Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec.
Inkl. Premium Newsletter
Eine ganze Reihe an Maßnahmen lassen erahnen, in welche Richtung die Vereinigten Staaten zukünftig steuern werden.
So hat das US-Finanzministerium angekündigt, die Durchsetzung des Corporate Transparency Act (CTA) für US-Bürger und inländische Unternehmen auszusetzen. Strafen und Bußgelder für Verstöße gegen die Meldepflicht zu wirtschaftlich Berechtigten werden nicht mehr verhängt. Künftig soll die Regelung nur noch für ausländische Unternehmen gelten.
Weiter kritisiert US-Präsident Donald Trump den Foreign Corrupt Practices Act (FCPA) mit der Begründung, er schade amerikanischen Unternehmen im internationalen Wettbewerb. Der FCPA verbietet US-Firmen die Bestechung ausländischer Amtsträger, um Geschäftsabschlüsse zu sichern.
Auch im Bereich der Sanktionen deuten sich tiefgreifende Veränderungen an. Die aktuellen Reaktionen aus dem Weißen Haus zum Ukraine Krieg zeigen überdeutlich, die Position der Trump-Administration scheint sich fundamental von bisherigen Standpunkten der Vorgängerregierung zu unterscheiden.
America First überall. Die kommenden Monate werden entscheidend sein, um zu beobachten, in welche Richtung sich die Regulierungslandschaft entwickelt. Unternehmen sind gut beraten, proaktiv zu handeln und ihre Compliance-Strukturen an eine sich wandelnde Welt anzupassen – so gut es eben geht.
Die AMLA, die neue EU-Behörde zur Bekämpfung der Geldwäsche, hat ihr erstes offizielles Einstellungsverfahren eingeleitet. Damit beginnt nun der Aufbau der Kernbelegschaft, mit dem Ziel, die volle Personalstärke im Jahr 2027 zu erreichen. Es wird erwartet, dass die Aufsichtsbehörde schlussendlich mindestens 400 Mitarbeiter haben wird.
Ein besonders hoher Bedarf besteht an Geldwäscheexperten und somit an erfahrenen Geldwäschebeauftragten. Kein Wunder, muss die Behörde doch schon nächstes Jahr liefern. Dann werden die ersten Leitlinien (Guidelines) und technischen Standards (RTS) erwartet.
Die neue EU-Behörde bietet Bewerbern u.a. großzügige Steuervergünstigungen, Verbeamtung und Prestige. Geschäftsführer sollten ihren GWBs daher in nächster Zeit besonders viel Aufmerksamkeit und Zuwendung schenken.
Liebe Leserinnen und Leser,
das Jahr 2025 ist schon deutlich fortgeschritten, da zieht die EBA ein Zwischenfazit zu den aktuellen Risiken im Finanzsektor.
Vor dem Hintergrund wichtiger geopolitischer Entwicklungen, dem kommenden AML-Paket der EU und der Digitalisierung sieht die Bankenaufsicht neue Schwachstellen für Geldwäsche und Terrorismusfinanzierung. Dabei werden insbesondere folgende Punkte hervorgehoben:
Was nützt all die ausgefeilte Technik, wenn das Problem scheinbar vor dem Bildschirm sitzt. Nun muss man aber auch bedenken, dass nicht jedes Tool auf dem Markt anwenderfreundlich, geschweige denn intuitiv zu bedienen ist. Damit haben ja nicht nur die Nutzer ihre Schwierigkeiten sondern auch letztlich die Prüfer.
Schön wäre, wenn schon rechtzeitig bei der Entwicklung mal auf die tatsächlichen Anwender zugegangen würde. Man muss ja nur miteinander reden, schon läufts besser.
Die BaFin warnt vor Betrugsbriefen, in denen Verbraucher:innen zur Legitimierung der Identität per Post-Ident aufgefordert werden, um weiterhin am deutschen Zahlungsverkehr teilnehmen zu können. Die Finanzaufsicht stellt klar, dass sie keine derartigen Briefe versendet und sich nicht unaufgefordert an Privatpersonen wendet. Betroffene werden darum gebeten, solche Aufforderungen abzulehnen und Anzeige zu erstatten.
BaFin-Exekutivdirektorin Birgit Rodolphe betonte auf der 7. Fachtagung „Pävention von Geldwäsche und Terrorismusfinanzierung“ die zentrale Rolle der kontinuierlichen Risikoerfassung angesichts Risiken wie fragmentierter Zahlungsverkehr, Kryptogeschäfte und Sanktionsumgehungen. Als Keynote-Speakerin unterstrich AMLA-Vorsitzende Bruna Szego die neuen Chancen der einheitlichen europäischen Geldwäscheaufsicht.
Die Rede und Präsentationsunterlagen stehen auf der BaFin-Website zum Download bereit.
Die BaFin hat gegen die C24 Bank GmbH umfangreiche Maßnahmen wegen gravierender Mängel in der Geldwäscheprävention angeordnet, darunter Defizite im Verdachtsmeldeverfahren und bei Auskunftsverpflichtungen bezüglich betrügerisch genutzter Konten. Die Aufsicht bestellte einen Sonderbeauftragten zur Überwachung der Mängelbeseitigung und legte zusätzliche Eigenmittelanforderungen und Berichtspflichten fest. Letztes Jahr musste die C24 Bank ein Bußgeld in Höhe von 1.250.000 Euro wegen verspäteter Verdachtsmeldungen zahlen.
BaFin und FIU haben ihre gemeinsame Orientierungshilfe zum Verdachtsmeldewesen aktualisiert. Die überarbeitete Fassung enthält praktische Anwendungsbeispiele und präzisiert die Anforderungen an „Unverzüglichkeit“ und „Vollständigkeit“. Die Aufsicht betont weiterhin: Im Zweifelsfall gilt die Meldepflicht.
Die Geldwäscheprävention der Raisin Bank AG weist erhebliche Mängel auf, so die BaFin in einer aktuellen Meldung. Betroffen sind u.a. die Risikoanalyse, die Kundenrisikobewertung, das EDV-Monitoring und die Erfüllung der Pflichten des Geldwäschebeauftragten. Die BaFin hat angeordnet, dass die Raisin Bank AG angemessene und geeignete Maßnahmen zu ergreifen hat, um die festgestellten Mängel zeitnah zu beseitigen.
Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial. Dies ist ein Test-Editorial.
Die irische Zentralbank hat Coinbase Europe Ltd. ein Bußgeld in Höhe von 21 Millionen Euro auferlegt. Grund sind Mängel beim Transaktions-Monitoring im Zeitraum 2021 bis 2025, wovon über 30 Millionen Transaktionen betroffen sind.
Die BaFin hat ein Bußgeld in Höhe von 45 Millionen Euro gegen die in Frankfurt am Main ansässige J.P. Morgan SE verhängt. Grund sind systematisch nicht rechtzeitig abgegebene Verdachtsmeldungen in den Jahren 2021 und 2022.
Die EBA hat Entwürfe für vier RTS zur Finalisierung an die AMLA übergeben. Die vier RTS-Entwürfe beschäftigen sich mit den Themen einheitliche Risikobewertungsmethodik für Verpflichtete, Selektionskriterien für AMLA-Direktaufsicht, Kundensorgfaltspflichten sowie Sanktionsmechanismen. Die Vorschläge dienen als Grundlage für eine finale Ausarbeitung durch die AMLA und sollen ab dem 10. Juli 2027 EU-weit gelten.
Die EBA identifiziert in einem kürzlich veröffentlichten Report kritische Compliance-Lücken bei Krypto-Anbietern: Häufig werden Compliance-Funktionen an Gruppeneinheiten außerhalb der EU ausgelagert, ohne diese an EU-Standards anzupassen. Viele CASPs unterschätzen außerdem ihre Rolle als Ein- und Ausstiegspunkt zum dezentralen Krypto-Ökosystem und versäumen es, entsprechende Risiken in ihren Verfahren abzubilden. Besonders kleinere Akteure wie Krypto-ATM-Betreiber implementieren die Travel Rule nicht ordnungsgemäß. Die Aufsicht bemängelt zudem hohe Fluktuation bei Geldwäschebeauftragten und deren Teilzeit-Besetzung über externe Berater.
Teil 3 der Serie zur KI-Governance in der Geldwäscheprävention
Die ersten beiden Teile dieser Serie haben zentrale Fragen der KI-Governance in der Geldwäscheprävention beleuchtet. Zunächst wurden die grundlegenden Rahmenbedingungen, die Rolle der Zentralen Stelle und des Geldwäschebeauftragten sowie die Grenzen zulässiger KI-Nutzung dargestellt (Teil 1). Anschließend folgten die haftungsrechtlichen Implikationen, konkrete Haftungsszenarien und die daraus abgeleiteten Kontroll- und Dokumentationspflichten beim KI-Einsatz (Teil 2).
Der abschließende dritte Teil widmet sich nun den organisatorischen und strukturellen Voraussetzungen, um KI rechtssicher und haftungsrobust in die Arbeit der Zentralen Stelle zu integrieren. Dabei geht es um neue Rollenmodelle, Kompetenzanforderungen, ein praxisorientiertes KI-Kompetenzmodell sowie die Konkretisierung der BaFin-Anforderungen aus AuA BT Ziffer 6.
Die zunehmende Einbindung von KI in geldwäscherechtliche Kontrollprozesse erfordert eine funktionale Weiterentwicklung der Zentralen Stelle. Die traditionelle, vor allem juristisch geprägte und eher reaktive Ausrichtung reicht nicht mehr aus, um den Anforderungen KI-gestützter, dynamischer Kontrollumgebungen gerecht zu werden Es bedarf einer Governance-Transformation hin zu einer hybriden Struktur, die Fachlichkeit, Technologie und Kontrollfähigkeit integriert. Zentrale Anforderungen sind:
Ohne klare Zuordnung von Entscheidungs-, Kontroll- und Eskalationsrechten bleibt jede KI-Governance dysfunktional, gerade in einem haftungsintensiven Umfeld wie der Geldwäscheprävention und der Identifikation von Terrorismusfinanzierung.
Die zentralen Herausforderungen beim KI-Einsatz liegen nicht in der Bedienung von Technologie, sondern in der Sicherstellung der Einhaltung aufsichtsrechtlicher, datenschutzrechtlicher und operativer Kontrollanforderungen. Dies bedeutet: Kompetenz wird zur Schlüsselkategorie institutioneller Haftungsvermeidung.
Kompetenzfelder des Geldwäschebeauftragten (GWB):
| Kompetenzfeld | Erforderliche Fähigkeiten |
| Technologisches Grundverständnis | Einordnung von KI-Architekturen, insbesondere agentische KI, Verständnis von Modellverhalten |
| Governance- und Kontrollkompetenz | Steuerung KI-bezogener Prozesse, Nachvollziehbarkeit, Dokumentation |
| Risikokompetenz | Bewertung von Modellrisiken, Einordnung von Eskalationen |
| Regulatorik & Haftung | Kenntnisse zu geltendem und geplantem EU-Recht, insbesondere AI Act, Produkthaftungsrecht |
| Kommunikationsfähigkeit | Vermittlung komplexer technischer Sachverhalte an Geschäftsleitung, Aufsicht und Externe |
Zusätzliche Rollenprofile im erweiterten Team:
| Rolle | Aufgabenprofil im Kontext KI |
| KI-Kontrollbeauftragte/r | Bewertung von Modelllogiken, Begleitung von Re-Trainings, Auditführung, Führung eines KI-Registers u.a.m. |
| Compliance-Analytics-Spezialist/in | Messung und Bewertung der Leistungsfähigkeit von Modellen, FP/FN-Analysen u.ä. |
| Data Governance Officer (AFC-Fokus) | Prüfung der Trainingsdatenqualität, Versionierung, Datenethik u.a.m. |
| Jurist/in mit technischem Verständnis | Vertragsgestaltung bei Drittanbieter-KI, Auslagerungsanforderungen, Bewertung von Nutzungsgrenzen u.ä. |
Die Einführung solcher Profile ist keine regulatorische Pflicht, wohl aber eine organisatorische Notwendigkeit, um die Anforderungen aus MaRisk, BAIT bzw. DORA und dem EU AI Act künftig zu erfüllen und den bestehenden Anforderungen gerecht zu werden, die auch für KI-basierte Tools und Systeme gelten.
Ein praxisorientiertes Kompetenzmodell hilft dabei, Skill-Gaps zu erkennen, Weiterbildungen zu strukturieren und Verantwortlichkeiten besser abzugrenzen. Die folgende Matrix stellt ein mögliches Grundmodell auf Basis von drei Entwicklungsebenen dar.
| Kompetenzfeld | Basisniveau | Fortgeschrittenes Niveau | Expertise-Niveau |
| KI-Verständnis | Kenntnis der Grundbegriffe (ML, Algorithmus, Modell) | Verständnis von Entscheidungslogiken, Schwellenwertsteuerung | Fähigkeit zur kritischen Bewertung agentischer KI |
| Governance | Kenntnis von Dokumentations- und Prüfpflichten | Anwendung in der Prozessgestaltung | Entwicklung eigener Governance-Policies |
| Regulatorik | Vertrautheit mit GwG, KWG, MaRisk | Einordnung von EU AI Act & Haftungsregimen | Bewertung regulatorischer Graubereiche und Entwicklung von Prüfstandards |
| Systembewertung | Nutzung von Reports | Interpretation von Modell- und Validierungsdaten | Fähigkeit zur Auditvorbereitung und Revisionsbegleitung |
| Eskalation & Kommunikation | Wissen um Melde- und Eingriffswege | Selbstständige Kommunikation mit Management | Schnittstellenverantwortung zu Aufsicht, Revision, Dienstleistern |
Ein solches Modell eignet sich auch als Entscheidungshilfe für die Personalauswahl und die Priorisierung von Weiterbildungsmaßnahmen. Es lässt sich in Kompetenzmatrizen, Self-Assessments oder Rollendefinitionen überführen und unterstützt die nachvollziehbare Haftungsabsicherung der Zentralen Stelle durch entsprechende Qualifikation.
Die Zentrale Stelle steht im KI-Zeitalter vor der Aufgabe, Verantwortung und Steuerbarkeit neu zu operationalisieren, nicht durch mehr Regeln, sondern durch klare Rollen, Kompetenzen und Kontrollmechanismen. Der Schlüssel liegt in einer personellen und strukturellen Weiterentwicklung:
In den Auslegungs- und Anwendungshinweisen (AuA) für Kreditinstitute (BT KI) formuliert die BaFin unter Ziffer 6 ein einheitliches System von Qualitätskriterien für relevante, DV-gestützte Kontrollprozesse bzw. DV-Systeme für die Geldwäschebekämpfung, die Vermeidung von Terrorfinanzierung und strafbare Handlungen. Gefordert wird eine angemessene, nachvollziehbare, überprüfbare und wirksame Ausgestaltung. Die zentralen Prinzipien sind:
• Dokumentation und Nachvollziehbarkeit
• Funktionsprüfung vor Freigabe
• Verantwortlichkeitszuweisung und Eskalationsfähigkeit
• Kontinuierliche Überwachung
• Angemessenheit und Effektivität der Verfahren
• Schulungen und Sensibilisierung
• Regelmäßige Evaluierung
(Siehe grundsätzlich zu den Anforderungen des BaFin AuA BT Ziffer 6 hier.)
Diese Qualitätskriterien sind technologieagnostisch formuliert und damit unabhängig von der eingesetzten Technologie zu erfüllen. Genau hier beginnt die Herausforderung beim Einsatz von KI.
Die spezifischen Risiken und Funktionsweisen von KI, insbesondere bei autonom lernenden, datengetriebenen oder sogar agentenbasierten Systemen (Unsupervised, Reinforced oder Agentic sowie in Teilen Federated Learning), erfordern eine technische und prozessuale Konkretisierung der AuA BT Ziffer 6-Prinzipien. Der folgende Abgleich zeigt, dass sich alle KI-spezifischen Governance-Elemente als Konkretisierungen interpretieren lassen.
| AuA BT Ziffer 6-Prinzip | Technologiebezogene Konkretisierung für KI |
| Dokumentation & Nachvollziehbarkeit | Modellarchitektur, Entscheidungsprotokolle, Versionierung, Erklärbarkeit |
| Funktionsprüfung & Freigabe | Pre-Deployment-Tests, Bias-Checks, Validierungsprotokolle |
| Verantwortlichkeiten & Eskalation | „Human Oversight“, Eingriffsrechte, Eskalationsmatrix |
| Überwachung & Steuerbarkeit | Performance Monitoring, Drift Detection, Schwellenwertkontrolle |
| Angemessenheit & Effektivität | Risikoorientierte Modellwahl, Fehlertoleranzdefinition, Scope Management |
| Schulung & Awareness | KI-spezifische Trainings für GWB und Compliance-Team |
| Regelmäßige Evaluierung | Revalidierung, Prüfzyklen, Audit-Fähigkeit, Reporting-Linien |
Ein Sonderfall ist die agentenbasierte KI: Für „Agentic AI“-Systeme mit eigenständiger Zieldefinition und Handlungsvollzug gelten die AuA BT Ziffer 6-Prinzipien derzeit als im Grundsatz technisch nicht erfüllbar:
Daher ist der operative Einsatz solcher Systeme in der Zentralen Stelle aufsichtsrechtlich de facto zumindest in den Hochrisikobereichen des EU AI Acts ausgeschlossen. Denkbar ist lediglich eine unterstützende, nicht entscheidungsrelevante Nutzung, etwa für Recherchen oder semantische Analysen, wie das beispielsweise in den Bereichen der Enhanced Due Diligence oder auch bei der Fallerstellung und den vorbereitenden Tätigkeiten für eine qualitativ hochwertige Verdachtsmeldung der Fall sein kann.
Zur pragmatischen Umsetzung der AuA BT Ziffer 6-Prinzipien für KI-Prozesse empfiehlt sich eine strukturiert operationalisierte Checkliste, die von der Zentralen Stelle aktiv geführt werden sollte. Diese Checkliste enthält:
Sie dient in der Form also der internen Verantwortlichkeitsklärung, der aufsichtlichen Nachweiserbringung sowie der persönlichen Enthaftung des GWB, der seine Steuerungspflicht durch dokumentiertes Handeln konkretisiert. Dies ist natürlich nur dann in der Zentralen Stelle zu verorten, wenn es diese Funktion nicht schon in einem ebenfalls zu empfehlenden KI-Kompetenzzentrum (AI CC, AI CoE o.ä.) gibt. Für den unternehmensweiten Einsatz von KI ist dies sinnvoll. Hier sollte die Compliance-Abteilung inhaltlich eng eingebunden werden, um Use Cases nicht wie in der Vergangenheit vor Risiko- und Compliance-Anforderungen zu bewerten und zu priorisieren, sondern danach. Der Aufbau eines solchen KI-Kompetenzzentrums ist schematisch in der nachfolgenden Abbildung skizziert.
Abbildung: Schematischer Aufbau eines AI Center of Excellence (CoE) bzw. Competence Center (CC)
Das Zusammenspiel kann über die Compliance-Abteilung mit einem KI-Kontrollbeauftragten – nicht zu verwechseln mit einem KI-Beauftragten oder AI Officer – erfolgen, um so den Compliance Anforderungen generell, aber auch denen aus der Zentralen Stelle gerecht werden zu können. Die organisatorische Aufhängung eines AI CC/CoE findet sich üblicherweise beim Chief Digital Officer (CDO) oder Chief Risk Officer (CRO) der Bank. Beim CRO ist in der Regel auch schon vorhandene Kompetenz in der Modellvalidierung vorhanden, welches man in einem AI CC/CoE im Bereich der technischen Kompetenz mitnutzen könnte.
