Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec...
Die BaFin hat bei dem Berliner Fintech N26 erneut teils gravierende Mängel in der Betrugsbekämpfung und beim internen Kontrollsystem festgestellt, woraufhin Investoren auf die Ablösung der Gründer Valentin Stalf und Maximilian Tayenthal drängen. Die BaFin droht mit weiteren Maßnahmen und erwägt Verwarnungen gegen Geschäftsleiter, da das Institut nach Einschätzung der Behörde nicht in der Lage sei, weiteres Kundenwachstum angemessen zu managen. Bereits 2021 hatte die BaFin wegen unzureichender Compliance-Strukturen eine Neukundenbegrenzung verhängt, die N26 nach eigenen Angaben Milliarden kostete.
Inhaltsverzeichnis
22. August 2025
EBA: AML-Risiken durch unachtsame Verwendung innovativer Compliance-Produkte
Die Europäische Bankenaufsichtsbehörde (EBA) hat eine Stellungnahme zu den Risiken der Geldwäsche und Terrorismusfinanzierung (ML/TF) für den Finanzsektor der EU veröffentlicht. Die EBA sieht große Herausforderungen im Bereich AML, insbesondere in den Sektoren Krypto, FinTech und RegTech.
23. Juli 2025
Digitale Kunst und die Pflichten der Geldwäschebekämpfung
Die Welt wird digitaler, und das macht sich auch bei Kunst bemerkbar: bereits seit einigen Jahren kann man digitale Kunst in Museen wie dem Moco in London bestaunen. Dazu gehört auch das Phänomen von sog. NFTs (Non-Fungible Token). Im folgenden Beitrag soll erörtert werden, wie digitale Kunst geldwäscherechtlich behandelt wird, welche Konsequenzen sich für Verpflichtete ergeben, und was das ab 2027 anzuwendende EU-Geldwäschepaket für digitale Kunst bedeutet.
Die Zeiten der kompletten Anonymität im Kunsthandel sind bereits seit einiger Zeit vorbei. Kunsthändler müssen – ab gewissen Wertgrenzen – die Identität der Kunden feststellen. Unklarheit herrscht insoweit für digitale Kunstmärkte. Wie weit fallen diese in den Anwendungsbereich des Geldwäschegesetzes? Digitale Kunst/NFTs fallen nach aktuellem Stand in eine Grauzone, da sie nicht in den antiquitätenlastigen Kulturgutkatalog passen.
I. Akteure des Kunstmarktes und Notwendigkeit der Definition des Kunstbegriffes für die Verpflichtetenstellung im Geldwäscherecht
Auf europäischer Ebene waren im Kunstmarkt agierende Akteure im Geldwäschekontext lange Zeit nur indirekt erfasst. Die 4. EU-Geldwäscherichtlinie (Richtlinie (EU) 2015/849) verpflichtete zunächst nur allgemein „Personen, die gewerblich mit Gütern handeln“ – allerdings beschränkt auf Barzahlungen ab EUR 10.000. Kunstwerke fielen damit nur unter das Geldwäscherecht, wenn hohe Bargeldsummen im Spiel waren. Mittlerweile lässt die Anti-Geldwäsche-Gesetzgebung auch den Kunstmarkt nicht mehr außen vor und bezieht wesentliche Akteure dieses Marktes in ihren Anwendungsbereich ein. Durch die 5. EU-Geldwäscherichtlinie (Richtlinie (EU) 2018/843) wurde der Kunstsektor ausdrücklich genannt: Nun zählen „Personen, die mit Kunstwerken handeln oder beim Handel mit Kunstwerken als Vermittler tätig werden, auch Kunstgalerien und Auktionshäuser, sofern sich der Wert einer Transaktion oder einer Reihe verbundener Transaktionen auf 10 000 EUR oder mehr beläuft“ zu den Verpflichteten. Ebenso wurden „Personen, die Kunstwerke lagern, mit Kunstwerken handeln oder beim Handel mit Kunstwerken als Vermittler tätig werden, wenn dies durch Freihäfen ausgeführt wird, sofern sich der Wert einer Transaktion oder einer Reihe verbundener Transaktionen auf 10 000 EUR oder mehr beläuft“ erfasst. Diese Klarstellung erfolgte vor dem Hintergrund spektakulärer Auktionspreise und Enthüllungen (etwa durch die Panama Papers), die zeigten, dass der Kunstmarkt für Geldwäsche missbraucht wurde. Die EU wollte hier ein Schlupfloch schließen. Unter dem deutschen Geldwäschegesetz (GwG) in seiner derzeitigen Form sind Kunsthändler (unter dem Tatbestandsmerkmal des Güterhändlers), Kunstvermittler und Kunstlagerhalter grundsätzlich als Verpflichtete erfasst (§ 2 Abs. 1 Nr. 16 GwG). Das GwG definiert den Begriff des Güterhändlers (unter den, wie gesagt, auch Kunsthändler fallen) als jemanden, der „gewerblich Güter veräußert oder erwirbt, unabhängig davon, in wessen Namen oder auf wessen Rechnung“ (§ 1 Abs. 9 GwG). Kunstvermittler wiederum ist, wer gewerblich den Abschluss von Kaufverträgen über Kunstgegenstände vermittelt, auch als Auktionator oder Galerist. Damit unterliegen klassische Akteure des Kunstmarkts den geldwäscherechtlichen Pflichten, sobald der Schwellenwert von EUR 10.000,00 überschritten wird. Der Anknüpfungspunkt für die Verpflichtetenstellung erfolgt also einerseits über die Definitionen der Tätigkeiten (handeln oder vermitteln). Andererseits bezieht sich die jeweilige Definition auf die Ausübung dieser Tätigkeit in Bezug auf Kunstgegenstände bzw. Kunstwerke (works of art). Der für die Verpflichtetenstellung also sehr zentrale Begriff der Kunstgegenstände und -werke ist allerdings weder im deutschen GwG noch in den europäischen Richtlinien definiert, so dass sich hier die Frage stellt, was der Begriff umfasst. Diese Frage wird insbesondere bei neuen Phänomenen wie digitaler Kunst und NFTs (Non-Fungible Tokens) spannend.
II. Digitale Kunst und NFTs als „Kunstwerke“ im Sinne des Geldwäscherechtes
Ganz erheblich für die Verpflichtetenstellung ist, wie der Begriff „Kunstwerk“ geldwäscherechtlich zu definieren ist. Mangels ausdrücklicher Legaldefinition greift der deutsche Gesetzgeber in der Gesetzesbegründung auf den steuerrechtlichen Kunstbegriff zurück. „Kunstgegenstände“ im Sinne des GwG sind demnach solche, die nach Nr. 53 der Anlage 2 zu § 12 Abs. 2 UStG als Kunstwerke zählen. Dazu gehören unter anderem Gemälde, Zeichnungen, Originalstiche, Originalplastiken und Bildhauerarbeiten. Alltagsgegenstände oder Antiquitäten ohne künstlerischen Charakter fallen hingegen nicht darunter. Diese Auslegung orientiert sich an einem sehr traditionell-plastischen Verständnis von Kunstwerken – also physischen Objekten wie Bildern oder Skulpturen. Digitale Kunstwerke, wie beispielsweise NFTs, sind in dieser Aufzählung nicht ausdrücklich enthalten, was Auslegungsfragen aufwirft.
Vor diesem Hintergrund stellt sich die Frage, ob digitale Kunstwerke, beispielsweise in Form von NFTs, unter den geldwäscherechtlichen Kunstbegriff fallen. Sollten NFTs als „Kunstgegenstände“ zu qualifizieren sein, würden und NFT-Plattformen entsprechend als Kunstvermittler gelten, und müssten sodann geldwäscherechtliche Pflichten erfüllen.
1. NFT als „Kunstgegenstand“
Wenn man NFTs (Non-Fungible Token) und Kunst hört, denkt man schnell an „Everydays: The First 5000 Days“ von Beeple, CryptoPunks oder die Bored Apes. Die NFTs, die den Besitz eines digitalen Kunstwerks eindeutig einer Person (bzw. Adresse) mittels Blockchain-Technologie zuordnen lassen können, können (in der Regel frei, einfach und schnell) digital zwischen Personen übertragen werden. Grundsätzlich braucht es hierfür keine Intermediäre, die geldwäscherechtlich verpflichtet sein könnten. In der Praxis treten dennoch meistens Akteure auf, die Plattformen und andere Dienstleistungen anbieten. Die meisten NFTs repräsentieren digitale Sammlerstücke oder Kunstwerke, die oft zu hohen Preisen gehandelt werden. Allerdings sind NFTs immaterielle Token. Sie lassen sich keinem der klassischen Kunstgegenstände (Gemälde, Plastiken etc.) eindeutig zuordnen. Aussagen der Aufsichtsbehörden über NFTs als Kunstgegenstand sind nicht bekannt. Die BaFin hat klargestellt, dass sie nur zuständig ist, wenn ein NFT als Finanzinstrument einzustufen ist.
Wie weit ein NFT ein Kunstgegenstand nach dem GwG ist oder sein kann, ist nicht klar erfasst. Auch die Gemeinsamen Auslegungs- und Anwendungshinweise der Länder (AuA) enthalten keinen expliziten Hinweis, sodass abermals Interpretation gefragt ist. Bereits seit längerem ist anerkannt, dass der Güterbegriff nach dem GwG keine Materialisierung verlangt. Sowohl in der juristischen Fachliteratur werden unkörperliche Gegenstände unter den Güterbegriff subsumiert. Auch aus den AuA der Länder ergibt sich, dass bewegliche und unbewegliche Sachen ohne Berücksichtigung ihres Aggregatzustandes, wie beispielsweise Gas und Strom, erfasst sind. Dieser immaterielle Ansatz steht allerdings im Gegensatz zu der oben bereits genannten klassischen Definition des physischen Kunstwerkes des Steuerrechts, dem sich bisher für das Geldwäscherecht bedient wird. Höchstrichterliche Rechtsprechung, die Klarheit schaffen könnte, existiert (noch) nicht. Für digitale Kunst und NFTs bleibt also unklar, ob sie als „Kunstgegenstände“ gelten. Aktuell spricht vieles dafür, dass NFTs mangels ausdrücklicher Regelung nicht als Kunstgegenstände erfasst sind; so auch der FATF (Financial Action Task Force) Bericht von Juni 2023.
2. NFT-Plattformen als geldwäscherechtlich Verpflichtete
Ein Hauptproblem ist – wie oben diskutiert – die Einordnung neuartiger Geschäftsmodelle im Kunstmarkt. Online-Plattformen für digitale Kunst/NFTs bewegen sich derzeit in einer Grauzone. Nach geltendem Wortlaut sind sie nicht als Kunstvermittler erfasst, solange NFTs nicht als „Kunstgegenstände“ gelten. Die Aufsicht der BaFin erfasst sie nur, wenn die NFTs Finanzinstrumente sind.
NFT-Plattformen können als Kryptowertedienstleister unter der MiCAR nur erfasst werden, wenn die NFTs tatsächlich nicht einmalig und mit anderen Kryptowerten fungibel sind. Allerdings gilt das nur für solche NFTs, die faktisch wie Kryptowährungen fungieren. Rein künstlerische NFTs, die tatsächlich einmalig sind, fallen nicht darunter.
Für Kunsthändler und Plattformbetreiber besteht die erhebliche Unsicherheit, selbst einschätzen zu müssen, ob und welche (Erlaubnisanforderungen und) geldwäscherechtlichen Pflichten für ihr konkretes Geschäftsmodell gelten, wenn sie mit NFTs handeln. Angesichts dieser Graubereiche und der drohenden Sanktionen sind viele Marktteilnehmer gut beraten, rechtskundigen Rat einzuholen.
