Entdecken Sie die neuesten Anforderungen des deutschen Geldwäschegesetzes (GwG) 2026: Kundensorgfaltspflichten, digitale SAR-Meldungen über goAML, Transparenzregister und praxisnahe Compliance-Maßnahmen für Banken, Finanzinstitute und Berufsgruppen.

Einführung

Stellen Sie sich ein mittelständisches Finanzdienstleistungsunternehmen in Frankfurt vor, das während einer routinemäßigen internen Prüfung entdeckt, dass es Kund:innen ohne ordnungsgemäße Überprüfung der wirtschaftlich Berechtigten aufgenommen hat – ein klarer Verstoß gegen das deutsche Geldwäschegesetz (GwG). Das Unternehmen sieht sich einer BaFin-Untersuchung, einer möglichen Geldstrafe von bis zu 5 Millionen Euro sowie dem realen Risiko gegenüber, dass seine Geschäftsführenden aus dem Amt entfernt werden. Dieses Szenario ist längst nicht mehr hypothetisch. In ganz Deutschland verschärfen die Aufsichtsbehörden ihre Kontrollen, und Compliance-Verstöße werden teurer denn je.

Deutschland gehört zu den am stärksten überwachten Jurisdiktionen Europas im Bereich der Geldwäscheprävention. Mit dem Geldwäschegesetz (GwG) – dem zentralen deutschen Anti-Geldwäsche-Gesetz – das 2024 und 2025 erheblich aktualisiert wurde und weitere Reformen im Jahr 2026 anstehen, sind die Anforderungen für Banken, Finanzinstitute, Anwaltskanzleien, Notare, Steuerberater und Immobilienfachleute so hoch wie nie zuvor.

Für Compliance-Beauftragte, Finanzfachleute und alle, die in Deutschland für die Geldwäscheaufsicht verantwortlich sind, ist die kontinuierliche Aktualisierung des Wissens über das deutsche Geldwäschegesetz keine Option – es ist gesetzliche Pflicht. Nicht-Einhaltung kann schwerwiegende Strafen, Reputationsschäden und sogar strafrechtliche Haftung nach sich ziehen.

Dieser Leitfaden bietet einen umfassenden, aktuellen Überblick über den deutschen AML-Rechtsrahmen, erläutert die wichtigsten Vorschriften des GwG, die neuesten BaFin-Richtlinien, die Meldepflichten an die Financial Intelligence Unit (FIU) und zeigt auf, was Ihre Organisation tun muss, um auch 2026 regelkonform zu bleiben.

Überblick über den deutschen AML-Rechtsrahmen

Der deutsche Ansatz zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung basiert auf einer mehrschichtigen Rechtsarchitektur. Das Verständnis dieser Struktur ist der erste Schritt zu einer effektiven Compliance.

Das Kernstatut: Geldwäschegesetz (GwG)

Das Geldwäschegesetz (GwG) ist das zentrale Gesetzesinstrument, das die AML-Verpflichtungen in Deutschland regelt. Ursprünglich 1993 erlassen und 2017 grundlegend reformiert, um die 4. EU-Geldwäscherichtlinie umzusetzen, wurde das GwG seitdem kontinuierlich angepasst, um sich ändernden EU-Richtlinien, FATF-Empfehlungen und nationalen Risikobewertungen Rechnung zu tragen.

Die wichtigsten jüngsten Entwicklungen umfassen:

• BaFin-AuA (Auslegungs- und Anwendungshinweise): Überarbeitet am 29. November 2024, wirksam ab 1. Februar 2025, mit erweiterten Pflichten zu Risikobewertungen, Dokumentation und Meldung verdächtiger Aktivitäten.
• GwGMeldV (Verordnung über Meldepflichten): Veröffentlicht am 1. September 2025, in Kraft getreten am 1. März 2026, schreibt die vollständig digitale Übermittlung von Meldungen über verdächtige Aktivitäten über das goAML-System der FIU vor.
• Zollfinanzgerechtigkeitsgesetz (ZFG): Entwurf eines Reformgesetzes, veröffentlicht vom Bundesministerium der Finanzen am 3. März 2026, das weitere strukturelle Änderungen am GwG vorschlägt, einschließlich eines erweiterten Geltungsbereichs für verpflichtete Unternehmen.

Die regulatorische Architektur

Der deutsche AML-Rahmen funktioniert über drei miteinander verbundene Säulen:

GwG (Gesetzgebung) → BaFin (Aufsichtsbehörde) → FIU (Financial Intelligence Unit) → Verpflichtete Unternehmen

• BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) ist die deutsche Finanzaufsichtsbehörde. Sie überwacht die Einhaltung des GwG durch Finanzinstitute und erlässt verbindliche Auslegungs- und Anwendungshinweise (AuA).
• FIU (Zentralstelle für Finanztransaktionsuntersuchungen), angesiedelt in der Generalzolldirektion, erhält, analysiert und leitet Meldungen über verdächtige Aktivitäten an die Strafverfolgungsbehörden weiter.
• Verpflichtete Unternehmen – darunter Banken, Versicherungen, Krypto-Asset-Dienstleister, Anwälte, Notare, Wirtschaftsprüfer und Immobilienmakler – müssen AML-Maßnahmen entsprechend den Anforderungen des GwG umsetzen.

