Neue GW/TF-Kontrollen gemäß Art. 12 Abs. 7 AMLA-VO und Art. 40 Abs. 2 6GWRL

Neue GW/TF-Kontrollen gemäß Art. 12 Abs. 7 AMLA-VO und Art. 40 Abs. 2 6GWRL: Sektoren, Kategorien und die 70 Datenpunkte

Die GW/TF-Aufsicht bewertet inzwischen nicht mehr nur, welche Risiken bestehen, sondern wie wirksam diese Risiken kontrolliert werden. Diese zweite Dimension wird durch einen verpflichtenden Katalog von 70 AML/CFT-Kontrolldatenpunkten operationalisiert.

Diese Kontrolldatenpunkte sind von den Verpflichteten zu erheben und an die jeweils zuständige nationale Behörde (National Competent Authority, NCA) – etwa die BaFin (Deutschland), die FMA (Österreich) oder die CSSF (Luxemburg) – zu melden. Sie ermöglichen es den Aufsichtsbehörden, die Wirksamkeit von Kontrollen standardisiert, vergleichbar und datengetrieben zu bewerten.

Sektoren

Der GW/TF-Kontroll-Melde­rahmen gilt für alle Verpflichteten und ist in folgende aufsichtliche Sektoren gegliedert:

  • CI – Kreditinstitute
  • CP – Kreditgeber
  • LI – Lebensversicherungsunternehmen
  • EMI – E-Geld-Institute
  • PI – Zahlungsinstitute
  • BC – Wechselstuben (Bureau de Change)
  • IF – Wertpapierfirmen
  • AMC – Vermögensverwaltungsgesellschaften
  • CASP – Krypto-Asset-Dienstleister
  • O – Sonstige Verpflichtete (z. B. Treuhand- und Gesellschaftsdienstleister, Rechtsanwälte, Immobilienfachleute, Glücksspielanbieter, Crowdfunding-Plattformen)

Obwohl die 70 Kontrolldatenpunkte einheitlich strukturiert sind, variieren die aufsichtlichen Erwartungen an Tiefe, Reifegrad und Nachweise je nach Sektor. Ein CASP oder Zahlungsinstitut wird beispielsweise anders beurteilt als ein Lebensversicherer oder Vermögensverwalter.

Zweck des GW/TF-Kontrolldatensatzes

Die GW/TF-Kontrolldatenpunkte dienen der Beantwortung einer zentralen aufsichtlichen Frage:

Sind die GW/TF-Kontrollen des Instituts angesichts seines objektiv gemessenen inhärenten Risikos angemessen und wirksam?

Sie sind:

  • keine Richtlinienbeschreibungen,
  • keine narrativen Selbsteinschätzungen,
  • keine Best-Practice-Statements.

Stattdessen verlangen sie nachprüfbare, operativ fundierte Informationen darüber, wie GW/TF-Kontrollen gesteuert, umgesetzt, überwacht und durchgesetzt werden.

Kategorien

Die 70 Kontrolldatenpunkte sind in sieben verpflichtende Kontrollkategorien gegliedert, die jeweils ein eigenes aufsichtliches Kontrollziel abbilden.

Governance, Kultur & Compliance-Funktion

(Rolle und Verantwortung des Leitungsorgans, GW/TF-Risikokultur, GW/TF-Compliance-Funktion und Ressourcen, GW/TF-Schulungen)

Diese Kategorie bewertet den „Tone from the Top“ und die organisatorische Verantwortlichkeit.

GW/TF-Kontrollen umfassen u. a.:

  • Verantwortung und Überwachung durch das Leitungsorgan,
  • Etablierung und Förderung einer GW/TF-Risikokultur,
  • Unabhängigkeit, Autorität und Ressourcenausstattung der GW/TF-Compliance-Funktion,
  • Bestellung und Kontinuität zentraler GW/TF-Rollen,
  • GW/TF-Schulungen für Mitarbeitende und das obere Management.

Die Aufsicht prüft, ob GW/TF aktiv gesteuert oder lediglich formal zugewiesen ist.

Interne Kontrollen & Auslagerungen

(Interne Kontrollen und Berichtssysteme, Auslagerungen und Abhängigkeit von Dritten, Interne Revision / externe Experten, Aufzeichnungs- und Aufbewahrungspflichten)

Diese Kategorie stellt die strukturelle Solidität und Prüfungsfähigkeit des GW/TF-Rahmens sicher.

GW/TF-Kontrollen umfassen u. a.:

  • interne GW/TF-Kontroll- und Berichtssysteme,
  • Auslagerungsvereinbarungen und Abstützung auf Dritte,
  • Überwachung ausgelagerter GW/TF-Tätigkeiten,
  • unabhängige Prüfungen durch Interne Revision oder externe Experten,
  • Aufzeichnungs- und Aufbewahrungsmechanismen.

Der aufsichtliche Fokus liegt auf der verbleibenden Verantwortung: Auslagerung überträgt keine Haftung.

Risikobewertung

(Unternehmensweite Risikoanalyse (BWRA) und kundenbezogene ML/TF-Risikobewertung und -klassifizierung (CRA))

Diese Kategorie bildet das analytische Fundament von GW/TF.

GW/TF-Kontrollen umfassen u. a.:

  • Existenz und Methodik der BWRA,
  • Abdeckung von Produkten, Dienstleistungen, geografischen Gebieten und Vertriebskanälen,
  • periodische und anlassbezogene Aktualisierung der BWRA,
  • kundenbezogene ML/TF-Risikobewertung und -klassifizierung,
  • Konsistenz zwischen inhärenten Risikodaten und interner Risikologik.

Die Aufsicht bewertet, ob Risikoanalysen datenbasiert, aktuell und entscheidungsrelevant sind.

Kunden-Due-Diligence & Monitoring

(Kunden-Sorgfaltspflichten und laufende Überwachung von Geschäftsbeziehungen)

Diese Kategorie regelt, wie Kundenrisiken über den gesamten Lebenszyklus gesteuert werden.

GW/TF-Kontrollen umfassen u. a.:

  • Identifizierung und Verifizierung von Kunden,
  • Identifizierung und Verifizierung wirtschaftlich Berechtigter,
  • Verständnis von Zweck und Art der Geschäftsbeziehung,
  • Anwendung verstärkter Sorgfaltspflichten,
  • laufende und periodische Überprüfung von Kundeninformationen.

Der aufsichtliche Schwerpunkt liegt auf dynamischem Kundenrisikomanagement, nicht auf reiner Onboarding-Compliance.

Transaktionsmonitoring und Verdachtsmeldungen

Diese Kategorie fokussiert die Erkennung, Bewertung und Meldung verdächtiger Aktivitäten.

GW/TF-Kontrollen umfassen u. a.:

  • Transaktionsmonitoring über alle relevanten Produkte und Dienstleistungen hinweg,
  • Erkennung ungewöhnlicher oder verdächtiger Muster,
  • interne Eskalation und Fallbearbeitung,
  • Abgabe von Verdachtsmeldungen (STR),
  • Dokumentation von Melde- und Nichtmeldeentscheidungen.

Die Aufsicht vergleicht diese Kontrollen unmittelbar mit den Transaktionsvolumina und -werten aus dem Datensatz zum inhärenten Risiko.

Gezielte Finanzsanktionen und Einhaltung der Geldtransfer-Verordnung

Diese Kategorie umfasst Sanktions-Compliance und Transparenzpflichten im Zahlungsverkehr.

GW/TF-Kontrollen umfassen u. a.:

  • Sanktionsscreening von Kunden, wirtschaftlich Berechtigten und Gegenparteien,
  • laufendes und transaktionsbezogenes Screening,
  • Behandlung und Eskalation von Sanktions-Treffern,
  • Einhaltung der Geldtransfer-Verordnung einschließlich der erforderlichen Zahler- und Zahlungsempfängerinformationen.

Die aufsichtlichen Erwartungen richten sich auf kontinuierliche, automatisierte und gut gesteuerte Screening-Prozesse.

Gruppenweites GW/TF-Rahmenwerk

(GW/TF-Governance-Strukturen, gruppenweite ML/TF-Risikoanalyse, gruppenweite Richtlinien und Verfahren einschließlich Informationsaustausch, gruppenweite GW/TF-Funktion)

Diese Kategorie gilt für Gruppen und grenzüberschreitend tätige Institute.

GW/TF-Kontrollen umfassen u. a.:

  • gruppenweite GW/TF-Governance-Strukturen,
  • gruppenweite ML/TF-Risikoanalyse,
  • harmonisierte gruppenweite Richtlinien und Verfahren,
  • Informationsaustausch innerhalb der Gruppe,
  • GW/TF-Überwachung und Koordination auf Gruppenebene.

Die Aufsicht beurteilt hier die konsolidierte Wirksamkeit und Konsistenz der Kontrollen.

Die 70 Datenpunkte

Über alle sieben Kategorien hinweg müssen Verpflichtete 70 GW/TF-Kontrolldatenpunkte melden.

Zentrale Merkmale:

  • Sie sind objektiv und überprüfbar.
  • Sie fokussieren auf Existenz, Betrieb und Wirksamkeit von Kontrollen.
  • Sie werden in Verbindung mit den 151 Datenpunkten zum inhärenten Risiko bewertet.
  • Fehlende oder inkonsistente Kontrolldaten gelten als Kontrollschwäche.

Die Anwendbarkeit hängt ab von:

  • dem Sektor,
  • dem Geschäftsmodell,
  • der Gruppenstruktur,
  • und den tatsächlich erbrachten Dienstleistungen.

Aufsichtliche Nutzung durch NCAs

Behörden wie BaFin, FMA und CSSF nutzen die GW/TF-Kontrolldaten, um:

  • die Wirksamkeit der Kontrollen im Verhältnis zum inhärenten Risiko zu bewerten,
  • aufsichtliche Maßnahmen zu priorisieren,
  • risikobasierte Aufsicht und Prüfungen zu unterstützen,
  • systemische Schwächen sektorübergreifend zu identifizieren.

Die Zukunft der GW/TF-Aufsicht

Der GW/TF-Kontroll-Melde­rahmen vollendet den Übergang der EU zu einer vollständig datengetriebenen Aufsicht.

Zusammen mit der Meldung des inhärenten Risikos ermöglichen die 70 GW/TF-Kontrolldatenpunkte der Aufsicht zu beurteilen,

  • ob Risiken ordnungsgemäß gesteuert werden,
  • ob Kontrollen in der Praxis funktionieren,
  • und ob Institute dies konsistent und jederzeit nachweisen können.

Für Verpflichtete liegt die Herausforderung nicht mehr in der Dokumentation von Kontrollen, sondern darin, sicherzustellen, dass Governance, Prozesse, Systeme und Nachweise aufeinander abgestimmt, operativ wirksam und prüfungssicher sind.

Download

ENTWURF – GW TF Kontrollen gemäß Art. 12 Abs. 7 AMLA-VO und Art. 40 Abs. 2 AML-RLHerunterladen

Quellen:

https://eur-lex.europa.eu/eli/dir/2024/1640/oj/deu

https://eur-lex.europa.eu/eli/reg/2024/1620/oj/deu

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert