Wie identifiziere und verifiziere ich wirtschaftliche Eigentümer unter der AML-Verordnung? Die wichtigsten Neuerungen
07/07/2026
Die AML-Verordnung ändert die Anforderungen an Identifizierung und Verifizierung von wirtschaftlichen Eigentümern und Senior Managing Officials grundlegend. Dieser Beitrag zeigt, welche Daten künftig erhoben werden müssen, welche Verifizierungsmethoden gelten und wo die größten Herausforderungen liegen.
Identifizierung wirtschaftlicher Eigentümer: Mehr Daten, strengere Regeln
Die Identifizierung und Verifizierung wirtschaftlich Berechtigter setzt eine sauber ermittelte und dokumentierte Eigentums- und Kontrollstruktur voraus – Strukturermittlung und UBO-Bestimmung bilden einen eng verzahnten Prozess.
Bisher reichte es, Vor- und Nachnamen zu erheben (sowie risikobasiert weitere Identifizierungsmerkmale). Wurde direkt beim Kunden erhoben, war die Verifizierung mit einem anschließenden Transparenzregister-Abgleich erledigt – vorausgesetzt, die Daten stimmten überein. Alternativ konnten Verpflichtete die wirtschaftlich Berechtigten eigenständig über Gesellschafterlisten oder Gesellschaftsverträge ermitteln und den ermittelten Datensatz mit dem Transparenzregister abgleichen – dieser Weg war auch dann ein Muss, wenn bei der direkten Kundenerhebung eine Diskrepanz zu den Daten im Transparenzregister festgestellt wurde. Mit Inkrafttreten der AML-Verordnung ändern sich der Umfang der einzuholenden Daten und die Pflichten zur Verifizierung der Daten zum wirtschaftlichen Eigentümer.
Erweiterter Datensatz wird Pflicht
Bisher reichten für wirtschaftliche Eigentümer meist Vor- und Nachnamen; die Erhebung von Geburtsdatum, -ort und Wohnanschrift lag im Ermessen des Verpflichteten. Die AML-Verordnung erweitert die Pflichtinformationen erheblich:
- Geburtsdatum, Geburtsort, Wohnanschrift (inkl. Land)
- Alle Staatsangehörigkeiten
- Nummer eines Ausweisdokuments
- Persönliche Identifikationsnummer (soweit vorhanden)
- Allgemeine Beschreibung der Quellen dieser Nummer
Diese Angaben gehen über das hinaus, was in öffentlichen Registern normalerweise verfügbar ist. Verpflichtete sollten Kunden also aktiv in die Datenerhebung einbinden.
Verifizierung: Anforderungen in der Theorie
Theoretisch können die Daten wirtschaftlicher Eigentümer verifiziert werden durch Vorlage eines gültigen Ausweisdokuments (Face-to-Face), elektronische Identifizierungsmittel mit Sicherheitslevel „substanziell“ oder „hoch“ nach der eIDAS-Verordnung, oder durch die Nutzung qualifizierter Vertrauensdienste. In der Praxis dürfte sich die Umsetzung dieser Methoden jedoch als schwierig erweisen, da die ‚resonable measures‘ die deutlich praktikablere Alternative darstellen.
„Reasonable measures“ als praktikable Alternative
Verpflichtete dürfen „angemessene Maßnahmen“ ergreifen und Informationen aus zuverlässigen Quellen einholen. Der entscheidende Unterschied zum GwG: Gemäß GwG reicht ein Abgleich der beim Kunden erhobenen wB-Daten mit dem Transparenzregister zur Verifizierung aus, sofern keine Diskrepanzen festgestellt werden. Bei Diskrepanzen muss der Verpflichtete weitere risikobasierte Maßnahmen ergreifen, um die Verifizierung abzuschließen. Die Regulatorik konkretisiert diese risikobasierten Maßnahmen nicht weiter; in der Praxis greift man meist auf Registerdokumente (Gesellschafterliste, Gesellschaftsvertrag) oder Kopien von Ausweisdokumenten zurück. Künftig werden die Anforderungen an die Verifizierung deutlich verschärft: Es muss mindestens eine Quelle aus einer vorgegebenen Liste zwingend genutzt werden.
