Es geht nicht mehr nur darum, dass du Nachhaltigkeit (ESG) oder IT-Resilienz berücksichtigst, sondern wie du diese Faktoren messbar, prüfbar und steuerbar in den Institutsalltag integrierst. Dieser Artikel unterstützt dich dabei, die „Schonfrist“ der Konsultationsphase 2026 zu nutzen und den Fokus auf die operative Umsetzung zu verschieben.^

Warum die MaRisk 10.0 Führungskräfte nachts wachhält: 

Die Umsetzung der 9. MaRisk-Novelle im Jahr 2026 ist weit mehr als ein technisches Update. Sie trifft die Institute an ihren kritischsten operativen Schnittstellen. Hier sind die Schmerzpunkte, die aktuell den größten Handlungsdruck erzeugen:

• Das 10-Jahres-Daten-Vakuum (AT 4.3.3): Die Forderung nach Resilienzanalysen über ein Jahrzehnt hinweg sprengt klassische Risikomodelle. Viele Institute stehen vor dem Nichts, wenn es darum geht, wissenschaftlich fundierte Klimaszenarien mit realen Portfoliodaten zu verheiraten.
• Die 5 % NPL-Falle (BTO 1.2.5): Die neue „harte“ Quote für notleidende Kredite wirkt wie ein Fallbeil. Wer die Schwelle reißt, verliert massiv an operativem Spielraum und muss unter Aufsichtsdruck teure Workout-Units aufbauen – ein personeller Albtraum für kleinere Häuser.
• Administrative Lähmung durch DORA & AT 7.2: Die Pflicht zur halbjährlichen Rezertifizierung von IT-Berechtigungen (insb. Administratoren) droht die Revisions- und IT-Abteilungen in manuellen Excel-Listen zu ersticken. Ohne Automatisierung ist dieser Prozess nicht prüfungssicher zu bewältigen.
• Gutachter-Engpass bei Immobilien (BTO 1.2.2): Die neue Rotationspflicht und die zwingende Neubewertung bei 10 % Marktschwankung treffen auf einen Markt mit begrenzten Gutachterkapazitäten. Hier drohen Prozesse im Kreditgeschäft massiv zu stocken.
• Ressourcen-Burnout (AT 7.1): Die Aufsicht fordert nun explizit den Nachweis einer angemessenen Personalausstattung. Das Problem: Qualifizierte ESG- und Daten-Analysten sind am Markt kaum zu finden, während die bestehenden Teams bereits an der Belastungsgrenze arbeiten.
• Die „Blackbox“-Haftung bei KI: Wer KI für Scoring oder Bewertung nutzt, haftet nun für deren „Erklärbarkeit“. Viele Institute nutzen Tools von Drittanbietern, ohne die zugrunde liegende Logik tief genug für eine BaFin-Prüfung dokumentieren zu können.

Dein Mehrwert durch den S+P Hub:

Wir wandeln diese Pain Points in prüfungssichere Prozesse um. Unser Implementierungs-Fahrplan und die MaRisk 10.0 Tool Box bieten dir die Abkürzung durch das regulatorische Dickicht.

• Jetzt Whitepaper zur 9. MaRisk-Novelle 2026 sichern

^

Die Umsetzung der EBA-Leitlinien in der MaRisk 10.0 (Fassung 2026)

Mit der 10. MaRisk-Novelle (konsultiert im April 2026) festigt die BaFin den Ansatz des „Single Rulebooks“, indem sie zentrale europäische Vorgaben in nationales Recht überführt. Die MaRisk 10.0 fungiert dabei als Integrationsrahmen für eine Vielzahl von EBA-Leitlinien, insbesondere in den Bereichen ESG-Risiken (EBA/GL/2025/01 und 2025/04) sowie der Kreditvergabe und Überwachung (EBA/GL/2020/06).

Ein entscheidendes Merkmal der neuen Fassung ist die Vollumfänglichkeit der Umsetzung: Sofern die MaRisk nicht explizit auf spezifische Randziffern oder Abschnitte der EBA-Leitlinien verweisen, gelten die genannten Leitfäden durch die MaRisk-Anforderungen als vollständig abgedeckt.

Institute müssen somit keine parallele Prüfung der EBA-Texte vornehmen, es sei denn, ein direkter Verweis erzwingt die Beachtung zusätzlicher Details. Diese Struktur dient der Reduktion von Komplexität und stärkt die Prinzipienorientierung, wobei insbesondere für kleinere Institute (SNCI) durch die Integration der Leitlinien zum ESG-Management und zur Umwelt-Szenarioanalyse ein proportionaler, risikoorientierter Handlungsspielraum geschaffen wird.

Wichtige Neuerungen im Überblick

In der Version 10.0 (2026) sind folgende Punkte besonders hervorzuheben:

• ESG-Integration: Die Leitlinien zum Management von ESG-Risiken (EBA/GL/2025/01) und zur Umwelt-Szenarioanalyse (EBA/GL/2025/04) sind nun fester Bestandteil der Risikoinventur und Strategieformulierung.
• Demarkation zu DORA: Während die EBA-Leitlinien zu Auslagerungen (EBA/GL/2019/02) weiterhin relevant bleiben, werden IKT-spezifische Aspekte zunehmend durch die DORA-Verordnung exkludiert, um Doppelregulierung zu vermeiden.
• Stresstesting: Die Anforderungen aus EBA/GL/2018/04 wurden dahingehend gestrafft, dass Institute ihre Stresstest-Szenarien nun noch stärker auf die Wesentlichkeit (5%-Schwelle) fokussieren können.

Referenzliste der EBA-Leitlinien

• Stresstests EBA/GL/2018/04 – Leitlinien zu den Stresstests der Institute
• Notleidende Risikopositionen (NPL) EBA/GL/2018/06 – Leitlinien über das Management notleidender und gestundeter Risikopositionen
• Auslagerungen (Outsourcing) EBA/GL/2019/02 – Leitlinien zu Auslagerungen
• Kreditvergabe & Überwachung (LOM) EBA/GL/2020/06 – Leitlinien für die Kreditvergabe und Überwachung
• Interne Governance EBA/GL/2021/05 – Leitlinien zur internen Governance
• Zins- und Spreadrisiken (IRRBB/CSRBB) EBA/GL/2022/14 – Leitlinien zu Zinsrisiken und Kreditspreadrisiken im Anlagebuch (Hinweis: Oft als Englisch/Deutsch-Kombination verfügbar)
• ESG-Risikomanagement EBA/GL/2025/01 – Leitlinien zum Management von ESG-Risiken
• Umwelt-Szenarioanalyse EBA/GL/2025/04 – Leitlinien zur Umwelt-Szenarioanalyse

Beachten Sie, dass die MaRisk 10.0 explizit klarstellt:

„Soweit die MaRisk auf diese Leitlinien verweisen, sind die entsprechenden Abschnitte als integraler Bestandteil der Aufsichtspraxis zu verstehen.“

Das bedeutet für die Praxis, dass die Institute die Detailvorgaben (z.B. die Anhänge zur Szenarioanalyse) direkt aus den EBA-Texten entnehmen müssen, wenn das MaRisk-Modul (z.B. AT 4.3.3 für ESG) darauf referenziert.

Das Fundament: Strategie und Risikokultur (AT 3 & AT 4.2)

Die Geschäftsleitung steht mehr denn je in der Pflicht. Die neue MaRisk stellt klar: Risikomanagement ist keine rein delegierbare Kontrollaufgabe, sondern ein integraler Bestandteil der Geschäftsstrategie.

Operative Umsetzung der Risikokultur

Du musst die Risikokultur (AT 3.1) nun messbar machen. Es reicht nicht, ein Leitbild an die Wand zu hängen. Die Aufsicht erwartet Verfahren, mit denen du überwachst, ob die

Mitarbeiter den definierten Risikoappetit auch leben.

• Praxis-Tipp: Implementiere regelmäßige „Risk-Culture-Surveys“ oder binde Risiko-KPIs in die Zielvereinbarungsgespräche ein.
• ESG-Integration: Deine Geschäftsstrategie muss nun explizit darlegen, wie die Transition zu einer nachhaltigen Wirtschaft dein Geschäftsmodell beeinflusst. Das ist kein Marketing-Text, sondern die Basis für deine Kapitalplanung.

Das ESG-Daten-Dilemma: Von der Schätzung zur Messung (AT 4.3.4 & BTO 1.2)

Das größte operative Nadelöhr der Novelle ist die Verfügbarkeit und Qualität von ESG-Daten. Die MaRisk fordern, dass du ESG-Risiken als Risikotreiber für alle wesentlichen Risikoarten berücksichtigst.

Die Datenstrategie

Du stehst vor der Herausforderung, für die 10-jährigen Resilienzanalysen (AT 4.3.3) Datenhaushalte aufzubauen, die es in dieser Form oft noch nicht gibt.

• Bestandskunden: Integriere ESG-Fragebögen direkt in die Neu-Produkt-Prozesse und die jährlichen Kreditfolgebearbeitungen. Nutze standardisierte Branchen-Scores nur als Übergangslösung.
• Immobilienportfolio: Für die Wertermittlung (BTO 1.2.2) musst du nun die Energieeffizienz (EPC-Labels) und physische Klimarisiken (z. B. Hochwasserzonen) systematisch erfassen.
• IT-Anforderung: Vermeide Insellösungen. Die ESG-Daten müssen im zentralen Datenmanagementsystem (AT 4.3.4) so abgelegt werden, dass sie sowohl für die Risikoinventur als auch für die Kreditwürdigkeitsprüfung und das Reporting (BT 3) nutzbar sind.

• Aufsichtsrecht Seminare

NPL-Management: Die „5 %-Hürde“ als Prozess-Auslöser (BTO 1.2.5)

Die Einführung einer harten Schwelle von 5 % für die NPL-Quote (notleidende Kredite) ist eine der schärfsten Verschärfungen. Wenn dein Institut diese Grenze überschreitet, greifen automatisch massive organisatorische Anforderungen.

Proaktive Steuerung statt Zwangsverwaltung

Warte nicht, bis du die 5 % erreichst. Du solltest ein internes Frühwarnsystem etablieren, das bereits bei 3,5 % oder 4 % Alarm schlägt.

• Die NPL-Strategie: Wenn du über der Schwelle liegst, musst du einen mehrjährigen Abbauplan vorlegen. Das erfordert eine detaillierte Analyse der Ursachen für die Notleidendheit.
• Die Workout-Unit: Die geforderte Trennung der Abwicklungseinheit vom Marktbereich ist für kleinere Institute personell oft schwierig. Prüfe frühzeitig, ob du durch Pool-Lösungen oder klare Stellvertreterregelungen die geforderte Unabhängigkeit gewährleisten kannst, ohne den Betrieb zu lähmen.

Immobilien-Bewertung: Prozess-Optimierung unter Druck (BTO 1.2.2)

Die MaRisk 2026 fordern eine deutlich engere Überwachung von Immobiliensicherheiten. Marktschwankungskonzepte werden kritischer beäugt; bei Wertminderungen von mehr als 10 % ist eine Neubewertung zwingend.

Operative Lösungsansätze

• Gutachter-Rotation: Du musst nun sicherstellen, dass nicht jahrelang derselbe Gutachter dasselbe Objekt bewertet. Das erfordert ein softwaregestütztes Rotationsmanagement im Bereich Marktfolge.
• KI-Einsatz: Nutze automatisierte Bewertungsmodelle (AVMs) zur kontinuierlichen Marktbeobachtung. So identifizierst du frühzeitig jene Objekte, die die 10 %-Schwelle reißen könnten, und kannst Gutachterkapazitäten zielgerichtet steuern.

Ressourcen-Management: Das Ende der Überlastung (AT 7.1)

Ein oft unterschätzter Punkt ist die explizite Forderung nach angemessener Personalausstattung. Die Aufsicht hat erkannt, dass viele neue Anforderungen (ESG, DORA, NPL) zusätzliche Kapazitäten binden.

Personalstrategie

Du kannst nicht einfach mehr Aufgaben auf dieselben Köpfe verteilen.

• Qualifikationsmatrix: Erstelle eine Matrix, welche neuen Kompetenzen (z. B. ESG-Experten, Daten-Analysten für Resilienzanalysen) im Haus fehlen.
• Outsourcing-Check: Wenn interne Ressourcen fehlen, rückt AT 9 (Auslagerung) in den Fokus. Aber Vorsicht: Auch die Überwachung der Dienstleister wird durch die neue MaRisk komplexer (Stichwort: Sub-Outsourcing).

Dein Implementierungs-Fahrplan: Die Gap-Analyse

Der Weg zur MaRisk-Compliance 2026 führt über eine strukturierte Bestandsaufnahme. Eine oberflächliche Betrachtung reicht nicht mehr aus; die Aufsicht fordert eine nachvollziehbare Herleitung, wie neue Anforderungen in bestehende Prozesse eingeflossen sind.

Nutze diesen 4-Phasen-Plan, um die Umsetzungsphase effizient zu steuern:

Phase 1: Die Delta-Analyse (Sofort-Check)

Im ersten Schritt erfolgt der Abgleich des neuen Rundschreibens mit deinem aktuellen Status quo.

• Dokumenten-Audit: Vergleiche deine Organisationsrichtlinien (Handbücher, Arbeitsanweisungen) Zeile für Zeile mit der MaRisk 2026.
• Identifikation von Leerstellen: Wo fehlen Prozesse komplett (z. B. 10-Jahres-Resilienzszenarien)? Wo weichen Definitionen ab (z. B. NPL-Begriff)?
• Ergebnis: Ein detailliertes „Delta-Protokoll“ als Basis für die Ressourcenplanung.

Phase 2: Impact-Analyse & Wesentlichkeit (Q2 – Q3)

Hier bewertest du die Tragweite der gefundenen Lücken für dein spezifisches Geschäftsmodell.

• Portfolio-Check: Welche Kreditbereiche sind von den neuen ESG-Szenarien am stärksten betroffen? Wie hoch ist der Anteil sanierungsbedürftiger Immobilien?
• Schwellenwert-Analyse: Wie knapp liegt deine aktuelle NPL-Quote an der 5 %-Hürde?
• Kapazitäts-Check: Wie viele Gutachten müssen aufgrund der neuen Rotationspflichten (BTO 1.2.2) kurzfristig neu vergeben werden?

Phase 3: Prozessdesign & IT-Integration (Q3 – Q4)

Nun geht es an die operative "Schraubarbeit". Compliance wird hier zum IT-Projekt.

• Workflow-Update: Integration der ESG-Datenfelder direkt in die Kreditmasken, damit der Marktbereich die Daten ohne Medienbruch erfassen kann.
• Automatisierung: Implementierung eines automatisierten Berechtigungsmanagements (Identity & Access Management), um die Rezertifizierungszyklen gemäß AT 7.2 einzuhalten.
• Validierung: Aufbau einer Validierungs-Governance für KI-Modelle und Scoring-Verfahren.