Zusammenfassend lässt sich darstellen, dass die Zentrale Stelle KI einsetzen kann, wenn die Prinzipien von AuA BT Ziffer 6 in technologiegeeigneter Form konkretisiert und nachweislich umgesetzt werden. Damit ist KI-spezifische Governance keine gesonderte Verpflichtung, sondern eine bestehende Pflicht zur sachgerechten Ausgestaltung der bestehenden Anforderungen der BaFin. Agentenbasierte KI ist derzeit nicht AuA BT Ziffer 6-kompatibel und daher für den produktiven Einsatz in der Zentrale Stelle nahezu ausgeschlossen. Die schon vorne definierten Ausnahmen sind gültig. Die Zukunft von KI in der Geldwäscheprävention entscheidet sich damit nicht an der Innovationshöhe, sondern vielmehr an der Beherrschbarkeit durch Governance und den sich nach Risiko- und Compliance-Bewertung ergebenden Vorteilen.
Der Einsatz von KI in der Zentralen Stelle eröffnet große Effizienzpotenziale, etwa durch Mustererkennung, automatisierte Alert-Priorisierung oder Verhaltensklassifikation. Gleichzeitig verschärft sich die Haftungsarchitektur: Wo menschliche Entscheidungen durch Systeme vorbereitet oder gar ersetzt werden, droht der Verlust von Zurechnungs- und Kontrollfähigkeit – das Fundament jeder rechtlichen Verantwortung.
Sowohl das geltende Recht in Deutschland und der EU als auch die zukünftigen Rahmenwerke, wie die Reform der EU-Produkthaftungsrichtlinie (EU Product Liability Directive), setzen einhellig auf:
Der GWB trägt auch bei KI-gestützten Prozessen weiterhin die persönliche Verantwortung für Struktur, Kontrolle und Wirksamkeit der Geldwäscheprävention. Fehler im KI-Einsatz, die auf unzureichender Prüfung, Überwachung oder Reaktion beruhen, begründen haftungsrelevante Pflichtverletzungen. Die Zentrale Stelle steht daher vor einer zweifachen Herausforderung:
Daraus lassen sich Handlungsempfehlungen für Praxis, Governance und Strategie ableiten:
Die Entwicklung der KI-Technologie ist dynamisch, ihre aufsichtsrechtliche Integration hingegen langsam und auf Sicherheit bedacht. Die Zentrale Stelle wird in den nächsten Jahren nicht mehr nur ein juristischer Kontrollpunkt sein, sondern ein hybrides Steuerungszentrum aus Governance, Technologie und Risikoethik. Nur so kann die Zentrale Stelle auch in Zukunft das leisten, was ihr der Gesetzgeber abverlangt: die wirksame, integre und verantwortbare Bekämpfung von Geldwäsche und Terrorfinanzierung.
Der Autor:
Dirk Findeisen ist Managing Partner des Beratungs- und Technologieunternehmens msg Rethink Compliance. Er verfügt über mehr als 20 Jahre Erfahrung in den Bereichen Governance, Risk & Compliance (GRC), Datenmanagement, Advanced Analytics und Corporate Performance Management. Findeisen ist Autor zahlreicher Fach- und Buchbeiträge zum Thema Anti-Financial Crime Compliance, ein gefragter Referent auf Fachveranstaltungen und Dozent an mehreren deutschen Hochschulen.
dirk.findeisen@msg-compliance.com
| (Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Dann können Sie sich hier für unseren Newsletter anmelden – kostenlos und unverbindlich) |
Die BaFin hat einen Bußgeldbescheid in Höhe von 3,3 Mio. EUR gegen die Varengold Bank AG erlassen. Die Bank hatte in 30 Fällen systematisch Verdachtsmeldungen nicht rechtzeitig abgegeben.
Zusätzlich stellte die BaFin weitere erhebliche Mängel bei der Prävention von Geldwäsche und Terrorismusfinanzierung fest, insbesondere bei der Durchführung von Geschäften mit Iran-Bezug. Die BaFin hat deshalb angeordnet, dass das Institut angemessene und geeignete Maßnahmen ergreifen muss, um diese Mängel zu beseitigen.
Außerdem hat die BaFin gegen die Varengold Bank AG mit Bescheid vom 26. Februar 2025 ein Zwangsgeld in Höhe von 500.000 Euro festgesetzt. Hintergrund sind zwei Verstöße im Zusammenhang mit Transaktionen mit „Payment Agents“ und sonstigen Dritten mit Iran-Bezug.
Die Direktbank C24, Teil der Check24-Gruppe, steht wegen vermehrter Betrugsfälle und gravierender Defizite in der Geldwäscheprävention weiterhin unter verschärfter Aufsicht, nachdem bereits mehrere Maßnahmen seitens der BaFin ergriffen wurden. Eine interne Quelle berichtet laut dem Handelsblatt von chronischer Überlastung bei der Bearbeitung von Verdachtsmeldungen und fehlender Risikokultur. Die Bank soll laut Insider zu den zehn häufigsten Absendern von Verdachtsmeldungen gehören, obwohl sie vergleichsweise klein ist.
Nicht selten werden Anforderungen von Aufsicht und Gesetzgeber als zusätzliche Bürde und Kostenfaktor im Compliance-Umfeld betrachtet. Die Umsetzungs- beziehungsweise Überprüfungsanforderungen aus dem BaFin AuA Besonderer Teil – Kapitel 6 (nachfolgend kurz BT 6) können aber auch als Grundlage oder Hilfestellung verstanden werden, welche wesentlich helfen, die Monitoring- und Screening-Systemlandschaft stabil und robust zu betreiben. Die frühzeitige Berücksichtigung der BT 6 Anforderungen können insbesondere bei System-Neueinführungen einen Grundsockel bilden, um im Business-as-Usual-Modul effektiv und ohne Feststellungen zu bleiben.
Die im Juni 2021 von der BaFin veröffentlichten Auslegungs- und Anwendungshinweise zum Geldwäschegesetz – Besonderer Teil für Kreditinstitute (nachfolgend kurz BaFin AuA) konkretisierten erstmalig spezifische Anforderungen an die Eignung und Ausgestaltung der Monitoring- und Screeningsysteme der Institute, wobei der Fokus der BaFin Auslegungshinweise auf dem Geldwäschemonitoring, der Prüfung der politisch exponierten Personen (PeP) und der Adverse Media-Prüfung liegt. Nach dem ersten Lesen der Absätze im relevanten Kapitel 6 („Monitoringsysteme“) kann der Eindruck entstehen, dass hier lediglich bereits bestehende Anforderungen der Aufsicht noch einmal wiederholt wurden.
Geldwäscheanforderungen inklusive der betroffenen Systeme sind allerdings kein neuer Prüfungsfokus und wurden unter anderem als Teil der Jahresabschlussprüfung schon seit langem vom Prüfer betrachtet.
Anders als man beim schnellen Lesen über die Auslegungshinweise vermuten kann, verbirgt sich in Kapitel 6.2.3 („Funktionsfähigkeit der Datenverarbeitungssysteme“) jedoch die konkrete Anforderung einer regelmäßigen Überprüfung durch unabhängige Dritte.
Nach wie vor führen Fragen wie die Bedeutung der Regelmäßigkeit, der Definition, wer unabhängiger Prüfer ist und was der Fokus dieser Überprüfung ist, die häufig auch fälschlicherweise als Systemvalidierung bezeichnet wird, bei Instituten zu Interpretationsproblemen.
Aber warum?
Auch noch knapp vier Jahre nach der Veröffentlichung erhalten Prüfungs- und Beratungsunternehmen Anfragen zur erstmaligen Überprüfung der Systeme in Instituten. Blickt man in die IT- und Compliance-Vorgaben für den Systembetrieb der Institute, werden die BT 6 Anforderungen nicht immer explizit als eigenständiger Anforderungsblock konkret benannt.
Daneben wird häufig die Frequenz hinterfragt. „Regelmäßig“ lässt sich auf einen mindestens zweijährigen Rhythmus umstellen, sofern keine wesentlichen Veränderungen an den Systemen vorgenommen wurden. Durch Änderungen an den Systemen kann auch eine kürzere, erneute Überprüfung notwendig werden.
Hauptfragestellung in der Praxis ist bei den Instituten aber meist der Systemumfang und der Überprüfungsumfang. Der BT 6 zielt primär auf die Geldwäsche-Monitoringsysteme ab, inkludiert aber PeP- und Adverse Media-Prüfung, sowie indirekt in der Regel auch den Sanktionsfilter als solchen, da dieser in der Praxis meist im selben System zusammengefasst ist. Über die Einbeziehung der sonstigen strafbaren Handlungen werden auch die Systembausteine zur Betrugsprävention in den Betrachtungsfokus gerückt.
Die BT 6 Anforderungen unterscheiden zudem nicht zwischen der Überprüfung von Neu- oder Bestandskunden und Transaktionen.
Neben der Frage des „wie oft“ und „welches System“ könnte auch interpretiert werden, dass Kern der Überprüfung das Regel- und Szenarien-System der Monitoring- und Screeningsysteme ist.
Aus dem Abschnitt 6.2.3 leitet sich jedoch ein anderer Schwerpunkt ab: Die Integration der Anwendung in das IT-Ökosystem des Instituts einschließlich Datenversorgung, Hardwareausstattung, IT-Notfallmanagement und Security. Kern der Überprüfung ist somit die Sicherstellung einer vollständigen Datenbelieferung und eines geregelten, stabilen IT-Betriebs; ergänzt um Aspekte wie Governance, Mitarbeitende und Reporting.
Die Anforderungen erfordern zudem keine vollumfängliche Detailevaluation beispielsweise von Datenströmen durch umfangreiche Stichproben aller Datenquellen und Systeme, Schnittstellen und APIs, sondern eine Überprüfung der grundlegenden Abläufe und Kontrollen durch den Geldwäschebeauftragten. Unsere Erfahrung hat bestätigt, dass eine Ausweitung der Überprüfung (zum Beispiel mit zusätzlichen Stichproben) Probleme unter anderem in der Datenversorgung der Systeme aufdecken kann, welche durch die Mindestanforderungen nur bedingt oder stark zeitverzögert aufgedeckt werden.
Abbildung 1: Fokus der Aufsicht, Interpretationssicht vieler Institute und sinnvolle Ergänzungen; Bildquelle: Deloitte
Im obigen Abbild sind die Kernanforderungen des BT 6 überblicksartig hinterlegt, ergänzt um Erweiterungsstufen und Ergänzungen. Grundsätzlich kann eine BT 6.2.3 Überprüfung auch als Startpunkt genutzt werden, um die Geldwäsche (GW)-Systeme und die darin enthaltenen Szenarien, Schwellenwerte und Einstellungen einer 360°-Evaluation zu unterziehen. Hieraus kann ein Mehrwert in der operativen Prozessdurchführung gewonnen werden: Dazu zählt die Optimierung des Systems in Bezug auf Daten- und Datenqualität sowie die Verfeinerung von Szenarien- und Filterregeln, um relevante Auffälligkeiten zu identifizieren und ergänzend False-Positives zu reduzieren.
Mit dem BT 6 verbundene Beratungs- und Überprüfungsprojekte der vergangenen Jahre haben verschiedene Optimierungspunkte und Herausforderungen aufgezeigt, welche institutsübergreifend relevant sind. Auch hat sich bei Einführungs- und Anpassungsprojekten von Softwarelösungen ein breites Spektrum an Schwerpunkten herauskristallisiert, welche nachfolgend kurz beleuchtet werden.
Eine der ersten Schritte des Reviews ist in der Regel die Sichtung der bestehenden Dokumentation und Nachweise. Klassisch werden bei diesem ersten Schritt der Überprüfung verschiedenste Dokumente beim betroffenen Institut angefragt.
Qualitätskriterien in Bezug auf die Dokumentation an sich sind:
Abbildung 2: Schwerpunkt & Herausforderungen in der Praxis; Bildquelle: Deloitte
Auch in Zeiten von Digitalisierung und Automatisierung spielen fachkundige Mitarbeitende im Institut eine wichtige Rolle beim stabilen Betrieb der Monitoring- und Screeninglösung. Die Anforderungen fokussieren hier insbesondere auf die für den Betrieb und die Konfiguration relevanten Rollen und Mitarbeitenden und stellen fachliche Kompetenz sowie ausreichende Ressourcenausstattung in den Vordergrund.
Spezialkenntnisse über die jeweiligen genutzten Lösungen beziehungsweise erfahrene Mitarbeitende mit den entsprechenden Berechtigungen sind Schlüsselfaktoren für einen stabilen Systembetrieb. Die genauen Anforderungen an die Vergabe von Berechtigungen sollte daher eng mit dem Schulungskonzept verknüpft sein und formell definierte Anforderungen sollten mit der Berechtigungsvergabe an Mitarbeitende verbunden sein. Fehlen qualifizierte, routinierte Mitarbeitende, können folglich Fehler im operativen Betrieb der Lösung oder auch der Konfiguration entstehen. Parallel dazu zeigt sich der Fachkräftemangel auch bei der Betreuung und dem Betrieb der Monitoringsysteme.
Grundsätzlich sollte eine Konzentration auf wenige Schlüsselressourcen für Kern-Prozesse in den AML-Lösungen und administrative Aktivitäten (beispielsweise bei der Freigabe von Parametern) wo möglich vermieden werden, eine adäquate Ressourcenausstattung auch beim Fachpersonal ist zu planen.
So können Verzögerungen bei Changes und Backlogs, aber auch kritische Fehler in der Administration und Betreuung der Monitoring- und Screeninglösungen durch krankheitsbedingte Ausfälle, Urlaubsabwesenheiten und die generelle Arbeitsbelastung in der Compliance-Linienorganisation vermieden werden.
Neben der technischen Ressourcenausstattung der relevanten Systeme liegt ein Augenmerk auf der Sicherstellung der korrekten und vollständigen Datenbelieferung aus den dafür notwendigen Vorsystemen wie KYC/Kundenmanagement, Kernbankensystem oder Transaktionssysteme.
Hierbei geht es um weit mehr als nur die Sicherstellung der Datenvollständigkeit an der Schnittstelle zu der Monitoring-, Screening- beziehungsweise Fraud-Lösung. Es muss über die Lieferstrecke der verschiedenen Quellsystemen über gegebenenfalls zwischengeschaltete Datenbanken eine Vollständigkeit der relevanten Kunden beziehungsweise Transaktionen sichergestellt sein.
Insbesondere stark fragmentierte Systemlandschaften mit historischen (Kunden-) Datenbeständen in dezentralen Anwendungen stellen hierbei eine der größten Herausforderungen dar. Daneben ist die Frage nach der Definition des „Kunden“ häufig eine fachlich-technische Herausforderung. Für Screening-Themen wie Sanktionen geht die Notwendigkeit der Überprüfung über den eigenen Kundenbestand hinaus und erweitert sich auch auf Dritte, welche im Zuge einer Transaktion einen Mittelzufluss erhalten würden. Als zielführend hat sich eine vollständige Dokumentation der Datenflüsse von den Quellsystemen hin bis zum Monitoring- und Screeningsystem als hilfreich für die BT 6 Überprüfung aber auch den Tagesbetrieb gezeigt. Egal ob in Excel- oder einer anderen Dokumentationsform: Der Datenfluss muss auf der Ebene der einzelnen Attribute nachvollziehbar sein, Filter und Verarbeitungsprozesse an Schnittstellen und Datenbanken und Co. müssen transparent und Zuständigkeiten und Kontrollen klar ersichtlich sein.
Die Datenqualität sowie die Qualität der Datendokumentation der verschiedenen Systeme und ihrer Datenstrukturen sind von hoher Bedeutung. Besonders das Fachwissen über die Datenarchitektur spielt bei der Auswahl der richtigen Attribute für Filter- und Sortiervorgänge eine entscheidende Rolle. Es ist wichtig sicherzustellen, dass Entscheidungen zu Schnittstellen-Attributen und deren fachlicher Bedeutung auf fundiertem Wissen basieren. Dies minimiert das Risiko, fehlerhafte Datensätze im Monitoring oder Screening zu verwenden.
In fragmentierten Systemlandschaften gibt es aus historischen Gründen häufig keine eindeutige Entscheidung zur Trennung zwischen juristischen und natürlichen Personen. Werden dafür „Hilfsattribute“ oder Kombinationen hieraus herangezogen, kann das richtig sein – muss es aber nicht. Betrachtet man dieses Beispiel und untersucht die Ursachen für eine falsche Interpretation zum Beispiel bei der PEP-Prüfung eines vermeintlichen Unternehmens, sind fehlende Eingabemöglichkeiten in den Vorsystemen häufig die Ursache. Eine konsistente Datenarchitektur im Institut mit klaren Vorgaben zu Attributen und deren Werteausprägungen ist daher nicht nur für AML- und Sanktionsfragestellungen entscheidend. Beispielhaft hierfür sind klare Kennzeichen für Einzelpersonen vs. Gemeinschaftskonten. So kann verhindert werden, dass aufgrund fehlerhafter Interpretation aus anderen Datenmerkmalen zum Beispiel im PeP-Filter eine vermeintlich juristische Person nicht gegen die einschlägigen Listen geprüft wird. Ähnliche Fehlerstrecken sind in der Praxis beispielsweise auch beim Datum der Accountanlage oder der Trennung zwischen Interessenten und tatsächlichem Kunden zu vermeiden.
Für die Überprüfung stellen daher die Nachvollziehbarkeit der Datenströme und die Zusammensetzung des Datenhaushaltes über die verschiedenen Systeme eine Kernanforderung dar. Je besser sich Datenherkunft, mögliche Ausprägungen und das Mapping auf Datenfelder und Tabellen nachvollziehen lassen, desto geringer sind Fehlerrisiken bei der Implementierung. An diesem Punkt gibt es wiederum eine Verbindung zum operativen Management der IT-Systeme: Wie wird sichergestellt, dass bei Veränderungen in der Systemlandschaft die Datenbelieferung vollständig bleibt?
Neben der Sicherstellung von initial korrekt aufgesetzten Datenstrecken und Schnittstellen stellen besonders die Kontrollmechanismen für eine vollständige Datenbelieferung ein Schwerpunktthema dar. Besonders die Frage nach den verfügbaren Kontrollmöglichkeiten für den Geldwäschebeauftragten (GWB), um Lücken in der (täglichen) Datenbelieferung zu erkennen, stehen im Fokus.
In Bezug auf die Überprüfung der Datenvollständigkeit darf sich der GWB nicht nur auf Kontrollen zwischen Liefer- und Monitoring- und Screeningsystem fokussieren, sondern muss die gesamte Lieferkette in die risikoorientierte Betrachtung einbeziehen. Hierfür sollten möglichst täglich oder bei jedem Import-Export-Vorgang die Mengen zwischen der jeweiligen Datenquelle und den tatsächlich eingelesenen Datensätzen (technisch) abgeglichen und im Abweichungsfall eskaliert werden. Die alleinige Überprüfung auf die reine Vollständigkeit der Datensätze / Datenzeilen ist aber nicht ausreichend, da i.d.R. zusätzliche Datenattribute wie das oben bereits herangezogene Datenmerkmal zur Trennung nach juristischer und natürlicher Person für die eigentliche Überprüfungsqualität im Pep- und Sanktionsfilter wesentlich ist.
Wie kann also auch die Vollständigkeit der relevanten Lieferattribute innerhalb eines Datensatzes zeitnah evaluiert werden?
Für die Beantwortung dieser Frage ist ein kurzer Blick auf die möglichen Ursachen notwendig. Nicht selten führen Eingabeänderungen in den Frontsystemen (zum Beispiel im Customer Management) dazu, dass Datenfelder leer sind und wiederum für diesen einzelnen Kunden am Liefertag ein Attribut leer sein kann (sofern es sich nicht um ein Pflichtfeld handelt).
Treten hingegen für eine Vielzahl von Kunden an einem Tag eine auffällige Häufigkeit von fehlenden Attributen auf, liegt dies meist an technischen Problemen wie vorangegangenen Anpassungen an Eingabemasken, Auswahlmöglichkeiten, Datentypen und weiterem.
Sollten auffällige Abweichungen in der Datenbelieferung auftreten, sind statistische Verfahren als Teil des Importvorganges notwendig, welche einen Alert oder Incident generieren, sofern zu einem Vergleichszeitpunkt (zum Beispiel Vortag oder Monatsdurchschnitt) Dateninhalte unter einer Schwelle liegen.
Im Fokus einer Überprüfung stehen zusätzlich mögliche Datenausschlüsse. Diese betreffen die zugelieferten Kunden und Transaktionen, aber auch Ausschlüsse in Datenlisten wie PeP und anderen Kategorien. Neben einer schlüssigen, risikoorientierten Herleitung von Filterkriterien (zum Beispiel welche SWIFT-Nachrichtentypen für die Überwachung relevant sind und warum gegebenenfalls nicht) spielt wiederum die Etablierung von Mechanismen und Kontrollen eine wichtige Rolle, welche sicherstellen sollen, dass bei technischen aber auch bei fachlichen Veränderungen eine Überprüfung der systemseitigen Ausschlüsse vorgenommen wird (Stichwort Integration Change-Management). Der GWB sollte daher eng in den Neu-Produkt-Prozess integriert sein und zum Beispiel als Teil der jährlichen Risikoanalyse seine Ausschlüsse und Annahmen kritisch überprüfen und gegebenenfalls in den Systemen nachjustieren.
Mit Blick auf den eigentlichen IT-Betrieb und die Wartung und Betreuung der betroffenen Anwendungen greifen Institute nicht selten auf externe Dritte beziehungsweise die IT-Dienstleister ihrer Gruppe zurück. Die Spannbreite der Verlagerung reicht von einem reinen IT-Betrieb bis hin zur Auslagerung von Sorgfaltspflichten gemäß § 17 GWG.
Für den IT-Dienstleister gelten grundsätzlich unabhängig des Umfanges der Verlagerung die gleichen Anforderungen, in der Praxis werden jedoch gesonderte Aktivitäten und Schwerpunkte vorgenommen.
Als Teil der Überprüfung werden daher neben den Vertragswerken, Servicekatalogen und Leistungsscheinen insbesondere die Schnittstellen zum Dienstleister in den Fokus gerückt. Kernfrage ist, ob bei Incidents, Notfällen, Changes und Datenproblemen der GWB des Instituts zeitnah eingebunden wird und jederzeit die Steuerungshoheit für die ihn betroffenen Pflichten innehält.
Es ist entscheidend, dass in den Service Agreements und Leistungsbeschreibungen mit dem Dienstleister der konkrete Umfang klar definiert wird und Zuständigkeiten eindeutig abgegrenzt sind. Konkrete Leistungsscheine mit einer klaren Aufgabenbeschreibung sollten erstellt werden, um Grauzonen zu vermeiden und die Transparenz zu gewährleisten.
Je nach Reifegrad des Auslagerungsmanagements und der Compliance-Organisation sollten die exakten Aufgaben und Befugnisse klar und schriftlich fixiert und die Entscheidungskompetenz eindeutig definiert sein. Sind in der Praxis Abweichungen zwischen zum Beispiel Leistungskatalog und gelebter Prozesspraxis vereinbart, müssen diese nachvollziehbar und konsistent über alle Dokumente hinterlegt werden. Insbesondere dann, wenn der Dienstleister mehr als einen reinen IT-Betrieb übernimmt und auch in die operativen Compliance-Prozesse eingebunden ist, bestehen Zweifel an einer reinen IT-Verlagerung. Häufig sind die Dienstleister in die Vorklärung von Treffern involviert, was wiederum auf eine Auslagerung hindeutet.
Die u.a. aus der MaRisk abgeleiteten Anforderungen an das Risikomanagement der IT spielen eine wichtige Rolle auch im Umfeld der Geldwäsche-Systeme. Die vom Institut vorgenommene Schutzbedarfseinwertung und die dazugehörige Definition der Kritikalität der AML-Systeme inklusive der Anforderungen an Wiederherstellungszeiten, maximaler Ausfallzeit, etc. werden auch von den Auslegungshinweisen aufgegriffen und fließen folglich in die Überprüfung ein. Zwar ist kurzzeitig die Aufrechthaltung der Geschäftsprozess mit entsprechenden, aufwändigen Mitigationsmaßnahmen möglich (zum Beispiel Definition von manuellen Prüfungen für betriebsrelevante Transaktionen), über einen Zeitraum von mehr als ein bis zwei Tagen kann aber aus Ressourcen- und Risikogesichtspunkten kein Betrieb erfolgen. Institutsspezifisch kann lediglich abgeleitet werden, ob und eventuell wie lange ohne die Systeme operativ gearbeitet werden kann, sowie welche Einschränkungen, wie ein Stopp von Auszahlungen von Finanzmitteln, überhaupt realistisch sind.
Hier ergeben sich in der Praxis zwei Schwerpunkte der Überprüfung: Einerseits, ob der GWB in die Einstufungen (aktiv) eingebunden ist, und andererseits, wie die Business Continuity-Maßnahmen auszusehen haben, welche sich hieraus ableiten. Besonders bei ausgelagertem Betrieb der Systeme müssen diese Anforderungen vertragsseitig berücksichtigt sein.
Häufig zeigt sich bei der Sichtung der relevanten Vertragsbestandteile, dass zwar entsprechende (Sicherheits-) Zertifizierungen des Dienstleisters und Nachweise wie ISAE 3402 vorliegen, die Anforderungen der Bank an IT-Sicherheit und BCM aber nicht deckungsgleich mit den SLAs im Vertrag sind.
Kritisch sind insbesondere im Krisenfall die Kommunikationsabläufe zwischen IT-Verantwortlichen und dem GWB. Bei IT-Auslagerungen wird die Kommunikation häufig über das Auslagerungsmanagement oder andere zentrale Steuerungsfunktionen in den Instituten vorgenommen. Auch hier muss sichergestellt werden, dass der GWB (oder seine Stellvertreter) direkt informiert beziehungsweise einbezogen wird.
Auch wenn Begriffe wie Change-Management, Release Management, Incident und ähnliche nicht unbedingt Kernbestandteil des Sprachportfolios des GWB sind, sind diese ITIL (IT Infrastructure Library) geprägten Begriffe und die dahinterliegenden Prozesskonzepte essenziell für einen stabilen und konsistenten Betrieb der AML-Systeme.
Wie bereits mehrfach angemerkt, spielt die Einbindung der relevanten Rollen in der Compliance-Organisation bei fachlichen und technischen Veränderungen eine wichtige Rolle.
Folgende Aspekte sind in der Praxis besonders zu beachten:
Allgemein ging der Trend in den letzten Jahren sehr stark in die Nutzung von markterprobten Compliance-Lösungen. Nur noch in wenigen Sonderfällen werden individuelle Lösungen von den Banken für Spezialfälle entwickelt und betrieben. Dies liegt primär am hohen Reifegrad dieser in Bezug auf Performance und fachlich-technische Features; auch wenn man bei älteren Release-Versionen zumeist bei der Performance der Trefferqualität Abstriche machen muss. Bedingt durch die rasche Etablierung von KI-gestützten Lösungsansätzen auch in der Finanzindustrie versuchen auf der anderen Seite Institute AFC-Lösungsbausteine selbst weiterzuentwickeln und meist als „Add-on“ an die bestehende Lösungslandschaft zu integrieren. Hier sind u.a. agentenbasierte Lösungsbausteine sowie GenAI-gestützte Dokumentengenerierung punktuell bereits im Einsatz.
Aus Sicht des BT 6 liegt bei Eigenentwicklungen ein besonderes Augenmerk auf dem Change-Management und der Testing-Umsetzung. Auch selbst entwickelte Lösungen benötigen Wartung und Weiterentwicklung, welche gesteuert und getestet werden müssen. Je nach Bank und deren IT-Prozessframework sind die Testing-Anforderungen unterschiedlich streng ausgelegt und können zu Lücken (auch in der Überprüfung) führen.
Ein Stolperstein in Bezug auf Eigenentwicklungen kann bei IDV-nahen Lösungen mittels MS Access und Excel (mit Scripten und anderen einfachen Programmieransätzen für die Logik) liegen. Solche Anwendungen müssen analog zu komplexen Softwareentwicklungsprojekten gemäß der IT-Vorgaben umgesetzt werden. Für den späteren Betrieb dieser „Light“-Lösungen muss zudem der Zugriffsschutz gewährleistet werden, Änderungs- oder sogar Überschreibemöglichkeiten der Dateien reguliert werden.
Nicht transparent ist, ob und wann die Aufsicht das Themengebiet aus den Auslegungshinweisen zum Thema Monitoring novelliert oder ob bzw. wie konkret auf europäischer Ebene technisch-prozessuale Anforderungen an die Institute bzw. die Systeme definiert werden. Nachschärfungen und Abstimmungen von Seiten der BaFin erfolgen in der Regel primär über das Institut der Wirtschaftsprüfer (IDW).
Da die Zuständigkeit für das Themenfeld Sanktionen nicht bei der BaFin, sondern bei der Bundesbank liegt, sind gegebenenfalls auch von dieser Seite weitere Konkretisierungen neben den bestehenden Veröffentlichungen wie dem Merkblatt zur Einhaltung von Finanzsanktionen (zuletzt aktualisiert 2024) zu erwarten oder sogar eine langfristige Konsolidierung der Zuständigkeiten und daraus folgenden Konsolidierungen der Anforderungen.
Insbesondere Anforderungen in Bezug auf das Spannungsfeld KI – GenAI im Geldwäscheumfeld und deren Umsetzung in IT-Systemen – könnte den verpflichteten Instituten zu mehr Klarheit verhelfen. Da der Fokus der AuA BT-Veröffentlichung(en) auf Kreditinstituten liegt, bleibt auch abzuwarten, ob gleichartige Anforderungen an Versicherungen und weitere Finanzmarktakteure mit Geldwäsche- und Sanktionsbezug gestellt werden.
Auch wenn die Einhaltung der Anforderungen aus den AuA BT 6 Zeit- und ressourcenintensiv für die Institute scheint: Sie helfen neben der Vermeidung von Feststellungen auch, das Fundament für eine dauerhaft hohe Qualität der Anti-Geldwäsche-, Sanktions- und Betrugsmechanismen sicherzustellen sowie langfristig robust auf neue Herausforderungen der Finanzkriminalität reagieren zu können.
Autoren:
Peter Schadt
Partner Deloitte / Financial Crime
Sebastian Hainzl
Senior Manager Deloitte / Financial Crime
| (Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Dann können Sie sich hier für unseren Newsletter anmelden – kostenlos und unverbindlich) |
Teil 2 der Serie zur KI-Governance in der Geldwäscheprävention
Der erste Teil dieser dreiteiligen Serie hat die Rolle der Zentralen Stelle und des Geldwäschebeauftragten (GWB) im Spannungsfeld von Technologieeinsatz, regulatorischer Verantwortung und menschlicher Letztverantwortung beleuchtet. Dabei wurde deutlich: Der Einsatz von KI kann zwar Prozesse beschleunigen, entbindet aber keinesfalls von der Haftung – im Gegenteil.
Der zweite Teil führt diese Analyse nun konsequent weiter: Es werden konkrete Haftungsszenarien beim Einsatz von KI in der Zentralen Stelle betrachtet und der Rechtsrahmen eingeordnet – von aktuellen Grundlagen über anstehende Regulierungen bis hin zu wissenschaftlichen Diskussionen. Zudem werden die Anforderungen an Kontrollhandlungen und die Dokumentation beschrieben, und praxisrelevante Leitplanken für die persönliche Haftungsvermeidung des GWB formuliert. Im Fokus steht dabei auch der Sonderfall agentenbasierter Systeme.
Die gegenwärtige Haftungsdogmatik in Deutschland und der EU folgt einer dreiteiligen Struktur, die auch auf KI-Systeme zunehmend Anwendung findet.
Hierbei wird geprüft, ob ein Akteur durch Verletzung einer Sorgfaltspflicht schuldhaft einen Schaden verursacht hat. Im KI-Kontext liegt das Risiko in:
Die Haftung trifft typischerweise:
Im Zivilrecht existiert kein allgemeines Gefährdungshaftungsregime für KI. Gleichwohl wird diskutiert, ob bestimmte KI-Systeme, insbesondere solche mit autonomem Verhalten, als latent gefährdend zu klassifizieren sind.
Gerade bei agentischer KI entsteht ein Zurechnungsdefizit, da deren Verhalten nicht mehr vollständig vorhersagbar ist. Die juristische Kritik erkennt darin ein haftungsrechtlich bedenkliches Maß an Kontrollverlust.
Software, also auch KI, fällt unter das Produkthaftungsrecht. Ein Produktfehler liegt z. B. vorbei:
Mit Blick auf agentenbasierte KI stellt sich ein neuartiges Problem: Wenn ein System durch eigenständiges Lernen („unsupervised“ oder „reinforcement learning“) ein Verhalten entwickelt, das nicht durch Entwickler oder Betreiber vorhergesehen wurde, droht eine „nichtsteuerbare Haftungslücke“. In der gegenwärtigen Rechtspraxis wird dies nur dann produktrechtlich sanktioniert, wenn nachgewiesen werden kann, dass das Unternehmen das System unzureichend kontrolliert oder gewartet hat.
Zu Haftungsfragen sind folgende Änderungen in Planung bzw. Vorbereitung:
Der AI Act verfolgt einen risikobasierten Ansatz. Systeme wie KI-gestütztes Transaktionsmonitoring oder Screening gelten in Verbindung mit den von Bundesbank und BaFin bereitgestellten Dokumenten zum Thema KI als potentielle „high-risk AI“. Betreiber müssen:
Agentenbasierte Systeme sind aufgrund ihrer adaptiven Zielverfolgung grundsätzlich als besonders risikobehaftet einzustufen. Je nach Kontext wären sie gemäß AI Act vollständig unzulässig oder äußerst streng reguliert.
Die Richtlinie sieht keine eigene Haftungsgrundlage vor, sondern regelt:
Für agentische KI bedeutet das: Wenn Unternehmen keine klaren Logs oder Entscheidungspfade liefern können, greift eine Beweislastumkehr. Der Schutz vor Haftung hängt direkt an der Fähigkeit, das Verhalten der KI zu rekonstruieren, was bei emergentem Verhalten kaum möglich sein wird.
Der Fehlerbegriff wird hier auf lernfähige Software erweitert. Hersteller haften auch bei:
Dies trifft agentische KI mit voller Wucht. Da das Verhalten teils nicht vorhergesagt, aber kausal auf Lernprozesse zurückgeführt werden kann, besteht ein erhöhtes Herstellerhaftungsrisiko, das auch auf Betreiber durchgreifen kann.
Seit den letzten Jahren findet sich eine zunehmende Anzahl an Fachartikeln und Buchpublikationen, die sich mit den Haftungslücken im Kontext von KI-Anwendungen befassen und Vorschläge unterbreiten, diese Lücken zu schließen. Drei Perspektiven sind hier führend:
Reyes fordert ein spezifisches Haftungsregime für KI, das Entscheidungsdesign und Trainingsverantwortung in den Mittelpunkt rückt. Für agentenbasierte KI schlägt er ein „responsibility-by-architecture“-Modell vor, bei dem Systemverantwortung normativ konstruiert wird, auch wenn keine individuelle Steuerung mehr vorliegt [Reyes, C.L., Autonomous Corporate Personhood, Washington Law Review, 2021, in Zusammenhang mit Reyes, C.L., Autonomous Business Reality, Nevada Law Journal, 2021].
Nissenbaum, Brey, betonen, dass strukturelle Verantwortung nur dann sichergestellt werden kann, wenn normative Prinzipien (z. B. Fairness, Erklärbarkeit, Datenschutz) von Anfang an systematisch in technische, organisatorische und soziale Prozesse integriert werden – nicht erst bei Vorfällen oder Haftungssituationen. Hierauf bauen vor allem die Standardisierungs- und Normierungs-Institutionen auf und leiten daraus eine Verantwortlichkeitsarchitektur bestehend aus Rollenmodellen, Verfahrensanweisungen und Kontrollrahmen ab. [Nissenbaum, H., Accountability for Privacy via Institutional Design, 2001; Brey, Ph., Ethics of Emerging Technologies, 2012; sowie weiter IEEE, Ethical Aspects of Autonomous and Intelligent Systems, 2019].
Teubnersieht in selbstreferenziellen Systemen wie agentischer KI ein „Rechtsvakuum“: Sie erzeugen Entscheidungen jenseits menschlicher Kontrolle, ohne selbst rechtsfähig zu sein. Er fordert eine funktionale Systemhaftung, bei der nicht mehr das Verhalten Einzelner, sondern das Design und die Reaktionen des gesamten Systems haftungsrechtlich relevant werden [Teubner, G. Recht als poietisches System, 1989, in Verbindung mit Beckers/Teubner, Digitale Aktanten, Hybride, Schwärme, 2024] .
| Erkenntnis | Implikation für die Zentrale Stelle |
| KI-Einsatz ist haftungsrechtlich zulässig, wenn Kontrolle, Nachvollziehbarkeit, menschliche Letztentscheidung sichergestellt sind. | Klassische KI-Systeme sind bei angemessener Governance beherrschbar. |
| Agentische KI erhöht das Risiko struktureller Kontroll- und Zurechnungsverluste. | Vollständiger operativer Einsatz ist derzeit nicht vertretbar. |
| Haftung kann nicht auf Systeme übertragen werden. | Verantwortung bleibt beim Menschen (GWB, Geschäftsleitung). |
| Einsatz nicht erklärbarer, nicht auditierbarer KI ist haftungsrechtlich fahrlässig. | Bei Schaden droht persönliche Inanspruchnahme. |
| Agentische KI ist aufsichtsrechtlich ausgeschlossen. | Solange dieser Ausschluss gilt, entfällt für GWB ein Teil der Haftungsexposition durch präventive Unzulässigkeit. |
Der GWB ist nach § 7 GwG in Verbindung mit § 25h KWG als verantwortliche Person für die institutsinterne Geldwäscheprävention benannt. Mit der Zuweisung dieser Rolle übernimmt er faktisch eine Organfunktion mit umfassender Sorgfalts-, Überwachungs- und Steuerungspflicht. Die Integration von KI-Systemen insbesondere zur Transaktionsüberwachung, Sanktionslistenprüfung oder Musteranalyse verändert nicht die Verantwortlichkeit, sondern verändert die Natur des Risikos: Aus operativ-beobachtbar wird technisch-vermittelt und potenziell intransparent.
Typische haftungsrelevante Szenarien:
Diese Szenarien sind vor allem unter §§ 130 OWiG (Organisationsverschulden), 823 BGB (Deliktshaftung) sowie bei Kapitalgesellschaften unter § 93 AktG / § 43 GmbHG (Pflichtverletzung von Organen) haftungsrelevant. Ein dabei besonders schwerwiegender Umstand ist die leider in der Praxis nicht seltene Verwechslung von Systemnutzung mit Verantwortungsdelegation. Der Einsatz eines Tools ersetzt keine eigene Prüfung.
Die persönliche Haftungsminimierung des GWB gelingt nicht durch Abwälzung, sondern ausschließlich durch nachweisbare, strukturierte und dokumentierte Governance. Rechtsprechung (vgl. BGH, NJW 2009, 3173) und Verwaltungspraxis (BaFin-Maßstäbe) verlangen ein Vorgehen, das sich an Risikokomplexität und Systemkritikalität orientiert.
Die zentrale Formel lautet: Je autonomer die Technologie, desto enger müssen Überwachung, Prüfung und Eskalationsfähigkeit organisiert sein. Zur „Enthaftung“ sind insbesondere folgende Maßnahmen erforderlich:
| Kontrollhandlung | Anforderungen |
| Systemprüfung vor Erstnutzung | Beteiligung an Auswahl, Risikoanalyse, Freigabe |
| Regelmäßige Validierung | Prüfzyklen zu Effektivität, Schwellenwerten, FP/FN-Verhalten |
| Plausibilitätsprüfung bei Alerts/Empfehlungen | Kein „Blindvertrauen“, menschliche Letztentscheidung |
| Dokumentation & Nachvollziehbarkeit | Schriftlich begründete Entscheidungen und (Nicht-)Eingriffe |
| Eskalation bei Fehlverhalten | Frühzeitige Einbindung der Geschäftsleitung/Aufsicht |
| Fortbildung | Nachweisbare Schulung zu KI-Funktionalitäten, Risiken |
Sonderfall agentenbasierte KI
Hier gilt: Der Einsatz in operativen Entscheidungsprozessen würde derzeit gegen aufsichtsrechtliche Prinzipien verstoßen. Der GWB darf sich daher auf regulatorische Unzulässigkeit berufen, um bereits im Vorfeld eine Enthaftung zu begründen – jedoch nur, wenn er aktiv darauf hingewirkt hat, dass solche Systeme nicht oder nur in nichtkritischen Anwendungsfeldern genutzt werden.
