Compliance-Audit-Checkliste: So bereiten Sie sich auf BaFin-Prüfungen vor
Vollständige Compliance-Audit-Checkliste für KYC/AML-Prüfungen. Schritte, erforderliche Dokumente und Best Practices für BaFin- und Deutsche Bundesbank-Prüfungen.
Diesen Artikel zusammenfassen mit
ChatGPT
Claude
Perplexity
Gemini
GrokDieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechts-, Finanz- oder Aufsichtsberatung dar.
Regulatorische Prüfungen durch die BaFin oder die Deutsche Bundesbank zählen zu den anspruchsvollsten Herausforderungen für Finanzinstitute, Zahlungsdienstleister und Verpflichtete nach dem Geldwäschegesetz (GwG). Wer unvorbereitet in eine Prüfung geht, riskiert nicht nur Mängelfeststellungen — sondern empfindliche Bußgelder, Reputationsschäden und im schlimmsten Fall den Entzug der Zulassung. Diese Checkliste zeigt Ihnen, wie Sie sich strukturiert vorbereiten, welche Dokumente vorab vollständig vorliegen müssen und wo die häufigsten Schwachstellen liegen.
Was ist ein Compliance-Audit?
Ein Compliance-Audit ist eine systematische, dokumentierte Überprüfung, ob ein Unternehmen die für es geltenden gesetzlichen und regulatorischen Anforderungen einhält. Im deutschen Finanzsektor bedeutet das vor allem: Einhaltung des Geldwäschegesetzes (GwG), der einschlägigen BaFin-Rundschreiben sowie der Anforderungen aus dem Zahlungsdiensteaufsichtsgesetz (ZAG).
Prüfungen lassen sich in drei Kategorien unterteilen:
- Aufsichtliche Sonderprüfungen nach § 44 KWG oder § 16c ZAG durch die BaFin oder die Deutsche Bundesbank
- Regelprüfungen im Rahmen des laufenden aufsichtlichen Überprüfungsprozesses (SREP)
- Interne Audits durch die eigene Revisionsabteilung oder beauftragte Wirtschaftsprüfer
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) veröffentlicht regelmäßig Auslegungs- und Anwendungshinweise (AuA) zum GwG, die verbindliche Maßstäbe für die Prüfungspraxis setzen. Verstöße gegen das GwG können mit Bußgeldern von bis zu 5 Millionen Euro oder 10 Prozent des jährlichen Gesamtumsatzes geahndet werden — je nachdem, welcher Betrag höher ist (§ 56 GwG).
Weitere Grundlagen finden Sie im vollständigen Leitfaden zur Dokumentenprüfung, der die regulatorischen Anforderungen im Überblick darstellt.
Die Phasen einer BaFin-Prüfung
Eine BaFin-Prüfung folgt einem strukturierten Ablauf — wer diesen kennt, kann sich gezielt vorbereiten.
Phase 1: Ankündigung und Prüfungsauftrag
Die BaFin kündigt Sonderprüfungen in der Regel schriftlich an und benennt den Prüfungsrahmen sowie die zu prüfenden Zeiträume. Bei Vor-Ort-Prüfungen durch die Deutsche Bundesbank, die im Auftrag der BaFin handelt, erhalten Institute üblicherweise einen Vorlaufzeitraum von zwei bis vier Wochen. Dieser Zeitraum ist entscheidend: Jetzt müssen Dokumentenbestände konsolidiert, Zuständigkeiten geklärt und interne Ansprechpartner benannt werden.
Phase 2: Dokumenteneinreichung und Vorfeldanalyse
Prüfer fordern im Vorfeld umfangreiche Unterlagen an — Richtlinien, Verfahrensanweisungen, Risikoanalysen, KYC-Dokumentationen und Transaktionsüberwachungsprotokolle. Die Vollständigkeit und Aktualität dieser Dokumente bestimmt maßgeblich den weiteren Prüfungsverlauf. Die Deutsche Bundesbank führt hierzu eigene Prüfungsleitfäden.
