AML-Verordnung: Sechs zentrale Anforderungen für Banken und Versicherungen

Als zentrale Akteure der Finanzwirtschaft vereint Banken und Versicherungsunternehmen trotz unterschiedlicher Geschäftsmodelle der Umstand, dass ihnen zahlreiche weitere hohe rechtliche Anforderungen auferlegt werden. Vor allem die neue AML-Verordnung, welche partiell durch die 6. EU-Geldwäscherichtlinie ergänzt wird, sieht erhebliche Änderungen insbesondere im Bereich der Kundensorgfaltspflichten vor. Hinzu kommen bspw. Änderungen im Bereich des Verdachtsmeldewesens. Nachfolgend werden einige dieser Änderungen aus Sicht der Banken sowie der Versicherungsunternehmen eingeordnet und aufgezeigt, vor welchen zum Teil überschneidenden operativen Herausforderungen beide Verpflichtetengruppen stehen. Die regulatorischen Rahmenbedingungen sowie die strukturellen Unterschiede zwischen Banken und Versicherungsunternehmen wurden bereits in einem vorangegangenen Beitrag eingeordnet.

Die Identifizierung des Kunden insb. bei Anbahnung einer Geschäftsbeziehung stellt weiterhin einen zentralen Bestandteil des KYC-Prozesses dar. Durch die neuen AML-Vorschriften insb. aus der EU-AML-Verordnung in Verbindung mit dem Entwurf des RTS (technischer Regulierungsstandard) zu Art. 28 der AML-Verordnung werden die zu erhebenden und zu verarbeitenden Daten jedoch deutlich ausgeweitet. Dies betrifft sowohl die Daten natürlicher Personen als auch juristischer Personen.

Diese Ausweitung des KYC-Datensatzes führt bei Kreditinstituten zu zusätzlichen Prüfungs- sowie Dokumentationsanforderungen und erfordert entsprechend eine Anpassung der bestehenden Prozesse und internen Richtlinien. Systemseitig sind zudem Anpassungen hinsichtlich der Datenfelder - sowohl für die Datenerfassung von Kundendaten im Rahmen des Onboardingprozesses sowie der Aktualisierung als auch für die künftige Datenverarbeitung - vorzunehmen. Insgesamt führt dies zu einem erheblichen Anstieg der Datenmengen, welche ohne den Einsatz innovativer Technologien kaum mehr effizient verarbeitet werden können.

Versicherungsunternehmen stehen vor ähnlichen Anforderungen, allerdings mit einem anderen Ausgangspunkt: Die Herausforderungen liegen hier neben der Erstidentifizierung in der Integration der KYC-Anforderungen in historisch gewachsene Vertriebs- und Bestandsprozesse. Insbesondere Maklerstrukturen, hybride Antragswege und heterogene Systemlandschaften führen dazu, dass die Erhebung, Pflege und Nachvollziehbarkeit von Kundendaten über den gesamten Lebenszyklus hinweg neu gedacht werden muss.

Durch das neue Gesetzespaket wird eine europäische Vereinheitlichung der Rahmenbedingungen für das Verfahren der Kundenidentifizierung von natürlichen Personen in Verbindung mit der eIDAS-Verordnung vorgesehen. Somit stellt der europäische Gesetzgeber klarere Anforderungen an zulässige Identifizierungsverfahren sowie an deren Dokumentation und Nachvollziehbarkeit.

Für Banken bringt dies insbesondere im Bereich der Fernidentifizierung, die bislang oft per Videoident durchgeführt wird, erhebliche Unsicherheiten mit sich. Künftig sollen nur noch Verfahren zulässig sein, die unmittelbar an die eIDAS-Verordnung anknüpfen. Dazu gehören insbesondere die Nutzung staatlicher elektronischer Identitäten oder die qualifizierte elektronische Signatur. Das in Deutschland weitverbreitete Videoident-Verfahren findet sich in diesem Katalog jedoch nicht wieder. Es handelt sich um eine bislang nur national zugelassene Methode, die keine unmittelbare Grundlage im europäischen Recht hat. Da das Videoident-Verfahren keine Grundlage mehr in der AML-VO findet, müssen Banken frühzeitig Alternativen etablieren, die den europäischen Anforderungen entsprechen. Dies betrifft nicht nur die technische Umsetzung, sondern auch organisatorische Fragen wie die Schulung von Mitarbeitern, die Anpassung interner Abläufe und die Kommunikation gegenüber Kunden.

Für Versicherungsunternehmen stellt sich die Situation häufig differenzierter dar: Identitätsprüfungen erfolgen vielfach über Vermittlerstrukturen oder im Rahmen digitaler Antragsstrecken. Entscheidend wird daher sein, die eingesetzten Verfahren über unterschiedliche Vertriebskanäle hinweg zu harmonisieren und systemseitig so zu integrieren, dass Kontroll- und Dokumentationslücken vermieden werden.

Die Ermittlung des wirtschaftlichen Eigentümers (ehemals wirtschaftlicher Berechtigter) bei juristischen Personen bleibt ein zentrales Element der Kundensorgfaltspflichten. Durch die neuen Vorschriften wird jedoch eine komplexe, neue Berechnungsgrundlage mit dem sogenannten „Every-Step-in-the-Chain-Model“ eingeführt sowie der Schwellenwert auf einen Wert ab 25 % der Kapital- oder Stimmrechtsanteile angepasst (vormals: über 25 %). Zudem steigt der Umfang der Identifikationsanforderungen an den wirtschaftlichen Eigentümer ebenso wie an die Senior Managing Officials (SMOs).

Insbesondere für Banken mit einem großen Unternehmenskundenstamm, vorwiegend im Bereich des Wholesale Bankings mit großen und oft komplexen Unternehmensstrukturen, bedeuten diese neuen Anforderungen einen erheblichen Mehraufwand. Die Berücksichtigung der neuen Berechnungslogik bedeutet neben dem operativen Aufwand insb. eine Anpassung der internen Prozesse sowie die Etablierung adäquater Mitarbeiterschulungen. Zudem wird durch das Absenken des Schwellenwertes sowie der Pflicht zur Vollidentifikation der wirtschaftlichen Eigentümer sowie der SMOs ein erheblicher zusätzlicher zeitlicher sowie ressourcenbindender Aufwand kreiert. Zudem sind systemseitig neue Datenfelder einzuführen. Hinzu kommen die gestiegenen Dokumentationsanforderungen an die Ermittlung der Eigentums- und Kontrollstrukturen.

Versicherungsunternehmen sind hiervon im Wesentlichen bei kapitalbildenden Produkten, wie im Firmenkundengeschäft, in industriellen Versicherungslösungen sowie in bestimmten Lebens- und bAV-Konstellationen betroffen. Die Herausforderungen liegen dabei neben der einmaligen Erhebung in der systematischen Aktualisierung und Nachverfolgung wirtschaftlicher Eigentumsstrukturen über längere Vertragslaufzeiten hinweg.

Durch die neuen Vorschriften wird die Definition von politisch exponierten Personen (PEP) ausgeweitet, so dass künftig bspw. auch Leiter regionaler und lokaler Behörden oder von Gemeindeverbänden mit mindestens 50.000 Einwohnern als PEPs einzustufen sind, für welche dann verstärkte Sorgfaltsmaßnahmen (Enhanced Due Diligence „EDD“) anzuwenden sind. Diese gelten zudem auch bei sehr vermögenden Personen mit Vermögenswerten von insgesamt mindestens 50 Millionen Euro und bei Transaktionen im Wert von über 5 Millionen Euro. Erweiterte Definitionen und klarere Prüfpflichten führen dazu, dass Institute ihre bestehenden Screening- und Prüfprozesse überprüfen müssen.

Banken verfügen bereits über standardisierte Screening-Prozesse in Bezug auf die Einstufung des Kunden als PEP. Die Erweiterung der Definition führt jedoch zu einer größeren Anzahl an PEPs, für welche die verstärkten Sorgfaltspflichten gelten. Dies führt insgesamt zu einem wiederkehrend erhöhten Prüfungs- sowie Dokumentationsaufwand und hat ebenso Auswirkungen auf den Turnus der Aktualisierungspflichten. Selbiges gilt für die allgemeine Ausweitung der Anwendungsfälle der verstärkten Sorgfaltspflichten. Zudem steigt hierdurch insgesamt die Quote der Kunden mit einem hohen Risiko, so dass ggf. der Risikoappetit des Instituts zu prüfen und bei Bedarf anzupassen ist.

Versicherungsunternehmen stehen insbesondere vor der Aufgabe, PEP-Prüfungen stärker in operative Prozesse zu integrieren – etwa bei der Bestandsprüfung oder im Kontext von Vermittler- und Partnerstrukturen. Entscheidend ist dabei, dass entsprechende Prüfungen nicht nur punktuell erfolgen, sondern systematisch und nachvollziehbar über den gesamten Kundenlebenszyklus hinweg stattfinden.

Eine weitere wesentliche Änderung betrifft die Verkürzung des Turnus‘ der Aktualisierungspflichten der Daten von Bestandskunden je nach Risikoklassifizierung. Bei Kunden mit hohem Risiko ist eine jährliche Aktualisierung vorgesehen. Es wird seitens der EBA anerkannt, dass die Anwendung der Vorgaben der EU-AML-VO auf Bestandskunden bis zum 10.07.2027 praktisch kaum möglich ist. Somit ist bzgl. der initialen Überprüfung der Kundendaten der 10.07.2028 Stichtag. Bei Kunden mit mittlerem und niedrigem Risiko sind die KYC-Daten mindestens alle 5 Jahre zu aktualisieren. Initialer End-Stichtag wäre somit der 10.07.2032.

Für Banken stellen die kürzeren Aktualisierungspflichten einen erheblichen Aufwand dar. Eine Vorgehensweise, die Aktualisierung großer Mengen von Kundendaten sinnvoll zu clustern, um keine großen Backlogs zu einem Stichtag abarbeiten zu müssen, ist hier angeraten, um den zeitlichen Aufwand möglichst zu verteilten. Zudem ist der Einsatz von Automatisierungslösungen sinnvoll, um Ressourcenengpässe zu vermeiden und eine Daten- und Systemqualität zu schaffen.

Für Versicherungsunternehmen stellt dieses Thema häufig einen der größten Umsetzungsblöcke dar. Große, über Jahre gewachsene Bestände treffen auf heterogene Datenstrukturen und unterschiedliche Systemgenerationen. Die Umsetzung erfordert daher nicht nur neue Prozesse, sondern häufig auch grundlegende Anpassungen an Datenmodellen, Systemarchitekturen und Kampagnenlogiken zur strukturierten Aktualisierung von Bestandsdaten.

Auch die Verdachtsmeldepflicht wird künftig unionsweit einheitlich geregelt, so dass einige Änderungen auf die Verpflichteten zukommen. Es sind verschiedene Sachverhalte vorgesehen, bei denen eine Verdachtsmeldung zwingend abzugeben sein wird. Völlig neu ist hierbei, dass bereits ein Verdacht, dass Gelder oder Tätigkeiten mit kriminellen Tätigkeiten in Verbindung stehen, meldepflichtig sein wird. Vermögensgegenstände aus einer Vortat – wie dies bei der Geldwäsche notwendig ist – sind hier gerade keine Voraussetzung mehr. Die Abgabe von Verdachtsmeldungen hat weiterhin bei der jeweiligen nationalen Financial Intelligence Unit (FIU) elektronisch zu erfolgen – ob dies weiterhin über das „goAML-Portal“ zu erfolgen hat, bleibt abzuwarten. In Zukunft soll die AMLA jedoch einen einheitliches Meldeformat für die Meldung verdächtiger Transaktionen erarbeiten.

Kreditinstitute sehen sich, je nach Geschäftsmodell, mit einem großen Kundenstamm sowie einer hohen Anzahl an Transaktionen konfrontiert, welche es hinsichtlich verdächtiger Handlungen zu monitoren gilt. Hierbei wird sich oft in einem Spannungsfeld zwischen Unverzüglichkeit und Vollständigkeit der Meldung bewegt. Ein neues Meldeformat erfordert – in Abhängigkeit von dem Grad manueller Tätigkeiten - Änderungen der Prozesse, Richtlinien sowie technische Anpassungen. Je nach Umfang des neuen Meldeformates sind entsprechende Aufwände für die operative Tätigkeit einzuplanen.

Versicherungsunternehmen sehen sich im Vergleich zu Banken typischerweise mit einer geringeren Anzahl kontinuierlicher Transaktionen konfrontiert. Verdachtsmomente entstehen hier weniger aus laufenden Zahlungsströmen, sondern vielmehr punktuell entlang des Vertragslebenszyklus – etwa bei ungewöhnlichen Schadenmeldungen, auffälligen Leistungsanforderungen, Vertragskonstellationen oder Provisionsflüssen im Vermittlergeschäft. Die Herausforderung liegt insbesondere darin, entsprechende Auffälligkeiten systematisch zu erkennen und in standardisierte Meldeprozesse zu überführen, da viele dieser Sachverhalte heute stark einzelfallgetrieben und dezentral bewertet werden. Zudem sind relevante Informationen häufig über verschiedene Systeme und Prozessschritte verteilt, was die konsistente Beurteilung und Dokumentation erschwert. Die Einführung harmonisierter Meldeanforderungen und potenziell neuer Meldeformate erfordert daher auch im Versicherungsumfeld eine stärkere Strukturierung der internen Meldewege, klar definierte Verantwortlichkeiten sowie eine engere Verzahnung zwischen Fachbereichen, Compliance-Funktion und IT.

Für Banken als geldwäscherechtliche Verpflichtete besteht die zentrale Herausforderung darin, bestehende und vielfach bereits etablierte AML-Strukturen gezielt an die neuen regulatorischen Anforderungen anzupassen und weiterzuentwickeln, während Versicherungsunternehmen vor der Herausforderung stehen, AML-Anforderungen stärker als bislang in ihre bestehenden Prozess- und Systemlandschaften zu integrieren.

Für beide Institutsgruppen gilt, dass die neuen AML-Vorgaben nicht isoliert als regulatorische Pflichtaufgabe verstanden werden sollten. Vielmehr bieten sie die Chancen, bestehende Prozesse, Datenstrukturen und Governance-Modelle zu überprüfen und nachhaltig weiterzuentwickeln.

Institute, die frühzeitig Transparenz über ihre Ausgangssituation schaffen und die Umsetzung strukturiert angehen, können regulatorische Anforderungen effizienter erfüllen und gleichzeitig ihre operative Resilienz stärken.

Vor diesem Hintergrund empfiehlt es sich, die eigenen AML-Strukturen zeitnah zu analysieren, zentrale Handlungsfelder zu identifizieren und die Umsetzung als integralen Bestandteil der fachlichen und technologischen Transformation zu verankern.

Unsere Experten von PPI unterstützen Sie gerne bei der Umsetzung des EU-AML-Paketes – von einer Gap-Analyse bis zur Umsetzung der notwendigen Maßnahmen.

Kommen Sie bei Fragen gerne auf uns zu.