Skip to content
KundenreferenzPreiseSicherheitVergleichBlog

Europe

Americas

Oceania

Compliance9 min Lesezeit

AMLD6-Compliance: Was sich 2026–2027 ändert

AMLD6: neue Pflichten, Zeitplan 2026–2027, Sanktionen. Praktischer Compliance-Leitfaden für verpflichtete Unternehmen unter dem neuen Geldwäschebekämpfungsrahmen.

Dr. Katrin Hoffmann, Expertin für regulatorische Compliance
Dr. Katrin Hoffmann, Expertin für regulatorische Compliance·
Illustration for AMLD6-Compliance: Was sich 2026–2027 ändert — Compliance

Diesen Artikel zusammenfassen mit

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Die 6. Geldwäscherichtlinie ist kein geringfügiges Update. Verabschiedet als Richtlinie (EU) 2024/1640 zusammen mit der Geldwäscheverordnung (EU) 2024/1624 und der AMLA-Verordnung (EU) 2024/1620, schafft dieses Gesetzespaket eine zentralisierte EU-Behörde (AMLA) mit Sitz in Frankfurt, erweitert die Liste der verpflichteten Unternehmen auf nie zuvor erfasste Sektoren und führt harmonisierte Sanktionen ein, die 10 % des Jahresumsatzes erreichen können. Hier ist, was sich für Ihr Unternehmen tatsächlich ändert – und was Sie dagegen tun müssen.

AMLD6 vs. AMLD5 – Was hat sich geändert?

Die Höchstgrenzen für Verwaltungsbußen steigen von 5 Millionen EUR auf 10 Millionen EUR oder 10 % des jährlichen Gesamtumsatzes (Richtlinie EU 2024/1640, Art. 53). Die BaFin verhängte 2025 ein Bußgeld von 325.000 EUR gegen die VR-Bank Bad Salzungen Schmalkalden eG wegen Mängeln in der Geldwäscheprävention (BaFin Sanktionen 2025).

Bereich AMLD5 (Bisherig) AMLD6 / AMLR (Neu)
Aufsichtsbehörde Nur nationale FIUs AMLA in Frankfurt – direkte Aufsicht über 40+ Hochrisiko-Unternehmen
Verpflichtete Unternehmen Banken, Versicherer, Anwälte, Steuerberater, Immobilienmakler Erweitert um Krypto-Dienstleister, Luxusgüterhändler, Profifußballvereine, Spieleragenten
Sanktionsharmonisierung Nationale Ermessensspielräume EU-weit max. 10 Mio. € oder 10 % des Jahresumsatzes (der höhere Wert)
Transparenzregister Nationale Register, eingeschränkter Zugang Vernetzte EU-weite Register, erweiterte Zugriffsrechte
Bargeldobergrenze Keine EU-weite Grenze EU-weite Obergrenze von 10.000 € für Barzahlungen
Vortaten Teilweise harmonisiert Vollständig harmonisiert inkl. Cyberkriminalität und Umweltkriminalität
Sorgfaltspflichten Risikobasiert, nationale Schwellenwerte Harmonisierte CDD-Auslöser; 1.000-€-Schwelle für Kryptotransaktionen
Regulierungsinstrumente Nur Richtlinie (nationale Umsetzung) Verordnung (direkt anwendbar) + Richtlinie (Umsetzung bis Juli 2027)

Der Wechsel vom reinen Richtlinienmodell zum Verordnung-plus-Richtlinie-Modell ist die folgenreichste Änderung. Die AMLR gilt direkt – verpflichtete Unternehmen können nicht auf die nationale Umsetzung warten.

Wer ist jetzt verpflichtetes Unternehmen?

Die Verordnung AMLR Art. 3 fügt 8 neue Kategorien verpflichteter Unternehmen hinzu, darunter Krypto-Dienstleister (CASPs unter MiCA), Profifußballvereine und Crowdfunding-Plattformen (Verordnung EU 2024/1624).

