BaFin-Audit erfolgreich durchstehen: Was Background-Check-Dokumentation revisionsfest enthalten muss
Verwandte Artikel
Ein BaFin-Audit kommt selten angekündigt mit einem Monat Vorlauf. Wer dann Dokumentation rekonstruieren muss, hat den Audit-Punkt bereits verloren. Hier sind die 12 Pflicht-Elemente, die jeder revisionsfeste Background-Check-Audit-Trail enthalten muss — und die Top-5-Mängel, die in BaFin-Sonderprüfungen 2023–2025 am häufigsten festgestellt wurden.
1. Was BaFin-Auditoren konkret prüfen
Die BaFin prüft Background-Check-Prozesse nicht aus Selbstzweck. Der Prüfgegenstand ist die Eignung der Geschäftsleiter nach § 25c KWG, der Geschäftsorganisation nach § 25a KWG sowie die Auslagerungs-Compliance nach MaRisk AT 9. Background-Checks sind dabei das Beweismittel, mit dem das Institut darlegt, dass die Eignungsprüfung tatsächlich stattgefunden hat und angemessen dokumentiert ist.
1.1 Die Rechtsgrundlagen im Überblick
§ 25c KWG: Anforderungen an Geschäftsleiter — fachliche Eignung, Zuverlässigkeit, ausreichend Zeit. Die BaFin prüft, ob die Geeignetheit dokumentiert beurteilt wurde.
BaFin-Merkblatt zu Geschäftsleitern (zuletzt aktualisiert Januar 2024): Konkretisiert die Erwartungen an Hintergrund-Prüfungen und beizubringende Nachweise.
MaRisk AT 7.2: Allgemeine Anforderungen an die technisch-organisatorische Ausstattung und das Personal — auch jenseits der Geschäftsleitung relevant für sicherheitsrelevante Funktionen.
§ 26 BDSG: Beschäftigtendatenschutz — die zentrale Norm für die Zulässigkeit von Background-Checks im Anstellungsverhältnis.
Art. 6 Abs. 1 lit. b und f DSGVO: Vertragliche Erforderlichkeit und berechtigtes Interesse als Rechtsgrundlagen.
GwG § 18: Sorgfaltspflichten gegenüber wirtschaftlich Berechtigten — relevant bei Beteiligungen über 25 %.
1.2 Der typische Prüfablauf
Eine BaFin-Sonderprüfung mit Background-Check-Bezug läuft in der Regel über 3 bis 8 Wochen vor Ort. Die Prüfer ziehen Stichproben — typisch 10–20 Geschäftsleiter-Einstellungen der letzten 5 Jahre — und fordern die vollständige Dokumentation an. Wer dann eine PDF-Liste mit Treffer-Hinweisen vorzeigt, hat den ersten Audit-Punkt bereits verloren. Erwartet wird ein geschlossener, lückenloser, zeitgestempelter Audit-Trail.
2. Die 12 Pflicht-Elemente einer revisionsfesten Doku
2.1 Element 1: Einwilligung mit Zeitstempel
Die Einwilligung des Bewerbers nach Art. 7 DSGVO muss vor der ersten Prüfungshandlung dokumentiert sein — nicht am Tag der Prüfung, nicht nachträglich.
Pflichtbestandteile: Wortlaut der Einwilligung, Zeitstempel mit Sekunden-Genauigkeit, IP-Adresse oder Authentifizierungs-Token, Klauselversion, Signatur (elektronisch oder qualifiziert).
Häufiger Fehler: Generische HR-Einwilligungen, die "alle Prüfungen" abdecken sollen — von BaFin und DSB regelmäßig als zu unbestimmt zurückgewiesen.
2.2 Element 2: Dokumentation der Prüf-Module
Welche Module wurden konkret durchlaufen? Identitätsprüfung, Lebenslauf-Verifikation, Bildungs-Check, Sanktionslisten-Screening, PEP-Screening, BZR-Auszug, Insolvenzregister, Schuldnerverzeichnis, Medien-Recherche, Reference-Calls?
Die BaFin erwartet eine module-by-module-Dokumentation, kein zusammengefasstes Ergebnis. Jedes Modul muss seinen eigenen Stempel haben: Datum, Quelle, Ergebnis-Klassifikation.
2.3 Element 3: Datenquellen mit Authentizitätsnachweis
Hoheitliche Quellen: Handelsregister, Insolvenzbekanntmachungen, Schuldnerverzeichnis — mit Abruf-Beleg und Zeitstempel.
Internationale Listen: EU-Sanktionsliste, OFAC, UK HMT, Schweizer SECO — mit Quellen-URL und Datum des Abrufs.
PEP-Datenbanken: Anbieter-Information, Update-Frequenz, Methodik der Klassifikation.
Bewerber-eingereichte Dokumente: Führungszeugnis, Diplome, Arbeitszeugnisse — mit Echtheits-Prüfung dokumentiert.
2.4 Element 4: Treffer-Klassifikation mit Begründung
Ein Treffer ist nicht gleich ein Treffer. Die Klassifikation ist der häufigste Streitpunkt im Audit:
✅ Echter Treffer mit Personenidentität: Vollname + Geburtsdatum + Wohnort stimmen überein.
⚠️ Teiltreffer mit Verifikationsbedarf: Namensgleichheit ohne Geburtsdatum-Bestätigung.
⛔ Falscher Treffer: Namensgleichheit, aber andere Person — mit Beleg der Abgrenzung.
✅ Kein Treffer: Vollständige Negativ-Bestätigung mit Quellen.
2.5 Element 5: Eskalations-Workflow
Wann wurde welcher Treffer an wen eskaliert? Die Eskalations-Matrix ist verpflichtend dokumentiert:
Recruiter erkennt Treffer und klassifiziert ihn vorläufig.
Bei Teil- oder Volltreffer Eskalation an HR Lead und Compliance binnen 48 Stunden.
Bei sicherheitsrelevanten Treffern (z.B. Wirtschaftskriminalität, Geldwäsche, Terrorismusfinanzierung) Eskalation an den Geldwäschebeauftragten und ggf. den Vorstand.
Bei Geschäftsleiter-Kandidaten mit Treffer: Eskalation an den Aufsichtsrat und Information an die BaFin im Rahmen des § 25c-Verfahrens.
2.6 Element 6: Anhörung des Bewerbers
Bei jedem Treffer hat der Bewerber das Recht auf Stellungnahme nach Art. 22 DSGVO und § 26 BDSG. Die Anhörung ist zu dokumentieren — schriftlich oder als Gesprächsprotokoll mit Datum und Teilnehmern.
2.7 Element 7: Entscheidung mit Begründung
Die finale Einstellungs- bzw. Ablehnungs-Entscheidung muss traceable sein zum Background-Check-Ergebnis. Nicht zulässig ist eine Entscheidung "auf Bauchgefühl" ohne dokumentierte Begründung.
Entscheidungsträger: Name und Funktion (typisch HR Lead + Compliance + Fachvorgesetzter).
Datum der Entscheidung: Mit dokumentierter Reihenfolge — Entscheidung muss nach Anhörung erfolgen.
Bezug zum Bericht: Welche Treffer waren entscheidungsrelevant, welche nicht? Verhältnismäßigkeitsprüfung nach § 26 BDSG.
