AML 2026 für Kapitalverwaltungsgesellschaften: EU-AML-Verordnung und BaFin-Praxis

Veröffentlicht: 2026-02-25

Autor: Florian Peters, Lisa Patricia Bourcarde

Kurzübersicht: Was müssen Kapitalverwaltungsgesellschaften jetzt tun, um sich auf die EU-AML-Verordnung ab Juli 2027 vorzubereiten? Florian Peters (Kerberos Compliance) und Lisa Patricia Bourcarde (Bourcarde Ventures), spezialisierte Geldwäschebeauftragte für Venture-Capital-Fund-Manager, haben im Webinar die wichtigsten regulatorischen Neuerungen und praktischen Umsetzungsschritte erläutert – von der Risikoanalyse über das Investor-Onboarding bis zu den Anforderungen der BaFin-Aufsichtsgespräche.

Was umfasst Geldwäscheprävention bei Kapitalverwaltungsgesellschaften?

Geldwäscheprävention bei KVGen lässt sich in drei Säulen unterteilen, die den gesamten regulatorischen Rahmen strukturieren.

Säule 1 – Risikomanagementsystem:

Die KVG ermittelt zunächst, welche Geldwäsche- und Terrorismusfinanzierungsrisiken in ihrem Geschäftsbetrieb bestehen. Auf Basis dieser Risikoanalyse werden Maßnahmen abgeleitet: Bestellung eines Geldwäschebeauftragten, Mitarbeiterschulungen und eine schriftlich fixierte interne Ordnung gemäß GwG und BaFin-Verlautbarungen.

Säule 2 – Kundensorgfaltspflichten:

Hier findet sich das operative Kerngeschäft: Welche Unterlagen benötige ich beim Investor-Onboarding? Wie prüfe ich Mittelherkunft? Was ist bei einem politisch exponierten Person (PEP) als Investor zu tun? Transaktionsmonitoring, PEP-Check und Mittelherkunftsnachweis sind zentrale Elemente dieser Säule.

Säule 3 – Meldepflichten:

KVGen sind verpflichtet, Verdachtsmeldungen an die Financial Intelligence Unit (FIU) zu erstatten und im Prüfungsfall der BaFin Unterlagen – etwa die Risikoanalyse – zur Verfügung zu stellen.

Was ändert sich durch die EU-AML-Verordnung ab Juli 2027?

Die EU-AML-Verordnung (auch: EU-AML-Paket) tritt am 10. Juli 2027 in Kraft und ersetzt die bisherigen nationalen Umsetzungen der EU-Geldwäscherichtlinien. Ziel ist eine einheitliche Anwendung in allen Mitgliedstaaten – ohne die derzeit noch bestehenden Auslegungsunterschiede, etwa bei der Berechnung des wirtschaftlich Berechtigten.

Sanktionsmanagement als neue Pflicht neben AML

Künftig umfasst die Geldwäscheprävention begrifflich auch das Sanktionsmanagement. Der Geldwäschebeauftragte wird zur zentralen Funktion für AML und Sanktions-Compliance. KVGen müssen analog zur Geldwäsche-Risikoanalyse auch Sanktionsrisiken systematisch bewerten und dokumentieren.

UBO-Berechnung: Neuer Schwellenwert und kumulative Durchrechnung

Die Berechnung des wirtschaftlich Berechtigten ändert sich in zwei wesentlichen Punkten. Erstens wird der Schwellenwert von bisher mehr als 25% auf exakt 25% abgesenkt. Zweitens wird die Eigentümerschaft ab der zweiten Ebene kumulativ über Unternehmensstrukturen berechnet – sowohl direkte als auch indirekte Kontrolle sind zu berücksichtigen. Das hat konkrete Folgen: Es wird mehr wirtschaftliche Eigentümer geben, so dass mehr Informationen erhoben werden müssen. Für KVGen mit komplexen Fondsstrukturen oder mehreren zwischengeschalteten Gesellschaften steigt der Identifizierungsaufwand erheblich. Frühzeitige Strukturanalyse ist empfehlenswert.

PEP-Definition wird ausgeweitet

Als PEP gelten künftig auch Funktionsträger aus Gemeinden ab 50.000 Einwohnern. Das erweitert den Kreis der PEP-pflichtigen Investoren deutlich und erfordert eine Anpassung der PEP-Screening-Prozesse.

