content hub

AML-VO Schritt für Schritt: Gap-Analyse und Umsetzungsplan 

03/12/2025

Am 10. Juli 2027 ersetzt die AML-Verordnung alle nationalen Geldwäschegesetze und bringt verschärfte Anforderungen mit sich. Mit einer durchdachten 3-Schritt-Methodik schaffen Sie nicht nur die Umsetzung rechtzeitig, sondern nutzen das neue Gesetz als Modernisierungschance. 

Das Wichtigste vorab: 

  • Gap-Analyse deckt systematisch alle Lücken zu den neuen AML-VO-Anforderungen auf 
  • Impact-Analyse zeigt konkrete Auswirkungen auf Organisation, Prozesse und IT 
  • Priorisierte Roadmap führt Sie mit 4-Phasen-Plan sicher bis Juli 2027 
  • Fast 100 AMLA-Deadlines bis 2029 
  • IT-Projekte brauchen Vorlauf – wer jetzt startet, kommt strukturiert ans Ziel  

Der Stichtag für die neue EU-Geldwäscheverordnung rückt näher. Am 10. Juli 2027 ersetzt sie alle nationalen Geldwäschegesetze und bringt verschärfte Anforderungen mit sich. Wer jetzt nicht systematisch vorgeht, steht in knapp 19 Monaten vor einem Haufen ungelöster Aufgaben. Um Ihnen eine Starthilfe und Orientierung zu geben, haben wir Ihnen in diesem praxisnahen Leitfaden einen erprobten Vorgehensvorschlag zusammengefasst:

  • Eine umfassende Gap-Analyse zeigt Ihnen Ihre Lücken, 
  • eine Impact-Analyse bewertet deren Auswirkungen,  
  • eine priorisierte Roadmap führt Sie sicher zum Ziel 

Ohne diese Systematik planen Sie im Nebel. Mit ihr haben Sie einen klaren Überblick über Ihre Handlungsfelder und einen realistischen Weg, mögliche Lücken bis Juli 2027 zu schließen. 

Warum jetzt der richtige Zeitpunkt ist 

Viele Institute warten mit der Planung und Umsetzung noch ab. Verständlich, schließlich werden einige Details erst in den kommenden Monaten final geklärt. Aber genau aus diesem Grund raten wir Ihnen, jetzt systematisch loszulegen.  

Die Herausforderung: Während die AML-Verordnung ab dem 10. Juli 2027 Anwendung findet, werden einige konkretisierende Standards und Leitlinien erst mit oder sogar nach diesem Datum veröffentlicht. Die AMLA arbeitet gerade an fast 100 Fälligkeitsterminen zwischen jetzt und 2029, das Gros der Deadlines konzentriert sich auf Juli 2027. 

Die Chance: Wer die bereits feststehenden Änderungen jetzt systematisch analysiert, hat später Kapazitäten frei für die Last-Minute-Anpassungen. Eine fundierte Gap- und Impact-Analyse helfen Ihnen zu unterscheiden, womit Sie bereits heute beginnen können und was Sie besser noch abwarten.  

Hinzu kommt: Ihre IT-Projekte brauchen Vorlauf. Release-Zyklen und Sprints lassen sich häufig nicht beschleunigen, nur weil ein EU-Stichtag näher rückt. 

Schritt 1: Umfassende Gap-Analyse – Was ändert sich konkret? 

Eine Gap-Analyse vergleicht systematisch Ihren IST-Stand mit den SOLL-Anforderungen der AML-Verordnung. Sie ist die Grundlage für alles Weitere; ohne sie planen Sie ohne fundierte Datenbasis. 

Die neuen Anforderungen strukturiert erfassen 

Erstellen Sie eine vollständige Liste aller neuen oder geänderten Anforderungen, strukturiert nach Themenblöcken. Hier ein Auszug relevanter Änderungen:  

Customer Due Diligence wird umfassender: 

  • Neue Pflichtdaten: Wohnort, Wohnanschrift, Nationalität(en), Ausweisnummer zu den wirtschaftlichen Eigentümern
  • Identifizierung: Nur noch durch nationale eID, EUDI-Wallet und qualifizierte Vertrauensdienste  
  • Zusätzliche Berufsinformationen bei allen Kunden 
     

UBO-Ermittlung wird präziser: 

  • Die Schwelle für wirtschaftliches Eigentum greift künftig ab größer gleich 25% und nicht mehr nur ab größer 25%
  • Neue Methodik für mehrstufige Strukturen („Durch-Rechnung“) 
  • Deutlich nachgeschärfte Verifikationspflicht für alle wirtschaftlich Berechtigten  
  • Kontrolle muss eigenständig zur Beteiligung geprüft werden 
     

PeP-Screening wird umfassender: 

  • Lokale Amtsträger ab 50.000 Einwohner-Gemeinden 
  • Geschwister bestimmter PePs 
  • Regional-/lokale Körperschaften 
     

Aktualisierungszyklen werden kürzer: 

  • High-risk Kunden: maximal ein Jahr 
  • Medium-risk Kunden: Fünf Jahre 
  • Low-risk Kunden: risikobasiert, max. fünf Jahre

IST-Stand systematisch dokumentieren 

Für jede neue Anforderung bewerten Sie Ihren aktuellen Stand:  

Bewertungskategorien: 

  • Vollständig erfüllt: Anforderungen bereits vollständig abgedeckt 
  • Teilweise erfüllt: Grundlagen vorhanden, aber Anpassungen nötig 
  • Nicht erfüllt: Komplett neue Anforderung, nichts vorhanden 
  • Unklar: Weitere Klärung/Detailanalyse erforderlich 
     

Praxisbeispiel UBO-Ermittlung: 

Typischer IST-Stand: 

  • Kapitalanteile werden erfasst
  • Neue Schwellenwerte werden angewandt   
  • Mehrstufige Strukturen werden „durchgerechnet“
  • Kontrolle wird NICHT separat bewertet  
  • Verifikation erfolgt NICHT systematisch  
  • Dokumentation ist unvollständig
     

Bewertung: Teilweise erfüllt – Grundprozess vorhanden, aber drei wesentliche Lücken 

Häufiger Stolperstein: Viele Institute stellen fest, dass ihre Datenbasis für die neuen Anforderungen nicht ausreicht. Wenn Sie heute nur Gesellschaftsanteile erfassen, aber künftig auch Kontrolle und Stimmrechte bewerten müssen, brauchen Sie zusätzliche Datenfelder. 

Lücken quantifizieren: Dokumentieren Sie nicht nur, WAS fehlt, sondern auch WIE VIEL. Das wird später bei der Aufwandsbewertung entscheidend. 

Beispiel-Quantifizierung: 

  • „PeP-Listen erweitern“ = +2.300 zusätzliche Einträge = +40 % Alert-Volumen 
  • „Steuer-ID nacherfassen“ = 15.000 Bestandskunden = 6 Monate Nacharbeit 
  • „UBO-Verifikation“ = 800 Firmenkunden = neue Prozessschritte für alle 

 
Schritt 2: Impact-Analyse – Wie wirken sich die Änderungen aus? 

Jetzt bewerten Sie, wie sich die identifizierten Lücken konkret auf Ihre Organisation auswirken. Diese Impact-Analyse ist entscheidend für realistische Planung und Priorisierung. 

Auswirkungsdimensionen systematisch bewerten 

Risikomanagement: 

  • Ändern sich Ihre Risikobewertungen? 
  • Brauchen Sie neue Monitoring-Regeln? 
  • Wie wirkt sich das auf Ihr Reporting aus? 
     

Daten & IT: 

  • Welche neuen Datenfelder sind erforderlich? 
  • Brauchen Sie Systemanpassungen? 
  • Wie aufwendig sind die IT-Projekte? 

Prozesse & Governance: 

  • Welche Arbeitsschritte ändern sich? 
  • Wo brauchen Sie neue Kontrollen? 
  • Wie wirkt sich das auf Durchlaufzeiten aus? 
     

Organisation & Personal: 

  • Welche Rollen sind betroffen? 
  • Brauchen Sie zusätzliche Expertise? 
  • Wie hoch ist der Schulungsbedarf?
     

Bewertungsmatrix für die Priorisierung 

Bewerten Sie jede identifizierte Lücke nach drei Kriterien: 

Aufwand (1-5 Punkte): 

  • 1 = Konfigurationsänderung 
  • 3 = Prozessanpassung + Training  
  • 5 = Neues System/umfangreiche Entwicklung 
     

Risiko bei Nicht-Umsetzung (1-5 Punkte):  

  • 1 = Nachgelagerte Optimierung möglich 
  • 3 = Compliance-Risiko, aber managebar 
  • 5 = Schwerwiegender Verstoß, Bußgeldrisiko 
     

Dringlichkeit (1-5 Punkte): 

  • 1 = Flexibler Umsetzungszeitpunkt 
  • 3 = Bis Juli 2027 erforderlich 
  • 5 = Vorlauf für andere Maßnahmen nötig 
     
     

Beispiel Impact-Bewertung: 