2.8 Element 8: Aufbewahrung mit Frist-Logik
Aufbewahrungsfristen sind nicht uniform. Die 5-Jahres-Regel gilt für viele Tatbestände, aber nicht für alle:
Dokument | Mindest-Frist | Rechtsgrundlage |
|---|---|---|
Geschäftsleiter-Background-Check | 5 Jahre nach Beendigung Mandat | § 25c KWG i.V.m. MaRisk AT 9 |
Mitarbeiter-Background-Check | Maximal 6 Monate nach Bewerbung (bei Ablehnung) | § 26 BDSG, BAG-Rspr. |
GwG-Sorgfaltspflichten | 5 Jahre nach Geschäftsbeziehungs-Ende | § 8 GwG |
DSGVO-Einwilligung | Bis Widerruf + Verjährungsfrist | Art. 7 DSGVO |
Sanktionslisten-Treffer-Doku | 5 Jahre | EU-Sanktions-VO, AWG |
2.9 Element 9: Auftragsverarbeitungs-Vertrag (AVV)
Der AVV nach Art. 28 DSGVO mit dem Background-Check-Anbieter ist Teil des Audit-Trails. Geprüft wird:
✅ Mindestinhalte nach Art. 28 Abs. 3 DSGVO vollständig
✅ Sub-Prozessor-Liste aktuell und freigegeben
✅ TOMs nach Art. 32 DSGVO in deutscher Sprache und audittauglich
✅ Datenstandort-Klausel mit Drittlandtransfer-Regelung
✅ Audit-Recht des Verantwortlichen mit klaren Modalitäten
2.10 Element 10: Datenschutz-Folgenabschätzung (DSFA)
Die DSFA nach Art. 35 DSGVO ist für Background-Checks bei Geschäftsleitern und sicherheitsrelevanten Funktionen verpflichtend. Die DSFA umfasst Risikobeurteilung, Maßnahmen und DPO-Stellungnahme. Sie ist mindestens alle 2 Jahre oder bei wesentlichen Änderungen zu aktualisieren.
2.11 Element 11: Schulungs- und Sensibilisierungs-Nachweise
Die BaFin prüft, ob die Personen, die den Prozess bedienen, geschult sind. Erwartet werden:
Jährliche Datenschutz-Schulung für HR und Recruiter
Spezifische Geldwäsche-Schulung für Compliance und HR-Beauftragte
Dokumentierte Onboarding-Schulung für neue Recruiter mit Background-Check-Berechtigung
2.12 Element 12: Lückenlose Versionierung des Prozesses
Der gesamte Background-Check-Prozess hat eine versionierte Verfahrensbeschreibung. Wenn die BaFin nach 3 Jahren rückwirkend prüft, muss klar sein, welche Prozessversion damals gültig war. Eine einfache Versionsnummer (v1.0, v1.1, …) mit Inkrafttretens-Datum reicht.
3. Die Top-5-Findings in BaFin-Sonderprüfungen
Aus aggregierten Erfahrungswerten der Jahre 2023–2025 haben sich fünf Mängel als die häufigsten herauskristallisiert:
3.1 Finding 1: Fehlende oder generische Einwilligung (≈ 60 % der Prüfungen)
Die häufigste Beanstandung. Eine Einwilligung, die "Hintergrund-Prüfungen" nur generisch erwähnt, reicht nicht für eine BZR-Anfrage oder ein Sanktionslisten-Screening. Die BaFin erwartet spezifische, modulweise Einwilligungen.
3.2 Finding 2: Lücken im Audit-Trail bei Eskalations-Treffern (≈ 45 %)
Wenn ein Treffer aufgetaucht ist und der Bewerber dennoch eingestellt wurde, fehlt häufig die begründete Verhältnismäßigkeitsprüfung. Die Entscheidung ist da, der Treffer ist da — aber der dokumentierte Gedankengang dazwischen fehlt.
3.3 Finding 3: AVV mit unklarer Sub-Prozessor-Lage (≈ 40 %)
Der AVV nennt einen Sub-Prozessor, der mittlerweile nicht mehr existiert oder durch einen anderen ersetzt wurde — ohne dokumentierte Freigabe. Bei US-basierten Anbietern fehlen TIA und SCC.
3.4 Finding 4: Aufbewahrung über die zulässige Frist hinaus (≈ 30 %)
Daten von abgelehnten Bewerbern werden über 6 Monate hinaus aufbewahrt, ohne neue Rechtsgrundlage. Das ist ein § 26 BDSG-Verstoß und gleichzeitig ein Art. 5 Abs. 1 lit. e DSGVO-Verstoß (Speicherbegrenzung).
3.5 Finding 5: DSFA fehlt oder ist veraltet (≈ 25 %)
Eine DSFA aus dem Jahr 2019 ist 2026 nicht mehr aktuell. Spätestens nach Anbieterwechsel, Prozess-Reform oder regulatorischer Änderung (DORA, AI Act) ist die DSFA neu aufzulegen.
4. Wie man fehlende Doku rekonstruiert — und wo die Grenze liegt
Wenn eine BaFin-Prüfung angekündigt ist und Lücken festgestellt werden, ist die erste Frage: Lässt sich die Doku noch legal-zulässig nachvollziehen?
4.1 Was rekonstruierbar ist
✅ System-Logs des Background-Check-Tools: Zeitstempel, abgefragte Module, Ergebnisse. Diese Logs sind technisch verfügbar und werden nicht "rekonstruiert", sondern aus dem Tool exportiert.
✅ E-Mail-Verkehr mit dem Bewerber: Anhörungs-Aufforderungen, Stellungnahmen, Ablehnungs- oder Einstellungs-Mails — als Beleg für den Workflow.
✅ Personalakten-Einträge: Datum der Vertragsunterzeichnung, Onboarding-Protokolle.
✅ Zeitliche Plausibilisierung: Aus mehreren Quellen lässt sich oft der Zeitablauf rekonstruieren — das ist legal-zulässig, wenn es ehrlich als Rekonstruktion ausgewiesen wird.
4.2 Was nicht rekonstruiert werden darf
⛔ Einwilligungen rückdatieren: Eine fehlende Einwilligung darf nicht nachträglich mit einem alten Datum produziert werden — das ist Urkundenfälschung und führt zu strafrechtlicher Haftung.
⛔ Treffer-Klassifikationen nachträglich umbewerten, ohne den ursprünglichen Stand zu dokumentieren.
⛔ Entscheidungs-Begründungen nachträglich verfassen, die nicht dem damaligen Wissensstand entsprechen.
⛔ Schulungs-Nachweise erfinden: Wenn es keine Schulung gab, muss das offen kommuniziert und mit Sofort-Maßnahme adressiert werden — nicht maskiert.
4.3 Wenn Lücken bleiben: aktive Kommunikation
Eine offen kommunizierte Lücke wiegt im BaFin-Audit erheblich weniger als eine kaschierte. Die Prüfer erwarten Transparenz, Selbstanzeige und einen Maßnahmenplan. Wer einen Remediation Plan mit Fristen, Verantwortlichen und Nachhalte-Logik vorlegt, hat in 80 % der Fälle keinen Bußgeld-Bescheid am Ende — sondern eine Beanstandung mit Frist.
5. Was die BaFin nicht prüft — aber faktisch erwartet
Über die formal-rechtlichen Vorgaben hinaus haben sich in der Aufsichtspraxis vier Erwartungen etabliert, die nicht in einem Gesetzestext stehen, aber im Audit zum Tragen kommen:
Erwartung 1 — Vier-Augen-Prinzip bei Treffer-Klassifikation: Auch wenn weder § 25c KWG noch MaRisk dies explizit fordern, erwarten BaFin-Prüfer bei sicherheitsrelevanten Treffern eine zweite Bewertung.
Erwartung 2 — Konsistenz über mehrere Geschäftsleiter hinweg: Wenn drei Geschäftsleiter nacheinander geprüft wurden und die Doku-Tiefe sich erkennbar unterscheidet, ist das ein Hinweis auf einen unreifen Prozess.
Erwartung 3 — Aktualisierung des Background-Checks bei Vorstandsverlängerung: Bei einer Vertragsverlängerung des Vorstands wird ein Refresh der Hintergrund-Prüfung erwartet, nicht nur eine Selbstauskunft.
Erwartung 4 — Verhältnismäßigkeitsprüfung bei alten Treffern: Verurteilungen, die bereits getilgt sind oder mehr als 10 Jahre zurückliegen, dürfen nicht ohne Begründung in die Beurteilung einfließen.
6. Audit-Vorbereitung in der Praxis: 8-Wochen-Vorlauf
Wenn ein Audit angekündigt wird, sind 8 Wochen knapp, aber machbar:
Woche 1–2: Stichproben-Analyse — die letzten 20 Geschäftsleiter-Einstellungen auf Vollständigkeit prüfen.
Woche 3–4: Lücken-Identifikation und Klassifikation in rekonstruierbar vs. nicht rekonstruierbar.
Woche 5–6: Rekonstruktion der zulässigen Lücken und Aufbau eines Remediation-Plans für die nicht-rekonstruierbaren.
Woche 7: Internes Pre-Audit durch Compliance oder externen Auditor.
Woche 8: Übergabe-Mappe für die BaFin — mit Index, Cross-Referenz und Begleitschreiben.
7. Tooling: Was das Background-Check-System leisten muss
Ein Background-Check-Tool, das die obigen 12 Pflicht-Elemente nicht nativ abbildet, schafft im Audit zusätzliche Arbeit. Anforderungen an ein audit-taugliches Tool:
✅ Lückenlose Audit-Logs mit Zeitstempel, User-ID und Modul-Stempel
✅ Versionierte Einwilligungs-Klauseln mit Wortlaut-Archiv
✅ Treffer-Klassifikations-Workflow mit verpflichtender Begründung
✅ Eskalations-Engine mit Rollen-basierter Zuweisung
✅ Aufbewahrungs-Logik mit automatischer Lösch-Routine je Datentyp
✅ Export-Funktion für BaFin-konforme PDF-Mappen mit Index
✅ Datenstandort EU/EWR oder Schweiz, ohne Drittlandtransfer
✅ AVV mit deutschem Recht und Gerichtsstand
8. Häufige Fragen aus der Audit-Vorbereitung
8.1 Müssen wir auch Mitarbeiter unterhalb der Geschäftsleitung dokumentieren?
Die Pflicht aus § 25c KWG bezieht sich auf Geschäftsleiter. Die Pflicht aus MaRisk AT 7.2 erfasst aber alle schlüssel-Funktionen — typischerweise Geldwäschebeauftragter, Compliance-Officer, Risk-Officer, Internal Audit Lead. Background-Checks für diese Funktionen sind ebenfalls revisionsfest zu dokumentieren.
8.2 Reicht ein selbst eingeholtes Führungszeugnis des Bewerbers?
Das BZR-Führungszeugnis ist ein notwendiger, aber kein hinreichender Bestandteil. Die BaFin erwartet zusätzlich eine Sanktionslisten-Prüfung, eine PEP-Recherche und eine Insolvenz- bzw. Schuldnerregister-Abfrage. Eine reine BZR-Vorlage erfüllt die § 25c-Anforderungen nicht.
8.3 Was tun, wenn ein Treffer in der Vorgeschichte später auftaucht?
Bei laufender Geschäftsleiter-Tätigkeit muss ein nachträglich auftauchender Treffer unverzüglich klassifiziert, an den Aufsichtsrat eskaliert und ggf. der BaFin nach § 25c Abs. 2 KWG mitgeteilt werden. Die Dokumentation des Eskalationsweges ist dabei mindestens so wichtig wie die materielle Bewertung.
Was gilt in der Schweiz, Österreich und EU-weit?
Schweiz: FINMA-Gewähr und Art. 3 BankG
In der Schweiz übernimmt die FINMA die Rolle der BaFin. Die Anforderung an die Geschäftsleiter-Eignung ergibt sich aus Art. 3 Abs. 2 lit. c BankG — die sogenannte Gewähr für eine einwandfreie Geschäftstätigkeit. Die FINMA hat in mehreren Aufsichtsmitteilungen 2023 und 2024 klargestellt, dass der Background-Check für Geschäftsleiter aktiv dokumentiert sein muss — eine bloße Selbstauskunft des Kandidaten reicht nicht.