Neue Hochrisikokategorien

Die EU-AML-Verordnung definiert erweiterte Hochrisikokategorien, für die verstärkte Sorgfaltspflichten gelten – teils ohne Wahlfreiheit bei der Ausgestaltung:

• High-Net-Worth Individuals ab einer bestimmten Vermögenssumme

• Inhaber von Golden Visas (obwohl nach EU-Recht eigentlich nicht mehr zulässig)

• Versicherungsprodukte mit Anlagezweck

Geografisches Risiko: EU bewertet Drittländer eigenständig – drei Kategorien

Neben den bestehenden FATF-Listen (Grau- und Schwarzliste) führt die EU-AML-VO ein dreistufiges System für Drittlandrisiken ein:

Drittland mit Mängeln in AML und Drittland mit signifikanten strategischen Mängeln in AML lösen verstärkte Sorgfaltspflichten nach Art. 34 Abs. 4 AML-VO aus (zusätzliche Informationen, Einverständnis der Führungsebene, verstärkte Überwachung, erste Zahlung über ein Kreditinstitut mit hohem Sorgfaltsstandard) sowie Gegenmaßnahmen nach Art. 35(a) AML-VO (erweiterte Meldewege, mögliche Beschränkung der Geschäftsbeziehung).

Neu ist zudem ein Auffangtatbestand: Drittländer, von denen eine ernsthafte Bedrohung für das EU-Finanzsystem ausgeht, können von der EU eigenständig bewertet und gelistet werden – unabhängig von einer formalen FATF-Listung. Für KVGen bedeutet das: Die Bewertung des geografischen Risikos ihrer Investoren wird signifikant komplexer und erfordert eine laufend aktualisierte Ländermatrix.

Regulatory Technical Standards (RTS) der AMLA

Die Europäische Geldwäschebehörde AMLA veröffentlicht derzeit eine Vielzahl von RTS, die verbindliche technische Vorgaben für die Identifizierung von Kunden, Risikoeinstufungen und Aktualisierungsintervalle enthalten. Die finalen RTS werden mit Spannung erwartet.

Was prüft die BaFin bei KVGen heute schon?

Unabhängig von den kommenden EU-Änderungen intensiviert die BaFin bereits heute ihre Prüfungen bei Kapitalverwaltungsgesellschaften. Aus der Praxis zeichnen sich folgende Standardabfragen ab:

• Investorenliste mit Name, Sitz, Onboarding- und Aktualisierungsdatum, Risikobewertung und SFP-Angabe (Scheinfirmen-/Schutzfähigkeitsprüfung)

• Risikoanalyse und interne Richtlinie – werden standardmäßig angefordert; die Risikoanalyse muss jährlich aktualisiert werden

• Dokumentation zur Geschäftsbeziehung: Wie lebt der Fonds seine Sorgfaltspflichten? Welche Kontrollen wurden durchgeführt?

• Kontrollpläne mit Turnus, Inhalt, Feststellungen und dokumentierten Abhilfemaßnahmen – ein häufig unterschätzter Prüfungspunkt

• Auslagerungsdokumentation: Gibt es einen externen Geldwäschebeauftragten? Die Vereinbarungen und Kontrollnachweise müssen vorliegen.

• Terrorismusfinanzierung: Seit einigen Jahren gleichberechtigtes Prüfgebiet. Dokumentierte Prüfungen werden explizit abgefragt.

Die entscheidende Erkenntnis aus der BaFin-Praxis: Es steht und fällt alles mit der Dokumentation. Die beste Risikoanalyse ist wertlos, wenn sie nicht schriftlich fixiert und genehmigt ist. Entscheidungen müssen nachvollziehbar dokumentiert werden – inklusive der Frage, wie die langfristige Einhaltung der Pflichten sichergestellt wird.

Praxisteil: Was müssen KVGen vor dem ersten Investor-Onboarding einrichten?

Die operative Umsetzung beginnt lange vor dem ersten Onboarding der Investoren. Fünf Grundvoraussetzungen müssen erfüllt sein:

1. Intern oder extern? Die Strukturierungsentscheidung

KVGen müssen entscheiden, ob die Geldwäscheprävention intern aufgebaut oder an einen externen Dienstleister ausgelagert wird. Der Vorteil der Auslagerung: spezialisiertes Know-how, schnellere Implementierung und freigesetzte Kapazitäten für das Fundraising. Die Entscheidung bestimmt maßgeblich die Ressourcenplanung. Wichtig jedoch: Auch bei einer Auslagerung verbleibt die Gesamtverantwortung für die Einhaltung der geldwäscherechtlichen Vorgaben bei der KVG. Entsprechend wichtig ist es, vertrauensvolle Partner zu wählen.