Phase 4: Training & Kultur-Audit (Laufend)

Die beste Richtlinie scheitert, wenn sie nicht gelebt wird.

• Befähigung: Schulung der Kreditanalysten in der Interpretation von ESG-Scores.
• Kultur-Check: Durchführung von Risk-Culture-Surveys, um gegenüber der Aufsicht nachzuweisen, dass das Risikobewusstsein bis in die untersten Ebenen verankert ist.

Experten-Tipp: Nutze für die Gap-Analyse ein standardisiertes Tooling. Die S+P Tool Box unterstützt dich bei der Umsetzung.

Das Target Operating Model (TOM) beschreibt die mit den MaRisk 2026 angestrebte Zielstruktur zur Umsetzung regulatorischer Anforderungen. Es umfasst die optimale Ausgestaltung von Prozessen, Governance, IT-Systemen und Ressourcen, um ein wirksames Risikomanagement sicherzustellen.

Im Kontext der MaRisk 2026 unterstützt ein TOM insbesondere:

• Aufbau- und Ablauforganisation: Klare Rollen, Verantwortlichkeiten und Prozesse gemäß AT 4.3.1

• Risikosteuerung und -controlling: Systematische Identifikation, Bewertung und Überwachung von Risiken (AT 4.3.2)

• Strategie und Risikokultur: Verankerung von ESG, Nachhaltigkeit und Risikoappetit in der Geschäftsstrategie (AT 4.2, AT 3.1)

• IT- und Datenarchitektur: Sicherstellung von Datenqualität, Verfügbarkeit und Informationssicherheit (AT 7.2)

• Compliance und Revision: Überwachung regulatorischer Anforderungen und unabhängige Kontrollfunktionen (AT 4.4.2, AT 4.4.3)

Ein strukturiertes Target Operating Model hilft dir, die MaRisk 2026 effizient, prüfungssicher und strategisch in deinem Institut umzusetzen.

• MaRisk 10.0 & DORA

Resilienz als Wettbewerbs-Vorteil

Die MaRisk-Novelle 2026 ist zweifellos eine große Belastung für die Administration. Doch wenn du den Blickwinkel änderst, bietet sie eine Chance:

1. ESG-Daten helfen dir, Risiken in deinem Portfolio besser zu verstehen und zu bepreisen.
2. Digitale Resilienz schützt dich vor den massiv steigenden Kosten von Cyber-Angriffen.
3. Saubere NPL-Prozesse sichern deine Liquidität in wirtschaftlich volatilen Zeiten.

Banken und Finanzinstitute, die diese Anforderungen nicht als lästige Checkliste, sondern als Werkzeuge für ein moderneres Risikomanagement begreifen, werden langfristig stabiler und attraktiver für Investoren und Kunden sein.

I. Intro

Die aktuellen regulatorischen Entwicklungen im Kontext des FKAustG und der EU-Richtlinie 2023/2226 (DAC8) sind als sehr wichtig einzustufen. Sie markieren eine Zäsur an der Schnittstelle zwischen steuerlicher Transparenz und der Prävention von Geldwäsche (AML).

Durch die Veröffentlichung des BMF-Schreibens vom 14. Januar 2026 und des BZSt-Newsletters 01/2026 wird die technische und rechtliche Daumenschraube angezogen: Die Implementierung der neuen XML-Schnittstelle und des amtlichen Datensatzes gemäß § 5 Abs. 1 S. 1 FKAustG zwingt Verpflichtete zu einer Datenpräzision, die unmittelbar mit den Identifizierungspflichten des Geldwäschegesetzes (GwG) korreliert. Besonders kritisch für das C-Level ist die Verschärfung der Bußgeldvorschriften sowie die Einführung neuer Ausnahmetatbestände für Gründungs- und Kapitalerhöhungskonten. Diese juristischen Neuerungen bergen das Risiko, dass vermeintliche Erleichterungen als regulatorische Schlupflöcher missverstanden werden, während Diskrepanzen zwischen CRS-Meldungen und KYC-Profilen (Know Your Customer) künftig automatisiert AML-Verdachtsmomente auslösen könnten. Für die Compliance-Funktion bedeutet dies eine notwendige Neujustierung der Risikoanalyse, um die Kongruenz zwischen steuerlicher Meldepflicht und geldwäscherechtlicher Sorgfaltspflicht zu wahren.

II. Fristen

Die FKAustG-Novelle verschärft die Schnittstelle zwischen Steuerrecht und Geldwäscheprävention. Datenkongruenz ist Pflicht: Abweichungen zwischen CRS-Meldungen und KYC-Daten (§ 10 GwG) triggern sofortige Geldwäscheverdachtsmeldungen (§ 43 GwG). Das C-Level haftet persönlich für ein präzises Tax-IKS zur Überwachung von Ausnahmeregelungen, unterstützt durch drastisch erhöhte Bußgelder. Zudem müssen Institute die BZSt-Staatenaustauschliste 2026 zwingend in ihr Risikomanagement (§ 5 GwG) integrieren, da sie das Länderrisiko-Rating für verstärkte Sorgfaltspflichten unmittelbar definiert.

III. Pflichten von C- Level, Compliance, Geldwäsche

1. Pflichten für das C-Level (Geschäftsführung/Vorstand)

Das C-Level trägt die Letztverantwortung für die Organisationsstruktur und die rechtssichere Implementierung der neuen Schnittstellen.

• Haftung für Tax-IKS: Implementierung und Überwachung eines steuerlichen innerbetrieblichen Kontrollsystems (Tax-IKS). Dies muss insbesondere die neuen Ausnahmeregelungen (z. B. für Gründungskonten) so steuern, dass keine missbräuchliche Nutzung erfolgt.
• Ressourcenbereitstellung: Sicherstellung, dass IT-Systeme die neue XML-Schnittstelle zum BZSt bedienen können, die einen automatisierten Abgleich zwischen CRS- und KYC-Daten ermöglicht.
• Bußgeldprävention: Angesichts drastisch erhöhter Sanktionen (FKAustG-Novelle) muss die Geschäftsleitung die Einhaltung der Meldefristen (z. B. 31. Juli für CRS-Daten) als strategisches Risiko priorisieren.

2. Pflichten für die Compliance-Funktion

Compliance stellt die Übereinstimmung der verschiedenen regulatorischen Stränge sicher.

• Sicherstellung der Datenkongruenz: Überwachung, dass die Meldungen nach § 5 FKAustG exakt den Identifizierungen nach § 10 GwG entsprechen. Compliance muss Prozesse etablieren, die Inkongruenzen (z. B. abweichende steuerliche Ansässigkeiten) bereits vor der Meldung detektieren.
• Überwachung der Ausnahmen: Rechtssichere Prüfung der "engen Voraussetzungen" für befreite Kontenarten. Hier darf kein Ermessensspielraum entstehen, der zu systematischen Fehlmeldungen führt.
• Update der Richtlinien: Integration der BZSt-Staatenaustauschliste 2026 in die internen Compliance-Vorgaben.

3. Pflichten für die Geldwäscheprävention (MLRO)

Für den Geldwäschebeauftragten wird der CRS-Datensatz zu einem aktiven Monitoring-Instrument.

• Risikoanalyse (§ 5 GwG): Die Staatenaustauschliste 2026 des BZSt muss zwingend in die institutsinterne Risikoanalyse einfließen. Staaten, die neu auf der Liste stehen oder gestrichen wurden, beeinflussen das Länderrisiko-Rating unmittelbar.
• Trigger-Management (§ 43 GwG): Abweichungen in der XML-Schnittstelle zwischen Steuer- und KYC-Daten müssen als automatisierte Verdachtsindikatoren behandelt werden. Der MLRO muss Prozesse definieren, wie diese "Daten-Gaps" bewertet und ggf. an die FIU gemeldet werden.
• Verstärkte Sorgfaltspflichten (§ 15 GwG): Anpassung der Prüfschritte bei Kunden aus Ländern, die laut BZSt-Liste ein erhöhtes steuerliches oder regulatorisches Risiko aufweisen.

IV. Haftungsrisiken/ Pain Points

Die Umsetzung der FKAustG-Novelle 2026 erzeugt eine erhebliche Reibung zwischen regulatorischem Anspruch und operativer Realität. Die Identifikation dieser Problemfelder ist entscheidend, um Haftungsrisiken proaktiv zu managen.

1. Daten-Silos: KYC-Daten und CRS-Meldungen liegen oft in getrennten Datenbanken.

2. Automatisierungs-Lücke: Der XML-Abgleich erfolgt systemseitig, die Klärung von Differenzen aber meist noch manuell.

3. Sanktionsangst: Die drastisch erhöhten Bußgelder der Novelle erzeugen einen "Compliance-Stress", der zu defensiven und geschäftsverhindernden Prozessen führen kann.

Genauer durchleuchtet lassen sich die Problemfelder für die verantwortlich handelnden Personen wie folgt auffächern:

1. Strategische & Operative Pain Points (C-Level)

• Haftungsfalle "Organisationsverschulden": Das C-Level steht persönlich in der Schusslinie, wenn das Tax-IKS Lücken aufweist. Da die Finanzverwaltung (BZSt) nun automatisierte XML-Abgleiche nutzt, werden Fehler sofort sichtbar – "Unwissenheit" ist als Verteidigungslinie 2026 hinfällig.
• Investitionsstau vs. Kostendruck: Die Implementierung der neuen XML-Schnittstelle erfordert tiefgreifende Eingriffe in die Core-Banking-Systeme. Viele Institute kämpfen mit Legacy-Systemen, die eine Echtzeit-Datenkongruenz kaum zulassen.
• Ressourcenmangel: Es herrscht ein massiver Fachkräftemangel an der Schnittstelle zwischen Steuerrecht (CRS) und Geldwäscheprävention (GwG). Experten, die beide Welten verstehen, sind extrem selten und teuer.

2. Prozessuale Pain Points (Compliance)

• Die "Single Source of Truth"-Problematik: In der Praxis weichen KYC-Daten (z. B. Wohnsitz nach Ausweis) oft von CRS-Selbstauskünften (steuerliche Ansässigkeit) ab. Die Herstellung einer 100%igen Kongruenz ohne manuelle Nachbearbeitung ist fast unmöglich.
• Grauzone "Ausnahmeregelungen": Die neuen Befreiungen (z. B. Gründungskonten) sind an "enge Voraussetzungen" geknüpft. Compliance muss hier extrem restriktive Filter setzen, was oft im Konflikt mit dem Vertrieb steht, der schnelle Kontoeröffnungen fordert.
• Aktualisierungs-Taktung: Die Staatenaustauschliste des BZSt ändert sich jährlich. Diese Änderungen in Echtzeit in alle Monitoring-Systeme einzupflegen, erfordert einen hohen Automatisierungsgrad, der oft fehlt.

3. Detektions- & Melde-Pain Points (MLRO / Geldwäsche)

• Explosion der Verdachtsmeldungen (SARs): Wenn jede technische Abweichung in der XML-Schnittstelle als Indikator nach § 43 GwG gilt, droht eine Flut an (potenziell unnötigen) Meldungen. Dies belastet die FIU und die internen Ermittlungsteams massiv.
• Dynamisches Länderrisiko: Die BZSt-Liste ist primär steuerlich motiviert. Der MLRO muss nun erklären, warum ein Land steuerlich "unsicher" (laut BZSt), aber geldwäscherechtlich (laut FATF) vielleicht unauffällig ist – oder umgekehrt. Diese Inkonsistenz erschwert ein homogenes Scoring.
• Verstärkte Sorgfaltspflichten (§ 15 GwG) als Onboarding-Killer: Die Pflicht, bei Ländern der BZSt-Liste sofort in die verstärkte Prüfung zu gehen, verlängert die Time-to-Market für Neukunden erheblich und führt zu Wettbewerbsnachteilen.

V. Maßnahmekatalog

1. Strategische Maßnahmen (C-Level & IT-Governance)

• Implementierung einer "Single Customer View": Zusammenführung von KYC-Daten (GwG) und Selbstauskünften (CRS) in einer zentralen Datenbank. Datensilos müssen aufgelöst werden, um die geforderte Datenkongruenz technisch zu erzwingen.
• Auditierung des Tax-IKS: Beauftragung einer unabhängigen Prüfung des steuerlichen Kontrollsystems. Fokus: Sind die "engen Voraussetzungen" für Ausnahmen (z. B. Gründungskonten) im System hart codiert oder gibt es manuelle Umgehungsmöglichkeiten?
• Budgetallokation für XML-Reporting: Sicherstellung, dass die Schnittstelle zum BZSt nicht nur Daten sendet, sondern auch Rückmeldungen (Fehlerprotokolle) automatisiert in das Fallmanagement-System des MLRO einspeist.

2. Operative & Prozessuale Maßnahmen (Compliance)

• Automatisierter Pre-Check-Prozess: Einführung eines Kontrollschritts vor der Meldung am 31. Juli. Ein Algorithmus muss CRS-Daten gegen KYC-Identifizierungsdaten abgleichen und Inkonsistenzen zur Klärung aussteuern.
• Standardisierung der Selbstauskünfte: Überarbeitung der Onboarding-Formulare. Die steuerliche Ansässigkeit muss zwingend mit den Ausweisdokumenten/Wohnsitznachweisen logisch validiert werden (Plausibilitätsprüfung).
• Dynamisches Regelwerk-Update: Implementierung eines Prozesses, der die BZSt-Staatenaustauschliste unmittelbar nach Veröffentlichung in die Scoring-Engines einpflegt.

3. Überwachungsmaßnahmen (Geldwäscheprävention / MLRO)

• Anpassung des Transaction Monitorings: Integration steuerlicher Indikatoren in das AML-Monitoring. Ein Beispiel: Wenn ein Kunde Gelder aus einem Land erhält, das auf der BZSt-Liste 2026 steht, aber im KYC als "geringes Risiko" eingestuft ist, muss ein automatischer Alarm (Alert) ausgelöst werden.
• Schulung der "First Line": Front-Office-Mitarbeiter müssen für die Bedeutung der Datenqualität sensibilisiert werden. Sie müssen verstehen, dass ein falsch erfasster Wohnsitz nicht nur ein Tippfehler ist, sondern eine Verdachtsmeldung nach § 43 GwG auslösen kann.
• Verschärfte Prüfungsprotokolle (§ 15 GwG): Erstellung spezifischer Checklisten für Kunden mit Bezug zu Austauschstaaten, um die "verstärkten Sorgfaltspflichten" revisionssicher zu dokumentieren.

VI. Quellen

Bundesfinanzministerium
https://www.bundesfinanzministerium.de/Content/DE/Downloads/BMF_Schreiben/Weitere_Steuerthemen/Organisation_Automation/2026-01-14-FKAustG-datensatz.pdf?__blob=publicationFile&v=3

I. Intro

Kryptowerte nehmen in den GwG-Änderungen zum 10.02.2026 eine zentrale Rolle ein. Sie sind nicht mehr nur ein Nischenthema für spezialisierte Dienstleister, sondern durch die TFR II (Transfer of Funds Regulation) und das StoFöG integraler Bestandteil der Compliance-Pflichten für alle Verpflichteten geworden.

1. Massive Verschärfung der Sanktionsrisiken (§ 56 Abs. 2a neu)

Kryptowerte sind nun der Bereich mit dem höchsten unmittelbaren Bußgeldrisiko.

• Eigenständiger Tatbestand: Verstöße gegen die VO (EU) 2023/1113 (TFR II) sind nun direkt sanktionierbar.
• Strafrahmen: Bußgelder bis zu 200.000 € für Standardverstöße; bei schwerwiegenden oder systematischen Fehlern (z. B. fehlende Prüfung von Self-Hosted Wallets) bis zu 1 Mio. € oder 10 % des Gesamtumsatzes.
• Name and Shame: Bußgelder im Krypto-Bereich werden nun gemäß § 57 GwG öffentlich bekannt gemacht (Reputationsrisiko).

2. Erweiterte Aufsichtsbefugnisse der BaFin (§ 51 Abs. 2a neu)

Bisher lag der Fokus der BaFin-Aufsicht bezüglich der TFR primär auf Kryptowerte-Dienstleistern (CASPs).

• Wichtig: Die Aufsicht über die Einhaltung der TFR II wurde auf alle Verpflichteten ausgeweitet.
• Sobald ein Institut (z. B. eine klassische Bank) Transaktionen mit Bezug zu Kryptowerten abwickelt, unterliegt es der vollen Prüfungstiefe durch die BaFin hinsichtlich der neuen Transfer-Regeln.

3. Operative Sorgfaltspflichten & Identifizierung

Kryptowertetransfers erfordern nun ähnliche (und teils strengere) Datensätze wie klassische Überweisungen:

• Reise-Regel (Travel Rule): Bei jedem Transfer müssen Informationen zu Auftraggeber und Begünstigtem mitgeführt werden.
• Self-Hosted Wallets: Ein kritischer Pain Point im Action Plan. Wenn Kunden mit eigenen Wallets interagieren, müssen Verpflichtete zusätzliche Informationen einholen und die Inhaberschaft der Adresse plausibilisieren.
• Aufbewahrung: Es gilt eine strikte 5-Jahres-Frist für alle Aufzeichnungen zu Kryptowertetransfers (Art. 26 TFR II).

4. Jährliche Meldepflicht (§ 52 Abs. 7 neu)

Obwohl die genauen technischen Standards (EU-RTS/ITS) noch ausstehen, ist klar, dass Kryptowertedaten Teil der jährlichen BaFin-Meldung sein werden.

– Institute müssen ihre Datenlandschaft so vorbereiten, dass sie das Volumen, die Art der Kryptowerte und die Risikoprofile der Transaktionen aggregiert melden können.

II. Beachtliche Zeit Fenster

1. Operative Stichtage im Geldwäschegesetz (GwG)

Die wichtigste Zäsur markiert das Inkrafttreten der jüngsten Novellen, die das deutsche Recht an das EU-Geldwäschepaket anpassen.

• 10. Februar 2026 (Inkrafttreten StoFöG): Ab diesem Tag sind die verschärften Bußgeldvorschriften des § 56 GwG voll anwendbar. Verstöße gegen die Identifizierungspflichten bei Stablecoin-Transfers oder unzureichende Dokumentationen bei Unhosted Wallets können nun unmittelbar sanktioniert werden.
• 01. März 2026 (Neue GwGMeldV): Dies ist der operative "Hard Cut" für die Kommunikation mit der Financial Intelligence Unit (FIU).

– Verpflichtung: Verdachtsmeldungen müssen zwingend im XML-Format über das goAML-Portal eingereicht werden.

– Mindestangaben: Meldungen ohne internes Aktenzeichen oder ohne Angabe spezifischer Meldegründe aus dem neuen FIU-Katalog gelten als rechtlich nicht abgegeben.

2. Steuerliche Meldepflichten (DAC8 & CARF)

Parallel zur Geldwäscheprävention greift das neue Steuertransparenzregime. Hier ist der 01. Januar 2026 der entscheidende Startpunkt.

• Laufender Meldezeitraum 2026: Seit dem 01.01.2026 müssen Anbieter von Kryptodienstleistungen (Börsen, Wallet-Provider) sämtliche Transaktionsdaten ihrer Nutzer (Käufe, Verkäufe, Tauschvorgänge – auch von Stablecoins) systematisch erfassen.
• Meldefrist 2027: Die im Jahr 2026 gesammelten Daten müssen bis spätestens 31. Januar 2027 an das Bundeszentralamt für Steuern (BZSt) übermittelt werden. Ein "Vergessen" von Stablecoin-Gewinnen in der Steuererklärung wird durch diesen automatischen Datenaustausch nahezu unmöglich.

3. Strategische Übergangsfristen (EU-Ebene)

Obwohl wir uns bereits im Jahr 2026 befinden, werfen die nächsten großen Änderungen ihre Schatten voraus:

• 10. Juli 2026 (AMLA-Deadline): Bis zu diesem Datum veröffentlicht die neue EU-Aufsichtsbehörde (AMLA) die finalen technischen Standards (RTS) für die Kundenidentifizierung (CDD). Institute sollten diese Standards ab Sommer 2026 in ihre IT-Workflows implementieren.
• 30. Juni 2026 (Ende MiCAR-Übergangsfrist): Für Anbieter, die noch unter alten nationalen Lizenzen operieren, endet Ende Juni die letzte Schonfrist. Ab dem 01. Juli 2026 ist eine vollständige MiCAR-Zulassung für das Angebot von Stablecoins (EMT/ART) in der gesamten EU zwingend.

III. Pflichten

1. Aufsicht der BaFin über TFR II bei allen Verpflichteten (§ 51 GwG)

Die Änderungen im Aufsichtsregime führen dazu, dass die BaFin die Einhaltung der VO (EU) 2023/1113 nun für alle einschlägigen GwG‑Verpflichteten, einschließlich Anbieter von Kryptowerte‑Dienstleistungen, durchsetzen kann. Dadurch steigt das Prüfungs‑ und Durchsetzungsrisiko für Krypto‑Geschäfte und die zugehörigen Prozesse deutlich. Gleichzeitig schaffen neue Ermächtigungen für elektronische Kommunikation die Grundlage, künftige Meldungen und Berichte zu Krypto‑Transfers ausschließlich digital einzufordern.

– Einrichtung oder Anpassung eines zentralen TFR‑II‑Kontrollrahmens mit explizitem Krypto‑Scope. 

– Prüfung und ggf. Anpassung der Aufsichts‑Reporting‑Schnittstellen (Meldeportale, APIs) für künftige elektronische Vorgaben. 

– Integration von TFR‑II‑Prüfpunkten in interne und externe Prüfungspläne (Revision, Compliance‑Monitoring).

2. Jährliche AML‑Meldepflichten mit Krypto‑Bezug (§ 52 Abs. 7 GwG)

Mit der neuen jährlichen Meldepflicht nach § 52 Abs. 7 GwG entsteht für BaFin‑beaufsichtigte Institute eine strukturelle Berichtspflicht, die voraussichtlich auch Daten zu Kryptowerte‑Geschäften, Risiken und Kontrollen umfassen wird. Der genaue Inhalt ergibt sich zwar erst aus EU‑RTS/ITS, es ist jedoch klar, dass Krypto‑Aktivitäten in die europäische AML‑Risikodatenerhebung einbezogen werden sollen. Verstöße gegen diese Berichtspflicht sind nun ausdrücklich bußgeldbewehrt und erhöhen den Druck, frühzeitig belastbare Datenhaushalte aufzubauen.

– Identifikation aller Krypto‑relevanten Datenfelder und Quellsysteme für die geplanten Jahresmeldungen. 

– Aufbau eines standardisierten internen Prozesses (Timelines, Verantwortliche) zur Erstellung der jährlichen AML‑Strukturmeldung inkl. Krypto‑Inhalten. 

– Implementierung von Plausibilitäts‑ und Qualitätskontrollen für Krypto‑Daten vor Übermittlung an die BaFin.

3. TFR‑II‑Pflichten speziell für Kryptowerte‑Transfers

Die VO (EU) 2023/1113 etabliert detaillierte Pflichten zur Übermittlung und Prüfung von Herkunfts‑ und Empfängerdaten bei Kryptowertetransfers (Travel Rule) und macht damit Krypto‑Transfers regulatorisch den klassischen Geldtransfers vergleichbar. Für jeden relevanten Transfer müssen vollständige Originator‑ und Begünstigtenangaben erhoben, technisch mitgeführt und beim Empfänger‑Dienstleister überprüft werden. Spezielle Anforderungen gelten für Transfers zu/ von selbst gehosteten Wallets, bei denen risikobasierte Maßnahmen und zusätzliche Prüfungen ab bestimmten Schwellen anzuwenden sind.

– Implementierung/Anpassung von Messaging‑Schnittstellen, um alle TFR‑II‑Pflichtangaben bei Krypto‑Transfers strukturiert zu übertragen. 

– Konfiguration von Regeln, die Transfers mit fehlenden/unvollständigen Angaben automatisch erkennen, blockieren oder zur Klärung eskalieren. 

– Etablierung risikobasierter Verfahren für Self‑Hosted‑Wallet‑Transfers (z.B. Verifikation des Wallet‑Inhabers ab 1.000‑EUR‑Schwelle).

4. Praktische Compliance‑Schwerpunkte für Kryptowerte

Die Aufzeichnungs‑ und Sanktionsvorgaben werden durch die Verknüpfung von Art. 26 VO (EU) 2023/1113 mit § 56 GwG deutlich verschärft. Anbieter von Krypto‑Dienstleistungen müssen alle relevanten Transferdaten mindestens fünf Jahre aufbewahren und den Behörden bei Bedarf zeitnah, vollständig und maschinenlesbar zur Verfügung stellen. Verstöße gegen die TFR‑II‑Pflichten zu Kryptotransfers können mit bis zu 200.000 Euro und in schweren Fällen unter Anwendung des eskalierten Bußgeldrahmens sowie einer öffentlichen Bekanntmachung der Sanktion geahndet werden.

– Anpassung von DMS/Archivierungssystemen, um alle Krypto‑Transferdaten TFR‑II‑konform und revisionssicher für mindestens fünf Jahre zu speichern. 

– Verknüpfung der Sanktionsrisiken (Bußgeld, Veröffentlichung) mit dem internen Krypto‑Risikotypen‑ und ICAAP/ICFR‑Rahmen. 

– Einrichtung eines regelmäßigen Krypto‑Compliance‑Monitorings (z.B. Stichproben, KPI‑Reporting) zur Früherkennung von TFR‑II‑Verstößen.

 V. Action Plan

• Governance & Haftung (Organpflichten, § 43 GmbHG/§ 93 AktG, § 6, § 51, § 52 GwG, EU‑AML‑VO): Einrichtung eines formell beschlossenen Krypto‑AML‑Rahmenwerks (Policy, Risikoappetit, Reporting) mit expliziter Zuordnung von Verantwortlichkeiten an Organe und GWB; jährliche Organinformation über TFR‑II‑Risiken und Prüfungsfeststellungen.
•  Travel‑Rule‑Implementierung (Art. 14, 17, 19–21, 26 VO (EU) 2023/1113, § 6 Abs. 4a GwG, BaFin‑Auslegungshinweise): Aufnahme eines Projekts zur lückenlosen Abbildung der Pflichtdatensätze in Krypto‑Systemen, inkl. Schnittstellenanalyse, Tool‑Auswahl (TR‑Provider), Testfällen und dokumentierter Rechtsauffassung zu Sonderfällen (Layering, Protokoll‑Limitierungen).
•  Self‑Hosted‑Wallet‑Framework (§ 15a GwG, Art. 3 Nr. 10, Art. 14, 21 VO (EU) 2023/1113, BaFin‑Hinweise): Entwicklung eines standardisierten Maßnahmenkatalogs (Inhaberverifikation, Blockchain‑Analytics‑Use‑Cases, Schwellen, De‑Risking‑Kriterien) mit schriftlich begründeter Risikoabwägung; Integration in KYC, Produktfreigabe und Monitoring‑Regelwerk.
•  Datenschutz & Datenhaltung (VO (EU) 2023/1113, Art. 5, 6, 25, 32 DSGVO, EU‑AML‑VO): Durchführen einer kombinierten DPIA für Travel‑Rule‑ und Krypto‑Monitoring‑Daten; Definition von Speicherfristen (mind. 5 Jahre nach Art. 26 VO (EU) 2023/1113), Rollen‑/Rechtekonzept und Dokumentation der Rechtsgrundlagen; Abstimmung mit DSB.
•  Aufsicht, Reporting & Sanktionen (Art. 30 VO (EU) 2023/1113, § 51, § 52 Abs. 7, § 54 Abs. 3 Nr. 2c, § 56, § 57 GwG, AMLA‑VO, KMAG): Aufbau eines Krypto‑Regulatorik‑Monitors (BaFin‑Allgemeinverfügungen, RTS/ITS, AMLA‑Guidance), Implementierung eines jährlichen „Krypto‑Compliance‑Reportings“ mit Self‑Assessment zu TFR‑II‑Konformität, Dokumentation von Abweichungen und Remediation‑Plänen zur Minimierung von Bußgeld‑ und Name‑and‑Shame‑Risiken.

VI. Checkliste

Checkliste „Muss“ seit 10.02.2026 um offensichtlich bestehenden Risiken hinsichtlich Krypto Währungen  entgegenzuwirken, nicht abschließend.

• Gap-Analyse TFR II (Art. 14, 17, 19–21, 26) inkl. Nachweis-/Kontrolldesign
• Bußgeld- und Eskalationslogik intern verankert (wer entscheidet was, wann wird gestoppt/abgelehnt, wann FIU-Prüfung)
• 5-Jahres-Aufbewahrung technisch + organisatorisch umgesetzt (inkl. Löschkonzept)
• Policies/Arbeitsanweisungen: korrekte Referenz VO (EU) 2023/1113 überall
• Aufsichtskommunikation digital „fähig“ (Prozess & IT-Basis), Monitoring von BaFin-Verfügungen
• Falls BaFin-Aufsicht (§ 50): § 52 Abs. 7 Meldeprozess-Blueprint + Datenhaushalt vorbereitet (auch wenn RTS/ITS noch offen)

 Quelle:

www.recht.bund.de/bgbl/1/2026/33/regelungstext.pdf?__blob=publicationFile&v=1

Einführung in die Thematik

Mit dem Mai 2026 tritt die europäische Regulierungslandschaft in eine Phase der verschärften Exekution ein, in der theoretische Compliance-Vorgaben in unmittelbare operative und strafrechtliche Risiken übergehen. Die verzögerte nationale Umsetzung der EU-Sanktionsrichtlinie (2024/1226) führt dazu, dass Unternehmen nun unter erheblichem Zeitdruck stehen, ihre Systeme gegen die neue Strafbarkeit bei Leichtfertigkeit abzusichern. Gleichzeitig markiert dieser Monat den administrativen Startschuss für die Konformitätsbewertungsstellen unter dem Cyber Resilience Act (Verordnung EU 2024/2847), was für das C-Level die letzte Chance darstellt, Marktzugangsrisiken für 2027 proaktiv zu managen.

Parallel dazu konkretisiert die neue Anti-Geldwäsche-Behörde (AMLA) gemäß Verordnung (EU) 2024/1620 ihre technischen Standards, während das „Single Rulebook“ (AMLR) die bisherigen nationalen Spielräume des Geldwäschegesetzes (GwG) durch unmittelbar geltendes Unionsrecht ersetzt. Für die Geschäftsführung und Compliance-Verantwortliche ist der Mai 2026 somit nicht nur ein administratives Datum, sondern das entscheidende Zeitfenster, um durch die Harmonisierung interner Prozesse die persönliche Haftung zu vermeiden und die operative Resilienz gegenüber der neuen, zentralisierten EU-Aufsicht zu gewährleisten.

FAQ: Haftungsfokus Mai 2026 – Sanktionen, CRA & AML-Compliance

• Warum ist der Mai 2026 ein kritischer Zeitpunkt für die Haftung der Geschäftsführung?

  Im Mai 2026 treten mehrere EU-Regulierungen in ihre entscheidende Phase der Exekution. Besonders die verschärfte Strafbarkeit bei Leichtfertigkeit im Sanktionsrecht sowie die administrativen Fristen des Cyber Resilience Act (CRA) und der neuen Anti-Geldwäsche-Verordnung (AMLR) führen dazu, dass Compliance-Versäumnisse unmittelbar in persönliche Haftungsszenarien und hohe Bußgelder umschlagen können.

• Was ändert sich fundamental im Sanktionsstrafrecht (§ 18 AWG n.F.)?

Es findet ein Paradigmenwechsel statt: Bisher war für eine strafrechtliche Verfolgung meist Vorsatz nötig. Durch die Umsetzung der Richtlinie (EU) 2024/1226 reicht nun bereits grobe Fahrlässigkeit (Leichtfertigkeit) aus. Ein Organisationsmangel im Screening-Prozess kann für Verantwortliche direkt zu Freiheitsstrafen von bis zu 3 Jahren führen.

• Welche akuten Fristen setzt der Cyber Resilience Act (CRA) bereits im Mai 2026?

Obwohl die volle Anwendung erst 2027 greift, ist der Mai 2026 der „Flaschenhals“ für den Marktzugang. Unternehmen müssen jetzt Kapazitäten bei Notified Bodies (z. B. TÜV) für Konformitätsbewertungen sichern. Wer diesen Termin verpasst, riskiert ab 2027 einen Verkaufsstopp für vernetzte Produkte ohne gültiges CE-Kennzeichen.

• Was bedeutet das „Single Rulebook“ (AMLR) für die Geldwäscheprävention?

Das bisherige nationale Geldwäschegesetz (GwG) wird durch das unmittelbar geltende EU-Recht (AMLR) abgelöst. Nationale Sonderwege entfallen zugunsten harmonisierter EU-Standards. Unternehmen müssen ihre KYC-Prozesse und Risikoanalysen bis Mai 2026 zwingend auf diese neuen technischen Regulierungsstandards (RTS) der AMLA umstellen.

• Welche Risiken entstehen durch die EU-Entgelttransparenzrichtlinie bis Juni 2026?

Hier droht eine Beweislastumkehr: Können Unternehmen ihre Entgeltstrukturen nicht lückenlos dokumentieren, wird bei Klagen vermutet, dass eine Diskriminierung vorliegt. Der Arbeitgeber muss dann das Gegenteil beweisen. Zudem drohen unbegrenzte Schadensersatzforderungen und der Ausschluss von öffentlichen Vergaben.

• Wie hoch ist das finanzielle Risiko bei Compliance-Verstößen ab 2026?

Der Bußgeldrahmen wurde massiv ausgeweitet:
• Sanktionen: Bis zu 40 Mio. € oder umsatzbasierte Strafen.
• Geldwäsche: Bis zu 10 % des weltweiten Jahresumsatzes.
• Cyber (CRA): Bis zu 15 Mio. € oder 2,5 % des Weltumsatzes.

• Welche technischen Anforderungen gelten künftig für das Sanktions-Screening?

Ein „Best Effort“-Ansatz reicht nicht mehr aus. Da Leichtfertigkeit strafbar ist, wird ein Echtzeit-Screening erwartet. Manuelle Uploads von Sanktionslisten einmal pro Woche gelten als haftungskritisch. Systeme müssen Updates der Financial Sanctions Database (FSDA) nahezu verzögerungsfrei verarbeiten.

• Was müssen C-Level-Verantwortliche jetzt konkret tun?

1. Gap-Analyse: Prüfung der aktuellen Systeme gegen die AMLR- und CRA-Vorgaben.
2. Ressourcenplanung: Budgets für Zertifizierungen und IT-Upgrades für 2026/2027 sichern.
3. Dokumentation: Aufbau einer „prüfbaren Begründungskette“ für Organisationsentscheidungen, um den Vorwurf der Leichtfertigkeit bei Prüfungen zu entkräften.

Haftungsrelevante Fristen für die Monate Mai/ Juni 2026

Verschärfte Prüfpflichten · Art. 3 Abs. 3 RL 2024/1226

• Mai 2026
  Verschärfte Prüfpflichten · Art. 3 Abs. 3 RL 2024/1226
  1. Sanktions-Compliance: Neues Sanktionsstrafrecht
  Strafbarkeit bei Leichtfertigkeit: Verstöße gegen EU-Sanktionen sind nun auch bei leichtfertigem Handeln strafbar.
  Unternehmensgeldbuße: bis zu 40 Mio. € oder % des weltweiten Umsatzes. Screening-Systeme prüfen — EU-Listen fast täglich neu.
• Ab Mai 2026
  Start der Konformitätsbewertungsstellen · CRA 2. Cyber Resilience Act:
  Prüfstellen nehmen Betrieb auf
  Notified Bodies dürfen ab Mai offizielle Zertifikate ausstellen.
  C-Level-Check: Hersteller vernetzter Produkte (ab Verkauf 2027) sollten jetzt Termine sichern — massiver Engpass erwartet.

• 7. Juni 2026
  Umsetzungsfrist · EU-Entgelttransparenzrichtlinie
  3. Entgelttransparenz: Endspurt der Umsetzung
  Auskunftspflicht: Arbeitnehmer erhalten Recht auf Informationen über Durchschnittsentgelt für gleiche/gleichwertige Arbeit.
  Beweislastumkehr: Arbeitgeber muss Nicht-Diskriminierung belegen.
  Handlung: HR/Compliance analysiert Entgeltstrukturen im Mai.

• Mai / Juni 2026
  AMLA Frankfurt · KYC-Mindeststandards
  4. Geldwäsche (AML): Vorbereitung auf die AMLA
  Die neue EU-Anti-Geldwäsche-Behörde (AMLA) in Frankfurt konkretisiert ihre technischen Standards (RTS).
  Fokus: KYC-Prozesse an EU-Mindeststandards anpassen — Vorbereitung auf direkte AMLA-Aufsicht ab 2028.

Pflichten für Verantwortliche (Deadline Mai 2026)

1. C-Level(Geschäftsführung & Vorstand)

• Kapazitätsmanagement (CRA): Sicherstellung von Budgets und Kontingenten bei Notified Bodies. Gemäß Kapitel IV der Verordnung (EU) 2024/2847 müssen Termine für Konformitätsbewertungen (Module B/C/H) gesichert werden, um den Verkaufsstopp vernetzter Produkte ab 2027 zu verhindern.
• Haftungsmanagement (Sanktionen): Einrichtung einer Überwachungsstruktur, die die Strafbarkeit bei Leichtfertigkeit (§ 18 AWG n.F. i.V.m. Richtlinie 2024/1226) adressiert. Die Geschäftsführung haftet für Organisationsverschulden, wenn Screening-Prozesse bei grober Fahrlässigkeit versagen.
• Finanzielle Vorsorge: Anpassung der Rückstellungsplanung an den neuen Bußgeldrahmen (bis zu 40 Mio. € oder prozentualer Konzernumsatz).

1. Compliance-Management(General Compliance)

• System-Validierung (Screening): Verpflichtende Prüfung der automatisierten Screening-Tools. Diese müssen in der Lage sein, die fast täglichen Updates der Financial Sanctions Database (FSDA) ohne Zeitverzug zu verarbeiten.
• Prozess-Audit: Implementierung von Kontrollen für Rüstungs- und Dual-Use-Güter, da hier die Hürde für „grobe Fahrlässigkeit“ (Leichtfertigkeit) gemäß Art. 3 Abs. 3 der Richtlinie 2024/1226 besonders niedrig angesetzt ist.

• Whistleblowing-Integration: Sicherstellung, dass interne Kanäle das EU Sanctions Whistleblower Tool ergänzen, um externe Meldungen durch interne Aufarbeitung zuvorzukommen.

1. Geldwäschebeauftragte(Anti-Money Laundering)

• KYC-Migration: Umstellung der Identifikationsprozesse auf das EU-Single-Rulebook (AMLR – 2024/1624). Dies beinhaltet die Entfernung nationaler Sonderwege (ehemals GwG) zugunsten harmonisierter EU-Identifikationsstandards.
• Risikoanalyse 2.0: Anpassung der unternehmensinternen Risikoanalyse an die neuen technischen Regulierungsstandards (RTS) der AMLA, insbesondere hinsichtlich Hochrisiko-Transaktionen und Krypto-Schnittstellen.
• Bargeld-Compliance: Technische Umsetzung der Überwachung der 10.000 €-Obergrenze und Einrichtung von Sofort-Meldewegen an die FIU bei Stückelung oder Umgehungsversuchen.

1. IT-Security& Produktverantwortliche(Schnittstelle C-Level)

• Dokumentationspflicht: Erstellung der technischen Dokumentation gemäß CRA-Vorgaben für alle vernetzten Produkte, die sich im Lebenszyklus für 2027 befinden.
• Schwachstellen-Management: Aufbau eines Prozesses zur Meldung ausgenutzter Schwachstellen an das BSI, um die ab September 2026 greifenden Meldepflichten des CRA vorzubereiten.

Haftungsrisiken und konkrerte Sanktionen

Haftungsfokus Mai 2026 – Risiken & Pflichten für die Geschäftsführung

Als Organmitglied und Führungskraft stehen Sie ab dem 1. Mai 2026 im Zentrum einer verschärften europäischen Exekutionsphase. Theoretische Compliance-Vorgaben wandeln sich nun in unmittelbare operative, zivil- und strafrechtliche Haftungsrisiken.

Der Fokus verschiebt sich dramatisch: Mit der neuen EU-Sanktionsrichtlinie und dem CRA endet die Schonfrist. Besonders kritisch ist die neue Strafbarkeit bei Leichtfertigkeit im Sanktionsrecht sowie die Beweislastumkehr bei der Entgelttransparenz. Wer jetzt nicht proaktiv steuert, riskiert persönliche Freiheitsstrafen und existenzbedrohende Bußgelder für das Unternehmen.

• Sanktionsstrafrecht: Absicherung gegen Strafbarkeit bei Leichtfertigkeit (§ 18 AWG n.F.) durch Echtzeit-Screening-Strukturen.
• Cyber Resilience Act (CRA): Sicherung von Prüfkapazitäten bei Notified Bodies zur Vermeidung von Vertriebsverboten ab 2027.
• AML-Compliance: Umstellung der KYC-Prozesse auf das „Single Rulebook“ (AMLR) und die neue AMLA-Aufsichtslogik.
• Entgelttransparenz: Aufbau einer Datenstruktur zur Beherrschung der Beweislastumkehr bis Juni 2026.
• Finanzielle Vorsorge: Anpassung der Rückstellungsplanung an den neuen Bußgeldrahmen (bis zu 40 Mio. € oder umsatzbasierte Strafen).
• Haftungsschutz: Vermeidung von Organisationsverschulden durch nachweisbare Implementierung der neuen EU-Standards.

Maßnahmenkatalog

1. Sanktionen:Vom "Best Effort" zum Echtzeit-Screening

Da "Leichtfertigkeit" nun strafbar ist (§ 18 AWG), gilt jedes Versäumnis bei der Systemaktualisierung als potenzielles Delikt.

• System-Audit: Prüfung, ob Ihr Screening-Anbieter die Financial Sanctions Database (FSDA) der EU automatisiert einliest. Manuelle Uploads einmal pro Woche sind ab sofort ein Haftungsrisiko.
• Karenzzeit-Check: Eliminierung von Verzögerungen. Wenn eine Listung im EU-Amtsblatt erscheint, muss das System innerhalb von Stunden (nicht Tagen) blockieren.
• Dual-Use-Klassifizierung: Erneute Prüfung des Warenstamms. Besonders bei Gütern, die zivil und militärisch nutzbar sind, ist die Sorgfaltspflicht durch die neue Richtlinie (EU) 2024/1226 massiv erhöht.

1. Cyber Resilience(CRA): Kapazitäten sichern

Der Mai 2026 ist der "Flaschenhals"-Monat für die langfristige Marktfähigkeit.

• Notified Body Booking: Unverzügliche Kontaktaufnahme mit Stellen wie dem TÜV, DEKRA oder spezialisierten IT-Prüfstellen. Sichern Sie sich Kontingente für die Konformitätsbewertung Ihrer Produkte für das Jahr 2027.
• SBOM-Erstellung: Implementierung einer Software Bill of Materials (SBOM) für alle vernetzten Produkte. Ohne lückenlose Dokumentation der Lieferkette ist keine Zertifizierung möglich.
• Vulnerability-Reporting: Einrichtung einer internen Meldestelle, die in der Lage ist, Schwachstellen binnen 24 Stunden an das BSI zu melden (Vorbereitung auf September 2026).

1. Entgelttransparenz:Datenhoheit gewinnen

Bis zum 7. Juni 2026 müssen die Systeme stehen, um die Beweislastumkehr zu beherrschen.

• Gehalts-Audit: Durchführung einer statistischen Analyse der Entgeltstrukturen nach Geschlecht und Funktionsgruppen (Equal Pay Check).
• Auskunftsprozess definieren: Erstellung von Standard-Berichtsformaten für Mitarbeiteranfragen. HR muss ad hoc auskunftsfähig sein, um Klage-Indizien zu vermeiden.
• Stellenbewertung: Harmonisierung der Kriterien für "gleiche oder gleichwertige Arbeit". Nur objektive, geschlechtsneutrale Kriterien (Skills, Verantwortung, Belastung) schützen vor Schadensersatz.

1. Geldwäsche(AML): Harmonisierung

Vorbereitung auf das "Single Rulebook" und die AMLA-Aufsicht.

• KYC-Update: Anpassung der Kunden-Identifizierung an die neuen EU-Mindeststandards der Verordnung (EU) 2024/1624. Nationale Besonderheiten müssen durch den EU-Standard ersetzt werden.
• Bargeld-Sperre: Implementierung technischer Zahlungsstopps bei Beträgen über 10.000 € (bzw. entsprechende Risiko-Workflows für Händler hochwertiger Güter).
• Transaktionsmonitoring: Upgrade der Software auf KI-basierte Mustererkennung, um den kommenden technischen Standards der AMLA (Mai/Juni 2026) zu entsprechen.

Quellen

Europäische Union

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L_202401226

https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847

https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32023L0970

https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R1624

Mit der AMLD6 und den neuen RTS-Entwürfen der AMLA vom Februar 2026 steigen die Bußgelder auf bis zu 10 % des Jahresumsatzes oder 5 Mio. €. Entscheidend ist dabei die neue Kategorisierung der AMLA, die systemische Versäumnisse bei der Kundenaktualisierung (Art. 33 RTS) drakonisch bestraft.

Die AMLA übernimmt das Steuer: Der neue Sanktionskatalog der Compliance

Die europäische Geldwäscheaufsicht AMLA hat offiziell die Kontrolle übernommen und pünktlich zum Jahresauftakt 2026 die nächste Stufe der Regulierung gezündet. Mit dem Abschluss der Konsultationsverfahren zu den technischen Regulierungsstandards (RTS) am 9. März 2026 endet die Ära der regulatorischen Unverbindlichkeit in Europa endgültig.

Diese Standards bilden das operative Fundament für die Verordnung (EU) 2024/1624 (AMLR) und die Richtlinie (EU) 2024/1640 (AMLD6). Im Zentrum der strategischen Aufmerksamkeit steht dabei insbesondere Artikel 53 der AMLD6. Hier definiert die AMLA nun das methodische Framework für Compliance-Versäumnisse: Die Einstufung der Schwere von Verstößen und die Berechnung der daraus resultierenden Geldbußen erfolgen künftig nach europaweit vereinheitlichten, harten Kriterien.

Dieser regulatorische Umbruch bringt einen fundamentalen Paradigmenwechsel mit sich:

• Vom Intervall zum Risiko: Die Abkehr von starren Fünf-Jahres-Fristen bei der Kundenaktualisierung zugunsten eines dynamischen, risikobasierten Ansatzes gemäß Art. 33 des RTS-Entwurfs.
• Management-Aufgabe: Ein operativer Kraftakt, der von der Geschäftsführung weit mehr als nur administratives „Abhaken“ verlangt.
• Investitionsdruck: Strategische Weitsicht erfordert nun Investitionen in intelligente IT-Automatisierung und eine völlig neue Logik der internen Ressourcensteuerung.

Wer hier an der falschen Stelle spart, gerät schnell in die Mühlen einer Aufsicht, die systemische Versäumnisse künftig mit drastischen Zwangsgeldern (Periodic Penalty Payments) belegt. Da die Frist für Stellungnahmen gerade abgelaufen ist, ist die sofortige Analyse der Sanktionsmethodik für Institute nun überlebenswichtig, um das finanzielle Expositionsrisiko zu begrenzen.

1. Fristenplan & Terminübersicht
2. Fristenfür die Konsultation zu Sanktionen und Geldbußen

Diese betrifft den Entwurf technischer Regulierungsstandards (RTS) zur Einstufung der Schwere von Verstößen und zur Festsetzung von Geldbußen gemäß Art. 53 Abs. 10 der Richtlinie (EU) 2024/1640.

• Interne Frist (VIB): Rückmeldungen von Mitgliedsunternehmen werden bis zum 3. März 2026 entgegengenommen.
• Externe Frist (AMLA): Die offizielle Einreichungsfrist für Stellungnahmen endet am 9. März 2026 um 23:59 Uhr (MESZ).

1. Fristenfür Kundensorgfaltspflichten (CDD) und Geschäftsbeziehungen

Dies umfasst die RTS-Entwürfe zu den Sorgfaltspflichten gegenüber Kunden (Art. 28 Abs. 1 AMLR) sowie zu Kriterien für Geschäftsbeziehungen und Schwellenwerte (Art. 19 Abs. 9 AMLR).

• Interne Frist (VIB): Anmerkungen der Mitgliedsunternehmen zu beiden Papieren werden bis zum 27. April 2026 erbeten.
• Externe Frist (AMLA): Die offizielle Einreichungsfrist bei der Behörde ist der 8. Mai 2026 um 23:59 Uhr (MESZ).

1. Terminfür die öffentliche Anhörung

Online-Anhörung: Für den 24. März 2026 hat die AMLA eine öffentliche Online-Anhörung angekündigt, die sich speziell mit den Entwürfen zu Geschäftsbeziehungen und Kundensorgfaltspflichten befasst.

Diese neuen Maßstäbe in der EU-Geldwäscheprävention erfordern eine zeitnahe Prüfung, da insbesondere die Frist für das Sanktionsregime sehr kurz bemessen ist.

1. Pflichten für die verantwortlich Handelnden samt normativer Bezüge
2. C-Level (Geschäftsführung / Vorstände)

Die Geschäftsführung trägt die Letztverantwortung für die ordnungsgemäße AML-Organisation. Die neuen RTS-Entwürfe fordern eine strategische Auseinandersetzung mit folgenden Punkten:

• Ressourcensteuerung für den risikobasierten Ansatz: Da die pauschale Fünf-Jahres-Frist zur Datenaktualisierung durch einen risikobasierten Ansatz (Art. 33) ersetzt wird, muss das Management sicherstellen, dass ausreichend Budget und Technologie zur Verfügung stehen, um individuelle Risikoprofile dynamisch zu überwachen.
• Haftungs- und Sanktionsmanagement: Die Konsultation zu Art. 53 Abs. 10 der Richtlinie (EU) 2024/1640 definiert die Schwere von Verstößen und die Berechnung von Geldbußen. Das C-Level muss das interne Kontrollsystem so ausrichten, dass systemische Fehler vermieden werden, da die AMLA hier klare Maßstäbe für hohe Sanktionen setzt.
• Strategische Positionierung: Die Geschäftsführung sollte die Teilnahme an den Konsultationsverfahren (über Verbände wie den VIB) autorisieren, um die Interessen des Instituts bei der Ausgestaltung der finalen Standards zu wahren.

1. Compliance Officer

Der Compliance Officer steuert die Umsetzung der regulatorischen Rahmenbedingungen und die Schnittstelle zur Aufsicht:

• Analyse der Sanktionsmethodik: Er muss bewerten, wie die neue Methode zur Festsetzung von Zwangsgeldern und Geldbußen das Risikoprofil des Unternehmens beeinflusst.
• Fristenmanagement: Die Überwachung der extrem kurzen Einreichungsfristen – insbesondere der 9. März 2026 für das Sanktionsregime – liegt in seinem Verantwortungsbereich.
• Teilnahme an Anhörungen: Die Koordination der Teilnahme an der öffentlichen Online-Anhörung der AMLA am 24. März 2026 zu Geschäftsbeziehungen und Sorgfaltspflichten ist eine Kernaufgabe.

1. Geldwäschebeauftragte (Anti-Money Laundering Officers)

Für den Geldwäschebeauftragten ergeben sich unmittelbar operative Anpassungspflichten für die tägliche Praxis:

• Überarbeitung der CDD-Prozesse: Der Wechsel von einer starren zu einer risikobasierten Aktualisierung (Art. 33) erfordert eine Anpassung der internen Richtlinien für die Kundenüberprüfung (KYC).
• Überwachung von Online-Diensten: Gemäß dem neuen RTS zu Art. 19 Abs. 9 AMLR muss geprüft werden, ob Online-Registrierungen, die fortlaufenden Zugang ermöglichen, künftig strikt als Geschäftsbeziehung (statt als Gelegenheitstransaktion) eingestuft und entsprechend intensiv überwacht werden.
• Identifizierung verbundener Transaktionen: Es müssen Kriterien implementiert werden, um Transaktionen, die nach Art. 3 des RTS-Entwurfs als „verbunden“ gelten, zuverlässig zu erkennen.
• Fachliche Stellungnahme: Er muss die interne Expertise bündeln und die Anmerkungen zu den Papieren bis zum 3. März bzw. 27. April 2026 an den VIB zuliefern.

III. Problemschwerpunkte und Risikoübersicht

1. C-Level (Geschäftsführung / Vorstände)

Das C-Level rückt verstärkt in die Haftung für Ressourcensteuerung und Systemintegrität. Der risikobasierte Ansatz nach Art. 33 RTS erzwingt Investitionen in automatisierte Überwachungszyklen. Gleichzeitig erhöht die Standardisierung von Geldbußen nach Art. 53 AMLD6 das finanzielle Risiko. Angesichts der knappen Frist bis zum 9. März 2026 drängt die Zeit für eine strategische Absicherung massiv.

Für die Führungsebene verschiebt sich der Fokus von rein administrativen Pflichten hin zu einer Haftungsverantwortung für die Ressourcensteuerung und Systemintegrität.

• Ressourcen-Gap bei der CDD (Art. 33 RTS-Entwurf zu Art. 28 Abs. 1 AMLR): Die Abkehr von der starren Fünf-Jahres-Frist zugunsten eines risikobasierten Ansatzes bedeutet, dass Überprüfungszyklen nun individuell gesteuert werden müssen. Das C-Level muss entscheiden, ob in automatisierte IT-Lösungen investiert wird, um diese dynamischen Intervalle ohne massiven Personalaufwuchs zu bewältigen.
• Finanzielles Expositionsrisiko (Art. 53 Abs. 10 AMLD6): Da die AMLA nun methodische Standards für die Höhe von Geldbußen und die Schwere von Verstößen festlegt, wird das „Preisschild“ für Compliance-Fehler kalkulierbarer, aber potenziell auch teurer. Das Management muss das interne Kontrollsystem (IKS) so stärken, dass systemisches Versagen ausgeschlossen wird.
• Zeitkritische strategische Einflussnahme: Da die Frist für das Sanktionsregime bereits am 9. März 2026 endet, bleibt kaum Spielraum für eine strategische Bewertung der Auswirkungen auf die Konzernhaftung.

1. Compliance Officer

Der Compliance Officer muss die Sanktionsmethodik gemäß Art. 53 Abs. 10 der Richtlinie (EU) 2024/1640 analysieren, um Prüfungsrisiken zu minimieren. Unter hohem Zeitdruck sind die Rückmeldefristen bis zum 3. März 2026 zu bewältigen. Zudem ist die Teilnahme an der öffentlichen Anhörung am 24. März 2026 prozessual zu koordinieren.

Der Compliance Officer steht vor der Herausforderung, die neuen regulatorischen Leitplanken in das bestehende Risikomanagement zu integrieren, während die Uhren in Brüssel extrem schnell ticken.

• Bewertungsrisiko Sanktionen (Art. 53 Abs. 10 AMLD6): Er muss die neue Methodik zur Festsetzung von Zwangsgeldern analysieren und bewerten, wie Verstöße intern gewichtet werden, um bei einer Prüfung durch die AMLA oder nationale Aufseher gewappnet zu sein.
• Koordinationsdruck (Fristenmanagement): Die extrem kurzen Antwortfristen (VIB-Deadline: 3. März 2026 für das Sanktionspapier) erfordern eine sofortige Priorisierung, um die Interessen des Hauses noch einfließen zu lassen.
• Schnittstellenmanagement: Er muss die Teilnahme an der öffentlichen Anhörung am 24. März 2026 koordinieren, um Unklarheiten bei der Abgrenzung von Geschäftsbeziehungen direkt zu adressieren.

1. Maßnahmenkatalog
2. Sofortmaßnahmen. Sanktionsregime & Methodik

Fokus: Risikominimierung angesichts der AMLA-Frist am 09. März 2026 bezüglich Art. 53 Abs. 10 der Richtlinie (EU) 2024/1640.

• Gap-Analyse Sanktionen: Abgleich der internen Schweregrad-Einstufung von Verstößen mit den neuen AMLA-Kriterien zur Bußgeldberechnung.

  Verantwortung: Compliance Officer

• Ad-hoc Statement & Autorisierung: Finale Freigabe einer Stellungnahme direkt an die AMLA, um Einfluss auf die methodische Festsetzung von Geldbußen zu nehmen.

  Verantwortung: C-Level (Vorstand)

• Finanzielles Risiko-Assessment: Kalkulation potenzieller Belastungen durch die neue Methodik zur Festsetzung von Zwangsgeldern.

  Verantwortung: CFO / Compliance Officer

1. Strategisch Anpassung: Kundensorgfaltspflichten (CDD)

Fokus: Umstellung auf den risikobasierten Ansatz gemäß Art. 33 des RTS-Entwurfs zu Art. 28 Abs. 1 AMLR.

• System-Audit KYC-Software: Prüfung der technischen Fähigkeit, von starren 5-Jahres-Zyklen auf dynamische, risikobasierte Überprüfungsintervalle umzustellen.
• Verantwortung: Geldwäschebeauftragter (AML Officer) / IT-Leitung
• Richtlinien-Update (Monitoring): Neufassung interner Richtlinien zur kontinuierlichen Überwachung unter Einbeziehung von Art. 26 Abs. 2 AMLR.

Verantwortung: Compliance Officer

Ressourcen- & Budgetplanung: Freigabe von Mitteln für die technische Automatisierung der Datenaktualisierung, um den manuellen Aufwand zu begrenzen.

Verantwortung: C-Level (Vorstand)

1. Operative Umsetzung: Geschäftsbeziehung & Monitoring

Fokus: Identifizierung digitaler Geschäftsbeziehungen und verbundener Transaktionen nach Art. 19 Abs. 9 AMLR.

• Klassifizierungs-Check Online-Dienste: Identifikation von Registrierungen mit fortlaufendem Zugang, die künftig zwingend als Geschäftsbeziehung gelten.

  Verantwortung: Geldwäschebeauftragter (AML Officer)

• Update Transaktionsmonitoring (TMS): Implementierung der Kriterien nach Art. 3 des RTS-Entwurfs zur Erkennung „verbundener Transaktionen“.

  Verantwortung: IT-Abteilung / Geldwäschebeauftragter

• Schwellenwert-Validierung: Abgleich der Sektor-Grenzwerte für gelegentliche Transaktionen mit den neuen AMLR-Anforderungen.

  Verantwortung: Geldwäschebeauftragter (AML Officer)

Quellen:

EBA

https://www.eba.europa.eu/eba-response/92660?destination=/publications-and-media/events/consultation-proposed-rts-context-ebas-response-european-commissions-call-advice-new-amla-mandates

AMLA

https://www.amla.europa.eu/policy/public-consultations/consultation-draft-rts-customer-due-diligence_en

https://www.amla.europa.eu/document/download/566682ce-89fa-4299-9ea5-2b646cb39223_en?filename=Draft%20RTS%20CDD%20track%20changes%20from%20EBA%20draft.pdf [PDF]

https://www.amla.europa.eu/policy/public-consultations/consultation-draft-rts-pecuniary-sanctions-administrative-measures-and-periodic-penalty-payments_en

Dann stehst du 2026 unter besonderer Beobachtung der Aufsichtsbehörden. Das Transparenzregister hat sich vom einfachen Melde-Tool zum zentralen Compliance-Prüfstein entwickelt. Wer die strengen Meldepflichten für wirtschaftlich Berechtigte ignoriert oder unvollständig erfüllt, riskiert nicht nur fünfstellige Bußgelder, sondern auch ein öffentliches „Naming & Shaming“ durch das Bundesverwaltungsamt.

