/f/118211/3840x3840/da24e483db/06-straight-forward.png)
Vom regulatorischen Eingriff zum zertifizierten Unternehmen: Wo Unzer 2026 steht
Beitrag von Dr. Max Steiger, Chief Compliance and Governance Officer
Die vergangenen Jahre waren für Unzer eine Phase intensiver regulatorischer Auseinandersetzung und tiefgreifender Veränderung. Heute ist Unzer ein Unternehmen, das strukturell neu aufgestellt ist und dessen Systeme und Prozesse hohen internationalen Standards entsprechen.
Dennoch wissen wir auch, dass die Vergangenheit nachwirkt. Umso wichtiger ist es, transparent einzuordnen, was seit 2021 konkret geschehen ist; und welche strukturellen und kulturellen Veränderungen daraus entstanden sind.
Was 2021 passiert ist – und wie wir darauf reagiert haben
Als ich 2021 zu Unzer kam, merkte ich schnell, dass die bestehenden Governance-Strukturen den Anforderungen an ein belastbares Kontrollumfeld – und meinem eigenen Anspruch – nicht durchgängig entsprachen. Wir begannen daher, zentrale Strukturen zu überarbeiten und insbesondere das in der Bankenbranche etablierte Drei-Linien-Modell einzuführen.
Kurz darauf bestätigte eine Sonderprüfung der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) bei der Unzer-Tochter Unzer E-Com GmbH Defizite in den Compliance-Strukturen und in der Geldwäscheprävention. In der Folge wurde eine Sonderbeauftragung angeordnet.
Die Ausgangslage war damit eindeutig. Entscheidend war, wie wir damit umgehen. Unser Fokus lag darauf, die identifizierten Schwächen konsequent zu adressieren und die Organisation strukturell neu aufzustellen. Erste Maßnahmen hatten wir bereits eingeleitet; durch das Audit erhielt die Transformation zusätzliche Klarheit und Dynamik.
Was folgte, war eine grundlegende Neuaufstellung des gesamten Unternehmens: vollständiger Neuaufbau der Compliance-Organisation, Investitionen von mehr als 27 Millionen Euro in Systeme, Prozesse und Personal, neue Führungsstrukturen und belastbare interne Kontrollen.
Im Oktober 2024 hob die BaFin die Sonderbeauftragung bei der Unzer E-Com vollständig auf. Unzer steht seither wieder unter regulärer Aufsicht, mit deutlich veränderten Strukturen und einem klaren Fokus auf nachhaltige Weiterentwicklung.
Transformation im gesamten Unternehmen
Strukturen, Software und Prozesse sind ein zentraler Teil der Compliance. Aber sie allein reichen nicht. Was nachhaltig wirkt, ist eine Unternehmenskultur, die Integrität nicht kontrolliert, sondern lebt. Deshalb haben wir bei Unzer beide Dimensionen konsequent weiterentwickelt.
Im Zentrum steht heute ein einheitliches Compliance-Management-System mit klar definierten Verantwortlichkeiten, gruppenweiten Richtlinien und nachvollziehbaren Strukturen. Ein wesentlicher Bestandteil ist die konsequente Umsetzung des Drei-Linien-Modells – unternehmensweit, nicht nur in einzelnen Bereichen.
Die erste Verteidigungslinie ist der Vertrieb. Wir gestalteten den Onboarding-Prozess grundlegend neu: mit klaren Ausschlusskriterien, transparenten ethischen Leitlinien und integrierten Kontrollmechanismen, die Risiken frühzeitig erkennen und steuern.
Die zweite Verteidigungslinie umfasst Compliance, Risikomanagement und Informationssicherheit. Eine klare Governance mit definierten Prozessen und Berichtslinien sorgt dafür, dass Risiken nicht nur erkannt, sondern auch konsequent gesteuert werden. Ein Risikoausschuss unterstützt dabei auf übergeordneter Ebene. Flankiert wird das durch erhebliche Investitionen in Monitoring-Systeme, Transaktionskontrollen und Sanktionsprüfungen.
Die dritte Verteidigungslinie ist die Interne Revision. Sie prüft unabhängig die Wirksamkeit der ersten beiden Linien und stellt sicher, dass die definierten Standards dauerhaft eingehalten werden. Ergänzend werden alle Mitarbeitenden regelmäßig zu Compliance, Informationssicherheit, Geldwäschebekämpfung und Datenschutz geschult. Denn Regeln allein reichen nicht. Mitarbeitende müssen nicht nur wissen, was erlaubt ist, sondern verstehen, was richtig ist.
Externe Bestätigung: ISO-Zertifizierungen für Compliance und Informationssicherheit
Einen zentralen Meilenstein erreichten wir im April 2026: Unzer wurde nach zwei international anerkannten Standards zertifiziert: ISO 37301 für das Compliance-Management-System und ISO 27001 für das Informationssicherheits-Managementsystem. Diese Zertifizierungen sind mehr als formale Auszeichnungen. Sie bestätigen durch unabhängige externe Prüfer, dass die aufgebauten Strukturen den internationalen Anforderungen entsprechen.
ISO 37301 steht für ein systematisches und wirksames Compliance-Management, das Risiken identifiziert, Regelkonformität sicherstellt und verantwortungsvolles Handeln im Unternehmen verankert. ISO 27001 belegt, dass sensible Daten und Systeme durch klar definierte Sicherheitsprozesse, regelmäßige Risikoanalysen und kontinuierliche Verbesserungen geschützt werden.
Gerade im Zahlungsverkehr, wo täglich mit hochsensiblen Daten gearbeitet wird, sind diese Standards ein wesentlicher Bestandteil von Vertrauen. Gleichzeitig gilt: Zertifizierungen sind kein Endpunkt. Sie verpflichten dazu, die Anforderungen dauerhaft zu erfüllen und kontinuierlich weiterzuentwickeln.
Darüber hinaus verpflichtet die Richtlinie Banken und Zahlungsdienstleister dazu, bei finanziellen Schwierigkeiten der Kunden:innen aktiv Unterstützung anzubieten. Wenn Konten dauerhaft überzogen werden oder Ratenzahlungen ausstehen, sollen Kund:innen frühzeitig auf Hilfsangebote hingewiesen werden. Ziel ist es, eine Überlastung der Kunden:innen zu verhindern und sie rechtzeitig bei der Suche nach Lösungen zu unterstützen.
Integrität entsteht durch Menschen, nicht durch Systeme
Für mich persönlich ist ein Aspekt entscheidend, der sich nicht in Zertifizierungen abbilden lässt: die Unternehmenskultur.
Strukturen und Technologien schaffen die Voraussetzungen. Nachhaltige Veränderung entsteht jedoch erst dann, wenn Integrität als fester Bestandteil des täglichen Handelns gelebt wird: durch klare Verantwortlichkeiten, durch offene Kommunikation, durch eine Speak-up-Kultur, in der alle Stimmen gehört werden.
Führungskräfte müssen dabei vorangehen. Compliance beginnt an der Spitze; nicht als Kontrollfunktion, sondern als Haltung. Denn kein System, so gut es auch konzipiert ist, kann verantwortungsvolles Management ersetzen.
Diesen Weg gehen wir bei Unzer konsequent weiter. Nicht weil es regulatorisch gefordert wird. Sondern weil wir überzeugt sind: Vertrauen im Zahlungsverkehr ist nicht selbstverständlich. Wir müssen es jeden Tag neu verdienen.
Über Dr. Max Steiger
Dr. Max Steiger ist Chief Compliance and Governance Officer beim Fintech Unzer und verantwortet Compliance, Geldwäschebekämpfung, Informationssicherheit und ESG (Umwelt, Soziales und Governance) für die gesamte Gruppe. Zuvor war er fast zwanzig Jahre in leitenden Compliance-Funktionen bei der Deutschen Bank tätig. Seit 2024 ist er Mitglied des Präsidiums des Bundesverbandes der Zahlungs- und E-Geld-Institute (bvzi).