Geldwäsche-Compliance für Vermögensverwalter und Anlageberater 2026
Vollständiger Leitfaden zu GwG-Pflichten für Vermögensverwalter und Anlageberater in Deutschland 2026: KYC, verstärkte Sorgfaltspflichten, FIU-Meldungen, BaFin-Anforderungen und Dokumentenautomatisierung.
Diesen Artikel zusammenfassen mit
ChatGPT
Claude
Perplexity
Gemini
GrokVermögensverwalter, Finanzportfolioverwalter, Anlageberater und unabhängige Honorar-Anlageberater sind nach dem Geldwäschegesetz (GwG) zur Einhaltung umfangreicher Sorgfaltspflichten verpflichtet. Als Finanzdienstleistungsinstitute nach § 1 Abs. 1a KWG unterliegen sie der GwG-Pflicht und der Aufsicht der BaFin. In 2026 verschärfen sich die Anforderungen durch die Umsetzung der Richtlinie (EU) 2024/1640 (6. Geldwäscherichtlinie, AMLD6) bis zum 10. Juli 2026 sowie durch die aktualisierten Auslegungs- und Anwendungshinweise (AuA) der BaFin vom Februar 2025. Dieser Leitfaden gibt einen vollständigen Überblick über alle aktuellen Pflichten und die effiziente Umsetzung.
Wer ist im Vermögensverwaltungssektor zur Geldwäscheprävention verpflichtet
Das GwG definiert in § 2 Abs. 1 den Kreis der Verpflichteten im Finanzsektor. Im Bereich der Vermögensverwaltung zählen dazu: Finanzportfolioverwalter nach § 32 KWG mit BaFin-Erlaubnis, Anlageberater als Finanzdienstleistungsinstitute, Kapitalverwaltungsgesellschaften (KVG) nach KAGB, Alternative Investmentfonds-Manager (AIFM), und Family Offices, die Dienstleistungen für externe Kunden erbringen.
Ab dem 1. März 2026 gelten bundesweit einheitliche Standards für Verdachtsmeldungen an die Financial Intelligence Unit (FIU) beim Zollkriminalamt. BaFin Rundschreiben 03/2026 (GW) verschärft zudem die Pflichten für Verpflichtete gegenüber Hochrisikostaaten. (BaFin, Rundschreiben 03/2026)
Family Offices, die ausschließlich Leistungen für eine einzige Familie erbringen, können unter § 2 Abs. 2 GwG von bestimmten Pflichten ausgenommen werden. Sobald jedoch Dienste für externe Kunden angeboten werden, greifen alle GwG-Pflichten in vollem Umfang.
Die fünf zentralen Pflichten aus dem GwG
1. Kundensorgfaltspflichten und Identitätsfeststellung (KYC/CDD)
§ 10 GwG verpflichtet Verpflichtete dazu, vor Begründung einer Geschäftsbeziehung oder vor Ausführung einer Transaktion von 15.000 Euro oder mehr die Identität des Vertragspartners festzustellen und zu überprüfen. Für natürliche Personen: gültiger Personalausweis oder Reisepass. Für juristische Personen: Handelsregisterauszug, Gesellschaftsvertrag, Identifizierung der gesetzlichen Vertreter und aller wirtschaftlich Berechtigten mit einem Anteil von mindestens 25 Prozent.
Die aktuellen AuA der BaFin (Februar 2025) schreiben vor, dass Kundendaten mindestens alle fünf Jahre, bei Risikokunden mindestens jährlich, auf Aktualität überprüft und aktualisiert werden müssen. Die CheckFile Plattform deckt mehr als 3.200 Dokumententypen in 32 Rechtsordnungen ab und ermöglicht die Verifizierung ausländischer Identitätsdokumente von internationalen Kunden, die im Bereich Wealth Management besonders häufig vertreten sind.
2. Verstärkte Sorgfaltspflichten (Enhanced Due Diligence) für Hochrisikokonstellationen
§ 15 GwG verlangt verstärkte Sorgfaltspflichten in drei Konstellationen: wenn der Kunde eine politisch exponierte Person (PEP) ist oder einem PEP nahesteht, wenn Geschäftsbeziehungen mit Staatsangehörigen oder Unternehmen aus Drittstaaten mit hohem Geldwäscherisiko (BaFin-Hochrisikoländerliste) bestehen, und wenn die Eigentums- und Kontrollstruktur des Kunden aufgrund ihrer Komplexität die Identifizierung der wirtschaftlich Berechtigten erschwert.
