KMAG & EU-Verordnung 2023/1113: Stärkere Regeln gegen Geldwäsche im Kryptosektor
Das Kryptomärkteaufsichtsgesetz (KMAG) verpflichtet Kryptodienstleister zur Einhaltung umfassender Vorschriften zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung. Ergänzt wird das Gesetz durch die Verordnung (EU) 2023/1113, die neue Pflichten im Zusammenhang mit Kryptotransfers einführt. Besonders relevant sind dabei die Prüfpflichten für Abschlussprüfer und mögliche Maßnahmen gegen das Leitungsorgan eines Instituts.
🔍 Prüfungspflichten für Abschlussprüfer nach § 40 KMAG
§ 40 Abs. 1 KMAG verpflichtet den Abschlussprüfer dazu, im Rahmen der Jahresabschlussprüfung zu kontrollieren, ob das Unternehmen seinen Verpflichtungen aus dem Geldwäschegesetz (GwG) und der Verordnung (EU) 2023/1113 nachgekommen ist. Das betrifft insbesondere die Sorgfaltspflichten, Risikoanalysen und die korrekte Weitergabe von Daten bei Kryptotransaktionen.
👉 Meldepflicht bei Verstößen
§ 40 Abs. 2 KMAG geht noch weiter: Stellt der Abschlussprüfer gravierende Verstöße gegen die genannten Regelwerke fest, muss er unverzüglich die BaFin und die Deutsche Bundesbank informieren. Damit wird die Prüfstelle faktisch zu einem Frühwarnsystem für regulatorische Risiken.
⚠️ Maßnahmen gegen das Leitungsorgan (§ 24 Abs. 3 KMAG)
Die BaFin kann einzelnen Mitgliedern der Geschäftsleitung untersagen, ihre Tätigkeit fortzusetzen oder erneut bei einem nach GwG verpflichteten Unternehmen tätig zu werden, wenn sie für Verstöße verantwortlich gemacht werden können. Das erhöht den individuellen Druck auf das Management erheblich – und motiviert zu stärkerer Compliance.
💸 Bußgelder bei Pflichtverletzungen (§ 47 Abs. 3 KMAG)
Verstöße gegen das GwG oder die EU-Verordnung können als Ordnungswidrigkeit geahndet werden. Die Höhe der Bußgelder richtet sich nach dem Grad des Verschuldens und der Schwere der Pflichtverletzung – mit potenziell drastischen finanziellen und reputativen Folgen.
🔐 Verordnung (EU) 2023/1113 – Kernregelungen im Überblick
Die Verordnung erweitert die Geldwäscheregulierung auf den Bereich Kryptotransfers und bringt unter anderem folgende Pflichten mit sich:
| Pflicht | Inhalt |
|---|---|
| Begleitinformationen bei Transfers | Sowohl Absender- als auch Empfängerdaten müssen bei Transaktionen mitübermittelt werden. |
| Datenspeicherung | Verpflichtete müssen Informationen über Transaktionen und Beteiligte mindestens fünf Jahre speichern. |
| Sorgfalt bei Transfers mit Drittstaaten | Bei Transfers aus oder in Drittstaaten gelten verschärfte Anforderungen – z. B. Identitätsprüfung vor Ausführung. |
| Reaktionspflichten bei fehlenden Daten | Transfers mit unvollständigen Informationen müssen zurückgewiesen oder genauer untersucht werden. |
| Verhältnis zu unhosted Wallets | Bei Transfers zu bzw. von Wallets ohne Anbieter (sog. unhosted wallets) gelten besondere Prüfpflichten. |
📊 Vergleichstabelle: Bisherige Regelung vs. neue Anforderungen
| Bisherige Regelung | Neue Regelung nach KMAG & EU-VO 2023/1113 |
|---|---|
|
Keine ausdrückliche Prüfungspflicht für Abschlussprüfer im Kryptobereich |
Pflicht zur Prüfung der Einhaltung von GwG und EU-Verordnung durch Abschlussprüfer (§ 40 KMAG) |
|
Keine Pflicht zur Meldung von Verstößen an Aufsichtsbehörden durch Prüfer |
Unverzügliche Anzeigepflicht an BaFin und Bundesbank bei erheblichen Verstößen (§ 40 Abs. 2 KMAG) |
|
Maßnahmen gegen das Leitungsorgan nur bei gravierenden Fällen |
Möglichkeit des Tätigkeitsverbots bei Verstößen gegen Geldwäschepflichten (§ 24 Abs. 3 KMAG) |
|
Allgemeine Bußgeldvorschriften des GwG |
Ergänzende Bußgeldtatbestände im KMAG bei Verstößen gegen EU-VO 2023/1113 (§ 47 Abs. 3 KMAG) |
| GwG-Pflichten bei Finanztransferdienstleistern | Neue spezifische Pflichten für Kryptodienstleister nach EU-VO 2023/1113, z. B. Datenübermittlung bei Transfers |
🧭 Fazit: Was bedeutet das für Kryptodienstleister?
Mit dem Zusammenspiel von KMAG und der neuen EU-Verordnung 2023/1113 verschärft sich die Aufsicht im Kryptosektor deutlich. Die Anforderungen betreffen nicht nur die Geschäftsleitung und das Compliance-Team, sondern reichen bis zur Abschlussprüfung. Transparenz, Nachvollziehbarkeit und frühzeitige Dokumentation aller AML-Maßnahmen sind jetzt wichtiger denn je.
✅ To-Do-Liste für Geldwäschebeauftragte: KMAG & EU-VO 2023/1113
🔎 1. Pflichten prüfen und dokumentieren
-
Verbindliche Analyse: Welche der neuen Vorschriften gelten für mein Institut?
-
Gap-Analyse durchführen: Wo bestehen Lücken zwischen aktueller Praxis und neuen Anforderungen?
-
Dokumentation der Pflichten inkl. Verweise auf § 40 KMAG und VO (EU) 2023/1113
📁 2. Interne Kontrollsysteme (IKS) anpassen
-
Kontrollmechanismen zur Sicherstellung vollständiger Absender- und Empfängerinformationen bei Kryptotransfers einführen
-
Prozesse für unhosted Wallets definieren und risikoorientiert absichern
-
Verfahren zur Speicherung und Archivierung der Transaktionsdaten (mind. 5 Jahre) implementieren
-
Kontrollberichte und Prüfpfade für die Abschlussprüfer vorbereiten
👥 3. Zusammenarbeit mit dem Abschlussprüfer vorbereiten
-
Klare Kommunikation mit dem Abschlussprüfer über geldwäscherechtliche Anforderungen sicherstellen
-
Relevante Unterlagen und Berichte zentral bereitstellen
-
Reporting-Templates für Rückfragen des Prüfers vorbereiten
🚨 4. Meldewege für Verstöße intern definieren
-
Interne Eskalationsprozesse für Verdachtsfälle einrichten
-
Frühwarnsysteme etablieren, z. B. bei Transaktionen mit fehlenden oder unglaubwürdigen Angaben
-
Informationspflichten an BaFin und Bundesbank bei internen Erkenntnissen verstehen und vorbereiten (in Abstimmung mit der Revision)
🌍 5. Sonderregelungen für Drittländer prüfen
-
High-Risk-Länder gemäß EU-Liste identifizieren
-
Zusatzprüfungen und verstärkte Sorgfaltspflichten bei Drittstaaten-Transfers umsetzen
-
Liste regelmäßig aktualisieren und in Screening-Systeme einbinden
🧠 6. Mitarbeiterschulungen aktualisieren
-
Neue Anforderungen in Schulungskonzepte und eLearnings integrieren
-
Fokus auf Transaktionsprüfung, Datenanforderungen und Verhalten bei fehlenden Informationen
-
Schulung der Führungskräfte zu möglichen Haftungsrisiken und Tätigkeitsverboten nach § 24 KMAG
🗂 7. Risikomanagement anpassen
-
Risikoanalyse erweitern um Krypto-spezifische Szenarien (z. B. Mixer, anonymisierende Technologien)
-
Scoring-Modelle für Transaktionen mit unhosted Wallets anpassen
-
Monitoring-Regeln für auffällige Muster und Schwellenwerte überarbeiten
📝 8. Berichtswesen und Kontrollberichte
-
Geldwäschejahresbericht um neue Elemente ergänzen (EU-VO 2023/1113)
-
Regelmäßige Kontrollberichte für das Management aufsetzen
-
Reporting an Aufsicht dokumentieren (inkl. freiwilliger Mitteilungen bei strukturellen Risiken)
📘 Whitepaper „Corporate Governance & KMAG“ anfordern
Du möchtest noch tiefer in die aufsichtsrechtlichen Anforderungen an Kryptodienstleister einsteigen? Dann fordere jetzt kostenlos das aktuelle Whitepaper „Corporate Governance im Kryptosektor – KMAG in der Praxis“ bei S+P Seminare an.