Dokumentations- und Validierungspflichten als Risikosenkungsinstrumente
Die Dokumentation ist das zentrale Verteidigungsinstrument des GWB im Haftungsfall. Dazu gehören:
In der Praxis empfiehlt sich die Führung eines „AI-Governance-Dossiers“ durch oder für den GWB, das alle KI-gestützten Compliance-Prozesse, deren Bewertung und deren Kontrollhistorie enthält. In Kombination mit einer Policy zur Eingriffs- und Eskalationsverantwortung kann dieses Dossier im Haftungsfall einen entscheidenden Unterschied machen.
Die Rolle des GWB im Zeitalter der KI
Die persönliche Haftung des GWB bleibt in vollem Umfang bestehen, auch wenn KI-Systeme in die operativen Prozesse der Zentralen Stelle eingebunden werden. Entscheidungsverlagerung ohne Kontrollausgleich führt nicht zu Entlastung, sondern zu Risiko. Die Haftung lässt sich nicht ausschließen, aber managen durch:
Die Zentrale Stelle darf KI einsetzen, aber nicht zur Flucht aus der Verantwortung, sondern als Werkzeug unter menschlicher Kontrolle. Alles andere wäre sowohl rechtlich als auch aufsichtsrechtlich nicht tragfähig.
Vorschau auf Teil 3
Der dritte Teil dieser Serie zeigt, welche organisatorischen und strukturellen Voraussetzungen notwendig sind, um KI rechtssicher und haftungsrobust in die Arbeit der Zentralen Stelle zu integrieren:
Der Autor:
Dirk Findeisen ist Managing Partner des Beratungs- und Technologieunternehmens msg Rethink Compliance. Er verfügt über mehr als 20 Jahre Erfahrung in den Bereichen Governance, Risk & Compliance (GRC), Datenmanagement, Advanced Analytics und Corporate Performance Management. Findeisen ist Autor zahlreicher Fach- und Buchbeiträge zum Thema Anti-Financial Crime Compliance, ein gefragter Referent auf Fachveranstaltungen und Dozent an mehreren deutschen Hochschulen.
dirk.findeisen@msg-compliane.com
Die Europäische Bankenaufsichtsbehörde (EBA) hat eine Stellungnahme zu den Risiken der Geldwäsche und Terrorismusfinanzierung (ML/TF) für den Finanzsektor der EU veröffentlicht. Die EBA sieht große Herausforderungen im Bereich AML, insbesondere in den Sektoren Krypto, FinTech und RegTech.
Die FATF hat einen praxisorientierten Leitfaden zu ihrem internationalen Bewertungsrahmen veröffentlicht, der die 40 Empfehlungen, die 11 Unmittelbaren Ergebnisse und die Bewertungskriterien der Organisation zusammenfasst. Der Leitfaden richtet sich an Compliance-Verantwortliche, Aufsichtsbehörden und politische Entscheidungsträger und deckt zentrale Themen von risikobasierten Ansätzen bis zur WB-Ermittlung ab. Laut FATF ist das Dokument eine unverzichtbare Ressource auch für Geldwäschebeauftragte.
Die BaFin hat bei dem Berliner Fintech N26 erneut teils gravierende Mängel in der Betrugsbekämpfung und beim internen Kontrollsystem festgestellt, woraufhin Investoren auf die Ablösung der Gründer Valentin Stalf und Maximilian Tayenthal drängen. Die BaFin droht mit weiteren Maßnahmen und erwägt Verwarnungen gegen Geschäftsleiter, da das Institut nach Einschätzung der Behörde nicht in der Lage sei, weiteres Kundenwachstum angemessen zu managen. Bereits 2021 hatte die BaFin wegen unzureichender Compliance-Strukturen eine Neukundenbegrenzung verhängt, die N26 nach eigenen Angaben Milliarden kostete.
Die vom Bundesfinanzministerium veröffentlichten statistischen Auswertungen zur Tätigkeit der Aufsichtsbehörden im Jahr 2024 zeigen eine bemerkenswerte Entwicklung: die Geldwäscheaufsicht wurde im letzten Jahr stark ausgeweitet. Diese Intensivierung betrifft sowohl die BaFin als auch die Aufsichtsbehörden der Länder.
BaFin verstärkt Präsenz und verhängt Rekordbußgelder
Bei der BaFin ist ein kontinuierlicher Personalaufbau zu beobachten. Mit 157 Vollzeitäquivalenten im Jahr 2024 ist die Personalstärke gegenüber 2020 um 57% gestiegen. Die personelle Verstärkung spiegelt sich unmittelbar in der Prüfungstätigkeit wider: Die Anzahl der Vor-Ort-Prüfungen nimmt seit 2020 kontinuierlich zu und stieg von 91 im Jahr 2023 auf 114 im Jahr 2024 – ein Plus von 25%.
Interessant ist die Entwicklung bei den Bußgeldern im Mehrjahresvergleich. Nach einem Höchststand von 254 Bußgeldern im Jahr 2022 (3,78 Mio. Euro) fiel die Anzahl 2023 auf einen historischen Tiefstand von nur 9 Bußgeldern (372.500 Euro). Im Jahr 2024 ist mit 42 verhängten Bußgeldern ein erneuter Anstieg zu beobachten. Die Gesamtsumme von über 19 Millionen Euro jedoch markiert einen absoluten Rekord. Betroffen waren hier u.a. die C24 Bank mit 1.250.000 Euro und die Commerzbank AG mit 1.450.000 Euro.
Dies bedeutet, dass die BaFin zwar seltener, aber bei Verstößen umso härter durchgreift – die durchschnittliche Bußgeldhöhe hat sich gegenüber allen Vorjahren vervielfacht. Diese Entwicklung unterstreicht den Trend zu gezielteren, aber empfindlicheren Sanktionen bei Verstößen gegen geldwäscherechtliche Pflichten.
Außerdem wurde erstmals seit 2017 eine Abberufung angeordnet. Welches Unternehmen hiervon betroffen war, und ob es sich um einen Geldwäschebeauftragten oder ein Mitglied der Geschäftsführung gehandelt hat, ist nicht bekannt.
Länderaufsicht: Mehr Prüfungen bei konstantem Personal
Die Aufsichtsbehörden im Nichtfinanzsektor, die insbesondere für Notare, Rechtsanwälte und Steuerberater zuständig sind, haben ihre Prüfungstätigkeit bei nahezu gleichbleibender Personalausstattung intensiviert. Die Vor-Ort-Prüfungen stiegen im Vergleich zu 2023 um rund 9% auf 3.398 im Jahr 2024. Damit wurde das höchste Prüfungsniveau der letzten fünf Jahre erreicht. Besonders markant ist der Anstieg bei Rechtsanwälten und Notaren. Hier stieg die Anzahl der sonstigen Prüfungsmaßnahmen auf 3.649, ein Plus von etwa 30% gegenüber dem Vorjahr.
Auch im Nichtfinanzsektor zeigt sich eine härtere Gangart: die Anzahl der Bußgelder stieg von 283 auf 345, die Bußgeldsumme erhöhte sich von rund 602.000 Euro auf über 951.000 Euro. Die sonstigen Maßnahmen gingen zurück, was auf eine stärkere Fokussierung auf Bußgelder hindeuten könnte.
Fazit für die Praxis
Die Zahlen für 2024 zeigen, sowohl die BaFin als auch die Aufsichtsbehörden im Nichtfinanzsektor haben ihre Aufsichtsintensität erhöht und greifen bei festgestellten Verstößen härter durch. Für Geldwäschebeauftragte, aber auch für die Geschäftsführung bedeutet das mehr Druck. Fehler bei der Pflichterfüllung können erheblich zu Buche schlagen. Wer die gestiegenen Anforderungen nicht ernst nimmt, muss mit empfindlichen Konsequenzen rechnen. Die Investition in ein robustes Geldwäsche-Compliance-System ist daher nicht nur rechtlich geboten, sondern auch wirtschaftlich erheblich.
Insgesamt verdeutlichen die Zahlen: Aufsichtsbehörden setzen zunehmend auf Qualität und Schärfe statt auf Quantität. Verpflichtete Institute und Berufsträger sollten diese Entwicklung als Warnsignal verstehen und ihre internen Kontrollsysteme konsequent stärken, um empfindliche Sanktionen zu vermeiden.
Die gemeinsamen Auslegungs- und Anwendungshinweise der Länder für Güterhändler, Immobilienmakler und Nichtfinanzunternehmen wurden in überarbeiteter Form veröffentlicht. Außerdem wurden einige Merkblätter und Dokumentationsbögen aktualisiert. Hier finden Sie außerdem noch die alte Fassung zum Vergleich.
Die BaFin hat gegenüber der TEN31 Bank AG angeordnet, dass die ordnungsgemäße Geschäftsorganisation sichergestellt werden soll. Hintergrund sind u.a. schwerwiegende Mängel bei der Durchführung von Risikobewertungen und der Abklärung von wirtschaftlich Berechtigten.
Am 20. November 2025 findet die siebte Fachtagung der BaFin zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung in Frankfurt am Main statt. Nähere Informationen zum Programm sind hier zu finden. Bis zum 5. September 2025 können sich Vertreter:innen von Verpflichteten und Verbänden zur Teilnahme anmelden.
Der Zahlungsdienstleister Payone sieht sich nach Recherchen des Spiegel Vorwürfen ausgesetzt, systematisch mit Hochrisikokunden aus der Dating-, Pornografie- und Online-Casino-Branche zusammengearbeitet und dabei gesetzliche Vorgaben zur Geldwäscheprävention missachtet zu haben. Außerdem hat Payone offenbar einige zweifelhafte Kunden aus dem Wirecard Portfolio übernommen. Die BaFin hatte bereits im Juli 2023 wegen „hoher Geldwäscherisiken und gravierender Defizite in der Geldwäscheprävention“ ein Transaktions- und Neukundenverbot für bestimmte Geschäftskunden verhängt.
Die BaFin hat eine Allgemeinverfügung erlassen, mit der sie im Geldwäschegesetz ermöglichte Freistellungen zurücknimmt. Die Änderungen werden zum 10. Juli 2027 wirksam.
Das Verwaltungsgericht Ansbach hat sich in einer aktuellen Entscheidung zu der Frage geäußert, ob die namentliche oder auch anonymisierte Veröffentlichung einer bestandskräftigen Maßnahme wegen Verstoßes gegen das GwG einen Eingriff in die Grundrechte darstellt.
Geklagt hatte eine Juwelierin, die zwischen 2013 und 2014 mehrere Luxusuhren in bar verkaufte. Das Bargeld wurde später als möglicherweise aus Geldwäsche stammend angesehen. Im Juni 2022 leitete die zuständige Behörde ein Verfahren zur Einziehung möglicher Taterträge nach § 29a OWiG ein.
Nach § 57 Abs. 1 GwG musste die Behörde diese Maßnahme öffentlich auf ihrer Website veröffentlichen („Internetpranger“), was sie zunächst in namentlicher Nennung der Klägerin tat. Auf Verlangen wurde Anfang 2023 auf eine anonymisierte Veröffentlichung umgestellt.
Das Gericht stellte nun fest, dass die Maßnahme keine grundlegenden Menschenrechte verletze und sie verhältnismäßig und zulässig ist, da die behauptete Unternehmens- oder Existenzgefährdung nicht konkret belegt werden konnte, keine erniedrigende Wirkung vorliegt und die gesetzgeberische Vorgaben eingehalten wurden.
Die BaFin hat ihre 10 Strategischen Ziele 2026 bis 2029 vorgestellt. Damit möchte die Finanzaufsicht ihre Prioritäten festlegen und definiert damit risikoorientiert, auf welche Themen die Ressourcen der Behörde in den kommenden Jahren konzentriert werden sollen.
Unter den Zielen ist auch die Prävention von Geldwäsche und Terrorismusfinanzierung. Dabei soll die Aufsicht insgesamt intensiviert und Prüfungen verstärkt werden, insb. in den Bereichen Zahlungsverkehr und Krypto.
Seit dem 1. Juli 2025 ist die EU-Anti-Money-Laundering-Authority (AMLA) voll operational und hat den Kryptosektor zu einem ihrer Top-Prioritäten erklärt. Innerhalb ihres 2025‑Arbeitsprogramms fordert die Behörde, dass Crypto-Asset Service Providers (CASPs) von Anfang an strikte AML/CTF-Maßnahmen implementieren.
Geldwäsche und Terrorismusfinanzierung gehören zu den größten Herausforderungen unserer Zeit. Die entsprechenden Handlungen und Transaktionen finden im Verborgenen statt und wirken sich währenddessen nicht unerheblich auf Sicherheit, Wirtschaft und Gesellschaft aus. Als wesentliches Element der Verschleierung stand bis vor nicht allzu langer Zeit Bargeld exklusiv im Mittelpunkt. Im Zuge der Digitalisierung haben sich die Umstände jedoch radikal verändert. Zunehmend rücken Kryptowährungen, wie beispielsweise Bitcoin, in den Vordergrund. Die zugrunde liegende technische Basis ist die Blockchain-Technologie. Diese fußt wiederum auf einem dezentralen Netzwerk, dem sich grundsätzlich jeder mit Hilfe eines geeigneten Rechners und eines Software-Clients anschließen kann. Die Identität der einzelnen Teilnehmer ist dem Netzwerk insgesamt bzw. den Teilnehmern untereinander nicht bekannt. Diese an Anonymität grenzende Pseudonymität eröffnet völlig neue Möglichkeiten des konspirativen Handelns. Auch gibt es weder eine zentrale Instanz noch einen zentralen Ablageort für die generierten Daten. Ganz im Gegenteil: Jeder Netzwerteilnehmer verfügt jeweils über eine eigene Kopie der vollständigen Blockchain, das heißt, sie ist öffentlich einsehbar und wird auf den Rechnern der Teilnehmer dauerhaft vorgehalten. Mit Blick auf strafrechtliche Ermittlungen zu Geldwäsche und Terrorismusfinanzierung bietet sich hier in Form von Open Source Intelligence (OSINT) die Möglichkeit zur strukturierten Auswertung dieser frei zugänglichen (digitalen) Informationen.
Studie zum Einsatz von Open Source Intelligence (OSINT)
In unserer zunehmend digitalisierten Welt ist mit dem Internet ein globaler, digitaler Raum ohne physisch wahrnehmbare Grenzen geschaffen worden. Hier lassen sich nicht nur Angebot und Nachfrage für illegale Güter und Dienstleistungen unter den günstigen Rahmenbedingungen einer erschwerten Strafverfolgung zusammenführen. Auch Geldwäsche lässt sich auf viele Arten, über Wallets, Kryptobörsen oder NFT-Handelsplattformen, verschleiern. Spenden für Terrorgruppen können fast mühelos über öffentlich geteilte Wallet-Adressen akquiriert werden.
Offizielle Statistiken blenden all diese Aspekte bislang weitgehend aus und es ergibt sich eine massive Datenlücke, die ein enormes Dunkelfeld hinterlässt. In der Konsequenz weisen die Schätzungen zum Umfang von Geldwäsche in Deutschland ein breites Spektrum auf. Dieses reicht von 29 Milliarden bis über 100 Milliarden Euro jährlich. Welche Rolle Kryptowerte dabei bereits heute spielen, ist bisher jedoch kaum belastbar belegt. Aus diesem Grund hat sich das EU-geförderte Forschungsprojekt G.E.K.O des Jean Monnet Centre of Excellence Crime Investigations and Criminal Justice(CCICJ) an der Hochschule für Öffentliche Verwaltung Bremen im Rahmen einer Studie mit der Rolle von Kryptowerten und dem Nutzen von Open Source Intelligence (OSINT) bei der Ermittlungsarbeit an Geldwäsche und Terrorismusfinanzierung befasst – mit aufschlussreichen Ergebnissen.
Möglichkeiten der (schönen) neuen digitalen Welt
Das Potenzial von OSINT liegt in der schnellen und grenzüberschreitenden Informationsgewinnung bei zugleich kostengünstiger Ermittlungsarbeit. Im Optimalfall kann mittels Verknüpfung bestimmter öffentlich verfügbarer Informationsfragmente vom Bekannten auf das Unbekannte geschlossen werden. Blockchain-Analysen, Social-Media-Auswertungen oder auch Darknet-Recherchen eröffnen daher neue Ermittlungs- und Präventionsansätze. Im Fall von Blockchain-Analysen rücken Bitcoin-Transaktionen sowie die involvierten Bitcoin-Adressen in den Fokus. Die Zahlung mit Bitcoin verläuft pseudonym, das heißt, es findet kein Austausch zwischen Sender und Empfänger statt, sondern die Inhaberschaft von Bitcoin-Einheiten wird einer anderen Bitcoin-Adresse zugeordnet. Diese Veränderungen in der Zuordnung von Inhaberschaften werden bei der Blockchain-Technologie wiederum als eine Art Datenbankeintrag in der jeweils zugrunde liegenden Blockchain dauerhaft und unveränderbar dokumentiert. Bei entsprechend strafrechtlich motivierten Analysemethoden wäre deshalb in der Transaktionshistorie der Bitcoin-Blockchain nach möglichen Endpunkten mit idealerweise durchgeführten KYC-Prozessen zu suchen, um eine Verbindung zwischen den handelnden Individuen und den dabei von ihnen gesteuerten Adressen herzustellen. Die Daten der Blockchain müssen folglich zwingend mit Daten außerhalb der Blockchain in Beziehung gesetzt werden. Dies wäre beispielsweise im Zusammenspiel mit einer geeigneten Social-Media-Auswertung möglich. So könnten sich Foren-Nutzer und deren Bitcoin-Adressen in Zusammenhang mit Bitcoin-Transaktionen bringen lassen, sofern diese womöglich öffentlich zur Unterstützung von strafrechtlich relevanten Aktionen aufrufen und zugleich eine Spende an bestimmte Bitcoin-Adressen erbitten. Hier bietet unter Umständen die bei der Registrierung für das Forum angegebene E-Mail-Adresse einen Ansatzpunkt für die Feststellung der Identität des Nutzers.
Anwendungsbereich ist nicht auf strafrechtliche Ermittlungen beschränkt
Auch den globalen Geldwäscheaktivitäten wird sich künftig angesichts der Pseudonymität der Blockchain-Technologie nicht ohne Fähigkeit zur Analyse von Transaktionsdaten einer Blockchain entgegentreten lassen. Somit weist OSINT auch Relevanz für Compliance und Geldwäscheprävention auf.
Verpflichtete nach dem GwG haben ein breites Spektrum an Anforderungen zu erfüllen. Ihr Risikomanagement soll mit Hilfe entsprechender Analysen und interner Sicherungsmaßnahmen die individuellen Risiken für Geldwäsche und Terrorismusfinanzierung steuern, wobei die konkrete Ausgestaltung dem Verpflichteten überlassen bleibt. Die grundsätzliche Pseudonymität der Blockchain-Technologie und ihrer Nutzer sowie das damit einhergehende Potenzial für undurchsichtiges Handeln im Rahmen von Transfers dürften zweifelsfrei ein Risiko darstellen, dem auf geeignete Art und Weise entgegenzutreten ist. Infolgedessen könnten im Zuge der Aufnahme von neuen Geschäftsbeziehungen künftig entsprechende KYC-Prozesse möglicherweise auch die Prüfung bestehender Verbindungen zwischen Personen und sanktionierten Wallets umfassen (müssen). Hierbei könnten dann bestimmte Werkzeuge, wie beispielsweiseMaltego oder DataWalk, zum Einsatz kommen, bei denen die Visualisierung und Analyse von Beziehungen und Verbindungen zwischen Informationsfragmenten automatisiert erfolgt. Es wäre indes je nach Relevanz abzuwägen, ob ein entsprechendes Budget für Dienstleister einzuplanen oder am Ende die entsprechende Expertise im Unternehmen aufzubauen und vorzuhalten ist. Am Ende gilt es demnach herauszufinden, wie umfangreich die Maßnahmen aus Compliance-Perspektive sein sollten.
Wachsender Bedarf
In der genannten Studie des CCICJ bewerten die Strafverfolgungsbehörden die Bedeutung von OSINT beispielsweise mit 4,5 von 5 Punkten und weisen auf das Potenzial für strafrechtliche Ermittlungen, Compliance und Geldwäscheprävention hin. Effizienz und Geschwindigkeit von Präventions- und Ermittlungsarbeit ließen sich durch die Einbindung von OSINT offenbar steigern.
Die Kehrseite der Medaille: Der Rückgriff auf Datenbanken zu bereits analysierten Bitcoin-Transaktionen der Vergangenheit bei entsprechend spezialisierten Dienstleistern ist kostenpflichtig. Der Aufbau solcher Datenbanken wäre den Ermittlungsbehörden auf Basis der bekannten Vorgehensweise hingegen grundsätzlich auch eigenständig möglich.
Die Studie kommt zu einer klaren Schlussfolgerung: Bereits für den generellen OSINT-Einsatz fehlt es sowohl an spezialisierten Fachkräften als auch an geeigneten Werkzeugen. Die eingesetzten Werkzeuge und auch das Schulungsangebot sind bei den Ermittlungsbehörden uneinheitlich oder unzureichend standardisiert. Auch existieren keine zentralen Analyse-Hubs oder lizenzfinanzierte Schwerpunktstellen für ressourcenintensive Tools. Der Status quo offenbart: In Zukunft muss es weniger isolierte Zuständigkeiten, eine zunehmende arbeitsteilige Spezialisierung, moderne Technik und ein koordiniertes Vorgehen geben.
Ausblick
Es liegt nahe, dass nur der vertraute Umgang mit technischen Neuerungen der digitalen Welt dazu führen kann, dass sich ein Verständnis für die Ursachen von Straftaten oder Compliance- und Geldwäscherisiken ausbildet. Exemplarisch sei an dieser Stelle auf Phänomene wie das Wash-Trading verwiesen. Hierbei werden im Zusammenhang mit Non-Fungible Token (NFT) deren Handelsvolumen und Marktpreis künstlich erhöht, indem ein Nutzer zahlreiche Verkäufe zwischen eigenen Wallets bei verschiedenen Handelsplattformen vornimmt, um den Eindruck einer hohen Nachfrage zu erwecken. Auf diesem Wege könnte inkriminierte Kryptowährung entlang einer Kette von Transaktionen investiert, kumuliert und letztendlich als legal wirkender Spekulationsgewinn ausgewiesen werden. Nur das Wissen darüber, dass eine Analyse von Blockchain-Daten etwaige vorhandene Muster des Wash-Tradings erkennen bzw. eine indirekte Verbindung von Verkäufer und Käufer aufdecken könnte, ermöglicht die Entwicklung geeigneter Präventionsmaßnahmen für das eigene Geschäftsmodell.
Sowohl Strafverfolgungsbehörden als auch Verantwortliche in den Bereichen Compliance und Geldwäscheprävention werden geeignete Maßnahmen für die neuen Herausforderungen im digitalen Raum finden müssen. Ohne strategischen Ausbau von Technik und Personal sowie die Schaffung geeigneter rechtlicher Rahmenbedingungen werden Behörden und Unternehmen der Dynamik digitaler Finanzkriminalität offenkundig nicht ohne Weiteres standhalten können.
Der Autor:
Dipl.-Kfm. Christian Bliesener, LL.B., CFE, ist Compliance Officer bei der wpd GmbH. Lehrbeauftragter an der Hochschule für Öffentliche Verwaltung Bremen. Mitglied im Jean Monnet Exzellenzzentrum für Strafrechtliche Ermittlungen und Strafjustiz (CCICJ). Praxiserfahrung durch Tätigkeiten als behördlicher Ermittler, Auditor und Compliance Officer.
Mit Wiederinkrafttreten internationaler Sanktionen gegen den Iran warnt die BaFin vor verstärkten Versuchen zur Umgehung durch alternative Strukturen und Kryptotransfers. Verpflichtete nach dem Geldwäschegesetz müssen bei Hinweisen auf Umgehungsgeschäfte verstärkte Sorgfaltspflichten gemäß § 15 GwG anwenden.
Die BaFin hat am 02. Juli 2025 eine neue Version Ihrer Auslegungs- und Anwendungshinweise zum Geldwäschegesetz (GwG) veröffentlicht. Einzige Änderung ist eine Ergänzung bzgl. des neuen digitalen Anzeigeverfahrens zur Meldung von Geldwäschebeauftragten.
Die BaFin hat im April 2025 wegen schwerwiegender Mängel in der Geldwäscheprävention mehrere Maßnahmen gegen die AKBANK AG angeordnet. Dazu zählen die Bestellung eines Sonderbeauftragten, der die Umsetzung der aufsichtsrechtlichen Vorgaben überwacht, sowie eine erhöhte Anforderung an die Eigenmittel der Bank. Zudem wurde ein Bußgeld in Höhe von 432.500 Euro verhängt, unter anderem wegen Verstößen gegen das Geldwäschegesetz. In diesem Zusammenhang stellte die BaFin Defizite bei der personellen Ausstattung der Geldwäschebeauftragten-Funktion, der Durchführung der kundenbezogenen Sorgfaltspflichten sowie dem EDV-Monitoring fest.
Im Skandal um eine betrügerische 100 Millionen Euro Überweisung kommen immer mehr Details ans Licht. Nach einem Bericht des Handelsblatts soll es vom AML-Dienstleister der Volksbank Düsseldorf Neuss mehrere Warnungen im Vorfeld gegeben haben, die jedoch ignoriert wurden.
Die BaFin hat Ende November ihre Auslegungs- und Anwendungshinweise Allgemeiner Teil (AuA AT) zum Geldwäschegesetz in aktualisierter Form auf ihrer Webseite veröffentlicht. Neben verschiedenen Konkretisierungen erfolgten auch Anpassungen, beispielsweise zu den Aktualisierungsfristen gemäß § 10 Absatz 1 Nr. 5 Geldwäschegesetz (GwG).
Die AuA AuA AT gelten ab dem 1. Februar 2025.
Das Oberlandesgericht Frankfurt hat in einer kürzlich veröffentlichten Entscheidung die Rechtmäßigkeit einer Geldwäscheverdachtsmeldung bestätigt, die eine Bank gegen einen ehemaligen Aufsichtsratsvorsitzenden einer Aktiengesellschaft erstattet hatte. Danach ist die Bank dem Kläger nicht zum Ersatz materieller oder immaterieller Schäden verpflichtet, die diesem infolge der Geldwäscheverdachtsmeldung entstanden sind.
Der Kläger, ehemaliger Aufsichtsratsvorsitzender einer Aktiengesellschaft (X AG) und Kontobevollmächtigter seiner Ehefrau, verkaufte am 23. Juni 2020 eine große Anzahl von Aktien der X AG. Dies geschah auf dringenden Rat der Bank, da die Aktien zur Besicherung einer Kreditlinie dienten und eine Neubewertung stattgefunden hatte.
Kurz nach dem Verkauf meldete die X AG Insolvenz an, was zu einem erheblichen Kursverfall der Aktien führte. Am 16. Juli 2020 erstattete die Bank eine Geldwäscheverdachtsmeldung an die Zentralstelle für Finanztransaktionsuntersuchungen (FIU).
In der Folge wurde der Umstand der Meldung in der Presse thematisiert. Der Kläger forderte daher von der Bank Schadensersatz, da die Berichterstattung seinen Kredit gefährdet habe und sonstige Nachteile für seinen Erwerb oder Fortkommen herbeiführte.
Das Gericht stellte fest, dass die Verdachtsmeldung auf Tatsachen beruhte, die objektiv einen Verdacht rechtfertigten. Dazu gehörten die zeitliche Nähe des Aktienverkaufs zur Veröffentlichung der Insolvenz der X AG, die Position des Klägers als ehemaliger Aufsichtsratsvorsitzender und die ungewöhnliche Höhe der Transaktion. Diese Umstände rechtfertigten den Verdacht auf Insiderhandel und damit die Meldung.
Die Richter betonten, dass sie Meldepflicht nach § 43 GwG und die Haftungsfreistellung nach § 48 Abs. 1 GwG grundsätzlich weit auszulegen sind, da die Beurteilung, wann Umstände so ungewöhnlich oder auffällig sind, nicht klar zu bestimmen seien. Auch wenn den Verpflichteten ein Beurteilungsspielraum zustehe, verblieben erhebliche Unsicherheiten. Andererseits werde durch die Meldepflicht eine Steigerung des Verdachtsmeldeaufkommens bezweckt und die Verpflichteten sollen zur Abgabe von Verdachtsmeldungen motiviert werden.
Ein (grob fahrlässiges) Fehlverhalten der Bank liege nicht vor. Die Bank hat die ihr zugänglichen Informationen bezüglich der gegenständlichen Transaktion umfassend zusammenzutragen und aufzubereiten. Sie hat Details zu der Abgabe der Verkaufsorder geschildert sowie den Verlauf der Depotführung und Kreditaufnahme und dies mit Informationen zum persönlichen Hintergrund des Klägers ergänzt.
Die Stärkung der Haftungsfreistellung nach § 48 GwG ist zu begrüßen. Zuletzt hatten die Frankfurter Richter in einem anderen Fall noch gegenteilige Signale gesendet.
Die aktuelle Entscheidung des OLG Frankfurt gibt wichtige Implikationen für die Praxis der Geldwäschebeauftragten. Es verdeutlicht, dass Banken bei der Erstattung von Verdachtsmeldungen auf der sicheren Seite sind, solange sie nach bestem Wissen und Gewissen handeln. Die Entscheidung stärkt den Schutz von Banken und deren Beschäftigten vor Haftungsansprüchen und unterstreicht die Bedeutung eines unverzüglichen und tatsachenorientierten Verdachtsmeldewesens.
Die Finanzaufsicht BaFin hat angeordnet, dass die Solaris SE Mängel beseitigen muss. Mehrere Prüfungen hatten Defizite in der Geldwäscheprävention, im Meldewesen, im Auslagerungsmanagement und in der IT ergeben. Bereits im Frühjahr 2024 hatte die BaFin eine ähnliche Anordnung gegen die Solaris SE bekannt gemacht.
Darüber hinaus hat die BaFin das Mandat des Sonderbeauftragten verlängert, den sie am 16. Dezember 2022 bestellt hatte.
| (Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Hier gehts zu unserem Newsletter) |
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat ein Rekordbußgeld in Höhe von 9,2 Millionen Euro gegen die N26 Bank AG verhängt. Diese Maßnahme, die am 21. Mai 2024 bekannt wurde, resultierte aus schwerwiegenden Mängeln in den Bereichen Geldwäscheprävention und Risikomanagement. Der Grund: Die BaFin hatte festgestellt, dass das Institut im Jahr 2022 systematisch Geldwäscheverdachtsmeldungen verspätet abgegeben hat.
Die N26 Bank AG, eine der führenden Neobanken in Deutschland, ist seit Jahren im Visier der BaFin. Bereits 2021 wurden erste Maßnahmen gegen die Bank ergriffen, um Mängel in der Geldwäscheprävention zu beheben. Besonders hervor stach das damals gegen die Smartphonebank verhängte Bußgeld in Höhe von 4.250.000 Euro. Es handelte sich damals um das bislang höchste Bußgeld der BaFin für Verstöße gegen Geldwäschevorschriften.
Trotz dieser Auflagen konnte N26 die festgestellten Defizite nicht vollständig beseitigen, was zu der erneuten und diesmal noch drastischeren Intervention der Aufsichtsbehörde führte.
Die jüngste BaFin-Verfügung vom 21. Mai 2024 zeigt, dass die N26 Bank AG weiterhin erhebliche Mängel in ihrem internen Kontrollsystem aufweist. Dies betrifft insbesondere die Identifizierung und Überwachung verdächtiger Transaktionen. So kam es im Jahr 2022 wiederholt zu verspätet abgegebenen Verdachtsmeldungen, was von der Aufsicht als schwerwiegender und systematischer Verstoß eingestuft wurde.
| (Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Hier gehts zu unserem Newsletter) |
Die BaFin hat gegen die SOFORT GmbH eine Geldbuße in Höhe von 150.000 Euro festgesetzt. Grund waren Mängel in der Geldwäscheprävention.
Die Feststellungen betrafen die Aufsichts- und Kontrollmaßnahmen der Gesellschaft. Das Unternehmen erfüllte hierbei nicht die Pflichten zur kontinuierlichen Überwachung von Geschäftsbeziehungen. Auch bei der Identifizierung ihrer Vertragspartner wurden Fehler festgestellt.
Das Bundesministerium der Finanzen hat seine Auswertungen zur Aufsichtstätigkeit der Aufsichtsbehörden 2022 veröffentlicht.
Neue Behörden, mehr Zusammenarbeit, mehr Daten – Das neue Finanzkriminalitätsbekämpfungsgesetz (FKBG) soll die Effektivität der Geldwäschebekämpfung in Deutschland verbessern. In diesem Blogbeitrag werden die wichtigsten Punkte dieses Gesetzesentwurfs zusammengefasst und die Auswirkungen auf Geldwäschebeauftragte erörtert. Das Bundesministerium der Finanzen (BMF) hat Mitte September den Entwurf eines Gesetzes zur Verbesserung der Bekämpfung von Finanzkriminalität (Finanzkriminalitätsbekämpfungsgesetz – FKBG) veröffentlicht. Der Entwurf umfasst über 200 Seiten. Viele Regelungen sollen bereits zum 01. Januar 2024 wirksam werden.(Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Hier gehts zu unserem Newsletter)
Der Gesetzesentwurf ist eine Reaktion auf die Empfehlungen der Financial Action Task Force (FATF) und die Ergebnisse der Deutschlandprüfung im Jahr 2022. Dabei wurde Deutschland u.a. für die unzureichende Bekämpfung von Geldwäsche und die mangelnde Zusammenarbeit zwischen Strafverfolgungsbehörden kritisiert. Der FKBG zielt darauf ab, diese Schwächen zu beheben und die Geldwäschebekämpfung zu intensivieren.
Kerninhalt des Gesetzentwurfs sind Regelungen zur Errichtung des neuen Bundesamtes zur Bekämpfung von Finanzkriminalität (BBF). Darüber hinaus enthält er notwendige fachgesetzliche Anpassungen u. a. im Bereich der Geldwäscheaufsicht und Sanktionen. Schließlich werden auch Bestimmungen für die Einrichtung eines Immobilientransaktionsregisters getroffen.
Erste Details zum neuen BBF waren bereits im Sommer 2023 durchgesickert. Zentrale Aufgabe der neuen Behörde ist die Zusammenführung von Analyse, straf- und verwaltungsrechtlichen Ermittlungen und der Aufsicht im Geldwäschebereich. All diese Bereichen sollen unter einem Dach im Sinne eines „ganzheitlichen Ansatzes“ vereint werden.
Das BBF selbst besteht aus mehreren Einheiten, die sich um verschiedene Belange der Geldwäschebekämpfung kümmern sollen. Diese Einheiten sind mit eigenen gesetzlichen Befugnissen ausgestattet und damit eigenständige Behörden. Dies bedeutet im Wesentlichen, dass diese Einheiten selbstständig Aufsichtsmaßnahmen durchführen können.
Zur Verfolgung von bedeutsamen Fällen der internationalen Geldwäsche mit Bezug zum Inland soll das neue Ermittlungszentrum Geldwäsche (EZG) geschaffen werden. Das EZG soll dabei dieselben Befugnisse bei Ermittlungen haben wie Behörden und Bedienstete des Polizeidienstes nach der Strafprozessordnung (StPO). Die mit den konkreten Ermittlungen betrauten Bedienstete gelten als Ermittlungspersonen der Staatsanwaltschaft.
Ebenfalls unter dem Dach des BBF wird die neue Zentralstelle für Geldwäscheaufsicht (ZfG) angesiedelt. Hauptaufgabe der ZfG wird die Koordinierung und Unterstützung der Aufsichtsbehörden sein. Deren Zuständigkeiten bleiben jedoch unberührt. Hierzu gehört insb. die Unterstützung der Aufsichtsbehörden bei der Erstellung, Harmonisierung und Aktualisierung von Auslegungs- und Anwendungshinweise zum Geldwäschegesetz (AuA). Auch wird die ZfG in eigenen Leitlinien Vorgaben für eine einheitliche Aufsicht machen.
Die ZfG wird zudem die Zusammenarbeit und den Informationsaustausch mit der neuen EU-Geldwäscheaufsichtsbehörde AMLA für Deutschland koordinieren.
Im Zuge der Neuschaffung der ZfG soll auch die geldwäscherechtliche Aufsicht über Notare von den Landgerichten auf die Oberlandesgerichte verlagert werden.
Zusätzlich zu den neuen Behördeneinheiten kommen zwei bekannte Behörden mit unter das Dach des BBF.
Zum einen soll die noch junge Zentralstelle für Sanktionsdurchsetzung (ZfS) beim BBF eine neue Heimat finden.
Zum anderen wird die Financial Intelligence Unit (FIU) in ihrer jetzigen Form eingegliedert und eng mit den anderen Einheiten verzahnt. Sie behält dabei ihre derzeitigen Befugnisse.
Zukünftig soll die FIU den risikobasierten Ansatz bei ihrer Arbeit berücksichtigen. Dies geht aus dem Regierungsentwurf eines Gesetzes zur Stärkung der risikobasierten Arbeitsweise der Zentralstelle für Finanztransaktionsuntersuchungen hervor. Hierzu soll es dann im Geldwäschegesetz heißen:
„Bei der Wahrnehmung ihrer Aufgaben folgt die Zentralstelle für Finanztransaktionsuntersuchungen einem risikobasierten Ansatz.“
Ziel ist eine effizientere Filterung und Auswahl der Meldungen, die dann analysiert werden. Bisher arbeitet die FIU zwar auch schon nach eigenen risikobasierten Grundsätzen, diese Vorgehensweise wurde jedoch teilweise als nicht rechtskonform kritisiert. Durch die geplante Gesetzesänderung soll die FIU nun eine rechtssichere Grundlage für dieser Vorgehensweise bekommen.
Bei der Anwendung des risikobasierten Ansatzes darf die FIU automatisierte Verfahren einsetzen. Diese automatisierten Systeme dürfen aber nicht eigenständig Gefährlichkeitsaussagen über Personen treffen. Solche Einschätzungen müssen immer durch Mitarbeiter der FIU vorgenommen werden.
Für mehr Transparenz soll die Einführung eines elektronischen Immobilientransaktionsregisters sorgen. Notare und Gerichte werden zukünftig verpflichtet, die hierfür notwendigen Daten zuliefern. Spätestens ab 1. Januar 2026 sollen die ersten Behörden die Möglichkeit erhalten, Daten aus diesem Register abzurufen. Das Register wird beim BBF angesiedelt sein.
In dem Register sollen die Daten, die aus den elektronischen Veräußerungsanzeigen nach § 18 Abs. 1, 2 GrEStG resultieren und bei denen der Kaufpreis mehr als EUR 100.000 beträgt, einfließen. Ziel ist es, einen volldigitalen Zugriff auf Immobilientransaktionsdaten zu ermöglichen, um Geldwäsche im Immobilienbereich besser bekämpfen zu können.
Neben diesen Neuerungen sind noch weitere Änderungen im Geldwäschegesetz geplant:
Auch die Bestimmungen zum Transparenzregister sollen überarbeitet werden:
Die meisten Neuerungen des FKBG betreffen das neue BBF und das Transparenzregister. Somit ergibt sich für die Arbeit der Geldwäschebeauftragten kaum Handlungsbedarf. Inwieweit die Reform langfristig zu spürbaren Veränderungen führen wird, kann derzeit kaum abgeschätzt werden.
Folgende Punkte sollten dennoch von Geldwäschebeauftragten beachtet werden:
Die Gesetzesentwürfe versprechen viel. Hochspezialisierte Einheiten, umfangreiche Zusammenarbeit der Aufsichten und mehr Informationen zu Immobiliengeschäften – das alle mutet auf den ersten Blick schlagkräftig und konsequent an. Woher all die Fachkräfte für diese anspruchsvollen Aufgaben in den nächsten Jahren herkommen sollen, ist jedoch völlig unklar.
Zusätzlich zum BBF soll ja zeitgleich die neue EU-Geldwäscheaufsicht AMLA ihre Arbeit aufnehmen. Hier ist es von entscheidender Bedeutung, dass Koordinierung und Kommunikation reibungsfrei funktionieren, insb. wenn es um die geplanten Leitlinien geht.
Darüber hinaus bleibt das Bundeskriminalamt (BKA) auch weiterhin zuständig für das Thema Geldwäsche. Die genaue Abgrenzung bzw. die Kriterien für die Zusammenarbeit mit dem neuen BBF fehlen. Es stellt sich daher die Frage, wozu hier „auf der grünen Wiese“ eine ganze Reihe an neuen Behörden geschaffen wird, wenn die Kompetenz doch bereits vorhanden ist. Zumindest hätte man sich den ganzen Verwaltungsapparat sparen können. Die Steuerzahler wären dankbar gewesen.
Wie effektiv die neuen Behörden und Mechanismen am Ende arbeiten werden, kann heute niemand sicher sagen. Klar ist aber, das Bürokratiemonster wächst weiter! Die Regelungen für die Verpflichteten werden immer formalistischer und komplexer.
Mittlerweile existiert eine ganze Dienstleistungsbranche zum Thema Geldwäsche. Juristen, IT-Experten und Unternehmensberater werden gebraucht, um dem ganzen Wust an Vorschriften Herr zu werden. Der Druck auf die Geldwäschebeauftragten steigt weiter. Die Angst etwas falsch zu machen, führt zu immer mehr Verdachtsmeldungen, die am Ende niemanden weiterbringen.
Ein Innehalten wäre dringend nötig. Behörden und Verpflichtete sollten gemeinsame Lösungen suchen, statt nur wie Lehrer und Schüler miteinander zu sprechen. Nur so kann der Fokus wieder auf die Effektivität der Geldwäschebekämpfung gelenkt werden.
| (Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Hier gehts zu unserem Newsletter) |
Am 7. Dezember 2023 findet die fünfte Fachtagung der BaFin zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung in digitaler Form statt. Nähere Informationen zum Programm sind hier zu finden. Bis zum 12. Oktober 2023 können sich Vertreter von Verpflichteten und Verbänden zur Teilnahme anmelden.
| (Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Hier gehts zu unserem Newsletter) |
Die Pflichten des Geldwäschegesetzes (GwG) treffen viele Organisationen in Deutschland. Von Banken über Immobilienmakler bis hin zu der großen Gruppe der sog. Güterhändler müssen grob geschätzt etwa 1.000.000 Wirtschaftsakteure eine ganze Reihe an Maßnahmen ergreifen. So müssen u.a. Kunden identifiziert, Risiken eingeschätzt und Verdachtsmeldungen abgegeben werden.
Zu den vielen geldwäscherechtlich Verpflichteten gehören seit einigen Jahren auch die rechtberatenden Berufe, wie insb. Rechtsanwälte, Notare, Steuerberater und Wirtschaftsprüfer. Diese tun sich teilweise jedoch schwer mit der vollständigen Erfüllung ihrer Pflichten.
Dies stellte nicht zuletzt die Financial Action Task Force (FATF) in ihrer Deutschland-Prüfung 2022 fest. Das Risikobewusstsein sei hier noch „in der Entwicklung begriffen„, heißt es dort. Hauptkritikpunkt war hier die unangemessen niedrige Anzahl an Verdachtsmeldungen. Auch die oft unzureichenden Präventionsmaßnahmen im Vergleich zu den Geldwäscherisiken in den rechtsberatenden Branchen wurden von den Prüfern moniert.
Als Hauptgründe für diese Defizite nannte die FATF u.a. die Vielschichtigkeit der rechtsberatenden Berufe, das Berufsgeheimnis und die zersplitterte Aufsicht, die überwiegend durch die jeweiligen Kammern ausgeübt wird.
Nicht gerade ein schmeichelhaftes Ergebnis für die Berufsträger, von deren Reputation der eigene Job abhängt. Aber wer ist von den Pflichten des Geldwäschegesetzes überhaupt betroffen?
Steuerberater und Wirtschaftsprüfer sind unabhängig von ihrer genauen Tätigkeit immer Verpflichtete des Geldwäschegesetzes.
Bei Rechtsanwälten und Notaren gilt dies zumindest dann, wenn sie mindestens einer der in § 2 Abs. 1 Nr. 10 GwG aufgeführten Tätigkeiten nachgehen. Hierzu gehören z.B. Beratungen im Hinblick auf die Kapitalstruktur eines Mandanten, dessen industrielle Strategie oder damit verbundene Fragen.
Darunter fällt auch die Mitwirkung an den in § 2 Abs. 1 Nr. 10 lit. a) GwG aufgeführten „Kataloggeschäften“. Dabei gehört ein Rechtsanwalt oder Notar immer dann zum Kreis der GwG-Verpflichteten, wenn er für den Mandanten an der Planung oder Durchführung von folgenden Geschäften mitwirkt:
Liegt keiner der genannten Fälle vor, hat das Geldwäschegesetz für den einzelnen Rechtsanwalt keine direkten Auswirkungen.
Kniffliger wird es, wenn ein solches Mandat durch Anwälte mehrerer Kanzleien oder mehrere Anwälte innerhalb einer Kanzlei gemeinsam bearbeitet wird. Hier stellen sich eine ganze Reihe von Abgrenzungsfragen. Im Kern geht es darum, wann die Mitarbeit eine „Mitwirkung“ (=GwG-Verpflichteter) und wann nur eine bloße Beteiligung (=kein GwG-Verpflichteter) darstellt.
Nach Meinung der meisten Berufskammern (=Aufsichtsbehörden für das Geldwäschegesetz) wirken in diesem Fall die beteiligten Berufsträger jeder für sich mit (siehe hier beispielhaft die Auslegungs- und Anwendungshinweise der Bundesanwaltskammer (BRAK), 7. Auflage) . Somit ist jeder für das Mandat verantwortlich und alle (mit-)bearbeitenden Kolleginnen und Kollegen sind einzeln für sich als Verpflichtete des Geldwäschegesetzes einzustufen.
Das Maß der Bearbeitung ist nach Auffassung der BRAK für eine solche Mitwirkung ohne Relevanz. Auch unwesentliche Bearbeitungselemente würden genügen, um bei einem Rechtsanwalt von einen Verpflichteten des Geldwäschegesetzes auszugehen.
Nicht ausschlaggebend sei ferner der konkrete Teilbereich der Sachbearbeitung. Kümmere sich z. B. ein Anwalt im Rahmen einer Immobilientransaktion ausschließlich um einen familienrechtlichen Aspekt, so sei er dadurch ebenfalls Verpflichteter des Geldwäschegesetzes.
Das es hierbei im Einzelfall zu kniffligen Abgrenzungsfragen kommt, kann man sich denken. Die Frage der Geltung des Geldwäschegesetzes für einzelne Berufsträger führt daher immer häufiger zu Meinungsverschiedenheiten mit den zuständigen Kammern als Aufsichtsbehörden. Diese Konflikte werden zunehmend auch vor den Verwaltungsgerichten ausgetragen.
In einem aktuellen Fall hatte das VGH München zu entscheiden, wann ein angestellter Anwalt bei bloßen Zuarbeiten als Verpflichteter des Geldwäschegesetzes einzustufen ist.
In dem Fall ging es um einen angestellten Rechtsanwalt, der im Rahmen eines Immobilienkaufvertrags eine Zuarbeit für den zuständigen Partner der Kanzlei erbrachte. Der angestellte Rechtsanwalt war dabei nicht selbst gegenüber dem Mandanten aufgetreten und hatte auch keinen Einfluss auf die Vertragsverhandlungen.
Der Begriff des „Mitwirkens“ sei weit auszulegen, so die Richter. Eine Mitwirkung liege bei jeder begleitenden Rechtsberatung vor. Ob der mitwirkende Rechtsanwalt Partner oder Angestellter der Kanzlei ist, spiele hierbei keine Rolle. Auch dass der angestellte Anwalt nicht selbst Vertragspartner des Mandanten gewesen sei, ändere nichts an seiner Eigenschaft als GwG-Verpflichteter.
Wie das Mitwirken an dem jeweiligen Kataloggeschäft konkret ausgestaltet ist, macht also nach Auffassung des Gerichts keinen Unterschied. Die Verpflichtetenstellung hänge nicht von Feinheiten der Ausgestaltung der Mitwirkung, von der Art und Weise der Zusammenarbeit mit einem Partner etc. ab, so die Richter.
Ob ein angestellter Rechtsanwalt das Geldwäschegesetz beachten muss, hängt auch nicht von der Häufigkeit des Mitwirkens an einem Kataloggeschäft ab. Das Verwaltungsgericht Gelsenkirchen sieht eine Mitwirkung bereits in der einmaligen Erstellung eines Kaufvertragsentwurfs. Das Geldwäschegesetz sei bereits bei Vorliegen eines einzigen relevanten Falles eröffnet.
Kammern und Gerichte sind sich beim Begriff des „Mitwirkens“ weitgehend einig. Bereits eine rein unterstützende Tätigkeit im Zusammenhang mit einem Kataloggeschäft, führt zur Verpflichteteneigenschaft des mitwirkenden Anwalts. Eine trennscharfe Abgrenzung zwischen Kolleginnen und Kollegen, die an Kataloggeschäften mitwirken und solchen die hier nicht einmal unterstützend tätig werden, lässt sich nicht in jeder Kanzlei durchführen. Gerade bei Sozietäten, die (auch) im wirtschaftsrechtlichen Bereich tätig sind, kann eine Einbeziehung bestimmter Berufsträger nicht immer sicher ausgeschlossen werden.
Im Zweifel empfiehlt es sich daher, alle Kolleginnen und Kollegen der Kanzlei als jeweils Verpflichtete nach dem Geldwäschegesetz einzuordnen. Dies ist zwar mit einem organisatorischen Mehraufwand verbunden (Einzelanmeldung goAML, Schulungsmaßnahmen, Risikoanalysen etc.), führt aber zu mehr Rechtsicherheit und beugt Sanktionen der Kammern vor.
| (Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Hier gehts zu unserem Newsletter) |
Die BaFin hat gegen die Kreissparkasse Groß-Gerau eine Geldbuße in Höhe von 10.000 Euro festgesetzt.
Das Institut hatte verdächtige Transaktionen festgestellt und daraufhin eine Geldwäscheverdachtsmeldung abgegeben. Obwohl im Nachgang weder die Zustimmung der FIU bzw. der Staatsanwaltschaft vorlag, noch die dreitägige Wartefrist verstrichen war, führte die Sparkasse die Transaktionen aus. Dadurch hatte das Institut gegen die Pflichten des Geldwäschegesetzes (GwG) verstoßen.
| (Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Hier gehts zu unserem Newsletter) |
Die US-Notenbank gab kürzlich bekannt, dass sie gegen die Deutsche Bank (DB) und ihre US-Tochtergesellschaften eine Geldstrafe in Höhe von 186 Millionen US-Dollar verhängt hat. Grund hierfür sind unzureichende Fortschritte bei der Behebung der von der Aufsichtsbehörde festgestellten AML-Mängel.
Die Fed forderte den Vorstand der Deutschen Bank auf, „Maßnahmen zu ergreifen, um die Zuweisung angemessener finanzieller, personeller und verwaltungstechnischer Ressourcen zu gewährleisten, um bis zum Jahresende die OFAC-Anordnung und die AML-Anordnung vollständig zu erfüllen“.
Nach Auffassung der Fed hat die Deutsche Bank die bereits 2015 und 2017 festgestellten Probleme nicht vollständig behoben. Auch mangelhafte Kontrollen im Zusammenhang mit der früheren Beziehung zur skandalumwitterten estnischen Filiale der Danske Bank wurden dem Institut angelastet.
Die Fed warnte die Deutsche Bank, dass sie „zusätzliche und verschärfte formale Maßnahmen“ verhängen könne, sollte die Deutsche die festgestellten Probleme nicht in den Griff kriegen. Dies beinhalte auch die Möglichkeit der Verhängung zusätzlicher Strafen und weiterer Sanktionen.
Wie das Handelsblatt berichtet, versicherte die Deutsche Bank, dass ein starkes Risikomanagement oberste Priorität habe. Die Bank sei sich bewusst, dass sie ihre Verbesserungsmaßnahmen in Bezug auf die Überprüfung von Kunden und die Überwachung von Transaktionen „zeitnah“ abschließen müsse.
Die Bank habe seit 2019 viel in zusätzliche Kontrollen investiert. Mittlerweile kümmern sich über 2000 Mitarbeitende des Instituts auf der ganzen Welt um den Schutz vor Finanzkriminalität.
| (Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Hier gehts zu unserem Newsletter) |
Am 7. Dezember 2023 findet die fünfte Fachtagung der BaFin zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung in digitaler Form statt. Nähere Informationen zum Programm und zum Anmeldeverfahren veröffentlicht die BaFin voraussichtlich ab Mitte September auf ihrer Website.
| (Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Hier gehts zu unserem Newsletter) |
Eine neue Hilfestellung soll Unternehmen bei Verdachtsmeldungen entlasten. Die Financial Intelligence Unit (FIU) und die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) haben hierzu in Zusammenarbeit mit dem Expertenstab der Anti Financial Crime Alliance (AFCA) ein entsprechendes Eckpunktepapier entwickelt.
Dieses Papier soll bei der Bestimmung von Sachverhalten unterstützen, die grundsätzlich nicht der Meldepflicht nach § 43 Absatz 1 Geldwäschegesetz unterliegen. Dies soll die betroffenen Unternehmen entlasten und damit die Geldwäscheprävention stärken.
Zu finden ist das Dokument ausschließlich im geschützten Bereich der FIU-Website.
Das Eckpunktepapier listet in Form einer Negativabgrenzung verschiedene Sachverhaltskonstellationen auf, bei denen grundsätzlich keine Verdachtsmeldungen abgegeben werden müssen. Nur wenn den Verpflichteten zusätzliche Informationen vorliegen, die einen Verdacht begründen, muss ein solcher Fall doch gemeldet werden.
Warum braucht es überhaupt eine Eingrenzung der Meldepflicht?
Die Schwelle für die Abgabe einer Verdachtsmeldung liegt gesetzlich bewusst sehr niedrig. So kann für eine Meldung schon ausreichend sein, dass ein bestimmtes Verhalten eines Kunden darauf hindeutet, dass die Gelder aus einer Straftat stammen. Für eine Meldung muss daher keine Gewissheit darüber bestehen, dass das in Frage stehende Vermögen tatsächlich aus einer Straftat stammt. Auch spielt die Höhe des Vermögens keine Rolle, so dass ein Verdacht auch schon ab 1 Cent zu melden ist.
Angesichts dieser niedrigen Anforderungen wundert es nicht, dass Verdachtsmeldungen zu möglichen Geldwäschefällen in Deutschland keine Seltenheit sind. Vielmehr steigt die Anzahl der Meldungen seit Jahren. Ein besonders starker Anstieg war im Jahr 2021 zu verzeichnen. Dort verdoppelte sich die Meldeanzahl auf knapp 300.000 Meldungen. Allein für das Jahr 2022 sollen 337.186 Meldungen bei der zuständigen Financial Intelligence Unit (FIU) eingegangen sein.
Hintergrund für diesen Sprung war insbesondere der sog. All-Crime-Ansatz. Bei dieser Gesetzesreform wurde im Jahr 2021 bestimmt, dass jede strafbare Handlung als Vortat der Geldwäsche in Frage kommt. Zuvor waren die möglichen Vortaten in einem Katalog abschließend aufgelistet. Hierzu zählten insbesondere schwerere Straftaten, wie z.B. der gewerbsmäßige Betrug oder andere Fälle von organisierter Kriminalität.
Der All-Crime-Ansatz war ursprünglich als Erleichterungsregelung für die Justiz vorgesehen. Diese sollte in einem Geldwäscheverfahren nicht mehr gezwungen sein, einen der spezifischen Katalogtaten nachzuweisen. Vielmehr ist seitdem ausreichend, dass das Gericht von der strafrechtlichen Herkunft des Geldwäschegegenstands überzeugt ist.
Ob und inwieweit die Justiz hiervon profitiert hat, ist nicht sicher klar. Für die meldeverpflichteten Unternehmen, insbesondere im Finanzsektor, führte die Gesetzesreform hingegen zu einer Flut von Verdachtsmeldungen. Besonders Überweisungen im Zusammenhang mit illegalem Glücksspiel, Falschgelddelikte und einfache Betrugsformen führten zu einem sprunghaften Anstieg der Meldezahlen.
Der hohe Meldeaufwand ist für die betroffenen Unternehmen und nicht zuletzt für deren Geldwäschebeauftragte sehr zeitaufwendig und belastend. Umso ernüchternder sind die Resultate des massenhaften Meldens. Im Gegensatz zur immensen Steigerung der Fallzahlen sank im Jahr 2021 die Quote der an andere Behörden abgegebenen Meldungen deutlich im Vergleich zum Vorjahr und lag bei nur 13,5 %. Damit wurde für das Jahr 2021 nur ca. jede 7. Meldung als werthaltig eingestuft und weitergeleitet.
Hauptgrund hierfür: Die verstärkte risikobasierte Arbeitsweise der FIU. Seit Jahresbeginn 2020 wertet die Behörde Verdachtsmeldungen danach aus, welche Informationen aufgrund des festgestellten Risikos für Geldwäsche und Terrorismusfinanzierung weiter bearbeitet werden. Dabei werden nur die Verdachtsmeldungen vertiefter bearbeitet, bei denen die FIU auf Basis des risikobasierten Ansatzes weiteren Analysebedarf sieht.
Die Flut an Meldungen bekam die FIU damit jedoch nicht in den Griff. Vielmehr wurde das Chaos bei der Meldebearbeitung noch größer.
Die Unternehmen sind jedoch weiterhin – unabhängig vom tatsächlichen Geldwäscherisiko – bei einem Verdacht immer zur Meldung verpflichtet. Das Geldwäschegesetz räumt hier kaum Spielraum ein (siehe oben zur niedrigen Meldeschwelle).
Es scheint fast, dass Geldwäschebeauftragten eine Einschätzung des Risikos nicht zugetraut wird. Zwar ist es richtig, dass beim Vorliegen von ausreichenden Verdachtsindizien nicht mehr ermittelt werden soll. Die Verdachtsmeldung muss „unverzüglich“ erfolgen. Verzögerungen sind hier nicht erlaubt.
Es geht also gerade nicht darum, einen Fall „auszuermitteln“. Andererseits werden so auch Fälle gemeldet, die unstreitig kaum eine Bedeutung bei der Geldwäschebekämpfung haben. Dies nimmt immer mehr Zeit in Anspruch, ohne dass dabei klar wird, welcher Sinn dahinter stehen soll. Hinzukommen hohe Kosten für Personal und IT.
Auf die fehlende Relevanz bestimmter Fallgruppen haben insbesondere die Vertreter der Deutschen Kreditwirtschaft (DK) mehrfach hingewiesen. So wurde vorgeschlagen u.a. bei Falschgelddelikten und geringfügige Eingänge aus Glücksspielgewinnen von der Pflicht zur Verdachtsmeldung abzusehen. Schließlich ist aus solchen Meldungen kein Mehrwert für die Strafverfolgung zu erwarten.