Phase 3: Vor-Ort-Prüfung und Mitarbeitergespräche
Prüfer analysieren Stichproben aus dem Kundenstamm, bewerten die Wirksamkeit interner Kontrollen und führen Interviews mit Verantwortlichen aus Compliance, Geldwäschebeauftragten sowie Mitarbeitern operativer Einheiten.
Phase 4: Berichtsentwurf und Stellungnahme
Nach Abschluss der Prüfung übermittelt die Prüfungsbehörde einen Berichtsentwurf. Das Institut hat das Recht, innerhalb einer gesetzten Frist Stellung zu nehmen. Fehler in der Dokumentation lassen sich hier kaum noch korrigieren — Prävention ist der einzig wirksame Ansatz.
Phase 5: Abschlussbericht und Maßnahmen
Der finale Prüfbericht kann Mängelrügen, Auflagen oder — bei schwerwiegenden Verstößen — formelle Sanktionsverfahren nach sich ziehen. Eingriffsbefugnisse der BaFin reichen von Anordnungen über die Abberufung von Geschäftsleitern bis hin zum Lizenzentzug.
Vollständige Checkliste: Dokumente vor einer Prüfung vorbereiten
Die folgende Checkliste deckt die wichtigsten Dokumentenkategorien ab, die bei einer regulatorischen Prüfung im Bereich GwG/KYC/AML regelmäßig angefordert werden. Grundlage sind insbesondere §§ 3, 8, 10 und 11 GwG sowie die BaFin-Auslegungs- und Anwendungshinweise zum GwG.
| Dokumentenkategorie | Relevante Rechtsgrundlage | Typische Prüfungstiefe | Status |
|---|---|---|---|
| Interne Risikoanalyse (aktualisiert) | § 5 GwG | Vollständige Sichtung | ☐ |
| Geldwäschepräventionsrichtlinie | § 6 GwG | Vollständige Sichtung | ☐ |
| KYC-Verfahrensanweisung | §§ 10–13 GwG | Vollständige Sichtung | ☐ |
| Kundenstammakte (Stichprobe) | § 8 GwG | Stichprobe 5–20 % | ☐ |
| Wirtschaftlich Berechtigte (UBO-Dokumentation) | § 3 GwG | Stichprobe | ☐ |
| PEP-Screening-Protokolle | § 10 Abs. 1 Nr. 4 GwG | Stichprobe | ☐ |
| Sanktionslisten-Screening-Nachweis | EU-Sanktionsverordnungen | Vollständige Sichtung | ☐ |
| Transaktionsüberwachungsprotokolle | § 25h KWG / § 11 GwG | Stichprobe | ☐ |
| Verdachtsmeldungen (FIU-Meldungen) | § 43 GwG | Vollständige Sichtung | ☐ |
| Schulungsnachweise Mitarbeiter | § 6 Abs. 2 Nr. 6 GwG | Vollständige Sichtung | ☐ |
| Auslagerungsverträge (Outsourcing) | § 6 Abs. 7 GwG | Vollständige Sichtung | ☐ |
| Dokumentation von Hochrisikokunden | § 15 GwG | Vollständige Sichtung | ☐ |
| Protokolle des Vorstands / Aufsichtsrats zu Compliance-Themen | § 4 GwG | Stichprobe | ☐ |
| IT-Sicherheitskonzept und Zugriffsprotokolle | BSI-Grundschutz / BAIT | Stichprobe | ☐ |
Achten Sie besonders auf die Aktualität aller Dokumente: Risikoanalysen müssen anlassbezogen und mindestens jährlich überprüft werden. Veraltete oder nicht freigegebene Versionen gelten als Mangel.
Wie Sie Ihre KYC-Dokumente systematisch nach Branche strukturieren, beschreibt die weiterführende Checkliste der Sorgfaltspflichten nach Kundenkategorie.
Dokumentenprüfung: die häufigste Schwachstelle
Mangelhafte Dokumentenqualität ist der häufigste Auslöser für Prüfungsfeststellungen — nicht fehlendes Know-how, sondern fehlende oder fehlerhafte Belege.
Die interne Analyse von CheckFile.ai über 2.400 Prüfverfahren zeigt, dass 34 % der Compliance-Fehler in der Dokumentenprüfungsphase auftreten — abgelaufene Dokumente (18 %), nicht beglaubigte Kopien (9 %) und fehlende Unterlagen (7 %).
Diese Zahlen sind kein Zufall: KYC-Dokumentation unterliegt Ablauffristen, die im operativen Tagesgeschäft leicht übersehen werden. Ein Personalausweis, der zum Zeitpunkt der Kundenidentifizierung gültig war, kann bei einer Prüfung drei Jahre später abgelaufen sein — ohne dass das System eine Warnung ausgegeben hat. Beglaubigungsanforderungen für juristische Personen (notarielle Beglaubigung, Apostille) werden häufig falsch eingeschätzt oder nicht konsequent nachgefordert.
Konkrete Maßnahmen zur Abhilfe
Automatisierte Dokumentenprüfung reduziert diese Fehlerrate erheblich. Systeme, die Dokumentenablaufdaten überwachen, Formatkonformität prüfen und Vollständigkeitschecks anhand vordefinierter Checklisten durchführen, schließen die häufigsten Lücken systematisch. Die Lösungen von CheckFile bieten hier praxisorientierte Ansätze für regulierte Unternehmen.
Empfohlene Sofortmaßnahmen vor einer anstehenden Prüfung:
- Dokumentenbestand exportieren und alle Ablaufdaten maschinell prüfen — manuelle Sichtung ist fehleranfällig und zeitaufwändig
- Beglaubigungsanforderungen für alle juristischen Personen im Kundenstamm systematisch validieren
- UBO-Dokumentation auf Vollständigkeit und Aktualität prüfen — Eigentümerstrukturen ändern sich, ohne dass Kunden dies melden
- Nachweislücken bei PEP- und Sanktions-Screenings schließen: Protokolle müssen den tatsächlich verwendeten Datenstand belegen
Eine vertiefende Analyse der regulatorischen Anforderungen bietet der Leitfaden zur Anti-Geldwäsche-Prävention.
Mitarbeiter auf Gespräche mit Prüfern vorbereiten
Prüfer befragen Mitarbeiter, um die tatsächlich gelebte Compliance-Praxis zu verstehen — nicht nur die dokumentierte. Diskrepanzen zwischen Handbuch und gelebter Praxis sind ein klassisches Warnsignal.
Wer wird befragt?
Typischerweise werden folgende Funktionsträger in Prüfergespräche einbezogen:
- Geldwäschebeauftragter und Stellvertreter
- Compliance-Officer
- Mitarbeiter der Kundenidentifikation (Onboarding)
- Transaktionsüberwachungs-Team
- Ausgewählte Mitarbeiter aus Vertrieb oder Kundenbetreuung
Vorbereitung der Kernaussagen
Jeder befragte Mitarbeiter sollte in der Lage sein, die folgenden Fragen präzise und konsistent zu beantworten:
- Wie läuft der KYC-Prozess für einen neuen Geschäftskunden konkret ab?
- Welche Maßnahmen werden bei einer PEP-Identifikation ergriffen?
- Wie werden Transaktionsauffälligkeiten eskaliert?
- Wann wurde zuletzt eine Schulung zu GwG-Anforderungen durchgeführt?
Konsistenz ist entscheidend: Wenn der Geldwäschebeauftragte einen Prozess beschreibt, den der zuständige Sachbearbeiter nicht kennt, wertet die Prüfungsbehörde das als Hinweis auf mangelnde Umsetzung interner Vorgaben.
Schulungsnachweise aktuell halten
§ 6 Abs. 2 Nr. 6 GwG verpflichtet Verpflichtete, Mitarbeiter regelmäßig zu schulen. Die BaFin erwartet nicht nur Schulungsprotokolle, sondern auch Belege für den Inhalt der Schulungen und deren zeitliche Aktualität. Schulungen, die vor mehr als 24 Monaten stattfanden, werden in der Prüfungspraxis häufig als unzureichend bewertet — insbesondere wenn sich regulatorische Anforderungen in diesem Zeitraum geändert haben.
Regulatorische Neuerungen 2025–2026
Die regulatorische Landschaft in Deutschland und auf EU-Ebene hat sich in den Jahren 2025 und 2026 erheblich verändert. Folgende Entwicklungen sind für die Audit-Vorbereitung direkt relevant.
| Regulierung | Inkrafttreten | Wesentlicher Inhalt | Prüfungsrelevanz |
|---|---|---|---|
| EU-Geldwäschepaket (AMLA-Verordnung) | ab 2025 schrittweise | Neue einheitliche EU-Behörde (AMLA), erweiterte CDD-Anforderungen | Hoch — neue Mindeststandards für KYC |
| 6. EU-Geldwäscherichtlinie (6AMLD) | Umsetzung 2025 | Ausweitung Vortaten, verschärfte strafrechtliche Haftung | Mittel — strafrechtliche Komponente |
| EU-KI-Verordnung (AI Act) | ab August 2026 | KI-Systeme in Hochrisikobereichen (inkl. KYC/Scoring) | Mittel — Transparenz- und Dokumentationspflichten |
| Überarbeitete BaFin-AuA zum GwG | laufend | Präzisierungen zu Risikoanalyse, PEP-Definition, Fernidentifikation | Hoch — unmittelbar prüfungsrelevant |
| DORA (Digital Operational Resilience Act) | ab Januar 2025 | IT-Resilienz für Finanzunternehmen, Auslagerungsmanagement | Mittel — Schnittstellen zu Compliance-IT |
Mit dem EU-Geldwäschepaket werden die Anforderungen an die Sorgfaltspflichten gegenüber Kunden ab 2025 schrittweise verschärft — insbesondere hinsichtlich der Identifizierung wirtschaftlich Berechtigter und der Anforderungen an Hochrisikokunden. Die offiziellen Texte sind über EUR-Lex abrufbar.
Die konsolidierten deutschen Geldwäschevorschriften sind über gesetze-im-internet.de in der jeweils aktuellen Fassung einsehbar.
Für Prüfungen im Jahr 2026 gilt: Die interne Risikoanalyse muss die Implikationen des EU-Geldwäschepakets bereits berücksichtigen. Prüfer werden gezielt fragen, ob das Institut die neuen Anforderungen bewertet und in seine Prozesse übertragen hat — auch wenn die Umsetzungsfristen noch laufen.
Praktische Vorbereitung: Die letzten vier Wochen vor einer Prüfung
Wenn die Ankündigung einer Prüfung eingetroffen ist, beginnt die operative Vorbereitungsphase. Vier Wochen sind knapp — strukturiertes Vorgehen ist Pflicht.
Woche 1 — Bestandsaufnahme: Vollständigen Dokumentenbestand exportieren, Ablaufdaten prüfen, Lückenanalyse durchführen. Alle Mängelkategorien nach Priorität sortieren.
Woche 2 — Nacherfassung: Abgelaufene Dokumente beim Kunden nachfordern, fehlende Beglaubigungen einholen, UBO-Dokumentation aktualisieren. Dabei gilt: Massennachforderungen müssen nachvollziehbar protokolliert werden — auch die Nacherfassung selbst ist prüfungsrelevant.
Woche 3 — Mitarbeitervorbereitung: Kurze, fokussierte Briefings für alle potenziell befragten Mitarbeiter. Kernprozesse schriftlich zusammenfassen. Fragen aus Prüferperspektive durchspielen.
Woche 4 — Qualitätssicherung: Stichprobenartige Qualitätskontrolle der nacherfassten Unterlagen. Ansprechpartner für Prüfer benennen und Logistik der Vor-Ort-Prüfung klären. Alle internen Eskalationswege kommunizieren.
Die Lösungspalette von CheckFile unterstützt Compliance-Teams dabei, Dokumentenprüfungen automatisiert und revisionssicher durchzuführen — mit direkter Integration in bestehende KYC-Workflows.
Häufig gestellte Fragen
Wie lange im Voraus kündigt die BaFin eine Prüfung an?
Die BaFin kündigt Sonderprüfungen nach § 44 KWG in der Regel schriftlich mit einem Vorlauf von zwei bis sechs Wochen an. Bei anlassbezogenen Prüfungen kann der Vorlauf kürzer sein. Unangekündigte Prüfungen sind möglich, in der Praxis aber selten. Entscheidend ist, dass die Kernunterlagen jederzeit vollständig und abrufbereit sind — nicht erst nach Eingang der Ankündigung.
Welche Bußgelder drohen bei GwG-Verstößen?
Bei Verstößen gegen das Geldwäschegesetz kann die BaFin Bußgelder von bis zu 5 Millionen Euro oder bis zu 10 Prozent des gesamten jährlichen Umsatzes verhängen — je nachdem, welcher Betrag höher ist (§ 56 GwG). Bei schwerwiegenden, wiederholten oder systematischen Verstößen können zusätzlich Maßnahmen wie die Abberufung von Geschäftsleitern oder der Entzug der Erlaubnis angeordnet werden. Die BaFin veröffentlicht verhängte Maßnahmen auf ihrer Website.
Was prüft die Deutsche Bundesbank im Auftrag der BaFin?
Die Deutsche Bundesbank führt im Auftrag der BaFin Vor-Ort-Prüfungen bei weniger bedeutenden Instituten (Less Significant Institutions, LSI) durch. Dabei werden typischerweise Kreditrisiken, Liquiditätssteuerung und operationelle Risiken geprüft — zunehmend auch die Angemessenheit der internen Geldwäscheprävention. Die Prüfungserkenntnisse fließen in den SREP-Prozess ein und können zu erhöhten Kapitalanforderungen oder aufsichtlichen Auflagen führen.
Wie oft muss die interne Risikoanalyse nach GwG aktualisiert werden?
§ 5 GwG schreibt vor, dass die interne Risikoanalyse regelmäßig und anlassbezogen zu aktualisieren ist. In der Prüfungspraxis erwartet die BaFin eine mindestens jährliche Überprüfung sowie eine Aktualisierung bei wesentlichen Änderungen des Geschäftsmodells, neuen Produkten, geänderten Kundenstrukturen oder regulatorischen Neuerungen. Eine Risikoanalyse, die seit mehr als 18 Monaten unverändert ist, gilt als Warnsignal.
Was passiert, wenn Mängel erst während der Prüfung festgestellt werden?
Werden Mängel erst während der Prüfung identifiziert, ist eine sofortige, kooperative Reaktion entscheidend. Prüfer unterscheiden zwischen Mängeln, die auf systemische Schwächen hinweisen, und solchen, die auf Einzelfehler zurückzuführen sind. Wer Mängel aktiv benennt, Ursachen erklärt und unmittelbar Gegenmaßnahmen einleitet, wird in der Regel milder bewertet als Institute, die Mängel zu relativieren versuchen. Alle zugesagten Maßnahmen müssen dokumentiert und fristgerecht umgesetzt werden — die BaFin prüft die Mängelbeseitigung nach.
Nächste Schritte: Ihre Compliance-Dokumentation auf Prüfungsniveau bringen
Eine strukturierte Vorbereitung auf regulatorische Prüfungen beginnt nicht in der Woche nach der Ankündigung — sie ist ein dauerhafter Bestandteil des Compliance-Management-Systems. Die wichtigsten Hebel sind vollständige, aktuelle Dokumentenbestände, geschulte Mitarbeiter und ein messbarer interner Kontrollrahmen.
Nutzen Sie die Preisübersicht von CheckFile, um die passende Lösung für Ihren Dokumentenprüfungs-Workflow zu finden — skalierbar für kleine Institute ebenso wie für große Finanzgruppen mit komplexen KYC-Anforderungen.
Für einen umfassenden Einstieg in die Anforderungen der Dokumenten-Compliance empfiehlt sich der Compliance-Risikobewertungs-Leitfaden, der methodische Grundlagen für die interne Risikoanalyse nach GwG aufzeigt.