Abstract: Am 6. März 2025 veröffentlichte die European Banking Authority (EBA) neue Konsultationsentwürfe zu den technischen Regulierungsstandards (RTS) im Rahmen der AML-Verordnung und der 6. EU-Geldwäscherichtlinie. Diese Entwürfe präzisieren die Anforderungen für die Geldwäscheprävention und legen wesentliche regulatorische Maßstäbe fest. Der folgende Beitrag beleuchtet die zentralen Inhalte der RTS, analysiert deren Bedeutung für Verpflichtete und gibt einen Ausblick auf die nächsten Schritte.
1. Hintergrund und Bedeutung der Konsultationsentwürfe
Das AML-Paket der Europäischen Union, bestehend aus der AML-Verordnung, der 6. EU-Geldwäscherichtlinie und der AMLA-Verordnung, schafft eine neue regulatorische Grundlage zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung. Zentraler Bestandteil dieser Reform ist die Einführung einheitlicher technischer Regulierungsstandards (RTS), die detaillierte Vorgaben zur Umsetzung der rechtlichen Anforderungen festlegen.
Während die neu gegründete AMLA künftig für die Ausarbeitung dieser Standards zuständig sein wird, hat die Europäische Kommission die EBA beauftragt, vorübergehend die Entwicklung der ersten Entwürfe zu übernehmen. Die nun veröffentlichten Konsultationsentwürfe sind ein entscheidender Schritt auf dem Weg zu einer einheitlichen europäischen Geldwäscheprävention.
2. Die vier neuen EBA-Konsultationsentwürfe im Detail
a) Bewertung des inhärenten und Residualrisikos von Verpflichteten (Art. 40 Abs. 2 der 6. EU-Geldwäscherichtlinie)
Ein zentraler Bestandteil der neuen regulatorischen Rahmenbedingungen ist die risikobasierte Überwachung von Verpflichteten. Intensität und Häufigkeit etwa von „Ermittlungen vor Ort“ sollen sich am Risikoprofil der Verpflichteten orientieren. Die EBA schlägt eine systematische Methodik zur Ermittlung des inhärenten und des verbleibenden Risikos vor.
Diese Methodik umfasst detaillierte Datenpunkte, die von den Aufsichtsbehörden zur Bewertung der Sicherheitsmaßnahmen und zur Risikoeinstufung von Verpflichteten herangezogen werden. Ziel ist es, aus den Datenpunkten ein individuelles Risikoprofil jedes Verpflichteten zu erstellen. Vorgesehen ist eine weitgehend automatisierte Ermittlung des Risikoprofils durch die Aufsichtsbehörden. Ein standardisiertes Formular soll dabei helfen, ein konsistentes Bewertungsverfahren in allen Mitgliedstaaten sicherzustellen.
Sollte der Entwurf in diesem Punkt Bestand haben, kann dies für Verpflichtete eine willkommene Arbeitshilfe darstellen. So werden etwa explizit die Datenpunkte genannt, die zur Ermittlung der Wirksamkeit der Sicherungsmaßnahmen erfasst werden sollen (s. Abschnitt B Annex I).
b) Direkte Beaufsichtigung von Kredit- und Finanzinstituten durch die AMLA (Art. 12 Abs. 7 AMLA-Verordnung)
Erstmals wird mit der AMLA eine EU-weit tätige Aufsichtsbehörde geschaffen, die bestimmte Finanzinstitute direkt beaufsichtigt. Diese Aufgabe kam bisher zwar vereinzelt der EBA zu, allerdings stellte dies keine direkte geldwäscherechtliche Beaufsichtigung von Verpflichteten dar. 40 Kreditinstituten, Finanzinstituten sowie Gruppen von Kredit- und Finanzinstituten sollen nun zukünftig durch die AMLA unmittelbar beaufsichtigt werden (siehe Art. 5 Abs. 2 AMLA-Verordnung). Die Bestimmung dieser Institute erfolgt risikobasiert und mit Bezug auf den geografischen Rahmen, in dem die Unternehmen geschäftlich tätig sind.. Die Auswahl dieser Institute basiert auf zwei wesentlichen Kriterien:
- Internationale Geschäftstätigkeit: Die Finanzinstitute müssen in mindestens sechs EU-Mitgliedstaaten – grenzüberschreitend oder im Wege einer Zweigniederlassung – tätig sein.
- Risikoprofil: Die Institute müssen als besonders risikobehaftet eingestuft werden.
Der Konsultationsentwurf enthält zwei wesentliche Präzisierungen: Erstens schlägt die EBA ein Verfahren zur Bestimmung des Risikoprofils der potenziell betroffenen Verpflichteten vor (siehe Artikel 2 ff. des Entwurfs). Zweitens beinhaltet der Entwurf einen Vorschlag zur Berechnung des Umsatzumfangs bei grenzüberschreitenden Angeboten (siehe Artikel 1 des Entwurfs). Demnach gilt ein Angebot in einem Mitgliedstaat als relevant, wenn entweder die Anzahl der betroffenen Kunden 20.000 übersteigt oder das Transaktionsvolumen die Schwelle von 50.000.000 EUR überschreitet.
c) Präzisierung der Kundensorgfaltspflichten (Art. 28 Abs. 1 AML-Verordnung)
Eine der bedeutendsten Änderungen für die Verpflichteten im Rahmen des AML-Pakets betrifft die Neuregelung der Kundensorgfaltspflichten, die bislang in den §§ 10 ff. GwG geregelt sind. In Zukunft werden diese Vorgaben unmittelbar aus der AML-Verordnung abgeleitet, insbesondere aus den Artikeln 24 ff. Ziel dieser Regelung ist vor allem die Vereinheitlichung des KYC-Verfahrens innerhalb der Europäischen Union (siehe Erwägungsgrund 52 der AML-Verordnung). Nach Artikel 28 ist vorgesehen, dass die AMLA weitere Konkretisierungen in Form von Regulatory Technical Standards (RTS) entwickelt, die als „RTS CDD“ (Customer Due Diligence) bezeichnet werden.
Aufs Ganze betrachtet bringt der Entwurf der EBA nur wenig Neues mit sich. Die Artikel 1 bis 4 der RTS CDD enthalten Präzisierungen zu den im Rahmen des KYC-Prozesses zu erfassenden Daten. Daraus kann sich gegebenenfalls ein Anpassungsbedarf bei der Speicherung dieser Daten ergeben. Mit den Bestimmungen zur Fernidentifizierung befasst sich Artikel 6. Dort ist vorgesehen, dass grundsätzlich eIDAS-konforme Verfahren zulässig sind, sofern sie ein Schutzniveau von mindestens „substanziell“ gewährleisten (Art. 6 Abs. 1 RTS CDD). Darüber hinaus ist auch die Nutzung der eID-Wallet zulässig. Eine detaillierte Liste der erforderlichen Datenpunkte findet sich im Anhang des Entwurfs.
Auch weiterhin erlaubt dürfte auch das in Deutschland weit verbreitete Videoidentifizierungsverfahren bleiben, allerdings bleibt der Konsultationsentwurf an dieser Stelle unklar. Alternative Identifizierungsverfahren sollen laut Entwurf nur dann zulässig sein, wenn ein eIDAS-konformes Verfahren nicht verfügbar ist oder „nicht vernünftigerweise erwartet werden kann“ („[…] cannot reasonably be expected to be provided […]“).
Die RTS CDD enthalten zudem Regelungen zu den vereinfachten Sorgfaltspflichten gemäß Artikel 33 der AML-Verordnung. Hier wird festgelegt, welche Mindestdaten bei geringem Risiko einzuholen sind und welche Quellen zur Identifizierung herangezogen werden dürfen (Artt. 18 ff. RTS CDD). Die Erleichterungen für Verpflichtete bei geringem Risiko einer Geschäftsbeziehung sind jedoch unter der AML-Verordnung erheblich eingeschränkt worden. Die RTS CDD tragen hierzu kaum zur Entlastung bei.
Eine wesentliche Erleichterung sieht der Entwurf jedoch im Umgang mit Bestandskunden vor. Mehrere Verpflichtete und Branchenverbände hatten darauf hingewiesen, dass eine vollständige Aktualisierung aller KYC-Daten zum Inkrafttreten der AML-Verordnung wirtschaftlich nicht praktikabel sei. Diesem Anliegen wurde Rechnung getragen, indem Artikel 32 Unterabsatz 2 des Konsultationsentwurfs eine Übergangsfrist vorsieht, die sich nach der Risikobewertung der jeweiligen Geschäftsbeziehung richtet. Da der maximale Zeitraum für die Aktualisierung von Kundendaten künftig fünf Jahre beträgt (Artikel 26 Abs. 2 AML-Verordnung), müssen auch die KYC-Daten von Bestandskunden spätestens innerhalb dieser Frist auf das durch die AML-Verordnung vorgeschriebene Niveau angehoben werden.
Eine inhaltlich neue Verpflichtung betrifft die Verbindung der Bereiche Geldwäsche- und Terrorismusfinanzierungsprävention mit der Umsetzung restriktiver Maßnahmen. Erstmals schreibt die AML-Verordnung vor, dass Verpflichtete sicherstellen müssen, ob ihre Kunden gezielten finanziellen Sanktionen unterliegen. Die RTS CDD konkretisieren hierbei, in welchem Umfang, mit welchen Methoden und zu welchen Zeitpunkten eine Überprüfung auf Sanktionsbetroffenheit erfolgen muss. So soll grundsätzlich der Einsatz automatisierter Screening-Systeme erfolgen, wobei in Ausnahmefällen auch ein manuelles Screening ausreicht (Art. 29 lit. a) RTS CDD). Diese Neuregelung dürfte vor allem für Verpflichtete außerhalb des Finanzsektors von Bedeutung sein. Für Verpflichtete des Finanzsektors bestehen bereits eigene, in der Regel strengere Vorschriften, beispielsweise nach Artikel 5d der SEPA-Verordnung („Instant Payments Regulation“).
Unverständlich bleibt jedoch, dass die EBA bei der Entwicklung der RTS einen „prinzipienorientierten Ansatz“ verfolgt. Dies steht im Widerspruch zum Ziel einer Vereinheitlichung des KYC-Prozesses, wie es in der AML-Verordnung und in den Begründungen der EBA vorgesehen ist.
d) Sanktionen und Verwaltungsmaßnahmen bei Verstößen gegen die AML-Vorgaben (Art. 53 der 6. EU-Geldwäscherichtlinie)
Der jüngste von der EBA veröffentlichte RTS-Entwurf bezieht sich auf die in Artikel 53 der 6. Geldwäscherichtlinie vorgesehenen Sanktionen, darunter mögliche Geldstrafen, behördliche Maßnahmen der zuständigen Aufsichten sowie wiederkehrende Strafzahlungen bei Verstößen gegen die Vorgaben der AML-Verordnung oder der Geldtransferverordnung. Gemäß Artikel 53 Absatz 10 der 6. Geldwäscherichtlinie ist die AMLA verpflichtet, technische Regulierungsstandards (RTS) zu entwickeln, die Indikatoren zur Einstufung des Schweregrads von Verstößen, Kriterien für die Bemessung von Geldbußen oder die Verhängung verwaltungsrechtlicher Maßnahmen sowie eine Methodik zur Festsetzung von Zwangsgeldern einschließlich ihrer Frequenz definieren.
In ihrem Entwurf hebt die EBA ausdrücklich hervor, dass die derzeitige Handhabung von Sanktionen aus ihrer Sicht erhebliche Defizite aufweist. Demnach verfügen mehr als die Hälfte der zuständigen Aufsichtsbehörden über keine internen Leitlinien zur Verhängung von Bußgeldern. Um diesem Missstand entgegenzuwirken, schlägt die EBA einen detaillierten Kriterienkatalog zur Bewertung insbesondere der Schwere eines Verstoßes vor. Darüber hinaus enthält der Entwurf Regelungen zur Berücksichtigung des Verhaltens der sanktionierten betroffenen Person, beispielsweise hinsichtlich ihres Vorgehens nach Aufdeckung der Verstoßes.
3. Nächste Schritte und Implikationen für Verpflichtete
Die EBA nimmt bis zum 6. Juni 2025 Stellungnahmen zu den Entwürfen entgegen. Unternehmen und Verbände sollten diese Gelegenheit nutzen, um Einfluss auf die finalen Regelungen zu nehmen. Nach Abschluss der Konsultationsphase wird die EBA die überarbeiteten Entwürfe der Europäischen Kommission vorlegen, die diese als delegierte Verordnungen verabschieden wird.
Zu den Autoren:
Till Christopher Otto ist Rechtsanwalt bei Annerton am Standort Frankfurt am Main. Er berät allgemein zu regulatorischen Themen insbesondere in den Bereichen KWG, WpHG, ZAG und GwG.
Sebastian Glaab ist Rechtsanwalt und Partner bei Annerton in Frankfurt am Main. Insbesondere in den Themenfeldern Geldwäscheprävention (Herausgeber des GwG-Kommentars „Zentes/Glaab“), Wertpapier-Compliance, MaRisk-Compliance und Sanktionen verfügt er über umfangreiches Wissen und ist aufgrund seiner 12-jährigen Tätigkeit als Compliance-Officer und Geldwäschebeauftragter in einem international tätigen Kreditinstitut bestens mit der Praxis vertraut.
Sebastian Glaab ist regelmäßig Referent bei Fachvorträgen und Veranstaltungen im Finanzumfeld.