BMF 2026: Das Ende der AML-Grauzonen und der „Safe Havens“ durch Krypto- Transparenz?

I. Intro

Die aktuellen regulatorischen Entwicklungen im Kontext des FKAustG und der EU-Richtlinie 2023/2226 (DAC8) sind als sehr wichtig einzustufen. Sie markieren eine Zäsur an der Schnittstelle zwischen steuerlicher Transparenz und der Prävention von Geldwäsche (AML).

Durch die Veröffentlichung des BMF-Schreibens vom 14. Januar 2026 und des BZSt-Newsletters 01/2026 wird die technische und rechtliche Daumenschraube angezogen: Die Implementierung der neuen XML-Schnittstelle und des amtlichen Datensatzes gemäß § 5 Abs. 1 S. 1 FKAustG zwingt Verpflichtete zu einer Datenpräzision, die unmittelbar mit den Identifizierungspflichten des Geldwäschegesetzes (GwG) korreliert. Besonders kritisch für das C-Level ist die Verschärfung der Bußgeldvorschriften sowie die Einführung neuer Ausnahmetatbestände für Gründungs- und Kapitalerhöhungskonten. Diese juristischen Neuerungen bergen das Risiko, dass vermeintliche Erleichterungen als regulatorische Schlupflöcher missverstanden werden, während Diskrepanzen zwischen CRS-Meldungen und KYC-Profilen (Know Your Customer) künftig automatisiert AML-Verdachtsmomente auslösen könnten. Für die Compliance-Funktion bedeutet dies eine notwendige Neujustierung der Risikoanalyse, um die Kongruenz zwischen steuerlicher Meldepflicht und geldwäscherechtlicher Sorgfaltspflicht zu wahren.

II. Fristen

Die FKAustG-Novelle verschärft die Schnittstelle zwischen Steuerrecht und Geldwäscheprävention. Datenkongruenz ist Pflicht: Abweichungen zwischen CRS-Meldungen und KYC-Daten (§ 10 GwG) triggern sofortige Geldwäscheverdachtsmeldungen (§ 43 GwG). Das C-Level haftet persönlich für ein präzises Tax-IKS zur Überwachung von Ausnahmeregelungen, unterstützt durch drastisch erhöhte Bußgelder. Zudem müssen Institute die BZSt-Staatenaustauschliste 2026 zwingend in ihr Risikomanagement (§ 5 GwG) integrieren, da sie das Länderrisiko-Rating für verstärkte Sorgfaltspflichten unmittelbar definiert.

III. Pflichten von C- Level, Compliance, Geldwäsche

1. Pflichten für das C-Level (Geschäftsführung/Vorstand)

Das C-Level trägt die Letztverantwortung für die Organisationsstruktur und die rechtssichere Implementierung der neuen Schnittstellen.

• Haftung für Tax-IKS: Implementierung und Überwachung eines steuerlichen innerbetrieblichen Kontrollsystems (Tax-IKS). Dies muss insbesondere die neuen Ausnahmeregelungen (z. B. für Gründungskonten) so steuern, dass keine missbräuchliche Nutzung erfolgt.
• Ressourcenbereitstellung: Sicherstellung, dass IT-Systeme die neue XML-Schnittstelle zum BZSt bedienen können, die einen automatisierten Abgleich zwischen CRS- und KYC-Daten ermöglicht.
• Bußgeldprävention: Angesichts drastisch erhöhter Sanktionen (FKAustG-Novelle) muss die Geschäftsleitung die Einhaltung der Meldefristen (z. B. 31. Juli für CRS-Daten) als strategisches Risiko priorisieren.

2. Pflichten für die Compliance-Funktion

Compliance stellt die Übereinstimmung der verschiedenen regulatorischen Stränge sicher.

• Sicherstellung der Datenkongruenz: Überwachung, dass die Meldungen nach § 5 FKAustG exakt den Identifizierungen nach § 10 GwG entsprechen. Compliance muss Prozesse etablieren, die Inkongruenzen (z. B. abweichende steuerliche Ansässigkeiten) bereits vor der Meldung detektieren.
• Überwachung der Ausnahmen: Rechtssichere Prüfung der "engen Voraussetzungen" für befreite Kontenarten. Hier darf kein Ermessensspielraum entstehen, der zu systematischen Fehlmeldungen führt.
• Update der Richtlinien: Integration der BZSt-Staatenaustauschliste 2026 in die internen Compliance-Vorgaben.

3. Pflichten für die Geldwäscheprävention (MLRO)

Für den Geldwäschebeauftragten wird der CRS-Datensatz zu einem aktiven Monitoring-Instrument.

• Risikoanalyse (§ 5 GwG): Die Staatenaustauschliste 2026 des BZSt muss zwingend in die institutsinterne Risikoanalyse einfließen. Staaten, die neu auf der Liste stehen oder gestrichen wurden, beeinflussen das Länderrisiko-Rating unmittelbar.
• Trigger-Management (§ 43 GwG): Abweichungen in der XML-Schnittstelle zwischen Steuer- und KYC-Daten müssen als automatisierte Verdachtsindikatoren behandelt werden. Der MLRO muss Prozesse definieren, wie diese "Daten-Gaps" bewertet und ggf. an die FIU gemeldet werden.
• Verstärkte Sorgfaltspflichten (§ 15 GwG): Anpassung der Prüfschritte bei Kunden aus Ländern, die laut BZSt-Liste ein erhöhtes steuerliches oder regulatorisches Risiko aufweisen.

IV. Haftungsrisiken/ Pain Points

Die Umsetzung der FKAustG-Novelle 2026 erzeugt eine erhebliche Reibung zwischen regulatorischem Anspruch und operativer Realität. Die Identifikation dieser Problemfelder ist entscheidend, um Haftungsrisiken proaktiv zu managen.

1. Daten-Silos: KYC-Daten und CRS-Meldungen liegen oft in getrennten Datenbanken.

2. Automatisierungs-Lücke: Der XML-Abgleich erfolgt systemseitig, die Klärung von Differenzen aber meist noch manuell.

3. Sanktionsangst: Die drastisch erhöhten Bußgelder der Novelle erzeugen einen "Compliance-Stress", der zu defensiven und geschäftsverhindernden Prozessen führen kann.

Genauer durchleuchtet lassen sich die Problemfelder für die verantwortlich handelnden Personen wie folgt auffächern:

1. Strategische & Operative Pain Points (C-Level)

• Haftungsfalle "Organisationsverschulden": Das C-Level steht persönlich in der Schusslinie, wenn das Tax-IKS Lücken aufweist. Da die Finanzverwaltung (BZSt) nun automatisierte XML-Abgleiche nutzt, werden Fehler sofort sichtbar – "Unwissenheit" ist als Verteidigungslinie 2026 hinfällig.
• Investitionsstau vs. Kostendruck: Die Implementierung der neuen XML-Schnittstelle erfordert tiefgreifende Eingriffe in die Core-Banking-Systeme. Viele Institute kämpfen mit Legacy-Systemen, die eine Echtzeit-Datenkongruenz kaum zulassen.
• Ressourcenmangel: Es herrscht ein massiver Fachkräftemangel an der Schnittstelle zwischen Steuerrecht (CRS) und Geldwäscheprävention (GwG). Experten, die beide Welten verstehen, sind extrem selten und teuer.

2. Prozessuale Pain Points (Compliance)

• Die "Single Source of Truth"-Problematik: In der Praxis weichen KYC-Daten (z. B. Wohnsitz nach Ausweis) oft von CRS-Selbstauskünften (steuerliche Ansässigkeit) ab. Die Herstellung einer 100%igen Kongruenz ohne manuelle Nachbearbeitung ist fast unmöglich.
• Grauzone "Ausnahmeregelungen": Die neuen Befreiungen (z. B. Gründungskonten) sind an "enge Voraussetzungen" geknüpft. Compliance muss hier extrem restriktive Filter setzen, was oft im Konflikt mit dem Vertrieb steht, der schnelle Kontoeröffnungen fordert.
• Aktualisierungs-Taktung: Die Staatenaustauschliste des BZSt ändert sich jährlich. Diese Änderungen in Echtzeit in alle Monitoring-Systeme einzupflegen, erfordert einen hohen Automatisierungsgrad, der oft fehlt.

