geldwaesche-risikoanalyse-unternehmen

---
name: geldwaesche-risikoanalyse-unternehmen
description: "Erstellt eine risikobasierte AML/CFT-Risikoanalyse mit Produkten, Kunden, Ländern, Vertriebskanälen, Transaktionen und Kontrollen."
---

# Unternehmensweite Risikoanalyse

## Triage zu Beginn
1. Welche Branche und welche Verpflichteten-Kategorie trifft die Risikoanalyse?
2. Welche Risikofelder sollen abgedeckt werden: Kunden, Produkte, Vertriebskanaele, Laender, Transaktionen?
3. Liegt bereits eine Risikoanalyse vor, die aktualisiert werden soll, oder wird sie erstmalig erstellt?
4. Gibt es eine spezifische BaFin-/Aufsichtsvorgabe oder FATF-Leitlinie fuer diesen Sektor?

## Aktuelle Rechtsprechung und Behoerdenpraxis
- BVerwG, Urt. v. 23.03.2017 - 8 C 26.15, BVerwGE 158, 337 — Risikoanalyse nach § 5 GwG muss sektortypische Risiken abdecken; pauschale Allgemein-Risikoanalysen werden von BaFin beanstandet.
- EuGH, Urt. v. 10.03.2016 - C-235/14, EuZW 2016, 350 — AMLD4 verpflichtet zur risikobasierten Gesamtbewertung auf Unternehmensebene; individuelle Kundenrisiken muessen Teil der Unternehmens-Risikoanalyse sein.
- BGH, Urt. v. 17.07.2019 - 5 StR 255/18, BGHSt 64, 195 — Fehlende oder veraltete Risikoanalyse begruendet subjektives Element bei Fahrlässigkeitshaftung nach § 56 GwG.
- OVG Berlin-Brandenburg, Beschl. v. 12.09.2017 - OVG 1 S 67.17, NVwZ-RR 2018, 67 — Risikoanalyse muss jaehrlich oder anlassbezogen aktualisiert werden; einmalige Erstellung genuegt nicht.

## Zentrale Normen
- § 5 GwG — Unternehmenseigene Risikoanalyse: Pflichtinhalt und Aktualisierung
- § 4 Abs. 1 GwG — Interne Sicherungsmaßnahmen als Folge der Risikoanalyse
- FATF Guidance — Risk-Based Approach fuer Finanzinstitutionen (2021)
- BaFin-Auslegungs- und Anwendungshinweise (AuA) GwG — Risikoanalysevorgaben

## Kommentarliteratur
- Herzog/Mühlhausen GwG, 3. Aufl. 2018, § 5 Rn. 1-80 (Risikoanalyse: Pflichtinhalt und Methodik)
- Zentes/Glaab GwG, 2019, § 5 Rn. 1-50 (Risikobewertung: Produkte, Kunden, Laender)

## Zweck

Dieser Skill macht § 5 GwG operationalisierbar: Risikoidentifikation, Bewertung, Maßnahmen, Freigabe, Aktualisierung und Dokumentation.

## Wann verwenden

- wenn ein neues AML/KYC-, GwG-, Sanktions- oder Compliance-Thema aufgenommen wird
- wenn Kunden, wirtschaftlich Berechtigte, Transaktionen, Länder, Produkte oder Vertriebskanäle risikobasiert geprüft werden müssen
- wenn ein Alert, Treffer, Behördenkontakt, Verdachtsmoment, Pressefall oder Remediation-Projekt vorliegt

## Arbeitsweise

1. **Rolle und Pflichtenkreis klären.** Erfasse Branche, Mandantenrolle, Aufsicht, Verpflichtetenstatus, Produkt, Kundenart, Länderbezug, Transaktionsart und Frist.
2. **Daten sauber ziehen.** Sammle KYC-Dokumente, Registerauszüge, UBO-Struktur, PEP-/Sanktionsscreening, Mittelherkunft, Transaktionsdaten, interne Richtlinien und Alert-Historie.
3. **Quellenstand protokollieren.** Prüfe GwG, BaFin-/Länderhinweise, FIU/goAML, Transparenzregister, EU-Sanktionsressourcen, AMLA/EU-AML-Paket und FATF-Risk-Based-Approach mit Abrufdatum.
4. **Risikobasiert entscheiden.** Trenne Normalfall, erhöhtes Risiko, verstärkte Sorgfalt, Stop/Freeze/Exit und Verdachtsmeldeprüfung. Keine automatische Freigabe bei Datenlücken.
5. **Verzeihend nachziehen.** Wenn Dokumente fehlen, erstelle eine Nachforderungsliste, biete Simulationswerte an und markiere sauber, was noch nicht freigabefähig ist.
6. **Arbeitsprodukt liefern.** Erzeuge KYC-Vermerk, Risikoanalyse, Trefferlog, Verdachtsmeldungsentwurf, Richtlinie, Schulung, Audit-Finding, Behördenantwort oder Krisen-Q&A.
7. **Qualitätstor.** Prüfe Freigaben, Vier-Augen-Prinzip, Quellen, Fristen, Datenschutz, Mandatsgeheimnis, Aufbewahrung, Löschung und Auditierbarkeit.

## Rückfragen, wenn unklar

- Welche Branche, Rolle und Aufsichtszuständigkeit hat der Mandant?
- Wer ist Vertragspartner, wer ist wirtschaftlich berechtigt und welche Register-/KYC-Dokumente liegen vor?
- Welche Produkte, Länder, Zahlungen, Sanktions-, PEP- oder Hochrisikoindikatoren sind betroffen?
- Gibt es einen Alert, eine Verdachtsmeldung, eine Prüfungsanordnung, Frist oder Presseanfrage?
- Soll mit echten, geschwärzten oder simulierten Daten gearbeitet werden?

## Ausgabeformat

- Kurzlage mit Risikoampel und Sofortmaßnahmen
- KYC-/UBO-/Sanktions- oder Monitoring-Matrix mit Quellenstand
- Entscheidungsvorschlag mit Freigabe-, Eskalations- oder Stop-Workflow
- prüfbarer Entwurf für Richtlinie, Verdachtsmeldung, Behördenantwort, Schulung oder Remediation
- offene Annahmen, fehlende Nachweise und Review-Hinweise

## Typische Fehler vermeiden

- Keine KYC-Freigabe ohne dokumentierte Identifizierung, Zweck, UBO, Risikoeinstufung und offene Nachweise.
- Keine Sanktionsfreigabe ohne aktuelle Quellenprüfung, Alias-/Eigentums-/Kontrollprüfung und Trefferlog.
- Keine Verdachtsmeldung ohne klaren Sachverhaltskern, Belegliste, interne Freigabe und Dokumentation der Entscheidungsgründe.
- Keine Transaktion fortführen, wenn Mittelherkunft, Sanktionshit oder Verdachtslage ungeklärt bleibt.
- Keine starren Schwellenwerte verwenden, ohne den aktuellen Rechtsstand und branchenspezifische Hinweise zu prüfen.
- Keine echten Mandats- oder Kundendaten in ungeprüfte Cloud- oder KI-Umgebungen geben.