EU-AML Verordnung 2027: Warum sich alle Verpflichteten jetzt vorbereiten sollten

Juli 7, 2025

Fahnen der EU vor einem großen Gebäude

Ab dem 10. Juli 2027 tritt die Geldwäscheverordnung (AMLR) durch ihren Rechtscharakter als unmittelbar geltendes EU-Recht an die Stelle bestehender nationaler Gesetze wie des deutschen Geldwäschegesetzes (GwG). Damit gelten Identifizierungs-, Risiko- und Überwachungspflichten künftig EU-weit nach demselben Wortlaut – ohne Umsetzungsspielräume einzelner Länder.

Die Verordnung wird durch Regulatory Technical Standards (RTS) konkretisiert, die die AMLA bis 2026/27 ausarbeitet. Diese RTS definieren im Detail, welche Datenpunkte bei Customer-Due-Diligence, pKYC-Frequenzen, Risiko-Scores oder UBO-Ermittlung zwingend zu erheben sind.[1] Wer sein KYC- und Monitoring-Setup schon jetzt an diesen Entwürfen ausrichtet, spart später teure Ad-hoc-Anpassungen und reduziert Haftungsrisiken.

Was dieser Artikel liefert – Ihr Nutzen auf einen Blick

  • Schnellüberblick über das EU-AML-Paket und die wichtigsten Meilensteine bis 2027
  • Die Roadmap – wichtige Meilensteine von 2025 bis 2027
  • Die zentrale RTS-Neuerungen und ihr Einfluss auf den KYC-Prozess
  • Einblicke in KYCnow: Wie wir unsere Plattform bereits heute auf kommende EU-Standards trimmen

Damit erhalten Sie eine klare Orientierung im Regulierungsdschungel und konkrete Handlungsschritte, um Ihr Compliance-Setup rechtzeitig zukunftssicher aufzustellen.

AMLR, AMLD6 und AMLA im Überblick

Die EU hat das Anti-Money-Laundering-Package (AML-Package) am 31. Mai 2024 verabschiedet. Es umfasst drei eng verzahnte Rechtsakte – eine Verordnung, eine Richtlinie und die Gründung einer neuen Aufsichtsbehörde – und schafft damit erstmals einen nahezu vollständig harmonisierten Rechtsrahmen gegen Geldwäsche und Terrorismusfinanzierung in allen Mitgliedstaaten.

Säule
 Kernaussage
 Für Verpflichtete wichtig
AMLR – Verordnung (EU) 2024/1624
 Legt unmittelbar geltende, detaillierte Pflichten für Customer Due Diligence, pKYC-Frequenzen, Beneficial-Ownership-Transparenz und den Umgang mit anonymen Instrumenten fest.
 Keine nationale Umsetzung nötig; Prozesse müssen bis 10 Juli 2027 EU-weit einheitlich sein.[2]
AMLD6 – Richtlinie (EU) 2024/1640
 Harmonisiert Aufsicht, FIUs-Zusammenarbeit, Sanktionen und die nationale Umsetzung von Aufsichts- und Strafrahmen.
 Bis Mitte 2027 in nationales Recht zu übertragen; beeinflusst vor allem Governance, Meldewesen und Sanktionspraxis.[3]
AMLA – Behörde (Regulation (EU) 2024/1620)
 Errichtet die Anti-Money Laundering Authority mit Sitz in Frankfurt; 400-500 Mitarbeitende, Start der operativen Arbeit Mitte 2025. Erhält direkte Aufsicht über grenzüberschreitende Hochrisiko-Institute und koordinierende Befugnisse gegenüber allen anderen Aufsehern.[4][5]
 Erwartet wird eine konsistente „Single Rulebook“-Durchsetzung, inklusive Vor-Ort-Prüfungen und Bußgeldern bis 10 % des Jahresumsatzes oder mindestens doppelt so hoch wie der Gewinn aus dem Verstoß, falls dieser höher ist.

