FATF-Hochrisikoländer 2026: Sorgfaltspflichten und GwG-Anforderungen

FATF-Schwarzliste und Grauliste 2026: unmittelbare Compliance-Auswirkungen

Zum 13. Februar 2026 führt die Financial Action Task Force (FATF) drei Länder auf ihrer Schwarzliste — Nordkorea, Iran und Myanmar — sowie 22 Jurisdiktionen unter verstärkter Beobachtung (Grauliste), darunter Algerien, Bulgarien, Kenia, Kuwait, Libanon, Syrien, Venezuela und Vietnam. Diese Einstufungen haben unmittelbare Auswirkungen auf die Pflichten verpflichteter Unternehmen in Deutschland gemäß dem Geldwäschegesetz (GwG) und den Aufsichtsrichtlinien der BaFin sowie der Financial Intelligence Unit (FIU).

Regulatorische Grundlage: Nach § 15 Abs. 1 und 2 GwG sind verpflichtete Unternehmen zur Anwendung verstärkter Sorgfaltspflichten verpflichtet, wenn ein erhöhtes Risiko der Geldwäsche oder Terrorismusfinanzierung besteht — unter anderem wenn Geschäftspartner oder wirtschaftlich Berechtigte ihren Sitz in Ländern mit strategischen Mängeln im AML-Bereich haben, wie sie von der FATF identifiziert werden. Die BaFin und die FIU verweisen in ihren Auslegungshinweisen ausdrücklich auf die FATF-Listen als primären Länderrisikoindikator.

---

Was die FATF ist und warum ihre Listen wichtig sind

Die FATF ist die 1989 gegründete zwischenstaatliche Organisation mit Sitz in Paris, die die globalen Standards zur Bekämpfung von Geldwäsche (ML), Terrorismusfinanzierung (TF) und Proliferationsfinanzierung (PF) festlegt. Ihre 40 Empfehlungen bilden die Grundlage nationaler Gesetzgebungen — einschließlich des deutschen GwG — und aller EU-Geldwäscherichtlinien (AMLD).

Die FATF aktualisiert ihre Listen dreimal jährlich nach den Plenarsitzungen im Februar, Juni und Oktober:

Wesentlicher Unterschied: Die Schwarzliste fordert Gegenmaßnahmen (Transaktionsbeschränkungen, verstärkte Korrespondenzbankpflichten), während die Grauliste verhältnismäßige verstärkte Sorgfaltspflichten verlangt. Die FATF stellt ausdrücklich klar, dass sie nicht zur systematischen Beendigung von Geschäftsbeziehungen mit Graulistenländern aufruft.

---

FATF-Grauliste: die 22 Jurisdiktionen unter verstärkter Beobachtung (Februar 2026)

Folgende Länder haben gegenüber der FATF formelle Verpflichtungen übernommen, identifizierte Mängel in ihren AML/CTF-Rahmenwerken zu beheben:

Algerien, Angola, Bolivien, Bulgarien, Kamerun, Côte d'Ivoire, Demokratische Republik Kongo, Haiti, Kenia, Kuwait, Laos, Libanon, Monaco, Namibia, Nepal, Papua-Neuguinea, Südsudan, Syrien, Venezuela, Vietnam, Britische Jungferninseln, Jemen.

Neuzugänge im Februar 2026: Kuwait und Papua-Neuguinea wurden bei der Plenarsitzung im Februar 2026 aufgrund strategischer Mängel in ihren AML/CTF/PF-Rahmenwerken auf die Grauliste gesetzt.

Jüngste Streichungen: Länder, die ihre FATF-Aktionspläne abschließen, werden nach einer erfolgreichen Vor-Ort-Prüfung von der Liste gestrichen. Die Liste ändert sich bei jeder Plenarsitzung — eine vierteljährliche Überwachung ist unerlässlich, um Länderrisikomatrizen aktuell zu halten.

---

Konkrete Pflichten für verpflichtete Unternehmen in Deutschland

Das Vorhandensein einer Gegenpartei mit Verbindungen zu einer von der FATF gelisteten Jurisdiktion löst spezifische Pflichten nach dem deutschen GwG aus.

Verstärkte Sorgfaltspflichten: was sie in der Praxis bedeuten

Gemäß §§ 15–17 GwG und dem BaFin-Rundschreiben 03/2026 (GW) zu Drittländern mit strategischen Mängeln umfassen verstärkte Sorgfaltspflichten:

• Zusätzliche Dokumente: ergänzende Ausweisdokumente, beglaubigte Kopien, unabhängige Adressverifizierung
• Herkunft der Mittel und des Vermögens: Belege über die Herkunft der an der Transaktion beteiligten Mittel und des breiteren Kundenvermögens (Kontoauszüge, Übertragungsurkunden, Steuererklärungen)
• Zustimmung der Geschäftsleitung: Die Geschäftsbeziehung muss vor ihrem Beginn von einem leitenden Mitarbeiter oder Geldwäschebeauftragten genehmigt werden
• Fortlaufende verstärkte Überwachung: erhöhte Häufigkeit und Tiefe bei periodischen Überprüfungen und Transaktionsüberwachung

Branchenkennzahl: Laut dem ACFE Report to the Nations 2024 bleibt Betrug in Organisationen ohne verstärkte Kontrollen durchschnittlich 87 Tage unentdeckt. Die kontinuierliche Überwachung von Kunden aus Hochrisikoländern verkürzt diese Erkennungszeit erheblich.

Verdachtsmeldungen an die FIU

Transaktionen mit Schwarzlistenländern (Nordkorea, Iran, Myanmar) erfordern eine Verdachtsmeldung an die FIU (Financial Intelligence Unit) — und zwar systematisch und unabhängig vom Betrag, da diese Jurisdiktionen den Gegenmaßnahmen gemäß FATF-Empfehlung 19 unterliegen.

Für Graulistenländer ist die Meldeschwelle de facto gesenkt: Der risikobasierte Ansatz verlangt eine dokumentierte Begründung für jede Entscheidung, keine Meldung zu erstatten.

Wichtiger Hinweis zur EU-Regulierung: Für Länder, die nur auf der FATF-Liste stehen, aber nicht in EU-Delegationsverordnungen aufgeführt sind, bestehen nach aktueller Auslegung der BaFin keine unmittelbaren gesetzlichen Zusatzpflichten. Das Länderrisiko ist jedoch gleichwohl in der risikobasierten Bewertung angemessen zu berücksichtigen.

---

Das EU-Rahmenwerk: EU-Liste der Drittländer mit hohem Risiko

Die Europäische Kommission veröffentlicht ihre eigene Liste von Drittländern mit hohem Risiko auf Grundlage von Artikel 9 AMLD4 (fortgeführt in AMLD6). Diese Liste kann von der FATF-Grauliste abweichen.

Aktualisierung Januar 2026: Eine neue EU-Delegationsverordnung trat am 29. Januar 2026 in Kraft und aktualisierte die Liste der Drittländer mit hohem Risiko gemäß EU-Geldwäscherecht. Deutsche verpflichtete Unternehmen müssen verstärkte Sorgfaltspflichten gegenüber Kunden und Transaktionen mit Bezug zu diesen Ländern anwenden, gemäß Artikel 18 AMLD6.

Praktische Abstimmung: Deutsche verpflichtete Unternehmen müssen überwachen:

1. Die FATF-Listen (dreimal jährlich aktualisiert) — maßgeblicher Bezugsrahmen nach GwG
2. Die EU-Delegationsverordnung (Liste der Drittländer mit hohem Risiko)
3. BaFin-Rundschreiben und FIU-Auslegungs­hinweise

---

Operative Auswirkungen: das AML-Programm anpassen

Aktualisierung der Länderrisikomatrizen

Jede FATF-Plenartagungsaktualisierung erfordert eine Überprüfung der Länderrisikomatrizen. Best Practice ist ein automatisierter Überwachungsprozess, der innerhalb von 48 Stunden nach der offiziellen Veröffentlichung ausgelöst wird.

