KYC/AML für Online-Glücksspielanbieter: AMLD6-Pflichten 2026

Online-Glücksspielanbieter sind als Verpflichtete im Sinne der EU-Geldwäscheprävention (GwG) ausdrücklich eingestuft. Mit der vollständigen Anwendbarkeit der AMLR (Verordnung EU 2024/1624) und der 6. Geldwäscherichtlinie AMLD6 (Richtlinie 2024/1640) ab dem 10. Juli 2027 werden die Compliance-Anforderungen in allen 27 EU-Mitgliedstaaten harmonisiert, ohne dass eine nationale Umsetzung erforderlich ist. In Deutschland beaufsichtigt die Gemeinsame Glücksspielbehörde der Länder (GGL) Online-Glücksspielanbieter, während die Financial Intelligence Unit Deutschland (FIU) als zentrale Meldestelle für Verdachtsmeldungen nach dem Geldwäschegesetz (GwG) zuständig ist.

Dieser Artikel dient ausschließlich der Information und stellt keine Rechts- oder Regulierungsberatung dar. Alle Regelungshinweise entsprechen dem Stand des Veröffentlichungsdatums. Für eine auf Ihre Situation zugeschnittene Beratung wenden Sie sich bitte an einen qualifizierten Rechtsexperten.

Welche Glücksspielanbieter fallen unter AMLD6?

Artikel 3 Absatz 3 Buchstabe e der Verordnung EU 2024/1624 führt „Anbieter von Glücksspieldiensten" ausdrücklich als Verpflichtete auf (EUR-Lex, Verordnung EU 2024/1624). In Deutschland gelten alle von der GGL lizenzierten Online-Glücksspielanbieter als Verpflichtete nach dem Geldwäschegesetz (GwG). Dies umfasst Anbieter von Online-Sportwetten, Online-Poker, virtuellen Automatenspielen und Online-Casinospielen im Rahmen des Staatsvertrags über das Glücksspielwesen in Deutschland (GlüStV 2021).

Mitgliedstaaten können unter strengen Bedingungen des Artikels 19 der Richtlinie 2024/1640 eingeschränkte Ausnahmen für Niedrigrisikospiele gewähren, die jedoch nicht für Hochvolumenanbieter oder Online-Casinospiele gelten.

Sorgfaltspflichten gegenüber Kunden (CDD) für Glücksspielanbieter

Die standardmäßige Sorgfaltspflicht (CDD) wird ausgelöst, wenn eine Transaktion EUR 2.000 als einzelne Zahlung oder kumuliert über verbundene Transaktionen innerhalb von 24 Stunden erreicht. GGL und FIU Deutschland weisen darauf hin, dass dieser Schwellenwert sowohl für Einzahlungen als auch für Auszahlungen über diesem Betrag gilt (FIU, Jahresbericht 2024).

Erforderliche Dokumente zur Kundenidentifizierung

Die Standardidentifizierung erfordert:

• Amtlicher Lichtbildausweis: gültiger Reisepass, Personalausweis oder Aufenthaltstitel für ausländische Staatsbürger
• Wohnsitznachweis: Versorgungsrechnung oder Kontoauszug mit einem Ausstellungsdatum von nicht mehr als 3 Monaten
• Altersverifikation: Bestätigung der Volljährigkeit (mindestens 18 Jahre)
• Für juristische Personen: Handelsregisterauszug, Satzung, Identifizierung des wirtschaftlich Berechtigten (UBO)

Die digitale Verifikation ist zulässig, sofern das System die Anforderungen der eIDAS-Verordnung (EU 910/2014) und die Auslegungshinweise der BaFin zur Nichtpräsenzidentifizierung erfüllt.

CheckFile unterstützt Glücksspielanbieter mit mehrschichtiger Dokumentenprüfung für KYC-Onboarding-Prozesse, einschließlich struktureller Integritätsprüfungen, Metadatenanalyse und dokumentenübergreifender Konsistenzvalidierung.

Risikobasierter Ansatz

Der risikobasierte Ansatz erfordert die Segmentierung des Kundenstamms. Risikospezifische Indikatoren für den Glücksspielsektor:

• Häufige Einzahlungen knapp unterhalb des EUR-2.000-Schwellenwerts (Stückelung/Structuring)
• Nutzung von Kryptowährungen oder anonymen E-Wallets für Einzahlungen
• Bewusstes Verlustspielverhalten (typische Methode zur Umwandlung krimineller Gelder)
• Sofortige Auszahlungen nach Einzahlungen ohne nennenswerte Spielaktivität

Verstärkte Sorgfaltspflichten (EDD): VIP-Spieler und politisch exponierte Personen

Verstärkte Sorgfaltspflichten (EDD) sind obligatorisch, wenn das Risikoprofil des Kunden erhöht ist. Artikel 36 der AMLR verpflichtet zur EDD bei politisch exponierten Personen (PEP), Kunden aus FATF-Hochrisikoländern sowie Geschäftsbeziehungen mit atypischen Merkmalen (EUR-Lex, Verordnung EU 2024/1624, Art. 36).

Im Online-Glücksspielsektor ist EDD insbesondere erforderlich für:

VIP- und Hochwertkunden: Jeder Kunde, dessen kumulierte Einzahlungen im rollierenden 12-Monatszeitraum EUR 25.000 übersteigen, sollte einer EDD unterzogen werden, einschließlich der Prüfung der Mittelherkunft (Source of Funds) und, falls erforderlich, der Vermögensherkunft (Source of Wealth). Der Anbieter muss die Konsistenz zwischen Spielniveau und wirtschaftlicher Leistungsfähigkeit des Kunden dokumentieren.

Atypisches Verhalten: Der Anbieter muss EDD anwenden, wenn er Geldwäscheindikatoren feststellt, wie bewusstes wiederholtes Verlustspielverhalten, Nutzung mehrerer Zahlungsmethoden oder Anfragen auf Überweisungen an Dritte.

Die CheckFile-Plattform zentralisiert EDD-Dokumentation und bewahrt den Prüfpfad für die gesetzlich vorgeschriebenen 5 Jahre auf.

Verdachtsmeldungen an die FIU Deutschland

Gemäß GwG § 43 sind lizenzierte Online-Glücksspielanbieter verpflichtet, der FIU Deutschland Verdachtsmeldungen zu erstatten, wenn sie wissen, vermuten oder berechtigten Grund zu der Annahme haben, dass eine Transaktion im Zusammenhang mit Geldwäsche oder Terrorismusfinanzierung steht. Die FIU Deutschland erhielt 2024 mehr als 300.000 Verdachtsmeldungen, mit einem wachsenden Anteil aus dem Online-Glücksspielsektor (FIU Deutschland, Jahresbericht 2024).

Typische Meldungsanlässe im Glücksspielsektor:

• Kunde, der große Beträge einzahlt und anschließend ohne nennenswerte Spielaktivität Auszahlungen beantragt
• Mehrere Kunden, die dieselbe IP-Adresse, dasselbe Zahlungsmittel oder dasselbe Gerät verwenden
• Nutzung von Kryptowährungen ohne nachweisbare Mittelherkunft
• Spiel- und Auszahlungsmuster, das auf die Umwandlung von Bargeld in Gewinne gerichtet scheint

Das Schweigegebot (§ 47 GwG) untersagt dem Anbieter, den Kunden darüber zu informieren, dass eine Verdachtsmeldung erstattet wurde oder beabsichtigt ist.

Datenspeicherung und DSGVO-Konformität

Die AMLR schreibt eine Aufbewahrungsfrist von 5 Jahren für alle Identifizierungsdaten und Transaktionsaufzeichnungen nach dem Ende der Geschäftsbeziehung vor (AMLR Art. 77). In Deutschland ist dies auch im GwG § 8 verankert. Diese Verpflichtung besteht neben dem Grundsatz der Datenspeicherbegrenzung der DSGVO; die Rechtsgrundlage für die Aufbewahrung von GwG-Daten über die übliche Speicherdauer hinaus ist die rechtliche Verpflichtung nach Art. 6 Abs. 1 Buchst. c DSGVO.

