AML & KYB in Europa: Der Wendepunkt ist erreicht

Die europäische AML-Landschaft befindet sich in der größten Transformation seit Einführung der vierten Geldwäscherichtlinie. Zentrale Teile des EU-AML-Pakets 2024, bestehend aus der EU-AML-Verordnung (Regulation (EU) 2024/1624), der AMLA-Verordnung (Regulation (EU) 2024/1620) und der sechsten Geldwäscherichtlinie (Directive (EU) 2024/1640), werden ab Juli 2027 anwendbar. Während die Verordnungen dann unmittelbar gelten, muss die Richtlinie noch in nationales Recht umgesetzt werden. Damit wird die Geldwäschebekämpfung zur strategischen Kernfrage für Banken, Zahlungsdienstleister und andere regulierte Institute.

Was lange als regulatorische Pflichtübung betrachtet wurde, entwickelt sich zu einem zentralen Wettbewerbsfaktor. Die Anforderungen steigen, die Komplexität nimmt zu und der Spielraum für nationale Sonderwege endet. Herzstück des Pakets ist die neue Anti-Money Laundering Authority (AMLA) mit Sitz in Frankfurt: Ab 2028 beaufsichtigt sie rund 40 grenzüberschreitend tätige Hochrisikoinstitute direkt und setzt über eigene RTS und Guidelines verbindliche Mindeststandards für alle verpflichteten Institute europaweit.

KYC / KYB rückt ins Zentrum der Aufsicht

Der Fokus innerhalb der Geldwäscheprävention verschiebt sich deutlich in Richtung KYC / KYB, also die Identifikation und Prüfung von Unternehmensstrukturen. Hintergrund sind komplexe Beteiligungsketten, internationale Holdings und verschachtelte Eigentümerstrukturen, die häufig in mehreren Jurisdiktionen angesiedelt sind.

Gerade bei wirtschaftlich Berechtigten (UBOs) steht ein grundlegender Umbruch bevor. Die EU-AML-Verordnung (Regulation (EU) 2024/1624) ersetzt das bisher stark national geprägte System durch direkt anwendbares EU-Recht. Definition, Ermittlung und Überprüfung wirtschaftlicher Eigentümer werden europaweit vereinheitlicht und deutlich präziser gefasst. Die dazugehörigen RTS, die AMLA auf Basis der Verordnung erarbeiten wird, konkretisieren:

• welche Daten verpflichtend zu erheben sind
• wie Ownership-Strukturen darzustellen sind
• in welcher Tiefe Kontroll- und Beteiligungsketten nachvollzogen werden müssen

AMLA hat seit Februar 2026 erste Konsultationsentwürfe für RTS veröffentlicht, darunter die RTS zur Customer Due Diligence. Bis Anfang 2027 sind 26 weitere RTS, ITS und Guidelines angekündigt. Wer diese nicht aktiv verfolgt, riskiert operative Überraschungen kurz vor Inkrafttreten. Wer die Entwicklungen rund um AMLA und die EU-AML-Reform laufend im Blick behalten möchte, findet hier regelmäßige Einschätzungen direkt aus der Praxis. 

Konkret bedeutet das für die Umsetzung: Komplexe Mehr-Ebenen-Strukturen, Treuhandkonstellationen und faktische Kontrolle jenseits formaler Beteiligungsschwellen müssen vollständig erfasst, dokumentiert und regelmäßig aktualisiert werden. Die RTS werden klare Anforderungen an Datenaktualität und Überwachungspflichten definieren. KYC-Reviews, Ereignis-getriggerte Prüfungen und verkürzte Aktualisierungszyklen bei erhöhtem Risiko werden zur regulatorischen Pflicht, nicht zur Option.

Für Institute bedeutet das: KYC / KYB wird substanziell anspruchsvoller. Die bloße Registerabfrage oder Standarddokumentation genügt künftig nicht mehr. Erwartet werden konsistente Ownership-Modelle, nachvollziehbare Risikoeinschätzungen und revisionssichere Evidenz entlang der gesamten Beteiligungskette.

Ein Datensatz allein reicht nicht

Viele Institute haben in den vergangenen Jahren erheblich in die Automatisierung von KYC- / KYB- und Onboarding-Prozessen investiert. Doch entscheidend ist nicht, wie schnell ein Datensatz bereitgestellt wird, sondern ob die zugrunde liegende UBO-Ermittlung belastbar ist, die KYB-Logik konsistent greift und die Dokumentation einer aufsichtlichen Prüfung standhält.

Aufsichtliche Prüfungen werden sich künftig auf vier konkrete Fragen konzentrieren:

• Sind Ownership-Strukturen vollständig und logisch modelliert, auch über mehrere Beteiligungsebenen hinaus?
• Ist die Risikoeinstufung konsistent mit den tatsächlich erhobenen Informationen?
• Lassen sich Entscheidungen aus belastbaren Quellen heraus reproduzieren?
• Sind Aktualisierungen bei strukturellen Änderungen zeitnah und systematisch erfolgt?