In dem Eckpunktepapier der FIU finden sich solche Fälle jedoch nicht wieder. Stattdessen sind hauptsächlich Sachverhalte enthalten, bei denen die gesetzlichen Voraussetzungen einer Meldung nicht vorliegen.
Auch Feststellungen, die eigentlich selbstverständlich sein sollten, werden dort aufgeführt. So wird in dem Papier z.B. darauf hingewiesen, dass nicht jede Transaktion über Kryptowährungen automatisch ein Verdachtsfall ist.
Erfreulich ist hingegen die Feststellung, dass zukünftig auf Doppelmeldungen verzichtet werden kann.
Der Titel des Eckpunktepapiers schürt Erwartungen, die der Inhalt leider nicht liefert und auch nicht liefern kann. Die Pflicht zur Verdachtsmeldung ist im Geldwäschegesetz bewusst weit ausgestaltet worden. Weder die FIU noch Aufsichtsbehörden können sich hierrüber hinwegsetzen.
Also viel Lärm um Nichts? Im Gegenteil! Dass die Behörden sich mit den Branchenvertretern zusammensetzen und über mögliche Erleichterungen sprechen, ist ein großer Schritt. Das Eckpunktepapier zeigt, dass die Probleme von der Aufsicht sehr wohl gesehen werden.
FIU und BaFin haben auch bereits erklärt, dass es sich hier lediglich um eine erste Version handelt. Es ist daher nicht ausgeschlossen, dass sich diese Thematik noch weiterentwickelt. Im besten Fall werden weitere Fallgruppen in das Papier aufgenommen, die dann nicht mehr gemeldet werden müssen.
Geldwäschebeauftragte sollten weiter darauf hinweisen, dass die Meldung bei bestimmten Fallgruppen keinen Sinn ergibt. Auch sollte nicht unerwähnt bleiben, dass der Meldeaufwand sowohl für die betroffenen Mitarbeitenden als auch für die Volkswirtschaft insgesamt eine erhebliche Belastung darstellt.
Branchenverbände sollten nicht müde werden, bei den Behörden und Parlamentariern für eine flexiblere und effektivere Meldepflicht zu werben.
Wie aber sollte nun mit dem Eckpunktepapier umgegangen werden?
Die BaFin weist darauf hin, dass das Eckpunktepapier ab sofort bei der Abgabe von Verdachtsmeldungen zu berücksichtigen ist. Geldwäschebeauftragte sollten das Dokument daher auf keinen Fall ignorieren. Dies gilt selbst für den Fall, dass die beschriebenen Fälle auch schon zuvor nicht als Meldefälle eingestuft wurden.
Vielmehr sollte dokumentiert werden, ob und wenn ja welche Sachverhaltskonstellationen künftig nicht mehr gemeldet werden müssen. Wird kein entsprechender Anpassungsbedarf des Meldewesens gesehen, sollte dies ebenfalls festgeschrieben werden. Betroffen wären sowohl die Risikoanalyse als auch weitere Unterlagen/Prozesse im Unternehmen (Arbeitsanweisungen, Schulungen, Mitarbeiterinformationen etc.).
Ein bloßer Verweis auf die Fälle des Eckpunktepapiers genügt im Regelfall nicht. Sowohl FIU als auch BaFin weisen darauf hin, dass jeder Verpflichtete verantwortlich entscheiden (und schlüssig begründen) muss, ob ein konkreter Sachverhalt unter die Verdachtsmeldepflicht fällt.
| (Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Hier gehts zu unserem Newsletter) |
Die BaFin hat darauf hingewiesen, dass auch registrierte Kapitalverwaltungsgesellschaften (§ 17 Absatz 1 des Kapitalanlagegesetzbuchs (KAGB)) das Geldwäschegesetz (GwG) beachten müssen.
Der Finanzaufsicht war im Rahmen von Prüfungen aufgefallen, dass viele registrierte Kapitalverwaltungsgesellschaften bei der Beachtung der Pflichten des GwG „noch Schwierigkeiten haben“.
| (Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Hier gehts zu unserem Newsletter) |
Nach gut 2,5 Jahren haben die Bundesländer ihre gemeinsamen Auslegungs- und Anwendungshinweise zum Geldwäschegesetz (GwG) aktualisiert. Diese geben die Meinung der Aufsichtsbehörden zu den Pflichten des Geldwäschegesetzes wieder und richten sich an Güterhändler, Immobilienmakler und andere Nichtfinanzunternehmen.
Im Rahmen der Anpassungen wurden insbesondere die Änderungen des Geldwäschegesetzes durch das Transparenzregister- und Finanzinformationsgesetz aus 2021 sowie die Sanktionsdurchsetzungsgesetze I und II berücksichtigt. Daneben hat die erfolgte Klärung offener Vollzugs- und zahlreicher Einzelfragen Eingang in die Auslegungs- und Anwendungshinweise gefunden. Dies soll den Verpflichteten weitergehende Hilfestellungen und eine rechtssichere Handhabe bei der Umsetzung der Vorgaben des Geldwäschegesetzes zu bieten.
Im Vergleich zur Vorversion wurden insbesondere folgende wichtige Änderungen vorgenommen:
Die für die Praxis mit Abstand wichtigste Neuerung ist zugleich auch die erfreulichste!
So ist eine Überprüfung der Identität durch Videoidentifizierung „bis auf weiteres“ zulässig. Bedingung ist, dass hierbei die Anforderungen der BaFin (BaFin-Rundschreiben 3/2017) eingehalten werden.
Von nun an müssen die Kunden nicht mehr physisch vor Ort sein, damit sie identifiziert werden können. Ein Ausweis und ein Smartphone sind hier ausreichend. Was für Banken- und Sparkassenkunden schon seit längerem möglich ist, können nun auch Kunden von Automobilhändlern, Maklern etc. nutzen. Das stellt eine gewaltige Erleichterung für die Praxis dar.
Obwohl die Länderbehörden primär für den Nichtfinanzsektor zuständig sind, haben Sie interessanterweise auch sogenannte „Finanzunternehmen“ (§ 2 Absatz 1 Nr. 6 GwG) zu beaufsichtigen. Hier gab es jedoch schon immer Abgrenzungsschwierigkeiten zur Finanzaufsicht BaFin.
Die AuA betonen, dass Finanzholdinggesellschaften oder gemischte Finanzholdinggesellschaften gem. § 25l KWG geldwäscherechtlich der BaFin-Aufsicht unterliegen. In Zweifelsfällen sollte daher die BaFin kontaktiert werden.
Handelt es sich um einen Private Equity Fonds, so kommt nach den neuen AuA eine Zuordnung zu § 1 Absatz 24 Satz 1 Nummer 1 GwG (Erwerben, Halten oder Veräußern von Beteiligungen) in Betracht. Dies sei allerdings nicht der Fall, soweit der Private Equity Fonds einer Kapitalverwaltungsgesellschaft untergeordnet ist. In diesen Fällen bestehe keine Verpflichteteneigenschaft des Private Equity Fonds, da dies de facto einer Doppelverpflichtung gleichkäme.
Die Aufsichtsbehörden stellen in den AuA klar, dass Antiquitäten grundsätzlich zu den „sonstigen Gütern“ (§ 4 Absatz 5 Nummer 1 Buchstabe c GwG bzw. § 10 Absatz 6a Nummer 1 Buchstabe c GwG) gehören. Das hat zur Folge, dass für diese Waren der Schwellenwert von 10.000 Euro Bargeld maßgebend ist. Erst bei Bargeschäften ab diesem Wert gelten u.a. die Identifizierungspflichten, bei denen der Kunde seinen Ausweis vorlegen muss.
Sofern es sich bei der Antiquität jedoch um einen Kunstgegenstand handelt, gilt ebenfalls der Schwellenwert von 10.000 Euro. Hier kommt es aber nicht darauf an, ob die Zahlung bar oder unbar erfolgt. In beiden Fällen müssen die Sorgfaltspflichten erfüllt werden.
Bei Produkten aus Edelmetall ergeben sich in der Praxis ebenfalls häufig Abgrenzungsfragen. Hier kommt es nach Meinung der Aufsichtbehörden auf eine Gesamtschau aller Umstände an.
So ist insbesondere entscheidend, ob der eigentliche Wert des Gegenstandes im Materialwert liegt oder der Wert sich aus anderen Faktoren ergibt. Solche Faktoren können z. B. die Seltenheit, das Alter oder die Herstellungskosten sein.
Wird der Preis des Gegenstands im Wesentlichen nach dem Gewicht des Edelmetalls berechnet oder dient es Anlagezwecken, handelt es sich um ein Edelmetall im Sinne des § 1 Absatz 10 Satz 2 Nummer 1 Geldwäschegesetz. In diesem Fall ist der niedrigere Schwellenwert von 2.000 entscheidend. Beispiele hierfür sind der Ankauf von Altgold oder Goldbarren sowie der Verkauf von gängigen Münzen (z.B. Krügerrand, Maple Leaf) als Wertanlage.
Sind für den Wert hingegen die Seltenheit, das Alter oder die Herstellungskosten (z.B. Handwerksleistung des Goldschmieds ist überwiegend wertbestimmend) entscheidend, gilt der Schwellenwert von 10.000 Euro.
Nicht nur der Vertragspartner ist nach dem Geldwäschegesetz zu identifizieren, sondern auch die Person, die für diesen „auftritt“. Das sind insbesondere die gesetzlichen Vertreter (z.B. Geschäftsführer einer GmbH) als auch Boten.
Die neuen AuA weisen auf bestimmte Ausnahmen von dieser Pflicht hin. So ist eine auftretende Person dann nicht zu identifizieren, wenn Sie keine „risikorelevante Funktion“ am Abschluss oder an der Abwicklung des Vertrages erfüllt. Dies gelte z.B. für Personen, die lediglich in untergeordneter Funktion bei der Anbahnung eines Vertragsschlusses beteiligt sind, indem sie z.B. Angebote einholen oder ein Exposé anfordern.
Die neuen AuA enthalten viele hilfreiche Klarstellungen für die Praxis. Insbesondere die Gestattung des Videoidentverfahrens ist ein (längst überfälliger) Meilenstein. Dies wird auch dazu beitragen, dass Thema Geldwäschebekämpfung in den Unternehmen besser zu platzieren. Bisher war die Pflicht zur „Vor-Ort“-Identifizierung nicht nur umständlich, sondern häufig sogar geschäftsverhindernd. Das war insbesondere internationalen Kunden und Geschäftspartnern nicht zu vermitteln.
| (Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Hier gehts zu unserem Newsletter) |
Die Bundesländer haben ihre gemeinsamen Auslegungs- und Anwendungshinweise zum Geldwäschegesetz (GwG) aktualisiert. Diese geben die Meinung der Aufsichtsbehörden zu den Pflichten des GwG wieder und richten sich an Güterhändler, Immobilienmakler und andere Nichtfinanzunternehmen.
Das Hinweisgeberschutzgesetz verpflichtet Unternehmen zur Einrichtung einer internen Meldestelle und stärkt den Schutz von Hinweisgebern. Daneben macht das Gesetz eine ganze Reihe an anspruchsvollen Vorgaben, wie mit Meldungen zu verfahren ist. Insbesondere den Anforderungen an die Vertraulichkeit und die rechtliche Einordnung der gemeldeten Sachverhalte müssen Meldestellenmitarbeitern gerecht werden. Daher besteht im Hinweisgeberschutzgesetz auch die gesetzliche Pflicht zur Sicherstellung der „notwendigen Fachkunde“ der mit der Meldebearbeitung betrauten Personen. Doch was genau beinhaltet diese „Fachkunde“ und wie kann die Fachkunde nachgewiesen werden?
Nun ist es soweit: Nach einer jahrelangen Odyssee wurde Mitte Mai 2023 das Hinweisgeberschutzgesetz final verabschiedet. Mit dem Regelwerk soll die Bereitschaft, Missstände im eigenen Unternehmen zu melden, gefördert werden. Hierzu sollen potenzielle Hinweisgeber besser vor drohenden Nachteilen geschützt werden.
Nun müssen betroffene Unternehmen in kurzer Zeit (das Gesetz wird voraussichtlich Anfang Juli 2023 in Kraft treten) eine ganze Reihe an Vorgaben umsetzen (zu den Einzelheiten siehe dieser Beitrag).
Für Geldwäschebeauftragte, die gleichzeitig für die Hinweisgeberstelle zuständig sind, sind vorallem die Themen Fachkundenachweis, Unabhängigkeit und mögliche Interessenkonflikte von Bedeutung.
Die Schwerpunkte der Diskussionen zum neuen Hinweisgeberschutzgesetz drehen sich insbesondere um die Frage der Gestaltung der internen Meldestelle und dem rechtlichen Schutz von Hinweisgebern. Hier stehen häufig prozessuale und technische Fragestellungen im Vordergrund, z.B. zum Meldekanal (elektronisch, telefonisch oder postalisch).
Das ist zunächst nachvollziehbar, müssen doch alle betroffenen Unternehmen entweder erstmalig eine Hinweisgeberstelle einrichten oder die bestehende Meldestelle an die neuen Anforderungen anpassen. Hierbei wird jedoch nicht selten der menschliche Faktor außer Acht gelassen.
Der Kern der Meldestelle besteht nämlich nicht aus der Technik und dem Verfahren, sondern aus den für die Bearbeitung der Meldung zuständigen Mitarbeiter! Diese Personen müssen dafür Sorge tragen, dass eingehende Meldungen zeitnah gesichtet und deren Relevanz und Stichhaltigkeit eingeschätzt werden. Gerade bei der Frage, ob der gemeldete Fall überhaupt in den Anwendungsbereich des Gesetzes fällt und der Hinweisgeber überhaupt nach dessen Regelungen Schutz genießt, kann im Einzelnen sehr knifflig sein (z.B. beim Thema Mobbing).
Die Anforderungen an die Meldestellenmitarbeiter (und damit an die Geldwäschebeauftragten) sind dementsprechend hoch. Sie müssen insbesondere
Wichtig ist dabei: Diese Anforderungen bezieht sich auf alle Mitarbeitenden der Meldestelle. Dies sind mindestens zwei Personen, ein Meldestellenmitarbeitende und (mindestens) ein Stellvertreter. Zwar ist das gesetzlich nicht ausdrücklich vorgeschrieben, ergibt sich aber aus den Compliancepflichten eines jeden „ordnungsgemäßen Geschäftsbetriebs“. Nur auf diese Weise kann die ununterbrochene Funktionsfähigkeit der Meldestelle sichergestellt werden, z.B. im Urlaubsfall oder bei Krankheit.
Das von den Mitarbeitern der Meldestellen inhaltlich einiges verlangt wird, hat auch der Gesetzgeber erkannt. § 15 Absatz 2 Hinweisgeberschutzgesetz sieht daher vor, dass die notwendige Fachkunde dieser Mitarbeiter sicherzustellen ist. Dies gilt sowohl für neue Mitarbeiter als auch für solche, die bereits zuvor die Meldestelle betreut haben.
Doch was genau beinhaltet diese „Fachkunde“? Was müssen Beschäftigte der Meldestelle genau können? Wie kann die Fachkunde nachgewiesen werden?
Erforderlich ist jedenfalls, dass die Mitarbeitenden der Meldestelle hinreichend über die Funktion, die Kompetenzen und die Unabhängigkeit der Meldestelle informiert sind, vor allem aber die Anforderungen des Vertraulichkeitsgebots beherrschen. Nicht erforderlich ist nach derzeitiger Erkenntnis eine detaillierte Rechtskenntnis der einzelnen Meldetatbestände. Die Meldestellenmitarbeiter müssen also nicht zwingend Juristen sein.
Zur Fachkunde gehören insbesondere hinreichende Kenntnisse zu den folgenden Punkten:
Der Nachweis der Fachkunde sollte durch Teilnahme an einer qualifizierten Fortbildung erfolgen. Nur so lässt sich die Erfüllung der gesetzlichen Pflicht prüfungsfest nachweisen. Schulungs- oder sonstige Qualifikationsnachweise sollten von der Personalabteilung archiviert werden.
Es ist wichtig, dass die Mitarbeiter das Vertrauen haben, dass ihre Meldungen ernst genommen und dass sie vor möglichen Konsequenzen geschützt werden. Die Meldestellenmitarbeiter müssen dafür sorgen, dass die eingehenden Meldungen gründlich geprüft werden und dass die erforderlichen Maßnahmen ergriffen werden, um mögliche Verstöße zu beheben. Eine effektive Hinweisgeberstelle sollte auch sicherstellen, dass der Hinweisgeber regelmäßig über den Fortschritt seiner Meldung informiert wird
Ein wichtiger Faktor hierbei ist die laufende Betreuung der Hinweisgeber. Es sollte über die Bedeutung und die Rolle der Hinweisgeberstelle aufgeklärt werden und darüber, auf welchen Wegen Meldungen eingereicht werden können.
In jedem Fall sollte darüber informiert werden, dass Meldungen vertraulich behandelt und die Identität der meldenden Personen geschützt wird.
Weiter muss die fachliche Unabhängigkeit der internen Meldestelle und ihrer Mitarbeiter gewährleistet sein. D.h., dass die mit den Aufgaben einer internen Meldestelle beauftragten Personen bei der Ausübung ihrer Tätigkeit weisungsfrei sein müssen. Dieses Erfordernis ist Geldwäschebeauftragten bereits im Hinblick auf ihre Aufgaben bekannt.
Die Weisungsfreiheit bezieht sich auf die Entgegennahme und Bearbeitung von Informationen über Verstöße. Werden im Rahmen von internen Ermittlungen andere Mitarbeiter im Unternehmen oder externe Personen miteinbezogen, so gelten auch hier die Grundsätze der fachlichen Unabhängigkeit und Vertraulichkeit.
Mitarbeiter dürfen neben ihrer Tätigkeit für die interne Meldestelle andere Aufgaben und Pflichten wahrnehmen. Es ist dabei sicherzustellen, dass es hier nicht zu Interessenkonflikten kommt. Auf folgende Punkte sollte dabei u.a. geachtet werden:
Die Arbeit in der Hinweisgeberstelle ist eine anspruchsvolle Tätigkeit. Die Qualifikation und die Stellung der Mitarbeiter müssen dem ausreichend Rechnung tragen. Es ist dafür zu sorgen, dass die Unabhängigkeit der Meldebearbeitung gewahrt wird und Interessenkonflikte mit anderen Aufgaben verhindert werden. Meldestellenmitarbeiter und deren Stellvertreter müssen sich weiterbilden und ihre Fachkunde durch geeignete Fortbildungsnachweise sicher dokumentieren können. Dies betrifft auch solche Mitarbeiter, die schon bisher die Meldestelle betreut haben.
(Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Hier gehts zu unserem Newsletter)
Mitte Mai 2023 wurde das Hinweisgeberschutzgesetz final verabschiedet. Ca. 125.000 Unternehmen und öffentliche Stellen in Deutschland müssen nun interne Meldestellen einrichten,. Hier haben Beschäftigte die Möglichkeit, Missstände aus der eigenen Organisation zu melden. Darüber hinaus sind die Arbeitgeber verpflichtet, meldende Mitarbeiter vor Repressalien zu bewahren und ihre Identität zu schützen.
Das Gesetz wird voraussichtlich Anfang Juli 2023 in Kraft treten.
Alle Unternehmen mit mindestens 50 Beschäftigten müssen den neuen Hinweisgeberschutz beachten. Auch öffentliche Stellen ab dieser Größe sind zur Einrichtung einer Hinweisgeberstelle verpflichtet.
Daneben sind eine Reihe von Unternehmen unabhängig von ihrer Beschäftigtenanzahl betroffen (u.a. Banken, Wertpapierhandelshäuser, Kapitalverwaltungsgesellschaften und Versicherer).
