I. Einführung in die Thematik

Dieser Artikel ist für Geldwäschebeauftragte essenziell, da die neuen AMLA-Leitlinien den Maßstab für Deine künftige Risikoanalyse definieren. Du erfahrährst präzise, wie Sie inhärente und Restrisiken nach EU-Standard bewerten musst. Bleib haftungssicher, indem Du die neuen Anforderungen an Methodik und Dokumentation frühzeitig verstehst und proaktiv umsetzts.

Die AMLA hat mit ihrem aktuellen Konsultationspapier die Anforderungen an die unternehmensweite Risikobewertung sogenannten „Business-Wide Risk Assessment“ (BWRA) grundlegend verschärft. Basierend auf Art. 10 Abs. 4 der Verordnung (EU) 2024/1624 müssen Verpflichtete künftig vier spezifische Mindestanforderungen erfüllen: einen detaillierten Geschäftsüberblick (1), die präzise Identifikation inhärenter Risiken (2), eine Bewertung der Kontrollqualität (3)sowie die Einstufung verbleibender Restrisiken (4). Besonders kritisch ist die neue Pflicht nach Art. 10 Abs. 1 AMLR, auch Risiken der Nichtumsetzung oder Umgehung gezielter Finanzsanktionen (TFS) explizit zu würdigen.

Normativ rückt die Governance ins Zentrum: Gemäß Art. 10 Abs. 2 AMLR ist eine formale Genehmigung der BWRA durch das Leitungsorgan zwingend erforderlich. Da die Geschäftsführung damit die Letztverantwortung für die Angemessenheit der AML/CFT-Maßnahmen übernimmt, verschärft sich das Risiko einer persönlichen Haftung bei unzureichender Risikoanalyse oder fehlenden Ressourcen. Das BWRA ist somit kein reines Compliance-Dokument mehr, sondern ein haftungsrelevantes Steuerungsinstrument der Unternehmensleitung.

Folgende Fristen sind für die Konsultationsverfahren und die finale Umsetzung relevant:

1. Fristen für öffentliche Stellungnahmen (Feedback)

Interessenträger können zu den Entwürfen der AMLA Feedback einreichen:

Gruppenweite Anforderungen (RTS zu Art. 16/17): Stellungnahmen müssen bis zum 15. Juni 2026 (23:59 Uhr MESZ) eingereicht werden.

Unternehmensweite Risikobewertung (BWRA-Leitlinien): Die Frist für Stellungnahmen endet am 15. Juli 2026 (23:59 Uhr MESZ).

2. Termine für öffentliche Online-Anhörungen

Die AMLA bietet Online-Termine an, um die Entwürfe direkt zu diskutieren:

Anhörung zu gruppenweiten Anforderungen (RTS): 20. Mai 2026, 10:00–12:00 Uhr MEZ.

Anhörung zur unternehmensweiten Risikobewertung (BWRA): 28. Mai 2026, 10:00–12:00 Uhr MEZ.

3. Interne Fristen (z. B. für VIB-Mitglieder)

Der Verband bittet um interne Zuleitung von Anmerkungen zu folgenden Terminen:

Bis zum 11. Juni 2026: Bezüglich der gruppenweiten Anforderungen (RTS).

Bis zum 13. Juli 2026: Bezüglich der Leitlinien zur Risikobewertung (BWRA).

4. Zeitplan für die finale Veröffentlichung

Vierte Quartal 2026 (Q4 2026): Die AMLA plant, das Feedback aus der Konsultation zu berücksichtigen und die finalen Leitlinien in diesem Zeitraum zu veröffentlichen.

5. Fristenrelevanz nach persönlicher Stellung im Unternehmen

a.) Management / C-Level (Leitungsorgan)

Relevanz: Hearing (28.05.2026) & Finalisierung (Q4 2026).

Kernpflicht: Der Compliance Officer erstellt die BWRA, aber das Leitungsorgan genehmigt sie zwingend.

Haftung: Die Genehmigung begründet eine persönliche Geschäftsleiter-Verantwortung, mithin Haftungsfolge nach §§ 4a, 56 GwG..

Strategie: Entscheidungen über Budget, Ressourcen und die Anwendung der Proportionalitätsregel (schlankere Analyse für weniger komplexe Häuser) liegen beim Board, nicht in der Fachabteilung.

b.) Geldwäschebeauftragter (GwB)

Relevanz: Konsultationsfrist (15.07.2026).

Operative Rolle: Der GwB ist der Ersteller der BWRA.

Handlungsbedarf: Bis 15.07. müssen Bedenken zur Praktikabilität (Methodik-Mapping, Update-Zyklen, Nutzung sektoraler BWRA-Vorlagen) eingebracht werden.

Umsetzung: Nach Q4 2026 müssen bestehende Risikoanalysen (GwG) gegen die finalen AMLA-Leitlinien gemappt werden – Zieltermin ist der 10.07.2027

c.) Compliance / Outsourcing / Revision

Relevanz: Fokus auf Q4 2026 (Architektur & Prüfung).

Schnittstellen:

Gruppe: Integration der BWRA in den gruppenweiten Datenaustausch (Art. 16/17 AMLR).

Outsourcing: Anpassung von SLAs und Verantwortungsmatrizen bei externen GwB-Mandaten.

Revision: Anpassung der Prüfprogramme (z. B. IDW PS 525) an die neue dreiphasige AMLA-Methodik (Inhärent- / Kontroll- / Restrisiko).

Mit dem neuen AML-Rahmenwerk verschärfen sich die Anforderungen an die unternehmensweite Risikobewertung (BWRA) massiv. Zur Vorbereitung auf die finale Umsetzung in Q4 2026 ist eine klare Abgrenzung der Verantwortlichkeiten entscheidend. Im Folgenden werden die spezifischen Pflichten für Management, Geldwäschebeauftragte und Compliance detailliert vorgestellt.

1. C-Level / Geschäftsführung (Leitungsorgan)

Die Geschäftsführung trägt die strategische Letztverantwortung und unterliegt einer verschärften Governance-Kontrolle.

