Auslagerung von AML/CFT-Funktionen unter der AMLR: Zulässigkeit, Grenzen und Schnittstellen zum externen Compliance-Dienstleister

Die AMLR verfolgt das Ziel, einen unionsweit kohärenten Rahmen für interne Strategien, Verfahren und Kontrollen zu schaffen und damit die Wirksamkeit der AML/CFT-Aufsicht zu erhöhen. 

Bereits die Erwägungsgründe 47 bis 50 stellen klar, dass Verpflichtete Aufgaben im Zusammenhang mit der Erfüllung einzelner AML/CFT-Anforderungen an Dienstleister auslagern können, dass die Verantwortung für die Erfüllung dieser Pflichten aber vollständig beim Verpflichteten verbleibt.

Für Dienstleister, die selbst keine Verpflichteten im Sinne der AMLR sind, entstehen AML/CFT-Pflichten nicht unmittelbar aus der Verordnung, sondern allein aus dem Vertragsverhältnis mit dem auslagernden Unternehmen.

Diese Grundentscheidung ist für die Praxis zentral. Sie erlaubt weiterhin die Einbindung spezialisierter externer Compliance-Dienstleister, etwa für KYC, Monitoring, Screening, Policy Drafting oder operative MLRO-Unterstützung. Gleichzeitig verhindert sie, dass der Verpflichtete seine aufsichtsrechtliche Verantwortung durch vertragliche Delegation „abgibt“.

Art. 18 AMLR erlaubt die Auslagerung von Aufgaben aus der Verordnung an Dienstleister, verlangt aber, dass der Aufseher vor Aufnahme der Tätigkeit informiert wird. Die Meldung der Auslagerung an den Aufseher bedeutet nach Erwägungsgrund 49 ausdrücklich keine Billigung der Vereinbarung; die Informationen können jedoch in die Bewertung der Systeme und Kontrollen, des Restrisikoprofils und in die Prüfungsplanung einfließen.

Nicht jede Nutzung externer Infrastruktur ist zugleich eine Auslagerung. Erwägungsgrund 47 differenziert ausdrücklich zwischen echter Aufgabenübertragung und bloßer Inanspruchnahme unterstützender Leistungen wie Software Dritter, Datenbanken oder Screening-Diensten. Solche Konstellationen gelten nicht als Auslagerung, wenn die eigentliche Erfüllung der AML-Anforderung weiterhin beim Verpflichteten verbleibt.

Maßgeblich ist also, ob der Dienstleister nur technische Hilfsmittel bereitstellt oder eigenständig operative AML-Tätigkeiten für den Verpflichteten wahrnimmt.

Art. 18 Abs. 2 AMLR normiert den entscheidenden Grundsatz: Der Dienstleister handelt funktional als Teil des Verpflichteten, doch die Verantwortung für Handlungen und Unterlassungen im Zusammenhang mit ausgelagerten Aufgaben verbleibt vollständig beim Verpflichteten.

Daraus folgt, dass jedes Auslagerungsmodell eine belastbare interne Governance benötigt. Das Leitungsorgan und die internen Kontrollfunktionen müssen jederzeit nachvollziehen können, welche Aufgaben ausgelagert wurden, wie der Dienstleister arbeitet und warum die ausgelagerten Maßnahmen geeignet sind, die unternehmensspezifischen Geldwäsche- und Terrorismusfinanzierungsrisiken angemessen zu mindern.

In der Praxis führt dies zu einer Doppelstruktur: Der externe Dienstleister kann fachlich und operativ tief eingebunden sein, die institutionelle Verantwortung bleibt aber intern. Diese Verantwortung lässt sich nicht durch eine vertragliche „Übertragung“ auf einen externen MLRO oder Compliance-Berater ersetzen.

