Was ist AML (Anti-Money Laundering)?

Geldwäsche ist kein Randthema mehr – sie betrifft Banken, FinTechs, Krypto-Börsen, Broker, Custodians und sogar DeFi-Frontends. Wer heute Werte bewegt, muss verdächtige Aktivitäten verhindern, erkennen und melden. Genau hier setzt AML (Anti-Money Laundering) an: ein Rahmen aus Gesetzen, Standards und internen Kontrollen, der Finanzkriminalität eindämmen soll – von klassischem Layering über Sanktionsumgehung bis hin zu On-Chain-Typologien wie Mixer-Nutzung, Peel-Chains und Chain-Hopping über Bridges.

Für Unternehmen bedeutet das: KYC/Customer Due Diligence, laufendes Transaktions-Monitoring, Sanktions- und PEP-Screening, belastbare Prozesse & Dokumentation – und ein risikobasierter Ansatz, der Aufwand dorthin lenkt, wo das Risiko am höchsten ist. Für Krypto-Akteure kommen besondere Pflichten hinzu, etwa die Travel-Rule zwischen VASPs und der Umgang mit pseudonymen Wallets.

In diesem Leitfaden klären wir, was AML ist, wie die Kernbausteine funktionieren, welche Pflichten in der EU/Deutschland gelten, worauf Krypto-Unternehmen speziell achten müssen – und wie du AML praktisch, effizient und prüfsicher umsetzt, ohne die Nutzer-Experience zu ruinieren.

Was ist AML?

AML (Anti-Money Laundering) bezeichnet alle gesetzlichen Vorgaben, Standards und internen Kontrollen, mit denen Institute Geldwäsche verhindern, erkennen und melden. Ziel ist der Schutz des Finanzsystems vor Erlösen aus Straftaten (z. B. Betrug, Korruption, Drogenhandel, Cybercrime).

Kernziele:

• Prävention: Aufnahme risikoreicher Kunden/Beziehungen verhindern (Onboarding-Kontrollen).
• Detektion: Auffällige Muster in Zahlungen/Transaktionen erkennen (Monitoring & Screening).
• Meldung: Verdachtsfälle strukturiert an die FIU übermitteln (STR/SAR) und dokumentieren.

Abgrenzungen:

• CTF (Counter-Terrorist Financing): Fokus auf Finanzierung von Terrorismus. Controls überschneiden sich mit AML (KYC, Monitoring), Zielsetzung ist aber speziell Prävention terroristischer Aktivitäten.
• Sanktions-Compliance: Umsetzung verbindlicher Sanktionslisten (z. B. EU/UN/OFAC). Während AML „illegale Herkunft von Geldern“ adressiert, verbieten Sanktionen Transaktionen mit gelisteten Personen/Entitäten unabhängig von der Geldherkunft.

Typische AML-Begriffe (Kurzlexikon):

• KYC/CDD: Kundenidentifizierung & Risikoeinstufung (inkl. UBO – wirtschaftlich Berechtigte).
• EDD/SDD: Erhöhte bzw. vereinfachte Sorgfaltspflichten je nach Risiko (z. B. PEPs).
• Name/PEP/Sanktions-Screening: Abgleich gegen Listen, laufende Aktualisierung.
• Transaktionsüberwachung (TM): Regeln/Modelle zur Erkennung verdächtiger Muster.
• STR/SAR: Verdachtsmeldung an die FIU mit vollständigem Sachverhalt & Begründung.
• Recordkeeping: Revisionssichere Aufbewahrung von Daten/Prüfpfaden.

Die drei Phasen der Geldwäsche (klassisch, auch in Krypto relevant):

1. Placement (Einspeisung): Illegale Mittel ins Finanzsystem bringen (z. B. Einzahlungen, On-Ramps).
2. Layering (Verschleierung): Verschachtelte Transaktionen zur Spurenverwischung (bei Krypto: Mixer, Peel-Chains, Chain-Hopping via Bridges, Privacy-Coins, NFT-Wash-Trades).
3. Integration: Rückführung als scheinbar legale Mittel (Off-Ramps, Käufe, Investments).

Warum AML heute überall Thema ist:
Digitaler Zahlungsverkehr, globale Ketten und pseudonyme On-Chain-Transaktionen erhöhen Tempo und Reichweite. Effektives AML kombiniert deshalb risikobasierte KYC-Prozesse, laufendes Monitoring, Blockchain-Analytics und saubere Governance & Dokumentation.

Grundprinzipien & internationale Standards

Risikobasierter Ansatz (RBA)

Der Kern moderner AML ist Proportionalität: Maßnahmen richten sich nach dem tatsächlichen Risiko.

• Risk Assessment: Produkt-, Kunden-, Länder-, Kanal- und Transaktionsrisiken erfassen und bewerten.
• Segmentierung & Kontrollen: KYC-Tiefe, Monitoring-Schwellen und Screening-Frequenz je Risikoklasse festlegen (Retail vs. High-Risk, PEPs, komplexe Strukturen).
• Review & Tuning: Regeln/Modelle laufend kalibrieren (False Positives senken, True Positives sichern).
• Dokumentation: Entscheidungen, Schwellenwerte, Tool-Änderungen und Trainings revisionsfest festhalten.

FATF & die 40 Empfehlungen

Die Financial Action Task Force (FATF) setzt den globalen Rahmen:

• Risikobasierter Ansatz verpflichtend, inkl. nationaler Risikoanalysen.
• Kundenprüfungen (CDD/EDD/SDD) inkl. UBO-Ermittlung und PEP-Umgang.
• Aufbewahrungspflichten für KYC- und Transaktionsdaten.
• Verdachtsmeldungen (STR/SAR) an die jeweilige FIU.
• Sanktions- & TFS-Regime (Targeted Financial Sanctions) einhalten.
• VASPs/Crypto: Anwendung der Travel Rule (Empfehlung 16) auf Kryptotransfers (Pflicht zum Datenaustausch zwischen Dienstleistern).
• Peer Reviews/Mutual Evaluations: Länder werden regelmäßig auf Umsetzung geprüft.

Nationale Aufsicht & FIUs

Die FATF-Vorgaben werden national konkretisiert:

• Aufsichten: Setzen Regeln um, prüfen Institute, verhängen Maßnahmen/Bußgelder. (In der EU zusätzlich Leitlinien von EBA/ESMA/EIOPA.)
• FIUs (Financial Intelligence Units): Nehmen Verdachtsmeldungen entgegen, analysieren Fälle und leiten sie an Ermittlungsbehörden weiter.
• Branchenstandards: Ergänzt durch Verbandsleitfäden und Best Practices (z. B. für Zahlungsdienstleister, Banken, Krypto-VASPs).

