Ein Konzern, ein Risiko? Gruppenweite Geldwäscheprävention nach § 9 GwG

A. Einleitung

Geldwäscheprävention wird in der Praxis häufig noch immer aus der Perspektive des einzelnen Instituts gedacht: Risikoanalyse, interne Sicherungsmaßnahmen, Verdachtsmeldungen und Schulungen werden zunächst innerhalb der eigenen Organisationseinheit organisiert. Diese institutsbezogene Betrachtung greift jedoch zu kurz, sobald ein Unternehmen Teil einer Unternehmensgruppe ist. Finanzströme, Geschäftsbeziehungen und Risikostrukturen enden nicht an der rechtlichen Grenze der einzelnen Gesellschaft.

Gerade international tätige Gruppen stehen daher vor der Herausforderung, geldwäscherechtliche Anforderungen nicht nur lokal, sondern konsistent über mehrere Gesellschaften und Jurisdiktionen hinweg zu organisieren. Unterschiedliche regulatorische Rahmenbedingungen, divergierende Risikoeinschätzungen sowie Fragen des gruppeninternen Informationsaustauschs können dabei schnell zu Lücken in der Präventionsarchitektur führen.

Welche praktischen Herausforderungen sich daraus ergeben können, zeigt das folgende Szenario aus der Perspektive eines Geldwäschebeauftragten:

Als Geldwäschebeauftragter eines nach deutschem Recht verpflichteten Unternehmens erhalten Sie am Freitagnachmittag einen Anruf: Die ausländische Tochtergesellschaft bittet um Zugriff auf zentrale KYC-Daten. Zudem erfahren Sie im Verlauf des Gesprächs, dass mehrere ausländische Tochtergesellschaften Geschäftsbeziehungen zu Vertragspartnern in Hochrisikodrittstaaten unterhalten. Diese Tochtergesellschaften sind selbst keine Verpflichteten nach dem GwG und verfügen daher weder über strukturierte KYC-Prozesse noch über ein systematisches Monitoring geldwäscherelevanter Risiken. Verdachtsmomente werden lokal bewertet, eine Weitergabe an die Konzernzentrale oder an Sie als Geldwäschebeauftragten erfolgt nicht. Zudem stellt der Datenschutzbeauftragte die Frage, ob Kundendaten überhaupt gruppenweit geteilt werden dürfen.

Kurz darauf kündigt die Aufsichtsbehörde eine Prüfung an – nicht nur Ihrer Gesellschaft, sondern ausdrücklich auch der gruppenweiten geldwäscherechtlichen Vorkehrungen. In der Vorbereitung wird deutlich, dass es weder eine konzernweite Risikoanalyse noch verbindliche gruppenweite Geldwäsche-Richtlinien oder geregelte Informationswege gibt. Risiken aus dem Ausland erreichen Sie allenfalls zufällig.

Spätestens jetzt wird klar: Geldwäscheprävention endet nicht an der rechtlichen Grenze des einzelnen Instituts – sie wird zur gruppenweiten Governance-Frage.

B. Gruppenweite Pflichten als konzernrechtliche Steuerungsaufgabe

1. Regelungsziel und systematische Einordnung

Ziel ist es, durch gruppenweite Geldwäschepflichten einen umfassenden Überblick des Mutterunternehmens über seine verpflichteten Unternehmen zu gewinnen und gruppenweite einheitliche Standards zu schaffen, sodass sich die einzelnen Unternehmen innerhalb einer Gruppe auf die Einhaltung der geldwäscherechtlichen Pflichten verlassen können.

Dies betrifft insbesondere die Kundensorgfaltspflichten (§ 10 ff. GwG), die Meldepflicht (§ 43 GwG) sowie die Aufzeichnungs- und Aufbewahrungspflichten (§ 8 GwG). § 9 GwG fungiert damit als organisationsrechtliche „Klammernorm“, welche die institutsspezifischen Pflichten in eine gruppenweite Governance-Struktur überführt.

Ist ein Verpflichteter i.S.d. § 2 GwG zugleich Mutterunternehmen mit Hauptsitz in Deutschland, trifft ihn nach § 9 Abs. 1 S. 1 GwG eine originäre Verantwortung auf Gruppenebene. Diese Verantwortung ist keine bloße Koordinationspflicht, sondern eine eigenständige Organisationspflicht mit Steuerungs- und Überwachungselementen.

Voraussetzung ist das Vorliegen einer „Gruppe“ im Sinne des § 1 Abs. 16 GwG. Maßgeblich ist ein beherrschender Einfluss des Mutterunternehmens (§ 1 Abs. 25 GwG). Bei Mehrheitsbeteiligungen wird dieser regelmäßig angenommen (BaFin, AuA-AT, Z. 11.1). Entscheidend ist nicht die gesellschaftsrechtliche Feinzeichnung, sondern die tatsächliche Möglichkeit der einheitlichen Steuerung.

2. Gruppenweite Risikoanalyse

Liegt eine Gruppe vor, so hat das Mutterunternehmen zunächst eine Risikoanalyse i.S.d. § 5 GwG für alle gruppenangehörigen Unternehmen sowie Zweigstellen im In- und Ausland, die am Ort ihres Sitzes selbst geldwäscherechtlichen Pflichten unterliegen, durchzuführen, vgl. BaFin AuA-AT, Z. 11.3.1. Das Risiko ist jährlich zu überprüfen und bei Bedarf zu aktualisieren.

Die gruppenweite Risikoanalyse muss insbesondere berücksichtigen:

• Kundenstruktur (z.B. PEP-Anteil, Hochrisikodrittstaatenbezug),
• Produkt- und Dienstleistungsportfolio,
• Distributionskanäle (z.B. Online-Onboarding),
• geografische Risikofaktoren und
• Organisations- und Kontrollumfeld vor Ort.

Problematisch sind in der Praxis häufig uneinheitliche Bewertungsmethoden. Während eine deutsche Einheit mit einer fünfstufigen Skala arbeitet, verwendet eine Tochter möglicherweise eine dreistufige. Ohne Harmonisierung entsteht kein konsistentes Risikobild. § 9 GwG verlangt daher zumindest vergleichbare Bewertungsmaßstäbe.

3. Gruppenweite Maßnahmen

Aus der gruppenweiten Risikoanalyse sind Maßnahmen abzuleiten, vgl. BaFin AuA-AT, Z. 11.3.2.

Hiervon umfasst ist die Einrichtung einheitlicher interner Sicherungsmaßnahmen nach Vorgaben des § 6 Abs. 2 GwG. Hierbei ist jedoch klarzustellen, dass nicht zwingend gleiche Maßnahmen, sondern vergleichbare Maßnahmen anzustreben sind. Das heißt, dass z.B. Identifizierungs- und Identitätsüberprüfungsvorschriften nicht per se identisch sein müssen, vielmehr muss ein allgemein einheitliches Verfahren erarbeitet werden, welches jedoch Abweichungen zulassen darf (Maximalharmonisierung, vgl. BeckOK GwG, Brian/Pelz, 24. Edition).

Ein Beispiel wäre hier ein Führerschein, der zwar in anderen Ländern zur Identitätsüberprüfung herangezogen werden kann, in Deutschland jedoch nicht.

Mögliche gruppenweite Maßnahmen:

• konzernweit einheitliche AML-Policy mit Mindeststandards
• gruppenweites KYC-Framework
• standardisierte Eskalations- und Meldeprozesse (insbesondere gruppenweite Verdachtsmelde-Strukturen)
• zentrale Schulungsprogramme
• IT-gestützte Monitoring-Standards

4. Tochterunternehmen in Europa und Drittstaaten

a) Tochterunternehmen mit Sitz in EU

Nach § 9 Abs. 2 GwG sollen EU-Tochtergesellschaften das jeweilige nationale Umsetzungsrecht zur einschlägigen EU-Geldwäscherichtlinie einhalten. Das Mutterunternehmen hat sicherzustellen, dass diese Umsetzung mit den gruppenweiten Standards kompatibel bleibt.

b) Zweigniederlassungen mit Sitz in Drittstaat (§ 9 Abs. 3 GwG)

Gemäß § 9 Abs. 3 GwG sollen die in diesem Staat (Drittstaat = Staat, der nicht Mitglied der EU sowie des europäischen Wirtschaftsraumes ist, vgl. § 1 Abs. 17 GwG) geltenden Regelungen zur Abwehr von GW/TF erfüllen, sofern diese nicht geringere Anforderungen stellen als die Mindestanforderungen des GwG. Zu diesen zählen mindestens die Erstellung einer Risikoanalyse, die Erfüllung der kundenbezogenen Sorgfaltspflichten sowie Verdachtsmeldeverfahren, vgl. BeckOK GwG, Brian/Pelz, 24. Edition. Sind die Anforderungen geringer, muss sichergestellt werden, dass zusätzliche Maßnahmen zur Bekämpfung von GW/TF ergriffen werden, wie etwa (vgl. BaFin AuA-AT, Z. 11.3.7):

• Beschränkung von Art und Umfang der angebotenen Produkte
• verstärkte kontinuierliche Überwachung
• verschärfte interne Kontrollen

Reichen die zusätzlich getroffenen Maßnahmen nicht aus, kann die Aufsicht anordnen, dass keine Geschäftsbeziehungen begründet oder Transaktionen durchgeführt werden. Zudem besteht eine Informationspflicht gegenüber der zuständigen Behörde.