III. Zukunftsausblick: EU-Geldwäscheverordnung, 6. Richtlinie und digitale Kunst ab 2027
1. Neuerungen durch die AMLR und AMLD6
Zum 10. Juli 2027 wird die EU-Geldwäscheverordnung (Verordnung (EU) 2024/1624 – AMLR) und die sechste EU-Geldwäscherichtlinie (Richtlinie (EU) 2024/1640 – AMLD6) das Geldwäscherecht neugestalten. Dabei wird der Begriff des Kunstvermittlers und Kunstlagerhalters ersetzt. Die neuen Begrifflichkeiten knüpfen an den Handel, die Vermittlung oder Aufbewahrung von Kulturgütern an. Kulturgüter werden durch einen Verweis auf den Anhang I der Kulturgüterverordnung (Verordnung (EG) Nr. 116/2009) definiert. Diese erfasst eine Vielzahl von Gegenständen, einschließlich Bilder und Gemälden, aus jeglichem Material und auf jeglichem Träger, die vollständig von Hand hergestellt sind.
Im Hinblick auf digitale Kunst stellt sich die Frage, wie weit diese nun von der neuen Terminologie erfasst wird.
2. Neue Definitionen und verpflichtete Akteure
Die AMLR, die ab 10. Juli 2027 unmittelbar gilt, ersetzt die bisherigen Regeln des GwG in weiten Teilen. Insbesondere wird der bisher allgemeine Begriff des „Güterhändlers“ abgeschafft. Stattdessen nennt die Verordnung sehr spezifisch bestimmte Kategorien von Waren und Branchen. Für den Kunstbereich führt sie den weiter gefassten Terminus „Kulturgüter“ ein. Die Kategorien Kunsthändler/Kunstvermittler (§ 2 Abs. 1 Nr. 16 GwG) werden in der heutigen Form entfallen. Stattdessen wird man von Kulturguthändlern, -vermittlern und -lagerhaltern sprechen, wie sie in der AMLR definiert sind. Durch den Begriff der „Kulturgüter“ wird Bezug genommen auf die EU-Kulturgüterschutzverordnung, die z.B. im Zollrecht die Ausfuhr kulturell wertvoller Gegenstände regelt. Anhang I dieser Verordnung listet im Wesentlichen historische Kulturgüter auf – von archäologischen Objekten (über 100 Jahre alt) über Gemälde, Skulpturen, Zeichnungen bis hin zu antiken Büchern, Archivalien und Sammlungsstücken. Typischerweise enthalten sind Alters- oder Wertgrenzen (z.B. Gemälde älter als 50 Jahre und bestimmter Mindestwert). Ähnlich wie unter der aktuellen Rechtslage, wird also auch zukünftig weitestgehend auf plastische, typisierte Gegenstände abgestellt, um den Begriff „Kulturgüter“ auszufüllen.
Zugleich definiert die AMLR, wer in Bezug auf solche Kulturgüter verpflichtet ist. Erfasst werden künftig explizit:
„Personen, die mit Kulturgütern handeln oder beim Handel mit Kulturgütern als Vermittler tätig werden, auch Kunstgalerien und Auktionshäuser, sofern sich der Wert einer Transaktion oder verbundener Transaktionen auf mindestens 10 000 EUR oder den Gegenwert in Landeswährung beläuft“. Das entspricht inhaltlich den bisherigen Kunsthändlern und -vermittlern, nun aber unter dem Oberbegriff Kulturguthandel/Kulturgutvermittlung.
„Personen, die Kulturgüter und andere hochwertige Güter aufbewahren, mit ihnen handeln oder beim Handel mit ihnen als Vermittler tätig werden, wenn dies in Freizonen und Zolllagern erfolgt, sofern sich der Wert einer Transaktion oder der verbundenen Transaktionen auf mindestens 10 000 EUR oder den Gegenwert in Landeswährung beläuft;“. Damit wird die Kategorie Kunstlagerhalter in Freihäfen fest institutionalisiert (eine Lehre aus den Freeport-Vorkommnissen).
3. Digitale Kunst als Kulturgut?
Die spannende Frage lautet nun, ob digitale Kunstwerke wie NFTs zukünftig in den Anwendungsbereich fallen. Schließlich knüpft die AMLR an den Kulturgutbegriff an, der ausweislich Anhang I der EU-Kulturgüterschutzverordnung überwiegend physische und historische Objekte umfasst. Rein digitale Güter werden dort nicht erwähnt. Dies ist auch verständlich, stammt die Liste doch im Kern aus dem Jahr 2009. Damals war an das NFT-Kunstwerk aus 2021 noch nicht zu denken. Dies bedeutet zwar nicht zwangsläufig, dass NFT automatisch kein „Kulturgut“ sein könnten, da auch ältere abstrakte Gesetze grundsätzlich so anpassungsfähig sind, auch moderne Sachverhalte zu erfassen; es mangelt NFT allerdings an einer ganz entscheidenden Voraussetzung, die im Anhang I der EU-Kulturgüterschutzverordnung vorausgesetzt wird: Das Alter. NFT sind weder älter als 50 Jahre, noch materielle Objekte wie Gemälde oder Skulptur. Auch moderne digitale Werke würden durch das Raster fallen, solange der Katalog nicht angepasst wird. Zwar enthält Anhang I auch allgemeine Kategorien wie „Originale von Bildern und Gemälden […] in beliebigem Material“ ohne Altersangabe. Doch selbst wenn man ein digitales Bild als „Bild in beliebigem Material“ interpretieren wollte, bleibt das Problem der Materialität: Die Vorschriften zielten auf physische Gegenstände ab, nicht auf virtuelle Token. Es bedürfe schon einer sehr kreativen Auslegung des Merkmals „beliebiges Material“, um auch immaterielle Kunst darunter zu fassen. Dies dürfte mit dem Wortlaut der Anlage I kaum vereinbar sein.
Neben dem Handel mit Kulturgütern erfasst die AMLR auch den Handel mit hochwertigen Gütern. Auch eine Einstufung als “hochwertige Güter” scheidet aber aus. Diese verweisen auf einen eigenen Katalog an Gegenständen in der AMLR und erfassen – ab einem bestimmten Wert – Schmuck, Gold- und Silberschmiedewaren, Uhren, Kraftfahrzeuge, Luftfahrzeuge und Wasserfahrzeuge.
Es spricht also viel dafür, dass digitale Kunst und NFTs auch unter der künftigen AMLR zunächst nicht erfasst sind. Allerdings ist die Entwicklung nicht abgeschlossen. Zum einen eröffnet die AMLR der EU die Möglichkeit, neue Risiken aufzugreifen. Sollte sich herausstellen, dass NFTs in erheblichem Umfang für Geldwäsche missbraucht werden, könnte der Gesetzgeber reagieren – etwa durch Ergänzung des Kulturgutkatalogs oder spezifische Regelungen für digitale Vermögenswerte. So wird auch die MiCAR im Hinblick auf NFTs überprüft werden. Zum anderen dürfen NFTs nicht isoliert betrachtet werden: Kryptowert-Dienstleister (wie Wallet-Anbieter, Börsen etc.) sind weiterhin erfasst. Wenn NFT-Marktplätze Leistungen erbringen, die die Definition der Kryptowertedienstleistungen entsprechen (z.B. Verwahrung von Kryptowerten, Tausch von Kryptowerten), könnten sie über diese Tätigkeiten unter die geldwäscherechtlichen Verpflichtungen fallen. Die 6. Geldwäscherichtlinie (AMLD6) verpflichtet die Mitgliedstaaten jedenfalls, ihr nationales Recht an die neuen Kategorien anzupassen und Verstöße entsprechend zu sanktionieren. Es bleibt also etwas Zeit für die digitale Kunstszene.
IV. Bewertung und Ausblick
Aus Sicht von Kunsthändlern und NFT-Plattformen bedeutet das neue EU-Paket zwar eine gewisse Kontinuität, allerdings auch neue rechtliche Fragen. Die klassischen Pflichten (KYC, Monitoring, Meldungen) bleiben bestehen, allerdings auf EU-Ebene vereinheitlicht. Die Schwellenwerte wie EUR 10.000 werden ebenfalls beibehalten. Neu ist die Begrifflichkeit: Man wird sich an “Kulturgüter” statt “Kunstwerke” orientieren müssen. Für alte Meister und Antiquitäten ist das passgenau; Digital Art hingegen bleibt nicht erfasst. Marktteilnehmer sollten aber die Entwicklung über 2027 hinaus beobachten.
Der Autor:
Johannes Wirtz, LL.M. (University of London) ist Partner bei der internationalen Anwaltskanzlei Bird & Bird LLP in Frankfurt/Main und arbeitet im Bereich Finance & Financial Regulation. Er berät dort auch im Unternehmen in Kryptosektor sowie zu geldwäscherechtlichen Fragestellungen. Sie erreichen den Autor unter: johannes.wirtz@twobirds.com
Inhaltsverzeichnis
23. August 2025
Wenn die KI irrt – Haftungsszenarien und Kontrollpflichten für Geldwäschebeauftragte
Teil 2 der Serie zur KI-Governance in der Geldwäscheprävention
Der erste Teil dieser dreiteiligen Serie hat die Rolle der Zentralen Stelle und des Geldwäschebeauftragten (GWB) im Spannungsfeld von Technologieeinsatz, regulatorischer Verantwortung und menschlicher Letztverantwortung beleuchtet. Dabei wurde deutlich: Der Einsatz von KI kann zwar Prozesse beschleunigen, entbindet aber keinesfalls von der Haftung – im Gegenteil.
Der zweite Teil führt diese Analyse nun konsequent weiter: Es werden konkrete Haftungsszenarien beim Einsatz von KI in der Zentralen Stelle betrachtet und der Rechtsrahmen eingeordnet – von aktuellen Grundlagen über anstehende Regulierungen bis hin zu wissenschaftlichen Diskussionen. Zudem werden die Anforderungen an Kontrollhandlungen und die Dokumentation beschrieben, und praxisrelevante Leitplanken für die persönliche Haftungsvermeidung des GWB formuliert. Im Fokus steht dabei auch der Sonderfall agentenbasierter Systeme.
Gegenwärtige Haftungsdogmatik
Die gegenwärtige Haftungsdogmatik in Deutschland und der EU folgt einer dreiteiligen Struktur, die auch auf KI-Systeme zunehmend Anwendung findet.
Hierbei wird geprüft, ob ein Akteur durch Verletzung einer Sorgfaltspflicht schuldhaft einen Schaden verursacht hat. Im KI-Kontext liegt das Risiko in:
Unzureichender Kontrolle oder Überwachung des KI-Systems (Organisationsverschulden)
Blindem Vertrauen in KI-Ergebnisse ohne Plausibilisierung
Unterlassener oder fehlerhafter Modellvalidierung oder Systemfreigabe
Die Haftung trifft typischerweise:
Den schuldhaft verursachenden Mitarbeiter (insb. GWB als Verantwortlichen der Zentralen Stelle)
Die Geschäftsleitung bei strukturellem Governance-Versagen
Gefährdungshaftung (z. B. analog zu § 7 StVG)
Im Zivilrecht existiert kein allgemeines Gefährdungshaftungsregime für KI. Gleichwohl wird diskutiert, ob bestimmte KI-Systeme, insbesondere solche mit autonomem Verhalten, als latent gefährdend zu klassifizieren sind.
Gerade bei agentischer KI entsteht ein Zurechnungsdefizit, da deren Verhalten nicht mehr vollständig vorhersagbar ist. Die juristische Kritik erkennt darin ein haftungsrechtlich bedenkliches Maß an Kontrollverlust.
Software, also auch KI, fällt unter das Produkthaftungsrecht. Ein Produktfehler liegt z. B. vorbei:
fehlerhaftem Training des KI-Systems,
Verwendung ungeeigneter Datenquellen,
unterlassenen notwendigen Updates.
Mit Blick auf agentenbasierte KI stellt sich ein neuartiges Problem: Wenn ein System durch eigenständiges Lernen („unsupervised“ oder „reinforcement learning“) ein Verhalten entwickelt, das nicht durch Entwickler oder Betreiber vorhergesehen wurde, droht eine „nichtsteuerbare Haftungslücke“. In der gegenwärtigen Rechtspraxis wird dies nur dann produktrechtlich sanktioniert, wenn nachgewiesen werden kann, dass das Unternehmen das System unzureichend kontrolliert oder gewartet hat.
