Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec...
BaFin und FIU haben ihre gemeinsame Orientierungshilfe zum Verdachtsmeldewesen aktualisiert. Die überarbeitete Fassung enthält praktische Anwendungsbeispiele und präzisiert die Anforderungen an „Unverzüglichkeit“ und „Vollständigkeit“. Die Aufsicht betont weiterhin: Im Zweifelsfall gilt die Meldepflicht.
25. November 2025
C24 Bank: Maßnahmenpaket wegen gravierender Mängel
Die BaFin hat gegen die C24 Bank GmbH umfangreiche Maßnahmen wegen gravierender Mängel in der Geldwäscheprävention angeordnet, darunter Defizite im Verdachtsmeldeverfahren und bei Auskunftsverpflichtungen bezüglich betrügerisch genutzter Konten. Die Aufsicht bestellte einen Sonderbeauftragten zur Überwachung der Mängelbeseitigung und legte zusätzliche Eigenmittelanforderungen und Berichtspflichten fest. Letztes Jahr musste die C24 Bank ein Bußgeld in Höhe von 1.250.000 Euro wegen verspäteter Verdachtsmeldungen zahlen.
25. November 2025
BaFin: Risikobewertung als Kern der Geldwäscheprävention
BaFin-Exekutivdirektorin Birgit Rodolphe betonte auf der 7. Fachtagung „Pävention von Geldwäsche und Terrorismusfinanzierung“ die zentrale Rolle der kontinuierlichen Risikoerfassung angesichts Risiken wie fragmentierter Zahlungsverkehr, Kryptogeschäfte und Sanktionsumgehungen. Als Keynote-Speakerin unterstrich AMLA-Vorsitzende Bruna Szego die neuen Chancen der einheitlichen europäischen Geldwäscheaufsicht. Die Rede und Präsentationsunterlagen stehen auf der BaFin-Website zum Download bereit.
Die BaFin warnt vor Betrugsbriefen, in denen Verbraucher:innen zur Legitimierung der Identität per Post-Ident aufgefordert werden, um weiterhin am deutschen Zahlungsverkehr teilnehmen zu können. Die Finanzaufsicht stellt klar, dass sie keine derartigen Briefe versendet und sich nicht unaufgefordert an Privatpersonen wendet. Betroffene werden darum gebeten, solche Aufforderungen abzulehnen und Anzeige zu erstatten.
6. November 2025
Coinbase: 21 Millionen Euro Bußgeld aufgrund von mangelhaftem Transaktions-Monitoring
Die irische Zentralbank hat Coinbase Europe Ltd. ein Bußgeld in Höhe von 21 Millionen Euro auferlegt. Grund sind Mängel beim Transaktions-Monitoring im Zeitraum 2021 bis 2025, wovon über 30 Millionen Transaktionen betroffen sind.
6. November 2025
J.P. Morgan: 45 Millionen Euro Bußgeld wegen nicht rechtzeitig abgegebener Verdachtsmeldungen
Die BaFin hat ein Bußgeld in Höhe von 45 Millionen Euro gegen die in Frankfurt am Main ansässige J.P. Morgan SE verhängt. Grund sind systematisch nicht rechtzeitig abgegebene Verdachtsmeldungen in den Jahren 2021 und 2022.
Die EBA hat Entwürfe für vier RTS zur Finalisierung an die AMLA übergeben. Die vier RTS-Entwürfe beschäftigen sich mit den Themen einheitliche Risikobewertungsmethodik für Verpflichtete, Selektionskriterien für AMLA-Direktaufsicht, Kundensorgfaltspflichten sowie Sanktionsmechanismen. Die Vorschläge dienen als Grundlage für eine finale Ausarbeitung durch die AMLA und sollen ab dem 10. Juli 2027 EU-weit gelten.
Die EBA identifiziert in einem kürzlich veröffentlichten Report kritische Compliance-Lücken bei Krypto-Anbietern: Häufig werden Compliance-Funktionen an Gruppeneinheiten außerhalb der EU ausgelagert, ohne diese an EU-Standards anzupassen. Viele CASPs unterschätzen außerdem ihre Rolle als Ein- und Ausstiegspunkt zum dezentralen Krypto-Ökosystem und versäumen es, entsprechende Risiken in ihren Verfahren abzubilden. Besonders kleinere Akteure wie Krypto-ATM-Betreiber implementieren die Travel Rule nicht ordnungsgemäß. Die Aufsicht bemängelt zudem hohe Fluktuation bei Geldwäschebeauftragten und deren Teilzeit-Besetzung über externe Berater.
24. September 2025
Verantwortung im KI-Zeitalter – Organisationsmodelle und Governance für die Zentrale Stelle
Teil 3 der Serie zur KI-Governance in der Geldwäscheprävention
Die ersten beiden Teile dieser Serie haben zentrale Fragen der KI-Governance in der Geldwäscheprävention beleuchtet. Zunächst wurden die grundlegenden Rahmenbedingungen, die Rolle der Zentralen Stelle und des Geldwäschebeauftragten sowie die Grenzen zulässiger KI-Nutzung dargestellt (Teil 1). Anschließend folgten die haftungsrechtlichen Implikationen, konkrete Haftungsszenarien und die daraus abgeleiteten Kontroll- und Dokumentationspflichten beim KI-Einsatz (Teil 2).
Der abschließende dritte Teil widmet sich nun den organisatorischen und strukturellen Voraussetzungen, um KI rechtssicher und haftungsrobust in die Arbeit der Zentralen Stelle zu integrieren. Dabei geht es um neue Rollenmodelle, Kompetenzanforderungen, ein praxisorientiertes KI-Kompetenzmodell sowie die Konkretisierung der BaFin-Anforderungen aus AuA BT Ziffer 6.
Organisatorische Konsequenzen für die Zentrale Stelle
Neue Rollen- und Verantwortlichkeitsstrukturen
Die zunehmende Einbindung von KI in geldwäscherechtliche Kontrollprozesse erfordert eine funktionale Weiterentwicklung der Zentralen Stelle. Die traditionelle, vor allem juristisch geprägte und eher reaktive Ausrichtung reicht nicht mehr aus, um den Anforderungen KI-gestützter, dynamischer Kontrollumgebungen gerecht zu werden Es bedarf einer Governance-Transformation hin zu einer hybriden Struktur, die Fachlichkeit, Technologie und Kontrollfähigkeit integriert. Zentrale Anforderungen sind:
Die Zentrale Stelle muss systemverantwortlich auftreten, nicht nur als Nutzer, sondern als Steuerungsinstanz.
Interdisziplinäre Aufstellung ist notwendig, um Datenkompetenz, Technologie-Bewertung und regulatorisches Wissen zusammenzuführen.
Rollen müssen so gestaltet sein, dass sie KI-bezogene Verantwortlichkeiten operationalisieren und prüfbar machen.
Ohne klare Zuordnung von Entscheidungs-, Kontroll- und Eskalationsrechten bleibt jede KI-Governance dysfunktional, gerade in einem haftungsintensiven Umfeld wie der Geldwäscheprävention und der Identifikation von Terrorismusfinanzierung.
Skill-Erfordernisse für den Geldwäschebeauftragten und sein Team
Die zentralen Herausforderungen beim KI-Einsatz liegen nicht in der Bedienung von Technologie, sondern in der Sicherstellung der Einhaltung aufsichtsrechtlicher, datenschutzrechtlicher und operativer Kontrollanforderungen. Dies bedeutet: Kompetenz wird zur Schlüsselkategorie institutioneller Haftungsvermeidung.
Kompetenzfelder des Geldwäschebeauftragten (GWB):
Kompetenzfeld
Erforderliche Fähigkeiten
Technologisches Grundverständnis
Einordnung von KI-Architekturen, insbesondere agentische KI, Verständnis von Modellverhalten
Bewertung von Modellrisiken, Einordnung von Eskalationen
Regulatorik & Haftung
Kenntnisse zu geltendem und geplantem EU-Recht, insbesondere AI Act, Produkthaftungsrecht
Kommunikationsfähigkeit
Vermittlung komplexer technischer Sachverhalte an Geschäftsleitung, Aufsicht und Externe
Zusätzliche Rollenprofile im erweiterten Team:
Rolle
Aufgabenprofil im Kontext KI
KI-Kontrollbeauftragte/r
Bewertung von Modelllogiken, Begleitung von Re-Trainings, Auditführung, Führung eines KI-Registers u.a.m.
Compliance-Analytics-Spezialist/in
Messung und Bewertung der Leistungsfähigkeit von Modellen, FP/FN-Analysen u.ä.
Data Governance Officer (AFC-Fokus)
Prüfung der Trainingsdatenqualität, Versionierung, Datenethik u.a.m.
Jurist/in mit technischem Verständnis
Vertragsgestaltung bei Drittanbieter-KI, Auslagerungsanforderungen, Bewertung von Nutzungsgrenzen u.ä.
Die Einführung solcher Profile ist keine regulatorische Pflicht, wohl aber eine organisatorische Notwendigkeit, um die Anforderungen aus MaRisk, BAIT bzw. DORA und dem EU AI Act künftig zu erfüllen und den bestehenden Anforderungen gerecht zu werden, die auch für KI-basierte Tools und Systeme gelten.
Vorschlag für ein KI-Kompetenzmodell in AFC-Funktionen
Ein praxisorientiertes Kompetenzmodell hilft dabei, Skill-Gaps zu erkennen, Weiterbildungen zu strukturieren und Verantwortlichkeiten besser abzugrenzen. Die folgende Matrix stellt ein mögliches Grundmodell auf Basis von drei Entwicklungsebenen dar.
Kompetenzfeld
Basisniveau
Fortgeschrittenes Niveau
Expertise-Niveau
KI-Verständnis
Kenntnis der Grundbegriffe (ML, Algorithmus, Modell)
Verständnis von Entscheidungslogiken, Schwellenwertsteuerung
Fähigkeit zur kritischen Bewertung agentischer KI
Governance
Kenntnis von Dokumentations- und Prüfpflichten
Anwendung in der Prozessgestaltung
Entwicklung eigener Governance-Policies
Regulatorik
Vertrautheit mit GwG, KWG, MaRisk
Einordnung von EU AI Act & Haftungsregimen
Bewertung regulatorischer Graubereiche und Entwicklung von Prüfstandards
Systembewertung
Nutzung von Reports
Interpretation von Modell- und Validierungsdaten
Fähigkeit zur Auditvorbereitung und Revisionsbegleitung
Eskalation & Kommunikation
Wissen um Melde- und Eingriffswege
Selbstständige Kommunikation mit Management
Schnittstellenverantwortung zu Aufsicht, Revision, Dienstleistern
Ein solches Modell eignet sich auch als Entscheidungshilfe für die Personalauswahl und die Priorisierung von Weiterbildungsmaßnahmen. Es lässt sich in Kompetenzmatrizen, Self-Assessments oder Rollendefinitionen überführen und unterstützt die nachvollziehbare Haftungsabsicherung der Zentralen Stelle durch entsprechende Qualifikation.
Neuvermessung von Verantwortung durch Kompetenznutzung und -aufbau
Die Zentrale Stelle steht im KI-Zeitalter vor der Aufgabe, Verantwortung und Steuerbarkeit neu zu operationalisieren, nicht durch mehr Regeln, sondern durch klare Rollen, Kompetenzen und Kontrollmechanismen. Der Schlüssel liegt in einer personellen und strukturellen Weiterentwicklung:
Der GWB muss vom Fachspezialisten zum technologiekompetenten Risikosteuerer werden.
Die Zentrale Stelle muss interdisziplinär aufgestellt sein, um das komplexe Feld von KI, Recht, Risiko und Governance zu beherrschen.
Institutionelle Haftungsabsicherung beginnt mit individueller Qualifikation und klar definierter Kontrollverantwortung, nicht mit Technikvermeidung.
In den Auslegungs- und Anwendungshinweisen (AuA) für Kreditinstitute (BT KI) formuliert die BaFin unter Ziffer 6 ein einheitliches System von Qualitätskriterien für relevante, DV-gestützte Kontrollprozesse bzw. DV-Systeme für die Geldwäschebekämpfung, die Vermeidung von Terrorfinanzierung und strafbare Handlungen. Gefordert wird eine angemessene, nachvollziehbare, überprüfbare und wirksame Ausgestaltung. Die zentralen Prinzipien sind:
• Dokumentation und Nachvollziehbarkeit
• Funktionsprüfung vor Freigabe
• Verantwortlichkeitszuweisung und Eskalationsfähigkeit
• Kontinuierliche Überwachung
• Angemessenheit und Effektivität der Verfahren
• Schulungen und Sensibilisierung
• Regelmäßige Evaluierung
(Siehe grundsätzlich zu den Anforderungen des BaFin AuA BT Ziffer 6 hier.)
Diese Qualitätskriterien sind technologieagnostisch formuliert und damit unabhängig von der eingesetzten Technologie zu erfüllen. Genau hier beginnt die Herausforderung beim Einsatz von KI.
Die spezifischen Risiken und Funktionsweisen von KI, insbesondere bei autonom lernenden, datengetriebenen oder sogar agentenbasierten Systemen (Unsupervised, Reinforced oder Agentic sowie in Teilen Federated Learning), erfordern eine technische und prozessuale Konkretisierung der AuA BT Ziffer 6-Prinzipien. Der folgende Abgleich zeigt, dass sich alle KI-spezifischen Governance-Elemente als Konkretisierungen interpretieren lassen.
Ein Sonderfall ist die agentenbasierte KI: Für „Agentic AI“-Systeme mit eigenständiger Zieldefinition und Handlungsvollzug gelten die AuA BT Ziffer 6-Prinzipien derzeit als im Grundsatz technisch nicht erfüllbar:
Die Entscheidungsfindung ist nicht jederzeit nachvollziehbar (Verstoß gegen Dokumentationsgebot).
Die autonome Systemlogik ist nicht jederzeit kontrollierbar (Verstoß gegen Überwachungsanforderung).
Emergentes Verhalten kann nicht verlässlich validiert werden (Verstoß gegen Funktionsprüfungsgebot).
Daher ist der operative Einsatz solcher Systeme in der Zentralen Stelle aufsichtsrechtlich de facto zumindest in den Hochrisikobereichen des EU AI Acts ausgeschlossen. Denkbar ist lediglich eine unterstützende, nicht entscheidungsrelevante Nutzung, etwa für Recherchen oder semantische Analysen, wie das beispielsweise in den Bereichen der Enhanced Due Diligence oder auch bei der Fallerstellung und den vorbereitenden Tätigkeiten für eine qualitativ hochwertige Verdachtsmeldung der Fall sein kann.
Zur pragmatischen Umsetzung der AuA BT Ziffer 6-Prinzipien für KI-Prozesse empfiehlt sich eine strukturiert operationalisierte Checkliste, die von der Zentralen Stelle aktiv geführt werden sollte. Diese Checkliste enthält:
Sie dient in der Form also der internen Verantwortlichkeitsklärung, der aufsichtlichen Nachweiserbringung sowie der persönlichen Enthaftung des GWB, der seine Steuerungspflicht durch dokumentiertes Handeln konkretisiert. Dies ist natürlich nur dann in der Zentralen Stelle zu verorten, wenn es diese Funktion nicht schon in einem ebenfalls zu empfehlenden KI-Kompetenzzentrum (AI CC, AI CoE o.ä.) gibt. Für den unternehmensweiten Einsatz von KI ist dies sinnvoll. Hier sollte die Compliance-Abteilung inhaltlich eng eingebunden werden, um Use Cases nicht wie in der Vergangenheit vor Risiko- und Compliance-Anforderungen zu bewerten und zu priorisieren, sondern danach. Der Aufbau eines solchen KI-Kompetenzzentrums ist schematisch in der nachfolgenden Abbildung skizziert.
Abbildung: Schematischer Aufbau eines AI Center of Excellence (CoE) bzw. Competence Center (CC)
Das Zusammenspiel kann über die Compliance-Abteilung mit einem KI-Kontrollbeauftragten – nicht zu verwechseln mit einem KI-Beauftragten oder AI Officer – erfolgen, um so den Compliance Anforderungen generell, aber auch denen aus der Zentralen Stelle gerecht werden zu können. Die organisatorische Aufhängung eines AI CC/CoE findet sich üblicherweise beim Chief Digital Officer (CDO) oder Chief Risk Officer (CRO) der Bank. Beim CRO ist in der Regel auch schon vorhandene Kompetenz in der Modellvalidierung vorhanden, welches man in einem AI CC/CoE im Bereich der technischen Kompetenz mitnutzen könnte.
Zusammenfassend lässt sich darstellen, dass die Zentrale Stelle KI einsetzen kann, wenn die Prinzipien von AuA BT Ziffer 6 in technologiegeeigneter Form konkretisiert und nachweislich umgesetzt werden. Damit ist KI-spezifische Governance keine gesonderte Verpflichtung, sondern eine bestehende Pflicht zur sachgerechten Ausgestaltung der bestehenden Anforderungen der BaFin. Agentenbasierte KI ist derzeit nicht AuA BT Ziffer 6-kompatibel und daher für den produktiven Einsatz in der Zentrale Stelle nahezu ausgeschlossen. Die schon vorne definierten Ausnahmen sind gültig. Die Zukunft von KI in der Geldwäscheprävention entscheidet sich damit nicht an der Innovationshöhe, sondern vielmehr an der Beherrschbarkeit durch Governance und den sich nach Risiko- und Compliance-Bewertung ergebenden Vorteilen.
Fazit und Handlungsempfehlungen
Der Einsatz von KI in der Zentralen Stelle eröffnet große Effizienzpotenziale, etwa durch Mustererkennung, automatisierte Alert-Priorisierung oder Verhaltensklassifikation. Gleichzeitig verschärft sich die Haftungsarchitektur: Wo menschliche Entscheidungen durch Systeme vorbereitet oder gar ersetzt werden, droht der Verlust von Zurechnungs- und Kontrollfähigkeit – das Fundament jeder rechtlichen Verantwortung.
Sowohl das geltende Recht in Deutschland und der EU als auch die zukünftigen Rahmenwerke, wie die Reform der EU-Produkthaftungsrichtlinie (EU Product Liability Directive), setzen einhellig auf:
und aktive Governance durch Organisation und Funktionsträger.
Der GWB trägt auch bei KI-gestützten Prozessen weiterhin die persönliche Verantwortung für Struktur, Kontrolle und Wirksamkeit der Geldwäscheprävention. Fehler im KI-Einsatz, die auf unzureichender Prüfung, Überwachung oder Reaktion beruhen, begründen haftungsrelevante Pflichtverletzungen. Die Zentrale Stelle steht daher vor einer zweifachen Herausforderung:
Technologie effektiv integrieren, ohne Kontrollverlust zu riskieren.
Governance so operationalisieren, dass Verantwortung auch im KI-Zeitalter prüfbar und haftungssicher wahrgenommen wird.
Daraus lassen sich Handlungsempfehlungen für Praxis, Governance und Strategie ableiten:
Verbot der vollständigen Entscheidungsdelegation konsequent durchsetzen
Kein Einsatz von agentenbasierten Systemen in entscheidungskritischen Prozessen
Systemverantwortung durch dokumentierte Governance absichern
Einführung eines KI-Governance-Dossiers mit vollständiger Nachvollziehbarkeit der KI-Prozesse, Prüfungen und Eingriffe
Definition klarer Verantwortlichkeits- und Eskalationsstrukturen
Etablierung standardisierter Validierungs- und Prüfprozesse mit Revisionsfähigkeit
Kompetenzaufbau institutionalisieren
Entwicklung und Anwendung eines KI-Kompetenzmodells für die Zentrale Stelle oder innerhalb eines AI CC/CoE
Durchführung gezielter Schulungen für GWB, Compliance und AFC-Teams, insbesondere zu Risiken, Kontrollmechanismen und aufsichtsrechtlichen Anforderungen
Einrichtung interdisziplinärer Teams im Rahmen eines AI CC/CoE
Regelbasierte Kontrolle in der Policy verankern
Aufnahme von „No Fully Autonomous Decision“-Klauseln in interne Richtlinien
Konkretisierung von AuA BT Ziffer 6 für KI-Prozesse in Form von technologiegeeigneten Kontrollstandards, die dann nach und nach mit den EU AI Act Regulatory Technical Standards (RTS) nach Erscheinen verfeinert werden können
Aufsichts- und Haftungsfestigkeit regelmäßig evaluieren
Durchführung von Self-Assessments zur KI-Governance in der Zentralen Stelle oder innerhalb eines AI CC/CoE
Frühzeitige Einbindung der Internen Revision und bei Bedarf des Regulators
Etablierung von Frühwarnsystemen für Bias, Fehlalarme und Systemverhalten
Die Entwicklung der KI-Technologie ist dynamisch, ihre aufsichtsrechtliche Integration hingegen langsam und auf Sicherheit bedacht. Die Zentrale Stelle wird in den nächsten Jahren nicht mehr nur ein juristischer Kontrollpunkt sein, sondern ein hybrides Steuerungszentrum aus Governance, Technologie und Risikoethik. Nur so kann die Zentrale Stelle auch in Zukunft das leisten, was ihr der Gesetzgeber abverlangt: die wirksame, integre und verantwortbare Bekämpfung von Geldwäsche und Terrorfinanzierung.
Der Autor:
Dirk Findeisen ist Managing Partner des Beratungs- und Technologieunternehmens msg Rethink Compliance. Er verfügt über mehr als 20 Jahre Erfahrung in den Bereichen Governance, Risk & Compliance (GRC), Datenmanagement, Advanced Analytics und Corporate Performance Management. Findeisen ist Autor zahlreicher Fach- und Buchbeiträge zum Thema Anti-Financial Crime Compliance, ein gefragter Referent auf Fachveranstaltungen und Dozent an mehreren deutschen Hochschulen.
dirk.findeisen@msg-compliance.com
(Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Dann können Sie sich hier für unseren Newsletter anmelden – kostenlos und unverbindlich)
19. September 2025
Raisin Bank AG: BaFin stellt erhebliche Mängel bei der Geldwäscheprävention fest
Die Geldwäscheprävention der Raisin Bank AG weist erhebliche Mängel auf, so die BaFin in einer aktuellen Meldung. Betroffen sind u.a. die Risikoanalyse, die Kundenrisikobewertung, das EDV-Monitoring und die Erfüllung der Pflichten des Geldwäschebeauftragten. Die BaFin hat angeordnet, dass die Raisin Bank AG angemessene und geeignete Maßnahmen zu ergreifen hat, um die festgestellten Mängel zeitnah zu beseitigen.
19. September 2025
Varengold Bank: 3,3 Mio. Euro Bußgeld für 30 verspätete Verdachtsmeldungen
Zusätzlich stellte die BaFin weitere erhebliche Mängel bei der Prävention von Geldwäsche und Terrorismusfinanzierung fest, insbesondere bei der Durchführung von Geschäften mit Iran-Bezug. Die BaFin hat deshalb angeordnet, dass das Institut angemessene und geeignete Maßnahmen ergreifen muss, um diese Mängel zu beseitigen.
