AML-Compliance in 2026: Kosten, Fristen, tatsächliche Strafen
4,3 Milliarden US-Dollar. So hoch war die Vergleichssumme, die Binance im November 2023 mit dem US-Justizministerium, FinCEN und OFAC zahlte. Sie gilt bis heute als Rekordwert für Verstöße gegen die Geldwäschebekämpfungsvorschriften im Kryptobereich. Es ist jedoch nicht der jüngste Fall. Im Februar 2025 zahlte OKX 504 Millionen US-Dollar, um ein parallel laufendes Verfahren des US-Justizministeriums beizulegen. Im November desselben Jahres verhängte die irische Zentralbank eine Geldstrafe von 21,46 Millionen Euro gegen Coinbase Europe, weil das Unternehmen 30 Millionen Transaktionen im Wert von 176 Milliarden Euro nicht überwacht hatte. Im März 2025 wurden die Server von Garantex in den USA, Deutschland und Finnland beschlagnahmt. Das Muster ist eindeutig: Die Durchsetzung der Geldwäschebekämpfungsvorschriften im Kryptobereich ist nicht mehr sporadisch, sondern kontinuierlich, länderspezifisch und kostspielig.
Für jeden Betreiber eines Virtual-Asset-Geschäfts verursacht die Einhaltung der AML-Vorschriften jährliche Kosten im siebenstelligen Bereich. Drei Lizenzierungsstufen (EU MiCA, UK FCA, Singapur DTSP) liefen innerhalb eines einzigen Zwölfmonatszeitraums ab. Stablecoins generieren mittlerweile 84 % des gesamten illegalen On-Chain-Volumens. Das Bedrohungsprofil im Bereich Finanzkriminalität hat sich schneller verändert, als es jedes vor 2024 erstellte Compliance-Programm bewältigen kann. Dies ist der aktuelle Stand der Dinge, inklusive der beigefügten Zahlen.
Was AML-Compliance in 2026 bedeutet
AML (Anti-Geldwäsche) ist der rechtliche und operative Rahmen, den Banken und Krypto-Unternehmen nutzen, um kriminelle Gelder von ihren Produkten fernzuhalten. Diese Gelder können vielfältige Formen annehmen: Erträge aus Straftaten, Steuerhinterziehung, Betrug, Lösegeldzahlungen und Sanktionsumgehung. Ziel jedes AML-Programms ist es, Geldwäsche zu verhindern, laufende Geldwäschepraktiken zu bekämpfen und zu unterbinden, dass Geldwäsche und Terrorismusfinanzierung in das Finanzsystem gelangen. Im Krypto-Kontext wurde der Rahmen 2019 durch die FATF-Empfehlung 16 erweitert. In den USA gilt der Bank Secrecy Act nun auch für Finanzdienstleister, einschließlich Krypto-Unternehmen. AML basiert auf vier operativen Säulen: einem Kundenidentifizierungsprogramm (CIP), einer Kundenprüfung (CDD) mit erweiterten Prüfkriterien, die die Sorgfaltspflichten der wichtigsten Rahmenwerke erfüllen, der kontinuierlichen Transaktionsüberwachung mit der Pflicht, verdächtige Aktivitäten der zuständigen Zentralstelle für Finanzinformationen zu melden, und der Sanktionsprüfung. „Know Your Customer“ (KYC) ist lediglich die Identifizierungskomponente. Die eigentliche Arbeit beginnt nach der Kundenaufnahme. Sie müssen verdächtige Transaktionen in Echtzeit erkennen, den richtigen Bericht fristgerecht bei der zuständigen Behörde einreichen und dies alles tun, während die Kunden ein reibungsloses Produkt erwarten.
Für ein Krypto-Unternehmen bedeutet das einiges. Man muss seine Kunden kennen. Man muss wissen, welche Gelder sie transferieren. Man muss wissen, woher diese Gelder stammen. Und man muss überprüfen, ob Adressen, Namen oder Geschäftspartner auf Sanktionslisten stehen. Der Aufwand steigt mit dem Risiko und der jeweiligen Gerichtsbarkeit. Die Regeln sind in verschiedenen Ländern unterschiedlich. Und genau hier wird die Sache interessant.
2026 Durchsetzungs-Scoreboard: Die Kosten eines Fehlers
Welche Kosten verursacht ein Verstoß gegen die Geldwäschebekämpfungsvorschriften tatsächlich in 2026? Die Entwicklung der Durchsetzungspraxis seit 2022 liefert die empirische Antwort. Jeder Fall schuf einen Präzedenzfall, und die jüngsten Fälle gingen weit über das bisherige, auf die USA beschränkte Muster hinaus.
| Datum | Firma | Strafe | Behörde | Warum |
|---|---|---|---|---|
| Oktober 2022 | Bittrex | 29,28 Mio. US-Dollar | FinCEN + OFAC | Mehr als 116.000 Transaktionen mit sanktionierten Jurisdiktionen, Gesamtvolumen 263 Mio. USD |
| November 2023 | Binance | 4,3 Milliarden US-Dollar | DOJ + FinCEN + OFAC | Systemische Geldwäschebekämpfungsfehler, 5-jährige FinCEN-Überwachung, US-Austritt |
| März 2025 | Garantex | Notieren | USA + Deutschland + Finnland | Seit 2022 von OFAC sanktioniert, weiterhin in Betrieb |
| Februar 2025 | OKX | 504,3 Mio. USD | Justizministerium | Verdächtige Transaktionen im Wert von über 5 Milliarden US-Dollar (2018–2024), Einziehung von 420 Millionen US-Dollar + Geldstrafe von 84 Millionen US-Dollar |
| November 2025 | Coinbase Europa | 21,46 Mio. € | Zentralbank von Irland | 30 Millionen Transaktionen wurden über 12 Monate nicht überwacht (Wert: 176 Milliarden Euro) |
| Dezember 2025 | Paxful | 3,5 Mio. US-Dollar | FinCEN | Verdächtige Geldflüsse von über 500 Millionen US-Dollar, Beteiligung von Iran, Nordkorea und Venezuela |
Zwei Muster sind hervorzuheben. Erstens konzentriert sich die Durchsetzung von Vorschriften nicht mehr allein auf die Vereinigten Staaten. Europol und die irische Zentralbank agieren nun eigenständig. Sie warten nicht auf die volle Ausweitung der Befugnisse des Geldwäschegesetzes (AMLA). Zweitens zeigt der Fall Garantex, dass Sanktionen allein einen nicht konformen Börsenbetrieb nicht stoppen können. Das OFAC verhängte im April 2022 Sanktionen gegen Garantex. Die Börse war fast drei Jahre lang aktiv. Sie wurde erst gestoppt, als die Strafverfolgungsbehörden die Server beschlagnahmten.
Die Kosten schwerwiegender Geldwäscheverstöße umfassen mittlerweile Unterlassungsverfügungen, Milliardenstrafen, strafrechtliche Überwachung und den erzwungenen Marktaustritt. Der Fall Binance mit 4,3 Milliarden US-Dollar sorgt weiterhin für Schlagzeilen. Die Fälle OKX und Coinbase Europe setzen jedoch die relevanteren Vergleichswerte für mittelgroße Cybersicherheitsdienstleister, die ihr Risiko analysieren.
Der Stablecoin-Pivot und der Bybit-Hack
Der fünfte Krypto-Kriminalitätsbericht von Chainalysis veränderte die Sichtweise auf das Problem der illegalen Finanzströme. Das gesamte illegale On-Chain-Volumen erreichte 2025 154 Milliarden US-Dollar. Dies entspricht einem Anstieg von 162 % gegenüber dem Vorjahr. Davon entfielen 84 % auf Stablecoins, gegenüber 63 % im Jahr 2024. Sanktionierte Institutionen trieben diesen Anstieg voran. Die Zahlungen an sanktionierte Adressen stiegen im Jahresvergleich um 694 %. Fast der gesamte Betrag stammte vom russischen, an den Rubel gekoppelten Stablecoin A7A5, der innerhalb von weniger als zwölf Monaten ein Handelsvolumen von 93,3 Milliarden US-Dollar erreichte. Ein Großteil davon floss über die Kryptobörse Grinex.
Der Bybit-Hack gilt als der prägendste Fall des Jahres 2025. Am 21. Februar erbeutete die nordkoreanische Lazarus-Gruppe, die unter dem Dach des TraderTraitor-Clusters agierte, 1,5 Milliarden US-Dollar in Ethereum aus einer Bybit-Cold-Wallet über ein kompromittiertes SafeWallet-Frontend. Innerhalb von fünf Tagen wurden rund 400 Millionen US-Dollar über dezentrale Börsen, Cross-Chain-Bridges und durch Bitcoin-Konvertierungen transferiert. Die Gelder konnten nicht wiedererlangt werden. Nordkoreanische, staatsnahe Akteure stahlen im Jahr 2025 mehr als 2 Milliarden US-Dollar – das erfolgreichste Jahr ihrer Geschichte im Bereich Kryptodiebstahl.
Für ein AML-Team ergeben sich daraus zwei Konsequenzen. Erstens reicht die Überprüfung von Geschäftspartnern allein mithilfe von Blockchain-Analysen nicht mehr aus. Geldwäscherouten nutzen heute unveränderliche Smart Contracts, atomare Swaps und Bridging innerhalb weniger Stunden nach dem Diebstahl. Zweitens sind Stablecoin-Emittenten mittlerweile der mächtigste Engpass in der Blockchain. Das Einfrieren der richtigen Adresse durch Tether oder Circle ist effektiver als jede nachträgliche Rückverfolgung.
Der Compliance-Kalender 2026: MiCA, UK FCA, MAS
Drei der vier wichtigsten westlichen Jurisdiktionen erreichen gleichzeitig Fristen für die strukturelle Bekämpfung von Geldwäsche. Und das alles innerhalb von zwölf Monaten. Ein Krypto-Unternehmen, das in diesen Jurisdiktionen tätig ist, muss daher drei Lizenzierungswege parallel planen.
| Zuständigkeit | Rahmen | Frist | Auswirkungen | Schwelle |
|---|---|---|---|---|
| EU | MiCA + Verordnung über Geldtransfers | 1. Juli 2026 | Alle bestehenden CASPs benötigen eine vollständige Zulassung; die ESMA bestätigte im April 2017, dass es keine Verlängerungen geben wird. | Null (CASP-zu-CASP) |
| EU | AMLR- und AMLA-Aufsicht | 10. Juli 2027 | AMLR ersetzt AMLD5/6; AMLA übt direkte Aufsicht über 40 Hochrisikounternehmen aus. | EU-weit standardisiert |
| Vereinigtes Königreich | FCA-Vollautorisierung für Kryptografie | September 2026 | Das Antragsfenster öffnet sich; keine automatische Übernahme aus der bestehenden AML-Registrierung | Pro Regime |
| Singapur | MAS DTSP-Framework | 30. Juni 2025 (verabschiedet) | Für im Ausland tätige Unternehmen ist eine DTSP-Lizenz erforderlich; die MAS erklärte, sie werde diese „in der Regel nicht ausstellen“. | Pro Regime |
| Global | FATF-Empfehlung 16 | Laufend | Reiseregel: 73 % der Gerichtsbarkeiten haben Gesetze, 59 % setzen sie nicht durch. | USD/EUR 1.000 Basiswert |
Die AMLA ist die neue Europäische Behörde zur Bekämpfung der Geldwäsche. Sie hat ihren Sitz in Frankfurt am Main und nahm am 1. Juli 2025 ihre Tätigkeit auf. Ihr Mandat umfasst sowohl die Bekämpfung von Geldwäsche als auch die Bekämpfung der Terrorismusfinanzierung. Erstmals liegt die Einhaltung der Vorschriften zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung in der Zuständigkeit einer einzigen EU-Behörde. Die erste Aufgabe der AMLA besteht darin, die rund sechzig bisher uneinheitlichen nationalen Geldwäscheaufsichtsbehörden in einem einheitlichen Regelwerk zu harmonisieren. Die direkte Aufsicht über die vierzig EU-Unternehmen mit dem höchsten Risiko beginnt 2028. Die von der irischen Zentralbank im November 2025 verhängte Geldstrafe von 21,5 Millionen Euro gegen Coinbase Europe ist ein erstes Indiz dafür. Die nationalen Behörden warten nicht auf die volle Befugnisausschöpfung der AMLA.