Geplante Regulierungen bzw. Änderungen
Zu Haftungsfragen sind folgende Änderungen in Planung bzw. Vorbereitung:
AI Act (EU-Verordnung 2024)
Der AI Act verfolgt einen risikobasierten Ansatz. Systeme wie KI-gestütztes Transaktionsmonitoring oder Screening gelten in Verbindung mit den von Bundesbank und BaFin bereitgestellten Dokumenten zum Thema KI als potentielle „high-risk AI“. Betreiber müssen:
Transparenz, Nachvollziehbarkeit und Logging sicherstellen,
technische Robustheit garantieren.
Agentenbasierte Systeme sind aufgrund ihrer adaptiven Zielverfolgung grundsätzlich als besonders risikobehaftet einzustufen. Je nach Kontext wären sie gemäß AI Act vollständig unzulässig oder äußerst streng reguliert.
AI Liability Directive – AILD (KI-Haftungsrichtlinie)
Die Richtlinie sieht keine eigene Haftungsgrundlage vor, sondern regelt:
Beweiserleichterungen bei Schadensersatzklagen gegen KI-Betreiber,
Offenlegungspflichten zu Systemprotokollen und Entscheidungspfaden.
Für agentische KI bedeutet das: Wenn Unternehmen keine klaren Logs oder Entscheidungspfade liefern können, greift eine Beweislastumkehr. Der Schutz vor Haftung hängt direkt an der Fähigkeit, das Verhalten der KI zu rekonstruieren, was bei emergentem Verhalten kaum möglich sein wird.
Reform der Produkthaftungsrichtlinie (2022/0302 COD)
Der Fehlerbegriff wird hier auf lernfähige Software erweitert. Hersteller haften auch bei:
fehlerhaftem Lernen (z. B. durch schlechte Daten),
unterlassener Wartung,
unzureichendem Risikomanagement.
Dies trifft agentische KI mit voller Wucht. Da das Verhalten teils nicht vorhergesagt, aber kausal auf Lernprozesse zurückgeführt werden kann, besteht ein erhöhtes Herstellerhaftungsrisiko, das auch auf Betreiber durchgreifen kann.
Wissenschaftliche Perspektiven
Seit den letzten Jahren findet sich eine zunehmende Anzahl an Fachartikeln und Buchpublikationen, die sich mit den Haftungslücken im Kontext von KI-Anwendungen befassen und Vorschläge unterbreiten, diese Lücken zu schließen. Drei Perspektiven sind hier führend:
Algorithmic Accountability
Reyes fordert ein spezifisches Haftungsregime für KI, das Entscheidungsdesign und Trainingsverantwortung in den Mittelpunkt rückt. Für agentenbasierte KI schlägt er ein „responsibility-by-architecture“-Modell vor, bei dem Systemverantwortung normativ konstruiert wird, auch wenn keine individuelle Steuerung mehr vorliegt [Reyes, C.L., Autonomous Corporate Personhood, Washington Law Review, 2021, in Zusammenhang mit Reyes, C.L., Autonomous Business Reality, Nevada Law Journal, 2021].
Organisationale Verantwortung
Nissenbaum, Brey, betonen, dass strukturelle Verantwortung nur dann sichergestellt werden kann, wenn normative Prinzipien (z. B. Fairness, Erklärbarkeit, Datenschutz) von Anfang an systematisch in technische, organisatorische und soziale Prozesse integriert werden – nicht erst bei Vorfällen oder Haftungssituationen. Hierauf bauen vor allem die Standardisierungs- und Normierungs-Institutionen auf und leiten daraus eine Verantwortlichkeitsarchitektur bestehend aus Rollenmodellen, Verfahrensanweisungen und Kontrollrahmen ab. [Nissenbaum, H., Accountability for Privacy via Institutional Design, 2001; Brey, Ph., Ethics of Emerging Technologies, 2012; sowie weiter IEEE, Ethical Aspects of Autonomous and Intelligent Systems, 2019].
Autopoietische Systeme
Teubnersieht in selbstreferenziellen Systemen wie agentischer KI ein „Rechtsvakuum“: Sie erzeugen Entscheidungen jenseits menschlicher Kontrolle, ohne selbst rechtsfähig zu sein. Er fordert eine funktionale Systemhaftung, bei der nicht mehr das Verhalten Einzelner, sondern das Design und die Reaktionen des gesamten Systems haftungsrechtlich relevant werden [Teubner, G. Recht als poietisches System, 1989, in Verbindung mit Beckers/Teubner, Digitale Aktanten, Hybride, Schwärme, 2024] .
Zusammenfassung zur KI-Haftung
Erkenntnis
Implikation für die Zentrale Stelle
KI-Einsatz ist haftungsrechtlich zulässig, wenn Kontrolle, Nachvollziehbarkeit, menschliche Letztentscheidung sichergestellt sind.
Klassische KI-Systeme sind bei angemessener Governance beherrschbar.
Agentische KI erhöht das Risiko struktureller Kontroll- und Zurechnungsverluste.
Vollständiger operativer Einsatz ist derzeit nicht vertretbar.
Haftung kann nicht auf Systeme übertragen werden.
Verantwortung bleibt beim Menschen (GWB, Geschäftsleitung).
Einsatz nicht erklärbarer, nicht auditierbarer KI ist haftungsrechtlich fahrlässig.
Bei Schaden droht persönliche Inanspruchnahme.
Agentische KI ist aufsichtsrechtlich ausgeschlossen.
Solange dieser Ausschluss gilt, entfällt für GWB ein Teil der Haftungsexposition durch präventive Unzulässigkeit.
Haftungsszenarien bei KI-Versagen in der Zentralen Stelle
Der GWB ist nach § 7 GwG in Verbindung mit § 25h KWG als verantwortliche Person für die institutsinterne Geldwäscheprävention benannt. Mit der Zuweisung dieser Rolle übernimmt er faktisch eine Organfunktion mit umfassender Sorgfalts-, Überwachungs- und Steuerungspflicht. Die Integration von KI-Systemen insbesondere zur Transaktionsüberwachung, Sanktionslistenprüfung oder Musteranalyse verändert nicht die Verantwortlichkeit, sondern verändert die Natur des Risikos: Aus operativ-beobachtbar wird technisch-vermittelt und potenziell intransparent.