5. Gruppengeldwäschebeauftragter (§ 9 Abs. 1 S. 4 GwG, § 7 Abs. 4 GwG)

Das Mutterunternehmen hat einen Gruppengeldwäschebeauftragten zu bestellen (§ 9 Abs. 1 S. 4 i.V.m. § 7 Abs. 4 GwG).

Dieser hat:

• sich fortlaufend über die Einhaltung geldwäscherechtlicher Pflichten in allen Gruppeneinheiten zu informieren,
• regelmäßige und anlassbezogene Berichte an das benannte Mitglied der Leitungsebene (§ 4 Abs. 3 GwG) zu erstatten,
• einen funktionierenden gruppenweiten Informationsaustausch sicherzustellen und
• datenschutzrechtliche Anforderungen zu berücksichtigen.

Die bloße formale Benennung genügt nicht. Erforderlich sind tatsächliche Informationsrechte, Zugriffsrechte auf Daten und eine organisatorische Stellung sowie ausreichende Ressourcen, die unabhängige Berichterstattung ermöglichen. Das Mutterunternehmen hat sicherzustellen, dass der Gruppen-Geldwäschebeauftragte sowie die von ihm eingesetzten Mitarbeiter über die erforderlichen Informations- und Einsichtsrechte verfügen. Dazu gehört insbesondere die Befugnis, sich Prüfberichte der Internen Revision sowie Berichte externer Prüfer aus allen gruppenangehörigen Unternehmen übermitteln zu lassen, soweit diese Aussagen zur Einhaltung geldwäscherechtlicher Pflichten enthalten (Lang in: Zentes/Glaab, 2025,§ 9 Rn. 29).

Darüber hinaus ist dem Gruppen-Geldwäschebeauftragten und seinen Mitarbeitern ein gruppenweiter Zugang zu allen Informationen, Dokumenten und Daten einzuräumen, die für die Wahrnehmung der geldwäscherechtlichen Aufgaben erforderlich sind. Dies umfasst insbesondere Daten zu Kunden, Verfügungsberechtigten und wirtschaftlich Berechtigten sowie Informationen über Kundenkonten und Transaktionen. Der Gruppen-Geldwäschebeauftragte ist verpflichtet, das nach § 4 Abs. 3 GwG benannte Mitglied der Leitungsebene des Mutterunternehmens regelmäßig und schriftlich über den Stand der gruppenweiten Umsetzung und Einhaltung der geldwäscherechtlichen Pflichten zu unterrichten.

6. Rolle lokaler Geldwäschebeauftragter

Der Gruppengeldwäschebeauftragte kann seine Steuerungsfunktion nur wahrnehmen, wenn lokale Geldwäschebeauftragte beziehungsweise AML-Funktionen eng eingebunden sind. Diese fungieren als verlängerter Arm der Gruppe in den jeweiligen Jurisdiktionen und übersetzen gruppenweite Standards in lokale Prozesse. Klar definiertes Reporting, abgestimmte Weisungsrechte und regelmäßige Abstimmungen verhindern Zielkonflikte, insbesondere wenn lokale Regelungen über die Gruppenstandards hinausgehen. Die lokalen Geldwäschebeauftragten sollten ausreichende Kenntnis über ihre Pflichten nach dem GwG aber auch einen verlässlichen Ansprechpartner in dem Gruppen-Geldwäschebeauftragten haben. Wichtig ist ein transparentes Zusammenspiel: Lokale Besonderheiten werden respektiert, ohne die gruppenweite Mindestlinie zu unterlaufen.

7. Weitere Pflichten nach § 9 Abs. 4 und Abs. 5 GwG

§ 9 Abs. 4 GwG verpflichtet in Deutschland ansässige gruppenangehörige Unternehmen (§ 1 Abs. 16 GwG), die ihrerseits beherrschenden Einfluss auf nachgeordnete Gesellschaften ausüben, selbst zur Umsetzung gruppenweiter Pflichten. Die Verantwortung „verzweigt“ sich damit innerhalb komplexer Konzernstrukturen.

§ 9 Abs. 5 GwG konkretisiert ergänzend die Pflicht zum gruppeninternen Informationsaustausch, insbesondere hinsichtlich geldwäscherelevanter Sachverhalte und Verdachtsmeldungen.

8. Praktische Umsetzung und Governance

Gruppenweite Geldwäschepflichten entfalten ihre Wirkung erst dann, wenn sie klar in die bestehende Konzern-Governance eingebettet werden. Zentral ist die Verzahnung mit Compliance, Risikomanagement und Interner Revision im Sinne eines konsistenten Three-Lines-of-Defense-Modells. Konzernrichtlinien sollten Geldwäsche-Anforderungen ausdrücklich als Teil der Gesamtsteuerung definieren und Zuständigkeiten sowie Eskalationswege verbindlich regeln. So wird sichergestellt, dass geldwäscherelevante Risiken nicht isoliert, sondern als integraler Bestandteil des Gesamtrisikoprofils der Gruppe behandelt werden.

9. Datenschutz – was ist zu beachten?

Der gruppenweite Informationsaustausch nach § 9 GwG muss mit den Vorgaben der Datenschutz-Grundverordnung (DSGVO) in Einklang stehen und ist nur zulässig, soweit er der Prävention von Geldwäsche dient (vgl. § 11a GwG). Ein pauschaler Vollzugriff auf sämtliche Kundendaten ist regelmäßig unverhältnismäßig. Maßgeblich ist somit stets die Erforderlichkeit im Hinblick auf die gruppenweiten Geldwäsche-Pflichten.

10. Was, wenn Vorschriften nicht eingehalten werden?

Verstöße gegen § 9 GwG stellen gemäß § 56 Abs. 1 Nr. 8-14 sowie Abs. 2 Nr. 4 GwG Ordnungswidrigkeiten dar. Nach § 56 Abs. 3 GwG können empfindliche Geldbußen verhängt werden. Hinzu kommen Reputationsrisiken sowie mögliche aufsichtsrechtliche Maßnahmen (z.B. Anordnungen, Sonderprüfungen).

C. Europarechtliche Perspektive

Die verabschiedete und ab dem 10.07.2027 unmittelbar geltende EU-Geldwäscheverordnung (künftiges Single Rulebook) wird die gruppenweiten Anforderungen voraussichtlich strukturell fortführen. Die Erwägungsgründe 43-46 betonen ebenfalls gruppenweite Strategien, harmonisierte Verfahren und effektiven Informationsaustausch. Nach Art. 11 EU-AML-VO bleibt es möglich, dass ein Geldwäschebeauftragter mehrere Gruppenunternehmen gleichzeitig betreut. Die in Art. 16 und 17 EU-AML-VO beschriebenen gruppenweiten Anforderungen entsprechen weitgehend den bisherigen nationalen Vorgaben.

Jedoch hebt Art. 16 EU-AML-VO die gruppenweiten Pflichten auf eine neue, unionsweit einheitliche Governance‑Ebene. Die Vorschrift verpflichtet das Mutterunternehmen, gruppenweit wirksame Strategien, Verfahren und Kontrollen zur Verhinderung von Geldwäsche und Terrorismusfinanzierung einzurichten und laufend zu überwachen. Zugleich konkretisiert Art. 16 EU-AML-VO die Anforderungen an den internen Informationsaustausch innerhalb der Gruppe, einschließlich der Weitergabe von risikorelevanten Daten und Verdachtsinformationen, soweit dem keine aufsichts- oder strafrechtlichen Schranken entgegenstehen.

Ergänzende Regulatory Technical Standards (RTS), deren Veröffentlichung bis 10.07.2026 vorgesehen ist, werden Detailfragen konkretisieren.

D. Fazit

Im Eingangsszenario hätte eine sauber aufgesetzte gruppenweite AML-Governance bereits frühzeitig für Transparenz gesorgt. Eine zentrale Risikoanalyse hätte die Hochrisikodrittstaaten-Bezüge identifiziert und zu klaren Vorgaben für KYC-Prozesse und Monitoring in den betroffenen Einheiten geführt. Über definierte Informationswege wäre der Gruppengeldwäschebeauftragte laufend über risikorelevante Entwicklungen informiert worden, inklusive standardisierter Verdachtsmeldungen. Ein abgestimmtes Datenschutzkonzept hätte zudem geklärt, in welchem Umfang Kundendaten konzernweit geteilt werden dürfen, sodass der Zugriff auf KYC-Daten rechtssicher möglich wäre.

E. Checkliste gruppenweiter Geldwäschepflichten

• Etablierung einer gruppenweiten Risikoanalyse mit harmonisierten Bewertungsmaßstäben und regelmäßiger Aktualisierung.
• Einführung konzernweit verbindlicher AML-Richtlinien mit Mindeststandards für KYC, Monitoring, Meldewesen (insbesondere bzgl. Verdachtsmeldungen) und Schulungen.
• Bestellung eines wirksam eingebundenen Gruppengeldwäschebeauftragten mit klaren Informations- und Zugriffsrechten.
• Definition strukturierter Informations- und Eskalationswege, einschließlich Verfahren für Verdachtsmeldungen und Drittstaatenkonflikte.
• Implementierung eines abgestimmten Datenschutz- und Datenaustauschkonzepts, das Erforderlichkeit, Verhältnismäßigkeit und Dokumentation sicherstellt.