1.

Denne anmodning om præjudiciel afgørelse fra Administratīvā rajona tiesa (distriktsdomstol i forvaltningsretlige sager, Letland) vedrører fortolkningen og lovligheden af visse grundlæggende bestemmelser i direktiv (EU) 2015/849 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme ( 2 ).

2.

Den foreliggende sag giver Domstolen lejlighed til at afklare rækkevidden af flere væsentlige aspekter i den ved dette direktiv indførte ordning til forebyggelse af hvidvask af penge og finansiering af terrorisme, hvilken ordning er baseret på en risikobaseret tilgang, og navnlig at afklare afgrænsningen af medlemsstaternes skønsbeføjelse og omfanget af forpligtede enheders pligt til at foretage en risikovurdering med hensyn til deres kunder og til at gennemføre passende kundekendskabsprocedurer over for dem.

3.

Artikel 13, stk. 1, i direktiv 2015/849 bestemmer i litra c) og d), at »[k]undekendskabsprocedurer omfatter følgende:

4.

Artikel 14, stk. 5, i direktiv 2015/849, i den ved direktiv 2018/843 ændrede udgave, bestemmer, at »[m]edlemsstaterne pålægger forpligtede enheder at gennemføre kundekendskabsprocedurer, ikke blot over for alle nye kunder, men også over for eksisterende kunder på passende tidspunkter på et risikobaseret grundlag, eller når en kundes relevante omstændigheder ændrer sig, eller når den forpligtede enhed i løbet af det relevante kalenderår er juridisk forpligtet til at kontakte kunden med henblik på at undersøge enhver relevant oplysning vedrørende den eller de reelle ejere, eller hvis den forpligtede enhed har haft en sådan forpligtelse i henhold til Rådets direktiv 2011/16/EU«.

5.

Artikel 18 i direktiv 2015/849, i den ved direktiv 2018/843 ændrede udgave, fastsætter i stk. 1 og 3:

»1.   Medlemsstaterne pålægger forpligtede enheder at gennemføre skærpede kundekendskabsprocedurer i de situationer, der er omhandlet i artikel 18a-24, og i andre højrisikotilfælde, som medlemsstaterne eller forpligtede enheder har identificeret, med det formål at styre og begrænse de pågældende risici på en passende måde. […]

3.   Medlemsstaterne og forpligtede enheder tager ved vurdering af risici for hvidvask af penge og finansiering af terrorisme som minimum højde for de i bilag III opførte faktorer, som kendetegner situationer, der potentielt indebærer en øget risiko.«

6.

I henhold til artikel 60, stk. 1, første afsnit, og artikel 60, stk. 2, i direktiv 2015/849:

»1.   Medlemsstaterne sikrer, at en afgørelse, der ikke kan påklages, om pålæggelse af en administrativ sanktion eller foranstaltning for overtrædelse af nationale bestemmelser, der gennemfører dette direktiv, offentliggøres af de kompetente myndigheder på deres officielle websted umiddelbart efter, at den person, der pålægges sanktionen, er underrettet om afgørelsen. Offentliggørelsen skal mindst indeholde oplysninger om overtrædelsens type og karakter og om identiteten af de personer, der er ansvarlige. […]

2.   Når medlemsstaterne tillader offentliggørelse af afgørelser, der kan påklages, offentliggør de kompetente myndigheder også omgående sådanne oplysninger og efterfølgende oplysninger om resultatet af en sådan klage på deres officielle websted. […]«

7.

Bilag III til direktiv 2015/849 bestemmer i punkt 3, litra b), at den »ikkeudtømmende liste over faktorer og typer dokumentation, som kendetegner situationer, der potentielt indebærer en øget risiko, jf. artikel 18, stk. 3«, blandt »[g]eografiske risikofaktorer« inkluderer »lande, som troværdige kilder har identificeret som lande med et betydeligt omfang af korruption eller anden kriminel aktivitet«.

8.

Direktiv 2015/849 blev gennemført i den lettiske retsorden ved Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likums (lov om forebyggelse af hvidvask af sorte penge, finansiering af terrorisme og nuklear spredning) af 17. juli 2008 ( 3 ) (herefter »den lettiske hvidvasklov«).

9.

Sagsøgeren i hovedsagen, SIA Rodl & Partner (herefter »Rodl & Partner«), er et selskab med hjemsted i Letland, som beskæftiger sig med bl.a. bogføring, revision og skatterådgivning. Selskabet er en forpligtet enhed som omhandlet i direktiv 2015/849.

10.

Fra den 3. april til den 6. juni 2019 gennemførte personale fra Noziedzīgi iegūtu līdzekļu legalizācijas novēršanas pārvalde (tjenesten for forebyggelse af hvidvask af ulovligt erhvervede penge), som sorterer under Valsts ieņēmumu dienests (den lettiske skattemyndighed, herefter »VID«), undersøgelser af Rodl & Partner. I forbindelse med disse undersøgelser konstaterede VID bl.a., at Rodl & Partner i sin egenskab af forpligtet enhed ikke havde foretaget og dokumenteret en vurdering af risikoen for hvidvask af penge og finansiering af terrorisme, som påkrævet ifølge den lettiske hvidvasklov, med hensyn til to af dets kunder: fonden It izglītības fonds (herefter »fonden«) og selskabet SIA RBA Consulting (herefter »RBA Consulting«).

11.

Den første kunde, dvs. fonden, er stiftet i Letland og har som formål at udbrede og fremme IT-sektoren på uddannelsesområdet hos studenter. Fonden blev kunde hos Rodl & Partner den 25. oktober 2016. Kundens identifikationsdokument blev underskrevet den 7. marts 2017 af VR, som er statsborger i Den Russiske Føderation, har opholdstilladelse i Letland og leder fonden som lønmodtager. Det lettiske samfund i sin helhed er angivet i identifikationsdokumentet som fondens reelle ejer.

12.

Rodl & Partner vurderede kundens risikoprofil vedrørende hvidvask af penge og finansiering af terrorisme som værende lav. VID konstaterede derimod, at det fremgik af en rapport af 22. juni 2018, offentliggjort på webstedet tilhørende VID’s ovennævnte tjeneste, og af international praksis, at den mulige anvendelse af ikke-statslige organisationer henhører under de primære risici for finansiering af terrorisme. Derfor havde Rodl & Partner efter VID’s opfattelse pligt til at foretage en grundig undersøgelse af kunden, ikke mindst i betragtning af, at kunden havde tilknytning til et tredjeland med høj korruptionsrisiko, nærmere bestemt Den Russiske Føderation.

13.

Den anden kunde, selskabet RBA Consulting, har hjemsted i Letland og beskæftiger sig med PR-virksomhed og kommunikation. Selskabets eneste deltager og eneste reelle ejer er en lettisk statsborger. Selskabet blev kunde hos Rodl & Partner den 28. december 2017. Også med hensyn til denne kunde vurderede Rodl & Partner risikoprofilen som værende lav.

14.

Ved gennemgangen af selskabets kontoudskrifter konstaterede VID derimod, at selskabet modtog månedlige overførsler på 25000 EUR fra Nord Stream 2 AG, som er et datterselskab til den russiske virksomhed Gazprom. Det fremgik endvidere, at de respektive fakturaer blev udstedt i henhold til den kontrakt, der var blevet indgået den 1. januar 2018 mellem RBA Consulting og Nord Stream 2 AG. VID anmodede Rodl & Partner om at fremvise en kopi af den pågældende kontrakt, men sagsøgeren fremlagde ikke en sådan kopi og anførte, at den havde undersøgt den originale kontrakt in situ i kundens lokaler. VID konkluderede på baggrund af det ovenstående, at Rodl & Partner, i forbindelse med overvågning af forretningsforbindelsen med sin kunde, ikke havde været særlig opmærksom på de transaktioner, der havde fundet sted mellem RBA Consulting og Nord Stream 2 AG, som er en virksomhed, der tilhører en enhed med hjemsted i et tredjeland med høj korruptionsrisiko.

15.

VID pålagde ved afgørelse af 11. juli 2019 Rodl & Partner en bødestraf på 3000 EUR for den manglende opfyldelse af forpligtelserne i henhold til den lettiske hvidvasklov. På baggrund af denne afgørelse offentliggjorde VID den 11. august 2019 oplysninger på sit websted vedrørende de overtrædelser, som Rodl & Partner havde begået. Sanktionsafgørelsen blev opretholdt ved afgørelse af 13. november 2019 truffet af VID’s generaldirektør. Rodl & Partner har nedlagt påstand ved den forelæggende ret om, at sanktionsafgørelsen annulleres, og at de på internettet offentliggjorte oplysninger vedrørende de sanktioner, som sagsøgeren blev pålagt, fjernes.

16.

Den forelæggende ret har for det første anført, at det hverken fremgår af direktiv 2015/849 eller af den lettiske hvidvasklov, at ikke-statslige organisationer i sig selv skal anses for at have en øget risiko som følge af deres retlige form, med den følge, at der alene af denne grund skal gennemføres skærpede kundekendskabsprocedurer. Den forelæggende ret har tilføjet, at Rodl & Partner har gjort gældende, at såfremt VID er af den opfattelse, at en forpligtet enhed skal gennemføre skærpede kundekendskabsprocedurer i alle de tilfælde, hvor kunden har den retlige form af en ikke-statslig organisation, eller hvor en af kundens medarbejdere hidrører fra et tredjeland med høj korruptionsrisiko, rejses spørgsmålet, om dette krav er forholdsmæssigt, og om det i så fald burde være udtrykkeligt nedfældet i loven.

17.

Den forelæggende ret har endvidere påpeget, at Den Russiske Føderation hverken er opregnet på listen over højrisikolande, som er offentliggjort af Den Finansielle Aktionsgruppe (FATF), eller på Europa-Kommissionens liste over tredjelande med høj risiko. Efter rettens opfattelse er det alligevel muligt, at dette land i henhold til bilag III, punkt 3, litra b), til direktiv 2015/849 vil kunne anses for et land med høj korruptionsrisiko ( 4 ). Den forelæggende ret har imidlertid tilføjet, at hverken bestemmelserne i direktiv 2015/849 eller i den lettiske hvidvasklov direkte kræver, at kunden underlægges skærpede procedurer, når en statsborger fra Den Russiske Føderation blot er ansat hos kunden. Under disse omstændigheder nærer retten tvivl med hensyn til fortolkningen af artikel 18, stk. 1 og 3, i direktiv 2015/849, sammenholdt med bilag III, punkt 3, litra b), hertil.

18.

Hvis disse bestemmelser skal fortolkes således, at de omfatter en automatisk pligt til at gennemføre skærpede kundekendskabsprocedurer, såfremt der kan konstateres en risiko i forbindelse med kundens retlige form (kunden er en ikke-statslig organisation) og en risiko i forbindelse med, at den person, som er bemyndiget og ansat af kunden, er statsborger i et tredjeland med høj korruptionsrisiko, vil det for det andet være nødvendigt at vurdere, om en sådan fortolkning kan anses for at være i overensstemmelse med proportionalitetsprincippet, som er fastsat i artikel 5 TEU.

19.

For det tredje er den forelæggende ret i tvivl om, hvorvidt VID i det konkrete tilfælde gik videre end, hvad der er påkrævet i den relevante lovgivning, ved navnlig at vurdere, at den omstændighed, at RBA Consulting er handelspartner til et datterselskab til en virksomhed i Den Russiske Føderation, i sig selv udgør en faktor, der øger kunderisikoen. En sådan formodning er hverken omhandlet i den lettiske hvidvasklov eller i direktiv 2015/849.

20.

Den forelæggende ret er for det fjerde i tvivl om, hvorvidt VID overskred sine beføjelser ifølge den relevante lovgivning, da den krævede, at der blev udleveret en kopi af den indgåede kontrakt mellem RBA Consulting og Nord Stream 2 AG. Retten spørger således, om artikel 13, stk. 1, litra c) og d), i direktiv 2015/849 skal fortolkes således, at det i henhold til disse bestemmelser er påkrævet at fremlægge en kopi af den kontrakt, der er indgået mellem kunden og en tredjemand.

21.

For det femte finder den forelæggende ret i lyset af omstændighederne i hovedsagen, at det skal afklares, om artikel 14, stk. 5, i direktiv 2015/849 skal fortolkes således, at denne bestemmelse fastsætter – og i givet fald om dette er begrundet og forholdsmæssigt – at en forpligtet enhed også skal gennemføre kundekendskabsprocedurer for så vidt angår eksisterende kunder i et tilfælde, hvor der ikke er konstateret væsentlige ændringer i kundens forhold, samt om denne pligt alene finder anvendelse i forbindelse med kunder, med hensyn til hvilke der er konstateret et højt risikoniveau.

22.

For det sjette og sidste har den forelæggende ret anført, at visse af oplysningerne om de af Rodl & Partner begåede overtrædelser, som VID offentliggjorde på sit websted, indeholdt unøjagtigheder. Retten nærer derfor tvivl med hensyn til fortolkningen af artikel 60, stk. 1 og 2, i direktiv 2015/849.

23.

På denne baggrund har den forelæggende ret besluttet at udsætte sagen og forelægge følgende præjudicielle spørgsmål for Domstolen:

24.

De seks præjudicielle spørgsmål, som den forelæggende ret har rejst i den foreliggende sag, vedrører fortolkningen og lovligheden af flere grundlæggende bestemmelser i direktiv 2015/849. Inden jeg vurderer spørgsmålene, er det efter min opfattelse hensigtsmæssigt at foretage en række indledende betragtninger om den udgave af direktiv 2015/849, der finder anvendelse ratione temporis, og om den ved dette direktiv indførte ordning med forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme.

25.

Det fremgår af sagens akter, at Rodl & Partner foretog risikovurderingen med hensyn til fonden den 1. september 2017 og med hensyn til RBA Consulting den 8. februar 2018. VID gennemførte sine undersøgelser mellem den 3. april 2019 og den 6. juni 2019 og traf den anfægtede afgørelse den 13. november 2019. Direktiv 2018/843 om ændring af direktiv 2015/849 trådte i kraft den 9. juli 2018. I henhold til ændringsdirektivets artikel 4, stk. 1, skulle medlemsstaterne efterkomme dette direktiv senest den 10. januar 2020.

26.

På denne baggrund blev de vurderinger, som Rodl & Partner gennemførte for at fastlægge risikoniveauet og derfor de passende kundekendskabsprocedurer med hensyn til sine to kunder, foretaget inden ikrafttrædelsen af ændringsdirektivet af 2018. VID’s undersøgelser fandt derimod sted efter ikrafttrædelsen af dette direktiv, men inden udløbet af dets gennemførelsesfrist.

27.

I denne sammenhæng er jeg enig med det af Kommissionen i retsmødet fremsatte argument om, at risikovurderingen og den heraf følgende anvendelse af kundekendskabsprocedurer, som anses for at være passende i betragtning af det identificerede risikoniveau, inden for ordningen til forebyggelse af hvidvask af penge og finansiering af terrorisme i direktiv 2015/849, er en løbende proces, hvilket jeg vil beskrive mere detaljeret nedenfor i punkt 63. Heraf følger efter min opfattelse i modsætning til, hvad den forelæggende ret synes at anføre i sit svar på spørgsmålene fra Domstolen, at det ikke kan konkluderes, at den lovgivning, på grundlag af hvilken lovligheden af en forpligtet enheds risikovurdering skal efterprøves, nødvendigvis skal være den, som var i kraft på tidspunktet for gennemførelsen af den indledende vurdering. Inden for ordningen i direktiv 2015/849 er risikovurderingen nødvendigvis af dynamisk karakter, og forpligtede enheder har pligt til at holde deres risikovurderinger opdateret ( 5 ). Derfor skal en forpligtet enheds risikovurdering med hensyn til en kunde – som begrunder anvendelsen af en type af kundekendskabsprocedurer, som er passende i forhold til denne kunde – være i overensstemmelse med den lovgivning, som finder anvendelse på tidspunktet for myndighedernes undersøgelse. Den forpligtede enhed kan ikke til støtte for en afvigelse mellem sin risikovurdering og de som følge deraf anvendte kundekendskabsprocedurer gøre gældende, at dens indledende vurdering var reguleret af en anden lovgivning.

28.

På denne baggrund mener jeg, at den foreliggende situation er omfattet af den udgave af direktivet, som fandt anvendelse på tidspunktet for VID’s undersøgelser, dvs. den ved direktiv 2018/843 ændrede udgave.

29.

Når dette er sagt, skal det også fremhæves, at direktiver er rettet til medlemsstaterne ( 6 ). De forpligtelser, som forpligtede enheder skal opfylde, fastsættes i princippet i loven til gennemførelse af direktivet. Da VID gennemførte de undersøgelser, som førte til den anfægtede afgørelse, var gennemførelsesfristen for direktiv 2018/843 endnu ikke udløbet. Det fremgår ikke af sagens akter, om den lettiske hvidvasklov på tidspunktet for disse undersøgelser allerede var blevet tilpasset for at gennemføre de ved dette direktiv indførte ændringer. Under alle omstændigheder skulle Rodl & Partner opfylde forpligtelserne fastsat i den udgave af den lettiske lov, som fandt anvendelse på tidspunktet for undersøgelserne, dvs. den udgave, som den forelæggende ret har nævnt i forelæggelsesafgørelsen ( 7 ).

30.

Jeg mener under alle omstændigheder, at de ved direktiv 2018/843 indførte ændringer af de bestemmelser i direktiv 2015/849, som er nævnt i de præjudicielle spørgsmål fra den forelæggende ret, ikke er af væsentlig betydning for besvarelsen af disse spørgsmål ( 8 ). Desuden rejser disse spørgsmål ingen tvivl om, hvorvidt den nationale lovgivning er forenelig med bestemmelserne i direktiv 2015/849.

31.