Außerdem hat die BaFin gegen die Varengold Bank AG mit Bescheid vom 26. Februar 2025 ein Zwangsgeld in Höhe von 500.000 Euro festgesetzt. Hintergrund sind zwei Verstöße im Zusammenhang mit Transaktionen mit „Payment Agents“ und sonstigen Dritten mit Iran-Bezug.
9. September 2025
C24 Bank im Visier der BaFin wegen schwerer Compliance-Mängel
Die Direktbank C24, Teil der Check24-Gruppe, steht wegen vermehrter Betrugsfälle und gravierender Defizite in der Geldwäscheprävention weiterhin unter verschärfter Aufsicht, nachdem bereits mehrere Maßnahmen seitens der BaFin ergriffen wurden. Eine interne Quelle berichtet laut dem Handelsblatt von chronischer Überlastung bei der Bearbeitung von Verdachtsmeldungen und fehlender Risikokultur. Die Bank soll laut Insider zu den zehn häufigsten Absendern von Verdachtsmeldungen gehören, obwohl sie vergleichsweise klein ist.
5. September 2025
BaFin BT 6: Anforderungen als Chance für stabile AML-Systeme
Nicht selten werden Anforderungen von Aufsicht und Gesetzgeber als zusätzliche Bürde und Kostenfaktor im Compliance-Umfeld betrachtet. Die Umsetzungs- beziehungsweise Überprüfungsanforderungen aus dem BaFin AuA Besonderer Teil – Kapitel 6 (nachfolgend kurz BT 6) können aber auch als Grundlage oder Hilfestellung verstanden werden, welche wesentlich helfen, die Monitoring- und Screening-Systemlandschaft stabil und robust zu betreiben. Die frühzeitige Berücksichtigung der BT 6 Anforderungen können insbesondere bei System-Neueinführungen einen Grundsockel bilden, um im Business-as-Usual-Modul effektiv und ohne Feststellungen zu bleiben.
Alter Wein in neuen Schläuchen? Hintergrund BT 6.2.3
Die im Juni 2021 von der BaFin veröffentlichten Auslegungs- und Anwendungshinweise zum Geldwäschegesetz – Besonderer Teil für Kreditinstitute (nachfolgend kurz BaFin AuA) konkretisierten erstmalig spezifische Anforderungen an die Eignung und Ausgestaltung der Monitoring- und Screeningsysteme der Institute, wobei der Fokus der BaFin Auslegungshinweise auf dem Geldwäschemonitoring, der Prüfung der politisch exponierten Personen (PeP) und der Adverse Media-Prüfung liegt. Nach dem ersten Lesen der Absätze im relevanten Kapitel 6 („Monitoringsysteme“) kann der Eindruck entstehen, dass hier lediglich bereits bestehende Anforderungen der Aufsicht noch einmal wiederholt wurden.
Geldwäscheanforderungen inklusive der betroffenen Systeme sind allerdings kein neuer Prüfungsfokus und wurden unter anderem als Teil der Jahresabschlussprüfung schon seit langem vom Prüfer betrachtet.
Anders als man beim schnellen Lesen über die Auslegungshinweise vermuten kann, verbirgt sich in Kapitel 6.2.3 („Funktionsfähigkeit der Datenverarbeitungssysteme“) jedoch die konkrete Anforderung einer regelmäßigen Überprüfung durch unabhängige Dritte.
Nach wie vor führen Fragen wie die Bedeutung der Regelmäßigkeit, der Definition, wer unabhängiger Prüfer ist und was der Fokus dieser Überprüfung ist, die häufig auch fälschlicherweise als Systemvalidierung bezeichnet wird, bei Instituten zu Interpretationsproblemen.
Aber warum?
Interpretationsherausforderungen in der Praxis
Auch noch knapp vier Jahre nach der Veröffentlichung erhalten Prüfungs- und Beratungsunternehmen Anfragen zur erstmaligen Überprüfung der Systeme in Instituten. Blickt man in die IT- und Compliance-Vorgaben für den Systembetrieb der Institute, werden die BT 6 Anforderungen nicht immer explizit als eigenständiger Anforderungsblock konkret benannt.
Daneben wird häufig die Frequenz hinterfragt. „Regelmäßig“ lässt sich auf einen mindestens zweijährigen Rhythmus umstellen, sofern keine wesentlichen Veränderungen an den Systemen vorgenommen wurden. Durch Änderungen an den Systemen kann auch eine kürzere, erneute Überprüfung notwendig werden.
Hauptfragestellung in der Praxis ist bei den Instituten aber meist der Systemumfang und der Überprüfungsumfang. Der BT 6 zielt primär auf die Geldwäsche-Monitoringsysteme ab, inkludiert aber PeP- und Adverse Media-Prüfung, sowie indirekt in der Regel auch den Sanktionsfilter als solchen, da dieser in der Praxis meist im selben System zusammengefasst ist. Über die Einbeziehung der sonstigen strafbaren Handlungen werden auch die Systembausteine zur Betrugsprävention in den Betrachtungsfokus gerückt.
Die BT 6 Anforderungen unterscheiden zudem nicht zwischen der Überprüfung von Neu- oder Bestandskunden und Transaktionen.
Neben der Frage des „wie oft“ und „welches System“ könnte auch interpretiert werden, dass Kern der Überprüfung das Regel- und Szenarien-System der Monitoring- und Screeningsysteme ist.
Aus dem Abschnitt 6.2.3 leitet sich jedoch ein anderer Schwerpunkt ab: Die Integration der Anwendung in das IT-Ökosystem des Instituts einschließlich Datenversorgung, Hardwareausstattung, IT-Notfallmanagement und Security. Kern der Überprüfung ist somit die Sicherstellung einer vollständigen Datenbelieferung und eines geregelten, stabilen IT-Betriebs; ergänzt um Aspekte wie Governance, Mitarbeitende und Reporting.
Die Anforderungen erfordern zudem keine vollumfängliche Detailevaluation beispielsweise von Datenströmen durch umfangreiche Stichproben aller Datenquellen und Systeme, Schnittstellen und APIs, sondern eine Überprüfung der grundlegenden Abläufe und Kontrollen durch den Geldwäschebeauftragten. Unsere Erfahrung hat bestätigt, dass eine Ausweitung der Überprüfung (zum Beispiel mit zusätzlichen Stichproben) Probleme unter anderem in der Datenversorgung der Systeme aufdecken kann, welche durch die Mindestanforderungen nur bedingt oder stark zeitverzögert aufgedeckt werden.
Abbildung 1: Fokus der Aufsicht, Interpretationssicht vieler Institute und sinnvolle Ergänzungen; Bildquelle: Deloitte
Im obigen Abbild sind die Kernanforderungen des BT 6 überblicksartig hinterlegt, ergänzt um Erweiterungsstufen und Ergänzungen. Grundsätzlich kann eine BT 6.2.3 Überprüfung auch als Startpunkt genutzt werden, um die Geldwäsche (GW)-Systeme und die darin enthaltenen Szenarien, Schwellenwerte und Einstellungen einer 360°-Evaluation zu unterziehen. Hieraus kann ein Mehrwert in der operativen Prozessdurchführung gewonnen werden: Dazu zählt die Optimierung des Systems in Bezug auf Daten- und Datenqualität sowie die Verfeinerung von Szenarien- und Filterregeln, um relevante Auffälligkeiten zu identifizieren und ergänzend False-Positives zu reduzieren.
Wichtige Aspekte für eine effektive Review-Praxis
Mit dem BT 6 verbundene Beratungs- und Überprüfungsprojekte der vergangenen Jahre haben verschiedene Optimierungspunkte und Herausforderungen aufgezeigt, welche institutsübergreifend relevant sind. Auch hat sich bei Einführungs- und Anpassungsprojekten von Softwarelösungen ein breites Spektrum an Schwerpunkten herauskristallisiert, welche nachfolgend kurz beleuchtet werden.
Dokumentation: Vollständigkeit, Konsistenz und Aktualität
Eine der ersten Schritte des Reviews ist in der Regel die Sichtung der bestehenden Dokumentation und Nachweise. Klassisch werden bei diesem ersten Schritt der Überprüfung verschiedenste Dokumente beim betroffenen Institut angefragt.
Qualitätskriterien in Bezug auf die Dokumentation an sich sind:
Verfahrensdokumente, technische Beschreibungen zu Datenanbindungen etc. Aktualität, Vollständigkeit der Freigaben (Status „Final“) sowie eingehaltene Review-Zyklen.
Die relevanten Dokumente sind beim jeweiligen Institut den Mitarbeitenden zugänglich (beispielsweise veröffentlicht im Intranet).
Die Dokumente enthalten bei Zuständigkeiten und Rollen (sofern immer möglich) Abteilungs- und Rollenbezeichnungen.
Dokumente sind in sich konsistent und es treten keine Widersprüche bei verschiedenen Dokumenten in Bezug auf beispielsweise Zuständigkeiten und IT-Zusammenhänge auf. Das gesamte Prozessrahmenwerk wird nicht selten als zusammenhängendes Paket aktualisiert, um Inkonsistenzen und veraltete Verweise etc. zu vermeiden.
Abbildung 2: Schwerpunkt & Herausforderungen in der Praxis; Bildquelle: Deloitte
Auch in Zeiten von Digitalisierung und Automatisierung spielen fachkundige Mitarbeitende im Institut eine wichtige Rolle beim stabilen Betrieb der Monitoring- und Screeninglösung. Die Anforderungen fokussieren hier insbesondere auf die für den Betrieb und die Konfiguration relevanten Rollen und Mitarbeitenden und stellen fachliche Kompetenz sowie ausreichende Ressourcenausstattung in den Vordergrund.
Spezialkenntnisse über die jeweiligen genutzten Lösungen beziehungsweise erfahrene Mitarbeitende mit den entsprechenden Berechtigungen sind Schlüsselfaktoren für einen stabilen Systembetrieb. Die genauen Anforderungen an die Vergabe von Berechtigungen sollte daher eng mit dem Schulungskonzept verknüpft sein und formell definierte Anforderungen sollten mit der Berechtigungsvergabe an Mitarbeitende verbunden sein. Fehlen qualifizierte, routinierte Mitarbeitende, können folglich Fehler im operativen Betrieb der Lösung oder auch der Konfiguration entstehen. Parallel dazu zeigt sich der Fachkräftemangel auch bei der Betreuung und dem Betrieb der Monitoringsysteme.
Grundsätzlich sollte eine Konzentration auf wenige Schlüsselressourcen für Kern-Prozesse in den AML-Lösungen und administrative Aktivitäten (beispielsweise bei der Freigabe von Parametern) wo möglich vermieden werden, eine adäquate Ressourcenausstattung auch beim Fachpersonal ist zu planen.
So können Verzögerungen bei Changes und Backlogs, aber auch kritische Fehler in der Administration und Betreuung der Monitoring- und Screeninglösungen durch krankheitsbedingte Ausfälle, Urlaubsabwesenheiten und die generelle Arbeitsbelastung in der Compliance-Linienorganisation vermieden werden.
Datenkontrolle: Sicherstellung einer End-to-End-Kontrolle der Vollständigkeit über alle Verarbeitungsschritte hinweg
Neben der technischen Ressourcenausstattung der relevanten Systeme liegt ein Augenmerk auf der Sicherstellung der korrekten und vollständigen Datenbelieferung aus den dafür notwendigen Vorsystemen wie KYC/Kundenmanagement, Kernbankensystem oder Transaktionssysteme.
Hierbei geht es um weit mehr als nur die Sicherstellung der Datenvollständigkeit an der Schnittstelle zu der Monitoring-, Screening- beziehungsweise Fraud-Lösung. Es muss über die Lieferstrecke der verschiedenen Quellsystemen über gegebenenfalls zwischengeschaltete Datenbanken eine Vollständigkeit der relevanten Kunden beziehungsweise Transaktionen sichergestellt sein.
Insbesondere stark fragmentierte Systemlandschaften mit historischen (Kunden-) Datenbeständen in dezentralen Anwendungen stellen hierbei eine der größten Herausforderungen dar. Daneben ist die Frage nach der Definition des „Kunden“ häufig eine fachlich-technische Herausforderung. Für Screening-Themen wie Sanktionen geht die Notwendigkeit der Überprüfung über den eigenen Kundenbestand hinaus und erweitert sich auch auf Dritte, welche im Zuge einer Transaktion einen Mittelzufluss erhalten würden. Als zielführend hat sich eine vollständige Dokumentation der Datenflüsse von den Quellsystemen hin bis zum Monitoring- und Screeningsystem als hilfreich für die BT 6 Überprüfung aber auch den Tagesbetrieb gezeigt. Egal ob in Excel- oder einer anderen Dokumentationsform: Der Datenfluss muss auf der Ebene der einzelnen Attribute nachvollziehbar sein, Filter und Verarbeitungsprozesse an Schnittstellen und Datenbanken und Co. müssen transparent und Zuständigkeiten und Kontrollen klar ersichtlich sein.
Die Datenqualität sowie die Qualität der Datendokumentation der verschiedenen Systeme und ihrer Datenstrukturen sind von hoher Bedeutung. Besonders das Fachwissen über die Datenarchitektur spielt bei der Auswahl der richtigen Attribute für Filter- und Sortiervorgänge eine entscheidende Rolle. Es ist wichtig sicherzustellen, dass Entscheidungen zu Schnittstellen-Attributen und deren fachlicher Bedeutung auf fundiertem Wissen basieren. Dies minimiert das Risiko, fehlerhafte Datensätze im Monitoring oder Screening zu verwenden.
In fragmentierten Systemlandschaften gibt es aus historischen Gründen häufig keine eindeutige Entscheidung zur Trennung zwischen juristischen und natürlichen Personen. Werden dafür „Hilfsattribute“ oder Kombinationen hieraus herangezogen, kann das richtig sein – muss es aber nicht. Betrachtet man dieses Beispiel und untersucht die Ursachen für eine falsche Interpretation zum Beispiel bei der PEP-Prüfung eines vermeintlichen Unternehmens, sind fehlende Eingabemöglichkeiten in den Vorsystemen häufig die Ursache. Eine konsistente Datenarchitektur im Institut mit klaren Vorgaben zu Attributen und deren Werteausprägungen ist daher nicht nur für AML- und Sanktionsfragestellungen entscheidend. Beispielhaft hierfür sind klare Kennzeichen für Einzelpersonen vs. Gemeinschaftskonten. So kann verhindert werden, dass aufgrund fehlerhafter Interpretation aus anderen Datenmerkmalen zum Beispiel im PeP-Filter eine vermeintlich juristische Person nicht gegen die einschlägigen Listen geprüft wird. Ähnliche Fehlerstrecken sind in der Praxis beispielsweise auch beim Datum der Accountanlage oder der Trennung zwischen Interessenten und tatsächlichem Kunden zu vermeiden.
Für die Überprüfung stellen daher die Nachvollziehbarkeit der Datenströme und die Zusammensetzung des Datenhaushaltes über die verschiedenen Systeme eine Kernanforderung dar. Je besser sich Datenherkunft, mögliche Ausprägungen und das Mapping auf Datenfelder und Tabellen nachvollziehen lassen, desto geringer sind Fehlerrisiken bei der Implementierung. An diesem Punkt gibt es wiederum eine Verbindung zum operativen Management der IT-Systeme: Wie wird sichergestellt, dass bei Veränderungen in der Systemlandschaft die Datenbelieferung vollständig bleibt?
Neben der Sicherstellung von initial korrekt aufgesetzten Datenstrecken und Schnittstellen stellen besonders die Kontrollmechanismen für eine vollständige Datenbelieferung ein Schwerpunktthema dar. Besonders die Frage nach den verfügbaren Kontrollmöglichkeiten für den Geldwäschebeauftragten (GWB), um Lücken in der (täglichen) Datenbelieferung zu erkennen, stehen im Fokus.
In Bezug auf die Überprüfung der Datenvollständigkeit darf sich der GWB nicht nur auf Kontrollen zwischen Liefer- und Monitoring- und Screeningsystem fokussieren, sondern muss die gesamte Lieferkette in die risikoorientierte Betrachtung einbeziehen. Hierfür sollten möglichst täglich oder bei jedem Import-Export-Vorgang die Mengen zwischen der jeweiligen Datenquelle und den tatsächlich eingelesenen Datensätzen (technisch) abgeglichen und im Abweichungsfall eskaliert werden. Die alleinige Überprüfung auf die reine Vollständigkeit der Datensätze / Datenzeilen ist aber nicht ausreichend, da i.d.R. zusätzliche Datenattribute wie das oben bereits herangezogene Datenmerkmal zur Trennung nach juristischer und natürlicher Person für die eigentliche Überprüfungsqualität im Pep- und Sanktionsfilter wesentlich ist.
Wie kann also auch die Vollständigkeit der relevanten Lieferattribute innerhalb eines Datensatzes zeitnah evaluiert werden?
Für die Beantwortung dieser Frage ist ein kurzer Blick auf die möglichen Ursachen notwendig. Nicht selten führen Eingabeänderungen in den Frontsystemen (zum Beispiel im Customer Management) dazu, dass Datenfelder leer sind und wiederum für diesen einzelnen Kunden am Liefertag ein Attribut leer sein kann (sofern es sich nicht um ein Pflichtfeld handelt).
Treten hingegen für eine Vielzahl von Kunden an einem Tag eine auffällige Häufigkeit von fehlenden Attributen auf, liegt dies meist an technischen Problemen wie vorangegangenen Anpassungen an Eingabemasken, Auswahlmöglichkeiten, Datentypen und weiterem.
Sollten auffällige Abweichungen in der Datenbelieferung auftreten, sind statistische Verfahren als Teil des Importvorganges notwendig, welche einen Alert oder Incident generieren, sofern zu einem Vergleichszeitpunkt (zum Beispiel Vortag oder Monatsdurchschnitt) Dateninhalte unter einer Schwelle liegen.
Im Fokus einer Überprüfung stehen zusätzlich mögliche Datenausschlüsse. Diese betreffen die zugelieferten Kunden und Transaktionen, aber auch Ausschlüsse in Datenlisten wie PeP und anderen Kategorien. Neben einer schlüssigen, risikoorientierten Herleitung von Filterkriterien (zum Beispiel welche SWIFT-Nachrichtentypen für die Überwachung relevant sind und warum gegebenenfalls nicht) spielt wiederum die Etablierung von Mechanismen und Kontrollen eine wichtige Rolle, welche sicherstellen sollen, dass bei technischen aber auch bei fachlichen Veränderungen eine Überprüfung der systemseitigen Ausschlüsse vorgenommen wird (Stichwort Integration Change-Management). Der GWB sollte daher eng in den Neu-Produkt-Prozess integriert sein und zum Beispiel als Teil der jährlichen Risikoanalyse seine Ausschlüsse und Annahmen kritisch überprüfen und gegebenenfalls in den Systemen nachjustieren.
Auslagerung: Kontrolle über den Dienstleister und Konsistenz der Anforderungen an IT-Security und BCM mit dem Institut
Mit Blick auf den eigentlichen IT-Betrieb und die Wartung und Betreuung der betroffenen Anwendungen greifen Institute nicht selten auf externe Dritte beziehungsweise die IT-Dienstleister ihrer Gruppe zurück. Die Spannbreite der Verlagerung reicht von einem reinen IT-Betrieb bis hin zur Auslagerung von Sorgfaltspflichten gemäß § 17 GWG.
Für den IT-Dienstleister gelten grundsätzlich unabhängig des Umfanges der Verlagerung die gleichen Anforderungen, in der Praxis werden jedoch gesonderte Aktivitäten und Schwerpunkte vorgenommen.
Als Teil der Überprüfung werden daher neben den Vertragswerken, Servicekatalogen und Leistungsscheinen insbesondere die Schnittstellen zum Dienstleister in den Fokus gerückt. Kernfrage ist, ob bei Incidents, Notfällen, Changes und Datenproblemen der GWB des Instituts zeitnah eingebunden wird und jederzeit die Steuerungshoheit für die ihn betroffenen Pflichten innehält.
Auslagerung von Sorgfaltspflichten vs. IT-Verlagerung
Es ist entscheidend, dass in den Service Agreements und Leistungsbeschreibungen mit dem Dienstleister der konkrete Umfang klar definiert wird und Zuständigkeiten eindeutig abgegrenzt sind. Konkrete Leistungsscheine mit einer klaren Aufgabenbeschreibung sollten erstellt werden, um Grauzonen zu vermeiden und die Transparenz zu gewährleisten. Je nach Reifegrad des Auslagerungsmanagements und der Compliance-Organisation sollten die exakten Aufgaben und Befugnisse klar und schriftlich fixiert und die Entscheidungskompetenz eindeutig definiert sein. Sind in der Praxis Abweichungen zwischen zum Beispiel Leistungskatalog und gelebter Prozesspraxis vereinbart, müssen diese nachvollziehbar und konsistent über alle Dokumente hinterlegt werden. Insbesondere dann, wenn der Dienstleister mehr als einen reinen IT-Betrieb übernimmt und auch in die operativen Compliance-Prozesse eingebunden ist, bestehen Zweifel an einer reinen IT-Verlagerung. Häufig sind die Dienstleister in die Vorklärung von Treffern involviert, was wiederum auf eine Auslagerung hindeutet.
Verlagerung und Notfallmanagement (Business Continuity Management / BCM) sowie IT-Sicherheit.
Die u.a. aus der MaRisk abgeleiteten Anforderungen an das Risikomanagement der IT spielen eine wichtige Rolle auch im Umfeld der Geldwäsche-Systeme. Die vom Institut vorgenommene Schutzbedarfseinwertung und die dazugehörige Definition der Kritikalität der AML-Systeme inklusive der Anforderungen an Wiederherstellungszeiten, maximaler Ausfallzeit, etc. werden auch von den Auslegungshinweisen aufgegriffen und fließen folglich in die Überprüfung ein. Zwar ist kurzzeitig die Aufrechthaltung der Geschäftsprozess mit entsprechenden, aufwändigen Mitigationsmaßnahmen möglich (zum Beispiel Definition von manuellen Prüfungen für betriebsrelevante Transaktionen), über einen Zeitraum von mehr als ein bis zwei Tagen kann aber aus Ressourcen- und Risikogesichtspunkten kein Betrieb erfolgen. Institutsspezifisch kann lediglich abgeleitet werden, ob und eventuell wie lange ohne die Systeme operativ gearbeitet werden kann, sowie welche Einschränkungen, wie ein Stopp von Auszahlungen von Finanzmitteln, überhaupt realistisch sind.
Hier ergeben sich in der Praxis zwei Schwerpunkte der Überprüfung: Einerseits, ob der GWB in die Einstufungen (aktiv) eingebunden ist, und andererseits, wie die Business Continuity-Maßnahmen auszusehen haben, welche sich hieraus ableiten. Besonders bei ausgelagertem Betrieb der Systeme müssen diese Anforderungen vertragsseitig berücksichtigt sein.
