EU-AML-Paket & AMLA – Endlich der große Wurf gegen Finanzkriminalität?

Mit dem EU-AML-Paket und der neuen Aufsichtsbehörde AMLA will die EU Geldwäsche und Terrorismusfinanzierung konsequenter bekämpfen. Einheitliche Regeln und Aufsicht, stärkere behördliche Zusammenarbeit und der Einsatz von KI sollen für mehr Schlagkraft sorgen – auch in Deutschland. Doch die Umsetzung ist komplex und birgt Herausforderungen für Verpflichtete und Aufseher. Mehr hierzu im folgenden Überblick.

„Pläne für deutsche Geldwäschebehörde geplatzt“, so titelte die WirtschaftsWoche Ende Januar zum Aus des von der Bundesregierung geplanten Finanzkriminalitätsbekämpfungsgesetzes (FKBG). Mit diesem sollte ein neues Bundesamt zur Bekämpfung von Finanzkriminalität (BBF) als selbständige Bundesoberbehörde errichtet werden. Nach monatelangen Verhandlungen fand sich schlussendlich keine Mehrheit mehr für das unter Expert:innen durchaus umstrittene Gesetz, das als Antwort auf den mangelhaften Prüfbericht der Financial Action Task Force (FATF) aus 2022 gedacht war.

Während in Deutschland somit erst im Laufe dieser Legislaturperiode mit einer strukturellen Reform der Finanzkriminalitätsbekämpfung zu rechnen ist, hat die Europäische Union mit dem EU-AML-Paket bereits im Juni 2024 ein umfangreiches Set an Rechtsakten verabschiedet. Dieses verspricht einen Paradigmenwechsel bei der Bekämpfung von Geldwäsche (Anti-Money Laundering (AML)) und Terrorismusfinanzierung (Counter-Terrorism Financing (CTF)) im europäischen Raum – und damit auch in Deutschland. Im Fokus steht hierbei insbesondere die neue EU-Behörde zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung (Anti-Money Laundering Authority, AMLA) mit Sitz in Frankfurt am Main, die seit dem 1. Juli 2025 operativ tätig ist.

Was sind die wesentlichen Inhalte des EU-AML-Pakets? Welche Folgen haben sie und die AMLA für die Verpflichteten in Deutschland? Wie sind die neuen Vorgaben und die Aufsichtsstruktur zu bewerten und wie sollten die nächsten Schritte der Verpflichteten aussehen? 

Hintergrund und Bestandteile des EU-AML-Pakets

Die Europäische Kommission veröffentlichte bereits im Juli 2021 ihre Vorschläge für das EU-AML-Paket. Das vierteilige Gesetzgebungspaket war die Antwort auf eine Reihe von größeren Geldwäscheskandalen bei international tätigen europäischen Kreditinstituten. Knapp 3 Jahre später, am 19. Juni 2024, wurde schließlich das EU-AML-Paket im Amtsblatt der EU veröffentlicht.

Es zielt darauf ab, die nationalen Auslegungen der bisherigen EU AML-Richtlinien und die Aufsichtspraxis in Europa zu harmonisieren, bestehende Schwächen zu beseitigen und strengere Kontrollen einzuführen. Außerdem soll die Transparenz erhöht und der grenzüberschreitende Informationsaustausch sowie die Kooperation zwischen Verpflichteten und Behörden und den verschiedenen Behörden untereinander intensiviert werden. Hierfür wurde unter anderem die AMLA errichtet, mit der neuen EU-Geldwäscheverordnung ein allgemein geltendes Single Rulebook eingeführt und öffentliche nationale Register und Meldestellen (Financial Intelligence Units, FIUs) und deren Vernetzung gestärkt. Die AML/CTF-Aufsicht soll europaweit unter vermehrtem Einsatz neuer Technologien wie Künstlicher Intelligenz (KI) und Machine Learning stärker datengetrieben und risikobasiert erfolgen.

Mit den geplanten Maßnahmen soll die Effektivität und Kohärenz der europäischen Aufsicht im Bereich der Finanzkriminalität gesteigert und damit die Bevölkerung der EU und das EU-Finanzsystem besser vor Geldwäsche und Terrorismusfinanzierung geschützt werden.

Das EU-AML-Paket umfasst dabei vier Rechtsakte:

Anti-Money Laundering and Terrorist Financing Regulation (AMLR)

Mit der AMLR implementiert die Europäische Union erstmalig ein Single Rulebook für AML/CTF, das die Regelungen zur Prävention und Bekämpfung von Geldwäsche und Terrorismusfinanzierung innerhalb der EU vereinheitlicht. Arbitrage-Regulierung zwischen Mitgliedstaaten soll so (weitestgehend) der Vergangenheit angehören. Wesentliche Anforderungen an die Verpflichteten, in Deutschland bislang im Geldwäschegesetz (GwG) geregelt, werden unionsweit harmonisiert, ergänzt und erweitert – unter steter Betonung des risikobasierten Ansatzes.

Zunächst wird der Kreis der Verpflichteten ausgeweitet. Darunter fallen fortan beispielsweise Anbieter von Kryptowerte-Dienstleistungen (CASPs), Händler von Luxusgütern, Profifußballvereine und Fußballvermittler.

Der Umfang der Kundensorgfaltsmaßnahmen (vormals Kundensorgfaltspflichten) wird erheblich erweitert. So müssen im Rahmen des KYC-Prozesses bzw. bei der Identifizierung des „wirtschaftlichen Eigentümers“ (vormals „wirtschaftlich Berechtigter“) zusätzliche Daten durch Verpflichtete erhoben und verarbeitet werden.

Der entsprechende RTS zu den Kundensorgfaltsmaßnahmen (derzeit in Konsultation durch die EBA basierend auf einem Call for Advice der EU-Kommission) wird auch u.a. detaillierte Vorgaben im Hinblick auf die einzuholenden Informationen und Verifizierungsmethoden enthalten.