2. Risikomanagement als Fundament

Ein funktionierendes Risikomanagementsystem ist Voraussetzung für alle weiteren Schritte. Dazu gehören: die Identifikation von Geldwäsche- und TF-Risiken, die Bewertung von Geschäftsmodell-, Länder- und Kundenrisiken sowie die Definition von Kontrollmechanismen, Verantwortlichkeiten und Eskalationswegen.

3. Geldwäschebeauftragten und Stellvertreter bestellen

Die schriftliche Bestellung ist gesetzliche Pflicht und muss der BaFin angezeigt werden. Klare Aufgabenabgrenzung, direkte Berichtslinie zur Geschäftsleitung und jederzeitige Erreichbarkeit sind regulatorische Mindestanforderungen.

4. Risikoklassifizierung der Investoren

Jeder Investor wird anhand definierter Kriterien in die Risikokategorien Low, Medium oder High eingestuft.  Maßgeblich sind insbesondere Investortyp und Ansässigkeitsland.  Produkt- und strukturelle Risiken – etwa aus komplexen Fonds- oder Vorstrukturen – werden gesondert im Rahmen der Produkt- und Struktur-Risikoanalyse berücksichtigt. Die Risikoklassifizierung bestimmt Umfang und Intensität der Sorgfaltspflichten sowie die Frequenz des laufenden Monitorings.

5. Technische und organisatorische Infrastruktur

KYC-Systeme, Transaktionsmonitoring-Tools und eine revisionssichere Dokumentationsstruktur müssen vor dem ersten Onboarding stehen. Hinzu kommen: interne Richtlinien, Arbeitsanweisungen, Schulungspläne und Kontrollprozesse.

Risikoanalyse: Worauf kommt es in der Praxis an?

Die Risikoanalyse ist keine einmalige Aufgabe, sondern ein lebendiges Dokument. Wesentliche Praxishinweise:

• Dokumentation laufend führen, nicht am Jahresende aufholen

• Klare Zuständigkeiten für die Dokumentation festlegen

• Aufbewahrungspflichten nach GwG beachten

• Die Risikoanalyse muss der BaFin auf Anforderung vollständig und nachvollziehbar vorgelegt werden

Bei der Risikoanalyse für VC-Fonds stehen typischerweise folgende Risikodimensionen im Mittelpunkt: Transaktionsrisiken (insbesondere Capital Calls und grenzüberschreitende Zahlungsströme), Kundenrisiken (PEPs, Hochrisikoländer), Produktrisiken und Strukturrisiken.

Investor-Onboarding: Vollständigkeit entscheidet

Ob manuell oder systemgestützt – beim Onboarding gilt: vollständige Datenerhebung und Dokumentation.  

Laufendes Monitoring und Transaktionskontrolle

Geldwäscheprävention endet nicht mit dem Abschluss des Onboardings. KVGen sind verpflichtet, ihre Investoren unter anderem laufend zu überwachen:

• Transaktionsmonitoring bei Capital Calls: Beim ersten Capital Call muss geprüft werden, ob die überweisende Partei mit der im Onboarding identifizierten Person übereinstimmt

• Regelmäßige Aktualisierungen der Investorendaten und Risikoklassifizierungen

• Anlassbezogene Überprüfungen – etwa bei Auffälligkeiten im Transparenzregister oder bei neuen Erkenntnissen über einen Investor

• Verdachtsmeldungen an die FIU, wenn sich ein Verdacht auf Geldwäsche erhärtet

Fazit: Jetzt handeln, nicht warten

Die EU-AML-Verordnung gilt ab Juli 2027 – doch die Vorbereitungszeit ist kurz. KVGen, die jetzt beginnen, ihre Risikoanalysen zu überprüfen, ihre UBO-Strukturen zu durchleuchten und ihre Dokumentationsprozesse zu professionalisieren, werden bei der Umsetzung einen deutlichen Vorteil haben. Die BaFin prüft bereits heute mit wachsender Intensität – und die regulatorischen Anforderungen werden mit der EU-AML-VO nicht einfacher.

Kerberos Compliance unterstützt Kapitalverwaltungsgesellschaften umfassend: von der Bestellung des externen Geldwäschebeauftragten über die Erstellung und Aktualisierung der Risikoanalyse bis hin zum operativen KYC-Support beim Investor-Onboarding.

Dieser Artikel basiert auf dem Webinar „AML 2026 für Kapitalverwalter: Von EU-Regulierung zu BaFin-Praxis" vom 23. Februar 2026 mit Florian Peters (Kerberos Compliance) und Lisa Patricia Bourcarde. Die nächsten Webinare zu BaFin-Orientierungshilfen (April) und Transaktionsmonitoring (Mai) finden Sie in unserer Veranstaltungsübersicht.

Über Lisa Patricia Bourcarde: