FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT

E. SHARPSTON

fremsat den 3. september 2015 (1)

Sag C-235/14

Safe Interenvios, SA

mod

Liberbank, SA

Banco de Sabadell, SA

Banco Bilbao Vizcaya Argentaria, SA

(anmodning om præjudiciel afgørelse indgivet af Audiencia Provincial de Barcelona (Spanien))

»Forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvaskning af penge og finansiering af terrorisme – direktiv 2005/60/EF – kundelegitimationsprocedurer – direktiv 95/46/EF – beskyttelse af personoplysninger – direktiv 2007/64/EF – betalingstjenester i det indre marked«

1.        Denne tvist omhandler tre kreditinstitutter (Banco Bilbao Vizcaya Argentaria, SA (herefter »BBVA«), Banco de Sabadell, SA (herefter »Sabadell«) og Liberbank, SA (herefter »Liberbank«), herefter under ét »bankerne«) og et betalingsinstitut (Safe Interenvios, SA, herefter »Safe«) (2). Bankerne lukkede de konti, som Safe havde oprettet hos dem, fordi de havde mistanke om hvidvaskning af penge. Safe har nedlagt påstand om, at dette var urimelig handelspraksis.

2.        Spørgsmål er opstået med hensyn til, om EU-retten, særlig direktiv 2005/60/EF (herefter »direktivet om hvidvaskning af penge«) (3), er til hinder for, at en medlemsstat tillader et kreditinstitut at anvende kundelegitimationsprocedurer over for et betalingsinstitut. Dette direktiv omhandler tre typer kundelegitimationsprocedurer (almindelige, lempede og skærpede) afhængigt af risikoen for hvidvaskning af penge eller finansiering af terrorisme. Almindelige kundelegitimationsprocedurer efter artikel 8 omfatter eksempelvis identifikation af kunden og indhentning af oplysninger om forretningsforbindelsens formål og tilsigtede omfang. I henhold til artikel 11, stk. 1, finder lempede kundelegitimationskrav anvendelse, når kunderne hos et institut eller en person, der er omfattet af direktivet (herefter »en omfattet enhed«), selv er kredit- eller finansieringsinstitutter (herunder betalingsinstitutter), som er omfattet af direktivet om hvidvaskning af penge. I henhold til artikel 13 finder skærpede kundelegitimationskrav anvendelse i situationer, der indebærer en øget risiko for hvidvaskning af penge eller finansiering af terrorisme. Artikel 5 giver endvidere medlemsstaterne mulighed for at pålægge strengere bestemmelser end dem, der er fastsat i direktivet om hvidvaskning af penge.

3.        Hvis et kreditinstitut kan få tilladelse til at anvende (skærpede) kundelegitimationsprocedurer over for et betalingsinstitut, der selv er omfattet af direktivet om hvidvaskning af penge, har den forelæggende ret anmodet Domstolen om retningslinjer for, hvornår medlemsstaterne kan fastlægge bestemmelser herom. Afhænger deres anvendelse af en risikoanalyse, og kan sådanne foranstaltninger omfatte krav om, at et betalingsinstitut til et kreditinstitut overfører oplysninger vedrørende dets egne kunder og modtagerne af de midler, der er overført til udlandet? Gennem disse spørgsmål opfordres Domstolen til at undersøge direktiv 95/46/EF (herefter »direktivet om personoplysninger«) (4), direktiv 2005/29/EF (herefter »direktivet om urimelig handelspraksis«) (5) og direktiv 2007/64/EF (herefter »betalingstjenestedirektivet«) (6).

 EU-retten

 Traktaten om Den Europæiske Unions funktionsmåde

4.        Artikel 16, stk. 1, TEUF bestemmer, at »[e]nhver har ret til beskyttelse af personoplysninger om vedkommende selv«.

 Den Europæiske Unions charter om grundlæggende rettigheder

5.        Artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«) fastsætter, at »[e]nhver har ret til beskyttelse af personoplysninger, der vedrører den pågældende«. I henhold til artikel 8, stk. 2, skal disse oplysninger »behandles rimeligt, til udtrykkeligt angivne formål og på grundlag af de berørte personers samtykke eller på et andet berettiget ved lov fastsat grundlag«.

6.        Artikel 52, stk. 1, bestemmer, at »[e]nhver begrænsning i udøvelsen af de rettigheder og friheder, der anerkendes ved dette charter, skal være fastlagt i lovgivningen og skal respektere disse rettigheders og friheders væsentligste indhold. Under iagttagelse af proportionalitetsprincippet kan der kun indføres begrænsninger, såfremt disse er nødvendige og faktisk svarer til mål af almen interesse, der er anerkendt af Unionen, eller et behov for beskyttelse af andres rettigheder og friheder«.

 Direktivet om hvidvaskning af penge

7.        I femte betragtning til direktivet om hvidvaskning af penge forklares det, at foranstaltninger, der træffes mod hvidvaskning af penge og finansiering af terrorisme, bør være i overensstemmelse med forholdsregler, som træffes i andre internationale fora, og tage særligt hensyn til de anbefalinger, der er udarbejdet af Financial Action Task Force (herefter »FATF«) (7), som er det førende internationale organ for bekæmpelse af hvidvaskning af penge og finansiering af terrorisme. Direktivet om hvidvaskning af penge bør være i overensstemmelse med FATF-anbefalingerne, som blev gennemgribende revideret og udvidet i 2003 (herefter »FATF-anbefalingerne fra 2003«) (8).

8.        Ifølge tiende betragtning bør omfattede enheder identificere den reelle ejer og kontrollere dennes identitet. Det står i denne forbindelse disse institutioner og personer frit, om de vil opfylde dette krav ved at anvende offentlige registre over reelle ejere, anmode deres kunder om relevante oplysninger eller indhente oplysningerne på anden måde, under hensyntagen til, at omfanget af disse kundelegitimationsprocedurer er knyttet til risikoen for hvidvaskning af penge og finansiering af terrorisme og dermed afhængigt af kundekategorien, forretningsforbindelsen, produktet eller transaktionen.

9.        I 22. betragtning anerkendes det, at risikoen for hvidvaskning af penge og finansiering af terrorisme ikke er den samme i alle tilfælde. I overensstemmelse med en risikobaseret fremgangsmåde bør en lempeligere kundelegitimation tillades i tilfælde, hvor det er formålstjenligt.

10.      EU-lovgivningen bør samtidig i henhold til 24. betragtning erkende, at der i visse situationer er større risiko for hvidvaskning af penge eller finansiering af terrorisme. Selv om alle kunders identitet og forretningsprofil bør fastlægges, er der således tilfælde, hvor der er behov for særlig strenge kundelegitimations- og kontrolprocedurer.

11.      I 33. betragtning anføres det, at meddelelse af oplysninger som omhandlet i artikel 28 (9) skal finde sted i overensstemmelse med de bestemmelser om overførsel af personoplysninger, der er fastsat i direktivet om personoplysninger, og at bestemmelserne i artikel 28 ikke har forrang for national lovgivning om databeskyttelse og tavshedspligt.

12.      I henhold til 37. betragtning forventes medlemsstaterne at afstemme den praktiske gennemførelse af disse bestemmelser under hensyn til de enkelte erhvervs særlige kendetegn og størrelsesforskellene mellem de omfattede enheder.

13.      I 48. betragtning anføres det, at direktivet om hvidvaskning af penge overholder de grundlæggende rettigheder og de principper, som anerkendes i bl.a. Den Europæiske Unions charter om grundlæggende rettigheder, og ikke må fortolkes eller gennemføres på en måde, der ikke er i overensstemmelse med den europæiske menneskerettighedskonvention.

14.      Artikel 1, stk. 1, bestemmer: »Medlemsstaterne sikrer, at hvidvaskning af penge og finansiering af terrorisme forbydes.« I artikel 1, stk. 2, identificeres fire typer handlinger, der skal betragtes som hvidvaskning af penge, hvis de begås forsætligt:

»a)      konvertering eller overførsel af formuegoder, vel vidende, at de stammer fra en kriminel handling eller fra medvirken i en sådan handling, med det formål at fortie eller tilsløre formuegodernes ulovlige oprindelse eller at hjælpe personer, som er involveret i en sådan handling, til at unddrage sig de retlige konsekvenser heraf

b)      fortielse eller tilsløring af formuegodernes art, oprindelse, lokalisering, placering eller bevægelser eller af den egentlige ejendomsret til disse formuegoder eller dertil knyttede rettigheder, vel vidende, at de hidrører fra en kriminel handling eller fra medvirken i en sådan handling

c)      erhvervelse, besiddelse eller anvendelse af formuegoder, vel vidende – ved modtagelsen af disse goder – at de stammer fra en kriminel handling eller fra medvirken i en sådan handling

d)      medvirken i en af de handlinger, som er nævnt under de foregående litraer, samarbejde om eller forsøg på at begå en sådan handling, hjælp, tilskyndelse eller rådgivning med henblik på en sådan handling eller lettelse af dens gennemførelse«.

15.      I henhold til artikel 2, stk. 1, finder direktivet om hvidvaskning af penge anvendelse på 1) kreditinstitutter, 2) finansieringsinstitutter og 3) en række juridiske eller fysiske personer under udøvelsen af deres erhverv. I direktivet om hvidvaskning af penge betegnes disse kategorier i øvrigt under ét som »de institutioner og personer, der er omfattet af dette direktiv« (»omfattede enheder« i dette forslag til afgørelse).

16.      Et »kreditinstitut« defineres i artikel 3, stk. 1, ved henvisning til definitionen af det samme begreb i artikel 1, nr. 1), første afsnit, i Europa-Parlamentets og Rådets direktiv 2000/12/EF af 20. marts 2000 (10) og defineres således som »et foretagende, hvis virksomhed består i fra offentligheden at modtage indlån eller andre midler, der skal tilbagebetales, samt i at yde lån for egen regning«.

17.      Ved »finansieringsinstitut« forstås »et foretagende, som ikke er et kreditinstitut, og som udøver en eller flere af aktiviteterne i punkt 2-12 og punkt 14 og 15 i bilag I til direktiv 2006/48/EF« (11) [artikel 3, stk. 2, litra a)]. Denne liste over aktiviteter omfatter i punkt 4 »[b]etalingstjenester som defineret i [betalingstjenestedirektivets] artikel 4, nr. 3),« (12) og i punkt 5, »[u]dstedelse og administration af andre betalingsmidler [...], i det omfang denne aktivitet ikke er dækket af punkt 4«. I henhold til betalingstjenestedirektivet omfatter en betalingstjeneste gennemførelse af betalingstjenester, og betalingsinstitutter er virksomheder, der udfører betalingstjenester, som i øvrigt opfylder kravene i dette direktiv (13).

18.      Artikel 5 bestemmer, at »[m]edlemsstaterne [...] på det område, der er omfattet af [direktivet om hvidvaskning af penge], [kan] vedtage eller opretholde strengere bestemmelser for at forhindre hvidvaskning af penge og finansiering af terrorisme«.

19.      Kapitel II (»Kundelegitimationskrav«) indeholder, bortset fra generelle bestemmelser om almindelige kundelegitimationskrav (artikel 6-10), særlige afsnit om lempede kundelegitimationskrav (artikel 11 og 12) og skærpede kundelegitimationskrav (artikel 13).

20.      I henhold til artikel 7 skal omfattede enheder gennemføre kundelegitimationsprocedurer: a) når de etablerer forretningsforbindelser, b) når de udfører lejlighedsvise transaktioner på mindst 15 000 EUR, c) når der er mistanke om hvidvaskning af penge eller finansiering af terrorisme uden hensyn til eventuelle afvigelser, fritagelser eller tærskler, og d) når der er tvivl om, at tidligere indhentede oplysninger om kundens identitet er korrekte eller tilstrækkelige.

21.      Kundelegitimationsprocedurer omfatter følgende: »identifikation af kunden og kontrol af kundens identitet på grundlag af dokumenter, data eller oplysninger indhentet fra pålidelige og uafhængige kilder« [artikel 8, stk. 1, litra a)], »eventuel identifikation af den reelle ejer, idet der træffes risikobaserede og passende foranstaltninger for at kontrollere dennes identitet […]« [artikel 8, stk. 1, litra b)], »indhentning af oplysninger om forretningsforbindelsens formål og tilsigtede omfang« [artikel 8, stk. 1, litra c)] og »vedvarende kontrol med forretningsforbindelsen, herunder undersøgelse af transaktioner, der gennemføres som led i forretningsforbindelsen […]« [artikel 8, stk. 1, litra d)].

22.      Artikel 8, stk. 2, bestemmer, at omfattede enheder kan vedtage omfanget af kundelegitimationsprocedurer på grundlag af risikoen i forbindelse med kundekategorien, forretningsforbindelsen, produktet eller transaktionen. De skal kunne godtgøre over for de kompetente myndigheder, at foranstaltningernes omfang er passende i betragtning af risikoen for hvidvaskning af penge og finansiering af terrorisme.

23.      Ifølge artikel 9, stk. 1, skal medlemsstaterne med visse undtagelser kræve, at kontrollen af kundens og den reelle ejers identitet sker før etableringen af en forretningsforbindelse eller udførelse af en transaktion.

24.      Hvis en omfattet enhed ikke kan opfylde artikel 8, stk. 1, litra a)-c), skal medlemsstaterne i henhold til artikel 9, stk. 5, første afsnit, kræve, at den pågældende omfattede enhed »ikke må udføre transaktioner via en bankkonto, etablere forretningsforbindelsen eller udføre transaktionen eller skal bringe forretningsforbindelsen til ophør og overveje at underrette den finansielle efterretningsenhed i overensstemmelse med artikel 22 ^[ (14)^]«. I henhold til artikel 9, stk. 6, skal medlemsstaterne kræve, at omfattede enheder gennemfører kundelegitimationsprocedurer, ikke blot over for alle nye kunder, men også over for eksisterende kunder på passende tidspunkt på grundlag af en risikovurdering.

25.      Artikel 11, stk. 1, bestemmer: »Uanset artikel 7, litra a), b) og d), artikel 8 og artikel 9, stk. 1, stilles de deri nævnte krav ikke til [omfattede enheder], når kunden er et i direktivet omhandlet kredit- eller finansieringsinstitut eller et kredit- eller finansieringsinstitut i et tredjeland, som i dette land skal opfylde krav svarende til de i direktivet fastsatte og er genstand for tilsyn med opfyldelsen heraf.« I artikel 11, stk. 2, fastsættes andre omstændigheder, hvorunder medlemsstaterne, uanset artikel 7, litra a), b) og d), artikel 8 og artikel 9, stk. 1, kan tillade omfattede enheder ikke at anvende almindelige kundelegitimationsprocedurer. I henhold til artikel 11, stk. 3, skal omfattede enheder indsamle tilstrækkelige oplysninger til at kunne fastslå, om en kunde kan komme i betragtning til at blive undtaget i henhold til stk. 1 og 2 (15).

26.      I henhold til artikel 13, stk. 1, skal medlemsstaterne pålægge omfattede enheder at skærpe kundelegitimationsforanstaltningerne på grundlag af en vurdering af risikoen, ud over de foranstaltninger, der er omhandlet i artikel 7 og 8 og artikel 9, stk. 6, i situationer, som i sig selv indebærer en øget risiko for hvidvaskning af penge eller finansiering af terrorisme. Det skal de i hvert fald gøre i de situationer, der er beskrevet i artikel 13, stk. 2-4, og med hensyn til andre situationer, der frembyder en høj risiko, og som opfylder de tekniske kriterier, der er fastsat, jf. artikel 40, stk. 1, litra c) (16). De situationer, der er beskrevet i artikel 13, stk. 2-4, omfatter: hvis kunden ikke har været fysisk til stede for at legitimere sig, grænseoverskridende korrespondentbankforbindelser med korrespondentinstitutter fra tredjelande og transaktioner eller forretningsforbindelser med politisk udsatte personer med bopæl i en anden medlemsstat eller et tredjeland. For sådanne er der anført specifikke kundelegitimationsprocedurer (eller eksempler på hensigtsmæssige foranstaltninger).

27.      I henhold til artikel 20 skal medlemsstaterne kræve, at omfattede enheder er særlig opmærksomme på enhver aktivitet, som de på grund af dens karakter særligt finder kan have tilknytning til hvidvaskning af penge eller finansiering af terrorisme.

28.      Artikel 22, der sammen med artikel 23 omhandler underretningsforpligtelser, bestemmer, at omfattede enheder (og i givet fald deres ledelse og ansatte) skal samarbejde fuldt ud ved bl.a. omgående at underrette den finansielle efterretningsenhed på eget initiativ, hvis de ved, har mistanke om eller har rimelig grund til at mene, at der gennemføres eller er gennemført eller gjort forsøg på at gennemføre hvidvaskning af penge eller finansiering af terrorisme [artikel 22, stk. 1, litra a)].

29.      I henhold til artikel 28 må omfattede enheder, herunder deres ledelse og ansatte, ikke oplyse den pågældende kunde eller tredjemand om, at der er sendt oplysninger i henhold til artikel 22 og 23, eller at der er eller eventuelt vil blive iværksat en efterforskning vedrørende hvidvaskning af penge eller finansiering af terrorisme.

30.      I henhold til artikel 34, stk. 1, skal medlemsstaterne pålægge omfattede enheder at indføre passende og egnede politikker og procedurer for kundelegitimation, underretning, opbevaring af registreringer, intern kontrol, risikovurdering, risikostyring, kontrol med overholdelsen af de relevante forskrifter og kommunikation for at forebygge og forhindre hvidvasknings- eller terrorismefinansieringstransaktioner.

31.      Artikel 36 og 37 omhandler »Tilsyn«. Artikel 37, stk. 1, bestemmer eksempelvis, at medlemsstaterne som et minimum skal pålægge de kompetente myndigheder effektivt at overvåge og træffe de nødvendige foranstaltninger for at sikre, at kravene i direktivet overholdes af de omfattede enheder.

32.      I henhold til artikel 40, stk. 1, litra c), kan Kommissionen vedtage gennemførelsesbestemmelser, der indfører tekniske kriterier til vurdering af, om der i de tilfælde, der er omhandlet i artikel 13, er en stor risiko for hvidvaskning af penge eller finansiering af terrorisme.

 Direktivet om beskyttelse af personoplysninger

33.      I ottende betragtning til direktivet om personoplysninger anføres det, at »beskyttelsen af det enkelte menneskes rettigheder og frihedsrettigheder i forbindelse med behandling af [personoplysninger skal] være ensartet i alle medlemsstaterne«. I niende betragtning anerkendes det, at medlemsstaterne ikke længere under henvisning til det enkelte menneskes rettigheder og frihedsrettigheder, navnlig retten til privatlivets fred, vil kunne lægge hindringer i vejen for den frie udveksling af personoplysninger medlemsstaterne imellem, men de vil få en manøvremargen, som erhvervslivet og arbejdsmarkedets parter kan benytte sig af i forbindelse med gennemførelsen af direktivet om personoplysninger.

34.      Artikel 1 bestemmer: »Medlemsstaterne sikrer i overensstemmelse med dette direktiv beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, i forbindelse med behandling af personoplysninger«. Artikel 1, stk. 2, bestemmer: »Medlemsstaterne må ikke af grunde, der har forbindelse med den i stk. 1 foreskrevne beskyttelse, indskrænke eller forbyde fri udveksling af personoplysninger mellem medlemsstaterne.«

35.      I henhold til artikel 2, litra a), forstås ved »personoplysninger« »enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar person forstås en person, der direkte eller indirekte kan identificeres, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet«.

36.      I henhold til artikel 2, litra b), forstås ved »behandling af personoplysninger« »enhver operation eller række af operationer – med eller uden brug af elektronisk databehandling – som personoplysninger gøres til genstand for, f. eks. indsamling, registrering, systematisering, opbevaring, tilpasning eller ændring, selektion, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt blokering, slettelse eller tilintetgørelse«.

37.      I overensstemmelse med artikel 3, stk. 1, finder direktivet om personoplysninger anvendelse på »behandling af personoplysninger, der helt eller delvis foretages ved hjælp af edb, samt på ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register«.

38.      I artikel 7 fastsættes kriterierne for, om behandling af personoplysninger er lovlig. I henhold til henholdsvis artikel 7, litra c) og f), er det tilfældet, når behandling er nødvendig »for at overholde en retlig forpligtelse, som gælder for den registeransvarlige« og »for at den registeransvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, kan forfølge en legitim interesse, medmindre den registreredes interesser eller de grundlæggende rettigheder og frihedsrettigheder, der skal beskyttes i henhold til artikel 1, stk. 1, i dette direktiv, går forud herfor«.

 Direktivet om urimelig handelspraksis

39.      I ottende betragtning til direktivet om urimelig handelspraksis anføres det, at dette direktiv beskytter direkte forbrugernes økonomiske interesser mod virksomheders urimelige handelspraksis og indirekte virksomheder mod deres konkurrenter, der ikke følger reglerne i direktivet. Dette direktiv sikrer således loyal konkurrence på det område, der samordnes gennem direktivet.

40.      Ved »forbruger« forstås i direktivet om urimelig handelspraksis »en fysisk person, der i forbindelse med en af dette direktiv omfattet handelspraksis ikke udøver virksomhed som handlende, håndværker eller industridrivende eller udøver et liberalt erhverv« [artikel 2, litra a)]. Ved »erhvervsdrivende« forstås »en fysisk eller juridisk person, der i forbindelse med en af dette direktiv omfattet handelspraksis udøver virksomhed som handlende, håndværker eller industridrivende eller udøver et liberalt erhverv, og enhver, der handler i en erhvervsdrivendes navn eller på en erhvervsdrivendes vegne« [artikel 2, litra b)]. Ved »virksomheders handelspraksis over for forbrugerne« eller »handelspraksis« forstås »en handling, udeladelse, adfærd eller fremstilling, kommerciel kommunikation, herunder reklame og markedsføring, foretaget af en erhvervsdrivende med direkte relation til promovering, salg eller udbud af et produkt [dvs. enhver vare eller tjeneste (17)] til forbrugerne« [artikel 2, litra d)].

41.      Artikel 3, stk. 1, bestemmer, at direktivet om urimelig handelspraksis »gælder for virksomheders urimelige handelspraksis over for forbrugerne, som fastlagt i artikel 5[, der fastsætter et forbud mod urimelig handelspraksis og definerer sådan praksis], før, under og efter en handelstransaktion i forbindelse med et produkt«.

42.      Artikel 3, stk. 4, bestemmer, at »[i] tilfælde af uoverensstemmelse mellem [bestemmelserne i direktivet om urimelig handelspraksis] og andre fællesskabsbestemmelser om særlige aspekter af urimelig handelspraksis vil sidstnævnte gælde for de pågældende særlige aspekter«.

 Betalingstjenestedirektivet

43.      Betalingstjenestedirektivet fastsætter bl.a. regler for en sondring mellem seks kategorier af udbydere af betalingstjenester, herunder kreditinstitutter som defineret i artikel 4, nr. 1), litra a), i direktiv 2006/48/EF [artikel 1, stk. 1, litra a)] og betalingsinstitutter som defineret i betalingstjenestedirektivet [artikel 1, stk. 1, litra d)].

44.      I artikel 4, stk. 3, defineres en »betalingstjeneste« som »de forretningsaktiviteter, som er anført i bilaget«, som omfatter gennemførelse af betalingstransaktioner. Ved »betalingsinstitut« forstås i henhold til artikel 4, stk. 4, »en juridisk person, der i overensstemmelse med artikel 10[, der kræver, at virksomheder opnår tilladelse som betalingsinstitut, inden de begynder at udbyde betalingstjenester] er meddelt tilladelse til at udbyde og gennemføre betalingstjenester i hele Fællesskabet«. Ved »betalingstjeneste« forstås »de forretningsaktiviteter, som er anført i bilaget« (artikel 4, stk. 3). Ved »agent« forstås »en fysisk eller juridisk person, som handler på vegne af et betalingsinstitut ved ydelsen af betalingstjenester« (artikel 4, stk. 22).

45.      I henhold til artikel 5 skal en ansøgning om tilladelse som betalingsinstitut indeholde en række oplysninger, herunder »en beskrivelse af de interne kontrolforanstaltninger, som ansøgeren har indført for at opfylde forpligtelserne vedrørende hvidvaskning af penge og finansiering af terrorisme i henhold til [direktivet om hvidvaskning af penge]«. Artikel 10, stk. 2, bestemmer, at tilladelse meddeles, »hvis de oplysninger og det materiale, der er vedlagt ansøgningen, opfylder alle kravene i henhold til artikel 5, og hvis de kompetente myndigheder, der nøje har gennemgået ansøgningen, når frem til en overordnet positiv vurdering«. I henhold til artikel 12, stk. 1, kan en tilladelse kun inddrages under særlige omstændigheder, herunder hvis betalingsinstituttet ikke længere opfylder betingelserne for meddelelse af tilladelse (artikel 12, stk. 1, litra c)).

46.      I henhold til artikel 17, stk. 1, skal et betalingsinstitut, der har til hensigt at udbyde betalingstjenester gennem en agent, meddele visse oplysninger til hjemlandet, så agenten kan optages i et offentligt tilgængeligt register, jf. artikel 13. Disse oplysninger omfatter navn og adresse på agenten og en beskrivelse af de interne kontrolmekanismer, som agenterne vil anvende for at opfylde forpligtelserne vedrørende hvidvaskning af penge og finansiering af terrorisme i henhold til direktivet om hvidvaskning af penge.

47.      I henhold til artikel 20, stk. 1, første afsnit, skal medlemsstaternes kompetente myndigheder udpege »enten offentlige myndigheder eller organer, der er anerkendt i den nationale lovgivning eller af de offentlige myndigheder, som udtrykkeligt har beføjelse hertil efter den nationale lovgivning, herunder nationale centralbanker«. I henhold til andet afsnit skal sådanne myndigheder være uafhængige af økonomiske organer, og interessekonflikter skal undgås. Med forbehold af første afsnit må betalingsinstitutter, kreditinstitutter, udstedere af elektroniske penge eller postgirokontorer ikke udpeges som kompetente myndigheder.

48.      Artikel 21 (»Tilsyn«) bestemmer:

»1.      Medlemsstaterne sikrer, at de kompetente myndigheders tilsyn med overholdelsen af bestemmelserne i dette afsnit [»Udbydere af betalingstjenester«] er proportionalt, hensigtsmæssigt og afpasset efter de risici, betalingsinstitutterne er udsat for.

For at kontrollere overholdelsen af bestemmelserne i dette afsnit, er de kompetente myndigheder berettiget til at tage følgende skridt og navnlig:

a)      kræve, at betalingsinstituttet fremlægger alle de oplysninger, der er nødvendige for at kontrollere overholdelsen

b)      udføre inspektioner på stedet hos betalingsinstituttet, enhver agent eller filial, der udbyder betalingstjenester under betalingsinstituttets ansvar, eller hos enhver enhed, som aktiviteterne er udliciteret til

c)      udstede henstillinger og retningslinjer og i givet fald udstede bindende administrative forskrifter, og

d)      suspendere eller inddrage tilladelser i de tilfælde, der er omhandlet i artikel 12.

2.      […] [M]edlemsstaterne sørger] for, at deres respektive kompetente myndigheder i tilfælde af, at et betalingsinstitut eller dets ansvarlige ledelse har overtrådt love eller administrative bestemmelser om tilsyn med betalingsinstitutter eller om disses betalingstjenestevirksomhed, kan pålægge [...] sanktioner eller påbyde foranstaltninger med det klare formål at bringe de konstaterede overtrædelser eller årsagerne hertil til ophør.

[...]«

49.      Artikel 79 om »Beskyttelse af personoplysninger« bestemmer: »Medlemsstaterne tillader, at betalingssystemer og udbydere af betalingstjenester behandler personoplysninger, når det er nødvendigt af hensyn til forebyggelse, undersøgelse og afsløring af betalingssvig. Behandling af sådanne personoplysninger skal udføres i overensstemmelse med [direktivet om personoplysninger].«

 National ret

50.      Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo (lov nr. 10/2010 af 28.4.2010 om forebyggelse af hvidvaskning af penge og finansiering af terrorisme) (herefter »lov nr. 10/2010«), der gennemfører direktivet om hvidvaskning af penge i spansk ret, sondrer mellem tre typer kundelegitimationsprocedurer: i) almindelige kundelegitimationsprocedurer (artikel 3-6), ii) lempede kundelegitimationsprocedurer (artikel 9) (18) og iii) skærpede kundelegitimationsprocedurer (artikel 11).

51.      Almindelige kundelegitimationsprocedurer omfatter formel identifikation af de berørte personer (artikel 3), identifikation af de reelle ejere (artikel 4), indhentning af oplysninger om forretningsforbindelsens formål og tilsigtede omfang (artikel 5) og løbende tilsyn med forretningsforbindelsen (artikel 6).

52.      I henhold til artikel 7, stk. 3, må personer, der er omfattet af lov nr. 10/2010, ikke indlede en forretningsforbindelse eller gennemføre en transaktion, hvis de ikke kan anvende de kundelegitimationsprocedurer, der er fastsat ved denne lov. Hvis en sådan situation opstår under en forretningsforbindelse, skal de afbryde forbindelsen.

53.      I henhold til artikel 9, stk. 1, litra b), har personer, der er omfattet af lov nr. 10/2010, beføjelse til ikke at anvende visse almindelige kundelegitimationsprocedurer over for finansieringsinstitutter med hjemsted i Den Europæiske Union eller i ækvivalente tredjelande, som er genstand for tilsyn med opfyldelsen af legitimationskravene. I henhold til den forelæggende ret antyder brugen af ordet »beføjelse«, at denne bestemmelse ikke indebærer en forpligtelse. Den forelæggende ret er dog i tvivl om dens præcise betydning.

54.      I henhold til artikel 11 skal der gennemføres skærpede kundelegitimationsprocedurer, hvis der på grundlag af en risikovurdering er konstateret en øget risiko for hvidvaskning af penge eller finansiering af terrorisme. Visse situationer indebærer i medfør af deres karakter en sådan risiko, herunder pengeoverførselstjenester.

 De faktiske omstændigheder, retsforhandlingerne og de forelagte spørgsmål

55.      Safe er en virksomhed, der overfører kunders midler til udlandet (dvs. til andre medlemsstater og tredjelande) via konti, som virksomheden har åbnet hos kreditinstitutter.

56.      Ifølge anmodningen om en præjudiciel afgørelse lukkede bankerne Safes konti hos dem, efter at virksomheden nægtede at give dem oplysninger (vedrørende dens kunder og modtagerne af de overførte midler), som de havde anmodet om i medfør af lov nr. 10/2010, som reaktion på uregelmæssigheder i forbindelse med agenter, som Safe havde givet beføjelse til at gennemføre overførsler via virksomhedens konti, og som var blevet godkendt af Banco de España.

57.      Den 11. maj 2011 meddelte BBVA disse uregelmæssigheder til Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias del Banco de España (myndighed med ansvar for gennemførelse af forebyggende foranstaltninger mod hvidvaskning af penge og økonomisk kriminalitet, herefter »SEPBLAC«). Den 22. juli 2011 meddelte BBVA Safe, at virksomhedens konto uigenkaldeligt var blevet lukket.

58.      Safe anfægtede BBVA’s beslutning om at lukke dens konto (og lignende beslutninger truffet af de to andre banker) ved Juzgado de lo Mercantil No 5 de Barcelona (herefter »handelsretten«) med påstand om illoyal konkurrence, som hindrede Safe i at udøve sin virksomhed, der bestod i at overføre midler til udlandet. Safe gjorde følgende gældende: i) Overførsel af penge til udlandet krævede, at selskabet havde konti, ii) selskabet konkurrerede på markedet med bankerne, iii) bankerne havde aldrig tidligere pålagt Safe at udlevere oplysninger om selskabets kunders identitet eller om oprindelsen og anvendelsen af midlerne (denne praksis blev indledt under påberåbelse af bestemmelserne i lov nr. 10/2010), og iv) udlevering af sådanne oplysninger til bankerne ville være i strid med loven om beskyttelse af personoplysninger. Bankerne anførte i deres svar, at deres foranstaltninger var i overensstemmelse med lov nr. 10/2010, var begrundede i medfør af risiciene i forbindelse med overførsel af midler til udlandet og ikke var i strid med konkurrencereglerne.

59.      Den 25. september 2009 forkastede handelsretten Safes påstande. Den fastslog, at bankerne havde ret til at anmode Safe om at indføre skærpede kundelegitimationsprocedurer og udlevere oplysninger vedrørende virksomhedens kunder med den begrundelse, at de i Safes adfærd så tegn på handlinger, der var i strid med lov nr. 10/2010. Om det var begrundet, at bankerne lukkede Safes konti, skulle undersøges i hvert tilfælde. Ingen af bankerne havde overtrådt et specifikt forbud mod illoyal konkurrence, men Sabadell og Liberbank (men ikke BBVA) havde handlet illoyalt ved ikke at give Safe en begrundelse for deres foranstaltninger. BBVA’s handling blev anset for begrundet, fordi den var baseret på kontroller, der viste, at 22% af de overførsler, der blev gennemført via Safes konto mellem den 1. september og den 30. november 2010, ikke blev gennemført af agenter, der havde fået beføjelser af Safe og var blevet godkendt af Banco de España. I den pågældende periode blev overførslerne desuden foretaget af 1 291 personer, hvilket langt oversteg antallet af Safes agenter. En ekspertudtalelse havde desuden fremhævet risiciene i forbindelse med overførsler, der ikke blev gennemført af identificerede agenter.

60.      Safe, Sabadell og Liberbank appellerede dommen til Audiencia Provincial de Barcelona (herefter »den forelæggende ret«), som behandler de tre appelsager samlet.

61.      Ifølge den forelæggende ret er alle berørte parter omfattet af lov nr. 10/2010, da de hører ind under de kategorier, der er anført i denne lovs artikel 2, som omfatter kreditinstitutter og betalingsinstitutter. Alle parter konkurrerer desuden på markedet og udfører den samme aktivitet, nemlig pengeoverførsler til udlandet. Betalingsinstitutter (som eksempelvis Safe) må dog nødvendigvis gøre det via konti i kreditinstitutter (som eksempelvis bankerne).

62.      Safe har for det første gjort gældende, at BBVA ikke var forpligtet til at indføre kundelegitimationsprocedurer over for finansieringsinstitutter, fordi disse er under direkte tilsyn af offentlige myndigheder, i dette tilfælde Banco de España. Safe har dernæst gjort gældende, at i Spanien kan kun SEPBLAC få adgang til oplysninger vedrørende betalingsinstitutters kunder. For det tredje skulle BBVA – selv om det var forpligtet til at indføre kundelegitimationsprocedurer – foretage en detaljeret og udførlig undersøgelse af de tiltag, Safe havde truffet for at overholde den relevante lovgivning, inden det iværksatte sådanne foranstaltninger. I den foreliggende sag havde BBVA blot anmodet om en ekspertudtalelse, der var blevet udarbejdet på grundlag af BBVA’s oplysninger. Lov nr. 10/2010 finder for det fjerde ikke anvendelse på personer, såsom agenter, der tilbyder finansieringsinstitutter hjælp til overførsel af midler.

63.      Sabadell har i sin appel påpeget, at handelsretten i sin dom accepterede, at Sabadell i princippet kunne indføre skærpede kundelegitimationsprocedurer, men at det ikke kunne gøre det i dette tilfælde. Liberbank har gjort gældende, at kontolukningen var begrundet, fordi Safe ikke havde udleveret de krævede oplysninger.

64.      På denne baggrund har den forelæggende ret anmodet om en præjudiciel afgørelse af følgende spørgsmål:

»1)      Vedrørende fortolkningen af artikel 11, stk. 1, i [direktivet om hvidvaskning af penge]:

a)      Sammenholdes denne bestemmelse med direktivets artikel 7, har EU-lovgiver da haft til hensigt at fastsætte en reel undtagelse fra den ordning, hvorefter pengeinstitutterne har mulighed for at gennemføre kundelegitimationsprocedurer i de tilfælde, hvor kunden er et betalingsinstitut, som allerede er omfattet af sin egen tilsynsordning, eller udgør bestemmelsen blot en bemyndigelse til at indrømme en undtagelse?

b)      Sammenholdes denne bestemmelse med direktivets artikel 5, kan den nationale lovgiver da gennemføre den i direktivet fastsatte undtagelse på andre vilkår end de i bestemmelsen fastsatte?

c)      Finder den i artikel 11, stk. 1, fastsatte undtagelse ligeledes anvendelse i forbindelse med de skærpede kundelegitimationskrav på samme vilkår, som er gældende for kundelegitimationsprocedurer?

2)      Subsidiært, for det tilfælde, at de ovenstående spørgsmål besvares bekræftende med hensyn til muligheden for, at pengeinstitutterne kan indføre kundelegitimationsprocedurer og skærpede kundelegitimationskrav over for betalingsinstitutterne:

a)      i hvor vidt omfang har pengeinstitutterne mulighed for at føre tilsyn med betalingsinstituttets drift? Kan pengeinstitutterne i medfør af bestemmelserne i [direktivet om hvidvaskning af penge] anses for bemyndigede til at føre tilsyn med de kundelegitimationsprocedurer og ‑foranstaltninger, som betalingsinstitutterne indfører, eller er denne beføjelse udelukkende forbeholdt de i [betalingstjenestedirektivet] omhandlede offentlige institutioner, som i dette tilfælde er Banco de España?

b)      Forudsætter pengeinstitutternes anvendelse af denne beføjelse til at indføre foranstaltninger, at betalingsinstituttets handlinger udgør en særlig begrundelse, eller kan denne beføjelse udøves generelt i forbindelse med betalingsinstitutters udøvelse af risikobetonede aktiviteter, herunder pengeoverførsler til udlandet?

c)      Såfremt spørgsmålet om, hvorvidt pengeinstitutternes anvendelse af legitimationsprocedurer over for betalingsinstitutterne forudsætter en konkret begrundelse, besvares bekræftende:

i)      Hvilken adfærd skal pengeinstitutterne da være opmærksomme på, inden de indfører kundelegitimationsprocedurer?

ii)      Kan pengeinstitutter i disse tilfælde da anses for at have beføjelse til at foretage en bedømmelse af de kundelegitimationsprocedurer, som betalingsinstitutterne anvender i deres procedurer?

iii)      Forudsætter udøvelsen af denne beføjelse da, at pengeinstituttet har kunnet spore en adfærd i betalingsinstituttets drift, som giver anledning til mistanke om deltagelse i samarbejde om hvidvaskning af penge eller finansiering af terrorisme?

3)      For så vidt som det konkluderes, at pengeinstitutterne har beføjelse til at indføre skærpede legitimationskrav over for betalingsinstitutterne:

a)      er det da acceptabelt, at disse krav kan omfatte et krav om, at betalingsinstitutterne skal udlevere identitetsoplysninger for alle de kunder, hvorfra de overførte midler hidrører, samt identiteten på modtagerne heraf?

b)      er det da i overensstemmelse med [direktivet om personoplysninger], at betalingsinstitutterne skal udlevere oplysninger om deres kunder til de pengeinstitutter, som de er tvunget til at samarbejde med, og som de samtidig konkurrerer med på markedet?«

65.      Der er afgivet skriftlige af BBVA, Safe, den spanske og den portugisiske regering samt af Europa-Kommissionen. På retsmødet den 6. maj 2015 afgav de samme parter, med undtagelse af BBVA og den portugisiske regering, mundtlige indlæg.

 Bedømmelse

 Indledende bemærkninger

66.      Hovedsagen ved den nationale ret drejer sig i det væsentlige om, hvorvidt bankerne havde ret eller var forpligtede til at handle, som de gjorde, i henhold til direktivet om hvidvaskning af penge (som gennemført), eller om de ubegrundet anvendte dette direktiv som en undskyldning for illoyal konkurrence.

67.      De forelagte spørgsmål er alene opstået, fordi bankerne og Safe er enheder, der er omfattet af direktivet om hvidvaskning af penge (19). Ingen af parterne har anfægtet den forelæggende rets beslutning om i de præjudicielle spørgsmål at betegne dem som henholdsvis kreditinstitutter og et betalingsinstitut i den forstand, hvori disse udtryk er anvendt i den nationale lov om gennemførelse af artikel 3 i direktivet om hvidvaskning af penge.

68.      Med spørgsmål 1 ønsker den forelæggende ret oplyst, om artikel 11, stk. 1, i direktivet om hvidvaskning af penge, herunder navnlig om den pågældende bestemmelse, når den sammenholdes med artikel 5 og 7, er til hinder for, at en medlemsstat tillader eller pålægger et kreditinstitut at anvende almindelige kundelegitimationsprocedurer over for en kunde, som er et betalingsinstitut, der også er underlagt direktivet om hvidvaskning af penge [spørgsmål 1, litra a) og b)]. Med spørgsmål 1, litra c), stiller den det samme spørgsmål vedrørende skærpede kundelegitimationsprocedurer efter artikel 13.

69.      Efter min opfattelse afhænger svaret på spørgsmål 1 først og fremmest af anvendelsesområdet for artikel 7, artikel 11, stk. 1, og artikel 13 i direktivet om hvidvaskning af penge. Hvis intet er til hinder for, at medlemsstaterne ved gennemførelse af disse bestemmelser tillader eller kræver, at et kreditinstitut lukker et betalingsinstituts konti under de omtvistede omstændigheder, er det ikke nødvendigt at undersøge artikel 5, da forpligtelserne i henhold til national ret i så fald blot svarer til forpligtelserne i henhold til direktivet om hvidvaskning af penge.

70.      Bør artikel 5 og 7, artikel 11, stk. 1, og artikel 13 i direktivet om hvidvaskning af penge fortolkes således, at de er til hinder for, at medlemsstater tillader eller pålægger kreditinstitutter, såsom bankerne, at anvende (skærpede) kundelegitimationsprocedurer under omstændigheder, der kræver lempede kundelegitimationsprocedurer, er spørgsmål 2 og 3 ikke længere relevante, da der i så fald ikke er et retsgrundlag for bankernes foranstaltninger.

71.      Er direktivet om hvidvaskning af penge ikke til hinder for, at medlemsstater tillader eller kræver (skærpede) kundelegitimationsprocedurer under sådanne omstændigheder, anmoder den forelæggende ret med spørgsmål 2 og 3 Domstolen om at uddybe anvendelsesområdet for sådanne foranstaltninger og de betingelser, hvorunder de kan anvendes. Kan det ved en national bestemmelse fastsættes, at kreditinstitutter kan føre tilsyn med betalingsinstitutters drift og med de kundelegitimationsprocedurer og ‑foranstaltninger, som betalingsinstitutterne indfører, og i bekræftende fald, i hvilket omfang [spørgsmål 2, litra a)]? Skal der være en særlig begrundelse for at udøve beføjelsen til at anvende (skærpede) kundelegitimationsprocedurer, eller er det tilstrækkeligt, at kunden udøver en risikobetonet aktivitet [spørgsmål 2, litra b)]? Hvis der kræves en særlig begrundelse, hvilke kriterier skal en sådan analyse da baseres på [spørgsmål 2, litra c)]? Kan sådanne kundelegitimationsprocedurer endelig omfatte et krav om, at betalingsinstitutterne skal udlevere identitetsoplysninger for alle de kunder, hvorfra de overførte midler hidrører, samt identiteten på modtagerne heraf, og er det i overensstemmelse med direktivet om personoplysninger [spørgsmål 3, litra a) og b)]?

72.      Ved fortolkningen af direktivet om hvidvaskning af penge har alle parterne henvist til anbefalinger og andre materialer udarbejdet af FATF, som er et mellemstatsligt organ, der fastlægger standarder og udvikler og fremmer foranstaltninger til bekæmpelse af hvidvaskning af penge og finansiering af terrorisme (20). Domstolen har allerede anerkendt, at direktivet om hvidvaskning af penge (ligesom dets forgænger, direktiv 91/308/EØF) blev vedtaget med henblik på at gennemføre FATF’s anbefalinger og gøre dem bindende i Den Europæiske Union (21). Direktivet om hvidvaskning af penge bør derfor fortolkes i overensstemmelse med FATF-anbefalingerne fra 2003 (22), som i det væsentlige udgør minimumsstandarder på området. Jeg tager dem derfor i betragtning, hvor det er relevant.

73.      I nogle af spørgsmålene har den forelæggende ret anført specifikke bestemmelser i EU-retten, mens den i andre ikke har gjort det. Domstolen kan ifølge fast praksis med henblik på at besvare de præjudicielle spørgsmål fyldestgørende inddrage EU-retlige forskrifter, som den forelæggende ret ikke har henvist til i spørgsmålene (23). Jeg har benyttet denne praksis i mit forslag til besvarelse af de forelagte spørgsmål.

74.      Der henvises ikke til direktivet om urimelig handelspraksis i spørgsmål 3, litra b), men den forelæggende ret udtrykker imidlertid et andet sted i forelæggelsesafgørelsen tvivl om forholdet mellem rettighederne i henhold til dette direktiv og i henhold til direktivet om hvidvaskning af penge. Direktivet om urimelig handelspraksis finder dog ikke anvendelse her, eftersom Safe netop »udøver virksomhed som handlende, håndværker eller industridrivende eller udøver et liberalt erhverv« (24). Domstolen har allerede fastslået, at begreberne »kunde« og »erhvervsdrivende« i dette direktiv er diametralt modsatte, og at begrebet »forbruger« omfatter »enhver privatperson, som ikke driver forretnings- eller erhvervsmæssig virksomhed« (25). Safe er således ikke en forbruger i dette direktivs forstand.

 Anvendelsesområde for artikel 11, stk. 1, i direktivet om hvidvaskning af penge [spørgsmål 1, litra a)-c)]

75.      Den forelæggende ret har ikke anført det udtrykkeligt, men elementer i sagsakterne og i de skriftlige og mundtlige indlæg antyder, at BBVA fik mistanke om hvidvaskning af penge eller finansiering af terrorisme, efter at den havde opdaget uregelmæssigheder i oplysningerne om de agenter, der overførte midler via Safes konto hos BBVA.

76.      BBVA lukkede Safes konto i medfør af lov nr. 10/2010, der på den ene side tillader anvendelsen af lempede kundelegitimationsprocedurer over for finansieringsinstitutter, som er genstand for tilsyn med opfyldelsen af legitimationskravene, og på den anden side pålægger omfattede enheder på grundlag af deres risikovurdering at anvende skærpede kundelegitimationsprocedurer i situationer, som i sig selv indebærer en øget risiko for hvidvaskning af penge eller finansiering af terrorisme, såsom pengeoverførsler.

77.      Med sit første spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om direktivet om hvidvaskning af penge er til hinder for en national bestemmelse, der regulerer (lempede og skærpede) kundelegitimationsprocedurer på denne måde.

78.      Direktivet om hvidvaskning af penge omhandler tre typer kundelegitimationsprocedurer (almindelige, lempede og skærpede). Medlemsstaterne skal sikre hensigtsmæssig gennemførelse af disse foranstaltninger med henblik på at forhindre, at det finansielle system anvendes til hvidvaskning af penge eller finansiering af terrorisme. Sådanne foranstaltninger skal anvendes før eller efter etableringen af en forretningsforbindelse eller gennemførelsen af en transaktion. Den tiltænkte grad af afskrækkende virkning af hver type foranstaltning afhænger af, hvor alvorlig risikoen for, at det finansielle system vil blive brugt til sådanne formål, vurderes at være. Alvoren af denne risiko varierer nødvendigvis, og medlemsstaterne skal derfor sikre, at de anvendte foranstaltninger er hensigtsmæssige i hvert enkelt tilfælde (26). Jeg mener derfor, at niveauet for de kundelegitimationskrav, der skal anvendes, altid skal fastlægges på et kontrollerbart grundlag.

79.      Udgangspunktet for fortolkningen af kapitel II (»Kundelegitimationskrav«) i direktivet om hvidvaskning af penge og forholdet mellem artikel 5, artikel 7, artikel 11, stk. 1, og artikel 13 er efter min mening forpligtelsen til at anvende almindelige kundelegitimationsprocedurer.

80.      Artikel 7 omhandler de situationer, der automatisk udløser forpligtelsen til at anvende almindelige kundelegitimationsprocedurer, fordi der vurderes at foreligge risici for hvidvaskning af penge eller finansiering af terrorisme, der kan forebygges ved de foranstaltninger, der er omhandlet i artikel 8 og 9 (27). Disse situationer vedrører: a) etablering af forretningsforbindelser, b) udførelse af lejlighedsvise transaktioner på mindst 15 000 EUR, c) mistanke om hvidvaskning af penge eller finansiering af terrorisme uden hensyn til eventuelle afvigelser, fritagelser eller tærskler og d) tvivl om, at tidligere indhentede oplysninger om kundens identitet er korrekte eller tilstrækkelige. Almindelige kundelegitimationsprocedurer kan derfor finde anvendelse, inden en forretningsforbindelse er etableret, eller en transaktion er udført [artikel 7, litra a) og b)], og uanset om dette er tilfældet eller ej [artikel 7, litra c) og d)]. Det anføres på ingen måde i artikel 7, litra c), at den mistanke om hvidvaskning af penge eller finansiering af terrorisme, der påberåbes, skal opstå inden etableringen – eller i løbet af – en forretningsforbindelse eller en transaktion.

81.      Direktivet om hvidvaskning af penge definerer ikke »mistanke om hvidvaskning af penge eller finansiering af terrorisme«. Selv om artikel 22, stk. 1, litra a) (om anvendelsesområdet for forpligtelsen til at underrette den finansielle efterretningsenhed), antyder, at det at have en »mistanke« om ikke er det samme som at have »rimelig grund til at mene«, at der gennemføres eller er gennemført eller gjort forsøg på at gennemføre hvidvaskning af penge eller finansiering af terrorisme, kan denne sondring efter min mening ikke fortolkes således, at en »mistanke« i den forstand, hvori dette udtryk er anvendt i artikel 7, litra c), alene er et subjektivt spørgsmål. En mistanke skal efter min opfattelse være støttet på objektivt materiale, der kan kontrolleres med henblik på at undersøge, om artikel 7, litra c), og de øvrige bestemmelser i direktivet om hvidvaskning af penge er overholdt (28). Der er således efter min mening tale om »en mistanke om hvidvaskning af penge eller finansiering af terrorisme« som omhandlet i artikel 7, litra c), når der under hensyntagen til de særlige omstændigheder omkring en kunde og hans transaktioner (herunder med hensyn til anvendelsen og forvaltningen af hans konto eller konti) foreligger kontrollerbare grunde, som påviser, at der er risiko for, at hvidvaskning af penge eller finansiering af terrorisme gennemføres eller vil blive gennemført i forbindelse med den pågældende kunde.

82.      Når sådan mistanke gør sig gældende (og i andre situationer anført i artikel 7), skal det i national ret fastsættes, at omfattede enheder skal anvende almindelige kundelegitimationsprocedurer, herunder identifikation af kunden og kontrol af dennes identitet [artikel 8, stk. 1, litra a)], eventuel identifikation af den reelle ejer [artikel 8, stk. 1, litra b)], indhentning af oplysninger om forretningsforbindelsens formål og tilsigtede omfang [artikel 8, stk. 1, litra c)] og vedvarende kontrol med en eksisterende forretningsforbindelse og transaktioner, der allerede er gennemført [artikel 8, stk. 1, litra d)]. Artikel 8, stk. 1, litra d), kan kun anvendes efterfølgende. De tre andre typer foranstaltninger kan anvendes i enhver fase. Dette er i overensstemmelse med artikel 9, stk. 6, der bestemmer, at medlemsstaterne skal kræve, at omfattede enheder gennemfører kundelegitimationsprocedurer over for alle nye kunder og over for eksisterende kunder på grundlag af en risikovurdering. Før etableringen af en forretningsforbindelse eller udførelse af en transaktion skal medlemsstaterne dog kræve, at kundens og den reelle ejers identitet kontrolleres (artikel 9, stk. 1).

83.      Artikel 7, 8 og 9 fastlægger følgelig de omstændigheder, hvor EU-lovgiver har fundet det nødvendigt, at der i national ret fastsættes »almindelige« forebyggende foranstaltninger, når der er risiko for hvidvaskning af penge eller finansiering af terrorisme, og har defineret de hensigtsmæssige foranstaltninger til forebyggelse af risikoen.

84.      Under andre omstændigheder (f.eks. afhængigt af typen af kunde, forretningsforbindelse, produkt eller transaktion (29)) kan risikoen være lavere eller højere. Artikel 11 og 13 omhandler disse situationer og pålægger medlemsstaterne at sikre, at der anvendes forskellige niveauer af kundelegitimationsprocedurer.

85.      Forudsat at visse betingelser er opfyldt, jf. artikel 11, finder kundelegitimationsprocedurerne i artikel 8 og artikel 9, stk. 1, ikke anvendelse under omstændigheder, hvor de i henhold til artikel 7, litra a), b) og d), ellers ville være påkrævet. Disse betingelser vedrører situationer, hvor EU-lovgiver har vurderet, at der er lavere risiko for hvidvaskning af penge eller finansiering af terrorisme i medfør af eksempelvis kundens identitet eller værdien og indholdet af transaktionen eller produktet.

86.      Dette er tilfældet, når en omfattet enheds kunde selv er et kreditinstitut eller finansielt institut, der er omfattet af direktivet om hvidvaskning af penge. Ifølge artikel 11, stk. 1, kan medlemsstaterne ikke kræve, at omfattede enheder (såsom bankerne) anvender kundelegitimationsprocedurer efter artikel 8 og artikel 9, stk. 1, over for deres kunder (såsom Safe) i de situationer, der er anført i artikel 7, litra a), b) og d).

87.      Det forhold, at artikel 11, stk. 1, kræver, at omfattede enheder ikke underlægges almindelige kundelegitimationsprocedurer, mens andre stykker i artikel 11 (eksempelvis artikel 11, stk. 2) tillader medlemsstaterne at godkende lempede kundelegitimationsprocedurer, ændrer ikke denne konklusion. Anvendelsen af en tilladende form andre steder i artikel 11 viser, at medlemsstaterne har mulighed for at pålægge de lempede kundelegitimationsprocedurer, der er omhandlet i artikel 11, de almindelige kundelegitimationsprocedurer, der er omhandlet i artikel 8, eller de skærpede eller strengere kundelegitimationsprocedurer, der er omhandlet i henhold til artikel 13 og 5. Anvendelsen af en påbudsform i artikel 11, stk. 1, betyder, at der er færre muligheder: Der anvendes lempede kundelegitimationsprocedurer eller, hvis det er relevant og nødvendigt, skærpede eller strengere kundelegitimationskrav i overensstemmelse med henholdsvis artikel 13 og 5. Det, der ikke må anvendes, er almindelige kundelegitimationsprocedurer. Artikel 11, stk. 1, forbyder således efter min vurdering ikke strengere bestemmelser, som støttes på artikel 5.

88.      Begrundelsen for undtagelsen i artikel 11, stk. 1, er, at kunden selv er omfattet af direktivet om hvidvaskning af penge. Denne kunde skal overholde alle relevante krav i dette direktiv, som de er gennemført i national ret, herunder krav vedrørende de kundelegitimationsprocedurer, denne skal anvende over for sine egne kunder, og er underlagt dette direktivs krav vedrørende indberetning, tilsyn og andre krav. Under sådanne omstændigheder er der et øget behov for at træffe forebyggende foranstaltninger.

89.      Denne begrundelse er også i overensstemmelse med FATF-anbefalingerne fra 2012. I punkt 16 i den forklarende bemærkning til anbefaling 10 anerkendes det, at der kan være situationer, hvor risikoen for hvidvaskning af penge eller finansiering af terrorisme er lavere, og hvor det på grundlag af en hensigtsmæssig risikovurdering kan være rimeligt, at finansieringsinstitutter tillades at anvende lempede kundelegitimationsprocedurer (30). I punkt 17 beskrives udtrykkeligt eksemplet med finansieringsinstitutter, der selv er genstand for krav vedrørende bekæmpelse af hvidvaskning af penge eller finansiering af terrorisme ifølge FATF-anbefalingerne fra 2012, som effektivt har opfyldt disse krav, og som er genstand for tilsyn med hensyn til, om de overholder disse krav (31).

90.      Jeg mener derfor, at artikel 11, stk. 1, afspejler det princip, at kundelegitimationsprocedurer bør stå i forhold til de identificerede risici (32). I artikel 11, stk. 1, forudsættes der en nedsat risiko, fordi der allerede – eftersom kunden er en omfattet enhed – er indført kundelegitimations-, indberetnings- og tilsynsforanstaltninger med henblik på at håndtere den risiko, som den pågældende omfattede enhed og særlig denne enheds egne kunder kan udgøre. Artikel 11, stk. 1, tilstræber således at forene effektiv regulering, omkostningseffektiv risikohåndtering og hensigtsmæssig og forholdsmæssig forebyggelse af risikoen for hvidvaskning af penge eller finansiering af terrorisme.

91.      Artikel 11, stk. 1, gælder for alle omfattede enheder, selv om nogle af disse enheder kan være underlagt yderligere betingelser, som det er tilfældet for betalingsinstitutter i medfør af betalingstjenestedirektivet. Deres tilladelse til at drive virksomhed som betalingsinstitutter forudsætter, at de overholder direktivet om hvidvaskning af penge, og de skal, hvis de har til hensigt at anvende registrerede agenter, have interne kontrolmekanismer med det formål at kontrollere overholdelsen af bestemmelserne (33).

92.      På trods af anvendelsen af direktivet om hvidvaskning af penge, betalingstjenestedirektivet og andre EU-retsakter (34) kan den beskyttelse, der er fastsat i henhold til gældende EU-ret (og nationale gennemførelsesbestemmelser) mod risikoen for hvidvaskning af penge eller finansiering af terrorisme, ikke fuldstændigt eliminere risikoen (35).

93.      Artikel 11, stk. 1, er derfor ikke en undtagelse til artikel 7, litra c). Uden hensyn til eventuelle afvigelser, fritagelser eller tærskler og dermed uden hensyn til, om kunden er en omfattet enhed eller ej, bestemmer artikel 7, litra c), at kundelegitimationsprocedurer altid er påkrævet, når der er mistanke om hvidvaskning af penge eller finansiering af terrorisme (36). Når der opstår en sådan mistanke, kan en medlemsstat med andre ord ikke tillade eller kræve, at der anvendes lempede kundelegitimationsprocedurer. Hvis den kompetente nationale ret i den foreliggende sag finder, at BBVA og de to andre banker med rette fandt, at sådan mistanke var opstået i forbindelse med Safe, skal den i henhold til EU-retten fortolke den nationale bestemmelse (så vidt muligt) således, at bankerne i henhold til artikel 7, litra c), mindst skulle anvende almindelige kundelegitimationsprocedurer (37).

94.      Det omstændighed, at kunden selv er en enhed, der er omfattet af direktivet om hvidvaskning af penge, betyder heller ikke, at en medlemsstat skal kræve skærpede kundelegitimationsprocedurer som omhandlet i dette direktivs artikel 13 over for den pågældende kunde, hvis der på trods af de garantier, der allerede er fastsat i direktivet om hvidvaskning af penge, betalingstjenestedirektivet og andre EU-retsakter, er en øget risiko for hvidvaskning af penge eller finansiering af terrorisme som omhandlet i nævnte artikel. Artikel 11 omhandler kun afvigelser fra almindelige kundelegitimationsprocedurer, når der er tale om en lavere risiko. Eftersom den ikke henviser til artikel 13, har den ingen betydning for kundelegitimationskrav, der finder anvendelse i tilfælde af en øget risiko.

95.      I henhold til artikel 13 skal medlemsstaterne pålægge omfattede enheder at skærpe kundelegitimationsforanstaltningerne på grundlag af en vurdering af risikoen i situationer, som i sig selv indebærer en øget risiko for hvidvaskning af penge eller finansiering af terrorisme, og i hvert fald i de situationer, der er beskrevet i artikel 13, stk. 2-4. Pengeoverførsler til udlandet er ikke anført i de nævnte stykker. Den forelæggende ret har heller ikke tilkendegivet, at nogen af disse stykker finder anvendelse (38). Artikel 13 er dog ikke til hinder for, at medlemsstaterne i deres nationale bestemmelser på grundlag af en risikobaseret tilgang udpeger andre situationer, som i sig selv begrunder eller endda kræver anvendelsen af skærpede legitimationskrav (ud over almindelige legitimationskrav).

96.      Uanset undtagelsen i artikel 11, stk. 1, skal medlemsstaterne i henhold til artikel 7 og 13 i direktivet om hvidvaskning af penge sikre, at omfattede enheder i situationer, der involverer kunder, som selv er omfattet af direktivet, anvender i) almindelige kundelegitimationsprocedurer efter artikel 8 og artikel 9, stk. 1, såfremt der er mistanke om hvidvaskning af penge eller finansiering af terrorisme som omhandlet i artikel 7, litra c), og ii) skærpede kundelegitimationsprocedurer efter artikel 13 i de situationer, der er omhandlet i denne bestemmelse.

97.      Selv når medlemsstaterne har gennemført artikel 7, 11 og 13 i national ret (39), kan de i medfør af artikel 5 vedtage eller opretholde »strengere bestemmelser«, der har til formål at styrke bekæmpelsen af hvidvaskning af penge eller finansiering af terrorisme (40), hvilket bekræfter, at direktivet om hvidvaskning af penge blot fastlægger et minimumsniveau af harmonisering (41). Disse »strengere bestemmelser« kan efter min opfattelse vedrøre situationer, for hvilke direktivet har fastsat en bestemt type kundelegitimationskrav, og også andre situationer, der efter medlemsstaternes vurdering frembyder en risiko.

98.      Artikel 5 er en del af kapitel I (»Emne, anvendelsesområde og definitioner«) og gælder for hele »det område, der er omfattet af [direktivet om hvidvaskning af penge] [...] for at forhindre hvidvaskning af penge og finansiering af terrorisme«. Dets anvendelsesområde er således ikke begrænset til bestemmelserne i kapitel II (»Kundelegitimationskrav«). En medlemsstat kan derfor fastsætte, at kundelegitimationsprocedurer skal anvendes af et kreditinstitut over for et betalingsinstitut, selv om betingelserne i artikel 11, stk. 1, er opfyldt [og således også, når der ikke foreligger mistanke som omhandlet i artikel 7, litra c)], og i andre situationer end dem, der er anført i artikel 7 og 13, hvis dette er begrundet og i øvrigt i overensstemmelse med EU-retten (42).

