Einordnung und Zielsetzung des Beitrags
Kaum ein Institut steht so exemplarisch für den Spagat zwischen digitalem Wachstum und regulatorischer Kontrolle wie die 2013 gegründete N26 Bank. Als einer der bekanntesten und erfolgreichsten europäischen Neobanken gelang es ihr in kurzer Zeit, Millionen von Kundinnen und Kunden zu gewinnen – begleitet von einem Geschäftsmodell, das auf Skalierung, Automatisierung und schnelle Markterschließung setzt. Gleichzeitig rückte N26 wiederholt in den Fokus der Bankenaufsicht: unter anderem wegen erheblicher Defizite in der Prävention von Geldwäsche und Terrorismusfinanzierung.
Die aufsichtlichen Maßnahmen der BaFin – bis hin zur Bestellung eines Sonderbeauftragten und Begrenzung des Neukundengeschäfts – markieren dabei keinen Einzelfall, sondern stehen beispielhaft für strukturelle Herausforderungen moderner, digitaler Banken. Sie werfen grundlegende Fragen auf: Wie belastbar sind AML-Frameworks in Hochwachstumsphasen? Welche Rolle spielen Governance, personelle Ausstattung und IT-Architektur? Und wo liegen die Grenzen eines stark automatisierten Compliance-Ansatzes?
Der vorliegende Beitrag analysiert die öffentlich bekannten AML-Feststellungen und Aufsichtsmaßnahmen im Fall N26 und ordnet sie aus fachlicher und regulatorischer Perspektive ein. Ziel ist nicht eine rückblickende Skandalisierung, sondern eine sachliche Auseinandersetzung mit den Ursachen, Mustern und Lehren dieses Falls – insbesondere mit Blick auf andere Institute, die sich in einem ähnlichen Spannungsfeld zwischen Innovation, Wachstum und aufsichtsrechtlicher Verantwortung bewegen.
Aufsichtsrechtliche Maßnahmen und Sanktionen im Zeitverlauf (2019–2025)
Zum besseren Verständnis der Thematik hier ein kurzer chronologischer Überblick:
2019: Öffentliche Rüge durch die BaFin wegen Mängeln in der Geldwäscheprävention
2021: Begrenzung des Neukundenwachstums auf 50.000 Kunden pro Monat, Bestellung eines Sonderbeauftragten, sowie Rekordbußgeld in Höhe von 4.250.000€ durch die BaFin
2022: Neukundenstopp durch die italienische Finanzaufsicht
2023: Verlängerung der Aufsichtsmaßnahmen Neukundenstopp und Sonderbeauftragter durch die BaFin
2024: Rekordbußgeld in Höhe von 9.200.000€ durch die BaFin, Aufhebung des Neukundenstopps
2025: Ablösung des Managements wegen anhaltender Mängel, Bestellung eines Sonderbeauftragten sowie Bußgeld in Höhe von 15.000€ durch die BaFin aufgrund Mängeln in der Geschäftsorganisation (nach KWG)
Die beiden Bußgelder in Millionenhöhe sind für den Bereich Geldwäscheprävention im deutschen Kontext außergewöhnlich hoch und setzen aufgrund ihrer Höhe einen „schwerwiegenden, wiederholten oder systematischen Verstoß“ gegen das GwG voraus (GwG § 56 Abs. 3).
Wichtig zu wissen ist, dass sich die festgestellten Verstöße immer auf die Vergangenheit beziehen. Darauf basierend kann keine Aussage getroffen werden, ob, wie und in welchem Umfang die Verstöße behoben wurden.
Wo lagen die Schwachstellen?
Unzureichende Personalausstattung:
Anscheinend hat N26 das rasante Kundenwachstum nicht mit entsprechendem Compliance-Personal unterfüttert. Medienberichten zufolge war der Kundenservice unterbesetzt, und es gab einen Rückstau bei der Bearbeitung von Monitoringtreffern. Außerdem verlangte die BaFin die Herstellung einer angemessenen Personalaustattung zur Einhaltung der geldwäscherechtlichen Verpflichtungen, was auch auf Unterbesetzung der Geldwäsche-Abteilung schließen lässt.