Zu diesen Quellen gehören:
- Öffentliche Register (außer Transparenzregister): z.B. Einwohnermelderegister, Steuerregister, Passdatenbank, Grundbuch (soweit zugänglich)
- Informationen vom Kunden oder Drittanbietern, wie angesehene Kreditauskunfteien, Strom-/Gasrechnungen im Namen des wE, Bestätigungen anderer Finanzinstitute oder beglaubigte Dokumente des Kunden/der juristischen Person, in denen der wE namentlich aufgeführt und die von befugten Personen beglaubigt sind
Verstärkte Pflichten bei low-risk?
Die AML-Verordnung verfolgt den risikobasierten Ansatz und definiert unterschiedliche Anforderungen je nach ML/TF-Risiko. Allerdings ist das Vorgehen bei low-risk nicht konsistent im Gesamtbild:
Low-Risk-Szenarien: Bei geringem ML/TF-Risiko sind folgende Quellen zulässig:
- Transparenzregister oder Handelsregister
- Kundenangaben, einschließlich bereits vorhandener Daten
- Andere öffentlich verfügbare Informationen aus verlässlichen, unabhängigen Quellen
Wichtig: Identifizierung und Verifizierung dürfen nicht über dieselbe Quelle erfolgen. Quellen a) – c) gelten als zulässige Identifikationsquelle und b) – c) als zulässige Verifizierungsquelle. Damit sind unglücklicherweise die low-risk Anforderungen strenger als die allgemeinen Sorgfaltspflichten, in denen das Handelsregister sehr wohl als zulässige Verifizierungsquelle angesehen wird. Verpflichtete könnten sich hier auf den Standpunkt stellen, dass das Handelsregister als verlässliche, unabhängige Quelle zählt und damit unter Punkt c) fällt. Es bleibt zu hoffen, dass diese Unstimmigkeiten in der finalen Fassung der RTS beseitigt werden.
Praktische Herausforderungen und Lösungsansätze
Die Ausweitung der einzuholenden KYC-Daten und der Verifizierungsanforderungen führt zu deutlichem Mehraufwand: Verpflichtete müssen das Zentralregister (in Deutschland: Transparenzregister) im jeweiligen Sitzstaat der Gesellschaft einsehen. Entgegen der bisherigen Rechtslage unter dem GwG fordert die AML-VO auch die Einsichtnahme in das Zentralregister eines anderen EU-Mitgliedstaats, sofern der Kunde dort seinen satzungsmäßigen Sitz hat. Das bedeutet entweder eine Registeranbindung in den jeweiligen Ländern oder das Einholen eines Zentralregister-Auszugs beim Kunden. Egal welcher Ansatz gewählt wird: es bestehen praktische Hürden wie Sprachbeschränkungen und nationale Kostenregelungen. Zwar soll es perspektivisch eine EU-weit zentralisierte Register-‚Plattform‘ mit englischer Benutzeroberfläche geben, die aber laut aktuellen Prognosen noch nicht Mitte 2027 verfügbar sein wird.
- Viele der neuen Pflichtangaben zu den wirtschaftlichen Eigentümern (z.B. Ausweisnummer) sind in Registerdokumenten nicht enthalten und können nur durch direkte Kundeninteraktion erhoben werden. Auch die Verifizierung dieser Daten wird alles andere als trivial (vgl. Liste der Quellen oben). Allerdings lässt die AML-VO offen, ob tatsächlich alle KYC-Daten zum wirtschaftlichen Eigentümer verifiziert werden müssen. Verpflichtete könnten argumentieren, dass sich der Begriff ‚Identität‘ lediglich auf die Attribute Name, Geburtsdatum, Wohnort bezieht und nur diese nicht anhand der Angaben im Transparenzregister verifiziert werden dürfen. Für die weiteren begleitenden KYC-Attribute könnte das Transparenzregister dagegen doch als Verifizierungs-Quelle verwendet werden.
- Um die Pflicht zur Nutzung mindestens einer Quelle aus der vorgegebenen Liste zu erfüllen, werden viele Verpflichtete auf Kreditauskunfteien ausweichen, da dieser Weg vermutlich die praktikabelste Lösung ist. So reicht z.B. keine eingescannte Ausweiskopie mehr (wie es heute beim GwG der Fall ist), sondern das Dokument muss durch eine befugte Person (z.B. Rechtsanwalt, Notar) bestätigt werden, weshalb der Weg über die Kreditauskunfteien sich vermutlich als die kundenfreundlichste Lösung herausstellen wird. Dennoch müssen Verpflichtete bestehende Verifizierungsprozesse grundlegend anpassen.
Best Practice: Der hybride Ansatz
Dieser Prozessvorschlag kombiniert Datenqualität mit Kundenzentrierung und bleibt compliant:
- Vorbefüllung: Der Kunde erhält einen digitalen, vorbefüllten Fragebogen zur Erfassung der wE-Daten. Die Vorbefüllung erfolgt über eine Schnittstelle zu KYC-Utilities oder Sekundärdatenanbietern.
- Ergänzung: Der Kunde vervollständigt fehlende wE-Attribute.
- Risikodifferenzierte Verifizierung: Low-Risk über öffentlich verfügbare Informationen (Alternative: Erhebung über Transparenzregister, Verifizierung über Kundenbestätigung), Medium-Risk über Kreditauskunftei.
Grundsätzlich sollten Verpflichtete einen szenario- und risikobasierten Ansatz wählen und keinen Einheitsprozess.
Senior Managing Officials: Neue Auffangregelung mit Tipping-off-Schutz
Ausgangslage: Wenn keine UBOs ermittelbar sind
Die AML-Verordnung verschärft den Umgang mit Fällen, in denen kein wirtschaftlicher Eigentümer ermittelt werden kann oder begründete Zweifel an der Feststellung bestehen. Das neue System etabliert die Führungsebene nicht als wirtschaftliche Eigentümer, sondern als regulatorische Auffanglösung für vollständige Transparenz auf Personenebene – mit einem klar begrenzten Personenkreis: Als Senior Managing Officials zählen die geschäftsführenden Mitglieder des Leitungsorgans, nicht beliebige leitende Mitarbeiter ohne Geschäftsführungsfunktion.
Der Grundsatz bleibt: wE-Ermittlung hat stets Vorrang: Erst nach Ausschöpfung aller angemessenen Maßnahmen darf auf Senior Managing Officials zurückgegriffen werden. Eine einmalige erfolglose Anfrage reicht dafür nicht aus.
Was konkret zu tun ist
Kann keine natürliche Person als wirtschaftlicher Eigentümer ermittelt werden oder bestehen begründete Zweifel, müssen Verpflichtete als regulatorische Auffanglösung:
- Dokumentieren, dass kein wirtschaftlicher Eigentümer festgestellt werden konnte
- Alle natürlichen Personen ermitteln, die der Führungsebene angehören, und den gleichen Datensatz erheben wie für die wE
- deren Identität überprüfen, analog zum Vorgehen bei den wE
Tipping-off-Schutz als Ausnahme
Eine zentrale Neuerung: Wenn der Kunde durch die Verifizierung der Führungsebene Rückschlüsse darauf ziehen könnte, dass Zweifel an der UBO-Struktur bestehen oder eine Auffanglösung angewendet wurde, verzichten Verpflichtete auf die Identitätsüberprüfung der Führungsebene.
Stattdessen müssen sie dokumentieren:
- Die durchgeführten Ermittlungsmaßnahmen zur UBO-Feststellung
- Die aufgetretenen Schwierigkeiten
Ziel ist der Schutz sensibler Verdachtsmomente und die Vermeidung von Tipping-off, ohne die Nachvollziehbarkeit für Aufsicht und Prüfung zu verlieren. Wichtig hierbei: Die Anwendung dieser Ausnahme löst keine automatische Pflicht zur Beendigung der Geschäftsbeziehung aus – der Verpflichtete hat seine Sorgfaltspflicht erfüllt, behält aber das Ermessen, die Beziehung aufgrund des eigenen Risikoappetits dennoch nicht einzugehen oder zu beenden.
Konkretisierung durch die RTS
Die RTS konkretisieren die Anforderungen: Verpflichtete müssen bei Senior Managing Officials dieselben Informationen erheben wie bei wirtschaftlichen Eigentümern, wobei alternativ zur privaten Wohnanschrift die Geschäftsanschrift verwendet werden kann. Die Identität ist in gleicher Weise zu verifizieren wie bei wirtschaftlichen Eigentümern.
In der Praxis bedeutet dies: kein abgespeckter Identifizierungsstandard, sondern volle Gleichstellung auf Verfahrensebene.
Nichtsdestotrotz sollten Verpflichtete Senior Managing Officials in KYC-Systemen nicht einfach in die vorhandenen Datenfelder für wirtschaftliche Eigentümer eintragen. Eigene Felder für diese Rolle schaffen die Voraussetzung dafür, bestehende Ermessensspielräume – etwa beim PEP-Screening – gezielt und risikobasiert zu nutzen.
Abgrenzung zum GwG
Nach geltendem GwG genügt bei nicht ermittelbaren wirtschaftlich Berechtigten die Erfassung eines fiktiven wirtschaftlich Berechtigten (gesetzliche Vertreter, geschäftsführende Gesellschafter, Partner).
Ein wesentlicher Unterschied zur AML-Verordnung: Nach GwG reicht im risikobasierten Ansatz ein fiktiv wirtschaftlich Berechtigter aus, auch wenn mehrere potenziell vorliegen. Die AML-Verordnung verlangt dagegen die Identifizierung sämtlicher Senior Managing Officials.
Herausforderungen und Lösungsansätze
Die doppelte Verschärfung – nicht mehr nur ein fiktiv wirtschaftlich Berechtigter, sondern alle Senior Managing Officials bei gleichzeitig erweitertem Datenset und erhöhten Verifizierungsanforderungen – kann insbesondere bei internationalen Konzernen erheblichen Aufwand verursachen.
Ein relevanter Ermessensspielraum besteht beim PEP-Screening: Die AML-VO schreibt dieses dem Wortlaut nach für Kunden und wirtschaftliche Eigentümer vor, nicht explizit für Senior Managing Officials. Verpflichtete können das Screening dieser Rolle daher risikobasiert ausgestalten und z.B. auf Fälle beschränken, in denen konkrete Anhaltspunkte für einen PEP-Status vorliegen.
Ausblick: Erweiterte Datensätze erfordern neue Prozesse
Die AML-Verordnung ändert Identifizierung und Verifizierung grundlegend: Erweiterte Datensätze, strengere Verifizierungsanforderungen und neue Regelungen für Senior Managing Officials als Auffanglösung erfordern Anpassungen in Prozessen, Systemen und Ressourcenplanung. Es braucht klare interne Entscheidungspunkte und eine saubere Dokumentationslogik, um beispielsweise die explizite Ausnahme zur Vermeidung von Tipping-Off abzubilden.
Eine der größten Herausforderungen: Verpflichtete müssen künftig deutlich mehr Daten erheben, die in öffentlichen Registern nicht verfügbar sind. Gleichzeitig steigen die Anforderungen an die durchzuführende Verifizierung. Das erfordert aktivere Kundeneinbindung und grundlegende Prozessanpassungen – sowohl bei wirtschaftlichen Eigentümern als auch bei Senior Managing Officials.
Wer früh mit Pilotprojekten startet, kann Prozesse testen, bevor das gesamte Portfolio betroffen ist.
Hinweis Juli 2026: Dieser Beitrag ersetzt keine rechtliche oder regulatorische Beratung. Er basiert auf dem aktuellen Stand der AML-Verordnung und den finalen Entwürfen der EBA-Standards.
Möchten Sie konkret besprechen, wie sich Ihr Institut am besten auf die AML-VO vorbereiten kann? Kontaktieren Sie uns für ein unverbindliches Erstgespräch, entweder per Mail oder über LinkedIn.