AMLR 2027: Der Compliance-Fahrplan für Banken und Finanzinstitute
Mit der Verordnung (EU) 2024/1624 (Anti-Money Laundering Regulation, kurz AMLR) und der Verordnung (EU) 2024/1620 zur Errichtung der Anti-Money Laundering Authority (AMLA) vollzieht die Europäische Union den größten Systemwechsel in der Geldwäscheprävention seit Einführung der ersten AMLD 1991. Ab dem 10. Juli 2027 ersetzt die unmittelbar anwendbare AMLR weite Teile der richtlinienbasierten 6. AMLD (Richtlinie (EU) 2018/1673 sowie ihre Vorgänger) — nationale Umsetzungsspielräume entfallen. Für Banken, Zahlungsdienstleister, Krypto-Asset-Service-Provider (CASPs) und sonstige Verpflichtete unter Art. 3 AMLR bedeutet das: Die bisherige Heterogenität zwischen § 1 GwG (Deutschland), Art. 2 GwG (Schweiz) und § 2 FM-GwG (Österreich) wird durch ein EU-einheitliches Single Rulebook abgelöst.
Dieser Beitrag skizziert den Compliance-Fahrplan: Was ändert sich materiell, welche Meilensteine sind zwingend, und wie müssen Screening-Infrastrukturen technisch angepasst werden, damit der 10. Juli 2027 nicht zum Auditschaden wird?
Das neue AML-Paket im Überblick
Das EU-AML-Paket besteht aus vier Rechtsakten, die im Juni 2024 im Amtsblatt veröffentlicht wurden und gestaffelt in Kraft treten:
AMLR (VO (EU) 2024/1624): Single Rulebook mit direkt anwendbaren Sorgfaltspflichten, PEP-Definition, UBO-Transparenz, Cash-Limits (10.000 EUR EU-weit). Geltung ab 10. Juli 2027.
AMLA-VO (VO (EU) 2024/1620): Errichtung der EU-Aufsichtsbehörde mit Sitz in Frankfurt am Main. Operative Aufnahme ab 2025, Direktaufsicht ab 2028.
6. AMLD neu (RL (EU) 2024/1640): Verbleibende Richtlinien-Elemente (FIU-Organisation, nationale Aufsicht, Register-Zugang). Umsetzungsfrist 10. Juli 2027.
Transfer of Funds Regulation (VO (EU) 2023/1113): Travel Rule für Krypto-Transfers. Bereits seit 30. Dezember 2024 anwendbar.
Was ändert sich gegenüber der 6. AMLD?
Der entscheidende Paradigmenwechsel liegt in der Rechtsform: Während die 6. AMLD einen nationalen Umsetzungsspielraum eröffnete (mit der bekannten Folge inkonsistenter Definitionen zwischen den Mitgliedstaaten), wirkt die AMLR unmittelbar in allen 27 Mitgliedstaaten. Die Rechtsprechung des EuGH zur richtlinienkonformen Auslegung (st. Rspr. seit von Colson, Rs. 14/83) wird für weite Teile der AML-Regulierung obsolet — die Norm selbst ist anwendbar.
Materiell bringt die AMLR vier Kernverschärfungen:
Harmonisierte PEP-Definition (Art. 2 Abs. 1 Nr. 34 AMLR): Die bislang national divergierenden Kataloge werden ersetzt. National erweiterte PEP-Listen (z. B. Bürgermeister ab einer bestimmten Einwohnerzahl) entfallen, soweit sie nicht ausdrücklich durch Mitgliedstaaten in einer veröffentlichten Liste nach Art. 33 Abs. 4 AMLR gehalten werden.
Verstärkte Sorgfaltspflichten (Art. 20 ff. AMLR): Customer Due Diligence (CDD) wird in einfache, verstärkte und vereinfachte Sorgfalt aufgespalten, mit präzisen Triggerpunkten. Anders als unter § 10 GwG genügt eine bloße Risikobasierung nicht mehr — der Katalog ist abschließend für die Triggerfälle.
UBO-Schwellen (Art. 52 AMLR): Die 25-Prozent-Schwelle bleibt Grundregel, kann aber durch delegierten Rechtsakt der Kommission auf 15 Prozent (z. B. für Extractive Industries, Immobilien) abgesenkt werden.
EU-weites Bargeldlimit (Art. 80 AMLR): 10.000 EUR für gewerbliche Transaktionen. Mitgliedstaaten dürfen strenger sein — Deutschland hat bislang kein Limit, die Schweiz (als Nicht-EU) bleibt bei 100.000 CHF nach Art. 8 Abs. 1 GwV.
