Die Regulatorik zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung erlebt einen erheblichen Wandel, der verschiedene Ursachen hat und sich in unterschiedlicher Form auswirkt. Leider hat die Financial Action Task Force on Money Laundering (FATF) im Rahmen ihrer supranationalen Risikoanalysen festgestellt, dass es in Europa noch erhebliche Defizite in der Effektivität der Geldwäschebekämpfung gibt. Die Erzielung eines einheitlichen europäischen Verständnisses hinsichtlich grenzüberschreitender Sicherungsmaßnahmen, deren Etablierung und laufende Überwachung sind dabei sicherlich wesentliche, wenn nicht sogar die zentralen Erkenntnisse, um Fortschritte bei der effektiven und effizienten Bekämpfung von Geldwäsche und Terrorismusfinanzierung zu erzielen. Das Anti-Money-Laundering-Paket der EU ist unter diesem Blickwinkel zu betrachten. Somit stehen für die europäischen Verpflichteten vor allem all jene – teils erheblichen – Veränderungen im Fokus, die sich aus dem neuen AML-Paket und dessen Konkretisierungen ergeben.
Bereits im Vorfeld hat die BaFin die Auslegungs- und Anwendungshinweise zum Geldwäschegesetz (AuA)[1] Ende November 2024 einer umfassenden Aktualisierung unterzogen – erneut ergänzt um diverse daran anknüpfende Anpassungen im März 2025.[2] Dabei ist zu berücksichtigen, dass die AuA nur noch für einen begrenzten Zeitraum von Bedeutung sein werden, angesichts der immer näher rückenden Geltung des neuen, unmittelbar in den Mitgliedstaaten geltenden Regimes der EU-Geldwäscheverordnung.
AuA-Aktualisierung als Fingerzeig
Ausgewählte Aspekte der Aktualisierung 11/2024
Mit der Aktualisierung der AuA vom 30.11.2024 reagiert die BaFin auch auf europäische Entwicklungen, etwa auf die neue Fassung der Verordnung über Geldtransfers (GTVO 2023), die seit dem 30.12.2024 gilt. Auch auf die übrigen drei Rechtsakte des EU-AML-Pakets wird eingegangen, stellenweise sogar darauf vorbereitet. Die Zeit einer Umsetzungsverordnung nicht nutzlos verstreichen zu lassen, ohne den EU-Bestimmungen explizit vorzugreifen, und dennoch für die Verpflichteten deutlich den künftigen Weg zu skizzieren, ist dabei sicherlich eine juristische Gratwanderung. Im Kern jedoch werden
bestehende Vorgaben ergänzt, präzisiert oder anderweitig modifiziert. Zudem nimmt die BaFin redaktionelle Anpassungen vor – auch im Hinblick auf gendergerechte Sprache. Seit dem 01.02.2025 sind die AuA in der Fassung von 11/2024 anzuwenden, wobei von den umfassenden Änderungen in besonderer Weise die Vorgaben zum Risikomanagement und zu den kundenbezogenen Sorgfaltspflichten, aber auch zu den Verdachtsmeldungen betroffen sind.
Proaktive Risikosteuerung rückt in den Vordergrund
Im Rahmen der Präzisierung der Anforderungen an Risikomanagement, Risikoanalyse und interne Sicherungsmaßnahmen wird eine klare Erwartungshaltung kommuniziert in Bezug auf einen kontinuierlichen und lückenlosen Umgang mit Risiken („Steuerung der Risiken“ im Rahmen des Risikomanagements). Die geforderte Risikosteuerung bedingt einen teilweise viel weitergehenden Eingriff (fachlich wie prozessual) in die Betriebsabläufe und internen Kontrollsysteme der Verpflichteten, um Schwachstellen frühzeitig erkennen und bewerten zu können (Schritt 1). Eine konkludente Verzahnung von Risikoanalyse, Sicherungsmaßnahmen und dem Umgang mit dem Residualrisiko wird künftig faktischer Imperativ.
Die Vorgaben an die Risikoanalyse werden im Zuge der Aktualisierung aus genau dieser Zielsetzung heraus inhaltlich nicht unwesentlich modifiziert, detaillierter gefasst und ergänzt. Darüber hinaus ist der Aufbau der zu befolgenden Schritte mit den passenden Titeln versehen und damit klarer dargestellt. Es erfolgt unter anderem eine deutliche Verschärfung der Vorgaben an die Risikoidentifizierung (Schritt 2). Danach muss jeder Verpflichtete die Risiken seiner Kunden, Produkte und Transaktionen gemäß der AuA im Rahmen der vollständigen Bestandsaufnahme der unternehmensspezifischen Situation und somit auch der Dienstleistungen, der Vertriebswege und Organisationsstruktur genau kennen. Auch hinsichtlich der Bandbreite an Informationsquellen, die zur Identifizierung potentieller Risikofaktoren heranzuziehen sind, ist die Erwartungshaltung gestiegen. Weder die gesetzlich explizit beschriebenen noch die in den AuA darüber hinaus genannten Informationsquellen sind als abschließend zu betrachten. Vielmehr müssen Erkenntnisse, die einen wesentlichen Beitrag zur Ermittlung relevanter Risikofaktoren leisten können, in angemessenem Umfang einbezogen werden – das gilt für Informationen öffentlicher wie privater Stellen. Kein Verpflichteter wird künftig ohne eine dokumentierte und individuelle Herleitung von inhärenten Risiken die Umsetzung seiner Sicherungsmaßnahmen begründen können. Und der erstmalig explizit so beschriebene Weg hin zu einem durch die Geschäftsleitung zu beschließenden Residualrisiko muss sich aus dieser Argumentationskette heraus sachlogisch erklären können.
Veränderungen im Rahmen der kundenbezogenen Sorgfaltspflichten
Auch im Kontext der Kundensorgfaltspflichten gibt es eine Vielzahl von Änderungen. So werden etwa diverse Konkretisierungen hinsichtlich der im Rahmen der Identifizierung zur Überprüfung von natürlichen Personen zulässigen Dokumente vorgenommen. Zudem wird die Auszugsakzeptanz bezogen auf den Identifizierungsprozess bei juristischen Personen und Personengesellschaften eingeschränkt, indem die Datenüberprüfung auf Grundlage aktueller (d.h. bei Vorlage maximal drei Monate alter) Auszüge erfolgen soll.
Bezüglich der Pflicht zur Identifizierung wirtschaftlich Berechtigter etwa betonen die neuen AuA, dass eine Erhebung dieser Daten allein über öffentlich zugängliche Quellen oder Auskunfteien nicht ausreichend ist. Vielmehr muss die Erhebung beim Vertragspartner oder – sofern vorhanden – bei der für diesen handelnden Person erfolgen. Auch das Transparenzregister darf weiterhin nicht als alleinige Quelle herangezogen werden.
Aktualisierung 03/2025 mit Bezug auf Kryptothemen
Mit der Aktualisierung am 06.03.2025 in die AuA aufgenommen wurden etwa die bereits in der Konsultationsfassung für die Aktualisierung aus 2024 vorgesehenen Regeln zu verstärkten Sorgfaltspflichten für Kryptowertetransfers mit selbst gehosteten Adressen nach § 15a Geldwäschegesetz (GwG). Grund für die nachträgliche Ergänzung ist die Verzögerung des Finanzmarktdigitalisierungsgesetzes (FinmadiG), das erst Ende Dezember 2024 und insofern nach der Veröffentlichung der AuA-Fassung von 11/2024 vom Gesetzgeber verabschiedet wurde und in Kraft trat. Mit dem FinmadiG wurde § 15a GwG erst geschaffen.
Das neue AML-Paket
Das neue AML-Paket der EU besteht aus den folgenden vier Rechtsakten:
- Verordnung über die Verpflichtungen des privaten Sektors zur Bekämpfung der Geldwäsche und der Terrorismusfinanzierung (AMLR, Anti-Money Laundering Regulation bzw. Geldwäscheverordnung)[3]
- Richtlinie über die Mechanismen zur Bekämpfung der Geldwäsche auf nationaler Ebene (AMLD6 bzw. sechste Geldwäscherichtlinie)[4]
- Verordnung zur Errichtung der neuen EU-Behörde zur Bekämpfung der Geldwäsche und der Terrorismusfinanzierung (AMLA-R bzw. AMLA-Verordnung)[5]
- Verordnung zur Neufassung der Verordnung über Geldtransfers, die darauf abzielt, auch Kryptowertetransfers transparenter und vollständig rückverfolgbar zu machen (GTVO 2023)[6]
Die GTVO 2023 wurde bereits im Mai 2023 vom Rat der EU angenommen und im Amtsblatt der EU veröffentlicht. Sie trat im darauffolgenden Monat in Kraft. Für die Verpflichteten gilt sie bereits seit dem 30.12.2024. Die neugefasste GTVO 2023 weitet den Anwendungsbereich auf die Übertragung von Kryptowerten aus und ersetzt diesbezüglich die deutsche Kryptowertetransferverordnung (KryptoWTransfV). Zudem wird mit der GTVO 2023 unter anderem der Umfang der zu übermittelnden bzw. abzugleichenden Daten bei Geldtransfers erweitert und die Einrichtung von internen Strategien, Verfahren und Kontrollen für Zahlungsdienstleister und Anbieter von Kryptodienstleistungen zum Zwecke der Einhaltung von EU-Finanzsanktionen vorgeschrieben.[7]
Die weiteren drei Rechtsvorschriften sind am 19.06.2024 im Amtsblatt der EU veröffentlicht worden – AMLA-R ist am 01.12.2024 in Kraft getreten, AMLR und AMLD6 am 09.07.2024. Geltung für die Verpflichteten erlangt die AMLR (abgesehen von wenigen Ausnahmen) ab dem 10.07.2027, so dass ab dann grundsätzlich den neuen Anforderungen entsprochen werden muss. Geltungsbeginn der AMLA-R ist der 01.07.2025. Die AMLD6 ist von den Mitgliedstaaten bis zum 10.07.2027 in nationales Recht umzusetzen. Durch die Integration wesentlicher Inhalte der bisherigen AML-Richtlinie in die neue Verordnung weist die AMLD6 einen deutlich verringerten Inhalt auf. Sie umfasst primär Anforderungen an die Organisation des institutionellen Anti-Money-Laundering-/Combatting-the-Financing-of-Terrorism-Systems (AML-/CFT) auf nationaler Ebene – darunter Vorgaben zur Einrichtung der Transparenzregister, der Zuständigkeiten, Aufgaben und Zusammenarbeit der Financial Intelligence Units (FIUs) sowie weiterer an der Aufsicht beteiligter Behörden und Einheiten. Des Weiteren werden in der AMLD6 unter anderem Maßgaben für die nationale und EU-weite Risikobewertung getroffen sowie Möglichkeiten für die Mitgliedstaaten zur Ausweitung von AMLR-Anforderungen auf weitere nationale exponierte Sektoren bestimmt.
AMLA – Errichtung einer neuen EU-Geldwäschebehörde
Als fundamentale Neuerung wird durch die AMLA-R die Anti-Money Laundering Authority und somit eine europäische Behörde zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung mit Sitz in Frankfurt am Main eingerichtet. Ihre Tätigkeit aufnehmen wird sie zur Mitte des aktuellen Jahres mit Geltungsbeginn der AMLA-R (01.07.2025). Neben der direkten EU-weiten Aufsicht über eine Gruppe von 40 ausgewählten Finanzunternehmen mit erheblichem Risikopotential (ab dem 01.01.2028) hat sie die Aufgabe, die nationalen Aufsichtsbehörden und zentralen Meldestellen (FIUs) bei deren Aufsichtstätigkeit kontinuierlich zu überwachen sowie im Sinne der mitgliedstaatlichen Angleichung vermittelnd und koordinativ zwischen diesen zu vermitteln. Schließlich obliegt es ihr, eine Vielzahl an Regelungen des neuen AML-Pakets zu konkretisieren. Hierzu wird sie eine Vielzahl technischer Regulierungsstandards (RTS) und Durchführungsstandards (ITS) sowie Leitlinien, Stellungnahmen und Empfehlungen herausgeben bzw. vorbereiten. Damit wird ein verantwortliches Gremium für die Zielerreichung eines operativ harmonisierten EU-Geldwäschebekämpfungsprozesses geschaffen.
Geldwäscheverordnung AMLR bringt im Zuge einer europäischen Harmonisierung zahlreiche Veränderungen
Neben der Schaffung der AMLA als neuer EU-Geldwäschebehörde durch die AMLA-R ergeben sich die wesentlichsten Veränderungen im Zuge des neuen AML-Pakets durch die AMLR. Sie vereinheitlicht erstmals EU-weit die für den Privatsektor geltenden Geldwäschevorschriften in Form einer Verordnung. Dabei greift sie große Bereiche der bisherigen fünften Geldwäscherichtlinie (AMLD5) auf und verleiht ihnen unmittelbare Geltung in allen Mitgliedstaaten. Auf diese Weise sollen – besonders in grenzüberschreitenden Konstellationen – Schlupflöcher sowie Unklarheiten vermieden werden, wie sie bisweilen als Folge von zu großen Abweichungen in der Umsetzung der Richtlinie in den unterschiedlichen Mitgliedstaaten entstanden sind. Mit der AMLR gehen teils zwangsläufig für einige Länder der EU erhebliche regulatorische Änderungen und Verschärfungen einher, die vom Adressatenkreis der Pflichten über die einzurichtenden internen Strategien, Verfahren und Kontrollen der Verpflichteten bis hin zu den verschiedenen Ausprägungen der kundenbezogenen Sorgfaltspflichten reichen – und beinahe vollständig ab dem 10.07.2027 gelten. Die Verpflichteten müssen ab diesem Zeitpunkt grundsätzlich den neuen Vorgaben entsprechen, so dass ihnen nur noch ungefähr zwei Jahre zur Umsetzung des neuen Regelwerks verbleiben. Berücksichtigt man die Wechselwirkung mit allen aktuell vorhandenen Prozessabläufen, so kann sich dieses Vorhaben recht schnell zu einer Sisyphosaufgabe entwickeln.
Zudem gibt es eine Reihe zusätzlicher Verpflichteter durch die AMLR wie beispielsweise weite Teile des Kryptosektors sowie Profifußballvereine und Fußballspielervermittler.
Auch im Rahmen der allgemeinen kundenbezogenen Sorgfaltspflichten gibt es eine Vielzahl wesentlicher Neuerungen, wie unter anderem die, dass Verpflichtete den Zweck und die angestrebte Art der Geschäftsbeziehung respektive der gelegentlichen Transaktionen ausdrücklich verstehen müssen. Darüber hinaus sind fortan der Kunde – wie auch der wirtschaftlich Berechtigte (in der AMLR als „wirtschaftlicher Eigentümer“ bezeichnet) – auf das Bestehen gezielter finanzieller Sanktionen hin zu prüfen. Neben diversen die finanziellen Aspekte betreffenden zusätzlichen Angaben sind künftig etwa auch Informationen über die Geschäftstätigkeit bzw. Beschäftigung des Kunden einzuholen.
Die Bestimmung der wirtschaftlich Berechtigten verändert sich grundlegend, indem die AMLR den Verpflichteten vorschreibt, unterschiedliche, deutlich komplexere Ermittlungsmethoden als bislang gleichzeitig sowie in Kombination miteinander anzuwenden. So ist mit der AMLR zusätzlich zu der (dem Grunde nach) aus den AuA bekannten Ermittlung – die bei mehrstufigen Konstellationen jede Stufe für sich im Hinblick auf das jeweilige Überschreiten eines Schwellenwerts betrachtet – auch die Multiplikation entlang der Ketten notwendig (und anschließend Addition paralleler Stränge). Auch eine Kombination der beiden Ermittlungsweisen über verschiedene Ebenen hinweg ist in einem gewissen Rahmen vorgesehen, was die Bestimmung noch deutlich komplexer werden lässt. Als wären dies nicht bereits genug Neuerungen, weichen etwa auch die Schwellenwerte teilweise vom bislang Erforderlichen ab. Die vorgesehene Kombination der beiden Methoden dürfte – auch zusammen mit der Festlegung des Schwellenwerts für die Methode der Multiplikation auf genau 25% – zu einer nicht unwesentlichen Mehrzahl an ermittelten wirtschaftlichen Berechtigten führen. Das bedeutet, dass bis zu dem Datum des Inkrafttretens das gesamte Kundenportfolio nach den neuen Methoden überprüft werden muss – denn das Auftreten bislang (noch) nicht als relevant eingestufter Kundendatensätze dürfte nicht unerheblich sein, und die sich daraus ergebenden Folgeprozesse sind mitnichten ein zeitliches Kinderspiel.
Auch im Rahmen der verstärkten Sorgfaltspflichten gibt es Veränderungen. Darunter: Diverse Definitionen werden modifiziert oder ergänzt. So wird etwa die nicht abschließende Liste von Positionen, die zu einer Einstufung als politisch exponierte Person (PeP) führen, auf kommunaler Ebene erweitert. Auch werden fortan etwa Geschwister von bedeutenden Regierungsmitgliedern als Familienangehörige von PePs klassifiziert und sind mithin mit verstärkten Sorgfaltsmaßnahmen zu behandeln. Überdies weichen die jeweils vorzunehmenden Maßnahmen, die an die verschiedenen Konstellationen anknüpfen, zu einem gewissen Grad von den Vorgaben des GwG ab.
Massive Auswirkungen für die Verpflichteten hat besonders die Verkürzung der maximalen Wiedervorlagefristen für die Aktualisierung der Kundeninformationen. So darf für Kunden mit erhöhtem Risiko künftig maximal ein Jahr (statt bisher zwei Jahren) bis zur Aktualisierung vergehen. Für alle anderen Kunden wird der maximale Zeitabstand (von zehn bzw. fünfzehn Jahren) auf nun fünf Jahre verringert. Maßgeblich für den innerhalb der Maximalfristen zu wählenden Zeitabstand ist jeweils das mit der Geschäftsbeziehung verbundene Risiko. Von großer Bedeutung ist hierbei speziell, wie sich die neuen Vorgaben – auch unter Berücksichtigung der vorgenommenen Ausweitung der einzuholenden Informationen – auf Geschäftsbeziehungen auswirken, die bereits vor dem AML-Paket aufgenommen wurden.
Selbst den Aufsichtsbehörden ist der mit der Überprüfung und Aktualisierung der bestehenden Kundenportfolios verbundene operative Aufwand bewusst. Denn hierzu äußert sich die Europäische Bankenaufsichtsbehörde (EBA) im Consultation Paper[8] zu den „Proposed Regulatory Technical Standards in the context of the EBA’s response to the European Commission’s Call for advice on new AMLA mandates“ wie folgt:
„Specifically, when updating CDD information for existing customers, obliged entities would prioritise higher ML/TF risk business relationships in the first instance. CDD information for other business relationships, which are not high-ML/TF risk, could be completed at a later date, provided that obliged entities do not exceed a 5-year transition period.“
Es bleibt jedoch abzuwarten, ob diese Interpretation so in der finalen Würdigung Eingang finden wird.
Fazit und Ausblick – RTS und weitere Konkretisierungen setzen Leitplanken
Das Regime zur Bekämpfung von Geldwäsche und der Finanzierung von Terrorismus unterliegt speziell auf europäischer Ebene erheblichen regulatorischen Veränderungen, mit denen die Verpflichteten angemessen umgehen müssen. Auch auf nationaler Ebene hat die
BaFin mit den Aktualisierungen der AuA jüngst für weitreichende Änderungen gesorgt, die jedoch nur noch für eine beschränkte Zeit relevant sein werden.
Zugleich darf nicht unterschätzt werden, welche erheblichen operativen Konsequenzen mit der Umsetzung der neuen Vorgaben, speziell der AMLR, einhergehen. Den Verpflichteten verbleiben bis zum 10.07.2027 nur noch gut zwei Jahre, um Prozesse und Systeme an das neue Regime und seine zahlreichen Veränderungen anzupassen. Insbesondere mit Blick auf die Überprüfung und Aktualisierung der bestehenden Kundenportfolios droht ein erheblicher (Mehr-)Aufwand – der ein zeitnahes und strukturiertes Vorgehen unverzichtbar macht.
Im Kontext der AMLR wird an zahlreichen Stellen auf Konkretisierungen verwiesen, die von der AMLA veröffentlicht bzw. vorbereitet werden sollen – und die für die Verpflichteten hoffentlich mehr Antworten bringen, als sie neue Fragen aufwerfen. Die erwarteten AMLR-Konkretisierungen betreffen u.a. das Format für die Meldung von Verdachtsfällen (ITS), Mindeststandards für gruppenweite Anforderungen (RTS) oder die Mindestanforderungen und zusätzlichen Informationsquellen für die unternehmensweite Risikobewertung (Guideline) – die genannten und einige weitere Konkretisierungen jeweils mit Ausarbeitungs- bzw. Herausgabefrist für die Aufsichtsbehörde bis zum 10.07.2026. Zum Beispiel im Kryptoverwahrgeschäft erlaubt der Gesetzgeber sogar eine Herausgabe erst bis zum 10.07.2027 (etwa bezüglich Maßnahmen zur Minderung der Risiken im Zusammenhang mit Transaktionen mit einer selbst gehosteten Adresse).
Die EBA hat – da die AMLA derzeit erst im Entstehen ist – auf ein Call-for-advice-Ersuchen der EU-Kommission hin im März 2025 bereits vier Entwürfe für RTS veröffentlicht und zur Konsultation gestellt. Neben einem RTS-Entwurf, der sich auf die kundenbezogenen Sorgfaltspflichten gemäß der AMLR bezieht (Art. 28 Abs. 1 AMLR), konkretisieren die übrigen drei RTS-Entwürfe Aspekte von AMLA-R bzw. AMLD6.[9] Der Konsultationszeitraum läuft noch bis zum 06.06.2025. In den folgenden Monaten werden weitere Entwürfe folgen und schließlich auch finale Fassungen veröffentlicht werden.
Es stehen somit dynamische Zeiten in der Geldwäscheregulatorik bevor. Unabhängig von den für die Umsetzung der Harmonisierung erforderlichen Aufwänden ist die Vereinheitlichung der Regeln auf EU-Ebene aber auch eine ökonomische Chance für international agierende Verpflichtete. Die Schaffung einheitlicher Standards im Bereich der Geldwäscheprävention ermöglicht eine Komplexitätsreduktion für aktuell noch national unterschiedlich ausgelegte operative Prozesse. Unterschiedliche Behandlung von Kundendaten oder Dienstleistungen, unterschiedliche Risikoeinschätzungen oder das Vorhalten unterschiedlicher Datenhaushalte für einzelne Jurisdiktionen können überarbeitet und angepasst werden. Das führt zu erheblichen internen Einsparungspotentialen, die einerseits gehoben werden können, andererseits aber auch zu erweiterten Geschäftsopportunitäten, ohne hierfür neue und national unterschiedliche Anforderungen berücksichtigen zu müssen. Daher mag diese aktuelle Phase zwar Fluch, aber durchaus auch Segen zugleich sein. Für die Verpflichteten bedeutet das somit, aufmerksam zu bleiben und entschlossen sowie zielgerichtet und zeitnah zu handeln – besonders auch mit Blick auf Überprüfung und Aktualisierung der bestehenden Kundenportfolios. Dabei gilt es nicht nur, kurzfristig auf neue Vorgaben zu reagieren, sondern die eigenen Systeme und Prozesse zeitnah und vorausschauend in ganzheitlich angemessener und robuster Weise an das künftig geltende Regime anzupassen – insbesondere im Hinblick auf die Anwendbarkeit der AMLR ab dem 10.07.2027 und im Lichte des Beginns der operativen Tätigkeit der AMLA zur Jahresmitte 2025.
Key Takeaways – Was diskutiert der Markt gerade?
- Verkürzte KYC-Wiedervorlagefristen werden derzeit als eine der größten Herausforderung
- gesehen.
- Einheitliches EU-Single-Rulebook bietet gerade für international agierende Verpflichtete auch viele Opportunitäten.
- Ein zum Geschäfts- und Risikoprofil des verpflichteten Instituts passendes proaktives Management von Geldwäscherisiken ist unerlässlich.
- Der Umgang mit zu interpretierenden Unwägbarkeiten für regulatorische Umsetzungsprojekte ist insbesondere für bereits beaufsichtigte Verpflichtete nichts Neues.
- Ein Abwarten auf die finale Bildung von Behördenmeinungen wird nicht als zwingend angesehen, denn auch bei anderen Rechtsgebieten erfolgt dies bei der Umsetzung von zukünftig geltendem Recht nicht zwangsläufig.
- Chief Compliance Officer/Geldwäschebeauftragte wie auch General Counsels sind durchaus in der Lage, (zukünftig) geltendes Recht im Sinne der Ratio des Gesetzes auszulegen und sollten dies auch tun. Der Wortlaut des Gesetzes ist bereits bekannt, denn die EU-AMLR ist am 19.06.2024 im Amtsblatt der EU veröffentlicht worden und gilt ab dem 10.07.2027.
- Risikobasiertes Vorgehen und die Festlegung von Arbeitshypothesen helfen bereits heute bei den notwendigen Umsetzungsaktivitäten.
- Nicht zu vergessen: Geldwäsche ist eine Straftat (Strafbarkeit nach § 261 StGB)! Bei der strafrechtlichen Beurteilung von Geldwäschestraftaten werden Staatsanwaltschaften und Gerichte ab dem 10.07.2027 nicht zwingend auf öffentlich-rechtliche und aufsichtsbehördliche Auslegungen oder mögliche Übergangsfristen Rücksicht nehmen.
- Nicht rechtzeitig startende Umsetzungsprojekte können unter Umständen Organisationsverschulden und damit Haftungsfälle, nicht nur unter aufsichtsrechtlichen Aspekten, verursachen.
- Interne Umsetzungsprojekte sind unmittelbar zu starten.
Um auf diese Key Takeaways adäquat zu reagieren, verbleibt als zentrales Fazit, dass das Kundenportfolio des verpflichteten Instituts zeitnah bewertet werden sollte, um aktuelle wie auch zukünftige, insbesondere KYC-bezogene, Herausforderungen zu kennen.
