Geldwäschebeauftragter Pflicht: wer muss bestellen, was sind die Aufgaben, was kostet ein Verstoß

§ 7 Geldwäschegesetz (GwG) verpflichtet bestimmte Unternehmen zur Bestellung eines Geldwäschebeauftragten auf Führungsebene. Die Pflicht trifft Banken, Versicherer, Zahlungsdienstleister, Wertpapierfirmen, Immobilienmakler bei bestimmten Transaktionen, Güterhändler bei Bargeschäften über 10.000 Euro, Kunstvermittler ab 10.000 Euro und Treuhänder. Daneben kann die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) nach § 7 Abs. 3 GwG die Bestellung auch für andere Unternehmen anordnen, wenn dies aufgrund der Geschäftstätigkeit erforderlich ist. In der Praxis wird die Anordnung regelmäßig gegen Finanzdienstleister, Krypto-Verwahrer und einzelne Güterhändler mit Risikoprofil verfügt. Bußgelder reichen nach § 56 GwG bis 5 Mio. Euro oder das Doppelte des aus dem Verstoß gezogenen wirtschaftlichen Vorteils.

Dieser Beitrag erklärt, wer konkret zur Bestellung verpflichtet ist, welche Aufgaben das Mandat umfasst, welche Berichtspflichten gegenüber BaFin und Geschäftsleitung bestehen und wie die Funktion in der Praxis besetzt wird. CIVAC ist eine Compliance-Plattform und Officer-as-a-Service mit Workspace, 490 Audit-Vorlagen, Bestellurkunden und Berichtslinie. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Sie erfahren, wann eine interne Lösung tragfähig ist, wann externe Mandate sinnvoll sind, wie die Berichtslinie auf Führungsebene aufgesetzt wird und welche Audit-Spur die BaFin und die nach Landesrecht zuständigen Aufsichtsbehörden tatsächlich sehen wollen.

Die Verpflichteten des Geldwäschegesetzes sind in § 2 Abs. 1 GwG aufgezählt. Dazu gehören Kreditinstitute, Finanzdienstleistungsinstitute, Zahlungsinstitute, E-Geld-Institute, Versicherungsunternehmen mit Lebensversicherungs- oder Pensionsgeschäft, Wertpapierfirmen, Investmentvermögen, Versicherungsvermittler, Rechtsanwälte und Notare bei bestimmten Geschäften, Steuerberater, Wirtschaftsprüfer, Immobilienmakler, Güterhändler bei Bargeschäften über 10.000 Euro, Kunstvermittler ab 10.000 Euro, Veranstalter und Vermittler von Glücksspielen sowie Treuhänder. Krypto-Verwahrer sind seit der Umsetzung der fünften Geldwäscherichtlinie ebenfalls erfasst.

Aus dem Verpflichteten-Status folgt nicht automatisch die Bestellungspflicht eines Geldwäschebeauftragten. § 7 Abs. 1 GwG verlangt die Bestellung von Kreditinstituten, Finanzdienstleistungsinstituten, Zahlungsinstituten, E-Geld-Instituten, Versicherungsunternehmen, Wertpapierfirmen, Investmentvermögen und gewerblichen Güterhändlern, soweit sie Edelmetalle handeln. Für die übrigen Verpflichteten gilt die Pflicht nicht automatisch, kann aber von der BaFin nach § 7 Abs. 3 GwG oder von der nach Landesrecht zuständigen Aufsichtsbehörde nach § 50 GwG angeordnet werden. Die Anordnung ist eine Einzelfallentscheidung, die das Risikoprofil des Unternehmens und die Branchensituation berücksichtigt.

CIVAC bietet die Rolle Geldwäschebeauftragter vorkonfiguriert im Workspace an, mit Bestellurkunde, Berichtslinie an die Geschäftsleitung, Risikoanalyse-Vorlage, internen Sicherungsmaßnahmen, Schulungsregister und Meldepfad an die FIU. Bestellurkunde, unterschrieben, abgelegt, belegbar. Wer die Pflicht hat, kann den Workspace lizenzieren und die Funktion intern führen. Wer keine interne Kapazität hat oder eine externe Lösung bevorzugt, bestellt einen CIVAC-Beauftragten mit dokumentierter Versicherung und festem 2-Werktage-SLA. Beide Modelle erfüllen die Anforderungen des § 7 GwG vollständig und sind im Audit unmittelbar belegbar. Auch eine Kombination ist möglich, etwa eine interne Funktion mit externer Vertretung bei Urlaub, Krankheit oder Personalwechsel, ohne dass die Bestellpflicht zwischenzeitlich unbesetzt bleibt.

§ 7 Abs. 5 GwG umreißt die Aufgaben des Geldwäschebeauftragten. Er ist Ansprechpartner für die Strafverfolgungsbehörden, die FIU (Financial Intelligence Unit beim Zoll) und die zuständige Aufsichtsbehörde. Er trägt die Verantwortung für die internen Sicherungsmaßnahmen nach § 6 GwG, die Risikoanalyse nach § 5 GwG, die Erstellung und Pflege interner Grundsätze, Verfahren und Kontrollen sowie die Schulung der Beschäftigten zu Geldwäsche- und Terrorismusfinanzierungsrisiken. Daneben überwacht er die Wirksamkeit der Maßnahmen und nimmt Verdachtsmeldungen an die FIU vor.

Die Verdachtsmeldung nach § 43 GwG ist eine zentrale Pflicht. Sie ist unverzüglich abzugeben, sobald Tatsachen vorliegen, die darauf hindeuten, dass ein Vermögensgegenstand aus einer Straftat herrührt oder mit Terrorismusfinanzierung im Zusammenhang steht. Die Meldung erfolgt über das elektronische Meldeportal goAML der FIU. Eine unterlassene Verdachtsmeldung ist nach § 56 Abs. 1 Nr. 69 GwG bußgeldbewehrt. Die persönliche Verantwortung des Geldwäschebeauftragten wirkt hier unmittelbar, weil die Verantwortung gerade nicht an die Geschäftsleitung delegierbar ist. Die Geschäftsleitung trägt jedoch die Gesamtverantwortung für die Einrichtung der Funktion und die Bereitstellung von Ressourcen.

CIVAC führt im Workspace einen vorkonfigurierten Verdachtsmelde-Prozess mit Erfassungsvorlage, Plausibilitätsprüfung und direkter Schnittstelle zum Meldeprotokoll. Risikoanalyse und interne Sicherungsmaßnahmen sind als versionierte Dokumente hinterlegt, Schulungen mit individueller Quittung im Schulungsregister verfügbar. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Bei einer BaFin-Prüfung oder einer Anfrage der nach Landesrecht zuständigen Aufsichtsbehörde sind die geforderten Nachweise sekundenschnell verfügbar. Der Prüfer ruft an, der Nachweis liegt bereit. Auch die Anbindung an den Personalstamm sorgt dafür, dass neu eingetretene Beschäftigte automatisch in den Schulungspfad eintreten und nicht erst nach einer manuellen Nachpflege durch den Beauftragten erfasst werden.

Die Bestellung des Geldwäschebeauftragten erfolgt schriftlich durch die Geschäftsleitung. Sie umfasst die Aufgabenbeschreibung, die Berichtslinie an ein Mitglied der Geschäftsleitung, die Vertretungsregelung und die Ressourcenzusage. § 7 Abs. 1 GwG verlangt ausdrücklich, dass der Beauftragte auf Führungsebene angesiedelt ist und unmittelbar an die Geschäftsleitung berichtet. Eine Ansiedelung im mittleren Management ohne direkte Berichtslinie wird im Audit beanstandet, weil sie die Wirksamkeit der Funktion einschränkt und mit dem Wortlaut des Gesetzes nicht vereinbar ist.

Die Person muss zuverlässig und fachlich geeignet sein. § 7 Abs. 2 GwG verlangt, dass die zur ordnungsgemäßen Aufgabenerfüllung erforderliche Sachkunde vorhanden ist und keine Tatsachen vorliegen, die Zweifel an der Zuverlässigkeit begründen. Die Sachkunde lässt sich durch entsprechende Aus- und Weiterbildungen nachweisen, etwa Zertifikate von Verbänden wie dem Deutschen Institut für Compliance (DICO), dem Frankfurt School of Finance & Management oder vergleichbaren Anbietern. Die Zuverlässigkeit wird durch ein erweitertes Führungszeugnis dokumentiert, das in vielen Häusern alle drei Jahre erneuert wird. Interessenkonflikte mit anderen Funktionen, etwa der Innenrevision oder dem Risikomanagement, sind zu vermeiden.

CIVAC stellt die Bestellurkunde, die Aufgabenbeschreibung, die Berichtslinie und das Vertretungskonzept im Workspace als Vorlage bereit. Bei der Officer-as-a-Service-Variante übernehmen CIVAC-Beauftragte das Mandat mit dokumentierter Sachkunde, erweiterten Führungszeugnissen und Berufshaftpflichtversicherung. Die Plattform führt die Tätigkeiten des Beauftragten mit Tagebuchcharakter, sodass die persönliche Pflichterfüllung im Schadensfall nachweisbar ist. Audit-fest, dokumentiert, § 7 GwG-fest. Bei einem Wechsel des Mandats bleibt die Dokumentation im Workspace erhalten und ist für den Nachfolger unmittelbar verfügbar, ohne dass kritische Vorgänge in einem persönlichen E-Mail-Postfach hängenbleiben.

Die Risikoanalyse nach § 5 GwG ist die fachliche Grundlage der internen Sicherungsmaßnahmen. Sie identifiziert die Geldwäsche- und Terrorismusfinanzierungsrisiken, denen das Unternehmen ausgesetzt ist, und bewertet sie nach Eintrittswahrscheinlichkeit und Auswirkung. Die Analyse berücksichtigt Kunden, Produkte und Dienstleistungen, Geografien und Vertriebskanäle. Sie wird mindestens jährlich aktualisiert und bei wesentlichen Änderungen der Geschäftstätigkeit oder der Risikolage anlassbezogen überarbeitet. Die nationale Risikoanalyse des Bundesministeriums der Finanzen liefert den Rahmen, in den die unternehmensindividuelle Analyse einzubetten ist.

In der Praxis scheitert die Risikoanalyse selten an methodischen Fragen, häufig an der Aktualisierung. Eine einmal erstellte Analyse wird in Ordnern abgelegt und vergessen, bis die nächste Prüfung ansteht. Bei einer Sonderprüfung der BaFin oder einer Vor-Ort-Kontrolle durch die Aufsichtsbehörde wird die Analyse stichprobenartig auf Aktualität geprüft. Eine Risikoanalyse, die noch das alte Produktportfolio oder die alte Vertriebsstruktur zeigt, fällt sofort auf. Die Folge ist eine Anordnung zur Überarbeitung, in schweren Fällen ein Bußgeld nach § 56 Abs. 1 Nr. 64 GwG.

CIVAC führt die Risikoanalyse im Workspace als geführtes Dokument mit Versionierung, Aktualisierungserinnerung und Verknüpfung zu den internen Sicherungsmaßnahmen. Jede Änderung wird mit Datum, Bearbeiter und Begründung protokolliert. Bei einer Aktualisierung der nationalen Risikoanalyse oder der EU-Liste der Hochrisikoländer alarmiert die Plattform den Geldwäschebeauftragten und stößt eine Überprüfung der eigenen Analyse an. Die Berichtslinie an die Geschäftsleitung wird automatisch mit aktuellen Auszügen bedient, sodass die Geschäftsleitung ihrer Aufsichtsverantwortung nachweisbar nachkommt. Das ist im Schadensfall ein wesentliches Element der Entlastung. Die Plattform erinnert zusätzlich an die Auswertung der internen Geldwäsche-Auffälligkeitslisten und an die regelmäßige Überprüfung der Sanktionslisten, die sich häufiger ändern als die nationale Risikoanalyse.