Verstärkte Sorgfaltspflichten umfassen: Feststellung der Herkunft des eingesetzten Vermögens und der eingesetzten Mittel, Einholung der Zustimmung des Senior-Managements vor Begründung der Geschäftsbeziehung, und eine intensivierte Überwachung mit mindestens jährlicher Überprüfung. In Compliance-Fachforen wird die Dokumentation der Vermögensherkunft bei Kunden mit offshore-Strukturen oder Holdinggesellschaften in mehreren Jurisdiktionen als aufwändigster Schritt des Onboarding-Prozesses bezeichnet.
Zu den Verfahren für verstärkte Sorgfaltspflichten informiert auch unser Leitfaden über verstärkte Sorgfaltspflichten für Hochrisikokunden.
3. Kontinuierliche Überwachung von Transaktionen und Geschäftsbeziehungen
§ 10 Abs. 1 Nr. 4 GwG verpflichtet zur kontinuierlichen Überwachung der Geschäftsbeziehung. Vermögensverwalter müssen die Transaktionen der Kunden auf Vereinbarkeit mit dem bekannten Risikoprofil überwachen, die KYC-Unterlagen regelmäßig aktualisieren (bei Risikokunden mindestens jährlich, bei Standardkunden alle drei bis fünf Jahre) und bei ausgelösten Ereignissen (Eigentümerwechsel, untypische Anlageentscheidungen, Änderung des Risikoprofils) unverzüglich tätig werden.
Gemäß den aktualisierten BaFin AuA (Februar 2025) ist die Frist für Verdachtsmeldungen an die FIU bei Risikokunden auf 21 Kalendertage verkürzt worden — eine erhebliche Verschärfung gegenüber der bisherigen Praxis, die dokumentierte interne Eskalationsprozesse verlangt. (BaFin, Auslegungs- und Anwendungshinweise GwG 2025)
4. Verdachtsmeldungen an die FIU
§ 43 GwG verpflichtet Verpflichtete zur Meldung an die FIU beim Zollkriminalamt, sobald Tatsachen darauf hindeuten, dass Vermögenswerte aus einer strafbaren Handlung stammen oder im Zusammenhang mit Terrorismusfinanzierung stehen. Seit dem 1. März 2026 sind bundesweit einheitliche Standards für Verdachtsmeldungen verbindlich, die ein standardisiertes Meldeformat und dokumentierte interne Freigabeprozesse vorschreiben.
Das Tipping-off-Verbot nach § 47 GwG untersagt es, den betroffenen Kunden über die Verdachtsmeldung oder eine laufende Prüfung zu informieren.
5. Aufbewahrungspflichten (5 Jahre)
§ 8 GwG schreibt vor, alle Ausweisdokumente, Transaktionsunterlagen und Nachweise fünf Jahre nach Beendigung der Geschäftsbeziehung aufzubewahren. Auf Anforderung der BaFin oder der Strafverfolgungsbehörden müssen die Unterlagen unverzüglich bereitgestellt werden.
Tabelle: Sorgfaltspflichtstufen nach Kundenprofil
| Kundenprofil | Sorgfaltsstufe | Erforderliche Maßnahmen | Überprüfungsintervall |
|---|---|---|---|
| Standard-Privatkunde (Inländer) | Standard-Sorgfalt | CDD, Personalausweis + Adressnachweis | Alle 5 Jahre |
| PEP oder nahestehende Person | Verstärkt | EDD, Herkunft Vermögen/Mittel, Senior-Management-Zustimmung | Jährlich |
| Kunde aus BaFin-Hochrisikoland | Verstärkt | EDD + zusätzliche nationale Maßnahmen | Jährlich oder halbjährlich |
| Komplexe Struktur (Trust, Offshore-Holding) | Verstärkt | Identifizierung wirtschaftlich Berechtigter, beglaubigtes Organigramm | Jährlich |
| Nicht-face-to-face-Beziehung | Erhöht | CDD + zusätzliche Verifikationsmaßnahmen | Halbjährlich |
Bereit, Ihre Prüfungen zu automatisieren?
Kostenloses Pilotprojekt mit Ihren eigenen Dokumenten. Ergebnisse in 48h.
Kostenloses Pilotprojekt anfragenNeuerungen 2026: AMLD6 und AMLA
Die Richtlinie (EU) 2024/1640 (AMLD6) muss bis zum 10. Juli 2026 in deutsches Recht umgesetzt werden. Das Bundesministerium der Finanzen hat im März 2026 den Referentenentwurf eines Gesetzes zur Umsetzung der AMLD6 veröffentlicht. Die wesentlichen Neuerungen für Vermögensverwalter:
- Erweiterter Katalog der Verpflichteten: Kryptowertdienstleister (CASP) und Crowdfunding-Plattformen mit einem Jahresvolumen über 5 Millionen Euro werden in den Kreis der Verpflichteten aufgenommen.
- Harmonisierter 25-Prozent-Schwellenwert zur Identifizierung wirtschaftlich Berechtigter — entspricht bereits dem deutschen Standard.
- Europäisches Register der wirtschaftlich Berechtigten, auf das alle Verpflichteten EU-weit Zugriff erhalten.
- Mindestschulungsumfang: 8 Stunden jährlich für Mitarbeiter mit Kundenkontakt.
Die neue Europäische Anti-Geldwäsche-Behörde (AMLA) übernimmt ab 2027 die direkte Aufsicht über die 40 größten grenzüberschreitenden Finanzgruppen in der EU. (Europäische Kommission, AMLA)
Sanktionen bei Verstößen
Die BaFin kann bei schwerwiegenden GwG-Verstößen Bußgelder von bis zu 5 Millionen Euro oder zehn Prozent des Jahresumsatzes verhängen — je nachdem, welcher Betrag höher ist. Darüber hinaus kann sie die Erlaubnis nach KWG entziehen und Geschäftsleiter im Sinne des § 36 KWG aus ihren Funktionen abberufen. Die BaFin hat in 2025 drei Erlaubnisse von Finanzportfolioverwaltungsgesellschaften wegen gravierender Mängel im GwG-Compliance-System widerrufen.
Einen umfassenden Überblick über die AML-Compliance in allen Sektoren bietet unser Leitfaden zur Geldwäscheprävention für Unternehmen.
Wie Dokumentenprüfung für die GwG-Compliance automatisiert werden kann
Vermögensverwalter mit internationaler Kundschaft stehen vor einem spezifischen operativen Problem: Kunden bringen Identitätsdokumente aus Dutzenden von Ländern in unterschiedlichen Sprachen und Formaten mit. Die manuelle Verifikation skaliert nicht mit dem Wachstum des Kundenstamms und ist fehleranfällig — insbesondere bei fremdsprachigen Dokumenten und komplexen Unternehmensstrukturen.
Die CheckFile-Plattform verfolgt einen methodischen Ansatz, der OCR, Metadatenanalyse und dokumentübergreifende Kreuzvalidierung kombiniert und sowohl einfache CDD-Pakete als auch komplexe EDD-Dossiers mit mehreren Entitäten abdeckt. Die API-Integration ermöglicht die nahtlose Einbettung in bestehende CRM-Systeme und Portfolioverwaltungsplattformen. Informationen zu Preisen und ROI finden Sie auf der Preisseite.
Transparenzregister und Wechselwirkung mit GwG-Pflichten
Das Transparenzregister nach dem Geldwäschegesetz (§§ 18–26 GwG) und die Wwft-ähnliche KYC-Pflicht des Verpflichteten interagieren in der Praxis auf zwei Ebenen, die Vermögensverwalter kennen müssen.
Transparenzregisterabfrage als Teil der CDD: Seit der Abschaffung der Mitteilungsfiktion durch das Transparenzregister- und Finanzinformationsgesetz (TraFinG, 2021) müssen Verpflichtete Angaben zum wirtschaftlich Berechtigten direkt beim Transparenzregister einholen — ein Auszug aus Handelsregister oder Gesellschaftsvertrag genügt nicht mehr. Die Transparenzregisterabfrage ist verpflichtender Bestandteil der CDD bei juristischen Personen. Kosten: 1,15 Euro pro Abruf (Stand 2026).
Widersprüche und Eigentümerprüfung: Stellt der Vermögensverwalter fest, dass die Angaben im Transparenzregister nicht mit den vom Kunden gemachten Angaben übereinstimmen, muss er dies dem Bundesanzeiger Verlag melden (§ 23a GwG). Diese sogenannte Unstimmigkeitsmeldung ist keine Verdachtsmeldung an die FIU, sondern eine zivilrechtliche Pflicht zur Registerbereinigung — wird jedoch häufig mit der Verdachtsmeldepflicht verwechselt.
DSGVO und GwG: Die DSGVO beschränkt die Weiterverwendung von KYC-Daten für andere Zwecke als die Geldwäscheprävention. Die Datenschutzkonferenz (DSK) hat bestätigt, dass die GwG-Pflicht eine eigenständige Rechtsgrundlage nach Art. 6 Abs. 1 lit. c DSGVO darstellt. Datenschutzerklärungen von Verpflichteten müssen explizit auf die GwG-Grundlage hinweisen. Das Auskunftsrecht der betroffenen Person nach Art. 15 DSGVO ist gemäß § 48 GwG eingeschränkt, wenn die Auskunftserteilung eine FIU-Meldung gefährden würde.
Häufig gestellte Fragen
Sind unabhängige Honorar-Anlageberater nach § 93 WpHG ebenfalls GwG-pflichtig?
Ja. Unabhängige Honorar-Anlageberater gelten als Finanzdienstleistungsinstitute nach § 1 Abs. 1a KWG und sind damit vollumfänglich GwG-pflichtig. Sie werden von der BaFin im Register unabhängiger Honorar-Anlageberater geführt und unterliegen denselben KYC-, Monitoring- und Meldepflichten wie andere Verpflichtete.
Welche Unterlagen sind für eine verstärkte Sorgfaltsprüfung bei einer PEP erforderlich?
Für eine politisch exponierte Person benötigen Sie: verifizierten Lichtbildausweis, aktuellen Adressnachweis, Erklärung zur Herkunft des Vermögens mit dokumentarischer Grundlage (Steuerbescheide, Kaufverträge, Gesellschafterbeschlüsse, Erbscheine), Erklärung zur Herkunft der konkreten Anlagesumme sowie die schriftliche Genehmigung des Senior-Managements vor Aufnahme der Geschäftsbeziehung.
Wie schnell muss eine Verdachtsmeldung an die FIU erfolgen?
Seit dem 1. März 2026 gilt für Risikokunden eine Frist von 21 Kalendertagen nach Kenntniserlangung des Sachverhalts. Für sofort erkannte Sachverhalte mit unmittelbarem Transaktionsbezug muss die Meldung unverzüglich, d.h. vor Ausführung der Transaktion, erfolgen. Verspätete Meldungen können als eigenständige Ordnungswidrigkeit geahndet werden.
Was unterscheidet CDD von verstärkten Sorgfaltspflichten (EDD) in der Praxis?
CDD ist die Basisprüfung für jeden neuen Kunden: Identitätsfeststellung, Adressverifikation und Identifizierung wirtschaftlich Berechtigter bei juristischen Personen. EDD geht darüber hinaus und erfordert zusätzlich die Dokumentation der Vermögens- und Mittelherkunft, ein erhöhtes Überwachungsintervall und die Freigabe durch das Senior-Management. EDD ist obligatorisch bei PEPs, Kunden aus Hochrisikoländern und opaken Strukturen.
Darf die GwG-Compliance ausgelagert werden?
Ja, unter den Voraussetzungen des § 6 Abs. 7 GwG. Die Auslagerung an einen Dritten ist zulässig, wenn der Auslagerungspartner selbst Verpflichteter im Sinne des GwG ist und ein schriftlicher Vertrag die Verantwortlichkeiten klar regelt. Die Gesamtverantwortung verbleibt beim auslagerenden Institut. Die BaFin prüft Auslagerungsverträge im Rahmen ihrer Vor-Ort-Prüfungen.
Bleiben Sie informiert
Erhalten Sie unsere Compliance-Analysen und Praxisleitfäden direkt in Ihr Postfach.