttagande av unionsrätten, i synnerhet de grundläggande friheter som garanteras i fördragen (se, analogt, dom Jyske Bank Gibraltar, C‑212/11, EU:C:2013:270, punkt 49).
97 För att undersöka om unionsrätten har iakttagits, ska EU-domstolen pröva huruvida artikel 56 FEUF utgör hinder för en nationell lagstiftning, såsom den som är aktuell i det nationella målet, enligt vilken andra åtgärder än förenklade åtgärder för kundkontroll ska tillämpas i förhållande till ett betalningsinstitut, likt Safe, som ombesörjer överföring av penningmedel till andra medlemsstater än den där institutet är etablerat via konton som det innehar hos kreditinstitut.
98 Det följer av EU-domstolens fasta praxis att artikel 56 FEUF inte bara innebär ett krav på avskaffande av all form av diskriminering av en tjänsteleverantör på grund av dennes nationalitet eller på grund av att vederbörande är etablerad i en annan medlemsstat än den där tjänsten ska tillhandahållas, utan även ett krav på avskaffande av varje inskränkning – även om den är tillämplig på inhemska tjänsteleverantörer och tjänsteleverantörer från andra medlemsstater utan åtskillnad – om den kan medföra att den verksamhet som bedrivs av en tjänsteleverantör som är etablerad i en annan medlemsstat, där denna lagligen utför liknande tjänster, förbjuds, hindras eller blir mindre attraktiv (dom Jyske Bank Gibraltar, C‑212/11, EU:C:2013:270, punkt 58 och där angiven rättspraxis). Artikel 56 FEUF utgör dessutom hinder för tillämpningen av varje nationell reglering som får till följd att det blir svårare att tillhandahålla tjänster, i den mening som avses i artikel 57 FEUF, mellan medlemsstater än att tillhandahålla tjänster helt och hållet inom en medlemsstat (dom Cipolla m.fl., C‑94/04 och C‑202/04, EU:C:2006:758, punkt 57, och dom kommissionen/Belgien, C‑296/12, EU:C:2014:24, punkt 29).
99 Nationell lagstiftning, såsom den som är aktuell i det nationella målet, som föreskriver att andra åtgärder än förenklade åtgärder för kundkontroll ska tillämpas i förhållande till ett betalningsinstitut medför ytterligare kostnader och svårigheter för att tillhandahålla en tjänst som består i överföring av penningmedel utöver de krav på kundkontroll som betalningsinstitutet själv ska uppfylla enligt direktivet om penningtvätt. På grund av framför allt kostnaden för översättning av gränsöverskridande uppgifter kan den börda som det innebär att tillämpa dessa ytterligare åtgärder för kundkontroll vara större vid gränsöverskridande penningöverföringar. Denna kostnad kan därför vara sådan att den avskräcker det aktuella betalningsinstitutet från att tillhandahålla sådana tjänster i en dylik kontext.
100 Av EU-domstolens fasta praxis följer emellertid att en nationell lagstiftning inom ett område som inte har varit föremål för full harmonisering på unionsnivå, och vilken lagstiftning tillämpas utan åtskillnad på alla personer eller företag som bedriver verksamhet på den berörda medlemsstatens territorium, kan, trots sin restriktiva inverkan på friheten att tillhandahålla tjänster, motiveras i den mån den grundas på tvingande skäl av allmänintresse som inte redan säkerställts genom de bestämmelser som tjänsteleverantören måste följa i den medlemsstat där denna är etablerad och förutsatt att den är ägnad att säkerställa att det mål som eftersträvas med lagstiftningen uppnås och inte går utöver vad som är nödvändigt för att uppnå det målet (se dom kommissionen/Österrike, C‑168/04, EU:C:2006:595, punkt 37, och dom Jyske Bank Gibraltar, C‑212/11, EU:C:2013:270, punkt 60).
101 EU-domstolen ska därför pröva under vilka förutsättningar en lagstiftning såsom den som är aktuell i det nationella målet uppfyller dessa krav.
102 EU-domstolen erinrar för det första inledningsvis om att förebyggande och bekämpning av penningtvätt och finansiering av terrorism utgör ett legitimt skäl som kan motivera en inskränkning i friheten att tillhandahålla tjänster (dom Jyske Bank Gibraltar, C‑212/11, EU:C:2013:270, punkterna 62–64 och 85 samt där angiven rättspraxis).
103 EU-domstolen har redan slagit fast att det ska göras en avvägning mellan, å ena sidan, målsättningen att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism, vilket är nära förbundet med direktivet om penningtvätt, och, å andra sidan, andra intressen, såsom friheten att tillhandahålla tjänster. I dom Jyske Bank Gibraltar (C‑212/11, EU:C:2013:270, punkterna 49, 59 och 60) fann EU-domstolen att det var tillåtet att göra inskränkningar i friheten att tillhandahålla tjänster när dessa följer av en skyldighet att lämna information, under förutsättning att skyldigheten syftar till att, med iakttagande av unionsrätten, göra bekämpningen av penningtvätt och finansiering av terrorism effektivare.
104 En nationell lagstiftning såsom den som är aktuell i det nationella målet är för det andra ägnad att uppfylla det åberopade syftet om den bidrar till att minska risken och avspeglar önskan att uppnå detta mål på ett sammanhängande och systematiskt sätt. En sådan nationell lagstiftning uppfyller dessa krav när den – genom en lämplig riskbedömning, inbegripet av kunder som utgörs av betalningsinstitut – identifierar en hög risk beträffande till exempel en viss typ av kunder, länder, produkter eller transaktioner och som på den grunden tillåter eller till och med kräver att institut och personer som omfattas av direktivet om penningtvätt efter sin egen individuella riskbedömning tillämpar lämpliga åtgärder för kundkontroll.
105 För att avgöra huruvida en sådan nationell lagstiftning är proportionerlig så måste det för det tredje fastställas vilken skyddsnivå som den berörda medlemsstaten önskar i förhållande till den identifierade risken för penningtvätt eller finansiering av terrorism.
106 Det framgår av i synnerhet artiklarna 5 och 13.1 samt skäl 24 i direktivet om penningtvätt att medlemsstaterna antingen kan fastställa en högre skyddsnivå än den som unionslagstiftaren valt och tillåta eller kräva andra åtgärder för kundkontroll än de som föreskrivs i direktivet enligt den behörighet som avses i artikel 5, eller så kan medlemsstaterna ange andra situationer som innebär en högre risk inom ramen för det utrymme för skönsmässig bedömning som artikel 13 ger dem. Härvid kan medlemsstaterna bland annat ange de särskilda åtgärder som ska vidtas i vissa specifika situationer, eller ge institut och personer som omfattas av direktivet beslutanderätt att, utifrån en lämplig riskbedömning, tillämpa åtgärder som är proportionerliga i förhållande till den aktuella risken i en viss situation.
107 Medlemsstaterna måste under alla förhållanden säkerställa att de skärpta åtgärder för kundkontroll som kan komma att tillämpas har sin grund i en bedömning av förekomsten av och nivån på risken för penningtvätt eller finansiering av terrorism avseende en kund, en affärsförbindelse, ett konto, en produkt eller en transaktion, utifrån varje enskilt fall. Utan en sådan bedömning är det inte möjligt för vare sig medlemsstaten eller, i förekommande fall, för ett institut eller en person som omfattas av direktivet om penningtvätt att avgöra i varje enskilt fall vilka åtgärder som ska tillämpas. När det inte finns någon risk för penningtvätt eller finansiering av terrorism är det slutligen inte möjligt att vidta förebyggande åtgärder på dessa grunder.
108 Denna riskbedömning ska beakta åtminstone alla relevanta omständigheter som kan påvisa risken för att en av de typer av beteenden som anses utgöra penningtvätt eller finansiering av terrorism inträffar.
109 Frågan huruvida en nationell lagstiftning är proportionerlig beror dessutom också på i vilken omfattning som föreskrivna åtgärder för kundkontroll kan inkräkta på andra rättigheter och intressen som skyddas i unionsrätten, till exempel skyddet för personuppgifter i artikel 8 i stadgan samt principen om fri konkurrens mellan företag med verksamhet på samma marknad. När en medlemsstat åberopar tvingande skäl av allmänintresse som grund för att motivera en lagstiftning som kan hindra utövandet av friheten att tillhandahålla tjänster, måste denna motivering – som föreskrivs i unionsrätten – tolkas mot bakgrund av de allmänna principerna i unionsrätten och särskilt de grundläggande rättigheterna som numera garanteras i stadgan. Den ifrågavarande nationella lagstiftningen kan därför omfattas av föreskrivna undantag endast om den är förenlig med de grundläggande rättigheter som EU-domstolen ska säkerställa iakttagandet av (se dom ERT, C‑260/89, EU:C:1991:254, punkt 43, och dom Pfleger m.fl., C‑390/12, EU:C:2014:281, punkt 35). Målen för denna lagstiftning måste vägas mot övriga sådana legitima intressen.
110 Frågan huruvida en nationell lagstiftning är proportionerlig beror slutligen på om det finns mindre inskränkande medel för att nå samma skyddsnivå. Den nationella lagstiftning som är aktuell i det nationella målet förutsätter rent allmänt att överföringar av penningmedel alltid innebär en hög risk utan att det föreskrivs någon möjlighet att vederlägga denna riskpresumtion för överföringar av penningmedel som rent objektivt inte visar någon sådan risk. En lagstiftning som föreskriver en sådan möjlighet framstår således som mindre restriktiv, samtidigt som den gör det möjligt att uppnå den skyddsnivå som eftersträvas av den aktuella medlemsstaten.
111 Fråga 2 b, 2 c i och 2 c iii ska följaktligen besvaras på följande sätt. Artiklarna 5 och 13 i direktivet om penningtvätt ska tolkas så, att en nationell lagstiftning – såsom den som är aktuell i det nationella målet, som antagits antingen med tillämpning av det utrymme för skönsmässig bedömning som artikel 13 i direktivet ger medlemsstaterna eller med stöd av den behörighet som avses i artikel 5 i samma direktiv – måste vara förenlig med unionsrätten, i synnerhet med de grundläggande friheter som garanteras i fördragen. Om en dylik nationell lagstiftning om bekämpande av penningtvätt eller finansiering av terrorism eftersträvar en legitim målsättning som kan motivera en inskränkning i de grundläggande friheterna, och om det faktum att det förutsätts att överföringar av penningmedel som genomförs av ett institut som omfattas av det nämnda direktivet till andra stater än den där institutet är etablerat alltid medför en högre risk för penningtvätt eller finansiering av terrorism i sig garanterar att denna målsättning uppnås, överskrider denna lagstiftning emellertid vad som är nödvändigt för att uppnå den eftersträvade målsättningen, i den mån den fastställda presumtionen är tillämplig på alla överföringar av penningmedel utan att det föreskrivs någon möjlighet att vederlägga presumtionen för överföringar av penningmedel som rent objektivt inte visar någon sådan risk.
Fråga 3
112 Den hänskjutande domstolen har ställt fråga 3 b för att få klarhet i huruvida dataskyddsdirektivet ska tolkas så, att det utgör hinder för medlemsstaterna att kräva att betalningsinstitut lämnar ut uppgifter om deras kunders identitet till kreditinstitut som direkt konkurrerar med dem, inom ramen för de skärpta åtgärder för kundkontroll som de tillämpar. Genom fråga 3 a önskas klarhet i huruvida skärpta åtgärder för kundkontroll kan bestå i ett krav på att uppgifter ska lämnas om identiteten på alla de kunder till betalningsinstitutet varifrån pengar skickas samt uppgifter om betalningsmottagarnas identitet.
113 Det framgår av begäran om förhandsavgörande att dessa frågor ställts för att få klarhet i huruvida åtgärder för kundkontroll respektive skärpta åtgärder för kundkontroll – med avseende på dataskyddsdirektivet – kan utgöra en undantagssituation som gör det möjligt att överföra personuppgifter. Den hänskjutande domstolen önskar särskilt få klargjort vilka uppgifter som betalningsinstitut i förekommande fall får överföra på begäran av kreditinstitut, med stöd av bestämmelserna i direktivet om penningtvätt. Besked önskas även om i vilka fall en sådan överföring får ske.
114 Det följer av fast rättspraxis, som avspeglas i artikel 94 i EU-domstolens rättegångsregler, att inom ramen för det samarbete mellan nationella domstolar och EU-domstolen som införts genom artikel 267 FEUF krävs det att den nationella domstolen klargör den faktiska och rättsliga bakgrunden till de frågor som ställs, eller att den åtminstone förklarar de faktiska omständigheter som ligger till grund för dessa frågor, eftersom det är nödvändigt att komma fram till en tolkning av unionsrätten som är användbar för den nationella domstolen (se, för ett liknande resonemang, dom Azienda sanitaria locale n. 5 ”Spezzino” m.fl., C‑113/13, EU:C:2014:2440, punkt 47). EU-domstolen är nämligen endast behörig att uttala sig om tolkningen av en unionsrättsakt mot bakgrund av faktiska omständigheter som den nationella domstolen redogör för (beslut Argenta Spaarbank, C‑578/14, EU:C:2015:372, punkt 14).
115 Den hänskjutande domstolen ska även ange de närmare skälen som föranlett den att ställa sig frågor om tolkningen av vissa unionsbestämmelser och skälen till att den anser det nödvänligt att ställa tolkningsfrågor till EU-domstolen. EU-domstolen har redan slagit fast att det är nödvändigt att den nationella domstolen åtminstone i någon mån förklarar varför den begär tolkning av just de angivna unionsbestämmelserna samt redogör för det samband som den har funnit föreligga mellan dessa bestämmelser och den i målet tillämpliga nationella lagstiftningen (beslut Equitalia Nord, C‑68/14, EU:C:2015:57, punkt 14 och där angiven rättspraxis, och beslut Argenta Spaarbank, C‑578/14, EU:C:2015:372, punkt 15).
116 De uppgifter som lämnas i begäran om förhandsavgörande ska nämligen inte bara göra det möjligt för EU-domstolen att lämna användbara svar, utan också ge såväl medlemsstaternas regeringar som andra berörda parter möjlighet att avge yttranden i enlighet med artikel 23 i stadgan för Europeiska unionens domstol. Det åligger EU-domstolen att se till att denna möjlighet finns, eftersom det enligt nyss nämnda bestämmelse endast är begäran om förhandsavgörande som delges de berörda parterna (beslut Argenta Spaarbank, C‑578/14, EU:C:2015:372, punkt 16).
117 Genom sin tredje fråga åsyftar emellertid den hänskjutande domstolen dataskyddsdirektivet mera generellt, utan att det med tillräcklig precision anges vilka bestämmelser i direktivet som skulle kunna vara relevanta för att EU-domstolen ska kunna ge ett användbart svar.
118 Frågan avseende innehållet i de uppgifter som begärts från Safe inom ramen för de åtgärder för kundkontroll som bankerna vidtagit gentemot bolaget har för övrigt varit föremål för diskussion. Under förfarandet vid EU-domstolen har BBVA gjort gällande att man aldrig bett att få personuppgifter avseende Safes kunder eller mottagarna till de överförda medlen. BBVA har endast uppgett sig ha efterfrågat information om de ombud som agerade på uppdrag av Safe och som använde Safes konton.
119 Inom ramen för det samarbetsförfarande som har införts genom artikel 267 FEUF ankommer det, enligt fast rättspraxis, inte på EU-domstolen utan på den nationella domstolen att fastställa de faktiska omständigheter som har gett upphov till målet och att bedöma vilka följder dessa får för det avgörande som den nationella domstolen ska meddela (se dom Accor, C‑310/09, EU:C:2011:581, punkt 37 och där angiven rättspraxis).
120 Mot bakgrund av övervägandena ovan finner EU-domstolen att fråga 3 inte kan tas upp till sakprövning.
Rättegångskostnader
121 Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till EU-domstolen som andra än nämnda parter har haft är inte ersättningsgilla.