In diesem Leitfaden erfährst du auf Basis der aktuellen Rechtsprechung von März 2026, wie du die Identifizierung deiner Gesellschafter rechtssicher dokumentierst, welche Datenfelder zwingend gemeldet werden müssen und wie du die neue Unstimmigkeitsprüfung in deinen Arbeitsalltag integrierst.

Wer muss melden? – Transparenzregister und die Meldepflicht

Die Meldepflicht nach dem Transparenzregister trifft alle juristischen Personen des Privatrechts und eingetragene Personengesellschaften, darunter:

• GmbH (Gesellschaft mit beschränkter Haftung)
• AG (Aktiengesellschaft)
• UG (Unternehmergesellschaft)
• Vereine und Genossenschaften
• Stiftungen, Europäische Aktiengesellschaften (SE) und KGaA
• Eingetragene Personengesellschaften wie OHG und KG
• Trusts und Treuhänder, die nicht rechtsfähige Stiftungen mit eigennützigem Stiftungszweck vertreten

Die GbR (Gesellschaft bürgerlichen Rechts) ist grundsätzlich nicht von der Mitteilungspflicht betroffen. Falls jedoch eine GbR Anteile an einer GmbH hält, wird sie über die Gesellschafterliste der GmbH erfasst.

Wichtige Anmerkung:

Verpflichtet zur Meldung sind die betroffenen Gesellschaften und nicht die Gesellschafter persönlich, jedoch müssen Gesellschafter die Informationen über den wirtschaftlich Berechtigten bereitstellen, wenn sie in deren Eigentum stehen oder kontrolliert werden.

Transparenzregister – Pflichten für Geschäftsführer

Merkmal / Details

Wer muss melden?

Alle juristischen Personen des Privatrechts und eingetragene Personengesellschaften, z. B. GmbH, AG, UG, Vereine, Stiftungen

Welche Pflichten bestehen?

Einholung von Informationen über wirtschaftlich Berechtigte und unverzügliche Mitteilung an das Transparenzregister

Wer ist wirtschaftlich Berechtigter?

Natürliche Person, die mehr als 25% der Kapitalanteile oder Stimmrechte hält oder Kontrolle über das Unternehmen ausübt

Welche Informationen sind zu melden?

Vor- und Nachname, Geburtsdatum, Wohnort, Art und Umfang des wirtschaftlichen Interesses

Änderung der Gesellschafterliste bei GmbHs

Gesellschafterlisten müssen aktualisiert werden, z. B. bei Änderungen der Beteiligungshöhe oder der Gesellschafterstruktur

Fristen

Eintragungen müssen unverzüglich erfolgen; Neugründungen binnen 2 Wochen nach Gesellschaftsgründung

Wer führt das Transparenzregister?

Die Bundesanzeiger Verlags GmbH führt das Transparenzregister

Wer darf Einsicht nehmen?

Behörden, bestimmte Verpflichtete nach dem Geldwäschegesetz (z.B. Banken, Anwälte) und Personen mit berechtigtem Interesse

Bußgelder bei Verstößen

Hohe Bußgelder bei nicht rechtzeitiger oder falscher Meldung

Welche Pflichten bestehen? – Meldepflichten im Detail

Die Meldepflichten bestehen aus zwei wesentlichen Bereichen:

1. Pflicht zur Informationseinholung: Als Geschäftsführer bist du verpflichtet, regelmäßig Informationen über die wirtschaftlich Berechtigten des Unternehmens einzuholen. Diese müssen auf dem aktuellen Stand gehalten werden.
2. Pflicht zur Mitteilung an das Transparenzregister: Alle ermittelten und aktualisierten Daten müssen unverzüglich und elektronisch an das Transparenzregister übermittelt werden.

Es ist entscheidend, dass alle Gesellschafter, die entweder selbst als wirtschaftlich Berechtigte fungieren oder von einem wirtschaftlich Berechtigten direkt kontrolliert werden, die relevanten Informationen bereitstellen. Das bedeutet: Sie müssen dem Unternehmen alle Angaben zur Verfügung stellen, die für eine ordnungsgemäße Meldung erforderlich sind.

Wer ist wirtschaftlich Berechtigter? – Ein zentraler Begriff

Im Zusammenhang mit dem Transparenzregister ist der wirtschaftlich Berechtigte ein zentraler Begriff. Wirtschaftlich Berechtigte sind natürliche Personen, die letztlich das Eigentum oder die Kontrolle über eine Gesellschaft haben. Dies gilt insbesondere für:

• Mehr als 25 % der Kapitalanteile oder der Stimmrechte eines Unternehmens
• Jede natürliche Person, die unmittelbar oder mittelbar Kontrolle ausübt

Kontrolle bedeutet, dass die betreffende Person entweder durch direkte Beteiligung oder durch Einflussnahme auf die Unternehmensführung den beherrschenden Einfluss ausübt.

Beispiel:

Wenn eine GmbH von einer anderen juristischen Person kontrolliert wird, ist die natürliche Person, die diese Gesellschaft kontrolliert, der wirtschaftlich Berechtigte.

Vollregister: Das Ende der Mitteilungsfiktion

Achtung: Das Ende der Mitteilungsfiktion

Seit der Umstellung auf das Vollregister (Abschluss der Übergangsfristen bis Ende 2022) gilt: Ein Eintrag im Handelsregister, Vereinsregister oder Genossenschaftsregister befreit dich nicht mehr von der aktiven Meldepflicht zum Transparenzregister. Jede Gesellschaft muss ihre wirtschaftlich Berechtigten aktiv und eigenständig melden. Wer sich auf alte „Automatik-Meldungen“ verlässt, riskiert 2026 unmittelbare Bußgeldverfahren.

Welche Informationen müssen gemeldet werden?

Die Informationen, die du an das Transparenzregister melden musst, umfassen:

• Vor- und Nachname
• Geburtsdatum
• Wohnort
• Art und Umfang des wirtschaftlichen Interesses (z.B. Beteiligungshöhe oder Kontrolle über Stimmrechte)

Für Trusts, bestimmte nicht rechtsfähige Stiftungen oder ähnliche Rechtsgestaltungen sind zudem die Staatsangehörigkeit der wirtschaftlich Berechtigten sowie detaillierte Angaben zu deren Funktion (z.B. Treugeber oder Begünstigte) erforderlich.

Wichtig:

Die Art und Weise, wie eine Person wirtschaftlich berechtigt ist, muss klar und nachvollziehbar dokumentiert werden. Dies könnte durch Kapitalanteile, Stimmrechte oder eine besondere Kontrolle (z.B. durch vertragliche Regelungen) geschehen.

Änderung der Gesellschafterliste bei GmbHs – Was du als Geschäftsführer wissen musst

Die Gesellschafterliste einer GmbH wurde durch das Gesetz zur Bekämpfung der Geldwäsche geändert. Seit dem 26. Juni 2017 müssen auch gesellschaftliche Anteile und die prozentuale Beteiligung an der Gesellschaft in der Gesellschafterliste aufgeführt werden. Diese Angaben müssen im Handelsregister aktualisiert werden, wenn eine Veränderung der Anteile oder der Gesellschafterstruktur stattfindet.

Es ist deine Pflicht als Geschäftsführer, diese Änderungen zu überwachen und die aktualisierten Informationen schnellstmöglich zu melden.

Die aktive Unstimmigkeitsprüfung

Als Geschäftsführer bist du 2026 nicht nur für deine eigenen Daten verantwortlich. Wenn du im Rahmen deiner Sorgfaltspflichten (KYC) Einsicht in das Register eines Geschäftspartners nimmst und dabei feststellst, dass die dort hinterlegten Daten fehlerhaft oder unvollständig sind, musst du dies unverzüglich der registerführenden Stelle melden (§ 23a GwG). Das Unterlassen dieser „Unstimmigkeitsmeldung“ ist bußgeldbewährt.

Einschränkung durch den EuGH

In Übereinstimmung mit der aktuellen Rechtsprechung des Europäischen Gerichtshofs ist der freie öffentliche Zugang zum Transparenzregister eingeschränkt. Während Behörden und Verpflichtete (Banken, Notare) vollen Zugriff haben, müssen Privatpersonen ein berechtigtes Interesse (z. B. investigativer Journalismus oder NGOs zur Korruptionsbekämpfung) nachweisen, um tiefere Einblicke zu erhalten. Dies dient dem Schutz deiner persönlichen Daten als wirtschaftlich Berechtigter.

Fristen für die Eintragungen

Die Meldepflichten an das Transparenzregister müssen unverzüglich erfolgen. Das bedeutet, dass du alle relevanten Informationen direkt nach ihrer Erhebung übermitteln musst. Bei Neugründungen müssen die Angaben spätestens innerhalb von zwei Wochen nach der Gesellschaftsgründung übermittelt werden.

Wo wird das Transparenzregister geführt?

Das Transparenzregister wird von der Bundesanzeiger Verlags GmbH geführt. Das Register ist öffentlich zugänglich und enthält alle wesentlichen Informationen zu den wirtschaftlich Berechtigten. Du kannst das Transparenzregister direkt über folgenden Link einsehen:
Transparenzregister

Wer darf Einsicht in das Transparenzregister nehmen?

Das Transparenzregister ist grundsätzlich öffentlich zugänglich, allerdings gibt es Einschränkungen, was die Details betrifft:

• Behörden (z.B. Steuerbehörden, Finanzaufsichtsbehörden) haben umfassenden Zugang.
• Verpflichtete nach dem Geldwäschegesetz (GwG), wie zum Beispiel Banken, Rechtsanwälte oder Güterhändler, dürfen ebenfalls Einsicht nehmen.
• Dritte können nur dann Einsicht nehmen, wenn sie ein berechtigtes Interesse nachweisen können. Dies könnte z.B. bei Journalisten der Fall sein, die Informationen zu gesellschaftlichen Strukturen benötigen.

Einsichtnahmebedingungen:

Die Einsichtnahme beschränkt sich auf den Namen, Geburtsdatum, den Wohnsitz (nur das Land) und die Art sowie den Umfang des wirtschaftlichen Interesses des wirtschaftlich Berechtigten.

Was passiert, wenn Informationen nicht gemeldet werden?

Als Geschäftsführer trägst du die Verantwortung für die ordnungsgemäße und zeitgerechte Meldung der relevanten Informationen. Bei Verstößen gegen die Meldepflichten können hohe Bußgelder verhängt werden. Die Bußgelder sind dabei nicht nur für die Gesellschaft selbst, sondern auch für dich persönlich als Geschäftsführer relevant.

Neu: Meldung von Unstimmigkeiten bei Immobilien (§ 23b GwG)

Mit der Neufassung des § 23b GwG im Rahmen des StoFöG 2026 wurde die Transparenz im Immobiliensektor massiv verschärft. Als Geschäftsführer – insbesondere in der Immobilienwirtschaft, im Finanzsektor oder bei der Zusammenarbeit mit Notaren – musst du diese spezifische Prüfpflicht kennen:

• Abgleichpflicht mit dem Grundbuch: Behörden und bestimmte Verpflichtete (wie Banken, Finanzdienstleister und Notare) sind nun gesetzlich verpflichtet, Abweichungen zwischen den im Transparenzregister hinterlegten Immobiliendaten und den tatsächlichen Erkenntnissen (z. B. aus dem Grundbuch) unverzüglich zu melden.
• Aktive Korrektur durch die Registerstelle: Die registerführende Stelle hat nach § 23b Abs. 3 GwG umfassende Befugnisse, Unterlagen zur Aufklärung von dir oder der betroffenen Vereinigung einzufordern. Sie ist zudem berechtigt, direkt Einsicht in das Grundbuch zu nehmen, um die Zuordnung von Immobilien zu berichtigen.
• Haftungsfalle bei Falschzuordnung: Wenn dein Unternehmen Immobilien hält, die im Transparenzregister nicht korrekt zugeordnet sind, löst dies 2026 automatisierte Prüfprozesse aus. Die „unverzügliche Prüfung“ durch die Registerstelle führt bei bestätigten Abweichungen zu einer sofortigen Berichtigung des Registers – oft flankiert von Bußgeldverfahren wegen fehlerhafter Dokumentation.

Wichtig für Geschäftsführer im Bestand: Die Prüfpflicht nach § 23b GwG gilt auch für Immobilien, die bereits vor 2026 im Eigentum der Gesellschaft standen, sobald eine neue Identifizierung oder ein Abgleich mit dem Grundbuch stattfindet.

Seminare für Geschäftsführer und Verantwortliche

Um sicherzustellen, dass du als Geschäftsführer alle Anforderungen des Transparenzregisters korrekt erfüllst, bieten wir dir verschiedene Seminare an, die dich zu den relevanten Themen auf dem neuesten Stand halten:

• Know Your Customer (KYC) – Kundenkenntnis und Sorgfaltspflichten
• Seminare zum Geldwäschegesetz – Die wichtigsten Änderungen und Anforderungen für Geschäftsführer

Fazit: Die Pflichten für Geschäftsführer im Transparenzregister

Das Transparenzregister dient der Transparenz und Bekämpfung von Geldwäsche und Terrorismusfinanzierung. Als Geschäftsführer trägst du die Verantwortung, die relevanten Informationen über wirtschaftlich Berechtigte rechtzeitig und korrekt zu melden. Du musst sicherstellen, dass alle Änderungen in der Gesellschafterstruktur sowie die Identifikation der wirtschaftlich Berechtigten ordnungsgemäß und unverzüglich gemeldet werden.

Um keine Risiken einzugehen, solltest du regelmäßig prüfen, ob die Angaben im Transparenzregister aktuell sind und den rechtlichen Anforderungen entsprechen. Besondere Aufmerksamkeit ist auf die Fristen und Meldepflichten zu legen, da Verstöße gegen diese Pflichten hohe Bußgelder nach sich ziehen können.

Nutze unser Seminarangebot, um dich umfassend auf die rechtlichen Anforderungen vorzubereiten und alle Pflichten als Geschäftsführer sicher zu erfüllen.

Verpasse nicht die Gelegenheit, dich weiterzubilden und die Anforderungen des Transparenzregisters professionell zu meistern!

Weitere Informationen und Whitepaper anfordern

Möchtest du mehr über die Anforderungen des Transparenzregisters und die damit verbundenen Pflichten erfahren? Fordere unser detailliertes Whitepaper zu diesem Thema an! Das Whitepaper gibt dir wertvolle Einblicke und unterstützt dich dabei, die gesetzlichen Anforderungen korrekt zu erfüllen.

