BMF 2026: Das Ende der AML-Grauzonen und der\“Safe Havens\“durch Krypto- Transparenz-
I. Intro
Die aktuellen regulatorischen Entwicklungen im Kontext des FKAustG und der EU-Richtlinie 2023/2226 (DAC8) sind als sehr wichtig einzustufen. Sie markieren eine Zäsur an der Schnittstelle zwischen steuerlicher Transparenz und der Prävention von Geldwäsche (AML).
Durch die Veröffentlichung des BMF-Schreibens vom 14. Januar 2026 und des BZSt-Newsletters 01/2026 wird die technische und rechtliche Daumenschraube angezogen: Die Implementierung der neuen XML-Schnittstelle und des amtlichen Datensatzes gemäß § 5 Abs. 1 S. 1 FKAustG zwingt Verpflichtetezu einer Datenpräzision, die unmittelbar mit den Identifizierungspflichten des Geldwäschegesetzes (GwG) korreliert. Besonders kritisch für das C-Level ist die Verschärfung der Bußgeldvorschriften sowie die Einführung neuer Ausnahmetatbestände für Gründungs- und Kapitalerhöhungskonten. Diese juristischen Neuerungen bergen das Risiko, dass vermeintliche Erleichterungen als regulatorische Schlupflöcher missverstanden werden, während Diskrepanzen zwischen CRS-Meldungen und KYC-Profilen (Know Your Customer) künftig automatisiert AML-Verdachtsmomente auslösen könnten. Für die Compliance-Funktion bedeutet dies eine notwendige Neujustierung der Risikoanalyse, um die Kongruenz zwischen steuerlicher Meldepflicht und geldwäscherechtlicher Sorgfaltspflicht zu wahren.
II. Fristen
Die FKAustG-Novelle verschärft die Schnittstelle zwischen Steuerrecht und Geldwäscheprävention. Datenkongruenz ist Pflicht: Abweichungen zwischen CRS-Meldungen und KYC-Daten (§ 10 GwG) triggern sofortige Geldwäscheverdachtsmeldungen (§ 43 GwG). Das C-Level haftet persönlich für ein präzises Tax-IKS zur Überwachung von Ausnahmeregelungen, unterstützt durch drastisch erhöhte Bußgelder. Zudem müssen Institute die BZSt-Staatenaustauschliste 2026 zwingend in ihr Risikomanagement (§ 5 GwG) integrieren, da sie das Länderrisiko-Rating für verstärkte Sorgfaltspflichten unmittelbar definiert.
III. Pflichten von C- Level, Compliance, Geldwäsche
1. Pflichten für dasC-Level(Geschäftsführung/Vorstand)
Das C-Level trägt die Letztverantwortung für die Organisationsstruktur und die rechtssichere Implementierung der neuen Schnittstellen.
Haftung für Tax-IKS: Implementierung und Überwachung eines steuerlichen innerbetrieblichen Kontrollsystems (Tax-IKS). Dies muss insbesondere die neuen Ausnahmeregelungen (z. B. für Gründungskonten) so steuern, dass keine missbräuchliche Nutzung erfolgt.
Ressourcenbereitstellung: Sicherstellung, dass IT-Systeme die neue XML-Schnittstelle zum BZSt bedienen können, die einen automatisierten Abgleich zwischen CRS- und KYC-Daten ermöglicht.
Bußgeldprävention: Angesichts drastisch erhöhter Sanktionen (FKAustG-Novelle) muss die Geschäftsleitung die Einhaltung der Meldefristen (z. B. 31. Juli für CRS-Daten) als strategisches Risiko priorisieren.
2. Pflichten für dieCompliance-Funktion
Compliance stellt dieÜbereinstimmung der verschiedenen regulatorischen Stränge sicher.
Sicherstellung der Datenkongruenz: Überwachung, dass die Meldungen nach § 5 FKAustG exakt den Identifizierungen nach § 10 GwG entsprechen. Compliance muss Prozesse etablieren, die Inkongruenzen (z. B. abweichende steuerliche Ansässigkeiten) bereits vor der Meldung detektieren.
Überwachung der Ausnahmen: Rechtssichere Prüfung der\“engen Voraussetzungen\“für befreite Kontenarten. Hier darf kein Ermessensspielraum entstehen, der zu systematischen Fehlmeldungen führt.
Update der Richtlinien: Integration der BZSt-Staatenaustauschliste 2026 in die internen Compliance-Vorgaben.
3. Pflichten für dieGeldwäscheprävention (MLRO)
Für den Geldwäschebeauftragten wird der CRS-Datensatz zu einem aktiven Monitoring-Instrument.
Risikoanalyse (§ 5 GwG): Die Staatenaustauschliste 2026 des BZSt muss zwingend in die institutsinterne Risikoanalyse einfließen. Staaten, die neu auf der Liste stehen oder gestrichen wurden, beeinflussen das Länderrisiko-Rating unmittelbar.
Trigger-Management (§ 43 GwG): Abweichungen in der XML-Schnittstelle zwischen Steuer- und KYC-Daten müssen als automatisierte Verdachtsindikatoren behandelt werden. Der MLRO muss Prozesse definieren, wie diese\“Daten-Gaps\“bewertet und ggf. an die FIU gemeldet werden.
Verstärkte Sorgfaltspflichten (§ 15 GwG): Anpassung der Prüfschritte bei Kunden aus Ländern, die laut BZSt-Liste ein erhöhtes steuerliches oder regulatorisches Risiko aufweisen.
IV. Haftungsrisiken/ Pain Points
Die Umsetzung der FKAustG-Novelle 2026 erzeugt eine erhebliche Reibung zwischen regulatorischem Anspruch und operativer Realität. Die Identifikation dieser Problemfelder ist entscheidend, um Haftungsrisiken proaktiv zu managen.
1. Daten-Silos: KYC-Daten und CRS-Meldungen liegen oft in getrennten Datenbanken.
2. Automatisierungs-Lücke: Der XML-Abgleich erfolgt systemseitig, die Klärung von Differenzen aber meist noch manuell.
3. Sanktionsangst: Die drastisch erhöhten Bußgelder der Novelle erzeugen einen\“Compliance-Stress\“, der zu defensiven und geschäftsverhindernden Prozessen führen kann.
Genauer durchleuchtet lassen sich die Problemfelder für die verantwortlich handelnden Personen wie folgt auffächern:
1. Strategische&Operative Pain Points (C-Level)
Haftungsfalle\“Organisationsverschulden\“: Das C-Level steht persönlich in der Schusslinie, wenn das Tax-IKS Lücken aufweist. Da die Finanzverwaltung (BZSt) nun automatisierte XML-Abgleiche nutzt, werden Fehler sofort sichtbar –\“Unwissenheit\“ist als Verteidigungslinie 2026 hinfällig.
Investitionsstau vs. Kostendruck: Die Implementierung der neuen XML-Schnittstelle erfordert tiefgreifende Eingriffe in die Core-Banking-Systeme. Viele Institute kämpfen mit Legacy-Systemen, die eine Echtzeit-Datenkongruenz kaum zulassen.
Ressourcenmangel: Es herrscht ein massiver Fachkräftemangel an der Schnittstelle zwischen Steuerrecht (CRS) und Geldwäscheprävention (GwG). Experten, die beide Welten verstehen, sind extrem selten und teuer.
2. Prozessuale Pain Points (Compliance)
Die\“Single Source of Truth\“-Problematik: In der Praxis weichen KYC-Daten (z. B. Wohnsitz nach Ausweis) oft von CRS-Selbstauskünften (steuerliche Ansässigkeit) ab. Die Herstellung einer 100%igen Kongruenz ohne manuelle Nachbearbeitung ist fast unmöglich.
Grauzone\“Ausnahmeregelungen\“: Die neuen Befreiungen (z. B. Gründungskonten) sind an\“enge Voraussetzungen\“geknüpft. Compliance muss hier extrem restriktive Filter setzen, was oft im Konflikt mit dem Vertrieb steht, der schnelle Kontoeröffnungen fordert.
Aktualisierungs-Taktung: Die Staatenaustauschliste des BZSt ändert sich jährlich. Diese Änderungen in Echtzeit in alle Monitoring-Systeme einzupflegen, erfordert einen hohen Automatisierungsgrad, der oft fehlt.
3. Detektions-&Melde-Pain Points (MLRO / Geldwäsche)
Explosion der Verdachtsmeldungen (SARs): Wenn jede technische Abweichung in der XML-Schnittstelle als Indikator nach § 43 GwG gilt, droht eine Flut an (potenziell unnötigen) Meldungen. Dies belastet die FIU und die internen Ermittlungsteams massiv.
Dynamisches Länderrisiko: Die BZSt-Liste ist primär steuerlich motiviert. Der MLRO muss nun erklären, warum ein Land steuerlich\“unsicher\“(laut BZSt), aber geldwäscherechtlich (laut FATF) vielleicht unauffällig ist – oder umgekehrt. Diese Inkonsistenz erschwert ein homogenes Scoring.
Verstärkte Sorgfaltspflichten (§ 15 GwG) als Onboarding-Killer: Die Pflicht, bei Ländern der BZSt-Liste sofort in die verstärkte Prüfung zu gehen, verlängert die Time-to-Market für Neukunden erheblich und führt zu Wettbewerbsnachteilen.
V. Maßnahmekatalog
1. Strategische Maßnahmen (C-Level&IT-Governance)
Implementierung einer\“Single Customer View\“: Zusammenführung von KYC-Daten (GwG) und Selbstauskünften (CRS) in einer zentralen Datenbank. Datensilos müssen aufgelöst werden, um die geforderte Datenkongruenz technisch zu erzwingen.
Auditierung des Tax-IKS: Beauftragung einer unabhängigen Prüfung des steuerlichen Kontrollsystems. Fokus: Sind die\“engen Voraussetzungen\“für Ausnahmen (z. B. Gründungskonten) im System hart codiert oder gibt es manuelle Umgehungsmöglichkeiten?
Budgetallokation für XML-Reporting: Sicherstellung, dass die Schnittstelle zum BZSt nicht nur Daten sendet, sondern auch Rückmeldungen (Fehlerprotokolle) automatisiert in das Fallmanagement-System des MLRO einspeist.
2. Operative&Prozessuale Maßnahmen (Compliance)
Automatisierter Pre-Check-Prozess: Einführung eines Kontrollschritts vor der Meldung am 31. Juli. Ein Algorithmus muss CRS-Daten gegen KYC-Identifizierungsdaten abgleichen und Inkonsistenzen zur Klärung aussteuern.
Standardisierung der Selbstauskünfte: Überarbeitung der Onboarding-Formulare. Die steuerliche Ansässigkeit muss zwingend mit den Ausweisdokumenten/Wohnsitznachweisen logisch validiert werden (Plausibilitätsprüfung).
Dynamisches Regelwerk-Update: Implementierung eines Prozesses, der die BZSt-Staatenaustauschliste unmittelbar nach Veröffentlichung in die Scoring-Engines einpflegt.
3.Überwachungsmaßnahmen (Geldwäscheprävention / MLRO)
Anpassung des Transaction Monitorings: Integration steuerlicher Indikatoren in das AML-Monitoring. Ein Beispiel: Wenn ein Kunde Gelder aus einem Land erhält, das auf der BZSt-Liste 2026 steht, aber im KYC als\“geringes Risiko\“eingestuft ist, muss ein automatischer Alarm (Alert) ausgelöst werden.
Schulung der\“First Line\“: Front-Office-Mitarbeiter müssen für die Bedeutung der Datenqualität sensibilisiert werden. Sie müssen verstehen, dass ein falsch erfasster Wohnsitz nicht nur ein Tippfehler ist, sondern eine Verdachtsmeldung nach § 43 GwG auslösen kann.
Verschärfte Prüfungsprotokolle (§ 15 GwG): Erstellung spezifischer Checklisten für Kunden mit Bezug zu Austauschstaaten, um die\“verstärkten Sorgfaltspflichten\“revisionssicher zu dokumentieren.
VI. Quellen
Bundesfinanzministerium
Categories: Allgemein
No Responses Yet
You must be logged in to post a comment.