§ 6 GwG verpflichtet zur Einrichtung angemessener interner Sicherungsmaßnahmen, die das identifizierte Risiko reduzieren. Dazu gehören Grundsätze, Verfahren und Kontrollen, die Bestellung von Zuverlässigkeitsbeauftragten in bestimmten Fallgruppen, die Schulung der Beschäftigten, die Überprüfung der Zuverlässigkeit von Beschäftigten und die Einrichtung eines Hinweisgeberverfahrens. Die Maßnahmen müssen dokumentiert, regelmäßig überprüft und an Veränderungen angepasst werden. Eine bloße Übernahme von Mustertexten erfüllt die Pflicht nicht, weil der Maßnahmenkatalog auf das individuelle Risikoprofil zugeschnitten sein muss, das in der Risikoanalyse erarbeitet wurde.

Die Schulungspflicht ist in der Praxis am häufigsten verletzt. Beschäftigte in kundennahen Funktionen müssen die Grundlagen der Geldwäscheprävention kennen, typische Auffälligkeiten erkennen und wissen, an wen sie Verdachtsmomente melden. Die Schulung erfolgt mindestens jährlich und ist mit Datum, Inhalt und Quittung jedes Beschäftigten zu dokumentieren. Bei Neueinstellungen ist die Erstschulung vor Aufnahme der Tätigkeit zu absolvieren. Eine fehlende Quittung ist im Audit gleichbedeutend mit einer fehlenden Schulung, was nach § 56 Abs. 1 Nr. 47 GwG bußgeldbewehrt ist.

CIVAC führt im Workspace das Schulungsregister mit individueller Frist je Beschäftigtem, automatischer Erinnerung 30 Tage vor Ablauf und Eskalation an die Berichtslinie 7 Tage vor Ablauf. Schulungsinhalte werden mit der Risikoanalyse verknüpft, sodass risikoorientierte Schulungen für besonders exponierte Funktionen abgebildet werden können. Der Geldwäschebeauftragte erstellt auf Knopfdruck eine Übersicht des Schulungsstands für die Berichtspflicht an die Geschäftsleitung und für die BaFin-Anfrage. Frist läuft ab Kenntnis. Auch die Erstschulung neuer Beschäftigter wird mit dem HR-Onboarding verknüpft, sodass keine Person ohne abgeschlossene Schulung in einer kundennahen Funktion eingesetzt wird.

Die Berichtspflicht des Geldwäschebeauftragten gegenüber der Geschäftsleitung ist in § 7 Abs. 5 GwG implizit angelegt und durch die Anordnungen der BaFin und der nach Landesrecht zuständigen Aufsichtsbehörden konkretisiert. In der Praxis erfolgt eine jährliche Berichterstattung, ergänzt um anlassbezogene Berichte bei wesentlichen Vorfällen wie Verdachtsmeldungen mit hoher Tragweite, Anordnungen der BaFin oder strukturellen Änderungen des Risikoprofils. Der Bericht enthält die Risikoanalyse, die Wirksamkeit der internen Sicherungsmaßnahmen, die Anzahl und Inhalt der Verdachtsmeldungen sowie geplante Maßnahmen für die kommende Periode.

Gegenüber der BaFin und den nach Landesrecht zuständigen Aufsichtsbehörden bestehen Mitwirkungs- und Auskunftspflichten nach § 50 GwG. Die Aufsicht kann Vor-Ort-Prüfungen durchführen, Unterlagen anfordern und Anordnungen zur Beseitigung von Mängeln treffen. In schweren Fällen können einzelne Personen ihrer Funktionen enthoben werden, etwa der Geldwäschebeauftragte selbst oder Mitglieder der Geschäftsleitung. Die Anordnung kann auch öffentlich bekanntgemacht werden (Naming and Shaming nach § 57 GwG), was für regulierte Institute erhebliche Reputationsschäden bedeutet und in der Kapitalmarktöffentlichkeit unmittelbar wirkt.

