Neue GW/TF Kontrollen gemäß Art. 12 Abs. 7 AMLA-VO und Art. 40 Abs. 2 AML-RL
Inhalte
- Neue GW/TF Kontrollen gemäß Art. 12 Abs. 7 AMLA-VO und Art. 40 Abs. 2 AML-RL
- Sektoren, Kategorien und die 70 Datenpunkte
- Sektoren
- Zweck des GW/TF-Kontrolldatensatzes
- Kategorien
- Governance, Kultur und Compliance
- Interne Kontrollen und Outsourcing
- Risikobewertung
- Kundenprüfung und laufende Überwachung
- Transaktionsüberwachung und Verdachtsmeldungen
- Finanzsanktionen und Einhaltung der Geldtransferverordnung
- Gruppenweiter GW/TF-Rahmen
- 70 Datenpunkte
- Nutzung durch nationale Aufsichtsbehörden
- Die Zukunft der GW/TF-Aufsicht
- Download
Sektoren, Kategorien und die 70 Datenpunkte
Die EU-Geldwäscheaufsicht bewertet künftig nicht nur, welche inhärenten GW/TF-Risiken ein Institut aufweist, sondern auch, wie belastbar und wirksam diese Risiken durch Kontrollen gesteuert werden. Diese zweite Dimension wird durch einen verbindlichen Datensatz von 70 Kontroll-Datenpunkten operationalisiert.
Die Kontroll-Datenpunkte sind von den verpflichteten Unternehmen zu erheben und an die zuständige nationale Aufsichtsbehörde (NCA) – etwa BaFin (Deutschland), FMA (Österreich) oder CSSF (Luxemburg) – zu übermitteln. Sie ermöglichen eine standardisierte, vergleichbare und datengestützte Bewertung der GW/TF-Kontrollumgebung.
Sektoren
Der GW/TF-Melde- und Bewertungsrahmen gilt für die nach AMLA-VO und AML-RL verpflichteten Sektoren und ist in eine harmonisierte Aufsichtstaxonomie gegliedert:
- CI – Kreditinstitute
- CP – Kreditgeber
- LI – Lebensversicherungsunternehmen
- EMI – E-Geld-Institute
- PI – Zahlungsinstitute
- BC – Wechselstuben
- IF – Wertpapierinstitute
- AMC – Kapitalverwaltungsgesellschaften
- CASP – Anbieter von Krypto-Asset-Dienstleistungen
- O – Sonstige Verpflichtete (z. B. Rechtsanwälte, Immobilienfachleute, Glücksspielanbieter, Crowdfunding-Plattformen)
Die 70 Kontroll-Datenpunkte sind strukturell einheitlich. Die aufsichtsrechtlichen Erwartungen an Ausgestaltung, Nachweisbarkeit und Umsetzungsgrad variieren jedoch sektorspezifisch, da Geschäftsmodelle, Produkte und Risikoprofile unterschiedlich sind.
Zweck des GW/TF-Kontrolldatensatzes
Die 70 Kontroll-Datenpunkte dienen der Beantwortung einer zentralen aufsichtsrechtlichen Frage:
Sind die GW/TF-Kontrollen des Instituts angesichts seines objektiv messbaren inhärenten Risikos angemessen ausgestaltet und wirksam umgesetzt?
Die Datenpunkte sind ausdrücklich:
- keine Policy-Beschreibungen,
- keine narrativen Selbsteinschätzungen,
- keine „Best-Practice“-Statements.
Gefordert sind vielmehr überprüfbare, operativ belastbare Angaben, wie GW/TF-Kontrollen geregelt, implementiert, überwacht und durchgesetzt werden.
Kategorien
Die 70 Kontroll-Datenpunkte sind in sieben verpflichtende Kontrollkategorien gegliedert. Jede Kategorie bildet ein spezifisches aufsichtsrechtliches Kontrollziel ab.
Governance, Kultur und Compliance
Diese Kategorie bewertet Führungsverantwortung und organisatorische Verankerung von GW/TF. Erfasst werden u. a.:
- Verantwortung und Aufsicht des Leitungsorgans,
- Förderung einer AML/CFT-Risikokultur,
- Unabhängigkeit, Befugnisse und Ressourcen der Compliance-Funktion,
- Besetzung und Kontinuität zentraler AML-Funktionen,
- AML/CFT-Schulungen für Mitarbeitende und Führungskräfte.
Damit wird bewertet, ob GW/TF aktiv gesteuert oder lediglich formal zugeordnet ist.
Interne Kontrollen und Outsourcing
Diese Kategorie adressiert strukturelle Robustheit und Prüfungsfähigkeit des GW/TF-Rahmenwerks, insbesondere:
- interne Kontroll- und Meldesysteme,
- Outsourcing-Vereinbarungen und Abhängigkeiten von Dritten,
- Überwachung ausgelagerter GW/TF-Aktivitäten,
- unabhängige Prüfungen (Interne Revision / externe Experten),
- Mechanismen zur Aufzeichnung und Aufbewahrung relevanter Informationen.
Im Fokus steht die verbleibende Gesamtverantwortung: Outsourcing reduziert Pflichten nicht.
Risikobewertung
Diese Kategorie bildet die analytische Basis der GW/TF-Steuerung (u. a. Risikoanalyse und kundenbezogene Risikoklassifizierung) und umfasst typischerweise:
- Existenz und Methodik der Risikoanalyse,
- Abdeckung von Produkten, Dienstleistungen, Geografien und Vertriebskanälen,
- regelmäßige sowie anlassbezogene Aktualisierungen,
- kundenbezogene Risikoanalyse und -klassifizierung,
- Konsistenz zwischen inhärenten Risikodaten und interner Risikologik.
Bewertet wird, ob Risikobewertungen datenbasiert, aktuell und steuerungswirksam sind.
Kundenprüfung und laufende Überwachung
Diese Kategorie beschreibt, wie Kundenrisiken über den Lebenszyklus der Geschäftsbeziehung gesteuert werden, einschließlich:
- Identifizierung und Verifizierung,
- Ermittlung und Prüfung wirtschaftlich Berechtigter,
- Verständnis von Zweck und Art der Geschäftsbeziehung,
- Anwendung verstärkter Sorgfaltspflichten,
- laufende und periodische Überprüfung der Kundendaten.
Schwerpunkt ist das laufende Kundenrisikomanagement, nicht nur das Onboarding.
Transaktionsüberwachung und Verdachtsmeldungen
Diese Kategorie fokussiert Erkennung, Bearbeitung und Meldung verdächtiger Aktivitäten, u. a.:
- Transaktionsmonitoring über relevante Produkte/Dienstleistungen,
- Erkennung ungewöhnlicher Muster,
- interne Eskalation und Fallbearbeitung,
- Abgabe von Verdachtsmeldungen,
- Dokumentation von Melde- und Nichtmeldeentscheidungen.
Die Aufsicht kann diese Kontrollen unmittelbar mit den gemeldeten Transaktionsvolumina und -werten aus dem Datensatz inhärenter Risiken plausibilisieren.
Finanzsanktionen und Einhaltung der Geldtransferverordnung
Diese Kategorie umfasst Sanktionen sowie Zahlungstransparenzpflichten, insbesondere:
- Sanktionsscreening von Kunden, wirtschaftlich Berechtigten und Gegenparteien,
- laufendes sowie transaktionsbezogenes Screening,
- Umgang mit Treffern und Eskalationsmechanismen,
- Einhaltung der Geldtransferverordnung (erforderliche Angaben zu Zahler/Zahlungsempfänger).
Im Fokus stehen kontinuierliche, automatisierte und klar gesteuerte Kontrollen.
Gruppenweiter GW/TF-Rahmen
Diese Kategorie gilt für Gruppen und grenzüberschreitend tätige Institute und umfasst u. a.:
- konzernweite Governance-Strukturen,
- konzernweite Risikoanalyse,
- harmonisierte Richtlinien und Verfahren,
- Informationsaustausch innerhalb der Gruppe,
- Koordination und Überwachung auf Gruppenebene.
Bewertet werden Konsistenz und Effektivität konsolidierter Kontrollen.
70 Datenpunkte
In allen sieben Kategorien sind insgesamt 70 Kontroll-Datenpunkte zu melden. Wesentliche Merkmale:
- objektiv und überprüfbar,
- fokussiert auf Existenz, Ausgestaltung und Umsetzungsnachweis von Kontrollen,
- bewertet im Zusammenspiel mit den 151 inhärenten Risikodatenpunkten,
- fehlende oder inkonsistente Angaben wirken direkt kontrollschwächend.
Die Anwendbarkeit richtet sich insbesondere nach:
- Sektor,
- Geschäftsmodell und Produkt-/Dienstleistungsumfang,
- Gruppenstruktur (falls relevant).
Nutzung durch nationale Aufsichtsbehörden
Nationale Aufsichtsbehörden (BaFin, FMA, CSSF etc.) nutzen die Kontroll-Daten, um:
- Wirksamkeit der Kontrollen im Verhältnis zum inhärenten Risiko zu bewerten,
- Aufsichts- und Prüfungsmaßnahmen zu priorisieren,
- risikobasierte Inspektionen zu unterstützen,
- sektorübergreifende systemische Schwächen zu identifizieren.
Die Zukunft der GW/TF-Aufsicht
Die Meldung von GW/TF-Kontrollen vervollständigt den Übergang zu einer vollständig datengestützten EU-Geldwäscheaufsicht. Zusammen mit den inhärenten Risikodatenpunkten ermöglichen die 70 Kontroll-Datenpunkte eine belastbare Beurteilung:
- ob Risiken angemessen gesteuert werden,
- ob Kontrollen operativ funktionieren,
- und ob die Umsetzung konsistent und prüfungssicher nachweisbar ist.
Die zentrale Herausforderung für verpflichtete Unternehmen liegt daher nicht mehr in der bloßen Dokumentation von Kontrollen, sondern in der Ausrichtung von Governance, Prozessen, Systemen und Evidenz – vollständig, konsistent und jederzeit reproduzierbar.
Download
Quellen: