Skip to main content

BaFin kündigt 75 Sonderprüfungen an. 
Die Prioritätenliste der BaFin für 2026 – So bereiten sich Banken und WpIs vor

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) verschärft ab 2026 ihren aufsichtsrechtlichen Fokus im Bereich Geldwäsche- und Terrorismusfinanzierungsprävention deutlich. Im Zentrum steht ein konsequent risikoorientierter Aufsichtsansatz, der darauf abzielt, hohe ML/TF-Risiken frühzeitig zu identifizieren, angemessen zu bewerten und wirksam zu überwachen. Für GwG-Verpflichtete bedeutet dies eine spürbare Intensivierung der Prüfungsdichte und zugleich steigende qualitative Anforderungen an Prozesse, Daten und Modelle. Insbesondere die Kunden-Risikoklassifizierung, der Umgang mit Hochrisikoländern sowie die Belastbarkeit interner Steuerungs- und Kontrollsysteme rücken verstärkt in den Fokus der Sonderprüfungen. Die folgenden Punkte geben einen Überblick über die zentralen Aufsichtsschwerpunkte und die daraus resultierenden Prüfungsrisiken für Banken und Finanzdienstleister im Jahr 2026.

BaFin Bericht über Risiken und Maßnahmen im Fokus 2026

AML/CFT Fokus 2026 – Aufsichtliche Erwartungen vs. Institutsverantwortung

Aufsichtlicher Fokus 2026 Konsequenz für Institute
Mindestens 75 Sonderprüfungen im AML/CFT-Bereich (BaFin – Risiken im Fokus 2026). Erhöhte Prüfungswahrscheinlichkeit – Sicherstellung vollständiger Dokumentation, Audit-Trail und belastbarer Kontrollnachweise.
Validierung der Kunden-Risikoklassifizierung (Low/Medium/High Risk). Überprüfung und Kalibrierung des Risikomodells, Testing von KYC- und EDD-Fällen sowie Überwachung von Trigger-Events.
Fokus auf Hochrisiko- und Drittstaatengeschäfte inkl. Sanktionsbezug. Aktualisierung von Länderlisten, Verschärfung der EDD-Standards und regelmäßige System- und Monitoringtests.
EU-weite Datenerhebung und Risikomodell- Vergleichbarkeit durch AMLA. Sicherstellung hoher Datenqualität, klare Data-Owner-Strukturen und Lieferfähigkeit gegenüber europäischen Stellen.
Übergang von EBA-Kompetenzen auf AMLA mit fortgeltenden Leitlinien. Weiteranwendung bestehender EBA-Guidelines, Monitoring neuer AMLA-Standards und Aufbau eines strukturierten Regulatory-Update-Prozesses.

FAQ: AML- & Aufsichts-Fokus 2026 – BaFin / AMLA / EBA / EU-VO

  • Worum geht es beim „AML- & Aufsichts-Fokus 2026“?

    Im Mittelpunkt steht die regulatorische Verdichtung rund um Geldwäscheprävention (AML) und Aufsicht: nationale Erwartungen der BaFin, europäische Leitlinien (u. a. EBA) sowie die fortschreitende EU-Harmonisierung inklusive neuer/konkretisierter Verordnungen und der operativen Ausrichtung der AMLA. Ziel ist ein prüfungssicheres, risikoadäquates AML-Framework für 2026.

  • Welche BaFin-Schwerpunkte sind 2026 typischerweise prüfungsrelevant?

    Fokusbereiche sind erfahrungsgemäß: Governance und Verantwortlichkeiten, Risikoinventur und -klassifizierung, Wirksamkeit der Sicherungsmaßnahmen (KYC/EDD, Monitoring), Qualität der Verdachtsmeldungen, sowie belastbare Nachweise (Dokumentation, Kontrollen, KPI/KRI). Entscheidend ist die nachprüfbare Wirksamkeit – nicht nur das Vorhandensein von Policies.

  • Was ändert sich durch AMLA – und was bleibt Aufgabe des Instituts?

    AMLA stärkt die EU-weite Kohärenz (Methodik, Aufsichtskonvergenz, Koordination). Für Institute bleibt aber zentral: ein konsistentes End-to-End-Design von Risikoanalyse bis Maßnahmenumsetzung, ein robustes Kontrollsystem sowie eine Audit-/Prüfspur, die Entscheidungen und Abweichungen nachvollziehbar begründet.

  • Welche Rolle spielen EBA-Leitlinien und EU-Verordnungen im AML-Setup?

    EBA-Guidelines und EU-Verordnungen geben Rahmen, Mindeststandards und Erwartungshaltungen vor – insbesondere für Risikomanagement, Kundenannahme, laufende Überwachung, Outsourcing/Third Parties und gruppenweite Steuerung. Für die Praxis heißt das: Mapping der Anforderungen auf Prozesse, klare Zuständigkeiten und messbare Kontrollen.

  • Was sind typische „Pain Points“ in Prüfungen (BaFin/Abschlussprüfer/Interne Revision)?

    Häufige Findings betreffen: unklare Risikologik (Scoring/Rating), inkonsistente KYC-Datenqualität, fehlende oder nicht wirksame Kontrollnachweise, unzureichende EDD-Dokumentation, schwache Alert- und Case-Management-Prozesse, sowie mangelnde Rückkopplung aus Verdachtsfällen in die Risikoanalyse (Lessons Learned).

  • Wie sollte ein „prüfungsfester“ AML-Risikobewertungsprozess 2026 aussehen?

    Ein prüfungsfester Prozess verbindet: (1) methodisch saubere Risikoanalyse (Kunde/Produkt/Region/Kanal), (2) konsistente Klassifizierung (inkl. Schwellen/Trigger), (3) Ableitung konkreter Maßnahmen (EDD, Monitoring, Limits), (4) regelmäßige Validierung/Backtesting und (5) dokumentierte Management-Entscheidungen inklusive Abweichungsbegründungen.

  • Welche Anforderungen gelten bei Outsourcing und Drittparteien (z. B. KYC-Services, Screening, IT)?

    Entscheidend sind klare Leistungsdefinitionen, Daten-/Qualitätsstandards, Kontroll- und Eskalationsmechanismen, Audit- und Zugriffsrechte sowie die Einbindung ins interne Kontrollsystem. Das Institut bleibt verantwortlich – insbesondere für Risikobewertung, Überwachung und Wirksamkeitsnachweise.

  • Wie lassen sich Monitoring, Alerts und Verdachtsmeldungen sinnvoll verzahnen?

    Gute Praxis: ein durchgängiger Case-Management-Flow mit klaren Entscheidungsregeln, SLAs, Qualitätskontrollen, Dokumentationsstandards und KPI/KRI. Alerts sollten risikobasiert kalibriert und regelmäßig optimiert werden; Verdachtsfälle fließen als Feedback in Szenarien, Schwellen und Risikoanalyse zurück.

  • Was bedeutet das für die Geschäftsleitung und die „Tone from the Top“?

    Die Geschäftsleitung muss Governance, Ressourcen und Risikotoleranz aktiv steuern: Verantwortlichkeiten (inkl. Stellvertretungen), Entscheidungsgremien, Priorisierung von Maßnahmen, sowie die Fähigkeit, zentrale AML-Entscheidungen gegenüber Prüfern konsistent zu erklären und zu vertreten.

  • Was sollten Institute jetzt konkret vorbereiten, um 2026 audit-ready zu sein?

    Sinnvoll sind: Gap-Analyse gegen aktuelle BaFin-/EU-Erwartungen, Überarbeitung der Risikoanalyse-Methodik, Datenqualitäts- und KYC-Verbesserungen, Stärkung der Nachweisführung (Kontrollen, Protokolle, Testing), sowie eine prüfungsfeste Dokumentation der Maßnahmenumsetzung (inkl. Trainings, Wirksamkeitsmessung, Issue-Management).

1. Ziel

Die BaFin verfolgt 2026 eine deutlich stärkere risikoorientierte Aufsicht. Kern ist eine belastbare und nachvollziehbare Kunden-Risikoklassifizierung. Hohe Risiken sollen frühzeitig identifiziert und angemessen überwacht werden. Fehlsteuerungen im Umgang mit Hochrisikoländern sollen reduziert werden. Insgesamt soll die Anfälligkeit des Finanzsektors für Geldwäsche und Terrorismusfinanzierung sinken. Dabei legt die Aufsicht besonderen Wert auf die konsistente Verzahnung von Risikoanalyse, operativer Umsetzung und Governance-Strukturen im Sinne des Three-Lines-of-Defense-Modells. Zudem werden Datenqualität, Modellvalidierung und die Wirksamkeit der internen Sicherungsmaßnahmen verstärkt als zentrale Steuerungs- und Prüfungsmaßstäbe herangezogen.

  • Frühzeitige Erkennung hoher Kunden- und Länderrisiken

  • Reduzierung von Steuerungslücken bei Hochrisikoländern

  • Stärkung der Stabilität und Marktintegrität

2. Zeitliche Umsetzungsvorgabe durch die BaFin

Für 2026 existiert kein einheitlicher öffentlicher Prüfungszeitplan. Die BaFin ordnet Sonderprüfungen anlass- und risikobasiert an. Die Prüfungen sind über das gesamte Jahr verteilt. Besonders risikoreiche Institute werden priorisiert. Jedes Institut erhält eine individuelle Prüfungsanordnung mit Vorlauf.

  • Kein fester Kalender für alle Institute

  • Prüfungen nach individueller Risikoeinschätzung

  • Schwerpunkt auf Hochrisiko-Geschäftsmodellen

3. Zielgruppe der BaFin

Die Maßnahmen richten sich an alle Verpflichteten nach dem Geldwäschegesetz. Dazu zählen Banken und sonstige Kreditinstitute. Ebenfalls betroffen sind Finanzdienstleister wie Wertpapier-, Zahlungs- und Kryptoinstitute. Der Schwerpunkt der Sonderprüfungen liegt klar auf Banken. Hochrisikoländer-Analysen betreffen jedoch alle Verpflichteten. Dabei erwartet die Aufsicht eine risikoorientierte Ausgestaltung der internen Sicherungsmaßnahmen gemäß §§ 5 und 6 GwG sowie eine nachvollziehbare Dokumentation der institutsindividuellen Risikoanalyse. Zudem rücken die Wirksamkeit des Transaktionsmonitorings, die Qualität der Verdachtsmeldeprozesse nach § 43 GwG und die ordnungsgemäße Durchführung verstärkter Sorgfaltspflichten (Enhanced Due Diligence) verstärkt in den Fokus der Prüfungen.

  • Banken als Hauptadressaten

  • Finanzdienstleister ebenfalls prüfungsrelevant

  • Fokus auf Kunden-Risikoklassifizierung

4. Pain Points

Die BaFin prüft zunehmend die Qualität der Risikomodelle. Nicht nur das Ergebnis, sondern die Herleitung des Scorings ist entscheidend. Datenqualität und -verfügbarkeit werden kritisch bewertet. UBO-Transparenz bleibt ein zentrales Risiko, insbesondere bei komplexen Strukturen. Länderlisten müssen künftig ad hoc aktualisiert werden. Zudem erwartet die Aufsicht eine revisionssichere Dokumentation der Modellannahmen einschließlich Validierungs- und Backtesting-Prozessen. Auch die Schnittstellen zwischen KYC-Systemen, Transaktionsmonitoring und Sanktionslisten-Screening werden verstärkt auf Konsistenz, Datenintegrität und zeitnahe Aktualisierung geprüft. Darüber hinaus rückt die Governance-Struktur rund um das AML-Framework in den Fokus, insbesondere die klare Zuordnung von Data Ownership, Kontrollverantwortung und Eskalationswegen im Three-Lines-of-Defense-Modell.

  • Nachvollziehbare Modell- und Parameterlogik

  • Hohe Anforderungen an Datenqualität

  • Schnelle Reaktion auf Hochrisikoländer

5. Action Plan

Institute müssen frühzeitig mit der Vorbereitung beginnen. Zentrale Hebel sind Dokumentation, Risikoklassifizierung und Governance. Interne Gap-Analysen schaffen Transparenz über Schwachstellen. Dry-Run-Prüfungen erhöhen die Prüfungssicherheit. Schulungen und klare Rollenverteilungen sind essenziell. Dokumentation und Risikoanalyse sollten daher sofort geprüft und auf Vollständigkeit, Aktualität sowie Konsistenz mit den tatsächlichen Geschäfts- und Risikostrukturen abgeglichen werden. Ebenso ist die Kunden-Risikoklassifizierung zu kalibrieren, indem Scoring-Parameter, Gewichtungen und Trigger-Events validiert und – falls erforderlich – neu justiert werden. Darüber hinaus sind interne Probeprüfungen und gezielte Schulungen durchzuführen, wobei insbesondere die Prozesse zur Identifizierung, Bewertung und unverzüglichen Abgabe von Verdachtsmeldungen nach § 43 GwG praxisnah getestet und dokumentiert werden sollten, um Meldefähigkeit und Reaktionszeiten belastbar nachzuweisen.

  • Dokumentation und Risikoanalyse sofort prüfen

  • Kunden-Risikoklassifizierung kalibrieren

  • Interne Probeprüfungen und Schulungen durchführen

Vorstand-Checkliste AML/CFT 2026 – Governance & Prüfungsfestigkeit

Prüffeld / Erwartung der Aufsicht Konkreter Vorstands-Handlungsbedarf
Risikoanalyse (§ 5 GwG): nachvollziehbare Methodik, aktuelle Datenbasis, dokumentierte Annahmen und konsistente Ableitung von Kontrollen. Methodik und Scope prüfen lassen, Versionierung/Change-Log sicherstellen und formelle Vorstandsfreigabe revisionssicher dokumentieren.
Interne Sicherungsmaßnahmen (§ 6 GwG): wirksamer Kontrollrahmen und klare Verantwortlichkeiten im Three-Lines-of-Defense-Modell. Kontrollmatrix bestätigen und Compliance materiell ausstatten (Budget, IT-Kapazitäten, Personal, Eskalationsrechte).
Kunden-Risikoklassifizierung: transparente Parameterlogik, Trigger-Events, regelmäßige Modellvalidierung und Re-Kalibrierung. Scoring-Parameter, Gewichtungen und Re-Kalibrierungszyklus formal freigeben, Validierungsnachweise (z. B. Backtesting) berichten lassen.
Datenqualität & Systemkonsistenz: Abgleich zwischen CRM-/KYC-Daten, Transaktionsmonitoring und Sanktionsscreening („Single Source of Truth“). Data Owner benennen, Daten-Governance etablieren und Datenqualitäts-KPIs (Vollständigkeit, Aktualität, Konsistenz) regelmäßig reporten lassen.
UBO-Transparenz: Plausibilisierung wirtschaftlich Berechtigter bei komplexen Eigentümerstrukturen, erhöhtes Missbrauchsrisiko. EDD-Standards verschärfen, Eskalations- und Prüfprozesse festlegen und Nachweisketten (Ownership-Chain) prüfungsfest dokumentieren.
Hochrisikoländer: ad-hoc Aktualisierung von Länderlisten, Ableitung von EDD-Triggern und Reduktion von Fehlsteuerungen. Prozess zur kurzfristigen System- und Policy-Anpassung beschließen (Kommunikation, IT-Umsetzung, Kontrolltests) und Wirksamkeit nachhalten.
Quelle: BaFin – „Risiken im Fokus 2026“, Pressemitteilung vom 28. Januar 2026
www.bafin.de

Offizielle Quelle der BaFin – AML/CFT Fokus 2026

S+P C.O.R.E.

Strategische Exzellenz auf C-Level erfordert kontinuierliche Orientierung. Damit du nach deinem Lehrgang nicht allein gelassen wirst, haben wir S+P C.O.R.E. entwickelt.

S+P Mehrwert-Garantie: Dein Wissens-Vorsprung für 2026

Jede Buchung eines S+P Seminars beinhaltet automatisch den kostenfreien Zugang zum quartalsweisen S+P C.O.R.E. Executive Update. Warum? Weil wir wissen, dass die regulatorische Welt nicht stillsteht. Wir halten dein Wissen aktuell – garantiert.

S+P C.O.R.E

Dein Mehrwert mit S+P C.O.R.E.

Fokusbereich Dein konkreter Mehrwert
Compliance Sicherheit im Handeln: Einordnung aktueller Anforderungen (z. B. DORA / NIS 2, EU AI Act, ESG, Compliance), damit du genau weißt, was für Haftung und Praxis tatsächlich relevant ist.
Optimization Effizienz statt Bürokratie: Umsetzung regulatorischer Vorgaben mit smarten Prozessen, geeigneten Tools und effizienten Outsourcing-Strukturen.
Regulatory Frühwarnsystem nutzen: Strukturierte Bewertung neuer Aufsichtsschwerpunkte und regulatorischer Trends, bevor sie zum akuten Handlungsdruck werden.
Exchange Vorsprung durch Dialog: Austausch im geschützten Raum mit Fach- und Führungskräften auf Augenhöhe – mit praxiserprobten Lösungsansätzen aus dem Kreis deiner Peers.
Bekannt aus

S+P als Fachexperte in den Medien – Governance & Haftung für Geschäftsführer