Häufig zeigt sich bei der Sichtung der relevanten Vertragsbestandteile, dass zwar entsprechende (Sicherheits-) Zertifizierungen des Dienstleisters und Nachweise wie ISAE 3402 vorliegen, die Anforderungen der Bank an IT-Sicherheit und BCM aber nicht deckungsgleich mit den SLAs im Vertrag sind.
Kritisch sind insbesondere im Krisenfall die Kommunikationsabläufe zwischen IT-Verantwortlichen und dem GWB. Bei IT-Auslagerungen wird die Kommunikation häufig über das Auslagerungsmanagement oder andere zentrale Steuerungsfunktionen in den Instituten vorgenommen. Auch hier muss sichergestellt werden, dass der GWB (oder seine Stellvertreter) direkt informiert beziehungsweise einbezogen wird.
Change-Management und Kontrolle über Veränderungen (Governance)
Auch wenn Begriffe wie Change-Management, Release Management, Incident und ähnliche nicht unbedingt Kernbestandteil des Sprachportfolios des GWB sind, sind diese ITIL (IT Infrastructure Library) geprägten Begriffe und die dahinterliegenden Prozesskonzepte essenziell für einen stabilen und konsistenten Betrieb der AML-Systeme.
Wie bereits mehrfach angemerkt, spielt die Einbindung der relevanten Rollen in der Compliance-Organisation bei fachlichen und technischen Veränderungen eine wichtige Rolle.
Folgende Aspekte sind in der Praxis besonders zu beachten:
Der GWB ist in die relevanten Change Boards integriert
Änderungen an vorgelagerten IT-Systemen und DWHs werden konsistent an alle Stakeholder inkl. GWB kommuniziert
Optimierung der Impact-Analysen und des Testings der Veränderungen (end-to-end entlang der Lieferstecken)
Die Einbindung bei fachlichen Anpassungen (inkl. neuen Produkten) wird in den Governance-Prozessen definiert
Direkte Einbindung bei Veränderungen bei Dienstleistern
Eigenentwicklungen und weitere Möglichkeiten im Umfeld AFC
Allgemein ging der Trend in den letzten Jahren sehr stark in die Nutzung von markterprobten Compliance-Lösungen. Nur noch in wenigen Sonderfällen werden individuelle Lösungen von den Banken für Spezialfälle entwickelt und betrieben. Dies liegt primär am hohen Reifegrad dieser in Bezug auf Performance und fachlich-technische Features; auch wenn man bei älteren Release-Versionen zumeist bei der Performance der Trefferqualität Abstriche machen muss. Bedingt durch die rasche Etablierung von KI-gestützten Lösungsansätzen auch in der Finanzindustrie versuchen auf der anderen Seite Institute AFC-Lösungsbausteine selbst weiterzuentwickeln und meist als „Add-on“ an die bestehende Lösungslandschaft zu integrieren. Hier sind u.a. agentenbasierte Lösungsbausteine sowie GenAI-gestützte Dokumentengenerierung punktuell bereits im Einsatz.
Aus Sicht des BT 6 liegt bei Eigenentwicklungen ein besonderes Augenmerk auf dem Change-Management und der Testing-Umsetzung. Auch selbst entwickelte Lösungen benötigen Wartung und Weiterentwicklung, welche gesteuert und getestet werden müssen. Je nach Bank und deren IT-Prozessframework sind die Testing-Anforderungen unterschiedlich streng ausgelegt und können zu Lücken (auch in der Überprüfung) führen.
Ein Stolperstein in Bezug auf Eigenentwicklungen kann bei IDV-nahen Lösungen mittels MS Access und Excel (mit Scripten und anderen einfachen Programmieransätzen für die Logik) liegen. Solche Anwendungen müssen analog zu komplexen Softwareentwicklungsprojekten gemäß der IT-Vorgaben umgesetzt werden. Für den späteren Betrieb dieser „Light“-Lösungen muss zudem der Zugriffsschutz gewährleistet werden, Änderungs- oder sogar Überschreibemöglichkeiten der Dateien reguliert werden.
Ausblick
Nicht transparent ist, ob und wann die Aufsicht das Themengebiet aus den Auslegungshinweisen zum Thema Monitoring novelliert oder ob bzw. wie konkret auf europäischer Ebene technisch-prozessuale Anforderungen an die Institute bzw. die Systeme definiert werden. Nachschärfungen und Abstimmungen von Seiten der BaFin erfolgen in der Regel primär über das Institut der Wirtschaftsprüfer (IDW).
Da die Zuständigkeit für das Themenfeld Sanktionen nicht bei der BaFin, sondern bei der Bundesbank liegt, sind gegebenenfalls auch von dieser Seite weitere Konkretisierungen neben den bestehenden Veröffentlichungen wie dem Merkblatt zur Einhaltung von Finanzsanktionen (zuletzt aktualisiert 2024) zu erwarten oder sogar eine langfristige Konsolidierung der Zuständigkeiten und daraus folgenden Konsolidierungen der Anforderungen.
Insbesondere Anforderungen in Bezug auf das Spannungsfeld KI – GenAI im Geldwäscheumfeld und deren Umsetzung in IT-Systemen – könnte den verpflichteten Instituten zu mehr Klarheit verhelfen. Da der Fokus der AuA BT-Veröffentlichung(en) auf Kreditinstituten liegt, bleibt auch abzuwarten, ob gleichartige Anforderungen an Versicherungen und weitere Finanzmarktakteure mit Geldwäsche- und Sanktionsbezug gestellt werden.
Auch wenn die Einhaltung der Anforderungen aus den AuA BT 6 Zeit- und ressourcenintensiv für die Institute scheint: Sie helfen neben der Vermeidung von Feststellungen auch, das Fundament für eine dauerhaft hohe Qualität der Anti-Geldwäsche-, Sanktions- und Betrugsmechanismen sicherzustellen sowie langfristig robust auf neue Herausforderungen der Finanzkriminalität reagieren zu können.
Autoren:
Peter Schadt
Partner Deloitte / Financial Crime
Sebastian Hainzl
Senior Manager Deloitte / Financial Crime
(Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Dann können Sie sich hier für unseren Newsletter anmelden – kostenlos und unverbindlich)
23. August 2025
Wenn die KI irrt – Haftungsszenarien und Kontrollpflichten für Geldwäschebeauftragte
Teil 2 der Serie zur KI-Governance in der Geldwäscheprävention
Der erste Teil dieser dreiteiligen Serie hat die Rolle der Zentralen Stelle und des Geldwäschebeauftragten (GWB) im Spannungsfeld von Technologieeinsatz, regulatorischer Verantwortung und menschlicher Letztverantwortung beleuchtet. Dabei wurde deutlich: Der Einsatz von KI kann zwar Prozesse beschleunigen, entbindet aber keinesfalls von der Haftung – im Gegenteil.
Der zweite Teil führt diese Analyse nun konsequent weiter: Es werden konkrete Haftungsszenarien beim Einsatz von KI in der Zentralen Stelle betrachtet und der Rechtsrahmen eingeordnet – von aktuellen Grundlagen über anstehende Regulierungen bis hin zu wissenschaftlichen Diskussionen. Zudem werden die Anforderungen an Kontrollhandlungen und die Dokumentation beschrieben, und praxisrelevante Leitplanken für die persönliche Haftungsvermeidung des GWB formuliert. Im Fokus steht dabei auch der Sonderfall agentenbasierter Systeme.
Gegenwärtige Haftungsdogmatik
Die gegenwärtige Haftungsdogmatik in Deutschland und der EU folgt einer dreiteiligen Struktur, die auch auf KI-Systeme zunehmend Anwendung findet.
Hierbei wird geprüft, ob ein Akteur durch Verletzung einer Sorgfaltspflicht schuldhaft einen Schaden verursacht hat. Im KI-Kontext liegt das Risiko in:
Unzureichender Kontrolle oder Überwachung des KI-Systems (Organisationsverschulden)
Blindem Vertrauen in KI-Ergebnisse ohne Plausibilisierung
Unterlassener oder fehlerhafter Modellvalidierung oder Systemfreigabe
Die Haftung trifft typischerweise:
Den schuldhaft verursachenden Mitarbeiter (insb. GWB als Verantwortlichen der Zentralen Stelle)
Die Geschäftsleitung bei strukturellem Governance-Versagen
Gefährdungshaftung (z. B. analog zu § 7 StVG)
Im Zivilrecht existiert kein allgemeines Gefährdungshaftungsregime für KI. Gleichwohl wird diskutiert, ob bestimmte KI-Systeme, insbesondere solche mit autonomem Verhalten, als latent gefährdend zu klassifizieren sind.
Gerade bei agentischer KI entsteht ein Zurechnungsdefizit, da deren Verhalten nicht mehr vollständig vorhersagbar ist. Die juristische Kritik erkennt darin ein haftungsrechtlich bedenkliches Maß an Kontrollverlust.
Software, also auch KI, fällt unter das Produkthaftungsrecht. Ein Produktfehler liegt z. B. vorbei:
fehlerhaftem Training des KI-Systems,
Verwendung ungeeigneter Datenquellen,
unterlassenen notwendigen Updates.
Mit Blick auf agentenbasierte KI stellt sich ein neuartiges Problem: Wenn ein System durch eigenständiges Lernen („unsupervised“ oder „reinforcement learning“) ein Verhalten entwickelt, das nicht durch Entwickler oder Betreiber vorhergesehen wurde, droht eine „nichtsteuerbare Haftungslücke“. In der gegenwärtigen Rechtspraxis wird dies nur dann produktrechtlich sanktioniert, wenn nachgewiesen werden kann, dass das Unternehmen das System unzureichend kontrolliert oder gewartet hat.
Geplante Regulierungen bzw. Änderungen
Zu Haftungsfragen sind folgende Änderungen in Planung bzw. Vorbereitung:
AI Act (EU-Verordnung 2024)
Der AI Act verfolgt einen risikobasierten Ansatz. Systeme wie KI-gestütztes Transaktionsmonitoring oder Screening gelten in Verbindung mit den von Bundesbank und BaFin bereitgestellten Dokumenten zum Thema KI als potentielle „high-risk AI“. Betreiber müssen:
Transparenz, Nachvollziehbarkeit und Logging sicherstellen,
technische Robustheit garantieren.
Agentenbasierte Systeme sind aufgrund ihrer adaptiven Zielverfolgung grundsätzlich als besonders risikobehaftet einzustufen. Je nach Kontext wären sie gemäß AI Act vollständig unzulässig oder äußerst streng reguliert.
AI Liability Directive – AILD (KI-Haftungsrichtlinie)
Die Richtlinie sieht keine eigene Haftungsgrundlage vor, sondern regelt:
Beweiserleichterungen bei Schadensersatzklagen gegen KI-Betreiber,
Offenlegungspflichten zu Systemprotokollen und Entscheidungspfaden.
Für agentische KI bedeutet das: Wenn Unternehmen keine klaren Logs oder Entscheidungspfade liefern können, greift eine Beweislastumkehr. Der Schutz vor Haftung hängt direkt an der Fähigkeit, das Verhalten der KI zu rekonstruieren, was bei emergentem Verhalten kaum möglich sein wird.
Reform der Produkthaftungsrichtlinie (2022/0302 COD)
Der Fehlerbegriff wird hier auf lernfähige Software erweitert. Hersteller haften auch bei:
fehlerhaftem Lernen (z. B. durch schlechte Daten),
unterlassener Wartung,
unzureichendem Risikomanagement.
Dies trifft agentische KI mit voller Wucht. Da das Verhalten teils nicht vorhergesagt, aber kausal auf Lernprozesse zurückgeführt werden kann, besteht ein erhöhtes Herstellerhaftungsrisiko, das auch auf Betreiber durchgreifen kann.
Wissenschaftliche Perspektiven
Seit den letzten Jahren findet sich eine zunehmende Anzahl an Fachartikeln und Buchpublikationen, die sich mit den Haftungslücken im Kontext von KI-Anwendungen befassen und Vorschläge unterbreiten, diese Lücken zu schließen. Drei Perspektiven sind hier führend:
Algorithmic Accountability
Reyes fordert ein spezifisches Haftungsregime für KI, das Entscheidungsdesign und Trainingsverantwortung in den Mittelpunkt rückt. Für agentenbasierte KI schlägt er ein „responsibility-by-architecture“-Modell vor, bei dem Systemverantwortung normativ konstruiert wird, auch wenn keine individuelle Steuerung mehr vorliegt [Reyes, C.L., Autonomous Corporate Personhood, Washington Law Review, 2021, in Zusammenhang mit Reyes, C.L., Autonomous Business Reality, Nevada Law Journal, 2021].
Organisationale Verantwortung
Nissenbaum, Brey, betonen, dass strukturelle Verantwortung nur dann sichergestellt werden kann, wenn normative Prinzipien (z. B. Fairness, Erklärbarkeit, Datenschutz) von Anfang an systematisch in technische, organisatorische und soziale Prozesse integriert werden – nicht erst bei Vorfällen oder Haftungssituationen. Hierauf bauen vor allem die Standardisierungs- und Normierungs-Institutionen auf und leiten daraus eine Verantwortlichkeitsarchitektur bestehend aus Rollenmodellen, Verfahrensanweisungen und Kontrollrahmen ab. [Nissenbaum, H., Accountability for Privacy via Institutional Design, 2001; Brey, Ph., Ethics of Emerging Technologies, 2012; sowie weiter IEEE, Ethical Aspects of Autonomous and Intelligent Systems, 2019].
Autopoietische Systeme
Teubnersieht in selbstreferenziellen Systemen wie agentischer KI ein „Rechtsvakuum“: Sie erzeugen Entscheidungen jenseits menschlicher Kontrolle, ohne selbst rechtsfähig zu sein. Er fordert eine funktionale Systemhaftung, bei der nicht mehr das Verhalten Einzelner, sondern das Design und die Reaktionen des gesamten Systems haftungsrechtlich relevant werden [Teubner, G. Recht als poietisches System, 1989, in Verbindung mit Beckers/Teubner, Digitale Aktanten, Hybride, Schwärme, 2024] .
Zusammenfassung zur KI-Haftung
Erkenntnis
Implikation für die Zentrale Stelle
KI-Einsatz ist haftungsrechtlich zulässig, wenn Kontrolle, Nachvollziehbarkeit, menschliche Letztentscheidung sichergestellt sind.
Klassische KI-Systeme sind bei angemessener Governance beherrschbar.
Agentische KI erhöht das Risiko struktureller Kontroll- und Zurechnungsverluste.
Vollständiger operativer Einsatz ist derzeit nicht vertretbar.
Haftung kann nicht auf Systeme übertragen werden.
Verantwortung bleibt beim Menschen (GWB, Geschäftsleitung).
Einsatz nicht erklärbarer, nicht auditierbarer KI ist haftungsrechtlich fahrlässig.
Bei Schaden droht persönliche Inanspruchnahme.
Agentische KI ist aufsichtsrechtlich ausgeschlossen.
Solange dieser Ausschluss gilt, entfällt für GWB ein Teil der Haftungsexposition durch präventive Unzulässigkeit.
Haftungsszenarien bei KI-Versagen in der Zentralen Stelle
Der GWB ist nach § 7 GwG in Verbindung mit § 25h KWG als verantwortliche Person für die institutsinterne Geldwäscheprävention benannt. Mit der Zuweisung dieser Rolle übernimmt er faktisch eine Organfunktion mit umfassender Sorgfalts-, Überwachungs- und Steuerungspflicht. Die Integration von KI-Systemen insbesondere zur Transaktionsüberwachung, Sanktionslistenprüfung oder Musteranalyse verändert nicht die Verantwortlichkeit, sondern verändert die Natur des Risikos: Aus operativ-beobachtbar wird technisch-vermittelt und potenziell intransparent.
Typische haftungsrelevante Szenarien:
Unzureichende Kontrolle der Systemlogik (z. B. bei dauerhaft falsch klassifizierten kritischen Transaktionen ohne Intervention)
Blindes Vertrauen in KI-Empfehlungen (z. B. bei Nichtmeldung trotz meldepflichtiger Indikatoren)
Unterlassene Validierung oder unzureichendes Monitoring (z. B. bei plötzlichem Ausbleiben von Alerts, stark schwankenden False-Positives)
Nichtreaktion auf bekannte Limitierungen (z. B. bei bekanntem Bias gegenüber bestimmten Kundengruppen)
Diese Szenarien sind vor allem unter §§ 130 OWiG (Organisationsverschulden), 823 BGB (Deliktshaftung) sowie bei Kapitalgesellschaften unter § 93 AktG / § 43 GmbHG (Pflichtverletzung von Organen) haftungsrelevant. Ein dabei besonders schwerwiegender Umstand ist die leider in der Praxis nicht seltene Verwechslung von Systemnutzung mit Verantwortungsdelegation. Der Einsatz eines Tools ersetzt keine eigene Prüfung.
Anforderungen an die Kontrollhandlungen des GWB
Die persönliche Haftungsminimierung des GWB gelingt nicht durch Abwälzung, sondern ausschließlich durch nachweisbare, strukturierte und dokumentierte Governance. Rechtsprechung (vgl. BGH, NJW 2009, 3173) und Verwaltungspraxis (BaFin-Maßstäbe) verlangen ein Vorgehen, das sich an Risikokomplexität und Systemkritikalität orientiert.
Die zentrale Formel lautet: Je autonomer die Technologie, desto enger müssen Überwachung, Prüfung und Eskalationsfähigkeit organisiert sein. Zur „Enthaftung“ sind insbesondere folgende Maßnahmen erforderlich:
Kontrollhandlung
Anforderungen
Systemprüfung vor Erstnutzung
Beteiligung an Auswahl, Risikoanalyse, Freigabe
Regelmäßige Validierung
Prüfzyklen zu Effektivität, Schwellenwerten, FP/FN-Verhalten
Plausibilitätsprüfung bei Alerts/Empfehlungen
Kein „Blindvertrauen“, menschliche Letztentscheidung
Dokumentation & Nachvollziehbarkeit
Schriftlich begründete Entscheidungen und (Nicht-)Eingriffe
Eskalation bei Fehlverhalten
Frühzeitige Einbindung der Geschäftsleitung/Aufsicht
Fortbildung
Nachweisbare Schulung zu KI-Funktionalitäten, Risiken
Sonderfall agentenbasierte KI Hier gilt: Der Einsatz in operativen Entscheidungsprozessen würde derzeit gegen aufsichtsrechtliche Prinzipien verstoßen. Der GWB darf sich daher auf regulatorische Unzulässigkeit berufen, um bereits im Vorfeld eine Enthaftung zu begründen – jedoch nur, wenn er aktiv darauf hingewirkt hat, dass solche Systeme nicht oder nur in nichtkritischen Anwendungsfeldern genutzt werden.
Dokumentations- und Validierungspflichten als Risikosenkungsinstrumente Die Dokumentation ist das zentrale Verteidigungsinstrument des GWB im Haftungsfall. Dazu gehören:
Beschreibungen eingesetzter KI-Systeme
Versionierungen und Protokollierungen von Änderungen
Validierungsergebnisse
Interne Stellungnahmen, Einwände gegen Systemlogik
Eskalationsberichte, Nachweise der Kommunikation mit der Geschäftsleitung
In der Praxis empfiehlt sich die Führung eines „AI-Governance-Dossiers“ durch oder für den GWB, das alle KI-gestützten Compliance-Prozesse, deren Bewertung und deren Kontrollhistorie enthält. In Kombination mit einer Policy zur Eingriffs- und Eskalationsverantwortung kann dieses Dossier im Haftungsfall einen entscheidenden Unterschied machen.
Die Rolle des GWB im Zeitalter der KI Die persönliche Haftung des GWB bleibt in vollem Umfang bestehen, auch wenn KI-Systeme in die operativen Prozesse der Zentralen Stelle eingebunden werden. Entscheidungsverlagerung ohne Kontrollausgleich führt nicht zu Entlastung, sondern zu Risiko. Die Haftung lässt sich nicht ausschließen, aber managen durch:
organisatorische Verankerung der Letztverantwortung,
technologische Grundkompetenz und Awareness,
strukturiertes Kontrollhandeln,
dokumentierte Entscheidungsprozesse.
Die Zentrale Stelle darf KI einsetzen, aber nicht zur Flucht aus der Verantwortung, sondern als Werkzeug unter menschlicher Kontrolle. Alles andere wäre sowohl rechtlich als auch aufsichtsrechtlich nicht tragfähig.
Vorschau auf Teil 3
Der dritte Teil dieser Serie zeigt, welche organisatorischen und strukturellen Voraussetzungen notwendig sind, um KI rechtssicher und haftungsrobust in die Arbeit der Zentralen Stelle zu integrieren:
Neue Rollenprofile und Verantwortlichkeitsstrukturen
Kompetenzanforderungen für GWB und Team
Vorschlag für ein KI-Kompetenzmodell
Umsetzung der BaFin-Anforderungen aus BT Ziffer 6
Der Autor:
Dirk Findeisen ist Managing Partner des Beratungs- und Technologieunternehmens msg Rethink Compliance. Er verfügt über mehr als 20 Jahre Erfahrung in den Bereichen Governance, Risk & Compliance (GRC), Datenmanagement, Advanced Analytics und Corporate Performance Management. Findeisen ist Autor zahlreicher Fach- und Buchbeiträge zum Thema Anti-Financial Crime Compliance, ein gefragter Referent auf Fachveranstaltungen und Dozent an mehreren deutschen Hochschulen.
dirk.findeisen@msg-compliane.com
22. August 2025
EBA: AML-Risiken durch unachtsame Verwendung innovativer Compliance-Produkte
Die Europäische Bankenaufsichtsbehörde (EBA) hat eine Stellungnahme zu den Risiken der Geldwäsche und Terrorismusfinanzierung (ML/TF) für den Finanzsektor der EU veröffentlicht. Die EBA sieht große Herausforderungen im Bereich AML, insbesondere in den Sektoren Krypto, FinTech und RegTech.
15. August 2025
FATF veröffentlicht Leitfaden zu AML-Bewertungsrahmen
Die FATF hat einen praxisorientierten Leitfaden zu ihrem internationalen Bewertungsrahmen veröffentlicht, der die 40 Empfehlungen, die 11 Unmittelbaren Ergebnisse und die Bewertungskriterien der Organisation zusammenfasst. Der Leitfaden richtet sich an Compliance-Verantwortliche, Aufsichtsbehörden und politische Entscheidungsträger und deckt zentrale Themen von risikobasierten Ansätzen bis zur WB-Ermittlung ab. Laut FATF ist das Dokument eine unverzichtbare Ressource auch für Geldwäschebeauftragte.
15. August 2025
N26-Gründer vor Ablösung wegen anhaltender Compliance-Mängel
Die BaFin hat bei dem Berliner Fintech N26 erneut teils gravierende Mängel in der Betrugsbekämpfung und beim internen Kontrollsystem festgestellt, woraufhin Investoren auf die Ablösung der Gründer Valentin Stalf und Maximilian Tayenthal drängen. Die BaFin droht mit weiteren Maßnahmen und erwägt Verwarnungen gegen Geschäftsleiter, da das Institut nach Einschätzung der Behörde nicht in der Lage sei, weiteres Kundenwachstum angemessen zu managen. Bereits 2021 hatte die BaFin wegen unzureichender Compliance-Strukturen eine Neukundenbegrenzung verhängt, die N26 nach eigenen Angaben Milliarden kostete.
29. Juli 2025
Aufsicht in 2024: 19 Mio. Euro an Bußgeldern und mehr Vor-Ort-Prüfungen
Die vom Bundesfinanzministerium veröffentlichten statistischen Auswertungen zur Tätigkeit der Aufsichtsbehörden im Jahr 2024 zeigen eine bemerkenswerte Entwicklung: die Geldwäscheaufsicht wurde im letzten Jahr stark ausgeweitet. Diese Intensivierung betrifft sowohl die BaFin als auch die Aufsichtsbehörden der Länder.
BaFin verstärkt Präsenz und verhängt Rekordbußgelder
Bei der BaFin ist ein kontinuierlicher Personalaufbau zu beobachten. Mit 157 Vollzeitäquivalenten im Jahr 2024 ist die Personalstärke gegenüber 2020 um 57% gestiegen. Die personelle Verstärkung spiegelt sich unmittelbar in der Prüfungstätigkeit wider: Die Anzahl der Vor-Ort-Prüfungen nimmt seit 2020 kontinuierlich zu und stieg von 91 im Jahr 2023 auf 114 im Jahr 2024 – ein Plus von 25%.
Interessant ist die Entwicklung bei den Bußgeldern im Mehrjahresvergleich. Nach einem Höchststand von 254 Bußgeldern im Jahr 2022 (3,78 Mio. Euro) fiel die Anzahl 2023 auf einen historischen Tiefstand von nur 9 Bußgeldern (372.500 Euro). Im Jahr 2024 ist mit 42 verhängten Bußgeldern ein erneuter Anstieg zu beobachten. Die Gesamtsumme von über 19 Millionen Euro jedoch markiert einen absoluten Rekord. Betroffen waren hier u.a. die C24 Bank mit 1.250.000 Euro und die Commerzbank AG mit 1.450.000 Euro.
Dies bedeutet, dass die BaFin zwar seltener, aber bei Verstößen umso härter durchgreift – die durchschnittliche Bußgeldhöhe hat sich gegenüber allen Vorjahren vervielfacht. Diese Entwicklung unterstreicht den Trend zu gezielteren, aber empfindlicheren Sanktionen bei Verstößen gegen geldwäscherechtliche Pflichten.
Außerdem wurde erstmals seit 2017 eine Abberufung angeordnet. Welches Unternehmen hiervon betroffen war, und ob es sich um einen Geldwäschebeauftragten oder ein Mitglied der Geschäftsführung gehandelt hat, ist nicht bekannt.
Länderaufsicht: Mehr Prüfungen bei konstantem Personal
Die Aufsichtsbehörden im Nichtfinanzsektor, die insbesondere für Notare, Rechtsanwälte und Steuerberater zuständig sind, haben ihre Prüfungstätigkeit bei nahezu gleichbleibender Personalausstattung intensiviert. Die Vor-Ort-Prüfungen stiegen im Vergleich zu 2023 um rund 9% auf 3.398 im Jahr 2024. Damit wurde das höchste Prüfungsniveau der letzten fünf Jahre erreicht. Besonders markant ist der Anstieg bei Rechtsanwälten und Notaren. Hier stieg die Anzahl der sonstigen Prüfungsmaßnahmen auf 3.649, ein Plus von etwa 30% gegenüber dem Vorjahr.
Auch im Nichtfinanzsektor zeigt sich eine härtere Gangart: die Anzahl der Bußgelder stieg von 283 auf 345, die Bußgeldsumme erhöhte sich von rund 602.000 Euro auf über 951.000 Euro. Die sonstigen Maßnahmen gingen zurück, was auf eine stärkere Fokussierung auf Bußgelder hindeuten könnte.
Fazit für die Praxis
Die Zahlen für 2024 zeigen, sowohl die BaFin als auch die Aufsichtsbehörden im Nichtfinanzsektor haben ihre Aufsichtsintensität erhöht und greifen bei festgestellten Verstößen härter durch. Für Geldwäschebeauftragte, aber auch für die Geschäftsführung bedeutet das mehr Druck. Fehler bei der Pflichterfüllung können erheblich zu Buche schlagen. Wer die gestiegenen Anforderungen nicht ernst nimmt, muss mit empfindlichen Konsequenzen rechnen. Die Investition in ein robustes Geldwäsche-Compliance-System ist daher nicht nur rechtlich geboten, sondern auch wirtschaftlich erheblich.
Insgesamt verdeutlichen die Zahlen: Aufsichtsbehörden setzen zunehmend auf Qualität und Schärfe statt auf Quantität. Verpflichtete Institute und Berufsträger sollten diese Entwicklung als Warnsignal verstehen und ihre internen Kontrollsysteme konsequent stärken, um empfindliche Sanktionen zu vermeiden.
Die gemeinsamen Auslegungs- und Anwendungshinweise der Länder für Güterhändler, Immobilienmakler und Nichtfinanzunternehmen wurden in überarbeiteter Form veröffentlicht. Außerdem wurden einige Merkblätter und Dokumentationsbögen aktualisiert. Hier finden Sie außerdem noch die alte Fassung zum Vergleich.
Die BaFin hat gegenüber der TEN31 Bank AG angeordnet, dass die ordnungsgemäße Geschäftsorganisation sichergestellt werden soll. Hintergrund sind u.a. schwerwiegende Mängel bei der Durchführung von Risikobewertungen und der Abklärung von wirtschaftlich Berechtigten.
Der Zahlungsdienstleister Payone sieht sich nach Recherchen des Spiegel Vorwürfen ausgesetzt, systematisch mit Hochrisikokunden aus der Dating-, Pornografie- und Online-Casino-Branche zusammengearbeitet und dabei gesetzliche Vorgaben zur Geldwäscheprävention missachtet zu haben. Außerdem hat Payone offenbar einige zweifelhafte Kunden aus dem Wirecard Portfolio übernommen. Die BaFin hatte bereits im Juli 2023 wegen „hoher Geldwäscherisiken und gravierender Defizite in der Geldwäscheprävention“ ein Transaktions- und Neukundenverbot für bestimmte Geschäftskunden verhängt.
Die BaFin hat eine Allgemeinverfügung erlassen, mit der sie im Geldwäschegesetz ermöglichte Freistellungen zurücknimmt. Die Änderungen werden zum 10. Juli 2027 wirksam.
17. Juli 2025
VG Anspach: Keine Erniedrigung durch Internet-Pranger
Das Verwaltungsgericht Ansbach hat sich in einer aktuellen Entscheidung zu der Frage geäußert, ob die namentliche oder auch anonymisierte Veröffentlichung einer bestandskräftigen Maßnahme wegen Verstoßes gegen das GwG einen Eingriff in die Grundrechte darstellt.
Geklagt hatte eine Juwelierin, die zwischen 2013 und 2014 mehrere Luxusuhren in bar verkaufte. Das Bargeld wurde später als möglicherweise aus Geldwäsche stammend angesehen. Im Juni 2022 leitete die zuständige Behörde ein Verfahren zur Einziehung möglicher Taterträge nach § 29a OWiG ein.
Nach § 57 Abs. 1 GwG musste die Behörde diese Maßnahme öffentlich auf ihrer Website veröffentlichen („Internetpranger“), was sie zunächst in namentlicher Nennung der Klägerin tat. Auf Verlangen wurde Anfang 2023 auf eine anonymisierte Veröffentlichung umgestellt.
Das Gericht stellte nun fest, dass die Maßnahme keine grundlegenden Menschenrechte verletze und sie verhältnismäßig und zulässig ist, da die behauptete Unternehmens- oder Existenzgefährdung nicht konkret belegt werden konnte, keine erniedrigende Wirkung vorliegt und die gesetzgeberische Vorgaben eingehalten wurden.
17. Juli 2025
BaFin: Intensivere Aufsicht bei AML in den kommenden Jahren
Die BaFin hat ihre 10 Strategischen Ziele 2026 bis 2029 vorgestellt. Damit möchte die Finanzaufsicht ihre Prioritäten festlegen und definiert damit risikoorientiert, auf welche Themen die Ressourcen der Behörde in den kommenden Jahren konzentriert werden sollen.
Unter den Zielen ist auch die Prävention von Geldwäsche und Terrorismusfinanzierung. Dabei soll die Aufsicht insgesamt intensiviert und Prüfungen verstärkt werden, insb. in den Bereichen Zahlungsverkehr und Krypto.
Seit dem 1. Juli 2025 ist die EU-Anti-Money-Laundering-Authority (AMLA) voll operational und hat den Kryptosektor zu einem ihrer Top-Prioritäten erklärt. Innerhalb ihres 2025‑Arbeitsprogramms fordert die Behörde, dass Crypto-Asset Service Providers (CASPs) von Anfang an strikte AML/CTF-Maßnahmen implementieren.
16. Juli 2025
Haftung in Zeiten der KI – Verantwortung in der Zentralen Stelle
Teil 1 der Serie zur KI-Governance in der Geldwäscheprävention
Der technologische Fortschritt verändert die Art und Weise, wie Banken und Finanzdienstleister ihre gesetzlichen Pflichten zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung wahrnehmen. Insbesondere der Einsatz von Künstlicher Intelligenz (KI) in der Transaktionsüberwachung, dem Kundenmonitoring oder dem Risiko-Scoring verspricht eine neue Qualität an Effizienz und Mustererkennung, birgt jedoch zugleich erhebliche regulatorische und haftungsrechtliche Risiken.
Im Zentrum dieser Entwicklung steht die Zentrale Stelle, deren gesetzliche Aufgabe es ist, alle geldwäscherechtlichen Pflichten innerhalb des Instituts zu koordinieren, zu dokumentieren und deren Einhaltung sicherzustellen. Der Geldwäschebeauftragte (GWB) als verantwortlicher Funktionsträger trägt dabei nicht nur organisatorisch, sondern auch rechtlich die Hauptverantwortung – unabhängig davon, ob Prozesse durch Menschen oder Maschinen durchgeführt werden.
Diese Situation wirft grundlegende Fragen auf:
Wie weit darf Verantwortung an KI-Systeme ausgelagert werden?
Welche haftungsrechtlichen Konsequenzen ergeben sich bei Fehlentscheidungen, die (auch) durch Algorithmen vorbereitet wurden?
Wie lässt sich sicherstellen, dass moderne Technologien in einem Umfeld eingesetzt werden, welches durch hohe regulatorische Dichte, strenge Prüfstandards und individuelle Verantwortungszuweisung geprägt ist?
Ziel dieses dreiteiligen Beitrags ist es, das Zusammenspiel von KI-Governance, persönlicher Haftung und aufsichtsrechtlicher Steuerungspflicht am Beispiel der Zentralen Stelle systematisch zu analysieren. Dabei werden nicht nur geltende gesetzliche und aufsichtsrechtliche Anforderungen berücksichtigt, sondern auch aktuelle regulatorische Entwürfe auf EU-Ebene (z. B. AI Act, neue Produkthaftungsrichtlinie) und wissenschaftliche Ansätze zur algorithmischen Verantwortung. Besondere Aufmerksamkeit gilt der Abgrenzung zulässiger Unterstützung durch KI von unzulässiger Entscheidungsdelegation, insbesondere mit Blick auf sogenannte agentenbasierte Systeme („agentic AI“).
Der Beitrag versteht sich als praxisnahe und haftungsrobuste Orientierungshilfe für Geldwäschebeauftragte, Compliance-Führungskräfte und Governance-Verantwortliche, mit dem Ziel, technologische Innovation in den Dienst einer verantwortbaren, nachhaltigen und rechtssicheren Compliance-Arbeit zu stellen.
Die Zentrale Stelle und der Geldwäschebeauftragte
Die Zentrale Stelle ist gemäß § 25h Abs. 1 Satz 6 KWG das funktionale Herzstück der institutsinternen Geldwäscheprävention. Sie übernimmt die Koordination aller Maßnahmen zur Verhinderung von Geldwäsche, Terrorismusfinanzierung und sonstiger strafbarer Handlungen und fungiert zugleich als Verbindungsstelle zur Financial Intelligence Unit (FIU) und den Aufsichtsbehörden. Die gesetzliche Konzeption dieser Funktion wird durch das Geldwäschegesetz (GwG) sowie durch die aufsichtlichen Verwaltungsvorgaben, insbesondere die Mindestanforderungen an das Risikomanagement (MaRisk), konkretisiert.
Gemäß § 7 GwG ist ein Geldwäschebeauftragter (GWB) zu benennen, dessen Aufgabenwahrnehmung in der Regel mit der Leitung der Zentralen Stelle einhergeht. Er trägt die Verantwortung für Aufbau, Steuerung und Kontrolle des institutsinternen Präventionssystems, einschließlich der Implementierung risikoorientierter Verfahren zur Kundenüberwachung, Transaktionskontrolle und Verdachtsfallbehandlung. § 7 Abs. 4 GwG schreibt zudem eine unmittelbare Berichtslinie zur Geschäftsleitung vor, was die exponierte Stellung des GWB nochmals unterstreicht.
Aufsichtsrechtlich flankiert wird diese Verantwortung durch AT 4.4.2 MaRisk, wonach Funktionen wie die Zentrale Stelle unabhängig, mit angemessenen Ressourcen und Kompetenzen ausgestattet sein müssen. Hinzu kommen Anforderungen aus AT 7.2 (IT-Systeme) und AT 9 (Auslagerungen), die für technologiegestützte Kontrollprozesse – wie sie bei KI typischerweise vorliegen – unmittelbar relevant sind.
Aktuelle Entwicklungen im Bereich Künstliche Intelligenz in der Compliance
Die Nutzung von Künstlicher Intelligenz (KI) hat in den vergangenen Jahren auch im Bereich der Anti-Financial Crime Compliance erheblich an Relevanz gewonnen. Einsatzfelder sind vor allem:
das Transaktionsmonitoring mittels Anomalie-gestützter Mustererkennung,
das Screening von Sanktions- und PEP-Listen mit NLP-gestützten Matching-Technologien,
sowie die Risikobewertung und Kundensegmentierung im Rahmen von Know-Your-Customer-Prozessen (KYC).
Diese Systeme sind durch eine zunehmende Autonomie, Adaptivität und Komplexität gekennzeichnet. Damit stellt sich für Compliance-Funktionen die Frage, wie die klassischen Governance- und Kontrollprinzipien auf algorithmische Entscheidungsstrukturen angewendet und überprüfbar gemacht werden können.
Besondere Aufmerksamkeit erfährt derzeit auch der Einsatz sogenannter „agentic AI“ – also KI-Systeme mit agentenbasierter Architektur. Diese Systeme zeichnen sich dadurch aus, dass sie nicht nur klassisch deterministisch auf Inputs reagieren, sondern autonome Subziele formulieren, Entscheidungsstrategien entwickeln und Aufgaben über längere Zeiträume verfolgen können („Planning“, „Tool Use“, „Memory“). Solche Systeme könnten der Zentralen Stelle perspektivisch etwa dabei helfen, komplexe Muster von Finanztransaktionen zu untersuchen, mehrstufige Verknüpfungen zu analysieren oder eigenständig relevante Informationsquellen zu aggregieren. Gleichzeitig verschärfen agentenbasierte Systeme das Problem der regulatorischen Einhegbarkeit: Da diese Systeme Entscheidungen nicht mehr bloß aus vorgegebenen Regeln ableiten, sondern eigenständige Problemlösungsstrategien entwickeln, besteht ein erhöhtes Risiko von Intransparenz, Kontrollverlust und emergentem Verhalten – Eigenschaften, die im regulatorischen Rahmen hochsensibler Compliance-Prozesse (z. B. § 43 GwG) aktuell nicht tolerierbar sind.
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) erkennt in verschiedenen Veröffentlichungen an, dass KI-Systeme potenzielle Effizienzgewinne mit sich bringen, betont jedoch zugleich die Notwendigkeit der „wirksamen Beherrschung von Risiken“ (vgl. BaFin-Journal 02/2022). Der Einsatz von KI entbindet nicht von der Einhaltung aufsichtsrechtlicher Anforderungen – im Gegenteil: Die Nachweispflichten für die Wirksamkeit, Angemessenheit und Nachvollziehbarkeit steigen, je komplexer und autonomer das eingesetzte System ist.
Verbot der vollständigen Entscheidungsdelegation
Ein zentrales Dogma des geltenden regulatorischen Rahmens ist das Verbot der vollständigen Delegation von Entscheidungen an KI-Systeme. Dieses Verbot ergibt sich aus mehreren Regelwerken, deren gemeinsamer Nenner die Forderung nach menschlicher Letztverantwortung ist – oder wie es so schön heißt: „Put the Human in the Loop“.
DSGVO Art. 22 Abs. 1 verbietet automatisierte Einzelfallentscheidungen mit rechtlicher Wirkung, soweit keine ausdrückliche Einwilligung oder gesetzliche Grundlage besteht.
MaRisk AT 4.3.1, AT 7.2 und BAIT/DORA fordern die ständige Kontrollierbarkeit und Prüfbarkeit von IT-Systemen – was in der Folge bedeutet, dass Entscheidungen nicht in einer „Black Box“ getroffen werden dürfen.
In der Verwaltungspraxis der BaFin (siehe auch „Big Data und künstliche Intelligenz“ 09/2022) ist dieses Prinzip mittlerweile gefestigt: KI darf Prozesse unterstützen, strukturieren und priorisieren, nicht aber Entscheidungen treffen, die rechtliche oder regulatorische Folgen nach sich ziehen – es sei denn, eine menschliche Kontrollinstanz ist formal und faktisch wirksam eingebunden („Human Oversight“).
Dies gilt in verschärftem Maße für agentenbasierte KI-Systeme: Diese sind – nach heutiger Bewertung – nicht mit dem aufsichtsrechtlichen Prinzip der jederzeitigen Steuerbarkeit, Kontrollierbarkeit und Nachvollziehbarkeit vereinbar, wie es aus MaRisk AT 7.2 und AT 4.3.1 folgt. Agentic-AI-Systeme wären nur dann zulässig, wenn:
sämtliche Zwischenschritte dokumentierbar, prüfbar und abänderbar sind,
sie keine irreversible Entscheidungskaskade ohne menschlichen Eingriff auslösen können, und
der GWB nachvollziehen, stoppen oder korrigieren kann, wie eine Schlussfolgerung zustande kam.
Solange diese Anforderungen technisch nicht abgesichert und aufsichtsrechtlich nicht anerkannt sind, ist der operative Einsatz agentischer KI in der Zentralen Stelle faktisch ausgeschlossen. Zulässig bleibt lediglich die unterstützende Nutzung in vorgelagerten, nicht entscheidungskritischen Prozessen (z. B. Dokumentenzusammenfassung, semantische Recherchen, Musterverdichtungen im Kontext der Risikofrüherkennung).
Vorschau auf Teil 2
Der nächste Teil dieser Serie beleuchtet die konkreten haftungsrechtlichen Konsequenzen des KI-Einsatzes in der Zentralen Stelle, darunter:
die gegenwärtige Haftungsdogmatik,
geplante gesetzliche und regulatorische Änderungen,
wissenschaftliche Perspektiven zur Algorithmus-Verantwortung,
sowie erste praxisrelevante Implikationen für Geldwäschebeauftragte.
Der Autor:
Dirk Findeisen ist Gründer und Managing Partner des Beratungs- und Technologieunternehmens msg Rethink Compliance. Er verfügt über mehr als 20 Jahre Erfahrung in den Bereichen Governance, Risk & Compliance (GRC), Datenmanagement, Advanced Analytics und Corporate Performance Management. Findeisen ist Autor zahlreicher Fach- und Buchbeiträge zum Thema Anti-Financial Crime Compliance, ein gefragter Referent auf Fachveranstaltungen und Dozent an mehreren deutschen Hochschulen.
Die BaFin hat am 02. Juli 2025 eine neue Version Ihrer Auslegungs- und Anwendungshinweise zum Geldwäschegesetz (GwG) veröffentlicht. Einzige Änderung ist eine Ergänzung bzgl. des neuen digitalen Anzeigeverfahrens zur Meldung von Geldwäschebeauftragten.
10. Juli 2025
Versicherer im Fokus: Neue Herausforderungen in der Geldwäscheprävention
Wenn es um spektakuläre Fälle von Geldwäsche geht, spielen Versicherer selten eine Hauptrolle. Das Versicherungsgeschäft gilt insgesamt als wenig anfällig und doch wird die Rolle von Versicherungen in der Geldwäscheprävention häufig unterschätzt – sowohl in der öffentlichen Wahrnehmung als auch in Teilen der Branche selbst. Bestimmte Versicherungssparten, insbesondere Lebensversicherungen mit Einmalbeiträgen und Rückkaufswerten, bergen ein nicht unerhebliches Missbrauchspotenzial. Hinzu kommen neue Risiken durch flexiblere Versicherungsprodukte. Der Beitrag beleuchtet die aktuellen Herausforderungen für Assekuranzen und zeigt auf, wo Versicherer bei der Geldwäscheprävention nachbessern sollten.
Auch Versicherungen müssen das Geldwäschegesetz beachten
Bestimmte Versicherungsunternehmen unterliegen – wie Banken oder Zahlungsdienstleister – den Pflichten des Geldwäschegesetzes (GwG). Diese müssen dieselben zentralen Pflichten erfüllen wie andere Verpflichtete auch. Dazu gehören insbesondere eine risikoorientierte Analyse der Geschäftsaktivitäten (§ 5 GwG), die Einrichtung interner Sicherungsmaßnahmen (§ 6 GwG), die Bestellung eines Geldwäschebeauftragten (§ 7 GwG), die Identifizierung von Kunden (§ 11 GwG) und die unverzügliche Erstattung von Verdachtsmeldungen (§ 43 GwG).
Diese Anforderungen gelten für Versicherer, soweit sie jeweils
a) Lebensversicherungstätigkeiten anbieten,
b) Unfallversicherungen mit Prämienrückgewähr anbieten,
c) Gelddarlehen und Akzeptkrediten vergeben oder
d) Kapitalisierungsprodukte anbieten.
Die Beschränkung hat mit der Risikogeneigtheit dieser Geschäfte zu tun, da sich nicht alle Produkte der Versicherungsbranche für Geldwäsche anbieten. Tatsächlich kommt es jedoch eher selten zu Fällen von Geldwäsche, bei denen Versicherer involviert sind. Nach der Nationalen Risikoanalyse der Bundesrepublik wird die Missbrauchsgefahr des Versicherungssektors deshalb insgesamt als mittel-niedrig eingestuft. Auch die Anzahl der bei der Financial Intelligence Unit (FIU) abgegebenen Verdachtsmeldungen ist im Vergleich zum Bankensektor überschaubar. Dies hat auch damit zu tun, dass von den Versicherern kaum noch Bargeschäfte zugelassen werden, was die Verschleierung von Vermögenswerten deutlich erschwert.
