AMLR-Compliance erreichen

Die europäische Anti-Money-Laundering-Regulation (EU-AMLR) harmonisiert erstmals die geldwäscherechtlichen Vorschriften EU-weit und gilt ab 10. Juli 2027 unmittelbar für alle verpflichteten Unternehmen, etwa im Finanzsektor.

Definition EU-AMLR

Die EU-AMLR, formal bekannt als Verordnung EU 2024/1624, ist die zentrale Verordnung des neuen EU-Geldwäschepakets, die darauf abzielt, Vorschriften zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung in der gesamten Europäischen Union zu vereinheitlichen und so die Resilienz des europäischen Wirtschafts- und Finanzsystems zu verbessern.

Kernprinzipien des EU-AMLR-Pakets

Mit der AMLR wird ein einheitliches “Single Rulebook” für die Bekämpfung von Geldwäsche und Terrorismusfinanzierung geschaffen, das einen harmonisierten risikobasierten Ansatz (RBA) mit EU-weiten Risikofaktoren-Listen und verpflichtenden Risikobewertungen beinhaltet. Allgemein geht es darum:

• einheitliche EU-Regeln zu etablieren,
• erweiterte Sorgfaltspflichten einzuführen,
• zusätzliche Datenanforderungen in Know-Your-Customer-Prozessen zu erfüllen,
• die EU-weite, federführende Aufsicht durch die Anti Money Laundery Authority (AMLA) auszubauen.

Pflichten für Unternehmen

Customer Due Diligence (CDD) und Enhanced Due Diligence (EDD) müssen mit Start der EU-AMLR nach einheitlichen Vorgaben erfolgen und Verpflichtete haben hierfür kürzere Aktualisierungsfristen zu berücksichtigen; für Hochrisikokunden bedeutet dies etwa, dass jährliche Überprüfungen erfolgen müssen.

Zusätzlich wird mit der EU-AMLR das Sanktionsscreening sowie die PEP-Definitionen harmonisiert und erweitert, beispielsweise sind nun auch Leiter lokaler Behörden als „politisch exponierte Person“ (PEP) zu erfassen. Gruppenweite Risikobewertungen und interne Kontrollen sind ab dem 10. Juli 2027 ebenfalls vorgeschrieben, ergänzt um strengere Meldepflichten an Transparenzregister.

Auch die Pflichten im Rahmen von Know-Your-Business-Verfahren (KYB) sind mit der EU-AMLR konkretisiert worden, Beneficial Ownership wird demzufolge einheitlich bei 25% Schwellenwert geregelt, inklusive komplexer Berechnungslogik für Mehrstufenstrukturen.

EU-AMLR-verpflichtete Unternehmen

Neben den bisher bereits Verpflichteten, etwa im Finanzsektor, erweitert die EU-AMLR den Anwendungsbereich auf Holding‑/Finanzholding‑Gesellschaften, FinTechs, Kryptowertedienstleister (CASPs), Crowdfunding-Plattformen und Profifußballvereine (für diese gilt jedoch eine Übergangsfrist bis 2029).

Warum Verpflichtete jetzt handeln müssen: Roadmap und Zeitplan

Die EU‑weit ab 10.07.2027 geltende AMLR verlangt, dass verpflichtete Unternehmen ihre Risikoanalysen, Governance, Know-Your-Customer-/CDD‑Prozesse, IT/Datenmanagement und Reporting systematisch auf das neue, harmonisierte Regelwerk ausrichten.

Zeitliche Eckpunkte der EU-AMLR

• 09.07.2024
  Das EU-AMLR‑Paket wurde im EU‑Amtsblatt veröffentlicht, die EU-AMLR tritt damit in Kraft.
• 01.07.2025
  Die EU-weite AMLA nimmt ihre Tätigkeit auf.
• 10.07.2025–2026
  Umsetzung einzelner AMLD6‑Pflichten (unter anderem bezogen auf Beneficial‑Ownership‑Regeln, Transparenzregister).​
• 10.02.2026
  Es gelten aktualisierte, konsolidierte Hinweise zum Geldwäschegesetz (GwG), und die GwG-Meldeverordnung (GwG-MeldV) wird relevant.
• 10.07.2027
  Die EU-AMLR gilt generell und unmittelbar, AMLD6 ist vollständig umzusetzen, AMLD4 wird abgelöst.
• Bis 10.07.2029
  Vollständige Umsetzung bestimmter Sektoren‑ und registerbezogener Pflichten (z. B. Immobilienregister, teils sektorale AMLR‑Regeln).

Identifikationsverfahren als Kernbaustein in der EU-AMLR

Identifikationsverfahren bilden den Kern der Customer Due Diligence (CDD) in der EU-AMLR und umfassen die Identifizierung sowie Verifizierung von Kunden, wirtschaftlich Berechtigten (Ultimate Beneficial Owners oder UBOs) mit standardisierten Datensätzen und risikobasierten Methoden. Sie werden durch Regulatorische Technische Standards (RTS) konkretisiert, mit Fokus auf digitale, nach eIDAS 2.0 zertifizierte Verfahren.

CDD-Pflichten gemäß Art. 20 EU-AMLR

Die EU-AMLR priorisiert automatisierte, digitale Identifikationslösungen, die nach eIDAS 2.0 zertifiziert sind.

• Identifikation von Kundinnen und Kunden (Privatpersonen)
  Namen, Adresse, Geburtsdatum/-ort, Staatsangehörigkeiten, ID-Dokumentnummer, Steuer-ID (falls verfügbar).
• Identifikation von Unternehmen
  Verifizierung der Eigentümerstruktur inklusive der UBOs, Erfassung des Geschäftszwecks und der Transaktionsnatur. Im Falle von Unklarheiten sind alle Personen aus dem Senior Managing Level zu identifizieren. Für diese sowie die UBOs sind die gleichen Datensätze wie für Privatpersonen zu erheben und zu verwalten.

Methoden zur Verifikation gemäß Art. 22 EU-AMLR

Die in Deutschland ab Anfang 2027 verfügbare, EU-weit interoperable EUDI-Wallet soll als eIDAS 2.0 konforme Methode zur Identifikation priorisiert und gemäß Implementing Act ab 01.01.2028 von allen Verpflichteten akzeptiert werden.

Fallback-Lösungen sind weiterhin zulässig, sofern sie nach eIDAS 2.0 zertifiziert sind. Da die Akzeptanz von eID-Lösungen (auf denen die EUDI-Wallet basiert) in der Bevölkerung aktuell eher gering ist, sind verpflichtete Unternehmen gut beraten, ihre vorhandenen und gut etablierten Ident-Verfahren ebenfalls EU-AMLR-konform vorzuhalten.

Video-Ident-Verfahren wie VideoID von WebID beispielsweise ist TÜV-zertifiziert und zulässig nach eIDAS 2.0. Umfassend und kontinuierlich geschulte Agents führen die Kundinnen und Kunden hierbei in einem Video-Live-Call in HD-Qualität durch den Identifikationsprozess, der mit einer KI-basierten Dokumenten-Echtheitsprüfung und einem Blocklisten-Abgleich ergänzt wird und somit höchste Sicherheitsstandards erfüllt. VideoID ist Bestandteil des WebID Identity Hubs, mit dem Verpflichtete ihr ID-Ökosystem perfekt orchestrieren – und auch den zukünftigen EU-AMLR-Anforderungen entsprechen.