BaFin baut Anti-Financial-Crime auf: Was Banken ab Juli 2026 erwartet

BaFin baut Anti-Financial-Crime auf: Was Banken ab Juli 2026 erwartet

Neue Abteilung, 30 Stellen, schärfere MaRisk-Prüfungen: Die BaFin macht Geldwäscheaufsicht zur Daten- und Cyberaufgabe.

Juli 10, 2026

Recht

Aufsicht wird technisch

Geldwäsche galt lange als Aktenprüfung. Damit ist Schluss. Die BaFin startet zum 1. Juli 2026 eine eigene Anti-Financial-Crime-Abteilung mit rund 30 neuen Stellen und versteht Geldwäscheaufsicht künftig als kontinuierliche Daten- und Sicherheitsaufgabe. Für Banken verschiebt sich damit der Prüfungsmaßstab von der Existenz eines Regelwerks zur nachweisbaren Wirksamkeit ihrer Kontrollen.

Die Neuaufstellung ist kein Einzelschritt, sondern Teil eines europäischen Trends. Betrugs- und Geldwäsche-Szenarien mit Malware, Identitätsdiebstahl und manipulierten Datenpipelines eskalieren schneller, entsprechend technischer wird die Aufsicht. Wer Compliance noch als isolierte Aktenprüfung organisiert, wird den datengetriebenen Maßstab der neuen Abteilung nicht erfüllen.

Was der risikoorientierte Ansatz konkret bedeutet

Seit 2026 verfolgen BaFin und Bundesbank einen nochmals geschärften, stärker risikoorientierten Prüfungsansatz mit engeren Prüfzyklen, spezifischen Schwerpunkten und konsequenterer Nachverfolgung von Mängeln. Die blosse Existenz eines Regelwerks reicht längst nicht mehr. Die Aufsicht greift tiefer in die Unternehmensorganisation, um die Wirksamkeit von Kontroll- und Risikomanagementsystemen zu prüfen.

Für Banken heißt das: Ein klassisches Risikomanagement genügt nicht mehr. Wer den Anforderungen an ICAAP und ILAAP sowie an die KI-Governance gerecht werden will, braucht tiefere Kenntnisse in Regulatorik und Haftung. Regulatorik ist damit kein lästiges Übel, sondern Voraussetzung für dauerhafte Lizenzsicherheit.

Was die 9. MaRisk-Novelle verschärft

Parallel zur neuen Abteilung verschärft die 9. MaRisk-Novelle die Prüfungen rund um Risiko- und Kontrollsysteme. Im Fokus stehen forensische Kapazitäten und Cyberrisiken. Die BaFin verfolgt dabei eine Doppelstrategie: schärfere, stärker risikoorientierte Kontrollen in den definierten Kernrisiken bei gleichzeitig mehr Flexibilität im Regelwerk, vor allem für kleinere Institute.

Diese Flexibilität hat einen Preis. Wer Entscheidungen nicht fundiert gegenüber der Aufsicht begründen kann, wird die neuen Gestaltungsspielraeume nicht nutzen können. Die Fähigkeit zur belastbaren Dokumentation wird damit zum Wettbewerbsfaktor.

Wie intensiv geprüft wird

Die BaFin hält die hohe Intensitaet ihrer Prüfungstätigkeit aufrecht. Im Jahr 2026 führt die Aufsicht mindestens 75 Sonderprüfungen im Banken- und Nichtbankenbereich durch. Schwerpunkte bei den Banken sind die Kunden-Risikoklassifizierung und die Umsetzung der Travel Rule durch Kryptowerte-Dienstleister. Bei den mehr als 5.000 in Deutschland registrierten Agenten für EU-Zahlungsinstitute konzentriert sich die Aufsicht auf jene mit besonders hohem Geldwäscherisiko.

Die Aufsicht wirkt fortlaufend darauf hin, dass die Verpflichteten ihre Transaktionsüberwachung und Datenanalyse verbessern, und sie unterstützt international koordinierte Aktionen gegen Kriminalitaet. Gegen festgestellte Mängel in der Geldwäscheprävention geht sie weiterhin mit strenger Haltung vor.