Die wohl wichtigste Neuerung für die Auslagerungspraxis liegt in Art. 18 Abs. 3 AMLR. Die Vorschrift definiert einen Katalog nicht auslagerbarer Kernfunktionen. Dazu gehören der Vorschlag und die Billigung der unternehmensweiten Risikobewertung nach Art. 10 Abs. 2, die Billigung interner Strategien, Verfahren und Kontrollen nach Art. 9, die Entscheidung über das Risikoprofil des Kunden, die Entscheidung über die Aufnahme einer Geschäftsbeziehung oder die Durchführung einer gelegentlichen Transaktion, die Meldung verdächtiger Tätigkeiten und schwellenwertbasierter Meldungen an die FIU sowie die Billigung der Kriterien zur Aufdeckung verdächtiger oder ungewöhnlicher Transaktionen oder Tätigkeiten.

Für die Praxis bedeutet dies nicht, dass Dienstleister in diesen Bereichen keinerlei Rolle mehr spielen dürfen. Zulässig bleibt insbesondere die Vorbereitung, Analyse, operative Umsetzung und Dokumentation. Unzulässig ist jedoch, dass der Dienstleister die formale Billigung oder Letztentscheidung an Stelle des Verpflichteten trifft.

Die Schnittstelle verläuft deshalb nicht zwischen „strategisch“ und „operativ“ im abstrakten Sinn, sondern zwischen vorbereitender Mitwirkung einerseits und normativer Letztverantwortung andererseits.

Besonders praxisrelevant ist die Konstellation, dass die Funktion des Geldwäschebeauftragten operativ an einen externen Compliance-Dienstleister ausgelagert wird und dieser eine natürliche Person, etwa einen benannten Mitarbeiter, als Ansprechpartner stellt. Auch in diesem Modell bleibt die Auslagerung unter Art. 18 AMLR grundsätzlich zulässig, sofern die nicht auslagerbaren Kernfunktionen intern verbleiben.

Eine belastbare Schnittstellendefinition kann wie folgt beschrieben werden: Der externe Dienstleister erstellt Entwürfe für die unternehmensweite Risikobewertung, AML-Policies, Risiko-Scoring-Modelle, Monitoring-Szenarien und Verdachtsmeldeverfahren; das Leitungsorgan oder die intern benannte Compliance-Funktion billigt diese Dokumente und setzt sie in Kraft. Der Dienstleister darf KYC-Unterlagen einholen, Identifizierungen durchführen, Screening- und Monitoring-Systeme betreiben, Alerts analysieren und Verdachtsmeldungen vorbereiten. 

Der Verpflichtete muss jedoch die Entscheidung über das konkrete Kundenrisikoprofil, die Aufnahme oder Ablehnung einer Geschäftsbeziehung, die Freigabe wesentlicher Monitoring-Kriterien und die Verantwortung für FIU-Meldungen intern verankern und dokumentieren.

Die AMLR verlangt nicht, dass jede einzelne Kundenannahme persönlich durch einen Geschäftsleiter manuell abgezeichnet wird. Art. 18 Abs. 3 verbietet die Auslagerung der Entscheidung über das Risikoprofil des Kunden und die Aufnahme der Geschäftsbeziehung, nicht aber die automatisierte Anwendung intern genehmigter Regeln.

Deshalb können hochvolumige Onboarding-Strecken mit 100 oder mehr Neukunden pro Tag regulatorisch zulässig sein, wenn das Leitungsorgan oder die interne Compliance-Funktion zuvor die Risikokriterien, Scoringlogiken, Annahmeregeln und Eskalationsschwellen formal genehmigt hat.

In einem solchen Modell liegt die normative Entscheidung im durch den Verpflichteten gebilligten Regelwerk. Das System oder der Dienstleister wendet diese Regeln lediglich im Einzelfall an. Voraussetzung ist allerdings ein sauberer Audit Trail, aus dem hervorgeht, auf welcher Regelversion die Entscheidung beruhte, wer die Regeln freigegeben hat und welche Fälle einer manuellen Eskalation vorbehalten sind, etwa PEP-Bezüge, Hochrisikoländer oder komplexe wirtschaftliche Eigentümerstrukturen.

Art. 18 Abs. 4 AMLR verlangt, dass der Verpflichtete vor der Auslagerung sicherstellt, dass der Dienstleister ausreichend qualifiziert ist, die Aufgaben sachgerecht wahrzunehmen. Der Dienstleister und etwaige Sub-Dienstleister müssen die Strategien und Verfahren des Verpflichteten anwenden; die Bedingungen der Aufgabenwahrnehmung müssen in einer schriftlichen Vereinbarung niedergelegt sein; zudem sind regelmäßige Kontrollen über die Wirksamkeit der Leistungserbringung durchzuführen.

Ein AMLR-konformer Auslagerungsvertrag sollte daher mindestens folgende Elemente enthalten: präzise Leistungsbeschreibung, ausdrückliche Klarstellung der fortbestehenden Gesamtverantwortung des Verpflichteten, Pflicht des Dienstleisters zur Anwendung der internen AML-Policies des Auftraggebers, Audit- und Informationsrechte, Regelungen zu Unterauslagerungen, Eskalations- und Reportingpflichten, Verfügbarkeits- und Reaktionszeiten bei Verdachtsfällen sowie ein umfassendes Datenzugangs- und Herausgaberegime für den Aufseher.

Bei AML-relevanten Auslagerungen empfiehlt sich darüber hinaus eine explizite Klausel, wonach der Dienstleister weder eigenständiger Normadressat der AMLR noch befugt ist, von den genehmigten Policies und Schwellenwerten des Auftraggebers ohne dessen vorherige Freigabe abzuweichen.

Besondere Vorsicht ist geboten, wenn AML-relevante Aufgaben in Drittländer ausgelagert werden. Art. 18 Abs. 6 AMLR setzt hier enge Grenzen, insbesondere für Dienstleister in Hochrisiko-Drittländern.

Daneben verlangt Art. 17 AMLR, dass gruppenangehörige Niederlassungen und Tochterunternehmen in Drittländern grundsätzlich das unionsrechtliche AML-Niveau einhalten; wenn das lokale Recht dies verhindert, sind zusätzliche Maßnahmen zu ergreifen und der Aufseher zu informieren.

Selbst bei innerdeutschen oder innereuropäischen Outsourcing-Modellen bleibt das aufsichtliche Risiko erheblich. Erwägungsgrund 49 betont, dass die Anzeige einer Auslagerung keine aufsichtliche Billigung darstellt.

Die Aufsicht wird daher typischerweise prüfen, ob das Institut die ausgelagerten Prozesse tatsächlich versteht, wirksam kontrolliert und in der Lage ist, gegenüber FIU und Aufsicht uneingeschränkt auskunfts- und handlungsfähig zu bleiben.

Die AMLR beendet die Auslagerung von AML/CFT-Funktionen nicht. Im Gegenteil: Art. 18 bestätigt ausdrücklich, dass eine Auslagerung an spezialisierte Compliance-Dienstleister weiterhin möglich ist.

Die Verordnung verschiebt den Fokus jedoch von der bloßen Zulässigkeit auf die Qualität der Governance. Auslagerung ist zulässig, wenn der Verpflichtete das Regelwerk selbst billigt, die nicht auslagerbaren Kernfunktionen intern behält, die Verantwortung institutionell trägt, die Schnittstellen präzise definiert und den Dienstleister fortlaufend überwacht.

Für die Praxis lautet die belastbare Kernaussage daher: Ein externer Compliance-Dienstleister kann auch künftig wesentliche Teile der AML-Organisation einschließlich KYC, Monitoring, Policy Drafting, operativer MLRO-Unterstützung und technischer Verdachtsmeldeprozesse übernehmen.

Nicht delegierbar sind jedoch die normativen Letztentscheidungen und Billigungen, die das AMLR-Regime ausdrücklich dem Verpflichteten vorbehält. Wer diese Trennlinie sauber dokumentiert und in Verträgen, Policies und Workflows umsetzt, kann Auslagerung auch unter der AMLR rechtskonform und aufsichtsfest fortführen.