AMLR-Umsetzung in der Praxis
Die wichtigsten KYC-Anpassungen für Verpflichtete bis 10.07.2027
Die EU-AMLR ist für Geldwäscheverpflichtete eine der umfassendsten Veränderungen der letzten Jahre. Nicht als „reines Compliance-Thema“, sondern mit direkten Auswirkungen auf KYC-Prozesse, Datenanforderungen und die tägliche Arbeit in Onboarding und Betreuung.
Ab dem 10.07.2027 gelten die Vorgaben der AMLR als unmittelbar anwendbares Single Rulebook für alle Verpflichteten; die neuen Methodiken zur Kunden- und WE-Ermittlung sind dann verbindlich umzusetzen.
Damit ist klar: Die Uhr läuft nicht erst 2027 los, sondern die Vorbereitung muss vorher beginnen, damit Teams die neuen Vorgaben konsistent umsetzen können. In diesem Beitrag geben wir einen praxisnahen Überblick, was konkret auf Sie zukommt und wo sich frühzeitiges Handeln besonders lohnt.
Art. 20 als „Drehbuch“ fürs Onboarding: mehr Struktur, mehr Datenpunkte
Art. 20 liest sich im Grunde vertraut, aber entlang der Prozesskette verschieben sich ein paar Dinge deutlich. Im Zusammenspiel von Art. 20 und Art. 22 AMLR wird die Identifizierung breiter gedacht: Neben den klassischen Legimitationsverfahren sollen künftig auch elektronische Identifikationsmittel nach eIDAS bzw. qualifizierte Vertrauensdienste eingesetzt werden.
Praktisch heißt das: Das Legitimationsverfahren muss als eigenes, prüffähiges Feld im KYC-Datensatz sauber dokumentiert werde, inklusive nachvollziehbarer Ablage (z.B. Dokumentkopie/Legitimationsdaten), damit es später im Review und bei Prüfungen „standhält“.
Mehr Datenpunkte für natürliche und juristische Personen
Mit AMLR und den RTS wird der KYC-Datensatz deutlich konkretisiert:
Bei natürlichen Personen u. a. Geburtsland zusätzlich zum Geburtsort, alle Staatsangehörigkeiten, detaillierte Ausweisdaten und eindeutige Identifikatoren. Bei juristischen Personen u. a. Register- und Steuerkennungen (z. B. Handelsregisternummer, LEI, Steuer-ID), Gründungsdatum/-staat, Branche/Sektor sowie Angaben zu Organen und Vertretungsmacht.
Zweck und angestrebte Art der Geschäftsbeziehung müssen nach AMLR und den RTS so erhoben werden, dass sie fachlich nachvollziehbar und technisch auswertbar sind. In der Praxis führt das weg von reinem Freitext hin zu klar strukturierten Feldern (z. B. Produkte/Use Case, erwartete Transaktionsvolumina, beteiligte Länder/Counterparties) mit definierten Pflichtfeldern und standardisierten Fragen im Onboarding.
Wirtschaftlicher Eigentümer: neue Ermittlungslogik, neue Praxisfragen
Mit der AMLR wird die UBO-Ermittlung zum Kernstück von KYC, weil sie direkt bestimmt, ob Screening (Sanktionen/PEP), Risikoeinstufung und laufende Überwachung auf den „richtigen“ Personen aufsetzen.
Entscheidend ist: Es geht nicht nur um zusätzliche Datenfelder, sondern um eine systematisierte Methodik mit drei Zugängen zur wirtschaftlichen Eigentümerschaft: Eigentumsinteresse (Art. 52), Kontrolle (Art. 53) und Koexistenz von Eigentum und Kontrolle in komplexen Strukturen (Art. 54). Diese Komponenten sind jeweils unabhängig und parallel zu prüfen. In der Praxis führt das tendenziell zu mehr identifizierten wirtschaftlichen Eigentümern, inklusive der „Nadel im Heuhaufen“.
„Stränge addieren“ ist kein Detail, sondern ein Gamechanger
Bei Ownership wird indirektes Eigentum zunächst pro Beteiligungskette berechnet und anschließend über parallele Stränge addiert. Ein Beispiel: zweimal 15% über zwei Ketten ergibt 30% und damit einen UBO über der 25%-Schwelle.
Das wirkt trivial, ist aber operativ wichtig, weil diese Addition ausdrücklich gefordert ist und systemseitig nachvollziehbar modelliert werden muss (sonst sind Ergebnisse schwer prüf- und erklärbar).
Kontrolle ist mehr als „>50%“ und Koexistenz fängt Mischfälle auf
Control ist das Beherrschungsprinzip mit erweitertem Kontrollbegriff: Nicht nur formale Mehrheiten zählen, sondern auch „Kontrolle auf andere Weise“ – etwa gemeinsames Handeln (acting in concert), Bestellungs-/Abberufungsrechte, Vetorechte oder Einfluss auf Gewinnausschüttungen.
Genau hier wird die Praxisfrage relevant: Wo ziehen wir die Linie, damit es konsistent bleibt? Im Onboarding hilft ein standardisierter Fragen- und Prüfkatalog (statt Einzelfall-Bauchgefühl) und eine gute Erklärung, weil viele Kunden diese Konstellationen nicht sofort einordnen können.
Koexistenz dient dann als Auffangmechanismus für mehrstufige Strukturen, in denen Eigentum und Kontrolle zusammenwirken; als Vorgehen hat sich die Sequenz Eigentum → Kontrolle → Mischfälle → Konsolidierung bewährt, um hausintern einheitlich zu bleiben.
Sanktionen, PEP und Reviews: aus „angrenzend“ wird KYC-Kernbetrieb
Mit Art. 20 lit. d wird Sanktionsprüfung ein expliziter KYC-Baustein. Geprüft wird nicht nur, ob Kunden oder wirtschaftliche Eigentümer selbst gelistet sind, sondern nach Maßgabe der EU-Sanktionsleitlinien auch, ob gelistete Personen den Kunden kontrollieren oder mehrheitlich (in der Praxis i.d.R. ab 50 % Eigentum oder Kontrolle) beherrschen.
Der praktische Effekt: Der Screening-Kreis wird breiter (inkl. gesetzlicher Vertreter) und Strukturen müssen so erhoben werden, dass auch Zwischengesellschaften screeningfähig sind, sonst bleibt die Prüfung lückenhaft oder schlecht begründbar.
PEP wird dynamisch, Ereignisse schlagen Listen
Im Pflichtbild umfasst die PEP-Prüfung Kunden, UBOs und ggf. handelnde Personen inklusive Familienangehörigen und nahestehender Personen. Erwartet wird außerdem eine Ausweitung des Prüfkreises, wodurch mehr PEP-Konstellationen und damit mehr Fälle verstärkter Sorgfaltspflichten entstehen.
Operativ besonders relevant sind eventbasierte Trigger: Änderungen in Funktionen, neue öffentliche Ämter oder Kabinettsumbildungen sollten zeitnah in ein erneutes PEP-Screening einfließen. Idealerweise nicht erst, wenn alle Listen formell aktualisiert sind, sondern risikobasiert auch anlassbezogen.
Reviews als Produktionssystem: Enger Takt plus Trigger „dazwischen“
Bei Reviews setzt die AMLR klare Leitplanken: Spätestens alle fünf Jahre aktualisieren, bei erhöhtem Risiko maximal jährlich. Für Kunden mit niedrigem Risiko können Updates risikobasiert seltener erfolgen, solange laufende Überwachung keine Änderungen erkennen lässt. In der Praxis kann dies z. B. durch eine Kundenbestätigung zur Unverändertheit unterstützt werden.
Zusätzlich kommen anlassbezogene Updates bei Triggern, etwa bei Änderungen von UBO, Geschäftsstruktur oder Transaktionsmustern und eben auch PEP-Ereignissen. Für Institute, die im Niedrigrisiko-Bereich bislang mit sehr langen Zyklen gearbeitet haben (10/15 Jahre), ist das ein wichtiges Thema: Standardisierung, Automatisierung und strukturierte Daten werden zur Voraussetzung, damit das Volumen mit der Bestandsmannschaft überhaupt beherrschbar bleibt.
Bestandskundenmigration: planbar, aber nur mit Programmsteuerung
Die AMLR ist kein reines Neukunden-Thema. Sie greift bei Bestandskunden immer dann, wenn ohnehin eine Aktualisierung oder relevante Kundeninteraktion ansteht. Die Frage ist also nicht „ob“, sondern „wie“ man migriert, ohne das Tagesgeschäft zu blockieren.
Für vor dem 10. Juli 2027 bestehende Geschäftsbeziehungen sieht der Entwurf der EBA-RTS zu Art. 28 AMLR ein risikobasiertes Umstellungsfenster von bis zu fünf Jahren vor, faktisch also bis spätestens Juli 2032.
Praktisch hilft ein zweistufiger Blick: Erst Datenerfassung, dann Datenerhebung. Zuerst müssen die neuen Felder im KYC-/CRM-System überhaupt vorhanden und validierbar sein; erst danach stellt sich die Frage, wie man sie effizient befüllt (Kundenkontakt, Datenprovider, Register, Dokumente).
In der Migration kommen zusätzlich neue Struktur-Daten dazu, die viele Bestände heute nicht screeningfähig vorhalten, z.B. Zwischengesellschaften („Intermediate Beneficial Owners“) für die Sanktionsprüfung.
Lisa Roczniewski