Neue Pflichten für Krypto-Dienstleister

Bei Krypto-Anbietern greifen ab Juli 2026 zusätzliche KYC-Pflichten bei Neukunden und bei Portfolio-Übernahmen. Die BaFin nutzt die verschärfte Rechtslage durch die europäische Geldtransfer-Verordnung und die Änderungen des Geldwäschegesetzes, insbesondere bei Transaktionen mit selbst gehosteten Adressen. Die seit Dezember 2024 anwendbare Travel Rule bleibt ein Prüfungsschwerpunkt. Wie eng KI, Geldwäscheprävention und Regulatorik hier zusammenlaufen, zeigt unser Beitrag zur AML-Verordnung und KI in der Geldwäscheprävention.

Die europäische Ebene zieht nach

Ergänzend wird die AMLA, die europäische Anti-Geldwäsche-Behörde, bis 2028 voll einsatzfähig sein und dann direkt rund 40 Hochrisiko-Institute beaufsichtigen. Ein Abschlussbericht ordnet Verstöße künftig in vier Schweregrade ein. Parallel fordert die EZB bedeutende Institute auf, Aktionspläne gegen KI-gestützte Cyberangriffe vorzulegen. Aufsicht wird damit sektor- und länderübergreifend enger verzahnt.

Warum Compliance und Cyberabwehr zusammenwachsen

Die eigentliche Herausforderung liegt weniger in der einzelnen Regeländerung als in der Integration mehrerer Kontrollregime in ein gemeinsames Betriebsmodell. MaRisk-Logik, KI- und Cyber-Abwehrpläne, KYC-Pflichten für Krypto-Dienstleister und die eIDAS-Identifizierung laufen künftig zusammen und müssen in derselben Governance-Struktur nachweisbar sein.

Praktisch bedeutet das: Transaktionsüberwachung und Datenanalyse müssen besser werden. Compliance muss präventive Markt-Checks mitdenken und die Verbraucherkommunikation auf die offizielle Aufsichtsinfrastruktur verweisen, statt nur auf Werbeaussagen zu reagieren.

Was Institute jetzt angehen sollten

Drei Baustellen sind vordringlich. Erstens die Kunden-Risikoklassifizierung, weil sie ein Prüfungsschwerpunkt ist und datengetrieben belegbar sein muss. Zweitens die Verzahnung von Geldwäscheprävention und IT-Sicherheit, weil die Aufsicht beides zunehmend gemeinsam betrachtet. Drittens die Dokumentationsfähigkeit, weil die flexibleren MaRisk nur dem nutzen, der seine Entscheidungen begründen kann.

Die sechs Kernrisiken im Blick

Die BaFin hat mit ihrem Bericht Risiken im Fokus 2026 sechs Hauptgefahren für die Finanzstabilität benannt, darunter Marktturbulenzen, Risiken aus der Kreditvergabe von Schattenbanken an Institute und die anhaltende Krise am Gewerbeimmobilienmarkt. BaFin-Präsident Mark Branson warnt vor einer zunehmenden Belastungsprobe. Die Aufsicht will Institute mit hohen, riskanten Engagements identifizieren, die stark von den Finanzmärkten abhängen.

Für die einzelne Bank heißt das: Die Anti-Financial-Crime-Aufsicht ist Teil eines breiteren, risikoorientierten Blicks. Wer seine Engagements und Kontrollen sauber dokumentiert, begegnet der Aufsicht auf Augenhöhe.

Warnungen vor unseriösen Anbietern bleiben Dauerbrenner

Ein operativer Dauerbrenner sind Warnungen vor unseriösen Anbietern. Meldungen zu Unternehmen und Plattformen, die Bank- oder Kryptodienstleistungen ohne erforderliche Lizenz anbieten, erscheinen in kurzen Abständen. Für die Praxis heißt das, die Verbraucherkommunikation so zu gestalten, dass sie auf die offizielle Aufsichtsinfrastruktur verweist, statt nur auf Werbeaussagen zu reagieren.

KI ist hier kein Selbstzweck, sondern ein Hebel: für bessere Mustererkennung im Transaktionsmonitoring, für die Priorisierung von Verdachtsfällen und für eine nachvollziehbare Dokumentation der Prüfpfade. Sotica unterstützt Banken dabei, diese Prozesse KI-gestützt und aufsichtskonform aufzustellen. Vereinbaren Sie eine Sprechstunde zur Standortbestimmung.

Kurz ins Gespräch kommen

Kurz ins Gespräch kommen

Bei einem digitalen Kaffee klären wir, welche Möglichkeiten für das Projekt sinnvoll sind – unverbindlich, persönlich und mit einem klaren Blick auf die nächsten Schritte.