Mot denna bakgrund beslutar domstolen (femte avdelningen) följande:
1) Artiklarna 5, 7, 11.1 och 13 i Europaparlamentets och rådets direktiv 2005/60/EG av den 26 oktober 2005 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt och finansiering av terrorism, i dess lydelse enligt Europaparlamentets och rådets direktiv 2010/78/EU av den 24 november 2010, ska tolkas så, att de inte utgör hinder för en nationell lagstiftning, såsom den som är aktuell i det nationella målet, som dels tillåter tillämpning av normala åtgärder för kontroll av kunder som utgörs av finansiella institut vars efterlevnad av kraven på kontroll är föremål för tillsyn, om det finns misstankar om penningtvätt eller finansiering av terrorism i den mening som avses i artikel 7 c i detta direktiv, dels föreskriver att institut och personer som omfattas av direktivet, utifrån den riskbedömning de gör, ska tillämpa skärpta åtgärder för kundkontroll i de situationer som genom sin natur kan medföra högre risk för penningtvätt och finansiering av terrorism i den mening som avses i artikel 13.1 i samma direktiv, såsom vid överföring av penningmedel.
Även om det inte föreligger någon sådan misstanke eller sådan risk får medlemsstaterna enligt artikel 5 i direktiv 2005/60, i dess lydelse enligt direktiv 2010/78, införa eller behålla strängare regler om dessa regler avser att stärka kampen mot penningtvätt och finansiering av terrorism.
2) Direktiv 2005/60, i dess lydelse enligt direktiv 2010/78, ska tolkas så, att institut och personer som omfattas av detta direktiv inte får underminera betalningsinstitutens övervakningsuppgifter som behöriga myndigheter, enligt artikel 21 Europaparlamentets och rådets direktiv 2007/64/EG av den 13 november 2007 om betaltjänster på den inre marknaden och om ändring av direktiven 97/7/EG, 2002/65/EG, 2005/60/EG och 2006/48/EG samt upphävande av direktiv 97/5/EG, i dess lydelse enligt Europaparlamentets och rådets direktiv 2009/111/EG av den 16 september 2009, ska utföra och de får inte heller träda i dessa myndigheters ställe. Direktiv 2005/60, i dess lydelse enligt direktiv 2010/78, ska tolkas så, att ett finansiellt institut, inom ramen för dess skyldighet att utöva tillsyn över kunderna, visserligen får beakta åtgärder för kundkontroll som ett betalningsinstitut vidtagit gentemot sina egna kunder, men alla åtgärder för kundkontroll som nämnda institut vidtar ska vara anpassade till risken för penningtvätt och finansiering av terrorism.
3) Artiklarna 5 och 13 i direktiv 2005/60, i dess lydelse enligt direktiv 2010/78, ska tolkas så, att en nationell lagstiftning – såsom den som är aktuell i det nationella målet, som antagits antingen med tillämpning av det utrymme för skönsmässig bedömning som artikel 13 i direktivet ger medlemsstaterna eller med stöd av den behörighet som avses i artikel 5 i samma direktiv – måste vara förenlig med unionsrätten, i synnerhet med de grundläggande friheter som garanteras i fördragen. Om en dylik nationell lagstiftning om bekämpande av penningtvätt eller finansiering av terrorism eftersträvar en legitim målsättning som kan motivera en inskränkning i de grundläggande friheterna, och om det faktum att det förutsätts att överföringar av penningmedel som genomförs av ett institut som omfattas av det nämnda direktivet till andra stater än den där institutet är etablerat alltid medför en högre risk för penningtvätt eller finansiering av terrorism i sig garanterar att denna målsättning uppnås, överskrider denna lagstiftning emellertid vad som är nödvändigt för att uppnå den eftersträvade målsättningen, i den mån den fastställda presumtionen är tillämplig på alla överföringar av penningmedel utan att det föreskrivs någon möjlighet att vederlägga presumtionen för överföringar av penningmedel som rent objektivt inte visar någon sådan risk.
Underskrifter