Preise
Sprache
28-10-2025

Das AML-Playbook für Startups: Von null zu einem mitwachsenden Programm

Eine praktische Schritt-für-Schritt-Anleitung für Startups zum Aufbau eines mitwachsenden AML-Compliance-Programms, das Risiko-, Richtlinien-, KYC- und Sanktionsprüfungen abdeckt.

Teilen

Zusammenfassung

Für viele Gründer klingt „Compliance zur Bekämpfung der Geldwäsche“ zunächst nach einem großen, teuren Konzernproblem, das erst später relevant wird. Das stimmt nicht. Heute betrifft AML-Compliance jedes Unternehmen, das Geld bewegt, Kundengelder hält oder Finanzfunktionen anbietet. Sobald ein Unternehmen mit Zahlungen, Vermögenswerten oder regulierten Kundenbeziehungen arbeitet, erwarten Banken, Zahlungsabwickler und Investoren belastbare Kontrollen. Wer das ignoriert, baut ein operatives Risiko auf, das Wachstum sehr schnell blockieren kann. Die gute Nachricht: Es braucht kein 2.000-köpfiges Compliance-Team, sondern einen klaren Plan. Dies ist kein juristisches Lehrbuch, sondern ein praktischer Schritt-für-Schritt-Leitfaden für Gründer und Betriebsteams. Es geht direkt um das „Wie“: tatsächliche Risiken ermitteln, die erste AML-Richtlinie strukturieren, moderne Tools wie automatisierte Sanktionsprüfungen sinnvoll einsetzen und ein Programm aufbauen, das VCs und Bankpartnern zeigt, dass das Unternehmen nachhaltig wachsen kann. Ziel ist ein einfaches AML-Programm, das mit dem Unternehmen wächst.

Einführung: Warum „Abwarten“ eine gescheiterte Strategie ist

Am Anfang dreht sich alles um Produkt, Wachstum und schlichtes Überleben. „Compliance“ landet schnell auf der Liste für später. Das ist ein strategischer Fehler. Das AML-Setup interessiert nicht nur Aufsichtsbehörden, sondern auch die Partner, die ein Startup heute braucht, um überhaupt arbeiten zu können.

Zahlungsabwickler (Stripe, Adyen usw.): Zahlungsabwickler sind stark reguliert und tragen die Risiken, die eine Plattform mitbringt. Sie riskieren ihre Lizenzen nicht für ein Unternehmen ohne belastbares Compliance-Programm. Im Zweifel wird zuerst abgeschaltet und später nachgefragt. Ein plötzliches Einfrieren der Zahlungsabwicklung kann Cashflow und Unternehmen über Nacht zum Erliegen bringen.

Bankpartner: Ein echtes Geschäftskonto setzt Vertrauen voraus. Das erste, wonach Bankpartner häufig fragen, ist die AML-Richtlinie. Keine Richtlinie, kein Bankkonto. Oft endet eine Beziehung, bevor sie überhaupt begonnen hat, und zwingt Startups zu weniger attraktiven, gebührenintensiven Bankoptionen, die Wachstum behindern.

Investoren (VCs): Vorbei sind die Zeiten des „Wachstums um jeden Preis“. Insbesondere nach der Serie A führen Investoren ernsthafte Due-Diligence-Prüfungen durch. Ein chaotisches Compliance-Programm ist ein klares Warnsignal: mögliche Bußgelder, eingefrorene Konten und dringende Bereinigungsprojekte, die Produkt-Roadmap und Kapital belasten.

„Wir betrachten zwei Dinge: Produkt und Risiko. Ein starkes Produkt mit ungeordnetem Compliance-Setup ist ein Risiko, das wir nicht eingehen. Ein starkes Produkt mit einem sauberen, automatisierten Compliance-Programm ist ein reiferes Unternehmen, das kontrolliert wachsen kann.“

Ein (hypothetischer) Investor der Serie B

Das Ziel ist nicht, eine Bank zu werden. Das Ziel ist ein intelligentes, risikobasiertes und überprüfbares Programm, das zur Unternehmensgröße passt. Dieser Leitfaden zeigt den praktischen Aufbau.

Kapitel 1: Die Grundlage – AML-Risikoprüfung

Das Wichtigste zuerst: Ein sinnvoller Plan setzt voraus, dass die tatsächlichen Risiken klar sind. Genau das meinen Aufsichtsbehörden mit einem „risikobasierten Ansatz“. Einfach gesagt: Energie dort konzentrieren, wo die wirkliche Gefahr liegt. Vor der ersten Zeile der Richtlinie sollte eine kurze Risikoprüfung stehen. Ein einfaches internes Dokument reicht für den Anfang. Drei Bereiche sind besonders wichtig.

Ein Diagramm, das die drei Säulen des AML-Risikos zeigt: Produkt, Kunde und Geografie.

1. Produkt- und Servicerisiko: Was macht ein Produkt für Geldwäsche attraktiv?

Hohes Risiko: Kundengelder halten: Digitale Wallets, Marktplätze mit treuhänderischer Verwahrung oder Plattformen mit Ein- und Auszahlungen tragen erhöhtes Risiko. Immer wenn ein Unternehmen Gelder für Kunden hält, steigt die AML-Relevanz. Gelder bewegen (insbesondere grenzüberschreitend): Fintechs, Überweisungs-Apps und Zahlungsunternehmen bewegen Geld schnell und häufig über Grenzen hinweg. Je schneller und globaler die Bewegung, desto höher ist das Risiko. Geldwäscher wollen Gelder weit und schnell bewegen, um ihre Herkunft zu verschleiern. Anonymität: Anonyme oder pseudonyme Konten sind ein Warnsignal. Deshalb stehen Krypto-Börsen besonders im Fokus. Komplexe Produkte: Glücksspiel und iGaming, digitale Vermögenswerte (NFTs), Peer-to-Peer-Kredite (P2P) oder ähnliche Modelle können die Herkunft der Gelder verschleiern.

Geringes Risiko: Einfaches B2B-SaaS: Ein Abonnement für 50 $/Monat für ein Softwaretool, das keine Kundengelder berührt. E-Commerce: Verkauf physischer Waren wie T-Shirts oder Kaffee direkt an Verbraucher. Hinweis: Sanktionsrisiko bleibt bestehen, denn auch ein T-Shirt darf nicht an eine sanktionierte Person versendet werden. Informationsdienste: Eine B2B-Insights-Plattform, bei der Kunden lediglich ein Abonnement bezahlen, um Inhalte zu lesen.

2. Kundenrisiko

Wer sind die Kunden und was machen sie wirklich?

Hohes Risiko: Politisch exponierte Personen (PEPs): Regierungsbeamte, ihre Familien und enge Vertraute. PEPs sind keine Kriminellen, gelten aber als erhöhtes Risiko, weil ihre Position mehr Möglichkeiten für Bestechung und Korruption schaffen kann. Bargeldintensive Unternehmen: Restaurants, Lebensmittelgeschäfte, Autowaschanlagen usw., die möglicherweise mit einem neuen Kassensystem bedient werden. Unklare Strukturen: Kunden wie Mantelgesellschaften, Trusts mit unklaren Eigentümern oder Unternehmen mit Nominee-Direktoren. Kritisch ist jede Struktur, die verschleiert, wer das Konto tatsächlich kontrolliert. Kunden, deren Verhalten nicht plausibel ist: Warum versucht ein Nutzer aus einem nicht bedienten Land, 100.000 US-Dollar über eine kleine App zu bewegen? Warum erhält ein „T-Shirt-Unternehmen“ plötzlich Zahlungen in Höhe von 500.000 US-Dollar aus einem Hochrisikogebiet? Das sind Warnsignale.

Geringes Risiko: Normale Menschen (die breite Öffentlichkeit), die kleine, vorhersehbare Zahlungen im Inland leisten (z. B. für ihren Kaffee bezahlen). Bekannte B2B-Unternehmen in regulierten Branchen, etwa der Verkauf einer SaaS-Plattform an ein bekanntes, börsennotiertes Technologieunternehmen.

3. Geografisches Risiko

Wo sind die Kunden und wohin geht das Geld oder woher kommt es?

Hohes Risiko (sanktioniert): Das sind Ausschlussbereiche. Geschäfte mit Einzelpersonen oder Organisationen in Ländern wie Nordkorea, Iran, Syrien, Kuba und den besetzten Gebieten der Ukraine können illegal sein und ein Unternehmen unmittelbar gefährden. Hierzu zählen auch Staatsangehörige dieser Länder, selbst wenn sie anderswo wohnen. Bei Sanktionen gilt häufig eine verschuldensunabhängige Haftung: „Wir wussten es nicht“ ist dann keine tragfähige Verteidigung.

Hohes Risiko (Jurisdiktion): Dies sind Länder, die wegen schwacher AML-Kontrollen auf einer „grauen Liste“ stehen. Die Financial Action Task Force (FATF) führt dazu eine öffentliche Liste. Geschäfte sind dort möglich, erfordern aber besondere Vorsicht. Dazu gehören auch klassische Bankgeheimnis-Standorte. Geringes Risiko: Tätigkeit ausschließlich in einem gut regulierten Land, zum Beispiel nur in den USA oder nur im Vereinigten Königreich.