Das EU-AML-Paket von 2024 (einschließlich der 6. AML-Richtlinie und der AML-Verordnung) prägt zusätzlich die Entwicklung des deutschen Geldwäscherechts. Die neue EU-Anti-Money-Laundering-Authority (AMLA) wird ab dem 10. Juli 2027 aufsichtsrechtliche Aufgaben übernehmen und ein standardisiertes EU-weites Meldeformat einführen.

Wichtige Definitionen nach dem GwG

Bevor Sie Ihre Compliance-Verpflichtungen im Detail betrachten, ist es entscheidend, die zentrale Terminologie des GwG zu verstehen. Diese Definitionen legen fest, was reguliert ist, wer reguliert wird und welche Handlungen Meldepflichten auslösen.

Geldwäsche

Gemäß § 261 Strafgesetzbuch (StGB) umfasst Geldwäsche das Verbergen, Verschleiern, Erlangen, Umwandeln oder Übertragen von Vermögenswerten, die aus einer Straftat stammen. Das GwG übernimmt diese Definition direkt. Entscheidend ist, dass nach der Umsetzung der 5. EU-Geldwäscherichtlinie (AMLD5) nun alle Straftaten als Vortaten dienen können – die zuvor eingeschränkte Katalogregelung entfällt.

Terrorismusfinanzierung

Definiert in § 1 Abs. 2 GwG, bezeichnet Terrorismusfinanzierung das Bereitstellen oder Sammeln von Vermögenswerten, wobei der Täter weiß, dass diese für terroristische Handlungen oder Organisationen verwendet werden. Die BaFin hat kürzlich hervorgehoben, dass Terrorismusfinanzierung nun als eigenständiges Risiko getrennt von der Geldwäsche betrachtet wird und dedizierte Kontrollmaßnahmen erfordert.

Wirtschaftlich Berechtigter

Der wirtschaftlich Berechtigte ist die natürliche Person, die letztlich ein Unternehmen besitzt oder kontrolliert – in der Regel definiert als Besitz von mehr als 25 % der Anteile oder Stimmrechte oder die Ausübung von Kontrolle auf andere Weise. Die Identifizierung wirtschaftlich Berechtigter ist ein Grundpfeiler der Kundensorgfaltspflichten (Due Diligence) nach dem GwG.

• Wenn keine natürliche Person die Schwelle erreicht, sieht das GwG einen fiktiven wirtschaftlich Berechtigten vor – üblicherweise ein leitender Geschäftsführer.
• Wichtig: Das BaFin-AuA-Update 2025 behielt die Regel bei, dass in der Regel nur ein fiktiver wirtschaftlich Berechtigter identifiziert werden muss (eine Änderung gegenüber dem zuvor vorgeschlagenen Entwurf).

Transparenzregister

Das Transparenzregister in Deutschland ist ein öffentlich zugängliches Register, in dem juristische Personen ihre wirtschaftlich Berechtigten offenlegen müssen. Verpflichtete Unternehmen sind verpflichtet, die Angaben zu den wirtschaftlich Berechtigten im Rahmen ihrer Kundensorgfaltspflichten gegen dieses Register zu überprüfen.

Im Rahmen der vorgeschlagenen ZFG-Reformen sollen die Zugriffsrechte auf das Transparenzregister erweitert werden, um den Anforderungen der 6. EU-Geldwäscherichtlinie (AMLD6) zu entsprechen.

AML-Verpflichtungen für Unternehmen

Das GwG legt eine umfassende Reihe von Pflichten für Verpflichtete (obliged entities) fest. Diese betreffen sowohl Finanzinstitute (Banken, Versicherungen, Investmentgesellschaften, Zahlungsinstitute, Krypto-Asset-Dienstleister) als auch nicht-finanzielle Unternehmen und Berufsgruppen (Notare, Anwälte, Wirtschaftsprüfer, Immobilienmakler, Steuerberater und weitere, die in § 2 GwG aufgelistet sind).

1. Kundensorgfaltspflichten (Customer Due Diligence, CDD)

Die Kundensorgfalt bildet das Fundament der GwG-Compliance. Gemäß §§ 10–17 GwG müssen verpflichtete Unternehmen:

• Identität von Kunden und ggf. wirtschaftlich Berechtigten feststellen und verifizieren, unter Verwendung von Original- oder gleichwertigen Dokumenten (§ 12 ff. GwG). Die BaFin hat klargestellt, dass Verifizierungsdokumente grundsätzlich im Original vorliegen müssen, sofern keine gesetzliche Ausnahme greift.
• Zweck und Art der Geschäftsbeziehung verstehen.
• Geschäftsbeziehungen kontinuierlich überwachen und Kundendaten risikogerecht aktualisieren. Die BaFin-AuA 2025 führte verkürzte Fristen für die Aktualisierung von Kundendaten bei höherem Risiko ein.
• Wirtschaftlich Berechtigte identifizieren und angemessene Maßnahmen zur Überprüfung ihrer Identität treffen. Bei juristischen Personen umfasst dies die Prüfung des Transparenzregisters. Die BaFin verlangt nun zudem, dass verpflichtete Unternehmen den Wohnsitz des wirtschaftlich Berechtigten risikobasi.

