Kundendatenaktualisierung GwG: Die neuen Regeln und Fristen für 2026

Das Jahr 2026 bringt neue Herausforderungen für Verpflichtete: Die Kundendatenaktualisierung nach GwG (Geldwäschegesetz) rückt in den Fokus der Prüfer. Mit dem Start der neuen EU-Geldwäschebehörde (AMLA) und den verschärften Auslegungshinweisen der BaFin reicht es nicht mehr, Daten nur zu sammeln – sie müssen „frisch“ gehalten werden.

Die Kundendatenaktualisierung GwG ist der operative Kern deiner kontinuierlichen Überwachung. Wer hier schludert und veraltete KYC-Akten führt, riskiert Bußgelder und Feststellungen in der Jahresabschlussprüfung.

In diesem Artikel erfährst du, welche Fristen für die Kundendatenaktualisierung bei High-Risk- und Low-Risk-Kunden gelten und wie du die Anforderungen 2026 effizient umsetzt.

Aktualisierung der Kundendaten – Welche Regeln gelten nach dem GwG?

Kontinuierliche Überwachung: Warum einmal prüfen nicht reicht

Das Geldwäschegesetz fordert eine kontinuierliche Überwachung der Geschäftsbeziehung. Das bedeutet: Die Kundendatenaktualisierung GwG ist kein einmaliger Vorgang bei Kontoeröffnung, sondern ein dauerhafter Prozess.

Zentrale Frage der Aufsicht ist: „Sind die Informationen über den wirtschaftlich Berechtigten, die Branche und das Transaktionsprofil noch aktuell?“ Die Häufigkeit dieser Kundendatenaktualisierung hängt dabei strikt von deiner Risikoanalyse ab.

Fristen zur Kundendatenaktualisierung GwG (Periodisch)

Wann musst du aktiv werden? Die Aufsicht unterscheidet bei der periodischen Kundendatenaktualisierung GwG streng nach Risikoklassen. Hier sind die Richtwerte, die sich für 2026 etabliert haben:

1. Hohes Risiko (High Risk / § 15 GwG)

Bei politisch exponierten Personen (PEPs) oder Kunden aus Hochrisikoländern ist die Leine kurz.

  • Turnus: Die Kundendatenaktualisierung muss mindestens alle 12 Monate (jährlich) erfolgen.

  • To-Do: Prüfung der Herkunft der Vermögenswerte (Source of Wealth) und Abgleich der UBO-Daten.

2. Normales Risiko (Standard)

Das ist der Großteil deines Kundenbestands.

  • Turnus: Hier gilt die 5-Jahres-Frist.

  • To-Do: Spätestens nach 5 Jahren muss eine dokumentierte Kundendatenaktualisierung GwG erfolgen (z.B. Adressabgleich, Prüfung Handelsregisterauszug).

3. Geringes Risiko (Low Risk / § 14 GwG)

Bei Behörden oder börsennotierten Unternehmen gelten Erleichterungen.

  • Turnus: Risikoangemessen (oft alle 7 bis 10 Jahre).

  • Vorsicht: Auch hier darf die Kundendatenaktualisierung nicht gänzlich entfallen. „Risikoangemessen“ heißt nicht „nie“.

4. Sonderfall: Umsatzlose Konten

Eine pragmatische Regelung: Bei inaktiven Konten mit geringem Guthaben kann die Kundendatenaktualisierung GwG ausgesetzt werden – solange, bis der Kunde wieder aktiv wird („Aufleben der Geschäftsbeziehung“). Dann muss sofort geprüft werden.

Kein zwingender Kundenkontakt notwendig

Eine Aktualisierung der Kundendaten erfordert nicht zwingend eine direkte Kontaktaufnahme mit dem Kunden. Unternehmen können auch auf andere, zuverlässige Quellen zurückgreifen, um die Informationen zu überprüfen. Es ist jedoch wichtig, dass diese Quellen vertrauenswürdig sind. § 11 Abs. 3 GwG erlaubt das Absehen von einer Identifizierung, jedoch ist diese Regelung nicht auf die Aktualisierungspflicht anwendbar.

Vorgaben für die periodische Aktualisierung

Die Häufigkeit der periodischen Aktualisierung richtet sich nach dem individuellen Risiko des Kunden. Dabei kommen folgende Zeiträume zur Anwendung:

  1. Umsatzlose Konten: Bei Konten, die über einen längeren Zeitraum nicht genutzt wurden und ein geringes Guthaben aufweisen, kann auf eine Einbeziehung in die Aktualisierungsmaßnahmen verzichtet werden. Sobald diese Konten jedoch wieder aktiv werden, sind die Kundendaten umgehend zu aktualisieren.