LückeAufwandRisikoZeitPriorität
UBO-Kontrolle implementieren454HOCH
PeP-Listen erweitern232MITTEL
Steuer-ID nacherfassen323MITTEL


Typische Auswirkungsbeispiele 

  1. Eine mittelgroße Bank stellte fest, dass die neuen PeP-Definitionen ihre Screening-Listen um 40 % erweitern würden. Der technische Aufwand war gering (neuer Datenabzug), aber das operationale Risiko hoch (deutlich mehr Alerts im täglichen Geschäft). Lösung: Frühzeitige Kapazitätsplanung im KYC-Team, Anpassung der Alert-Schwellenwerte und Einsatz von KI-Tools zur automatischen Alert-Vorsortierung. 
  1. Ein Finanzdienstleister erkannte, dass sie für die UBO-Verifikation aller 800 Firmenkunden 640 zusätzliche Arbeitsstunden benötigen würden, plus Systemanpassungen für neue Dokumentations-Workflows. Das führte zur Entscheidung, externe Dienstleister für die Nacherfassung einzusetzen. Die Investition hat sich gelohnt, denn der spezialisierte Dienstleister sorgte für bessere Datenqualität, die Automatisierung von Prozessen und eine effizientere Case-Bearbeitung, was den Bedarf an KYC-Analysten reduzierte. 
     

Schritt 3: Priorisierte Roadmap – Ihr Umsetzungsplan bis 2027 

Mit den Ergebnissen aus Gap- und Impact-Analyse können Sie nun eine realistische, priorisierte Roadmap erstellen. Diese wird Ihr Fahrplan für die kommenden Monate. 

Beispielhafter 4-Stufen-Plan für die Umsetzung  

Stufe 1: Analysephase (jetzt bis Mitte 2026) 

  • Identifizierte Lücken aus der Gap-Analyse detailliert spezifizieren 
  • Datenqualität in den Gap-Bereichen prüfen und verbessern 
  • Team für die wichtigsten Handlungsfelder aufbauen und schulen 
  • Erste Vorbereitungen für hochpriorisierte Themen starten 

Stufe 2: Planungsphase (Mitte 2026 bis Anfang 2027) 

  • IT-Anpassungen für identifizierte System-Gaps planen und beauftragen 
  • Spezialisierte AML-Dienstleister evaluieren und beauftragen 
  • Quick Wins aus der Impact-Bewertung umsetzen (niedriger Aufwand, hoher Nutzen) 
  • Neue Prozesse für kritische Compliance-Lücken entwickeln 
  • Testläufe für geänderte Prozesse (z.B. neue UBO-Verifikation bei Bestandskunden) 
     

Stufe 3: Implementationsphase (Frühjahr 2027) 

  • Geplante IT-Anpassungen implementieren 
  • Mitarbeiter in den neuen Prozessen intensiv schulen 
  • Überarbeitete Kontrollen und Workflows testen 
  • Vollständige Durchläufe mit echten Fällen 
     

Stufe 4: Go-Live (ab Juli 2027) 

  • Vollständige AML-VO-Compliance ist hergestellt 
  • Kontinuierliches Monitoring der umgesetzten Maßnahmen 
  • Nachsteuerung bei neuen AMLA-Guidelines 
     

Kritische Erfolgsfaktoren für die Umsetzung 

Frühzeitige IT-Planung: Projekte, die bis Anfang 2027 nicht angelaufen sind, werden zeitkritisch. IT-Release-Zyklen lassen sich nicht verkürzen. 

Datenqualitäts-Offensive: Die AMLA wird künftig deutlich datengetriebener arbeiten. Strukturierte Fragebögen und regelmäßige Datenabfragen sind absehbar – deutsche Institute haben damit noch keine Erfahrung. 

Change Management und Governance: Die Änderungen betreffen alle Bereiche. Frühe Einbindung und kontinuierliche Kommunikation sind entscheidend. 

Kontinuierliche Anpassung: Da die AMLA noch bis Juli 2027 weitere Guidelines veröffentlicht, sollten Sie alle sechs Monate prüfen, ob Sie Ihre Roadmap aktualisieren müssen. 

Ihre individuelle Priorisierung entwickeln 

Nutzen Sie die Bewertungsmatrix aus Ihrer Gap-Analyse: 

Sofort angehen: Hohes Risiko bei Nicht-Umsetzung + hohe Dringlichkeit 
Beispiel: UBO-Prozesse erweitern

Mittelfristig umsetzen: Mittlere Werte in der Bewertungsmatrix 
Beispiel: PeP-Screening anpassen, Schulungskonzepte 

Langfristig abschließen: Niedriges Risiko + flexibler Zeitrahmen 
Beispiel: Dokumentation überarbeiten, Verträge prüfen 

Checkpoint-System einrichten 

Etablieren Sie regelmäßige Fortschrittskontrollen: 

Quartalsweise Review:  

  • Status aller Maßnahmen bewerten 
  • Neue Regulatory-Guidelines einarbeiten 
  • Zeitpläne bei Bedarf anpassen 
  • Ressourcenbedarf überprüfen
     

Halbjährliche Gap-Analyse: 

  • Vollständige Aktualisierung bei neuen AMLA-Standards 
  • Bewertung der Umsetzungsqualität 
  • Identifikation neuer Lücken 
     

Der Blick über Juli 2027 hinaus 

Die AML-Verordnung ist kein Endpunkt, sondern der Startschuss für eine kontinuierliche Weiterentwicklung. Die AMLA wird regelmäßig neue Guidelines und Standards veröffentlichen. Wer sein Compliance-Setup jetzt zukunftsfähig aufbaut, kann später flexibel reagieren. 

Drei Erfolgsprinzipien für die kommenden Jahre: 

  1. Modularer Aufbau: Systeme und Prozesse so gestalten, dass Änderungen einfach eingespielt werden können 
  1. Datenzentrierung: Alles auf eine solide, saubere Datenbasis stellen 
  1. Kontinuierliches Monitoring: Nicht nur für Kunden, sondern auch für regulatorische Entwicklungen 
     

Die systematische Herangehensweise in drei Schritten (Gap-Analyse, Impact-Bewertung, priorisierte Umsetzung) wird auch künftig der Schlüssel zu reibungslosen AML-Systemen sein. Wer diese Methodik jetzt etabliert, ist besser für alle kommenden Änderungen gerüstet. 

Was Sie heute konkret tun können 

Falls Sie noch nicht angefangen haben: Beginnen Sie mit einem groben Gap-Check. Nehmen Sie sich ein paar Stunden Zeit und gehen Sie die wichtigsten Änderungsbereiche systematisch durch. Wo stehen Sie gut da, wo sehen Sie größere Lücken? 

Parallel dazu: Prüfen Sie Ihre IT-Kapazitätsplanung für 2026. Ob Release-Zyklen oder Sprint-Planung – AML-VO-Anforderungen brauchen Entwicklungszeit und müssen gegen andere Prioritäten abgewogen werden. Wenn regulatorische Themen nicht eingeplant sind, gehen sie zu Lasten von Kunden-Features oder UX-Verbesserungen.  

Die AML-Verordnung kommt so oder so. Aber mit der richtigen systematischen Vorbereitung wird sie von einer Compliance-Belastung zu einer Modernisierungschance – für effizientere Prozesse, bessere Datenqualität und zukunftssichere AML-Strukturen. 

Unsere Erfahrung: Wer jetzt systematisch mit einer Gap-Analyse beginnt und daraus einen strukturierten Umsetzungsplan ableitet, schafft die Umsetzung nicht nur rechtzeitig, sondern nutzt sie auch als Sprungbrett für eine modernere, effizientere AML-Organisation. 

Möchten Sie konkret besprechen, wie sich Ihr Institut am besten auf die AML-VO vorbereiten kann? Kontaktieren Sie uns für ein unverbindliches Erstgespräch: info@consalty.com oder linkedin.com/company/consalty/

Hinweis: Dieser Beitrag ersetzt keine rechtliche oder regulatorische Beratung. Alle quantitativen Angaben basieren auf Marktstudien und Pilotprojekten und können je nach Institut variieren.

Tags:

Hannah Keutmann

Hannah hat umfassende Erfahrung in der Gestaltung und Implementierung regulatorischer Prozesse (KYC / KYB, AML, Betrug, Risiko) im B2B- und B2C-Kontext. Sie verfügt über umfangreiche Expertise in Bezug auf regulatorische Anforderungen im Zahlungsverkehr und steuert Implementierungen mit starkem Fokus auf Prozessgestaltung und Anforderungsmanagement.

www.consalty.com

More Knowledge Drops

Geldwäsche und Terrorismusfinanzierung – Grundlegende Unterschiede und typische Risikofaktoren

23/05/2025 read article

UBO-Berechnung: In 5 Schritten zu klaren Eigentümerstrukturen

05/11/2025 read article

Key Facts about DORA – The Digital Operational Resilience Act

28/05/2024 read article

Das neue EU AML-Paket (3) —Auslösetatbestände

09/02/2025 read article