Verstärkte Sorgfaltspflichten (EDD) nach § 15 GwG: Praxisleitfaden
Praxisleitfaden zu verstärkten Sorgfaltspflichten nach § 15 GwG: Auslöser, Dokumentationspflichten, BaFin-Anforderungen, § 15a GwG Kryptowerte und Automatisierung.
Diesen Artikel zusammenfassen mit
ChatGPT
Claude
Perplexity
Gemini
GrokVerstärkte Sorgfaltspflichten (Enhanced Due Diligence, EDD) nach § 15 GwG sind die gesetzlich vorgeschriebene Intensivierung der allgemeinen Sorgfaltspflichten, die verpflichtete Unternehmen in Deutschland anwenden müssen, sobald ein Kunde oder eine Transaktion ein erhöhtes Risiko für Geldwäsche oder Terrorismusfinanzierung aufweist. Die gesetzlichen Auslöser sind in § 15 GwG abschließend aufgeführt und durch die BaFin-Auslegungs- und Anwendungshinweise (AuA) zum GwG konkretisiert. Unternehmen, die ihre EDD-Pflichten unzureichend erfüllen, riskieren Bußgelder bis zu 5 Millionen Euro oder 10 % des Jahresumsatzes, die von der BaFin verhängt werden können.
Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine rechtliche, finanzielle oder regulatorische Beratung dar. Die regulatorischen Verweise sind zum Veröffentlichungsdatum aktuell. Wenden Sie sich an einen qualifizierten Fachmann für eine auf Ihre Situation zugeschnittene Beratung.
Was sind verstärkte Sorgfaltspflichten (EDD) nach § 15 GwG?
Verstärkte Sorgfaltspflichten sind ein erweitertes Pflichtenprogramm, das über die allgemeinen Sorgfaltspflichten nach § 13 GwG hinausgeht. Während die allgemeinen Sorgfaltspflichten die Identifizierung des Vertragspartners, die Abklärung des wirtschaftlich Berechtigten und das Verstehen der Geschäftsbeziehung umfassen, verlangen die verstärkten Sorgfaltspflichten zusätzlich: die Feststellung der Herkunft der eingesetzten Mittel und des Vermögens, die Zustimmung einer übergeordneten Führungsebene vor Begründung der Geschäftsbeziehung sowie eine intensivierte laufende Überwachung.
Der Charakter der Verstärkung ist nicht nur quantitativer Art — mehr Dokumente anzufordern — sondern qualitativ. Das verpflichtete Unternehmen muss verstehen, warum der Kunde die festgestellten Transaktionsmuster aufweist, wer wirtschaftlich von den Mitteln profitiert und welchem wirtschaftlichen Zweck die Geschäftsbeziehung dient. Die BaFin formuliert dies in ihren AuA zum GwG als Grundsatz der materiellen Prüfung: Das bloße Abhaken einer Dokumentenliste genügt nicht — das Unternehmen muss ein echtes Verständnis des Risikoprofils entwickeln.
Ab dem 1. Juli 2027 gilt unmittelbar die Verordnung (EU) 2024/1624 (AMLR), die die EDD-Anforderungen auf europäischer Ebene harmonisiert und direkt anwendbare Normen enthält, die den nationalen Handlungsspielraum einschränken. Richtlinie (EU) 2024/1640 (AMLD6) ist bis zum 10. Juli 2027 in deutsches Recht umzusetzen und verschärft die Sanktionsbefugnisse der zuständigen Behörden.
Einen umfassenden Überblick über das deutsche Compliance-Umfeld bietet unser Leitfaden zur Dokumenten-Compliance.
Wann sind verstärkte Sorgfaltspflichten verpflichtend?
§ 15 GwG listet die Situationen auf, die verstärkte Sorgfaltspflichten zwingend auslösen. Diese Auslöser sind nicht disponibel: Sobald einer der nachstehenden Sachverhalte vorliegt, muss das Unternehmen EDD durchführen, unabhängig vom Ergebnis seiner eigenen Risikoanalyse. Darin liegt der wesentliche Unterschied zur allgemeinen risikobasierten Vorgehensweise — hierzu mehr im nächsten Abschnitt.
| Auslöser | Rechtsgrundlage | Erläuterung |
|---|---|---|
| Politisch exponierte Personen (PEP) und nahe Angehörige oder bekannte enge Mitarbeiter | § 15 Abs. 3 GwG, FATF-Empfehlung 12 | Amtierende und ehemalige PEPs; Familienangehörige ersten Grades; Personen, die als enge Geschäftspartner bekannt sind |
| Hochrisikodrittstaaten | § 15 Abs. 3 Nr. 1 GwG, EU-Kommissionsliste | Staaten auf der EU-Liste der Drittländer mit hohem Risiko und auf der FATF Grau- oder Schwarzliste |
| Korrespondenzbankbeziehungen | § 15 Abs. 5 GwG | Beziehungen zu Korrespondenzbanken außerhalb der EU/des EWR |
| Nicht-persönliche Transaktionen mit erhöhtem Risiko | § 15 Abs. 3 GwG | Fernidentifizierungen mit kombinierten Risikofaktoren |
| Komplexe Eigentumsstrukturen ohne erkennbaren wirtschaftlichen Zweck | § 15 Abs. 3 GwG, BaFin AuA | Trusts, Treuhänder, verschachtelte Holdingstrukturen |
| Ungewöhnliche Transaktionen ohne wirtschaftlich vernünftigen Zweck | § 15 Abs. 3 GwG | Transaktionen, die sich nicht mit dem bekannten Hintergrund des Kunden erklären lassen |
| Kryptowerte-Transaktionen von/zu selbst gehosteten Wallets | § 15a GwG (in Kraft seit 04.02.2026) | Neue Pflicht für Krypto-Dienstleister bei Transaktionen mit unhosted wallets |
Der wichtige Unterschied: erhöhtes Risiko nach § 13 GwG versus formelle Pflicht nach § 15 GwG: In der deutschen Compliance-Praxis stellen sich Praktiker regelmäßig die Frage, wo die Grenze zwischen dem allgemeinen erhöhten Risiko, das im Rahmen der risikobasierten Methode nach § 13 GwG intensivere Maßnahmen auslöst, und den formellen Tatbeständen des § 15 GwG liegt. Die Antwort ist für die Praxis bedeutsam: Die risikobasierte Methode nach § 13 GwG gibt dem Unternehmen einen Ermessensspielraum — es wählt proportionale Maßnahmen entsprechend dem selbst bewerteten Risiko. Die Auslöser nach § 15 GwG sind dagegen gesetzliche Mindeststandards ohne Ermessen. Ein Unternehmen, das auf Basis seiner Risikoanalyse einen PEP als geringes Risiko einstuft, ist dennoch verpflichtet, das gesetzlich vorgeschriebene EDD-Pflichtenprogramm zu durchlaufen. Die eigene Risikoanalyse kann allenfalls bestimmen, wie intensiv die EDD-Maßnahmen im Einzelfall ausgestaltet werden, nicht ob sie stattfinden (BaFin, AuA GwG, Abschnitt zu § 15).
Der EDD-Prozess: 7 Schritte für die Compliance
Ein praxistauglicher EDD-Prozess folgt einer strukturierten Abfolge, die den BaFin-AuA entspricht.
Schritt 1 — Risikoidentifikation und Auslöserprüfung
Stellen Sie bei der Aufnahme oder bei einem Signal aus der laufenden Überwachung fest, ob ein Auslöser nach § 15 GwG vorliegt. Dies setzt ein Screening gegen PEP-Listen, Sanktionslisten und die EU-Liste der Hochrisikodrittstaaten voraus. Eine manuelle Prüfung ist fehleranfällig: Laut ACFE Report to the Nations 2024 werden nur 37 % der Betrugsfälle durch manuelle Kontrollen erkannt (ACFE, Report to the Nations 2024).
Schritt 2 — Zustimmung einer übergeordneten Führungsebene
§ 15 Abs. 6 GwG verlangt bei PEPs und Korrespondenzbanken die ausdrückliche Zustimmung einer übergeordneten Führungsebene, bevor die Geschäftsbeziehung begründet oder fortgeführt wird. Diese Entscheidung muss dokumentiert sein — mit dem Namen der entscheidenden Person, dem Datum und der Begründung.
Schritt 3 — Erweiterte Identitätsprüfung
Verifizieren Sie die Identität anhand mehrerer unabhängiger Quellen. Für juristische Personen: Handelsregisterauszüge, Transparenzregisterauszüge sowie ggf. notarielle Urkunden zur Gesellschaftsstruktur. Für natürliche Personen: mehrere Ausweisdokumente, ergänzt durch aktuelle Adressnachweise.
Schritt 4 — Feststellung der Herkunft des Vermögens und der eingesetzten Mittel
Dies ist das charakteristischste Element des EDD-Prozesses. Das Unternehmen muss nicht nur wissen, wer der Kunde ist, sondern auch, wie er sein Vermögen aufgebaut hat und woher die konkreten Mittel in der Geschäftsbeziehung stammen. Geeignete Nachweise sind Steuerbescheide, Erbschaftsurkunden, Jahresabschlüsse von Unternehmen oder Kaufverträge bei Immobilientransaktionen.
Schritt 5 — Klärung von Zweck und Art der Geschäftsbeziehung
Halten Sie den konkreten Zweck der Geschäftsbeziehung schriftlich fest. Warum wählt der Kunde Ihr Unternehmen? Welche Transaktionsvolumina sind zu erwarten? Welches Produkt oder welche Dienstleistung wird in Anspruch genommen? Die BaFin erwartet ein individuelles Risikoprofil, das als Ausgangsbasis für die laufende Überwachung dient.
Schritt 6 — Laufende Überwachung mit erhöhter Intensität
Für Hochrisikogeschäftsbeziehungen muss die Überwachung intensiver ausfallen als für Standardkunden. Dies umfasst mindestens eine jährliche Überprüfung der Kundenakte, eine Echtzeit-Transaktionsüberwachung und ein regelmäßiges Screening auf veränderten PEP-Status oder neue Sanktionen.
Schritt 7 — Dokumentation und Aufbewahrungspflicht
Sämtliche EDD-Maßnahmen und Erkenntnisse sind zu dokumentieren und für mindestens fünf Jahre nach Beendigung der Geschäftsbeziehung aufzubewahren (§ 8 GwG). Die Dokumentation muss nachweisen, dass die Pflichten tatsächlich erfüllt wurden — nicht nur, dass die entsprechenden Verfahren existieren.
Bereit, Ihre Prüfungen zu automatisieren?
Kostenloses Pilotprojekt mit Ihren eigenen Dokumenten. Ergebnisse in 48h.
Kostenloses Pilotprojekt anfragenErforderliche Dokumentation bei verstärkten Sorgfaltspflichten
Die erforderliche Dokumentation variiert je nach Kundentyp und Auslöser. Die folgende Tabelle gibt einen nicht abschließenden Überblick über die Mindestanforderungen.
| Dokumentenkategorie | Art des Dokuments | Anwendbar bei |
|---|---|---|
| Ausweisdokumente | Gültiger Reisepass oder Personalausweis (mehrere Quellen bei Fernidentifizierung) | Allen EDD-Situationen |
| Transparenzregister / wirtschaftlich Berechtigte | Transparenzregisterauszug, Gesellschaftsvertrag, Organigramm | Juristischen Personen, Trusts, Treuhändern |
| Herkunft des Vermögens | Steuerbescheide, Jahresabschlüsse, notarielle Urkunden, Lohn- und Gehaltsnachweise | Allen EDD-Situationen |
| Herkunft der Mittel | Kontoauszüge, Verträge, Herkunftserklärungen | Hochrisikotransaktionen |
| PEP-Status und -erklärung | Unterzeichnete PEP-Erklärung, Screeningergebnis mit Datum | PEPs und nahen Angehörigen |
| Führungszustimmung | Internes Genehmigungsformular, Name des Entscheidungsträgers, Datum und Begründung | PEPs, Korrespondenzbanken |
| Transaktionsprofil | Historische Transaktionsübersichten, erwartete vs. tatsächliche Volumina | Allen EDD-Kunden |
| Risikobewertung | Intern erstelltes Risikobewertungsdokument mit Begründung | Allen EDD-Kunden |
| Screeningergebnisse | PEP-Screeningbericht, Sanktionsscreeningbericht mit Datum | Allen EDD-Situationen |
Die BaFin erwartet eine geordnete Aktenführung, die Prüfungen erleichtert. Eine logische Kundenaktenstruktur mit Versionshistorie der Risikobewertungen ist das Mindestmaß. Weiterführende sektorspezifische Anforderungen finden Sie in unserer Sorgfaltspflichten-Checkliste nach Branche.
Allgemeine vs verstärkte Sorgfaltspflichten: die Unterschiede
Ein klares Verständnis der Unterschiede zwischen allgemeinen Sorgfaltspflichten (§ 13 GwG) und verstärkten Sorgfaltspflichten (§ 15 GwG) verhindert sowohl Untercompliance — EDD-Auslöser werden übersehen — als auch Übercompliance — unnötige EDD-Last bei Niedrigrisikokunden.
| Aspekt | Allgemeine Sorgfaltspflichten (§ 13 GwG) | Verstärkte Sorgfaltspflichten (§ 15 GwG) |
|---|---|---|
| Rechtsgrundlage | § 13 GwG | § 15 GwG |
| Auslöser | Risikobasiert (Ermessen) | Gesetzlich bestimmt (zwingend) |
| Identitätsprüfung | Ein Ausweisdokument + Basisprüfung | Mehrere unabhängige Quellen |
| Herkunft des Vermögens | Nicht standardmäßig erforderlich | Ausdrücklich gefordert |
| Herkunft der Mittel | Nicht standardmäßig erforderlich | Ausdrücklich erforderlich bei Transaktionen |
| Führungszustimmung | Nicht erforderlich | Pflicht bei PEPs und Korrespondenzbanken |
| Laufende Überwachung | Risikobasierte Häufigkeit | Erhöhte Häufigkeit, mindestens jährlich |
| Dokumentationsaufwand | Begrenzt | Umfangreich, mit Begründungspflicht |
| Überprüfungsturnus | Risikobasiert | Mindestens jährlich |
Der internationale Rahmen hierfür sind die FATF-Empfehlungen, insbesondere Empfehlung 10 (Sorgfaltspflichten gegenüber Kunden) und Empfehlung 12 (Politisch exponierte Personen). Diese stehen vollständig unter fatf-gafi.org zur Verfügung und bilden die Grundlage, auf der sowohl das GwG als auch die AMLR aufgebaut sind.
Laufende Überwachung bei Hochrisikogeschäftsbeziehungen
Verstärkte Sorgfaltspflichten sind keine einmalige Maßnahme bei der Aufnahme der Geschäftsbeziehung. Die BaFin betont in ihren AuA, dass die laufende Überwachung von Hochrisikokunden ein struktureller Bestandteil des Compliance-Programms sein muss.
Anlässe für eine außerordentliche Überprüfung umfassen:
- Änderung des PEP-Status (Amtsantritt oder -niederlegung)
- Aufnahme des Kunden oder verbundener Personen in eine Sanktionsliste
- Ungewöhnliche Transaktionen, die vom festgelegten Profil abweichen
- Änderung der Eigentumsstruktur oder des wirtschaftlich Berechtigten
- Externe Signale (Auskunftsersuchen von Behörden, Medienberichte, Hinweise anderer Verpflichteter)
- Turnusmäßige Überprüfung (mindestens jährlich für EDD-Kunden)
Die laufende Überwachung setzt einen tagesaktuellen Zugang zu PEP-Listen und Sanktionslisten voraus. Die BaFin erwartet eine tägliche Aktualisierung der verwendeten Listen. Eine quartalsweise manuelle Überprüfung genügt den BaFin-Anforderungen für Hochrisikokunden nicht.
Die Transaktionsüberwachung bei EDD-Kunden muss auf dem individuellen Risikoprofil des Kunden basieren, nicht auf generischen Schwellenwerten. Abweichungen vom erwarteten Transaktionsmuster — in Höhe, Häufigkeit, Geographie oder Gegenpartei — müssen ein automatisches Signal erzeugen, das von einem Compliance-Beauftragten bewertet wird.
Bei einem positiven Überwachungssignal sind folgende Schritte zu prüfen: Anforderung zusätzlicher Informationen beim Kunden, interne Eskalation an ein Compliance-Komitee, Neubeurteilung des Risikoprofils oder — bei schwerwiegendem Verdacht — die Erstattung einer Verdachtsmeldung an die Financial Intelligence Unit (FIU) gemäß § 43 GwG.
Weitere Informationen zur Geldwäscheprävention im deutschen Unternehmenskontext finden Sie in unserem Leitfaden zur Geldwäscheprävention.
EDD mit CheckFile automatisieren
Manuelle EDD-Prozesse sind arbeitsintensiv, fehleranfällig und kaum skalierbar. Laut ACFE 2024 werden nur 37 % der Betrugsfälle durch manuelle Kontrollen erkannt; die übrigen 63 % werden durch technologische Erkennungsmechanismen oder externe Signale aufgedeckt. Für Verpflichtete mit hohem Volumen an EDD-pflichtigen Kunden ist Automatisierung keine Option, sondern eine operative Notwendigkeit.
CheckFile bietet eine integrierte Plattform zur Automatisierung von EDD-Prozessen:
- Automatisierte Dokumentenprüfung: Prüfung von Reisepässen, Personalausweisen, Transparenzregisterauszügen, Handelsregisterauszügen und Finanzübersichten — über 3.200 Dokumenttypen aus 32 Jurisdiktionen
- Echtzeit-PEP- und Sanktionsscreening: kontinuierliches Screening gegen aktuelle internationale Listen, einschließlich OFAC, EU-Sanktionslisten, UN-Sanktionslisten und nationaler Listen
- Automatisierte Risikoscoring-Modelle: auf Basis der erfassten Dokumentation wird ein strukturierter Risikoscore generiert, der als Entscheidungsgrundlage für den Compliance-Beauftragten dient
- Audit-Trail und Aufbewahrungsfunktion: alle Prüfungsschritte werden automatisch protokolliert und für die fünfjährige Aufbewahrungspflicht nach § 8 GwG gespeichert
- Workflow-Automatisierung: EDD-Akten werden auf Basis von Risikoscore und Auslösertyp automatisch an den zuständigen Entscheidungsträger weitergeleitet
Für Verpflichtete, die ihre KYC- und EDD-Prozesse optimieren möchten, bieten unsere KYC-Lösungen für Banken einen vollständigen Funktionsüberblick. Informationen zum Datenschutz und zur Verschlüsselung finden Sie auf der Sicherheitsseite; eine Übersicht der Abonnementmodelle steht auf der Preisseite bereit.
Eine Pilotimplementierung bei einem mittelgroßen deutschen Zahlungsdienstleister erzielte eine Reduzierung der durchschnittlichen EDD-Durchlaufzeit um 65 % und eliminierte gleichzeitig Dokumentationslücken, die bei der vorherigen BaFin-Prüfung beanstandet worden waren.
Weitere Informationen zu Automatisierungsmöglichkeiten stehen auf der Startseite bereit.
Häufig gestellte Fragen
Was ist der Unterschied zwischen erhöhtem Risiko nach § 13 GwG und verstärkten Sorgfaltspflichten nach § 15 GwG?
§ 13 GwG begründet einen risikobasierten Ermessensspielraum: Das Unternehmen wählt proportionale Maßnahmen nach eigenem Urteil. § 15 GwG enthält dagegen gesetzliche Mindestpflichten ohne Ermessen — bei Vorliegen eines der Auslöser sind verstärkte Maßnahmen zwingend vorgeschrieben, unabhängig von der eigenen Risikobewertung. Das eigene Risikourteilt kann allenfalls die Intensität der EDD-Maßnahmen beeinflussen, nicht deren grundsätzliche Anwendbarkeit.
Gilt die EDD-Pflicht auch für bestehende Geschäftsbeziehungen?
Ja. § 15 GwG gilt nicht nur bei der Anbahnung neuer Geschäftsbeziehungen, sondern auch dann, wenn ein bestehender Kunde während der Beziehung einen EDD-Auslöser erfüllt — etwa durch Übernahme eines öffentlichen Amtes (PEP-Status) oder durch Aufnahme eines Landes in die EU-Hochrisikoländerliste. Verpflichtete müssen ihren Kundenstamm regelmäßig neu screenen.
Was regelt § 15a GwG seit dem 4. Februar 2026?
§ 15a GwG, eingefügt durch das Gesetz zur Umsetzung der EU-Transferverordnung vom Oktober 2025, begründet verstärkte Sorgfaltspflichten speziell für Kryptowerte-Dienstleister bei Transaktionen, die selbst gehostete Wallets (unhosted wallets) betreffen. Krypto-Dienstleister müssen bei solchen Transaktionen die Herkunft der Kryptowerte verifizieren und das Transaktionsrisiko individuell bewerten. Diese Pflicht ergänzt die bestehenden Anforderungen aus der EU-Transferverordnung (Verordnung (EU) 2023/1113).
Wie lange müssen EDD-Unterlagen aufbewahrt werden?
§ 8 GwG schreibt eine Aufbewahrungsfrist von fünf Jahren nach Beendigung der Geschäftsbeziehung vor. Die Dokumentation muss geordnet und für Behörden zugänglich sein. Bei juristischen Personen kann eine Verlängerung der Aufbewahrungspflicht durch handels- oder steuerrechtliche Vorschriften eintreten (§ 257 HGB: sechs bis zehn Jahre für Buchführungsunterlagen).
Welche Sanktionen drohen bei unzureichender EDD-Erfüllung?
Die BaFin kann bei festgestellten GwG-Verstößen Bußgelder bis zu 5 Millionen Euro oder 10 % des Jahresumsatzes verhängen. Laut BaFin-Jahresbericht 2024 wurden mehrere Verpflichtete für mangelhafte GwG-Compliance sanktioniert (BaFin Jahresbericht 2024). Neben Bußgeldern kann die BaFin Anordnungen zur Mängelbeseitigung, die Abberufung von Geschäftsleitern oder in schwerwiegenden Fällen den Entzug der Zulassung aussprechen. Den vollständigen Wortlaut des § 15 GwG finden Sie unter buzer.de/GwG § 15.
Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine rechtliche, finanzielle oder regulatorische Beratung dar. Die regulatorischen Verweise entsprechen dem Stand vom 27. Mai 2026. Wenden Sie sich an einen qualifizierten Compliance-Fachmann oder Rechtsanwalt für eine auf Ihre Situation und Branche zugeschnittene Beratung.
Externe Quellen:
Bleiben Sie informiert
Erhalten Sie unsere Compliance-Analysen und Praxisleitfäden direkt in Ihr Postfach.