Banken-AML-Compliance in der Praxis: Onboarding bis Audit-Vorbereitung

Banken sind die größte Verpflichteten-Gruppe nach GwG und gleichzeitig die mit der reifsten Compliance-Praxis. Operative AML-Compliance umfasst hier von Onboarding über laufendes Monitoring bis zur BaFin-Sonderprüfungs-Vorbereitung — und ist in einer Großbank schnell ein dreistelliger Personalstand.

Organisations-Struktur

Eine typische Banken-AML-Compliance hat folgende Bereiche:

• AML Onboarding für Neukunden-KYC
• AML Monitoring für laufende Transaktions-Überwachung
• AML Investigations für Alert-Triage und Verdachtsmeldungen
• AML Policy & Training für Richtlinien und Mitarbeiter-Schulungen
• AML Technology für IT-Systeme und Modell-Risiko-Management
• Geldwäsche-Beauftragter als gesamtverantwortliche Person nach § 7 GwG

In Großbanken sind diese Funktionen über eine drei-Linien-Struktur organisiert: First Line (Geschäfts-Bereiche mit eigenen AML-Verantwortlichen), Second Line (zentrale AML-Compliance), Third Line (Interne Revision).

Onboarding privat- und firmen-Kunden

Privatkunden

Standard-Onboarding läuft heute fast vollständig digital. Schritte:

1. Identifizierung über Video-Ident oder POSTIDENT mit Personalausweis-Vorlage
2. Adress-Verifikation durch externe Datenbank-Abfrage
3. PEP-Screening gegen kommerzielle Datenbanken (World-Check, LexisNexis)
4. Sanctions-Screening gegen EU/UN/OFAC-Listen
5. Risiko-Klassifizierung (niedrig/mittel/hoch) basierend auf Kunden-Profil

Bei niedrigem Risiko ist der Vorgang in wenigen Minuten abgeschlossen. Bei mittlerem oder hohem Risiko greift Enhanced Due Diligence: zusätzliche Belege, Quellen-Nachweise, Eskalations-Genehmigung.

Firmenkunden

Firmenkunden-Onboarding ist deutlich aufwendiger:

1. Handelsregister-Auszug und gegebenenfalls Gesellschaftsvertrag
2. UBO-Ermittlung über Transparenz-Register-Abfrage und Eigen-Erklärung
3. PEP- und Sanctions-Screening für die UBO und die Geschäftsführung
4. Vorlage von Jahresabschlüssen und Geschäfts-Beschreibung
5. Klärung der Geschäfts-Beziehung (Hauptkonto, Devisengeschäft, Trade Finance)
6. Risiko-Bewertung mit branchenspezifischen Indikatoren

Bei komplexen Konzernstrukturen oder Auslands-UBOs kann das Onboarding mehrere Wochen dauern.

Konto-Lifecycle und laufendes Monitoring

Nach erfolgreichem Onboarding läuft das Konto im laufenden Monitoring:

• Transaction Monitoring über automatisierte Systeme (Standard: SAS, Actimize, FICO)
• Periodic Reviews alle 1 bis 5 Jahre je nach Risiko-Klasse (jährlich für Hochrisiko, 3-Jahres-Rhythmus für mittel, 5 Jahre für niedrig)
• Event-Triggered Reviews bei wesentlichen Änderungen (UBO-Wechsel, Konzernspaltung, Geschäfts-Modell-Änderung)
• Sanctions-Rescan bei jeder Listings-Aktualisierung

Transaction-Monitoring-Systeme

Standard-Architektur:

• Daten-Aggregation aus Kern-Banken-Systemen, SWIFT-Strömen, Bargeld-Transaktionen
• Regel-Engine mit hunderten regulatorischen und institutsspezifischen Regeln
• ML-Stufe zur Risiko-Scoring und False-Positive-Reduktion (in modernen Architekturen)
• Alert-Triage-Workflow zur strukturierten Bearbeitung
• Case-Management für die Verdachtsmeldungs-Entscheidung

Alert-Volumina bei Großbanken: täglich tausende Alerts, von denen typisch 1 bis 5 Prozent zu echten Verdachtsmeldungen führen.

Korrespondenzbank-Praxis

Korrespondenz-Beziehungen sind in der AML-Aufsicht ein eigenes Thema. Die Wolfsberg-DDQ-Methodik ist Industry-Standard:

• Anfrage des CBDDQ bei jeder Respondent-Bank, jährliche Aktualisierung
• Risiko-Klassifizierung der Respondent-Bank basierend auf Jurisdiktion, Geschäfts-Modell und Compliance-Reife
• Enhanced Due Diligence für Respondent-Banken in Hochrisiko-Jurisdiktionen
• Transaction-Monitoring auf Korrespondenz-Konten mit angepassten Regeln

Bei FATF-Watch-List-Listings ist die Beendigung der Korrespondenz-Beziehung regulatorisch fast immer geboten.

