content hub

AML-Verordnung: Die 3 Grundlagen der Sorgfaltspflichten 

17/02/2026

Die AML-VO bringt ab Juli 2027 viele Änderungen für Compliance-Teams mit sich. Die grundlegenden Prinzipien der Geldwäscheprävention bleiben bestehen, aber die konkreten Umsetzungsanforderungen ändern sich. In diesem Beitrag behandeln wir die Grundlagen: Wann greifen die Sorgfaltspflichten und welche neuen Schwellenwerte gelten? Welche Rollen sind im Rahmen der Sorgfaltspflichten zu beachten und wie hat sich deren Definition geändert? Und wie sind die neuen Regeln zur Erfassung juristischer Personen in der Praxis anzuwenden? 

Wann greifen Sorgfaltspflichten? Die Trigger im Detail 

Auslöser: Geschäftsbeziehung 

Der Hauptauslöser bleibt nach wie vor die Begründung einer Geschäftsbeziehung, aber es gibt wichtige Unterschiede im Detail. 

Beispiel Drittsicherungsgeber/Bürgen: Drittsicherungsgeber wie Bürgen oder Garantiegeber müssen nach aktuellem Stand keinen KYC-Prozess mehr durchlaufen. Die AML-VO definiert die Geschäftsbeziehung klar als Beziehung zwischen Verpflichtetem und Kunden, die nur dann entsteht, wenn jemand aktiv Produkte oder Dienstleistungen in Anspruch nimmt oder Interesse daran bekundet. Das trifft bei einem Drittsicherungsgeber nicht zu. 

In der Praxis wird dadurch der KYC-Prozess schlanker. Dennoch sollten Sie prüfen, welche sinnvollen Maßnahmen Sie zur ML/TF-Prävention ergreifen können. Kreditabteilungen, die bereits eine Art „Mini-KYC“ durchführen, sollten das weiterhin tun; auch ein Sanktionsscreening oder Adverse Media Screening sind empfehlenswert. Falls die Bürgschaft in Anspruch genommen wird, brauchen Sie eine ordentliche Mittelherkunftsprüfung.  

Auslöser: Gelegentliche Transaktionen 

Genau wie im GwG bleibt der Schwellenwert für gelegentliche Transaktionen in Geld oder Kryptowerten bei 1.000 Euro. Für sonstige gelegentliche Transaktionen senkt die AML-VO den Schwellenwert von 15.000 auf 10.000 Euro. 

Die AML-Verordnung definiert den Begriff der gelegentlichen Transaktion nicht explizit neu. Aus der Systematik lässt sich ableiten, dass er wie bisher als Transaktion außerhalb einer bestehenden Geschäftsbeziehung zu verstehen ist. In der Praxis bedeutet das, dass Sie den Begriff der gelegentlichen Transaktion weiterhin nur als Transaktion außerhalb einer bestehenden Geschäftsbeziehung verstehen sollten. Wenn Sie sonstige gelegentliche Transaktionen anbieten, muss der Prozess an den neuen Schwellenwert angepasst werden. 

Sonderregeln gibt es für Kreditinstitute, die bei gelegentlichen Barzahlungen über 3.000 Euro wenigstens den Auftraggeber identifizieren und verifizieren müssen. Die sonstigen allgemeinen Sorgfaltspflichten müssen dabei nicht erfüllt werden. Wenn Sie Bareinzahlungen über diesem Schwellenwert ermöglichen möchten, brauchen Sie einen gesonderten „KYC light“-Prozess. 

Welche Rollen sind zu identifizieren und verifizieren? Präzisierung der Definitionen 

Die AML-Verordnung verlangt neben der Identifizierung des Kunden und des wirtschaftlichen Eigentümers auch die Prüfung der „Person, die vorgibt, im Namen des Kunden zu handeln“ sowie die des „Veranlassers“. 

Die „person purporting to act on behalf“: Die BaFin hatte diese Rolle als „auftretende Person“ definiert, die immer eine natürliche Person sein musste. Erfasst wurde die Person, die für den Kunden im Rahmen des Onboardings handelt. Dabei wurden typischerweise interne Mitarbeitende einer juristischen Person erfasst (z.B. Vorstandsassistenz mit Vollmacht), sofern sie nach außen als Vertreter auftreten.  

Ob die BaFin-Interpretation auch unter der AML-VO gilt, erscheint fraglich. Sinnvoller wäre eine Beschränkung auf Personen außerhalb der Kundensphäre, zum Beispiel bevollmächtigte Rechtsanwälte, Vormünder, Treuhänder oder externe Agenten. Denn diese können eigenständige wirtschaftliche oder kriminelle Interessen verfolgen und sind aus Sicht des Verpflichteten schwerer zu durchleuchten als Organmitglieder oder die eigenen Angestellten. Daher macht es Sinn, sich besonders auf solche externen Repräsentanten zu fokussieren und diese als Kernfall der „person purporting to act on behalf“ zu verstehen – Mitarbeiter in der Kundensphäre sind typischerweise über die Identifizierung des Kunden und seiner Organe bereits erfasst.  

Eine 1:1 Übernahme der BaFin-Praxis würde unter der AML-VO dazu führen, dass nahezu jede im Onboarding-Prozess handelnde Mitarbeiterin einer juristischen Person als „person purporting to act on behalf“ behandelt werden müsste, inklusive Identifizierung und ggf. laufender Überwachung. Das ist praktisch kaum handzuhaben, führt zu massiver Bürokratie und verschiebt Ressourcen von hochriskanten Konstellationen zu eher formalen, niedrig riskanten Konstellationen (man denke z.B. an Assistenz, die standardisierte Unterlagen einreicht). 

Der „Veranlasser”: Bei der Rolle des Veranlassers gibt es inhaltlich keine großen Änderungen. Der Wortlaut in der AML-Verordnung („natürliche Person, in deren Namen oder zu deren Nutzen eine Transaktion durchgeführt wird“) beschreibt genau das, was bisher „abweichend wirtschaftlich Berechtigter“ heißt. 

Dass es sich um dieselbe Definition handeln dürfte, zeigt sich auch daran, dass für Veranlasser dieselben Verifizierungsmethoden gelten wie für wirtschaftlich Berechtigte (künftig „wirtschaftlicher Eigentümer”). Außerdem würde die AML-Verordnung sonst nicht die internationalen FATF-Standards erfüllen, die den Veranlasser als Teil des wirtschaftlichen Berechtigten-Konzepts sehen. 

In der Praxis wird es wohl darauf hinauslaufen, den Veranlasser mit dem heutigen wirtschaftlichen Berechtigten gleichzusetzen – der klassische Anwendungsfall bleibt der Treugeber eines Treuhandkontos.  

Sorgfaltspflichten bei juristischen Personen: Neue Datensätze und Verifizierungsanforderungen 

Die AML-Verordnung unterscheidet systematisch zwischen verschiedenen Organisationsformen und verschärft die Verifizierungsanforderungen erheblich. 

Kategorisierung und Datenerhebung: Welche Rechtsform gehört wohin? 

Die AML-Verordnung unterscheidet zwischen „juristischen Personen“ und „anderen Organisationen, die nach nationalem Recht rechtsfähig sind“ und fordert jeweils unterschiedliche KYC-Datensätze. Der Begriff der „juristischen Personen” wird weit ausgelegt und umfasst aus deutscher Sicht Kapitalgesellschaften (z.B. GmbH, UG, AG, KgaA), Personengesellschaften (z.B. OHG, KG, eingetragene GbR), Partnergesellschaften, eingetragene Vereine und Genossenschaften. Unter „andere Organisationen, die nach nationalem Recht rechtsfähig sind” handelt es sich um einen Auffangtatbestand, der bspw.Gebietskörperschaften, Kirchen, Kammern, Wohnungseigentümergemeinschaften, Einzelunternehmer oder nicht eingetragene GbR und Parteien abdeckt.  

Nach unserer Auffassung bedeutet das: Die Zuordnung nationaler und ausländischer Rechtsformen zu der „juristischen Person“ oder einer „anderen Organisation, die nach nationalem Recht rechtsfähig ist“wird schwierig. Ein systematisches Rechtsform-Mapping mit dokumentierten Zuordnungskriterien ist empfehlenswert, besonders für international tätige Institute. Die KYC-Datensätze sollten dabei als Rahmen verstanden und im Einzelfall angemessen angepasst werden. 

Verifizierung juristischer Personen: Systematische Quellenbewertung wird Pflicht 

Die AML-Verordnung verlangt „unabhängige und zuverlässige Quellen“, lässt aber dem Verpflichteten einen gewissen Ermessensspielraum, welche Dokumente ihm zur Verifizierung geeignet erscheinen. Die EBA nennt als Beispiele für zuverlässige Quellen: Originale Gründungsdokumente, geprüfte Jahresabschlüsse, amtliche Registerauszüge, beglaubigte Kopien. 

Künftig müssen Verpflichtete die Zuverlässigkeit jeder Quelle strenger bewerten und dokumentieren. Nutzen Sie externe Anbieter wie Schufa, D&B oder Creditsafe? Dann muss die Herkunft der Daten bis zur ursprünglichen Quelle, etwa ein Handelsregisterauszug, nachvollziehbar dokumentiert sein. Zudem dürfte eine dokumentierte Quellenbewertung in regelmäßigen Zeitabständen überprüft werden müssen. 

Die fünf Prüfkriterien für jede Quelle sind:  

  • Glaubwürdigkeit der Quelle, einschließlich ihres Rufs 
  • Offizieller Status und Unabhängigkeit der Informationsquelle 
  • Aktualitätsgrad der Informationen 
  • Genauigkeit der Quelle (wurden die Informationen vor Bereitstellung überprüft oder stimmen sie mit anderen Quellen überein?) 
  • Fälschungssicherheit der bereitgestellten Identitätsinformationen 

Bei der Auswahl von Datenquellen sollten Verpflichtete mindestens folgende Fragen klären: Hat die genutzte Quelle einen bestimmten Status, wie den des sogenannten öffentlichen Glaubens? Woher stammen die abrufbaren Daten? Wie wurden sie erhoben? Werden die abrufbaren Daten vorher durch den Quellenbetreiber geprüft? Wie oft werden sie aktualisiert?  

Da viele Institute noch keinen strukturierten Prozess zur Bewertung von Datenquellen haben, besteht hier dringender Handlungsbedarf. Wesentliche Elemente eines solchen Prozesses sind: Dokumentation der Bewertung, regelmäßige Überprüfung, Stichprobenkontrollen und Anpassungen bei relevanten Änderungen. Der Umfang kann je nach Größe und Komplexität des Instituts sowie der konkreten Quelle (öffentlich zugängliche Register mit öffentlichem Glauben versus Auskunftei) angepasst werden. 

Zur Überprüfung der Unabhängigkeit und Zuverlässigkeit der Quellen haben wir eine beispielhafte Checkliste erstellt, die Sie hier herunterladen können:

Checkliste_QuellenHerunterladen

Der große Wandel: Ermittlung der wirtschaftlichen Eigentümer 

Die Identifizierung und Verifizierung juristischer Personen ist nur ein Baustein der Sorgfaltspflichten. Ein weiterer, und durchaus komplexer Baustein, ist die Ermittlung der wirtschaftlichen Eigentümer, die sich durch die AML-Verordnung grundlegend ändert. Statt der bisherigen Dominanzmethode müssen künftig drei Prüfwege parallel angewendet werden: Eigentum, Kontrolle und deren Kombination. 

Die neue Akkumulationsmethode führt dazu, dass Institute deutlich mehr wirtschaftliche Eigentümer identifizieren werden; in der Praxis oft drei- bis viermal so viele wie bisher. Da diese Änderungen so weitreichend sind, haben wir der neuen UBO-Berechnung einen ausführlichen Beitrag gewidmet, der die neue Berechnungsmethode Schritt für Schritt erklärt. 

Was Sie jetzt tun sollten 

Die Änderungen erfordern ein systematisches Vorgehen in drei Stufen: 

Jetzt angehen:  

  • Rollendefinitionen überarbeiten 
  • Trigger-Matrix prüfen und ggf. aktualisieren 
  • Datenzulieferer und -quellen identififizieren 

Mittelfristig aufbauen: 

  • UBO-Prozesse für die neue Akkumulationsmethode 
  • Rechtsform-Mapping für internationale Kunden 
  • Prozesse für Datenquellenbewertung entwickeln 
  • Dokumentationssysteme erweitern 

Langfristig etablieren: 

  • Governance-Strukturen für kontinuierliche Quellenprüfung 
  • Mitarbeiterkompetenzen für komplexere Bewertungen 
  • IT-Unterstützung für neue Dokumentationsanforderungen 

Frühe und systematische Planung ist hier entscheidend, damit Sie zum Stichtag alle Voraussetzungen erfüllen. 

Hinweis Februar 2026: Dieser Beitrag ersetzt keine rechtliche oder regulatorische Beratung. Er basiert auf dem aktuellen Stand der AML-Verordnung und den finalen Entwürfen der EBA-Standards. 

Möchten Sie konkret besprechen, wie sich Ihr Institut am besten auf die AML-VO vorbereiten kann? Kontaktieren Sie uns für ein unverbindliches Erstgespräch: info@consalty.com oder linkedin.com/company/consalty/

Tags:

Hannah Keutmann

Hannah hat umfassende Erfahrung in der Gestaltung und Implementierung regulatorischer Prozesse (KYC / KYB, AML, Betrug, Risiko) im B2B- und B2C-Kontext. Sie verfügt über umfangreiche Expertise in Bezug auf regulatorische Anforderungen im Zahlungsverkehr und steuert Implementierungen mit starkem Fokus auf Prozessgestaltung und Anforderungsmanagement.

www.consalty.com

More Knowledge Drops

AML-VO Schritt für Schritt: Gap-Analyse und Umsetzungsplan 

03/12/2025 read article

Operationelle Risiken (1) – Bedeutung und Einordnung

19/10/2024 read article

DORA – Eine Chance für IKT-Drittdienstleister im Finanzsektor?

28/05/2024 read article

Das neue EU AML-Paket (3) —Auslösetatbestände

09/02/2025 read article