Inhärente Risiken gemäß Art. 12 Abs. 7 AMLA-VO und Art. 40 Abs. 2 AML-RL

Inhärente Risiken gemäß Art. 12 Abs. 7 AMLA-VO und Art. 40 Abs. 2 AML-RL

Sektoren, Risikokategorien und die 151 Datenpunkte

Die EU-Geldwäscheaufsicht befindet sich in einem grundlegenden Wandel. Die aufsichtsrechtliche Bewertung verlagert sich von narrativen, politikorientierten Einschätzungen hin zu einem quantitativen, datengestützten Risikomodell.

Im Zentrum dieser Neuausrichtung steht ein verbindlicher Katalog von 151 Datenpunkten zu inhärenten Risiken im Bereich Geldwäsche und Terrorismusfinanzierung (GW/TF). Diese Datenpunkte sind von den verpflichteten Unternehmen zu erheben und an ihre jeweils zuständige nationale Aufsichtsbehörde (NCA) – etwa die BaFin (Deutschland), die FMA (Österreich) oder die CSSF (Luxemburg) – zu übermitteln.

Die gemeldeten Daten bilden die ausschließliche Grundlage für die aufsichtsrechtliche Ermittlung des inhärenten GW/TF-Risikos durch die Behörden.

Sektoren

Die regulatorischen technischen Standards (RTS) gelten für die nach der AMLA-Verordnung (AMLA-VO) und der AML-Richtlinie (AML-RL) verpflichteten Sektoren. Sie sind in eine harmonisierte aufsichtsrechtliche Sektor-Taxonomie gegliedert:

  • CI – Kreditinstitute
  • CP – Kreditgeber
  • LI – Lebensversicherungsunternehmen
  • EMI – E-Geld-Institute
  • PI – Zahlungsinstitute
  • BC – Wechselstuben
  • IF – Wertpapierinstitute
  • AMC – Kapitalverwaltungsgesellschaften
  • CASP – Anbieter von Krypto-Asset-Dienstleistungen
  • O – Sonstige Verpflichtete (z. B. Rechtsanwälte, Immobilienfachleute, Glücksspielanbieter, Crowdfunding-Plattformen)

Diese Sektorklassifizierung ist nicht beschreibend, sondern aufsichtsrechtlich steuernd. Sie bestimmt:

  • welche Datenpunkte anwendbar sind,
  • welche inhärenten Risiken unterstellt werden,
  • und wie Institute EU-weit miteinander verglichen werden.

Verpflichtete Unternehmen müssen alle für ihre tatsächlich angebotenen Produkte und Dienstleistungen relevanten Datenpunkte melden, unabhängig davon, wie sie ihr Geschäftsmodell intern bezeichnen oder strukturieren.

Risikokategorien

Die Aufsichtsbehörden ordnen die inhärenten GW/TF-Risiken mehreren verbindlichen Risikokategorien zu. Jeder der 151 Datenpunkte ist genau einer dieser Kategorien zugeordnet.

Kunden

Diese Kategorie beschreibt, mit welchen Kundenarten und -strukturen ein Institut Geschäftsbeziehungen unterhält.

Typische inhärente Risikodatenpunkte sind unter anderem:

  • Gesamtzahl der Kunden,
  • Anzahl natürlicher und juristischer Personen,
  • PEP-Exposition (Kunden und wirtschaftlich Berechtigte),
  • Kunden mit komplexen Eigentümer- und Kontrollstrukturen,
  • Kunden mit risikoreichen wirtschaftlichen Aktivitäten,
  • Anzahl neu gewonnener Kunden im Vorjahr.

Diese Datenpunkte dienen der Beurteilung von Umfang, Komplexität und Integritätsrisiken des Kundenportfolios.

Produkte

Die Produktkategorie erfasst, welche Finanzinstrumente, Wertspeicher oder Dienstleistungen angeboten werden. Sie ist in detaillierte, produktspezifische Unterkategorien gegliedert, darunter beispielsweise:

  • Zahlungskonten und virtuelle IBANs
  • Prepaid-Karten
  • Kreditvergabe (z. B. Konsumenten-, Immobilien- oder besicherte Kredite)
  • Faktorisierung
  • Lebensversicherungsverträge
  • Bargeldwechsel
  • E-Geld und Geldüberweisungen
  • Vermögensverwaltung
  • Korrespondenzbankdienstleistungen
  • Handelsfinanzierung
  • Verwahrung und Transfer von Krypto-Assets
  • Krypto-Tauschdienstleistungen
  • Investmentdienstleistungen
  • Verwaltung von UCITS und AIFs
  • Crowdfunding
  • Bargeldtransaktionen

Für jedes anwendbare Produkt oder jede anwendbare Dienstleistung verlangen die RTS quantitative Indikatoren, insbesondere:

  • Anzahl der Transaktionen,
  • Gesamtvolumen (EUR),
  • Anzahl der nutzenden Kunden,
  • produktspezifische Risikoverstärker (z. B. Nutzung nicht gehosteter Wallets oder Zahlungen über Dritte).

Nicht angebotene Produkte oder Dienstleistungen sind als „nicht zutreffend“ zu melden und dürfen nicht ausgelassen werden.

Dienstleistungen

Die Dienstleistungskategorie beschreibt, wie Produkte in der operativen Praxis genutzt werden.

Zu den inhärenten Risikodatenpunkten zählen insbesondere:

  • eingehende und ausgehende Transaktionen,
  • Transaktionsfrequenz und -werte,
  • Transaktionen oberhalb definierter Schwellenwerte,
  • Bargeldaktivitäten,
  • Handelsfinanzierungsoperationen,
  • Transaktionsflüsse von Krypto-Assets.

Transaktionsvolumen, -geschwindigkeit und grenzüberschreitende Nutzung sind zentrale quantitative Faktoren der aufsichtsrechtlichen Risikobewertung.

Länder

Die geografische Dimension wirkt als horizontaler Risikomultiplikator.

Erfasst werden unter anderem:

  • Kunden nach Ländern,
  • Transaktionen nach Herkunfts- und Zielländern,
  • Expositionen gegenüber Nicht-EWR-Jurisdiktionen,
  • Niederlassungen, Tochtergesellschaften, Agenten und Vertriebspartner nach Ländern,
  • Korrespondenzbankbeziehungen nach Sitzland des Respondenten.

Die Aufsichtsbehörden gleichen diese Angaben automatisiert mit EU-Listen von Hochrisiko-Drittstaaten und weiteren geopolitischen Risikoindikatoren ab.

Vertriebskanäle

Diese Kategorie beschreibt, wie Kundenbeziehungen und Transaktionen initiiert werden.

Zu den inhärenten Risikodatenpunkten gehören beispielsweise:

  • Remote-Onboarding,
  • Onboarding über Dritte,
  • Nutzung von Agenten, Maklern oder Vertriebspartnern,
  • White-Label-Strukturen,
  • Laufkundschaft und gelegentliche Transaktionen.

Vertriebskanäle sind besonders risikorelevant, da sie den Grad der direkten Kontrolle des Instituts beeinflussen.

151 Datenpunkte

Die RTS definieren insgesamt 151 verpflichtende Datenpunkte zu inhärenten GW/TF-Risiken.

Zentrale Merkmale:

  • Alle Datenpunkte sind quantitativ bzw. objektiv zählbar.
  • Narrative Erläuterungen sind nicht Bestandteil des Datensatzes.
  • Die Daten müssen konsistent, reproduzierbar und systembasiert sein.
  • Fehlende oder inkonsistente Daten wirken direkt risikosteigernd.

Der Datensatz ist modular anwendbar:

  • Zahlungsinstitute melden keine versicherungsspezifischen Daten.
  • CASPs melden umfangreiche kryptospezifische Kennzahlen.
  • Vermögensverwalter fokussieren sich auf Fondsstrukturen, Vermögensvolumina und Anlegerprofile.

Der Katalog selbst ist unveränderlich. Die Anwendbarkeit richtet sich ausschließlich nach den tatsächlich angebotenen Produkten und Dienstleistungen.

Nutzung durch nationale Aufsichtsbehörden

Nationale Aufsichtsbehörden wie BaFin, FMA und CSSF nutzen die gemeldeten Daten, um:

  1. das inhärente GW/TF-Risiko unabhängig vom Institut zu ermitteln,
  2. Risikoprofile EU-weit vergleichbar zu machen,
  3. eine verbindliche aufsichtsrechtliche Risikobewertung zu vergeben,
  4. Aufsichts- und Prüfungsmaßnahmen risikobasiert zu priorisieren.

Ab 2028 ersetzt dieser datengestützte Ansatz den qualitativen Supervisionsdialog als primären Bewertungsmechanismus.

Die Zukunft der GW/TF-Aufsicht

Das RTS-Meldesystem für inhärente Risiken markiert einen Paradigmenwechsel: Institute werden künftig nicht danach beurteilt, wie überzeugend sie Risiken beschreiben, sondern danach, was ihre Daten objektiv belegen.

Die Kombination aus:

  • sektoraler Anwendbarkeit,
  • harmonisierten Risikokategorien,
  • detaillierten Produkt- und Dienstleistungsunterkategorien,
  • und 151 verbindlichen inhärenten Risikodatenpunkten (ergänzt um den LEI)

schafft eine einheitliche, durchsetzbare Aufsichtssprache in der EU.

Die zentrale Herausforderung für verpflichtete Unternehmen liegt daher nicht mehr in besseren Richtlinien, sondern in der verlässlichen Bereitstellung konsistenter, vollständiger und prüfungsfester Daten aus Kernbankensystemen, KYC-Plattformen, Transaktionssystemen und Datenmanagement-Architekturen.

Download

Inhärente Risiken gemäß Art. 12 Abs. 7 AMLA-VO und Art. 40 Abs. 2 AML-RLHerunterladen

Quellen:

https://eur-lex.europa.eu/eli/dir/2024/1640/oj/deu

https://eur-lex.europa.eu/eli/reg/2024/1620/oj/deu

1.1_20251216_FINAL REPORT RTS 40(2) AMLD financial only_FinalHerunterladen
2.1_20251216_Final report – RTS under art. 12(7) AMLARHerunterladen