So können Institute die neue Geldwäscheverordnung in die Praxis umsetzen

Der erste Schritt ist eine fachliche Standortbestimmung, die vielen Verpflichteten momentan noch schwer fallen dürfte: nicht alle Details der AML-VO sind bisher final geregelt. In den nächsten Monaten werden weitere sogenannte technische Regulierungsstandards (RTS) veröffentlicht. Hinzu kommt, dass Verpflichtete auch unter der neuen Verordnung gewisse Auslegungsspielräume behalten. Das betrifft zum Beispiel die „person purporting to act on behalf“, also Personen, die vorgeben, im Namen eines Kunden zu handeln: Institute müssen festlegen, wie weit sie den Begriff operativ fassen und im Prozess abbilden. 

Erst Zielbild festlegen, dann Lücken schließen

Damit Verpflichtete sich nicht von Unklarheiten oder Kontroversen im Markt lähmen lassen und dann zu spät mit der Implementierung anfangen oder am Ende alle Entscheidungen per Einzelfall treffen, sollten sie zunächst ein strategisches Zielbild entwickeln. Dafür ist es wichtig, ein grundlegendes Verständnis für die Prozesse unter der AML-VO zu entwickeln und sich anschließend mit folgenden Fragen auseinander zu setzen:

• Wie gehen wir mit Auslegungsspielräumen und Unklarheiten um?
• Welches Maß an Auslagerung streben wir an?
• Welches Maß an Automatisierung ist mit Blick auf die Ressourcen-Auslastung unvermeidbar? 

Auf Basis dieses Zielbilds sollte eine Gap-Analyse erfolgen, die offenlegt, welche Lücken bis 2027 geschlossen werden müssen, sowohl organisatorisch, prozessual als auch technisch.

Nicht alles gleichzeitig umstellen

Ab Mitte 2027 müssen Neukunden nach den neuen Vorgaben geprüft werden, für Bestandskunden räumt die AML-VO Übergangsfristen ein, sodass diese über die vorgeschriebenen Review-Zyklen aktualisiert werden können. Institute müssen also nicht alles auf einmal umstellen.

Die Entscheidung, ob zunächst die Strecke für High-Risk oder für Medium/Low Risk gebaut wird, liegt beim Verpflichteten und sollte sorgfältig abgewogen werden: Für eine Priorisierung des Low-/Medium-Risk-Segments spricht die schnellere Entlastung im Tagesgeschäft, da dieses Segment in der Regel den Großteil des Portfolios ausmacht. Für High Risk spricht ein größerer Effekt auf die Risikoexponierung und es kann gegenüber Prüfern argumentiert werden, dass risikobasiert priorisiert wurde. 

Datenqualität von Anfang an mitdenken

Mit der AML-VO steigt nicht nur der Umfang der Daten, sondern auch die Anforderungen an deren Nachweisbarkeit. Künftig muss dokumentiert werden:

• woher Daten stammen,
• wann sie erhoben wurden,
• wie aktuell sie sind,
• wie ihre Verlässlichkeit bewertet wurde.

Fachlich sind unter der AML-VO mehr Attribute als unter dem Geldwäschegesetz (GwG) abzubilden, sowohl zu juristischen als auch natürlichen Personen. Zugleich müssen Metadaten erhoben und gespeichert werden, zum Beispiel Quelle, Abrufdatum, Prüfstatus und Bewertungslogik.

Das betrifft auch Daten, die von Dienstleistern kommen. Dienstleister müssen transparent darlegen, woher Informationen stammen und wie aktuell sie sind; auch diese Angaben müssen sie selbst nachvollziehbar speichern.

Für Institute mit Kund*innen-Schaft in mehreren EU-Ländern stellt sich die Architekturfrage: ein einheitliches, länderübergreifendes Datenmodell mit Mapping-Logik oder mehrere nationale Modelle? Ein zentrales Modell erleichtert die Skalierung, erfordert jedoch saubere fachliche Zuordnungen von Rollen, die je nach Land unterschiedlich benannt sein können.

Verantwortung liegt beim Verpflichteten

Viele AML-Funktionen sind häufig bereits ausgelagert, etwa die UBO-Ermittlung (Ermittlung des wirtschaftlich Berechtigten beziehungsweise wirtschaftlichen Eigentümers), das Screening oder die Videoidentifikation. Auch unter der AML-VO dürfen Verpflichtete einen Großteil der internen Strategien und Verfahren auslagern, allerdings verbleibt – wie schon unter dem GwG – die Verantwortung, Steuerung, Risikobewertung und Kontrolle immer beim Verpflichteten. 

Dazu zählt zum Beispiel die Risikoanalyse als zentrales Steuerungsinstrument. Für Onboarding-Strecken lassen sich zwar KYB-Dienstleister nutzen und dort auf Standard-Workflow-Templates zurückgreifen; es liegt aber allein beim Verpflichteten, sicherzustellen, dass diese Strecke die regulatorischen Anforderungen erfüllt.

Damit der Verpflichtete seiner Steuerungs- und Nachweispflicht nachkommen kann, ist, unabhängig vom Auslagerungsgrad, das interne Verständnis der AML-VO erfolgskritisch: Alle Beteiligten – von der Geschäftsführung über Compliance bis zu den operativen Mitarbeiter*innen – müssen verstehen, was sie warum machen. Das erfordert Schulungen, Informationsaustausch und eine klare Ressourcenplanung. 

Insgesamt ist es also nicht entscheidend, was genau ausgelagert wird – sondern dass Verpflichtete ihre Verantwortlichkeiten kennen und jederzeit nachweisen können, dass ihre Prozesse wirksam funktionieren.

Ein Schritt nach dem anderen

Die AML-VO verlangt keine punktuellen Anpassungen, sondern eine strukturierte Weiterentwicklung des bestehenden Operating Models. Wer mit einem klaren Zielbild startet, Lücken identifiziert und priorisiert schließt, das Datenmodell frühzeitig erweitert und interne Verantwortlichkeiten klar definiert und befähigt, kann die Anforderungen bis zum Stichtag umsetzen.