Die Rolle der AMLA: Vom Policy-Koordinator zum Direktaufseher
Die in Frankfurt angesiedelte AMLA ist das institutionelle Herzstück der Reform. Ihre Rolle ist dreistufig aufgebaut:
Regulatorische Harmonisierung: Entwurf technischer Regulierungsstandards (RTS) und Durchführungsstandards (ITS) mit verbindlicher Wirkung nach Billigung durch die Kommission.
Indirekte Aufsicht über sämtliche Verpflichtete via Peer Reviews und Koordination der nationalen Aufseher (BaFin, FMA Österreich, CSSF Luxemburg etc.).
Direktaufsicht über ca. 40 ausgewählte grenzüberschreitend tätige Finanzinstitute ab 2028 gemäß Art. 12 AMLA-VO — mit eigenständiger Sanktionskompetenz bis 10 % des Jahresumsatzes.
Für die Schweizer FINMA ist die AMLA zwar nicht unmittelbar zuständig, jedoch wird die AMLA de facto zum Ankerpunkt für Äquivalenzentscheidungen. Wer als Schweizer Institut Korrespondenzbankbeziehungen zu EU-Banken unterhält, wird die AMLA-Standards faktisch spiegeln müssen.
Zeitplan 2025 → 2027: Die kritischen Meilensteine
Quartal | Meilenstein | Handlungspflicht der Verpflichteten |
|---|---|---|
Q4 2025 | AMLA operativ in Frankfurt | Benennung AMLA-Kontaktperson im Compliance-Team |
Q1 2026 | Erste RTS-Entwürfe zu CDD und PEP | Gap-Analyse: bestehende Policies vs. AMLR-Entwürfe |
Q2 2026 | Konsolidierte Guidelines der AMLA | Anpassung interner Richtlinien, Schulungskonzept |
Q4 2026 | Final-RTS zu UBO-Registerzugang | Technische Anbindung an die neuen UBO-Register |
Q1 2027 | Parallelbetrieb Altrecht/AMLR | Dual-Running interner Systeme, Dokumentation |
10. Juli 2027 | AMLR unmittelbar anwendbar | Vollständige Operationalisierung, Altfallbereinigung |
Q3 2027 | Erste AMLA-Peer-Reviews | Audit-Ready-Dokumentation, SAR-Statistik-Reporting |
PEP-Definition: Ende der nationalen Eigenwege
Art. 2 Abs. 1 Nr. 34 AMLR definiert politisch exponierte Personen (PEP) abschließend. Die Definition umfasst Staatsoberhäupter, Regierungschefs, Minister, Parlamentsabgeordnete nationaler Parlamente, Richter oberster Gerichte, Rechnungshofmitglieder, Zentralbankvorstände, Botschafter und Geschäftsträger sowie hohe Militärangehörige. Erfasst sind ferner Vorstände staatseigener Unternehmen sowie Leiter internationaler Organisationen.
Der praktische Effekt ist erheblich: § 1 Abs. 12 GwG (Deutschland), Art. 2a GwG (Schweiz) und § 2 Z 6 FM-GwG (Österreich) sind bereits heute weitgehend kompatibel, enthalten aber nationale Feinheiten (etwa die Einbeziehung bestimmter Parteifunktionäre in Österreich). Diese Feinheiten entfallen oder bedürfen künftig ausdrücklicher nationaler Veröffentlichung nach Art. 33 Abs. 4 AMLR. Institute mit EU-weitem Screening müssen ihre PEP-Datenbanken auf Single Source of Truth umstellen und Altkategorien (nationale PEPs, formale PEPs) neu klassifizieren.
Für Family Members und Known Close Associates (Art. 2 Abs. 1 Nr. 35 und 36 AMLR) gilt eine erweiterte, aber harmonisierte Definition. Die Zwölf-Monats-Nachwirkungsfrist nach Beendigung des Amtes bleibt erhalten (Art. 42 AMLR); sie kann risikobasiert verlängert werden.
Sorgfaltspflichten: Standardisiert und verschärft
Die AMLR strukturiert die Customer Due Diligence dreistufig:
Standard CDD (Art. 20 AMLR): Identifizierung, Verifizierung, UBO-Feststellung, Zweck der Geschäftsbeziehung, laufende Überwachung. Verifizierung muss spätestens vor Begründung der Geschäftsbeziehung abgeschlossen sein.
Enhanced Due Diligence (Art. 28–35 AMLR): Zwingend bei PEPs, Hochrisikodrittländern (Liste der Kommission nach Art. 29 AMLR), komplexen Strukturen, unüblich hohen Transaktionen, Korrespondenzbankbeziehungen zu Drittländern.
Simplified Due Diligence (Art. 27 AMLR): Nur zulässig nach dokumentierter niedriger Risikoeinschätzung und in abschließend definierten Fallkonstellationen. Anders als unter der 6. AMLD ist der Katalog eng auszulegen.
Neu ist die Pflicht zur automatisierten laufenden Überwachung (Art. 25 AMLR) — die bisherige deutsche Praxis, bei Kleinkunden auf stichprobenartige Prüfungen zu setzen, wird künftig nur noch im Rahmen der Simplified Due Diligence tragfähig sein.
Dokumentations-Anforderungen: Audit-Ready by Design
Art. 77 AMLR verpflichtet zur Aufbewahrung sämtlicher CDD-Unterlagen für mindestens fünf Jahre nach Beendigung der Geschäftsbeziehung, mit Verlängerungsmöglichkeit auf zehn Jahre bei begründetem Interesse der nationalen Behörden. Die Unterlagen müssen in einem Format vorliegen, das eine maschinenlesbare Auswertung erlaubt — eine faktische Digitalisierungspflicht für Institute mit Altbeständen auf Papier.
Für das Risikoanalyse-Dokument nach Art. 10 AMLR gilt: Es muss jährlich aktualisiert, schriftlich dokumentiert und der zuständigen Aufsicht auf Anforderung binnen fünf Geschäftstagen vorlegbar sein. Institute mit manuellen Excel-basierten Risikomatrizen werden dies kaum leisten können; die Migration in strukturierte Compliance-Tools ist faktisch zwingend.
Was gilt in der Schweiz, Österreich und EU-weit?
Deutschland: BaFin bleibt Hausherr, aber nach AMLA-Regeln
Das Geldwäschegesetz (GwG) und § 25c KWG bleiben formal in Kraft, werden aber ab 10. Juli 2027 weitgehend durch die unmittelbar anwendbare AMLR überlagert. § 25h KWG (Datenverarbeitung) und die Sanktionsvorschriften der §§ 56 ff. KWG bleiben nationalrechtlich relevant. Die BaFin bleibt zuständige Aufsicht und wird in den AMLA-Koordinationsmechanismus eingebunden. Nationale Besonderheiten wie die BaFin-Auslegungs- und Anwendungshinweise (AuA) verlieren für AMLR-Materie ihre Verbindlichkeit; an ihre Stelle treten die AMLA-Guidelines.
Österreich: FMA unter dem Single Rulebook
Das Finanzmarkt-Geldwäschegesetz (FM-GwG) wird — analog zum deutschen GwG — partiell durch die AMLR substituiert. Die FMA hat bereits 2024 in ihrem Rundschreiben zur Umsetzung der AMLR-Vorbereitung signalisiert, dass nationale Interpretationsspielräume ab 2027 eng auszulegen sind. Zuständig für Börsenteilnehmer bleibt die FMA nach § 25 FM-GwG, für Notare und Rechtsanwälte die jeweiligen Kammern nach § 1 Abs. 1 Z 11 FM-GwG in Verbindung mit § 8a NO bzw. § 8a RAO.
Schweiz: Kein EU-Mitglied, aber faktisch im Korridor
Die Schweiz ist nicht Adressat der AMLR. Maßgeblich bleiben das Geldwäschereigesetz (GwG, SR 955.0), die Geldwäschereiverordnung (GwV, SR 955.01) sowie die GwV-FINMA (SR 955.033.0). Die FINMA-Rundschreiben 2016/7 (Video- und Online-Identifizierung) und 2023/1 (Operationelle Risiken) bleiben einschlägig. Faktisch wird jedoch jeder Schweizer Finanzintermediär mit EU-Kundenbeziehung die AMLR-Standards einhalten müssen, um nicht aus EU-Korrespondenzbankbeziehungen herauszufallen. Die laufende Totalrevision des GwG (Botschaft vom 22. Mai 2024, BBl 2024 1483) greift zentrale AMLR-Elemente bereits jetzt auf — insbesondere die Einführung eines Transparenzregisters für wirtschaftlich Berechtigte nach dem Vorbild der Art. 51 ff. AMLR.
EU-Drittstaaten und Äquivalenz
Die Kommission wird nach Art. 29 AMLR die Liste der Hochrisikodrittländer in delegierten Rechtsakten festlegen. Die bisherige FATF-High-Risk-Liste bleibt Referenz, wird aber EU-autonom interpretiert. Für britische, schweizerische und US-amerikanische Institutionen gilt: Kein Automatismus der Äquivalenz — Banken müssen bei Korrespondenzbankbeziehungen in diese Jurisdiktionen eigene Enhanced-Due-Diligence-Maßnahmen dokumentieren, solange keine explizite Äquivalenzentscheidung vorliegt.
Technische Implementierung: Was jetzt konkret anzupassen ist
Für die Screening- und Compliance-Infrastruktur ergeben sich fünf konkrete Handlungsfelder:
PEP-Datenbanken müssen auf die AMLR-Definition umgestellt werden. Altkategorien (nationale PEPs, quasi-PEPs) sind zu migrieren oder auszusortieren. Die Datenbank muss das harmonisierte Attribut-Set nach Art. 2 AMLR abbilden und die 12-Monats-Nachwirkung algorithmisch tracken.
UBO-Screening erfordert die Anbindung an die neuen Transparenzregister nach Art. 51 ff. AMLR. Der Zugang erfolgt über ein EU-weites BORIS-System (Beneficial Ownership Registers Interconnection System). Institute benötigen einen technischen Konnektor.
Transaction Monitoring Systems müssen die erweiterten Triggerkataloge der Art. 24–26 AMLR abbilden. Regelbäume und Schwellenwerte sind zu überarbeiten, insbesondere für Krypto-Asset-Transfers unter VO (EU) 2023/1113.
Die Customer-Risk-Rating-Engine muss die neue Dreistufigkeit (Standard/Enhanced/Simplified) abbildbar machen und die jeweilige Einstufung automatisiert dokumentieren — inklusive Änderungshistorie nach Art. 77 AMLR.
Die Hintergrundprüfung der Beschäftigten in Compliance-Funktionen (Art. 11 AMLR — Integrity of Staff) ist explizit als laufende Pflicht ausgestaltet. Einmalige Einstellungsprüfungen genügen nicht mehr; wiederkehrende Überprüfungen sind zu etablieren.
Harmonisierung der nationalen Aufseher: BaFin, FMA, FINMA
Das neue Aufsichtsmodell koppelt die nationalen Aufseher über ein einheitliches Supervisory Handbook, das die AMLA nach Art. 8 AMLA-VO zu veröffentlichen hat. BaFin und FMA werden künftig nach gemeinsamen Methodologien prüfen. Für Institute mit Niederlassungen in mehreren EU-Staaten bedeutet das eine deutliche Vereinfachung: Die bisherige Praxis divergierender Prüfungsansätze (z. B. unterschiedliche Anforderungen an das Risikoanalysedokument zwischen Deutschland und Österreich) entfällt.
Die FINMA ist zwar nicht Teil dieses Mechanismus, kooperiert aber über bilaterale Memoranda of Understanding. Die bestehende Zusammenarbeit zwischen FINMA und BaFin wird um AMLA-bezogene Informationsflüsse erweitert.
Fazit: Der Compliance-Fahrplan ist keine Wahlübung
Die AMLR ist kein regulatorisches Feintuning, sondern ein Systemwechsel. Wer im Q3 2027 bei der ersten AMLA-Peer-Review antritt, ohne PEP-Datenbank, Risikoanalyse und Dokumentationsinfrastruktur auf das Single Rulebook umgestellt zu haben, wird Findings kassieren — mit potenziell existenzieller Sanktionsdimension nach Art. 75 AMLR. Die nächsten achtzehn Monate sind der operative Engpass. Institute, die jetzt planen, bis Q2 2026 ihre Gap-Analyse abgeschlossen haben und bis Q1 2027 im Dual-Running sind, werden den Übergang sauber schaffen. Alle anderen nicht.
Indicium Technologies begleitet Banken, Zahlungsdienstleister und Compliance-Abteilungen bei der Umstellung von PEP- und UBO-Screening-Systemen auf AMLR-Konformität. Unsere DSGVO-konforme Plattform deckt harmonisierte PEP-Listen, UBO-Verifikation gegen EU-Register und automatisierte laufende Überwachung ab — vollständig dokumentiert, audit-ready, und als SaaS aus Frankfurt betrieben.
Buche eine Demo und wir zeigen den AMLR-Fahrplan konkret für dein Institut.
Weiterlesen — verwandte Artikel
Nabil El Berr