99.      Bestemmelser som artikel 8 eller 13 i direktivet om hvidvaskning af penge giver således medlemsstaterne betydelig frihed til ved gennemførelsen af dette direktiv at fastsætte, hvordan de præcist vil gennemføre de forskellige forpligtelser til at fastsætte bestemmelser om de forskellige typer kundelegitimationskrav, afhængigt af de særlige omstændigheder og i overensstemmelse med deres generelle pligt til at foretage risikovurdering og vedtage bestemmelser, der pålægger anvendelse af foranstaltninger, som står i forhold til den identificerede risiko, og som er i overensstemmelse med andre forpligtelser, der følger af EU-retten. Artikel 5 giver derefter medlemsstaterne en yderligere frihed, idet den giver dem mulighed for at vedtage eller opretholde »strengere bestemmelser«, hvis de finder det nødvendigt, forudsat at de derved overholder deres forpligtelser i medfør af EU-retten.

 Må kreditinstitutter føre tilsyn med de kundelegitimationsprocedurer, som betalingsinstitutter anvender [spørgsmål 2, litra a), og spørgsmål 2, litra c), nr. ii)]?

100. Med spørgsmål 2, litra a), ønsker den forelæggende ret retningslinjer for kreditinstitutters tilsynsbeføjelser i henhold til direktivet om hvidvaskning af penge og betalingstjenestedirektivet for så vidt angår de aktiviteter og kundelegitimationsprocedurer, der udføres af betalingsinstitutter, som er deres kunder. Spørgsmål 2, litra c), nr. ii), som er nært forbundet med dette, vedrører spørgsmålet, om et kreditinstitut må vurdere de kundelegitimationsprocedurer, der anvendes af et betalingsinstitut.

101. I disse spørgsmål antages det efter min opfattelse, at Safes konti blev lukket, fordi Safe ikke havde udleveret de oplysninger, som bankerne havde forlangt i forbindelse med deres kundelegitimationsprocedurer over for sidstnævnte. Lukningen burde derfor være blevet betragtet som et middel til at håndhæve Safes forpligtelser i henhold til direktivet om hvidvaskning af penge og muligvis betalingstjenestedirektivet, hvilket kun de kompetente myndigheder, og ikke bankerne, har beføjelse til (43).

102. Bankernes handling kan efter min vurdering ikke fortolkes som en tilsynsforanstaltning. Direktivet om hvidvaskning af penge vedrører kundelegitimationskrav, der finder anvendelse på omfattede enheder, ikke på kunder i medfør af deres status som kunder. Direktivet kræver ikke, at kunder giver omfattede enheder de oplysninger, som sidstnævnte skal indhente og bekræfte for at opfylde deres egne kundelegitimationskrav. Artikel 8 omhandler eksempelvis elementer af en forretningsforbindelse, hvorom oplysninger skal indhentes og kontrolleres. Den angiver ikke, at der i national ret skal fastsættes bestemmelser om, at oplysningerne skal indhentes fra kunden, og at sidstnævnte i medfør af direktivet om hvidvaskning af penge ved en korrekt gennemførelse skal imødekomme sådanne anmodninger (selv om kunden har en stærk interesse heri for at undgå de konsekvenser, der er beskrevet i artikel 9, stk. 5) (44).

103. Som følge deraf er handlinger af den type, der er omhandlet i artikel 9, stk. 5, første afsnit (herunder, når en forretningsforbindelse allerede er blevet etableret, ophøret af denne forbindelse), konsekvensen af en omfattet enheds manglende evne til at overholde kundelegitimationskravene i artikel 8, stk. 1, litra a)-c), som gennemført af medlemsstaterne. Denne konsekvens er begrundet i den deraf følgende risiko for, at kunder, transaktioner og forbindelser anvendes (eller kan anvendes) til hvidvaskning af penge eller finansiering af terrorisme.

104. Anvendelsen af artikel 9, stk. 5, afhænger ikke af, hvorfor en omfattet enhed ikke kan overholde de kundelegitimationsprocedurer, der kræves i henhold til artikel 8, stk. 1, litra a)-c). Det forhold, at en omfattet enheds kunder ikke samarbejder ved at udlevere oplysninger, der sætter den i stand til at overholde de nationale bestemmelser om gennemførelse af artikel 8, er således hverken nødvendigt eller altid tilstrækkeligt til at udløse de konsekvenser, der er fastsat i artikel 9, stk. 5.

105. Det er sandt, at de kompetente myndigheder i henhold til artikel 37 i direktivet om hvidvaskning af penge effektivt skal overvåge og træffe de nødvendige foranstaltninger for at sikre, at kravene i dette direktiv overholdes af omfattede enheder, herunder kreditinstitutter og betalingsinstitutter, som anvender kundelegitimationsprocedurer over for deres kunder. Som generaladvokat Bot har formuleret det, sikres effektiviteten af kundelegitimationskrav og underretningspligt ved, at de kompetente nationale myndigheder tilkendes tilsyns- og sanktionsbeføjelser (45). Jeg er enig med ham i, at foranstaltninger vedrørende kundelegitimation, underretning, tilsyn og overvågning tilsammen udgør forebyggende og afskrækkende foranstaltninger med henblik på effektivt at bekæmpe hvidvaskning af penge og finansiering af terrorisme samt at sikre det finansielle systems soliditet og integritet.

106. Det betyder dog ikke, at omfattede enheder, når de handler på grundlag af de nationale bestemmelser om gennemførelse af artikel 8 og 9, overtager den tilsynsrolle, der er tiltænkt de kompetente myndigheder.

107. Det betyder heller ikke, at omfattede enheder må underminere de tilsynsopgaver, som kompetente myndigheder i henhold til betalingstjenestedirektivets artikel 21 skal varetage over for betalingsinstitutter med henblik på at kontrollere overholdelsen af bestemmelserne i sidstnævnte direktivs afsnit II (»Udbydere af betalingstjenester«) (46). Disse myndigheder kan under visse omstændigheder trække registreringen af agenten, filialen eller selve betalingsinstituttet tilbage i henhold til dette direktiv (47), men sådanne beføjelser finder anvendelse parallelt med de forebyggende foranstaltninger, der skal anvendes af omfattede enheder, og de kompetente myndigheders tilsynsbeføjelser i henhold til direktivet om hvidvaskning af penge.

 Skal der være en særlig begrundelse for at udøve beføjelsen til at anvende (skærpede) kundelegitimationsprocedurer, eller er det tilstrækkeligt, at kunden udøver en risikobetonet aktivitet [spørgsmål 2, litra b)]? Hvilke kriterier finder i bekræftende fald anvendelse [spørgsmål 2, litra c), nr. i)-iii)]?

108. Hvis medlemsstater kan tillade eller pålægge kreditinstitutter at anvende kundelegitimationsprocedurer over for et betalingsinstitut, ønsker den forelæggende ret med spørgsmål 2, litra b), og spørgsmål 2, litra c), nr. i)-iii), nærmere bestemt oplyst, om sådanne foranstaltninger alene kan støttes på den type aktivitet, det pågældende betalingsinstitut generelt udfører, eller om instituttets enkeltstående handlinger skal analyseres.

109. Disse spørgsmål er netop opstået i forbindelse med en tvist, som involverer omfattede enheder, der hævder, at de har støttet deres kundelegitimationsprocedurer på nationale bestemmelser vedrørende situationer, som ifølge lovgiver frembyder høj risiko (som eksempelvis pengeoverførselstjenester), og som ikke er anført i artikel 13. Jeg har desuden allerede behandlet de gældende krav i tilfælde af mistanke om hvidvaskning af penge som omhandlet artikel 7, litra c) (48).

110. Spørgsmål 2, litra b), og spørgsmål 2, litra c), nr. i)-iii), vedrører derfor efter min vurdering omstændigheder, hvor en medlemsstat handler inden for det råderum, den indrømmes i henhold til direktivet om hvidvaskning af penge.

111. Når en medlemsstat handler inden for dette råderum, skal den imidlertid stadig udøve denne kompetence under iagttagelse af EU-retten, herunder de grundlæggende friheder, der er garanteret ved traktaterne (49). Ifølge Domstolens praksis skal målet om at bekæmpe anvendelsen af det finansielle system til hvidvaskning af penge eller finansiering af terrorisme, der er grundlaget for direktivet om hvidvaskning af penge, afvejes i forhold til beskyttelsen af andre interesser, herunder den frie udveksling af tjenesteydelser. I dommen i sagen Jyske Bank Gibraltar fandt Domstolen således i det væsentlige, at begrænsninger af den frie udveksling af tjenesteydelser som følge af en oplysningspligt kan tillades, »for så vidt som en sådan lovgivning har til formål – under overholdelse af EU-retten – at styrke effektiviteten af bekæmpelsen af hvidvaskning af penge og finansiering af terrorisme« (50). Hvis EU-retten (som her) ikke er genstand for en fuldstændig harmonisering, kan en national bestemmelse, der begrænser grundlæggende friheder, være begrundet, for så vidt som den tilgodeser et tvingende alment hensyn, der ikke allerede tilgodeses i kraft af de bestemmelser, tjenesteyderen er undergivet i den medlemsstat, hvor denne er etableret, forudsat at bestemmelsen er egnet til at sikre virkeliggørelsen af det formål, den forfølger, og ikke går ud over, hvad der er nødvendigt for at opfylde formålet (51).

112. Domstolen har allerede anerkendt, at forebyggelse og bekæmpelse af hvidvaskning af penge og finansiering af terrorisme udgør legitime mål, som er knyttet til målet om at beskytte den offentlige orden, og som kan begrunde en hindring for den frie udveksling af tjenesteydelser (52).

113. Er en national bestemmelse som den i hovedsagen omhandlede egnet til at sikre opfyldelsen af dette mål, fordi den hjælper med at mindske risikoen og mere generelt reelt tilgodeser hensynet om at nå målet på en sammenhængende og systematisk måde (53)? En national bestemmelse, der efter en passende risikovurdering (herunder vedrørende kunder, der er betalingsinstitutter) identificerer en høj risiko med hensyn til en bestemt type (eksempelvis) kunde, land, produkt eller transaktion, og som på det grundlag tillader eller endda pålægger omfattede enheder på grundlag af deres egen tilpassede risikovurdering at anvende hensigtsmæssige kundelegitimationsprocedurer, opfylder efter min mening dette krav.

114. Når det vurderes, om den nationale bestemmelse er hensigtsmæssig, skal det beskyttelsesniveau, som medlemsstaten ønsker i forbindelse med den identificerede risiko for hvidvaskning af penge eller finansiering af terrorisme, fastlægges. Direktivet om hvidvaskning af penge bekræfter – som jeg læser det – at medlemsstaterne eksempelvis kan fastlægge et beskyttelsesniveau, der er højere end det, EU-lovgiver har valgt, identificere andre situationer, der frembyder en (høj) risiko, og tillade eller kræve andre kundelegitimationsprocedurer end dem, der er fastsat i direktivet.

115. Når medlemsstaterne gør dette, kan de identificere de særlige foranstaltninger, der skal gennemføres i bestemte, angivne situationer, eller give omfattede enheder beføjelse til efter passende risikovurdering at anvende de foranstaltninger, der vurderes at være rimelige i forhold til den risiko, som en bestemt situation frembyder. Under alle omstændigheder skal medlemsstaterne sikre, at de anvendte skærpede kundelegitimationsprocedurer er baseret på en vurdering af forekomsten og omfanget af en risiko for hvidvaskning af penge eller finansiering af terrorisme i forbindelse med en kunde, en forretningsforbindelse, en konto, et produkt eller en transaktion. Uden en sådan vurdering kan hverken medlemsstaten eller en eventuel omfattet enhed afgøre, hvilke foranstaltninger der skal anvendes i et bestemt tilfælde. Hvis der ikke er risiko for hvidvaskning af penge eller finansiering af terrorisme, kan forebyggende foranstaltninger ikke iværksættes med disse (berettigede) begrundelser.

116. Den pågældende risikovurdering skal i det mindste tage hensyn til alle relevante forhold, der kan påvise risikoen i forbindelse med en af de typer handlinger, der skal betragtes som hvidvaskning af penge eller finansiering af terrorisme. Sådanne risici (og deres niveau) afhænger bl.a. af kunder, lande, geografiske områder, produkter, tjenesteydelser, transaktioner eller leveringskanaler. Det kan således være nødvendigt på grundlag af allerede tilgængelige oplysninger at undersøge, hvem der er involveret i overførsel af et formuegode, oprindelsen af formuegodet, de overførte rettigheder, om der var kendskab til kriminelle handlinger, bestemte personers og enheders involvering i overtagelsen, besiddelsen, anvendelsen eller overførslen af et formuegode, formålet med en transaktion eller forbindelse, det geografiske omfang af en aktivitet vedrørende formuegodet, værdien af formuegodet eller af en transaktion vedrørende det pågældende formuegode eller hyppigheden eller varigheden af forretningsforbindelsen.

117. En sådan vurdering gør det muligt generelt og i enkeltstående tilfælde at afgøre, hvordan risikoen håndteres ved hjælp af hensigtsmæssige foranstaltninger. Når disse foranstaltninger vælges, skal både medlemsstater og eventuelle omfattede enheder vurdere, hvorvidt den opfattede risiko allerede håndteres, og det ønskede beskyttelsesniveau, der allerede er sikret gennem andre foranstaltninger, herunder foranstaltninger, der er iværksat på grundlag af direktivet om hvidvaskning af penge, betalingstjenestedirektivet og andre EU-retsakter (eller nationale bestemmelser). I de fleste tilfælde er det usandsynligt, at en enkelt kundelegitimationsprocedure eller anden foranstaltning kan eliminere nogen risiko for hvidvaskning af penge eller finansiering af terrorisme. I henhold til gældende EU-ret skal medlemsstater snarere vedtage mange forskellige typer foranstaltninger mod sådanne risici.

118. Om en national bestemmelse er proportional, afhænger desuden ligeledes af, hvorvidt de kundelegitimationsprocedurer, den omhandler, kan gribe ind i andre rettigheder og interesser, der er beskyttet i medfør af EU-retten, eksempelvis beskyttelsen af personoplysninger (artikel 8 i chartret) og princippet om fri konkurrence mellem enheder, der driver virksomhed på det samme marked. Deres mål skal afvejes i forhold til sådanne andre legitime interesser.

119. Om en national bestemmelse er proportional, afhænger endelig af, om der findes alternative og mindre restriktive midler til at opnå det samme beskyttelsesniveau. I stedet for en generel bestemmelse, der antager, at pengeoverførsler til udlandet altid frembyder høj risiko (54), kan en bestemmelse, der sondrer mellem modtagerlande (på grundlag af den risiko, pengeoverførsel dertil frembyder) eller pålægger omfattede enheder at foretage denne sondring, være mindre restriktiv og alligevel sikre medlemsstatens ønskede beskyttelsesniveau.

 Kundelegitimationsprocedurer og beskyttelsen af personoplysninger [spørgsmål 3, litra a) og b)]

120. Med spørgsmål 3, litra b), ønsker den forelæggende ret nærmere bestemt oplyst, om direktivet om personoplysninger er til hinder for, at en medlemsstat pålægger betalingsinstitutter at udlevere oplysninger om deres kunder til kreditinstitutter, som de konkurrerer direkte med på markedet, inden for rammerne af sidstnævntes skærpede kundelegitimationsprocedurer. Spørgsmål 3, litra b), er næsten enslydende, men henviser hverken til en bestemt bestemmelse i EU-retten eller til konkurrenceforholdet mellem betalingsinstituttet og kreditinstitutterne (men henviser i stedet til oplysninger vedrørende modtagere af midler, der er overført via Safes konti).

121. Der hersker tvivl om, hvorvidt spørgsmål 3 kan antages til realitetsbehandling, da BBVA har fastholdt, at banken aldrig har anmodet om personoplysninger vedrørende Safes kunder eller modtagerne af de overførte midler. Banken har alene anmodet om oplysninger om de agenter, der handlede på Safes vegne og anvendte Safes konti.

122. Hvis BBVA’s fremlæggelse af sagens omstændigheder er korrekt og også er i overensstemmelse med omstændighederne i tvisten mellem de to andre banker og Safe, er spørgsmål 3 ikke relevant for afgørelsen af tvisten i hovedsagen. Det er dog fast praksis, at det ikke tilkommer Domstolen at fastslå og vurdere de omstændigheder, der har foranlediget tvisten. Dette tilkommer de nationale domstole (55), og deres kompetence i denne forbindelse henhører under national ret. Jeg vil derfor besvare spørgsmål 3 så vidt muligt.

123. Omfattede enheder, såsom kreditinstitutter og betalingsinstitutter, kan have behov for at indsamle og kontrollere oplysninger vedrørende i det mindste deres egne kunder, enten i medfør af direktivet om hvidvaskning af penge eller, hvis de er genstand for strengere bestemmelser, jf. dette direktivs artikel 5, andre nationale bestemmelser, der er i overensstemmelse med EU-retten. Hvis dette indebærer behandling af personoplysninger, der er omfattet af anvendelsesområdet for direktivet om personoplysninger (direktivet om hvidvaskning af penge er ikke særligt specifikt i denne henseende), finder kravene i begge direktiver i princippet anvendelse. 33. betragtning til direktivet om hvidvaskning af penge bekræfter dette med hensyn til meddelelse af oplysninger som omhandlet i artikel 28. Det samme gør 48. betragtning, som henviser til overholdelse af de grundlæggende rettigheder og dermed til beskyttelsen af personoplysninger som omhandlet i chartrets artikel 8.

124. Der er efter min opfattelse intet grundlag for, at begrebet »kunde« i hverken artikel 8, stk. 1, litra a), (56) eller artikel 13 også skulle henvise til kunder hos den omfattede enheds kunde. Disse bestemmelser omhandler i det væsentlige forbindelsen mellem en omfattet enhed og dennes kunde(r) og de transaktioner, der gennemføres inden for rammerne af denne forbindelse. Det er naturligvis korrekt, at der i artikel 13, stk. 4, litra c), opstilles foranstaltninger til at fastslå de formue- og indtægtskilder, der er omfattet af en forretningsforbindelse eller transaktion med politisk udsatte personer med bopæl i en anden medlemsstat eller et tredjeland. Der er dog intet i anmodningen om en præjudiciel afgørelse, der antyder, at dette er tilfældet her.

125. Det er dog min opfattelse, at direktivet om hvidvaskning af penge ikke nødvendigvis er til hinder for nationale bestemmelser, der pålægger eller tillader en omfattet enhed i begrundede tilfælde at indhente oplysninger om dens kundes kunder. Oplysninger om disse kunder kan være relevante for vurderingen af, om den omfattede enheds kunde samt dennes transaktioner og forretningsforbindelser frembyder en risiko for hvidvaskning af penge eller finansiering af terrorisme.

126. Jeg kan derfor ikke tiltræde, at en omfattet enhed, jf. direktivet om hvidvaskning af penge, aldrig i medfør af national ret kan tillades eller pålægges at indhente oplysninger om dens egne kunders kunder med henblik på at forebygge hvidvaskning af penge eller finansiering af terrorisme. Direktivet om personoplysninger, særlig artikel 7, er tilsyneladende heller ikke til hinder for behandling af personoplysninger under sådanne omstændigheder.

127. Sådanne nationale bestemmelser skal dog også være i overensstemmelse med den pågældende medlemsstats øvrige forpligtelser i medfør af EU-retten, herunder kravene i direktivet om personoplysninger og chartrets artikel 8 og artikel 52, stk. 1.

 Forslag til afgørelse

128. På baggrund af de ovenstående betragtninger foreslår jeg Domstolen at svare Audiencia Provincial de Barcelona (Spanien) som følger:

»–      Uanset undtagelsen i artikel 11, stk. 1, skal medlemsstaterne i henhold til artikel 7 og 13 i Europa-Parlamentets og Rådets direktiv 2005/60/EF af 26. oktober 2005 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvaskning af penge og finansiering af terrorisme sikre, at omfattede enheder i situationer, der involverer kunder, som selv er omfattet af direktivet, anvender i) de almindelige kundelegitimationsprocedurer, der er fastsat i artikel 8 og artikel 9, stk. 1, såfremt der er mistanke om hvidvaskning af penge eller finansiering af terrorisme som omhandlet i artikel 7, litra c), og ii) de skærpede kundelegitimationsprocedurer, der er fastsat i artikel 13 i de situationer, der er omhandlet i denne bestemmelse.

–        En »mistanke om hvidvaskning af penge eller finansiering af terrorisme« som omhandlet i artikel 7, litra c), i direktiv 2005/60/EF opstår, når der under hensyntagen til de særlige omstændigheder omkring en kunde og hans transaktioner (herunder med hensyn til anvendelsen og forvaltningen af hans konto eller konti) foreligger kontrollerbare grunde, som påviser, at der er risiko for, at hvidvaskning af penge eller finansiering af terrorisme gennemføres eller vil blive gennemført, i forbindelse med den pågældende kunde. Artikel 11, stk. 1, er ikke en undtagelse til artikel 7, litra c). Uden hensyn til eventuelle afvigelser, fritagelser eller tærskler og dermed uden hensyn til, om kunden er en omfattet enhed eller ej, bestemmer artikel 7, litra c), at kundelegitimationsprocedurer altid er påkrævet, når der er mistanke om hvidvaskning af penge eller finansiering af terrorisme. Når der opstår en sådan mistanke, kan en medlemsstat derfor ikke tillade eller kræve, at der anvendes lempede kundelegitimationsprocedurer.

–        Det omstændighed, at kunden selv er en enhed, der er omfattet af direktiv 2005/60/EF, betyder ikke, at en medlemsstat skal kræve skærpede kundelegitimationsprocedurer som omhandlet i dette direktivs artikel 13 over for den pågældende kunde, hvis der på trods af de garantier, der allerede er fastsat i direktiv 2005/60/EF og andre EU-retsakter, er en øget risiko for hvidvaskning af penge eller finansiering af terrorisme som omhandlet i nævnte artikel. Artikel 11 omhandler kun afvigelser fra almindelige kundelegitimationsprocedurer, når der er tale om en lavere risiko. Eftersom den ikke henviser til artikel 13, har den ingen betydning for kundelegitimationskrav, der finder anvendelse i tilfælde af en øget risiko.

–        Selv når medlemsstaterne har gennemført artikel 7, 11 og 13 i direktiv 2005/60/EF i deres nationale ret, kan de i medfør af artikel 5 vedtage eller opretholde strengere bestemmelser, der har til formål at styrke bekæmpelsen af hvidvaskning af penge eller finansiering af terrorisme, hvilket bekræfter, at direktiv 2005/60/EF blot fastlægger et minimumsniveau af harmonisering. Anvendelsesområdet for artikel 5 i direktiv 2005/60/EF er ikke begrænset til bestemmelserne i kapitel II (»Kundelegitimationskrav«) i dette direktiv. En medlemsstat kan derfor fastsætte, at kundelegitimationsprocedurer skal anvendes af et kreditinstitut over for et betalingsinstitut, selv om betingelserne i artikel 11, stk. 1, er opfyldt, og i andre situationer end dem, der er anført i artikel 7 og 13, hvis dette er begrundet og i øvrigt i overensstemmelse med EU-retten.

–        Når medlemsstater handler inden for den frihed, de indrømmes i medfør af artikel 5 i direktiv 2005/60/EF, skal de imidlertid udøve denne kompetence under iagttagelse af EU-retten, herunder de grundlæggende friheder, der er garanteret ved traktaterne. Hvis EU-retten (som her) ikke er genstand for en fuldstændig harmonisering, kan en national bestemmelse, der begrænser grundlæggende friheder, være begrundet, for så vidt som den tilgodeser et tvingende alment hensyn, forudsat at bestemmelsen er egnet til at sikre virkeliggørelsen af det formål, den forfølger, og ikke går ud over, hvad der er nødvendigt for at opfylde formålet.

–        Når det vurderes, om den nationale bestemmelse er hensigtsmæssig, skal det beskyttelsesniveau, som medlemsstaten ønsker i forbindelse med den identificerede risiko for hvidvaskning af penge eller finansiering af terrorisme, fastlægges. Medlemsstaterne kan fastlægge et beskyttelsesniveau, der er højere end det, som EU-lovgiver har valgt, identificere andre situationer, der frembyder en (høj) risiko, og tillade eller kræve andre kundelegitimationsprocedurer. Medlemsstaterne skal sikre, at de anvendte skærpede kundelegitimationsprocedurer er baseret på en vurdering af forekomsten og omfanget af en risiko for hvidvaskning af penge eller finansiering af terrorisme i forbindelse med en kunde, en forretningsforbindelse, en konto, et produkt eller en transaktion. Når medlemsstater og eventuelle omfattede enheder vælger, hvilke foranstaltninger der skal anvendes, skal de vurdere, hvorvidt den opfattede risiko allerede håndteres, og det ønskede beskyttelsesniveau, der allerede er sikret gennem andre foranstaltninger, herunder foranstaltninger, der er iværksat på grundlag af direktiv 2005/60/EF, Europa-Parlamentets og Rådets direktiv 2007/64/EF af 13. november 2007 om betalingstjenester i det indre marked og andre EU-retsakter (eller nationale bestemmelser). Om en national bestemmelse er proportional, afhænger ligeledes af, hvorvidt de kundelegitimationsprocedurer, den omhandler, kan gribe ind i andre rettigheder og interesser, der er beskyttet i medfør af EU-retten, eksempelvis beskyttelsen af personoplysninger (artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder) og princippet om fri konkurrence mellem enheder, der driver virksomhed på det samme marked. Om en national bestemmelse er proportional, afhænger endelig af, om der findes alternative og mindre restriktive midler til at opnå det samme beskyttelsesniveau.

–        Omfattede enheder, jf. direktiv 2005/60/EF, må ikke underminere de tilsynsopgaver, som kompetente myndigheder i henhold til artikel 21 i direktiv 2007/64/EF skal varetage over for betalingsinstitutter med henblik på at kontrollere overholdelsen af bestemmelserne i sidstnævnte direktivs afsnit II (»Udbydere af betalingstjenester«). Disse myndigheder kan under visse omstændigheder trække registreringen af agenten, filialen eller selve betalingsinstituttet tilbage i henhold til dette direktiv, men sådanne beføjelser finder anvendelse parallelt med de forebyggende foranstaltninger, der skal anvendes af omfattede enheder, og de kompetente myndigheders tilsynsbeføjelser i henhold til direktiv 2005/60/EF.

–        Direktiv 2005/60/EF er ikke nødvendigvis til hinder for nationale bestemmelser, der pålægger eller tillader en omfattet enhed i begrundede tilfælde at indhente oplysninger om dens kundes kunder. Sådanne nationale bestemmelser skal dog også være i overensstemmelse med den pågældende medlemsstats øvrige forpligtelser i medfør af EU-retten, herunder kravene i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger samt artikel 8 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder.«

1 – Originalsprog: engelsk.

2 – Vedrørende definitionerne af »kreditinstitut« og »betalingsinstitut« i henhold til den relevante EU-ret, jf. punkt 16, 17 og 44 nedenfor.

3 Europa-Parlamentets og Rådets direktiv 2005/60/EF af 26.10.2005 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvaskning af penge og finansiering af terrorisme (EUT L 309, s. 15), som senest ændret ved Europa-Parlamentets og Rådets direktiv 2010/78/EU af 24.11.2010 (EUT L 331, s. 120).

4 – Europa-Parlamentets og Rådets direktiv 95/46/EF af 24.10.1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281, s. 31), som ændret på visse punkter ved Europa-Parlamentets og Rådets forordning (EF) nr. 1882/2003 af 29.9.2003 (EUT L 284, s. 1).

5 – Europa-Parlamentets og Rådets direktiv 2005/29/EF af 11.5.2005 om virksomheders urimelige handelspraksis over for forbrugerne på det indre marked og om ændring af Rådets direktiv 84/450/EØF og Europa-Parlamentets og Rådets direktiv 97/7/EF, 98/27/EF og 2002/65/EF og Europa-Parlamentets og Rådets forordning (EF) nr. 2006/2004 (»direktivet om urimelig handelspraksis«) (EUT L 149, p. 22).

6 – Europa-Parlamentets og Rådets direktiv 2007/64/EF af 13.11.2007 om betalingstjenester i det indre marked og om ændring af direktiv 97/7/EF, 2002/65/EF, 2005/60/EF og 2006/48/EF og om ophævelse af direktiv 97/5/EF (EUT L 319, s. 1).

7 – Jf. også punkt 72 nedenfor.

8 – En senere version blev offentliggjort i februar 2012: International Standards on Combating Money Laundering and the Financing of Terrorism & Proliferation: The FATF Recommendations (herefter »FATF-anbefalingerne fra 2012«). Begge versioner findes på FATF’s websted (http://www.fatf-gafi.org/).

9 – Jf. punkt 29 nedenfor.

10 – Europa-Parlamentets og Rådets direktiv 2000/12/EF af 20.3.2000 om adgang til at optage og udøve virksomhed som kreditinstitut (EFT L 126, s. 1), som ændret.

11 – Europa-Parlamentets og Rådets direktiv 2006/48/EF af 14.6.2006 om adgang til at optage og udøve virksomhed som kreditinstitut (EFT L 177, s. 1). Dette direktiv ophævede direktiv 2000/12.

12 – Jf. punkt 44 nedenfor.

13 – Hele definitionen af et »betalingsinstitut« findes i artikel 4, stk. 4, i betalingstjenestedirektivet (se punkt 44 nedenfor).

14 – Jf. også punkt 29 nedenfor.

15 – Gennemførelsesbestemmelser blev vedtaget i Kommissionens direktiv 2006/70/EF af 1.8.2006 om fastsættelse af gennemførelsesforanstaltninger til Europa-Parlamentets og Rådets direktiv 2005/60/EF for så vidt angår definitionen af politisk udsat person og de tekniske kriterier for lempede procedurer med hensyn til kundelegitimation og for undtagelse i tilfælde, hvor en finansiel aktivitet udøves lejlighedsvis eller i et meget begrænset omfang (EUT L 214, s. 29). Direktivet fastsætter gennemførelsesbestemmelser vedrørende bl.a. tekniske kriterier til vurdering af, om der i de tilfælde, der er omhandlet i artikel 11, stk. 2 og 5, i direktivet om hvidvaskning af penge, er en begrænset risiko for hvidvaskning af penge eller finansiering af terrorisme, men det omhandler ikke direktivets artikel 11, stk. 1.

16 – Jf. punkt 32 nedenfor.

17 – Jf. artikel 2, litra c), i direktivet om urimelig handelspraksis.

18 – Artikel 10 omhandler lempede procedurer, men med hensyn til produkter eller transaktioner.

19 – Dvs. de kreditinstitutter eller finansieringsinstitutter, der er opført på listen i artikel 2, stk. 1, nr. 1) og 2), i direktivet om hvidvaskning af penge.

20 – Jf. FATF-anbefalingerne fra 2003, Introduction, fodnote 1, og FATF-anbefalingerne fra 2012, Introduction, s. 7. Kommissionen er anført som et af FATF’s medlemmer.

21 – Jf. eksempelvis dom Jyske Bank Gibraltar (C-212/11, EU:C:2013:270, præmis 46 og 63) (herefter »dommen i sagen Jyske Bank Gibraltar«).

22 – Jf. punkt 7 ovenfor.

23 – Jf. dommen i sagen Jyske Bank Gibraltar (præmis 38 og den deri nævnte retspraksis).

24 – Jf. artikel 2, litra a), i direktivet om urimelig handelspraksis.

25 – Dom Zentrale sur Bekämpfung unlauteren Wettbewerbs (C-59/12, EU:C:2013:634, præmis 33).

26 – Jf. eksempelvis artikel 8, stk. 2, og artikel 34, stk. 1, i og 22. og 24. betragtning til direktivet om hvidvaskning af penge.

27 – Der kan være andre omstændigheder, hvor en sådan risiko vurderes at foreligge.

28 – Eksempelvis artikel 22, stk. 1, litra a), artikel 24 og artikel 27.

29 – Direktivet om hvidvaskning af penge definerer ikke umiddelbart udtrykket »produkt«, men den kontekst, hvori udtrykket bruges, antyder, at det har til formål at dække forskellige finansielle og kommercielle tilbud.

30 – Jf. også forklarende bemærkning 9 til anbefaling 5 i FATF-anbefalingerne fra 2003.

31 – Jf. også forklarende bemærkning 10 til anbefaling 5 i FATF-anbefalingerne fra 2003.

32 – Jf. 22. og 24. betragtning til direktivet om hvidvaskning af penge. Jf. også anbefaling 1 i FATF-anbefalingerne fra 2012.

33 – Jf. eksempelvis artikel 17 og 21 i betalingstjenestedirektivet.

34 – Andre EU-retsakter vedrørende bekæmpelse af hvidvaskning af penge eller finansiering af terrorisme omfatter eksempelvis: Europa-Parlamentets og Rådets forordning (EF) nr. 1781/2006 af 15.11.2006 om oplysninger, der skal medsendes om betaler ved pengeoverførsler (EUT L 345, s. 1), Europa-Parlamentets og Rådets forordning (EF) nr. 1889/2005 af 26.10.2005 om kontrol med likvide midler, der indføres til eller forlader Fællesskabet (EUT L 309, s. 9), og Rådets forordning (EF) nr. 2580/2001 af 27.12.2001 om specifikke restriktive foranstaltninger mod visse personer og enheder med henblik på at bekæmpe terrorisme (EFT L 344, s. 70).

35 – Ifølge FATF er den risikobaserede tilgang ikke en »zero failure«-tilgang, og der kan være tilfælde, hvor et institut har truffet enhver rimelig foranstaltning med henblik på at identificere og afbøde risikoen, men stadig anvendes til hvidvaskning af penge eller finansiering af terrorisme. Jf. FATF, Guidance for a Risk-Based Approach – The Banking Sector (oktober 2014), punkt 10.

36 – Dette var grundlaget for Europa-Parlamentets forslag om at udelukke (den nuværende) artikel 7, litra c), fra undtagelsen, jf. betænkning om forslag til Europa-Parlamentets og Rådets direktiv om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvaskning af penge, herunder finansiering af terrorisme (KOM(2004)0448 – C6-0143/2004 – 2004/0137(COD)), s. 43.

37 – Dette er også i overensstemmelse med FATF-anbefalingerne fra 2003. I forklarende bemærkning 13 til anbefaling 5 anføres det, at »[s]implified [customer due diligence] measures are not acceptable whenever there is suspicion of money laundering or terrorist financing or specific higher risk scenarios apply«. Jf. også forklarende bemærkning 2 til anbefaling 1 i FATF-anbefalingerne fra 2012.

38 – Medlemsstaterne skal ganske vist fastlægge bestemmelser om tilsvarende forpligtelser i andre situationer end dem, der er anført i stk. 2-4, som frembyder en høj risiko for hvidvaskning af penge eller finansiering af terrorisme, og som opfylder de tekniske kriterier, der er fastsat i Kommissionens gennemførelsesforanstaltninger, jf. artikel 40, stk. 1, litra c). Sådanne gennemførelsesforanstaltninger er mig bekendt endnu ikke vedtaget.

39 – Jf. punkt 54 ovenfor.

40 –      Dommen i sagen Jyske Bank Gibraltar (præmis 61).

41 –      Jf. dommen i sagen Jyske Bank Gibraltar (præmis 61).

42 –      Jf. punkt 108-119 nedenfor.

43 – Jf. artikel 21 i betalingstjenestedirektivet.

44 – Jf. også tiende betragtning til direktivet om hvidvaskning af penge.

45 – Generaladvokat Bots forslag til afgørelse Jyske Bank Gibraltar (C-212/11, EU:C:2012:607, punkt 61).

46 – Dette afsnit omfatter betalingstjenestedirektivets artikel 17, stk. 1.

47 – Jf. betalingstjenestedirektivets artikel 17, stk. 6.

48 – Jf. punkt 81 og 82 ovenfor.

49 –      Jf. eksempelvis dom Kommissionen mod Portugal (C-438/08, EU:C:2009:651, præmis 27 og den deri nævnte retspraksis).

50 –      Dommen i sagen Jyske Bank Gibraltar, præmis 49, sammenholdt med præmis 59 og 60.

51 –      Dommen i sagen Jyske Bank Gibraltar, præmis 57-60, navnlig den i præmis 60 nævnte retspraksis.

52 –      Dommen i sagen Jyske Bank Gibraltar, præmis 62-64 og 85 og den deri nævnte retspraksis.

53 –      Dommen i sagen Jyske Bank Gibraltar, præmis 66 og den deri nævnte retspraksis.

54 – Forklarende bemærkning 15, sammenholdt med forklarende bemærkning 14 til FATF-anbefalingerne fra 2012, indeholder eksempler på, hvad der kan være nyttige indikatorer for en høj risiko. I bemærkning 14 angives det dog udtrykkeligt, at disse eksempler ikke er relevante under alle omstændigheder. I litra c) anføres privat bankvirksomhed, anonyme transaktioner, ikke-personlige forretningsforbindelser eller transaktioner og betalinger, der modtages fra ukendt eller ikke-tilknyttet tredjemand.

55 – Jf. eksempelvis domme Accor (C-310/09, EU:C:2011:581, præmis 37 og den deri nævnte retspraksis) og ProRail (C-332/11, EU:C:2013:87, præmis 30 og den deri nævnte retspraksis).

56 – Jeg indrømmer dog, at denne bestemmelse skal fortolkes således, at den også omfatter alle, der som agent påtager sig ansvar for den enhed, på hvis vegne de handler. Artikel 9, stk. 4, som henviser til transaktioner, der gennemføres »af kunden eller på vegne af denne«, bekræfter denne fortolkning af artikel 8, stk. 1, litra a). Denne fortolkning er også i overensstemmelse med anbefaling 5 i FATF-anbefalingerne fra 2003 og dens forklarende bemærkning 4, som anfører, at kundelegitimationsproceduren, der har til formål at identificere kunden og bekræfte dennes identitet, når kunden er en juridisk person, omfatter forpligtelsen til at bekræfte, at enhver person, der foregiver at handle på vegne af kunden, har tilladelse dertil, og til at identificere denne person. Jf. også forklarende bemærkning 4 til anbefaling 10 i FATF-anbefalingerne fra 2012.