To-Do-Liste für die Risikoprüfung
  • Einen einstündigen Risiko-Workshop mit dem Gründerteam planen.
  • Eine einfache Tabelle mit drei Registerkarten erstellen: Produkt, Kunde, Geografie.
  • Pro Registerkarte Risiken auflisten und als niedrig, mittel oder hoch bewerten.
  • Eine kurze Zusammenfassung schreiben: „Unsere Hauptrisiken sind [z. B. anonyme Krypto-Nutzer] und [z. B. grenzüberschreitende Zahlungen].“
  • Dieses Dokument als Version 1.0 der offiziellen Risikobewertung speichern.

Kapitel 2: Der Bauplan – die zentrale AML-Richtlinie

Sobald die Risiken klar sind, kann das „Regelwerk“ entstehen: die AML-Richtlinie. Sie ist die „Verfassung“ des Compliance-Programms und meist das erste Dokument, das eine Bank oder ein Investor sehen möchte. Sie muss keine 100 Seiten haben, aber die folgenden Abschnitte sollten enthalten sein.

Was in die AML-Richtlinie eines Startups (v1.0) gehört:

1. Grundsatzerklärung (das „Versprechen“):

  • Ein kurzer Absatz des Gründers oder CEO, zum Beispiel: „Wir setzen uns dafür ein, Finanzkriminalität auf unserer Plattform zu verhindern. Wir nehmen dies ernst.“ Das ist keine Floskel, sondern der „Tone from the top“, auf den Prüfer achten.

2. Verantwortliche Person (MLRO):

  • Die Person benennen, die letztendlich für dieses Programm verantwortlich ist. Name und Titel sollten klar angegeben werden, zum Beispiel: „Jane Doe, COO, ist unsere benannte Geldwäschebeauftragte (MLRO).“ Damit ist die Verantwortung zentralisiert und das Problem „Das ist nicht mein Job“ wird vermieden.

3. Das „Warum“: risikobasierter Ansatz

  • Festhalten, dass das Unternehmen einen „risikobasierten Ansatz“ verwendet.
  • Eine kurze Zusammenfassung der Risikoprüfung beifügen, z. B. „Unsere Bewertung ergab hohe Risiken bei grenzüberschreitenden Transaktionen und der Anonymität der Nutzer...“. Dieser Abschnitt belegt, dass die Richtlinie keine Einheitslösung ist, sondern auf das Unternehmen zugeschnitten wurde.

4. Kunden-Due-Diligence (CDD) / Know Your Customer (KYC):

  • Wann geprüft wird: z. B. „Wir identifizieren und verifizieren alle Nutzer bei der Kundenaufnahme, bevor sie auf Finanzfunktionen zugreifen können.“
  • Was erfasst wird: z. B. „Für alle Nutzer erfassen wir den offiziellen Namen, das Geburtsdatum und die Wohnadresse. Für Nutzer mit hohem Risiko erfassen wir auch einen amtlichen Ausweis.“
  • Wie geprüft wird: z. B. „Wir prüfen diese Informationen mithilfe einer Kombination aus dokumentenbasierten (ID) und nicht dokumentenbasierten (Datenbank) Methoden über externe Technologiepartner.“ In diesem Abschnitt werden die „Haustür“-Regeln beschrieben: wer Zugang erhält und wie die Identität geprüft wird.

5. Sanktionen und PEP-Screening („Schild“):

  • Welche Listen geprüft werden: Genau benennen, zum Beispiel: „Wir prüfen alle Nutzer mindestens anhand der Sanktionslisten des U.S. Office of Foreign Assets Control (OFAC), der Vereinten Nationen (UN), der Europäischen Union (EU) und des Vereinigten Königreichs (HMT).“
  • Wann geprüft wird: „Die Prüfung erfolgt automatisch über die API bei der Kundenaufnahme. Unser gesamter Kundenstamm wird täglich erneut geprüft, um neue Aktualisierungen dieser Listen zu erkennen.“ Das ist der nicht verhandelbare Schutzschild: riskante Akteure stoppen, bevor sie ins System gelangen.

6. Transaktionsüberwachung (das Warnsystem):

  • Wie überwacht wird: „Wir überwachen Transaktionen auf verdächtige Aktivitäten mithilfe einer Mischung aus automatisierten Regeln und manuellen, risikobasierten Prüfungen.“
  • Rote Flaggen: 5–10 Warnsignale auflisten, die speziell für das Unternehmen gelten. Mehr dazu in Kapitel 3. Wenn KYC die Haustür ist, ist dies die Alarmanlage im Haus.

7. Verdächtige Aktivitäten melden (SARs):

  • Interner Prozess: Festlegen, wie Mitarbeiter der verantwortlichen Person melden, wenn ihnen etwas Verdächtiges auffällt.
  • Externe Einreichung: Festhalten, dass die zuständige Person für die Untersuchung und gegebenenfalls Einreichung eines Suspicious Activity Report (SAR) bei der zuständigen Behörde verantwortlich ist, zum Beispiel FinCEN in den USA oder NCA im Vereinigten Königreich. Dieser Abschnitt erklärt die Meldepflicht: was passiert, wenn ein begründeter Verdacht besteht.

8. Teamtraining (die praktische Umsetzung):

  • Wer: „Alle Mitarbeiter erhalten eine AML-Schulung mit speziellen, rollenbasierten Schulungen für Technik, Support und Betrieb.“
  • Wann: „Schulungen werden bei der Einstellung und auf jährlicher Basis angeboten.“ So bleibt die Richtlinie nicht nur ein Dokument, sondern wird gelebte Praxis im Unternehmen.

9. Aufzeichnungen (Der „Beweis“):

  • Was aufbewahrt wird: „Wir bewahren alle KYC-Daten, Überprüfungsergebnisse, Transaktionsprotokolle und Untersuchungsnotizen auf.“
  • Wie lange: „Alle Aufzeichnungen werden nach Beendigung der Geschäftsbeziehung mit dem Kunden mindestens fünf Jahre lang aufbewahrt.“ Das ist die Prüfspur: der Nachweis, dass die zugesagten Kontrollen tatsächlich umgesetzt wurden.

Dies ist keine Rechtsberatung. Dieses Playbook ist eine praktische Anleitung, ersetzt aber keine rechtliche Prüfung. Es unterstützt den Aufbau des Programms; anschließend sollte ein qualifizierter Jurist die konkrete Umsetzung prüfen.

Kapitel 3: Die 5 Säulen des AML-Programms

Okay, bauen wir das Programm jetzt Säule für Säule auf.

Säule 1: Die verantwortliche Person (Owner/MLRO)

Es muss eine Person benannt werden, die die letzte Verantwortung trägt. In einem Startup ist dies fast nie ein hauptberuflicher Compliance-Verantwortlicher.

  • Wer: Normalerweise ist es der COO, Head of Operations, Head of Finance oder ein Mitbegründer.
  • Was macht eine geeignete Person aus? Sie muss organisiert, skeptisch im positiven Sinne, analytisch und detailorientiert sein und genug Autorität haben, um anderen Teams zu sagen: „Nein, das können wir noch nicht auf den Markt bringen.“ Diese Befugnis ist nicht verhandelbar; die Person muss die Richtlinie durchsetzen können.
Was MLRO macht:
  • Verantwortung für die AML-Richtlinie übernehmen und sie aktualisieren.
  • Technologiepartner beaufsichtigen, etwa KYC- und Sanktionstools.
  • Die wichtigsten Hinweise persönlich prüfen, etwa einen echten PEP-Treffer oder eine auffällige Transaktion über 500.000 US-Dollar.
  • Offizielle Verdachtsmeldungen bei der zuständigen Behörde einreichen.
  • Jährliche Teamtrainings durchführen.
  • Als zentraler Ansprechpartner für Aufsichts- und Bankpartner fungieren.

Säule 2: Kunden-Due-Diligence (KYC / CDD)

Einfach gesagt: Wissen, mit wem das Unternehmen es zu tun hat. Das ist keine einzelne Maßnahme, sondern eine Leiter mit mehreren Stufen.

Ein Diagramm, das die drei Säulen des AML-Risikos zeigt: Produkt, Kunde und Geografie.

  • Schritt 1: CIP (Customer Identification Program)

    • Was es ist: Nur die grundlegenden Informationen erfassen. Das ist das sign_up_form.js des Nutzers: die Mindestdaten, die nötig sind, um überhaupt mit einer Prüfung beginnen zu können.
    • Informationen: offizieller Name, Geburtsdatum, Adresse, Regierungs-ID-Nummer (z. B. SSN oder gleichwertig).

  • Schritt 2: CDD (Kunden-Due-Diligence)

    • Was es ist: Nachweisen, dass die Informationen echt sind. Hier geht es vom „Sammeln“ zum „Prüfen“.
    • Wie: Dafür wird mit einem Technologieanbieter gearbeitet.
    • Dokumentenbasiert: Der Nutzer lädt ein Foto seines Reisepasses oder Führerscheins hoch. Das Tool nutzt KI, um zu prüfen, ob das Dokument echt ist.
    • Nicht dokumentenbasiert: Das Tool gleicht Datenbanken ab (Kreditauskunfteien, Regierungsunterlagen), um festzustellen, ob „Jane Doe, geboren am 1.1.1990 in der 123 Main St“ eine echte, lebende Person ist. Die Kombination beider Methoden führt zu einer deutlich stärkeren Verifizierung als eine Methode allein.