Einen detaillierten Leitfaden zur Dokumentenaufbewahrung in verschiedenen Ländern und Branchen finden Sie unter Dokumentenaufbewahrungspflichten nach Land und Branche.

Interne Kontrollen und Governance

Die AMLR (Art. 8-9) und das GwG verpflichten Online-Glücksspielanbieter, einen Geldwäschebeauftragten auf Leitungsebene zu bestellen, dokumentierte Compliance-Verfahren zu implementieren und regelmäßige Mitarbeiterschulungen durchzuführen.

• Jährliche Risikoanalyse: Beurteilung der spezifischen Risiken des Anbieters nach Produktmix, Kundenstamm und Zahlungsmethoden
• Laufendes Monitoring: kontinuierliche Überwachung von Kundentransaktionen anhand etablierter Verhaltensprofile
• Mitarbeiterschulungen: alle kundennahen Mitarbeiter und das Betrugsabwehrteam erhalten jährliche Schulungen zu Geldwäschetypologien im Glücksspielbereich
• Unabhängige Prüfung: zweijährliche Prüfung des GwG-Rahmens durch einen unabhängigen Prüfer

CheckFile integriert sich über API in die Onboarding-Systeme der Anbieter, um Dokumentenprüfungen zu automatisieren und prüffertige Compliance-Aufzeichnungen zu erstellen.

Weitere Informationen zu den AMLD6-Pflichten aller Verpflichteten finden Sie im AMLD6-Compliance-Leitfaden für Verpflichtete und im Leitfaden zur verstärkten Sorgfaltspflicht EDD.

Häufig gestellte Fragen

Waren Online-Glücksspielanbieter bereits vor AMLD6 geldwäscherechtlich verpflichtet?

Ja. Glücksspieldienstleister sind seit der Dritten Geldwäscherichtlinie (AMLD3, 2005) für Spielcasinos und seit der Vierten Geldwäscherichtlinie (AMLD4, 2015) für alle Glücksspieldienste oberhalb des Schwellenwerts von EUR 2.000 als Verpflichtete eingestuft. AMLD6 und die AMLR 2024 stärken und harmonisieren diese Pflichten direkt in der gesamten EU ohne nationale Umsetzung.

Ab welchem Betrag muss die Identität eines Spielers verifiziert werden?

Der standardmäßige CDD-Schwellenwert liegt bei EUR 2.000 pro Transaktion oder als kumulierter Betrag verbundener Transaktionen. Viele Anbieter führen die Identitätsverifizierung bereits bei der Kontoeröffnung durch, unabhängig vom Einzahlungsbetrag — was von der GGL als beste Praxis angesehen wird.

Welche Konsequenzen drohen bei Nichteinhaltung der GwG-Pflichten?

Unter AMLD6 können Bußgelder bis zu EUR 10 Millionen oder 10 % des Jahresumsatzes für juristische Personen verhängt werden. Die GGL kann zusätzlich die Lizenz widerrufen oder aussetzen. In der Vergangenheit hat die deutsche Regulierungsbehörde bereits empfindliche Sanktionen gegen Anbieter mit unzureichenden Geldwäsche-Compliance-Strukturen verhängt.

Erfordern Kryptowährungseinzahlungen eine besondere KYC-Behandlung?

Ja. Kryptowährungseinzahlungen erfordern verstärkte Sorgfaltspflichten, da sie die Mittelherkunft verschleiern können. Anbieter müssen die Herkunft der Kryptoassets prüfen, sicherstellen, dass die Wallet-Adresse nicht auf Sanktionslisten steht, und die FATF Travel Rule anwenden, sofern anwendbar. Viele Anbieter wenden für Kryptowährungseinzahlungen über EUR 1.000 obligatorische EDD an.

Wie soll der Anbieter mit Kunden umgehen, die die Dokumentation verweigern?

Verweigert ein Kunde die Vorlage der erforderlichen CDD-Dokumente, muss der Anbieter die Begründung oder Fortführung der Geschäftsbeziehung ablehnen. Bei bestehenden Geschäftsbeziehungen sollte der Anbieter eine Verdachtsmeldung bei der FIU in Betracht ziehen, wenn die Verweigerung zusammen mit anderen Verdachtshinweisen auftritt.