Kategorie Beispiele Zentrale Auslöser
Kredit- und Finanzinstitute Banken, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen Alle Kundenbeziehungen und Transaktionen
Versicherungsunternehmen Lebensversicherer, Versicherungsvermittler Policen mit Anlagekomponente
Krypto-Dienstleister (CASPs) Börsen, Verwahrwallets, Transferdienste Transaktionen ab 1.000 €
Rechtsberufe Rechtsanwälte, Notare, Steuerberater, Wirtschaftsprüfer Bei Immobilien, Gesellschaftsgründung, Treuhandverwaltung
Immobilienmakler Makler, Verwalter Transaktionen über 10.000 €
Luxusgüterhändler Kunsthändler, Edelmetallhändler Bartransaktionen ab 10.000 €
Treuhand- und Unternehmensdienstleister Domizilservice, Treuhandgeschäftsführer Alle erbrachten Dienstleistungen
Crowdfunding-Plattformen Unter ECSPR lizenzierte Plattformen Alle Anleger- und Projektinhaber-Onboardings
Profifußballvereine Vereine der obersten Profiligen Spielertransfers, Agenturtransaktionen, Sponsoring

Die Aufnahme von Profifußballvereinen und -agenten ist vollständig neu. Diese Unternehmen werden ab dem 10. Juli 2029 GwG-Regeln anwenden müssen.

Neue dokumentarische Pflichten

Die Verordnung AMLR legt 47 harmonisierte Sorgfaltspflichten fest, die ab dem 10. Juli 2027 unmittelbar in allen 27 Mitgliedstaaten gelten (Verordnung EU 2024/1624, Art. 20-29). Die BaFin ergänzte 2025 ihre Auslegungs- und Anwendungshinweise zum Geldwäschegesetz zur Vorbereitung auf AMLD6 (BaFin Hinweise März 2025).

1. Erweiterte UBO-Identifizierung

Die Schwelle für wirtschaftlich Berechtigte sinkt von 25 % auf 15 % der Kapital- oder Stimmrechtsanteile, bei intransparenten Strukturen auf 5 % (Richtlinie EU 2024/1640, Art. 32(3)). Die AMLR fügt einen parallelen Kontrolltest hinzu: Personen mit maßgeblichem Einfluss auf die Gesellschaft müssen auch dann identifiziert werden, wenn sie keine direkte Beteiligung halten. Das Transparenzregister in Deutschland wird entsprechend angepasst.

2. Zuverlässige Identitätsverifizierung

Die Verordnung AMLR Art. 22(1) verlangt "zuverlässige und unabhängige Verifizierungsmaßnahmen", die eine reine Sichtprüfung ausschließen. Konkret bedeutet das:

  • Automatisierte Dokumentenauthentifizierung ist jetzt die Basislinie für Fern-Onboarding. Sichtprüfung allein gilt nicht mehr als ausreichend.
  • Abgleich mit amtlichen Datenbanken (Handelsregister, Sanktionslisten, PEP-Register, Transparenzregister) ist verpflichtend.
  • Biometrische Verifizierung ist bei allem Fern-Onboarding erforderlich.
  • Laufende Überwachung der Kundenidentität während der gesamten Geschäftsbeziehung.

3. Aufbewahrung von Prüfnachweisen

Die Aufbewahrungspflicht beträgt mindestens 5 Jahre nach Ende der Geschäftsbeziehung mit vollständigem Prüfpfad und Zeitstempel (Richtlinie EU 2024/1640, Art. 44). Alle Nachweise müssen aufbewahrt werden, einschließlich aller eingereichten Mandantendokumente mit Metadaten, der Dokumentation identifizierter Unstimmigkeiten und der Begründung aller Risikoklassifizierungsentscheidungen.

4. Automatisierte Verdachtsmeldungen

Die Verordnung AMLR Art. 67 schreibt die unverzügliche Meldung verdächtiger Transaktionen an die FIU vor. Meldungen müssen an die zuständige FIU (in Deutschland die FIU beim Zoll) zeitnah und nachvollziehbar übermittelt werden.

Compliance-Zeitplan 2026–2027

Der rechtliche Stichtag ist der 10. Juli 2027 für die Umsetzung der AMLD6 und die Anwendung der Verordnung AMLR (Richtlinie EU 2024/1640, Art. 85).

Datum Meilenstein Wer ist betroffen?
9. Juli 2024 AMLR und AMLD6 treten in Kraft Alle
1. Juli 2025 AMLA wird in Frankfurt operativ Aufsichtsbehörden; Hochrisiko-Finanzunternehmen
1. Januar 2026 EBA überträgt alle GwG-Mandate an AMLA Finanzsektor-Aufsicht
10. Juli 2026 Umsetzung Art. 11–13, 15 (Transparenzregister) Nationale Regierungen; Unternehmen mit Transparenzregisterpflichten
10. Juli 2027 AMLR gilt für alle Verpflichteten; AMLD6 muss umgesetzt sein; AMLD4/5 aufgehoben Alle verpflichteten Unternehmen (außer Fußball)
10. Juli 2029 AMLR gilt für Profifußballvereine und -agenten Fußballvereine, Agenten

Das kritische Datum für die meisten Unternehmen ist der 10. Juli 2027. An diesem Tag wird die AMLR direkt anwendbar. Es gibt keine Übergangsfrist.

Sanktionen bei Nicht-Konformität

Die AMLD6 Art. 53(4) legt Verwaltungsbußen zwischen mindestens 1 Million EUR und höchstens 10 Millionen EUR oder 10 % des jährlichen Gesamtumsatzes fest (Richtlinie EU 2024/1640). Die BaFin aktualisiert laufend ihre Leitlinien zur Geldwäscheprävention und verschärft die Durchsetzung (BaFin Geldwäscheprävention).

Sanktionsart Maximalhöhe/-konsequenz
Verwaltungsbuße (juristische Person) 10 Mio. € oder 10 % des Jahresumsatzes (der höhere Wert)
Verwaltungsbuße (natürliche Person) Bis zu 5 Mio. €
Periodische Strafzahlungen Variabel, kumulierend
Strafrechtliche Sanktion Bis zu 4 Jahre Freiheitsstrafe
Veröffentlichung der Sanktion Verpflichtend, namentlich, auf der BaFin-Website, mindestens 5 Jahre
Lizenzentzug Ab dem ersten schwerwiegenden Verstoß möglich
AMLA-Direktintervention AMLA kann nationale Aufsichtsbehörden überstimmen

Wie Automatisierung bei der Compliance hilft

Automatischer Prüfpfad

Jede Dokumentenprüfungsentscheidung, jede Datenbankabfrage und jede Risikobewertung wird protokolliert, mit Zeitstempel versehen und mit den zugrunde liegenden Nachweisen verknüpft.

Systematische überprüfbare Kontrollen

Automatisierte Prüfung wendet denselben Satz von Kontrollen auf jedes Dokument an, jedes Mal. Keine Varianz durch Ermüdung, Arbeitsdruck oder individuelles Urteil.

Dokumentenübergreifende Validierung

Die AMLR verlangt von verpflichteten Unternehmen, die Konsistenz von Informationen über mehrere Dokumente und Datenquellen hinweg zu prüfen. Automatisierter Abgleich ist der einzige praktikable Weg, diese Validierung im großen Maßstab durchzuführen. Siehe unseren KYC-Artikel für eine detaillierte Analyse.

Echtzeitwarnungen

Verdachtsaktivitätenerkennung erfordert kontinuierliche Überwachung, nicht periodische Stapelprüfungen.

Entdecken Sie unsere Preise, um zu verstehen, wie automatisierte Dokumentenprüfung in Ihr Compliance-Budget passt.

AMLD6 FAQ

Was ist AMLD6? Die 6. EU-Geldwäscherichtlinie, formal Richtlinie (EU) 2024/1640, verabschiedet 2024 als Teil eines umfassenden Gesetzespakets, das AMLD4 und AMLD5 ersetzt.

Wann gilt AMLD6? Die AMLR gilt direkt ab 10. Juli 2027. In Deutschland muss das GwG entsprechend angepasst werden.

Wer ist verpflichtetes Unternehmen? Die Liste wurde erheblich erweitert. Sie umfasst Kreditinstitute, Zahlungsinstitute, Versicherer, Krypto-Dienstleister, Rechtsanwälte, Notare, Steuerberater, Immobilienmakler, Luxusgüterhändler, Treuhandgesellschaften, Crowdfunding-Plattformen, Profifußballvereine und Spieleragenten.

Was ist AMLA? Die EU-Behörde zur Bekämpfung der Geldwäsche mit Sitz in Frankfurt, operativ seit 1. Juli 2025. Sie beaufsichtigt direkt rund 40 Hochrisiko-Finanzgruppen und koordiniert alle nationalen Aufsichtsbehörden.

Häufig gestellte Fragen

Was ändert sich durch AMLD6 konkret für verpflichtete Unternehmen in Deutschland?

AMLD6 bringt drei wesentliche Neuerungen: Die Geldwäscheverordnung (AMLR) gilt ab 10. Juli 2027 direkt in allen EU-Mitgliedstaaten ohne nationale Umsetzung, die Liste der verpflichteten Unternehmen wird um Krypto-Dienstleister, Profifußballvereine und Crowdfunding-Plattformen erweitert, und die Schwelle für wirtschaftlich Berechtigte sinkt von 25 % auf 15 %. Deutsche Unternehmen müssen ihr GwG-Compliance-Programm entsprechend anpassen, da die AMLR keine Übergangsfrist kennt.

Welche Sanktionen drohen bei Verstößen gegen AMLD6?

Die AMLD6 sieht Verwaltungsbußen von bis zu 10 Millionen Euro oder 10 % des jährlichen Gesamtumsatzes vor, je nachdem, welcher Betrag höher ist. Hinzu kommen strafrechtliche Sanktionen von bis zu 4 Jahren Freiheitsstrafe, die obligatorische Veröffentlichung der Sanktion namentlich auf der BaFin-Website für mindestens 5 Jahre sowie die Möglichkeit des Lizenzentzugs bereits beim ersten schwerwiegenden Verstoß.

Was bedeutet die neue UBO-Schwelle von 15 % für die Praxis?

Unternehmen müssen künftig mehr wirtschaftlich Berechtigte identifizieren und verifizieren als bisher. Wer bislang bei 25 % als Grenzwert nicht erfasst wurde, fällt nun unter die 15-%-Schwelle für Hochrisikoeinheiten und unter 5 % bei intransparenten Strukturen. Das erfordert tiefere Recherchen in Gesellschafterstrukturen, aktualisierte Transparenzregisterprüfungen und erweiterte Dokumentationspflichten für jeden identifizierten wirtschaftlich Berechtigten.

Wie unterscheidet sich die neue AMLA von bestehenden nationalen Aufsichtsbehörden?

Die AMLA mit Sitz in Frankfurt ist seit 1. Juli 2025 operativ und beaufsichtigt direkt rund 40 grenzüberschreitende Finanzgruppen mit hohem Risiko. Sie kann nationale Aufsichtsbehörden wie die BaFin überstimmen und koordiniert alle Mitgliedstaaten, um regulatorische Arbitrage zu verhindern. Für die übrigen verpflichteten Unternehmen setzt die BaFin weiterhin die AMLA-Standards durch, aber die Entscheidungsgewalt liegt nun auf EU-Ebene.

Müssen Kanzleien und Steuerberater dieselben AMLD6-Pflichten erfüllen wie Banken?

Ja, Rechtsanwälte, Notare und Steuerberater sind unter AMLD6 verpflichtete Unternehmen und müssen dieselben Identifizierungs- und Verifizierungspflichten anwenden wie Finanzinstitute, sobald sie im Zusammenhang mit Finanztransaktionen, Gesellschaftsgründungen oder Immobilientransaktionen tätig sind. Die spezifische Ausnahme gilt nur für rein streitige Tätigkeit und Prozessvertretung, die ausdrücklich vom Anwendungsbereich ausgenommen bleibt.

Nächste Schritte: Starten Sie Ihre Compliance-Bewertung

Die Frist 10. Juli 2027 lässt rund 17 Monate für vollständige Compliance. Die dokumentarischen Pflichten allein – UBO-Prüfung, Prüfpfadgenerierung, Gegenprüfung und Verdachtsaktivitätenerkennung – erfordern systemische Änderungen, die nicht in den letzten Wochen vor der Frist implementiert werden können.

CheckFile bietet automatisierte Dokumentenprüfung, die die von AMLD6 geforderten Prüfpfade, dokumentenübergreifenden Konsistenzprüfungen und Verifizierungsnachweise generiert. Fordern Sie eine Demo an, um zu bewerten, wo Ihre aktuellen Prozesse gegenüber den 2027-Anforderungen stehen.

Weiterführende Lektüre: Zur operativen Resilienz im Finanzsektor lesen Sie unseren Leitfaden zu DORA 2026 und Dokumentenprüfung. Für KYB-Prüfung, die die erweiterten UBO-Anforderungen von AMLD6 erfüllt, lesen Sie unseren KYB-Leitfaden.

Thema vertiefen

Entdecken Sie unsere Praxisleitfäden und Ressourcen zur Dokumenten-Compliance.

Verwandte Artikel

Compliance9 min

Third-Party Risk Management (TPRM): Leitfaden 2026

Vollständiger Leitfaden zum Third-Party Risk Management (TPRM): DORA-Pflichten, BaFin-Anforderungen, Lieferantenbewertung, kontinuierliches Monitoring und GwG-Compliance in Deutschland 2026.

Lesen
Compliance11 min

Compliance-Risikobewertung: Leitfaden für deutsche Unternehmen 2026

Wie Sie regulatorische Risiken identifizieren, bewerten und minimieren. Praxisleitfaden zum Compliance-Risikomanagement nach BaFin-Anforderungen und GwG § 5.

Lesen
Compliance8 min

GRC: Governance, Risikomanagement und Compliance — Leitfaden 2026

Was ist Governance Risk Management Compliance (GRC)? Die drei Säulen, BaFin-Anforderungen in Deutschland und wie Sie ein effektives GRC-Framework aufbauen.

Lesen