Zudem werden strengere Aktualisierungsfristen für Kundendaten eingeführt (grds. fünf Jahre für alle Kunden und ein Jahr für Kunden mit höherem Risiko). Der oben genannte RTS-Entwurf enthält derzeit noch eine Übergangsfrist von bis zu 5 Jahren ab dem 10. Juli 2027 für die Aktualisierung der Daten von Bestandskunden. Bei der Inanspruchnahme der Übergangsfrist sollen die Verpflichteten risikobasiert vorgehen.

Für die Bestimmung des wirtschaftlichen Eigentümers wird ein einheitlicher Schwellenwert von 25 % eingeführt. Bei mehrstufigen Beteiligungsstrukturen ist eine neue, sehr komplexe und aufwändige Berechnungslogik anzuwenden. Ferner müssen Verpflichtete innerhalb von 14 Tagen potentielle Unstimmigkeiten zwischen den erhobenen und den im Transparenzregister veröffentlichten Informationen an das Transparenzregister melden.

Weiterhin müssen Verpflichtete im Rahmen ihrer allgemeinen Sorgfaltsmaßnahmen anhand anwendbarer Sanktionslisten überprüfen, ob ihre Kunden oder die wirtschaftlichen Eigentümer gezielten finanziellen Sanktionen unterliegen (sog. “Sanctions Screening“). Ferner werden sie verpflichtet im Rahmen ihrer internen Strategien, Kontrollen und Verfahren neben AML/CTF Risiken, auch das Risiko der Nichtumsetzung und Umgehung gezielter finanzieller Sanktionen zu mindern und zu steuern. Der Geldwäschebeauftragte wird folgerichtig bei den Verpflichteten zukünftig nicht nur für die Bekämpfung von Geldwäsche und Terrorismusfinanzierung, sondern auch für das Themengebiet Sanctions Compliance zuständig sein, was in der Regel aufbauorganisatorische Anpassungen zur Folge haben wird.

Die Definition der politisch exponierten Personen (PePs) wird erweitert, so dass fortan bspw. auch Leiter regionaler und lokaler Behörden oder Gemeindeverbänden mit mindestens 50.000 Einwohnern als PePs gelten, für die dann verstärkte Sorgfaltsmaßnahmen anzuwenden sind. Diese gelten auch bei sehr vermögenden Personen mit Vermögenswerten von insgesamt mindestens 50 Millionen Euro und bei Transaktionen im Wert von über 5 Millionen Euro.

Auch wird eine EU-weite Bargeldobergrenze von 10.000 Euro im Dienstleistungs- und Güterverkehr eingeführt (wobei die Mitgliedstaaten auch einen niedrigeren Betrag festlegen können). Zudem müssen in den Räumlichkeiten von Kreditinstituten, E-Geld-Emittenten und Zahlungsdienstleistern vorgenommene Barzahlungen oder -einlagen von mehr als 10.000 Euro der nationalen zentralen Meldestelle (Financial Intelligence Unit, FIU) gemeldet werden. Ferner werden strengere Anforderungen für die Auslagerung von Aufgaben der Verpflichteten eingeführt, inklusive weitreichender Auslagerungsverbote für bestimmte wesentliche Aufgaben.

Kredit- und Finanzinstitute müssen ferner der FIU alle Transaktionen melden, die sie für ihre Kunden im Zusammenhang mit dem Verkauf/der Übertragung von Eigentum an bestimmten hochpreisigen Fortbewegungsmitteln getätigt haben. Auskunftsersuchen der FIU sind von den Verpflichteten grds. innerhalb von fünf Arbeitstagen, in Ausnahmefällen sogar innerhalb von weniger als 24 Stunden, zu beantworten.

Des Weiteren wird es Verpflichteten erstmals unter sehr strengen Voraussetzungen ermöglicht im Rahmen von sog. „Partnerschaften für den Informationsaustausch“ (auch grenzüberschreitend) relevante Kundendaten mit anderen nationalen und europäischen Verpflichteten und Geldwäschebehörden auszutauschen (bspw. im Rahmen des Transaktionsmonitorings).

Neu ist auch, dass Verpflichtete ausdrücklich relevante Entscheidungen treffen dürfen, die auf dem Einsatz von automatisierten Verfahren und KI-Systemen im Sinne des EU AI Acts beruhen.

Anti-Money Laundering and Terrorist Financing Direction VI (AMLD VI)

Die 6. EU-Geldwäscherichtlinie (AMLD VI) hebt die 4. und 5. EU-Geldwäscherichtlinie auf und ersetzt sie. Sie enthält Regelungen, die jeweils in nationales Recht der EU-Mitgliedstaaten umgesetzt werden müssen. Die AMLD VI gibt den Mitgliedstaaten den Rahmen für die institutionelle Ausgestaltung ihrer AML/CTF Bekämpfung durch ihre Aufsichtsbehörden und FIUs vor. Dabei konkretisiert die Richtlinie insbesondere die Aufgaben und Befugnisse der FIUs, Register und Aufsichtsbehörden. Damit strebt die AMLD VI an, die Zusammenarbeit und den Informationsaustausch zwischen den Behörden zu verbessern.

Hierbei werden insbesondere die Kompetenzen und Befugnisse der FIUs erweitert. So werden die nationalen FIUs zukünftig regelmäßig direkten Zugriff auf Finanz-, Verwaltungs- und Strafverfolgungsinformationen haben, die sie im Rahmen ihrer Aufgaben benötigen. Zudem werden die FIUs befugt, Verpflichtete anzuweisen, bestimmte Transaktionen oder Tätigkeiten, die über bestimmte Konten laufen, zu überwachen. Die Zusammenarbeit und der Informationsaustausch zwischen den einzelnen FIUs soll verbessert werden, um potenzielle Auffälligkeiten schneller zu erkennen und zu bekämpfen. Hierfür fand unter anderem bereits am 3. Februar 2025 der Launch der neuesten Version der FIU.net Plattform (nunmehr “Next-Generation“ FIU.net) statt. Derzeit wird sie noch von der Europäischen Kommission gehostet, ab Juli 2027 von der AMLA. Über diese Plattform sollen verschiedene EU und Nicht-EU FIUs und Europol zukünftig noch schneller, effizienter und sicherer Informationen austauschen und abgleichen können.

Die AMLA kann künftig auch noch weitere Nicht-EU FIUs an das System anschließen. Die AMLA wird zudem einheitliche Formate für die Meldung von Verdachtsfällen und für die Bereitstellung von Transaktionsaufzeichnungen entwickeln. Hierdurch sollen ebenfalls grenzüberschreitende Analysen und der Informationsaustausch zwischen den FIUs erleichtert werden.

Ferner sollen die Stellen, die die nationalen Transparenzregister führen, die übermittelten Daten nach Erhalt und danach regelmäßig überprüfen. Dafür sind sie zudem befugt, auch Kontrollen - inklusive Inspektionen - in den Betriebsstätten oder Niederlassungen juristischer Personen durchzuführen. Ziel ist es, die Qualität der Daten in den nationalen Transparenzregistern zu erhöhen, um die Ermittlung wirtschaftlicher Eigentümer zu erleichtern. Verpflichtete sollen über eine gemeinsame Plattform auch die Möglichkeit erhalten, Auszüge aus Registern anderer Mitgliedstaaten zu erhalten.

Weiterhin werden detailliert die Einrichtung, Inhalte und Funktionsweise zentraler nationaler Bankkontenregister bzw. elektronischer Datenabfragesysteme geregelt. Diese müssen auch Kryptowertekonten enthalten und sollen durch das Vernetzungssystem für Bankkontenregister untereinander vernetzt werden. Schließlich wird auch eine zentrale Zugangsstelle für Informationen über Immobilien (sog. Immobilienregister) eingeführt. Die nationalen Immobilienregister sollen perspektivisch auch miteinander vernetzt werden.

Ferner enthält die AMLD VI Vorgaben zur risikobasierten Aufsicht der Verpflichteten durch die Aufsichtsbehörden. In einem RTS (derzeit in Konsultation durch die EBA) wird die Methodik zur Bewertung und Klassifizierung des Risikoprofils der Verpflichteten bzgl. inhärenter Risiken und Restrisiken sowie die Häufigkeit, mit der dieses Risikoprofil zu überprüfen ist, festgelegt.

Schließlich enthält die Richtlinie noch Vorgaben zu möglichen Geldbußen, verwaltungsrechtlichen Maßnahmen und Zwangsgeldern, die durch die Behörden verhängt werden können. Hierbei definiert wiederum der RTS Indikatoren für die Einordung der Schwere des Verstoßes sowie Kriterien für die Bemessung der Höhe der Sanktion. Durch die beiden RTS soll die europaweit einheitliche Festlegung des Risikoprofils von Verpflichteten und Anwendung des Sanktionsregimes sichergestellt werden.

Authority for Anti-Money Laundering and Countering the Financing of Terrorism Regulation (AMLAR)

Mit der AMLA-Verordnung führt die Europäische Union die Anti-Money Laundering Authority (AMLA) ein, die neue EU-Aufsichtsbehörde für AML/CTF. Seit dem 1. Juli 2025 ist sie offiziell in Frankfurt am Main operativ tätig und mit starken Aufsichts- und Sanktionsbefugnissen ausgestattet. Die AMLA soll ab dem 1. Januar 2028 vollumfänglich operativ tätig werden und bis dahin ca. 430 Mitarbeitende beschäftigen.  

Die AMLA wird von zwei Kollegialorganen, dem Vorstand und dem Verwaltungsrat, geleitet. Den Vorsitz beider Gremien führt seit dem 17. Februar 2025 die Vorsitzende der AMLA, Frau Bruna Szego. Der Verwaltungsrat verfügt über zwei alternative Zusammensetzungen: eine aufsichtliche mit Vertretern der für die Bekämpfung der Geldwäsche zuständigen Aufsichtsbehörden und eine FIU-Zusammensetzung mit Vertretern der zentralen Meldestellen der Mitgliedstaaten.

Die AMLA wird, wie sie in ihrem Work Programme 2025 jüngst noch einmal betont hat, auf ein einheitliches AML/CTF-Regelwerk und harmonisierte Aufsichtspraktiken hinwirken. Damit soll regulatorische Konvergenz und eine kohärente Aufsicht im Finanz- und Nichtfinanzsektor ermöglicht werden. Zudem wird sie als zentraler Hub den Informationsaustausch und die Zusammenarbeit der nationalen FIUs koordinieren. Gleichzeitig wird sie auch stärker mit den Strafverfolgungsbehörden und weiteren Aufsichtsbehörden kooperieren. Die AMLA hat zu diesem Zwecke jüngst bereits mit der EBA, ESMA, EIOPA und EZB Vereinbarungen zur Zusammenarbeit (Memorandums of Understanding (MoUs)) abgeschlossen.

Ferner entwickelt die AMLA in Zusammenarbeit mit den nationalen Aufsichtsbehörden, FIUs, Strafverfolgungsbehörden, EU- und internationalen Institutionen und Verpflichteten aus dem Privatsektor eine gemeinsame AML/CTF-Kultur.

Die AMLA möchte eine datenbasierte Aufsicht etablieren und eine technologische Vorreiterrolle einnehmen. Sie fordert und fördert daher den stärkeren Einsatz neuer Technologien wie Künstlicher Intelligenz und Machine Learning, um angemessen auf Innovationen und neue technologische Risiken reagieren zu können.

Die AMLA betont stets den risikobasierten Ansatz, der sowohl für die Aufsichtstätigkeit gegenüber den Verpflichteten gilt als auch für die Verpflichteten selbst bei der Umsetzung der konkreten AML/CTF-Anforderungen. Folgerichtig stellt die AMLA in ihrem Work Programme 2025 klar, dass sie sich als unmittelbare Priorität auf die AML/CFT-Aspekte der Aufsicht über Hochrisikosektoren und -bereiche in der gesamten EU konzentrieren werde, inklusive der Anbieter von Kryptowerte-Dienstleistungen.

Die Kernaufgaben der AMLA lassen sich wie folgt zusammenfassen:  

• Direkte Aufsicht: Die AMLA wird gemeinsam mit den nationalen Finanzaufsichtsbehörden im Rahmen von Joint Supervisory Teams die direkte Aufsicht über zunächst bis zu 40 grenzüberschreitend tätige Finanzinstitute mit dem höchsten Risiko für AML/CTF übernehmen (inkl. Anbietern von Kryptowerte-Dienstleistungen). Derzeit befindet sich ein entsprechender RTS im Konsultationsverfahren, der die Kriterien und Schwellenwerte für die Bestimmung der ausgewählten Verpflichteten festlegt. Für die weiteren nicht ausgewählten Verpflichteten verbleibt die Aufsicht weitgehend national (indirekte Aufsicht der AMLA). 

• Koordination und Aufsicht der nationalen Finanzaufsichtsbehörden: Die AMLA wird die national zuständigen Finanzaufsichtsbehörden für AML/CTF koordinieren und durch regelmäßige Überprüfungen überwachen, um einen einheitlichen Aufsichtsstandard zu gewährleisten. 

• Koordination und Aufsicht der Aufsichtsbehörden des Nichtfinanzsektors: Ferner übernimmt die AMLA auch die Koordination und Überwachung (durch vergleichende Analysen der Aufsichtspraktiken) der für AML/CTF zuständigen Aufsichtsbehörden des Nichtfinanzsektors. 

• Koordination und Unterstützung der FIUs: Weiterhin koordiniert und unterstützt die AMLA die Aktivitäten der FIUs, unter anderem bei der Durchführung gemeinsamer Analysen mit verschiedenen FIUs bei grenzüberschreitenden Fällen. Zudem wird sie die FIU.net Plattform und KI-Dienste bereitstellen zur Verbesserung der Datenanalysekapazitäten und den sicheren Austausch und Abgleich von Informationen. Die AMLA wird zudem einheitliche Formate für die Meldung von Verdachtsfällen und für die Bereitstellung von Transaktionsaufzeichnungen entwickeln. 

• Allgemeine Tätigkeiten: Schließlich wird die AMLA in den nächsten zwei Jahren eine Vielzahl technischer Durchführungs- und Regulierungsstandards (ITS/RTS) veröffentlichen, die zur Konkretisierung der im EU-AML-Paket bereits enthaltenen Regelungen erforderlich sind. Ergänzend hierzu wird die Behörde weitere Leitlinien, Empfehlungen und Stellungnahmen veröffentlichen sowie fortlaufend etwaige AML/CTF-Risiken mit Auswirkungen auf den europäischen Raum analysieren und bewerten. Sie wird auch eine zentrale Datenbank zur Bekämpfung von AML/CTF einrichten, in der (statistische) Informationen der Aufsichtsbehörden und FIUs gesammelt und analysiert werden. Zudem übernimmt sie die von der EBA geführte EuReCa-Datenbank, die Informationen über Defizite bei der AML/CFT-Prävention bedeutender Institute sowie Maßnahmen der nationalen Aufsichtsbehörden in diesem Zusammenhang enthält. 

Neufassung der Transfer of Funds Regulation (TFR)

Die Überarbeitung der EU-Geldtransferverordnung erweitert die „Travel Rule“ Anforderungen auf Anbieter von Krypto-Dienstleistungen. Sie müssen bestimmte Mindestinformationen bzgl. des Auftraggebers und Begünstigten bei Transaktionen von Kryptowerten erfassen, übermitteln und speichern. Bei entsprechenden Unstimmigkeiten müssen sie Verdachtsmeldungen abgeben.

Dies soll Kryptowertetransaktionen nachvollziehbarer machen und die Zuordnung von Eigentumsverhältnissen erleichtern. Benötigte Informationen müssen Anbieter von Krypto-Dienstleistungen im Rahmen von KYC-Prozessen bei ihren Kunden einholen und aktuell halten. Zudem müssen bestimmte Sorgfaltsmaßnahmen eingehalten und Mechanismen implementiert werden, wie auf unvollständige oder fehlerhafte Angaben im Rahmen der Kryptowertetransfers zu reagieren ist. In Deutschland wurde die „Travel Rule“ bereits durch die Kryptowertetransferverordnung (KryptoWTransferV) umgesetzt. Diese ist mit Geltung der TFR am 30. Dezember 2024 außer Kraft getreten. Die TFR wurde bereits am 9. Juni 2023 im Amtsblatt der EU veröffentlicht.

Timeline zur Umsetzung des EU-AML-Pakets

Die Umsetzung der unterschiedlichen Rechtsakte streckt sich über die nächsten Jahre. Dabei gilt die AMLAR im Wesentlichen bereits ab dem 1. Juli 2025. Ab dem 1. Januar 2028 wird die AMLA voll funktionsfähig sein und die direkte Aufsicht über die zunächst bis zu 40 ausgewählten Verpflichteten übernehmen. Für die Umsetzung der AMLD VI in nationales Recht haben die EU-Mitgliedstaaten Zeit bis zum 10. Juli 2027, mit Ausnahme von bestimmten Regelungen bzgl. der Transparenzregister (Fristen 10. Juli 2025 und 2026) und der Immobilienregister (Frist 10. Juli 2029). Ab dem 10. Juli 2027 gelten auch die Anforderungen der AMLR, wobei jene für Profifußballvereine und Fußballvermittler erst ab dem 10. Juli 2029 gelten. Die Anforderungen der TFR gelten bereits – im Einklang mit der MiCAR – ab dem 30. Dezember 2024.

Bewertung des EU-AML-Pakets

Wie bereits dargestellt, handelt es sich bei dem EU-AML-Paket um ein sehr weitreichendes Gesetzgebungspaket. In diesem Abschnitt sollen daher die Chancen und die Herausforderungen durch das EU-AML-Paket näher beleuchtet werden.

Chancen durch das EU-AML-Paket  

Einheitliche Vorgaben und Aufsicht in der EU

Finanzkriminalität erfolgt häufig grenzüberschreitend und insbesondere (aber nicht nur) große, über Landesgrenzen hinweg tätige Finanzinstitute werden hierfür missbraucht. Durch nationale Umsetzungen der EU-Geldwäscherichtlinien kam es daher zu unterschiedlichen Auslegungen und einer Fragmentierung der europäischen Anforderungen. Das führte vor allem bei länderübergreifenden Fällen zu Problemen und stand einer effektiven Prävention und Zusammenarbeit im Wege. Daher ist es richtig gewesen, wesentliche AML/CTF-Anforderungen für die Verpflichteten durch die EU-Geldwäscheverordnung weitestgehend zu harmonisieren, um damit unionsweit eine regulatorische Konvergenz herzustellen. Dies wird die Geschäftstätigkeit der Verpflichteten, die in mehreren EU-Mitgliedstaaten aktiv sind, erleichtern. Gleichzeitig soll es perspektivisch auch die Compliance-Kosten der Verpflichteten senken.

Es reicht jedoch nicht aus, lediglich die AML/CTF-Anforderungen zu harmonisieren. Vielmehr bedarf es auch einer unionsweit kohärenten Aufsicht, die dafür sorgt, dass die Anforderungen in allen Mitgliedstaaten in gleicher Weise umgesetzt werden. Daher war es auch ein wichtiger Schritt, mit der AMLA eine neue europäische Aufsichtsbehörde für AML/CTF mit starken Aufsichts- und Sanktionsbefugnissen einzuführen. Die AMLA wird im Finanz- und Nichtfinanzsektor gleichzeitig Aufsichtsbehörde, Standardsetzer und Koordinator sein und dabei die nationalen Aufsichtsbehörden und die FIUs grenzüberschreitend miteinander verbinden.

Sie wird insbesondere mit den nationalen Aufsichtsbehörden einen integrierten Mechanismus schaffen, um einen kohärenten Aufsichtsstandard in der EU zu etablieren und um sicherzustellen, dass die Verpflichteten die AML/CTF-Anforderungen entsprechend umsetzen.

Wie die neue AMLA-Vorsitzende Bruna Szego in ihren ersten öffentlichen Reden betonte und auch im AMLA Work Programme 2025 zum Ausdruck kommt, wird die Aufsicht zukünftig stärker risikobasiert erfolgen, um sich effektiver der Bekämpfung der größten AML/CTF-Risiken widmen zu können.

Engere Zusammenarbeit und stärkerer Informationsaustausch zwischen den Behörden

Ein großes Ziel des EU-AML-Pakets und der AMLA ist die engere Zusammenarbeit und der stärkere grenzüberschreitende Informationsaustausch zwischen den Behörden.

Ein Fokus liegt hierbei auf der Erweiterung der Kompetenzen und Befugnisse und der stärkeren Zusammenarbeit der FIUs. So werden die nationalen FIUs zukünftig regelmäßig direkten Zugriff auf Finanz-, Verwaltungs- und Strafverfolgungsinformationen haben, die sie im Rahmen ihrer Aufgaben benötigen. Zudem werden die FIUs befugt Verpflichtete anzuweisen, bestimmte Transaktionen oder Tätigkeiten, die über bestimmte Konten laufen, zu überwachen. Die Zusammenarbeit und der Informationsaustausch zwischen den einzelnen FIUs soll auch mithilfe der AMLA verbessert werden, um potentielle Auffälligkeiten schneller zu erkennen und zu bekämpfen. Hierfür fand unter anderem bereits am 3. Februar 2025 der Launch der neuesten Version der FIU.net Plattform (nunmehr “Next-Generation“ FIU.net) statt. Derzeit wird sie noch von der Europäischen Kommission gehostet, aber ab Juli 2027 von der AMLA. Über diese Plattform sollen verschiedene EU und Nicht-EU FIUs und Europol zukünftig noch schneller, effizienter und sicherer Informationen austauschen und abgleichen können. Die AMLA kann künftig auch noch weitere Nicht-EU FIUs an das System anschließen.

Wie die Vorsitzende der AMLA Bruna Szego wiederholt betonte, wird die AMLA als Drehscheibe für die Zusammenarbeit zwischen EU-Institutionen, nationalen Behörden, FIUs und Strafverfolgungsbehörden, internationalen Organisationen und Nicht-EU-Behörden fungieren. Zudem soll auch der Austausch mit dem Privatsektor stärker vorangetrieben werden. Zum einen, um wesentliche Erkenntnisse im Hinblick auf die Implementierung der Regelungen zu erhalten. Aber auch, um neue innovative Ansätze zu diskutieren.

Durch die neu eingeführten sog. „Partnerschaften für den Informationsaustausch“ wird es unter – zugegebenermaßen sehr strengen – Voraussetzungen (auch grenzüberschreitend) möglich sein, relevante Kundendaten mit anderen nationalen und europäischen Verpflichteten und Geldwäschebehörden auszutauschen (z.B. im Rahmen des Transaktionsmonitorings). Im Hinblick auf die praktische Anwendung der Partnerschaften sind jedoch noch viele, insbesondere datenschutzrechtliche, Fragen zu klären.

Durch die bereits abgeschlossenen Vereinbarungen zur Zusammenarbeit (Memorandums of Understanding (MoUs)) mit der EBA, ESMA, EIOPA und EZB und bereits geplanten Vereinbarungen mit verschiedenen weiteren Behörden, schafft die AMLA auch die entsprechenden Rahmenbedingungen für einen verbesserten Informationsaustausch und eine stärkere Zusammenarbeit innerhalb der europäischen Behördenlandschaft.

Für eine engere Zusammenarbeit im europäischen AML/CTF-System besonders hilfreich ist auch, dass Vertreter der für die Bekämpfung der Geldwäsche zuständigen Aufsichtsbehörden und Vertreter der FIUs der Mitgliedstaaten im Verwaltungsrat der AMLA sitzen.

Schließlich vereinfacht auch die geplante Vernetzung der Transparenzregister, Bankkontenregister und Immobilienregister den (grenzüberschreitenden) Informationsaustausch für Behörden und Verpflichtete.

Stärkere Digitalisierung und Nutzung von KI und Machine Learning

Die neue AML/CTF-Aufsichtspraxis in Europa wird stärker datengetrieben sein. Verpflichtete müssen hunderte Datenpunkte bereitstellen und die AMLA und weiteren Aufsichtsbehörden werden eine Vielzahl von Daten erhalten, die sie entsprechend (mitunter in real-time) analysieren müssen. Gleichzeitig nutzen immer mehr Kriminelle Künstliche Intelligenz und Machine Learning für ihre ML/TF-Aktivitäten.

Inzwischen besteht weitgehend Einigkeit darüber, dass KI und Machine Learning die Effektivität und Effizienz von AML/CTF-Prozessen bei großen Datenmengen, etwa im Rahmen des Transaktionsmonitorings, deutlich steigern können. Die wachsende Bedeutung von Künstlicher Intelligenz und Machine Learning im Kampf gegen Geldwäsche und Terrorismusfinanzierung hat der europäische Gesetzgeber erkannt, sodass der Einsatz automatisierter Verfahren und KI-Systeme sowohl in der AMLA-VO als auch in der AMLR explizit geregelt ist.

Die AMLA bejaht daher technologische Innovation und den Einsatz von Künstlicher Intelligenz und Machine Learning. Zum einen für ihre eigenen Aufsichtstätigkeiten im Sinne leistungsfähiger SupTech-Lösungen für ihr Datenmanagement und ihre Datenanalysen. Zum anderen legt sie auch Verpflichteten den Einsatz nahe, um ihre AML/CTF-Aktivitäten effektiver zu gestalten. Vorausgesetzt, sie verfügen über ein entsprechendes Datenmanagement, befassen sich mit den damit einhergehenden Risiken, erfüllen die regulatorischen Vorgaben und testen die Lösungen angemessen. 

Um den erhöhten Datenanforderungen gerecht zu werden, sollten Verpflichtete daher auf eine weitergehende Digitalisierung und Automatisierung ihrer AML/CTF-Prozesse hinarbeiten, einschließlich des gezielten Einsatzes von KI und Machine Learning.

Stärkere Aufsicht über den Krypto-Sektor

Der Krypto-Sektor wird seit jeher mit erheblichen ML/TF-Risiken assoziiert. Daher enthält das EU-AML-Paket, wie oben bereits dargestellt, an diversen Stellen neue strenge Anforderungen für Kryptowerte-Dienstleister.

Die Risikointensität des Krypto-Sektors wurde bspw. durch die im Juli 2025 veröffentlichte Stellungnahme der EBA zu den Risiken der Geldwäsche und Terrorismusfinanzierung, die den Finanzsektor der EU betreffen, bestätigt. Laut der EBA weisen Kryptowerte-Dienstleister häufig einen Mangel an wirksamen AML/CTF-Kontrollen auf.

Entsprechend sind laut dem AMLA Work Programme 2025 Kryptowerte-Dienstleister „aufgrund ihrer technologischen Merkmale, grenzüberschreitenden Aktivitäten und anonymitätsfördernden Eigenschaften erheblichen Risiken der Geldwäsche und Terrorismusfinanzierung ausgesetzt.“ Daher würde eine der ersten Prioritäten der AMLA darin bestehen, hohe Standards bei AML/CTF-Kontrollen und deren Wirksamkeit in risikobehafteten Sektoren, wie etwa bei Kryptowerte-Dienstleistern, in der gesamten Union zu fördern. Die Aufsicht von Kryptowerte-Dienstleistern erklärt die AMLA deswegen zu einer absoluten Priorität, um Europa angemessen vor den damit verbundenen AML/CTF-Risiken zu schützen.

Im Rahmen ihrer Rolle in der indirekten Aufsicht über den Finanzsektor erwartet die AMLA von den Zulassungs- bzw. Aufsichtsbehörden in der Union, dass Kryptowerte-Dienstleister bereits zum Zeitpunkt der Zulassung über wirksame AML/CFT-Systeme verfügen. 

Gleichzeitig möchte die AMLA in enger Zusammenarbeit mit den nationalen und europäischen Aufsichtsbehörden Pläne entwickeln, um entsprechend hohe Standards bei AML/CTF-Kontrollen zu fördern. Zudem sollen Kryptowerte bezogene Finanzinformationen unmittelbar in erste gemeinsame Analysen der AMLA-FIU Säule einbezogen werden. So könnten frühzeitig grenzüberschreitende Typologien und neu auftretende Risiken identifiziert werden, wie die AMLA auf Ihrer Homepage im Juli 2025 bekannt gab.

Ferner gab Bruna Szego bei einem Vortrag im Mai 2025 bekannt, dass Krypto-Börsen unter den 40 ausgewählten Verpflichteten mit dem höchsten Risiko für AML/CTF sein werden, die direkt von der AMLA beaufsichtigt werden.

Herausforderungen im Zuge des EU-AML-Pakets

Erheblicher Analyse- und Umsetzungsaufwand für Verpflichtete

Für alle Verpflichteten und insbesondere für solche, die bislang noch nicht als Verpflichtete klassifiziert wurden, werden die detaillierten Gap-Analysen und die Umsetzung der neuen Anforderungen mit erheblichem Aufwand einhergehen. Der EU-Gesetzgeber hat sich für eine sehr kleinteilige, detailreiche und mitunter sehr komplexe Regulierung entschieden. Neben den Level 1-Anforderungen wird es noch eine Vielzahl von Level 2- und Level 3-Rechtsakten geben, deren weitreichende Anforderungen zunächst analysiert und dann umgesetzt werden müssen. Hierbei besteht die Hoffnung, dass durch die diversen Level 2- und Level 3-Rechtsakte zufriedenstellende Antworten auf die vielen offenen Auslegungsfragen bzgl. verschiedener Level-1 Regelungen geliefert werden.

Allerdings kommt für die Verpflichteten erschwerend hinzu, dass viele relevante RTS/ITS und Guidelines erst im Juli 2026 bzw. sogar erst im Juli 2027 final veröffentlicht werden sollen. Somit erst dann, wenn die Anforderungen der AMLR grds. bereits umgesetzt sein müssen.

Die neuen Anforderungen wirken sich auf nahezu jeden Organisationsbereich der AML/CTF-Bekämpfung der Verpflichteten aus. So werden die Verpflichteten ihre AML/CTF Governance, Strategien, Prozesse, Verfahren und Kontrollen anpassen bzw. mitunter neu aufsetzen müssen. Angesichts der Vielzahl an Datenpunkten, die neu erhoben und verarbeitet werden und einem damit einhergehenden größeren und komplexeren Datenhaushalt, müssen die Verpflichteten erheblich in ihre Datenmanagementstrukturen, Datenqualität und entsprechenden IT-Systeme investieren.

Insbesondere die Umsetzung der Anforderungen aus der AMLR wird die Verpflichteten vor große Umsetzungsherausforderungen stellen:  

• Neue zu erhebende und zu verarbeitende KYC-Daten und Daten zur Ermittlung des wirtschaftlichen Eigentümers 

• Neue Verifizierungspflichten 

• Kürzere Aktualisierungsfristen für Kundendaten (Grandfathering-Regelung derzeit noch in Konsultation) 

• Neue Meldepflichten 

• Eine komplexere Berechnungslogik bei der Ermittlung des wirtschaftlichen Eigentümers mit vorauss. anderen und mehr wirtschaftlich Berechtigten als bislang 

• Erweiterte PeP-Regelungen mit mehr PePs 

• Mehr Tatbestände, die verstärkte Sorgfaltsmaßnahmen begründen  

Zudem wird der Geldwäschebeauftragte bei den Verpflichteten zukünftig nicht nur für die Bekämpfung von Geldwäsche und Terrorismusfinanzierung, sondern auch für das Themengebiet Sanctions Compliance zuständig sein, was in der Regel aufbauorganisatorische Anpassungen und Schulungsaufwand zur Folge haben wird. Neben dem erforderlichen Sanctions Screening müssen die internen Strategien, Kontrollen und Verfahren neben AML/CTF Risiken, zukünftig auch das Risiko der Nichtumsetzung und Umgehung gezielter finanzieller Sanktionen mindern und steuern.

Daneben wird die Möglichkeit der Auslagerung von Aufgaben der Verpflichteten erheblich eingeschränkt, inkl. der Einführung von weitreichenden Auslagerungsverboten für bestimmte wesentliche Aufgaben. Dies dürfte insb. kleinere Institute besonders treffen, die häufig entsprechende Aufgaben an Drittdienstleister übertragen.

Schließlich erschweren parallel laufende nationale und europäische Regulierungsinitiativen, wie die neuen BaFin AuAs, die bereits einige Regelungen der AMLR vorwegnehmen, sowie neue EBA-Guidelines, die Fokussierung auf die Analyse und Umsetzung der neuen Vorgaben des EU-AML-Pakets durch die Verpflichteten.

Mammutaufgabe für AMLA

Die AMLA steht in den kommenden Jahren aufgrund ihres umfangreichen Mandats und Pflichtenhefts vor enormen Herausforderungen. Sie verfolgt das Ziel, die derzeit fragmentierte Aufsicht in Europa in eine unionsweit harmonisierte und kohärente Aufsichtsstruktur zu überführen.

Aufgrund ihrer exponierten Stellung im neuen EU-AML/CTF-Aufsichtsregime ist sie Aufsichtsbehörde, Standardsetzer und Koordinierungsbehörde zugleich. Sie wird die zunächst bis zu 40 risikoreichsten Verpflichteten in Europa direkt beaufsichtigen, die Koordination und Aufsicht der nationalen Finanzaufsichtsbehörden und Aufsichtsbehörden des Nichtfinanzsektors übernehmen und die nationalen FIUs koordinieren. Zudem wird sie fortlaufend etwaige AML/CTF-Risiken mit Auswirkungen auf den europäischen Raum analysieren und bewerten.

In den nächsten zwei Jahren muss die AMLA Dutzende RTS/ITS und Guidelines veröffentlichen. Alleine bis Juli 2026 muss sie laut dem AMLA Work Programme 2025 23 Level-2 und Level-3 Rechtsakte veröffentlichen. Hierfür wird sie zwar insb. von der EBA und der Kommission unterstützt, allerdings geht sie davon aus, dass nach Erhalt von entsprechenden Entwürfen noch erheblicher Anpassungsbedarf bestehen wird. Die AMLA weist in ihrem Work Programme 2025 auch bereits darauf hin, dass sie einige RTS/ITS und Guidelines möglicherweise nicht rechtzeitig finalisieren wird. Die rechtzeitige Finalisierung hänge von der Ressourcenlage, dem Umfang der erforderlichen Nacharbeiten und der Mitarbeit der relevanten Behörden ab.

Sie muss sich innerhalb kurzer Zeit zu einer voll funktionsfähigen Aufsichtsbehörde entwickeln, die über eine exzellente und sichere IT-Infrastruktur und hervorragend qualifiziertes Personal verfügt, um ihren vielfältigen Aufgaben entsprechend nachkommen zu können.

Die AMLA wird laut ihrem Work Programme bis Ende 2025 ca. 120 Mitarbeitende eingestellt haben. In einem durchaus schwierigen Marktumfeld benötigt sie jedoch mehr als 300 weitere qualifizierte Mitarbeitende, um ihr Ziel von ca. 430 Mitarbeitenden bis Ende 2027 zu erreichen. Dieses Ziel erscheint unter Berücksichtigung der Marktumstände ambitioniert.

Ein erheblicher Teil der bis Ende 2027 geplanten 430 Mitarbeitenden wird in der direkten Aufsicht der risikoreichsten ausgewählten Verpflichteten tätig sein. Gleichzeitig wird der weit überwiegende Teil der Verpflichteten nur von den nationalen Aufsichtsbehörden direkt beaufsichtigt werden. Daher muss die AMLA einen signifikanten Aufwand im Rahmen der Koordinierung und Aufsicht der nationalen Aufsichtsbehörden betreiben, um den angestrebten unionsweiten kohärenten Aufsichtsstandard im Finanz- und Nichtfinanzsektor zu erreichen.

Die AMLA hat sich zudem zum Ziel gesetzt, eine State-of-the-Art IT-Infrastruktur zu entwickeln, die dem neuesten technologischen Standard entspricht. Zudem will sie relevante Datenbanken aufsetzen, diese pflegen und leistungsfähige Analyseplattformen bereitstellen. Für das Erreichen dieser Ziele ist ebenfalls ein enormer Ressourcenaufwand notwendig.

Keine Vollharmonisierung der AML/CTF-Anforderungen

Kritiker:innen bemängeln, dass es sich bei dem EU-AML-Paket um keine Vollharmonisierung der Anforderungen im AML/CTF-Bereich der EU handelt, sondern lediglich um eine Teilharmonisierung. Sie begründen ihre Ansicht damit, dass insbesondere die AMLD VI weiterhin eine Richtlinie darstellt, die entsprechend von den Mitgliedstaaten in nationales Recht umzusetzen ist. Hierbei sei es für die Mitgliedstaaten weiterhin möglich, nationale Besonderheiten festzulegen, so dass die Anforderungen sich europaweit dann doch wieder unterscheiden würden. Zudem enthalte auch die AMLR an einigen wenigen Stellen noch Ermessenspielräume für die Mitgliedstaaten.

Die Europäische Kommission hat die Wahl des Instruments der Richtlinie anstelle einer Verordnung seinerzeit damit begründet, dass für die in der AMLD VI enthaltenen Regelungsbereiche ein gewisser Spielraum bzw. Flexibilität auf Seiten der Mitgliedstaaten erforderlich sei. Dieser Spielraum wird allerdings dadurch eingeschränkt, dass für wesentliche Anforderungen der AMLD VI delegierte Verordnungen erlassen werden, welche die von der AMLA entwickelten RTS enthalten und unmittelbar in jedem Mitgliedstaat gelten, ohne dass es einer nationalen Umsetzung bedarf.

Datenschutz versus AML/CTF-Bekämpfung 

Im Rahmen der Erfüllung der Anforderungen des EU-AML-Pakets müssen Verpflichtete eine Vielzahl von personenbezogenen Daten erheben und verarbeiten. Dabei ergibt sich häufig ein Spannungsfeld zwischen individuellen Datenschutzrechten einerseits und der effektiven Umsetzung von AML/CTF-Kontrollen andererseits. Daher müssen Verpflichtete enorme Anstrengungen unternehmen, die Datenverarbeitungssysteme entsprechend zu gestalten und zu überwachen. Laut der AMLA-Vorsitzenden Bruna Szego handele es sich bei den Level-1 Regelungen des EU-AML-Pakets über entsprechend harmonisierte Vorschriften, die klare Grenzen für die Datenverarbeitung festlegen. Im Rahmen der Ausarbeitung der Level-2- oder Level-3-Regelungen (RTS und Guidelines) würde die AMLA, soweit erforderlich, den Europäischen Datenschutzausschuss konsultieren.

Was jetzt zu tun ist: Vorbereitung auf die neuen Anforderungen 

Es sind nur noch knapp zwei Jahre bis zur Geltung der meisten für Verpflichtete relevanten Vorgaben, daher sollten Sie bereits jetzt mit den Vorbereitungen beginnen:

• Durchführung einer umfassenden Gap-Analyse zwischen der bestehenden AML/CTF Governance, Strategien, Prozessen, Verfahren und Kontrollen und den neuen Anforderungen des EU-AML-Pakets (inkl. fortlaufender Analyse der Level-2- und Level-3 Konsultationen) 

• Überprüfung der IT- und Datenmanagementstrukturen, einschließlich Evaluierung des Einsatzes von Cloud-Lösungen, Künstlicher Intelligenz und Machine Learning 

• Vorbereitung und Planung notwendiger Anpassungen von Richtlinien und Prozessen sowie Einschätzung des zukünftigen Ressourcenbedarfs 

• Umsetzung von Maßnahmen zur Schließung identifizierter Gaps sowie Schulung und Sensibilisierung der Mitarbeitenden

Fazit

Mit dem EU-AML-Paket und der Errichtung der AMLA reagierte die Europäische Union entschlossen auf lang bekannte Schwächen in der Bekämpfung von Geldwäsche und Terrorismusfinanzierung. Ziel ist es durch ein einheitliches AML/CTF-Regelwerk, harmonisierten Aufsichtspraktiken und stärkerer grenzüberschreitender behördlicher Zusammenarbeit ein wirksameres, europaweit kohärentes AML/CTF-Aufsichtsregime im Finanz- und Nichtfinanzsektor zu schaffen. 

Die AMLA übernimmt dabei eine zentrale Rolle – als Aufsichtsbehörde, Standardsetzer und Koordinierungsbehörde –, um die bisherige fragmentierte Aufsicht grenzüberschreitend effektiver zu gestalten. Hierbei soll die Aufsicht unter Einsatz modernster Technologien stärker datengetrieben und risikobasiert erfolgen. 

Für Verpflichtete bringt das neue Regime jedoch zunächst erheblichen Analyse- und Umsetzungsdruck mit sich. Die Anforderungen sind komplex, detailreich und in weiten Teilen noch in Ausarbeitung – und das bei ambitionierten Fristen. Verpflichtete sollten daher – falls noch nicht geschehen – schnellstmöglich mit einer Gap-Analyse beginnen. Um den erhöhten Datenanforderungen gerecht zu werden, sollten sie zudem auf eine weitergehende Digitalisierung und Automatisierung ihrer AML/CTF-Prozesse hinarbeiten, einschließlich des gezielten Einsatzes von KI und Machine Learning.  

Gleichzeitig steht auch die AMLA selbst vor einer enormen organisatorischen und operativen Aufbauleistung, um ihrem weitreichenden Mandat gerecht zu werden. Ob das neue System seine Ziele tatsächlich erreicht und die europäische Aufsicht im Bereich der Finanzkriminalität langfristig messbar gestärkt wird, bleibt daher abzuwarten.