Die Lücke bei der Umsetzung der Travel Rule ist eklatant. Laut dem FATF-Update 2025 hatten zwar 73 % der 117 Jurisdiktionen, die VASPs zulassen, die Empfehlung 16 in die Gesetzgebung aufgenommen, doch 59 % setzten sie noch nicht um. Die EU-Geldtransferverordnung geht über die FATF-Vorgaben hinaus: Sie sieht eine Nullschwelle für CASP-zu-CASP-Überweisungen vor, sodass jede Überweisung zwischen regulierten Unternehmen vollständige Empfängerinformationen enthalten muss.
AML-Kosten: Anbieterportfolio und Gehälter der Compliance-Beauftragten
Dieser Aspekt der Geldwäscheprävention wird in Schulungsunterlagen selten behandelt. Ein mittelständisches CASP-Unternehmen, das ein internes Programm betreibt, sieht sich einer Reihe klar definierter Punkte gegenüber. Die Zahlen sind beträchtlich.
| Komponente | Beispiele von Anbietern | Jährliche Band | Anmerkungen |
|---|---|---|---|
| Blockchain-Analyse (KYT) | Chainalysis KYT + Reaktor | 120.000 € - 250.000 € | Oft der größte Einzelposten |
| Überprüfung der Geldbörse | Elliptischer Navigator | 80.000 € – 180.000 € | Manchmal wird es anstelle der Kettenanalyse verwendet. |
| Transaktionsrisiko | TRM Labs | 60.000 € – 150.000 € | Das günstigste der drei großen Unternehmen |
| KYC / Identität | Sumsub, Ondato, Trulioo | Sitzbasiert | Skaliert mit dem Onboarding-Volumen |
| Reiseregel | Notabene, Sumsub Travel Rule, TRISA | Abonnement | Die Preisgestaltung ist an das VASP-Nachrichtenvolumen gekoppelt. |
| Sanktionsprüfung | LSEG / LexisNexis World-Check | Sitzbasiert | OFAC SDN, EU- und UK-Listen werden täglich aktualisiert |
Allein die Ausrüstung für ein mittelständisches Unternehmen kostet jährlich 300.000 bis 700.000 Euro. Hinzu kommen die Personalkosten. Ein Krypto-Compliance-Beauftragter in den USA verdient durchschnittlich 159.792 US-Dollar (ZipRecruiter, 2025). Chief Compliance Officers verdienen im Schnitt 200.000 US-Dollar. Ein Geldwäschebeauftragter in London erhält 130.000 bis 180.000 Pfund (Morgan McKinley, 2025). Rechnet man noch eine Assistenzkraft hinzu, belaufen sich die Personalkosten in den USA auf über 400.000 US-Dollar und in Großbritannien auf über 220.000 Pfund. Ein umfassendes Geldwäschebekämpfungsprogramm bei einem regulierten Krypto-Service-Provider (CASP) kostet selten weniger als 1 Million US-Dollar. Darin enthalten sind Rechtsberatung, Audits und die Infrastruktur.
Diese Zahlen verdeutlichen, warum die Frage „Eigenentwicklung oder Zukauf“ für jeden, der in den Kryptozahlungsverkehr einsteigt, heute von zentraler Bedeutung ist. Geldwäschegesetze und die Wahl der Compliance-Infrastruktur können darüber entscheiden, ob ein Unternehmen überhaupt rentabel ist.
Eigenentwicklung oder Kauf: Wann Sie die Geldwäschebekämpfung an einen Zahlungsabwickler auslagern sollten
Ein kleiner oder mittelständischer Krypto-Händler benötigt keinen eigenen Geldwäschebeauftragten und muss keine drei Analysedienstleister lizenzieren. Ein Zahlungsdienstleister übernimmt als führendes Finanzinstitut die Pflichten zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung. Der Händler integriert eine API. Der Zahlungsdienstleister kümmert sich um die Lizenzierung, die KYC-Prüfung, das Screening, die Meldung verdächtiger Transaktionen und die Einhaltung der Travel Rule. So positionieren sich Anbieter wie Plisio, BitPay und CoinGate. Geldwäscheprävention ist das Kernprodukt, keine Zusatzfunktion.
Der Entscheidungsbaum ist recht einfach. Nehmen wir etwa 50 Millionen US-Dollar als Schwellenwert an. Liegt dieser Wert darunter, ist in einem einzelnen Rechtsraum und ohne regulierte VASP-Aktivitäten (Verwahrung, Austausch, Geldtransfer) der PSP-Ansatz fast immer die beste Wahl. Oberhalb des Schwellenwerts punktet die Inhouse-Lösung mit Anpassungsmöglichkeiten, Datenkontrolle und operativer Flexibilität. Die Kosten sind dann unvermeidbar.
Für mittelständische Betreiber ist das Hybridmodell mittlerweile Standard. Ein regulierter CASP nutzt für ein oder zwei Nischendienstleistungen wie die Routenplanung nach Reiseregeln einen Drittanbieter. Die entscheidende Frage ist nicht, welches Modell kostengünstiger ist, sondern welches Modell das Lizenzrisiko in die Hände der richtigen Person legt.
Tornado Cash, Smart Contracts und die OFAC-Grenze
Eine separate Richtlinienänderung muss von den Compliance-Teams verinnerlicht werden. Am 26. November 2024 entschied das US-Berufungsgericht des fünften Bezirks im Fall Van Loon, dass unveränderliche Smart Contracts nicht als „Eigentum“ im Sinne des International Emergency Economic Powers Act gelten. Am 21. März 2025 hob das OFAC die Sanktionen gegen den Tornado Cash Mixer formell auf. Das Strafverfahren gegen Mitgründer Roman Storm wird fortgesetzt; der Prozessbeginn ist für den 14. Juli 2025 angesetzt.
Für ein AML-Team bedeutet dies in der Praxis präzise, nicht umfassend. Das Protokoll selbst kann nicht mehr sanktioniert werden, aber bestimmte Wallet-Adressen können auf der OFAC-SDN-Liste geführt werden und bleiben dort (über 12.000 Einträge, Stand: März 2026). Die Interaktion mit dem Protokoll stellt an sich keinen Sanktionsverstoß dar. Das Senden oder Empfangen von Geldern von einer sanktionierten Adresse hingegen schon. Richtlinien für die Interaktion mit Smart Contracts müssen auf Adressebene und nicht auf Protokollebene definiert werden. Die Überprüfung erfolgt anhand des OFAC-SDN-Feeds und entsprechender EU- und UK-Listen. Großbritannien hat seine Listen konsolidiert: Die OFSI Consolidated List wurde am 28. Januar 2026 geschlossen, und die UK Sanctions List ist nun die einzige Quelle.
Realitätscheck der Krypto-Reiseregeln
Die Reiseregel Nr. 16 der Financial Action Task Force (FATF) verpflichtet VASPs (Virtual Asset Service Provider) zur Übermittlung von Absender- und Empfängerinformationen bei Überweisungen über 1.000 USD/EUR. Laut FATF-Update 2025 hatten 73 % der Länder, die VASPs zulassen, entsprechende Gesetze verabschiedet, jedoch setzten 59 % diese nicht durch. Die EU geht über die FATF hinaus und sieht in ihrer Geldtransferverordnung eine Nullschwelle für CASP-zu-CASP-Überweisungen vor.
Im operativen Bereich ergab der Notabene-Bericht „State of Travel Rule 2025“ (91 VASPs wurden befragt), dass sich 100 % der Befragten zur Einhaltung der Travel Rule bis Ende 2025 verpflichtet haben. Zudem stieg die Zahl der Unternehmen, die Auszahlungen bis zur Überprüfung der Begünstigteninformationen blockieren, im Vergleich zum Vorjahr um 431 %. Die Infrastruktur ist ausgereift: Notabene, Sumsub Travel Rule, TRISA und Veriscope bilden die operativen Grundlagen. Das verbleibende Problem ist die Interoperabilität zwischen konkurrierenden Netzwerkanbietern – eine Fragmentierung, die sich voraussichtlich in den nächsten zwei Jahren verringern wird.
Was ein AML-Programm tatsächlich leisten muss in 2026
Ohne Marketingaspekte umfasst ein AML-Compliance-Programm (Anti-Money Laundering) eines Krypto-Unternehmens neun konkrete Verpflichtungen: Einen benannten Geldwäschebeauftragten (MLRO) mit dokumentierter Befugnis; ein risikobasiertes CIP- und CDD-System mit EDD-Triggern für Hochrisikokunden und politisch exponierte Personen (PEP); Sanktionsprüfungen anhand der OFAC SDN, der EU-Konsolidierten Sanktionsliste und der britischen Sanktionsliste mit kontinuierlicher Wiederholung; Transaktionsüberwachung mit dokumentierten Regeln und Schwellenwerten; Meldung verdächtiger Aktivitäten (SAR- und CTR-Meldungen) an die zuständige FIU innerhalb festgelegter Fristen; Anwendung der Travel Rule für Überweisungen oberhalb des Schwellenwerts (null in der EU, 1.000 US-Dollar weltweit); jährliche unabhängige Überprüfung des Programms; fortlaufende, dokumentierte und datierte Mitarbeiterschulungen; Aufbewahrung von Aufzeichnungen gemäß der geltenden Aufbewahrungsfrist (in der Regel fünf Jahre).
Die Rahmenbedingungen unterscheiden sich im Detail, aber die operativen Mindestanforderungen sind bei FinCEN, FCA, MAS und der EU nach Inkrafttreten des Geldwäschegesetzes (AMLA) identisch. Die Vorschriften zur Bekämpfung der Geldwäsche und die übergeordneten Gesetze haben sich schneller angeglichen als von den meisten Betreibern erwartet. Globale AML-Regeln verweisen nun auf der Ebene der regulatorischen Anforderungen aufeinander, nicht mehr auf nationaler Ebene. Die Compliance-Programme zur Bekämpfung der Geldwäsche sind aufsichtsrechtlich besser aufeinander abgestimmt als je zuvor. Die Compliance-Bemühungen endeten einst bei Korrespondenzbanken und traditionellen Finanzdienstleistungen. Sie erstrecken sich nun auf alle regulierten Kryptokanäle. Die Strafverfahren von 2022 bis 2025 konzentrieren sich auf Versäumnisse in zwei Bereichen: flächendeckende Transaktionsüberwachung und Meldung verdächtiger Transaktionen (SARs) zu den von der Überwachung festgestellten Verstößen. Konzentrieren Sie sich zunächst auf diese beiden Bereiche. Effektive AML-Compliance ist größtenteils Routinearbeit. Sie führen diese beiden Schritte konsequent für Millionen von Transaktionen und jeden einzelnen Kunden durch.
