Geldwäscheprävention in Finanzinstituten – wenn das Risiko plötzlich mit am Tisch sitzt. Wie viele Warnsignale braucht es, bis aus einem Geschäftsvorfall ein Aufsichtsproblem wird? Und wer trägt 2026 die Verantwortung: das System, der Mensch – oder beide?
Wer heute noch glaubt, Geldwäsche sei ein Randthema für „große Skandale“ und exotische Offshore-Konstruktionen, wird in der Praxis schnell eines Besseren belehrt: Geldwäscheprävention ist längst Alltagsrecht, und zwar dort, wo es am meisten wehtut: in den Prozessen, IT-Systemen Verantwortlichkeiten und in der persönlichen Haftungsnähe von Vorständen, Geschäftsleitern und Geldwäschebeauftragten. Während Kunden „nur schnell“ eine Zahlung auslösen, fragt das Recht im Hintergrund gnadenlos: Woher kommt das Geld, wohin geht es, und wer hat es warum nicht früher gesehen?
Die aktuellen Zahlen zeigen, warum dieses Thema nicht theoretisch ist. Die FIU verzeichnete 2024 insgesamt 265.708 Verdachtsmeldungen (nach 322.590 im Jahr 2023) und allein rund 8.700 Meldungen hatten einen Bezug zu Kryptowerten, mit einem neuen Höchstanteil im Gesamtaufkommen. Das ist die stille Botschaft hinter jeder Statistik: Digitale Zahlungswege sind längst kein Nebengleis mehr, sondern häufig der Einstieg in komplexe, grenzüberschreitende Verschiebungen. Und genau deshalb verschiebt sich der Schwerpunkt der Aufsicht, weg vom reinen „Abhaken von Pflichten“, hin zur belastbaren Risikologik: Wer sein institutsindividuelles Risiko nicht versteht, kann es auch nicht steuern.
Genau diesen Punkt hat die BaFin in der jüngsten Praxis sehr deutlich gemacht. Exekutivdirektorin Birgit Rodolphe betont wiederholt, dass das Risiko die alles entscheidende Größe ist und Institute ihre Risiken fundiert und kontinuierlich bewerten müssen, inklusive Terrorismusfinanzierungsrisiken, die in Prüfungen nach BaFin-Beobachtung teils gar nicht oder nicht ausreichend berücksichtigt werden. Damit wird die Risikoanalyse zur juristischen Schaltzentrale: Nicht die Länge des Handbuchs entscheidet, sondern die Frage, ob das Institut nachweisen kann, dass Kontrollen, Monitoring, KYC/CDD, Eskalationen und Schulungen tatsächlich aus dem eigenen Risikoprofil abgeleitet sind und dies nachvollziehbar, aktuell und prüfbar ist.
Für die anspruchsvolle Leserschaft steckt darin ein unbequemes, aber produktives Paradox: Geldwäscheprävention ist zugleich Belastung und Chance. Belastung, weil jedes schwache Glied, Datenqualität, Zuständigkeit, Tool-Governance, „wir machen das wie immer“, zu einem aufsichtsrechtlichen und reputativen Risiko werden kann. Chance, weil Institute, die Risikosignale sauber erkennen, dokumentieren und konsequent abarbeiten, nicht nur Bußgelder und Maßnahmen vermeiden, sondern operative Stabilität gewinnen: bessere Daten, klarere Prozesse, weniger Blindflug. Und 2026 wird das anspruchsvoller, nicht einfacher: Die BaFin selbst stellt die Umsetzung des EU-AML-Pakets und den Start der AMLA als Schwerpunkt heraus – mit spürbaren Auswirkungen für Verpflichtete.
Dr. Thomas Schulte ordnet diese Entwicklung aus juristischer Sicht als Zeitenwende im „Legal Risk Management“ ein: Wer Geldwäscheprävention zu spät ernst nimmt, verhandelt irgendwann nicht mehr über Optimierung, sondern über Pflichtverletzungen, Organisationsverschulden und die Frage, ob das Institut seine Risiken überhaupt im Griff hatte. Die entscheidende Frage lautet deshalb nicht mehr: „Haben wir ein Regelwerk?“ Sondern: „Können wir in einer Prüfung oder Krise beweisen, dass unser System das Risiko wirklich steuert und nicht nur verwaltet?“
Individuelle Risikoanalyse als Grundpfeiler der Prävention
Die Kernbotschaft der BaFin ist so einfach wie tiefgreifend: Es gibt keine „one-size-fits-all“-Lösung in der Geldwäscheprävention. Jedes Finanzinstitut trägt die Verantwortung, seine eigenen Risiken zu identifizieren und daraus konkrete, angemessen dimensionierte Präventionsmaßnahmen abzuleiten. Diese gesetzgeberische und aufsichtsrechtliche Erwartungshaltung ist nicht neu, wird allerdings durch die besondere Dynamik der aktuellen Risikolandschaft nochmals verschärft.
Das deutsche Geldwäschegesetz (GwG), insbesondere in den §§ 4 ff., verlangt von Verpflichteten eine individuelle Risikoanalyse, in der die spezifischen Gefahren in Bezug auf Produkte, Dienstleistungen, Kunden oder geographische Faktoren berücksichtigt werden müssen. Diese Analyse ist nicht nur ein administrativer Akt, sondern stellt das Fundament aller weiteren Sorgfaltspflichten dar.
Als erfahrener Rechtsanwalt in Berlin beobachtet Dr. Schulte häufig, dass Unternehmen diese Pflichten stiefmütterlich behandeln oder gar verkennen, insbesondere wenn sie sich durch ihr Geschäftsmodell als „klein“ oder „harmlos“ einschätzen. Doch gerade hier warnt die BaFin mit Nachdruck, dass auch kleine Institute nicht automatisch risikoarm sind.
Neue Risiken durch digitale Geschäftsmodelle
Die digitale Transformation der Finanzbranche, von FinTechs bis hin zu Kryptodienstleistern, bringt nicht nur Innovation, sondern auch erhebliche neue Risiken. Der fragmentierte Zahlungsverkehr, der grenzüberschreitend und blitzschnell funktioniert, stellt die traditionellen Kontrollsysteme der Finanzwirtschaft zunehmend auf die Probe.
Kryptogeschäfte, insbesondere solche mit hoch volatilen und dezentralen Token, können leicht zur Geldwäsche oder Terrorismusfinanzierung missbraucht werden. Die Anonymität, mit der viele dieser Transaktionen durchgeführt werden, eröffnet Kriminellen neue Wege, illegale Gelder zu verschleiern. In ihrer Rede hebt Rodolphe hervor, dass die risikobasierte Prävention vor allem dann wirksam sei, wenn die Beaufsichtigten „ihre Kunden kennen, deren Geschäftsmodelle verstehen und deren Transaktionen nachvollziehen können“.
Gerade hier zeigt sich, wie essenziell eine gut durchdachte Governance und datengestützte Analysewerkzeuge sind. Es reicht nicht aus, nur formal die Identität eines Kunden zu überprüfen. Vielmehr müssen Institute tiefer in die wirtschaftlichen Hintergründe ihrer Kunden eintauchen. Dies verlangt die BaFin zurecht und wird auch zunehmend eingefordert.
Gesetzliche Grundlagen und Aufsichtsmechanismen
Gemäß § 5 GwG müssen Verpflichtete ihre Risikoanalyse dokumentieren und regelmäßig aktualisieren. § 6 GwG verpflichtet zur Einrichtung eines Risikomanagementsystems, das auch die Einbindung der Geschäftsleitung sowie die Bestellung eines Geldwäschebeauftragten umfasst.
Besonders in § 10 GwG – den allgemeinen Sorgfaltspflichten – wird deutlich, dass ohne fundierte Risikoanalyse keine effektive Prävention möglich ist: Nur auf Basis zutreffender Risikoeinstufung lassen sich die Intensität und Tiefe der Prüfmaßnahmen bemessen. Eine pauschale oder veraltete Einschätzung hingegen kann im Ernstfall nicht nur zu empfindlichen Geldstrafen, sondern auch zum Verlust der Lizenz führen.
Die BaFin erwartet daher, dass alle Verpflichteten, hierzu zählen beispielsweise auch Immobilienmakler sowie Kunsthändler, ihre Pflichten aktiv und intelligent erfüllen, angepasst an die realen Herausforderungen. Die bloße Erfüllung der Mindestanforderungen genügt längst nicht mehr.
Strafrechtliche Implikationen und das Problem der Unwissenheit
Das Argument, man habe „nichts gewusst“, wird im Bereich der Geldwäschebekämpfung zunehmend zurückgewiesen. Nichtwissen ist nicht nur juristisch irrelevant, sondern ein Indikator für mangelhafte Compliance. Nach dem Strafgesetzbuch (§ 261 StGB) steht das Verbergen oder Verschleiern von Vermögensgegenständen aus einer rechtswidrigen Tat unter Strafe, unabhängig von der Höhe des Betrags.
Ein besonders problematisches Element ist die sogenannte „Sorgfaltspflichtverletzung durch Unterlassen“. Wer als Verantwortlicher eines Finanzinstituts es unterlässt, angemessene Schutzmaßnahmen zu implementieren, kann sich persönlich haftbar machen. Dies schließt auch Vorstände und Geschäftsleiter kleiner Unternehmen mit ein.
Diese individuelle Verantwortung betonte auch Rodolphe in ihrer Rede sehr deutlich. Es sei aus Sicht der BaFin „gefährlich und unhaltbar“, wenn Verantwortliche ihre Kunden und deren Geschäftsmodelle nicht kennen. Aus meiner Sicht als Anwalt ist das nicht nur eine Frage der Compliance, sondern schlichtweg der geschäftlichen Sorgfalt und damit zwingend erforderlich.
Verknüpfung mit internationalen Vorgaben
Deutschland steht nicht allein mit seinen Anforderungen. Die Europäische Union hat bereits mit der 5. Geldwäscherichtlinie (EU) 2018/843 erheblich verschärfte Vorgaben eingeführt, die in deutsches Recht übernommen worden sind. Die Financial Action Task Force (FATF), das internationale Gremium zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung, verlangt in ihren Empfehlungen ausdrücklich die Risikoanalyse als zentrales Steuerungsinstrument.
Dementsprechend ist der Trend eindeutig: weg von pauschalen Maßnahmen, hin zu maßgeschneiderten Risikobehandlungen. Das bedeutet konkret mehr Eigenverantwortung für Unternehmen, aber auch mehr Haftung bei Versäumnissen.
Die Rolle von Schulungen und technischer Unterstützung
Moderne Geldwäscheprävention ist keine rein menschliche Aufgabe mehr. Die Komplexität moderner Geschäftsmodelle, internationale Verflechtung und automatisierter Zahlungsverkehr erfordern technische Hilfsmittel. Künstliche Intelligenz, Analyseplattformen und vernetzte Datenbanken gehören mittlerweile zum Standardrepertoire einer zeitgemäßen Compliance-Abteilung. Dennoch dürfen diese Werkzeuge nicht als Allheilmittel missverstanden werden.
„Technik ersetzt kein rechtliches Denken“, erklärt Dr. Thomas Schulte, Berliner Rechtsanwalt für Bank- und Kapitalmarktrecht. „Die beste Software nützt nichts, wenn niemand die aufbereiteten Daten rechtlich einordnen kann.“ Schulungen der Mitarbeiter sowie eine klare Governance-Struktur sind daher ebenso entscheidend bei der Bekämpfung von Geldwäsche.
Fazit: Risiko kennt keine Unternehmensgröße
Wenn die BaFin bei ihrer Aufsichtspraxis feststellt, dass kleine Institute erhebliche Risiken eingehen, bedeutet dies: Jede Annahme, mit einer geringen Unternehmensgröße sei auch das Geldwäscherisiko automatisch niedrig, ist grundfalsch. Die reale Risikolandschaft ändert sich täglich. Sei es durch geopolitische Entwicklungen, neue Geschäftsmodelle oder ständig neue Zahlungsmethoden.
Angesichts dieser Dynamik ist jedes Finanzinstitut angehalten, die eigene Geldwäscheprävention regelmäßig zu überprüfen, Risiken zu evaluieren und interne Abläufe zu optimieren. Dafür ist nicht nur juristische Fachkenntnis nötig, sondern auch strategischer Weitblick. Die Vorgaben sind ein klarer Impuls an alle Marktteilnehmer: Compliance ist kein Box-Ticking, sondern ein gelebter Prozess.