Wandel in der Produktwelt als Risiko
Seit einigen Jahren ist jedoch zu beobachten, dass sich das Versicherungsgeschäft wandelt. Die Unternehmen bieten neue Produktformen an, um Neugeschäft zu generieren. Der Trend geht hin zu sogenannten „flexiblen Produkten“. Diese bieten, anders als die klassischen Kapitalprodukte im Versicherungsbereich, flexible Ein- und Auszahlungen im Laufe der Vertragslaufzeit. Dabei kann der Versicherungsnehmer sowohl den Termin der Zahlungen als auch den Betrag frei wählen. Diese Produkte verhalten sich ähnlich wie Tagesgeld- und Sparprodukten und bieten daher mehr Potenzial für Geldwäsche und Terrorismusfinanzierung.
Manuelles Monitoring stößt an Grenzen
Diese Flexibilität führt jedoch auch zu einem höheren Überwachungsaufwand und erfordert zunehmend entsprechende Systeme. Anders als die Banken unterliegen die Versicherungsunternehmen jedoch keiner gesetzlichen Verpflichtung, ein EDV-gestütztes Monitoring vorzuhalten. Fehlen solche IT-Systeme kann dies transaktionsbedingte Risiken begründen, da eine manuelle Kontrolle aller angetragenen Transaktionen kaum umsetzbar ist. Darüber hinaus fehlen den Versicherungsunternehmen in der Regel auch die für eine Einschätzung nötigen Informationen. Anders als Kreditinstitute, die aufgrund des umfangreichen Zahlungsverkehrs eine umfassende Einsicht in die Kundenbeziehung haben, verfügen Assekuranzen nur über einen eingeschränkten Einblick. Aufgrund des Informationsmangels fällt es diesen Unternehmen schwer, Anhaltspunkte für Geldwäsche und Terrorismusfinanzierung zu erkennen.
Diese Problematik hat auch die Aufsicht erkannt. In einem Interview auf ihrer Homepage empfiehlt die BaFin den Unternehmen mit einem entsprechendem Produktportfolio dringend, ein weitreichendes IT-Monitoring einzuführen.
Terrorismusfinanzierung durch Todesfallleistungen
Eine weitere Herausforderung sieht die BaFin auch im Bereich Terrorismusfinanzierung. In der Vergangenheit hätten Terroristen wiederholt versucht, ihre Vorhaben durch hohe Todesfallleistungen aus Lebensversicherungen zu finanzieren. Besonders im Fokus stünden dabei Risikolebensversicherungen, da diese bereits gegen vergleichsweise geringe Prämien innerhalb kurzer Zeit erhebliche Auszahlungssummen ermöglichen. Diese Mittel könnten dann gezielt zur Unterstützung terroristischer Aktivitäten eingesetzt werden. Ein besonders hohes Risiko ergebe sich, wenn der Todesfall im Ausland eintritt und die Todesfallleistung an eine im Ausland lebende begünstigte Person ausgezahlt werde.
PeP-Abklärung ernst nehmen
Potenzial bietet auch das Thema politisch exponierte Personen (PeP). Die Aufsicht moniert, dass nicht alle Unternehmen täglich einen Abgleich mit entsprechenden PeP-Listen durchführen. Dies erschwere die rechtzeitige Identifizierung möglicher PeP im Bestand und das zeitnahe Ergreifen entsprechender Maßnahmen.
Auch werde nicht immer ein möglicher PeP-Status beim Kunden explizit abgefragt. Es sei vielmehr notwendig, bereits in den Vertragsformulare entsprechende Felder verpflichtend vorzusehen. Hier bestehe noch Nachholbedarf.
Mehr und intensivere Prüfungen
Die Kritik der Aufsicht bleibt nicht folgenlos. Die BaFin hat ihre Prüfungen im Nicht-Bankensektor (zu dem auch Versicherer gehören) in 2024 im Vergleich zum Vorjahr deutlich intensiviert. Auch in 2025 beabsichtigt die BaFin Vor-Ort-Prüfungen bei Versicherungsunternehmen durchzuführen.
Wie umgehen mit den Herausforderungen?
Um den Anforderungen an eine angemessene Geldwäscheprävention gerecht zu werden, muss die Branche sich verändern. Einige Versicherer haben das erkannt und den Wandel bereits eingeleitet. Das bestätigt auch Thomas Ohlemacher, Produktmanager bei der ACTICO GmbH: „Versicherungen ergreifen zunehmend Maßnahmen, um ihre Geldwäsche-Prävention zu verbessern. Allein die Datenmenge bestehend aus Kunden- und Partnerdaten, Kontodaten, Sanktionslisteneinträgen ist praktisch nur mit modernsten Technologien beherrschbar.“
Herr Ohlemacher rät daher den Versicherern, sich mehr an den Vorgaben des Bankensektors zu orientieren: „Leistungsfähige Systeme zum Sanktions- und PEP-Listen-Screening sind erforderlich, um hohe Datenmengen von Kunden und Vertragspartnern zu analysieren und den Abgleich in regelmäßigen Abständen, am besten täglich, zu fahren. Nur so kann das Risiko in BaFin-Prüfungen schlecht abzuschneiden minimiert werden.“
Fazit
Der Wandel in der Produktwelt der Versicherer und die immer schärferen regulatorischen Anforderungen zwingen viele Unternehmen, sich intensiver mit dem eigenen Geldwäsche-Risikomanagement auseinanderzusetzen. Neben dem Nachholbedarf in Sachen EDV-Monitoring sind auch die Anforderungen an die Mitarbeitersensibilisierung nicht außer Acht zu lassen. Schließlich kommt es bei dem Erkennen von Geldwäsche und Terrorismusfinanzierung auch maßgeblich auf die Kenntnis und Erfahrung der eigenen Beschäftigten an. Nur so können auffällige Transaktionen und Kundenbeziehungen rechtzeitig identifiziert und gemeldet werden.
(Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Dann können Sie sich hier für unseren Newsletter anmelden – kostenlos und unverbindlich)
Inhaltsverzeichnis
29. Oktober 2025
Geldwäsche, Terrorismusfinanzierung und Kryptowährungen: Die Macht der öffentlich verfügbaren Daten
Geldwäsche und Terrorismusfinanzierung gehören zu den größten Herausforderungen unserer Zeit. Die entsprechenden Handlungen und Transaktionen finden im Verborgenen statt und wirken sich währenddessen nicht unerheblich auf Sicherheit, Wirtschaft und Gesellschaft aus. Als wesentliches Element der Verschleierung stand bis vor nicht allzu langer Zeit Bargeld exklusiv im Mittelpunkt. Im Zuge der Digitalisierung haben sich die Umstände jedoch radikal verändert. Zunehmend rücken Kryptowährungen, wie beispielsweise Bitcoin, in den Vordergrund. Die zugrunde liegende technische Basis ist die Blockchain-Technologie. Diese fußt wiederum auf einem dezentralen Netzwerk, dem sich grundsätzlich jeder mit Hilfe eines geeigneten Rechners und eines Software-Clients anschließen kann. Die Identität der einzelnen Teilnehmer ist dem Netzwerk insgesamt bzw. den Teilnehmern untereinander nicht bekannt. Diese an Anonymität grenzende Pseudonymität eröffnet völlig neue Möglichkeiten des konspirativen Handelns. Auch gibt es weder eine zentrale Instanz noch einen zentralen Ablageort für die generierten Daten. Ganz im Gegenteil: Jeder Netzwerteilnehmer verfügt jeweils über eine eigene Kopie der vollständigen Blockchain, das heißt, sie ist öffentlich einsehbar und wird auf den Rechnern der Teilnehmer dauerhaft vorgehalten. Mit Blick auf strafrechtliche Ermittlungen zu Geldwäsche und Terrorismusfinanzierung bietet sich hier in Form von Open Source Intelligence (OSINT) die Möglichkeit zur strukturierten Auswertung dieser frei zugänglichen (digitalen) Informationen.
Studie zum Einsatz von Open Source Intelligence (OSINT)
In unserer zunehmend digitalisierten Welt ist mit dem Internet ein globaler, digitaler Raum ohne physisch wahrnehmbare Grenzen geschaffen worden. Hier lassen sich nicht nur Angebot und Nachfrage für illegale Güter und Dienstleistungen unter den günstigen Rahmenbedingungen einer erschwerten Strafverfolgung zusammenführen. Auch Geldwäsche lässt sich auf viele Arten, über Wallets, Kryptobörsen oder NFT-Handelsplattformen, verschleiern. Spenden für Terrorgruppen können fast mühelos über öffentlich geteilte Wallet-Adressen akquiriert werden.
Offizielle Statistiken blenden all diese Aspekte bislang weitgehend aus und es ergibt sich eine massive Datenlücke, die ein enormes Dunkelfeld hinterlässt. In der Konsequenz weisen die Schätzungen zum Umfang von Geldwäsche in Deutschland ein breites Spektrum auf. Dieses reicht von 29 Milliarden bis über 100 Milliarden Euro jährlich. Welche Rolle Kryptowerte dabei bereits heute spielen, ist bisher jedoch kaum belastbar belegt. Aus diesem Grund hat sich das EU-geförderte Forschungsprojekt G.E.K.O des Jean Monnet Centre of Excellence Crime Investigations and Criminal Justice(CCICJ) an der Hochschule für Öffentliche Verwaltung Bremen im Rahmen einer Studie mit der Rolle von Kryptowerten und dem Nutzen von Open Source Intelligence (OSINT) bei der Ermittlungsarbeit an Geldwäsche und Terrorismusfinanzierung befasst – mit aufschlussreichen Ergebnissen.
Möglichkeiten der (schönen) neuen digitalen Welt
Das Potenzial von OSINT liegt in der schnellen und grenzüberschreitenden Informationsgewinnung bei zugleich kostengünstiger Ermittlungsarbeit. Im Optimalfall kann mittels Verknüpfung bestimmter öffentlich verfügbarer Informationsfragmente vom Bekannten auf das Unbekannte geschlossen werden. Blockchain-Analysen, Social-Media-Auswertungen oder auch Darknet-Recherchen eröffnen daher neue Ermittlungs- und Präventionsansätze. Im Fall von Blockchain-Analysen rücken Bitcoin-Transaktionen sowie die involvierten Bitcoin-Adressen in den Fokus. Die Zahlung mit Bitcoin verläuft pseudonym, das heißt, es findet kein Austausch zwischen Sender und Empfänger statt, sondern die Inhaberschaft von Bitcoin-Einheiten wird einer anderen Bitcoin-Adresse zugeordnet. Diese Veränderungen in der Zuordnung von Inhaberschaften werden bei der Blockchain-Technologie wiederum als eine Art Datenbankeintrag in der jeweils zugrunde liegenden Blockchain dauerhaft und unveränderbar dokumentiert. Bei entsprechend strafrechtlich motivierten Analysemethoden wäre deshalb in der Transaktionshistorie der Bitcoin-Blockchain nach möglichen Endpunkten mit idealerweise durchgeführten KYC-Prozessen zu suchen, um eine Verbindung zwischen den handelnden Individuen und den dabei von ihnen gesteuerten Adressen herzustellen. Die Daten der Blockchain müssen folglich zwingend mit Daten außerhalb der Blockchain in Beziehung gesetzt werden. Dies wäre beispielsweise im Zusammenspiel mit einer geeigneten Social-Media-Auswertung möglich. So könnten sich Foren-Nutzer und deren Bitcoin-Adressen in Zusammenhang mit Bitcoin-Transaktionen bringen lassen, sofern diese womöglich öffentlich zur Unterstützung von strafrechtlich relevanten Aktionen aufrufen und zugleich eine Spende an bestimmte Bitcoin-Adressen erbitten. Hier bietet unter Umständen die bei der Registrierung für das Forum angegebene E-Mail-Adresse einen Ansatzpunkt für die Feststellung der Identität des Nutzers.
Anwendungsbereich ist nicht auf strafrechtliche Ermittlungen beschränkt
Auch den globalen Geldwäscheaktivitäten wird sich künftig angesichts der Pseudonymität der Blockchain-Technologie nicht ohne Fähigkeit zur Analyse von Transaktionsdaten einer Blockchain entgegentreten lassen. Somit weist OSINT auch Relevanz für Compliance und Geldwäscheprävention auf.
Verpflichtete nach dem GwG haben ein breites Spektrum an Anforderungen zu erfüllen. Ihr Risikomanagement soll mit Hilfe entsprechender Analysen und interner Sicherungsmaßnahmen die individuellen Risiken für Geldwäsche und Terrorismusfinanzierung steuern, wobei die konkrete Ausgestaltung dem Verpflichteten überlassen bleibt. Die grundsätzliche Pseudonymität der Blockchain-Technologie und ihrer Nutzer sowie das damit einhergehende Potenzial für undurchsichtiges Handeln im Rahmen von Transfers dürften zweifelsfrei ein Risiko darstellen, dem auf geeignete Art und Weise entgegenzutreten ist. Infolgedessen könnten im Zuge der Aufnahme von neuen Geschäftsbeziehungen künftig entsprechende KYC-Prozesse möglicherweise auch die Prüfung bestehender Verbindungen zwischen Personen und sanktionierten Wallets umfassen (müssen). Hierbei könnten dann bestimmte Werkzeuge, wie beispielsweiseMaltego oder DataWalk, zum Einsatz kommen, bei denen die Visualisierung und Analyse von Beziehungen und Verbindungen zwischen Informationsfragmenten automatisiert erfolgt. Es wäre indes je nach Relevanz abzuwägen, ob ein entsprechendes Budget für Dienstleister einzuplanen oder am Ende die entsprechende Expertise im Unternehmen aufzubauen und vorzuhalten ist. Am Ende gilt es demnach herauszufinden, wie umfangreich die Maßnahmen aus Compliance-Perspektive sein sollten.
Wachsender Bedarf
In der genannten Studie des CCICJ bewerten die Strafverfolgungsbehörden die Bedeutung von OSINT beispielsweise mit 4,5 von 5 Punkten und weisen auf das Potenzial für strafrechtliche Ermittlungen, Compliance und Geldwäscheprävention hin. Effizienz und Geschwindigkeit von Präventions- und Ermittlungsarbeit ließen sich durch die Einbindung von OSINT offenbar steigern.
Die Kehrseite der Medaille: Der Rückgriff auf Datenbanken zu bereits analysierten Bitcoin-Transaktionen der Vergangenheit bei entsprechend spezialisierten Dienstleistern ist kostenpflichtig. Der Aufbau solcher Datenbanken wäre den Ermittlungsbehörden auf Basis der bekannten Vorgehensweise hingegen grundsätzlich auch eigenständig möglich.
Die Studie kommt zu einer klaren Schlussfolgerung: Bereits für den generellen OSINT-Einsatz fehlt es sowohl an spezialisierten Fachkräften als auch an geeigneten Werkzeugen. Die eingesetzten Werkzeuge und auch das Schulungsangebot sind bei den Ermittlungsbehörden uneinheitlich oder unzureichend standardisiert. Auch existieren keine zentralen Analyse-Hubs oder lizenzfinanzierte Schwerpunktstellen für ressourcenintensive Tools. Der Status quo offenbart: In Zukunft muss es weniger isolierte Zuständigkeiten, eine zunehmende arbeitsteilige Spezialisierung, moderne Technik und ein koordiniertes Vorgehen geben.
Ausblick
Es liegt nahe, dass nur der vertraute Umgang mit technischen Neuerungen der digitalen Welt dazu führen kann, dass sich ein Verständnis für die Ursachen von Straftaten oder Compliance- und Geldwäscherisiken ausbildet. Exemplarisch sei an dieser Stelle auf Phänomene wie das Wash-Trading verwiesen. Hierbei werden im Zusammenhang mit Non-Fungible Token (NFT) deren Handelsvolumen und Marktpreis künstlich erhöht, indem ein Nutzer zahlreiche Verkäufe zwischen eigenen Wallets bei verschiedenen Handelsplattformen vornimmt, um den Eindruck einer hohen Nachfrage zu erwecken. Auf diesem Wege könnte inkriminierte Kryptowährung entlang einer Kette von Transaktionen investiert, kumuliert und letztendlich als legal wirkender Spekulationsgewinn ausgewiesen werden. Nur das Wissen darüber, dass eine Analyse von Blockchain-Daten etwaige vorhandene Muster des Wash-Tradings erkennen bzw. eine indirekte Verbindung von Verkäufer und Käufer aufdecken könnte, ermöglicht die Entwicklung geeigneter Präventionsmaßnahmen für das eigene Geschäftsmodell.
Sowohl Strafverfolgungsbehörden als auch Verantwortliche in den Bereichen Compliance und Geldwäscheprävention werden geeignete Maßnahmen für die neuen Herausforderungen im digitalen Raum finden müssen. Ohne strategischen Ausbau von Technik und Personal sowie die Schaffung geeigneter rechtlicher Rahmenbedingungen werden Behörden und Unternehmen der Dynamik digitaler Finanzkriminalität offenkundig nicht ohne Weiteres standhalten können.
Der Autor:
Dipl.-Kfm. Christian Bliesener, LL.B., CFE, ist Compliance Officer bei der wpd GmbH. Lehrbeauftragter an der Hochschule für Öffentliche Verwaltung Bremen. Mitglied im Jean Monnet Exzellenzzentrum für Strafrechtliche Ermittlungen und Strafjustiz (CCICJ). Praxiserfahrung durch Tätigkeiten als behördlicher Ermittler, Auditor und Compliance Officer.
1. Oktober 2025
BaFin warnt: Erhöhte Umgehungsgefahr in Zusammenhang mit Iran-Sanktionen
Die Anzeige der Bestellung von Geldwäschebeauftragten wird digital. Ab dem 13. Juni 2025 bietet die BaFin den Verpflichteten des Finanzsektors auf ihrer Melde- und Veröffentlichungsplattform (MVP) ein neues Anzeigeverfahren an.
Über dieses Fachverfahren erfolgt die Anzeige der Bestellung, der Änderung und der Entpflichtung einer oder eines Geldwäschebeauftragten (GWB) und einer Vertretung nach § 7 GwG. Die erfolgreiche Einreichung der Informationen über das MVP-Portal ersetzt die Anzeige per Post oder per E-Mail an die BaFin.
Die BaFin hat Ende November ihre Auslegungs- und Anwendungshinweise Allgemeiner Teil (AuA AT) zum Geldwäschegesetz in aktualisierter Form auf ihrer Webseite veröffentlicht. Neben verschiedenen Konkretisierungen erfolgten auch Anpassungen, beispielsweise zu den Aktualisierungsfristen gemäß § 10 Absatz 1 Nr. 5 Geldwäschegesetz (GwG).
Die AuA AuA AT gelten ab dem 1. Februar 2025.
18. November 2024
EBA: Neue Leitlinien sollen AML-Governance vereinheitlichen
Die Europäische Bankenaufsichtsbehörde (EBA) hat neue Leitlinien (EBA/GL/2024/14 und EBA/GL/2024/15) veröffentlicht, um einheitliche Standards für die Einhaltung von restriktiven Maßnahmen in der EU zu schaffen. Diese betreffen u.a. Finanzinstitute, Zahlungsdienstleister und Anbieter von Krypto-Diensten und zielen darauf ab, Schwächen in Governance und Risikomanagement zu beheben. Die Leitlinien sollen Rechts- und Reputationsrisiken minimieren und die wirksame Umsetzung von Sanktionen sicherstellen.
Die erste Reihe von Leitlinien richtet sich an alle Institute, die in den Aufsichtsbereich der EBA fallen. Sie enthalten Bestimmungen, die sicherstellen sollen, dass die Governance- und Risikomanagementsysteme der Finanzinstitute solide und ausreichend sind, um dem Risiko zu begegnen, dass sie gegen restriktive Maßnahmen verstoßen oder diese umgehen könnten.
Die zweite Reihe von Leitlinien gilt speziell für Zahlungsdienstleister (PSPs) und Anbieter von Krypto-Vermögenswerten (CASPs) und legt fest, was PSPs und CASPs tun sollten, um restriktive Maßnahmen bei der Durchführung von Geldtransfers oder Krypto-Vermögenswerten einhalten zu können.
Inkrafttreten ist der 30. Dezember 2025.
Sponsor Werbung
12. Juli 2024
BaFin: Solaris muss diverse Mängel in der Geldwäscheprävention beseitigen
Die Finanzaufsicht BaFin hat angeordnet, dass die Solaris SE Mängel beseitigen muss. Mehrere Prüfungen hatten Defizite in der Geldwäscheprävention, im Meldewesen, im Auslagerungsmanagement und in der IT ergeben. Bereits im Frühjahr 2024 hatte die BaFin eine ähnliche Anordnung gegen die Solaris SE bekannt gemacht.
(Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Hier gehts zu unserem Newsletter)
Einleitung
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat ein Rekordbußgeld in Höhe von 9,2 Millionen Euro gegen die N26 Bank AG verhängt. Diese Maßnahme, die am 21. Mai 2024 bekannt wurde, resultierte aus schwerwiegenden Mängeln in den Bereichen Geldwäscheprävention und Risikomanagement. Der Grund: Die BaFin hatte festgestellt, dass das Institut im Jahr 2022 systematisch Geldwäscheverdachtsmeldungen verspätet abgegeben hat.
Hintergrund und Anlass der BaFin-Maßnahmen
Die N26 Bank AG, eine der führenden Neobanken in Deutschland, ist seit Jahren im Visier der BaFin. Bereits 2021 wurden erste Maßnahmen gegen die Bank ergriffen, um Mängel in der Geldwäscheprävention zu beheben. Besonders hervor stach das damals gegen die Smartphonebank verhängte Bußgeld in Höhe von 4.250.000 Euro. Es handelte sich damals um das bislang höchste Bußgeld der BaFin für Verstöße gegen Geldwäschevorschriften.
Trotz dieser Auflagen konnte N26 die festgestellten Defizite nicht vollständig beseitigen, was zu der erneuten und diesmal noch drastischeren Intervention der Aufsichtsbehörde führte.
N26 kommt nicht zur Ruhe
Die jüngste BaFin-Verfügung vom 21. Mai 2024 zeigt, dass die N26 Bank AG weiterhin erhebliche Mängel in ihrem internen Kontrollsystem aufweist. Dies betrifft insbesondere die Identifizierung und Überwachung verdächtiger Transaktionen. So kam es im Jahr 2022 wiederholt zu verspätet abgegebenen Verdachtsmeldungen, was von der Aufsicht als schwerwiegender und systematischer Verstoß eingestuft wurde.
(Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Hier gehts zu unserem Newsletter)
15. Oktober 2023
FIU: Bei Bestandsaccounts in goAML auch zukünftig „Unterregistrierungen“ möglich
Die FIU hat erklärt, dass seit dem 24. Juli 2023 Kanzleien und Wirtschaftsprüfungsgesellschaften in goAML nicht mehr registriert werden können. Dies geht aus einer Mitteilung der Wirtschaftsprüferkammer hervor. Jeder Berufsträger, der Verpflichteter des Geldwäschegesetzes ist, hat sich künftig (als natürliche Person) zu registrieren.
Wichtig: Kanzleien, Partnerschaften und Wirtschaftsprüfungsgesellschaften, die bis zum 24. Juli 2023 registriert wurden, bleiben als solche im Bestand. Hier können auch weiterhin „Unterregistrierungen“ vorgenommen werden.
Sponsor Werbung
23. September 2023
BMF: Auswertungen zur Aufsichtstätigkeit der Aufsichtsbehörden 2022
Neue Behörden, mehr Zusammenarbeit, mehr Daten – Das neue Finanzkriminalitätsbekämpfungsgesetz (FKBG) soll die Effektivität der Geldwäschebekämpfung in Deutschland verbessern. In diesem Blogbeitrag werden die wichtigsten Punkte dieses Gesetzesentwurfs zusammengefasst und die Auswirkungen auf Geldwäschebeauftragte erörtert.
(Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Hier gehts zu unserem Newsletter)
Das Bundesministerium der Finanzen (BMF) hat Mitte September den Entwurf eines Gesetzes zur Verbesserung der Bekämpfung von Finanzkriminalität (Finanzkriminalitätsbekämpfungsgesetz – FKBG) veröffentlicht. Der Entwurf umfasst über 200 Seiten. Viele Regelungen sollen bereits zum 01. Januar 2024 wirksam werden.
Die Herausforderung und das Ziel des FKBG
Der Gesetzesentwurf ist eine Reaktion auf die Empfehlungen der Financial Action Task Force (FATF) und die Ergebnisse der Deutschlandprüfung im Jahr 2022. Dabei wurde Deutschland u.a. für die unzureichende Bekämpfung von Geldwäsche und die mangelnde Zusammenarbeit zwischen Strafverfolgungsbehörden kritisiert. Der FKBG zielt darauf ab, diese Schwächen zu beheben und die Geldwäschebekämpfung zu intensivieren.
Kerninhalt des Gesetzentwurfs sind Regelungen zur Errichtung des neuen Bundesamtes zur Bekämpfung von Finanzkriminalität (BBF). Darüber hinaus enthält er notwendige fachgesetzliche Anpassungen u. a. im Bereich der Geldwäscheaufsicht und Sanktionen. Schließlich werden auch Bestimmungen für die Einrichtung eines Immobilientransaktionsregisters getroffen.
Die neue „Supergeldwäschebehörde“
Erste Details zum neuen BBF waren bereits im Sommer 2023 durchgesickert. Zentrale Aufgabe der neuen Behörde ist die Zusammenführung von Analyse, straf- und verwaltungsrechtlichen Ermittlungen und der Aufsicht im Geldwäschebereich. All diese Bereichen sollen unter einem Dach im Sinne eines „ganzheitlichen Ansatzes“ vereint werden.
Das BBF selbst besteht aus mehreren Einheiten, die sich um verschiedene Belange der Geldwäschebekämpfung kümmern sollen. Diese Einheiten sind mit eigenen gesetzlichen Befugnissen ausgestattet und damit eigenständige Behörden. Dies bedeutet im Wesentlichen, dass diese Einheiten selbstständig Aufsichtsmaßnahmen durchführen können.
Fokussierung auf die „dicken Fische“
Zur Verfolgung von bedeutsamen Fällen der internationalen Geldwäsche mit Bezug zum Inland soll das neue Ermittlungszentrum Geldwäsche (EZG) geschaffen werden. Das EZG soll dabei dieselben Befugnisse bei Ermittlungen haben wie Behörden und Bedienstete des Polizeidienstes nach der Strafprozessordnung (StPO). Die mit den konkreten Ermittlungen betrauten Bedienstete gelten als Ermittlungspersonen der Staatsanwaltschaft.
Aufsichtsdschungel lichten
Ebenfalls unter dem Dach des BBF wird die neue Zentralstelle für Geldwäscheaufsicht (ZfG) angesiedelt. Hauptaufgabe der ZfG wird die Koordinierung und Unterstützung der Aufsichtsbehörden sein. Deren Zuständigkeiten bleiben jedoch unberührt. Hierzu gehört insb. die Unterstützung der Aufsichtsbehörden bei der Erstellung, Harmonisierung und Aktualisierung von Auslegungs- und Anwendungshinweise zum Geldwäschegesetz (AuA). Auch wird die ZfG in eigenen Leitlinien Vorgaben für eine einheitliche Aufsicht machen.
Die ZfG wird zudem die Zusammenarbeit und den Informationsaustausch mit der neuen EU-Geldwäscheaufsichtsbehörde AMLA für Deutschland koordinieren.
Im Zuge der Neuschaffung der ZfG soll auch die geldwäscherechtliche Aufsicht über Notare von den Landgerichten auf die Oberlandesgerichte verlagert werden.
Neue Heimat für die FIU und ZfS
Zusätzlich zu den neuen Behördeneinheiten kommen zwei bekannte Behörden mit unter das Dach des BBF.
Zum anderen wird die Financial Intelligence Unit (FIU)in ihrer jetzigen Form eingegliedert und eng mit den anderen Einheiten verzahnt. Sie behält dabei ihre derzeitigen Befugnisse.
Risikobasierte Ansatz soll den gordischen Knoten zerschlagen
Bei der Anwendung des risikobasierten Ansatzes darf die FIU automatisierte Verfahren einsetzen. Diese automatisierten Systeme dürfen aber nicht eigenständig Gefährlichkeitsaussagen über Personen treffen. Solche Einschätzungen müssen immer durch Mitarbeiter der FIU vorgenommen werden.
Einrichtung eines Immobilientransaktionsregisters
Für mehr Transparenz soll die Einführung eines elektronischen Immobilientransaktionsregisters sorgen. Notare und Gerichte werden zukünftig verpflichtet, die hierfür notwendigen Daten zuliefern. Spätestens ab 1. Januar 2026 sollen die ersten Behörden die Möglichkeit erhalten, Daten aus diesem Register abzurufen. Das Register wird beim BBF angesiedelt sein.
In dem Register sollen die Daten, die aus den elektronischen Veräußerungsanzeigen nach § 18 Abs. 1, 2 GrEStG resultieren und bei denen der Kaufpreis mehr als EUR 100.000 beträgt, einfließen. Ziel ist es, einen volldigitalen Zugriff auf Immobilientransaktionsdaten zu ermöglichen, um Geldwäsche im Immobilienbereich besser bekämpfen zu können.
Weitere Änderungen im Geldwäschegesetz
Neben diesen Neuerungen sind noch weitere Änderungen im Geldwäschegesetz geplant:
Der Verpflichtetenkreis wird um bestimmte Finanzholding- bzw. Versicherungsholdinggesellschaften erweitert.
Die Nichtregistrierung bei GoAML soll zukünftig mit einem Bußgeld geahndet werden können. Hintergrund sind die immer noch sehr niedrigen Registrierungszahlen. Ab 01. Januar 2024 müssen alle Verpflichteten bei GoAML registriert sein. Eine Ausnahme soll für Güterhändler gelten. Diese müssen sich bis zum 1. Januar 2027 registriert haben.
Parallele Strafanzeigen meldepflichtig: Gibt der Verpflichtete zusätzlich zu einer Verdachtsmeldung eine Strafanzeige oder einen Strafantrag ab, so muss dies der FIU mit Abgabe der Verdachtsmeldung mitgeteilt werden.
Änderungen im Transparenzregisterrecht
Auch die Bestimmungen zum Transparenzregister sollen überarbeitet werden:
Geplant sind u.a. Regelungen zur Eintragungsberechtigung spätestens ab 1. Januar 2025. Durch Identitäts- und Nachweisüberprüfung soll sichergestellt werden, dass nur berechtigte Personen Eintragungen vornehmen oder ändern dürfen.
Zukünftig können eintragungsverpflichtete Organisationen auch Eigentums- und Kontrollübersichten mitteilen.
Die Möglichkeit ein Unstimmigkeitsverfahren zu eröffnen, soll erweitert werden. Hierzu können sonstige Antragsteller mit berechtigtem Interesse Hinweise geben.
Es wird die Möglichkeit geschaffen, den Geburtsort der wirtschaftlich Berechtigten in das Register einzutragen. Ab 1. Januar 2027 wird die Angabe des Geburtsorts dann verpflichtend.
Auswirkungen auf die Geldwäschebeauftragten
Die meisten Neuerungen des FKBG betreffen das neue BBF und das Transparenzregister. Somit ergibt sich für die Arbeit der Geldwäschebeauftragten kaum Handlungsbedarf. Inwieweit die Reform langfristig zu spürbaren Veränderungen führen wird, kann derzeit kaum abgeschätzt werden.
Folgende Punkte sollten dennoch von Geldwäschebeauftragten beachtet werden:
Der Gesetzentwurf legt insgesamt ein stärkeres Gewicht auf das Thema „Verhinderung von Proliferation(-sfinanzierung)“. Hierbei geht es um die Nutzung und Verbreitung von Massenvernichtungswaffen, wie bspw. Kernwaffen. Es ist demnach zu erwarten, dass auch Verpflichtete beim KYC verstärkt auf Zusammenhänge mit diesem Thema achten müssen. Noch gibt es hierzu aber keine neuen Pflichten.
Das Tipping Off-Verbot soll zukünftig auch bzgl. der Maßnahmen der ZfS gelten. Es wäre dann (bußgeldbewährt) verboten, Vertragspartner, Auftraggeber oder sonstige Dritte von Ermittlungsmaßnahmen der ZfS in Kenntnis zu setzen.
Strafanzeigen und Strafanträge, die zusätzlich zu einer Verdachtsmeldung gestellt werden, müssen der FIU mitgeteilt werden. Noch ist unklar, wie genau diese Mitteilung zu geschehen hat. Vermutlich wird in GoAML eine entsprechende Möglichkeit eingerichtet.
Die FIU hat zukünftig die Möglichkeit einen Negativkatalog für typische Sachverhalte zu erstellen, die keine Meldepflicht auslösen. Einen Vorgeschmack gibt das kürzlich veröffentlichte Eckpunktepapier. Ob die FIU noch weitergehender von dieser Möglichkeit Gebrauch machen wird, steht noch nicht fest. Fest steht jedoch, dass der risikobasierte Ansatz bei der Verdachtsfallbearbeitung auch weiterhin nicht angewandt werden darf. Kritik daran besteht schon länger.
Die Zustimmung zur Transaktion bei sog. Fristfällen nach § 46 Abs. 1 S. 1 GwG erteilt zukünftig nur noch die FIU. Bisher kann auch die Staatsanwaltschaft hier zustimmen. Auch wird die FIU nicht mehr alle Fristfälle analysieren. So ist vorgesehen, dass die Behörde Kriterien festlegen wird, bei denen solche Fälle näher untersucht werden. Es ist unklar, ob diese Kriterien den Verpflichteten zuvor bekannt gegeben werden. Vorgesehen ist dies im Gesetzentwurf nicht.
Für die meisten Änderungen im Geldwäschegesetz sind keine Übergangsfristen vorgesehen. Sie gelten überwiegend ab 01. Januar 2024. Da sich aber (bis auf die Mitteilungspflicht bei Strafanzeigen) kaum unmittelbarer Handlungsbedarf für die Geldwäschebeauftragten ergibt, sind die Auswirkungen voraussichtlich überschaubar.
Fazit
Die Gesetzesentwürfe versprechen viel. Hochspezialisierte Einheiten, umfangreiche Zusammenarbeit der Aufsichten und mehr Informationen zu Immobiliengeschäften – das alle mutet auf den ersten Blick schlagkräftig und konsequent an. Woher all die Fachkräfte für diese anspruchsvollen Aufgaben in den nächsten Jahren herkommen sollen, ist jedoch völlig unklar.
Zusätzlich zum BBF soll ja zeitgleich die neue EU-Geldwäscheaufsicht AMLA ihre Arbeit aufnehmen. Hier ist es von entscheidender Bedeutung, dass Koordinierung und Kommunikation reibungsfrei funktionieren, insb. wenn es um die geplanten Leitlinien geht.
Darüber hinaus bleibt das Bundeskriminalamt (BKA) auch weiterhin zuständig für das Thema Geldwäsche. Die genaue Abgrenzung bzw. die Kriterien für die Zusammenarbeit mit dem neuen BBF fehlen. Es stellt sich daher die Frage, wozu hier „auf der grünen Wiese“ eine ganze Reihe an neuen Behörden geschaffen wird, wenn die Kompetenz doch bereits vorhanden ist. Zumindest hätte man sich den ganzen Verwaltungsapparat sparen können. Die Steuerzahler wären dankbar gewesen.
Wie effektiv die neuen Behörden und Mechanismen am Ende arbeiten werden, kann heute niemand sicher sagen. Klar ist aber, das Bürokratiemonster wächst weiter! Die Regelungen für die Verpflichteten werden immer formalistischer und komplexer.
Mittlerweile existiert eine ganze Dienstleistungsbranche zum Thema Geldwäsche. Juristen, IT-Experten und Unternehmensberater werden gebraucht, um dem ganzen Wust an Vorschriften Herr zu werden. Der Druck auf die Geldwäschebeauftragten steigt weiter. Die Angst etwas falsch zu machen, führt zu immer mehr Verdachtsmeldungen, die am Ende niemanden weiterbringen.
Ein Innehalten wäre dringend nötig. Behörden und Verpflichtete sollten gemeinsame Lösungen suchen, statt nur wie Lehrer und Schüler miteinander zu sprechen. Nur so kann der Fokus wieder auf die Effektivität der Geldwäschebekämpfung gelenkt werden.
(Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Hier gehts zu unserem Newsletter)
21. September 2023
Payone, Concardis und Unzer – Zahlungsdienstleister und BaFin geraten immer häufiger aneinander
(Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Hier gehts zu unserem Newsletter)
Kürzlich hat die BaFin dem Zahlungsdienstleister Payone GmbH untersagt, Transaktionen für bestimmte Geschäftskunden durchzuführen. Grund hierfür sind hohe Geldwäscherisiken, die von diesen Hochrisikokunden ausgehen.
Neukundenverbot wegen gravierender Mängel
Da es sich nach Auffassung der BaFin hierbei um gravierende Defizite in der Geldwäscheprävention handelt, sprach sie zudem ein Neukundenverbot für diesen Bereich aus.
Bei diesen Hochrisikokunden handelt es sich um Händler, die ihre Geschäftsmodelle nahezu ausschließlich online über Webseiten betreiben. Dort können Produkte und Leistungen erworben und mittels Kreditkarten bezahlt werden. Diese Kreditkartentransaktionen wickelt die Payone GmbH ab.
Nach Erkenntnissen der BaFin stehen die Webseiten der Händler u.a. in Verbindung mit betrügerischen Abonnements, Phishing und Fake-Shops.
Monitoring völlig unzureichend
Die festgestellten gravierenden Defizite betreffen die Maßnahmen der Payone GmbH, die sie unternimmt, um die Geschäftsmodelle der Händler im Rahmen des Kundenannahmeprozesses zu beurteilen.
Die Defizite betreffen ebenfalls die laufende Überwachung der Händler. Insbesondere führten die Auffälligkeiten bei der Risikobewertung durch die Payone GmbH nicht dazu, dass Händler zurückgewiesen wurden oder laufende Geschäftsbeziehungen beendet wurden.
Payone gelobt Besserung
Payone hat sich nach eigenen Angaben inzwischen sogar von den Hochrisikokunden getrennt. Das entsprechende Händlergeschäft habe bereits zuvor weniger als 0,5 Prozent der Payone-Kunden ausgemacht, betonte die Firma. Insgesamt zähle sie 277.000 Händlerkunden. Etwa 40% der Anteile an Payone halten die deutschen Sparkassen.
Zahlungsdienstleister unter Beobachtung
Beim Thema Geldwäsche geht die BaFin schon seit einiger Zeit verstärkter gegen Zahlungsdienstleister vor. So musste die Unzer E-Com GmbH wegen Mängeln in der Geldwäscheprävention im Jahr 2022 ein Bußgeld von 350.000 Euro zahlen.
Auch die Concardis GmbH stand schon im Fokus der Aufsicht. Der Zahlungsdienstleister wurde 2022 von der BaFin zur Beseitigung von Mängeln bei den Kundensorgfaltspflichten (insb. der Transaktionsüberwachung) und bei den internen Sicherungsmaßnahmen aufgefordert
(Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Hier gehts zu unserem Newsletter)
Sponsor Werbung
20. August 2023
Mitwirkende Rechtsanwälte als Verpflichtete des Geldwäschegesetzes
(Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Hier gehts zu unserem Newsletter)
Die Pflichten des Geldwäschegesetzes (GwG) treffen viele Organisationen in Deutschland. Von Banken über Immobilienmakler bis hin zu der großen Gruppe der sog. Güterhändler müssen grob geschätzt etwa 1.000.000 Wirtschaftsakteure eine ganze Reihe an Maßnahmen ergreifen. So müssen u.a. Kunden identifiziert, Risiken eingeschätzt und Verdachtsmeldungen abgegeben werden.
Zu den vielen geldwäscherechtlich Verpflichteten gehören seit einigen Jahren auch die rechtberatenden Berufe, wie insb. Rechtsanwälte, Notare, Steuerberater und Wirtschaftsprüfer. Diese tun sich teilweise jedoch schwer mit der vollständigen Erfüllung ihrer Pflichten.
Warnschuss der FATF
Dies stellte nicht zuletzt die Financial Action Task Force (FATF) in ihrer Deutschland-Prüfung 2022 fest. Das Risikobewusstsein sei hier noch „in der Entwicklung begriffen„, heißt es dort. Hauptkritikpunkt war hier die unangemessen niedrige Anzahl an Verdachtsmeldungen. Auch die oft unzureichenden Präventionsmaßnahmen im Vergleich zu den Geldwäscherisiken in den rechtsberatenden Branchen wurden von den Prüfern moniert.
Als Hauptgründe für diese Defizite nannte die FATF u.a. die Vielschichtigkeit der rechtsberatenden Berufe, das Berufsgeheimnis und die zersplitterte Aufsicht, die überwiegend durch die jeweiligen Kammern ausgeübt wird.
Nicht gerade ein schmeichelhaftes Ergebnis für die Berufsträger, von deren Reputation der eigene Job abhängt. Aber wer ist von den Pflichten des Geldwäschegesetzes überhaupt betroffen?
Geldwäschepflichten nur bei bestimmten Tätigkeiten
Steuerberater und Wirtschaftsprüfer sind unabhängig von ihrer genauen Tätigkeit immer Verpflichtete des Geldwäschegesetzes.
Bei Rechtsanwälten und Notaren gilt dies zumindest dann, wenn sie mindestens einer der in § 2 Abs. 1 Nr. 10 GwG aufgeführten Tätigkeiten nachgehen. Hierzu gehören z.B. Beratungen im Hinblick auf die Kapitalstruktur eines Mandanten, dessen industrielle Strategie oder damit verbundene Fragen.
Darunter fällt auch die Mitwirkung an den in § 2 Abs. 1 Nr. 10 lit. a) GwG aufgeführten „Kataloggeschäften“. Dabei gehört ein Rechtsanwalt oder Notar immer dann zum Kreis der GwG-Verpflichteten, wenn er für den Mandanten an der Planung oder Durchführung von folgenden Geschäften mitwirkt:
Kauf und Verkauf von Immobilien oder Gewerbebetrieben
Verwaltung von Geld, Wertpapieren oder sonstigen Vermögenswerten
Eröffnung oder Verwaltung von Bank-, Spar- oder Wertpapierkonten
Beschaffung der zur Gründung, zum Betrieb oder zur Verwaltung von Gesellschaften erforderlichen Mittel
Gründung, Betrieb oder Verwaltung von Treuhandgesellschaften, Gesellschaften oder ähnlichen Strukturen
Liegt keiner der genannten Fälle vor, hat das Geldwäschegesetz für den einzelnen Rechtsanwalt keine direkten Auswirkungen.
Mitgehangen = Mitgefangen?
Kniffliger wird es, wenn ein solches Mandat durch Anwälte mehrerer Kanzleien oder mehrere Anwälte innerhalb einer Kanzlei gemeinsam bearbeitet wird. Hier stellen sich eine ganze Reihe von Abgrenzungsfragen. Im Kern geht es darum, wann die Mitarbeit eine „Mitwirkung“ (=GwG-Verpflichteter) und wann nur eine bloße Beteiligung (=kein GwG-Verpflichteter) darstellt.
Niedrige Hürde für die „Mitwirkung“
Nach Meinung der meisten Berufskammern (=Aufsichtsbehörden für das Geldwäschegesetz) wirken in diesem Fall die beteiligten Berufsträger jeder für sich mit (siehe hier beispielhaft die Auslegungs- und Anwendungshinweise der Bundesanwaltskammer (BRAK), 7. Auflage) . Somit ist jeder für das Mandat verantwortlich und alle (mit-)bearbeitenden Kolleginnen und Kollegen sind einzeln für sich als Verpflichtete des Geldwäschegesetzes einzustufen.
Das Maß der Bearbeitung ist nach Auffassung der BRAK für eine solche Mitwirkung ohne Relevanz. Auch unwesentliche Bearbeitungselemente würden genügen, um bei einem Rechtsanwalt von einen Verpflichteten des Geldwäschegesetzes auszugehen.
Nicht ausschlaggebend sei ferner der konkrete Teilbereich der Sachbearbeitung. Kümmere sich z. B. ein Anwalt im Rahmen einer Immobilientransaktion ausschließlich um einen familienrechtlichen Aspekt, so sei er dadurch ebenfalls Verpflichteter des Geldwäschegesetzes.
Ich bin ein Verpflichteter – Holt mich hier raus!
Das es hierbei im Einzelfall zu kniffligen Abgrenzungsfragen kommt, kann man sich denken. Die Frage der Geltung des Geldwäschegesetzes für einzelne Berufsträger führt daher immer häufiger zu Meinungsverschiedenheiten mit den zuständigen Kammern als Aufsichtsbehörden. Diese Konflikte werden zunehmend auch vor den Verwaltungsgerichten ausgetragen.
VGH München: GwG-Verpflichtung auch bei bloßen Zuarbeiten
In einem aktuellen Fall hatte das VGH München zu entscheiden, wann ein angestellter Anwalt bei bloßen Zuarbeiten als Verpflichteter des Geldwäschegesetzes einzustufen ist.
In dem Fall ging es um einen angestellten Rechtsanwalt, der im Rahmen eines Immobilienkaufvertrags eine Zuarbeit für den zuständigen Partner der Kanzlei erbrachte. Der angestellte Rechtsanwalt war dabei nicht selbst gegenüber dem Mandanten aufgetreten und hatte auch keinen Einfluss auf die Vertragsverhandlungen.