  2. Kunden mit vereinfachten Sorgfaltspflichten: Für Kunden, auf die gemäß § 14 GwG vereinfachte Sorgfaltspflichten angewendet werden, muss die Aktualisierung risikoangemessen erfolgen. Entwicklungen auf nationaler und europäischer Ebene sind bei der Risikobewertung zu berücksichtigen. Falls der Kunde nicht reagiert, entscheidet das Unternehmen risikobasiert über weitere Maßnahmen.

  3. Kunden mit normalen Sorgfaltspflichten: Hier darf der Zeitraum zwischen den Aktualisierungen maximal fünf Jahre betragen. Sollte keine Reaktion des Kunden erfolgen, ist eine Neubewertung des Risikos vorzunehmen.

  4. Kunden mit verstärkten Sorgfaltspflichten: Für Kunden, bei denen gemäß § 15 GwG verstärkte Sorgfaltspflichten gelten, ist eine angemessene Überwachung sicherzustellen. Der Zeitraum zwischen den Aktualisierungen darf maximal ein Jahr betragen.

Zeitpunkt der Aktualisierung: Der Anknüpfungspunkt für die Berechnung der Aktualisierungsfristen ist der Zeitpunkt der erstmaligen Identifizierung bzw. der letzten Aktualisierung. Dabei ist die aktuelle Risikoklassifizierung des Kunden zu berücksichtigen.

Aktualisierung der Kundendaten gemäß GwG

  • Periodische Aktualisierung:

    • Kunden, bei denen §15 GwG anwendbar ist: Aktualisierung alle 1 Jahr
    • Kunden, bei denen weder §14 GwG noch §15 GwG anwendbar ist: Aktualisierung alle 5 Jahre
    • Kunden, bei denen §14 GwG anwendbar ist: Risikoangemessene Aktualisierung; Zeitraum ist vom Verpflichteten festzulegen.

  • Anlassbezogene Aktualisierung:

    • Unzustellbare Post
    • Änderung von Stammdaten (z.B. Adresse, Name)
    • Zweifel an der Aktualität der Daten

  • Dokumentation: Jede Aktualisierung und deren Ergebnis müssen ordnungsgemäß dokumentiert werden.

  • Risikobasierter Ansatz: Die Häufigkeit der Aktualisierung richtet sich nach der Risikoklassifizierung des Kunden.

Anlassbezogene Aktualisierung

Neben der periodischen Überprüfung müssen Unternehmen eine anlassbezogene Aktualisierung durchführen, wenn bestimmte Ereignisse eintreten. Dazu gehören:

  • Unzustellbare Post: Wenn Briefe oder andere Dokumente an den Kunden nicht zugestellt werden können, ist eine Überprüfung der Kontaktdaten erforderlich.
  • Änderung der Stammdaten: Wenn der Kunde Änderungen seiner Stammdaten, wie z. B. eine Namens- oder Adressänderung, meldet, müssen die Informationen sofort aktualisiert werden.
  • Zweifel an der Aktualität: Wenn es Anzeichen dafür gibt, dass die hinterlegten Kundendaten nicht mehr aktuell sind, muss eine erneute Überprüfung erfolgen.

Dokumentation der Aktualisierungsmaßnahmen

Unternehmen sind verpflichtet, die Durchführung der Aktualisierungen zu dokumentieren. Geeignete Maßnahmen zur Bestätigung der Aktualität der Kundendaten sind festzuhalten. Unabhängig davon empfiehlt es sich, nach einer festgelegten Zeitspanne den direkten Kundenkontakt zu suchen, um die Daten zu überprüfen und zu aktualisieren.

Fazit

Die neuen Vorgaben zur Aktualisierung der Kundendaten nach dem GwG fordern von Unternehmen, ihre Überwachungs- und Aktualisierungsmaßnahmen auf eine risikoorientierte Grundlage zu stellen. Durch die Einführung klarer Fristen für die periodische und anlassbezogene Aktualisierung soll sichergestellt werden, dass alle Kundendaten stets auf dem neuesten Stand sind. Unternehmen sollten ihre internen Prozesse entsprechend anpassen, um den gesetzlichen Anforderungen gerecht zu werden und potenzielle Risiken frühzeitig zu erkennen.

Dieses Seminar könnte dich interessieren:

Lehrgänge & Seminare

Dein Karriere-Booster

S+P Erfahrung

ISO9001
AZAV
ecovadis

Newsletter

S&P Unternehmerforum GmbH 791 Bewertungen auf ProvenExpert.com