Domstolen har allerede fastslået, at hovedformålet med direktiv 2015/849, således som det fremgår af dets artikel 1, sammenholdt med første betragtning hertil, er at forhindre anvendelsen af det finansielle system til hvidvaskning af penge og finansiering af terrorisme for at undgå, at strømme af sorte penge kan skade den finansielle sektors integritet, stabilitet og omdømme og true Unionens indre marked og den internationale udvikling ( 9 ). Dette direktiv blev vedtaget i en international kontekst, med henblik på i Unionen at gennemføre FATF-anbefalingerne ( 10 ).

32.

Bestemmelserne i direktiv 2015/849 har således en hovedsageligt præventiv karakter, idet de ifølge en risikobaseret tilgang tilsigter at indføre en række afskrækkende foranstaltninger, der gør det muligt effektivt at bekæmpe hvidvaskning af penge og finansiering af terrorisme samt at bevare det finansielle systems soliditet og integritet ( 11 ).

33.

Som det fremgår af 22. og 23. betragtning til direktiv 2015/849, er den ovennævnte holistiske risikobaserede tilgang ( 12 ) nødvendig, for at medlemsstaterne og Unionen kan identificere, forstå og begrænse de risici for hvidvask af penge og finansiering af terrorisme, de konfronteres med. Den risikobaserede tilgang forudsætter en vurdering af disse risici, som inden for den ved direktiv 2015/849 indførte ordning ( 13 ) gennemføres på tre plan: på EU-plan af Kommissionen (artikel 6) ( 14 ), på de enkelte medlemsstaters plan (artikel 7) og på de forpligtede enheders plan (artikel 8).

34.

I henhold til artikel 7 i direktiv 2015/849 skal de enkelte medlemsstater træffe passende foranstaltninger til at identificere, vurdere, forstå og begrænse de risici for hvidvask af penge og finansiering af terrorisme, som påvirker dem, og sørge for, at denne risikovurdering holdes opdateret.

35.

Direktivets artikel 8 bestemmer, at forpligtede enheder, i et rimeligt forhold til deres art og størrelse, skal træffe passende foranstaltninger til at identificere og vurdere deres risici for hvidvask af penge og finansiering af terrorisme, idet der tages højde for risikofaktorer, herunder risikofaktorer relateret til kunder, lande eller geografiske områder.

36.

Ovennævnte risikovurdering udgør forudsætningen for at anvende passende forebyggende foranstaltninger – dvs. kundekendskabsprocedurer – som tilsigter at undgå eller i det mindste, i så stort omfang som muligt, at indføre hindringer for hvidvask af penge og finansiering af terrorisme ( 15 ). Uden en risikovurdering er det ikke muligt for hverken den pågældende medlemsstat eller i givet fald en berørt enhed at afgøre, hvilke foranstaltninger der skal anvendes i det enkelte konkrete tilfælde ( 16 ).

37.

Risici er desuden i sig selv variable størrelser, og de kan, enten alene eller sammen, øge eller mindske de mulige risici og har derfor betydning for det rette omfang af de forebyggende foranstaltninger ( 17 ). Der findes derfor en sammenhæng mellem risikovurdering og kundekendskabsprocedurer i den forstand, at den passende type af procedurer afhænger af, hvor højt risikoniveauet er ( 18 ). I denne henseende har Domstolen klart udtalt, at kundekendskabsprocedurer skal have en konkret sammenhæng med risikoen for hvidvaskning af penge og finansiering af terrorisme og stå i et rimeligt forhold til denne risiko ( 19 ).

38.

I denne sammenhæng fastsætter direktiv 2015/849 tre typer af kundekendskabsprocedurer, som forpligtede enheder kan have pligt til at gennemføre over for deres kunder afhængigt af det identificerede risikoniveau: almindelige, lempede og skærpede procedurer ( 20 ).

39.

De almindelige procedurer vedrørende kundekendskab er reguleret i bl.a. artikel 13 og 14 i direktiv 2015/849. I overensstemmelse med direktivets artikel 13, stk. 1, består disse procedurer i identifikation af kunden [litra a)] og identifikation af den reelle ejer [litra b)], vurdering og eventuelt indhentning af oplysninger om forretningsforbindelsens formål og tilsigtede beskaffenhed [litra c)] og vedvarende overvågning af forretningsforbindelsen [litra d)]. I henhold til samme artikels stk. 2 kan forpligtede enheder bestemme disse procedurers omfang på et risikobaseret grundlag.

40.

Hvad angår de lempede procedurer fremgår det af artikel 15, stk. 1 og 2, i direktiv 2015/849, at hvis en medlemsstat eller en forpligtet enhed identificerer lavrisikoområder, eller når en forpligtet enhed har konstateret, at forretningsforbindelsen eller transaktionen indebærer en lav risiko, kan medlemsstaten tillade forpligtede enheder at gennemføre lempede kundekendskabsprocedurer.

41.

For så vidt angår de skærpede procedurer fremgår det afslutningsvis af artikel 18, stk. 1, i direktiv 2015/849, at forpligtede enheder har pligt til at gennemføre skærpede kundekendskabsprocedurer i de situationer, der er omhandlet i artikel 18a-24, og i andre højrisikotilfælde, som medlemsstaterne eller forpligtede enheder har identificeret, med det formål at styre og begrænse de pågældende risici på en passende måde.

42.

Heraf følger, at anvendelsen af skærpede procedurer, på linje med den ovenfor i punkt 37 nævnte nødvendige sammenhæng mellem på den ene side vurderingen af niveauet af risiko for hvidvask af penge og finansiering af terrorisme og på den anden side den forholdsmæssige karakter af de forebyggende foranstaltninger, forudsætter, at medlemsstaten eller den forpligtede enhed har identificeret højere risici, med undtagelse af de specifikke situationer, der er omhandlet i artikel 18a-24 i direktiv 2015/849, hvor skærpede kundekendskabsprocedurer skal anvendes automatisk. Nærmere bestemt skal skærpede kundekendskabsprocedurer bero på en vurdering af, om og i hvilken grad der foreligger en øget risiko for hvidvask af penge og finansiering af terrorisme ( 21 ).

43.

I denne sammenhæng fremgår det af artikel 18, stk. 1 og 3, i direktiv 2015/849, sammenholdt indbyrdes, at medlemsstaterne og forpligtede enheder, når de skal identificere tilfælde med øget risiko, som minimum skal tage højde for de i direktivets bilag III opførte faktorer, som kendetegner situationer, der potentielt indebærer en øget risiko, ud over de situationer, der er omhandlet i direktivets artikel 18a-24. Dette bilag indeholder en ikkeudtømmende liste over faktorer og typer dokumentation, som kendetegner situationer, der potentielt indebærer en sådan risiko.

44.

Direktiv 2015/849 foretager kun en minimumsharmonisering af de nationale bestemmelser vedrørende bekæmpelse af hvidvask af penge ( 22 ). Som det allerede kan udledes af ovenfor anførte betragtninger, giver direktivet medlemsstaterne en vid skønsbeføjelse i forbindelse med identifikationen af risici for hvidvask af penge og finansiering af terrorisme såvel som fastsættelsen af passende foranstaltninger for at forebygge, undgå eller i det mindste indføre hindringer for denne aktivitet.

45.

Direktiv 2015/849 anerkender udtrykkeligt, at medlemsstaterne kan påvirkes i forskelligt omfang af forskelligartede risici for hvidvask af penge og finansiering af terrorisme ( 23 ). Som Kommissionen har fremhævet i retsmødet og Republikken Letland har anført i sit indlæg, kan disse forskelligartede risici afhænge af den enkelte medlemsstats specifikke situation og variere i forhold til en lang række parametre, herunder medlemsstatens geografiske beliggenhed eller dens økonomiske eller sociale situation.

46.

Dette direktiv overlader det endvidere til medlemsstaterne at fastsætte det beskyttelsesniveau, som de finder hensigtsmæssigt i forhold til det risikoniveau, som er identificeret med hensyn til hvidvaskning af penge eller finansiering af terrorisme ( 24 ).

47.

Den skønsbeføjelse, som i medfør af direktiv 2015/849 tilkommer medlemsstaterne i forbindelse med fastsættelsen af beskyttelsesniveauet, vedrører både muligheden for at tillade lempede kundekendskabsprocedurer, såfremt der er identificeret et lavt risikoniveau, og – med undtagelse af de specifikke situationer, der er omhandlet i direktivets artikel 18a-24 – for at foreskrive skærpede kundekendskabsprocedurer i tilfælde af et identificeret højere risikoniveau.

48.

Hvad særligt angår de skærpede procedurer har Domstolen allerede klart bemærket, at medlemsstaterne råder over en betydelig skønsbeføjelse med hensyn til, hvordan pligten til at fastsætte skærpede kundekendskabsprocedurer gennemføres på en formålstjenlig måde, og til at fastlægge såvel de situationer, hvor der foreligger en sådan øget risiko, som de hensigtsmæssige skærpede kundekendskabsprocedurer ( 25 ). I øvrigt fremgår eksistensen af denne skønsbeføjelse udtrykkeligt af ordlyden af artikel 18, stk. 1, i direktiv 2015/849 ( 26 ).

49.

Det skal desuden konstateres, at artikel 5 i direktiv 2015/849 udtrykkeligt fastsætter, at medlemsstaterne har mulighed for at vedtage eller opretholde strengere bestemmelser, når disse bestemmelser har til formål at styrke bekæmpelsen af hvidvaskning af penge og finansiering af terrorisme, under overholdelse af EU-retten ( 27 ). Domstolen har klargjort, at de i denne bestemmelse omhandlede »strengere bestemmelser« kan vedrøre situationer, for hvilke dette direktiv fastsætter en bestemt type kundekendskabsprocedurer, og tillige andre situationer, som efter medlemsstaternes opfattelse indebærer en risiko ( 28 ). Endvidere finder denne artikel anvendelse på alle bestemmelser på det område, som er omfattet af direktiv 2015/849 med henblik på at forebygge hvidvaskning af penge og finansiering af terrorisme ( 29 ).

50.

Det følger af alle ovenfor anførte betragtninger, at medlemsstaterne i henhold til direktiv 2015/849 råder over en vid skønsbeføjelse og således kan fastlægge et beskyttelsesniveau, der er højere end det, EU-lovgiver har valgt, og tillade eller kræve andre kundekendskabsprocedurer end dem, der er fastsat i dette direktiv i medfør af den i denne artikel 5 omhandlede beføjelse, eller identificere andre situationer, der indebærer en øget risiko, inden for rammerne af den skønsbeføjelse, som tilkommer dem i henhold til nævnte artikel 18. Medlemsstaterne kan herved navnlig identificere de særlige foranstaltninger, der skal anvendes i visse specifikke situationer, eller give forpligtede enheder en skønsmæssig beføjelse til på grundlag af en passende risikovurdering at anvende de foranstaltninger, der vurderes at stå i et rimeligt forhold til den risiko, som en bestemt situation indebærer ( 30 ).

51.

I denne sammenhæng er det nødvendigt, sådan som det i øvrigt bekræftes af debatten i retsmødet, at afklare rækkevidden og afgrænsningen af den vide skønsbeføjelse, som i medfør af direktiv 2015/849 tilkommer medlemsstaterne, i lyset af de almindelige EU-retlige principper. Ordlyden af direktivet i sig selv, navnlig i artikel 5, erindrer om, at medlemsstaterne i alle tilfælde skal handle »under overholdelse af EU-retten«.

52.

Hvad særligt angår retssikkerhedsprincippet rejses spørgsmålet om det korrekte retsgrundlag for medlemsstaternes identifikation – inden for den ved direktivet indførte ordning – af de yderligere risikofaktorer, som kan begrunde eller endog kræve skærpede kundekendskabsprocedurer.

53.

Det skal nemlig undersøges, om det i lyset af det almindelige retssikkerhedsprincip er nødvendigt, at alle elementer, der udgør de af en medlemsstat identificerede risikofaktorer, er udtrykkeligt fastsat i en retsakt i form af lov, med udtrykkelig angivelse af eksempelvis de lande eller typer af organisationer, som indebærer et så øget risikoniveau, at det berettiger til skærpede procedurer.

54.

I denne henseende mener jeg, at i henhold til legalitetsprincippet og retssikkerhedsprincippet skal fastsættelsen af risikofaktorer generelt, som potentielt kan påvirke subjektive situationer eller endog grundlæggende rettigheder, i princippet have hjemmel i retsakter i form af lov. Jeg finder dog også, at loven hverken skal eller kan fastsætte en udtømmende regulering af alle specifikke risikofaktorer.

55.

Henset til den dynamiske karakter af både forretningsforbindelser og kriminelle aktiviteter er det efter min opfattelse umuligt ex ante at fastsætte en udtømmende liste over alle mulige faktorer, som kan påvirke vurderingen af risikoen for hvidvask af penge eller finansiering af terrorisme. Som udtrykkeligt anerkendt i 30. betragtning til direktiv 2015/849 er risici i sig selv variable størrelser. Ordningen skal derfor sikres en vis grad af fleksibilitet, som tillader en dynamisk tilpasning i forbindelse med identifikationen af disse faktorer, i øvrigt hele tiden under overholdelsen af retssikkerhedsprincippet og med respekt for beskyttelsen af de i EU-retten sikrede grundlæggende rettigheder.

56.

EU-retten er efter min mening ikke til hinder for, at loven angiver generelle risikokategorier, som med respekt for de enkelte medlemsstaters forfatningsmæssige krav specificeres i andre og senere retsakter, som ikke nødvendigvis tager form af lov ( 31 ). Disse retsakter skal i øvrigt være tilstrækkeligt offentliggjort, fordi det er nødvendigt at almenheden, og især forpligtede enheder – som har pligt til at foretage risikovurderinger ved konkret anvendelse af disse kriterier – har viden om dem.

57.

Desuden skal fastsættelsen af disse risikoelementer og de passende foranstaltninger for at begrænse disse risici være i overensstemmelse med de øvrige almindelige EU-retlige principper. Under disse principper henhører proportionalitetsprincippet, som nævnes i det andet præjudicielle spørgsmål, og princippet om forbud mod forskelsbehandling, som navnlig er knæsat i artikel 21 i chartret om grundlæggende rettigheder, som forbyder enhver forskelsbehandling på grund af bl.a. tilhørsforhold til et nationalt mindretal. Medlemsstaternes udøvelse af den skønsbeføjelse, som i medfør af direktiv 2015/849 tilkommer dem, må derfor hverken gå videre end nødvendigt til at opnå formålene om forebyggelse og bekæmpelse af hvidvask af penge og finansiering af terrorisme eller give anledning til forskelsbehandling.

58.

Som anført ovenfor i punkt 35, og som det fremgår af artikel 8 og 11-18 i direktiv 2015/849, har forpligtede enheder inden for den ved dette direktiv indførte ordning til forebyggelse af hvidvask af penge og finansiering af terrorisme, som er baseret på en risikobaseret tilgang, en central rolle i forbindelse med risikovurderingen med hensyn til disse aktiviteter. Som Kommissionen har fremhævet i retsmødet, forklares denne væsentlige rolle med, at forpligtede enheder opererer tæt på udførelsen af økonomiske aktiviteter og hermed potentielt ulovlige aktiviteter, således at disse enheder har de bedste forudsætninger for at afsløre eventuelle mistænkelige transaktioner.

59.

Set ud fra dette perspektiv pålægger direktiv 2015/849 disse enheder at træffe passende foranstaltninger til at identificere og vurdere risici for hvidvask af penge og finansiering af terrorisme, under hensyntagen til de relevante risikofaktorer, og at gennemføre passende kundekendskabsprocedurer.

60.

Forpligtede enheders risikovurdering og den heraf følgende anvendelse af kundekendskabsprocedurer indebærer, at der gøres brug af evidensbaseret beslutningstagning, således at der bedre kan fokuseres på risici for hvidvask af penge og finansiering af terrorisme ( 32 ). Denne vurdering henfører sig til præcise situationer og må ikke foretages på abstrakt vis. Ifølge den ovennævnte holistiske tilgang skal denne vurdering tage højde for alle faktorer, som kan påvirke identifikationen af risikoen.

61.

I denne sammenhæng fremgår det udtrykkeligt af artikel 8, stk. 2, i direktiv 2015/849, at forpligtede enheders risikovurderinger skal dokumenteres, holdes opdateret og stilles til rådighed for de relevante kompetente myndigheder og de berørte selvregulerende organer.

62.

Kravet om, at forpligtede enheder skal dokumentere og over for myndighederne godtgøre deres vurderinger og de på denne baggrund besluttede kundekendskabsprocedurer, findes også i artikel 13, stk. 4, i direktiv 2015/849. I henhold til denne bestemmelse skal forpligtede enheder kunne godtgøre over for de kompetente myndigheder eller de selvregulerende organer, at de anvendte kundekendskabsprocedurer må anses for at være passende i betragtning af de identificerede risici for hvidvask af penge og finansiering af terrorisme ( 33 ).

63.

Endvidere er risikovurderingen en dynamisk og, inden for rimelige grænser, løbende proces. Dette kan udledes af dels pligten i henhold til ovennævnte artikel 8, stk. 2, i direktiv 2015/849 om, at risikovurderinger holdes opdateret, dels pligten i medfør af artikel 13, stk. 1, litra d), i direktiv 2015/849 til at foretage en vedvarende overvågning af forretningsforbindelsen, have en tilstrækkelig viden om kundens risikoprofil og ajourføre dokumenter, data eller oplysninger.

64.

Det skal endvidere anføres, at i overensstemmelse med proportionalitetsprincippet må de forpligtelser, som pålægges forpligtede enheder, ikke være uforholdsmæssige. Dette krav er udtrykt i artikel 8, stk. 1, sidste punktum, i direktiv 2015/849, hvorefter de foranstaltninger, som påhviler forpligtede enheder i henhold til dette direktiv, skal stå i et rimeligt forhold til de forpligtede enheders art og størrelse. Dette krav kan desuden udledes af anden betragtning til direktivet, som fremhæver nødvendigheden af en afvejet tilgang og udtrykker »behovet for at skabe lovgivningsmæssige rammer, der giver virksomheder mulighed for at styrke deres virksomheder uden uforholdsmæssige udgifter«.

65.

Det følger af det ovenstående, at den forpligtede enhed, inden for den ved direktiv 2015/849 indførte ordning til forebyggelse, efter min opfattelse skal kunne godtgøre over for myndighederne, at enheden dels har foretaget en risikovurdering, som er så fuldstændig som mulig – inden for rimelige grænser og i et omfang, som står i forhold til enhedens art og størrelse – med hensyn til risici for hvidvask af penge og finansiering af terrorisme, idet enheden har taget alle relevante faktorer og kilder i betragtning, dels har anvendt kundekendskabsprocedurer med hensyn til kunderne, som i det enkelte konkrete tilfælde må anses for at være passende i forhold til det identificerede risikoniveau.

66.

Jeg vil derfor analysere de præjudicielle spørgsmål fra den forelæggende ret i lyset af samtlige ovenstående betragtninger.

67.

Med det første præjudicielle spørgsmål ønsker den forelæggende ret oplyst, om artikel 18, stk. 1 og 3, i direktiv 2015/849, sammenholdt med direktivets bilag III, punkt 3, litra b), skal fortolkes således, at disse bestemmelser automatisk kræver, at en forpligtet enhed tillægger en kunde et højere risikoniveau og følgelig gennemfører skærpede kundekendskabsprocedurer som følge af, at kunden er en ikke-statslig organisation, og at den person, som er bemyndiget og ansat af kunden, er statsborger i et tredjeland med høj korruptionsrisiko.

68.

Med det andet præjudicielle spørgsmål ønsker den forelæggende ret oplyst, såfremt det første spørgsmål besvares bekræftende, om ovennævnte bestemmelser, når de fortolkes som nævnt, er i overensstemmelse med proportionalitetsprincippet ifølge artikel 5, stk. 4, første afsnit, TEU.

69.

Som anført ovenfor i punkt 41 foreskriver artikel 18, stk. 1, i direktiv 2015/849, at skærpede kundekendskabsprocedurer gennemføres i to tilfælde: for det første i de situationer, der er omhandlet i direktivets artikel 18a-24, og for det andet i andre højrisikotilfælde, som medlemsstaterne eller forpligtede enheder har identificeret. Eftersom det ikke fremgår af forelæggelsesafgørelsen, at den foreliggende situation henhører under en af de situationer, der er omhandlet i artikel 18a-24 i direktiv 2015/849, skal der tages udgangspunkt i, at det første præjudicielle spørgsmål vedrører det andet tilfælde.

70.

I denne sammenhæng fremgår det af artikel 18, stk. 1 og 3, i direktiv 2015/849, sammenholdt indbyrdes, at medlemsstaterne og forpligtede enheder, når de skal identificere tilfælde med øget risiko, som minimum skal tage højde for faktorer, som kendetegner situationer, der potentielt indebærer en øget risiko, hvilke faktorer er opført på en ikkeudtømmende liste i direktivets bilag III.

71.

Som det fremgår ovenfor i punkt 42 og 43, skal beslutningen om, at en kunde – ud over i de situationer, der er omhandlet i artikel 18a-24 i direktiv 2015/849 – tillægges et højere risikoniveau og følgelig underlægges skærpede procedurer, ifølge den risikobaserede tilgang, som ligger til grund for hele den ved dette direktiv indførte ordning til forebyggelse, være baseret på en indgående risikovurdering med hensyn til denne kunde. Som jeg har nævnt ovenfor i punkt 60, skal denne vurdering tage højde for alle faktorer, som kan påvirke identifikationen af kundens risikoniveau.

72.

Heraf følger, at med undtagelse af de situationer, der er omhandlet i artikel 18a-24 i direktiv 2015/849, er beslutningen om, at en kunde tillægges et højere risikoniveau og følgelig underlægges skærpede procedurer, ikke automatisk. Gennemførelsen af skærpede kundekendskabsprocedurer skal derimod være resultatet af en individuel vurdering af den specifikke risiko med hensyn til denne kunde, som den forpligtede enhed foretager efter de kriterier, som den pågældende medlemsstat eller den forpligtede enhed selv har identificeret i betragtning af alle relevante risikofaktorer.

73.

I det første præjudicielle spørgsmål har den forelæggende ret nævnt to specifikke risikofaktorer: for det første den omstændighed, at kunden er en ikke-statslig organisation, og for det andet den omstændighed, at den person, som er bemyndiget og ansat af kunden, er statsborger i et tredjeland med høj korruptionsrisiko, i det konkrete tilfælde Den Russiske Føderation.

74.

Hvad angår den første af disse to faktorer har den forelæggende ret understreget, at hverken direktiv 2015/849 eller den lettiske hvidvasklov fastsætter, at en ikke-statslig organisation i sig selv skal anses for at have en øget risiko som følge af sin retlige form.

75.

I denne henseende, som anført i punkt 44 ff. i dette forslag til afgørelse, råder medlemsstaterne inden for den ved direktiv 2015/849 indførte ordning over en vid skønsbeføjelse i forbindelse med identifikationen af risici for hvidvask af penge og finansiering af terrorisme, som er specifikke for dem. De kan således identificere andre situationer, der indebærer en øget risiko ( 34 ).

76.

I denne sammenhæng skal det konstateres, at det specifikt fremgår af artikel 6, stk. 12, nr. 1), i den lettiske hvidvasklov, at den forpligtede enhed – når denne vurderer risikoen for hvidvask af penge og finansiering af terrorisme – blandt de omstændigheder, som kan påvirke risikoen, skal tage højde for risikoen i forbindelse med kundens retlige form. Med forbehold for, at denne efterprøvelse tilkommer den forelæggende ret, som er den eneste retsinstans med kompetence til at anvende national ret, foreskriver den lettiske hvidvasklov tilsyneladende udtrykkeligt, at kundens retlige form er en risikofaktor, som den forpligtede enhed skal tage i betragtning, når den foretager risikovurderingen.

77.

Endvidere har den lettiske regering i sit indlæg henvist til en rapport af 2019, hvor VID’s tjeneste for forebyggelse af hvidvask af penge ( 35 ) fremhævede, at ikke-statslige organisationer er særligt sårbare for hvidvask af penge og finansiering af terrorisme, og dette angår særligt ikke-statslige organisationer, som ikke er registrerede som organisationer af samfundsinteresse. Den lettiske regering har også nævnt andre informationskilder, som specifikt vedrører Letland ( 36 ), hvoraf det kan udledes, at den retlige form af fond eller ikke-statslig organisation udgør et element, som skal anses for at være en potentiel højrisikofaktor inden for rammerne af risikovurderingen.

78.

I denne henseende har jeg allerede ovenfor i punkt 56 anført, at EU-retten efter min mening ikke er til hinder for, at generelle risikokategorier (herunder eksempelvis kundens retlige form i dette tilfælde) angives i loven og herefter specificeres (navnlig i dette tilfælde den retlige form af fond eller ikke-statslig organisation) i andre og senere retsakter, som ikke nødvendigvis tager form af lov. Det tilkommer dog den forelæggende ret konkret at vurdere, om der ifølge den lettiske retsorden reelt skal tages udgangspunkt i, at den omstændighed, at en kunde antager den retlige form af fond eller ikke-statslig organisation, udgør en potentiel øget risikofaktor, som en forpligtet enhed i henhold til den nationale lovgivning skal tage i betragtning i sin risikovurdering med hensyn til en kunde.

79.

Hvis dette er tilfældet, skal det konkluderes, at selv om den omstændighed, at en kunde antager den retlige form af ikke-statslig organisation, ikke automatisk indebærer, at denne kunde skal tillægges en høj risikoprofil – og automatisk skal underlægges skærpede procedurer – udgør den eventuelle manglende hensyntagen til dette element en undladelse i vurderingen af risikoen for hvidvask af penge og finansiering af terrorisme med hensyn til kunden. Som det fremgår ovenfor af punkt 61 og 62, skal den forpligtede enhed endvidere kunne godtgøre over for de kompetente myndigheder, at denne har foretaget en risikovurdering, som må anses for at være passende, og derfor taget højde for alle relevante faktorer.

80.

Vedrørende den anden af de ovenfor i punkt 73 nævnte faktorer – dvs. den omstændighed, at den person, som er bemyndiget og ansat af kunden, er statsborger i et tredjeland med høj korruptionsrisiko – skal det påpeges, som anført af den forelæggende ret, at Den Russiske Føderation ikke er – og heller ikke på tidspunktet for de faktiske omstændigheder var – opregnet på listen over højrisikolande, som er offentliggjort af FATF ( 37 ), eller på Kommissionens liste over højrisikotredjelande ( 38 ).

81.

Imidlertid fremgår det af bilag III, punkt 3), litra b), til direktiv 2015/849, som nævnes i direktivets artikel 18, stk. 3, at geografiske risikofaktorer, som kendetegner situationer, der potentielt indebærer en øget risiko, inkluderer faktoren »lande, som troværdige kilder har identificeret som lande med et betydeligt omfang af korruption eller anden kriminel aktivitet«.

82.

Det skal tilføjes, at artikel 111, stk. 3, i den lettiske hvidvasklov bestemmer, at forpligtede enheder i forbindelse med opfyldelsen af deres forpligtelser til at gennemføre passende kundekendskabsprocedurer som minimum skal tage højde for visse faktorer, der øger kunderisikoen, herunder den i nr. 2), litra b), omhandlede omstændighed, at kunden eller kundens reelle ejer har tilknytning til et land eller område med høj korruptionsrisiko.

83.

I denne henseende har den forelæggende ret påpeget, at Den Russiske Føderation kan anses for et land eller område med høj korruptionsrisiko ( 39 ). Endvidere har den lettiske regering i retsmødet nævnt retningslinjer og flere andre informationsmaterialer offentliggjort på VID’s websted, som specifikt fremhæver, at eksistensen af en tilknytning til Den Russiske Føderation i praksis i Letland betragtes som en faktor, der kan øge risikoen for hvidvask af penge. I øvrigt synes det rimeligt at antage, at faktorer relateret til Republikken Letlands geografiske beliggenhed og landets økonomiske og sociale situation, i overensstemmelse med det ovenfor i punkt 44 anførte og ved anvendelsen af den ovennævnte skønsbeføjelse, som i medfør af direktiv 2015/849 tilkommer medlemsstaterne, kan begrunde, at denne medlemsstat indtager en specifik tilgang med hensyn til Den Russiske Føderation. Med forbehold for, at denne efterprøvelse tilkommer den forelæggende ret, som er den eneste retsinstans med kompetence til at anvende national ret, betragtes eksistensen af en »tilknytning« mellem kunden eller kundens reelle ejer og Den Russiske Føderation tilsyneladende i den lettiske retsorden som en potentiel øget risikofaktor, som en forpligtet enhed i henhold til den nationale lovgivning skal tage i betragtning i sin risikovurdering med hensyn til en kunde.

84.

Hvis dette er tilfældet, skal det konkluderes – på tilsvarende måde som konklusionen vedrørende faktoren knyttet til den retlige form af ikke-statslig organisation – at den omstændighed, at en kunde har tilknytning til Den Russiske Føderation, selv hvis den ikke automatisk indebærer, at denne kunde skal tillægges en høj risikoprofil – og automatisk skal underlægges skærpede procedurer – udgør en risikofaktor, som den forpligtede enhed nødvendigvis skal tage i betragtning i sin risikovurdering med hensyn til kunden. I konsekvens heraf udgør den manglende hensyntagen til dette element i sig selv også en undladelse i vurderingen af risikoen for hvidvask af penge og finansiering af terrorisme med hensyn til kunden.

85.

Uden at det berører de vurderinger, som det tilkommer den forelæggende ret at foretage i henhold til den lettiske lovgivning, finder jeg det hensigtsmæssigt at anføre nogle yderligere betragtninger om begrebet »tilknytning«. For at være i overensstemmelse med proportionalitetsprincippet skal denne tilknytning have en vis betydning og på en vis måde relatere sig til risikoen for hvidvask af penge og finansiering af terrorisme.

86.

På denne baggrund kan den omstændighed, at en almindelig ansat hos kunden er statsborger i et land med risiko for hvidvask af penge, efter min opfattelse ikke udgøre en tilstrækkelig tilknytning til at anse, at der kan foreligge en faktor, der øger kunderisikoen. En sådan tilgang ville også potentielt kunne give anledning til former for forskelsbehandling, som er i strid med det ovenfor i punkt 57 nævnte princip om forbud mod forskelsbehandling. Situationen kan være anderledes, hvis tilknytningen derimod vedrører eksempelvis kundens reelle ejer eller en ansat, der i sin rolle kan udføre opgaver, som potentielt kan have tilknytning til aktiviteter omfattende hvidvask af penge.

87.

Forelæggelsesafgørelsen indeholder ikke tilstrækkelige elementer, navnlig om den rolle, som VR, statsborger i Den Russiske Føderation, har i fonden, til at tage stilling til dette aspekt. Dog kan jeg ikke undlade at fremhæve, som det kan udledes af forelæggelsesafgørelsen, at det lettiske samfund i sin helhed er angivet som fondens reelle ejer, og denne konklusion synes at være i åbenbar strid med begrebet »reel ejer« i direktiv 2015/849 ( 40 ). Det tilkommer under alle omstændigheder den forelæggende ret at undersøge disse elementer.

88.

For at give en så udtømmende besvarelse som muligt af spørgsmålet fra den forelæggende ret finder jeg det endvidere nødvendigt at påpege, som det kan udledes ovenfor i punkt 61 og 62, og som Kommissionen har fremhævet i retsmødet, at det tilkommer Rodl & Partner at godtgøre, hvorfor den i lyset af kundens specifikke situation og under tilstedeværelsen af visse faktorer, der potentielt indikerer en høj risiko, konkluderede, at den omhandlede kunde kun havde en lav risiko, og at det derfor var tilstrækkeligt at gennemføre lempede kundekendskabsprocedurer.

89.

Endvidere synes det at fremgå af sagens akter, at VID sanktionerede Rodl & Partner for et andet forhold end den manglende anvendelse af skærpede procedurer over for kunden i henhold til en national praksis ved VID, ifølge hvilken en forpligtet enhed skal gennemføre skærpede kundekendskabsprocedurer, hver gang en kunde antager den retlige form af ikke-statslig organisation, eller en ansat hos kunden er statsborger i et tredjeland med høj korruptionsrisiko ( 41 ). Den lettiske regering har bestridt eksistensen af denne praksis. Det synes snarere at fremgå af sagens akter, at VID sanktionerede Rodl & Partner, fordi risikovurderingen var utilstrækkelig og ikke tog højde for faktorer, som potentielt havde kunnet ændre risikovurderingen med hensyn til dennes to kunder. Det tilkommer naturligvis den forelæggende ret at undersøge dette aspekt.

90.

I lyset af samtlige ovenstående betragtninger foreslår jeg Domstolen at besvare det første præjudicielle spørgsmål som anført i nr. 1) i afsnit IV i dette forslag til afgørelse. Følgelig er det efter min opfattelse ikke nødvendigt at besvare det andet præjudicielle spørgsmål, som kun er rejst for det tilfælde, at det første præjudicielle spørgsmål besvares bekræftende.

91.

Med det tredje præjudicielle spørgsmål ønsker den forelæggende ret oplyst, om artikel 18 i direktiv 2015/849, sammenholdt med direktivets bilag III, punkt 3, litra b), skal fortolkes således, at bestemmelsen indfører en automatisk pligt til at gennemføre skærpede kundekendskabsprocedurer i alle de tilfælde, hvor en af kundens handelspartnere, men ikke kunden selv, på en eller anden måde har tilknytning til et tredjeland med høj korruptionsrisiko.

92.

Det fremgår af betragtningerne vedrørende det første præjudicielle spørgsmål, navnlig ovenfor i punkt 69-72, at med undtagelse af de situationer, der er omhandlet i artikel 18a-24 i direktiv 2015/849, er beslutningen om, at en kunde tillægges et højere risikoniveau og følgelig underlægges skærpede procedurer, ikke automatisk, men skal derimod være resultatet af en individuel vurdering af den specifikke risiko med hensyn til denne kunde, som den forpligtede enhed foretager efter de kriterier, som den pågældende medlemsstat eller den forpligtede enhed selv har identificeret i betragtning af alle relevante risikofaktorer.

93.

Det følger af disse betragtninger, som finder anvendelse mutatis mutandis på dette præjudicielle spørgsmål vedrørende den eventuelle automatiske anvendelse af skærpede kundekendskabsprocedurer, at også det tredje præjudicielle spørgsmål efter min opfattelse skal besvares benægtende.

94.

Når dette er sagt, er det for at give den forelæggende ret en så saglig korrekt besvarelse som muligt nødvendigt at uddybe spørgsmålet om relevansen, inden for den ved direktiv 2015/849 indførte ordning til forebyggelse af hvidvask af penge og finansiering af terrorisme, af de situationer, hvor en af kundens handelspartnere, men ikke kunden selv, på en eller anden måde har tilknytning til et tredjeland med høj korruptionsrisiko.

95.

I denne henseende skal det anføres, som jeg allerede har fremhævet ovenfor, at bilag III til direktiv 2015/849 nævner geografiske faktorer, som kendetegner situationer, der potentielt indebærer en øget risiko, herunder »lande, som troværdige kilder har identificeret som lande med et betydeligt omfang af korruption eller anden kriminel aktivitet«. Dette bilag foretager ingen sondring baseret på, om de geografiske faktorer vedrører kunden eller dennes handelspartnere. Det fremgår endvidere af artikel 8, stk. 1, i direktiv 2015/849, at forpligtede enheder ved risikovurderingen skal tage højde for risikofaktorer ikke kun relateret til deres kunder, men også bl.a. til »transaktioner«. Den tilgang, ifølge hvilken analysen af risikofaktorer omfatter ikke alene kunden som person, men også dennes forretningsaktiviteter, bekræftes endvidere af bestemmelsen i artikel 13, stk. 1, litra d), i direktiv 2015/849 om kundekendskabsprocedurer. Denne bestemmelse fastsætter nemlig, at pligten til at foretage en vedvarende overvågning af forretningsforbindelsen også omfatter kundens forretningsaktiviteter.

96.

I øvrigt taler det ovenfor i punkt 31 erindrede hovedformål med direktiv 2015/849 for en bred fortolkning af begrebet »geografisk risiko«, som inkluderer ikke alene den omstændighed, at kunden stammer fra »lande, som troværdige kilder har identificeret som lande med et betydeligt omfang af korruption eller anden kriminel aktivitet«, men også andre mulige former for tilknytning til dette land, eksempelvis forretningsaktiviteter eller betydelige forretningsindtægter med tilknytning til dette land. I denne henseende vil jeg påpege, at det fremgår af FATF’s vejledninger til leverandører af eksterne bogføringsydelser om den risikobaserede tilgang ( 42 ) – som kan være af relevans for fortolkningen af direktiv 2015/849 ( 43 ) – at den omstændighed, at kundens indtægtskilde (source of wealth), som inkluderer forretningsindtægter, hidrører fra et land med øget risiko, udgør en risikofaktor, som udbydere af ydelser inden for bogføring og bogholderi skal tage i betragtning ( 44 ).

97.

Når dette er sagt, og som allerede anført ovenfor i punkt 29, følger forpligtede enheders forpligtelser i princippet af den nationale gennemførelseslov og ikke direkte af direktiv 2015/849. Den lettiske hvidvasklov fastsætter i artikel 111, stk. 3, der er nævnt ovenfor i punkt 82, at den omstændighed, at kunden eller kundens reelle ejer har tilknytning til et land eller område med høj korruptionsrisiko, udgør en risikofaktor, som skal tages i betragtning i risikovurderingen. Til forskel fra bilag III til direktiv 2015/849 synes denne bestemmelse således at begrænse relevansen af den geografiske faktor, hvad angår det personelle anvendelsesområde, til at omfatte kunden selv eller kundens reelle ejer.

98.

Denne bestemmelse skal dog fortolkes i overensstemmelse med direktiv 2015/849, hvilket det tilkommer den forelæggende ret at gøre. I denne henseende vil jeg i øvrigt tilføje, at på baggrund af ovenstående betragtninger ville en fortolkning, som er i overensstemmelse med dette direktiv, kræve, at denne bestemmelse fortolkes således, at geografiske risikofaktorer også inkluderer kundens tilknytning til et land eller område med høj korruptionsrisiko i relation til kundens forretningsindtægter, og derfor også kundens transaktioner med tilknytning til dette land, herunder indtægter fra forretningsaktiviteter med handelspartnere, som har tilknytning til et tredjeland med høj korruptionsrisiko.

99.

Når dette er sagt, er det i henhold til det ovenfor i punkt 64 omhandlede proportionalitetskrav nødvendigt at tage højde for omfanget og betydningen af transaktionen eller forretningsindtægterne med tilknytning til landet med øget risiko, hvilket nødvendigvis afhænger af en individuel analyse. Følgelig udgør ikke enhver indtægt fra forretningsaktiviteter med handelspartnere, som har tilknytning til et tredjeland med høj korruptionsrisiko, en risikofaktor, som skal tages i betragtning i risikovurderingen med hensyn til kunden. Kun transaktioner og forretningsindtægter af betydeligt omfang er relevante i denne henseende og kan anses for at være et element af tilknytning til dette land. Dette kan eksempelvis være et tilfælde, hvor kunden opnår en del af sine indtægter – som kan betragtes som betydelig i relation til kundens samlede omsætning – fra denne handelspartner, som har tilknytning til tredjelandet med høj korruptionsrisiko, eller hvis forretningstransaktionerne på en eller anden måde kan medføre, at kunden er afhængig af denne handelspartner.

100.

Det tilkommer under alle omstændigheder den forelæggende ret at efterprøve, hvorvidt dette er tilfældet med hensyn til den konkrete forretningsforbindelse mellem RBA Consulting og dets handelspartner, som har tilknytning til tredjelandet med høj korruptionsrisiko, og derfor hvorvidt Rodl & Partner burde have taget højde for denne transaktion, da den vurderede risikoen med hensyn til sin kunde. I denne henseende finder de betragtninger, som jeg har foretaget ovenfor i punkt 88 og 89, anvendelse mutatis mutandis på risikovurderingen med hensyn til RBA Consulting.

101.

I lyset af samtlige ovenstående betragtninger foreslår jeg Domstolen at besvare det tredje præjudicielle spørgsmål som anført i nr. 2) i afsnit IV i dette forslag til afgørelse.

102.

Med det fjerde præjudicielle spørgsmål ønsker den forelæggende ret oplyst, om artikel 13, stk. 1, litra c) og d), i direktiv 2015/849 skal fortolkes således, at disse bestemmelser foreskriver, at den forpligtede enhed ved sin gennemførelse af kundekendskabsprocedurer skal anmode kunden om en kopi af den kontrakt, der er indgået mellem kunden og en tredjemand, eller hvorvidt det kan anses for tilstrækkeligt at foretage en undersøgelse af den pågældende kontrakt in situ.

103.

Det fjerde præjudicielle spørgsmål vedrører på lige fod med det tredje de indsigelser, som VID har fremsat for så vidt angår Rodl & Partners vurdering af risikoniveauet med hensyn til dennes anden omhandlede kunde, RBA Consulting.

104.

Som anført ovenfor i punkt 39 definerer artikel 13, stk. 1, i direktiv 2015/849 de (almindelige) kundekendskabsprocedurer, som forpligtede enheder skal gennemføre, hvis de identificerer et normalt risikoniveau. Blandt disse procedurer regnes de i bestemmelsens litra c) og d) omhandlede.

105.

Som det fremgår ovenfor i punkt 61 og 62 samt af artikel 8, stk. 2, og artikel 13, stk. 4, i direktiv 2015/849, som nævnes i disse punkter, skal forpligtede enheder overholde kravet om at kunne dokumentere og over for de relevante kompetente myndigheder godtgøre både deres risikovurderinger med hensyn til kunderne, og at de anvendte kundekendskabsprocedurer må anses for at være passende i betragtning af det identificerede risikoniveau ( 45 ).

106.

Endvidere har disse enheder i medfør af artikel 40, stk. 1, litra a), i direktiv 2015/849 pligt til at opbevare en kopi af de dokumenter og oplysninger, der er nødvendige for at opfylde kundekendskabskravene ifølge direktivet.

107.

Ovennævnte bestemmelser i direktiv 2015/849 fastsætter i øvrigt ikke de nærmere regler for, hvordan forpligtede enheder kan overholde disse krav om godtgørelse og dokumentation over for de kompetente myndigheder. Spørgsmålet fra den forelæggende ret vedrører netop disse regler.

108.

I denne henseende mener jeg, at en forpligtet enhed såsom Rodl & Partner, når den er genstand for en undersøgelse såsom den af VID foretagne, skal dokumentere på passende måde og fremlægge beviser for den risikovurdering, som enheden har foretaget med hensyn til en kunde, ud over at godtgøre, at denne vurdering tager højde for alle relevante risikofaktorer og giver et passende grundlag for enhedens konklusion om den type af kundekendskabsprocedurer, som er anvendt over for denne kunde.

109.

Såfremt der i forbindelse med denne risikovurdering skal tages højde for en forretningsforbindelse eller transaktion med en partner, som har tilknytning til et tredjeland med høj korruptionsrisiko, skal den forpligtede enhed stille passende dokumentation til rådighed for den kompetente myndighed, som godtgør, at enheden har analyseret denne transaktion eller forretningsforbindelse og taget dette i betragtning på behørig vis, når enheden har draget sine slutninger om kundens risikoniveau.

110.

Når dette er sagt, forudsætter den godtgørelses- og dokumentationspligt, som påhviler den forpligtede enhed, efter min opfattelse ikke nødvendigvis, at der altid skal fremlægges en fysisk kopi af en kontrakt. Efter omstændighederne kan godtgørelsespligten opfyldes på andre måder, som imidlertid skal være passende hertil. Der kan eksempelvis, som Kommissionen i det væsentlige har anført, være tale om fremlæggelse af vurderingsrapporter med hensyn til kontrakten, som indeholder de nødvendige oplysninger for konkret at vurdere risikoen knyttet til denne forretningsforbindelse, og som kan godtgøre, at den forpligtede enhed reelt har analyseret og taget højde for denne kontrakt i sin risikovurdering med hensyn til kunden.

111.

