Wer als Steuerberater noch nicht im goAML-System registriert ist, spielt mit seiner beruflichen Handlungsfähigkeit – und im Zweifel auch mit seiner berufs- und aufsichtsrechtlichen Angriffsfläche. Denn goAML ist nicht irgendein Portal, um das sich später mal jemand kümmern kann. Es ist der von der deutschen Zentralstelle für Finanztransaktionsuntersuchungen (Financial Intelligence Unit, kurz FIU) vorgesehene, zentrale Kanal für geldwäscherechtliche Verdachtsmeldungen. Und der Gesetzgeber hat mit der Registrierungspflicht unmissverständlich klargemacht: Die technische Anschlussfähigkeit ist kein Nice-to-have, sondern Teil der Compliance-Grundausstattung.
Die entscheidende Zäsur liegt nicht irgendwann in ferner Zukunft, sondern ist bereits passiert. Seit dem 1. Januar 2024 besteht für Verpflichtete nach dem Geldwäschegesetz (GwG) eine Registrierungspflicht im elektronischen Meldeportal goAML Web – und zwar ausdrücklich unabhängig davon, ob aktuell ein konkreter Verdachtsfall vorliegt.
Genau das ist der Punkt, an dem viele Verpflichtete bis heute scheitern: Sie behandeln die Registrierung wie eine Reaktion auf einen Verdachtsfall. Das ist jedoch konzeptionell falsch. Der Fall der Fälle ist gerade nicht planbar. Der Gesetzgeber will, dass Sie im Ernstfall bereits handlungsfähig sind – und nicht dann erst anfangen, sich mit Zugangsdaten, Verifizierungsdokumenten und Freischaltungsfristen zu beschäftigen.
goAML ist dabei nicht nur ein Formular im Internet. Das Portal ist das maßgebliche IT-Verfahren, über das die FIU Meldungen entgegennimmt, verarbeitet und analysiert. Bereits auf der Startseite macht das System die Logik deutlich: Für die elektronische Übermittlung meldepflichtiger Sachverhalte steht goAML Web zur Verfügung; die Nutzung setzt voraus, dass man sich zuvor registriert hat; die Registrierung wird durch die FIU geprüft und der Zugang anschließend freigeschaltet; über die einzelnen Schritte wird man per E-Mail informiert.
Damit ist goAML zugleich technische Plattform und Prüfstein: Wer registriert ist, zeigt zumindest, dass er die grundlegende Meldestruktur organisatorisch ernstnimmt. In einer Aufsichtskontrolle ist das kein Beweis perfekter Compliance – aber es ist die Mindestvoraussetzung, ohne die viele weitere Fragen überhaupt erst aufkommen.
Für Steuerberater ist die Ausgangslage zudem besonders eindeutig. Während es bei manchen Berufsgruppen im rechtsberatenden Bereich Konstellationen gibt, in denen die Verpflichteten-Eigenschaft an bestimmte Tätigkeiten geknüpft ist, weisen berufliche Stellen für Steuerberater und Steuerbevollmächtigte ausdrücklich auf den statusbezogenen Ansatz hin.
In einem FAQ-Katalog zur goAML-Registrierung wird klargestellt, dass Wirtschaftsprüfer, vereidigte Buchprüfer, Steuerberater, Steuerbevollmächtigte und Lohnsteuerhilfevereine nach § 2 Abs. 1 Nr. 12 GwG Verpflichtete sind. Für sie gilt ab 1. Januar 2024 die Registrierungspflicht nach § 45 Abs. 1 Satz 2 GwG. Dementsprechend haben auch die zuständigen Kammern informiert.
Dass trotz dieser Klarheit viele Berufsträger nicht registriert sind, ist kein bloßes Bauchgefühl, sondern wurde von Kammer- und Berufsstellen explizit thematisiert. In Veröffentlichungen wurde darauf hingewiesen, dass die Zahl der Registrierungen im Nichtfinanzsektor lange sehr gering war. In einem Beitrag der Steuerberaterkammer München vom 23. Oktober 2023 heißt es, dass zu diesem Zeitpunkt noch nicht einmal 10 % der bestellten Steuerberater bei goAML registriert gewesen seien.
Selbst wenn sich diese Quote seitdem verbessert haben sollte, bleibt der Befund: Die Registrierungspflicht ist in der Praxis nicht angekommen. Und genau deshalb ist die Botschaft «Keine Ausreden mehr» nicht reißerisch, sondern schlicht folgerichtig.
Die Risiken, die aus einer fehlenden Registrierung entstehen, sind mindestens dreifach:
Erstens geht es um Bußgeld- und Ordnungswidrigkeitsrisiken, auch wenn die genaue Reichweite einzelner Bußgeldtatbestände in der öffentlichen Diskussion zeitweise schwankte. Was sicher ist: Die verspätete oder unterlassene Abgabe einer an sich meldepflichtigen Verdachtsmeldung kann als Ordnungswidrigkeit geahndet werden. Der Deutsche Anwaltverein hat in einer Quartalsinformation vom November 2023 beispielsweise betont, dass eine Verdachtsmeldung unverzüglich abzugeben ist. Eine unverzügliche Meldung ist praktisch nur möglich, wenn die goAML-Registrierung bereits im Vorfeld erfolgt ist; anderenfalls erfolge die Meldung mit hoher Wahrscheinlichkeit verspätet.
Auch in Veröffentlichungen der anwaltlichen Selbstverwaltung, unter anderem in den Mitteilungen der Bundesrechtsanwaltskammer, wird der Zusammenhang ausgesprochen: Wer nicht unverzüglich melden kann, weil die technischen Voraussetzungen nicht geschaffen sind, kann im ungünstigsten Fall eine böse Überraschung erleben, da eine nicht unverzüglich abgegebene Verdachtsmeldung ggf. bußgeldrelevant wird.
Für Steuerberater ist die Schlussfolgerung banal, aber unbequem: Selbst wenn die Nichtregistrierung isoliert betrachtet nicht in jeder Konstellation sofort mit einem Bußgeld belegt wird, schafft sie das Risiko, im Ernstfall schon aus organisatorischen Gründen nicht rechtzeitig gemeldet zu haben – und das ist der Bereich, in dem Bußgelder und aufsichtsrechtliche Maßnahmen erfahrungsgemäß deutlich näher rücken.
Zweitens drohen peinliche Rückfragen im Kontext von Prüfungen – und zwar nicht nur theoretisch. In vielen Branchen ist die Registrierung inzwischen ein Standard-Kontrollpunkt: Gibt es eine Registrierung des Verpflichteten? Und ist die Organisation so aufgestellt, dass im Bedarfsfall unverzüglich gehandelt werden kann?
Auch behördliche und kammernahe Hinweise betonen, dass eine Registrierung im Fall einer Kontrolle signalisiert, dass man sich mit den Pflichten auseinandergesetzt hat.
Übertragen auf die Verpflichteten einer Kanzlei bedeutet das: Wer nicht registriert ist, kommuniziert – ob gewollt oder ungewollt – genau das Gegenteil, nämlich dass eine gesetzliche Mindestanforderung nicht umgesetzt oder nicht ernst genommen wurde. Das ist kein Imageproblem, sondern eine Einladung zu vertiefenden Nachfragen.
Drittens ist der Reputationsschaden real, gerade weil Verdachtsfälle selten sind, aber dann mit hoher Intensität auftreten. Wenn ein Mandat auffällig wird, wenn ein Zahlungsvorgang nicht plausibel ist, wenn ein Mandant plötzlich in Ermittlungsnähe gerät oder ein Dritter Informationen liefert, dann zählt nicht nur, was Sie inhaltlich tun, sondern auch, wie schnell und strukturiert Sie reagieren können. In solchen Situationen wird die fehlende goAML-Registrierung nicht als formaler Mangel wahrgenommen, sondern als Zeichen mangelnder Organisationsreife.
Und wer schon einmal erlebt hat, wie schnell sich ein Verdacht in ein Kommunikationsproblem verwandelt, weiß: Der Reputationsschaden entsteht häufig nicht durch die Tatsache, dass ein Verdacht auftaucht, sondern durch die Art, wie man damit umgeht.
Genau hier liegt die Kernbotschaft für die Praxis: Kanzleien brauchen nicht nur irgendeine Registrierung, sondern eine Registrierung, die prüfbar ist – also nachvollziehbar dokumentiert, aktuell gehalten und in den Kanzleialltag integriert.
Die FIU selbst beschreibt den Prozess so, dass nach Abschluss der Registrierung eine Prüfung durch die FIU erfolgt – und erst dann die Freischaltung des Zugangs.
Das setzt einen Mindeststandard für die Dokumentation: Die Kanzlei sollte nicht nur wissen, dass ihre Verpflichteten registriert ist, sondern belastbar nachweisen können, wann registriert wurde, welcher Nutzer registriert ist, welche E-Mail-Adresse hinterlegt ist und wie die Zuständigkeiten organisiert sind. Wer das nicht kann, steht bei Nachfragen schnell mit leeren Händen da – und genau das ist vermeidbar.
Dabei ist ein häufiges Missverständnis besonders gefährlich: «Die Kanzlei ist registriert, damit ist alles erledigt.» Das ist bei den Berufsträgern im steuerberatenden Bereich gerade nicht der richtige Denkansatz. In den FAQs zur Registrierung wird ausdrücklich der personelle Ansatz betont: Die Verpflichteten-Eigenschaft und damit auch die Registrierungspflicht beziehen sich auf natürliche Personen; die Registrierungspflicht besteht somit für jeden zugelassenen Berufsträger.
Zusätzlich wird in diesem Zusammenhang erklärt, dass Berufsausübungsgesellschaften keine natürlichen Personen und seit Juli 2023 nicht mehr neu registrierbar sind; registrierungspflichtig sind vielmehr die in der Gesellschaft tätigen Berufsträger.
Das trifft eine verbreitete Ausrede mitten ins Herz: Man kann sich nicht hinter der Organisation verstecken, wenn das System auf die Person zielt.
Auch die zweite typische Ausrede hält der Recherche nicht stand: «Wir haben einen Geldwäschebeauftragten, der macht das.» Ein(e) Geldwäschebeauftragte(r) kann intern eine wichtige Rolle spielen, aber er/sie ersetzt nicht automatisch die persönliche Registrierungspflicht der Berufsträger. In den registrierungsbezogenen FAQs wird erläutert, dass trotz Bestellung eines Geldwäschebeauftragten die Registrierungspflicht beim Berufsträger bleibt; der/die Beauftragte kann als Kontakt im Rahmen der Erreichbarkeiten angegeben werden, aber die Logik des Systems bleibt personenzentriert.
Und dann gibt es noch die Ausrede, die in der Praxis am häufigsten auftaucht, weil sie sich so plausibel anfühlt: «Wir hatten noch nie einen Verdachtsfall.» Genau deshalb fordert der Gesetzgeber die Registrierung unabhängig von einem Verdachtsfall.
Verdachtsmeldungen sind kein regelmäßiges Geschäft, sondern ein Stressereignis. Die Organisation muss in der Lage sein, unter Zeitdruck sauber zu entscheiden, zu dokumentieren und zu melden. Wenn Sie erst im Verdachtsmoment anfangen, Zugänge zu beantragen, Identitätsdokumente hochzuladen und auf die Freischaltung zu warten, wird „unverzüglich“ zur Illusion.
Die Registrierung ist also weniger eine Formalie als eine Art Notfallvorsorge: Man hofft, sie nie zu brauchen – aber wenn man sie braucht, ist es zu spät, sie erst dann zu beschaffen.
Hinzu kommt ein Aspekt, der seit 2025 die praktische Dringlichkeit weiter erhöht hat: die Zwei-Faktor-Authentifizierung. goAML selbst weist darauf hin, dass zum 1. September 2025 das OTP-Verfahren (One-Time-Password) aktiviert wurde, um eine Zwei-Faktor-Authentisierung zu implementieren.
Die Steuerberaterkammer München hat ergänzend erklärt, wie das in der Praxis wirkt: Nach Benutzername und Passwort erhält man künftig eine E-Mail mit Verifizierungscode an die hinterlegte Adresse; deshalb müsse zwingend sichergestellt werden, dass eine aktuelle E-Mail-Adresse in goAML hinterlegt ist.
Das ist mehr als ein technisches Detail. Es ist ein Prozessrisiko: Eine veraltete Funktionsmailbox, ein Wechsel des Dienstleisters, ein ausgeschiedener Mitarbeitender oder eine nicht gepflegte Adresse können dazu führen, dass man Ernstfall nicht mehr in das System kommt – obwohl man eigentlich registriert ist. Prüfbarkeit bedeutet deshalb auch: Zugangsfähigkeit unter realen Bedingungen.
Was also brauchen Kanzleien konkret, wenn sie das Thema goAML nicht nur abhaken, sondern sauber beherrschen wollen?
Zunächst brauchen sie eine Registrierung, die wirklich stimmt – nicht nur formal, sondern operativ. goAML beschreibt, dass man sich zunächst einmalig elektronisch registrieren muss; die Registrierung wird geprüft und danach freigeschaltet.
Daraus folgt in der Praxis ein klarer Handlungsauftrag: Jeder Verpflichtete muss die Registrierung abgeschlossen haben, und zwar so, dass sie im Ernstfall auch funktioniert. Die Kanzlei sollte das als kontrollierbaren Status führen, ähnlich wie man bei IT-Sicherheitsmaßnahmen nicht hofft, dass MFA aktiv ist, sondern es nachweisbar kontrolliert. In einer Compliance-logischen Welt ist die goAML-Registrierung keine einmalige IT-Aufgabe, sondern ein laufendes Thema von Identitäten, Rollen, Erreichbarkeiten und Zuständigkeiten.
Als Nächstes braucht es einen Meldeprozess, der nicht erst in der Krise erfunden wird. goAML macht unmissverständlich klar, dass meldepflichtige Sachverhalte unverzüglich zu melden sind, und dass die Meldung grundsätzlich elektronisch erfolgt.
Ein funktionierender Meldeprozess beantwortet daher im Vorfeld, wer in der Kanzlei welche Rolle hat: Wer ist Erstkontakt für Verdachtsmomente? Wer bewertet die Informationen? Wer dokumentiert die Abwägung? Wer entscheidet über die Abgabe der Meldung? Und wer führt die Meldung in goAML tatsächlich aus?
Gerade bei mittelgroßen Kanzleien ist die größte Fehlerquelle nicht fehlender Wille, sondern fehlende Klarheit. Wenn in dem Moment, in dem ein Verdacht aufkommt, erst diskutiert wird, verliert man Zeit – und Zeit ist im GwG-Kontext ein Risiko.
Ein guter Meldeprozess ist deshalb keine Papierübung, sondern eine Eskalationslogik. Diese muss so gestaltet sein, dass sie auch dann funktioniert, wenn einzelne Personen nicht verfügbar sind.
Sie muss außerdem berücksichtigen, dass goAML nicht als Chatfunktion für Rückfragen gedacht ist. Das Portal weist ausdrücklich darauf hin, dass Anfragen im Rahmen einer Verdachtsmeldung an die FIU nicht berücksichtigt werden können und dass für direkte Kommunikation die integrierte Mailbox genutzt werden soll.
Wer das nicht weiß, produziert im schlimmsten Fall zusätzliche Verzögerung, weil man mit der Meldung Fragen weiterleitet und dann auf Antworten wartet, die gar nicht kommen.
Drittens brauchen Kanzleien Checklisten für Verdachtsmomente – nicht als starres Schema, sondern als Denk- und Dokumentationshilfe. Eine gute Checkliste hilft, typische Muster zu erkennen und die eigene Abwägung nachvollziehbar zu machen.
In der steuerberatenden Praxis bedeutet das beispielsweise, dass man ungewöhnliche Geldflüsse oder Vermögensbewegungen nicht nur auffällig findet, sondern systematisch hinterfragt, ob sie plausibel sind und zur wirtschaftlichen Tätigkeit passen, ob die Mittelherkunft bestimmt werden kann, ob der wirtschaftlich Berechtigte klar ist, oder ob eine Struktur auffällig verschachtelt ist.
Ebenso kann es relevant sein, wenn Mandanten stark auf Intransparenz drängen, ungewöhnliche Eile erzeugen oder die Offenlegung von Informationen wiederholt vermeiden. Die Checkliste ist dabei nicht das Ziel, sondern das Werkzeug: Sie reduziert das Bauchgefühl und ersetzt es durch dokumentierbare Kriterien. Das ist gerade dann wichtig, wenn später die Frage gestellt wird, wie die Kanzlei zu ihrer Entscheidung gekommen ist, zu melden oder nicht zu melden.
Viertens braucht es eine interne Eskalationslogik, die die Realität des Berufs berücksichtigt. Steuerberater arbeiten in Teams, mit wechselnden Zuständigkeiten, mit Fristenlast, und häufig mit digitalen Workflows, die nicht für Ausnahmesituationen gebaut sind. Eine Eskalationslogik muss daher so einfach sein, dass sie nicht den gesamten Betrieb blockiert. Gleichzeitig muss sie so robust sein, dass sie nicht von einer einzelnen Person abhängt.
In den registrierungsbezogenen FAQs wird im Übrigen auch thematisiert, dass die Registrierung personengebunden und unabhängig von der Tätigkeit für eine oder mehrere Berufsausübungsgesellschaften ist; bei Mehrfachbeschäftigungen ist demnach keine Mehrfachregistrierung erforderlich, wohl aber die Pflege der Erreichbarkeiten.
Das ist ein praktischer Hinweis für die Eskalationslogik: Wenn eine Person in mehreren Kontexten tätig ist, muss intern klar sein, über welche organisatorische Schiene ein Verdacht bearbeitet wird, ohne dass die goAML-Identität selbst doppelt existiert.
Und schließlich braucht es ein Mindestmaß an operativer Hygiene rund um die Registrierung. Dazu gehört, dass hinterlegte Kontaktdaten aktuell sind, insbesondere E-Mail-Adressen, weil das System sowohl im Registrierungsprozess als auch bei der Zwei-Faktor-Authentisierung auf E-Mail-Kommunikation setzt. Dazu gehört auch, dass Zugänge im Rahmen von Personalwechseln nicht mitgehen oder verloren gehen. Und dazu gehört eine bewusst gestaltete Dokumentation, die im Zweifel zeigt, dass die Kanzlei das Thema ernst nimmt und strukturiert bearbeitet, statt es nur formal zu erledigen.
Wer an dieser Stelle immer noch denkt, das sei doch alles übertrieben, sollte sich vor Augen führen, was das Meldeportal goAML in der Gesamtsystematik des GwG eigentlich ist: Es ist der Kanal, über den der Staat im Verdachtsmoment überhaupt erst mit Ihnen in eine strukturierte, datensichere Interaktion treten kann.
goAML ist nicht aus Interesse an der Bürokratie entstanden, sondern weil Verdachtsmeldungen in vielen Sektoren zu selten, zu spät oder zu unstrukturiert kamen und die FIU dadurch in ihrer Analyse und Reaktionsgeschwindigkeit behindert wurde. Dass die Registrierungspflicht explizit unabhängig vom Verdachtsfall gilt, ist genau der Versuch, diese Hemmschwelle zu senken und Handlungsfähigkeit sicherzustellen.
Die Konsequenz ist klar: Die goAML-Registrierung ist keine IT-Formalität, sondern ein organisatorischer Pflichtbestandteil professioneller Kanzleiführung. Wer sie ignoriert, vergrößert seine Risiken gleich an mehreren Fronten: Er riskiert, im Ernstfall nicht unverzüglich melden zu können, er lädt sich unnötige Rückfragen in Prüfungen ein, und er spielt mit seiner Reputation in genau den Situationen, in denen Reputation am empfindlichsten ist. Die Botschaft «Keine Ausreden mehr» ist deshalb nicht der Versuch, Angst zu machen, sondern die Aufforderung, Verantwortlichkeit herzustellen.
Zum Schluss noch ein wichtiger Hinweis, gerade im Kanzleikontext: Dieser Text ist eine fachliche Einordnung und Organisationsperspektive auf Grundlage öffentlich verfügbarer Informationen, ersetzt aber keine individuelle Rechtsberatung oder Einzelfallprüfung. Die konkrete Anwendung der Pflichten nach dem GwG hängt – insbesondere bei Grenzfragen – von Umständen des Einzelfalls ab und sollte bei Bedarf mit der zuständigen Kammer oder spezialisierten Rechtsberaterinnen und Rechtsberatern eingeordnet werden.
Was aber nicht vom Einzelfall abhängt, ist der organisatorische Mindeststandard: Wer verpflichtet ist, muss registriert sein – und zwar so, dass es im Fall der Fälle tatsächlich funktioniert.