Fahrplan bis zum AMLR-Go-live (2024 – 2027)

De Einführung der AMLR im Überblick

Nach der offiziellen Annahme des AML-Pakets am 31. Mai 2024[6] leitete die EBA im März 2025 ihre Konsultation zu den vier zentralen Regulatory Technical Standards (RTS) ein; eine öffentliche Anhörung fand am 10. April 2025 statt, und Stellungnahmen konnten bis 6. Juni 2025 eingereicht werden. Anschließend übermittelt die EBA ihre finale Empfehlung an die EU-Kommission – Termin 31. Oktober 2025 – und ebnet damit den Weg für die technische Ausarbeitung durch die neue Aufsichtsbehörde AMLA, die den entscheidenden CDD-RTS spätestens 10. Juli 2026 fertigstellen muss. Ab 10. Juli 2027 ersetzt die AMLR schließlich sämtliche nationalen Geldwäschegesetze und gilt unmittelbar für alle Verpflichteten in der EU.

Die Regulatory Technical Standards (RTS)

Die AMLR und AMLD6 verweisen auf insgesamt vier RTS-Pakete, die zunächst von der EBA (European Banking Authority) erarbeitet wurden, da die AMLA erst am 01.07.2025 operativ gestartet ist. Nach Aufnahme ihrer Arbeit hat die AMLA nun die Zuständigkeit für alle AML/CTF-bezogenen technischen Regulierungsstandards (RTS) und Leitlinien übernommen und wird diese selbstständig finalisieren oder fortentwickeln. Die Entwürfe behandeln u. a.

  • Methodik für Entity-Risk-Assessments (Art. 40 AMLD6)
  • Auswahlkriterien für AMLA-Direktaufsicht (Art. 12 AMLR)
  • Pflichtdatensätze & eID-Anforderungen in der CDD (Art. 28 AMLR)
  • Bußgeld-Raster & Periodic Penalty Payments (Art. 53 AMLD6)[7]

Fünf Punkte sind für den KYC-Prozess dabei besonders einschneidend:

Einheitliches Entity-Risk-Assessment

National­aufsichten müssen das inhärente und das residuale Risiko jedes Verpflichteten mit einer EU-weit identischen Methodik, unter Berücksichtigung sektoraler und nationaler Risiken, erfassen und mindestens jährlich neu bewerten. Nur Institute mit sehr geringem Risiko dürfen auf einen Drei-Jahres-Zyklus wechseln. Damit gibt es erstmals eine vergleichbare Risiko-Taxonomie und klar geregelte Review-Frequenzen.[8]

Klare Schwellen für die AMLA-Direktaufsicht

Die neue EU-Behörde übernimmt nur für einen eng umrissenen Kreis grenzüberschreitender Finanz­institute die direkte Aufsicht. Das Level-1-Regelwerk (AMLA-Verordnung) nennt bislang zwei Grund­kriterien:

  • Geografischer Footprint – das Institut (bzw. die Gruppe) ist in mindestens sechs Mitgliedstaaten operativ tätig, sei es über Niederlassungen oder im Weg der Dienstleistungs­freiheit.
  • Residual-Risiko „hoch“ – die nationale Aufsicht stuft das verbleibende ML/TF-Risiko als hoch ein. Einen fixen Euro- oder Punkteschwellenwert gibt es jedoch noch nicht.

Einen fixen Punkte- oder Euro-Schwellenwert schreibt das Level-1-Regelwerk (AMLA-VO) bewusst noch nicht vor; die genaue Risiko-Methodik legt AMLA erst in ergänzenden technischen Standards fest.[9]

Beneficial-Ownership-Transparenz & CDD-Pflichtdatensatz

  • Definition & Schwelle: Als wirtschaftlicher Eigentümer gilt jede natürliche Person, die ein Unternehmen, einen Express-Trust oder eine ähnliche Rechtsvereinbarung letztlich besitzt oder kontrolliert. Ein direkter oder indirekter Anteil von ≥ 25 % der Stimm- oder Kapitalrechte genügt.[10]
  • Pflichtdatensätze: Der CDD-RTS bestimmt, welche Datenpunkte bei natürlichen und juristischen Personen zu erfassen sind – inklusive strukturierter UBO-Informationen, Legal-Entity-Identifier, Nachweis­typ und eIDAS-kompatibler Identitätsmittel.[11]

EU-weites Raster für Sanktionen & Periodic Penalty Payments (PePP)

Ein harmonisiertes Indikatoren-Set ordnet Verstöße Schweregraden zu und definiert eine Methode, wie täglich auflaufende PePPs berechnet werden, falls Auflagen nicht fristgerecht umgesetzt werden. So sollen Bußgelder und Maßnahmen in allen Mitgliedstaaten vergleichbar und durchsetzungsstark sein.[12]

Review-Zyklen & pKYC-Trigger

Obliged Entities müssen Kunden- und UBO-Daten künftig spätestens alle fünf Jahre aktualisieren; bei höheren Risiken oder Trigger-Ereignissen (z. B. Adress- oder Beteiligungs­änderung) deutlich früher. Die RTS präzisieren dafür melderelevante Ereignisse und Mindest-Workflow-Schritte – Grundvoraussetzung für automatisierte perpetual KYC-Modelle.

Auswirkungen auf den KYC-Prozess — von der Erstidentifikation bis zum Offboarding

Onboarding: standardisierter Datensatz & digitale Identitäten
Beim ersten Kundenkontakt verlangt der CDD-RTS künftig einen europaweit einheitlichen Mindest-Datensatz. Für natürliche Personen gehören dazu u. a. Name, Geburtsdatum, Nationalität, aktueller Wohnsitz und (falls vorhanden) ein Legal Entity Identifier; bei Unternehmen kommen Stamm- und UBO-Daten sowie Registrierungs-IDs hinzu. Die Identitätsprüfung soll vorrangig über eIDAS-konforme elektronische Identitätsmittel erfolgen, was Video- oder Wallet-basierte Verfahren in den Mainstream hebt.

Risikobewertung & Klassifizierung
Unmittelbar nach der Aufnahme muss jeder Kunde in eine von vier ML/TF-Risikoklassen eingeordnet werden. Das zugrunde liegende Scoring-Schema legt die RTS fest; es ist in allen Mitgliedstaaten identisch und bildet die Basis für Prüfintervalle, Monitoring-Intensität und Meldepflichten.

Laufendes Screening & Ereignis-Monitoring
Name-, Medien- und Sanktions­listen-Screenings bleiben Pflicht, werden aber durch kontinuierliches Daten-Monitoring ergänzt. KYCnow überwacht heute bereits 37 Datenpunkte (u. a. Firmenstatus, UBO-Struktur, Funktionsträger, Register- und Finanzdaten) und löst bei jeder relevanten Änderung einen Workflow-Trigger aus – ein Konzept, das den künftigen RTS-Vorgaben für „event-driven reviews“ entspricht.

Pflicht-Reviews: neue Intervalle ab 2027
Statt der bisherigen 2–15-jährigen GwG-Zyklen schreibt die AMLR deutlich kürzere Maximalabstände vor:

  • Hohes Risiko: jährliche Vollprüfung
  • Mittleres Risiko: alle 5 Jahre
  • Vereinfachte Sorgfaltspflicht: risikobasiert, kein fixer Rahmen
    Bei wesentlichen Ereignissen (z. B. Wechsel des wirtschaftlichen Eigentümers) ist ein Ad-hoc-Review sofort fällig.

Beneficial-Owner-Updates & Transparenzregister-Abgleich
Die 25 %-Schwelle gilt künftig für Anteile, Stimmrechte und sonstige Kontrolle. Unternehmen müssen daher jede strukturelle Änderung – auch Akkumulationsketten über mehrere Ebenen – nachhalten und mit den Registern abgleichen.

EU-AML 2027 — Fazit & 5 konkrete To-dos für Verpflichtete

Die neue EU-AMLR bringt einen bisher unerreichten Harmonisierungsgrad, kürzere Prüfintervalle und granular definierte Datensätze. Spätestens zum 10. Juli 2027 müssen alle Finanz- und Nicht-Finanz­dienstleister ihre KYC-, Screening- und Reporting-Prozesse daran ausrichten. Wer die Umstellung erst kurz vor dem Stichtag angeht, riskiert hohe Kosten, operative Engpässe und Bußgelder.

  • Gap-Analyse gegen die RTS-Entwürfe – prüfen, wo Datenfelder, Workflows oder Dokumentation noch nicht den künftigen Vorgaben entsprechen, um rechtzeitig Budget und Ressourcen zu planen.
  • Dateninventar & API-Fähigkeit sicherstellen – sämtliche Quellen für Stamm-, Transaktions- und UBO-Daten erfassen und dafür sorgen, dass ein standardisierter, maschinenlesbarer Austausch per API möglich ist.
  • pKYC-Piloten starten – ereignis­basiertes Monitoring in risikoreichen Segmenten testen, um Trigger­logiken und Review-Workflows bis 2026 zu verfeinern.
  • UBO-Graph & Register-Abgleich etablieren – Beteiligungs­ketten inklusive „sonstiger Eigentums­beteiligungen ≥ 25 %“ modellieren und Transparenz­register automatisiert einbinden.
  • Governance & Awareness schärfen – Compliance, IT und Fachbereiche enger verzahnen; Mitarbeitende auf neue Review-Zyklen, Meldepflichten und Bußgeld­mechanismen vorbereiten.

Die technischen Details der RTS machen schnelle Ad-hoc-Lösungen kaum möglich. Wer jetzt mit strukturierten Pilot­projekten, solider Daten­basis und klaren Verantwortlich­keiten startet, wird 2027 nicht nur compliant sein, sondern auch effizientere KYC-Prozesse und ein belastbares Risikoprofil vorweisen können.

Mit KYCnow sind Sie auch zukünftig auf der regulatorisch-sicheren Seite. Wir arbeiten bereits heute daran, die neuen Anforderungen in unserer Plattform umzusetzen.

 

Quellen

[1] EBA Consultation Paper on draft RTS under the new EU-AML framework, März 2025
[2] Regulation (EU) 2024/1624, ABl. L 2024/1624 vom 19.06.2024 eur-lex.europa.eu
[3] Directive (EU) 2024/1640, ABl. L 2024/1640 vom 19.06.2024 eur-lex.europa.eu
[4] Regulation (EU) 2024/1620, ABl. L 2024/1620 vom 19.06.2024 eur-lex.europa.eu
[5] WSJ-Meldung zur Standortentscheidung Frankfurt wsj.com
[6] Regulation (EU) 2024/1624 vom 31. Mai 2024, ABl. L 2024/1624, 19. 06. 2024
[7] EBA Public-Hearing-Presentation, 10.04.2025
[8] EBA Consultation Paper, Executive Summary – Risk-Assessment-Methodology & Review-Frequenz (Art. 40 AMLD6)
[9] Regulation Tomorrow Blog, „EBA consults on draft RTS for AMLA operations“, 06 / 03 / 2025
[10] Regulation (EU) 2024/1624, Art. 52 Abs. 1 – 25 %-Schwelle für wirtschaftliche Eigentümer
[11] EBA Consultation Paper, Draft RTS – Customer Due Diligence (Art. 28 AMLR), S. 33 ff.
[12] Regulation Tomorrow Blog, ibid., Abschnitt „Sanctions and administrative measures (Art. 53(10) AMLD6)“

Foto von Marco: https://www.pexels.com/de-de/foto/fahnen-verwaltung-fahnenmasten-europaische-kommission-13153479/

Lisa Roczniewski