Risikobasierte Sorgfaltspflichten nach §10 GwG: Ein Leitfaden für Unternehmen
Der §10 GwG ist das Herzstück der deutschen Geldwäscheprävention und verpflichtet Unternehmen, Geschäftsbeziehungen und Transaktionen risikobasiert zu überwachen. Hier erfährst du, wie du die Anforderungen umsetzt, worauf es bei der Risikobewertung ankommt und welche Fehler du unbedingt vermeiden solltest.
§10 GwG im Überblick: Was fordert das Gesetz?
Der §10 Geldwäschegesetz definiert fünf allgemeine Sorgfaltspflichten, die für alle Unternehmen gelten – unabhängig von ihrer Größe oder Branche:
-
Identifizierung des Vertragspartners (§10 Abs. 1 Nr. 1):
Du musst sicherstellen, dass dein Geschäftspartner und ggf. seine Vertreter (z. B. Bevollmächtigte) zweifelsfrei identifiziert sind. -
Ermittlung des wirtschaftlich Berechtigten (§10 Abs. 1 Nr. 2):
Kläre ab, ob dein Vertragspartner für einen Dritten handelt, und identifiziere diesen wirtschaftlich Berechtigten. Bei Unternehmen musst du dazu Eigentums- und Kontrollstrukturen offenlegen. -
Zweck der Geschäftsbeziehung (§10 Abs. 1 Nr. 3):
Erfasse, warum die Geschäftsbeziehung begründet wird – etwa „Handelsfinanzierung“ oder „Vermögensverwaltung“. -
Prüfung auf PEPs (§10 Abs. 1 Nr. 4):
Stelle fest, ob dein Vertragspartner oder der wirtschaftlich Berechtigte eine politisch exponierte Person (PEP) ist. -
Kontinuierliche Überwachung (§10 Abs. 1 Nr. 5):
Überwache laufend, ob Transaktionen zum Kundenprofil passen und die Herkunft der Vermögenswerte plausibel ist.
§10 Abs. 2 GwG: Der risikobasierte Ansatz
Laut Absatz 2 müssen alle Maßnahmen aus §10 Abs. 1 Nr. 2–5 dem individuellen Risiko angepasst werden. Drei Faktoren sind dabei zentral:
-
Zweck des Kontos (z. B. ein Firmenkonto für internationale Überweisungen vs. ein privates Sparkonto).
-
Transaktionsvolumen (z. B. Bargeldeinzahlungen über 10.000 € lösen verstärkte Prüfungen aus).
-
Dauer der Geschäftsbeziehung (langjährige Kunden mit stabilen Mustern gelten als weniger riskant).
Zusätzlich sind die Risikofaktoren aus Anlage 1 und 2 GwG zu berücksichtigen:
-
Anlage 1: Merkmale für geringes Risiko (z. B. börsennotierte Unternehmen).
-
Anlage 2: Indikatoren für hohes Risiko (z. B. PEPs, unklare Vermögensherkunft).
Beispiel: Ein Neukunde aus einem FATF-Grey-List-Land (z. B. Vietnam) mit hohen Bargeldtransaktionen erfordert verstärkte Sorgfaltspflichten (§15 GwG).
Umsetzung in 5 Schritten
So setzt du §10 GwG in der Praxis um:
1. Risikobewertung durchführen
-
Klassifiziere Kunden in Risikostufen (niedrig/mittel/hoch).
-
Nutze Tools wie Scoring-Modelle oder KI-basierte AML-Systeme.
-
Dokumentiere jede Bewertung – die BaFin kann sie jederzeit anfordern.
2. Identifizierung und Due Diligence
-
Für niedriges Risiko: Vereinfachte Prüfung (z. B. digitale Ausweiskopie).
-
Für hohes Risiko:
-
Überprüfung über das Transparenzregister (§19 GwG).
-
Einholung zusätzlicher Dokumente (z. B. Firmenregisterauszug).
-
Zustimmung der Geschäftsführung vor Vertragsabschluss.
-
3. Kontinuierliches Monitoring
-
Überwache Transaktionen in Echtzeit auf Auffälligkeiten:
-
Ungewöhnliche Geldbewegungen (z. B. plötzliche Großüberweisungen).
-
Widersprüche zum Kundenprofil (z. B. ein Rentner mit hohen Crypto-Investments).
-
-
Aktualisiere Kundendaten risikobasiert:
-
Hochrisiko: Halbjährlich.
-
Geringes Risiko: Bis zu alle 5 Jahre.
-
4. PEP-Prüfung automatisieren
-
Integriere Screening-Tools, die PEP-Listen (z. B. der EU) automatisch abgleichen.
-
Beachte: Auch ehemalige PEPs müssen 12 Monate nach Amtsende überwacht werden.
5. Dokumentation und Reporting
-
Halte alle Schritte schriftlich fest – von der Risikobewertung bis zur Transaktionskontrolle.
-
Meldet dein System einen Verdachtsfall, informiere umgehend die FIU (§43 GwG).
Fehler, die dich teuer zu stehen kommen
-
Unzureichende Dokumentation: Die BaFin verhängt bei lückenhaften Nachweisen Bußgelder bis zu 5 Mio. Euro.
-
Ignorieren von PEP-Hinweisen: Geschäfte mit ungeprüften PEPs gelten als grob fahrlässig.
-
Starre Prozesse: Nutzt du für alle Kunden dieselben Prüfintervalle, verstößt du gegen den risikobasierten Ansatz.
Praxisbeispiel: Eine Bank wurde 2024 zu 2,1 Mio. Euro Strafe verurteilt, weil sie Geschäfte mit einem iranischen Scheinunternehmen nicht ausreichend überwachte.
Checkliste für Unternehmen
-
Hast du alle Kunden risikobasiert kategorisiert?
-
Sind deine Dokumentationsprozesse lückenlos?
-
Nutzt du technologische Unterstützung (z. B. KI-Tools)?
-
Hast du Mitarbeiterschulungen zur PEP-Erkennung durchgeführt?
Fazit
Der §10 GwG ist kein Papiertiger – er verlangt von dir ein dynamisches Risikomanagement. Durch klare Prozesse, moderne Tools und regelmäßige Schulungen minimierst du nicht nur Strafrisiken, sondern schützt auch dein Unternehmen vor kriminellen Machenschaften. Legitime Geschäfte mit Hochrisikopartnern bleiben möglich – aber nur mit einer „state-of-the-art“-Compliance.