Du kannst das Whitepaper direkt über das folgende Formular bei S+P Seminare anfordern:
Whitepaper anfordern.

I. Introduction
With the entry into force of the Act to Strengthen the Financial Center (StoFöG) on February 10, 2026, key provisions of the German Securities Trading Act (WpHG) were fundamentally amended. Of particular note are the prohibition of PFOF (Protection Against Unfair Financial Conduct) with penalty clauses (§ 82 para. 8 WpHG in conjunction with Art. 39a MiFIR), the expanded intervention powers of the Federal Financial Supervisory Authority (BaFin), including the possibility of professional disqualifications (§ 6 para. 8, § 87 para. 6 WpHG nF), new data quality requirements (§ 72 WpHG in conjunction with Art. 22b MiFIR), and the elimination of the national third-country regime (§§ 102–105 WpHG repealed; now MiFIR Title VIII). These amendments are complemented by adjusted penalty provisions (§ 120 WpHG nF) and new audit and reporting obligations (§§ 32, 89 WpHG nF). The following catalog of measures systematically operationalizes these normative requirements and prioritizes them according to risk intensity.

https://sp-unternehmerforum.de/compliance-seminare/

II. Implementation deadlines

With the entry into force of the Act on the Promotion of Financial Markets (StoFöG) on February 10, 2026, the German Securities Trading Act (WpHG) will undergo a fundamental reform to strengthen the financial center and align it with the MiFIR regime. For compliance, this means a complex transition phase with immediate prohibitions and staggered transition periods.

Particularly critical are the PFOF ban (§ 82 para. 8), which has been in effect since February 10, 2026, and the new professional bans of up to two years (§ 6 para. 8). While national third-country regimes were immediately abolished, the simultaneous elimination of best execution reports (RTS 27/28) provides administrative relief for institutions. Operationally, the new €200 million audit threshold (§ 32) only applies to financial years beginning after the cut-off date, meaning that audits for 2025/26 will still be conducted under the old regulations. Nevertheless, starting with the 2026 audit cycle , the new audit questionnaires (§ 89 para. 2) must be submitted on an ongoing basis, even if a full report is not prepared.

Key implementation deadlines of the 2026 amendment to the German Securities Trading Act (WpHG)

• Immediateban on PFOF (§ 82 para. 8): Since 10 February 2026, the acceptance of payments for order forwarding ( Payment for Order Flow ) is prohibited; existing broker models had to be adapted immediately.
• Stricter sanctions& professional bans (§ 6 para. 8): Since its entry into force, BaFin can exclude employees from service for up to two years in case of violations, which requires an immediate adjustment of HR compliance and incident management.
• Abolitionof Best Execution Reports (§ 82 para. 9–12): The obligation to prepare and publish the RTS 27/28 reports has been abolished without replacement as of 10 February 2026.
• Endof the national third-country regime (§§ 102–105): Exemptions for institutions from third countries (e.g. UK) have ceased to apply immediately; only the EU regime under MiFIR now applies.
• New audit thresholdfrom financial year 2027 (§ 32): The new cumulative threshold of €200 million will only apply to financial years beginning after 10 February 2026 (audits for 2025/26 will still be carried out according to the old law).
• Ongoing submissionof examination questionnaires (§ 89 para. 2): From the 2026 examination cycle onwards, the questionnaire must also be submitted if no full examination report is prepared.

III. Requirements Specification 2026: Compliance, Money Laundering and Management

https://sp-unternehmerforum.de/seminare-geldwaesche/

The changes shift the focus from purely formal documentation to material effectiveness and individual responsibility .

1. Board membersand managing directors

The management bears ultimate responsibility for the proper organization of the business (§ 80 WpHG).

• Implementation of the PFOF ban:Ensuring that the business model no longer contains prohibited rebates for order flow (Payment for Order Flow) (Section 82 Paragraph 8).
• Resource guarantee:Commitment to equip compliance and anti-money laundering functions with sufficient personnel and technology to meet the new data quality requirements (Art. 22b MiFIR).
• Monitoring of the third-country strategy:Following the repeal of Sections 102–105 of the German Securities Trading Act (WpHG), the management must re-legitimize the legal basis for business with partners outside the EU (e.g., the UK).
• Fit & Proper Focus:Ensuring the expertise of the company and its employees. Caution: In cases of systemic violations, board members now face a personal professional ban of up to two years (§ 6 para. 8 nF).

2. Compliance Officer (WpHG-Compliance)

The focus is shifting significantly towards data governance and behavioral monitoring.

• Monitoring of best execution:Even if the RTS 27/28 reports are no longer required, the compliance officer must provide complete evidence of material best execution (TCA analyses, review of execution quality).
• Adjustment of remuneration policies:Review of all benefit systems for compliance with the new PFOF ban.
• Data Governance:Monitoring of the new data quality standards for reports to the Consolidated Tape (CTP) and BaFin (§ 22 nF).
• Incident Management:Establishing a process for reporting violations in order to minimize the risk of BaFin bans on employees (§ 87 para. 6).

3. Anti-Money Laundering Officer (AML)

Although the German Securities Trading Act (WpHG) primarily contains securities rules, the references to DORA and digital data tighten the AML obligations.

• Risk analysis 4.0:Integration of crypto-assets and new digital transfer methods into the annual risk analysis (taking into account the MiFIR amendment).
• DORA compliance:Ensuring that IT systems for money laundering prevention meet the requirements for digital operational resilience (§ 120e).
• Verification of third-country partners:Since the national WpHG regime for third countries has been abolished, KYC processes for partners in these jurisdictions often need to be raised to the stricter EU equivalence level.IV. Catalogue of measures for the implementation of the 2026 amendment to the German Securities Trading Act (WpHG).

Status: Internal control document

Legal basis: WpHG nF, MiFIR, MAR, BMR

I. Compliance Officer (WpHG-Compliance)

Immediate measures (until the end of Q1 2026)

1. Conducting a full PFOF audit of all inducement, remuneration and order routing models in accordance with Section 82 Paragraph 8 of the German Securities Trading Act (WpHG) in conjunction with Article 39a of MiFIR, taking into account the administrative offense provision pursuant to Section 120 Paragraph 9 of the German Securities Trading Act (WpHG).

• 2. Revision of the Best Execution Policy pursuant to Section 82 of the German Securities Trading Act (WpHG), removing the discontinued RTS 27/28 references and ensuring compliance with the substantive requirements of Article 27 of MiFID II, including the RTS pursuant to Article 27(10).
• 3. Adaptation of the incident management process taking into account the extended intervention powers of BaFin pursuant to Section 6 Paragraph 8 and Section 87 Paragraph 6 of the German Securities Trading Act (WpHG) (professional bans of up to two years).
• 4. Training of all relevant persons on personal liability and operational risks in accordance with Sections 6 and 87 of the German Securities Trading Act (WpHG), as well as documentation of participation.

Short-term measures (until Q2 2026)

1. Implementation of a data governance framework in accordance with Section 72 of the German Securities Trading Act (WpHG) in conjunction with Articles 21a and 22b of MiFIR, including validation rules, error logs and data lineage documentation.

• 2. Review of all third-country business relationships following the amendment of Section 91 of the German Securities Trading Act (WpHG) and the repeal of Sections 102–105 of the WpHG; conversion to MiFIR Title VIII.
• 3. Establishment of a binding process for the timely submission of the questionnaire pursuant to Section 89 Paragraph 2 of the German Securities Trading Act (WpHG), even without an audit report.
• 4. Review of the SI classification according to § 2 WpHG nF and adaptation of internal threshold and documentation systems.

II. Money Laundering Officer (AML)

Immediate measures

• Update of the institution-wide risk analysis taking into account changed market structures (SI definition § 2 WpHG nF) and increased data requirements according to §§ 22, 72 WpHG.
• Reassessment of all third-country partners and intermediaries in light of the repealed national regime (§§ 102–105 WpHG) and application of the EU equivalence framework (MiFIR Title VIII).
• Coordination with IT and compliance to ensure robust data quality in order to reliably identify money laundering-relevant transaction patterns.

Short-term measures

• Integration of the requirements for digital operational resilience in the context of the references in § 120e WpHG (DORA reference) into the AML control environment.
• Increased monitoring of potential market manipulation and insider indicators in conjunction with MAR obligations.
• Documented agreement with compliance regarding the use of enhanced MiFIR transaction data for money laundering prevention.

III. Board of Directors / Management

• Normative framework: Overall responsibility for proper business organization in accordance with Section 80 of the German Securities Trading Act (WpHG).

Immediate measures

1. Strategic review of the business model with regard to the PFOF ban (Section 82 Paragraph 8 WpHG in conjunction with Article 39a MiFIR) including adjustment of the revenue and fee structure.

• 2. Decision on the continuation, restructuring or termination of third-country business models following the new regulation of Section 91 of the German Securities Trading Act (WpHG).
• 3. Ensuring sufficient human and technical resources for compliance and data quality requirements in accordance with Section 72 of the German Securities Trading Act (WpHG).
• 4. Implementation of a documented accountability framework to minimize personal liability risks pursuant to Section 6 Paragraph 8 of the German Securities Trading Act (WpHG).

Medium-term measures (until fiscal year 2027)

1. Conducting a threshold analysis in accordance with Section 32 in conjunction with Section 130a WpHG (€200 million cumulative) and coordinating the audit strategy with the auditor.

• 2. Ensuring the archiving and retention of relevant documents in accordance with Section 141 of the German Securities Trading Act (WpHG) until December 31, 2031.
• 3. Regular review of governance structures with regard to personal suitability and organizational obligations pursuant to Sections 6, 80, 87 of the German Securities Trading Act (WpHG).

Sources:

Bundestag

https://dserver.bundestag.de/btd/21/033/2103343.pdf

https://www.recht.bund.de/bgbl/1/2026/33/VO

Wenn du als Geschäftsführerin oder Geschäftsführer zukunftsfähig bleiben willst, brauchst du mehr als operative Exzellenz. Du brauchst eine klare Digitale Transformation Roadmap, den strategischen Einsatz von KI und ein modernes Führungsverständnis.

In diesem Artikel erfährst du, wie du mit KI im Management Seminar, Generative AI für Führungskräfte, Agile Leadership im Mittelstand und Smarter Working Methoden deine Organisation neu ausrichtest – strukturiert, effizient und resilient.

1. Transformation beginnt im Kopf der Führung

Transformation ist kein IT-Projekt. Sie ist ein Führungsprojekt.

Viele Unternehmen investieren in Software, Automatisierung oder neue Tools – aber unterschätzen die kulturelle Dimension. Ohne klare Vision, ohne Priorisierung und ohne Veränderungsbereitschaft auf Führungsebene bleibt jede Digitalstrategie Stückwerk.

Transformation & Leadership bedeutet für dich:

• strategische Neuausrichtung statt reiner Prozessoptimierung
• Mut zu strukturellen Veränderungen
• klare Kommunikation der Ziele
• aktive Einbindung deiner Führungskräfte

Gerade im Mittelstand entscheidet die Haltung der Geschäftsführung über Erfolg oder Stillstand.

2. KI im Management Seminar: Warum du als Führungskraft KI verstehen musst

Künstliche Intelligenz ist längst kein Zukunftsthema mehr – sie verändert Entscheidungsprozesse, Controlling, Marketing, Personal und sogar strategische Planung.

Ein KI im Management Seminar vermittelt dir nicht nur technische Grundlagen, sondern vor allem:

• Wie du KI strategisch in deine Organisation integrierst
• Welche Use Cases für dein Geschäftsmodell relevant sind
• Wie du Risiken (Datenschutz, Governance, Haftung) steuerst
• Wie du KI-Projekte priorisierst und bewertest

Ohne fundiertes Verständnis besteht die Gefahr, dass KI-Initiativen isoliert laufen oder an den tatsächlichen Geschäftsbedürfnissen vorbeigehen.

3. Generative AI für Führungskräfte: Produktivität neu denken

Generative AI für Führungskräfte eröffnet dir völlig neue Möglichkeiten in der täglichen Managementarbeit.

Du kannst generative KI einsetzen für:

• Strategieentwürfe und Szenarioanalysen
• Vorbereitung von Board-Präsentationen
• Markt- und Wettbewerbsanalysen
• Vertragsentwürfe und Richtlinien
• Ideengenerierung im Innovationsprozess

Richtig eingesetzt führt generative KI zu einer erheblichen Effizienzsteigerung der Geschäftsführung.

Statt Stunden mit Recherche oder Textentwürfen zu verbringen, kannst du dich stärker auf strategische Entscheidungen konzentrieren. Entscheidend ist jedoch: Du bleibst verantwortlich. KI unterstützt – sie ersetzt keine unternehmerische Entscheidung.

4. Digitale Transformation Roadmap: Vom Aktionismus zur Struktur

Viele Unternehmen starten Digitalprojekte ohne übergeordnete Struktur. Das Ergebnis: Parallelprojekte, Budgetüberschreitungen und Frustration.

Eine wirksame Digitale Transformation Roadmap umfasst:

1. Analysephase

• Geschäftsmodell überprüfen
• Wertschöpfungskette digital bewerten
• Kundenerwartungen analysieren

2. Zieldefinition

• Strategische Prioritäten festlegen
• Messbare KPIs definieren
• Ressourcen planen

3. Umsetzungsstruktur

• Governance-Modell festlegen
• Projektportfolio priorisieren
• Verantwortlichkeiten klären

4. Monitoring & Anpassung

• Regelmäßige Review-Zyklen
• KPI-Tracking
• Risikomanagement integrieren

Mit einer klaren Roadmap verhinderst du operative Überforderung und schaffst Orientierung im gesamten Unternehmen.

5. Smarter Working Methoden: Produktiver führen ohne Dauerstress

Digitale Transformation bedeutet nicht automatisch mehr Arbeitsbelastung. Im Gegenteil: Mit den richtigen Smarter Working Methoden kannst du deine Organisation effizienter machen.

Dazu gehören:

• Fokus-Meeting-Strukturen mit klarer Agenda
• Entscheidungsroutinen mit definierten Eskalationswegen
• Priorisierung nach strategischem Impact
• Reduktion unnötiger Reportings
• KI-gestützte Analyse-Tools

Smarter Working bedeutet, deine Managementprozesse systematisch zu verschlanken.

Das Ziel ist nicht mehr Arbeit – sondern bessere Ergebnisse bei gleichem oder geringerem Ressourceneinsatz.

6. Effizienzsteigerung Geschäftsführung: Die 5 größten Hebel

Die Effizienzsteigerung der Geschäftsführung gelingt nicht durch Mehrarbeit, sondern durch Systematik.

1. Klare Entscheidungsarchitektur

Definiere, welche Entscheidungen zentral und welche dezentral getroffen werden.

2. Transparente KPIs

Ohne valide Kennzahlen keine Steuerung. KPI-Systeme müssen strategische Ziele widerspiegeln.

3. Digitale Reporting-Tools

Echtzeitdaten statt Excel-Monster.

4. Delegationsklarheit

Führung bedeutet nicht Kontrolle jedes Details.

5. KI-Integration

Automatisiere wiederkehrende Analyse- und Dokumentationsaufgaben.

Wenn du diese Hebel kombinierst, steigt nicht nur die Geschwindigkeit deiner Organisation – sondern auch ihre strategische Fokussierung.

7. Resilienz für Führungskräfte: Stabil bleiben in unsicheren Zeiten

Transformation bringt Unsicherheit mit sich. Märkte schwanken, Lieferketten verändern sich, regulatorische Anforderungen steigen.

Resilienz für Führungskräfte bedeutet:

• emotionale Stabilität
• Entscheidungsfähigkeit unter Druck
• langfristiges Denken trotz kurzfristiger Krisen
• gesunde Selbstführung

Resilienz ist kein Soft Skill – sie ist ein Wettbewerbsfaktor.

Wenn du als Führungskraft instabil wirst, überträgt sich das sofort auf deine Organisation.

Resilienz entsteht durch:

• klare Werte
• strukturiertes Risikomanagement
• strategische Szenarioplanung
• kontinuierliche Weiterbildung

8. Modernes Zeitmanagement für Manager: Fokus statt Reaktion

Viele Führungskräfte sind reaktiv unterwegs. Sie reagieren auf E-Mails, Meetings, kurzfristige Themen – statt strategisch zu steuern.

Modernes Zeitmanagement für Manager basiert auf drei Prinzipien:

1. Strategische Zeitblöcke

Reserviere feste Zeiten für Strategiearbeit – nicht nur für operative Themen.

2. Meeting-Reduktion

Jedes Meeting braucht Ziel, Agenda und Entscheidung.

3. Priorisierung nach Wertbeitrag

Nicht Dringlichkeit entscheidet, sondern strategischer Impact.

Zeitmanagement ist Führungsdisziplin. Wenn du deinen Kalender nicht aktiv steuerst, steuert er dich.

9. Agile Leadership im Mittelstand: Beweglichkeit ohne Chaos

Agilität wird oft missverstanden. Agile Leadership bedeutet nicht permanente Veränderung oder fehlende Struktur.

Agile Leadership im Mittelstand heißt:

• klare Vision + flexible Umsetzung
• iterative Projektsteuerung
• schnelle Feedbackschleifen
• cross-funktionale Zusammenarbeit

Gerade im Mittelstand liegt ein großer Vorteil: kurze Entscheidungswege.

Wenn du diese mit agilen Methoden kombinierst, entsteht eine hohe Innovationsgeschwindigkeit – ohne Konzernbürokratie.

Wichtig ist jedoch:

• Rollen klar definieren
• Verantwortung transparent machen
• Prioritäten regelmäßig überprüfen

Agilität braucht Führung – nicht Beliebigkeit.

10. Transformation & Leadership als integriertes Konzept

Die einzelnen Bausteine greifen ineinander:

• KI im Management Seminarvermittelt strategische Kompetenz
• Generative AI für Führungskräftesteigert operative Effizienz
• Eine klare Digitale Transformation Roadmapschafft Struktur
• Smarter Working Methodenerhöhen Produktivität
• Effizienzsteigerung der Geschäftsführungstärkt Wettbewerbsfähigkeit
• Resilienz für Führungskräftesichert Stabilität
• Modernes Zeitmanagement für Managerschafft Fokus
• Agile Leadership im Mittelstandsorgt für Dynamik

Transformation ist kein Einzelprojekt – sie ist ein System.

11. Warum Weiterbildung der Schlüssel ist

Die Anforderungen an Führung verändern sich schneller als klassische Ausbildungssysteme reagieren.

Ein spezialisiertes KI im Management Seminar oder Programme zu Transformation & Leadership helfen dir:

• technologische Trends einzuordnen
• strategische Kompetenz auszubauen
• Führungsinstrumente zu modernisieren
• deine Organisation zukunftsfähig auszurichten

Wer heute nicht kontinuierlich lernt, verliert morgen strategische Handlungsfähigkeit.

12. Dein nächster Schritt: Von der Erkenntnis zur Umsetzung

Transformation beginnt nicht mit einem Tool – sondern mit einer Entscheidung.

Wenn du:

• deine Digitale Transformation Roadmapklar definieren willst,
• die Potenziale von Generative AI für Führungskräftegezielt nutzen möchtest,
• deine Effizienzsteigerung als Geschäftsführungsystematisch angehen willst,
• Resilienz für Führungskräftestärken möchtest,
• und Agile Leadership im Mittelstandwirksam implementieren willst,

dann brauchst du einen strukturierten Kompetenzaufbau.

Transformation & Leadership ist keine Mode – sondern die Voraussetzung für nachhaltigen Unternehmenserfolg.

Die Frage ist nicht, ob sich dein Unternehmen verändert.
Die Frage ist, ob du die Veränderung aktiv gestaltest.

Jetzt ist der richtige Zeitpunkt, deine Führungsrolle neu zu definieren – strategisch, digital und zukunftsorientiert.

Mit DORA, NIS-2, CSRD, MaRisk 2026 und verschärften Anforderungen an Geldwäscheprävention verändert sich die regulatorische Landschaft grundlegend. Wer hier nur reaktiv agiert, riskiert Haftung, Reputationsschäden und operative Schwächen.

In diesem Artikel erhältst du einen strukturierten Überblick über die zentralen Themen – von DORA Seminar und NIS-2 Umsetzung im Management bis hin zu KWG 44er Prüfung Vorbereitung und der Haftung des Geldwäschebeauftragten.

1. Governance, Risiko & Regulatorik: Warum die Geschäftsführung in der Verantwortung steht

Die Aufsichtsbehörden machen eines klar:

Verantwortung ist nicht delegierbar.

Ob DORA, NIS-2 oder Geldwäschegesetz – letztlich bleibt die Gesamtverantwortung bei der Geschäftsleitung. Deshalb brauchst du ein integriertes Steuerungssystem, das folgende Elemente verbindet:

• klare Governance-Strukturen
• funktionierendes Risikomanagement
• dokumentierte Compliance-Prozesse
• regelmäßige Schulungen auf Leitungsebene

Regulatorik ist kein Kostenfaktor. Sie ist ein Stabilitäts- und Vertrauensfaktor.

2. DORA Seminar: Digitale Resilienz strategisch verankern

Mit dem Digital Operational Resilience Act (DORA) verschärft die EU die Anforderungen an IT- und Cyber-Resilienz im Finanzsektor.

Ein DORA Seminar vermittelt dir als Führungskraft:

• Governance-Anforderungen an IKT-Risikomanagement
• Pflichten zur Vorfallmeldung
• Anforderungen an ICT-Drittanbieter
• Testpflichten (Threat-Led Penetration Testing)
• Dokumentations- und Nachweisanforderungen

DORA ist kein IT-Projekt – es ist ein strategisches Organisationsprojekt.

3. DORA Compliance Training: Von der Theorie in die Umsetzung

Ein strukturiertes DORA Compliance Training hilft dir, regulatorische Anforderungen in konkrete Maßnahmen zu übersetzen:

• Anpassung der Geschäftsleitungsrichtlinien
• Integration in das bestehende Risikomanagement
• Abstimmung mit MaRisk und BAIT
• Schulung von Fach- und Führungskräften

Entscheidend ist, dass du DORA nicht isoliert betrachtest, sondern in deine Gesamtstrategie für Governance, Risiko & Regulatorik integrierst.

4. NIS-2 Umsetzung Management: Cybersicherheit wird Chefsache

Mit der NIS-2-Richtlinie werden deutlich mehr Unternehmen erfasst – auch mittelständische Betriebe.

Die NIS-2 Umsetzung im Management bedeutet für dich:

• Einführung eines formellen Cyber-Risikomanagementsystems
• Pflicht zur Risikobewertung
• Incident-Response-Strukturen
• Schulungspflichten für die Geschäftsführung

Verstöße können zu erheblichen Bußgeldern führen – einschließlich persönlicher Haftungsrisiken.

5. NIS-2 Schulung Geschäftsführung: Pflicht statt Kür

Die Richtlinie verlangt explizit Schulungen für Leitungsorgane.

Eine NIS-2 Schulung für die Geschäftsführung vermittelt dir:

• Verständnis der gesetzlichen Pflichten
• Haftungsrisiken bei Pflichtverletzungen
• Anforderungen an Dokumentation
• Aufsichtsrechtliche Meldewege

Cybersicherheit ist kein IT-Detail – sie ist Teil deiner Organisationsverantwortung.

6. ESG Compliance Lehrgang: Nachhaltigkeit wird prüfungsrelevant

Mit der CSRD und der EU-Taxonomie wird Nachhaltigkeit verbindlich.

Ein ESG Compliance Lehrgang unterstützt dich bei:

• Aufbau eines ESG-Risikomanagements
• Integration in bestehende Governance-Strukturen
• Vermeidung von Greenwashing-Risiken
• Verknüpfung mit strategischer Unternehmensplanung

ESG ist nicht nur Berichterstattung – es beeinflusst Finanzierung, Reputation und Marktposition.

7. CSRD Berichterstattung Vorstand: Transparenz mit Haftungsdimension

Die CSRD Berichterstattung für den Vorstand erweitert die Offenlegungspflichten massiv.

Du musst künftig:

• ESG-Daten strukturiert erfassen
• Wesentlichkeitsanalysen durchführen
• Risiken entlang der Wertschöpfungskette bewerten
• Nachhaltigkeitsziele messbar definieren

Fehlerhafte oder unvollständige Angaben können haftungsrechtliche Konsequenzen haben.

8. Auslagerungsmanagement Finanzwesen: Kontrolle trotz Delegation

Auslagerung entbindet dich nicht von Verantwortung.

Ein professionelles Auslagerungsmanagement im Finanzwesen umfasst:

• Risikoanalyse vor Vertragsabschluss
• klare SLA-Definition
• Kontrollrechte
• Exit-Strategien
• laufende Überwachung

Gerade unter DORA gewinnen ICT-Auslagerungen zusätzlich an regulatorischer Brisanz.

9. TPRM Seminar & Third Party Risk Management Fortbildung

Third Party Risk Management (TPRM) wird zur Kernkompetenz.

Ein TPRM Seminar oder eine Third Party Risk Management Fortbildung helfen dir:

• Drittparteien systematisch zu klassifizieren
• Risiko-Scoring-Modelle zu entwickeln
• Überwachungszyklen zu definieren
• regulatorische Anforderungen mit operativer Praxis zu verbinden

In komplexen Lieferketten ist Transparenz ein entscheidender Stabilitätsfaktor.

10. Zertifizierter Geldwäschebeauftragter: Schlüsselrolle im Unternehmen

Die Anforderungen an Geldwäscheprävention steigen kontinuierlich.

Ein Zertifizierter Geldwäschebeauftragter benötigt:

• fundierte Kenntnisse im GwG
• Erfahrung mit Risikoanalysen
• Verständnis für internationale Sanktionen
• klare Eskalationsmechanismen

Als Geschäftsführung musst du sicherstellen, dass diese Funktion fachlich geeignet und organisatorisch unabhängig ist.

11. Haftung Geldwäschebeauftragter: Persönliche Risiken richtig einordnen

Die Haftung des Geldwäschebeauftragten ist ein sensibles Thema.

Typische Risikofelder:

• unterlassene Verdachtsmeldungen
• unzureichende Risikoanalyse
• mangelhafte Schulung
• fehlende Dokumentation

Auch hier gilt: Die Gesamtverantwortung verbleibt bei der Geschäftsleitung. Deshalb sind klare Zuständigkeiten und regelmäßige Schulungen essenziell.

12. Zertifizierter Compliance Officer: Governance professionell steuern

Ein Zertifizierter Compliance Officer unterstützt dich beim Aufbau eines strukturierten Compliance-Management-Systems.

Seine Aufgaben:

• Identifikation regulatorischer Risiken
• Aufbau interner Kontrollsysteme
• Schulung von Mitarbeitenden
• Berichtswesen an die Geschäftsleitung

Compliance ist kein Kontrollinstrument – sondern ein strategisches Frühwarnsystem.

13. MaRisk 2026 Update: Aufsicht verschärft Anforderungen

Mit dem MaRisk 2026 Update werden insbesondere folgende Bereiche stärker gewichtet:

• Risikokultur
• IT-Resilienz
• Datenqualität
• Governance-Strukturen

Eine frühzeitige Vorbereitung schützt vor aufsichtsrechtlichen Beanstandungen.

14. KWG 44er Prüfung Vorbereitung: Stressfrei durch die Sonderprüfung

Eine KWG 44er Prüfung Vorbereitung sollte strukturiert erfolgen:

• Dokumentationsprüfung
• Gap-Analyse
• Testdurchläufe
• Interview-Vorbereitung
• klare Kommunikationsstrategie

Unvorbereitete Unternehmen geraten hier schnell unter erheblichen Druck.

15. Integrierte Steuerung statt Insellösungen

Die einzelnen Themen – DORA, NIS-2, ESG, Geldwäsche, MaRisk – greifen ineinander.

Ein integriertes Modell für Governance, Risiko & Regulatorik umfasst:

• zentrales Risikoinventar
• abgestimmtes Berichtswesen
• einheitliche Kontrollsysteme
• regelmäßige Management-Reviews
• strukturierte Weiterbildungsprogramme

Isolierte Projekte führen zu Doppelarbeit und Intransparenz. Integration schafft Effizienz und Sicherheit.

16. Weiterbildung als strategischer Erfolgsfaktor

Ob DORA Compliance Training, NIS-2 Schulung für die Geschäftsführung, ESG Compliance Lehrgang, TPRM Seminar oder Programme für Zertifizierte Compliance Officer und Zertifizierte Geldwäschebeauftragte – Weiterbildung ist kein optionales Add-on.

Sie ist ein zentrales Element deiner Organisationsverantwortung.

Nur wenn du regulatorische Entwicklungen verstehst, kannst du:

• Haftungsrisiken reduzieren
• Prüfungen souverän bestehen
• strategische Chancen nutzen
• Vertrauen bei Investoren und Aufsicht stärken

Fazit: Governance, Risiko & Regulatorik aktiv gestalten

Die regulatorische Dynamik wird weiter zunehmen.

DORA, NIS-2, CSRD, MaRisk 2026 und verschärfte Geldwäscheanforderungen sind keine vorübergehenden Trends – sie sind Ausdruck eines strukturellen Wandels.

Wenn du Governance, Risiko & Regulatorik strategisch integrierst, schaffst du:

• Stabilität
• Transparenz
• Haftungssicherheit
• Wettbewerbsfähigkeit

Die zentrale Frage lautet nicht, ob du dich mit diesen Themen beschäftigen musst.

Die Frage ist, ob du sie als Pflichtübung behandelst – oder als strategisches Führungsinstrument nutzt.