Es gelten drei Stufen der Sorgfaltspflicht, abhängig vom Risiko:

2. Meldepflichten: Verdachtsmeldungen (Suspicious Activity Reports, SARs)

Gemäß § 43 GwG müssen verpflichtete Unternehmen unverzüglich, spätestens jedoch am nächsten Werktag, eine Verdachtsmeldung (SAR) bei der FIU einreichen, sobald sie Anhaltspunkte für Geldwäsche oder Terrorismusfinanzierung erkennen.

Wichtige Regeln für Verdachtsmeldungen umfassen:

• Duldungspflicht (Duty to stand still): Nach Abgabe einer SAR darf die betreffende Transaktion in der Regel nicht ausgeführt werden, bis entweder die FIU oder die Staatsanwaltschaft zustimmt oder drei Werktage ohne Verbotsmitteilung verstrichen sind (§ 46 Abs. 1 GwG).
• Digitale Übermittlung ab 1. März 2026: Alle SARs müssen ausschließlich über die goAML-Plattform der FIU eingereicht werden (GwGMeldV). Post-, Fax- oder manuelle Einreichungen sind nicht mehr zulässig. Meldungen müssen im maschinenlesbaren XML-Format erfolgen, Anhänge müssen elektronisch durchsuchbar sein.
• Erhöhte Sorgfaltspflichten nach einer SAR: Wird eine SAR eingereicht und erhält die FIU innerhalb von 21 Kalendertagen kein Feedback, entfällt die Pflicht zur erhöhten Sorgfalt. In Fällen mit Terrorismusfinanzierungsverdacht müssen erhöhte Sorgfaltspflichten jedoch mindestens 6 Monate nach der Meldung aufrechterhalten werden.

Die FIU analysiert die SARs, koordiniert sich mit Strafverfolgungsbehörden und internationalen Stellen und kann verdächtige Transaktionen bis zu einem Monat aussetzen.

3. Aufzeichnungs- und Aufbewahrungspflichten

Gemäß § 8 GwG müssen verpflichtete Unternehmen alle Maßnahmen der Kundensorgfalt dokumentieren und die Aufzeichnungen mindestens fünf Jahre nach Beendigung der Geschäftsbeziehung oder Durchführung der Transaktion aufbewahren.

Die Dokumentation muss so erfolgen, dass sie für die zuständigen Behörden, einschließlich der BaFin, zugänglich und prüfbar ist.

4. Compliance-Checkliste für Unternehmen

Die folgende Checkliste hilft, die grundlegenden Verpflichtungen nach dem GwG innerhalb Ihrer Organisation zu überprüfen:

• Geltungsbereich prüfen: Ist Ihr Unternehmen oder Beruf nach § 2 GwG als verpflichtete Stelle aufgeführt?
• CDD-Verfahren: Verfügen Sie über dokumentierte Prozesse zur Identifizierung von Kunden und wirtschaftlich Berechtigten?
• Risikobewertung: Wurde eine schriftliche Risikobewertung durchgeführt, die auf Ihre Kundschaft und Geschäftstätigkeiten zugeschnitten ist?
• Transparenzregister: Wird das Transparenzregister im Rahmen des CDD-Prozesses abgefragt?
• SAR-Verfahren: Gibt es einen klaren internen Prozess zur Meldung von Verdachtsfällen über goAML?
• Aufbewahrung von Unterlagen: Werden die Aufzeichnungen zu den CDD-Maßnahmen mindestens fünf Jahre aufbewahrt?
• Benennung eines MLRO: Wurde ein Money Laundering Reporting Officer bestellt (falls erforderlich)?
• Mitarbeiterschulung: Erhalten relevante Mitarbeitende regelmäßig Schulungen zu Geldwäscheprävention?

Risikobasierter Ansatz und AML-Richtlinien

Der risikobasierte Ansatz bildet das konzeptionelle Rückgrat des GwG. Er verlangt von verpflichteten Unternehmen, die Intensität ihrer AML-Maßnahmen an die tatsächlichen Geldwäsche- und Terrorismusfinanzierungsrisiken anzupassen, anstatt Einheitsverfahren auf alle Geschäftsbeziehungen anzuwenden.

Durchführung einer Risikoanalyse

Gemäß § 5 GwG muss jede verpflichtete Stelle eine schriftliche Risikoanalyse erstellen und fortlaufend pflegen, die die Risiken in Bezug auf folgende Bereiche identifiziert und bewertet:

• Kundenbasis (Typen, Branchen, geografische Herkunft)
• Angebotene Produkte und Dienstleistungen
• Transaktionsvolumen und -kanäle
• Geografische Exponierung (z. B. Geschäfte mit Hochrisikoländern)

Die BaFin-AuA 2025 legt nun eine Mindestliste von Informationsquellen fest, die für Risikoanalysen zu verwenden sind, wodurch frühere Unsicherheiten deutlich reduziert werden. Dazu zählen:

• Nationale Risikoanalysen
• BaFin-eigene Risikopublikationen
• FATF-Länderbewertungen

Der Umfang und die Art der Geschäftstätigkeit des verpflichteten Unternehmens müssen berücksichtigt werden. Die Risikoanalyse ist regelmäßig zu überprüfen und zu aktualisieren, insbesondere bei Veränderungen in den Geschäftstätigkeiten.

