Neue Datenpunkte zum inhärenten Risiko gemäß Art. 12 Abs. 7 AMLA-VO und Art. 40 Abs. 2 6GWRL: Sektoren, Risikokategorien und die 151 Datenpunkte
Die GW/TF-Aufsicht befindet sich in einem grundlegenden Wandel. Die Aufsicht entfernt sich von narrativen, richtlinienbasierten Bewertungen und entwickelt sich hin zu einem quantitativen, datengetriebenen Risikomodell.
Im Zentrum dieses Wandels steht ein fester Katalog von 151 substanziellen GW/TF-Datenpunkten, die Verpflichtete an ihre jeweilige nationale zuständige Behörde (National Competent Authority, NCA) – etwa die BaFin (Deutschland), die FMA (Österreich) oder die CSSF (Luxemburg) – zu erheben und zu melden haben. Diese Datenpunkte bilden die ausschließliche Tatsachengrundlage für die aufsichtliche Risikobewertung.
Sektoren
Die RTS gelten für alle Verpflichteten nach Artikel 3 GWVO und sind in eine harmonisierte aufsichtliche Sektor-Taxonomie gegliedert:
- CI – Kreditinstitute
- CP – Kreditgeber
- LI – Lebensversicherungsunternehmen
- EMI – E-Geld-Institute
- PI – Zahlungsinstitute
- BC – Wechselstuben (Bureau de Change)
- IF – Wertpapierfirmen
- AMC – Vermögensverwaltungsgesellschaften
- CASP – Krypto-Asset-Dienstleister
- O – Sonstige Verpflichtete (z. B. Treuhand- und Gesellschaftsdienstleister, Rechtsanwälte, Immobilienmakler, Glücksspielanbieter, Crowdfunding-Plattformen)
Diese Sektorklassifikation ist nicht beschreibend, sondern bestimmt:
- welche Datenpunkte anwendbar sind,
- welche inhärenten Risiken unterstellt werden,
- und wie Institute EU-weit miteinander verglichen werden.
Verpflichtete müssen alle Datenpunkte melden, die auf die von ihnen tatsächlich angebotenen Sektoren, Produkte und Dienstleistungen anwendbar sind – unabhängig davon, wie sie ihr Geschäftsmodell intern beschreiben.
Risikokategorien
Die Aufsicht ordnet inhärente GW/TF-Risiken fünf verpflichtenden Risikokategorien zu. Jeder der 151 Datenpunkte ist genau einer dieser Kategorien zugeordnet.
Kunden
Diese Kategorie erfasst, mit wem das Institut Geschäftsbeziehungen unterhält.
Zu den Datenpunkten zum inhärenten Risiko zählen u. a.:
- Gesamtzahl der Kunden,
- Anzahl natürlicher Personen und juristischer Personen,
- PEP-Exponierung (Kunden und wirtschaftlich Berechtigte),
- Kunden mit komplexen Eigentums- und Kontrollstrukturen,
- Kunden mit Hochrisiko-Geschäftstätigkeiten,
- neu aufgenommene Kunden im Vorjahr.
Diese Kennzahlen ermöglichen es der Aufsicht, Größe, Komplexität und Integritätsrisiken der Kundenbasis zu beurteilen.
Produkte
Die Produktkategorie spiegelt wider, welche Finanzinstrumente oder Wertaufbewahrungsmechanismen angeboten werden.
Sie ist in granulare produktspezifische Unterkategorien gegliedert, u. a.:
- Zahlungskonten
- Virtuelle IBANs
- Prepaid-Karten
- Kreditgeschäft (Konsumenten-, Immobilien-, asset-basierte Kredite)
- Factoring
- Lebensversicherungsverträge
- Bargeldbezogener Währungsumtausch
- E-Geld
- Geldtransferdienste
- Vermögensverwaltung
- Korrespondenzdienstleistungen
- Handelsfinanzierung
- Verwahrung von Krypto-Assets
- Krypto-Cash-Karten
- Tausch Krypto ↔ Fiat
- Tausch Krypto ↔ Krypto
- Übertragung von Krypto-Assets
- Wertpapierdienstleistungen (Annahme und Übermittlung von Aufträgen, Depotführung, Portfolioverwaltung)
- Verwaltung von OGAW
- Verwaltung von AIF
- Verwahrdienstleistungen
- Crowdfunding
- Bargeldtransaktionen
Für jedes anwendbare Produkt oder jede Dienstleistung verlangen die RTS quantitative Indikatoren, typischerweise:
- Anzahl der Transaktionen,
- Gesamtvolumen (EUR),
- Anzahl der nutzenden Kunden,
- spezifische Risiko-Verstärker (z. B. unhosted Wallets, Zahlungen über Dritte).
Wird ein Produkt oder eine Dienstleistung nicht angeboten, sind die entsprechenden Datenpunkte als „nicht anwendbar“ zu melden – sie dürfen nicht weggelassen werden.
Dienstleistungen
Dienstleistungen beschreiben, wie Produkte in der Praxis genutzt werden.
Zu den Datenpunkten zum inhärenten Risiko zählen u. a.:
- eingehende und ausgehende Transaktionen,
- Transaktionsfrequenz und -volumen,
- Transaktionen oberhalb definierter Schwellenwerte,
- Bargeldaktivitäten,
- Handelsfinanzierungsvorgänge,
- Transaktionsströme von Krypto-Assets.
Dienstleistungen bilden den zentralen quantitativen Risikokern des RTS-Rahmens. Transaktionsaktivität, Geschwindigkeit und grenzüberschreitende Nutzung sind wesentliche Treiber der aufsichtlichen Risikobewertung.
Geografien
Die geografische Dimension wirkt als horizontaler Risiko-Multiplikator.
Zu den Datenpunkten zum inhärenten Risiko zählen u. a.:
- Kunden nach Ländern,
- Transaktionen nach Ländern (eingehend und ausgehend),
- Exponierung gegenüber Nicht-EWR-Jurisdiktionen,
- Zweigstellen, Tochtergesellschaften, Agenten und Vertriebspartner nach Ländern,
- Korrespondenzbeziehungen nach Sitzstaat des Respondenten.
Die Aufsicht überlagert diese Daten automatisch mit EU-Listen zu Hochrisiko-Drittländern und geopolitischen Risikoindikatoren. Institute melden Fakten – die Risikobewertung erfolgt durch die Aufsicht.
Vertriebskanäle
Diese Kategorie erfasst, wie Kunden und Transaktionen in das Institut gelangen.
Zu den Datenpunkten zum inhärenten Risiko zählen u. a.:
- Fernidentifizierung und -onboarding,
- Onboarding über Dritte,
- Nutzung von Agenten, Distributoren oder Brokern,
- White-Label-Modelle,
- Laufkundschaft und gelegentliche Transaktionen.
Vertriebskanäle sind kritisch, da sie den Verlust direkter Kontrolle messen, was sich unmittelbar auf das Restrisiko auswirkt.
Die 151 Datenpunkte
Über alle Risikokategorien und Unterkategorien hinweg definieren die RTS 151 substanzielle GW/TF-Datenpunkte. Zusammen mit der LEI bilden sie ein vollständiges aufsichtliches Meldepaket.
Zentrale Merkmale:
- Alle 151 Datenpunkte sind quantitativ oder objektiv zählbar.
- Narrative Erläuterungen sind kein Bestandteil des Datensatzes.
- Die Daten müssen konsistent, reproduzierbar und systembasiert sein.
- Fehlende oder inkonsistente Daten gelten als Kontrollschwäche.
Der Datensatz ist modular:
- Ein Zahlungsinstitut meldet keine versicherungsspezifischen Daten.
- Ein CASP meldet umfangreiche krypto-spezifische Kennzahlen.
- Ein Vermögensverwalter fokussiert auf Fondsstrukturen, AuM und Anlegerprofile.
Der Katalog selbst ist jedoch fix. Die Anwendbarkeit richtet sich ausschließlich nach den tatsächlich erbrachten Produkten und Dienstleistungen.
Nutzung durch nationale zuständige Behörden
NCAs wie BaFin, FMA und CSSF verwenden die gemeldeten Daten, um:
- das inhärente GW/TF-Risiko unabhängig vom Institut zu berechnen,
- die Wirksamkeit der Kontrollen anhand messbarer Ergebnisse zu bewerten,
- einen verbindlichen aufsichtlichen Risikoscore zuzuweisen,
- Institute sektoren- und länderübergreifend zu benchmarken.
Ab 2028 ersetzt dieser datengetriebene Ansatz den qualitativen aufsichtlichen Dialog als primären Bewertungsmechanismus.
Die Zukunft der GW/TF-Aufsicht
Das RTS-Regime zur Datenmeldung markiert einen entscheidenden Paradigmenwechsel in der EU-AML-Aufsicht. Verpflichtete werden nicht mehr danach beurteilt, wie überzeugend sie ihre Risiken beschreiben, sondern danach, was ihre Daten objektiv belegen.
Die Kombination aus:
- sektorbasierter Anwendbarkeit,
- harmonisierten Risikokategorien,
- granularen produkt- und dienstleistungsbezogenen Unterkategorien,
- und 151 verpflichtenden Datenpunkten zum inhärenten Risiko, ergänzt um die LEI,
schafft eine einheitliche, durchsetzbare aufsichtliche Sprache in der gesamten EU.
Für Verpflichtete besteht die zentrale Herausforderung nicht mehr im Verfassen besserer Richtlinien, sondern darin sicherzustellen, dass Kernbanksysteme, KYC-Plattformen, Transaktionssysteme und Data-Governance-Frameworks die erforderlichen Daten vollständig, konsistent und jederzeit abrufbar liefern können.
Download
Quellen: