Deutscher Markt2026-02-099 min Lesezeit

GwG-Compliance: Geldwäscheprävention für Finanzdienstleister

Auch verfügbar auf:EnglishFrançaisEspañolNederlandsItaliano

Inhaltsverzeichnis

  1. 01Einleitung
  2. 02Was ist das GwG?
  3. 03Die wichtigsten Anforderungen
  4. 04Zusammenspiel mit anderen Rahmenwerken
  5. 05Compliance-Automatisierung mit Matproof
  6. 06Umsetzungsfahrplan
  7. 07Häufig gestellte Fragen

GwG-Compliance: Geldwäscheprävention für Finanzdienstleister

Einleitung

Geldwäsche verursacht laut Europol jährlich einen geschätzten Schaden von 1 Prozent des weltweiten Bruttoinlandsprodukts -- das entspricht rund 800 Milliarden EUR. Für Finanzdienstleister in Deutschland bildet das Geldwäschegesetz (GwG) den zentralen Rechtsrahmen zur Prävention und Bekämpfung von Geldwäsche und Terrorismusfinanzierung. Die Anforderungen sind umfangreich, die Sanktionen bei Verstößen empfindlich: Bußgelder bis zu 5 Millionen EUR oder 10 Prozent des Jahresumsatzes (§ 56 Abs. 3 GwG) machen deutlich, dass die Aufsichtsbehörden hier keinen Spielraum lassen.

Die BaFin als zuständige Aufsichtsbehörde für den Finanzsektor hat ihre Prüfungsintensität im Bereich Geldwäscheprävention in den vergangenen Jahren spürbar erhöht. Gleichzeitig steigen die europäischen Anforderungen: Mit der neuen Anti-Geldwäsche-Verordnung (AMLR, Verordnung (EU) 2024/1624) und der Einrichtung der Anti-Money Laundering Authority (AMLA) in Frankfurt am Main wird das europäische AML-Regime grundlegend reformiert.

Dieser Beitrag erläutert die zentralen GwG-Pflichten für Finanzdienstleister, beschreibt die Anforderungen an das interne Sicherungssystem und zeigt, wie Matproof die Compliance-Dokumentation und Nachweissammlung automatisiert.

Was ist das GwG?

Das Geldwäschegesetz (Gesetz über das Aufspüren von Gewinnen aus schweren Straftaten) setzt die europäischen Anti-Geldwäsche-Richtlinien in deutsches Recht um. Die aktuelle Fassung basiert auf der Umsetzung der 4. und 5. EU-Geldwäscherichtlinie (Richtlinien (EU) 2015/849 und 2018/843) und wurde durch das Transparenzregister- und Finanzinformationsgesetz (TraFinG) 2021 zuletzt umfassend novelliert.

Das GwG richtet sich an sogenannte Verpflichtete (§ 2 GwG). Im Finanzsektor zählen dazu Kreditinstitute, Finanzdienstleistungsinstitute, Zahlungsinstitute, E-Geld-Institute, Versicherungsunternehmen (soweit sie Lebensversicherungen anbieten), Kapitalverwaltungsgesellschaften und Wertpapierinstitute. Praktisch alle regulierten Finanzunternehmen in Deutschland unterliegen dem GwG.

Das Gesetz verfolgt einen risikobasierten Ansatz. Verpflichtete müssen ihre Maßnahmen zur Geldwäscheprävention an den spezifischen Risiken ihrer Geschäftstätigkeit, ihrer Kundenstruktur und der genutzten Transaktionswege ausrichten. Dieser Ansatz erfordert eine fundierte Risikoanalyse als Grundlage aller weiteren Maßnahmen.

Die Aufsicht über die Einhaltung des GwG im Finanzsektor obliegt der BaFin (§ 50 Nr. 1 GwG). Sie verfügt über weitreichende Befugnisse, einschließlich des Rechts, Prüfungen durchzuführen (§ 51 GwG), Anordnungen zu treffen (§ 51 Abs. 2 GwG) und Bußgelder zu verhängen (§ 56 GwG). Die Zentralstelle für Finanztransaktionsuntersuchungen (FIU) beim Zoll ist die zuständige Stelle für die Entgegennahme und Analyse von Verdachtsmeldungen (§ 27 GwG).

Die wichtigsten Anforderungen

Risikoanalyse (§ 5 GwG)

Die Risikoanalyse bildet das Fundament der GwG-Compliance. § 5 GwG verpflichtet jeden Verpflichteten, die für sein Unternehmen spezifischen Risiken der Geldwäsche und Terrorismusfinanzierung zu ermitteln und zu bewerten. Die Risikoanalyse muss dokumentiert werden, regelmäßig -- mindestens jährlich -- aktualisiert und der BaFin auf Verlangen vorgelegt werden können.

Die Risikoanalyse muss folgende Faktoren berücksichtigen: die Art der Kunden (Privatpersonen, Unternehmen, politisch exponierte Personen), die angebotenen Produkte und Dienstleistungen, die genutzten Vertriebskanäle, die geografischen Risiken (Länder mit erhöhtem Geldwäscherisiko gemäß EU-Hochrisikoländerliste) und die Transaktionsmuster.

Die BaFin hat in ihren Auslegungs- und Anwendungshinweisen zum GwG (AuA) präzisiert, dass die Risikoanalyse nicht nur eine formale Pflichtübung sein darf. Sie muss die tatsächlichen Risiken des Unternehmens abbilden und als Grundlage für die Ausgestaltung der internen Sicherungsmaßnahmen dienen.

Sorgfaltspflichten und KYC (§§ 10-17 GwG)

Die Kundensorgfaltspflichten -- im internationalen Kontext als Know Your Customer (KYC) bezeichnet -- sind der operative Kern der Geldwäscheprävention. § 10 GwG definiert die allgemeinen Sorgfaltspflichten, die bei der Begründung einer Geschäftsbeziehung, bei Transaktionen ab 15.000 EUR außerhalb einer bestehenden Geschäftsbeziehung und bei Verdacht auf Geldwäsche oder Terrorismusfinanzierung anzuwenden sind.

Die allgemeinen Sorgfaltspflichten umfassen:

Identifizierung des Vertragspartners (§ 10 Abs. 1 Nr. 1 GwG): Natürliche Personen werden anhand eines gültigen Ausweisdokuments identifiziert, juristische Personen anhand eines Registerauszugs. Die Identifizierung muss vor Begründung der Geschäftsbeziehung erfolgen.

Feststellung des wirtschaftlich Berechtigten (§ 10 Abs. 1 Nr. 2 GwG): Bei juristischen Personen muss der wirtschaftlich Berechtigte im Sinne des § 3 GwG ermittelt werden. Hierbei ist das Transparenzregister zu nutzen (§ 11 Abs. 5 GwG).

Prüfung des Zwecks und der angestrebten Art der Geschäftsbeziehung (§ 10 Abs. 1 Nr. 3 GwG): Der Verpflichtete muss den wirtschaftlichen Hintergrund der Geschäftsbeziehung verstehen und dokumentieren.

Laufende Überwachung (§ 10 Abs. 1 Nr. 4 GwG): Geschäftsbeziehungen und Transaktionen sind kontinuierlich zu überwachen, um sicherzustellen, dass sie mit dem Risikoprofil des Kunden übereinstimmen.

Verstärkte Sorgfaltspflichten (§ 15 GwG): Bei erhöhtem Risiko -- etwa bei politisch exponierten Personen (PEP), Kunden aus Hochrisikoländern oder komplexen Unternehmensstrukturen -- sind zusätzliche Maßnahmen erforderlich, darunter die Einholung der Genehmigung der Geschäftsleitung und eine verstärkte laufende Überwachung.

Verdachtsmeldungen an die FIU (§ 43 GwG)

Ergibt sich ein Verdacht auf Geldwäsche oder Terrorismusfinanzierung, ist der Verpflichtete zur unverzüglichen Meldung an die FIU verpflichtet (§ 43 Abs. 1 GwG). Die Meldung muss über das elektronische Meldeportal goAML erfolgen. Der Verdachtsfall ist unabhängig davon zu melden, ob die Transaktion bereits durchgeführt wurde oder nicht.

Das sogenannte Tipping-off-Verbot (§ 47 GwG) untersagt es dem Verpflichteten, den Betroffenen oder Dritte über die Verdachtsmeldung zu informieren. Verstöße gegen dieses Verbot können strafrechtlich geahndet werden.

Die Pflicht zur Verdachtsmeldung besteht auch bei versuchter Geldwäsche und bei abgebrochenen Transaktionen. Die BaFin hat klargestellt, dass auch die unterlassene Meldung eines Verdachtsfalls einen Verstoß gegen das GwG darstellt und entsprechend sanktioniert werden kann.

Internes Sicherungssystem (§ 6 GwG)

§ 6 GwG verpflichtet Verpflichtete zur Schaffung eines internen Sicherungssystems, das der Art und dem Umfang ihrer Geschäftstätigkeit angemessen ist. Dieses umfasst:

  • Interne Grundsätze, Verfahren und Kontrollen zur Verhinderung von Geldwäsche
  • Die Bestellung eines Geldwäschebeauftragten und eines Stellvertreters (§ 7 GwG)
  • Zuverlässigkeitsprüfungen für Mitarbeiter in relevanten Positionen
  • Schulungen für alle Mitarbeiter (mindestens jährlich)
  • Eine unabhängige Prüfung des internen Sicherungssystems (§ 6 Abs. 2 Nr. 7 GwG)

Aufzeichnungs- und Aufbewahrungspflichten (§ 8 GwG)

Alle im Rahmen der Sorgfaltspflichten erhobenen Daten und Dokumente müssen aufgezeichnet und aufbewahrt werden. Die Aufbewahrungsfrist beträgt grundsätzlich fünf Jahre nach Ende der Geschäftsbeziehung oder nach Durchführung der Transaktion (§ 8 Abs. 4 GwG). In bestimmten Fällen kann die BaFin eine Verlängerung der Aufbewahrungsfrist anordnen.

Zusammenspiel mit anderen Rahmenwerken

Die GwG-Compliance steht in engem Zusammenhang mit anderen regulatorischen Anforderungen. Das KWG fordert in § 25h eine angemessene Unternehmenssteuerung zur Verhinderung von Geldwäsche, die über die GwG-Anforderungen hinausgeht. Insbesondere die Pflicht zur Einrichtung von Datenverarbeitungssystemen zur Erkennung von Auffälligkeiten im Zahlungsverkehr (§ 25h Abs. 2 KWG) ergänzt die GwG-Anforderungen um technische Komponenten.

Die MaRisk adressiert in BTO 2.2.1 die Anforderungen an die Compliance-Funktion, die auch die Geldwäscheprävention umfassen kann. Die organisatorische Einbettung des Geldwäschebeauftragten muss mit der Compliance-Struktur nach MaRisk harmonisiert werden.

DORA wirkt sich auf die GwG-Compliance insofern aus, als die IT-Systeme, die für KYC-Prüfungen, Transaktionsüberwachung und Verdachtsmeldungen genutzt werden, den Anforderungen an die IKT-Sicherheit nach DORA Art. 5-15 genügen müssen. Auch die Nutzung von Drittanbietern für AML-Screening oder KYC-Dienstleistungen unterliegt den DORA-Anforderungen an IKT-Drittdienstleister (Art. 28-30).

Die DSGVO schafft ein Spannungsfeld mit dem GwG: Während das GwG umfangreiche Datenerhebungs- und Aufbewahrungspflichten vorsieht, fordert die DSGVO Datensparsamkeit und zweckgebundene Verarbeitung. § 11a GwG adressiert dieses Spannungsfeld, indem er die datenschutzrechtliche Grundlage für die Verarbeitung personenbezogener Daten im Rahmen der Geldwäscheprävention schafft.

Compliance-Automatisierung mit Matproof

Die GwG-Compliance erfordert die systematische Dokumentation und Nachweisführung in zahlreichen Bereichen. Matproof unterstützt Finanzdienstleister bei der Automatisierung dieser Prozesse.

Risikoanalyse-Dokumentation: Matproof bildet die GwG-Risikoanalyse strukturiert ab und verknüpft die identifizierten Risiken mit den entsprechenden Sicherungsmaßnahmen. Änderungen in der Risikobewertung werden versioniert dokumentiert, sodass die Entwicklung der Risikoeinschätzung jederzeit nachvollziehbar ist.

Nachweissammlung für das interne Sicherungssystem: Für die Anforderungen nach § 6 GwG sammelt Matproof automatisiert Nachweise: Schulungsnachweise, Ergebnisse von Zuverlässigkeitsprüfungen, Dokumentation der internen Kontrollen und Berichte des Geldwäschebeauftragten werden zentral erfasst und den entsprechenden GwG-Anforderungen zugeordnet.

Cross-Framework-Mapping: GwG-Nachweise werden automatisch den verwandten Anforderungen in KWG § 25h, MaRisk und DORA zugeordnet. Ein Nachweis für die Zugriffssteuerung auf das Transaktionsüberwachungssystem kann beispielsweise gleichzeitig für GwG § 6, KWG § 25h und DORA Art. 9 verwendet werden.

Prüfungsvorbereitung: Matproof generiert strukturierte Unterlagen für die GwG-Sonderprüfungen der BaFin nach § 44 KWG i.V.m. § 51 GwG. Die Nachweispakete orientieren sich an den typischen Prüfungsschwerpunkten und reduzieren den Aufwand für die Prüfungsvorbereitung erheblich.

EU-Datenresidenz: Alle Compliance-Daten -- einschließlich KYC-Dokumente und Verdachtsmeldungsdokumentation -- werden ausschließlich in deutschen Rechenzentren verarbeitet. Dies gewährleistet die Einhaltung der DSGVO und der besonderen Anforderungen an die Vertraulichkeit von GwG-relevanten Daten.

Umsetzungsfahrplan

Phase 1 -- Bestandsaufnahme (3-4 Wochen): Erfassen Sie alle bestehenden GwG-Prozesse, vom KYC-Onboarding über die laufende Überwachung bis zum Verdachtsmeldungsprozess. Dokumentieren Sie die genutzten Systeme und die Schnittstellen zwischen den Prozessen. Identifizieren Sie Bereiche, in denen manuelle Prozesse dominieren.

Phase 2 -- Risikoanalyse-Update (2-3 Wochen): Aktualisieren Sie Ihre GwG-Risikoanalyse unter Berücksichtigung der aktuellen Hochrisikoländerliste der EU, der FATF-Empfehlungen und der branchenspezifischen Risikofaktoren. Dokumentieren Sie die Risikoanalyse in Matproof und verknüpfen Sie sie mit den entsprechenden Sicherungsmaßnahmen.

Phase 3 -- Automatisierung der Nachweissammlung (4-6 Wochen): Verbinden Sie Ihre KYC-Systeme, Transaktionsüberwachung und Schulungsverwaltung mit Matproof. Richten Sie automatisierte Nachweissammlungen ein und definieren Sie Eskalationsprozesse für erkannte Lücken.

Phase 4 -- Pilotbetrieb und Validierung (4 Wochen): Betreiben Sie die automatisierte Nachweissammlung parallel zu den bestehenden Prozessen. Validieren Sie die Vollständigkeit und Richtigkeit der gesammelten Nachweise. Passen Sie die Zuordnungen bei Bedarf an.

Phase 5 -- Produktivbetrieb (laufend): Überführen Sie die Automatisierung in den Regelbetrieb. Nutzen Sie die Matproof-Dashboards für die laufende Überwachung des Compliance-Status und die Vorbereitung auf BaFin-Prüfungen.

Häufig gestellte Fragen

Wer muss einen Geldwäschebeauftragten bestellen?
Alle Verpflichteten im Sinne des § 2 GwG, die im Finanzsektor tätig sind, müssen einen Geldwäschebeauftragten und einen Stellvertreter bestellen (§ 7 Abs. 1 GwG). Der Geldwäschebeauftragte muss über die erforderliche Sachkunde und Zuverlässigkeit verfügen und eine ausreichend hohe Leitungsebene haben, um wirksam agieren zu können. Die Bestellung und Abberufung ist der BaFin anzuzeigen.

Wie oft muss die GwG-Risikoanalyse aktualisiert werden?
Die Risikoanalyse nach § 5 GwG muss regelmäßig überprüft und aktualisiert werden. Die BaFin erwartet eine Aktualisierung mindestens einmal jährlich sowie anlassbezogen -- etwa bei wesentlichen Änderungen der Geschäftstätigkeit, der Kundenstruktur oder der regulatorischen Rahmenbedingungen. Mit Matproof können Sie die Risikoanalyse kontinuierlich pflegen und Änderungen nachvollziehbar dokumentieren.

Welche Fristen gelten für Verdachtsmeldungen?
Verdachtsmeldungen sind unverzüglich an die FIU zu erstatten (§ 43 Abs. 1 GwG). Die BaFin interpretiert "unverzüglich" als "ohne schuldhaftes Zögern", was in der Praxis bedeutet, dass die Meldung innerhalb weniger Stunden nach Erkennung des Verdachts erfolgen sollte. Für die Durchführung der Transaktion gilt eine Wartepflicht von drei Werktagen nach Abgabe der Meldung (§ 46 Abs. 1 GwG), sofern die FIU die Transaktion nicht untersagt.

Wie wirkt sich die neue EU-Anti-Geldwäsche-Verordnung (AMLR) auf das GwG aus?
Die AMLR (Verordnung (EU) 2024/1624) wird als unmittelbar geltende EU-Verordnung wesentliche Teile des GwG ersetzen. Die materiellen Pflichten -- KYC, Risikoanalyse, Verdachtsmeldung -- werden künftig direkt durch die AMLR geregelt. Das GwG wird auf die nationalen Ergänzungsvorschriften reduziert. Die vollständige Anwendung der AMLR ist für 2027 vorgesehen. Matproof integriert die AMLR-Anforderungen bereits in die Cross-Framework-Zuordnung, sodass Finanzdienstleister frühzeitig erkennen können, welche bestehenden GwG-Nachweise auch die AMLR-Anforderungen abdecken.

GwG ComplianceGeldwäschepräventionKYC Pflichten FinanzdienstleisterFIU Verdachtsmeldung

Bereit, Compliance zu vereinfachen?

Werden Sie in Wochen audit-ready, nicht Monaten. Sehen Sie Matproof in Aktion.

Demo anfordern