Für die meisten Verpflichteten nach dem Geldwäschegesetz ist das Thema Hinweisgeberschutz nicht neu. So bestimmt schon § 6 Abs. 5 GwG seit Jahren, dass vertrauliche Möglichkeiten zur Meldung von Verstößen vorhanden sein müssen. Daneben bestehen weitere spezialgesetzliche Verpflichtungen zum Betrieb einer vertraulichen Hinweisgeberstelle, z.B. nach dem KWG oder dem WpIG.
Das Hinweisgeberschutzgesetz enthält allerdings zahlreiche Neuerungen, die auch von bestehenden Meldestellen beachtet und umgesetzt werden müssen.
Es muss mindestens ein Meldekanal für die Beschäftigten eingerichtet werden. Dies kann beispielsweise eine telefonische Hotline, eine Post- oder E-Mail-Adresse, ein extern betriebenes Hinweisgebersystem oder eine Ombudsperson sein.
Unternehmen entscheiden selber, welche Art von Meldekanal sie einrichten wollen. Es muss aber immer möglich sein, Meldungen unter Wahrung der Vertraulichkeit abgeben zu können. Mitarbeiter von Meldestellen müssen also dafür sorgen, dass die Identität der hinweisgebenden Personen und in der Meldung genannte Personen nur ihnen selbst bekannt wird.
Auch anonyme Meldungen müssen grundsätzlich angenommen und bearbeitet werden. Grund hierfür ist, dass aus rechtlichen Gründen zur Vermeidung und Aufdeckung von Verstößen angemessene Maßnahmen zu ergreifen sind. Hierzu gehört insb. die Auswertung aller eingehenden Hinweise.
Damit kein entscheidender Hinweis ausbleibt, sollte der Meldekanal auch die anonyme Kontaktaufnahme und die anonyme Kommunikation ermöglichen. Gesetzlich zwingend ist das nicht. Allerdings schafft dies einen wichtigen Anreiz für Hinweisgeber ihre Meldung intern und nicht extern (z.B. bei der BaFin) abzugeben.
Grundsätzlich haben Beschäftigte die freie Wahl, ob sie intern eine Meldung abgeben oder sich an eine externe (staatliche) Meldestelle wenden wollen. Dieses Wahlrecht darf in keiner Weise beschränkt werden. Zwar sind die Beschäftigten angehalten, den internen Kanal zu bevorzugen, der Arbeitgeber darf das aber nicht vorschreiben.
Sobald eine Meldung in der internen Meldestelle eingeht, ist ein festgelegtes Verfahren durchzuführen. So muss u.a. innerhalb von 7 Tagen dem Hinweisgeber der Eingang der Meldung bestätigt werden. Nach spätestens drei Monaten muss dem Hinweisgeber Rückmeldung gegeben werden. Hier ist zumindest mitzuteilen, wie es um die Bearbeitung der Meldung steht.
Über die interne Meldestelle können hinweisgebende Personen Informationen zu Missständen im Unternehmen oder der eigenen Organisation melden. Gesetzlichen Schutz (insb. Schutz vor Strafverfolgung oder Kündigung) genießen jedoch nur solche Hinweisgeber, die sog. „meldefähige Verstöße“ bei der Meldestelle anzeigen.
Das Hinweisgeberschutzgesetz zählt in § 2 die meldefähigen Verstöße auf. Hierzu gehören u.a.
Meldefähig sind u.a. zusätzlich Verstöße gegen
Nicht geschützt wird die Meldung oder Offenlegung von Informationen über privates Fehlverhalten. Das gilt zumindest immer dann, wenn das Fehlverhalten keinen Bezug zur beruflichen Tätigkeit hat.
Hinweisgeber werden umfangreich vor Benachteiligungen geschützt. Da sie in der Regel Beschäftigte sind, ist der Schutz vor arbeitsrechtlichen Konsequenzen von besonderer Bedeutung. Aus diesem Grund sind gegen hinweisgebende Personen gerichtete Repressalien (z.B. Kündigung, Gehaltskürzung) verboten. Dies gilt auch für die Androhung und den Versuch, Repressalien auszuüben.
Häufig sind die Geldwäschebeauftragten auch zuständig für den Betrieb der Meldestelle und die Bearbeitung eingehender Hinweise. Daher sind sie auch von einer wichtigen Neuerung betroffen: Als Mitarbeiter der Meldestellen müssen sie zukünftig ihre „Fachkunde“ nachweisen.
Auf die Anforderungen geht dieser Beitrag ausführlich ein.
Gegen die Bestimmungen des Hinweisgeberschutzgesetzes zu verstoßen, kann schwerwiegende Konsequenzen haben. Es drohen u.a. Bußgelder, Schadensersatzforderungen und arbeitsrechtliche Auseinandersetzungen. So kann bei der Behinderung von Meldungen oder bei Nichtwahrung der Vertraulichkeit ein Bußgeld in Höhe von bis zu 50.000 Euro verhängt werden.
Existiert keine Meldestelle oder wird diese nicht betrieben droht alleine hierfür ein Bußgeld von bis zu 20.000 Euro.
Die Einrichtung einer internen Meldestelle, aber auch die Anpassung eines bereits existierenden Hinweisgebersystems erfordert Zeit und die entsprechenden Fachkenntnisse. Je nach Größe der eigenen Organisation sollte die Umsetzung in einem Projekt durchgeführt werden.
Im Folgenden sind die wichtigsten Umsetzungsschritte dargestellt (eine ausführliche Anleitung zur Umsetzung finden Sie auch in diesem Whitepaper).
Die meisten Verpflichteten verfügen aufgrund der gesetzlichen Anforderung in § 6 Abs. 5 GwG bereits über eine Hinweisgeberstelle in der eigenen Organisation. Dennoch enthält das Hinweisgeberschutzgesetz eine ganze Reihe neuer Vorgaben, die auch von bereits bestehenden Hinweisgeberstellen umgesetzt werden müssen. Besonders der gesetzlich geforderte Nachweis der Fachkunde zwingt zum Handeln. Geldwäschebeauftragte, die auch Meldestellenmitarbeiter sind, sollten sich rechtzeitig um die entsprechende Fortbildung kümmern.
| (Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Hier gehts zu unserem Newsletter) |
Der Hessische Verwaltungsgerichtshof bestätigt, dass die Bundesbank den Umtausch von 500 beschädigten Euro-Banknoten verweigern durfte, weil erhebliche Zweifel an der Eigentümerstellung des Antragstellers und an der legalen Herkunft der Scheine bestanden. Das Gericht wertete die widersprüchlichen Angaben zu Erwerb, Transport und angeblicher Beschädigung der Banknoten als unglaubhaft und sah deutliche Indizien dafür, dass die Scheine aus libyschen Beständen stammen könnten, die im Zusammenhang mit bewaffneten Konflikten abhandengekommen waren. Zweifel am rechtmäßigen Eigentum genügten bereits für die Ablehnung des Umtauschs.
Staatsanwaltschaft und Polizei Frankfurt haben gestern 29 Objekte in vier Bundesländern durchsucht und eine Person festgenommen. Die 19 Beschuldigten sollen über Scheinfirmen eine Schattenbank zur Zahlung von Schwarzarbeitenden und für Geldwäschedienstleistungen betrieben haben. Das Netzwerk soll mindestens 24 Millionen Euro verschoben und dafür Provisionen von 10-15 Prozent kassiert haben.
Die britische NCA (National Crime Agency) hat im Rahmen der „Operation Destabilise“ ein Geldwäschenetzwerk aufgedeckt, das laut Behördenangaben auch den untergetauchten Ex-Wirecard-Vorstand Jan Marsalek umfasst. Die Netzwerke TGR und Smart sollen Drogengelder in Kryptowährungen umgewandelt und über eine erworbene Bank in Kirgistan Sanktionen umgangen haben, um russische Militäreinrichtungen zu unterstützen. Bisher wurden 128 Personen festgenommen und über 25 Millionen Pfund in Großbritannien beschlagnahmt.
Die FATF hat Änderungen an ihrer Empfehlung Nr. 16 (Travel Rule) zur Zahlungstransparenz beschlossen, die bis Ende 2030 global umzusetzen sind. Die Reform standardisiert Informationspflichten für grenzüberschreitende Peer-to-Peer-Zahlungen über 1.000 USD/EUR und präzisiert Verantwortlichkeiten innerhalb der Zahlungskette. Finanzinstitute sollen außerdem neue Technologien zur Betrugsprävention implementieren.
Stellt jemand einem Kriminellen sein Konto zur Verfügung und werden über dieses Konto Gelder aus einer Betrugstat gewaschen, so muss der Kontoinhaber dem Geschädigten den Schaden ersetzen. Dies hat das OLG Frankfurt entschieden (Urteil vom 17.10.2025, Az. 29 U 100/24).
Die FATF hat auf ihrer Plenartagung Ende Oktober 2025 ihre Länderlisten aktualisiert. Auf der sog. grauen Liste werden Länder geführt, die nach Einschätzung der FATF strategische Mängel in ihren Regelungen zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und Proliferationsfinanzierung aufweisen.
Nicht mehr gelistet sind Burkina Faso, Mozambique, Nigeria und Südafrika.
Die EU hat das 19. Sanktionspaket gegen Russland verabschiedet, das unter anderem ein vollständiges Importverbot für russisches Flüssigerdgas (LNG) vorsieht. Das Paket erweitert die Sanktionen gegen die russische Schattenflotte und verhängt ein vollständiges Transaktionsverbot für Rosneft und Gazprom Neft. Besonders relevant für den Finanzsektor ist die Sanktionierung bestimmter Kryptowährungen und -börsen. Das Paket umfasst außerdem neue Listungen von Personen und Organisationen sowie Handelsbeschränkungen. Die Maßnahmen zielen darauf ab, Umgehungsgeschäfte zu unterbinden und Russlands Kriegswirtschaft weiter zu schwächen.
Das BKA verzeichnet im Bundeslagebild Organisierte Kriminalität für das Jahr 2024 einen deutlichen Anstieg des Geldwäschevolumens auf 230,5 Millionen Euro (2023: 166,5 Mio. €). In 146 Ermittlungsverfahren wurden insgesamt 189 Geldwäschehandlungen festgestellt, wobei erstmals Krypto-Mixer mit einem Volumen von 136,1 Millionen Euro eine dominierende Rolle spielten. Besonders auffällig: Gruppierungen der organisierten Kriminalität bieten vermehrt „Crime as a Service“ an, wobei spezialisierte Dienstleister die Gelder anderer krimineller Akteure waschen. Die inkriminierten Gelder werden hauptsächlich in Kryptowährungen, Fahrzeuge und Immobilien investiert.
Die EU hat auf Basis des Joint Comprehensive Plan of Action-„Snap-Back“-Mechanismus die automatisierte Wiedereinführung zahlreicher restriktiver Maßnahmen gegen Iran beschlossen – darunter Vermögenssperren, Reiseverbote sowie Import- und Finanzverbote im Öl-, Gas- und Transportsektor. Hintergrund ist die Entscheidung des United Nations Security Council, die Aufhebung der Sanktionen nicht zu verlängern, nachdem die E3 (Frankreich, Deutschland, Vereinigtes Königreich) eine erhebliche Vertragsverletzung Irans festgestellt hatten.
Die EU-Kommission hat ein Vertragsverletzungsverfahren gegen Deutschland und andere Mitgliedsstaaten eingeleitet. Die 11 Mitgliedstaaten haben die Frist zur Umsetzung der 6. EU-Geldwäscherichtlinie (Richtlinie EU 2024/1640) verstreichen lassen, ohne den umfassenden Zugang zu Informationen über wirtschaftlich Berechtigte von Unternehmen, Trusts und ähnlichen Gestaltungen zu gewährleisten. Die betroffenen Länder haben nun zwei Monate Zeit, die Umsetzung abzuschließen.
Bei einer europaweiten Razzia gegen Krypto-Betrüger wurden fünf Verdächtige festgenommen, darunter der mutmaßliche Haupttäter. Die über 100 Opfer kamen aus verschiedenen europäischen Ländern, unter anderem Deutschland, und verloren mindestens 100 Millionen Euro über gefälschte Investment-Plattformen. Die seit 2018 laufende Betrugsmasche versprach hohe Renditen, die Gelder wurden über litauische Konten gewaschen. Bei Auszahlungsversuchen wurden zusätzliche Gebühren verlangt, dann verschwanden die Webseiten. Durchsuchungen und Kontensperrungen erfolgten in Spanien, Portugal, Italien, Rumänien und Bulgarien.
Das Bundeskriminalamt meldet im Bundeslagebild Angriffe auf Geldautomaten 2024 erstmals einen signifikanten Rückgang bei Angriffen auf Geldautomaten. Mit 456 Fällen (-24,3%) wurde der niedrigste Stand der letzten fünf Jahre erreicht. Die Beuteschäden halbierten sich auf 13,4 Mio. Euro (-52,5%), während die Sachschäden mit geschätzten 27-40 Mio. Euro weiterhin ein Vielfaches betragen. Erfolgreiche internationale Kooperationen führten zur Zerschlagung mehrerer Tätergruppierungen in Frankreich und den Niederlanden. Das BKA führt den Rückgang auf verstärkte Präventionsmaßnahmen der Geldautomatenbetreiber und intensivierte polizeiliche Repression zurück.
Das Bundeslagebild Menschenhandel und Ausbeutung 2024 zeigt einen Höchststand an Ermittlungsverfahren wegen Menschenhandel und Ausbeutung seit Beginn der Datenerhebung. Besonders alarmierend: 13 Gruppierungen wurden eindeutig der Organisierten Kriminalität zugeordnet, vor allem in den Bereichen sexuelle und Arbeitsausbeutung. Diese Strukturen sind international vernetzt und agieren arbeitsteilig – von Anwerbung über Transport bis zur gewaltsamen Kontrolle der Opfer. Die enge Verknüpfung mit OK-Netzwerken macht deutlich, dass Menschenhandel weit mehr ist als Einzeltäterkriminalität.
Das Bundeslagebild Kfz-Kriminalität 2024 zeigt: Während die Gesamtzahl der Pkw-Fahndungen gesunken ist, steigt die Zahl der dauerhaft abhandengekommenen Fahrzeuge leicht an. Besonders auffällig ist der starke Zuwachs bei unterschlagenen Pkw, häufig durch Betrug bei Miet- und Leasinggeschäften. Auch Wohnmobile und Lkw bleiben aufgrund ihres hohen Werts attraktive Ziele für Tätergruppen. Hauptabsatzmärkte sind weiterhin Osteuropa, die Vereinigten Arabischen Emirate und Westafrika.
Das Landgericht Dortmund hat entschieden, dass eine Bank Geschäftsbeziehungen nach § 10 Abs. 9 GwG beenden muss, wenn geldwäscherechtliche Sorgfaltspflichten nicht erfüllt werden können. Im Streitfall hatten zwei Sicherheitsunternehmen versucht, die Kündigung ihrer Geschäftskonten zu verhindern, nachdem sie ein fragwürdiges Goldgeschäft im Volumen von 363 Mio. US-Dollar abgeschlossen hatten. Das Gericht stufte die Transaktion als hochriskant und wirtschaftlich nicht plausibel ein und sah die außerordentliche Kündigung daher als gerechtfertigt und verhältnismäßig an. Eine einstweilige Verfügung auf Fortführung der Konten wurde folglich abgelehnt, die Berufung beim OLG Hamm blieb erfolglos.
Das Bundesfinanzministerium hat die neue GwG-Meldeverordnung (GwGMeldV) verabschiedet, die ab dem 1. März 2026 bundeseinheitliche Standards für Form und Inhalt von Verdachtsmeldungen an die FIU festlegt. Die Verordnung schreibt die elektronische Übermittlung im XML-Format vor und definiert Mindestangaben für verschiedene Meldearten, einschließlich spezifischer Regelungen für Kryptowerte-Transaktionen. Ziel ist die Vereinheitlichung von Verdachtsmeldungen und daraus folgend eine Entlastung der FIU durch strukturierte, maschinenlesbare Datenformate.
Am 9. April 2025 fand die 9. Geldwäschetagung der FIU für die Verpflichteten und Verbände des Finanzsektors am Standort Köln statt. Die auf der Veranstaltung vorgestellten Präsentationen stehen ab sofort im Internen Bereich der FIU zum Abruf zur Verfügung.
Die Financial Intelligence Unit (FIU) hat eine neues Anhaltspunktepapier zum Handel mit CO2-Emissionszertifikaten veröffentlicht. Das Dokument der FIU erklärt die Funktionsweise des europäischen und nationalen Emissionshandels und zeigt die besonderen Risiken für Geldwäsche in diesem Markt auf. Es beschreibt typische Auffälligkeiten und mögliche Anhaltspunkte, an denen verdächtige Transaktionen erkannt werden können. Zudem werden Handlungsempfehlungen wie strengere Kontrollen, mehr Transparenz und eine bessere Schulung der Beteiligten gegeben, um Geldwäsche im Emissionshandel zu verhindern.
Das Dokument steht im Internen Bereich der FIU zum Abruf zur Verfügung.
Das Bundeskriminalamt meldet im Bundeslagebild Wirtschaftskriminalität für 2024 einen dramatischen Anstieg der Wirtschaftsdelikte um 57,6 % gegenüber dem Vorjahr. Dafür ist vor allem der Anstieg in den Fallzahlen von Abrechnungsbetrug im Gesundheitswesen (847,6 %) verantwortlich. Die Schadenssumme erreichte im Jahr 2024 2,76 Milliarden €, während sich vermehrt organisierte Banden mit Geldwäsche-Bezug etablieren. Außerdem erschwert die zunehmende Verlagerung ins Internet die Verfolgung inkriminierter Gelder erheblich.
Die FATF hat ein neues Verfahren eingeführt, um unbeabsichtigte negative Auswirkungen ihrer Standards auf gemeinnützige Organisationen zu adressieren, wenn diese missbräuchlich oder übertrieben angewendet werden. Ziel ist es, legitime NPO-Aktivitäten vor unverhältnismäßigen Einschränkungen zu schützen.
Gegen die niederländische Tochtergesellschaft des Luxuskonzerns Louis Vuitton laufen Ermittlungen der niederländischen Staatsanwaltschaft. Hintergrund ist ein Fall von mutmaßlicher Geldwäsche durch eine chinesische Kundin. Die Frau soll Waren in Wert von mehreren Millionen Euro erworben haben, ohne hinreichend identifiziert worden zu sein. Auch seien die Käufe, die sich immer knapp unter 10.000 Euro bewegten, verdächtig gewesen.
Europol hat den EU‑Lagebericht „European Union Terrorism Situation and Trend Report 2025“ veröffentlicht. Dort sind für das Jahr 2024 58 Terroranschläge dokumentiert – darunter 24 jihadistische, 21 linksextremistische und 4 separatistische – sowie insgesamt 449 Festnahmen. Besonders alarmierend sei laut Europol der zunehmende Einfluss von sozialen Medien, KI-Technologien und Kryptowährungen bei der Propaganda‑Verbreitung und Terrorfinanzierung sowie die vermehrte Einbindung von Minderjährigen. Der Bericht hebt zudem hervor, dass Konflikte in Gaza, Syrien und der Ukraine als Treiber für Extremismus fungieren und somit ein dynamisches, über institutionelle Grenzen hinweggehendes Sicherheitsrisiko darstellen
Das 18. Sanktionspaket der EU richtet sich erneut gezielt gegen Russland und umfasst Maßnahmen wie ein gesenktes Preislimit für russisches Rohöl sowie ein umfangreiches Verbot für Anbieter von Transport, Versicherung und Rückversicherung. Zudem werden weitere 14 Einzelpersonen und 41 Unternehmen aufgrund der Verletzung der territorialen Integrität der Ukraine sanktioniert. Ein weiterer Schwerpunkt liegt auf dem Verbot von Transaktionen mit der Schattenflotte und dem Nord‑Stream‑Pipeline-System. Damit setzt die EU ihren Druck auf Russland fort, um dessen Energieeinnahmen nachhaltig zu begrenzen und internationale Unterstützung für die Ukraine zu stärken.
