Neue BaFin-Auslegungs- und Anwendungshinweise 2025

Die Hinweise gelten für alle Verpflichteten, die der Aufsicht der BaFin unterliegen – darunter ausdrücklich auch Anbieter von Kryptowerte-Dienstleistungen sowie bestimmte Emittenten vermögenswertereferenzierter Token (vgl. entsprechende Regelungen der MiCAR). Zugleich wurde die bisherige Ausnahmeregelung für Anbieter von Zahlungsauslösediensten gestrichen. Diese unterliegen nun – ohne Einschränkung – allen Pflichten des GwG. Damit müssen sie insbesondere auch allgemeine und verstärkte Sorgfaltspflichten, interne Sicherungsmaßnahmen sowie Risikoanalysen umsetzen.

Die Risikoanalyse nach § 5 GwG wurde in eine klar gegliederte Vier-Schritte-Methodik überführt:

1. Bestandsaufnahme der konkreten geschäftlichen Tätigkeit, Kundenstruktur, Produkte und Dienstleistungen – idealerweise mit unterstützenden Darstellungen (z. B. Tabellen, Grafiken).

2. Risikoidentifikation unter Einbeziehung sämtlicher interner Informationen und externer Quellen wie FIU-Typologien, EBA-Leitlinien, FATF-Berichte oder der supranationalen Risikoanalyse der Europäischen Kommission.

3. Brutto- und Nettorisikobewertung, wobei Bruttorisiken vor Anwendung von Maßnahmen und Nettorisiken nach Anwendung der Maßnahmen, unter Berücksichtigung deren Wirksamkeit, zu bewerten sind.

4. Ableitung konkreter Maßnahmen zur Risikosteuerung, abgestimmt auf das Geschäftsmodell.

Besonders betont wird die notwendige getrennte Betrachtung von Geldwäsche- und Terrorismusfinanzierungsrisiken. Darüber hinaus muss die gewählte Methodik dokumentiert und sollen die Ergebnisse künftig in einer Management Summary dargestellt werden.

Verpflichtete aus dem Finanzsektor – insbesondere Kreditinstitute, Zahlungsdienstleister und Kryptowerte-Anbieter – sind nun auch verpflichtet, in ihren internen Sicherungsmaßnahmen die Einhaltung der seit 30. Dezember 2024 geltenden Geldtransferverordnung (GTVO) sicherzustellen.

Die Bestellung oder Entpflichtung des Geldwäschebeauftragten (GWB) und seines Stellvertreters ist in der Regel zwei Wochen vor Tätigkeitsbeginn bzw. -ende anzuzeigen.

Aufgaben, Befugnisse und Verantwortlichkeiten sind schriftlich festzuhalten, ebenso eine etwaige Arbeitsteilung mit dem Stellvertreter. Letzterer darf im Ausland wohnen, muss aber im Vertretungsfall in Deutschland tätig sein.

Zudem hat der GWB einen Kontrollplan zu erstellen, dessen Inhalte und Ergebnisse revisionssicher zu dokumentieren sind.

Eine einzige interne Meldestelle genügt den Anforderungen von GwG, HinSchG und GTVO. Im Gegensatz zum HinSchG ist sie nach dem GwG unabhängig von der Mitarbeiterzahl verpflichtend. Verpflichtete nach der GTVO müssen zusätzlich anonyme Hinweise ermöglichen.

Die BaFin stellt klar: Die Auslagerung einer internen Sicherungsmaßnahme nach § 6 Abs. 7 GwG gilt stets als wesentliche Auslagerung im Sinne von § 25b KWG, § 26 ZAG, § 40 WpIG bzw. als Auslagerung einer wichtigen Funktion und Versicherungstätigkeit nach § 32 VAG. Die Auslagerung an Dienstleister mit Sitz in Hochrisikoländern ist grundsätzlich unzulässig.

Die Begründung einer Geschäftsbeziehung liegt nur vor, wenn ein Kontakt auf eine gewisse Dauer angelegt ist. Eine reine Vertragsanbahnung genügt nicht. Maßgeblich sind die Umstände des Einzelfalls: Ein enger zeitlicher Zusammenhang kann für Dauerhaftigkeit sprechen, aber auch unregelmäßige Kontakte können im Einzelfall eine Geschäftsbeziehung begründen.

Die BaFin stellt klar: Alle zur Identifizierung genutzten Dokumente – also nicht nur Ausweise, sondern wohl auch Betreuungsurkunden oder Geburtsurkunden – müssen im Original geprüft werden. Das stellt Verpflichtete vor neue praktische Herausforderungen.

Die BaFin verlangt, dass Handelsregisterauszüge oder gleichwertige Dokumente bei der Identifizierung juristischer Personen nicht älter als drei Monate sein dürfen – maßgeblich ist der Zeitpunkt der Erstbearbeitung durch den Verpflichteten. Zudem muss bei ausländischen Registern vorab deren Gleichwertigkeit mit deutschen Registern geprüft werden. Während dies innerhalb der EU meist unproblematisch ist, stellt die Überprüfung bei Drittstaaten neue Anforderungen an die Verpflichteten.

Die BaFin verlangt, dass zur Abklärung wirtschaftlich Berechtigter verschiedene Quellen wie Gesellschaftsverträge oder Gesellschafterlisten genutzt werden, sofern eine Pflicht zur Abgabe einer Unstimmigkeitsmeldung, Zweifel an Angaben oder ein erhöhtes Geldwäscherisiko vorliegen.

Die reine Abfrage öffentlicher Register oder Auskunfteien reicht bei der Identifizierung nicht aus – die Erhebung muss direkt beim Vertragspartner erfolgen, etwa durch Befragung. Ob neben dem Namen weitere Daten (z. B. das Wohnsitzland) erhoben werden, hat der Verpflichtete risikobasiert zu entscheiden.

Zudem stellt die BaFin klar: Eine Eingangsmitteilung des Transparenzregisters gilt nicht als Nachweis einer erfolgten Registrierung in diesem.

Die Verpflichteten müssen eigenständig prüfen, ob ein Kunde oder wirtschaftlich Berechtigter als PeP zu klassifizieren ist – unabhängig von bzw. zusätzlich zu der offiziellen EU-PeP-Liste.

Im Factoring sind alle Zahlungsströme (Ein- und Ausgänge) kontinuierlich zu überwachen. Anbieter von Kryptowerte-Dienstleistungen müssen zwingend Blockchain-Analyse-Software einsetzen und beim Umtausch von Kryptowerten in Fiatgeld ein EDV-System für die vollständige Transaktionsüberwachung betreiben.

Die Fristen für die Aktualisierung von Kundeninformationen werden deutlich verkürzt:

– Bei verstärkten Sorgfaltspflichten: jährlich.

– Bei allgemeinen Sorgfaltspflichten: alle 5 Jahre.

– Bei vereinfachten Sorgfaltspflichten: risikobasiert.

Bei Transaktionen von oder zu selbst gehosteten Kryptoadressen müssen Verpflichtete nach § 15a GwG die Risiken für Geldwäsche, Terrorismusfinanzierung und Sanktionsumgehung bewerten und mindern. Die BaFin sieht dabei einen weiten Ermessensspielraum vor – etwa für den Einsatz von Blockchain-Analyse-Tools. Unzulässig ist es jedoch, sich zur Kontrolle der Wallet lediglich einen Screenshot vorlegen zu lassen.

Digitale Kopien von Ausweisdokumenten sind zulässig, müssen jedoch zwingend vom Verpflichteten selbst erstelltwerden. Die Ablage einer vom Kunden übermittelten Kopie – auch bei vorheriger Vor-Ort-Kontrolle – ist unzulässig. Die Selbstanfertigung sollte revisionssicher dokumentiert werden.

Eine Unstimmigkeitsmeldung nach § 23a GwG begründet allein keinen Verdacht im Sinne des § 43 GwG und zieht daher keine Verdachtsmeldepflicht nach sich.

Bei Abgabe einer Verdachtsmeldung gelten grundsätzlich verstärkte Sorgfaltspflichten (§ 15 Abs. 2 GwG). Bei Verdacht auf Geldwäsche oder aufgrund fehlender Angaben zum wirtschaftlich Berechtigten können verstärkte Sorgfaltspflichten nach 21 Tagen entfallen – sofern die FIU keine Rückmeldung nach § 41 GwG erteilt und keine weiteren Risiken bestehen. Bei Terrorismusfinanzierung sind verstärkte Sorgfaltspflichten dagegen mindestens sechs Monate anzuwenden.

Zur Stillhaltepflicht (§ 46 GwG) stellt die BaFin nun klar: Nach Ablauf der drei Werktage ist die Transaktion in der Regel freizugeben, sofern keine behördliche Untersagung vorliegt und sich kein Verdacht auf Geldwäsche oder Terrorismusfinanzierung aufdrängt.

Für eine detaillierte Analyse vgl. den Aufsatz unserer Expert:innen Markus Haufellner, Dr. Lars Haffke und Emilie Heinrichs in der BKR (Haufellner/Haffke/Heinreichs, “Aktuelle Entwicklungen im Geldwäscherecht", Zeitschrift für Bank und Kapitalmarktrecht (BKR), 2025, 392).