CIVAC stellt im Workspace eine Berichtsvorlage für die jährliche und die anlassbezogene Berichterstattung bereit, die automatisch aus dem laufenden Datenbestand befüllt wird. Risikoanalyse, Maßnahmen, Schulungen, Verdachtsmeldungen und Anordnungen werden in einem konsolidierten Bericht zusammengeführt, der von Geldwäschebeauftragtem und Geschäftsleitung gegengezeichnet wird. Bestellurkunde, unterschrieben, abgelegt, belegbar. Bei einer BaFin-Sonderprüfung oder einer Vor-Ort-Kontrolle der Aufsichtsbehörde wird der vollständige Bericht inklusive Anlagen sekundenschnell exportiert und bereitgestellt, ohne dass aus mehreren Systemen Daten zusammengetragen werden müssen. Auch Folgeanordnungen der Aufsicht, etwa zur Beseitigung festgestellter Mängel, werden im Workspace als Maßnahmen mit Frist, Verantwortlichkeit und Statusverlauf geführt.

§ 7 Abs. 3 GwG eröffnet der BaFin die Möglichkeit, die Bestellungspflicht auch für Unternehmen anzuordnen, die nicht von Absatz 1 erfasst sind. Die Anordnung ist eine Einzelfallentscheidung und wird typischerweise gegen Unternehmen mit erhöhtem Geldwäscherisiko verfügt. In der Aufsichtspraxis betrifft das vor allem Zahlungsdienstleister im Übergangsbereich zur Banklizenz, Krypto-Dienstleister außerhalb des Kreditinstituts-Begriffs, Vermögensverwalter und einzelne Güterhändler mit hohen Bargeschäftsanteilen. Die nach Landesrecht zuständigen Aufsichtsbehörden für Nicht-Finanzunternehmen können ebenfalls ähnliche Anordnungen treffen, etwa gegenüber Immobilienmaklern mit auffälligem Transaktionsprofil.

Eine Anordnung ist in der Regel mit einer Umsetzungsfrist von vier bis acht Wochen verbunden. In dieser Zeit muss das Unternehmen einen geeigneten Geldwäschebeauftragten bestellen, die Berichtslinie einrichten, die Risikoanalyse durchführen und die internen Sicherungsmaßnahmen dokumentieren. Eine Vier-Wochen-Frist ist für ein Unternehmen ohne bestehende Compliance-Struktur ein anspruchsvolles Zeitfenster. Externe Mandate sind hier oft die einzige praktikable Lösung, weil interne Sachkunde nicht in dieser Zeit aufgebaut werden kann und die Suche nach einer geeigneten Person mehrere Monate beanspruchen würde.

CIVAC bietet für diesen Fall die Officer-as-a-Service-Variante mit Bestellung innerhalb weniger Tage. Der externe Geldwäschebeauftragte übernimmt das Mandat mit Bestellurkunde, eingerichteter Berichtslinie und initialer Risikoanalyse. Die internen Sicherungsmaßnahmen werden im Workspace aufgesetzt, Schulungen geplant und Verdachtsmeldewege etabliert. Das CIVAC-SLA von 2 Werktagen ersetzt das übliche Reaktionsfenster und ermöglicht eine fristgerechte Umsetzung der BaFin-Anordnung, ohne dass das laufende Geschäft des Unternehmens unterbrochen wird. Die Compliance-Beauftragten-Rolle ist im selben Workspace verfügbar und ergänzt das Geldwäsche-Mandat strukturell. Im Rahmen der Erstaufnahme wird auch geprüft, ob neben § 7 GwG weitere Pflichten ausgelöst sind, etwa Hinweisgeberschutz, Datenschutz oder Informationssicherheit.

Die Sanktionsrisiken nach dem Geldwäschegesetz sind erheblich. § 56 GwG sieht für vorsätzliche Verstöße Bußgelder bis 5 Mio. Euro oder das Zweifache des aus dem Verstoß gezogenen wirtschaftlichen Vorteils vor, je nachdem welcher Betrag höher ist. Für Verpflichtete nach § 2 Abs. 1 Nr. 1 bis 3 und 6 bis 9 GwG (insbesondere Banken, Versicherer, Zahlungsinstitute) kommen zusätzlich Bußgelder bis 10 % des Vorjahresumsatzes in Betracht. Diese Höhe erreicht im internationalen Vergleich das Niveau, das aus DSGVO-Verfahren bekannt ist, und führt im Schadensfall zu betriebswirtschaftlich erheblichen Folgen.

Neben den finanziellen Sanktionen kommt die persönliche Verantwortung der Geschäftsleitung und des Geldwäschebeauftragten hinzu. § 130 OWiG sanktioniert Aufsichtspflichtverletzungen der Geschäftsleitung mit Bußgeldern bis 1 Mio. Euro. § 261 StGB stellt Geldwäsche selbst unter Strafe und kann bei aktiver Beteiligung oder Beihilfe zur Strafverfolgung führen. Veröffentlichungen nach § 57 GwG erlauben der Aufsichtsbehörde, bestandskräftige Maßnahmen und Sanktionen unter Nennung des Unternehmens auf der eigenen Internetseite zu veröffentlichen. Für regulierte Institute ist die Veröffentlichung in der Regel mit erheblichen Auswirkungen auf Kundenbeziehungen, Kapitalbeschaffung und Geschäftsbeziehungen verbunden.

CIVAC reduziert die Risiken durch eine durchgängig dokumentierte Audit-Spur. Bestellurkunde, Berichtslinie, Risikoanalyse, Sicherungsmaßnahmen, Schulungen, Verdachtsmeldungen und Berichte sind im Workspace verbunden und versioniert. Im Schadensfall ist die persönliche Pflichterfüllung des Geldwäschebeauftragten und der Geschäftsleitung nachweisbar, was die Entlastungsmöglichkeit in einem Bußgeldverfahren erheblich erhöht. Die EU-Datenresidenz stellt sicher, dass die Compliance-Daten nicht in Drittländer transferiert werden, was bei BaFin-Prüfungen und in DSGVO-Audits positiv vermerkt wird. Eine ergänzende Berufshaftpflicht des externen Mandats ist Bestandteil der Officer-as-a-Service-Variante.

Die Bestellung eines Geldwäschebeauftragten ist der Anfang, nicht das Ende der GwG-Compliance. Belastbar wird die Funktion erst, wenn sie in eine Organisation eingebettet ist, die Risikoanalyse, Sicherungsmaßnahmen, Schulungen, Verdachtsmeldungen und Berichtspflichten systematisch führt. Genau dafür ist CIVAC aufgesetzt. CIVAC ist eine Compliance-Plattform und Officer-as-a-Service mit Workspace, 490 Audit-Vorlagen, Bestellurkunden, Berichtslinie, NIS-2-Meldepfad, ISO 27001:2022-ISMS und EU-Datenresidenz. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen.

Das Modell ist auf den Mittelstand und auf regulierte Institute zugeschnitten. Wer im Haus einen erfahrenen Geldwäschebeauftragten hat, lizenziert den Workspace und nutzt die Vorlagen, das Schulungsregister, die Berichtsvorlagen und die FIU-Meldeschnittstelle als Werkzeug. Wer keine interne Kapazität hat, wer eine BaFin-Anordnung mit Vier-Wochen-Frist umsetzen muss oder wer bei Personalwechsel eine Übergangslösung braucht, bestellt einen CIVAC-Beauftragten mit dokumentierter Sachkunde, Berufshaftpflicht und festem 2-Werktage-SLA. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Wenn Sie prüfen lassen wollen, ob Ihr Unternehmen unter § 7 GwG fällt, eine bestehende GwG-Organisation auf Audit-Festigkeit untersuchen wollen oder eine BaFin-Anordnung umsetzen müssen, beginnen wir mit einer strukturierten Erstaufnahme. Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular, um eine Erstbewertung zu vereinbaren. Sie erhalten innerhalb von zwei Werktagen eine Lückenliste mit Lieferterminen und einen Vorschlag, welche Variante (Workspace-Lizenz oder Officer-as-a-Service) zu Ihrer Organisation passt. Ergebnis ist eine GwG-Organisation, die in der BaFin-Sonderprüfung trägt und im Tagesgeschäft entlastet. Die Plattform bleibt dabei unabhängig von einzelnen Personen, sodass auch Vertretungs- und Übergabesituationen ohne Verlust der Belegspur abgewickelt werden können.