Den forpligtede enhed kan efter min opfattelse imidlertid ikke begrunde den manglende hensyntagen til denne forretningsforbindelse i risikovurderingen med hensyn til kunden ved at påberåbe sig, at det er umuligt at fremlægge den konkrete kontrakt. Fuldstændig mangel på beviser og dokumentation vedrørende en forretningsforbindelse, som er af betydning i risikovurderingen med hensyn til kunden, udgør en manglende opfyldelse af de ovenfor i punkt 105 nævnte forpligtelser. Det tilkommer selvsagt den forelæggende ret at vurdere, om dette er tilfældet i den konkrete situation.

112.

I lyset af samtlige ovenstående betragtninger foreslår jeg Domstolen at besvare det fjerde præjudicielle spørgsmål som anført i nr. 3) i afsnit IV i dette forslag til afgørelse.

113.

Med det femte præjudicielle spørgsmål ønsker den forelæggende ret oplyst, om artikel 14, stk. 5, i direktiv 2015/849 skal fortolkes således, at den forpligtede enhed skal gennemføre kundekendskabsprocedurer i forbindelse med de eksisterende erhvervskunder, også selv om der ikke er konstateret væsentlige ændringer i kundens forhold, og den af medlemsstaternes kompetente myndighed fastsatte frist til at træffe nye overvågningsforanstaltninger ikke er udløbet, og om denne pligt alene er gældende i forbindelse med højrisikokunder.

114.

Dette spørgsmål er blevet rejst, fordi VID i den konkrete situation fastslog, at Rodl & Partner overtrådte den lettiske hvidvasklov, ifølge hvilken en forpligtet enhed regelmæssigt, og under alle omstændigheder mindst hver 18. måned, skal ajourføre oplysningerne om sine kunder ( 46 ). Da VID foretog undersøgelserne af Rodl & Partner, havde RBA Consulting endnu ikke været kunde hos Rodl & Partner i 18 måneder.

115.

Artikel 14, stk. 5, i direktiv 2015/849 foreskriver, at forpligtede enheder skal gennemføre kundekendskabsprocedurer, ikke blot over for alle nye kunder, men også over for eksisterende kunder på passende tidspunkter på et risikobaseret grundlag, eller når en kundes relevante omstændigheder ændrer sig (eller i de andre situationer, som er blevet tilføjet i kraft af ændringerne ved direktiv 2018/843).

116.

I denne forbindelse vil jeg erindre om, at der ved fortolkningen af en EU-retlig bestemmelse ikke blot skal tages hensyn til dennes ordlyd, men også til den sammenhæng, hvori den indgår, og til de mål, der forfølges med den ordning, som den udgør en del af ( 47 ).

117.

Ud fra en ordlydsmæssig synsvinkel fremgår det af artikel 14, stk. 5, i direktiv 2015/849, at forpligtede enheder skal gennemføre kundekendskabsprocedurer over for eksisterende kunder »på passende tidspunkter«, »på et risikobaseret grundlag«. Det fremgår endvidere, at et, men ikke det eneste, af de tilfælde, hvor det er hensigtsmæssigt at gennemføre disse procedurer, er, »når en kundes relevante omstændigheder ændrer sig«. Direktiv 2015/849 giver imidlertid ikke klare oplysninger om, hvad der skal forstås ved »passende tidspunkter«. Dog kan det udledes af ordlyden af denne bestemmelse, at en forpligtet enhed skal gennemføre eller opdatere kundekendskabsprocedurer, ikke alene når dette anses for at være nødvendigt, men også hensigtsmæssigt, i relation til vurderingen af risikoen for hvidvask af penge med hensyn til kunden, hvilken vurdering som allerede anført afhænger af analysen af alle relevante faktorer. Ud fra en ordlydsmæssig synsvinkel skal det tilføjes, at den omhandlede bestemmelse ikke begrænser denne pligt til alene at omfatte kunder, som tillægges et højt risikoniveau.

118.

Denne fortolkning af den omhandlede bestemmelse understøttes ud fra en systematisk synsvinkel. Først og fremmest skal det konstateres, at artikel 14, stk. 5, i direktiv 2015/849 findes i afdeling 1, som har overskriften »Generelle bestemmelser«, i kapitel II, som vedrører kundekendskabskrav, i direktiv 2015/849. Følgelig omfatter den pligt, som påhviler forpligtede enheder ifølge denne bestemmelse, alle kunder uafhængigt af, om de har et normalt, lavt eller højt risikoniveau.

119.

Som allerede anført ovenfor i punkt 63, er risikovurderingen inden for ordningen i direktiv 2015/849 endvidere en dynamisk og, inden for rimelige grænser, løbende proces. Forpligtede enheder skal derfor i princippet foretage en vedvarende overvågning, inden for rimelige grænser, af deres kunders transaktioner. Heraf følger, at disse enheder, såfremt de får kendskab til elementer, herunder transaktioner, som potentielt kan påvirke risikovurderingen med hensyn til en kunde, skal tage højde for disse elementer og om hensigtsmæssigt revidere risikovurderingen og eventuelt den over for denne kunde anvendte type af kundekendskabsprocedurer.

120.

En udvidende fortolkning, inden for rimelige grænser, af den omhandlede bestemmelse er i øvrigt efter min opfattelse på linje med det ovenfor i punkt 31 erindrede hovedformål med direktiv 2015/849.

121.

Hvad angår den foreliggende situation vil jeg først og fremmest anføre, sådan som den lettiske regering og den forelæggende ret har fremhævet, at en forpligtet enhed ifølge den lettiske lovgivning regelmæssigt skal ajourføre oplysningerne om sine kunder, men fristen på 18 måneder udgør kun den maksimale frist for denne ajourføring. En fortolkning af den omhandlede bestemmelse, som er i overensstemmelse med artikel 14, stk. 5, i direktiv 2015/849, indebærer efter min mening, at den ikke kan opfattes således, at der ikke foreligger en pligt for en forpligtet enhed til at revidere og eventuelt ændre sin risikovurdering med hensyn til en kunde – og følgelig til, hvor dette er hensigtsmæssigt, at tilpasse de anvendte procedurer – hver gang enheden får kendskab til elementer, som potentielt kan påvirke denne risikovurdering.

122.

Det tilkommer den forelæggende ret at efterprøve, om de transaktioner, som RBA Consulting indgik med det selskab, som har tilknytning til tredjelandet med høj korruptionsrisiko, og som Rodl & Partner ubestridt fik kendskab til, var af en sådan karakter, at det skulle anses for hensigtsmæssigt, i relation til risikovurderingen med hensyn til RBA Consulting – også i lyset af disse transaktioner – at Rodl & Partner skulle opdatere den nævnte vurdering og eventuelt ændre kundekendskabsprocedurer med hensyn til sin kunde uafhængigt af, om den i den lettiske lovgivning fastsatte maksimale frist på 18 måneder var udløbet.

123.

I lyset af samtlige ovenstående betragtninger foreslår jeg Domstolen at besvare det femte præjudicielle spørgsmål som anført i nr. 4) i afsnit IV i dette forslag til afgørelse.

124.

Med det sjette præjudicielle spørgsmål ønsker den forelæggende ret oplyst, om artikel 60, stk. 1 og 2, i direktiv 2015/849 skal fortolkes således, at den kompetente myndighed i forbindelse med offentliggørelsen af oplysninger om en afgørelse, hvorved der pålægges en administrativ sanktion eller foranstaltning som følge af en overtrædelse af de nationale bestemmelser, der gennemfører det pågældende direktiv, har pligt til at sikre, at de offentliggjorte oplysninger er nøjagtigt overensstemmende med de oplysninger, der fremgår af afgørelsen.

125.

I denne sammenhæng er det først og fremmest nødvendigt at forkaste den lettiske regerings argument om, at dette spørgsmål ikke kan antages til realitetsbehandling, fordi det er af hypotetisk karakter ( 48 ). Det simple forhold, at Domstolen anmodes om en fortolkning af både stk. 1 og stk. 2 i artikel 60 i direktiv 2015/849, som i lyset af ordlyden af dette sidste stykke har en indbyrdes sammenhæng, bevirker reelt ikke, at dette spørgsmål er af hypotetisk karakter. Endvidere fremgår det udtrykkeligt af forelæggelsesafgørelsen, at der på tidspunktet for vedtagelsen af de omtvistede afgørelser forelå unøjagtigheder i offentliggørelsen vedrørende den afgørelse, der kan påklages.

126.

Hvad angår realiteten fremgår det af stk. 2 i artikel 60, at en offentliggørelse på internettet skal omfatte de oplysninger, der fremgår af afgørelser, der kan påklages. Disse oplysninger skal derfor være nøjagtigt overensstemmende med de oplysninger, der fremgår af de ovennævnte afgørelser. I konsekvens heraf foreslår jeg Domstolen at besvare det sjette præjudicielle spørgsmål som anført i nr. 5) i afsnit IV i dette forslag til afgørelse.

127.

På baggrund af ovenstående betragtninger foreslår jeg Domstolen at besvare de præjudicielle spørgsmål, som Administratīvā rajona tiesa (distriktsdomstol i forvaltningsretlige sager, Letland) har forelagt, på følgende måde: