Zwei neue technische Regulierungsstandards (RTS): Was Verpflichtete, Geldwäschebeauftragte und IT bis 2028 umsetzen müssen
Zwei RTS, eine kombinierte Wirkung
Mit dem neuen EU-AML-Rahmenwerk verschiebt sich der Fokus der Geldwäscheaufsicht grundlegend: weg von narrativen Selbsteinschätzungen hin zu standardisierten, datengetriebenen Risikobewertungen. Zwei Regulatory Technical Standards (RTS) sind zentral für diesen Wandel:
- RTS nach Art. 12 Abs. 7 der AMLA-Verordnung (EU) 2024/1620
→ Methodik zur Auswahl von Instituten für die direkte Aufsicht durch die AMLA - RTS nach Art. 40 Abs. 2 6. EU-Geldwäscherichtlinie (EU) 2024/1640
→ Methodik zur Bewertung des inhärenten Risikos, der Qualität der Kontrollen und des Restrisikos durch die Aufsichtsbehörden
Beide RTS treten voraussichtlich am 31. Dezember 2027 in Kraft. Ab dem 1. Januar 2028 müssen die national zuständigen Behörden (NCAs) mit der Erhebung der erforderlichen Daten bei den Instituten beginnen.
RTS 1: Auswahl für die direkte AMLA-Aufsicht (Art. 12 der AMLA-Verordnung (EU) 2024/1620)
Ziel des RTS
Dieser RTS definiert die objektiven, quantitativen Kriterien, nach denen die AMLA Institute und Gruppen für die direkte Aufsicht auswählt.
Zentrale Elemente
- Tätigkeit in mindestens sechs EU-Mitgliedstaaten
- Materialitätsschwellen (z. B. mehr als 20.000 Kunden oder mehr als 50 Mio. EUR jährliches Transaktionsvolumen pro Mitgliedstaat)
- Einheitliches Scoring-Modell für:
- inhärentes Risiko
- Qualität der AML-Kontrollen
- Restrisiko
- Gruppenweite Aggregation
Auswirkungen auf Institute
- Die Auswahl erfolgt datenbasiert und reproduzierbar, nicht mehr ermessensabhängig.
- Institute müssen jederzeit zuverlässige Kennzahlen liefern können – unabhängig davon, ob sie aktuell der direkten AMLA-Aufsicht unterliegen.
RTS 2: Aufsichtliche Risikobewertung (Art. 40 der 6. EU-Geldwäscherichtlinie (EU) 2024/1640)
Ziel des RTS
Dieser RTS verpflichtet die Aufsichtsbehörden, bei der Bewertung des Risikoprofils aller Finanzinstitute eine einheitliche Methodik anzuwenden.
Kernelemente
- Harmonisierte Indikatoren und Datenpunkte (Anhang I)
- Einheitliche Skala von 1 bis 4:
- für inhärentes Risiko
- für die Qualität der Kontrollen (invertiert)
- Ableitung eines Restrisikos
- Jährliche Bewertungen sowie anlassbezogene Überprüfungen
- Keine narrativen Risikobegründungen
Wer ist wofür verantwortlich?
Verpflichtete: Datenverantwortung ohne Ausreden
Obwohl die RTS formal an die Aufsichtsbehörden gerichtet sind, liegt die praktische Last eindeutig bei den Instituten.
Warum?
Alle relevanten Daten existieren ausschließlich in den eigenen Systemen:
- Kernbanksysteme
- Zahlungs- und Handelssysteme
- KYC-Systeme (z. B. SironKYC)
- Transaktionsmonitoringsysteme (z. B. SironAML, Smaragd TCM/CBM)
- Fallmanagement- und STR-Systeme
Verantwortlichkeiten
- Sicherstellung der Datenverfügbarkeit
- Konsistente Aggregation gemäß Anhang I
- Reproduzierbarkeit (Stichtage, Historisierung)
- Bereitstellung der Daten auf aufsichtliche Anforderung
Der RTS schreibt kein Portal, keine Excel-Vorlage und keine API vor. Institute müssen liefern können – unabhängig vom technischen Format, das die Aufsicht anfordert.
Geldwäschebeauftragte: Vom Richtlinien-Autor zum Datenverwalter
Die Rolle des Geldwäschebeauftragten verändert sich grundlegend.
Neue Kernverantwortlichkeiten
- Fachliche Definition der RTS-Kennzahlen
(z. B. „CDD nicht im Einklang mit Art. 20 AMLR“, „Überprüfung überfällig“) - Verantwortung für die inhaltliche Konsistenz der Daten
- Steuerung von Governance-Kennzahlen:
- Berichtshäufigkeit an das Leitungsorgan
- Genehmigungen der BWRA
- Schulungsabdeckung einschließlich des Leitungsorgans
- Zentrale Schnittstelle zu den Aufsichtsbehörden
Was entfällt
- Narrative Risikoerläuterungen
- Informelle „Einzelfallargumente“
- Nationale Sonderinterpretationen
Der Geldwäschebeauftragte wird zum verantwortlichen Eigentümer eines datengetriebenen Kontrollmodells.
IT-Abteilungen: Kritischer Erfolgsfaktor für RTS-Compliance
Ohne IT gibt es keine RTS-Readiness.
Verantwortlichkeiten der IT
- Identifikation der Single Source of Truth für jeden Datenpunkt
- Technische Extraktion aus AML-, KYC- und Kernsystemen
- Automatisierung statt manueller Excel-Sammlungen
- Sicherstellung von:
- Datenqualität
- Versionierung
- Audit-Trails
- Reproduzierbarkeit
Wichtig
Der RTS führt keine neue regulatorische Meldung wie AnaCredit oder Großkreditanzeigen ein.
Er verlangt jedoch, dass Daten jederzeit konsistent darstellbar sind.
Wie häufig erfolgen Bewertungen?
- Jährlich (Regelfall)
- Alle drei Jahre nur in eng begrenzten Niedrigrisikofällen
- Anlassbezogen innerhalb von vier Monaten nach wesentlichen Ereignissen
(z. B. Änderungen des Geschäftsmodells oder gravierende AML-Mängel)
Die Bewertung erfolgt durch die nationale zuständige Behörde anhand der RTS-Methodik. Die Institute liefern die zugrunde liegenden Daten.
2027 ist keine Frist, sondern ein Wendepunkt
Die beiden RTS markieren den Übergang zu einem messbaren, vergleichbaren und datengetriebenen Aufsichtsregime in der EU.
Verpflichtete
- Daten werden zu einem aufsichtlichen Risikofaktor
- Vorbereitung ist unvermeidbar
Geldwäschebeauftragte
- Verantwortung verlagert sich von Texten zu Kennzahlen
IT-Abteilungen
- Verhinderung von Geldwäsche und Terrorismusfinanzierung wird zu einem strukturierten Datenprodukt
Wer seine Daten bis zum 31. Dezember 2027 beherrscht, wird am 1. Januar 2028 nicht überrascht.
Wer wartet, wird von der Methodik überholt.
Jetzt handeln – RTS-Readiness systematisch aufbauen
Die Auswirkungen der beiden RTS beginnen nicht 2028, sondern jetzt in der Vorbereitungsphase. Ein strukturierter Ansatz heute vermeidet später operative Überlastung, Datenchaos und aufsichtliche Eskalation.
Die folgenden fünf Schritte sollten unverzüglich eingeleitet werden:
- Information des zuständigen Mitglieds des Leitungsorgans
Die Verantwortung für RTS-Readiness ist nicht delegierbar.
Das zuständige Vorstands- oder Geschäftsleitungsmitglied (z. B. Risiko, Compliance, COO oder IT) muss formal informiert und eingebunden werden, da Governance-, Ressourcen- und Budgetentscheidungen erforderlich sind. - Beantragung von Budget und zusätzlichen Ressourcen für 2026 und 2027
RTS-Readiness ist ein mehrjähriges Vorhaben.
Zielgerichtete Mittel sind zu sichern für:- AML-Fachexpertise
- IT- und Datenkapazitäten
- Reporting und Qualitätssicherung
Ohne frühzeitige Budgetfreigabe entsteht ab 2027 ein struktureller Engpass.
- Definition und Einberufung eines Steering Committees
Ein interdisziplinäres Steering Committee ist zwingend:- AML-Compliance-Officer (fachliche Gesamtverantwortung)
- IT/Data (technische Umsetzung)
- ggf. Risk/Finance
- Interne Revision (Beobachterrolle)
Das Gremium sollte formal bestellt werden und regelmäßig tagen.
- Strukturierte Projektplanung durchführen
Auf Basis der RTS-Anforderungen ist eine verbindliche Projekt-Roadmap bis zum 31. Dezember 2027 zu erstellen, einschließlich:- Gap-Analyse zu Anhang I
- Standardisierung von KPIs und Definitionen
- technischer Datenbefähigung
- Governance- und Kontroll-Readiness
- eines Probelaufs vor Inkrafttreten
RTS-Readiness darf kein Nebenprojekt sein.
- Bedarf an externer Unterstützung prüfen und Angebote einholen
Bei fehlenden internen Kapazitäten oder Spezialkenntnissen sollte frühzeitig externe Unterstützung eingeholt werden, z. B. für:- Datenmodellierung gemäß Anhang I
- KPI-Definition und Prüfungsfestigkeit
- Projekt- und Implementierungsunterstützung
Externe Hilfe ist keine Schwäche, sondern umsichtiges Risikomanagement.
RTS-Readiness ist keine Frage des Ob, sondern des Wie gut vorbereitet.
Wer jetzt entscheidet, bleibt handlungsfähig. Wer zögert, wird reagieren müssen.
Der richtige Zeitpunkt zu starten ist JETZT.
Quelle: https://www.amla.europa.eu/policy/regulatory-instruments_en