Ohne belastbare Evidenz ist die erhobene Information regulatorisch nahezu wertlos.

Was das in der Praxis bedeutet: Die UBO-Ermittlung muss über alle Ebenen hinweg automatisch rekursiv erfolgen. Jeder Schritt muss maschinell oder menschlich bestätigt und rückverfolgbar sein. Am Ende jeder KYB-Prüfung muss automatisch ein Audit-Report vorliegen, der Zeitpunkt, Quelle und Entscheidung nachvollziehbar dokumentiert. Risikoeinstufungen müssen institutsspezifisch konfigurierbar sein und Re-KYC-Zyklen automatisch auslösen, statt über Kalender oder Erinnerungsmail koordiniert zu werden. Aufsichtsbehörden werden ab 2027 prüfen, ob sie umgesetzt sind, und sie werden zum Gegenstand regulatorischer Bewertungen.

Handlungsempfehlung: Drei KYB-Prioritäten bis 2027

Die Reform ist kein fernes Zukunftsszenario mehr. Wer jetzt zögert, riskiert, kurz vor Inkrafttreten der neuen Vorschriften in ernsthafte Bedrängnis zu geraten. Drei Aspekte sind dabei entscheidend:

1. Gap-Analyse

Der erste Schritt ist eine ehrliche Bestandsaufnahme entlang der künftigen Anforderungen. Das bedeutet: nicht nur Policies prüfen, sondern operative Realität. Eine Checkliste für eine solche Gap-Analyse gibt es hier.

Im Fokus sollten vier Kernbereiche stehen:

• Datenqualität: Sind UBO-, KYC- / KYB- und Risikodaten vollständig, konsistent und systematisch gepflegt?
• Primärdokumentation: Ist die Herleitung wirtschaftlicher Eigentümer nachvollziehbar dokumentiert, oder basiert sie faktisch nur auf Registerabfragen?
• UBO-Analyse: Können komplexe Beteiligungsketten transparent modelliert und erklärt werden, auch bei indirekten Beteiligungen?
• Risikoberechnung: Ist das Risikomodell logisch aufgebaut, validiert und konsistent mit den erhobenen Informationen?

Auf dieser Basis lässt sich priorisieren: Wo besteht regulatorischer Handlungsdruck, wo operatives Risiko, wo strukturelle Schwäche? Eine solche Gap-Analyse ist kein Compliance-Papier, sondern der Startpunkt für ein belastbares Umsetzungsprogramm.

2. KYB-Vendor-Auswahl strategisch denken

Nicht jede Lösung, die Prozesse beschleunigt, erfüllt automatisch die künftigen Anforderungen. Bei der Auswahl von Technologiepartnern sollten Institute gezielt prüfen:

• Arbeitet das System mit belastbaren Primärdaten oder lediglich mit aggregierten Sekundärquellen wie Datenbanken oder Auskunfteien?
• Ist die Evidenz revisionssicher dokumentiert und exportierbar?
• Lassen sich UBO-Strukturen transparent darstellen und regulatorisch erklären?
• Ist die Lösung international einsetzbar und skalierbar?
• Unterstützt sie den Prozess ohne Medienbrüche, von Onboarding über Review bis zur laufenden Überwachung?

Im Zentrum stehen Nachweisbarkeit und Auditierbarkeit. Technologie muss Ownership-Strukturen nicht nur abbilden, sondern audit-sicher dokumentieren.

3. Die Timeline realistisch bewerten

Juli 2027 klingt weit entfernt. Faktisch sind es nur noch wenige Planungszyklen. Transformationsprogramme dauern in regulierten Instituten erfahrungsgemäß 18 bis 24 Monate, einschließlich Analyse, Tool-Auswahl, Implementierung, Migration und Schulung.

Zudem konkretisieren sich die Anforderungen bereits, bevor das Gesetz gilt. AMLA hat die Konsultation begonnen: Seit Februar 2026 liegen erste RTS-Entwürfe vor, allein 2026 sind 24 weitere Mandate geplant. Institute, die auf finale Standards warten, laufen einem beweglichen Ziel hinterher.

Die AML-Reform ist kein IT-Projekt, sondern ein Daten- und Governance-Projekt. Die entscheidende Frage ist nicht, welches Tool beschafft wird, sondern ob Ownership-Daten, Risikomodell und Dokumentationslogik tragfähig sind, wenn die Prüfer kommen. Wer wartet, wird später nur noch reagieren und Findings hinterherlaufen.

Metabeschreibung: AML und KYC / KYB in Europa: Wie die EU-AML-Verordnung (2024/1624), AMLA und neue Aufsichtsstandards die Geldwäschebekämpfung ab 2027 grundlegend verändern.