Aus dem Compliance Hub

Autor: Emma Collins

– Compliance & Governance-Artikel

Emma Collins

fokussiert sich im S+P Governance Hub auf die Dynamik regulatorischer Anforderungen, ESG-Faktoren und digitaler Resilienz. Ziel ist es, komplexe regulatorische Rahmenbedingungen in anwendbare Management-Tools zu transformieren und Entscheidungsträgern so maximale Handlungsfähigkeit zu sichern.

13. Dezember 2025

Lesezeit: 5 Minuten

Kundendatenaktualisierung GwG: Die neuen Regeln und Fristen für 2026

Änderungen AuAs 2024 [PDF]

EBA Newsroom

Das Jahr 2026 bringt neue Herausforderungen für Verpflichtete: Die Kundendatenaktualisierung nach GwG (Geldwäschegesetz) rückt in den Fokus der Prüfer. Mit dem Start der neuen EU-Geldwäschebehörde (AMLA) und den verschärften Auslegungshinweisen der BaFin reicht es nicht mehr, Daten nur zu sammeln – sie müssen „frisch“ gehalten werden.

Die Kundendatenaktualisierung GwG ist der operative Kern deiner kontinuierlichen Überwachung. Wer hier schludert und veraltete KYC-Akten führt, riskiert Bußgelder und Feststellungen in der Jahresabschlussprüfung.

In diesem Artikel erfährst du, welche Fristen für die Kundendatenaktualisierung bei High-Risk- und Low-Risk-Kunden gelten und wie du die Anforderungen 2026 effizient umsetzt.

Kontinuierliche Überwachung: Warum einmal prüfen nicht reicht

Das Geldwäschegesetz fordert eine kontinuierliche Überwachung der Geschäftsbeziehung. Das bedeutet: Die Kundendatenaktualisierung GwG ist kein einmaliger Vorgang bei Kontoeröffnung, sondern ein dauerhafter Prozess.

Zentrale Frage der Aufsicht ist: „Sind die Informationen über den wirtschaftlich Berechtigten, die Branche und das Transaktionsprofil noch aktuell?“ Die Häufigkeit dieser Kundendatenaktualisierung hängt dabei strikt von deiner Risikoanalyse ab.

Fristen zur Kundendatenaktualisierung GwG (Periodisch)

Wann musst du aktiv werden? Die Aufsicht unterscheidet bei der periodischen Kundendatenaktualisierung GwG streng nach Risikoklassen. Hier sind die Richtwerte, die sich für 2026 etabliert haben:

1. Hohes Risiko (High Risk / § 15 GwG)

Bei politisch exponierten Personen (PEPs) oder Kunden aus Hochrisikoländern ist die Leine kurz.

Turnus: Die Kundendatenaktualisierung muss mindestens alle 12 Monate (jährlich) erfolgen.
To-Do: Prüfung der Herkunft der Vermögenswerte (Source of Wealth) und Abgleich der UBO-Daten.

2. Normales Risiko (Standard)

Das ist der Großteil deines Kundenbestands.

Turnus: Hier gilt die 5-Jahres-Frist.
To-Do: Spätestens nach 5 Jahren muss eine dokumentierte Kundendatenaktualisierung GwG erfolgen (z.B. Adressabgleich, Prüfung Handelsregisterauszug).

3. Geringes Risiko (Low Risk / § 14 GwG)

Bei Behörden oder börsennotierten Unternehmen gelten Erleichterungen.

Turnus: Risikoangemessen (oft alle 7 bis 10 Jahre).
Vorsicht: Auch hier darf die Kundendatenaktualisierung nicht gänzlich entfallen. „Risikoangemessen“ heißt nicht „nie“.

4. Sonderfall: Umsatzlose Konten

Eine pragmatische Regelung: Bei inaktiven Konten mit geringem Guthaben kann die Kundendatenaktualisierung GwG ausgesetzt werden – solange, bis der Kunde wieder aktiv wird („Aufleben der Geschäftsbeziehung“). Dann muss sofort geprüft werden.

Turnus der Kundendatenaktualisierung nach GwG

Risikoklasse	Rechtsgrundlage	Frist zur Aktualisierung
Hohes Risiko	§ 15 GwG	Jährlich (alle 12 Monate)
Normales Risiko	Standard-Praxis	Alle 5 Jahre
Geringes Risiko	§ 14 GwG	Risikoangemessen (z. B. 7–10 Jahre)
Inaktive Kunden	AuAs / BaFin	Unverzüglich bei Reaktivierung

Anlassbezogene Kundendatenaktualisierung GwG

Neben den starren Fristen gibt es Ereignisse, die eine sofortige Kundendatenaktualisierung nach GwG auslösen müssen („Trigger-Events“). Dein System sollte hierauf sensibel reagieren:

Unzustellbare Post: Der Klassiker. Kommt Post zurück, ist die Erreichbarkeit nicht mehr gegeben -> Sofortige Prüfung.
Änderung der Stammdaten: Meldet der Kunde eine neue Adresse oder ändert sich die Rechtsform, ist dies ein Anlass für eine Kundendatenaktualisierung.
Zweifel an der Identität: Passen die Transaktionen nicht mehr zum Kundenprofil? Gibt es Presseberichte über Straftaten?
Neue Sanktionslisten: Matches auf Sanktions- oder PEP-Listen erfordern eine sofortige Überprüfung der Datenbasis.

Mythos vs. Praxis: Muss ich den Kunden anrufen?

Ein häufiges Missverständnis bei der Kundendatenaktualisierung GwG: Du musst nicht zwingend zum Hörer greifen.

Externe Quellen: Für die Aktualisierung darfst du zuverlässige Register (Transparenzregister, Handelsregister) oder Auskunfteien nutzen.
Identifizierung vs. Aktualisierung: § 11 Abs. 3 GwG erlaubt oft das Absehen von einer erneuten Identifizierung (Ausweiskopie), solange keine Zweifel an der Person bestehen. Die Kundendatenaktualisierung (Datenabgleich) muss dennoch durchgeführt und dokumentiert werden.

Fazit: Datenqualität ist dein Schutzschild

Die korrekte Kundendatenaktualisierung GwG ist mehr als Bürokratie. Veraltete Daten machen deine Risikoanalyse blind und dein Monitoring-System wirkungslos. Stelle sicher, dass du für 2026 klare Prozesse für die 1-Jahres- und 5-Jahres-Fristen implementiert hast und Trigger-Events wie Postrückläufer sofort in den Prozess der Kundendatenaktualisierung einfließen.

Weiterführende Seminare & GwG-Tools

Willst du deine Prozesse zur Kundendatenaktualisierung GwG rechtssicher gestalten? In unseren Seminaren erhältst du Checklisten und Muster für die Praxis.

Lehrgang Geldwäschebeauftragter (S+P Certified) Lerne, wie du KYC-Prozesse effizient aufsetzt und Aktualisierungsstaus vermeidest.
Update-Seminar: Geldwäsche & Fraud Das Update für Erfahrene: Neue AuAs, AMLA-Regeln und Best Practices zur Datenpflege.

FAQ zur Kundendatenaktualisierung nach GwG

Wie oft ist eine Kundendatenaktualisierung nach GwG Pflicht?
Die Aktualisierungspflicht richtet sich nach der Risikoklassifizierung des Kunden:
- Hohes Risiko: jährlich (alle 12 Monate)
- Normales Risiko: in der Regel alle 5 Jahre
- Geringes Risiko: risikoangemessen, z. B. alle 7–10 Jahre
Grundlage sind die §§ 10, 14 und 15 GwG sowie die Verwaltungspraxis der Aufsicht.
Reicht ein Handelsregisterauszug für die Kundendatenaktualisierung?

In vielen Fällen ja. Können relevante Angaben wie Geschäftsführung, Sitz, Rechtsform oder Branche aus einem amtlichen Register (z. B. Handelsregister, Transparenzregister) verlässlich entnommen werden, ist kein direkter Kundenkontakt erforderlich.

Voraussetzung ist, dass keine zusätzlichen Auffälligkeiten oder erhöhten Risiken vorliegen.
Was passiert bei fehlender Kundendatenaktualisierung?
Können die erforderlichen Daten nicht aktualisiert oder verifiziert werden (z. B. keine Reaktion des Kunden, widersprüchliche Informationen), ist das Institut verpflichtet, die Geschäftsbeziehung zu beenden (§ 10 Abs. 9 GwG).

Zusätzlich drohen:
- aufsichtsrechtliche Maßnahmen,
- Bußgelder wegen Verletzung der Sorgfaltspflichten,
- Reputationsrisiken bei Prüfungen durch Aufsicht oder Revision.

Weitere relevante Themen & Deep Dives

Auftretende Person: Umsetzung von § 11 Abs. 1 GwG Wer steht eigentlich vor dir? Erfahre, wie du die „auftretende Person“ korrekt identifizierst – ein entscheidender Schritt vor jeder Datenprüfung.
Aufgaben eines Geldwäschebeauftragten (§ 7 GwG) Wer ist verantwortlich? Von der Überwachung der Kundendatenaktualisierung bis zur Risikoanalyse: Das komplette Pflichtenheft im Überblick.
Geldwäsche-Verdachtsmeldung und Strafanzeige Wenn die Daten nicht stimmen: Was tun, wenn bei der Aktualisierung Ungereimtheiten auftauchen? Wann du zwingend eine Meldung (SAR) an die FIU abgeben musst.
§ 11a, § 23a FKBG und das Sanktionengesetz Datenabgleich mit Sanktionslisten: Was bedeuten die neuen Paragraphen für deine KYC-Prozesse und das Einfrieren von Vermögenswerten?
Neues Geldwäschegesetz: Welche Änderungen fehlen? Der Blick in die Zukunft: Eine kritische Analyse der aktuellen Gesetzgebung und wo noch Lücken im Kampf gegen Finanzkriminalität bestehen.