Skip to main content

EBA vs. AMLA: Nur „wenig Änderungen“ im CDD-Entwurf – oder versteckt sich der Teufel im Detail? Jedenfalls ist C-Level-Haftung ein Thema.

Warum Sie diesen Artikel lesen sollten:

  • Haftungsrisiken durch unbestimmte Rechtsbegriffe bei Sanktionen  gemäß Art. 53 RL 2024/1640 (Geldwäscherichtlinie / AMLD6)
    Hier liegt das größte persönliche Haftungsrisiko. Die Geschäftsführung muss das Risikomanagement verantworten und finanzielle Rückstellungen für mögliche Strafen bilden. Ohne klares Case Law ist es jedoch fast unmöglich, das finanzielle Risiko rechtssicher zu quantifizieren.

  • Die IT-Legacy-Falle bei dynamischen Kundenprofilen, Art. 33 RTS – Technische Standards für Kundensorgfaltspflichten (CDD).
    Das Management wird mit massiven Budgetforderungen konfrontiert. Das Aufbrechen alter IT-Silos, um KYC-Datenbanken und Transaktionsmonitoring-Systeme (TMS) in Echtzeit zu vernetzen, ist ein teures Großprojekt. Wird hier gespart, drohen durch veraltete Profile automatisch regulatorische Verstöße.

  • Margendruck durch das Ende des „schlanken“ Onboardings, Art. 19 AMLR (Geldwäscheverordnung 2024/1624).  Strategisches Kopfzerbrechen: Nutzergruppen, die bisher kaum Ertrag brachten und durch günstige, automatisierte „Light-KYC“-Prozesse liefen, müssen künftig voll überwacht werden. Die Onboarding-Kosten pro Kunde steigen drastisch, was bestimmte digitale Geschäftsmodelle oder Preisstrukturen im Niedrigpreissegment unrentabel machen kann.

Einleitung

Die regulatorische Landschaft der Geldwäschebekämpfung (AML) erreicht im Frühjahr 2026 eine kritische Phase. Mit der Einleitung dreier zentraler Konsultationsverfahren durch die neue EU-Aufsichtsbehörde AMLA am 9. Februar wird das Fundament für die operative Compliance der nächsten Jahre gegossen.

Für das C-Level bedeutet dies: Die Ära der vagen Auslegungen endet. Besonders relevant ist der Schwenk hin zu einem konsequent risikobasierten Ansatz bei der Aktualisierung von Kundendaten (CDD) – weg von starren Fünf-Jahres-Fristen, hin zu dynamischen Zyklen. Parallel dazu verschärft die AMLA die Leitplanken für Sanktionen und Bußgelder, was das persönliche Haftungsrisiko der Geschäftsführung direkt tangiert. Da die ersten Fristen bereits im März 2026 auslaufen, ist für Institute jetzt der Zeitpunkt gekommen, ihre internen Kontrollsysteme (IKS) und Onboarding-Strecken an die neuen technischen Standards für Geschäftsbeziehungen und Transaktionsüberwachung anzupassen. Wer hier die Weichen falsch stellt, riskiert nicht nur regulatorische Rügen, sondern empfindliche Zwangsgelder unter dem neuen Aufsichtsregime

AMLA prescht vor: Neue EU- Staqndards für Kundensorgfaltspflichten (CDD) und Bußgelder in der Konsultation

FAQ: AMLA-Regulierung 2026 – Was ändert sich bei CDD und C-Level-Haftung?

  • Was ist der Kern der neuen AMLA-Regulierung im Frühjahr 2026?

    Die neue EU-Aufsichtsbehörde AMLA erzwingt einen Schwenk hin zu einem konsequent risikobasierten Ansatz bei der Aktualisierung von Kundendaten (CDD) – weg von starren Fünf-Jahres-Fristen. Gleichzeitig werden die Leitplanken für Sanktionen und Bußgelder verschärft, was das persönliche Haftungsrisiko der Geschäftsführung (C-Level) direkt erhöht.

  • Welche wichtigen Fristen müssen Institute im Frühjahr 2026 beachten?

    Die offiziellen AMLA-Fristen sind der 09. März 2026 (Stellungnahmen zu Geldbußen/Verstößen) und der 08. Mai 2026 (Stellungnahmen zu CDD und Geschäftsbeziehungen). Wenn Sie Mitglied des VIB sind, gelten vorgezogene interne Fristen: 03. März und 27. April 2026. Zudem findet am 24. März 2026 eine wichtige öffentliche Online-Anhörung statt.

