Interne Sicherungsmaßnahmen nach § 6 GwG: Pflichten operativ umsetzen

Seit der GwG-Novelle 2017 und den nachfolgenden Anpassungen 2020 und 2024 ist § 6 GwG einer der am häufigsten geprüften Paragraphen im deutschen Geldwäscherecht. Er verpflichtet alle Verpflichteten im Sinne von § 2 GwG, angemessene geschäfts- und kundenbezogene interne Sicherungsmaßnahmen zu schaffen, die Geldwäsche und Terrorismusfinanzierung verhindern. Die BaFin und die Aufsichtsbehörden der Länder prüfen die Umsetzung regelmäßig und ahnden Verstöße mit Bußgeldern bis 150.000 Euro im Einzelfall, bei schwerwiegenden Pflichtverletzungen bis 5 Mio. Euro oder 10 Prozent des Jahresumsatzes.

Dieser Beitrag erklärt, wie § 6 GwG in der Praxis umgesetzt wird: welche Richtlinien, Verfahren und Kontrollen verlangt werden, wann ein Geldwäschebeauftragter zu bestellen ist, wie Mitarbeiterüberprüfung und Schulung dokumentiert werden, welche Verdachtsmeldungspflichten greifen und wie eine Compliance-Plattform die Maßnahmen audit-fest abbildet. Mit konkretem Umsetzungsplan für die nächsten 90 Tage.

§ 2 GwG zählt 16 Kategorien Verpflichteter auf. Dazu gehören Kreditinstitute, Finanzdienstleister, Versicherungsunternehmen, Versicherungsvermittler, Kapitalverwaltungsgesellschaften, Rechtsanwälte und Notare bei bestimmten Tätigkeiten, Steuerberater, Wirtschaftsprüfer, Immobilienmakler, Veranstalter von Glücksspielen, Treuhänder, Güterhändler bei Barzahlungen über 10.000 Euro, Kunsthändler und Kunstvermittler ab 10.000 Euro Geschäftswert sowie Mietmakler bei monatlichen Nettokaltmieten ab 10.000 Euro.

Die Verpflichteteneigenschaft ist nicht abhängig von der Unternehmensgröße. Ein Immobilienmakler mit drei Mitarbeitenden ist genauso Verpflichteter wie eine Großbank. Die Anforderungen nach § 6 GwG skalieren jedoch über das Prinzip der Angemessenheit. Die Risikoanalyse nach § 5 GwG ist die Grundlage, auf der die Sicherungsmaßnahmen aufgesetzt werden. Wer nicht weiß, ob er Verpflichteter ist, prüft die Kategorien zuerst; eine Fehleinschätzung gilt als grob fahrlässig, wenn die Geschäftstätigkeit eindeutig unter § 2 GwG fällt. CIVAC unterstützt die Einordnung im Rahmen seiner Compliance-Plattform und Officer-as-a-Service mit einem strukturierten Selbsteinschätzungsbogen, der mit der Risikoanalyse verbunden ist. Bestellurkunde, unterschrieben, abgelegt, belegbar.

§ 6 Abs. 1 GwG verpflichtet zu angemessenen geschäfts- und kundenbezogenen internen Sicherungsmaßnahmen. § 6 Abs. 2 GwG konkretisiert diese Pflicht in einer nicht abschließenden Liste: Ausarbeitung interner Grundsätze, Verfahren und Kontrollen für das Risikomanagement nach § 4 GwG, Bestellung eines Geldwäschebeauftragten nach § 7 GwG, sofern verlangt, Schulung der Beschäftigten nach § 6 Abs. 2 Nr. 6 GwG, Überprüfung der Beschäftigten auf Zuverlässigkeit nach § 6 Abs. 2 Nr. 5 GwG und Einrichtung eines Hinweisgebersystems nach § 6 Abs. 5 GwG.

Die Geschäftsleitung muss diese Maßnahmen schriftlich beschließen und ihre Wirksamkeit überwachen. Häufig übersehen wird, dass die Sicherungsmaßnahmen turnusmäßig zu überprüfen und an Veränderungen anzupassen sind, etwa nach neuen Geschäftsfeldern, neuen Produkten oder Änderungen der Risikolage. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. CIVAC bildet § 6 GwG mit elf Pflichtfeldern im Workspace ab, jedes mit Verantwortlicher, Frist und Statusanzeige. Damit wird sichtbar, wo die nächste Anpassung fällig ist, statt sie erst nach der BaFin-Prüfung zu entdecken.

Ohne Risikoanalyse keine sinnvollen Sicherungsmaßnahmen. § 5 GwG verlangt eine schriftliche Analyse der Risiken aus den Geschäftstätigkeiten, gegliedert nach Kunden, Produkten, Vertriebskanälen und geografischen Faktoren. Die Analyse ist regelmäßig zu aktualisieren, mindestens jährlich und bei wesentlichen Änderungen. Sie ist die Grundlage für die Festlegung der konkreten Sicherungsmaßnahmen und der allgemeinen, vereinfachten oder verstärkten Sorgfaltspflichten nach §§ 10 bis 17 GwG.

Die Risikoanalyse muss dokumentiert, von der Geschäftsleitung freigegeben und der Aufsicht auf Verlangen vorgelegt werden. Eine pauschale Aussage wie geringes Risiko, weil bekannte Kunden genügt nicht. Verlangt werden konkrete Kategorien mit konkreten Bewertungen und konkreten Maßnahmen. CIVAC stellt eine Risikoanalyse-Vorlage bereit, die mit dem nationalen Risikobericht des Bundesfinanzministeriums und den Sektor-Leitfäden der Aufsicht verknüpft ist. Audit-fest, dokumentiert, § 5-fest. Im Workspace werden Versionen, Freigaben und Verbindungen zu Sicherungsmaßnahmen automatisch geführt, sodass der Prüfer ruft an, der Nachweis liegt bereit.

§ 7 Abs. 1 GwG schreibt für bestimmte Verpflichtete die Bestellung eines Geldwäschebeauftragten zwingend vor: Kredit- und Finanzdienstleistungsinstitute, Kapitalverwaltungsgesellschaften, Versicherungsunternehmen mit bestimmten Produkten, Glücksspielveranstalter und weitere. Für andere Verpflichtete kann die Aufsicht die Bestellung anordnen, wenn dies zur Verhinderung von Geldwäsche erforderlich erscheint. § 7 Abs. 3 GwG erlaubt ausdrücklich die Bestellung eines externen Beauftragten.

Der Geldwäschebeauftragte berichtet unmittelbar an die Geschäftsleitung, ist weisungsfrei in fachlichen Fragen und genießt einen Sonderkündigungsschutz nach § 7 Abs. 7 GwG. Seine Aufgaben sind in § 7 Abs. 5 GwG geregelt: Sicherstellung der Einhaltung des GwG, Bearbeitung von Verdachtsmeldungen, Ansprechpartner der Aufsicht und der FIU. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. CIVAC bietet den externen Geldwäschebeauftragten mit Bestellurkunde, festem SLA von zwei Werktagen und Anbindung an den Workspace, in dem Verdachtsfälle, Schulungen und Berichte zentral geführt werden.

§ 6 Abs. 2 Nr. 5 GwG verlangt die Überprüfung der Zuverlässigkeit der Beschäftigten, die mit der Erfüllung der GwG-Pflichten betraut sind. Praktisch heißt das: Einholung eines Führungszeugnisses nach § 30 BZRG, Selbstauskunft, ggf. SCHUFA-Auskunft, dokumentierte Beurteilung. Die Prüfung ist regelmäßig zu wiederholen, üblich sind 24 oder 36 Monate. Bei Hinweisen auf Unzuverlässigkeit muss die Geschäftsleitung handeln, gegebenenfalls mit personellen Konsequenzen.

Die Schulungspflicht nach § 6 Abs. 2 Nr. 6 GwG umfasst Inhalte zu Methoden der Geldwäsche und Terrorismusfinanzierung, geltenden Pflichten, internen Verfahren und Verdachtsmerkmalen. Erstschulung vor Aufnahme der Tätigkeit, jährliche Auffrischung, dokumentiert mit Teilnehmer, Datum, Inhalt und Lernerfolgskontrolle. Die BaFin und die Länderbehörden verlangen in Prüfungen häufig die Vorlage der vollständigen Schulungshistorie der letzten drei Jahre. CIVAC dokumentiert Schulungen mit Pflichtfeldern und automatischer Erinnerungsfunktion und legt den Schulungsstand pro Mitarbeitenden auditfest ab. Frist läuft ab Kenntnis.

§ 43 GwG verpflichtet jeden Verpflichteten zur unverzüglichen Meldung von Verdachtsfällen an die Financial Intelligence Unit (FIU) beim Zollkriminalamt. Die Meldung erfolgt elektronisch über das goAML-Portal. Die Definition des Verdachtsfalls ist weit: Es genügen Tatsachen, die darauf hindeuten, dass ein Vermögensgegenstand aus einer Straftat stammt oder im Zusammenhang mit Terrorismusfinanzierung steht. Eine sichere Erkenntnis ist nicht verlangt. Eine Meldung darf erst nach Eingang einer Freigabe der FIU oder nach Ablauf von drei Werktagen ausgeführt werden, soweit es um die meldende Transaktion geht.

§ 6 Abs. 5 GwG verlangt zusätzlich ein internes Hinweisgebersystem, das es Beschäftigten erlaubt, GwG-Verstöße vertraulich zu melden. Das HinSchG, das seit Juli 2023 in Kraft ist, ergänzt diese Pflicht und legt strenge Anforderungen an Vertraulichkeit, Bestätigung und Bearbeitungsfristen fest. CIVAC bildet beide Pfade ab: das interne Meldewesen nach HinSchG mit der Hinweisgeberschutz-Meldestelle und den FIU-Meldepfad für GwG-Verdachtsfälle, mit Vorlagen, Eskalationsstufen und revisionssicherer Dokumentation.

§ 8 GwG schreibt eine umfassende Aufzeichnungs- und Aufbewahrungspflicht vor. Identifizierungsdaten der Vertragspartner und wirtschaftlich Berechtigten, Informationen zur Geschäftsbeziehung, Ergebnisse der Sorgfaltsprüfungen, Verdachtsmeldungen und Maßnahmen zur Risikobewertung sind fünf Jahre aufzubewahren, in bestimmten Fällen länger. Die Aufbewahrungsfrist beginnt mit Ablauf des Kalenderjahres, in dem die Geschäftsbeziehung endet oder die Transaktion abgeschlossen ist.

Die Dokumentation muss elektronisch oder physisch jederzeit zugänglich sein und der Aufsicht auf Anforderung vorgelegt werden können. Die häufigsten Befunde in BaFin-Prüfungen betreffen unvollständige Identifizierungsunterlagen, fehlende Aktualisierungen bei wirtschaftlich Berechtigten, fehlende Dokumentation der Risikobewertung pro Vertragspartner und nicht nachvollziehbare Verdachtsmeldungsentscheidungen. CIVAC integriert die Dokumentationspflichten in den Workspace, mit verschlüsselter EU-Datenresidenz, ISO/IEC 27001:2022-zertifiziertem ISMS und 93 dokumentierten Controls. Audit-fest, dokumentiert, § 8-fest.

Ein realistischer Umsetzungsplan für einen mittelständischen Verpflichteten ohne bestehende Struktur sieht wie folgt aus. Wochen eins und zwei: Statusaufnahme der Geschäftstätigkeiten, Kunden, Produkte und Vertriebskanäle; Einordnung nach § 2 GwG; Klärung der Bestellpflicht nach § 7 GwG. Wochen drei bis sechs: Erstellung der Risikoanalyse nach § 5 GwG, Freigabe durch die Geschäftsleitung, Bestellung des Geldwäschebeauftragten, schriftliche Bestellurkunde mit Berichtslinie.

Wochen sieben bis zehn: Ausarbeitung interner Grundsätze, Verfahren und Kontrollen nach § 6 Abs. 2 Nr. 1 GwG; Aufsetzen der Mitarbeiterüberprüfung und der Schulungsplanung; Einrichtung des Hinweisgebersystems nach § 6 Abs. 5 GwG und HinSchG. Wochen elf bis dreizehn: Erstschulung der Beschäftigten, Test der FIU-Meldepfade, Probelauf einer Aufsichtsanfrage, Anbindung an den CIVAC-Workspace. Nach 90 Tagen liegt eine prüfbare Struktur vor, die in einer BaFin- oder Landesaufsichtsprüfung standhält. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen.

Interne Sicherungsmaßnahmen nach § 6 GwG sind kein einmaliges Projekt, sondern ein laufender Prozess mit klaren Fristen, Verantwortlichen und Dokumentationspflichten. Wer den Prozess ohne Plattform organisiert, verbringt mehr Zeit mit der Verwaltung von Dokumenten als mit der eigentlichen Geldwäscheprävention. Die Folge ist nicht selten ein BaFin-Bescheid mit Mängelfeststellungen und Bußgeld.

CIVAC ist Compliance-Plattform und Officer-as-a-Service für 25 Beauftragten-Rollen, darunter den nach § 7 GwG bestellten Geldwäschebeauftragten. Mit Workspace, Audit-Vorlagen, Bestellurkunden, Berichtslinie, ISO/IEC 27001:2022-zertifiziertem ISMS, EU-Datenresidenz und einem SLA von zwei Werktagen statt der üblichen zwei bis sechs Wochen klassischer Beratung. Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular. Im 30-minütigen Erstgespräch klären wir die Verpflichteteneigenschaft, die Bestellpflicht und den optimalen Mischweg aus internem Personal und externem GwB für Ihre Größe, Branche und Risikolage.