Die EU hat ein Problem, das sie seit Jahren begleitet: Geldwäscherecht ist in den Mitgliedstaaten zwar harmonisiert, aber eben nur auf dem Papier. In der Praxis haben nationale Gesetzgeber EU-Richtlinien unterschiedlich umgesetzt, unterschiedlich ausgelegt und unterschiedlich durchgesetzt. Das Ergebnis ist ein Flickenteppich, den grenzüberschreitend tätige Institute kennen und der regulatorische Arbitrage strukturell begünstigt.
Das ändert sich ab 2027 grundlegend. Am 31. Mai 2024 verabschiedete das EU-Parlament das ambitionierteste AML-Reformpaket seit Einführung der ersten Geldwäscherichtlinie 1991. Der zentrale Unterschied zu früher: Die neue Anti-Money Laundering Regulation (AMLR) ist eine Verordnung, keine Richtlinie. Sie gilt ab 10. Juli 2027 in allen Mitgliedstaaten direkt — ohne nationale Umsetzung, ohne Interpretationsspielraum, ohne das übliche Implementierungs-Patchwork. Wer heute in mehreren EU-Ländern tätig ist und mit unterschiedlichen nationalen Anforderungen jongliert, bekommt ab 2027 ein einheitliches Regelwerk. Das vereinfacht einiges — erhöht aber gleichzeitig die Messlatte, weil der härteste Standard nun überall gilt.
Das Paket besteht aus drei Rechtsakten mit klar getrennten Funktionen.
AMLR (Verordnung EU 2024/1624) ist das operative Herzstück: Sie definiert, wer verpflichtet ist, welche KYC- und CDD-Pflichten gelten, wie mit UBOs umzugehen ist und was bei Verdacht zu tun ist. Direkt anwendbar ab Juli 2027 — für Fussballklubs und -agenten erst ab Juli 2029.
AMLD6 (Richtlinie EU 2024/1640) regelt, was die Mitgliedstaaten national ausgestalten müssen: Aufsichtsarchitektur, UBO-Register, FIU-Befugnisse und Sanktionsrahmen. Umsetzungsfrist bis Juli 2027, einzelne Artikel früher.
AMLAR (Verordnung EU 2024/1620) schafft die neue europäische Aufsichtsbehörde AMLA mit Sitz in Frankfurt. Operativ seit 1. Juli 2025. Ab Januar 2028 übernimmt AMLA die Direktaufsicht über bis zu 40 ausgewählte Finanzinstitute und koordiniert alle nationalen AML-Aufsichtsbehörden.
|
Zeitlicher Überblick: Juli 2025: AMLA operativ. | Juli 2026: Erste RTS zu CDD und Gruppenaufsicht. | Juli 2027: AMLR anwendbar, AMLD6 umgesetzt. | Januar 2028: AMLA-Direktaufsicht startet. | Juli 2029: CASPs, Fussball, BORIS-Vernetzung. |
Der Anwendungsbereich der AMLR geht deutlich weiter als der der AMLD4. Neben den bekannten Finanzakteuren werden mehrere Sektoren neu oder erweitert erfasst.
UBO-Schwelle: «25 % oder mehr» statt «mehr als 25 %»
Es klingt nach einem technischen Detail, hat aber praktische Konsequenzen: Bisher galt die UBO-Identifikationspflicht erst ab einer Beteiligung von mehr als 25 %. Art. 52 Abs. 1 AMLR ändert das auf 25 % oder mehr. Wer also genau 25 % hält, ist neu als UBO zu identifizieren, zu verifizieren und zu dokumentieren. Für bestimmte Hochrisiko-Gesellschaftskategorien kann die Kommission per Delegierter Verordnung den Schwellenwert auf bis zu 15 % absenken.
Für die Praxis heisst das: Bestehende Kundendossiers müssen systematisch überprüft werden. In Beteiligungsstrukturen, wo bisher niemand mit exakt 25 % als UBO gemeldet war, kann Nachholbedarf bestehen.
Perpetual KYC: Laufende Überprüfung statt periodischer Stichproben
Art. 26 AMLR führt verbindliche Maximalintervalle für die Aktualisierung von Kundendossiers ein. Hochrisiko-Kunden müssen mindestens jährlich überprüft werden, Normalrisiko-Kunden spätestens alle fünf Jahre. Dazu kommen ereignisgesteuerte Überprüfungen — sogenanntes trigger-based pKYC — bei UBO-Wechseln, Transaktionsauffälligkeiten oder Risikoklassenänderungen, unabhängig vom regulären Turnus. Details werden durch AMLA-RTS bis Juli 2026 präzisiert.
Digitales Onboarding und eIDAS
Die AMLR erkennt eIDAS-konforme elektronische Identifikation ausdrücklich als gleichwertig zur physischen Prüfung an. Obliged entities müssen ab Juli 2027 den EU Digital Identity Wallet (EUDI Wallet) als Onboarding-Methode akzeptieren. Für Niedrigrisikokunden ist damit ein volldigitales, papierloses Onboarding möglich.
Wichtige Maßnahmen:
Ausweitung des Anwendungsbereichs für verpflichtete Unternehmen: Die AMLR erweitert die Definition der verpflichteten Unternehmen auf Crowdfunding-Plattformen, Krypto-Asset-Dienstleister (auch als „CASPs“ bezeichnet) und andere risikoreiche Branchen. Der Anwendungsbereich umfasst nun erstmals auch virtuelle IBANs.
Verstärkte Sorgfaltspflichten (EDD): Für bestimmte Transaktionen wurden zusätzliche Sorgfaltspflichten eingeführt. Bei grenzüberschreitenden Korrespondenzbankbeziehungen müssen CASPs diese EDD-Pflichten erfüllen. Zweitens müssen Kredit- und Finanzinstitute bei geschäftlichen Transaktionen mit vermögenden Personen, deren Gesamtvermögen 50.000.000 EUR übersteigt und die über Vermögenswerte von mehr als 5.000.000 EUR verfügen, EDD-Maßnahmen durchführen. Darüber hinaus müssen alle betroffenen Unternehmen auf der Grundlage einer Bewertung, die die von der Financial Action Task Force (FATF) erstellten Listen berücksichtigt, EDD-Maßnahmen bei sporadischen Transaktionen und geschäftlichen Partnerschaften mit Hochrisikoländern durchführen.
Grenzen und Beschränkungen für Barzahlungen: Barzahlungen unterliegen innerhalb der EU einer Höchstgrenze von 10.000 EUR. Je nach den besonderen nationalen Risiken steht es den Mitgliedstaaten frei, eine niedrigere Höchstgrenze festzulegen.
Neue CDD-Schwellenwerte (art. 19)
|
Transaktionstyp |
Schwellenwert |
|
Allgemeiner Schwellenwert (alle Sektoren) (Art. 19 Abs. 1 Buchstabe b) |
EUR 10'000 |
|
Krypto-Vermögenswerte (CASP) |
EUR 1'000 |
|
Erhöhter Schwellenwert für Barzahlungen |
EUR 3'000 |
|
Obergrenze für Barzahlungen (Art. 80) |
EUR 10'000 |
Sanktionsprüfung als eigenständige Pflicht
Neu ist die ausdrückliche Pflicht, bei jeder CDD zu prüfen, ob der Kunde oder sein wirtschaftlich Berechtigter unter gezielte Finanzsanktionen (Targeted Financial Sanctions, TFS) fällt. Das war bisher "good practice"; ab Juli 2027 ist es eine eigenständige, dokumentationspflichtige AMLR-Anforderung.
14-Tage-Meldepflicht bei Registerabweichungen
Stellt eine "obliged entity" im Rahmen ihrer CDD eine Abweichung zwischen eigenen Kundendaten und dem nationalen UBO-Register fest, muss sie diese Diskrepanz innerhalb von 14 Kalendertagen dem Register melden, zusammen mit ihrer eigenen Einschätzung, wen sie als wirtschaftlich Berechtigten erachtet. Das erfordert einen definierten internen Erkennungs- und Eskalationsprozess.
AMLR und AMLD6 bauen das Regime der UBO-Register erheblich aus. Pflichtangaben werden um Ausweisnummern, persönliche Identifikationsnummern, Wohnsitzstaat und alle Staatsangehörigkeiten erweitert. Bei indirekter Kontrolle muss die vollständige Kontrollkette mit UID, Rechtsform und Sitzland jeder Zwischengesellschaft angegeben werden.
Nicht-EU-Rechtseinheiten mit EU-Bezug — etwa eine Gesellschaft aus einem Drittstaat, die in der EU Immobilien besitzt oder Geschäftsbeziehungen mit obliged entities unterhält — fallen ebenfalls unter die Registerpflichten. Bis Juli 2029 werden alle nationalen Register über die Plattform BORIS (Beneficial Ownership Registers Interconnection System) EU-weit vernetzt.
Zum Zugang: Neben Behörden und obliged entities erhalten auch Personen mit nachweisbarem legitimem Interesse Einblick — darunter Journalisten, NGOs und Forscher. Das ist die legislative Antwort auf das EuGH-Urteil von November 2022, das vollöffentlichen Registerzugang als unverhältnismässig eingestuft hatte.
AMLA ist seit Juli 2025 in Frankfurt aktiv und wächst bis Ende 2027 auf rund 430 Mitarbeiter. Ab Januar 2028 übernimmt sie die Direktaufsicht über bis zu 40 ausgewählte Finanzinstitute — ausgewählt nach Risikokriterien wie Tätigkeitsumfang in mindestens sechs Mitgliedstaaten und provisorischen Materialitätsschwellen von über 20'000 Kunden oder EUR 50 Mio. Transaktionsvolumen je Mitgliedstaat. Die Liste wird alle drei Jahre aktualisiert.
Gegenüber direkt beaufsichtigten Instituten hat AMLA weitreichende Befugnisse: Informationsanforderungen, Ermittlungen, Vor-Ort-Inspektionen mit oder ohne Vorankündigung. Bei systemischen Verstössen durch eine nicht-direkt beaufsichtigte Einheit kann die Kommission auf AMLA-Antrag eine befristete Direktaufsicht anordnen, wenn die zuständige nationale Behörde nicht ausreichend reagiert.
Für alle obliged entities relevant: AMLA wird bis 2026/2027 eine Serie verbindlicher technischer Standards (RTS/ITS) zu CDD, Outsourcing, Risikobewertung und Verdachtsmeldungen veröffentlichen. Diese werden den tatsächlichen Compliance-Rahmen ab 2027 definieren. Wer die Entwicklung dieser Standards nicht aktiv verfolgt, riskiert, kurz vor Go-live Lücken zu entdecken.
Die AMLD6 hebt den maximalen Sanktionsrahmen für schwerwiegende, wiederholte oder systematische Verstösse auf EUR 10 Mio. oder 10 % des Jahresumsatzes an — das Doppelte des bisherigen AMLD4-Rahmens (EUR 5 Mio. / 5 %). Neu sind ausserdem laufende Zwangsgelder, die solange fällig werden, bis eine behördliche Anordnung befolgt wird. AMLA kann gegenüber direkt beaufsichtigten Einheiten eigenständig Sanktionen verhängen; diese sind vor dem EuGH anfechtbar.
Daneben bleiben administrative Massnahmen möglich: temporäres Berufsverbot für verantwortliche Personen, Entzug der Zulassung, öffentliche Nennung von Verstössen. AMLA veröffentlicht bis Juli 2026 Leitlinien zur Sanktionspraxis.
Die AMLR gilt ab Juli 2027 — das klingt weit weg, ist es aber nicht. Die Anpassung von KYC-Prozessen, IT-Systemen und internen Richtlinien braucht Zeit, und AMLA wird bis dahin noch zahlreiche technische Standards veröffentlichen, die den genauen Compliance-Rahmen erst definieren. Wer wartet, bis alle RTS vorliegen, hat zu wenig Vorlaufzeit.
Sofort: Feststellen, ob man neu in den Anwendungsbereich fällt (CASP, Kreditvermittler, Luxusgüterhändler etc.). Bestehende Kundendossiers auf den neuen 25 %-Schwellenwert prüfen. Feststellen, ob die Aktivitäten in sechs oder mehr Mitgliedstaaten AMLA-Direktaufsicht auslösen könnten.
Bis Ende 2026: Gap-Analyse des bestehenden KYC/AML-Programms gegenüber AMLR. Prozesse für trigger-based pKYC (Perpetual KYC) planen. CDD-Schwellenwerte und Barzahlungskontrollen anpassen. Internen 14-Tage-Meldeprozess für Registerabweichungen entwerfen. TFS-Screening als eigenständigen Prüfschritt integrieren.
Bis Juli 2027: Systeme für digitales Onboarding und EUDI-Wallet-Kompatibilität bereitstellen. Mitarbeiter schulen. AMLA-RTS implementieren sobald veröffentlicht. Go-live.
Kontaktieren Sie uns unter suport@kyc.ch für eine massgeschneiderte RegTech Lösung.
Dieser Artikel dient der allgemeinen Information und stellt keine Rechts- oder Compliance-Beratung dar.