Aus dem Compliance Hub

Autor: Emma Collins
– Compliance & Governance-Artikel
Emma Collins
fokussiert sich im S+P Governance Hub auf die Dynamik regulatorischer Anforderungen, ESG-Faktoren und digitaler Resilienz. Ziel ist es, komplexe regulatorische Rahmenbedingungen in anwendbare Management-Tools zu transformieren und Entscheidungsträgern so maximale Handlungsfähigkeit zu sichern.
25. Februar 2026
Lesezeit: 10 Minuten

§ 17 GwG: Sorgfaltspflichten rechtssicher auf Dritte & Dienstleister übertragen

Nach § 17 GwG dürfen Verpflichtete bestimmte geldwäscherechtliche Sorgfaltspflichten auf Dritte oder externe Dienstleister übertragen. Während die Identifizierung und Informationseinholung (§ 10 Abs. 1 Nr. 1–4 GwG) delegierbar sind, verbleibt die Letztverantwortung für die Einhaltung der Compliance stets beim Verpflichteten. Erfahre hier, welche Voraussetzungen für die rechtssichere Auslagerung und den Rückgriff auf Dritte gelten.

§ 17 GwG (Dritte & Auslagerung)

FAQ: § 17 GwG – Dritte, Auslagerung & Verantwortlichkeit

Welche Sorgfaltspflichten dürfen nach § 17 GwG auf Dritte übertragen werden?

Nach § 17 GwG kannst du Sorgfaltspflichten auf Dritte oder externe Dienstleister übertragen, aber Achtung: Die Letztverantwortung bleibt immer bei dir als Verpflichtetem.

  • Was übertragen werden darf: Ausschließlich die allgemeinen Sorgfaltspflichten nach § 10 Abs. 1 Nr. 1 bis 4 GwG (Identifizierung, wirtschaftlich Berechtigte, Zweck der Geschäftsbeziehung, PEP-Prüfung).

  • Was NICHT übertragen werden darf:

    • Die kontinuierliche Überwachung (§ 10 Abs. 1 Nr. 5 GwG).

    • Die Erfüllung verstärkter Sorgfaltspflichten (z. B. bei Hochrisikofällen nach § 15 GwG).

  • Zurechnung: Fehler des Dritten werden dir so zugerechnet, als hättest du sie selbst begangen.

Praxiskern: § 17 GwG bedeutet Delegation – aber niemals Entlastung

Auch wenn du Sorgfaltspflichten auf Dritte oder Dienstleister überträgst, bleibt die rechtliche Gesamtverantwortung vollständig bei dir. § 17 GwG erlaubt keine Risiko-Verlagerung, sondern nur eine klar begrenzte Aufgabenübertragung.

Besonders haftungssensibel sind Konstellationen mit Auslandsbezug, gruppeninternen Lösungen oder Sub-Auslagerungen. Hier erwartet die Aufsicht eine dokumentierte Prüfung, fortlaufende Kontrolle und jederzeitigen Zugriff auf alle relevanten Unterlagen.

  • Nur § 10 Abs. 1 Nr. 1–4 GwG sind übertragbar – keine laufende Überwachung
  • Erhöhte Sorgfaltspflichten bleiben immer in deiner Organisation
  • Unverzügliche Direktübermittlung aller Identifizierungsdaten an dich
  • Risikoorientierte Kompensation bei geringeren ausländischen Standards
  • Dokumentierte Kontroll- und Stichprobenprüfung während der Vertragslaufzeit

Jede unklare Vertragsgestaltung oder fehlende Kontrolle kann als Organisationsmangel gewertet werden. Deshalb ist § 17 GwG immer auch ein Governance-Thema auf Leitungsebene.

§ 17 GwG Quick-Check: Outsourcing & Haftungsrisiko

Check Fragestellung
Pflichtenabgrenzung
Sind ausschließlich § 10 Abs. 1 Nr. 1–4 GwG übertragen?
Nicht-Übertragbarkeit geprüft
Bleiben laufende Überwachung (§ 10 Abs. 1 Nr. 5) und § 15 GwG intern?
Zulässiger Dritter
Handelt es sich um einen gesetzlich zulässigen Dritten oder um eine saubere Auslagerung?
Auslands-Check
Kein Einsatz eines Dritten in einem Hochrisiko-Drittstaat?
Umgehungsverbot
Keine Anwendung niedrigerer ausländischer Identifizierungsstandards?
Zuverlässigkeitsprüfung
Vor Beauftragung dokumentierte Prüfung durchgeführt?
Kontrollsystem
Laufende Stichprobenkontrollen während der Vertragslaufzeit etabliert?
Direktübermittlung
Werden alle Identifizierungsdaten unmittelbar an dich übermittelt (nicht über den Kunden)?
Dokumentationspflicht
Werden Unterlagen gemäß § 8 Abs. 4 GwG ordnungsgemäß aufbewahrt?
Konzern-Check
Besteht jederzeit Zugriff auf alle relevanten Informationen – auch gruppenintern?

🚦 Live-Auswertung

ROT
Akutes GwG-Haftungsrisiko
GELB
Kontroll- oder Dokumentationslücken
GRÜN
Strukturierte § 17-Governance

Rückgriff auf Dritte (§ 17 Abs. 1–4 GwG)

Hierbei handelt es sich um „gesetzlich zuverlässige“ Stellen, bei denen du keinen separaten Auslagerungsvertrag benötigst.

  • Zulässige Dritte: Kredit- und Finanzinstitute (Inland/EU), bestimmte Güterhändler oder vergleichbare Institute in Drittstaaten mit gleichwertigem Schutzniveau.

  • Privileg für Gruppen (§ 17 Abs. 4 GwG): Innerhalb einer Unternehmensgruppe ist der Rückgriff erleichtert, sofern gruppenweite AML-Standards (Anti-Money Laundering) gelten und überwacht werden.

  • Wichtig: Ein Rückgriff auf Dritte in Hochrisiko-Drittstaaten ist (bis auf wenige Ausnahmen bei Tochterunternehmen) untersagt.

  • Keine Umgehung: Du darfst kein „Identification-Shopping“ betreiben. Wenn ein Kunde im Inland sitzt, darf das ausländische Recht des Dritten das deutsche Schutzniveau nicht unterschreiten.

Vertragliche Auslagerung (§ 17 Abs. 5–9 GwG)

Willst du die Pflichten auf Dienstleister übertragen, die keine „Dritten“ im Sinne des Gesetzes sind (z. B. spezialisierte KYC-Agenturen), greift die vertragliche Auslagerung.

  • Anforderungen an dich:

    • Eignungsprüfung: Du musst vorab prüfen, ob der Dienstleister fachlich und personell in der Lage ist (§ 17 Abs. 7 GwG).

    • Kontrollpflicht: Du musst die Durchführung laufend stichprobenartig überwachen.

    • Vertragsgestaltung: Weisungs- und Kontrollrechte müssen explizit fixiert sein.

  • Sub-Auslagerung: Diese ist nur mit deiner Zustimmung und unter Einhaltung derselben strengen Kriterien zulässig.

§ 17 GwG – Übertragung von Sorgfaltspflichten & Haftungsrisiken

Regelungsbereich Konsequenz für dich als Verpflichteter
Übertragbarer Pflichtenumfang Du darfst ausschließlich die allgemeinen Sorgfaltspflichten nach § 10 Abs. 1 Nr. 1–4 GwG übertragen (Identifizierung, wirtschaftlich Berechtigte, Zweck der Geschäftsbeziehung, PeP-Abklärung). Die Aufzählung ist abschließend.
Nicht übertragbare Pflichten Die kontinuierliche Überwachung (§ 10 Abs. 1 Nr. 5 GwG) sowie erhöhte Sorgfaltspflichten (§ 15 GwG) musst du zwingend selbst erfüllen.
Verantwortung & Zurechnung Auch bei Einschaltung eines Dritten bleibst du voll verantwortlich. Pflichtverletzungen des Dritten werden dir zugerechnet.
Zulässige Dritte ohne Auslagerungsvertrag Du kannst auf gesetzlich zuverlässige Verpflichtete im Inland, in der EU oder in gleichwertig regulierten Drittstaaten zurückgreifen. Eine gesonderte Zuverlässigkeitsprüfung ist hier nicht erforderlich.
Drittstaaten mit hohem Risiko Dritte in Hochrisiko-Drittstaaten sind grundsätzlich ausgeschlossen. Ausnahmen gelten nur für bestimmte gruppenangehörige Einheiten.
Umgehungsverbot Du darfst keine Identifizierung über ausländische Dritte vornehmen, wenn dadurch weniger strenge ausländische Standards angewandt würden. Dies gilt als Umgehung des GwG.
Vertragliche Auslagerung (§ 17 Abs. 5–9 GwG) Bei sonstigen geeigneten Dienstleistern brauchst du einen klar geregelten Auslagerungsvertrag, inklusive Weisungs-, Kontroll- und Kündigungsrechten.
Zuverlässigkeitsprüfung Vor Beauftragung musst du die Zuverlässigkeit prüfen und während der Vertragslaufzeit stichprobenartige Kontrollen durchführen.
Sub-Auslagerung Eine Weiterverlagerung ist nur zulässig, wenn sämtliche gesetzlichen Anforderungen auch gegenüber dem Subdienstleister erfüllt werden.
Unmittelbare Informationsübermittlung Alle Identifizierungs- und Prüfungsunterlagen müssen dir unverzüglich und direkt vom Dritten übermittelt werden – niemals über den Kunden.
Dokumentations- & Aufbewahrungspflichten Du musst sicherstellen, dass Kopien, Videoidentifizierungsnachweise und Registerunterlagen gemäß § 8 Abs. 4 GwG ordnungsgemäß aufbewahrt werden.
Gruppenangehörige Dritte Auch bei Konzernlösungen bleibst du letztverantwortlich. Geringere ausländische Standards musst du risikoorientiert durch verstärkte Kontrollen kompensieren.

Warum ist die unverzügliche Übermittlung nach § 17 Abs. 3 GwG kritisch?

Die Aufsicht (BaFin/FIU) verlangt, dass Identifizierungsdaten direkt vom Dritten zum Verpflichteten fließen.

Eine Übermittlung „über den Kunden“ (z.B. Kunde schickt Kopie, die der Dritte erstellt hat) ist unzulässig und führt bei Prüfungen regelmäßig zu Bußgeldern.

Rückgriff auf frühere Identifizierungsdaten nach § 17 Abs. 3a GwG (24‑Monatsfrist)

Dritte müssen das Rad nicht jedes Mal neu erfinden: Unter bestimmten Voraussetzungen erlaubt § 17 GwG, dass ein Dritter auf Identifizierungsdaten zurückgreift, die er bereits zu einem früheren Zeitpunkt erhoben hat. Damit dieser Rückgriff rechtssicher ist, müssen folgende vier Kriterien gleichzeitig erfüllt sein:

  • Eigene Geschäftsbeziehung: Die ursprüngliche Identifizierung muss im Rahmen einer eigenen Geschäftsbeziehung des Dritten erfolgt sein – und zwar unter Anwendung der allgemeinen (nicht vereinfachten!) Sorgfaltspflichten.

  • Die 24-Monats-Frist: Die Identifizierung oder die letzte Datenaktualisierung (gemäß § 12 GwG) darf zum Zeitpunkt der Übermittlung nicht länger als 24 Monate zurückliegen. Diese Frist ist eine strikte materielle Ausschlussgrenze.

  • Aktualität & Plausibilität: Es dürfen keine äußeren Umstände vorliegen, die an der Richtigkeit oder Aktualität der Daten zweifeln lassen.

  • Gültige Dokumente: Das damals verwendete Identifikationsdokument (z. B. Personalausweis oder Reisepass) muss zum Zeitpunkt des Rückgriffs noch gültig sein.

Wichtig für die Praxis: Nach Ablauf der 24 Monate erlischt die Erlaubnis zum Datenrückgriff. Der Dritte muss in diesem Fall eine vollständige Neu-Identifizierung oder Aktualisierung nach §§ 10, 12 GwG durchführen, bevor er die Daten an dich übermitteln darf.

24-Monats-Check nach § 17 Abs. 3a GwG

Prüfmerkmal Anforderung
Merkmal Gültigkeit der Identifizierungsdaten
Frist Maximal 24 Monate seit letzter Identifizierung oder Aktualisierung (§ 17 Abs. 3a GwG)
Bedingung 1 Identifizierung erfolgte im Rahmen einer eigenen Geschäftsbeziehung des Dritten.
Bedingung 2 Es wurden keine vereinfachten Sorgfaltspflichten angewendet.
Bedingung 3 Keine Zweifel an Richtigkeit und Aktualität der übermittelten Informationen.
Bedingung 4 Verwendetes Identifikationsdokument ist noch gültig.

Wird eine dieser Voraussetzungen nicht erfüllt, ist ein Rückgriff auf frühere Daten unzulässig. Es muss eine neue Identifizierung gemäß § 10 i.V.m. § 12 GwG durchgeführt werden.

Gruppeninterne Dritte und risikoorientierte Aspekte

Auch wenn § 17 Abs. 4 GwG Erleichterungen bietet, entbindet dich das nicht von der Pflicht, die Informationen tatsächlich zu erhalten. Du musst jederzeit nachweisen können, dass du die Angemessenheit der Maßnahmen im Blick behältst – besonders wenn das Schutzniveau im Sitzland des Gruppenmitglieds niedriger ist als in Deutschland.

Praktische Werkzeuge für die Umsetzung (§ 17 GwG)

Damit du bei der Zusammenarbeit mit Dritten oder Dienstleistern rechtlich auf der sicheren Seite stehst, hilft dir ein strukturierter Compliance-Toolbox-Ansatz. So stellst du sicher, dass die Delegation von Sorgfaltspflichten nicht zum Haftungsrisiko wird.

  • S+P Checkliste „Dienstleister-Audit“: Bevor du Aufgaben auslagerst, musst du die Geeignetheit und Zuverlässigkeit des Partners prüfen (§ 17 Abs. 5 & 7 GwG). Nutze eine standardisierte Checkliste für das Vorab-Screening und die laufende Überwachung (Stichprobenkontrolle).

  • Muster-Auslagerungsvertrag (GwG-konform): Verwende Vertragsvorlagen, die explizit die unverzügliche Übermittlungspflicht, deine Weisungsrechte und die Kontrollrechte (§ 17 Abs. 3 & 5 GwG) regeln. Ohne diese schriftliche Fixierung ist die Auslagerung rechtlich unwirksam.

  • Monitoring-Tool für die 24-Monats-Frist: Implementiere ein einfaches Ampelsystem oder eine Datenbank-Abfrage, die dich warnt, wenn Identifizierungsdaten eines Dritten älter als 24 Monate sind. So verhinderst du den Rückgriff auf veraltete, unzulässige Datensätze.

  • Übermittlungs-Protokoll: Erstelle eine klare Vorgabe für den Datentransfer. Dokumentiere, dass die Unterlagen (Video-Ident, Ausweiskopien etc.) direkt vom Partner an dich geflossen sind und nicht über den Kunden eingereicht wurden.

S+P Tool Box Geldwäsche Officer
GwG-Compliance Hub – S+P Seminare

GwG-Compliance Hub: Praxis-Wissen & Seminare zur Geldwäscheprävention

Alles zu Sorgfaltspflichten, Risikoanalysen und Meldefristen. Rechtssicher umgesetzt durch Experten.

Direkt zu den Seminaren Zur S+P Tool Box

Der Paragraphen-Wegweiser

§ 7 GwG – Geldwäschebeauftragter

Aufgaben, Bestellung und Haftung des Geldwäschebeauftragten. Was du organisatorisch zwingend regeln musst.

Mehr erfahren

§ 10–12 GwG – KYC & Identifizierung

Kundenprüfung, auftretende Person und wirtschaftlich Berechtigte – so setzt du KYC rechtssicher um.

Zur Umsetzung

§ 17 GwG – Outsourcing & Dritte

Pflichtenübertragung, Auslagerungsvertrag und Kontrollpflichten – was du beim Einsatz externer Dienstleister beachten musst.

Details ansehen

§ 43 GwG – Verdachtsmeldungen

Wann musst du melden? Fristen, goAML-System und typische Fehlerquellen in der Praxis.

Meldepflicht verstehen

§ 20 GwG – Transparenzregister

Wirtschaftlich Berechtigte korrekt ermitteln und Meldepflichten zum Transparenzregister erfüllen.

Mehr erfahren

Zentrale Rechts- und Aufsichtsquellen zu § 17 GwG

  • Nationales Gesetz (GwG, § 17 – Ausführung der Sorgfaltspflichten durch Dritte, vertragliche Auslagerung)
    Amtliche Fassung (Gesetze im Internet, BMJ/BMI):
    https://www.gesetze-im-internet.de/gwg_2017/__17.html

  • BaFin – Auslegungs- und Anwendungshinweise zum Geldwäschegesetz (GwG)
    Jeweils aktueller Stand der AUA je Verpflichtetengruppe (z.B. Kredit‑/Finanzdienstleistungsinstitute, Versicherer, WP/vBP, Güterhandel), inkl. Vorgaben zur Pflichtenwahrnehmung durch Dritte und Auslagerung nach § 17 GwG:
    https://www.bafin.de (Navigation: Aufsicht – Geldwäscheprävention – Auslegungs- und Anwendungshinweise GwG)

  • EBA – Guidelines on outsourcing arrangements (EBA/GL/2019/02)
    Leitlinien zu Auslagerungsvereinbarungen, inkl. Governance‑, Risiko‑ und Vertragsanforderungen, relevant bei Auslagerungen nach § 17 GwG in der Finanzbranche:
    https://www.eba.europa.eu/activities/single-rulebook/regulatory-activities/internal-governance/guidelines-outsourcing-arrangements

  • AMLA – EU Anti-Money Laundering Authority
    Informationen zur neuen EU‑Aufsichtsbehörde, ihren Aufgaben, technischen Standards und Leitlinien (künftig maßgeblich auch für AMLR/Outsourcing‑Fragen):
    https://www.amla.europa.eu

S+P C.O.R.E.

Strategische Exzellenz auf C-Level erfordert kontinuierliche Orientierung. Damit du nach deinem Lehrgang nicht allein gelassen wirst, haben wir S+P C.O.R.E. entwickelt.

S+P Mehrwert-Garantie: Dein Wissens-Vorsprung für 2026

Jede Buchung eines S+P Seminars beinhaltet automatisch den kostenfreien Zugang zum quartalsweisen S+P C.O.R.E. Executive Update. Warum? Weil wir wissen, dass die regulatorische Welt nicht stillsteht. Wir halten dein Wissen aktuell – garantiert.

S+P C.O.R.E.

Dein Mehrwert mit S+P C.O.R.E.

Fokusbereich Dein konkreter Mehrwert
Compliance Sicherheit im Handeln: Einordnung aktueller Anforderungen (z. B. DORA / NIS 2, EU AI Act, ESG, Compliance), damit du genau weißt, was für Haftung und Praxis tatsächlich relevant ist.
Optimization Effizienz statt Bürokratie: Umsetzung regulatorischer Vorgaben mit smarten Prozessen, geeigneten Tools und effizienten Outsourcing-Strukturen.
Regulatory Frühwarnsystem nutzen: Strukturierte Bewertung neuer Aufsichtsschwerpunkte und regulatorischer Trends, bevor sie zum akuten Handlungsdruck werden.
Exchange Vorsprung durch Dialog: Austausch im geschützten Raum mit Fach- und Führungskräften auf Augenhöhe – mit praxiserprobten Lösungsansätzen aus dem Kreis deiner Peers.
Bekannt aus

S+P als Fachexperte in den Medien – Governance & Haftung für Geschäftsführer

Lehrgänge & Seminare

Dein Karriere-Booster

S+P Erfahrung

ISO9001
ecovadis

Newsletter

S&P Unternehmerforum GmbH 802 Bewertungen auf ProvenExpert.com