Spezifisch verlangt die FINMA bei Banken, Versicherern und Wertpapierhäusern einen Audit-Trail, der 10 Jahre vorgehalten wird — also doppelt so lange wie die BaFin in Deutschland. Die Aufbewahrungsfrist nach Art. 962 OR bezieht sich zwar auf Geschäftsbücher, aber in der FINMA-Praxis wird sie analog auf Geschäftsleiter-Background-Checks angewendet.
Hinzu kommt die FINMA-Outsourcing-Regulierung (Rundschreiben 2018/3): Die Auslagerung der Background-Check-Funktion ist anzeigepflichtig, sobald sie als wesentlich eingestuft wird. Schweizer Institute, die einen US-Anbieter nutzen, haben hier eine doppelte Hürde — Drittland und Wesentlichkeit.
Österreich: FMA und § 5 BWG
Die österreichische Finanzmarktaufsicht (FMA) prüft die Geschäftsleiter-Eignung nach § 5 Abs. 1 Z 6 ff. BWG. Die Erwartung an die Background-Check-Dokumentation ist eng an die EBA-Guidelines "Suitability of members of the management body" angelehnt — das EBA-ESMA-Joint-Document ist hier die maßgebliche Auslegungsleitlinie.
In der österreichischen Aufsichtspraxis hat sich gezeigt, dass die FMA besonders auf die Einwilligungs-Spezifizität und die Anhörungs-Dokumentation achtet. Wer einen Treffer hat und den Bewerber nicht nachweisbar angehört hat, riskiert nicht nur eine FMA-Beanstandung, sondern auch ein Verfahren der österreichischen Datenschutzbehörde (DSB).
Eine Besonderheit ist die Mitwirkungspflicht des Betriebsrats nach § 96 ArbVG bei systematischen Background-Check-Verfahren — ohne Betriebsvereinbarung sind viele Module unzulässig. Das ist im AT-Markt ein häufig unterschätzter Compliance-Punkt.
EU-weit: EBA-ESMA-Joint-Guidelines, DORA und AI Act
Auf EU-Ebene konvergieren die Aufsichten zunehmend. Die EBA-ESMA-Joint-Guidelines on Suitability (zuletzt aktualisiert 2023) sind die zentrale Referenz für die Background-Check-Tiefe bei Geschäftsleitern in Banken, Wertpapierfirmen und Investmentfonds. Sie verlangen eine "comprehensive, evidence-based assessment" — was de facto die 12 Pflicht-Elemente impliziert.
DORA (Verordnung (EU) 2022/2554) hat seit 17. Januar 2025 die ICT-Auslagerung an Background-Check-Anbieter verschärft. Wer einen Anbieter nutzt, der als kritischer ICT-Drittanbieter eingestuft wird, muss zusätzliche Konzentrationsrisiko-Berichte und Exit-Strategien dokumentieren.
Der EU AI Act (Verordnung (EU) 2024/1689) klassifiziert algorithmische Background-Check-Komponenten als Hochrisiko-KI nach Anhang III Nr. 4. Die Konformitätsbewertung nach Art. 43 ist ab 2. August 2026 verpflichtend. Wer ein Tool nutzt, das auf ML-basiertem Treffer-Matching aufsetzt, hat zusätzliche Doku-Anforderungen — Trainingsdaten-Qualität, Bias-Assessment, Transparenz-Information für Bewerber nach Art. 13 AI Act.
Buche eine Demo — wir zeigen Ihnen live, wie eine BaFin-konforme Audit-Mappe direkt aus dem System exportiert wird, mit allen 12 Pflicht-Elementen, Zeitstempeln und Cross-Referenzen. 30 Minuten, ohne Verpflichtung, mit einer realen Test-Akte.
Nabil El Berr