  • Schritt 3: EDD (verstärkte Sorgfaltspflicht)

    • Was es ist: Die vertiefte Prüfung für Kunden mit dem höchsten Risiko, zum Beispiel einen bestätigten PEP oder einen Nutzer, der 5 Millionen US-Dollar bewegen möchte.
    • Wie: Zusätzliche Fragen stellen, etwa „Woher kommt dieses Geld?“ (Herkunft der Gelder) und „Woher stammt das Gesamtvermögen?“ (Vermögensherkunft). Dazu kann auch die Prüfung negativer Medien gehören, bei der Nachrichtenquellen auf Hinweise zu Betrug, Bestechung oder anderen Straftaten geprüft werden. Das ist häufig ein manueller Vorgang.

Nicht selbst bauen. Ein spezialisierter Drittanbieter für Identitätsprüfung (IDV) ist in der Regel günstiger, schneller und deutlich sicherer.

Säule 3: Sanktionen und PEP-Screening (automatisierter Schutz)

Dies ist eine der wichtigsten Kontrollen. Geschäfte mit einer Person oder einem Unternehmen auf einer Sanktionsliste können illegal sein, und die Geldstrafen sind erheblich.

Was ist eine Sanktion? Eine von einer Regierung herausgegebene „Sperrliste“. Wenn eine Person, ein Unternehmen oder ein Land darauf erscheint, dürfen mit dieser Partei möglicherweise keine Geschäfte getätigt werden. Die Hauptlisten sind OFAC (USA), EU, UN und UK (HMT) – zusammen bilden sie die globale Grundlage für die Einhaltung.

Was ist ein PEP? Eine politisch exponierte Person. PEPs sind nicht automatisch kriminell, gelten aber als erhöhtes Risiko, weil ihre Rolle sie anfälliger für Korruption oder Bestechung machen kann. Beispiele hierfür sind Minister, Landesgouverneure, hochrangige Militärbeamte und ihre unmittelbaren Familienangehörigen. Eine Geschäftsbeziehung ist möglich, erfordert aber verstärkte Sorgfaltspflichten (EDD).

Warum Automatisierung nötig ist

  • Listen ändern sich täglich: OFAC allein kann an einem Tag Dutzende Namen hinzufügen oder aktualisieren. Manuelle Updates sind nicht möglich.
  • Fuzzy Matching ist komplex: „Mohamed Al-Fayed“ vs. „Muhammed el Fayed“. Eine geeignete Prüf-Engine berücksichtigt Transliteration, Rechtschreibung und kulturelle Unterschiede.
  • Manuelle Suchen reichen nicht aus: Das Googeln von Nutzern ist nicht überprüfbar oder belastbar. Aufsichtsbehörden erwarten einen zeitgestempelten Nachweis jedes Prüfereignisses.

Nicht selbst bauen. Pflege und Normalisierung Dutzender globaler Risiko- und Sanktionslisten ist eine Vollzeitaufgabe im Data Engineering. Ein dedizierter API-Dienst für automatisierte Sanktions- und PEP-Prüfungen in Echtzeit ist belastbarer.

Umsetzung

Bei der Kundenaufnahme Wenn sich ein Nutzer anmeldet, sollte das Backend einen schnellen API-Aufruf an den Prüfanbieter auslösen, z. B. POST /v1/screen_user. Wenn die Antwort ein Treffer ist, wird die Aufnahme gestoppt oder der Nutzer in den Status Überprüfung ausstehend versetzt. Das ist das Eingangstor: niemand wird freigegeben, bevor die Prüfung abgeschlossen ist.

Laufende Prüfung Dieser Teil ist besonders wichtig. Der Prüfpartner sollte den gesamten Kundenstamm täglich neu prüfen anhand aktualisierter Sanktions- und PEP-Listen. Ein Nutzer, der am Montag unauffällig ist, kann am Dienstag auf einer Sanktionsliste erscheinen. Das muss unmittelbar sichtbar werden, nicht erst bei der nächsten Anmeldung.

Tägliche, automatisierte Neuprüfungen schützen Unternehmen vor rückwirkenden Risiken. Compliance ist keine einmalige Prüfung, sondern ein kontinuierlicher Prozess.

Säule 4: Transaktionsüberwachung (Warnsystem)

So lassen sich verdächtige Aktivitäten erkennen, nachdem sich ein Nutzer im System befindet. Der Fokus liegt auf Verhalten, das nicht plausibel ist.

Startup-Tipp: Am ersten Tag braucht es keine millionenschwere KI-Plattform. Ein paar einfache, automatisierte Regeln reichen für den Start, solange ausgelöste Hinweise von der verantwortlichen Person geprüft werden.

Erste 10 Red-Flag-Regeln für den Einstieg
  • Schwellenwert: Hinweis bei jeder Transaktion über einem festgelegten Betrag, z. B. 10.000 US-Dollar.
  • Strukturierung: Hinweis bei mehreren Transaktionen knapp unterhalb des Schwellenwerts, z. B. fünfmal 2.000 US-Dollar in 24 Stunden.
  • Geschwindigkeit: Hinweis bei einem Nutzer mit ungewöhnlich vielen Transaktionen in kurzer Zeit.
  • Ein- und Ausstieg: Hinweis bei einer Einzahlung von 50.000 US-Dollar, gefolgt von einer Auszahlung von 49.900 US-Dollar eine Stunde später, klassisches Layering.
  • Geografie: Hinweis bei jeder Transaktion mit Bezug zu einem Hochrisikoland auf der grauen FATF-Liste.
  • Tageszeit: Hinweis bei Nutzern, die nur um 3 Uhr morgens aktiv sind, etwa als mögliches Zeichen für einen Bot oder ein kompromittiertes Konto.
  • Unmögliche Reise: Hinweis bei einem Nutzer, der sich aus New York anmeldet und 20 Minuten später aus Moskau.
  • Neue Konten am Limit: Hinweis bei brandneuen Konten, die sofort den maximal zulässigen Betrag bewegen.
  • Mehrere Quellen: Hinweis bei Konten, die viele kleine Zahlungen aus 50 neuen Quellen erhalten und anschließend konsolidieren.
  • Sanktionierte Krypto-Wallet: Hinweis bei jeder Krypto-Transaktion mit Bezug zu einer OFAC-gelisteten Wallet-Adresse.
Ein einfaches Flussdiagramm, das den AML-Warnungsprozess zeigt: Warnung generiert -> Triage (falsch positiv?) -> Untersuchen -> Fall schließen oder SAR einreichen.

Hinweise automatisieren, aber manuell prüfen. Das Ziel ist nicht Volumen, sondern Präzision und eine klare, überprüfbare Dokumentation der Entscheidungen.

Säule 5: Berichterstattung (SARs)

Wenn das Warnsystem etwas meldet, das sich nicht erklären lässt, kein Fehlalarm ist und nicht zur Kundengeschichte passt, besteht eine gesetzliche Meldepflicht.

Was es ist Ein Suspicious Activity Report (SAR) ist ein standardisierter, vertraulicher Bericht, der bei der Financial Intelligence Unit (FIU) des zuständigen Landes eingereicht wird. Das Einreichen einer Verdachtsanzeige bedeutet nicht, dass der Nutzer schuldig ist. Es bedeutet, dass ein begründeter Verdacht besteht und diese Informationen an die Behörden weitergegeben werden.

Die goldene Regel

KEIN TIPPING-OFF! Dies ist eine der wichtigsten Regeln in der Geldwäschebekämpfung. Kunden oder Dritten darf niemals mitgeteilt werden, dass eine Verdachtsmeldung eingereicht wird. Das kann strafbar sein, Ermittlungen gefährden und Verdächtigen die Möglichkeit geben, Beweise zu vernichten oder zu fliehen. Aufgabe des Unternehmens ist es, die Meldung einzureichen und die Kundenbeziehung, soweit erforderlich, stillschweigend einzuschränken.

Kapitel 4: Verbindende Kontrollen – Schulung und Aufzeichnungen

Diese letzten beiden Säulen sind keine einzelnen Handlungsschritte, sondern verbindende Kontrollen, die ein AML-Programm überprüfbar und vertretbar halten. Bei einer späteren Prüfung belegt dieser Teil, dass die in Kapitel 3 beschriebenen Kontrollen tatsächlich umgesetzt wurden.

1. Mitarbeiterschulung

Wenn das Team, insbesondere der Support, nicht weiß, worauf es achten muss, schlägt das Programm fehl.

Wer: Alle benötigen mindestens eine grundlegende Einführung in AML. Spezialisiert: Technik-, Produkt- und Supportteams benötigen eine tiefergehende, rollenspezifische Schulung.

  • Support: Social Engineering erkennen und sensible Kundenanfragen wie „Warum wurde meine 50.000-Dollar-Überweisung markiert?“ richtig bearbeiten.
  • Technik/Produkt: Verstehen, dass AML strengen Datenschutz und sicheres Design voraussetzt. Diese Teams verarbeiten hochsensible personenbezogene Daten und müssen sie entsprechend behandeln.
Eine einfache Schulungsagenda
  • Was ist AML und Terrorismusfinanzierung? (10 Min.)
  • Überblick über die AML-Richtlinie des Unternehmens (15 Min.)
  • Wichtige Warnsignale (10 Min.)
  • Der Trefferhinweis-Prozess: was bei einem auffälligen Hinweis zu tun ist (10 Min.)
  • Das Tipping-off-Verbot (5 Min.)
  • Fragen und Antworten (10 Min.)

Wie: Diese Schulung sollte bei der Einarbeitung live stattfinden; eine aufgezeichnete Auffrischung eignet sich für die jährliche Wiederholung. Ein Anwesenheitsprotokoll für Schulungen gehört zu den zentralen Nachweisen, weil Prüfer es als Compliance-Beleg anfordern können.

Ein AML-Programm ist nur so stark wie die Menschen, die es betreiben. Schulung schafft Bewusstsein, Konsistenz und ein dokumentierter Kontrollnachweis.

2. Aufzeichnungen führen

Wenn es nicht dokumentiert ist, ist es nicht passiert. Bei einer Prüfung sind Unterlagen der wichtigste Nachweis.

Unverzichtbare Nachweisliste
  • Ergebnisse aller KYC/IDV-Prüfungen, bestanden oder nicht bestanden.
  • Screenshots oder Protokolle aller Sanktions- und PEP-Prüfergebnisse, insbesondere Treffer, sowie Notizen dazu, warum sie geschlossen oder eskaliert wurden.
  • Alle Transaktionsprotokolle.
  • Alle Untersuchungsnotizen zu Transaktionshinweisen.
  • Kopien aller eingereichten Verdachtsmeldungen.
  • Jährliche Schulungsunterlagen und Anwesenheitsprotokolle.
  • Alle historischen Versionen der AML-Richtlinie und Risikobewertung, um die Entwicklung des Programms zu belegen.

Wie lange: Alle Aufzeichnungen sollten mindestens fünf Jahre nach Schließung des Kundenkontos aufbewahrt werden. Diese Aufbewahrungsfrist ist eine standardmäßige globale Anforderung.

Eine saubere Nachweisführung macht aus dem AML-Programm mehr als Worte auf Papier: Daraus entstehen belastbare Compliance-Nachweise.

Kapitel 5: Aufbau des AML-Programms nach Etappen

Das Compliance-Programm sollte mit dem Unternehmen mitwachsen. Diese Übersicht zeigt, worauf es in jeder Wachstumsphase ankommt.

Eine dreistufige Roadmap, die Stufe 1 (Survival Kit), Stufe 2 (Skalierbares System) und Stufe 3 (ausgereiftes Programm) für die AML-Compliance zeigt.

Stufe 1: Das „Survival Kit“

Unternehmensstatus: Pre-Seed / Seed (Produktaufbau, 0–10.000 Nutzer)

Wichtigste Prioritäten und Maßnahmen
  • Verantwortliche Person ernennen: Ein Mitbegründer, z. B. COO, fungiert als Ansprechpartner.
  • Risikobewertung: Die einstündige Risikoprüfung durchführen (siehe Kapitel 1).
  • AML-Richtlinie: Version 1.0 der AML-Richtlinie entwerfen (siehe Kapitel 2).
  • Sanktions-API integrieren: Automatisierte Sanktions- und PEP-Prüfungen bei der Kundenaufnahme einrichten. Das ist die kleinste tragfähige Compliance-Basis.

Stufe 2: Das „Skalierbare System“

Unternehmensstatus: Serie A / B (Wachstum, 10.000–500.000 Nutzer)

Wichtigste Prioritäten und Maßnahmen
  • Feste Compliance-Rolle: Die erste operative Compliance-Rolle besetzen, die die täglichen Hinweise bearbeitet.
  • Vollständiges KYC: Einen Drittanbieter für ID-Verifizierung (IDV) integrieren.
  • Transaktionsüberwachung: 5–10 automatisierte Regeln einführen (siehe Kapitel 3, Säule 4).
  • Schulung: Die erste formelle, jährliche und aufgezeichnete AML-Schulung durchführen.

Stufe 3: Das ausgereifte Programm

Unternehmensstatus: Serie C+ (Skalierung, 500.000+ Nutzer)

Wichtigste Prioritäten und Maßnahmen
  • Leitung einstellen: Einen dedizierten Head of Compliance oder MLRO ernennen.
  • Automatisierte Überwachung: Ein formelles automatisiertes System zur Transaktionsüberwachung einführen. KI kann hier in der Geldwäschebekämpfung echten operativen Nutzen bringen.
  • Prüfen lassen: Einen unabhängigen Dritten mit der Prüfung des Programms beauftragen, bevor die Aufsicht es tut.
  • Richtlinie verfeinern: Die AML-Richtlinie auf Version 3.0 aktualisieren und bei jedem neuen Produkt oder Markteintritt anpassen.

Compliance-Reife folgt der Produktreife. Einfach beginnen, früh automatisieren und das Programm weiterentwickeln, wenn die Risikooberfläche wächst.

Kapitel 6: Technologieauswahl: selbst bauen oder einkaufen?

Auf Stufe 1 steht jeder Gründer vor der gleichen Frage: „Kann unser Engineering-Team das nicht einfach selbst bauen?“

Der „Wir bauen es“-Irrtum: Eine warnende Geschichte

PaySwift, ein fiktives, aber realistisches Startup, beschloss, einen eigenen Sanktions-Screener zu entwickeln. „Wie schwer kann es sein?“, sagte der technische Gründer. „Es geht nur darum, Namen mit einer Liste abzugleichen.“

Monat 1: Das Team lud die OFAC-Liste herunter. Einfach. Monat 2: Das Team entdeckte, dass die EU-, UN- und UK-Listen alle in unterschiedlichen Formaten vorlagen – XML, CSV, TXT – und für jedes davon benutzerdefinierte Parser erforderlich waren. Monat 3: Das System ging live. Die Prüfung auf exakte Übereinstimmungen übersah „Mohamed Al-Fayed“, weil auf der Liste „Muhammed el Fayed“ stand. Monat 4: Ein Update der OFAC-Liste legte den Parser lahm. Das blieb 72 Stunden lang unbemerkt; in dieser Zeit wurden drei sanktionierte Nutzer aufgenommen. Monat 6: Der Bankpartner führte eine Stichprobe durch, fand die sanktionierten Nutzer und sperrte das Konto.

Ganz zu schweigen davon: verschiedene Alphabete für denselben Namen, die Notwendigkeit, verbundene Parteien mit Sanktionen zu verknüpfen und zu normalisieren, die Strukturierung und Standardisierung von Daten aus mehreren Quellen (Geburtsjahr, Nationalität, Geburtsort), und das Parsen komplexer Identifikatoren wie Passnummern oder Steuer-IDs.

PaySwift verbrachte sechs Monate und Tausende von Entwicklungsstunden damit, ein System zu entwickeln, das langsam, ungenau und letztendlich nicht konform war. Eine dedizierte API-basierte Prüfung hätte an einem Nachmittag integriert werden können, weniger als einen Monat Entwicklungszeit gekostet und per Fuzzy Matching kontinuierlich aktualisierte Echtzeitergebnisse geliefert.

Entwicklungsressourcen gehören in den Aufbau des Produkts, nicht in den Nachbau von Compliance-Infrastruktur. Kaufen, was standardisiert mitwachsen muss, und bauen, was das Produkt unterscheidet.

Fazit: Von der Compliance-Pflicht zum Wachstumsvorteil

AML-Compliance ist nicht nur ein rechtliches Kontrollkästchen – es ist ein Signal für Vertrauen, Reife und operative Exzellenz. Startups und Scale-ups, die Compliance als Wachstumsfaktor und nicht als Ablenkung betrachten, erhalten Zugang zu besseren Bankpartnern, gewinnen schneller Vertrauen bei Investoren und können reibungsloser international expandieren.

Der moderne Ansatz ist einfach:

  • Automatisieren, was Maschinen am besten können: Prüfung, Überwachung und Aufzeichnung.
  • Menschen auf Urteilsvermögen, Kontrolle und Transparenz konzentrieren.
  • Alles dokumentieren, alle schulen und intern prüfen, bevor es jemand anderes tut.

Für regelkonformes Arbeiten braucht es keine 50-köpfige Compliance-Abteilung, sondern Klarheit, Automatisierung und klare Zuständigkeiten. So entwickeln wachstumsstarke Unternehmen Programme, die mit ihnen wachsen und nicht gegen sie.

„Die stärksten Compliance-Programme bremsen Innovation nicht aus. Sie schaffen die Grundlage für sicheres Wachstum.“

Ein modernes Compliance-Prinzip
Teilen
Wissensdatenbank

Fußzeile

Starten Sie noch heute

Riskieren Sie keine Compliance-Verstöße. Bleiben Sie Risiken einen Schritt voraus.

Das AML-Playbook für Startups: Von null zu einem