Interne Sicherungsmaßnahmen

Auf Grundlage der Risikoanalyse müssen verpflichtete Unternehmen gemäß § 6 GwG proportionale interne Sicherungsmaßnahmen umsetzen:

• Benennung eines Money Laundering Reporting Officers (MLRO):

Verpflichtend für die meisten Finanzinstitute.Der MLRO muss in Deutschland ansässig sein und seine Tätigkeit im Inland ausüben.Ab Juli 2025 müssen MLRO-Meldungen an die BaFin elektronisch über das BaFin-Melde- und Veröffentlichungsportal eingereicht werden.

• Interne Richtlinien, Kontrollen und Verfahren:

Schriftliche AML-Richtlinien, die die Kundenzulassung, Kundensorgfaltspflichten (CDD), SAR-Meldungen und Eskalationsverfahren abdecken.

• Mitarbeiterprüfung:

Zuverlässigkeitsprüfungen für relevante Mitarbeitende.

Die BaFin hat klargestellt, dass das Outsourcing der Prüfung der Mitarbeiterzuverlässigkeit stets als Outsourcing einer kritischen oder wichtigen Funktion gilt und den Anforderungen von EBA und MaRisk entsprechen muss.

• Mitarbeiterschulung:

Regelmäßige und dokumentierte AML-Schulungen für alle relevanten Mitarbeitenden.

Dies ist eine verpflichtende Pflicht, keine freiwillige Best Practice.

• IT- und Datensysteme:

Geeignete Transaktionsüberwachungssysteme und die technische Fähigkeit, SARs über goAML einzureichen.

AML bei Banken vs. Nicht-finanziellen Unternehmen

Der risikobasierte Ansatz wird je nach Sektor unterschiedlich umgesetzt:

Banken und Finanzinstitute in Frankfurt und anderen Finanzzentren stehen vor komplexen Produktportfolios, grenzüberschreitenden Transaktionen und direkter BaFin-Aufsicht.Ihre Risikoanalysen müssen detailliert sein,die Überwachung automatisiert,und die MLRO-Funktion formell strukturiert.

Nicht-finanzielle Unternehmen und Berufsgruppen (DNFBPs) – wie Notare, Anwälte, Wirtschaftsprüfer und Immobilienmakler – haben ein anderes Risikoprofil.Beispiel Immobilien: Nach der GwGMeldV-Immobilien müssen Notare und Immobilienmakler Verdachtsmeldungen (SARs) einreichen bei Immobilientransaktionen, die PEPs, undurchsichtige Eigentumsstrukturen oder Transaktionen mit unbegründeten Bewertungen betreffen.

Stärken Sie Ihr AML-Wissen mit praxisnaher, fachlich fundierter Weiterbildung. Der Kurs „Bekämpfung von Geldwäsche & Finanzkriminalität“ am German Compliance Institute richtet sich an Compliance-Professionals, Finanzteams und alle, die sich in Geldwäscheprävention und Financial Crime in Deutschland weiterbilden möchten.

Der Kurs behandelt GwG-Verpflichtungen, risikobasierte Ansätze, SAR-Meldungen und weitere zentrale Themen und vermittelt praktische Fähigkeiten, um Ihre Organisation zu schützen und Ihre berufliche Entwicklung voranzutreiben.

Kundensorgfaltspflichten und laufende Überwachung

Customer Due Diligence (CDD) – im Deutschen als Sorgfaltspflichten bezeichnet – ist eine der operativ anspruchsvollsten Säulen des GwG. Es handelt sich dabei nicht um eine einmalige Pflichtübung. Gemäß GwG ist CDD eine kontinuierliche Verpflichtung, die zu Beginn jeder Geschäftsbeziehung anzuwenden und über die gesamte Dauer der Beziehung hinweg aufrechtzuerhalten ist.

Bevor eine Geschäftsbeziehung eingegangen oder eine wesentliche Transaktion durchgeführt wird, müssen verpflichtete Unternehmen:

1. Erfassung von Identifikationsdaten — Bei natürlichen Personen sind der vollständige Name, das Geburtsdatum, die Staatsangehörigkeit und die Anschrift zu erfassen; bei juristischen Personen sind Firmenname, Rechtsform, Sitz und Handelsregisternummer anzugeben.
2. Verifizierung der Identität anhand von Originaldokumenten — In der Regel ein Personalausweis oder Reisepass für natürliche Personen und ein Handelsregisterauszug für Unternehmen. Die BaFin-AuA 2025 bestätigte, dass Verifizierungsdokumente grundsätzlich im Original vorliegen müssen, sofern keine spezifische gesetzliche Ausnahme greift.
3. Identifizierung und Verifizierung des wirtschaftlich Berechtigten (wirtschaftlich Berechtigter) — Die natürliche Person, die letztlich den Kunden besitzt oder kontrolliert, in der Regel ab einer 25%-Schwelle. Dies umfasst die Prüfung des Transparenzregisters und, soweit relevant, die Ermittlung des Wohnsitzlandes des wirtschaftlich Berechtigten.
4. Zusätzlich müssen politisch exponierte Personen (PEPs) bewertet werden — Personen, die aktuelle oder frühere bedeutende öffentliche Ämter innehaben oder innehatten, unterliegen erhöhten Sorgfaltspflichten, unabhängig von ihrer formalen Risikoeinstufung.

