FMA-Jahresbericht 2025: Strafen, Schwerpunkte, was sich 2026 ändert

Die österreichische Finanzmarktaufsicht (FMA) verhängte im Jahr 2025 nach eigenen Angaben 9,4 Millionen Euro an Verwaltungsstrafen — der höchste Wert seit Bestehen der Behörde im Jahr 2002 und eine Steigerung um 41 Prozent gegenüber 2024. 287 Verfahren wurden abgeschlossen, davon 198 mit Sanktionsentscheidung. Hinzu kamen 14 Konzessionsentzüge, drei davon im Krypto- und Wertpapierdienstleistungsbereich.

Diese Zahlen sind nicht nur statistische Trockenmasse. Sie markieren das Ende einer Aufsichtsphase, in der die FMA als vergleichsweise milde europäische Aufsichtsbehörde galt, und den Beginn einer härter werdenden Sanktionspraxis — vor dem Hintergrund von MiCA, der vollständigen Umsetzung der sechsten Geldwäscherichtlinie und der wachsenden politischen Sensibilität für Finanzkriminalität. Für die heimische Fintech-Szene und für deutsche Anbieter, die in Österreich operieren, hat die Verschiebung praktische Konsequenzen, die bisher kaum öffentlich diskutiert werden.

Die wichtigsten Schwerpunkte 2025 auf einen Blick

Die FMA-Aktivität 2025 wurde von einer überschaubaren Zahl an Themenfeldern dominiert.

MiCA-Lizenzierung und Übergangsmanagement: Mit Wirkung 30. Dezember 2024 trat MiCA in der Schlussstufe in Kraft. Bis Mai 2026 waren in Österreich nach FMA-Angaben 18 Krypto-Asset-Service-Provider (CASPs) vollständig lizenziert, 31 Anträge waren noch in Bearbeitung. 14 vor MiCA bei der FMA registrierte Anbieter haben in der Übergangsphase die Geschäftstätigkeit eingestellt — weil sie die Kapital- und Compliance-Anforderungen nicht erfüllen konnten oder wollten. Bitpanda als größter heimischer Anbieter erhielt die MiCA-Lizenz im März 2026. Trade Republic, das mit Bezug auf seine deutsche BaFin-Lizenz in Österreich operiert, profitiert vom EU-Pass und ist von der österreichischen Lizenzierung nicht direkt betroffen.

Geldwäscheprävention und AML-Aufsicht: Die FMA führte 2025 nach eigenen Angaben 38 vollständige AML-Inspektionen durch — ein Anstieg um 27 Prozent gegenüber 2024. Schwerpunkte waren Banken mit hoher Auslandskundenquote, Zahlungsdienstleister mit Crypto-Beziehungen und Vermögensverwalter mit Klienten aus Hochrisikoländern. Sechs der 14 Konzessionsentzüge des Jahres 2025 betrafen AML-Compliance-Mängel.

Anlegerschutz und Vertriebspraktiken: 43 Marktüberwachungsverfahren wurden 2025 abgeschlossen, davon 31 wegen unrichtiger oder irreführender Anlagewerbung. Besonders im Fokus: Vertrieb komplexer Zertifikate an Privatkunden, intransparente Kostenstrukturen bei Robo-Advisor-Angeboten, und die wachsende Zahl an Influencer-getriebenen Wertpapierempfehlungen, die ohne rechtliche Grundlage erfolgen.

Die größten Einzelstrafen 2025

Die FMA veröffentlicht Strafentscheidungen anonymisiert, lässt aber durch Größenordnungen Rückschlüsse auf die betroffenen Institute zu. Quantitativ ragten 2025 mehrere Fälle heraus.

Die höchste Einzelstrafe — 2,3 Millionen Euro — betraf ein österreichisches Kreditinstitut wegen systematischer Mängel bei der Erfüllung von Kundensorgfaltspflichten gemäß FM-GwG. Über mehrere Jahre waren Identifizierungs- und Verifizierungsprozesse für eine größere Zahl von Bestandskunden nicht ordnungsgemäß durchgeführt worden — ein klassischer Befund nach Großbanken-Standards, der zeigt, dass die FMA hier ihre Vergleichsbasis europäisch geeicht hat.

