Neue technische Regulierungsstandards (RTS) unter AMLD6, AMLAR & AMLR
Mit dem AMLA-Konsultationspapier von März 2025 präsentiert die Europäische Bankaufsichtsbehörde (EBA) einen ganzheitlichen Rahmen für die Bekämpfung von Geldwäsche und Terrorismusfinanzierung (AML/CFT). Dieser Rahmen basiert auf mehreren Regulatory Technical Standards (RTS), die konkrete Anforderungen für verpflichtete Unternehmen, Aufsichtsbehörden und die neue AMLA als zentrale EU-Institution festlegen.
In diesem Übersichtsartikel stelle ich Dir die wichtigsten technischen Standards vor, erkläre, was in den jeweiligen Artikeln geregelt ist und wie Du Dich als Verpflichteter darauf einstellen solltest.
Neue technische RTS unter AMLD6, AMLAR & AMLR – Vergleichstabelle
| Bisherige Regelung | Neue Regelung (RTS – EBA Consultation 03/2025) |
|---|---|
|
Risikobewertung (AMLD6 Art. 40(2)) Kein EU-weit harmonisierter RTS; Vorgehen oft prinzipienbasiert und national unterschiedlich; Ableitung des Residualrisikos uneinheitlich; Review-Frequenzen nicht klar festgelegt. |
Harmonisierte Methodik & Frequenzen Art. 2–5: Einheitliche Klassifizierung des inhärenten Risikos, Bewertung der Kontrollqualität, methodische Ableitung des Residualrisikos, feste Review-Intervalle: niedrig 5 J., mittel 3 J., hoch jährlich. Strukturierte Selbsteinschätzung (Kunden, Produkte, Transaktionen, Länder, Kontrollen). |
|
Direkte Aufsicht durch AMLA (AMLR Art. 12(7)) Keine zentrale EU-Direktaufsicht über Verpflichtete; Auswahlkriterien und Trigger nicht vereinheitlicht; Gruppenrisiko-Betrachtung uneinheitlich. |
Auswahl nach klaren Schwellen & Risiko Art. 1, 4–6: Direktaufsicht via Kriterien (u. a. Dienstleistungsfreiheit, Residualrisiko, gruppenweite Risikoberechnung). Schwellenwerte: ≥ 20.000 Kunden/MS, ≥ 50 Mio. EUR Transaktionen/Jahr, Tätigkeit in ≥ 6 EU-MS. Übergangsregeln für erste Auswahlrunde. |
|
Kundensorgfaltspflichten CDD (AMLR Art. 28(1)) EU-weit unterschiedliche Auslegung; Remote-Onboarding/Videoident teils divergierende Anforderungen; Mindestdatensätze und UBO-Nachweise nicht einheitlich; Re-KYC-Zyklen variierend. |
EU-weit einheitliche CDD Art. 6, 15, 24: Pflicht zur automatisierten Prüfung bei Fernidentifikation, definierte Mindestdaten für natürliche/juristische Personen, verpflichtende UBO-Dokumentation, risikobasierte Datenaktualisierung mit klaren Triggern. |
|
Sanktionen (AMLD6 Art. 53(10)) Stark heterogene nationale Sanktionspraxis; keine EU-weit verankerten PePPs; Einstufung der Schweregrade/ Bußgeldkriterien nicht durchgängig konsistent. |
4-Stufen-Matrix & PePPs Art. 1, 2, 4, 6: Schweregrade von Verwarnung bis „besonders schwer“ (u. a. Offenlegung, Lizenzprüfung). Einführung von Periodic Penalty Payments (tägliche Zwangsgelder) bei Fristverstößen bis Umsetzung der Maßnahme. |
|
Übergangsregeln AMLA-Auswahl – (keine zentrale EU-Erstimplementierung). |
Schrittweiser Start mit klaren Rollen Nationale Behörden mit eingeschränktem Ermessen; AMLA trifft die finale Auswahl; Einführungsfrist/Information der Verpflichteten vor Wirkbetrieb. |
|
Risikodaten & Nachweise Keine harmonisierten Datenschemata; Umfang und Format von Kennzahlen/Auswertungen variieren; digitale Lieferfähigkeit nicht durchgängig gefordert. |
Standardisierte Datenlieferungen (Annex I) Einheitlicher Datensatz inkl. Kunden nach Risikoklasse, Transaktionsvolumina je Land, interne Prüfberichte/Audit-Findings, Kontroll- und Governance-Strukturen. Digitale, standardisierte und regelmäßige Bereitstellung. |
|
Praxis & Organisation Mehr Interpretations-/Implementierungsspielraum; geringere Vergleichbarkeit; Tool-/Datenanforderungen uneinheitlich. |
„AMLA-ready“ Mehr Struktur & Dokumentation je Risikostufe; verpflichtende digitale Tools & Datenpipelines; engere, zentral koordinierte Aufsicht; klarere Erwartungshaltung und Auditsicherheit. |
1. Risikobewertung gemäß Artikel 40(2) der AMLD6
Dieser RTS legt die Grundlage für eine einheitliche Risikoeinschätzung aller Verpflichteten in der EU. Ziel ist es, die inhärenten Risiken, die Qualität der internen Kontrollen und das daraus resultierende Residualrisiko vergleichbar und transparent zu machen.
Zentrale Artikel:
-
Artikel 2: Bewertung und Klassifizierung des inhärenten Risikoprofils
-
Artikel 3: Bewertung der Qualität der AML/CFT-Kontrollen
-
Artikel 4: Ableitung des Residualrisikoprofils
-
Artikel 5: Festlegung der Frequenz der Risikoprüfung
Was bedeutet das für Dich?
Du musst künftig eine strukturierte Selbsteinschätzung vornehmen:
-
Welche Kundentypen, Produkte, Transaktionsarten und Länder bergen inhärente Risiken?
-
Welche Kontrollen (z. B. Monitoring, Governance) hast Du implementiert?
-
Wie hoch ist Dein verbleibendes Risiko?
Diese Bewertung musst Du regelmäßig aktualisieren, basierend auf Deiner Risikoklasse:
| Risikoklasse | Frequenz der Neubewertung |
|---|---|
| Niedrig | Alle 5 Jahre |
| Mittel | Alle 3 Jahre |
| Hoch | Jährlich |
2. Auswahl für die direkte Aufsicht gemäß Artikel 12(7) AMLAR
Die AMLA wird bestimmte Verpflichtete direkt beaufsichtigen. Die Auswahl basiert auf Transaktionsvolumen, Kundenzahl, geografischer Präsenz und Risikoprofil.
Zentrale Artikel:
-
Artikel 1: Kriterien für Aktivitäten unter Dienstleistungsfreiheit
-
Artikel 4: Bewertung des Residualrisikos eines Unternehmens
-
Artikel 5: Berechnung des gruppenweiten Risikoprofils
-
Artikel 6: Übergangsregeln für die erste Auswahlrunde
Wichtige Schwellenwerte laut RTS:
-
Kunden pro Mitgliedstaat: mindestens 20.000
-
Transaktionen pro Jahr: mindestens 50 Mio. EUR
-
Geschäftstätigkeit in: mindestens 6 EU-Mitgliedstaaten
Falls Du diese Schwellenwerte erreichst, musst Du mit einer direkten Prüfung durch die AMLA rechnen.
3. Kundensorgfaltspflichten gemäß Artikel 28(1) der AMLR
Die Anforderungen zur Customer Due Diligence (CDD) werden erstmals EU-weit vereinheitlicht. Dabei werden sowohl Standard- als auch verstärkte Sorgfaltspflichten konkret geregelt.
Zentrale Artikel:
-
Artikel 6: Anforderungen bei Fernidentifikation
-
Artikel 15: Ermittlung von Zweck und Art der Geschäftsbeziehung
-
Artikel 24: Zusätzliche Informationen bei hohem Risiko
Was ist neu?
-
Pflicht zur automatisierten Prüfung bei Fernidentifikation (z. B. Videoident)
-
Klar definierte Mindestdaten für natürliche und juristische Personen
-
Pflicht zur Dokumentation des wirtschaftlich Berechtigten (UBO)
-
Häufigkeit der Datenaktualisierung abhängig vom Risiko
4. Sanktionen & PePPs gemäß Artikel 53(10) AMLD6
Dieser RTS regelt die Konsequenzen bei Verstoß gegen die AML/CFT-Vorgaben. Neu ist die Einführung der Periodic Penalty Payments (PePPs) als Druckmittel zur Umsetzung.
Zentrale Artikel:
-
Artikel 1: Indikatoren für Schweregrade
-
Artikel 2: Einteilung in 4 Sanktionskategorien
-
Artikel 4: Kriterien für Bußgeldhöhen
-
Artikel 6: Einführung der PePPs
Sanktionsmatrix im Überblick:
-
Gering: Verwarnung
-
Mittel: Öffentliche Rüge
-
Schwer: Geldbuße, Auflagen
-
Besonders schwer: PePPs, Offenlegung, Lizenzprüfung
PePPs greifen ab Fristverstößen und können täglich verhängt werden, bis die geforderte Maßnahme umgesetzt ist.
5. Übergangsregeln für die erste AMLA-Auswahlrunde (Artikel 6 der RTS unter Artikel 12(7) AMLAR)
Die AMLA wird ihre direkte Aufsicht schrittweise einleiten. Dafür wurden temporäre Regeln geschaffen, um einen harmonisierten Start zu ermöglichen.
Kernpunkte:
-
Nationale Aufsichtsbehörden dürfen in der ersten Runde nur eingeschränkt Ermessensspielräume nutzen.
-
Die AMLA entscheidet final über die Auswahl.
-
Es gilt eine Einführungsfrist, in der die Verpflichteten über ihre Einstufung informiert werden.
6. Datenanforderungen (Annex I des RTS unter Artikel 40(2) AMLD6)
Ohne valide Daten keine Bewertung. Im Annex I werden die zu liefernden Datenpunkte für alle Bewertungen (Risiko, Kontrolle, Materialität) definiert.
Beispiele für Datensätze:
-
Anzahl Kunden nach Risikoklasse
-
Transaktionsvolumina je Land
-
Interne Prüfberichte, Audit-Feststellungen
-
Struktur der Kontrollsysteme (Linienfunktionen, IT-Maßnahmen)
Du musst diese Daten digital, standardisiert und regelmäßig bereitstellen können.
Fazit: Einheitlich, digital, anspruchsvoll
Die neuen technischen Standards der AMLA verfolgen ein klares Ziel: Harmonisierung, Transparenz und Wirksamkeit. Für Dich als Verpflichteten bedeutet das:
-
Mehr Struktur und Dokumentation
-
Klare Anforderungen je Risikostufe
-
Verpflichtende Nutzung digitaler Tools und Datenlieferungen
-
Strengere Aufsicht durch zentrale EU-Instanz
Jetzt ist der Moment, Deine Systeme, Prozesse und Teams „AMLA-ready„ zu machen. Denn wer frühzeitig vorbereitet ist, reduziert nicht nur Risiken, sondern schafft Vertrauen bei Kunden, Partnern und Aufsichtsbehörden.
FAQ: Neue technische Regulierungsstandards (RTS) unter AMLD6, AMLAR & AMLR
-
Was regelt der RTS zur Risikobewertung nach Artikel 40(2) AMLD6?
Der RTS führt eine einheitliche Methodik für die Risikobewertung in der gesamten EU ein. Verpflichtete müssen ihr inhärentes Risiko, die Qualität ihrer AML/CFT-Kontrollen und das daraus resultierende Residualrisiko systematisch bewerten und dokumentieren.
Frequenz der Neubewertung:
Niedrig: alle 5 Jahre – Mittel: alle 3 Jahre – Hoch: jährlich. -
Welche Kriterien gelten für die direkte Aufsicht durch die AMLA nach Artikel 12(7) AMLAR?
Die AMLA wählt Verpflichtete anhand von Schwellenwerten für Kunden, Transaktionen, Risikoprofil und geografische Präsenz aus.
Beispiele: mind. 20.000 Kunden pro Mitgliedstaat, Transaktionsvolumen ≥ 50 Mio. EUR pro Jahr, Geschäftstätigkeit in ≥ 6 Mitgliedstaaten. -
Was ändert sich bei den Kundensorgfaltspflichten gemäß Artikel 28(1) AMLR?
Erstmals gelten EU-weit einheitliche Regeln zur CDD. Neu ist die verpflichtende automatisierte Prüfung bei Fernidentifikation, klare Mindestdaten für natürliche und juristische Personen sowie eine risikobasierte Pflicht zur regelmäßigen Aktualisierung der Daten.
-
Welche Sanktionen und PePPs sieht Artikel 53(10) AMLD6 vor?
Die RTS definieren vier Sanktionskategorien von Verwarnung bis Lizenzentzug. Neu ist die Einführung von Periodic Penalty Payments (PePPs), die täglich verhängt werden können, bis eine Maßnahme umgesetzt ist.
-
Welche Übergangsregeln gelten für die erste AMLA-Auswahlrunde?
Nationale Aufsichtsbehörden haben nur eingeschränkten Spielraum. Die finale Auswahl trifft die AMLA. Verpflichtete werden in einer Einführungsfrist über ihre Einstufung informiert.
-
Welche Daten müssen im Annex I zu Artikel 40(2) AMLD6 bereitgestellt werden?
Verpflichtete müssen standardisierte Daten liefern, z. B. Anzahl der Kunden nach Risikoklassen, Transaktionsvolumina je Land, interne Prüfberichte und Kontrollsystem-Strukturen. Diese Daten sind digital und regelmäßig bereitzustellen.
-
Was bedeutet das für Verpflichtete in der Praxis?
Du musst deine Systeme und Prozesse „AMLA-ready“ machen: mehr Struktur, digitale Datenlieferungen, klare Dokumentation und engere Aufsicht. Wer frühzeitig vorbereitet ist, reduziert Risiken und stärkt Vertrauen bei Kunden, Partnern und Aufsichtsbehörden.