Typische haftungsrelevante Szenarien:
Unzureichende Kontrolle der Systemlogik (z. B. bei dauerhaft falsch klassifizierten kritischen Transaktionen ohne Intervention)
Blindes Vertrauen in KI-Empfehlungen (z. B. bei Nichtmeldung trotz meldepflichtiger Indikatoren)
Unterlassene Validierung oder unzureichendes Monitoring (z. B. bei plötzlichem Ausbleiben von Alerts, stark schwankenden False-Positives)
Nichtreaktion auf bekannte Limitierungen (z. B. bei bekanntem Bias gegenüber bestimmten Kundengruppen)
Diese Szenarien sind vor allem unter §§ 130 OWiG (Organisationsverschulden), 823 BGB (Deliktshaftung) sowie bei Kapitalgesellschaften unter § 93 AktG / § 43 GmbHG (Pflichtverletzung von Organen) haftungsrelevant. Ein dabei besonders schwerwiegender Umstand ist die leider in der Praxis nicht seltene Verwechslung von Systemnutzung mit Verantwortungsdelegation. Der Einsatz eines Tools ersetzt keine eigene Prüfung.
Anforderungen an die Kontrollhandlungen des GWB
Die persönliche Haftungsminimierung des GWB gelingt nicht durch Abwälzung, sondern ausschließlich durch nachweisbare, strukturierte und dokumentierte Governance. Rechtsprechung (vgl. BGH, NJW 2009, 3173) und Verwaltungspraxis (BaFin-Maßstäbe) verlangen ein Vorgehen, das sich an Risikokomplexität und Systemkritikalität orientiert.
Die zentrale Formel lautet: Je autonomer die Technologie, desto enger müssen Überwachung, Prüfung und Eskalationsfähigkeit organisiert sein. Zur „Enthaftung“ sind insbesondere folgende Maßnahmen erforderlich:
Kontrollhandlung
Anforderungen
Systemprüfung vor Erstnutzung
Beteiligung an Auswahl, Risikoanalyse, Freigabe
Regelmäßige Validierung
Prüfzyklen zu Effektivität, Schwellenwerten, FP/FN-Verhalten
Plausibilitätsprüfung bei Alerts/Empfehlungen
Kein „Blindvertrauen“, menschliche Letztentscheidung
Dokumentation & Nachvollziehbarkeit
Schriftlich begründete Entscheidungen und (Nicht-)Eingriffe
Eskalation bei Fehlverhalten
Frühzeitige Einbindung der Geschäftsleitung/Aufsicht
Fortbildung
Nachweisbare Schulung zu KI-Funktionalitäten, Risiken
Sonderfall agentenbasierte KI Hier gilt: Der Einsatz in operativen Entscheidungsprozessen würde derzeit gegen aufsichtsrechtliche Prinzipien verstoßen. Der GWB darf sich daher auf regulatorische Unzulässigkeit berufen, um bereits im Vorfeld eine Enthaftung zu begründen – jedoch nur, wenn er aktiv darauf hingewirkt hat, dass solche Systeme nicht oder nur in nichtkritischen Anwendungsfeldern genutzt werden.
Dokumentations- und Validierungspflichten als Risikosenkungsinstrumente Die Dokumentation ist das zentrale Verteidigungsinstrument des GWB im Haftungsfall. Dazu gehören:
Beschreibungen eingesetzter KI-Systeme
Versionierungen und Protokollierungen von Änderungen
Validierungsergebnisse
Interne Stellungnahmen, Einwände gegen Systemlogik
Eskalationsberichte, Nachweise der Kommunikation mit der Geschäftsleitung
In der Praxis empfiehlt sich die Führung eines „AI-Governance-Dossiers“ durch oder für den GWB, das alle KI-gestützten Compliance-Prozesse, deren Bewertung und deren Kontrollhistorie enthält. In Kombination mit einer Policy zur Eingriffs- und Eskalationsverantwortung kann dieses Dossier im Haftungsfall einen entscheidenden Unterschied machen.
Die Rolle des GWB im Zeitalter der KI Die persönliche Haftung des GWB bleibt in vollem Umfang bestehen, auch wenn KI-Systeme in die operativen Prozesse der Zentralen Stelle eingebunden werden. Entscheidungsverlagerung ohne Kontrollausgleich führt nicht zu Entlastung, sondern zu Risiko. Die Haftung lässt sich nicht ausschließen, aber managen durch:
organisatorische Verankerung der Letztverantwortung,
technologische Grundkompetenz und Awareness,
strukturiertes Kontrollhandeln,
dokumentierte Entscheidungsprozesse.
Die Zentrale Stelle darf KI einsetzen, aber nicht zur Flucht aus der Verantwortung, sondern als Werkzeug unter menschlicher Kontrolle. Alles andere wäre sowohl rechtlich als auch aufsichtsrechtlich nicht tragfähig.
Vorschau auf Teil 3
Der dritte Teil dieser Serie zeigt, welche organisatorischen und strukturellen Voraussetzungen notwendig sind, um KI rechtssicher und haftungsrobust in die Arbeit der Zentralen Stelle zu integrieren:
Neue Rollenprofile und Verantwortlichkeitsstrukturen
Kompetenzanforderungen für GWB und Team
Vorschlag für ein KI-Kompetenzmodell
Umsetzung der BaFin-Anforderungen aus BT Ziffer 6
Der Autor:
Dirk Findeisen ist Managing Partner des Beratungs- und Technologieunternehmens msg Rethink Compliance. Er verfügt über mehr als 20 Jahre Erfahrung in den Bereichen Governance, Risk & Compliance (GRC), Datenmanagement, Advanced Analytics und Corporate Performance Management. Findeisen ist Autor zahlreicher Fach- und Buchbeiträge zum Thema Anti-Financial Crime Compliance, ein gefragter Referent auf Fachveranstaltungen und Dozent an mehreren deutschen Hochschulen.
dirk.findeisen@msg-compliane.com
16. Juli 2025
Haftung in Zeiten der KI – Verantwortung in der Zentralen Stelle
Teil 1 der Serie zur KI-Governance in der Geldwäscheprävention
Der technologische Fortschritt verändert die Art und Weise, wie Banken und Finanzdienstleister ihre gesetzlichen Pflichten zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung wahrnehmen. Insbesondere der Einsatz von Künstlicher Intelligenz (KI) in der Transaktionsüberwachung, dem Kundenmonitoring oder dem Risiko-Scoring verspricht eine neue Qualität an Effizienz und Mustererkennung, birgt jedoch zugleich erhebliche regulatorische und haftungsrechtliche Risiken.
Im Zentrum dieser Entwicklung steht die Zentrale Stelle, deren gesetzliche Aufgabe es ist, alle geldwäscherechtlichen Pflichten innerhalb des Instituts zu koordinieren, zu dokumentieren und deren Einhaltung sicherzustellen. Der Geldwäschebeauftragte (GWB) als verantwortlicher Funktionsträger trägt dabei nicht nur organisatorisch, sondern auch rechtlich die Hauptverantwortung – unabhängig davon, ob Prozesse durch Menschen oder Maschinen durchgeführt werden.
Diese Situation wirft grundlegende Fragen auf:
Wie weit darf Verantwortung an KI-Systeme ausgelagert werden?
Welche haftungsrechtlichen Konsequenzen ergeben sich bei Fehlentscheidungen, die (auch) durch Algorithmen vorbereitet wurden?
Wie lässt sich sicherstellen, dass moderne Technologien in einem Umfeld eingesetzt werden, welches durch hohe regulatorische Dichte, strenge Prüfstandards und individuelle Verantwortungszuweisung geprägt ist?
Ziel dieses dreiteiligen Beitrags ist es, das Zusammenspiel von KI-Governance, persönlicher Haftung und aufsichtsrechtlicher Steuerungspflicht am Beispiel der Zentralen Stelle systematisch zu analysieren. Dabei werden nicht nur geltende gesetzliche und aufsichtsrechtliche Anforderungen berücksichtigt, sondern auch aktuelle regulatorische Entwürfe auf EU-Ebene (z. B. AI Act, neue Produkthaftungsrichtlinie) und wissenschaftliche Ansätze zur algorithmischen Verantwortung. Besondere Aufmerksamkeit gilt der Abgrenzung zulässiger Unterstützung durch KI von unzulässiger Entscheidungsdelegation, insbesondere mit Blick auf sogenannte agentenbasierte Systeme („agentic AI“).
Der Beitrag versteht sich als praxisnahe und haftungsrobuste Orientierungshilfe für Geldwäschebeauftragte, Compliance-Führungskräfte und Governance-Verantwortliche, mit dem Ziel, technologische Innovation in den Dienst einer verantwortbaren, nachhaltigen und rechtssicheren Compliance-Arbeit zu stellen.
Die Zentrale Stelle und der Geldwäschebeauftragte
Die Zentrale Stelle ist gemäß § 25h Abs. 1 Satz 6 KWG das funktionale Herzstück der institutsinternen Geldwäscheprävention. Sie übernimmt die Koordination aller Maßnahmen zur Verhinderung von Geldwäsche, Terrorismusfinanzierung und sonstiger strafbarer Handlungen und fungiert zugleich als Verbindungsstelle zur Financial Intelligence Unit (FIU) und den Aufsichtsbehörden. Die gesetzliche Konzeption dieser Funktion wird durch das Geldwäschegesetz (GwG) sowie durch die aufsichtlichen Verwaltungsvorgaben, insbesondere die Mindestanforderungen an das Risikomanagement (MaRisk), konkretisiert.
Gemäß § 7 GwG ist ein Geldwäschebeauftragter (GWB) zu benennen, dessen Aufgabenwahrnehmung in der Regel mit der Leitung der Zentralen Stelle einhergeht. Er trägt die Verantwortung für Aufbau, Steuerung und Kontrolle des institutsinternen Präventionssystems, einschließlich der Implementierung risikoorientierter Verfahren zur Kundenüberwachung, Transaktionskontrolle und Verdachtsfallbehandlung. § 7 Abs. 4 GwG schreibt zudem eine unmittelbare Berichtslinie zur Geschäftsleitung vor, was die exponierte Stellung des GWB nochmals unterstreicht.
Aufsichtsrechtlich flankiert wird diese Verantwortung durch AT 4.4.2 MaRisk, wonach Funktionen wie die Zentrale Stelle unabhängig, mit angemessenen Ressourcen und Kompetenzen ausgestattet sein müssen. Hinzu kommen Anforderungen aus AT 7.2 (IT-Systeme) und AT 9 (Auslagerungen), die für technologiegestützte Kontrollprozesse – wie sie bei KI typischerweise vorliegen – unmittelbar relevant sind.
Aktuelle Entwicklungen im Bereich Künstliche Intelligenz in der Compliance
Die Nutzung von Künstlicher Intelligenz (KI) hat in den vergangenen Jahren auch im Bereich der Anti-Financial Crime Compliance erheblich an Relevanz gewonnen. Einsatzfelder sind vor allem:
das Transaktionsmonitoring mittels Anomalie-gestützter Mustererkennung,
das Screening von Sanktions- und PEP-Listen mit NLP-gestützten Matching-Technologien,
sowie die Risikobewertung und Kundensegmentierung im Rahmen von Know-Your-Customer-Prozessen (KYC).
Diese Systeme sind durch eine zunehmende Autonomie, Adaptivität und Komplexität gekennzeichnet. Damit stellt sich für Compliance-Funktionen die Frage, wie die klassischen Governance- und Kontrollprinzipien auf algorithmische Entscheidungsstrukturen angewendet und überprüfbar gemacht werden können.
Besondere Aufmerksamkeit erfährt derzeit auch der Einsatz sogenannter „agentic AI“ – also KI-Systeme mit agentenbasierter Architektur. Diese Systeme zeichnen sich dadurch aus, dass sie nicht nur klassisch deterministisch auf Inputs reagieren, sondern autonome Subziele formulieren, Entscheidungsstrategien entwickeln und Aufgaben über längere Zeiträume verfolgen können („Planning“, „Tool Use“, „Memory“). Solche Systeme könnten der Zentralen Stelle perspektivisch etwa dabei helfen, komplexe Muster von Finanztransaktionen zu untersuchen, mehrstufige Verknüpfungen zu analysieren oder eigenständig relevante Informationsquellen zu aggregieren. Gleichzeitig verschärfen agentenbasierte Systeme das Problem der regulatorischen Einhegbarkeit: Da diese Systeme Entscheidungen nicht mehr bloß aus vorgegebenen Regeln ableiten, sondern eigenständige Problemlösungsstrategien entwickeln, besteht ein erhöhtes Risiko von Intransparenz, Kontrollverlust und emergentem Verhalten – Eigenschaften, die im regulatorischen Rahmen hochsensibler Compliance-Prozesse (z. B. § 43 GwG) aktuell nicht tolerierbar sind.
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) erkennt in verschiedenen Veröffentlichungen an, dass KI-Systeme potenzielle Effizienzgewinne mit sich bringen, betont jedoch zugleich die Notwendigkeit der „wirksamen Beherrschung von Risiken“ (vgl. BaFin-Journal 02/2022). Der Einsatz von KI entbindet nicht von der Einhaltung aufsichtsrechtlicher Anforderungen – im Gegenteil: Die Nachweispflichten für die Wirksamkeit, Angemessenheit und Nachvollziehbarkeit steigen, je komplexer und autonomer das eingesetzte System ist.
Verbot der vollständigen Entscheidungsdelegation
Ein zentrales Dogma des geltenden regulatorischen Rahmens ist das Verbot der vollständigen Delegation von Entscheidungen an KI-Systeme. Dieses Verbot ergibt sich aus mehreren Regelwerken, deren gemeinsamer Nenner die Forderung nach menschlicher Letztverantwortung ist – oder wie es so schön heißt: „Put the Human in the Loop“.
DSGVO Art. 22 Abs. 1 verbietet automatisierte Einzelfallentscheidungen mit rechtlicher Wirkung, soweit keine ausdrückliche Einwilligung oder gesetzliche Grundlage besteht.
MaRisk AT 4.3.1, AT 7.2 und BAIT/DORA fordern die ständige Kontrollierbarkeit und Prüfbarkeit von IT-Systemen – was in der Folge bedeutet, dass Entscheidungen nicht in einer „Black Box“ getroffen werden dürfen.
In der Verwaltungspraxis der BaFin (siehe auch „Big Data und künstliche Intelligenz“ 09/2022) ist dieses Prinzip mittlerweile gefestigt: KI darf Prozesse unterstützen, strukturieren und priorisieren, nicht aber Entscheidungen treffen, die rechtliche oder regulatorische Folgen nach sich ziehen – es sei denn, eine menschliche Kontrollinstanz ist formal und faktisch wirksam eingebunden („Human Oversight“).
Dies gilt in verschärftem Maße für agentenbasierte KI-Systeme: Diese sind – nach heutiger Bewertung – nicht mit dem aufsichtsrechtlichen Prinzip der jederzeitigen Steuerbarkeit, Kontrollierbarkeit und Nachvollziehbarkeit vereinbar, wie es aus MaRisk AT 7.2 und AT 4.3.1 folgt. Agentic-AI-Systeme wären nur dann zulässig, wenn:
sämtliche Zwischenschritte dokumentierbar, prüfbar und abänderbar sind,
sie keine irreversible Entscheidungskaskade ohne menschlichen Eingriff auslösen können, und
der GWB nachvollziehen, stoppen oder korrigieren kann, wie eine Schlussfolgerung zustande kam.
Solange diese Anforderungen technisch nicht abgesichert und aufsichtsrechtlich nicht anerkannt sind, ist der operative Einsatz agentischer KI in der Zentralen Stelle faktisch ausgeschlossen. Zulässig bleibt lediglich die unterstützende Nutzung in vorgelagerten, nicht entscheidungskritischen Prozessen (z. B. Dokumentenzusammenfassung, semantische Recherchen, Musterverdichtungen im Kontext der Risikofrüherkennung).
Vorschau auf Teil 2
Der nächste Teil dieser Serie beleuchtet die konkreten haftungsrechtlichen Konsequenzen des KI-Einsatzes in der Zentralen Stelle, darunter:
die gegenwärtige Haftungsdogmatik,
geplante gesetzliche und regulatorische Änderungen,
wissenschaftliche Perspektiven zur Algorithmus-Verantwortung,
sowie erste praxisrelevante Implikationen für Geldwäschebeauftragte.
Der Autor:
Dirk Findeisen ist Gründer und Managing Partner des Beratungs- und Technologieunternehmens msg Rethink Compliance. Er verfügt über mehr als 20 Jahre Erfahrung in den Bereichen Governance, Risk & Compliance (GRC), Datenmanagement, Advanced Analytics und Corporate Performance Management. Findeisen ist Autor zahlreicher Fach- und Buchbeiträge zum Thema Anti-Financial Crime Compliance, ein gefragter Referent auf Fachveranstaltungen und Dozent an mehreren deutschen Hochschulen.
Am 9. April 2025 fand die 9. Geldwäschetagung der FIU für die Verpflichteten und Verbände des Finanzsektors am Standort Köln statt. Die auf der Veranstaltung vorgestellten Präsentationen stehen ab sofort im Internen Bereich der FIU zum Abruf zur Verfügung.
Die Financial Intelligence Unit (FIU) hat ein sehr umfangreiches neues Typologiepapier zur handelbasierten Geldwäsche veröffentlicht. Es zeigt anhand von Beispielen und Fallkonstellationen typische Auffälligkeiten wie falsche Rechnungen, abweichende Frachtpapiere oder unplausible Geschäftszwecke. Ziel ist es, Behörden und Unternehmen konkrete Anhaltspunkte zur frühzeitigen Erkennung verdächtiger Handelsgeschäfte zu geben.
Das Dokument steht im Internen Bereich der FIU zum Abruf zur Verfügung.