  • Welche neuen Pflichten und Risiken kommen auf das C-Level zu?

    Für das C-Level geht es primär um Haftungsvermeidung. Der Vorstand muss sicherstellen, dass das Risikomanagement „schwere Verstöße“ systemisch ausschließt. Zudem müssen Budgets für dynamische IT-Systeme freigegeben werden, da das Management für die Implementierung der neuen technischen Standards (RTS) direkt haftbar gemacht werden kann.

  • Worin besteht die „IT-Legacy-Falle“?

    Bestehende KYC-Systeme arbeiten oft mit statischen Wiedervorlage-Fristen (z. B. alle 5 Jahre). Die neuen Regeln fordern jedoch dynamische, ad hoc angestoßene Neu-Identifizierungen bei Risikoänderungen (z. B. ungewöhnliche Transaktionen). Greift diese Logik nicht, veralten Profile unbemerkt, was die AMLA als systemischen Verstoß hart sanktionieren kann.

  • Warum wird die Online-Registrierung zur Falle für Institute?

    Die AMLA plant, dass bereits die Registrierung für Online-Dienste als dauerhafte „Geschäftsbeziehung“ gewertet wird. Kunden, die bisher mit einem schlanken KYC als „gelegentliche Transaktion“ geführt wurden, erfordern nun ein Full-KYC. Dies bedeutet einen massiven Anstieg des operativen Aufwands für teils wenig ertragreiche Nutzergruppen.

  • Warum ist die Festsetzung von Geldbußen ein rechtliches Risiko?

    Die Kriterien der AMLA für „schwere Verstöße“ (Art. 53 RL) sind oft qualitativ, wie etwa der „Grad der Fahrlässigkeit“. Ohne bestehende Rechtsprechung (Case Law) herrscht hier Rechtsunsicherheit. Das C-Level muss Rückstellungen bilden, ohne genau zu wissen, wie die Behörde ihren Ermessensspielraum ausnutzen wird.

  • Wie verändert sich das Transaktionsmonitoring?

    Kundensorgfaltspflichten (CDD) und Transaktionsmonitoring (TMS) müssen zwingend verknüpft werden. Wenn das TMS eine Transaktion nicht blockt, nur weil das in einem separaten Datensilo liegende KYC-Profil veraltet ist, wertet die AMLA dies als Versagen der „kontinuierlichen Überwachung“.

  • Welche Aufgaben fallen in den Bereich der Compliance-Abteilung?

    Die Compliance fungiert als Architekt der neuen Prozesse. Sie muss die internen Richtlinien (Policies) von „starr“ auf „risikobasiert“ umstellen, das Fristen- und Konsultationsmanagement mit den Behörden koordinieren und das finanzielle Sanktionsrisiko bei Mängeln kalkulieren.

  • Was müssen Geldwäschebeauftragte (MLROs) operativ umsetzen?

    MLROs müssen prüfen, welche bisherigen Gelegenheitskunden nun als „Geschäftsbeziehung“ eingestuft werden. Sie definieren konkrete Trigger-Events (z. B. Medienberichte oder Länderwechsel) für ad-hoc Updates und müssen sicherstellen, dass die lückenlose Verknüpfung von Kundenprofil und Transaktion bei möglichst geringen Fehlalarmen (False Positives) funktioniert.

  • Welche Sofortmaßnahmen sollten unternehmensweit ergriffen werden?

    Empfohlen wird die sofortige Anmeldung zur öffentlichen AMLA-Anhörung am 24. März 2026, um operative Härten zu adressieren. Zudem sollte umgehend eine Gap-Analyse der internen Kontrollen gegen die neuen Schweregrad-Indikatoren (Art. 53) durchgeführt werden, um Haftungsrisiken proaktiv zu minimieren.

Wesentliche Zeitfenster

1. Offizielle AMLA-Fristen (Einreichung bei der EU-Behörde)

09. März 2026 (23:59 Uhr MESZ): Stellungnahmen zum Entwurf über die Schwere von Verstößen und die Festsetzung von Geldbußen (Art. 53 Abs. 10 RL 2024/1640).

08. Mai 2026 (23:59 Uhr MESZ): Stellungnahmen zu den technischen Standards für Kundensorgfaltspflichten (CDD, Art. 28 Abs. 1 Verordnung 2024/1624).

08. Mai 2026 (23:59 Uhr MESZ): Stellungnahmen zu Kriterien für Geschäftsbeziehungen und Transaktionen (Art. 19 Abs. 9 Verordnung 2024/1624).

2. Fristen für betroffene Unternehmen

Wenn Sie Mitglied des VIB sind und möchten, dass Ihre Anmerkungen in die Verbandsstellungnahme einfließen, gelten diese früheren Daten:

03. März 2026: Rückmeldefrist für das Papier zu Geldbußen/Verstößen (Art. 53).

27. April 2026: Rückmeldefrist für die Papiere zu Geschäftsbeziehungen und Kundensorgfaltspflichten.

3. Wichtige Termine für die Agenda

24. März 2026: Öffentliche Online-Anhörung der AMLA zu den RTS über Geschäftsbeziehungen und Kundensorgfaltspflichten.

Pflichten und Zuständigkeit

1. C-Level (Vorstand & Geschäftsführung)

Für die Führungsebene geht es primär um Haftungsvermeidung und Ressourcenallokation.

  • Strategische Risiko-Verantwortung: Gemäß der neuen Methodik zu Art. 53, muss das Management sicherstellen, dass das Risikomanagement-Framework (RMF) nicht nur auf dem Papier existiert, sondern „schwere Verstöße“ systemisch ausschließt.

  • Budgetierung für IT & Transformation: Der Wechsel von starren 5-Jahres-Zyklen zu risikobasierten Echtzeit-Updates (Art. 33) erfordert Investitionen in dynamische Daten-Systeme.

  • Aufsichts-Reporting: Das C-Level steht in der direkten Schusslinie der AMLA. Die Pflicht zur Implementierung der neuen technischen Standards (RTS) ist eine Kernaufgabe der Geschäftsleitung (Tone from the Top).

2. Compliance (Zentrale Funktion)

Die Compliance fungiert als Architekt der neuen Prozesse.

  • Prozess-Reengineering: Die CDD-Leitlinien müssen von „starr“ auf „risikobasiert“ umgestellt werden. Compliance muss die internen Richtlinien (Policies) an die neuen RTS-Entwürfe anpassen.

  • Fristen- und Konsultationsmanagement: Da die AMLA-Fristen (z. B. 8. Mai 2026) bindend sind, muss Compliance die fachliche Korrespondenz mit den Aufsichtsbehörden koordinieren.

  • Sanktions-Monitoring: Compliance muss die neue Methodik zur Bußgeldberechnung analysieren, um das finanzielle Risiko bei festgestellten Mängeln für das Unternehmen zu kalkulieren.

3. Geldwäschebeauftragte / AML-Spezialisten

Hier liegt die operative Umsetzung im Maschinenraum der Geldwäschebekämpfung.

  • Neudefinition von Geschäftsbeziehungen (Art. 19): AML-Teams müssen prüfen, welche Kunden (insb. Online-Nutzer ohne physische Präsenz) nun zwingend als „Geschäftsbeziehung“ statt als „Gelegenheitstransaktion“ eingestuft werden müssen.

  • Kontinuierliche Überwachung (Art. 26 Abs. 2): Die Pflicht zur Transaktionsüberwachung wird verschärft. Die MLROs müssen sicherstellen, dass die Verknüpfung zwischen Kundenprofil und Transaktionsmuster lückenlos ist.

  • Risikoprofiling: Statt Kunden alle 5 Jahre anzuschauen, müssen AML-Spezialisten nun Kriterien festlegen, wann ein Profil „ad hoc“ aufgrund von Risikoänderungen aktualisiert werden muss.

Pain Points im Rahmen der Umsetzung

1. Die IT-Legacy-Falle (Art. 33 RTS)

Der Wechsel von der starren 5-Jahres-Frist hin zu einem risikobasierten Aktualisierungszyklus klingt theoretisch effizient, ist technisch aber ein Albtraum.

  • Das Problem: Bestehende KYC-Systeme sind oft auf statische Wiedervorlage-Daten programmiert. Die Systeme müssen nun „lernen“, bei bestimmten Events (z. B. Adressänderung, ungewöhnliches Transaktionsmuster, Media-Alert) ad hoc eine Neu-Identifizierung anzustoßen.

  • Risiko: Wenn die Logik im Hintergrund nicht sauber greift, veralten Profile unbemerkt – ein systemischer Verstoß, den die AMLA laut neuem Bußgeld-RTS hart sanktionieren kann.

2. Die „Online-Registrierungs“-Falle (Art. 19 AMLR)

Die AMLA schlägt vor, dass allein die Registrierung für Online-Dienste den Zugang dauerhaft ermöglicht und somit fast immer als „Geschäftsbeziehung“ gilt.

  • Das Problem: Bisher konnten viele Institute im Niedrigpreissegment oder bei einfachen digitalen Dienstleistungen Kunden als „gelegentliche Transaktion“ führen (schlankes KYC).

  • Risiko: Ein massiver Anstieg des operativen Aufwands (Full KYC) für Nutzergruppen, die eigentlich kaum Ertrag bringen, aber nun regulatorisch voll überwacht werden müssen.

3. Interpretationsspielraum bei „Schwere des Verstoßes“ (Art. 53 RL)

Die neue Methodik zur Festsetzung von Geldbußen ist für das C-Level ein juristisches Minenfeld.

  • Das Problem: Was genau macht einen Verstoß „schwer“? Die Kriterien sind oft qualitativ (z. B. „Grad der Fahrlässigkeit“ oder „systemisches Versagen“).

  • Risiko: Ohne klare Case Law der neuen AMLA herrscht Rechtsunsicherheit. Das C-Level muss Rückstellungen bilden, ohne genau zu wissen, wie die AMLA ihren Ermessensspielraum nutzen wird.

4. Datenqualität vs. Transaktionsmonitoring (Art. 26 Abs. 2)

Die Verknüpfung von Kundensorgfaltspflichten (CDD) und kontinuierlicher Überwachung wird zwingend.

  • Das Problem: In vielen Häusern sind KYC-Daten und Transaktionsmonitoring-Systeme (TMS) getrennte Silos.

  • Risiko: Wenn das TMS eine Transaktion nicht blockt, weil das KYC-Profil veraltet ist (oder umgekehrt), wertet die AMLA dies als Versagen der „kontinuierlichen Überwachung“.

Quick-Check: AMLA-Compliance – Ist Ihr Institut auf die neuen CDD-Standards vorbereitet?

Check Zentrale Fragestellung zur AMLA-Umsetzung 2026
IT-Budget für dynamisches KYC freigegeben?
Sind Ressourcen für den Wechsel von starren 5-Jahres-Zyklen auf ad-hoc, risikobasierte Echtzeit-Updates (Art. 33) allokiert?
Umgang mit Online-Registrierungen geklärt?
Ist das Business-Modell bezüglich „gelegentlicher Transaktionen“ vs. dauerhafter „Geschäftsbeziehung“ (Art. 19) überprüft und ggf. das Onboarding-Budget angepasst?
Haftungs-Audit für das C-Level initiiert?
Hält die Dokumentation von Risikoentscheidungen den neuen Kriterien für „schwere Verstöße“ (Art. 53) stand, um persönliche Sanktionen zu vermeiden?
Fristen- & Konsultationsmanagement gesichert?
Sind die Rückmeldefristen (z. B. 8. Mai 2026 für CDD) im Blick und Gap-Analysen basierend auf den aktuellen RTS-Entwürfen angestoßen?
AML-Richtlinien an RTS-Entwürfe angepasst?
Werden die internen Policies von der Compliance-Funktion rechtzeitig auf die neuen risikobasierten Anforderungen umgestellt?
Silos zwischen KYC und TMS aufgebrochen?
Ist die lückenlose Verknüpfung von Kundensorgfaltspflichten (CDD) und kontinuierlicher Transaktionsüberwachung (Art. 26 Abs. 2) technisch in Umsetzung?
Trigger-Events für CDD definiert?
Gibt es im operativen Betrieb klare Kriterien (z. B. Medienberichte, Transaktionsspitzen), die sofortige Ad-hoc-Profilaktualisierungen auslösen?

🚦 Einordnung aus Sicht von Aufsicht & Haftung (C-Level)

ROT
Hohe Haftungs-, Bußgeld- und Systemrisiken
GELB
Teilweise strukturierte AML-Transformation
GRÜN
Risikobasierte Compliance zukunftssicher aufgestellt

Action Plan

1. Sofort-Maßnahmen (Sektorenübergreifend)

  • Anmeldung zur AMLA-Anhörung (Deadline Nahe): Registrierung für die Online-Anhörung am 24. März 2026. Die Plätze sind oft limitiert. Dies ist die letzte Chance, operative Härten (z. B. bei der Definition von Online-Registrierungen) direkt bei der EU-Behörde zu adressieren.

  • Status-Check Bußgeld-RTS: Da die Konsultationsfrist am 9. März endete, muss geprüft werden, ob eine Stellungnahme abgegeben wurde. Falls nicht: Sofortige Gap-Analyse der internen Kontrollen gegen die neuen Schweregrad-Indikatoren (Art. 53), um das Haftungsrisiko proaktiv zu minimieren. 2. Maßnahmen für das C-Level (Strategie & Haftung)

2. Maßnahmen für das C-Level (Strategie & Haftung)

  • Überprüfung des Business-Modells (Art. 19): Entscheidung darüber, wie mit "gelegentlichen" Online-Nutzern umgegangen wird. Wenn die AMLA-Kriterien (Online-Login = Geschäftsbeziehung) kommen, müssen Onboarding-Budgets massiv aufgestockt werden.

  • Ressourcen-Freigabe für IT-Transformation: Freigabe von Mitteln für das Re-Engineering der KYC-Systeme. Der Wechsel von statischen (5 Jahre) zu dynamischen (risikobasierten) Zyklen ist ein IT-Großprojekt.

  • Haftungs-Audit: Beauftragung einer Prüfung, ob die aktuelle Dokumentation der Risikoentscheidungen den neuen Anforderungen an "systemische Verstöße" standhält, um persönliche Sanktionen zu vermeiden.

3. Maßnahmen für Compliance (Prozesse & Recht)

  • Entwurf der Stellungnahme (Deadline 8. Mai): Ausarbeitung des fachlichen Feedbacks zu den RTS für CDD und Geschäftsbeziehungen. Fokus: Praxistauglichkeit der risikobasierten Aktualisierung.

  • Anpassung der AML-Policy: Entwurf einer Übergangsrichtlinie, die den Verweis von Art. 23 (vereinfacht) auf Art. 26 Abs. 2 (kontinuierliche Überwachung) korrigiert, wie von der AMLA gefordert.

  • Schnittstellen-Management: Initiierung eines Projekts zur engeren Verzahnung von KYC-Daten und Transaktionsmonitoring (Silo-Aufbrechung).

4. Maßnahmen für Geldwäschebeauftragte (Operative Umsetzung)

  • Inventur der "Occasional Transactions": Identifikation aller Kundenprozesse, die bisher ohne Full-KYC liefen, und Bewertung des Umstellungsaufwands auf "Business Relationship".

  • Definition von Trigger-Events (Art. 33): Festlegung von konkreten Ereignissen (z. B. Transaktionsspitzen, Länderwechsel, Medienberichte), die eine sofortige CDD-Aktualisierung außerhalb des Standardzyklus auslösen.

  • Testlauf "Continuous Monitoring": Simulation der neuen Monitoring-Logik gemäß Art. 26 Abs. 2, um Fehlalarme (False Positives) durch die engere Verknüpfung von Kundenprofil und Transaktion zu minimieren.
Aufsichtsrecht
Compliance
Geldwäsche