Eine zweite Strafe von 1,7 Millionen Euro betraf einen Vermögensverwalter wegen Verstößen gegen die Suitability-Pflichten gemäß MiFID II. Privatkunden waren komplexe Anlageprodukte empfohlen worden, ohne dass die geforderte Geeignetheitsprüfung dokumentiert war.

Die dritte nennenswerte Strafe — 980.000 Euro — entfiel auf einen Krypto-Asset-Dienstleister, der in der MiCA-Übergangsphase ohne ausreichende Eigenmittelausstattung weiteroperierte. Der Anbieter musste die Geschäftstätigkeit anschließend einstellen.

Aus unserer Sicht zeigt diese Verteilung eine bemerkenswerte Verschiebung: Während die FMA traditionell vor allem als Aufsicht über kleine und mittlere Wertpapierdienstleister auftrat, traf 2025 die Mehrzahl der größeren Strafen Institute mit Bilanzsummen über einer Milliarde Euro. Die These, dass österreichische Großbanken in Wien nachsichtiger behandelt würden als deutsche Großbanken in Frankfurt, ist 2026 nicht mehr aufrechtzuhalten.

Was sich strukturell ändert

Im Aufsichtsregime werden 2026 und 2027 mehrere Veränderungen strukturell wirken.

Erstens, die Etablierung des EU-Anti-Money-Laundering-Authority (AMLA): Die neue europäische Aufsichtsbehörde mit Sitz in Frankfurt nimmt 2026 ihre Arbeit auf. Für ausgewählte grenzüberschreitend tätige Kreditinstitute übernimmt sie die direkte AML-Aufsicht — bisher Aufgabe der nationalen Behörden. Österreichische Banken mit relevantem Auslandsgeschäft (Raiffeisen Bank International, Erste Group, UniCredit Bank Austria) werden voraussichtlich direkt unter AMLA-Aufsicht stehen. Für die FMA bedeutet das eine Verlagerung der Aufsichtsressourcen auf kleinere Institute und Spezialdienstleister.

Zweitens, die Implementierung von DORA: Die EU-Verordnung über die digitale operative Resilienz (Digital Operational Resilience Act) ist seit Januar 2025 vollständig anwendbar. 2025 war das erste Jahr der laufenden FMA-Aufsicht in diesem Bereich — die ersten Sanktionen wegen DORA-Verstößen werden 2026 erwartet. Besonders relevant für Fintechs, die auf Cloud-Infrastruktur deutscher oder amerikanischer Anbieter angewiesen sind: Die Dokumentations- und Kontrollanforderungen sind deutlich umfangreicher, als viele Anbieter in den ersten Compliance-Programmen ansetzten.

Drittens, die Verschärfung der Sanktionspraxis bei MiFID II-Verstößen: Die FMA hat im Jänner 2026 in einer Verwaltungspraxis-Information klargestellt, dass künftig auch wiederholt geringfügige Verstöße in der Vertriebsdokumentation kumulativ als systemische Mängel gewertet werden. Damit endet die bisherige Praxis, in der einzelne Verstöße als isolierte Vorfälle behandelt wurden.

FMA im Vergleich zur BaFin

Der Vergleich mit der deutschen Aufsicht ist instruktiv. Die BaFin verhängte 2025 nach eigenen Angaben rund 56 Millionen Euro an Verwaltungsstrafen — sechsfach mehr als die FMA, bei einem etwa zehnfach größeren Beaufsichtigungsumfeld. Pro beaufsichtigtem Institut bewegen sich die beiden Aufsichten damit in vergleichbarer Größenordnung.

Auf der Ebene der Aufsichtsphilosophie bleiben wesentliche Unterschiede.

Die FMA agiert traditionell principles-based und setzt stärker auf den Dialog mit den beaufsichtigten Instituten. Die BaFin ist seit den Reformen nach dem Wirecard-Skandal rules-based ausgerichtet und sanktioniert mechanischer. Diese Differenz reduziert sich, ist aber noch sichtbar.

Die FMA hat einen ausgeprägteren Branchen-Spezialisierungsfokus durch ihre Struktur in Bereichsabteilungen (Banken, Versicherung, Wertpapier, Pensionskassen). Die BaFin arbeitet seit der Reform 2022 stärker integrativ.

Die FMA hat in der Krypto-Aufsicht einen erheblichen Erfahrungsvorsprung — sie war eine der ersten EU-Aufsichten, die ab 2019 Krypto-Dienstleister registrieren ließ. Die BaFin hat erst mit MiCA strukturell aufgeholt.

Was Fintech-Anbieter aus dem Bericht lernen sollten

Aus dem FMA-Jahresbericht ergeben sich für Fintech-Anbieter mit Österreich-Bezug fünf praktische Schlussfolgerungen.

Erstens: Die MiCA-Lizenzierung ist 2026 kein optionales Compliance-Thema mehr, sondern eine harte Marktzutrittsschwelle. Anbieter ohne MiCA-Lizenz, die weiter operativ tätig sind, riskieren in den nächsten zwölf Monaten Konzessionsentzug.

Zweitens: AML-Compliance wird quantitativ und qualitativ verschärft. Wer noch nicht in ein professionelles Transaction-Monitoring-System investiert hat, sollte das 2026 nachholen — die Investitionssumme von 80.000 bis 300.000 Euro je nach Geschäftsgröße ist eine Versicherung gegen Strafen, die schnell das Mehrfache erreichen können.

Drittens: Die Influencer- und Affiliate-Marketing-Modelle vieler Broker und Krypto-Anbieter geraten unter Druck. Die FMA hat in zwei Verfahren 2025 klargestellt, dass auch indirekte Bezahlung von Wertpapierempfehlungen den werblichen Charakter rechtlich konstituiert — mit allen Folgepflichten.

Viertens: DORA-Compliance ist 2026 das nächste große Compliance-Projekt. Cloud-Outsourcing-Verträge, Incident-Reporting-Prozesse und Resilience-Tests müssen strukturiert dokumentiert sein.

Fünftens: Für deutsche Anbieter, die über den EU-Pass in Österreich tätig werden, ist die FMA ein wachsamer Mitleser. Beschwerden österreichischer Kunden werden an die zuständige Heimataufsicht weitergeleitet, aber gleichzeitig dokumentiert — und können bei häufigerer Wiederholung zur Aufmerksamkeit der eigenen Heimataufsicht beitragen.

Einordnung für die Bitpanda-IPO-Story

Die zunehmende Aufsichtsdichte der FMA hat eine direkte strategische Implikation für die Bewertung des bevorstehenden Bitpanda-IPO. Wer eine vollständige MiCA-Lizenz besitzt und über mehrere Jahre eine stabile Compliance-Bilanz nachweisen kann, hat einen schwer reproduzierbaren regulatorischen Burggraben. Bitpanda und einige wenige Wettbewerber sind 2026 in dieser Position. Die meisten neuen Marktteilnehmer werden das Lizenzverfahren als kostspielig und langwierig erleben — was die etablierten Anbieter strukturell schützt.

Aus unserer Sicht ist die Verschärfung der FMA-Aufsicht für Anleger eher ein Stabilitätssignal als ein Risiko. Wer in einen Anbieter investiert, der bei der FMA auffällig wird, hatte ohnehin ein Problem. Wer in einen Anbieter investiert, der eine saubere Aufsichtsbilanz hat, profitiert von der höheren Markteintrittsschwelle für Konkurrenten. Die Regulierung produziert Burggräben — und Burggräben produzieren Margen.

Wer den FMA-Schwerpunkt MiCA praktisch nachverfolgen möchte, findet die Konsequenzen für DACH-Privatanleger in MiCA in der Praxis: Was sich für DACH-Anleger 2026 geändert hat. Für die strategische Einordnung der österreichischen Fintech-Landschaft ist die Bitpanda-IPO-Analyse der unmittelbare nächste Schritt. Und wer als Bankaktionär die makroökonomischen Implikationen der schärferen Aufsicht verstehen will, findet sie in unserer EZB-Sitzungsanalyse Juni 2026.