Laufende Transaktionsüberwachung

Die einmalige Identifizierung eines Kunden reicht nicht aus. Gemäß § 10 Abs. 1 Nr. 5 GwG müssen verpflichtete Unternehmen Geschäftsbeziehungen kontinuierlich überwachen und Transaktionen prüfen, um sicherzustellen, dass diese mit dem Wissen über den Kunden, seinem Geschäftsprofil und seiner Risikoklassifizierung übereinstimmen. Treten Anomalien auf, muss dies eine Neubewertung auslösen und gegebenenfalls zur Meldung einer verdächtigen Transaktion (SAR) führen.

Die aktualisierten BaFin-Richtlinien führten verkürzte Fristen zur Aktualisierung von Kundendaten ein. Hochrisikokunden müssen häufiger überprüft werden, wobei die BaFin ein vollständiges Inkrafttreten der neuen Aktualisierungszyklen bis Juli 2027 festgelegt hat.

Tipps für eine effiziente Umsetzung der Kundensorgfaltspflichten (CDD)

• Automatisieren, wo möglich: Nutzen Sie KYC-Software und Dokumentenprüftools, um große Kundenzahlen effizient zu verwalten, insbesondere bei Identitätsprüfungen und Sanktionsscreenings.
• Kunden nach Risikostufen einteilen: Nicht jeder Kunde erfordert die gleiche Prüfintensität. Investieren Sie verstärkt in Hochrisikofälle und vereinfachen Sie das Onboarding bei Niedrigrisikokunden.
• Alles dokumentieren: Vor-Ort-Prüfungen der BaFin haben weit verbreitete Dokumentationsdefizite gezeigt. Wenn etwas nicht schriftlich und prüfbar dokumentiert ist, existiert es aus Sicht der Aufsichtsbehörden nicht.
• Review-Trigger einrichten: Implementieren Sie automatisierte Warnmeldungen für lebensverändernde Ereignisse, Transaktionsanomalien, PEP-Treffer, Sanktionslistenmeldungen und Unstimmigkeiten aus dem Transparenzregister.

Verdachtsmeldungen (SARs) & FIU-Richtlinien

Das Einreichen von Verdachtsmeldungen (Suspicious Activity Reports, SARs) gehört zu den kritischsten – und am stärksten überwachten – Pflichten nach dem GwG. Die deutschen Aufsichtsbehörden haben unmissverständlich klargestellt: verspätete, unvollständige oder ausbleibende Meldungen werden sanktioniert.

Wann müssen Sie melden?

Gemäß § 43 Abs. 1 GwG muss eine verpflichtete Stelle unverzüglich eine SAR bei der deutschen FIU einreichen, sobald sie Anhaltspunkte erkennt, die – unter Berücksichtigung der Gesamtumstände – auf Geldwäsche, Terrorismusfinanzierung oder eine zugehörige Vortat hindeuten. Dabei existiert keine Mindestgrenze für die Transaktionshöhe.

Die Meldepflicht tritt ein, sobald ein tatsächlicher Verdachtsgrund besteht – es ist keine Gewissheit erforderlich. Liegen die Fakten noch nicht aus, um den Schwellenwert zu erfüllen, muss die verpflichtete Stelle die Sachlage zunächst zügig weiter klären.

Häufige Auslöser für Verdachtsmeldungen (SARs) in der deutschen Praxis

Zu den typischen Anzeichen, die eine Verdachtsmeldung auslösen können, gehören:

• Große oder strukturell ungewöhnliche Bargeldtransaktionen ohne nachvollziehbare wirtschaftliche Begründung
• Kunden, die widersprüchliche oder unplausible Erklärungen zu Transaktionen abgeben
• Abweichungen zwischen der angegebenen Geschäftstätigkeit und den tatsächlichen Transaktionsmustern
• Transaktionen mit Hochrisikoländern, die von FATF oder der EU als solche ausgewiesen werden
• Unstimmigkeiten aus dem Transparenzregister bezüglich der wirtschaftlich Berechtigten
• Transaktionen mit politisch exponierten Personen (PEPs) oder deren nahen Angehörigen
• Immobilientransaktionen mit überhöhten Kaufpreisen, PEP-Beteiligung oder undurchsichtigen Strukturen (GwGMeldV-Immobilien)
• Ungewöhnliche Aktivitäten in Krypto-Asset-Konten oder Transfers zu/von selbstverwalteten Wallet-Adressen

Einreichung von Verdachtsmeldungen: Das goAML-System

Ab dem 1. März 2026 müssen alle SARs ausschließlich über die digitale Plattform goAML eingereicht werden, die von der FIU betrieben wird (GwGMeldV). Post-, Fax- oder manuelle Einreichungen sind nicht mehr zulässig.

Schritt-für-Schritt-Anleitung zur Einreichung von SARs

1. Verdacht identifizieren – Dokumentieren Sie die Fakten und die Begründung, die den Schwellenwert für einen Verdacht ausgelöst haben.
2. SAR-Formular ausfüllen – Geben Sie alle erforderlichen Daten direkt im goAML-System ein oder reichen Sie die Meldung im XML-Format ein. Wichtige Datenfelder umfassen: beteiligte Personen, Konten, Transaktionen sowie eine klare narrative Beschreibung der verdächtigen Aktivitäten. Kritische Informationen dürfen nicht in Anhängen versteckt werden; relevante Fakten müssen direkt in der Meldung erfasst sein.
3. Unverzüglich einreichen – Grundsätzlich muss die SAR noch am selben Werktag oder spätestens am nächsten Werktag nach Entstehen des Verdachts eingereicht werden.
4. Duldungspflicht beachten – Nach Abgabe der SAR darf die Transaktion in der Regel nicht weitergeführt werden, bis entweder die FIU oder die Staatsanwaltschaft zugestimmt hat oder drei Werktage ohne Verbotsmitteilung verstrichen sind.
5. Intern dokumentieren – Bewahren Sie alle Beurteilungen, Entscheidungen und unterstützenden Unterlagen auf, auch wenn letztlich keine SAR eingereicht wird.
   

Vertraulichkeit – Das „Tipping-Off“-Verbot

Verpflichtete Unternehmen dürfen den Kunden oder Dritte keinesfalls darüber informieren, dass eine SAR eingereicht wurde oder eine Untersuchung läuft (Tipping-Off-Verbot, § 47 GwG). Ein Verstoß gegen dieses Verbot stellt eine eigene Straftat dar.

Nach der SAR: FIU-Rückmeldung und Sorgfaltspflichten

Die FIU analysiert eingehende SARs, koordiniert sich mit den Strafverfolgungsbehörden und kann verdächtige Transaktionen bis zu einem Monat aussetzen.

Erhält die verpflichtete Stelle innerhalb von 21 Kalendertagen kein Feedback, entfällt die Pflicht zur erhöhten Sorgfalt, sofern keine unabhängigen Hinweise auf ein erhöhtes Risiko bestehen.

Bei Verdacht auf Terrorismusfinanzierung müssen erhöhte Sorgfaltspflichten mindestens 6 Monate nach Einreichung der SAR aufrechterhalten werden, unabhängig von einer Rückmeldung der FIU.

Transparenzregister & wirtschaftlich Berechtigte

Das deutsche Transparenzregister ist ein öffentlich zugängliches Register, in dem die wirtschaftlich Berechtigten -also die natürlichen Personen, die letztlich juristische Personen in Deutschland besitzen oder kontrollieren - erfasst werden. Das Register wird vom Bundesanzeiger Verlag im Auftrag des Bundesministeriums der Finanzen geführt und ist ein zentrales Instrument des GwG zur Bekämpfung von Geldwäsche.

Wer muss sich eintragen?

Juristische Personen - darunter GmbHs, Aktiengesellschaften, Personengesellschaften, Stiftungen und Trusts - sind verpflichtet, ihre wirtschaftlich Berechtigten im Transparenzregister zu melden. Ein wirtschaftlich Berechtigter ist jede natürliche Person, die direkt oder indirekt mehr als 25 % der Anteile oder Stimmrechte hält oder auf andere Weise Kontrolle ausübt.

Die Qualität und Vollständigkeit des Registers wird kontinuierlich verbessert. Seit Januar 2025 wurden Identitäts- und Verifizierungsprüfungen eingeführt, um sicherzustellen, dass nur autorisierte Personen Einträge vornehmen können. Ab Juli 2025 ist die freiwillige Offenlegung der gesamten Eigentums- und Kontrollstruktur erlaubt, und ab Januar 2027 wird der Geburtsort der wirtschaftlich Berechtigten zu einem obligatorischen Datenfeld.

Kundensorgfaltspflichten in Verbindung mit dem Transparenzregister

Für verpflichtete Unternehmen ist das Transparenzregister nicht nur ein Referenzinstrument, sondern ein obligatorischer Kontrollpunkt im CDD-Prozess. Beim Onboarding von Unternehmenskunden müssen verpflichtete Unternehmen:

• Das Transparenzregister im Rahmen der Überprüfung der wirtschaftlich Berechtigten abfragen.
• Unstimmigkeiten zwischen den Angaben im Register und den eigenen CDD-Ergebnissen an den Bundesanzeiger melden (§ 23a GwG) — dies löst nicht automatisch eine SAR-Pflicht aus.
• Die Ergebnisse der Registerabfrage dokumentieren und mindestens fünf Jahre aufbewahren.

Praxisleitfaden für Registrierung und Verifizierung

• Überprüfen Sie Registereinträge aktiv - das Transparenzregister darf nicht als unfehlbar betrachtet werden. Kreuzen Sie die Angaben mit Handelsregisterauszügen, Unternehmensdokumenten und den vom Kunden bereitgestellten Informationen ab.
• Protokollieren Sie Ihre Abfragen - die BaFin erwartet Nachweise, dass das Register als Teil Ihres CDD-Prozesses geprüft wurde. Eine automatisierte Protokollierung innerhalb Ihres KYC-Systems wird empfohlen.
• Handeln Sie bei Unstimmigkeiten - widersprechen die Registerdaten Ihren CDD-Ergebnissen, müssen Sie die Unstimmigkeit an den Bundesanzeiger melden und intern eskalieren.
• Erweiterte Zugriffsrechte - im Rahmen der vorgeschlagenen ZFG-Reform werden die Zugriffsrechte auf das Transparenzregister gemäß EU-AML6-Richtlinie ausgeweitet, sodass Informationen einem größeren Kreis autorisierter Stellen zugänglich gemacht werden.

Geldstrafen und regulatorische Konsequenzen bei Verstößen gegen das GwG

Die deutschen Aufsichtsbehörden haben zunehmend deutlich gemacht, dass Nicht-Einhaltung der Geldwäschevorschriften erhebliche finanzielle, reputationsbezogene und berufliche Konsequenzen nach sich zieht. Die Zeit symbolischer Bußgelder für Verfahrensverstöße ist vorbei.

Das Strafrahmenwerk gemäß § 56 GwG

Das GwG sieht eine gestufte Strafstruktur vor:

• Standardmäßige Verwaltungsgelder: Bis zu 150.000 € für die meisten Verstöße, abhängig von Schwere und Verschulden.
• Schwere und systematische Verstöße (§ 56 Abs. 2 und 3 GwG): Für erhebliche oder wiederholte Verstöße von Finanzinstituten beträgt das höchste Bußgeld entweder 1–5 Millionen € oder 10 % des Bruttojahresertrags des Unternehmens im Vorjahr, je nachdem, welcher Wert höher ist.
• Strafrechtliche Haftung: Unabhängig von Verwaltungsgeldern können Personen, die Geldwäsche erleichtern oder verschleiern, nach § 261 StGB strafrechtlich verfolgt werden.
• Weitere Sanktionen: Die BaFin kann die Abberufung verantwortlicher Führungskräfte verlangen, Personen die Ausübung von Leitungsfunktionen untersagen, Lizenzen entziehen und spezifische Abhilfemaßnahmen anordnen.

Praxisbeispiele für Durchsetzungsmaßnahmen — Sanktionen durch deutsche Aufsichtsbehörden

Aktuelle BaFin-Durchsetzungsmaßnahmen verdeutlichen die Risiken unmissverständlich:

Der Fall J.P. Morgan ist besonders lehrreich: Das Bußgeld wurde nach einer umsatzbasierten Formel gemäß § 56 Abs. 3 GwG berechnet. Dies zeigt, dass für große Institutionen die feste Obergrenze von 5 Millionen Euro nicht mehr gilt - die Exponierung steigt proportional zur Unternehmensgröße.

Aktuelle Entwicklungen & Änderungen 2026

Die deutsche Geldwäscheaufsicht durchläuft derzeit die intensivste Phase regulatorischer Aktivitäten seit Jahren. Compliance-Professionals müssen mehrere parallele Entwicklungen beobachten, die sofortige Umsetzungsfolgen nach sich ziehen.

Wichtige Änderungen, die Sie 2026 kennen müssen

1. Pflicht zur digitalen SAR-Meldung über goAML (ab 1. März 2026)
   Die GwGMeldV (Verordnung über Meldepflichten) trat am 1. März 2026 in Kraft. Alle SARs müssen nun ausschließlich über das digitale goAML-System der FIU im XML-Format eingereicht werden. Manuelle Einreichungsmethoden – Fax, Post oder unstrukturierte elektronische Kommunikation – sind dauerhaft verboten. Unvollständige SARs können selbst Verwaltungsbußgelder auslösen.
2. Überarbeitete BaFin-AuA - Wirksam ab Februar 2025, aktualisiert Juli 2025
   Das umfassende Update der Auslegungs- und Anwendungshinweise (AuA) brachte weitreichende Änderungen:.Erweiterte Standards für Risikobewertungen.Neue obligatorische Mindestinformationsquellen.Schnellere Aktualisierungszyklen für Kundendaten bei Hochrisikokunden.Klarstellung der MLRO-Outsourcing-Regeln.Eine weitere Änderung im Juli 2025 führte die obligatorische elektronische MLRO-Registrierung über das BaFin-Onlineportal ein.
3. Krypto-Asset-Dienstleister: Neuer Geltungsbereich und EDD-Pflichten
   Seit Dezember 2024 fallen Krypto-Asset-Dienstleister und bestimmte Emittenten asset-referenced Tokens explizit unter das GwG im Rahmen des Finanzmarkt-Digitalisierungsgesetzes.
   Erhöhte Sorgfaltspflichten (EDD) für Transfers zu oder von selbstverwalteten Wallet-Adressen (§ 15a GwG) gelten ab März 2025.
4. AMLA operativ in Frankfurt (ab Juli 2025)
   Die EU-Anti-Money Laundering Authority (AMLA) mit Sitz in Frankfurt nahm im Juli 2025 den Betrieb auf.Ab 2028 wird AMLA rund 40 Hochrisiko-Finanzinstitute direkt beaufsichtigen (inklusive großer Krypto-Dienstleister).AMLA entwickelt EU-weit standardisierte AML-Meldeformate, die ab 10. Juli 2027 die GwGMeldV ablösen werden.

5. ZFG-Reformentwurf - Konsultation 2026
   Das Bundesministerium der Finanzen veröffentlichte am 3. März 2026 den Entwurf des Zollfinanzgerechtigkeitsgesetzes (ZFG). Zentrale geplante Änderungen:

• Finanzholdinggesellschaften werden ab 1. Januar 2027 verpflichtete GwG-Stellen
• Erweiterte SAR-Auslöser: Bereits ein Verdacht auf jede Straftat nach § 261 StGB genügt, wodurch die Meldepflicht ausgeweitet wird
• Erweiterte Zugriffsrechte auf das Transparenzregister gemäß EU-AML6
• Nicht-Registrierung in goAML wird ab Januar 2027 für die meisten Stellen bußgeldbewehrt

      6. Intensivierte BaFin-Aufsicht - Mehr Vor-Ort-Prüfungen
          Die BaFin hat ihr Vor-Ort-Inspektionsprogramm im Finanzsektor verstärkt. Prüfergebnisse zeigen                weiterhin Schwächen bei Risikodokumentation, Aktualisierung von Kundendaten und SAR-                          Meldungen. Besonders Krypto-, FinTech- und Zahlungsinstitute stehen unter erhöhter Aufsicht zu                Beginn des Jahres 2026.