Die CheckFile-Plattform deckt 32 Jurisdiktionen ab und unterstützt über 3.200 Dokumententypen, was eine schnelle Überprüfung der Dokumentennationalität und Kohärenzprüfung von Ausweisdokumenten aus gelisteten Ländern ermöglicht.

Überprüfung bestehender Kunden (KYC-Remediation)

Die Aufnahme eines Landes auf die FATF-Grauliste ist ein auslösendes Ereignis für die KYC-Remediation bestehender Kunden mit Verbindungen zu dieser Jurisdiktion. Die internen Richtlinien sollten vorsehen:

• Eine Remediationsfrist (typischerweise 30–90 Tage je nach Risikoprofil)
• Ein vorläufiges Einfrierungsverfahren für nicht reagierende Kunden
• Ein Austrittsverfahren, wenn verstärkte Sorgfaltspflichten nicht angewendet werden können

Für detaillierte Anleitungen zu Remediationsprozessen siehe unseren Leitfaden zu verstärkten Sorgfaltspflichten.

Korrespondenzbankrisiko

Für Banken bringen Graulistenländer ein spezifisches Korrespondenzbankrisiko mit sich. Korrespondenzbanken weltweit wenden sofort verstärkte Sorgfaltspflichten an, wenn ein Land auf die Grauliste gesetzt wird, und schränken in schwerwiegenden Fällen Korrespondenzbeziehungen ein oder beenden sie. Unser Leitfaden zu Sanctions-Screening behandelt die Wechselwirkung zwischen Sanktionslisten und FATF-Einstufungen im Detail.

---

Besonders exponierte Branchen beim FATF-Länderrisiko

---

Häufig gestellte Fragen

Wie oft aktualisiert die FATF ihre Listen der Hochrisikoländer?

Die FATF veröffentlicht dreimal jährlich Aktualisierungen nach jeder Plenarsitzung (üblicherweise im Februar, Juni und Oktober). Abonnieren Sie offizielle Benachrichtigungen unter fatf-gafi.org, um Aktualisierungen unmittelbar nach ihrer Veröffentlichung zu erhalten.

Sind FATF-Grauliste und EU-Liste der Drittländer mit hohem Risiko identisch?

Nein. Die Europäische Kommission veröffentlicht ihre eigene Liste über Delegationsverordnungen, die Länder enthalten kann, die von der FATF nicht aufgeführt werden, oder einige FATF-Länder ausschließen kann. Deutsche Unternehmen müssen beide Listen überwachen und bei Abweichungen das strengere Regime anwenden.

Muss ich alle Geschäftsbeziehungen mit Kunden aus Graulistenländern beenden?

Nein. Die FATF ruft nicht zur systematischen Beendigung von Geschäftsbeziehungen auf. Die Grauliste verlangt verhältnismäßige verstärkte Sorgfaltspflichten. Können die verstärkten Sorgfaltspflichten jedoch nicht angewendet werden — wegen eines unkooperativen Kunden oder unzureichender Dokumentation — ist eine Ablehnung oder Beendigung der Beziehung nach § 15 GwG obligatorisch.

Was sind FATF-Gegenmaßnahmen und wann gelten sie?

Gegenmaßnahmen gelten ausschließlich für Schwarzlistenländer (Nordkorea, Iran, Myanmar). Sie können umfassen: Verbot oder Beschränkung von Transaktionen, verstärkte Anforderungen an Korrespondenzbanken, obligatorische Meldung aller Transaktionen. In Deutschland werden spezifische Gegenmaßnahmen über das Außenwirtschaftsgesetz (AWG) und BaFin-Allgemeinverfügungen umgesetzt.

Wie lässt sich die Überwachung von FATF-Listenänderungen automatisieren?

Optionen umfassen: Abonnement von FATF-E-Mail-Benachrichtigungen, Integration einer Sanktions-/Länderisiko-API mit FATF-Updates, oder Nutzung einer Dokumentenprüfungsplattform wie CheckFile, die Länderrisikoprüfungen in Onboarding-Workflows integriert. Für einen umfassenden Rahmenüberblick lesen Sie unseren Compliance-Leitfaden.