Governance & „Three Lines of Defense“

• 1. Linie: Fachbereiche/Operationen – führen KYC, Screening, Monitoring aus.
• 2. Linie: Compliance/AML-Funktion – Richtlinien, Schulung, Qualitätssicherung, unabhängige Kontrolle; AML-Beauftragter mit ausreichender Unabhängigkeit.
• 3. Linie: Interne Revision – prüft Wirksamkeit und Governance.
• Schulung & Kultur: Regelmäßige Trainings, klare Eskalationswege, Ton „from the top“.

Datenschutz & Zweckbindung

AML verlangt umfangreiche Datenverarbeitung – diese muss mit Datenschutzrecht (z. B. DSGVO) vereinbar sein:

• Rechtsgrundlage & Zweckbindung klar definieren (KYC/AML).
• Datenminimierung & Speicherfristen beachten; Löschkonzepte vorhalten.
• DPIA (Datenschutz-Folgenabschätzung) für risikoreiche Prozesse erwägen.

Rechtsrahmen (EU & Deutschland – Überblick)

In Europa bildet ein mehrschichtiger Rahmen die Grundlage der Geldwäscheprävention. Historisch wurden Anforderungen über AML-Richtlinien (AMLD) in nationales Recht übertragen; parallel dazu hat die EU mit dem aktuellen AML-Paket den Schritt hin zu unmittelbar geltenden Verordnungen und einer zentralen Aufsicht (AMLA) vorbereitet. Für Institute bedeutet das: weniger Interpretationsspielräume, mehr Harmonisierung – insbesondere bei KYC-Pflichten, der Risikoanalyse, der Travel Rule für Krypto-Transfers sowie bei Sanktions- und PEP-Screenings. Ergänzend regelt die Transfer of Funds Regulation technische Pflichten für den Datenaustausch zwischen Dienstleistern, was für Virtual Asset Service Provider (VASPs) – also Börsen, Broker und Custodians – praktisch besonders relevant ist.

In Deutschland ist das Geldwäschegesetz (GwG) der Dreh- und Angelpunkt. Es definiert, wer „Verpflichteter“ ist (u. a. Kredit- und Finanzdienstleistungsinstitute, E-Geld- und Zahlungsinstitute, Güterhändler – und seit Jahren auch Akteure mit Krypto-Bezug) und welche Sorgfaltspflichten gelten. Die BaFin überwacht die Einhaltung dieser Pflichten, prüft Programme, Prozesse und Systeme und kann bei Mängeln Auflagen, Bußgelder oder Produktbeschränkungen verhängen. Verdachtsmeldungen (STR/SAR) laufen an die FIU – die Zentralstelle zur Aufklärung von Geldwäscheverdachtsfällen –, die Hinweise analysiert und an Ermittlungsbehörden weiterleitet. Für die Praxis heißt das: Ein AML-Programm muss nicht nur formal existieren, sondern wirksam sein – mit dokumentierter Risikoanalyse, nachvollziehbaren Schwellenwerten, sauberem Alert-Handling und prüffesten Aufzeichnungen über Jahre hinweg.

Pflichten im AML-Programm (Bausteine)

Ein wirksames AML-Programm besteht aus klar definierten Kontrollen entlang des gesamten Kunden- und Transaktionszyklus. Die folgenden Bausteine gelten branchenübergreifend – mit zusätzlichen Nuancen für Krypto-Dienstleister.

KYC / Customer Due Diligence (CDD)

Zu Beginn jeder Geschäftsbeziehung steht die Identifizierung und Verifizierung des Kunden – bei Unternehmen inkl. Rechtsform, Sitz, Vertretungsberechtigten und Geschäftsmodell. Ergebnis ist eine Risikoklassifizierung (niedrig, normal, hoch), die Tiefe der Prüfungen, Monitoring-Schwellen und Re-KYC-Intervalle steuert. Remote-Onboarding (eID, Video-Ident, NFC-Auslesen) ist zulässig, wenn Verfahren und Anbieter verlässlich dokumentiert sind.

Erhöhte Sorgfalt (EDD): Bei PEPs, komplexen Strukturen, Hochrisikoländern oder ungewöhnlichen Produkten/Kanälen werden zusätzliche Nachweise verlangt (Mittelherkunft, Vermögensquelle, Zweck der Beziehung) und Freigaben auf Management-Ebene eingeholt.
Vereinfachte Sorgfalt (SDD): Nur bei nachweislich geringem Risiko und zulässigen Fällen (z. B. regulierte Gegenparteien) – trotzdem mit Basis-Checks und Monitoring.

UBO / wirtschaftlich Berechtigte

Ermittle und dokumentiere die Ultimate Beneficial Owner bis zur natürlichen Person (Threshold nach geltendem Recht), inkl. Besitz- und Kontrollstrukturen, Treuhandverhältnissen und Zwischengesellschaften. Belege (Registerauszüge, Organigramme) gehören in die Akte; Unklarheiten → EDD.

Sanktions-, PEP- & Namens-Screening

Kunden, wirtschaftlich Berechtigte und bei Bedarf Transaktionsgegenparteien werden gegen Sanktionslisten, PEP-Listen und Adverse-Media geprüft – bei Onboarding und laufend (Re-Screening bei Listenupdates). False-Positives reduziert man mit guten Matching-Regeln, aber jede True-Hit-Prüfung braucht nachvollziehbare Dokumentation und zeitnahe Entscheidung.

Transaktionsüberwachung (TM)

Definiere szenarien- oder modellbasierte Regeln (z. B. Strukturierung/Smurfing, plötzliche Volumensprünge, Layering-Muster, Hochrisiko-Geografien). Alerts werden priorisiert, kontextualisiert (Kundenprofil, Historie, externe Daten) und über ein Case-Management bearbeitet. Regel-Tuning senkt False Positives, ohne die Erkennungsleistung zu schwächen; jede Änderung ist test- und prüffähig zu versionieren.

Verdachtsmeldungen (STR/SAR)

Ergibt die Analyse einen begründeten Verdacht, ist eine Meldung an die FIU abzugeben – vollständig, schlüssig, fristgerecht und mit Belegen (Transaktionsdaten, Begründung, Diagramme). Tipping-off ist verboten: Kunden werden über die Meldung nicht informiert. Nachgelagerte Enhanced Monitoring-Maßnahmen festhalten.

Aufbewahrung & Audit-Trail

KYC-Unterlagen, Screening-Ergebnisse, TM-Alerts, Entscheidungen und STRs werden revisionssicher und fristenkonform gespeichert. Wichtig sind Nachvollziehbarkeit (wer, was, wann, warum) und Datenintegrität (Unveränderbarkeit, Berechtigungskonzept). Lösch- und Sperrkonzepte müssen Datenschutz- und AML-Pflichten balancieren.

Schulung, Rollen & Governance

Ein benannter AML-Beauftragter (mit Stellvertretung) verantwortet Richtlinien, Schulungen, Reporting und die Wirksamkeitskontrolle. Alle relevanten Mitarbeitenden absolvieren regelmäßige Trainings (Onboarding, jährliche Refreshes, zielgruppenspezifisch). Das Vier-Augen-Prinzip in kritischen Prozessen, KPIs/KRIs (Alert-Quoten, Bearbeitungszeiten, STR-Quote) und unabhängige Prüfungen (2nd Line QA, Interne Revision) sichern die Qualität.

AML in Krypto & DeFi (Spezifika)

Bei Krypto-Unternehmen gelten die klassischen AML-Bausteine – sie müssen aber on-chain Besonderheiten abdecken. VASPs (Exchanges, Broker, Custodians, Zahlungs- und Wallet-Dienstleister) benötigen ein vollwertiges AML-Programm inklusive KYC, Screening, Transaktionsüberwachung, STR-Prozess und Travel-Rule-Fähigkeit. Die Travel Rule bedeutet vereinfacht: Bei Transfers zwischen VASPs werden Absender-/Empfängerdaten sicher mitgeschickt und plausibilisiert; für Interaktionen mit selbstverwahrten Wallets (unhosted) braucht es risikobasierte Kontrollen (z. B. Herkunftsnachweise, Eigentumsnachweis der eigenen Wallet, Schwellenwerte, manuelle Reviews).

On-/Off-Ramp ist AML-kritisch: Fiat-Einzahlungen/-Auszahlungen, Kartenzahlungen, Instant-Rails. Hier liegen Placement/Integration-Risiken. Dazwischen findet auf der Chain das Layering statt – oft mit Mixern/Tumbl ern, Peel-Chains (viele kleine Abflüsse), Chain-Hopping über Bridges oder durch Privacy-Coins. Ein wirksames Programm kombiniert Blockchain-Analytics (Adress-Clustering, Risk-Scores, Exposure-Graphen) mit kundenspezifischem Kontext (Profil, Herkunft der Mittel, Historie) und klaren Eskalationspfaden.

DeFi ist besonders: Protokolle laufen permissionless, aber Frontends, Oracles und Governance sind greifbare Punkte. Praktisch setzen Teams deshalb auf Frontend-Kontrollen (z. B. Block-/Allow-Lists, Geo-Fences), Router-Policies und Risiko-Hinweise, während Nutzerinteraktionen on-chain transparent bleiben. Für Custody-ähnliche DeFi-Modelle (z. B. zentral betriebene Relayer, Fiat-Gateways) gelten faktisch VASP-Pflichten.

Praxis-Hebel (Auswahl): Einzahlungs-Screening vor Gutschrift, Pre-Trade-Checks bei Auszahlungen (Ownership-Verifizierung, Risk-Score-Gates), Case-Management mit On-chain-Graphen, PEP/Sanktions-Re-Screening bei jedem Listen-Update, Revoke-/Sanctions-Hotlists für Ein-/Auszahladressen, Travel-Rule-Provider integrieren, Anomalie-Detektion (Velocity, neue Gegenparteien, Times-of-Day-Pattern).

---

Typische Red Flags & Typologien

Strukturierung/Smurfing: Viele Ein-/Auszahlungen knapp unter internen Schwellen, häufig über neue oder schlafende Accounts. Layering via On-chain: rasche Folge von Swaps, Brücken, Pools; Peel-Chains mit dutzenden „Staub“-Abflüssen; Sprung auf Privacy-Assets.

Mixer-/Tumbler-Exposition: Direkte oder kurzzeitige Vor-/Nach-Exposition zu bekannten Mischdiensten, „Rapid In/Rapid Out“ ohne wirtschaftlichen Zweck, Round-Tripping (zurück zur Ursprungseinheit).

Sanktions-/Hochrisiko-Bezug: Transfers zu/von geografischen Hochrisiko-Zonen, gelisteten Services/Adressen, Nutzung bekannter Evasion-Routen (z. B. bestimmte Bridges/DEX-Routen unmittelbar nach Incoming-Risk-Funds).

Ungewöhnliche Velocity/Muster: Neu eröffneter Account mit sofort hohen Volumina, zeitliche Cluster (nur nachts/Wochenende), Burst-Aktivität nach langer Inaktivität, Kaskaden aus kleinen Beträgen an viele neue Gegenparteien.

NFT-Wash-Trading & Airdrop-Abuse: Häufige Gegenparteienwechsel zwischen denselben Wallets, Käufe/Verkäufe zum extrem über/unter Marktpreis, neu geprägte Sammlungen ohne Markt; Sybil-Muster (viele neu erstellte Wallets, identische Onboarding-Spuren) rund um Airdrops.

DeFi-Spezifika: Add/Remove Liquidity in sehr kurzen Abständen ohne Marktgrund, Flash-Loan-gestützte Zirkulation, Rug-Pull-Exits zu zentralen Off-Ramps, Dusting-Angriffe gefolgt von Phishing-Interaktionen.

Kontrollansätze (kurz):

• Risk-Scoring für Ein-/Auszahlungskanäle; Case-Priorisierung nach Exposure-Stärke (Direct/Indirect), Betrag, Velocity.
• Scenario-Library mit Schwellen (Burst-Swaps, Mixer-Kontakt, Chain-Hopping < N Minuten, neue Gegenpartei > X %).
• Owner-Verifizierung für eigene unhosted Wallets; Source-of-Funds bei signifikantem Risiko.
• Manuelle Review-Playbooks mit Checklisten (Graph-Screens, Adverse-Media, KYC-Deltas) und klaren STR-Kriterien.

Tools & Technologien

Ein wirksames AML-Programm steht und fällt mit der richtigen Toolchain – sauber integriert, prüffest dokumentiert und DSGVO-konform.

KYC & Identitätsprüfung

Modularer Aufbau ist King:

• Dokument- & Biometrie-Checks: Ausweis-OCR/MRZ, Hologramm-/Sicherheitsmerkmalprüfung, Liveness (aktiv/passiv), Selfie-Match.
• NFC/eID & qualifizierte Signaturen: Auslesen des Chip-Passes (NFC) oder eIDAS-basierte Verfahren für höhere Sicherheit/geringere Manuelleingriffe.
• Remote-Onboarding Guardrails: Geräte-/IP-Reputation, Velocity-Checks, Duplicate-Account-Erkennung, Risiko-Fragen zur Mittelherkunft.
• UBO-Ermittlung (B2B): Register-Abgleich, Organigramm-Erfassung, Schwellen-Logik, Dokumenten-Belege, ggf. Treuhandstrukturen.

Screening (Sanktionen, PEP, Adverse Media)

• Listen & Updates: Automatisierte Feeds (UN/EU/OFAC etc.), delta-basiertes Re-Screening.
• Fuzzy Matching: Tokenization, Levenshtein, phonetic & transliteration (z. B. kyrillisch/arabisch).
• False-Positive-Reduktion: Kontext (Geburtsdatum, Nationalität), Listen-Priorisierung, erklärbare risk scores, Reviewer-Playbooks.
• Auditierbarkeit: Treffer-Historie, Entkräftung/Bestätigung, Zeitstempel, 4-Augen-Freigaben.

Transaktionsüberwachung (TM)

• Regel-Engine + ML: Typologie-Regeln (Smurfing, Layering, Geo-Risiko) kombiniert mit anomalie-basierten und profilbasierten Modellen.
• Echtzeit vs. Batch: Pre-/Post-Event-Kontrollen, Schwellen je Produkt/Kanal, Backtesting & Champion-Challenger.
• Datenqualität: deduplizierte Events, saubere Gegenparteien-IDs, robuste Kundenprofile (Segment, Beruf, Herkunft der Mittel).
• Tuning: Precision/Recall-KPIs, Alert-Suppression für bekannte Harmlos-Muster, regelmäßige Modell-Reviews.

Blockchain-Analytics (für Krypto/DeFi)

• Adress-Clustering & Heuristiken: Wechselgeld-/Peeling-Muster, Mixer-Exposition, Chain-Hopping über Bridges, Derivate/DEX-Routen.
• Risk Scores: Direkt/indirekt-Exposure, Zeitfenster, Betrag, Service-Klassifizierung (CEX/DEX/Mixer/Scam).
• Watch/Block-Lists: Ein-/Auszahladressen, Hot-Wallet-Bezug, Sanctions-Hotspots.
• Case-Linking: Graph-Ansichten, Pfad-Analysen, Evidenz-Exports für STR.

Travel-Rule & VASP-Interoperabilität

• Datenaustausch-Standards: z. B. IVMS-101 Datenmodell.
• Discovery & Handshake: VASP-Verzeichnis, Kryptoadressen-Besitznachweis (Signatur/Proof), verschlüsselte Kanal-Übergabe.
• Policy-Gates: Schwellen, Hochrisiko-Länder, Unhosted-Wallet-Kontrollen (Eigentums-/Mittelherkunftsnachweis).

Case-Management & STR-Prozess

• Alert-Triage & Priorisierung: Regel-Scores, ML-Scores, Kundenrisiko, Exposure-Stärke.
• Workflows & SLAs: Eskalationsstufen, Disposition-Codes, Wiedereröffnung, Quality Assurance.
• Belegführung: Zeitlinie, Files, On-Chain-Graphen, Notizen; prüffester Audit-Trail.
• STR-Composer: strukturierte Felder, Plausibilitätsprüfungen, Begründungstemplates, sichere FIU-Übermittlung.

Datenschutz & Sicherheit (DSGVO by design)

• Rechtsgrundlage/Zweckbindung klar dokumentieren, DPIA für risikoreiche Prozesse.
• Speicherbegrenzung/Löschkonzepte, rollenbasierte Zugriffe, Verschlüsselung at-rest/in-transit.
• Vendor-Management: TOMs, Sub-Prozessoren, Datenlokation, SLA/Compliance-Klauseln.

Architektur & Integration

• Event-Bus & APIs: saubere Entkopplung (KYC, TM, Screening, Analytics, Case).
• Versionierung & Sandbox: Regel/Modell-Rollouts mit A/B, Shadow-Mode, Regressions-Suites.
• Observability: Metriken (Alert-Rate, STR-Quote, FP-Rate, Bearbeitungszeit), Dashboards, Alarme.

Quick-Check (Toolauswahl):

1. Abdeckung deiner Produkte/Chains/Regionen?
2. Explainability der Modelle & Export-Fähigkeit für Prüfungen?
3. Latenz/Kosten passend zu Volumen & Echtzeitanforderungen?
4. Audit-Trail und DSGVO-Funktionen vollständig?
5. Saubere APIs und Roadmap/SLA des Anbieters?

Umsetzung in der Praxis (Step-by-Step)

Ein wirksames AML-Programm entsteht nicht „per Tool“, sondern durch Risiko→Kontrollen→Messung→Verbesserung. So baust du es pragmatisch auf – prüfsicher und skalierbar.

1) Zielbild & Scope festziehen

• Produkte/Kanäle: On-/Off-Ramp, Kartenzahlungen, P2P, Krypto↔Krypto, Custody.
• Regionen & Kundensegmente: Retail vs. B2B, High-Risk-Geos, PEP-Exposition.
• Rollen/RACI: Wer entscheidet (Board/Management), wer verantwortet (AMLCO/2nd Line), wer führt aus (Ops/1st Line), wer prüft (Internal Audit).

Artefakte: AML-Policy (Rahmen), Programm-Charter, RACI-Matrix.

---

2) Unternehmensweite Risikoanalyse (EWRA)

• Risikoquellen erfassen: Kunde, Produkt, Kanal, Geografie, Transaktionstyp, Krypto-Spezifika (Mixer/Bridges/Privacy-Coins).
• Bewerten & gewichten: Eintrittswahrscheinlichkeit × Auswirkung; Heatmap & Risikoregister.
• Kontroll-Gap identifizieren: Wo fehlen KYC-Belege, Screening-Abdeckung, TM-Szenarien?

Artefakte: EWRA-Bericht, Heatmap, Maßnahmenplan mit Prioritäten.

---

3) Controls designen (Risikobasiert)

KYC/CDD: Ident, Verifizierung, UBO-Ketten, Zweck der Beziehung, Mittelherkunft.
EDD-Trigger: PEP, komplexe Strukturen, Hochrisiko-Länder, ungewöhnliche Nutzungsmuster.
Screening: Sanktions-, PEP-, Namens- & Adverse-Media-Checks bei Onboarding & laufend (Delta-Updates).
Transaktionsüberwachung (TM):

• Regel-Bibliothek: Strukturierung, Velocity-Spikes, Geo-Muster, Round-Tripping, Mixer/Peel-Chains, Chain-Hopping (< N Min), High-Risk Services.
• Parameter (Beispiele, anpassen!):
  • Smurfing: ≥ X Einzahlungen < interner Schwelle in 7 Tagen.
  • Velocity: Volumen > Y× Mittel der letzten 30 Tage binnen 24 h.
  • On-Chain: Direkt/indirekt-Exposure zu Mixer/gelisteter Adresse innerhalb k Hops & t Tagen.
    Travel-Rule (bei VASPs): IVMS-101-Daten, VASP-Discovery/Handshake, Ownership-Proof für unhosted Wallets (Signatur/„Satoshi-Test“), Policy-Gates.

Artefakte: KYC-Standard, EDD-Playbook, Screening-SOP, TM-Szenarienkatalog mit Tests, Travel-Rule-SOP.

---

4) Daten & Architektur

• Einheitliches Kundenprofil: eindeutige IDs, Linkage (Account↔Wallets↔Geräte).
• Event-Bus/APIs: KYC, Screening, TM, Blockchain-Analytics, Case-Management entkoppeln.
• Audit-Trail: Unveränderbare Logs (wer/was/wann/warum), Export-Fähigkeit für Prüfungen.
• DSGVO by design: Zweckbindung, Speicherfristen, Rollenrechte, Verschlüsselung.

---

5) Prozesse & Dokumente

• Policies: AML, KYC, EDD, Screening, TM, STR, Travel-Rule, Records Retention.
• SOPs/Workflows: Schritt-für-Schritt inkl. Screenshots, Eskalationsketten, SLAs.
• Checklisten: Onboarding-Belege, EDD-Nachweise, STR-Begründungspunkte.

---

6) Staffing, Schulungen, Governance

• AML-Beauftragter (AMLCO) + Stellvertretung, direkte Berichtslinie.
• Schulungsplan: Onboarding-Training, jährliche Refreshes, zielgruppenspezifisch (Ops/Tech/Produkt).
• Governance: 1st/2nd/3rd Line, Vier-Augen-Prinzip, Change-Control-Board für Regel/Modell-Änderungen.

---

7) 30/60/90-Tage-Implementierungsplan

• 0–30 Tage: EWRA fertig, Policies entwerfen, Minimal-Kontrollen live (Onboarding-KYC, Basisscreening, Kern-TM-Regeln), STR-Workflow definiert.
• 31–60 Tage: Travel-Rule-Flow produktiv (falls VASP), EDD-Playbooks, Case-Management, erste Tuning-Runden (Precision/Recall), KPI-Dashboard.
• 61–90 Tage: Modell-/Regel-Backtesting, Champion-Challenger, QA-Framework, interne Mock-Prüfung (Table-Top) mit FIU-Fallakte.

---

8) Tuning, QA & Modell-Governance

• Ziele (Beispiele, anpassen!):
  • Alert-Hit-Rate (True Positives) ↑, False-Positive-Rate ↓.
  • Time-to-Disposition: z. B. 80 % der Alerts < 48 h.
  • Time-to-File (STR) innerhalb Frist.
• Backtesting/Drift: Regel- und ML-Modelle gegen gelabelte Daten testen, Drift-Monitore (Daten/Prediction).
• QA/Peer-Review: Stichproben, Vier-Augen, Re-Opening-Quote tracken; Dokumentation jeder Parameter-Änderung.

---

9) STR/SAR-Prozess (End-to-End)

• Decision-Tree: Alert → Triage → Analyse (Graphen, KYC-Delta, Adverse-Media) → Entscheidung (No Issue / EDD / STR).
• STR-Composer: Sachverhalt, Transaktionskette (inkl. On-Chain-Grafik), Belege/Hashes, Begründung; Tipping-off vermeiden.
• Nachverfolgung: Enhanced Monitoring, ggf. Beziehung beenden/aussetzen; Lessons Learned in Regel-Tuning zurückspielen.

---

10) KPIs/KRIs & Reporting

• Operative KPIs: Alert-Volumen, Hit-Rate, FP-Rate, Time-to-Disposition, Time-to-File, STR-Quote, Re-Screening-Treffer.
• Risikokennzahlen (KRIs): Anteil Hochrisiko-Kunden, Geo-Exposure, Mixer-Exposure, Chain-Hopping-Rate, Re-KYC-Overdue.
• Management/Board-Reporting: monatlich/quartalsweise, inkl. Heatmap, Incidents, Audit-Findings, Ressourcenbedarf.

---

11) Tests, Audits & Prüfungsreife

• Kontrolltests: Design- & Wirksamkeitstests (Walkthroughs, Sampling).
• Table-Top-Übungen: Szenario „Sanktions-Treffer“, „Großes Layering-Netzwerk“, „Depeg-Event“.
• Interne Revision: jährlicher Prüfplan; Findings → Maßnahmen mit Fristen, Nachtest.
• Externe Prüfungen/Aufsicht: Datenräume, Artefakt-Liste, Change-Logs, Export-Pipelines vorab prüfen.

---

12) Kontinuierliche Verbesserung

• Feedback-Schleifen: FIU-Rückmeldungen, Audit-Findings, neue FATF/EU-Vorgaben in Roadmap übernehmen.
• Produkt-Änderungen: Jedes neue Feature (z. B. neue Chain/Bridge) triggert Risk Assessment + Control Update.
• Vendor-Management: SLA-Monitoring, Pen-Tests, Datensicherheits-Reviews.

---

Häufige Stolpersteine (und wie du sie vermeidest)

• Nur „Policy auf Papier“: Früh echte Daten nutzen, Minimal-Viable-Kontrollen live schalten.
• Daten-Silos: Einheitliche IDs & Event-Bus; sonst kein Ende-zu-Ende-Blick.
• Ungetestete Schwellen: Immer A/B/Shadow-Runs und Backtests vor Rollout.
• Überlastete Ops: Triage/Scoring, klare Playbooks, gute QA – sonst Stau & Qualitätseinbruch.
• Dokumentationslücken: Jede Entscheidung, jedes Tuning, jeder STR muss prüfbar nachvollziehbar sein.

Sanktionen & Durchsetzung

Aufsicht wirkt heute spürbar: Wer AML-Pflichten lückenhaft umsetzt, riskiert Verwarnungen, Aufsichtsauflagen, empfindliche Bußgelder und im Extremfall Geschäftsmodelleinschränkungen. In Prüfungen zählt nicht die schönste Policy, sondern die Wirksamkeit – also ob KYC, Screening und Monitoring messbar funktionieren, Fälle fristgerecht entschieden und Verdachtsmeldungen sauber begründet werden. Häufig fordern Aufseher detaillierte Remediation-Pläne mit Verantwortlichen, Meilensteinen und Nachweisen. Zusätzlich drohen Reputations- und Geschäftsrisiken: Bankenpartner beenden Korrespondenzbeziehungen, Payment-Provider frieren On-/Off-Ramps ein, Börsen delisten riskante Gegenparteien. Kurz: Compliance-Lücken sind kein „Kostenpunkt“, sondern ein Existenzrisiko.

Best Practices & Checkliste (in Prosa)

Stelle zuerst die Datenqualität sicher: eindeutige Kunden-IDs, saubere Verknüpfung zu Wallets, Geräten und Zahlungsmitteln. Ohne konsistente Daten scheitern Regeln und Modelle. Baue dein Programm risikobasiert auf und dokumentiere Entscheidungen nachvollziehbar – warum ein Kunde „niedrig“ oder „hoch“ eingestuft wurde, welche Schwellen gelten und wie sie getestet wurden. Halte Modelle und Regeln unter formaler Governance: Champion/Challenger-Tests, Drift-Monitoring, Peer-Reviews, Versionierung. Organisiere ein Case-Management mit klaren SLAs, Eskalationen, Vier-Augen-Prinzip und prüffestem Audit-Trail. Plane Re-KYC/Refreshes risikoorientiert (Trigger-Events wie Adressänderung, Volumensprung, neue Geografie) und führe laufendes Re-Screening bei Listenupdates durch. Denke Datenschutz by design mit: Zweckbindung, Speicherfristen, Löschkonzepte, DPIA für risikoreiche Prozesse. Und: Verankere AML „von oben“ – ein engagierter Vorstand, ausreichende Ressourcen und regelmäßige Schulungen sind der Unterschied zwischen Papier- und Praxis-Compliance.

Zukunft & Trends

Die EU treibt mit zentraler AMLA-Aufsicht und unmittelbar geltenden Verordnungen die Harmonisierung voran. Parallel professionalisieren sich Tools: Echtzeit-Monitoring, Graph- und Netzwerk-Analysen, erklärbare ML-Modelle und automatisierte Travel-Rule-Workflows werden Standard. Im Krypto-Kontext wandert die Kontrolle näher an den Nutzer: Frontends prüfen Wallet-Risiken vor Transaktionen, Risk-Oracles liefern On-Chain-Signale, und Composability ermöglicht kombinierte Kontrollen über Protokolle hinweg. Spannend sind Privacy-preserving Ansätze (z. B. ZK-basierte KYC-Nachweise), die Regulatorik und DeFi versöhnen könnten. Gleichzeitig entstehen neue Herausforderungen: Cross-Chain-Bridges, L2-Ökosysteme, Stablecoin-Depegs und sanction-aware Routing verlangen adaptives Monitoring. Wer sein Programm als lebenden Prozess versteht – mit Feedback-Schleifen aus Prüfungen, FIU-Rückmeldungen und Produktänderungen – bleibt regelkonform und operativ effizient.

Fazit

AML ist keine Checkbox-Übung, sondern ein kontinuierlicher Kontrollkreislauf aus Risikoanalyse, wirksamen Maßnahmen, Messung und Verbesserung. Wer Datenqualität, Governance und Praxisnähe priorisiert, erfüllt nicht nur Anforderungen, sondern schützt sein Geschäftsmodell – gerade in schnelllebigen Umfeldern wie Krypto und DeFi. Wenn KYC, Screening, Monitoring und STR-Prozess sauber ineinandergreifen und Datenschutz mitgedacht ist, entsteht ein Programm, das prüfsicher, skalierbar und nutzerverträglich ist.

Quellenliste

Internationale Standards (FATF)

• FATF – Die 40 Empfehlungen
• FATF – Risk-Based Approach: Virtual Assets & VASPs (inkl. Travel-Rule)
• FATF – Glossar & Methodik (AML/CFT)

FAQ: Häufige Fragen zu AML (Anti-Money Laundering)

Was bedeutet AML genau?

AML umfasst alle Gesetze, Standards und Kontrollen zur Prävention, Erkennung und Meldung von Geldwäsche – von KYC über Transaktionsüberwachung bis zu Verdachtsmeldungen (STR/SAR).

Worin unterscheiden sich AML, CTF und Sanktions-Compliance?

• AML: illegale Herkunft von Geldern.
• CTF: Finanzierung von Terrorismus.
• Sanktionen: Verbote ggü. gelisteten Personen/Organisationen – unabhängig von der Geldherkunft.

Was ist der risikobasierte Ansatz (RBA)?

Ressourcen werden dort konzentriert, wo das höchste Risiko liegt. Risiken (Kunde, Produkt, Kanal, Geografie, Transaktion) bewerten → Kontrollen & Schwellenwerte proportional auslegen → laufend tunen und dokumentieren.

Was gehört zu KYC/CDD?

Identifizierung & Verifizierung, Zweck der Geschäftsbeziehung, Risikoklassifizierung, Ermittlung wirtschaftlich Berechtigter (UBO), ggf. Mittelherkunft/-quelle.

Was ist EDD und wann brauche ich es?

Enhanced Due Diligence bei höherem Risiko: z. B. PEPs, komplexe Strukturen, Hochrisikoländer, ungewöhnliche Nutzung. Mehr Nachweise, strengere Freigaben, engmaschigeres Monitoring.

Was ist SDD?

Simplified Due Diligence für niedrige Risiken (gesetzlich definierte Fälle, z. B. regulierte Gegenparteien). Basisprüfungen bleiben, nur Umfang reduziert.

Wer sind UBOs (Ultimate Beneficial Owners)?

Natürliche Personen, die letztlich besitzen/kontrollieren. Sie werden bis zur Spitze der Struktur ermittelt und mit Belegen dokumentiert (Register, Organigramm, Verträge).

Was sind PEPs?

Politisch exponierte Personen (inkl. Familien/nahestehender Personen). PEP-Status erhöht das Risiko → EDD, Managementfreigaben und enges Monitoring.

Wie funktioniert Transaktionsüberwachung (TM)?

Regel- und/oder ML-basierte Szenarien erkennen Smurfing, Layering, Geo-Risiken, Velocity-Spitzen usw. Alerts werden priorisiert, analysiert (Kundenprofil, Historie, ggf. Blockchain-Graphen) und dispositioniert.

Was ist eine STR/SAR (Verdachtsmeldung)?

Bei begründetem Verdacht wird ein strukturiertes Dossier an die FIU gesendet (Sachverhalt, Daten, Begründung, Belege). Tipping-off ist verboten.

Wie lange müssen AML-Daten aufbewahrt werden?

Grundsätzlich mehrere Jahre (in der EU i. d. R. mind. 5; je nach nationalem Recht teils länger). Speicherfristen, Zweckbindung und Löschkonzepte dokumentieren.

Wie passt AML mit DSGVO zusammen?

Durch Rechtsgrundlage & Zweckbindung (KYC/AML), Datenminimierung, definierte Speicherfristen, Rollenrechte und ggf. DPIA (Folgenabschätzung). „Privacy by design“ einplanen.

Was ist die Travel Rule bei Krypto?

Bei Transfers zwischen Dienstleistern (VASPs) werden Absender-/Empfängerdaten sicher mitübermittelt. Für selbstverwahrte Wallets gelten je nach Recht risikobasierte Zusatzprüfungen (z. B. Besitz-/Mittelherkunftsnachweis, Schwellen).

Welche AML-Pflichten haben Krypto-Exchanges/Broker (VASPs)?

Vollständiges Programm: KYC/CDD, Screening (Sanktionen/PEP/Adverse Media), TM, STR-Prozess, Travel-Rule-Fähigkeit, Aufbewahrung, Governance, Schulungen.

Gilt AML auch für DeFi?

Pflichten treffen Dienstleister (Custody, Broker, Exchanges). Non-custodial Protokolle/Frontends können je nach Rolle/Jurisdiktion in den Anwendungsbereich fallen. Üblich sind Frontend-Kontrollen, Geo-/Sanktions-Policies und Risiko-Hinweise.

Was sind typische „Red Flags“?

• Strukturierung (viele Kleinbeträge), ungewohnte Velocity/Volumensprünge
• Hochrisiko-Geografien, Sanktionsbezug
• Mixer/Tumbler-Exposition, Chain-Hopping über Bridges
• Peel-Chains, Round-Tripping, häufige neue Gegenparteien
• Bei NFTs: Wash-Trading, Preise weit weg vom Markt

Wie reduziere ich False Positives im Monitoring?

Bessere Datenqualität, Segmentierung, Schwellen-Tuning (Champion/Challenger), Kontextanreicherung (Kundenprofil, Geo, Historie), erklärbare ML-Modelle, QA/Peer-Reviews.

Wann beende ich Kundenbeziehungen?

Bei anhaltend hohem Risiko, unzureichender Mitwirkung (EDD-Nachweise fehlen), Sanktions-/Terrorbezug oder wiederholten Auffälligkeiten – nach dokumentierter Bewertung, Eskalation und ggf. STR.

Welche Rolle spielen Blockchain-Analytics?

Adress-Clustering, Risiko-Scores (direkt/indirekt), Graph-Analysen zu Mixern, Betrugsservices, Bridges. Ergebnis fließt in On-/Off-Ramp-Entscheidungen und STR-Begründungen ein.

Wie balanciere ich AML und gute UX?

Risikobasiert staffeln: schnelle Onboards mit Basis-Checks, EDD nur bei Triggern; klare Kommunikation, Self-Service-Uploads, Echtzeit-Prüfungen und geringe Re-KYC-Reibung.

Welche Kennzahlen sind sinnvoll?

Alert-Volumen, Hit-Rate, False-Positive-Rate, Time-to-Disposition, STR-Quote, Re-Screening-Treffer, Anteil Hochrisiko-Kunden, Mixer-/Geo-Exposure, Overdue-Re-KYC.

{ „@context“:“https://schema.org&#8220;, „@type“:“BreadcrumbList“, „@id“:“https://atomic-temporary-248250871.wpcomstaging.com/was-ist-aml-anti-money-laundering/#breadcrumbs&#8220;, „itemListElement“:[ {„@type“:“ListItem“,“position“:1,“name“:“Startseite“,“item“:“https://atomic-temporary-248250871.wpcomstaging.com/&#8220;}, {„@type“:“ListItem“,“position“:2,“name“:“Wissen“,“item“:“https://atomic-temporary-248250871.wpcomstaging.com/category/wissen/&#8220;}, {„@type“:“ListItem“,“position“:3,“name“:“Was ist AML (Anti-Money Laundering)?“,“item“:“https://atomic-temporary-248250871.wpcomstaging.com/was-ist-aml-anti-money-laundering/&#8220;} ] } { „@context“:“https://schema.org&#8220;, „@type“:“Article“, „@id“:“https://atomic-temporary-248250871.wpcomstaging.com/was-ist-aml-anti-money-laundering/#article&#8220;, „mainEntityOfPage“:{„@type“:“WebPage“,“@id“:“https://atomic-temporary-248250871.wpcomstaging.com/was-ist-aml-anti-money-laundering/&#8220;}, „isPartOf“:{„@type“:“WebSite“,“@id“:“https://atomic-temporary-248250871.wpcomstaging.com/#website&#8220;,“url“:“https://atomic-temporary-248250871.wpcomstaging.com/&#8220;,“name“:“Bitcoin Trader Erfahrungen“}, „headline“:“Was ist AML (Anti-Money Laundering)? Grundlagen, Pflichten & Praxis“, „alternativeHeadline“:“AML erklärt: KYC, Transaktionsüberwachung, Travel-Rule & DeFi-Spezifika“, „description“:“Umfassender Leitfaden zu AML: Definition & Ziele, risikobasierter Ansatz (RBA), FATF-Standards, EU/DE-Rechtsrahmen (GwG, FIU, BaFin), KYC/CDD/EDD, Screening, Transaktionsmonitoring, Travel-Rule, Krypto/DeFi-Spezifika, Tools, Umsetzung & FAQ.“, „inLanguage“:“de“, „datePublished“:“2025-09-12T09:00:00+02:00″, „dateModified“:“2025-09-12T09:00:00+02:00″, „author“:{„@type“:“Organization“,“name“:“Bitcoin Trader Erfahrungen Redaktion“,“url“:“https://atomic-temporary-248250871.wpcomstaging.com/&#8220;}, „publisher“:{ „@type“:“Organization“, „name“:“Bitcoin Trader Erfahrungen“, „url“:“https://atomic-temporary-248250871.wpcomstaging.com/&#8220;, „logo“:{„@type“:“ImageObject“,“url“:“https://atomic-temporary-248250871.wpcomstaging.com/wp-content/uploads/logo.png&#8220;,“width“:512,“height“:512} }, „image“:{„@type“:“ImageObject“,“url“:“https://atomic-temporary-248250871.wpcomstaging.com/wp-content/uploads/aml-cover.jpg&#8220;,“width“:1200,“height“:675}, „articleSection“:[ „Einleitung“, „Was ist AML?“, „Grundprinzipien & internationale Standards“, „Rechtsrahmen (EU & Deutschland)“, „Pflichten im AML-Programm“, „AML in Krypto & DeFi“, „Red Flags & Typologien“, „Tools & Technologien“, „Umsetzung in der Praxis“, „Sanktionen & Durchsetzung“, „Best Practices“, „Zukunft & Trends“, „Fazit“, „FAQ“ ], „keywords“:[ „AML“, „Anti-Money Laundering“, „KYC“, „CDD“, „EDD“, „PEP Screening“, „Sanktionslisten“, „Transaktionsüberwachung“, „Travel Rule“, „FATF“, „GwG“, „BaFin“, „FIU“, „DeFi“, „Krypto Compliance“ ], „about“:[ {„@type“:“Thing“,“name“:“Anti-Money Laundering“}, {„@type“:“Thing“,“name“:“Geldwäscheprävention“}, {„@type“:“Thing“,“name“:“Krypto-Compliance“} ], „wordCount“:2200, „hasPart“:[{„@id“:“https://atomic-temporary-248250871.wpcomstaging.com/was-ist-aml-anti-money-laundering/#faq&#8220;}] } { „@context“:“https://schema.org&#8220;, „@type“:“FAQPage“, „@id“:“https://atomic-temporary-248250871.wpcomstaging.com/was-ist-aml-anti-money-laundering/#faq&#8220;, „mainEntity“:[ { „@type“:“Question“, „name“:“Was bedeutet AML?“, „acceptedAnswer“:{„@type“:“Answer“,“text“:“AML (Anti-Money Laundering) umfasst Gesetze, Standards und Kontrollen zur Prävention, Erkennung und Meldung von Geldwäsche – inklusive KYC, Screening, Transaktionsüberwachung und STR/SAR.“} }, { „@type“:“Question“, „name“:“Worin unterscheiden sich AML, CTF und Sanktions-Compliance?“, „acceptedAnswer“:{„@type“:“Answer“,“text“:“AML adressiert die illegale Herkunft von Geldern, CTF die Finanzierung von Terrorismus. Sanktions-Compliance verbietet Transaktionen mit gelisteten Personen/Entitäten unabhängig von der Geldherkunft.“} }, { „@type“:“Question“, „name“:“Was ist der risikobasierte Ansatz (RBA)?“, „acceptedAnswer“:{„@type“:“Answer“,“text“:“Maßnahmen werden proportional zum Risiko ausgelegt. Risiken aus Kunde, Produkt, Kanal, Geografie und Transaktion werden bewertet; Kontrollen, Schwellenwerte und Monitoring werden darauf abgestimmt und laufend getuned.“} }, { „@type“:“Question“, „name“:“Was gehört zu KYC/CDD?“, „acceptedAnswer“:{„@type“:“Answer“,“text“:“Identifizierung und Verifizierung, Risikoklassifizierung, Ermittlung wirtschaftlich Berechtigter (UBO), Zweck der Beziehung sowie bei Bedarf Nachweise zur Mittelherkunft.“} }, { „@type“:“Question“, „name“:“Wann brauche ich EDD?“, „acceptedAnswer“:{„@type“:“Answer“,“text“:“Bei erhöhtem Risiko, z. B. PEPs, komplexen Eigentümerstrukturen, Hochrisikoländern oder ungewöhnlichen Nutzungsmustern. Es gelten strengere Nachweise, Freigaben und engmaschigeres Monitoring.“} }, { „@type“:“Question“, „name“:“Wie funktioniert Transaktionsüberwachung?“, „acceptedAnswer“:{„@type“:“Answer“,“text“:“Regel- und/oder ML-basierte Szenarien erkennen Muster wie Strukturierung, Layering, Geo-Risiken oder Velocity-Spitzen. Alerts werden priorisiert, analysiert und dispositioniert – mit prüffestem Audit-Trail.“} }, { „@type“:“Question“, „name“:“Was ist eine STR/SAR?“, „acceptedAnswer“:{„@type“:“Answer“,“text“:“Eine Verdachtsmeldung an die zuständige FIU mit Sachverhalt, Transaktionsdaten, Begründung und Belegen. Tipping-off ist verboten.“} }, { „@type“:“Question“, „name“:“Was bedeutet die Travel Rule bei Krypto?“, „acceptedAnswer“:{„@type“:“Answer“,“text“:“Bei Transfers zwischen VASPs müssen Absender- und Empfängerdaten sicher mitübermittelt werden. Für selbstverwahrte Wallets gelten risikobasierte Zusatzkontrollen wie Eigentums- oder Mittelherkunftsnachweise.“} }, { „@type“:“Question“, „name“:“Wie lange werden AML-Daten aufbewahrt?“, „acceptedAnswer“:{„@type“:“Answer“,“text“:“In der EU grundsätzlich mehrere Jahre (typisch mindestens 5). Konkrete Fristen und Löschkonzepte richten sich nach nationalem Recht und müssen dokumentiert werden.“} }, { „@type“:“Question“, „name“:“Gilt AML auch für DeFi?“, „acceptedAnswer“:{„@type“:“Answer“,“text“:“Pflichten treffen Dienstleister wie Broker, Börsen oder Custodians (VASPs). Non-custodial Protokolle/Frontends können je nach Rolle und Jurisdiktion betroffen sein; üblich sind Frontend-Kontrollen und Risiko-Policies.“} }, { „@type“:“Question“, „name“:“Welche typischen Red Flags gibt es?“, „acceptedAnswer“:{„@type“:“Answer“,“text“:“Strukturierung/Smurfing, ungewöhnliche Velocity, Hochrisiko-Geografien, Mixer-/Tumbler-Exposition, Chain-Hopping über Bridges, Peel-Chains, Round-Tripping sowie NFT-Wash-Trading.“} }, { „@type“:“Question“, „name“:“Wie passt AML mit DSGVO zusammen?“, „acceptedAnswer“:{„@type“:“Answer“,“text“:“Durch klare Rechtsgrundlage und Zweckbindung, Datenminimierung, definierte Speicherfristen, Rollen-/Berechtigungskonzepte, Verschlüsselung und ggf. eine Datenschutz-Folgenabschätzung (DPIA).“} } ] } { „@context“:“https://schema.org&#8220;, „@type“:“WebSite“, „@id“:“https://atomic-temporary-248250871.wpcomstaging.com/#website&#8220;, „url“:“https://atomic-temporary-248250871.wpcomstaging.com/&#8220;, „name“:“Bitcoin Trader Erfahrungen“, „potentialAction“:{ „@type“:“SearchAction“, „target“:“https://atomic-temporary-248250871.wpcomstaging.com/?s={search_term_string}“, „query-input“:“required name=search_term_string“ } }