EBA vs. AMLA – Status Quo vs. Neue regulatorische Anforderungen im CDD-Entwurf

Themenfeld Bisher: Status Quo (EBA-Leitlinien) Neu: AMLA-Regime (RTS-Entwürfe ab 2026)
Aktualisierung von Kundendaten (CDD) Starre Fünf-Jahres-Fristen für die regelmäßige Wiedervorlage und Überprüfung. Konsequent risikobasierter Ansatz mit dynamischen Zyklen und Echtzeit-Updates (Art. 33).
Einstufung von Online-Diensten Kunden konnten oft als „gelegentliche Transaktion“ geführt werden (schlankes KYC). Allein die Registrierung ermöglicht dauerhaften Zugang und gilt fast immer als „Geschäftsbeziehung“ (Full KYC, Art. 19).
IT-Systeme & Monitoring Bestehende KYC-Systeme sind primär auf statische Wiedervorlage-Daten programmiert. Systeme müssen ad hoc bei „Trigger-Events“ (z. B. Adressänderung, Media-Alert) Neu-Identifizierungen anstoßen.
KYC & Transaktionsmonitoring (TMS) KYC-Datenbanken und TMS-Systeme arbeiten häufig als voneinander getrennte Silos. Zwingende und lückenlose Verknüpfung beider Systeme zur „kontinuierlichen Überwachung“ (Art. 26 Abs. 2).
Haftung & Bußgelder (C-Level) Ära der vagen Auslegungen mit begrenztem persönlichem Haftungsrisiko. Neue Methodik für „schwere“ und „systemische Verstöße“ (Art. 53), C-Level steht bei Mängeln in der direkten Schusslinie.
Rolle der Compliance Überwachung von Fristen und statischen Leitlinien. Architekt der Prozess-Umstellung („starr“ auf „risikobasiert“) und aktives Schnittstellen-Management.
Operativer Aufwand Berechenbarer Aufwand durch feste Aktualisierungsintervalle. Massiver Anstieg des Ressourcen- und IT-Bedarfs durch Ad-hoc-Profiling und verschärfte Continuous-Monitoring-Logik.

Offizielle Quellen der AMLA

AI Compliance Officer – S+P Seminare

Verwandte Hubs & Programme

Future Governance & Performance Hub

Steuere DORA, ESG und KI mit System. Der zentrale Hub für C-Level-Führungskräfte, die Governance in messbare Performance übersetzen.

Zum Hub

DORA Compliance Expert

Baue IKT-Resilienz auf und erfülle die Anforderungen des DORA Acts mit praxiserprobten Tools.

Zum Lehrgang

KI-Governance & AI Act

Setze KI rechtskonform ein und erfülle die Anforderungen des EU AI Acts.

Mehr zu diesem Thema

ESG-Compliance Manager

Integriere ESG- und CSRD-Anforderungen wirksam in deine Governance-Struktur.

Zum ESG-Lehrgang

Compliance Excellence (C-Level)

Strategische Compliance-Kompetenz für Geschäftsführung und Aufsichtsorgane.

Zu den Seminaren

Cyber & Mentale Resilienz

Stärkung der organisatorischen Widerstandskraft durch BCM und Krisenmanagement.

Zum Resilience-Lehrgang

AI Compliance Officer

Praxisnahe Umsetzung des EU AI Acts mit Policies, Vorlagen und Governance-Frameworks.

Zum Seminar

S+P C.O.R.E.

Strategische Exzellenz auf C-Level erfordert kontinuierliche Orientierung. Damit du nach deinem Lehrgang nicht allein gelassen wirst, haben wir S+P C.O.R.E. entwickelt.

S+P Mehrwert-Garantie: Dein Wissens-Vorsprung für 2026

Jede Buchung eines S+P Seminars beinhaltet automatisch den kostenfreien Zugang zum quartalsweisen S+P C.O.R.E. Executive Update. Warum? Weil wir wissen, dass die regulatorische Welt nicht stillsteht. Wir halten dein Wissen aktuell – garantiert.

S+P C.O.R.E

Dein Mehrwert mit S+P C.O.R.E.

Fokusbereich Dein konkreter Mehrwert
Compliance Sicherheit im Handeln: Einordnung aktueller Anforderungen (z. B. DORA / NIS 2, EU AI Act, ESG, Compliance), damit du genau weißt, was für Haftung und Praxis tatsächlich relevant ist.
Optimization Effizienz statt Bürokratie: Umsetzung regulatorischer Vorgaben mit smarten Prozessen, geeigneten Tools und effizienten Outsourcing-Strukturen.
Regulatory Frühwarnsystem nutzen: Strukturierte Bewertung neuer Aufsichtsschwerpunkte und regulatorischer Trends, bevor sie zum akuten Handlungsdruck werden.
Exchange Vorsprung durch Dialog: Austausch im geschützten Raum mit Fach- und Führungskräften auf Augenhöhe – mit praxiserprobten Lösungsansätzen aus dem Kreis deiner Peers.
Bekannt aus

S+P als Fachexperte in den Medien – Governance & Haftung für Geschäftsführer