Der Begriff des „Mitwirkens“ sei weit auszulegen, so die Richter. Eine Mitwirkung liege bei jeder begleitenden Rechtsberatung vor. Ob der mitwirkende Rechtsanwalt Partner oder Angestellter der Kanzlei ist, spiele hierbei keine Rolle. Auch dass der angestellte Anwalt nicht selbst Vertragspartner des Mandanten gewesen sei, ändere nichts an seiner Eigenschaft als GwG-Verpflichteter.
Wie das Mitwirken an dem jeweiligen Kataloggeschäft konkret ausgestaltet ist, macht also nach Auffassung des Gerichts keinen Unterschied. Die Verpflichtetenstellung hänge nicht von Feinheiten der Ausgestaltung der Mitwirkung, von der Art und Weise der Zusammenarbeit mit einem Partner etc. ab, so die Richter.
VG Gelsenkirchen: GwG-Verpflichtung schon bei einmaliger Mitwirkung
Ob ein angestellter Rechtsanwalt das Geldwäschegesetz beachten muss, hängt auch nicht von der Häufigkeit des Mitwirkens an einem Kataloggeschäft ab. Das Verwaltungsgericht Gelsenkirchen sieht eine Mitwirkung bereits in der einmaligen Erstellung eines Kaufvertragsentwurfs. Das Geldwäschegesetz sei bereits bei Vorliegen eines einzigen relevanten Falles eröffnet.
Fazit
Kammern und Gerichte sind sich beim Begriff des „Mitwirkens“ weitgehend einig. Bereits eine rein unterstützende Tätigkeit im Zusammenhang mit einem Kataloggeschäft, führt zur Verpflichteteneigenschaft des mitwirkenden Anwalts. Eine trennscharfe Abgrenzung zwischen Kolleginnen und Kollegen, die an Kataloggeschäften mitwirken und solchen die hier nicht einmal unterstützend tätig werden, lässt sich nicht in jeder Kanzlei durchführen. Gerade bei Sozietäten, die (auch) im wirtschaftsrechtlichen Bereich tätig sind, kann eine Einbeziehung bestimmter Berufsträger nicht immer sicher ausgeschlossen werden.
Im Zweifel empfiehlt es sich daher, alle Kolleginnen und Kollegen der Kanzlei als jeweils Verpflichtete nach dem Geldwäschegesetz einzuordnen. Dies ist zwar mit einem organisatorischen Mehraufwand verbunden (Einzelanmeldung goAML, Schulungsmaßnahmen, Risikoanalysen etc.), führt aber zu mehr Rechtsicherheit und beugt Sanktionen der Kammern vor.
(Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Hier gehts zu unserem Newsletter)
25. Juli 2023
BaFin: Sparkasse muss 10.000 Euro wegen Verstoß gegen Geldwäschegesetz zahlen
Das Institut hatte verdächtige Transaktionen festgestellt und daraufhin eine Geldwäscheverdachtsmeldung abgegeben. Obwohl im Nachgang weder die Zustimmung der FIU bzw. der Staatsanwaltschaft vorlag, noch die dreitägige Wartefrist verstrichen war, führte die Sparkasse die Transaktionen aus. Dadurch hatte das Institut gegen die Pflichten des Geldwäschegesetzes (GwG) verstoßen.
23. Juli 2023
Gericht: Risikoanalyse kann auch auch nur im Kopf existieren
Das Bayerische Oberste Landesgericht hat in einem Ordnungswidrigkeitsverfahren eine interessante Entscheidung zur geldwäscherechtlichen Risikoanalyse getroffen (Entscheidung vom 25.05.2023, Az. 202 ObOWi 264/23). Danach bedeutet eine fehlende Dokumentation der Risikoanalyse nicht automatisch, dass eine Analyse der Risiken tatsächlich unterblieben ist. Die Entscheidung betraf einen Steuerberater, der in geringem Umfang freiberuflich tätig gewesen war.
Dieses Papier soll bei der Bestimmung von Sachverhalten unterstützen, die grundsätzlich nicht der Meldepflicht nach § 43 Absatz 1 Geldwäschegesetz unterliegen. Dies soll die betroffenen Unternehmen entlasten und damit die Geldwäscheprävention stärken.
Das Eckpunktepapier listet in Form einer Negativabgrenzung verschiedene Sachverhaltskonstellationen auf, bei denen grundsätzlich keine Verdachtsmeldungen abgegeben werden müssen. Nur wenn den Verpflichteten zusätzliche Informationen vorliegen, die einen Verdacht begründen, muss ein solcher Fall doch gemeldet werden.
Schwelle für Verdachtsmeldungen sehr niedrig
Warum braucht es überhaupt eine Eingrenzung der Meldepflicht?
Die Schwelle für die Abgabe einer Verdachtsmeldung liegt gesetzlich bewusst sehr niedrig. So kann für eine Meldung schon ausreichend sein, dass ein bestimmtes Verhalten eines Kunden darauf hindeutet, dass die Gelder aus einer Straftat stammen. Für eine Meldung muss daher keine Gewissheit darüber bestehen, dass das in Frage stehende Vermögen tatsächlich aus einer Straftat stammt. Auch spielt die Höhe des Vermögens keine Rolle, so dass ein Verdacht auch schon ab 1 Cent zu melden ist.
„Meldeschwemme“ in Deutschland
Angesichts dieser niedrigen Anforderungen wundert es nicht, dass Verdachtsmeldungen zu möglichen Geldwäschefällen in Deutschland keine Seltenheit sind. Vielmehr steigt die Anzahl der Meldungen seit Jahren. Ein besonders starker Anstieg war im Jahr 2021 zu verzeichnen. Dort verdoppelte sich die Meldeanzahl auf knapp 300.000 Meldungen. Allein für das Jahr 2022 sollen 337.186 Meldungen bei der zuständigen Financial Intelligence Unit (FIU) eingegangen sein.
Gesetzliche Vereinfachung führte zu Massenmeldungen
Hintergrund für diesen Sprung war insbesondere der sog. All-Crime-Ansatz. Bei dieser Gesetzesreform wurde im Jahr 2021 bestimmt, dass jede strafbare Handlung als Vortat der Geldwäsche in Frage kommt. Zuvor waren die möglichen Vortaten in einem Katalog abschließend aufgelistet. Hierzu zählten insbesondere schwerere Straftaten, wie z.B. der gewerbsmäßige Betrug oder andere Fälle von organisierter Kriminalität.
Der All-Crime-Ansatz war ursprünglich als Erleichterungsregelung für die Justiz vorgesehen. Diese sollte in einem Geldwäscheverfahren nicht mehr gezwungen sein, einen der spezifischen Katalogtaten nachzuweisen. Vielmehr ist seitdem ausreichend, dass das Gericht von der strafrechtlichen Herkunft des Geldwäschegegenstands überzeugt ist.
Bärendienst für die GwG-Verpflichteten
Ob und inwieweit die Justiz hiervon profitiert hat, ist nicht sicher klar. Für die meldeverpflichteten Unternehmen, insbesondere im Finanzsektor, führte die Gesetzesreform hingegen zu einer Flut von Verdachtsmeldungen. Besonders Überweisungen im Zusammenhang mit illegalem Glücksspiel, Falschgelddelikte und einfache Betrugsformen führten zu einem sprunghaften Anstieg der Meldezahlen.
Der hohe Meldeaufwand ist für die betroffenen Unternehmen und nicht zuletzt für deren Geldwäschebeauftragte sehr zeitaufwendig und belastend. Umso ernüchternder sind die Resultate des massenhaften Meldens. Im Gegensatz zur immensen Steigerung der Fallzahlen sank im Jahr 2021 die Quote der an andere Behörden abgegebenen Meldungen deutlich im Vergleich zum Vorjahr und lag bei nur 13,5 %. Damit wurde für das Jahr 2021 nur ca. jede 7. Meldung als werthaltig eingestuft und weitergeleitet.
Zweierlei Maß beim risikobasierten Ansatz
Hauptgrund hierfür: Die verstärkte risikobasierte Arbeitsweise der FIU. Seit Jahresbeginn 2020 wertet die Behörde Verdachtsmeldungen danach aus, welche Informationen aufgrund des festgestellten Risikos für Geldwäsche und Terrorismusfinanzierung weiter bearbeitet werden. Dabei werden nur die Verdachtsmeldungen vertiefter bearbeitet, bei denen die FIU auf Basis des risikobasierten Ansatzes weiteren Analysebedarf sieht.
Die Unternehmen sind jedoch weiterhin – unabhängig vom tatsächlichen Geldwäscherisiko – bei einem Verdacht immer zur Meldung verpflichtet. Das Geldwäschegesetz räumt hier kaum Spielraum ein (siehe oben zur niedrigen Meldeschwelle).
Geldwäschebeauftragte als „Meldeautomat“
Es scheint fast, dass Geldwäschebeauftragten eine Einschätzung des Risikos nicht zugetraut wird. Zwar ist es richtig, dass beim Vorliegen von ausreichenden Verdachtsindizien nicht mehr ermittelt werden soll. Die Verdachtsmeldung muss „unverzüglich“ erfolgen. Verzögerungen sind hier nicht erlaubt.
Es geht also gerade nicht darum, einen Fall „auszuermitteln“. Andererseits werden so auch Fälle gemeldet, die unstreitig kaum eine Bedeutung bei der Geldwäschebekämpfung haben. Dies nimmt immer mehr Zeit in Anspruch, ohne dass dabei klar wird, welcher Sinn dahinter stehen soll. Hinzukommen hohe Kosten für Personal und IT.
Der glückliche Gewinner als Geldwäscher?
Auf die fehlende Relevanz bestimmter Fallgruppen haben insbesondere die Vertreter der Deutschen Kreditwirtschaft (DK) mehrfach hingewiesen. So wurde vorgeschlagen u.a. bei Falschgelddelikten und geringfügige Eingänge aus Glücksspielgewinnen von der Pflicht zur Verdachtsmeldung abzusehen. Schließlich ist aus solchen Meldungen kein Mehrwert für die Strafverfolgung zu erwarten.
Eckpunktepapier enthält viel Allgemeingut
In dem Eckpunktepapier der FIU finden sich solche Fälle jedoch nicht wieder. Stattdessen sind hauptsächlich Sachverhalte enthalten, bei denen die gesetzlichen Voraussetzungen einer Meldung nicht vorliegen.
Auch Feststellungen, die eigentlich selbstverständlich sein sollten, werden dort aufgeführt. So wird in dem Papier z.B. darauf hingewiesen, dass nicht jede Transaktion über Kryptowährungen automatisch ein Verdachtsfall ist.
Erfreulich ist hingegen die Feststellung, dass zukünftig auf Doppelmeldungen verzichtet werden kann.
Fazit
Der Titel des Eckpunktepapiers schürt Erwartungen, die der Inhalt leider nicht liefert und auch nicht liefern kann. Die Pflicht zur Verdachtsmeldung ist im Geldwäschegesetz bewusst weit ausgestaltet worden. Weder die FIU noch Aufsichtsbehörden können sich hierrüber hinwegsetzen.
Also viel Lärm um Nichts? Im Gegenteil! Dass die Behörden sich mit den Branchenvertretern zusammensetzen und über mögliche Erleichterungen sprechen, ist ein großer Schritt. Das Eckpunktepapier zeigt, dass die Probleme von der Aufsicht sehr wohl gesehen werden.
FIU und BaFin haben auch bereits erklärt, dass es sich hier lediglich um eine erste Version handelt. Es ist daher nicht ausgeschlossen, dass sich diese Thematik noch weiterentwickelt. Im besten Fall werden weitere Fallgruppen in das Papier aufgenommen, die dann nicht mehr gemeldet werden müssen.
Was bleibt nun zu tun?
Geldwäschebeauftragte sollten weiter darauf hinweisen, dass die Meldung bei bestimmten Fallgruppen keinen Sinn ergibt. Auch sollte nicht unerwähnt bleiben, dass der Meldeaufwand sowohl für die betroffenen Mitarbeitenden als auch für die Volkswirtschaft insgesamt eine erhebliche Belastung darstellt.
Branchenverbände sollten nicht müde werden, bei den Behörden und Parlamentariern für eine flexiblere und effektivere Meldepflicht zu werben.
Wie aber sollte nun mit dem Eckpunktepapier umgegangen werden?
Die BaFin weist darauf hin, dass das Eckpunktepapier ab sofort bei der Abgabe von Verdachtsmeldungen zu berücksichtigen ist. Geldwäschebeauftragte sollten das Dokument daher auf keinen Fall ignorieren. Dies gilt selbst für den Fall, dass die beschriebenen Fälle auch schon zuvor nicht als Meldefälle eingestuft wurden.
Vielmehr sollte dokumentiert werden, ob und wenn ja welche Sachverhaltskonstellationen künftig nicht mehr gemeldet werden müssen. Wird kein entsprechender Anpassungsbedarf des Meldewesens gesehen, sollte dies ebenfalls festgeschrieben werden. Betroffen wären sowohl die Risikoanalyse als auch weitere Unterlagen/Prozesse im Unternehmen (Arbeitsanweisungen, Schulungen, Mitarbeiterinformationen etc.).
Ein bloßer Verweis auf die Fälle des Eckpunktepapiers genügt im Regelfall nicht. Sowohl FIU als auch BaFin weisen darauf hin, dass jeder Verpflichtete verantwortlich entscheiden (und schlüssig begründen) muss, ob ein konkreter Sachverhalt unter die Verdachtsmeldepflicht fällt.
(Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Hier gehts zu unserem Newsletter)
25. Juni 2023
EBA: Neuer Report zu Geldwäscherisiken bei Zahlungsinstituten
Die European Banking Authority (EBA) hat einen Bericht zu den Risiken der Geldwäsche und Terrorismusfinanzierung im Bereich der Zahlungsinstitute veröffentlicht.
Die EBA kommt dabei zu der Einschätzung, dass bei Zahlungsinstituten ein hohes Risiko für Geldwäsche besteht. Insbesondere der Einsatz von Agenten sowie das Vorhandensein von gelegentlichen Transaktionen außerhalb von Geschäftsbeziehungen führten zu erhöhten Risiken.
Gleichzeitig seien die Geldwäschepräventionssysteme in Zahlungsinstituten teilweise ineffektiv.
Sponsor Werbung
20. Juni 2023
Neue AuA zum Geldwäschegesetz erlauben Videoidentifizierung
(Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Hier gehts zu unserem Newsletter)
Nach gut 2,5 Jahren haben die Bundesländer ihre gemeinsamen Auslegungs- und Anwendungshinweise zum Geldwäschegesetz (GwG) aktualisiert. Diese geben die Meinung der Aufsichtsbehörden zu den Pflichten des Geldwäschegesetzes wieder und richten sich an Güterhändler, Immobilienmakler und andere Nichtfinanzunternehmen.
Im Rahmen der Anpassungen wurden insbesondere die Änderungen des Geldwäschegesetzes durch das Transparenzregister- und Finanzinformationsgesetz aus 2021 sowie die Sanktionsdurchsetzungsgesetze I und II berücksichtigt. Daneben hat die erfolgte Klärung offener Vollzugs- und zahlreicher Einzelfragen Eingang in die Auslegungs- und Anwendungshinweise gefunden. Dies soll den Verpflichteten weitergehende Hilfestellungen und eine rechtssichere Handhabe bei der Umsetzung der Vorgaben des Geldwäschegesetzes zu bieten.
Im Vergleich zur Vorversion wurden insbesondere folgende wichtige Änderungen vorgenommen:
Videoidentifizierung nun zugelassen
Die für die Praxis mit Abstand wichtigste Neuerung ist zugleich auch die erfreulichste!
So ist eine Überprüfung der Identität durch Videoidentifizierung „bis auf weiteres“ zulässig. Bedingung ist, dass hierbei die Anforderungen der BaFin (BaFin-Rundschreiben 3/2017) eingehalten werden.
Von nun an müssen die Kunden nicht mehr physisch vor Ort sein, damit sie identifiziert werden können. Ein Ausweis und ein Smartphone sind hier ausreichend. Was für Banken- und Sparkassenkunden schon seit längerem möglich ist, können nun auch Kunden von Automobilhändlern, Maklern etc. nutzen. Das stellt eine gewaltige Erleichterung für die Praxis dar.
Klarstellung bzgl. Finanzunternehmen
Obwohl die Länderbehörden primär für den Nichtfinanzsektor zuständig sind, haben Sie interessanterweise auch sogenannte „Finanzunternehmen“ (§ 2 Absatz 1 Nr. 6 GwG) zu beaufsichtigen. Hier gab es jedoch schon immer Abgrenzungsschwierigkeiten zur Finanzaufsicht BaFin.
Die AuA betonen, dass Finanzholdinggesellschaften oder gemischte Finanzholdinggesellschaften gem. § 25l KWG geldwäscherechtlich der BaFin-Aufsicht unterliegen. In Zweifelsfällen sollte daher die BaFin kontaktiert werden.
Handelt es sich um einen Private Equity Fonds, so kommt nach den neuen AuA eine Zuordnung zu § 1 Absatz 24 Satz 1 Nummer 1 GwG (Erwerben, Halten oder Veräußern von Beteiligungen) in Betracht. Dies sei allerdings nicht der Fall, soweit der Private Equity Fonds einer Kapitalverwaltungsgesellschaft untergeordnet ist. In diesen Fällen bestehe keine Verpflichteteneigenschaft des Private Equity Fonds, da dies de facto einer Doppelverpflichtung gleichkäme.
Handel mit Antiquitäten nach dem Geldwäschegesetz
Die Aufsichtsbehörden stellen in den AuA klar, dass Antiquitäten grundsätzlich zu den „sonstigen Gütern“ (§ 4 Absatz 5 Nummer 1 Buchstabe c GwG bzw. § 10 Absatz 6a Nummer 1 Buchstabe c GwG) gehören. Das hat zur Folge, dass für diese Waren der Schwellenwert von 10.000 Euro Bargeld maßgebend ist. Erst bei Bargeschäften ab diesem Wert gelten u.a. die Identifizierungspflichten, bei denen der Kunde seinen Ausweis vorlegen muss.
Sofern es sich bei der Antiquität jedoch um einen Kunstgegenstand handelt, gilt ebenfalls der Schwellenwert von 10.000 Euro. Hier kommt es aber nicht darauf an, ob die Zahlung bar oder unbar erfolgt. In beiden Fällen müssen die Sorgfaltspflichten erfüllt werden.
Handel mit Edelmetallen nach dem Geldwäschegesetz
Bei Produkten aus Edelmetall ergeben sich in der Praxis ebenfalls häufig Abgrenzungsfragen. Hier kommt es nach Meinung der Aufsichtbehörden auf eine Gesamtschau aller Umstände an.
So ist insbesondere entscheidend, ob der eigentliche Wert des Gegenstandes im Materialwert liegt oder der Wert sich aus anderen Faktoren ergibt. Solche Faktoren können z. B. die Seltenheit, das Alter oder die Herstellungskosten sein.
Wird der Preis des Gegenstands im Wesentlichen nach dem Gewicht des Edelmetalls berechnet oder dient es Anlagezwecken, handelt es sich um ein Edelmetall im Sinne des § 1 Absatz 10 Satz 2 Nummer 1 Geldwäschegesetz. In diesem Fall ist der niedrigere Schwellenwert von 2.000 entscheidend. Beispiele hierfür sind der Ankauf von Altgold oder Goldbarren sowie der Verkauf von gängigen Münzen (z.B. Krügerrand, Maple Leaf) als Wertanlage.
Sind für den Wert hingegen die Seltenheit, das Alter oder die Herstellungskosten (z.B. Handwerksleistung des Goldschmieds ist überwiegend wertbestimmend) entscheidend, gilt der Schwellenwert von 10.000 Euro.
Auftretende Person: Nur bei „Risikorelevanz“ zu identifizieren
Nicht nur der Vertragspartner ist nach dem Geldwäschegesetz zu identifizieren, sondern auch die Person, die für diesen „auftritt“. Das sind insbesondere die gesetzlichen Vertreter (z.B. Geschäftsführer einer GmbH) als auch Boten.
Die neuen AuA weisen auf bestimmte Ausnahmen von dieser Pflicht hin. So ist eine auftretende Person dann nicht zu identifizieren, wenn Sie keine „risikorelevante Funktion“ am Abschluss oder an der Abwicklung des Vertrages erfüllt. Dies gelte z.B. für Personen, die lediglich in untergeordneter Funktion bei der Anbahnung eines Vertragsschlusses beteiligt sind, indem sie z.B. Angebote einholen oder ein Exposé anfordern.
Fazit
Die neuen AuA enthalten viele hilfreiche Klarstellungen für die Praxis. Insbesondere die Gestattung des Videoidentverfahrens ist ein (längst überfälliger) Meilenstein. Dies wird auch dazu beitragen, dass Thema Geldwäschebekämpfung in den Unternehmen besser zu platzieren. Bisher war die Pflicht zur „Vor-Ort“-Identifizierung nicht nur umständlich, sondern häufig sogar geschäftsverhindernd. Das war insbesondere internationalen Kunden und Geschäftspartnern nicht zu vermitteln.
(Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Hier gehts zu unserem Newsletter)
20. Juni 2023
Nichtfinanzsektor: Bundesländer aktualisieren AuA zum Geldwäschegesetz
Das Hinweisgeberschutzgesetz ist verabschiedet worden und tritt bereits am 02. Juli 2023 in Kraft. Zum Inhalt und dem Umsetzungsbedarf des neuen Gesetzes siehe dieser Beitrag.
Sponsor Werbung
27. Mai 2023
Das neue Hinweisgeberschutzgesetz – Was ist nun zu beachten?
(Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Hier gehts zu unserem Newsletter)
Mitte Mai 2023 wurde das Hinweisgeberschutzgesetz final verabschiedet. Ca. 125.000 Unternehmen und öffentliche Stellen in Deutschland müssen nun interne Meldestellen einrichten,. Hier haben Beschäftigte die Möglichkeit, Missstände aus der eigenen Organisation zu melden. Darüber hinaus sind die Arbeitgeber verpflichtet, meldende Mitarbeiter vor Repressalien zu bewahren und ihre Identität zu schützen.
Das Gesetz wird voraussichtlich Anfang Juli 2023 in Kraft treten.
Auch kleinere Unternehmen betroffen
Alle Unternehmen mit mindestens 50 Beschäftigten müssen den neuen Hinweisgeberschutz beachten. Auch öffentliche Stellen ab dieser Größe sind zur Einrichtung einer Hinweisgeberstelle verpflichtet.
Daneben sind eine Reihe von Unternehmen unabhängig von ihrer Beschäftigtenanzahl betroffen (u.a. Banken, Wertpapierhandelshäuser, Kapitalverwaltungsgesellschaften und Versicherer).