Mangelhafte IT-Systeme:
Die BaFin attestierte N26 Mängel im IT-Monitoring, die zu einer verspäteten Bearbeitung von Treffern führten. Dies deutet auf unzureichend kalibrierte Systeme hin, die entweder relevante Transaktionen übersahen oder nicht priorisieren konnten.
Verspätete Verdachtsmeldungen:
N26 meldete wiederholt verdächtige Transaktionen verspätet an die FIU, dies wurde bei beiden durch die BaFin verhängten Bußgeldern als Begründung angegeben und von der BaFin bereits 2019 moniert. Dies lässt darauf schließen, dass die Problematik kein Einzelfall war, sondern systemisch – die internen Systeme konnten die hohe Anzahl an verdächtigen Transaktionen offenbar nicht angemessen bewältigen.
Schwaches Kontoeröffnungsverfahren:
Die genutzten Identifizierungsverfahren (Video-Ident sowie Foto-Ident in einigen Ländern) wiesen Sicherheitslücken auf. Betrüger konnten mit gefälschten Dokumenten oder mithilfe von Identitätsdiebstahl Konten eröffnen, die dann für betrügerische Aktivitäten oder Geldwäsche genutzt wurden.
Die Neobank hat in mehreren Stellungnahmen (so insb. vom 15. Dezember 2025, vom 21. Mai 2024, vom 28. Mai 2024, vom 17. Juli 2023, vom 22. Mai 2019) betont, die festgestellten Mängel behoben bzw. die hierfür notwendigen Maßnahmen eingeleitet zu haben.
Praktische Lehren für Geldwäschebeauftragte
In diesem Beitrag soll es nicht darum gehen, den Fall N26 rechtlich zu bewerten, dafür sind nicht alle entscheidenden Einzelheiten bekannt. Allerdings können GWBs aus dem Fall N26 konkrete Lehren ziehen, die kurz- bis mittelfristig umgesetzt werden können. Dies gilt insbesondere für FinTechs, bei denen die Wachstumszahlen in den ersten Jahren einen hohen Stellenwert haben.
Wachstum und Compliance ausbalancieren:
- Erstellen Sie Szenarien zu den benötigten Compliance-Ressourcen für verschiedene Wachstumsraten, damit das Management eine klare Planungsgrundlage hat. Vergessen Sie dabei nicht, Recruiting- und Einarbeitungszeiten für neue Mitarbeitende zu berücksichtigen.
- Vereinbaren Sie mit dem Management automatische Wachstumsbremsen bei Überlastung.
Strategie, Risikoappetit und Governance:
- Die Balance zwischen Wachstum und Compliance ist letztlich kein operatives, sondern ein strategisches Thema. Der Risikoappetit eines Instituts – insbesondere im Hinblick auf schnelles Kundenwachstum, internationale Expansion oder stark automatisierte Prozesse – muss von der Geschäftsleitung klar definiert und regelmäßig überprüft werden.
- Geldwäscheprävention ist daher nicht allein Aufgabe der Zentralen Stelle oder des Geldwäschebeauftragten, sondern Teil der Gesamt-Governance des Instituts. Wenn Geschäftsstrategie, Risikoappetit und Compliance-Ressourcen nicht miteinander im Einklang stehen, entstehen strukturelle Risiken, die sich operativ kaum noch kompensieren lassen.
Ressourcenplanung professionalisieren:
- Planen Sie Compliance-Personal vorausschauend. Die angemessene Personalausstattung variiert erheblich je nach Geschäftsmodell, Automatisierungsgrad und Risikoprofil. Orientieren Sie sich beispielsweise an Hinweisen aus Geschäftsberichten vergleichbarer Institute, dem Austausch mit anderen GWBs oder lassen Sie sich im Zweifel von Extern unterstützen.
- Definieren Sie KPIs für die maximale Bearbeitungszeit von Alerts und planen Sie Pufferzeiten ein, sodass Fristen auch bei hoher Arbeitsbelastung eingehalten werden können.
IT-Systeme skalierbar gestalten:
- Investieren Sie frühzeitig in leistungsfähige Transaktionsmonitoring-Systeme und machen Sie sich ernsthafte Gedanken über die richtige Kalibrierung von Schwellenwerten (diese sollten Geschäftsmodell und Risikoappetit widerspiegeln).
- Überprüfen Sie die Kalibrierung verschiedener Szenarien regelmäßig. Die jährliche Risikoanalyse kann als Anlass hierzu dienen, bei Bedarf auch unterjährig.
- Die nachvollziehbare Dokumentation der Kalibrierung sowie Anpassungen dieser (inklusive Begründung) ist essentiell bei Prüfungen.
Eskalationsprozesse etablieren:
- Definieren Sie Schwellenwerte für den Einbezug des Managements. Im Falle einer Eskalation sollten außerdem klare Reporting-Linien (inklusive Vertretung) etabliert sein.
- Implementieren Sie ein Ampelsystem für Bearbeitungsrückstände. Die historischen Daten dieses Ampelsystems können Sie für Budgetverhandlungen heranziehen.
- Falls nicht schon vorhanden, schaffen Sie eine direkte Berichtslinie zur Geschäftsleitung.
Mögliche Präventionsmaßnahmen
Ohne Einblick in das interne Risikomanagement von N26 lässt sich natürlich nicht eindeutig sagen, wo genau die Defizite lagen, die zu den zahlreichen Mängeln geführt haben. Auch ist nicht klar, wie sich der Status quo bei N26 gestaltet und welche Maßnahmen die Neobank gegen die Verstöße tatsächlich ergriffen hat. Nichtsdestotrotz finden Sie hier einige Präventionsmaßnahmen, deren Implementierung Sie als GWB langfristig anstoßen können, um sich vor ähnlichen Compliance-Defiziten zu schützen.
Frühwarnsystem implementieren:
Ein Dashboard (oder ein anderes standardisiertes Reportingformat) mit kritischen KPIs (bspw. durchschnittliche Bearbeitungszeiten von Verdachtsmeldungen, Anzahl der offenen Transaktionstreffer, Kalibrierung der False-Positive-Rate) kann Probleme frühzeitig sichtbar machen.
Stufenweises Wachstum:
Anstatt exponentiell zu wachsen, sollten verpflichtete Institute bei Bedarf Wachstumsphasen mit Konsolidierungsphasen abwechseln können, um die Compliance-Infrastruktur inkrementell aufzubauen.
Externe Audits beauftragen:
Unabhängige Prüfungen der Compliance-Prozesse sollten Schwachstellen aufdecken, bevor die BaFin darauf aufmerksam wird.
Compliance-First-Kultur:
Die Geschäftsführung sollte Compliance als gleichberechtigtes Ziel neben Wachstum etablieren, nicht als nachgelagerte Pflichtübung.
Fazit
Der N26-Fall zeigt eindringlich: Digitale Geschäftsmodelle erfordern angemessene Compliance-Lösungen, und diese müssen mit dem Geschäftswachstum Schritt halten. Die BaFin toleriert keine Ausreden wie Wachstumsschmerzen oder Startup-Mentalität.
Für GWBs bedeutet dies: Seien Sie Wachstumsbremser, wenn nötig. Besser ein kontrolliertes, compliance-konformes Wachstum als ein Sonderbeauftragter, der das Ruder übernimmt. Die Reputation und die Kosten einer solchen Maßnahme übersteigen bei Weitem die kurzfristigen Ertragseinbußen durch langsameres Wachstum.
Transparenzhinweis: Für diesen Beitrag ist zu beachten, dass in der Vergangenheit eine fachliche Tätigkeit bei der N26 Bank bestand. Der Beitrag basiert ausschließlich auf öffentlich zugänglichen Informationen sowie einer fachlichen Einordnung aus Compliance- und Aufsichtsperspektive.