• Genehmigungspflicht (Art. 10 Abs. 2 AMLR): Das Leitungsorgan muss die unternehmensweite Risikobewertung (BWRA) formal prüfen und genehmigen.
  
  
• Ressourcenverantwortung (Art. 9 Abs. 3 AMLR): Das Management muss sicherstellen, dass ausreichende personelle und technische Ressourcen für die Umsetzung der aus der BWRA resultierenden Maßnahmen bereitstehen.
  
  
• Persönliche Haftung (§§ 4a, 56 GwG): Durch die explizite Genehmigungspflicht wird die BWRA zum Haftungsgegenstand für Geschäftsleiter. Eine unzureichende Risikoanalyse kann als Organisationsverschulden gewertet werden.
  
  
• Strategische Proportionalität (Art. 10 Abs. 3 AMLR): Die Entscheidung, ob für weniger komplexe Einheiten ein vereinfachtes, qualitativ-deskriptives Verfahren angewandt wird, liegt beim Board.

2. Geldwäschebeauftragte (GwB / MLRO)

Der GwB ist die operative Schaltstelle und für die inhaltliche Qualität der Risikoidentifikation verantwortlich.

• Erstellungspflicht (Art. 10 Abs. 2 & 4 AMLR): Der GwB (Compliance Officer) ist gesetzlich für die Ausarbeitung der BWRA nach den neuen Mindestanforderungen (MR1-MR4) zuständig.
• Methodenwahl & Gewichtung (Art. 10 Abs. 1 AMLR): Er muss eine dokumentierte Methodik festlegen, die inhärente Risiken, Kontrollwirksamkeit und Restrisiken schlüssig verknüpft.
  
  
• Integration von Sanktionsrisiken (Art. 10 Abs. 1 Buchst. c AMLR): Der GwB muss die Identifizierung und Bewertung von Risiken bezüglich der Nichtumsetzung oder Umgehung gezielter Finanzsanktionen (TFS) zwingend einbeziehen.
  
  
• Aktualisierungspflicht (Art. 10 Abs. 1 AMLR): Die BWRA muss regelmäßig überprüft und bei wesentlichen Änderungen (neue Produkte, Märkte oder Technologien) sofort aktualisiert werden.

3. Compliance / Revision / Outsourcing

Diese Funktionen sichern die strukturelle Integrität und die Überprüfbarkeit des Systems.

• Gruppenweite Standards (Art. 16 & 17 AMLR): Compliance muss sicherstellen, dass die BWRA-Ergebnisse in den konzernweiten Informationsaustausch fließen und Teil der Gruppen-Risikoanalyse werden.
  
  
• Outsourcing-Kontrolle (Art. 40 AMLR i.V.m. BWRA-GL): Bei der Auslagerung von GwB-Mandaten bleibt die Letztverantwortung für die Erstellung (Compliance-Funktion) und Genehmigung (Leitungsorgan) im Unternehmen; dies muss in den SLAs abgebildet werden.
  
  
• Prüfung der Wirksamkeit (Art. 9 Abs. 4 AMLR): Die Interne Revision muss die BWRA-Methodik und deren Umsetzung (z. B. gemäß IDW PS 525) regelmäßig unabhängig prüfen.
  
  
• Verknüpfung mit Einzelrisikoprüfungen (Art. 20 AMLR): Compliance stellt sicher, dass die Ergebnisse der BWRA direkt das Niveau der Sorgfaltspflichten (CDD) bei individuellen Kundenbeziehungen steuern.

Zusammenfassender Merksatz: Während der Geldwäschebeauftragte die BWRA nach Art. 10 Abs. 4 AMLR inhaltlich baut, übernimmt das C-Level nach Art. 10 Abs. 2 AMLR die rechtliche Verantwortung für deren Richtigkeit und die Bereitstellung der nötigen Mittel.

Bei der praktischen Umsetzung des neuen AMLR-Rahmenwerks und der zugehörigen BWRA-Leitlinien zeichnen sich insbesondere folgende Problemfelder ab:

• Haftungsdruck für das C-Level: Die explizite Genehmigungspflicht nach Art. 10 Abs. 2 AMLR wandelt die Risikoanalyse von einem reinen Compliance-Bericht in ein haftungsrelevantes Steuerungsdokument um. Dies zwingt das Management dazu, tiefgreifendes Fachwissen aufzubauen, um die Angemessenheit der Analyse und Ressourcen gegenüber der Aufsicht persönlich zu verantworten.

• Methodische Umstellung: Viele Institute müssen ihre bestehenden Risikoanalysen (z. B. nach IDW PS 525 oder BaFin-AuA) auf die neue dreiphasige AMLA-Methodik – bestehend aus Inhärent-Risiko, Kontrollqualität und Restrisiko – umstellen.
  
  
• Integration von Sanktionsrisiken (TFS): Die neue Pflicht, Risiken der Nichtumsetzung oder Umgehung gezielter Finanzsanktionen nach Art. 10 Abs. 1 AMLR zu bewerten, erfordert völlig neue Datenquellen und Bewertungsschemata, die in klassischen Geldwäsche-Risikoanalysen oft fehlten.
  
  
• Komplexität in Konzernstrukturen: Für international agierende Gruppen stellt der gruppenweite Informationsaustausch gemäß Art. 16/17 AMLR eine enorme architektonische Herausforderung dar, da individuelle Risikoaspekte und PEP-Daten konsistent zusammengeführt werden müssen.
  
  
• Ressourcenmangel: Da die BWRA nun die Grundlage für die Zuweisung von Compliance-Budgets bildet, entsteht ein interner Konflikt zwischen regulatorischer Notwendigkeit und betriebswirtschaftlicher Effizienz, den das Leitungsorgan strategisch lösen muss.
  
  
• Enge Zeitpläne: Da die finale Veröffentlichung erst für Q4 2026 geplant ist, bleibt den Verpflichteten bis zum Hauptanwendungsdatum am 10.07.2027 nur ein sehr kurzes Zeitfenster für die vollständige operative Implementierung und Schulung der Mitarbeiter.

Phase 1: Strategische Ausrichtung & Governance (Sofortmaßnahme)

Vorstandsbriefing & Haftungs-Check: Sensibilisierung des C-Levels für die neue Genehmigungspflicht nach Art. 10 Abs. 2 AMLR und die damit verbundene persönliche Haftung gemäß §§ 4a, 56 GwG.

Ressourcen-Audit: Prüfung, ob Budget und Personal für die erweiterte BWRA-Methodik und die geforderte TFS-Integration (Sanktionsumgehung) ausreichen.

Proportionalitätsentscheidung: Formale Festlegung durch das Leitungsorgan, ob für weniger komplexe Einheiten Erleichterungen in Anspruch genommen werden (Art. 10 Abs. 3 AMLR).

Phase 2: Operative Vorbereitung & Konsultation (bis Juli 2026)

Teilnahme an AMLA-Hearings: Besuch der Online-Anhörung am 28.05.2026, um Details zu den Mindestanforderungen (MR1-MR4) aus erster Hand zu erfahren.

Gap-Analyse: Abgleich der bestehenden Risikoanalyse-Methodik mit der neuen dreiphasigen Struktur (Inhärent- / Kontroll- / Restrisiko).

Stellungnahme (Deadline 15.07.2026): Einreichung von Feedback zu Praktikabilitätsbedenken bezüglich Update-Zyklen und Datenquellen.

Phase 3: Methodische Neuausrichtung (Q3 & Q4 2026)

TFS-Framework implementieren: Entwicklung von Bewertungskriterien für Risiken der Nichtumsetzung oder Umgehung gezielter Finanzsanktionen gemäß Art. 10 Abs. 1 AMLR.

Sourcing-Erweiterung: Einbindung neuer Informationsquellen (z. B. FATF-Berichte, nationale Risikoanalysen) in die BWRA-Datenbasis.

Gruppen-Architektur: Abstimmung des BWRA-Templates mit den gruppenweiten Anforderungen (Art. 16/17 AMLR), falls Konzernstrukturen bestehen.

Phase 4: Implementierung & Genehmigung (Ab Q1 2027)

BWRA-Erstellung: Finale Ausarbeitung der Risikoanalyse durch den Geldwäschebeauftragten unter Berücksichtigung der im Q4 2026 veröffentlichten Leitlinien.

Formales Approval: Durchführung des Genehmigungsprozesses durch das Leitungsorgan (Art. 10 Abs. 2 AMLR) inkl. Protokollierung für die Aufsicht.

SLAs & Outsourcing: Anpassung der Verträge bei externen GwB-Mandaten hinsichtlich der Erstellungs- und Genehmigungsverantwortlichkeiten.

Phase 5: Transfer in den Tagesbetrieb (bis Juli 2027)

Roll-out Schulungsprogramm: Durchführung spezifischer Trainings, damit Mitarbeiter die Auswirkungen der BWRA-Ergebnisse auf die Kundenprüfung (CDD) verstehen.

Prüfplan-Update: Anpassung der Prüfprogramme der Internen Revision zur Überwachung der Wirksamkeit der neuen BWRA-Standards (Art. 9 Abs. 4 AMLR).

Monitoring-Zyklus: Etablierung eines Prozesses zur anlassbezogenen Aktualisierung der BWRA bei wesentlichen Änderungen im Geschäftsmodell.

Dieser Katalog sichert nicht nur die regulatorische Compliance bis zum Hauptanwendungsdatum am 10.07.2027, sondern minimiert vor allem das Haftungsrisiko für die Geschäftsführung durch eine saubere Governance-Dokumentation.

Mit dem neuen EU-Geldwäsche-Rahmenwerk transformiert sich die unternehmensweite Risikobewertung (BWRA) von einer Routineaufgabe zu einem zentralen Haftungsinstrument der Geschäftsführung. Gemäß Art. 10 der Verordnung (EU) 2024/1624 (AMLR) müssen Verpflichtete eine Methodik anwenden, die vier Mindestanforderungen (Minimum Requirements) erfüllt: Geschäftsüberblick, Identifikation inhärenter Risiken, Bewertung der Kontrollwirksamkeit sowie Einstufung der Restrisiken. Ein entscheidendes Novum ist die Pflicht nach Art. 10 Abs. 1 AMLR, auch Risiken der Umgehung gezielter Finanzsanktionen (TFS) systematisch zu erfassen.

Die regulatorische Tragweite zeigt sich in der verschärften Governance: Nach Art. 10 Abs. 2 AMLR muss das Leitungsorgan die BWRA zwingend formal prüfen und genehmigen. Damit rückt die persönliche Haftung der Geschäftsführung unmittelbar in den Fokus, da sie mit ihrer Unterschrift die Angemessenheit der Analyse sowie die Bereitstellung notwendiger Ressourcen garantiert. Bei Defiziten drohen Sanktionen gemäß §§ 4a, 56 GwG aufgrund von Organisationsverschulden. Bis zum Hauptanwendungsdatum am 10. Juli 2027 müssen Institute daher Governance, operative Präzision und Revision eng verzahnen, um dieses Haftungsrisiko wirksam zu minimieren.

Europäische Behörde zur Bekämpfung der Geldwäsche [AMLA]. (2026, 16. April). Pressemitteilung: AMLA konsultiert zu gruppenweiten Anforderungen und zur unternehmensweiten Risikobewertung. Frankfurt am Main. Abgerufen von:

www.amla.europa.eu/document/download/8fda2756-5267-4a95-92be-41111bac8948_en?filename=Press%20Release%20AMLA%20Group-Wide%20Requirements%20and%20Business-Wide%20Risk%20Assessment%2020260416.pdf&prefLang=de

Strategische Exzellenz auf C-Level erfordert kontinuierliche Orientierung. Damit du nach deinem Lehrgang nicht allein gelassen wirst, haben wir S+P C.O.R.E. entwickelt.

S+P Mehrwert-Garantie: Dein Wissens-Vorsprung für 2026

Jede Buchung eines S+P Seminars beinhaltet automatisch den kostenfreien Zugang zum quartalsweisen S+P C.O.R.E. Executive Update. Warum? Weil wir wissen, dass die regulatorische Welt nicht stillsteht. Wir halten dein Wissen aktuell – garantiert.

Achim Schulz begleitet C‑Level, Aufsichtsrats‑ und Geschäftsführungsmitglieder in AG, GmbH und BaFin‑regulierten Instituten dabei, den Spagat zwischen strategischer Transformation und den verschärften Governance‑Vorgaben aus KWG und MaRisk zu meistern. Sein Schwerpunkt liegt auf der Übersetzung der 9. MaRisk‑Novelle in belastbare Organ‑ und Delegationsstrukturen – von der Gesamtverantwortung der Geschäftsleitung über wirksame Ausschüsse bis hin zu einem gelebten „Tone from the Top“.

Du denkst, du hast deine Pflicht erfüllt, wenn du die Quartalsberichte abnickst und einmal im Jahr den Vorstand entlastest? Ein fataler Irrtum. Stell dir vor, eine Fehlentscheidung des Vorstands liegt bereits neun Jahre zurück. Die Verjährung für die Vorstandsmitglieder rückt in greifbare Nähe.

Du atmest auf, weil bisher niemand geklagt hat. Doch genau hier schnappt die Falle zu: In dem Moment, in dem der Anspruch gegen den Vorstand verjährt, beginnt deine eigene Uhr erst richtig zu ticken.

Während sich die Vorstandsmitglieder nach zehn Jahren zur Ruhe setzen können, stehst du plötzlich im Fadenkreuz. Der Vorwurf: Du hast die Ansprüche der Gesellschaft verjähren lassen.

Das Ergebnis? Du haftest persönlich, unbeschränkt und mit deinem gesamten Privatvermögen – und das für weitere zehn Jahre. Dein Haftungsrisiko erstreckt sich damit auf insgesamt zwei Jahrzehnte. Ein einziger Moment der Unachtsamkeit bei der Überwachung der Verjährungsfristen kann dich deine Existenz kosten.

Die Rechtslage für Aufsichtsratsmitglieder hat sich durch die Entscheidung des II. Zivilsenats am Bundesgerichtshof drastisch verschärft. In diesem Urteil konkretisierte der BGH die Anforderungen an die Überwachungstätigkeit und schuf eine verjährungsrechtliche Dynamik, die in der Praxis oft unterschätzt wird.

Der BGH stellt klar, dass die Haftung des Aufsratsmitglieds nach § 116 Satz 1 i.V.m. § 93 Abs. 2 AktG nicht nur dann eintritt, wenn du bei einer pflichtwidrigen Handlung des Vorstands aktiv mitwirkst oder diese nicht verhinderst. Vielmehr entsteht ein eigenständiger Schadensersatzanspruch gegen dich, wenn du es unterlässt, Schadensersatzansprüche der Gesellschaft gegen den Vorstand zu prüfen und durchzusetzen.

Das rechtlich Brisante ist der Verjährungsbeginn. Nach § 200 Satz 1 BGB beginnt die Verjährung mit der Entstehung des Anspruchs. Der BGH hat entschieden:

• Der Schadensersatzanspruch gegen den Aufsichtsrat wegen „Verjährenlassens“ entsteht erst in dem Moment, in dem der Anspruch gegen den Vorstand aufgrund des Zeitablaufs nicht mehr durchsetzbar ist.

• Erst zu diesem Zeitpunkt ist der Gesellschaft ein (weiterer) Schaden entstanden – nämlich der Verlust der Regressmöglichkeit gegen den Vorstand.

• Die Folge: Die Verjährungsfrist für den Aufsichtsrat läuft der des Vorstands zeitlich nachgelagert hinterher.

Oft versuchen Aufsichtsräte, sich auf die Rechtsprechung zur GmbH-Geschäftsführerhaftung zu berufen. Dort gilt: Wenn ein Geschäftsführer eine verbotene Zahlung leistet, beginnt die Verjährung mit der Zahlung. Dass er später die Rückforderung unterlässt, löst keine neue Verjährungsfrist aus (BGH, ZIP 2008, 2217).

Der BGH erteilt dieser Analogie für die AG eine klare Absage. Der Grund liegt in der strukturellen Differenzierung der Aktiengesellschaft. Während der GmbH-Geschäftsführer ein reines Ausführungsorgan ist, ist der Aufsichtsrat ein spezifisches Überwachungsorgan. Deine gesetzliche Aufgabe gemäß § 111 Abs. 1 AktG ist die Kontrolle der Geschäftsführung. Würde man deine Haftung zeitgleich mit der des Vorstands verjähren lassen, liefe die Überwachungspflicht ins Leere. Deine Pflicht zur Anspruchsverfolgung ist eine eigenständige Amtspflicht, die ein eigenständiges Haftungsregime rechtfertigt.

Als Aufsichtsratsmitglied bist du nicht nur Begleiter des Vorstands, sondern in Krisenmomenten dessen Gegenspieler. Die Rechtsprechung verlangt von dir ein abgestuftes Prüfungskonzept, wenn Anhaltspunkte für Pflichtverletzungen des Vorstands vorliegen.

Sobald Anhaltspunkte für eine Pflichtverletzung vorliegen, darfst du nicht abwarten. Du musst den Sachverhalt eigenständig aufklären. Das bedeutet:

• Einsicht in die Bücher und Korrespondenz.

• Befragung der beteiligten Mitarbeiter und Vorstände.

• Gegebenenfalls Hinzuziehung externer Spezialisten (Rechtsanwälte, Wirtschaftsprüfer).

Du musst prüfen, ob ein schlüssiger Schadensersatzanspruch nach § 93 AktG besteht. Hierbei ist entscheidend, ob der Vorstand die Grenzen der Business Judgment Rule (§ 93 Abs. 1 Satz 2 AktG) überschritten hat. War die Entscheidung auf Grundlage angemessener Information zum Wohle der Gesellschaft getroffen? Wenn nein, besteht ein Anspruch.

Hier unterliegen viele Aufsichtsräte einem gefährlichen Irrtum. Sie glauben, sie hätten ein unternehmerisches Ermessen, ob sie den „verdienten Kollegen“ verklagen oder nicht. Die ARAG/Garmenbeck-Rechtsprechung sagt Nein. Du bist grundsätzlich verpflichtet, den Anspruch geltend zu machen. Nur in extremen Ausnahmefällen darfst du davon absehen, nämlich wenn:

• Die Kosten des Prozesses den zu erwartenden Ertrag übersteigen (mangelnde Bonität des Vorstands).

• Schwerwiegende Interessen der Gesellschaft (z.B. existenzbedrohende Reputationsschäden durch einen Prozess) gegen die Klage sprechen.

Wichtig: Dein persönliches Interesse, „keinen Staub aufzuwirbeln“ oder dich nicht selbst durch die Offenlegung von Fehlern zu belasten, ist unbeachtlich.

Im Bereich von Banken und Finanzdienstleistern (KWG-reguliert) ist der Spielraum für eine Entscheidung gegen die Anspruchsverfolgung nochmals deutlich enger. Während in der Industrie primär das Wohl der Gesellschaft abgewogen wird, tritt im Finanzsektor das öffentliche Interesse an einer stabilen und integren Bankenaufsicht hinzu.

Ein Verzicht auf Schadensersatzforderungen gegen Vorstände, die gegen Risikomanagement-Vorgaben (MaRisk) verstoßen haben, ist hier kaum zu rechtfertigen.

Die Aufsichtsbehörden (BaFin/EZB) erwarten im Rahmen der Governance-Vorgaben, dass Fehlverhalten konsequent sanktioniert wird. Ein „Absehen von der Klage“ zur Schonung der Reputation oder des Betriebsfriedens wird von der Aufsicht oft als Beleg für eine unzureichende Kontrollkultur gewertet – was wiederum deine eigene Fit & Proper-Eignung massiv gefährdet.

Angesichts dieser drakonischen Haftungskonstellation musst du proaktiv handeln. „Aussitzen“ ist bei einer möglichen 20-jährigen Haftung keine Option.

1. Konsequente Dokumentation

Jede Überwachungshandlung muss protokolliert werden. Wenn du einen Verdacht geprüft und dich gegen eine Klage entschieden hast, muss die Begründung (unter Anwendung des abgestuften Prüfungskonzepts) gerichtsfest dokumentiert sein. Nur so kannst du später nachweisen, dass du deine Pflichten ernst genommen hast.

2. Überwachung der Verjährungskalender

Du musst eine Liste aller potenziellen Ansprüche gegen den Vorstand führen. Besonders bei personellen Wechseln im Aufsichtsrat gehen Informationen verloren. Ein professionelles Fristenmanagement ist für das Gremium zwingend erforderlich.

3. D&O-Versicherung prüfen

Prüfe deine D&O-Police (Directors and Officers Liability Insurance). Deckt sie auch die Sekundärhaftung ab? Wie sieht es mit den Nachmeldefristen aus? Da Ansprüche erst nach 15 oder 20 Jahren entstehen können, muss sichergestellt sein, dass die Versicherung auch dann noch greift, wenn du längst nicht mehr im Amt bist.

4. Rechtzeitige Mandatierung externer Berater

Wenn es brennt, ist es für Experimente zu spät. Die Einholung eines unabhängigen Rechtsgutachtens („Legal Opinion“) kann dich exkulpieren. Wenn ein renommierter Experte zum Schluss kommt, dass kein Anspruch besteht oder eine Klage schädlich wäre, handelst du in der Regel pflichtgemäß, wenn du dich darauf verlässt.

Die Tätigkeit im Aufsichtsrat wird oft als „Ehrenamt“ oder Krönung der Karriere missverstanden. Juristisch gesehen ist es ein Hochseilakt ohne Netz. Die BGH-Rechtsprechung zum Verjährungsbeginn hat klargestellt: Dein Risiko endet nicht mit deinem Ausscheiden aus dem Gremium und auch nicht mit der Verjährung der Vorstandsfehler.

Du haftest als „Wächter der Wächter“. Wenn du zulässt, dass die Gesellschaft ihre Ansprüche gegen den Vorstand verliert, wirst du selbst zum Schuldner. In einer börsennotierten Gesellschaft bedeutet das: 20 Jahre lang steht dein Privatvermögen unter Vorbehalt.

Die gefährliche Beweislastumkehr: Du bist am Zug

Was die Situation für dich als Aufsichtsrat verschärft, ist die gesetzliche Beweislastumkehr gemäß § 93 Abs. 2 AktG. In einem Haftungsprozess muss nicht die Gesellschaft dir nachweisen, dass du deine Pflichten verletzt hast. Vielmehr musst du beweisen, dass du die Sorgfalt eines ordentlichen und gewissenhaften Überwachers angewandt hast.

Ohne eine lückenlose und gerichtsfeste Protokollierung deiner Überwachungstätigkeit bist du im Ernstfall schutzlos. Wenn du nach 15 Jahren vor Gericht stehst, weil du einen Anspruch gegen den damaligen Vorstand hast verjähren lassen, wird das Sitzungsprotokoll zu deiner einzigen Lebensversicherung. Kannst du nicht schwarz auf weiß belegen, dass du den Sachverhalt geprüft und eine vertretbare Entscheidung getroffen hast, wird ein pflichtwidriges Unterlassen vermutet. Das „Ehrenamt“ wird so zur Beweislast-Falle.

Handle, bevor die Zeit gegen dich arbeitet. Eine fundierte Ausbildung und regelmäßige Updates zur aktuellen Rechtsprechung sind keine Kür, sondern deine einzige Lebensversicherung in diesem Amt.

Die Köpfe hinter dem S+P Hub Aufsichtsrat: Achim Schulz

Achim Schulz begleitet Geschäftsführer, Vorstände und Aufsichtsräte dabei, ihre Organisationen in unsicheren Zeiten krisenfest aufzustellen. Sein Fokus liegt auf der rechtssicheren Umsetzung der Sorgfaltspflichten gemäß § 43 GmbHG und § 93 AktG.

Er unterstützt Entscheider dabei, die Brücke zwischen strategischem Wachstum und den neuen regulatorischen Anforderungen aus StaRUG, DORA und NIS-2 zu schlagen. Sein Ziel: Den Spagat zwischen operativem Handeln und belastbarem Haftungsschutz zu meistern – damit Krisenmanagement nicht nur Theorie bleibt, sondern als gelebte Resilienz den Fortbestand des Unternehmens sichert.

Eine Krise kündigt sich selten mit Vorlauf an – sie ist plötzlich da. Für dich als Geschäftsführer oder Vorstand bedeutet das meist: Entscheidungen unter extremer Unsicherheit. Doch während operative Rückschläge schmerzhaft sind, ist dein eigentliches Risiko oft unsichtbar: Deine persönliche Haftung.

In einer Welt von Cyber-Angriffen, instabilen Lieferketten und neuen regulatorischen Pflichten wie DORA oder NIS-2 ist Krisenmanagement für dich kein optionales ‚Soft-Skill‘ mehr. Es ist eine Kernanforderung deiner gesetzlichen Sorgfaltspflicht (§ 43 GmbHG / § 93 AktG). Wenn du hier nicht proaktiv auf Resilienz setzt, riskierst du im Ernstfall nicht nur dein Unternehmen, sondern auch deine private Existenz.

In diesem Beitrag erfährst du, wie du den Sprung von der bloßen Notfall-Planung hin zu einer resilienten Organisation schaffst, die Krisen nicht nur überlebt, sondern als echten Wettbewerbsvorteil nutzt.

Krisenmanagement ist im deutschen Gesellschaftsrecht kein „Best-Practice-Vorschlag“, sondern deine knallharte gesetzliche Pflicht. Nach § 43 GmbHG (bzw. § 93 AktG für Vorstände) bist du verpflichtet, die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.

Die aktuelle BGH-Rechtsprechung lässt hier keinen Spielraum:

• Deine Frühwarnpflicht: Du musst Systeme implementieren, die bestandsgefährdende Risiken rechtzeitig erkennen (StaRUG).

• Dein Organisationsverschulden: Wenn du keinen Krisenstab oder keine belastbaren Notfallpläne (BCP) vorweisen kannst, haftest du bei Schäden oft mit deinem Privatvermögen.

• Regulatorischer Druck: Neue Richtlinien wie DORA (für Finanzinstitute) oder NIS-2 (für den Mittelstand) verschärfen die Anforderungen an deine Cyber-Resilienz massiv.

Der S+P Tipp: Deine Krisenfestigkeit beginnt nicht in der IT-Abteilung, sondern an deinem Konferenztisch. Ein zertifizierter Krisenplan ist deine Lebensversicherung gegen persönliche Haftungsansprüche.

Resilienz ist weit mehr als nur „Durchhalten“. Es ist deine Fähigkeit als Entscheider, das Unternehmen so aufzustellen, dass es sich von Rückschlägen nicht nur erholt, sondern gestärkt daraus hervorgeht.

Ein resilienter Betrieb ist wie ein Stoßdämpfer: Er schluckt die Wucht der Krise (Cyber-Angriff, Lieferkettenabriss, Marktcrash) und nutzt die Energie, um neue Chancen zu ergreifen. Während deine Wettbewerber noch im Schockstarre-Modus sind, bist du bereits wieder voll handlungsfähig.

1. Risikobewertung 2.0 (StaRUG-konform)

Du musst regelmäßig eine umfassende Risikoanalyse durchführen. Aber Vorsicht: Die alte Methode „wir schauen mal, was passieren könnte“ reicht nicht mehr. Seit Einführung des StaRUG musst du bestandsgefährdende Entwicklungen frühzeitig erkennen und dokumentieren. Das umfasst interne IT-Risiken genauso wie externe geopolitische Schocks.

2. Business Continuity Plan (BCP) statt loser Zettelwirtschaft

Ein detaillierter Krisenmanagementplan ist dein Drehbuch für den Ernstfall. Er legt fest, wer wann welche Knöpfe drückt. Wichtig für dich: Der Plan muss DORA- und NIS-2-konform sein, klare Kommunikationskaskaden enthalten und sofortige Wiederherstellungsprozesse garantieren.

3. Schulung: Dein Team als Schutzschild

Deine Mitarbeiter müssen wissen, was zu tun ist, wenn die Systeme stehen oder die Lieferkette reißt. Regelmäßige Simulationen und Übungen sind Pflicht. Nur eine offene Kommunikationskultur verhindert das „Verschleiern“ von Fehlern, die in eine Katastrophe führen könnten.

4. Technologische Robustheit & Cyber-Resilienz

Deine IT ist das Nervensystem deines Unternehmens. Investiere in Sicherheitsmaßnahmen, die über die Standard-Firewall hinausgehen. Backups müssen physisch getrennt und sofort einspielbar sein. Wer heute bei der IT spart, zahlt morgen das Lösegeld an Hacker – und haftet zusätzlich wegen mangelnder Vorsorge.

5. Finanzielle Schlagkraft sichern

Liquidität ist im Krisenfall dein Sauerstoff. Sorge für ein finanzielles Polster durch Rücklagen und eine diversifizierte Einnahmenstruktur. Prüfe genau, welche Risiken durch Versicherungen (Cyber-Versicherung, D&O) wirklich abgedeckt sind.

6. Strategische Netzwerke

Pflege deine Beziehungen zu Lieferanten und Partnern schon in guten Zeiten. Im Ernstfall brauchst du kurze Wege und loyale Partner, um Ressourcen und Informationen zu erhalten, die andere nicht mehr bekommen.

Ein mittelständischer Maschinenbauer wurde Opfer einer Ransomware-Attacke. Alle Server waren verschlüsselt.

• Der Unterschied: Da die Geschäftsführung erst drei Monate zuvor ein S+P Krisen-Audit durchgeführt und einen BCP implementiert hatte, wusste jeder Mitarbeiter exakt, was zu tun war.

• Das Ergebnis: Die IT wurde innerhalb von 48 Stunden aus autarken Backups wiederhergestellt. Die Kundenkommunikation war so transparent, dass kein einziger Auftrag verloren ging. Statt einer Insolvenz gab es ein Lob der Bank für das professionelle Risikomanagement. Das ist gelebte Resilienz.

Krisen sind im Jahr 2026 kein „Ob“, sondern ein „Wann“. Durch proaktives Krisenmanagement und den gezielten Aufbau von Resilienz minimierst du nicht nur die Auswirkungen, sondern schützt dich auch vor persönlichen Haftungsansprüchen.

Warte nicht auf den Ernstfall. Lerne, wie du flexibel reagierst und dein Unternehmen sicher durch stürmische Zeiten steuerst.

In der Compliance-Praxis ist die Differenzierung zwischen Privatkunden und professionellen Kunden weit mehr als eine formale Übung – sie ist die entscheidende Weichenstellung für Ihre Haftung. Viele Institute kämpfen täglich mit denselben Pain Points:

• Der Dokumentations-Overkill: Wie viel Information ist bei einem „Profi“ wirklich nötig? Zu viel bremst den Vertrieb, zu wenig führt bei der nächsten BaFin-Prüfung zu empfindlichen Feststellungen.

• Die Komplexitäts-Falle: Ein Produkt, das gestern noch als „nicht-komplex“ galt, kann morgen durch neue ESMA-Leitlinien prüfpflichtig werden. Wer hier den Überblick verliert, riskiert Beratungsfehler.

• ESG-Präferenzen als „Showstopper“: Die Integration von Nachhaltigkeitsfaktoren hat die Geeignetheitsprüfung massiv verkompliziert. Besonders bei professionellen Kunden herrscht oft Unklarheit darüber, welche Erleichterungen hier tatsächlich rechtssicher nutzbar sind.

Dieser Artikel gibt einen Überblick über die Unterschiede zwischen Privatkunden und professionellen Kunden sowie die aufsichtsrechtlichen Vorgaben nach WpHG (§§ 63 und 64 WpHG) und der MaComp (BT 6 und BT 7).

Die Angemessenheitsprüfung ist eine regulatorische Anforderung im beratungsfreien Geschäft und bezieht sich auf komplexe Finanzinstrumente. Der Unterschied zwischen Privatkunden und professionellen Kunden liegt in der Tiefe der Prüfung und den zu erhebenden Informationen.

Privatkunden:

• Ziel: Bei Privatkunden muss die Angemessenheitsprüfung sicherstellen, dass der Kunde über ausreichende Kenntnisse und Erfahrungen verfügt, um die Risiken des gewählten Finanzinstruments zu verstehen.
• Einzuholende Informationen: Die Prüfung erfordert detaillierte Informationen über die Kenntnisse und Erfahrungen des Kunden in Bezug auf bestimmte Finanzprodukte. Diese müssen dokumentiert werden.
• Hinweis auf Unangemessenheit: Falls ein Produkt als unangemessen für den Kunden gilt, muss der Kunde explizit darauf hingewiesen werden.

Professionelle Kunden:

• Ziel: Für professionelle Kunden wird in der Regel davon ausgegangen, dass sie über ausreichende Kenntnisse und Erfahrungen verfügen, um die Risiken der komplexen Produkte zu verstehen. Die Angemessenheitsprüfung ist auch bei professionellen Kunden durchzuführen, kann sich jedoch auf weniger detaillierte Informationen stützen, da Erfahrung und Sachverstand grundsätzlich unterstellt werden (§ 67 Abs. 2 WpHG).
• Einzuholende Informationen: Bei professionellen Kunden kann die Angemessenheitsprüfung weniger tiefgehende Informationen erfordern. Professionelle Kunden gelten als erfahren, und es wird eine vereinfachte Prüfung durchgeführt.

Im reinen Ausführungsgeschäft (Execution-only) ist weder eine Angemessenheitsprüfung noch eine Geeignetheitsprüfung erforderlich, solange es sich um nicht-komplexe Finanzinstrumente handelt. Dies gilt für Aktien, Anleihen und offene Investmentfonds (OGAW). Für beide Kundentypen gelten hier ähnliche Regeln.

Privatkunden:

• Keine Angemessenheitsprüfung: Im reinen Ausführungsgeschäft mit nicht-komplexen Finanzinstrumenten ist keine Prüfung der Angemessenheit notwendig.
• Kundenschutz: Der Kunde muss jedoch darüber informiert werden, dass keine Prüfung der Angemessenheit durchgeführt wird. Dieser Hinweis muss dokumentiert werden.

Professionelle Kunden:

• Keine Angemessenheitsprüfung: Auch für professionelle Kunden entfällt die Pflicht zur Angemessenheitsprüfung im reinen Ausführungsgeschäft, wenn nicht-komplexe Finanzinstrumente erworben werden.
• Vereinfachte Dokumentation: Da professionelle Kunden als erfahren gelten, sind hier weniger strenge Dokumentationsanforderungen notwendig. Der Hinweis auf den Verzicht der Angemessenheitsprüfung muss dokumentiert werden.

Die Aufzählung der nicht‑komplexen Produkte sollte ausdrücklich an Art. 25 Abs. 4 MiFID II / Art. 57 DV angelehnt werden und klarstellen, dass viele Zertifikate/strukturierte Produkte i. d. R. nicht darunter fallen. Bei professionellen Kunden gelten dieselben Execution‑only‑Voraussetzungen; lediglich Dokumentationsumfang (z. B. Ausgestaltung der Hinweise) kann pragmatischer sein, ohne die Pflicht zur Dokumentation zu beseitigen.

Die Geeignetheitsprüfung ist erforderlich, wenn eine Anlageberatung stattfindet. Der Unterschied zwischen Privatkunden und professionellen Kunden liegt im Umfang der Prüfung und den zu sammelnden Informationen.

Privatkunden:

• Ziel: Für Privatkunden ist eine umfassende Geeignetheitsprüfung erforderlich (Anlageziele, Risikotragfähigkeit, Verlusttragfähigkeit, Kenntnisse/Erfahrungen), einschließlich Nachhaltigkeitspräferenzen seit Integration von ESG‑Faktoren in MiFID II.
• Einzuholende Informationen: Die Geeignetheitsprüfung für Privatkunden erfordert detaillierte Informationen zu den Anlagezielen, finanziellen Verhältnissen, Risikobereitschaft und den Kenntnissen und Erfahrungen des Kunden. Diese Informationen sind umfassender als bei professionellen Kunden.
• Detaillierte Prüfung: Die Prüfung muss sicherstellen, dass das empfohlene Finanzinstrument für den spezifischen Kunden passend ist.

Professionelle Kunden:

• Ziel: Für professionelle Kunden besteht ebenfalls Geeignetheitspflicht, wenn eine Anlageberatung erbracht wird; der Umfang kann aber reduziert sein, weil bestimmte Kenntnisse/Erfahrungen unterstellt werden.
• Einzuholende Informationen: Informationen zu den Anlagezielen und finanziellen Verhältnissen können vereinfacht erhoben werden. Professionelle Kunden gelten als erfahrene Marktteilnehmer, weshalb die Anforderungen an die Prüfung geringer sind.

Während bei geborenen professionellen Kunden (z. B. Kreditinstitute) davon ausgegangen werden kann, dass sie Verluste finanziell tragen können, muss bei optierten (gekührten) professionellen Kunden die finanzielle Tragfähigkeit weiterhin individuell geprüft werden, falls die Anlageziele dies erfordern.

Die Geeignetheitserklärung dokumentiert die Ergebnisse der Geeignetheitsprüfung und muss dem Kunden nach der Beratung vor Abschluss des Geschäfts zur Verfügung gestellt werden. Auch hier gibt es Unterschiede in der Anforderung an Privatkunden und professionelle Kunden.

Privatkunden:

• Ziel: Die Geeignetheitserklärung für Privatkunden muss erklären, wie die Empfehlung auf die individuellen Anlageziele, Risikobereitschaft und finanziellen Verhältnisse des Kunden abgestimmt wurde.
• Dokumentationsanforderung: Die Geeignetheitserklärung muss detaillierte Informationen enthalten und dem Kunden vor Abschluss der Transaktion zur Verfügung gestellt werden (z. B. per E-Mail oder in Papierform).

Professionelle Kunden:

• Vereinfachte Anforderungen: Bei professionellen Kunden kann die Geeignetheitserklärung in knapper Form erfolgen; sie muss jedoch weiterhin aufzeigen, warum die Empfehlung im Hinblick auf Anlageziele und Finanzlage des Kunden geeignet ist. In einigen Fällen kann die Bereitstellung der Erklärung auch durch einen Hinweis auf allgemeine Produktinformationen erfolgen.

Seit der Integration der Nachhaltigkeitsfaktoren in die MiFID II-Delegiertenverordnung müssen bei Privatkunden die ESG-Präferenzen zwingend abgefragt werden.

• Privatkunden: Ohne Abfrage der ESG-Ziele ist die Geeignetheitsprüfung unvollständig.

• Professionelle Kunden: Hier besteht eine Erleichterung. Sofern der professionelle Kunde seine Präferenzen nicht aktiv mitteilt, muss die Bank diese nicht zwingend im Detail explorieren, es sei denn, die Beratung ist explizit als „nachhaltige Beratung“ vereinbart.

Die Anforderungen an die Angemessenheits- und Geeignetheitsprüfung unterscheiden sich je nach Kundengruppe und Art des Geschäfts. Privatkunden unterliegen in der Regel strengeren Dokumentations- und Prüfpflichten, insbesondere bei komplexen Finanzprodukten und im Rahmen der Anlageberatung, da sie besonderen Schutz benötigen. Hier müssen detaillierte Informationen über Anlageziele, Risikobereitschaft und finanzielle Verhältnisse eingeholt werden. Professionelle Kunden genießen dagegen Erleichterungen, da sie als erfahrene Marktteilnehmer gelten. Für sie sind die Prüfungen oft weniger detailliert, da sie als fähig betrachtet werden, die Risiken von Finanzprodukten selbst zu verstehen. Dies führt zu einer reduzierten Dokumentations- und Prüfungslast, insbesondere bei der Angemessenheitsprüfung und der Bereitstellung der Geeignetheitserklärung.

Du möchtest deine Kenntnisse zu WpHG, MiFID II, MAR und ESG ausbauen und regulatorisch auf dem neuesten Stand bleiben?

Dann sichere dir jetzt deinen Platz im
👉 S+P Seminar „Kapitalmarkt-Compliance Officer – WpHG & MiFID II in der Praxis“
Mit Zertifikat, Digital Badge und Tool Box für die direkte Umsetzung in deinem Institut.

• Welche Berichtspflichten hat die WpHG-Compliance-Funktion? Erfahren Sie, welche Inhalte zwingend in den Jahresbericht gehören und wie Sie Ihrer Reporting-Pflicht gegenüber der Geschäftsleitung und Aufsicht nachkommen.

• Welche Mindestanforderungen gelten für WpHG Compliance Officer? Ein Überblick über die fachlichen Qualifikationen, die Zuverlässigkeit und die notwendige Unabhängigkeit, die die Aufsicht von Compliance-Verantwortlichen fordert.

• Updates aus der WpHG- & MaRisk-Compliance Bleiben Sie auf dem Laufenden über die neuesten Entwicklungen der BaFin und ESMA, um Ihre Compliance-Prozesse rechtssicher anzupassen.

• Welche Pflichten hat der WpHG Compliance Officer? (S+P Online Training) Kompaktes Wissen zu den Kernaufgaben: Von der Überwachung der Mitarbeitergeschäfte bis zur Vermeidung von Interessenkonflikten.

• Bist du als WpHG Compliance Officer tätig? (S+P Seminar) Praxisnahe Weiterbildung für Compliance-Verantwortliche: Erhalten Sie wertvolle Impulse für Ihre tägliche Arbeit und den Austausch mit Experten.