Es kommt wieder einmal Arbeit auf uns zu: Die Europäische Bankenaufsichtsbehörde (EBA) hat Anfang November klargestellt, welche Datenpunkte künftig für die Bekämpfung von Geldwäsche und Terrorismusfinanzierung (AML/CFT) erhoben werden müssen. Die Vorgaben sollen der neuen europäischen Geldwäscheaufsichtsbehörde AMLA in Frankfurt eine einheitliche, risikoorientierte Aufsicht ermöglichen.
Art. 40 Abs. 2 Richtlinie (EU) 2024/1640 (AMLD) verpflichtet die jeweiligen nationalen Aufsichtsbehörden zu einer Risikobewertung der unter ihrer Aufsicht stehenden Verpflichteten. Die Umsetzung von Art. 12 Abs. 7 Verordnung (EU) 2024/1620 (AMLAR) verlangt ebenfalls die Erhebung von Datenpunkten bei den geldwäscherechtlich Verpflichteten, damit die AMLA entscheiden kann, welche 40 Institute aufgrund ihres AML-Risikos ab 2028 unter die direkte Aufsicht der AMLA gestellt werden. Da Voraussetzung für die direkte Beaufsichtigung durch die AMLA unter anderem die Tätigkeit in sechs Mitgliedstaaten ist, werden nur wenige Institute von dieser Datenabfrage betroffen sein.
Von der Datenabfrage nach Art. 40 Abs. 2 AMLD werden alle Institute betroffen sein. Die nationalen Aufsichtsbehörden werden aufgrund der von den Instituten übermittelten Daten aufgrund intern festgelegter Maßstäbe Risikoprofile für die Institute erstellen, diese in einer Datenbank vorhalten und der AMLA übermitteln. Noch nicht klar ist, nach welchem Turnus die Risikoprofile der Institute aktualisiert werden müssen. Es ist jedoch nach derzeitigem Stand davon auszugehen, dass Institute mit einem niedrigen Risiko von einem engmaschigen Aktualisierungsturnus ausgenommen werden.
Die Anforderungen bestehen in drei zentralen Bereichen:
Inhärentes Risiko der Geldwäsche
Dieser Bereich zielt darauf ab, die Risikofaktoren zu identifizieren, die sich aus der Art der Kunden, den angebotenen Produkten und den Transaktionen ergeben. Institute müssen eine Vielzahl von Daten erheben, um ein vollständiges Bild des Risikos zu erhalten. Dazu gehören die Gesamtzahl der Kunden sowie deren Aufteilung in natürliche und juristische Personen. Besonders relevant sind politisch exponierte Personen (PEPs) und deren wirtschaftlich Berechtigte (wBs), da diese ein erhöhtes Risiko darstellen (können). Ebenso müssen Informationen zu Neukunden, komplexen Unternehmensstrukturen und Kunden mit Aktivitäten in Hochrisikoländern erfasst werden.
Darüber hinaus sind Transaktionsdaten entscheidend: Anzahl und Wert eingehender und ausgehender Zahlungen, grenzüberschreitende Transaktionen, insbesondere in Nicht-EWR-Länder, sowie Bargeldtransaktionen über bestimmten Schwellenwerten. Produktspezifische Risiken werden ebenfalls berücksichtigt, etwa die Nutzung von Prepaid-Karten, Kreditvergabe (einschließlich Immobilien- und Verbraucherkrediten), Factoring, Devisengeschäfte und Dienstleistungen im Zusammenhang mit Kryptowährungen. Ergänzend müssen geografische Risiken analysiert werden, also Länder, in denen Kunden ansässig sind oder Transaktionen stattfinden, sowie Vertriebskanäle wie Makler, Agenten oder White-Labeling-Partner.
AML/CFT-Kontrollen
Zusätzlich sind Angaben zur Wirksamkeit der internen Kontrollmechanismen und Governance-Strukturen zu machen. Institute müssen nachweisen, dass sie über eine robuste Compliance-Funktion verfügen, die ausreichend Ressourcen und klare Verantwortlichkeiten hat. Dazu gehören Angaben zur Anzahl der AML-Mitarbeiter, deren Schulungsstand sowie die Häufigkeit der Berichterstattung an die Geschäftsleitung.
Ein weiterer Schwerpunkt liegt auf dem Outsourcing: Wenn AML-Aufgaben wie Kundensorgfaltspflichten, Transaktionsüberwachung oder Sanktionsscreening ausgelagert werden, muss dies dokumentiert und bewertet werden – insbesondere, wenn Drittanbieter außerhalb der Unternehmensgruppe tätig sind.
Darüber hinaus müssen unternehmensweite Risikobewertungen und Kundenrisikoeinstufungen regelmäßig aktualisiert und genehmigt werden.
Die Überwachung von Geschäftsbeziehungen und Transaktionen ist ebenfalls zentral: Institute müssen darlegen, ob sie automatisierte Systeme nutzen, wie schnell Warnmeldungen analysiert werden und wie viele Verdachtsmeldungen an die FIU übermittelt wurden. Schließlich wird die Umsetzung gezielter Finanzsanktionen überprüft, einschließlich der Reaktionszeit auf neue Sanktionslisten. Konzernweite Strukturen, Richtlinien und Berichterstattung runden diesen Bereich ab.
Grenzüberschreitende Tätigkeiten
Für die Berechnung von Wesentlichkeitsschwellen im Rahmen der Dienstleistungsfreiheit müssen Institute detailliert angeben, in welchen EU-Mitgliedstaaten sie aktiv sind. Dazu gehört die Anzahl der dort ansässigen Kunden sowie das von diesen generierte Transaktionsvolumen im letzten Kalenderjahr. Diese Angaben sind entscheidend, um die Bedeutung grenzüberschreitender Aktivitäten für das jeweilige Institut zu bewerten und regulatorische Anforderungen korrekt anzuwenden.
Warum ist das wichtig und welche Vorkehrungen sind zu treffen?
Für Finanzinstitute bedeutet das: Prozesse zur Datenerhebung und Berichterstattung müssen angepasst werden, um den Anforderungen gerecht zu werden. Laut jüngster Aussage der BaFin sind die derzeit noch im Entwurf an die Europäische Kommission übermittelten RTS in ihrer derzeitigen Fassung bereits als „final“ anzusehen, auch wenn die AMLA streng genommen noch ein Äußerungsrecht hat.
Die Institute werden aufgefordert, bereits im ersten Quartal 2026 mit der Erfassung der Datenpunkte zu beginnen, da der Zeitraum vom 31.12.2025 bis zum 31.12.2026 in den Listen zu erfassen ist. Durch die BaFin ist geplant, die Institute im vierten Quartal 2026 anzuschreiben und zur Lieferung der Datenpunkte bis zum ersten Quartal 2027 aufzufordern.
In der Vorbereitung der Umsetzung der RTS empfiehlt sich daher bereits jetzt eine umfassende Gap-Analyse durchzuführen, um festzustellen, ob alle von der EBA geforderten Datenpunkte bereits in Ihrem Institut erhoben werden und an welchen Stellen Nachbesserungen erforderlich sind. Anschließend sollten die IT-Systeme überprüft und gegebenenfalls angepasst werden, damit die neuen Datenpunkte automatisiert erfasst und zentralisiert gespeichert werden können. Ebenso wichtig ist es, die Governance-Strukturen zu stärken, Schulungsprogramme zu aktualisieren und Berichtsprozesse zu optimieren. Institute sollten zudem alle ausgelagerten AML-Aufgaben dokumentieren und die Risiken bei Drittanbietern bewerten. Schließlich ist es ratsam, frühzeitig einen Umsetzungsfahrplan zu entwickeln, um regulatorische Fristen einzuhalten und mögliche Sanktionen zu vermeiden.
Über die Details werden wir Sie weiter informieren.
Mit den besten Wünschen
Ihr
Dr. Christian Waigel
Rechtsanwalt