Fazit & Zentrale Erkenntnisse

Der deutsche AML-Rechtsrahmen war noch nie so anspruchsvoll — und noch nie so konsequent durchgesetzt. Die Entwicklungen in 2024 und 2025 haben dies deutlich gemacht: Aufsichtsbehörden verhängten Millionenstrafen gegen die größten Banken des Landes, erweiterten die Pflichten für Krypto-Asset-Dienstleister, verschärften die Standards für SAR-Meldungen und digitalisierten die gesamte Meldeinfrastruktur vor Inkrafttreten der goAML-Pflicht im März 2026.

Für Compliance-Beauftragte, Finanzfachleute, Wirtschaftsprüfer und alle, die innerhalb oder im Umfeld des deutschen Finanzsystems tätig sind, ist die Botschaft eindeutig: GwG-Compliance ist nicht optional, kein bloßer Back-Office-Prozess und kein „Set-and-Forget“-Programm. Es handelt sich um eine laufende, sich kontinuierlich entwickelnde Verpflichtung, die strukturierte Prozesse, sorgfältig dokumentierte Risikoanalysen, geschultes Personal und vor allem eine Unternehmenskultur erfordert, die Finanzkriminalität aktiv bekämpft.

Zentrale Erkenntnisse

• Das Geldwäschegesetz (GwG) ist das zentrale AML-Gesetz, ergänzt durch die BaFin-AuA-Richtlinien und die Meldepflichten der FIU.
• Kundensorgfaltspflichten müssen kontinuierlich angewendet werden - nicht nur beim Onboarding. Dokumentation ist entscheidend.
• Verdachtsmeldungen (SARs) sind unverzüglich einzureichen - am selben oder spätestens am nächsten Werktag - und ab März 2026 ausschließlich über goAML.
• Das Transparenzregister ist ein obligatorisches Instrument der CDD; Unstimmigkeiten müssen gemeldet werden.
• Bußgelder steigen: von 150.000 € für Verfahrensverstöße bis zu über 45 Mio. € für systematische SAR-Mängel.
• Die 2026er Landschaft umfasst neue SAR-Meldeinfrastruktur, Pflichten für Krypto-Asset-Dienstleister, die AMLA-Betriebsaufnahme in Frankfurt und die vorgesehene ZFG-Reform.
• Der risikobasierte Ansatz erfordert ein lebendiges, dokumentiertes und regelmäßig überprüftes Compliance-Framework - kein statisches Richtliniendokument.

Bauen Sie Ihr AML-Know-how am German Compliance Institute aus

Egal, ob Sie neu im Compliance-Bereich sind, Ihr Wissen formalisieren möchten oder eine strukturierte Weiterbildung in der Geldwäscheprävention suchen: Der Kurs „Bekämpfung von Geldwäsche & Finanzkriminalität“ des German Compliance Institute vermittelt Ihnen alles, was Sie benötigen.

Der Kurs deckt den gesamten GwG-Rahmen, die Erwartungen der BaFin, SAR-Meldepflichten, risikobasierte Ansätze sowie die aktuellsten regulatorischen Updates 2026 ab. Er richtet sich gezielt an Compliance-Professionals, Bankmitarbeitende, Wirtschaftsprüfer, Finanzteams und alle, die in einem regulierten Umfeld in Deutschland tätig sind.

Jetzt anmelden →

FAQ

1. Was ist das Geldwäschegesetz (GwG) in Deutschland?
   Das GwG ist das zentrale deutsche Gesetz zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung und regelt Pflichten für Banken, Finanzinstitute und bestimmte Berufsgruppen.

2. Wer ist verpflichtet, Verdachtsmeldungen (SARs) einzureichen?
   Verpflichtet sind Banken, Versicherungen, Krypto-Asset-Dienstleister, Notare, Anwälte, Wirtschaftsprüfer und Immobilienmakler, sobald sie Anhaltspunkte für Geldwäsche oder Terrorismusfinanzierung erkennen.

3. Wie funktioniert das Transparenzregister?
   Das Transparenzregister erfasst die wirtschaftlich Berechtigten juristischer Personen. Unternehmen müssen Abfragen im Rahmen der Kundensorgfaltspflicht (CDD) durchführen und Unstimmigkeiten melden.

4. Ab wann müssen SARs über goAML gemeldet werden?
   Seit dem 1. März 2026 müssen alle Verdachtsmeldungen ausschließlich digital über das goAML-System der FIU eingereicht werden.

5. Welche Strafen drohen bei Nichteinhaltung des GwG?
   Verstöße können von 150.000 € Bußgeld bis zu über 45 Mio. € reichen. Zusätzlich drohen berufliche Maßnahmen, Lizenzentzug und strafrechtliche Haftung.

6. Was ist ein wirtschaftlich Berechtigter?
   Ein wirtschaftlich Berechtigter ist die natürliche Person, die letztlich ein Unternehmen besitzt oder kontrolliert, in der Regel ab einer 25%-Schwelle.