KYC unter der AMLR – Neue Standards, kürzere Fristen, höherer Datenbedarf
Artikel 3 von 5
Die Customer Due Diligence-Anforderungen der AMLR sind gegenüber dem heutigen GwG-Regime in mehreren Dimensionen verschärft.Niedrigere Schwellenwerte, kürzere Aktualisierungszyklen, erweiterte Datenanforderungen und neue, detailliertere Vorschriften sowohl für die vereinfachte als auch für die erweiterte Sorgfaltspflicht verändern die KYC-Abläufe erheblich. Für viele Institute bedeutet das: bestehende Kundenstämme müssen systematisch nachgearbeitet werden – ein Re-KYC-Programm, das frühzeitig geplant sein will.
Die drei wichtigsten Kernaussagen
-
•Anpassung der CDD-SchwellenwerteDie AMLR senkt den Schwellenwert für Gelegenheitstransaktionen von 15.000 EUR auf 10.000 EUR – für Kryptotransfers gilt die Identifizierungspflicht bereits ab 1.000 EUR.
-
•Verkürzte Re-KYC-IntervalleDie maximalen Intervalle zur Datenaktualisierung sinken auf 5 Jahre (Standard) und 1 Jahr (EDD) – Re-KYC-Programme sind für die meisten Institute ab sofort unausweichlich.
-
•Erweiterte Pflichtdaten (IT-Fokus)Zusätzliche Daten wie die Steuer-ID und die detaillierte Beschreibung der Kontrollstruktur erfordern zwingend IT-Anpassungen vor dem Stichtag 2027.
Was sich bei der Kundensorgfalt grundlegend ändert
Die AMLR harmonisiert die CDD-Anforderungen vollständig und beseitigt dabei nationale Spielräume, die deutsche Institute bislang genutzt haben. Drei Bereiche sind besonders betroffen:
Schwellenwerte: Der Schwellenwert für gelegentliche Transaktionen sinkt von bisher 15.000 EUR (§ 10 Abs. 3 GwG) auf 10.000 EUR (Art. 19 AMLR). Für Krypto-Asset-Transfers gilt bereits ab 1.000 EUR eine vollständige Identifizierungspflicht – eine direkte Folge der Integration der CASPs als Finanzinstitute unter der AMLR.
Bartransaktionen: Das EU-weit geltende Verbot von Barzahlungen über 10.000 EUR schafft erstmals eine einheitliche Obergrenze. Unterhalb dieser Grenze gilt ab 3.000 EUR eine vereinfachte CDD-Pflicht. Für Institute mit Filialgeschäft und Bargeldverarbeitung sind Prozessanpassungen erforderlich.
Verbundene Transaktionen: Art. 19 AMLR verpflichtet Institute, erkennbar miteinander verbundene Transaktionen zusammenzurechnen. Die RTS zu Art. 19 Abs. 9, 10 AMLR konkretisieren die Kriterien hierfür – ein systemseitig anspruchsvolles Thema, dessen Konsultationsfassung bereits vorliegt.
| Sorgfaltsstufe | GwG / BaFin-Praxis heute | AMLR ab 10.07.2027 |
|---|---|---|
| SDD | Risikobasiert; BaFin-AuA listet Niedrigrisikofaktoren; Update-Intervall max. 15 J. | Art. 22–24 AMLR; harmonisierte Niedrigrisikokategorien per RTS; risikobasiertes Update-Intervall |
| Standard-CDD | Update-Intervall max. 10 J.; BaFin-AuA empfiehlt risikobasierte Kürzung | Art. 20–21 AMLR; max. 5 Jahre; risikobasiert kürzer |
| EDD | Update-Intervall max. 2 J.; BaFin-AuA zu PEP, Hochrisikoländern | Art. 33–38 AMLR; max. 1 Jahr; erweiterte Maßnahmen für PEPs, HNWI >50 Mio. EUR, Krypto-Korrespondenzbanken |
| PEP-Nachsorge | Risikobasiert nach Amtsende; keine EU-einheitliche Frist | Art. 45 AMLR: mind. 12 Monate nach Amtsende als PEP zu behandeln; AMLA-Leitlinien bis Juli 2027 |
| HNWI-EDD | Keine spezifische Regelung im GwG | Art. 34 AMLR: Neu – verstärkte Sorgfalt für Kunden mit Vermögen >50 Mio. EUR; AMLA-Leitlinien bis Juli 2027 |
Re-KYC: Das operative Kernproblem
Die verkürzten Aktualisierungsintervalle sind für die meisten deutschen Institute das operativ drängendste Thema. Wer heute Kundendaten mit einem 10-Jahres-Intervall führt, wird feststellen, dass ein erheblicher Teil des Bestands ab Juli 2027 außerhalb der neuen 5-Jahres-Frist liegt – und damit unmittelbar nachgearbeitet werden muss.
Auf der Grundlage von Art. 62 erweitert und vereinheitlicht die AMLR den Datensatz für wirtschaftlich Berechtigte, indem sie zusätzliche Angaben wie das vollständige Geburtsdatum und den Geburtsort, die Wohnadresse, die Nummer des Ausweisdokuments sowie, sofern verfügbar, die persönliche Identifikationsnummer verlangt. Dies gilt zusätzlich zu den bereits zuvor geforderten Daten: Name, Geburtsdatum, Staatsangehörigkeit, Wohnort.
Bisher (gemäß AMLD 4/5) erfassten Institute hauptsächlich Beteiligungsquoten, und die Vorgaben zu indirekter Kontrolle oder vertraglichem Einfluss waren weniger eindeutig. Jetzt (AMLR): Das Gesetz verlangt ausdrücklich eine schriftliche Beschreibung aller Arten, wie der wirtschaftlich Berechtigte das Unternehmen kontrolliert oder beeinflusst, um vollständige Transparenz und Harmonisierung in der gesamten EU zu gewährleisten.
Relevante Felder sind in vielen Kernsystemen heute nicht vorhanden – IT-Anpassungen sind unvermeidlich.
Drei Faktoren bestimmen den Re-KYC-Umfang:
Bestandsalter: Je länger die durchschnittliche Kundendauer ohne Aktualisierung, desto größer der initiale Nacharbeitsbedarf. Institute mit großen Altbeständen sollten den Scope bis Ende 2025 quantifizieren.
Kundensegment: EDD-Kunden (PEPs, Hochrisikoländer, künftig HNWI >50 Mio. EUR) haben ein 1-Jahres-Intervall – hier entsteht ein permanenter, ressourcenintensiver Aktualisierungszyklus.
Datenvollständigkeit: Fehlende Steuer-IDs und unvollständige BO-Kontrollstrukturen sind erfahrungsgemäß die häufigsten Lücken. Eine Datenqualitätsanalyse im Bestand ist vor Projektstart zwingend.
Neue Anforderungen bei Fernidentifikation und eIDAS
Die AMLR öffnet ausdrücklich den Weg für digitale Identifikationsverfahren und verweist auf die eIDAS-Verordnung als Referenzrahmen. Fernidentifikation per qualifizierter elektronischer Signatur oder notifiziertem eID-Verfahren ist unter der AMLR grundsätzlich anerkannt – sofern die RTS zu Art. 28 AMLR die technischen Anforderungen entsprechend konkretisieren. Die Konsultation läuft bis 8. Mai 2026.
Institute, die heute noch auf physische Identifikationsprozesse setzen oder proprietäre digitale Lösungen nutzen, sollten prüfen, ob ihre Verfahren eIDAS-konform sind oder angepasst werden müssen.
Was von AMLA noch erwartet wird
-
•RTS Art. 28(1) AMLR – CDD-StandardsKonkretisierung der Pflichtdaten für SDD, Standard-CDD und EDD; Konsultation bis 8. Mai 2026, Einreichung bei der Kommission bis 10. Juli 2026.
-
•Leitlinien Art. 20 Abs. 3 AMLR – RisikovariablenWelche Risikofaktoren sind bei Aufnahme von Geschäftsbeziehungen zu berücksichtigen? Bis Juli 2026.
-
•Leitlinien Art. 34 Abs. 5 AMLR – EDD für HNWIWie ist das Vermögen >50 Mio. EUR zu bestimmen? Bis Juli 2027.
-
•Leitlinien Art. 42 Abs. 2 AMLR – PEP-IdentifizierungKriterien für nahestehende Personen und Risikonachsorge nach Amtsende; bis Juli 2027.
KI-Unterstützung in der Praxis
Re-KYC-Priorisierung: KI-Modelle können Kundenbestände anhand von Risikoparametern, Datenalter und Vollständigkeit automatisch priorisieren und einen risikobasierten Re-KYC-Arbeitsplan erzeugen – statt undifferenzierter Massenabarbeitung.
Datenlückenanalyse: Large Language Models können bestehende KYC-Datensätze gegen die neuen AMLR-Pflichtfelder abgleichen, fehlende Informationen identifizieren und Nacherhebungsprozesse anstoßen – automatisiert und skalierbar.
Dokumentenverarbeitung: KI-gestützte Systeme können BO-Dokumente, Handelsregisterauszüge und Kontrollstruktur-Beschreibungen automatisch auslesen, strukturieren und in die Kernsysteme überführen – ein erheblicher Effizienzgewinn bei der Ersterhebung der neuen Pflichtdaten.
Combaine begleitet Finanzinstitute bei der Planung und Umsetzung AMLR-konformer KYC-Programme – von der Bestandsanalyse bis zur technologiegestützten Re-KYC-Durchführung. Sprechen Sie uns an: info@combaine.de
Beitrag 4 dieser Reihe behandelt die neue Aufsichtsarchitektur: AMLA, BaFin und was sich für deutsche Institute ab 2027 ändert.
Autor: Diana Korzec
