Es ist der 12. März 2026, kurz nach 10 Uhr in Hamburg. Eine Anlegerin öffnet ihr Online-Banking. Auf dem Konto liegen 22.000 Euro — bestimmt für USDC, transferierbar über eine regulierte deutsche Krypto-Börse. Die Überweisung geht raus. Vier Tage später kommt eine Nachricht der Bank: Transaktion eingefroren, Compliance-Prüfung laufend. Vier Wochen wartet die Anlegerin. Kein Bescheid, keine Freigabe, kein Gesprächspartner. Der Fehler liegt nicht bei ihr. Er liegt im neuen Aufsichtsregime, das am 10. Februar 2026 in Kraft getreten ist — und das jede Krypto-Transaktion in Deutschland unter einen neuen Bußgeldrahmen gestellt hat.
BaFin GwG TFR II 2026: Was hat sich ab dem 10. Februar verändert?
Ab dem 10. Februar 2026 ist die Verordnung (EU) 2023/1113 — Transfer of Funds Regulation II (TFR II) in Deutschland unmittelbar bußgeldbewehrt. Das Geldwäschegesetz wurde durch das Stärkungsgesetz (StoFöG) angepasst: Der neue § 56 Abs. 2a GwG schafft einen eigenständigen Bußgeldtatbestand. Verstöße kosten bis zu 200.000 Euro — bei systematischen Fehlern bis zu einer Million Euro oder zehn Prozent des Jahresumsatzes. Betroffen sind nicht nur Kryptobörsen, sondern alle Verpflichteten im Sinne des § 50 GwG — also auch klassische Banken, sobald Sie eine Transaktion mit Kryptobezug abwickeln.
Das ist die zentrale These dieses Artikels: Die Verschärfung des Geldwäscherechts vom 10. Februar 2026 trifft Krypto-Anleger nicht direkt als Adressaten — aber mittelbar mit voller Wucht. Weil Banken nun bei jedem Kryptobezug TFR-II-konform prüfen oder Sanktionen riskieren, verlagern sie das Risiko auf den Kunden. Sperrungen, Auskunftsverlangen und Auszahlungsverweigerungen sind die Folge. Wer seine Rechtslage kennt, kann sich dagegen wehren.
Was regelt die TFR II konkret — und warum trifft sie jetzt auch gewöhnliche Krypto-Käufe?
Die VO (EU) 2023/1113 ist die europäische Travel Rule für Kryptowerte. Sie verlangt, dass bei jedem Transfer von Kryptowerten vollständige Angaben zu Auftraggeber und Begünstigtem mitgegeben und beim Empfänger geprüft werden — ähnlich wie bei SWIFT-Überweisungen im klassischen Bankwesen. Diese Pflicht galt technisch schon zuvor. Aber sie war in Deutschland bis zum 10. Februar 2026 nicht eigenständig sanktionierbar. Das hat sich geändert.
Seit dem Inkrafttreten des StoFöG ist jede Verletzung dieser Übermittlungspflichten direkt bußgeldfähig. Wenn Sie 5.000 Euro in Bitcoin an eine Wallet transferieren und der Dienstleister die vorgeschriebenen Originator-Daten nicht vollständig mitführt, liegt bereits ein sanktionierter Verstoß vor. Die Bank, die Ihren Auftrag abwickelt, steht vor einer klaren Wahl: entweder vollständige Datenerhebung oder Transaktionsstopp. In der Praxis wählen viele Institute den einfacheren Weg — den Stopp.
Besonders sensibel ist die sogenannte Self-Hosted-Wallet-Prüfpflicht. Wenn Sie Kryptowerte von einer eigenen Wallet — also einer nicht bei einem Dienstleister verwahrten Adresse — an eine Kryptobörse senden, ist die Börse verpflichtet, die Inhaberschaft dieser Adresse zu plausibilisieren. Das ergibt sich aus Art. 14 und Art. 21 VO (EU) 2023/1113. Ab einem Transferwert von 1.000 Euro ist eine risikobasierte Verifikation des Wallet-Inhabers vorgeschrieben. In der Praxis bedeutet das: Sie werden aufgefordert, eine signierte Nachricht mit der privaten Adresse zu liefern, Wallet-Auszüge einzureichen oder Ihre Identität erneut nachzuweisen.
Gleichzeitig gilt seit dem 1. Januar 2026 die vollständige Datenerfassungspflicht für alle Krypto-Käufe, -Verkäufe und -Tauschvorgänge — einschließlich Stablecoins. Die erhobenen Daten sind nach Art. 26 TFR II fünf Jahre aufzubewahren. Jeder Dienstleister, der dieser Pflicht nicht nachkommt, riskiert ab sofort eine Sanktion. Das trifft nicht nur Kryptobörsen, sondern auch Zahlungsdienstleister, die Krypto-On-Ramp-Produkte anbieten, und im Grundsatz jeden Verpflichteten, der Ihre Transaktion verarbeitet.
Für Sie persönlich ist diese Datenerhebungspflicht auf den ersten Blick abstrakt. Konkret heißt sie: Die Gegenstelle — also die Börse oder der Dienstleister, an den Sie Geld oder Kryptowerte schicken — erhebt mehr Daten über Sie als je zuvor. Und Ihre Hausbank, die Ihre Euro-Überweisung in Richtung dieser Kryptobörse verarbeitet, prüft jetzt ebenfalls, ob sie ihre eigenen Pflichten einhält. Das erzeugt eine Doppelprüfung — und damit erhöhtes Sperrungsrisiko.
📣 Telegram-Kanal der Fachanwältin
Kryptobetrug erkennen. Richtig reagieren. Geld einfrieren lassen.
Tagesaktuelle BaFin-Warnungen, Blockchain-Tracing-Einblicke und Praxisfälle aus der Fachanwaltskanzlei für Bank- und Kapitalmarktrecht — direkt von Rechtsanwältin Anna O. Orlowa, LL.M.
Warum frieren Banken Zahlungen ein — obwohl der Anleger nichts falsch gemacht hat?
Dieser Mechanismus ist das Kernproblem für Privatanleger. Die Bank ist nun Verpflichteter im Sinne des § 50 GwG — auch wenn sie selbst keine Kryptowerte verwahrt. Sobald Sie eine Überweisung an eine Kryptobörse tätigen, erkennt das System der Bank einen Kryptobezug. Ab diesem Moment gilt die TFR-II-Prüfpflicht. Die Bank ist verpflichtet, die Einhaltung der Übermittlungspflichten zu überwachen.
Wenn die Gegenstelle — etwa eine ausländische Börse — nicht die vollständigen Originator- und Begünstigtendaten liefert, droht der Bank ein Bußgeld aus § 56 Abs. 2a GwG. Bei systematischen Versäumnissen kommt § 57 GwG hinzu: die öffentliche Bekanntmachung des Verstoßes, im Volksmund als Name and Shame bekannt. Dieser Mechanismus sorgt dafür, dass Institute lieber übervorsichtig reagieren, als einen öffentlichen Sanktionsfall zu riskieren.
Das Ergebnis ist eine strukturelle Übersperrung. Die Bank friert Ihre Auszahlung ein — nicht weil Sie verdächtig sind, sondern weil die Compliance-Abteilung kein Risiko eingehen will. Sie erhalten ein pauschales Schreiben. Konkrete Vorwürfe fehlen. Eine Verdachtsmeldung nach § 43 GwG wird Ihnen nicht mitgeteilt — das ist gesetzlich so vorgesehen, um Geldwäscher nicht zu warnen. Für rechtstreue Anleger ist das eine schwer erträgliche Situation. Und sie ist systemimmanent: Je höher die Bußgelder für Compliance-Versäumnisse, desto stärker der institutionelle Anreiz zur Vorsperr-Praxis.
Das Thema Bankhaftung bei Krypto-Transaktionen hat durch diese Verschärfung eine neue Dimension gewonnen. Früher war die Haftungsfrage meist an betrügerische Transfers geknüpft. Heute kann eine Haftung der Bank auch dann entstehen, wenn sie eine rechtmäßige Transaktion eines redlichen Kunden ohne ausreichende Grundlage dauerhaft sperrt. Der Unterschied zwischen einer rechtmäßigen GwG-Maßnahme und einer rechtswidrigen Pauschalsperrung ist dabei entscheidend — und oft nur durch einen Rechtsanwalt klar abzugrenzen.
Welche Normen sichern Ihren Auszahlungsanspruch gegen die Bank?
Auch unter dem neuen Aufsichtsregime gilt: Eine Bank, die Ihre Zahlung ausführt oder verweigert, handelt im Rahmen eines Zahlungsdienstvertrags. Die einschlägige Grundnorm ist § 675u BGB: Die Bank haftet für nicht autorisierte Zahlungsvorgänge. Wenn Ihre Überweisung unrechtmäßig blockiert wird, greift ergänzend § 280 BGB — die Haftung wegen Pflichtverletzung. Eine pauschale Dauersperre ohne individuellen Verdachtsanlass und ohne Information über die Grundlage kann eine Pflichtverletzung darstellen, wenn keine tatsächliche Verdachtsmeldung vorliegt, sondern nur ein formales Compliance-Protokoll.
Schwieriger wird die Rechtslage, wenn tatsächlich eine Verdachtsmeldung nach § 43 GwG abgegeben wurde. In diesem Fall darf die Bank die Transaktion zunächst zurückhalten. Sie darf Ihnen die Meldung aber nicht offenbaren. Das Tipping-off-Verbot aus § 47 GwG verbietet jede Mitteilung, die den Verdächtigen warnen könnte. Das bedeutet für Sie: Sie erfahren nicht, ob eine Verdachtsmeldung vorliegt. Sie sehen nur die Sperre.
Wenn Sie Krypto-Gelder an eine Betrugsplattform verloren haben und die Bank diesen Transfer zugelassen hat, kommt außerdem § 823 Abs. 2 BGB i.V.m. § 1 KWG und § 32 KWG in Betracht — wenn die Gegenstelle ohne erforderliche Erlaubnis Bankgeschäfte betrieben hat und die Bank dies bei pflichtgemäßer Prüfung hätte erkennen können. Das ist die klassische Haftungsgrundlage, die auch das LG Bamberg im Bitcoin-Banden-Urteil in der Sache bestätigt hat.
Wichtig ist: Die Vorschriften des Geldwäschegesetzes schützen primär das Allgemeininteresse an der Geldwäscheprävention — nicht den einzelnen Kunden. Einen unmittelbaren Schadensersatzanspruch aus dem GwG selbst gibt es nicht. Schadensersatzansprüche entstehen auf zivilrechtlichem Weg — über § 280 BGB bei Pflichtverletzung oder § 823 Abs. 2 BGB bei schutzgesetzverletzender Beihilfe. Das bedeutet: Selbst wenn die Sperre Ihnen schadet, sind Ihre Ansprüche über das Zivilrecht geltend zu machen, nicht über das Aufsichtsrecht.
Was ist die erweiterte Aufsichtspflicht — und wen trifft sie wirklich?
Bis zum 10. Februar 2026 war die BaFin-Aufsicht über TFR-Pflichten bei Kryptowerten primär auf CASPs (Crypto-Asset Service Provider) ausgerichtet — also auf Unternehmen, die Kryptowerte als Kerngeschäft verwahren oder handeln. Das hat sich mit dem StoFöG grundlegend geändert. Der neue § 51 Abs. 2a GwG erweitert die Aufsichtsbefugnisse der BaFin auf alle Verpflichteten, sobald ein Kryptobezug erkennbar ist.
Das bedeutet in der Praxis: Eine Sparkasse, die Überweisungen ihrer Kunden an eine Kryptobörse verarbeitet, fällt nun unter die TFR-II-Aufsicht der BaFin. Dasselbe gilt für eine Genossenschaftsbank, die einen Firmenkunden mit Krypto-Handelsaktivitäten betreut. Die Prüfpflichten gelten unabhängig davon, ob das Institut selbst Kryptowerte anbietet. Auslöser ist der Transaktionsbezug.
Für Sie als Anleger hat das eine direkte Konsequenz. Jede Bank, bei der Sie ein Konto halten und von der aus Sie Krypto-Transaktionen durchführen, unterliegt jetzt einer verschärften Prüfpflicht. Wenn Sie Ihre eigene Wallet — eine sogenannte Self-Hosted Wallet — nutzen, wird die Bank oder Börse Sie nach Herkunftsnachweis, Adress-Signatur oder erweiterten KYC-Dokumenten fragen. Das ist keine Schikane. Das ist die direkte Folge von Art. 14, 21 VO (EU) 2023/1113 und der neuen BaFin-Aufsichtspraxis.
Ergänzend gilt die neue Meldepflicht nach § 52 Abs. 7 GwG: Beaufsichtigte Institute berichten künftig jährlich über Kryptowerte-Transaktionsvolumina, Arten der verwalteten Kryptowerte und Risikoprofile der Kunden. Die technischen Details — die sogenannten RTS und ITS — stehen noch aus. Die EU-Behörde AMLA hat bis zum 10. Juli 2026 Zeit, die finalen Standards zu verabschieden. Bis dahin interpretieren Institute die Anforderungen unterschiedlich. Das erzeugt Ungleichbehandlung — je nachdem, welche Bank Sie nutzen, sind die Prüfpflichten strenger oder laxer ausgeprägt.
Wie ernst die BaFin das Thema nimmt, belegen aktuelle Primärquellen. In der Jahrespressekonferenz vom 28. Januar 2026 hat BaFin-Präsident Mark Branson Kryptowerte erstmals als eigenständiges Verbraucherrisiko eingestuft — neben Überschuldung und Lebensversicherungskosten. Soziale Medien und Finfluencer befeuern demnach risikoreiche Investitionen. Die Behörde kündigte verschärfte Aufsicht über Krypto-Anbieter an, einschließlich gezielter Sonderprüfungen. Wenige Monate später folgte ein konkretes Strafverfolgungsbeispiel: Am 16. April 2026 setzten BaFin und Polizei Brandenburg gemeinsam ein internationales Geldwäschenetzwerk außer Betrieb — über 500 Konten wurden gesperrt, 20 Wohn- und Geschäftsanschriften durchsucht. Auf der Kundenseite spiegeln sich diese Entwicklungen in steigenden Beschwerden wider: Der BaFin-Schlichterbericht 2025 verzeichnet 1.521 Schlichtungsanträge (+33 %), Schwerpunkt Neobroker. Die BaFin-Beschwerdestatistik 2025 zählt 46.400 Kundenbeschwerden, ebenfalls +33 % gegenüber dem Vorjahr.
Wie funktioniert das Name-and-Shame-Verfahren nach § 57 GwG?
Die öffentliche Bekanntmachung von Verstößen ist kein theoretisches Risiko. § 57 GwG verpflichtet die BaFin, rechtskräftige Bußgeldentscheidungen in bestimmten Fällen auf ihrer Website zu veröffentlichen. Das betrifft Institute, die gegen TFR-II-Pflichten verstoßen haben. Der Name des Unternehmens, die Art des Verstoßes und die Sanktionshöhe werden öffentlich gemacht. Dieser Mechanismus ist aus der DSGVO bekannt — er erzeugt erheblichen Reputationsdruck. Für Banken ist das ein stärkerer Anreiz zur Überconformance als für reine Bußgeld-Kalkulation: Ein öffentlich veröffentlichter Verstoß kostet mehr als das Bußgeld selbst. Das erklärt, warum Compliance-Abteilungen lieber einfrieren als riskieren.
Was sollten Sie jetzt sichern und dokumentieren?
Wenn Sie von einer GwG-bedingten Kontosperre betroffen sind oder eine Sperre befürchten, beginnt die rechtliche Vorbereitung sofort. Warten ist keine Strategie — die Fristen für Auskunftsersuchen und zivilrechtliche Ansprüche laufen.
Zunächst sichern Sie alle Nachweise zur Herkunft Ihrer Kryptowerte. Das sind Wallet-Statements mit vollständiger Transaktionshistorie, Steuerbescheinigungen des Dienstleisters aus Vorjahren, KYC-Originalbelege der Kryptobörsen, bei denen Sie registriert sind, und Kontoauszüge, die den ursprünglichen Kauf der Kryptowerte belegen. Falls Sie Kryptowerte über mehrere Jahre aufgebaut haben, sichern Sie den gesamten Zeitstrahl — nicht nur die letzte Transaktion. Die TFR-II-Aufbewahrungspflicht nach Art. 26 VO (EU) 2023/1113 schreibt fünf Jahre vor — das gibt Ihnen auch einen Richtwert dafür, wie weit zurück Ihre eigene Dokumentation reichen sollte.
Dann dokumentieren Sie alle Kommunikation mit der Bank. Jedes Schreiben der Bank, jede E-Mail, jedes Telefonprotokoll und den genauen Zeitpunkt der Sperre halten Sie schriftlich fest. Wenn die Bank Ihnen nur ein generisches Compliance-Schreiben zusendet, ohne einen konkreten Vorwurf zu benennen, notieren Sie diesen Umstand ausdrücklich. Er kann im späteren Rechtsstreit relevant sein — er belegt, dass keine individuelle Risikoprüfung stattgefunden hat.
Darüber hinaus sind Blockchain-Forensik und Krypto-Tracing in vielen Fällen entscheidend. Eine professionelle Tracing-Analyse kann belegen, dass Ihre Wallet-Adressen keine Verbindung zu bekannten Darknet-Marktplätzen, Mixer-Diensten oder sanktionierten Entitäten aufweisen. Dieses Dokument — oft als Travel-Rule-Compliance-Bericht bezeichnet — wird von Compliance-Abteilungen zunehmend akzeptiert. Es ersetzt nicht die eigene rechtliche Prüfung, stärkt aber Ihre Verhandlungsposition erheblich.
Schließlich: Wenn Sie im Zusammenhang mit dem gesperrten Konto auch Schaden durch eine betrügerische Plattform erlitten haben — etwa weil die Bank einen Betrugsabfluss nicht verhindert hat — lesen Sie den Artikel zu KI-gestütztem Krypto-Betrug und Deepfake-Phishing. Die Kombination aus Compliance-Sperre und Betrugsschaden ist ein eigenständiges Schadensbild mit spezifischen Haftungsansprüchen. In solchen Fällen können sowohl § 280 BGB als auch § 826 BGB einschlägig sein — letzterer bei sittenwidrig schädigender Verzögerung der Auszahlung durch die Bank.
Sie haben durch eine betrügerische Plattform Geld verloren? Schildern Sie uns Ihren Fall — unsere Fachanwältin für Bank- und Kapitalmarktrecht prüft Ihre Handlungsoptionen. Schreiben Sie an kryptoschaden@rexus-recht.de oder nutzen Sie das Kontaktformular auf kryptoschaden.de.
Wann ist eine rechtliche Prüfung sinnvoll — und wann nicht?
Nicht jede Compliance-Sperre rechtfertigt ein anwaltliches Mandat. Das ist eine wichtige Klarstellung. Wenn Sie eine Sperre erhalten und Ihre Unterlagen unvollständig sind — etwa weil Sie Kryptowerte ohne KYC-Nachweis erworben, Transaktionen über Mixer-Dienste abgewickelt oder Kryptowerte aus einer unbekannten Quelle empfangen haben —, dann ist die Sperre zunächst eine erwartbare Reaktion der Bank auf unklare Sachverhalte.
Eine Mandatierung scheidet aus, wenn die Sperre auf einer rechtmäßigen GwG-Verdachtsmeldung beruht und keine pflichtwidrige Pauschalisierung erkennbar ist. In solchen Fällen ist der richtige Weg zunächst die Vorlage vollständiger Herkunftsnachweise beim Institut — und erst wenn das scheitert, die Eskalation.
Eine rechtliche Prüfung ist dagegen geboten, wenn die Bank eine Sperre ohne jeden individuellen Verdachtsanlass pauschal verhängt — etwa weil Sie eine Überweisung an eine regulierte, BaFin-lizenzierte Kryptobörse vornehmen und die Bank dennoch einfriert, ohne konkrete Angaben zu liefern. Gleiches gilt, wenn die Sperre länger als die gesetzlich vorgesehene Frist andauert, wenn Sie vollständige KYC-Unterlagen eingereicht haben und die Bank trotzdem nicht freischaltet, oder wenn Sie begründeten Verdacht haben, dass die Bank die Compliance-Pflichten als Vorwand für eine wirtschaftlich motivierte Kundenbeziehungsbeendigung nutzt.
Zivilrechtlich relevante Ansätze sind dann die Prüfung einer Haftung nach § 280 BGB wegen Pflichtverletzung des Zahlungsdienstvertrags, die Beschwerde bei der BaFin über die beaufsichtigte Bank sowie ein Auskunftsersuchen nach DSGVO — um zumindest die Grundlage der Sperre soweit wie möglich zu verstehen. Das Tipping-off-Verbot schränkt die Informationspflichten der Bank ein, schützt aber nicht vor einer Prüfung der grundsätzlichen Verhältnismäßigkeit der Sperrmaßnahme. Gerade in Fällen, in denen keine echte Verdachtslage bestand, sondern nur ein automatisiertes Systemflag ausgelöst wurde, sind solche Ansprüche prüfenswert.
Wie läuft eine rechtliche Prüfung in Ihrem Fall ab?
Der erste Schritt ist immer eine strukturierte Sachverhaltsaufnahme. Sie schildern Datum und Betrag der gesperrten Transaktion, den Empfänger, die Bank und alle bisherigen Kommunikationsdokumente. Wichtig ist auch, ob Sie bereits einen Herkunftsnachweis eingereicht haben und welche Reaktion die Bank darauf zeigte. Diese ersten Informationen reichen aus, um eine erste rechtliche Einschätzung vorzunehmen.
Im zweiten Schritt wird geprüft, ob die Sperre einer konkreten Pflicht aus TFR II oder dem Geldwäschegesetz entspricht oder ob es sich um eine pauschale Risikovermeidung handelt. Dieser Unterschied ist entscheidend. Eine pauschale Sperre ohne Einzelfallprüfung kann gegen § 280 BGB verstoßen. Eine individuell begründete Sperre nach § 43 GwG dagegen ist zunächst rechtlich gedeckt. Der Unterschied zeigt sich oft in der Qualität des Schreibens, das Sie von der Bank erhalten haben.
Wenn eine Pflichtverletzung erkennbar ist, folgt die außergerichtliche Aufforderung zur Freischaltung — verbunden mit einer Fristsetzung und dem Hinweis auf zivilrechtliche Schadensersatzansprüche nach § 286 BGB bei Verzug. Parallel dazu wird geprüft, ob eine Beschwerde bei der BaFin zielführend ist. Die BaFin ist die zuständige Aufsichtsbehörde für das Geldwäscherecht der beaufsichtigten Banken und nimmt Kundenbeschwerden über Compliance-Fehlverhalten grundsätzlich entgegen.
In komplexeren Fällen — insbesondere wenn Sie neben der Kontosperre auch Schäden durch eine Betrugsplattform erlitten haben — wird ein Tracing-Bericht in Auftrag gegeben. Dieser belegt die Sauberkeit Ihrer Wallet-Historie und dient als Argumentation im außergerichtlichen wie im gerichtlichen Verfahren. Die Rückmeldung auf eine erste Sachverhaltsschilderung erfolgt innerhalb von 24 Stunden — schreiben Sie an kryptoschaden@rexus-recht.de mit Angabe des Datums, des Betrags und einer kurzen Schilderung der Bankreaktion.
„Wenn Sie Opfer von Krypto-Betrug geworden sind, zählt jede Stunde. Sichern Sie Ihre Beweise und lassen Sie Ihren Fall von einer spezialisierten Kanzlei analysieren. Kontaktieren Sie uns unter kryptoschaden@rexus-recht.de — Erstanalyse innerhalb von 24 Stunden.“
— Anna O. Orlowa, LL.M., RAin + FAin Bank-/Kapitalmarktrecht, Zert. Expertin Kryptowerte + Steuern
Häufige Fragen
Ab wann gilt die TFR-II-Bußgeldpflicht für Banken in Deutschland?
Die VO (EU) 2023/1113 (TFR II) ist seit dem 10. Februar 2026 in Deutschland über den neu eingefügten § 56 Abs. 2a GwG direkt sanktionierbar. Ab diesem Datum können Verstöße gegen die Übermittlungspflichten bei Kryptowertetransfers mit Sanktionen bis 200.000 Euro, in systematischen Fällen bis zu einer Million Euro oder zehn Prozent des Jahresumsatzes belegt werden. Die Pflicht trifft alle Verpflichteten im Sinne von § 50 GwG, also auch klassische Kreditinstitute mit Kryptobezug.
Was bedeutet die Self-Hosted-Wallet-Prüfpflicht für mich als Privatanleger?
Wenn Sie Kryptowerte von einer eigenen, nicht bei einem Dienstleister verwahrten Wallet an eine Börse oder einen Dienstleister senden, ist dieser verpflichtet, die Inhaberschaft Ihrer Wallet-Adresse zu plausibilisieren. Ab einem Transferwert von 1.000 Euro gilt ein risikobasierter Ansatz gemäß Art. 14 und Art. 21 VO (EU) 2023/1113. In der Praxis werden Sie gebeten, eine signierte Nachricht, Wallet-Auszüge oder ergänzende KYC-Dokumente einzureichen. Das ist kein Betrug, sondern gesetzlich verpflichtende Compliance — und sie verlangt von Ihnen aktive Vorbereitung.
Darf die Bank mir mitteilen, ob eine Verdachtsmeldung vorliegt?
Nein. Das sogenannte Tipping-off-Verbot im Geldwäschegesetz untersagt der Bank ausdrücklich, Sie darüber zu informieren, ob eine Verdachtsmeldung nach § 43 GwG abgegeben wurde. Für Sie als Anleger bedeutet das: Sie können die konkrete Grundlage einer Kontosperre nicht direkt erfragen. Sie können jedoch eine Beschwerde bei der BaFin einreichen und prüfen lassen, ob die Bank ihre Aufsichtspflichten eingehalten hat. Außerdem kann ein Auskunftsersuchen nach DSGVO ergänzende Informationen liefern — soweit das Tipping-off-Verbot dem nicht entgegensteht.
Welche Bußgelder drohen Banken und Kryptobörsen bei Verstößen gegen die TFR II?
Bei einfachen Verstößen gegen die Übermittlungspflichten aus VO (EU) 2023/1113 beträgt die Sanktion nach § 56 Abs. 2a GwG bis zu 200.000 Euro. Bei schwerwiegenden oder systematischen Verstößen — etwa wenn ein Institut die Self-Hosted-Wallet-Prüfung grundsätzlich unterlässt oder Originator-Daten strukturell nicht erhebt — steigt der Rahmen auf bis zu eine Million Euro oder zehn Prozent des Gesamtumsatzes. Hinzu kommt die öffentliche Bekanntmachung nach § 57 GwG, die den Ruf des Instituts erheblich belasten kann.
Was ändert sich noch durch RTS und ITS der AMLA im Jahr 2026?
Die technischen Regulierungsstandards (RTS) und Durchführungsstandards (ITS) der neuen europäischen Anti-Geldwäsche-Behörde AMLA werden die konkreten Anforderungen an Kundenidentifizierung, Datenübermittlung und jährliche Meldepflichten nach § 52 Abs. 7 GwG präzisieren. Die Deadline für die Veröffentlichung finaler Standards liegt beim 10. Juli 2026. Bis dahin bestehen in der Praxis Auslegungsspielräume, die Dienstleister und Banken unterschiedlich ausfüllen. Für Anleger bedeutet das: Die Compliance-Anforderungen werden sich in der zweiten Jahreshälfte 2026 und bis 2027 weiter konkretisieren.
Das Aufsichtsregime vom 10. Februar 2026 ist eine Zwischenstation. Die finalen RTS und ITS der AMLA stehen noch aus — Deadline ist der 10. Juli 2026. Die Compliance-Anforderungen werden sich bis 2027 weiter konkretisieren. Wer jetzt vollständige Wallet-Dokumentation, klare KYC-Unterlagen und eine strukturierte Transaktionshistorie vorhält, steht bei der nächsten Verschärfung auf festem Boden.
Quellen: klamm.de: BaFin dreht auf — Krypto wird zum großen GwG-Haftungsrisiko (27.04.2026) · EUR-Lex: VO (EU) 2023/1113 (TFR II) · Geldwäschegesetz (GwG) auf gesetze-im-internet.de · BaFin PM 28.01.2026: Risiken im Fokus — Krypto als Verbraucherrisiko · BaFin PM 16.04.2026: Gemeinsamer Einsatz gegen Geldwäschenetzwerk · BaFin Schlichterbericht 2025 · BaFin Beschwerdestatistik 2025