Bestehende Hinweisgebersysteme überarbeiten
Für die meisten Verpflichteten nach dem Geldwäschegesetz ist das Thema Hinweisgeberschutz nicht neu. So bestimmt schon § 6 Abs. 5 GwG seit Jahren, dass vertrauliche Möglichkeiten zur Meldung von Verstößen vorhanden sein müssen. Daneben bestehen weitere spezialgesetzliche Verpflichtungen zum Betrieb einer vertraulichen Hinweisgeberstelle, z.B. nach dem KWG oder dem WpIG.
Das Hinweisgeberschutzgesetz enthält allerdings zahlreiche Neuerungen, die auch von bestehenden Meldestellen beachtet und umgesetzt werden müssen.
Interne Meldestelle – Briefkasten oder Meldesoftware?
Es muss mindestens ein Meldekanal für die Beschäftigten eingerichtet werden. Dies kann beispielsweise eine telefonische Hotline, eine Post- oder E-Mail-Adresse, ein extern betriebenes Hinweisgebersystem oder eine Ombudsperson sein.
Unternehmen entscheiden selber, welche Art von Meldekanal sie einrichten wollen. Es muss aber immer möglich sein, Meldungen unter Wahrung der Vertraulichkeit abgeben zu können. Mitarbeiter von Meldestellen müssen also dafür sorgen, dass die Identität der hinweisgebenden Personen und in der Meldung genannte Personen nur ihnen selbst bekannt wird.
Auch anonyme Meldungen müssen grundsätzlich angenommen und bearbeitet werden. Grund hierfür ist, dass aus rechtlichen Gründen zur Vermeidung und Aufdeckung von Verstößen angemessene Maßnahmen zu ergreifen sind. Hierzu gehört insb. die Auswertung aller eingehenden Hinweise.
Damit kein entscheidender Hinweis ausbleibt, sollte der Meldekanal auch die anonyme Kontaktaufnahme und die anonyme Kommunikation ermöglichen. Gesetzlich zwingend ist das nicht. Allerdings schafft dies einen wichtigen Anreiz für Hinweisgeber ihre Meldung intern und nicht extern (z.B. bei der BaFin) abzugeben.
Grundsätzlich haben Beschäftigte die freie Wahl, ob sie intern eine Meldung abgeben oder sich an eine externe (staatliche) Meldestelle wenden wollen. Dieses Wahlrecht darf in keiner Weise beschränkt werden. Zwar sind die Beschäftigten angehalten, den internen Kanal zu bevorzugen, der Arbeitgeber darf das aber nicht vorschreiben.
Meldungen dürfen nicht „verstauben“
Sobald eine Meldung in der internen Meldestelle eingeht, ist ein festgelegtes Verfahren durchzuführen. So muss u.a. innerhalb von 7 Tagen dem Hinweisgeber der Eingang der Meldung bestätigt werden. Nach spätestens drei Monaten muss dem Hinweisgeber Rückmeldung gegeben werden. Hier ist zumindest mitzuteilen, wie es um die Bearbeitung der Meldung steht.
Welche Verstöße können gemeldet werden?
Über die interne Meldestelle können hinweisgebende Personen Informationen zu Missständen im Unternehmen oder der eigenen Organisation melden. Gesetzlichen Schutz (insb. Schutz vor Strafverfolgung oder Kündigung) genießen jedoch nur solche Hinweisgeber, die sog. „meldefähige Verstöße“ bei der Meldestelle anzeigen.
Das Hinweisgeberschutzgesetz zählt in § 2 die meldefähigen Verstöße auf. Hierzu gehören u.a.
Alle Straftaten, insb. Betrugs- und Korruptionsdelikte
Alle Bußgeldtatbestände zum Schutz von Leben, Leib oder Gesundheit
Alle Bußgeldtatbestände, zum Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane
Meldefähig sind u.a. zusätzlich Verstöße gegen
Umweltschutzbestimmungen
Regelungen zur Lebensmittel- und Futtersicherheit
Tierschutzbestimmungen
Verbraucherschutzbestimmungen (u.a. bei Zahlungskonten, Finanzdienstleistungen und Preisangaben)
Datenschutzbestimmungen
Vorschriften zur Rechnungslegung
Vergaberechtsregeln
Bestimmungen zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung
Nichtgeschützt wird die Meldung oder Offenlegung von Informationen über privates Fehlverhalten. Das gilt zumindest immer dann, wenn das Fehlverhalten keinen Bezug zur beruflichen Tätigkeit hat.
Wie werden Hinweisgeber geschützt?
Hinweisgeber werden umfangreich vor Benachteiligungen geschützt. Da sie in der Regel Beschäftigte sind, ist der Schutz vor arbeitsrechtlichen Konsequenzen von besonderer Bedeutung. Aus diesem Grund sind gegen hinweisgebende Personen gerichtete Repressalien (z.B. Kündigung, Gehaltskürzung) verboten. Dies gilt auch für die Androhung und den Versuch, Repressalien auszuüben.
Häufig sind die Geldwäschebeauftragten auch zuständig für den Betrieb der Meldestelle und die Bearbeitung eingehender Hinweise. Daher sind sie auch von einer wichtigen Neuerung betroffen: Als Mitarbeiter der Meldestellen müssen sie zukünftig ihre „Fachkunde“ nachweisen.
Auf die Anforderungen geht dieser Beitrag ausführlich ein.
Konsequenzen bei Missachtung
Gegen die Bestimmungen des Hinweisgeberschutzgesetzes zu verstoßen, kann schwerwiegende Konsequenzen haben. Es drohen u.a. Bußgelder, Schadensersatzforderungen und arbeitsrechtliche Auseinandersetzungen. So kann bei der Behinderung von Meldungen oder bei Nichtwahrung der Vertraulichkeit ein Bußgeld in Höhe von bis zu 50.000 Euro verhängt werden.
Existiert keine Meldestelle oder wird diese nicht betrieben droht alleine hierfür ein Bußgeld von bis zu 20.000 Euro.
Umsetzung – Wie sollte vorgegangen werden?
Die Einrichtung einer internen Meldestelle, aber auch die Anpassung eines bereits existierenden Hinweisgebersystems erfordert Zeit und die entsprechenden Fachkenntnisse. Je nach Größe der eigenen Organisation sollte die Umsetzung in einem Projekt durchgeführt werden.
Im Folgenden sind die wichtigsten Umsetzungsschritte dargestellt (eine ausführliche Anleitung zur Umsetzung finden Sie auch in diesem Whitepaper).
Bestandsaufnahme: Wie bei der Umsetzung anderer regulatorischer Anforderungen lohnt es sich auch beim Hinweisgeberschutz zunächst zu klären, wo das eigene Unternehmen gerade steht. Gibt es bereits ein Hinweisgebersystem? Welche Anforderungen werden heute schon erfüllt und welche nicht?
Verantwortlichkeiten: Wer ist für die Meldestelle zuständig? Wer soll es zukünftig sein?
Hinweisgebersystem: Welche Meldekanäle existieren bereits? Soll es einen oder mehrere Kanäle geben? Sollte ausgelagert werden?
Betroffene Funktionen / Einheiten: Welche Kolleginnen und Kollegen sollten bei der Umsetzung eingebunden bzw. beteiligt werden?
Prozessanpassungen: Existiert ein Meldeprozess oder muss erst einer geschaffen werden? Welche Dokumente / Formulare werden benötigt (Eingangsbestätigung, Rückmeldung, Mitarbeiterinformation, Datenschutzfolgenabschätzung, Risikoanalyse, Mitarbeitereinwilligungen, Betriebs- bzw. Dienstvereinbarungen etc.)
Fachkundenachweis: Die Mitarbeiter der Meldestelle sollten sich zertifizieren lassen, um die gesetzliche Fachkunde sicher nachweisen zu können. Alle Einzelheiten hier.
Fazit
Die meisten Verpflichteten verfügen aufgrund der gesetzlichen Anforderung in § 6 Abs. 5 GwG bereits über eine Hinweisgeberstelle in der eigenen Organisation. Dennoch enthält das Hinweisgeberschutzgesetz eine ganze Reihe neuer Vorgaben, die auch von bereits bestehenden Hinweisgeberstellen umgesetzt werden müssen. Besonders der gesetzlich geforderte Nachweis der Fachkunde zwingt zum Handeln. Geldwäschebeauftragte, die auch Meldestellenmitarbeiter sind, sollten sich rechtzeitig um die entsprechende Fortbildung kümmern.
(Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Hier gehts zu unserem Newsletter)
Die Deutsche Kreditwirtschaft (DK) hat zu den Kompromisstexten des Europäischen Rates und des Europäischen Parlaments zur geplanten EU-AML-Verordnung vom 10. Mai 2023 Stellung genommen.
Die Branchenvertreter kritisierten insbesondere die Vermischung der Vorgaben zur Verhinderung von Geldwäsche und Terrorismusfinanzierung mit denen des Sanktionsregimes. Auch zu den Plänen einer umfangreicheren Ermittlung und Identifizierung wirtschaftlich Berechtigter und der Erweiterung des Kreises politisch exponierter Personen äußerte sich die DK skeptisch. Besonders moniert wurden die geplanten Beschränkungen der Auslagerungsmöglichkeiten, die besonders kleinere und mittelgroße Verpflichtete treffen würden.
Inhaltsverzeichnis
21. November 2025
NCA: Geldwäschenetzwerk mit Verbindung zu Ex-Wirecard-Vorstand Marsalek aufgedeckt
Die britische NCA (National Crime Agency) hat im Rahmen der „Operation Destabilise“ ein Geldwäschenetzwerk aufgedeckt, das laut Behördenangaben auch den untergetauchten Ex-Wirecard-Vorstand Jan Marsalek umfasst. Die Netzwerke TGR und Smart sollen Drogengelder in Kryptowährungen umgewandelt und über eine erworbene Bank in Kirgistan Sanktionen umgangen haben, um russische Militäreinrichtungen zu unterstützen. Bisher wurden 128 Personen festgenommen und über 25 Millionen Pfund in Großbritannien beschlagnahmt.
21. November 2025
Razzia gegen Geldwäsche-Netzwerk: 24 Millionen Euro verschoben
Staatsanwaltschaft und Polizei Frankfurt haben gestern 29 Objekte in vier Bundesländern durchsucht und eine Person festgenommen. Die 19 Beschuldigten sollen über Scheinfirmen eine Schattenbank zur Zahlung von Schwarzarbeitenden und für Geldwäschedienstleistungen betrieben haben. Das Netzwerk soll mindestens 24 Millionen Euro verschoben und dafür Provisionen von 10-15 Prozent kassiert haben.
5. November 2025
Operation Chargeback: Internationales Vorgehen gegen Betrugs- und Geldwäschenetzwerk
Das BKA und die Generalstaatsanwaltschaft Koblenz haben gestern gemeinsam mit internationalen Partnern über 60 Objekte in neun Ländern durchsucht. Drei Täternetzwerke betrieben Fake-Webseiten und belasteten kompromittierte Kreditkarten mit Schein-Abos. Der Verdacht besteht, dass die Täter vier deutsche Zahlungsdienstleister infiltrierten, wobei sechs ehemalige Führungskräfte mit den Betrügern zusammenarbeiteten. Der Gesamtschaden beläuft sich auf über 300 Millionen Euro, mehr als vier Millionen Kreditkarteninhaber:innen sind betroffen. Das Betrugsmuster wurde durch die FIU erkannt.
Sponsor Werbung
28. August 2025
FIU: Präsentationen der 9. Geldwäschetagung online
Am 9. April 2025 fand die 9. Geldwäschetagung der FIU für die Verpflichteten und Verbände des Finanzsektors am Standort Köln statt. Die auf der Veranstaltung vorgestellten Präsentationen stehen ab sofort im Internen Bereich der FIU zum Abruf zur Verfügung.
28. August 2025
FIU: Geldwäsche beim Handel mit CO2-Emissionszertifikaten
Die Financial Intelligence Unit (FIU) hat eine neues Anhaltspunktepapier zum Handel mit CO2-Emissionszertifikaten veröffentlicht. Das Dokument der FIU erklärt die Funktionsweise des europäischen und nationalen Emissionshandels und zeigt die besonderen Risiken für Geldwäsche in diesem Markt auf. Es beschreibt typische Auffälligkeiten und mögliche Anhaltspunkte, an denen verdächtige Transaktionen erkannt werden können. Zudem werden Handlungsempfehlungen wie strengere Kontrollen, mehr Transparenz und eine bessere Schulung der Beteiligten gegeben, um Geldwäsche im Emissionshandel zu verhindern.
Das Dokument steht im Internen Bereich der FIU zum Abruf zur Verfügung.
Die Financial Intelligence Unit (FIU) hat ein sehr umfangreiches neues Typologiepapier zur handelbasierten Geldwäsche veröffentlicht. Es zeigt anhand von Beispielen und Fallkonstellationen typische Auffälligkeiten wie falsche Rechnungen, abweichende Frachtpapiere oder unplausible Geschäftszwecke. Ziel ist es, Behörden und Unternehmen konkrete Anhaltspunkte zur frühzeitigen Erkennung verdächtiger Handelsgeschäfte zu geben.
Das Dokument steht im Internen Bereich der FIU zum Abruf zur Verfügung.
Sponsor Werbung
28. Juli 2025
FATF: Unbeabsichtigte Folgen für NPOs gezielt angehen
Gegen die niederländische Tochtergesellschaft des Luxuskonzerns Louis Vuitton laufen Ermittlungen der niederländischen Staatsanwaltschaft. Hintergrund ist ein Fall von mutmaßlicher Geldwäsche durch eine chinesische Kundin. Die Frau soll Waren in Wert von mehreren Millionen Euro erworben haben, ohne hinreichend identifiziert worden zu sein. Auch seien die Käufe, die sich immer knapp unter 10.000 Euro bewegten, verdächtig gewesen.
21. Juli 2025
FATF: verschärfte Transparenzregeln für grenzüberschreitende Zahlungen
Die FATF hat Änderungen an Empfehlung 16 beschlossen, die die Sicherheit und Transparenz grenzüberschreitender Zahlungen erhöhen sollen. Die überarbeiteten Standards sollen für mehr Klarheit darüber sorgen, wer bei grenzüberschreitenden Zahlungen Geld sendet und empfängt. Zu den wichtigsten Neuerungen gehören standardisierte Informationsanforderungen für Peer-to-Peer-Zahlungen, eine klarere Definition der Verantwortlichkeiten in der Zahlungskette sowie die Verpflichtung für Empfängerbanken, die Übereinstimmung der Empfängerinformationen zu überprüfen. Die Umsetzungsfrist wurde auf Ende 2030 gesetzt.
Sponsor Werbung
21. Juli 2025
EU verschärft Druck auf Russland mit 18. Sanktionspaket
Das 18. Sanktionspaket der EU richtet sich erneut gezielt gegen Russland und umfasst Maßnahmen wie ein gesenktes Preislimit für russisches Rohöl sowie ein umfangreiches Verbot für Anbieter von Transport, Versicherung und Rückversicherung. Zudem werden weitere 14 Einzelpersonen und 41 Unternehmen aufgrund der Verletzung der territorialen Integrität der Ukraine sanktioniert. Ein weiterer Schwerpunkt liegt auf dem Verbot von Transaktionen mit der Schattenflotte und dem Nord‑Stream‑Pipeline-System. Damit setzt die EU ihren Druck auf Russland fort, um dessen Energieeinnahmen nachhaltig zu begrenzen und internationale Unterstützung für die Ukraine zu stärken.
Die Anti-Financial Crime Alliance (AFCA) hat im Rahmen ihrer Arbeit zum Thema „Sensibilisierung im Hinblick auf mögliches „Hawala-Banking“ ein Whitepaper finalisiert. Ziel dieses Whitepapers ist insbesondere die Sensibilisierung sämtlicher Akteure, die eine Rolle bei der Verfolgung von Hawala-Banking haben. Diese sollen in die Lage versetzt werden, Strukturen, welche auf Hawala-Banking hindeuten könnten, zu erkennen und zu identifizieren.
Das Dokument steht ab sofort im Internen Bereich der FIU zum Abruf zur Verfügung.
Die EU-Kommission hat ihre Delegierten Verordnung über die Hochrisikostaaten aktualisiert. Die Änderungen treten 20 Tage nach Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Neu aufgenommen wurden Algerien, Angola, Côte d’Ivoire, Kenia, Laos, Libanon, Monaco, Namibia, Nepal und Venezuela.
Von der Liste gestrichen wurden Barbados, Gibraltar, Jamaika, Panama, den Philippinen, Senegal, Uganda und den Vereinigten Arabischen Emiraten.
Sponsor Werbung
9. Juli 2025
FATF: Wenig Erfolge beim Kampf gegen Massenvernichtungswaffen
Ein neuer FATF-Bericht (Complex Proliferation Financing and Sanctions Evasion Schemes) zeigt, dass weiterhin erhebliche Schwachstellen im Kampf gegen die Finanzierung von Massenvernichtungswaffen bestehen. Nur 16% der Länder, die von der FATF bewertet wurden, verfügen über wirksame Maßnahmen in diesem Zusammenhang. Der Bericht zeigt auf, welche Präventionsmaßnahmen gegen Proliferationsfinanzierung eingesetzt werden können und teilt Beispiele für bewährte Praktiken.
9. Juli 2025
FATF drängt auf stärkere AML-Maßnahmen bei virtuellen Vermögenswerten
Ein neuer Bericht (Comprehensive Update on Terrorist Financing Risks) der Financial Action Task Force (FATF) skizziert aktuelle und sich entwickelnde Methoden der Terrorismusfinanzierung. Der Bericht enthält Fallstudien, die mehr als 10 Jahre umfassen. Diese geben einen umfassenden Überblick über die Faktoren der Terrorismusfinanzierung. Hierzu wurden Beiträge aus mehr als 80 Ländern ausgewertet. Die FATF warnt in dem Bericht vor Lücken in den Fähigkeiten der Länder, die Trends der Terrorismusfinanzierung vollständig zu verstehen und ruft zum Handeln auf.
Sponsor Werbung
7. Juli 2025
FATF: Bolivien und Britische Jungferninseln neu gelistet
Die FATF hat auf ihrer Plenartagung Mitte Juni 2025 ihre Länderlisten aktualisiert. Auf der sog. grauen Liste werden Länder geführt, die nach Einschätzung der FATF strategische Mängel in ihren Regelungen zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und Proliferationsfinanzierung aufweisen.
Neu hinzugekommen sind hier Bolivien und die Britischen Jungferninseln.
Nicht mehr gelistet sind Kroatien, Mali und Tansania.
13. Juni 2025
Ukraine-Krieg: EU einigt sich auf 17. Sanktionspaket
Der Rat der Europäischen Union hat das 17. Sanktionpaket im Zusammenhang mit dem Ukraine-Krieg angenommen. Mit den wirtschaftlichen und individuellen restriktiven Maßnahmen sollen der Zugang Russlands zu wichtiger Militärtechnologie abgeschnitten und die Energieeinnahmen Russlands eingedämmt werden. Hierzu werden u.a. die russische „Schattenflotte“ von Öltankschiffen, deren Betreiber sowie ein großer russischer Erdölproduzent ins Visier genommen.
13. Juni 2025
Deutsche Kreditwirtschaft kritisiert GwG-Meldeverordnung
Die Deutsche Kreditwirtschaft (DK) hat in ihrer Stellungnahme zum Entwurf einer GwG-Verdachtsmeldeverordnung Kritik am geplanten Vorgehen geäußert. Vor dem Hintergrund der kommenden EU-Durchführungsstandards zum Verdachtsmeldeverfahren sei eine so kurzfristige nationale Rechtsetzung nicht zielführend. Der Verordnungsentwurf enthalte zudem eine Vielzahl an Regelungen, die das Verdachtsmeldeverfahren erheblich bürokratisieren würden.
Es handelt sich um die Vorstandsmitglieder Simonas Krepsta (Litauen), Rikke-Louise Petersen (Dänemark), Derville Rowland (Irland) und Juan Manuel Vega Serrano (Spanien). Nicht dabei ist Marcus Pleyer, der stattdessen im Zuge der Bildung des Kabinetts Merz zum Staatssekretär im Bundesministerium für Forschung, Technologie und Raumfahrt ernannt wurde.
Der Exekutivausschuss kann nun auch offiziell seine Arbeit in Frankfurt am Main aufnehmen.
Die FIU hat mitgeteilt, eine 2-Faktor-Authentisierung für goAML ab dem 01. September 2025 einzuführen. Die neue Methodik dient der Steigerung der Sicherheit bei der Anmeldung bei goAML Web und der dort gespeicherten Daten. Es wird ein weiterer Sicherungsmechanismus implementiert und damit unbefugten Dritten der Zugriff auf die in goAML Web gespeicherten Daten weiter erschwert. Die Aktivierung gilt hierbei für alle Nutzerinnen und Nutzer von goAML Web.
Das Bundeskriminalamt hat das Bundeslagebild Cybercrime 2025 veröffentlicht. Demnach bleibt die Bedrohungslage durch Cyberkriminalität ist in Deutschland anhaltend hoch. So wurden 2024 131.391 in Deutschland verübte Cybercrime-Fälle registriert. Bei weiteren 201.877 Straftaten handelt es sich um sog. Auslandstaten, die vom Ausland oder einem unbekannten Ort aus verübt wurden.
Wichtige Themen des Lagebildes sind:
Im Jahr 2024 haben bundesweit 950 Unternehmen und Institutionen Ransomware-Fälle bei der Polizei zur Anzeige gebracht.
Hacktivistische DDoS-Angriffe auf Ziele in Deutschland nehmen im Kontext mit geopolitischen Entwicklungen weiter zu.
Phishing ist und bleibt ein relevanter Eintrittsvektor – im Berichtsjahr sind Kampagnen mittels Smishing (Phishing per SMS) besonders auffällig.
Sponsor Werbung
13. Juni 2025
Projekt safeAML soll Informationsaustausch fördern
Das Land Hessen hat gemeinsam mit der Commerzbank, der Deutschen Bank und der N26 ein europaweites Leuchtturmprojekt zur Geldwäschebekämpfung gestartet (safeAML). Ziel ist es, auffällige Geldströme zwischen mehreren Bankkonten schneller zu erkennen, den Abgleich zwischen Finanzinstituten zu digitalisieren und verdächtige Muster auszumachen.
Für das Projekt hat die Hessische Landesregierung den landeseigenen Datentreuhänder EuroDaT aufgebaut, der einen sicheren und datenschutzkonformen Austausch hoch sensibler Kontodaten ermöglicht. safeAML ermöglicht es, Geldflüsse über mehrere Banken hinweg automatisiert zu rekonstruieren, um damit die Netzwerke aufzudecken, in denen Geldwäsche erfolgt.
Die BaFin konsultiert derzeit eine Allgemeinverfügung, mit der sie im Geldwäschegesetz ermöglichte Freistellungen zurücknehmen möchte. Die Änderungen sollen zum 10. Juli 2027 wirksam werden, zeitgleich mit der Geltung der neuen AML-VO der EU.