Trade-Finance-Workflows

Trade Finance ist AML-typisch komplex. Standard-Compliance-Vorgänge:

• Sanctions-Screening der Trade-Parteien (Importeur, Exporteur, Banken-Kette)
• Dual-Use-Goods-Prüfung (kann das Gut für militärische Zwecke verwendet werden?)
• Pricing-Plausibilität (überschreitet der Rechnungsbetrag das Markt-Niveau erheblich?)
• Geographic-Risk-Bewertung (FATF-Listings, EU-Hochrisiko-Drittländer)
• Letter-of-Credit-Bewertung auf TBML-Indikatoren

Die deutsche Außenwirtschafts-Aufsicht durch das BAFA kommt hinzu, mit eigenen Genehmigungs-Pflichten für sensible Güter.

Private-Banking-EDD

Private-Banking-Kunden sind regelmäßig Hochrisiko-Kategorie. Pflicht-EDD:

• Source-of-Wealth dokumentieren (woher kommt das Vermögen)
• Source-of-Funds für jede Großtransaktion dokumentieren
• Beneficial-Ownership auch bei Trust- und Stiftungs-Strukturen klären
• PEP-Status der Familie und nahestehender Personen prüfen
• Geographic-Risk der Vermögens-Lage und Konto-Verbindungen bewerten

Bei Private-Banking-Kunden ist die Verdachtsmeldungs-Quote überproportional hoch — nicht weil Kunden generell verdächtig wären, sondern weil die Vermögens-Volumina und Konto-Bewegungen häufiger Alert-Schwellen überschreiten.

Audit-Vorbereitung für BaFin-Sonderprüfungen

Vor einer angekündigten BaFin-Sonderprüfung läuft regelmäßig eine vorgezogene interne Prüfung:

• Compliance-Dokumentation auf Vollständigkeit prüfen
• Risikoanalyse-Aktualität verifizieren
• Schulungs-Nachweise für alle Mitarbeiter zusammenstellen
• Verdachtsmeldungs-Statistik für den Prüfungs-Zeitraum aufbereiten
• Auskunfts-Personen vorbereiten (Geldwäsche-Beauftragter, IT, Onboarding-Leiter)

Während der Prüfung wird der Geldwäsche-Beauftragte zur Hauptansprechperson. Bei sensiblen Themen werden externe Anwälte als Begleiter eingeschaltet.

Begriffe

Three Lines of Defense: Standardmodell der Compliance-Organisation mit operativen Bereichen (First Line), zentraler Compliance (Second Line) und Interner Revision (Third Line).

EDD (Enhanced Due Diligence): Verschärfte Sorgfaltspflichten bei erhöhtem Risiko.

Source of Wealth/Funds: Dokumentation der Vermögens-Herkunft beim Kunden, Pflicht in Private-Banking-EDD.

Häufige Fragen

Wie viele AML-Mitarbeiter hat eine Großbank?

Bei einer deutschen Großbank typisch 300 bis 1.000 Mitarbeiter über alle drei Linien. Internationaler Vergleich: HSBC hat weltweit über 6.000 AML-Mitarbeiter.

Wie hoch sind die jährlichen AML-Kosten einer Großbank?

Branchen-Schätzungen 100 bis 500 Mio. Euro pro Jahr für deutsche Großbanken, inklusive IT-Systeme und externe Berater.

Was passiert bei einem nicht-bestandenen Periodic Review?

Wenn der Kunde nicht innerhalb der Frist die geforderten aktualisierten Belege liefert, wird die Geschäfts-Beziehung in die Eskalations-Stufe übergeben. Endpunkt ist regelmäßig die Beendigung der Beziehung — mit den entsprechenden Tipping-Off-Risiken.

Sind Trade-Finance-Geschäfte besonders riskant?

Ja, deutlich. Trade Finance hat strukturell hohe Komplexität, lange Wertschöpfungs-Ketten und Möglichkeit zu Over-/Under-Invoicing. BaFin-Sonderprüfungen 2024/25 hatten Trade Finance als Schwerpunkt.

Welche Rolle spielt der Geldwäsche-Beauftragte operativ?

Er ist gesamtverantwortlich nach § 7 GwG, hat aber regelmäßig kein operatives Linien-Mandat. Seine Funktion: Standards setzen, Risikoanalyse verantworten, BaFin-Schnittstelle, Verdachtsmeldungs-Freigabe.

Wie unterscheidet sich Direct Banking von klassischem Banking aus AML-Sicht?

Direct Banks (ohne Filialen) haben höhere Risiken im Frontline-Bereich, weil der direkte Mitarbeiter-Kunden-Kontakt fehlt. Sie kompensieren durch stärkeres digitales Monitoring und engere Identifizierungs-Verfahren.

---

Stand: 28. Mai 2026. Gesetzliche Regelungen ändern sich. Für rechtsverbindliche Auskünfte konsultieren Sie eine Fachperson.