3. Detektions- & Melde-Pain Points (MLRO / Geldwäsche)

• Explosion der Verdachtsmeldungen (SARs): Wenn jede technische Abweichung in der XML-Schnittstelle als Indikator nach § 43 GwG gilt, droht eine Flut an (potenziell unnötigen) Meldungen. Dies belastet die FIU und die internen Ermittlungsteams massiv.
• Dynamisches Länderrisiko: Die BZSt-Liste ist primär steuerlich motiviert. Der MLRO muss nun erklären, warum ein Land steuerlich "unsicher" (laut BZSt), aber geldwäscherechtlich (laut FATF) vielleicht unauffällig ist – oder umgekehrt. Diese Inkonsistenz erschwert ein homogenes Scoring.
• Verstärkte Sorgfaltspflichten (§ 15 GwG) als Onboarding-Killer: Die Pflicht, bei Ländern der BZSt-Liste sofort in die verstärkte Prüfung zu gehen, verlängert die Time-to-Market für Neukunden erheblich und führt zu Wettbewerbsnachteilen.

V. Maßnahmekatalog

1. Strategische Maßnahmen (C-Level & IT-Governance)

• Implementierung einer "Single Customer View": Zusammenführung von KYC-Daten (GwG) und Selbstauskünften (CRS) in einer zentralen Datenbank. Datensilos müssen aufgelöst werden, um die geforderte Datenkongruenz technisch zu erzwingen.
• Auditierung des Tax-IKS: Beauftragung einer unabhängigen Prüfung des steuerlichen Kontrollsystems. Fokus: Sind die "engen Voraussetzungen" für Ausnahmen (z. B. Gründungskonten) im System hart codiert oder gibt es manuelle Umgehungsmöglichkeiten?
• Budgetallokation für XML-Reporting: Sicherstellung, dass die Schnittstelle zum BZSt nicht nur Daten sendet, sondern auch Rückmeldungen (Fehlerprotokolle) automatisiert in das Fallmanagement-System des MLRO einspeist.

2. Operative & Prozessuale Maßnahmen (Compliance)

• Automatisierter Pre-Check-Prozess: Einführung eines Kontrollschritts vor der Meldung am 31. Juli. Ein Algorithmus muss CRS-Daten gegen KYC-Identifizierungsdaten abgleichen und Inkonsistenzen zur Klärung aussteuern.
• Standardisierung der Selbstauskünfte: Überarbeitung der Onboarding-Formulare. Die steuerliche Ansässigkeit muss zwingend mit den Ausweisdokumenten/Wohnsitznachweisen logisch validiert werden (Plausibilitätsprüfung).
• Dynamisches Regelwerk-Update: Implementierung eines Prozesses, der die BZSt-Staatenaustauschliste unmittelbar nach Veröffentlichung in die Scoring-Engines einpflegt.

3. Überwachungsmaßnahmen (Geldwäscheprävention / MLRO)

• Anpassung des Transaction Monitorings: Integration steuerlicher Indikatoren in das AML-Monitoring. Ein Beispiel: Wenn ein Kunde Gelder aus einem Land erhält, das auf der BZSt-Liste 2026 steht, aber im KYC als "geringes Risiko" eingestuft ist, muss ein automatischer Alarm (Alert) ausgelöst werden.
• Schulung der "First Line": Front-Office-Mitarbeiter müssen für die Bedeutung der Datenqualität sensibilisiert werden. Sie müssen verstehen, dass ein falsch erfasster Wohnsitz nicht nur ein Tippfehler ist, sondern eine Verdachtsmeldung nach § 43 GwG auslösen kann.
• Verschärfte Prüfungsprotokolle (§ 15 GwG): Erstellung spezifischer Checklisten für Kunden mit Bezug zu Austauschstaaten, um die "verstärkten Sorgfaltspflichten" revisionssicher zu dokumentieren.

VI. Quellen

Bundesfinanzministerium
https://www.bundesfinanzministerium.de/Content/DE/Downloads/BMF_Schreiben/Weitere_Steuerthemen/Organisation_Automation/2026-01-14-FKAustG-datensatz.pdf?__blob=publicationFile&v=3