Key Facts auf einen Blick:

• BaFin setzt 2026 klar auf Risikoorientierung:Schwerpunkt liegt auf einer belastbaren Kunden-Risikoklassifizierung, um hohe ML/TF-Risiken frühzeitig zu erkennen und wirksam zu überwachen.
• Mindestens 75 Sonderprüfungen in 2026:Prüfungen erfolgen risikobasiert und über das Jahr verteilt (kein fixer Zeitplan), mit Fokus auf Banken und deren Kunden-Risikoklassifizierung.
• Hochrisikoländer stärker im Fokus:BaFin plant zusätzlich die Analyse des (Hoch-)Risikoländergeschäfts – Ziel ist die Reduzierung von Fehlsteuerungen und Kontrolllücken bei Geschäften mit diesen Jurisdiktionen.
• Zielgruppe sind GwG-Verpflichtete:Maßnahmen betreffen Kreditinstitute, Wertpapierinstitute sowie weitere Finanzdienstleister/Nichtbanken (inkl. Zahlungs-, E-Geld- und Krypto-Dienstleister).
• Prüfungsrisiken steigen durch neue Anforderungen:Kritische Schwachstellen sind v. a. Validierung von Scoring-Modellen, Datenqualität, UBO-Transparenz und die Dynamik der EU-Hochrisikoländerlisten (z. B. EU 2026/83).

Das RegCore Team von S+P Compliance Services bewertet laufend aktuelle aufsichtsrechtliche Änderungen für seine Mandanten, ordnet die Anforderungen praxisnah ein und unterstützt gezielt bei der Umsetzung – von der Impact-Analyse über Governance & Kontrollsysteme bis zum Datenhaushalt und Reporting nach AMLA-Logik.

Ebene / Quelle

Wichtigster Prüfungs-/Fokusgegenstand

Was bedeutet das konkret?

Action Plan für Verpflichtete (To-do)

BaFin – Risiken im Fokus 2026 (PM 28.01.2026)

Mind. 75 Sonderprüfungen (Banken & Nichtbanken)

Erhöhte Prüfungsdichte, stärkerer Druck auf AML/CFT-Compliance

1) AML-Check-up (Gap-Analyse) durchführen
2) Prüfungsfähigkeit sicherstellen (Dokumentation, Nachweise, Audit-Trail)
3) interne Kontrollen testen (ICF)

BaFin – Schwerpunkt Banken

Kunden-Risikoklassifizierung

BaFin prüft, ob Kunden korrekt als Low/Medium/High Risk eingestuft werden (Grundlage für Monitoring/EDD)

1) Risikoklassifizierungsmodell validieren (Parameter, Gewichtung, Regeln)
2) Stichprobenkontrolle Kundenakten (KYC/EDD)
3) Trigger/Events für Re-Rating prüfen (PEP, Länderwechsel, Auffälligkeiten)
4) Schulung Markt/Onboarding

BaFin – Finanzsektor allgemein

Analyse (Hoch-)Risikoländergeschäft

Fokus auf Drittstaaten-/Sanktions-/Hochrisikoländer-Risiken und EDD-Qualität

1) Länderlisten aktualisieren (EU/FATF/BaFin intern)
2) EDD-Standards für Hochrisikoländer nachschärfen
3) Zahlungsverkehrs-/Transaktionsmonitoring auf Länderbezug testen
4) Reporting an MLRO/Compliance verbessern

AMLA – Datenerhebungsübung (Info 26.01.2026, Start ab März)

Datenerhebung zur Kalibrierung von Risikomodellen

AMLA testet EU-weite Risikomodelle (Aufsichtsdaten, Risikotreiber, Vergleichbarkeit)

1) Datenqualität & Datenhaushalt AML prüfen (KYC, Alerts, STR, Länder, Produkte)
2) Verantwortlichkeiten klären (Data Owner)
3) Datenlieferfähigkeit sicherstellen (Fristen/Format)

AMLA – Ziel 1

Auswahl bis zu 40 Institute für direkte AMLA-Aufsicht (2027 → Aufsicht ab 2028)

Institute könnten künftig direkt von AMLA beaufsichtigt werden

1) AML-Risikoprofil intern bewerten (Selbsteinschätzung)
2) Governance stärken (Board Oversight, MLRO, Ressourcen)
3) AML-Programm „EU-ready“ machen

AMLA – Ziel 2

EU-weit einheitliche Risikobewertung

Nationale Aufsichten sollen einheitlich bewerten – weniger Spielräume

1) AML-Policies an EU-Standards ausrichten
2) Benchmarking gegen EBA/AMLA Standards
3) klare, messbare KPIs (Alerts, STR, EDD Quote etc.)

EBA Mitteilung 19.01.2026

AML/CFT-Zuständigkeiten vollständig an AMLA übertragen (ab 01.01.2026)

AMLA ist zentral zuständig, aber EBA-Leitlinien gelten weiter

1) EBA AML/CFT-Leitlinien weiter anwenden (bis AMLA ersetzt)
2) Monitoring: neue AMLA-Standards/Guidelines frühzeitig verfolgen
3) Compliance-Update-Prozess etablieren

EU Delegierte VO 2026/83 (ABl. 09.01.2026, gilt ab 29.01.2026)

Änderung Hochrisikoländer-Liste (Aufnahme: Bolivien, Brit. Jungferninseln / Streichung: BF, Mali, Mosambik, Nigeria, Südafrika, Tansania)

Auswirkungen auf EDD-Pflichten und Länder-Risiko

1) Länderlisten/Scoring im System anpassen
2) Kundenbestand prüfen (Exposure)
3) EDD für betroffene Kunden aktualisieren
4) Monitoring-Regeln (Szenarien/Thresholds) prüfen

EU Delegierte VO 2026/46 (VIB Bericht 12.01.2026)

Russland als Hochrisikoland

verschärfte Sorgfaltspflichten/Prüfungen im Russlandbezug

1) Russland-Exposure identifizieren
2) EDD/SoF-SoW Nachweise verschärfen
3) Sanktionen/Embargo Screening + Monitoring intensivieren

1.    Ziel

1.1. Risikoorientierte Ausrichtung

Stärkere risikoorientierte Ausrichtung der Institute, vor allem durch eine belastbare Kunden‑Risikoklassifizierung, damit hohe Risiken früh erkannt und passend überwacht werden.​

1.2. Reduzierung von Fehlsteuerungen und Lücken

Reduzierung von Fehlsteuerungen und Lücken im Umgang mit Hochrisiko‑Ländern, etwa durch bessere Risikoanalysen, Kontrollen und Monitoring von Geschäften mit diesen Jurisdiktionen.​

1.3. Verringerung der Verwundbarkeit des Finanzsektors für Geldwäsche und Terrorismusfinanzierung

Insgesamt Verringerung der Verwundbarkeit des Finanzsektors für Geldwäsche und Terrorismusfinanzierung und damit Stabilisierung des Finanzsystems und der Integrität der Märkte.​

2.    Fristen der BaFin zur Zeitlichen Umsetzung der Ziele

Die BaFin legt für die im Bericht genannten mindestens 75 Sonderprüfungen im Jahr 2026 keinen öffentlich einheitlichen, konkreten Kalenderzeitraum (z. B. „im zweiten Quartal“) fest, sondern ordnet solche Prüfungen grundsätzlich anlassbezogen und risikoorientiert im Laufe des Jahres an.

Wichtig ist dabei:

Sonderprüfungen werden typischerweise im Jahresverlauf verteilt und orientieren sich an der Risikoeinschätzung des jeweiligen Instituts (z. B. hohe ML/TF‑Risiken, Auffälligkeiten aus der laufenden Aufsicht, Hinweisen, Meldungen).

​Institute erhalten eine individuelle Prüfungsanordnung mit Vorlaufzeit; ein „fester Terminplan“ für alle Institute wird nicht bekanntgegeben.

Für 2026 ist also davon auszugehen, dass die BaFin die Prüfungen über das Jahr verteilt durchführt, mit Schwerpunkt auf besonders risikoreichen Häusern und Geschäftsmodellen im Bereich Geldwäscheprävention.

3.    Zielgruppe 

Die genannten aufsichtsrechtlichen Maßnahmen richten sich an die im Geldwäschegesetz definierten „Verpflichteten“ des Finanzsektors, also insbesondere:

Banken und sonstige Kreditinstitute (z. B. Sparkassen, Genossenschaftsbanken, Spezialbanken).

Finanzdienstleistungsinstitute und sonstige Nichtbanken-Finanzintermediäre (z. B. Wertpapier‑, Zahlungs‑, E‑Geld‑, Krypto‑Dienstleister).

Bei den mindestens 75 angekündigten Sonderprüfungen liegt der Schwerpunkt ausdrücklich auf Banken (Kunden‑Risikoklassifizierung), während die Analysen zum (Hoch‑)Risikoländergeschäft sowohl Banken als auch andere Finanzunternehmen als Verpflichtete nach dem GwG betreffen.

3.1. Wertpapierinstitute

Als Wertpapierinstitut (WpI) unterliegen Sie als „Verpflichteter“ nach GwG den angekündigten Sonderprüfungen der BaFin im Jahr 2026 genauso wie Banken, allerdings mit Fokus auf Ihr spezifisches Geschäftsmodell (z. B. Wertpapierhandel, -verwahrung, -handel für Dritte, Fondsbindung). Die Vorbereitung sollte sofort beginnen und proportional zu Ihrer Größe (klein/mittel/groß nach WpIG) gestaffelt werden, da Sonderprüfungen risikobasiert und anlassbezogen im Jahresverlauf erfolgen.

Ab wann vorbereiten?

Ab jetzt (Q1 2026): Sofortige Gap-Analyse Ihrer AML-Risikoanalyse, KYC-Prozesse und Dokumentation durchführen; WpI-MaRisk-Entwurf (seit August 2025) prüfen und ggf. anpassen.

Bis Q2 2026: Interne Dry-Run-Prüfung simulieren, inkl. Stichproben aus Wertpapierkunden und Transaktionsdaten.

Laufend ab Q3 2026: Anpassungen nach neuen BaFin-Hinweisen (z. B. zu Hochrisikoländern oder Krypto-Elementen) und internen Audits vornehmen.

3.2. Kreditinstitut

Als Kreditinstitut (Bank) sind Sie einer der Hauptziele der mindestens 75 angekündigten BaFin-Sonderprüfungen 2026, mit explizitem Schwerpunkt auf Kunden-Risikoklassifizierung im Geldwäsche-/Terrorismusfinanzierungskontext. Die Vorbereitung sollte sofort (ab Q1 2026) beginnen, da Prüfungen risikobasiert und anlassbezogen über das Jahr verteilt anlaufen, ohne festen öffentlichen Terminplan.

Ab wann vorbereiten?

Ab jetzt (Februar 2026): Gap-Analyse Ihrer AML-Risikoanalyse, KYC-Systeme und Hochrisikoländer-Prozesse starten; Lücken priorisiert schließen.

​Bis Q2 2026: Vollständige interne Dry-Run-Sonderprüfung durchführen (Stichproben, Interviews simulieren).

Laufend ab Q3 2026: Nachjustieren basierend auf BaFin-Rundschreiben, SREP-Feedback oder internen Audits.

4.    Pain points (Schwachstellen)

4.1. Modell-Validierung:

Die BaFin prüft nicht mehr nur, ob klassifiziert wird, sondern wie (Parameter-Gewichtung). Mathematisch-statistische Modelle müssen logisch herleitbar sein.

4.2. Datenqualität (AMLA-Übung):

Ab März 2026 fordert die AMLA Daten an. Wer hier manuell in Excel-Listen suchen muss, verliert Zeit und Compliance-Punkte.

4.3. UBO-Transparenz:

Bei Wertpapierinstituten (WpI) bleibt die Identifizierung der wirtschaftlich Berechtigten (UBO) bei komplexen Fondskonstruktionen das größte Einfallstor für Prüfungsfeststellungen.

4.4. Dynamik der Länderlisten:

Durch die EU-Verordnung 2026/83 und die Einstufung Russlands als Hochrisikoland müssen Systeme sofort (Ad-hoc) reagieren. Ein halbjährliches Update reicht nicht mehr.

5.    Action Plan5.1. Wertpapierinstitute

Wie konkret vorbereiten? (Fokus Kunden-Risikoklassifizierung & Hochrisikoländer)

5.1.1. Dokumentation prüfungsfest machen

AML/CTF-Richtlinien an GwG und WpIG anpassen, inkl. klarer Kriterien für Risikoklassen (niedrig/mittel/hoch) speziell für Wertpapierkunden (z. B. Daytrader, institutionelle Anleger, PEPs).

​Nachweisbare Prozesse für wirtschaftlich Berechtigte (UBOs) bei Fonds/Depots, Sanktionsscreening und EDD bei Hochrisikokunden dokumentieren.

5.1.2. Kunden-Risikoklassifizierung optimieren

Stichprobenprüfung: Stimmen Depotdaten, Transaktionsmuster (z. B. hohe Volatilität, Auslandsüberweisungen) und Risikoscoring? Bei WpIs oft Schwachstelle: UBO-Transparenz bei kollektiven Anlagen.

Verstärktes Monitoring für risikoreiche Wertpapiertransaktionen (z. B. Derivate mit Hochrisikoländern) implementieren und kalibrieren.

5.1.3. Hochrisikoländer-Geschäft analysieren

Geschäfte mit Bezug zu Hochrisikoländern (z. B. Wertpapierhandel, Settlement) listen und risikobasiert bewerten; Controls wie Vier-Augen-Prinzip oder externe Sanktionslisten-Updates nachweisen.

Berichte an Geschäftsleitung zu Volumen und Auffälligkeiten erstellen.

5.1.4. Governance & Schulungen stärken

Rollen klar definieren (Geldwäschebeauftragter, Compliance, Trading-Desk); regelmäßige Schulungen für Wertpapierhändler und Backoffice dokumentieren.

​Risikoberichte an Organe (Vorstand/Aufsichtsrat) inkl. Stresstests für mittlere WpIs vorbereiten (WpI-MaRisk).

5.1.5. Praktische Übung der Prüfung

Datenraum einrichten mit Organigrammen, Prozessen, Stichprobenlisten und Monitoring-Auswertungen.

Rollenspiele für Interviews mit BaFin-Prüfern trainieren (z. B. „Wie leiten Sie Transaktionen mit Sanktionsrisiko um?“).

Priorisierung für WpIs (Proportionalitätsprinzip nutzen)

5.1.6. Für kleine WpIs:

Für kleine WpIs: Fokus auf qualitative Risikobewertung und Basis-KYC (keine umfassenden Stresstests nötig).

Für mittlere/große WpIs: Ergänzen um quantitative Analysen, IKT-Risiken und Abwicklungspläne (WpI-MaRisk).

• Risikoanalyse + KYC-Stichproben (sofort).
• Dokumentations-Review (bis März 2026).
• Interne Probeprüfung (April–Juni 2026).

5.2. Kreditinstitut

Wie konkret vorbereiten? (Schwerpunkt Kundenrisikoklassifizierung)

5.2.1. Dokumentation aufbauen

AML/CTF-Richtlinien, Risikoklassifizierungsverfahren (Scorings, Schwellenwerte), EDD-Prozesse für Hochrisikokunden lückenlos und aktuell halten.

​Nachweisbare Kalibrierung der Risikoparameter (jährliche Reviews dokumentieren).

5.2.2. Kunden-Risikoklassifizierung prüfen

Stichproben (z. B. 10–20% der Hochrisikokunden): KYC-Daten, UBOs, Transaktionsmuster vs. zugewiesenes Rating abgleichen.

Monitoring-Tools kalibrieren (False Positives/Negatives minimieren); EDD-Dokumentation bei PEPs/Hochrisikoländern vervollständigen.

5.2.3. Hochrisikoländer-Geschäft sichern

Portfolio-Analyse: Volumen, Produkte, Controls (Sanktionsscreening, Vier-Augen-Prinzip) auflisten und testen.

Management-Reports mit Risikoindikatoren vorbereiten.

5.2.4. Governance festigen

Rollen (Geldwäschebeauftragter, Compliance, Geschäftsbereiche) klar zuweisen; quartalsweise Schulungen dokumentieren.

Vorstandsberichte zu AML-Risiken inkl. Maßnahmenstatus erstellen.

5.2.5. Prüfungsprozess trainieren

Datenraum-Setup: Organigramme, Prozesse, Auswertungen, Stichprobenlisten sofort verfügbar machen.

Rollenspiele: Typische BaFin-Fragen (z. B. „Begründen Sie dieses Risiko-Rating“) üben.

Quelle:

BaFin

https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Pressemitteilung/2026/neu/pm_2026_01_28_PK_Risiken_im_Fokus.html?cms_expanded=true