Zum Hauptinhalt springen
Geldwäsche Compliance

Das neue EU-Geldwäschepaket - Einführung

| Dr. Bernd Fletzberger

In der Europäische Union wird gerade das Geldwäschepräventionsrecht grundlegend reformiert (siehe bereits unseren früheren Blog-Artikel).

Mit dem sogenannten EU-Geldwäschepaket bzw. EU-AML-Paket entsteht ein einheitliches Regelwerk, das ab 10. Juli 2027 unmittelbar in allen Mitgliedstaaten gilt, in Verbindung mit der Schaffung einer neuen, europäischen Geldwäscheaufsichtsbehörde.

Was steckt dahinter, welche Rechtsakte umfasst das Paket, wie ändert sich die Beaufsichtigung mit den neuen behördlichen Zuständigkeiten und was bedeutet das für die betroffenen Unternehmen?

Diese Blogserie gibt Antworten. Den Anfang macht eine Übersicht über Entstehung, Aufbau und die wichtigsten Neuerungen.

Hintergrund: Warum ein neues Geldwäschepaket?

Geldwäscheprävention war in der EU lange eine Domäne der Mitgliedstaaten. Zwar haben die Richtlinien der vierten und fünften Geldwäscherichtlinie (AMLD4 und AMLD5) wichtige Impulse gesetzt, doch führte die mitgliedstaatliche Umsetzung zu einem Flickenteppich: unterschiedliche Aufsichtspraktiken, voneinander abweichende Schwellenwerte und variierende Sorgfaltspflichten begünstigten Regulierungsarbitrage. Kriminelle nutzten gezielt die Schwachstellen der schwächer regulierten Mitgliedstaaten.

Im Juli 2021 legte die Europäische Kommission (EK) dann ein umfassendes Legislativpaket zur Reform des europäischen Anti-Geldwäsche- und Terrorismusfinanzierungsrechts vor (siehe die Informationen der EK hier). Das Paket wurde am 24. April 2024 verabschiedet und wird – mit wenigen Ausnahmen – am 10. Juli 2027 in Kraft treten.

Ziel ist ein echter Binnenmarkt auch im Bereich der Geldwäscheprävention: gleiche Regeln, gleiche Aufsicht, gleiche Durchsetzung.

Die drei Säulen des EU-AML-Pakets

Das Paket ruht auf drei Säulen, die zusammen ein kohärentes Gesamtsystem bilden sollen:

Die Sechste Geldwäscherichtlinie (AMLD6) - Richtlinie (EU) 2024/1640

Die AMLD6 ersetzt die bisher geltenden Richtlinien (AMLD4 in der Fassung der AMLD5) und regelt Bereiche, die weiterhin - trotz der neuen Geldwäsche-Verordnung, dazu gleich - nationaler Umsetzung bedürfen: nationale Aufsichtsbehörden, Financial Intelligence Units (FIUs) sowie Register der wirtschaftlichen Eigentümer (Beneficial Ownership Registers, RBOs). Die Mitgliedstaaten müssen die Richtlinie bis zum 10. Juli 2027 umsetzen; einzelne Bestimmungen erfordern sogar eine Umsetzung bis zum 31. Dezember 2025.

Drei Neuerungen verdienen besondere Aufmerksamkeit:

  • Erstens werden die Anforderungen an nationale Geldwäsche-Aufsichtsbehörden verschärft. Die Behörden müssen einen risikobasierten Ansatz verfolgen, Vor-Ort-Prüfungen und thematische Überprüfungen durchführen können und bei schwerwiegenden, wiederholten oder systematischen Verstößen empfindliche Sanktionen verhängen. Der maximale Bußgeldrahmen für Kredit- und Finanzinstitute steigt auf 10 Millionen Euro oder 10 % des gesamten Jahresumsatzes – je nachdem, welcher Betrag höher ist.
  • Zweitens werden die Register der wirtschaftlichen Eigentümer (UBO-Register) deutlich ausgebaut. Mitgliedstaaten müssen zentrale Register mit detaillierteren Informationen führen, die auch Nicht-EU-Einheiten mit Bezug zu einem Mitgliedstaat erfassen. Die nationalen Register werden über eine Europäische Zentralplattform miteinander vernetzt.
  • Drittens harmonisiert die AMLD6 die rechtlichen Rahmenbedingungen für die FIUs der Mitgliedstaaten: einheitliche Regeln für die Entgegennahme, Analyse und Weitergabe von Verdachtsmeldungen sowie stärkere Mechanismen für die grenzüberschreitende Zusammenarbeit.

Die EU-Geldwäsche-Verordnung (AMLR) - Verordnung (EU) 2024/1624

Die AMLR ist das Herzstück des Pakets. Erstmals wird das Geldwäschepräventionsrecht für den gesamten EU-Binnenmarkt in einer unmittelbar geltenden Verordnung niedergelegt – ohne Umsetzungsspielraum der Mitgliedstaaten. Die gesamten materiellen Anforderungen, wie etwa Customer Due Diligence-Maßnahmen, werden nunmehr in der AMLR geregelt, und müssen nicht mehr von den Mitgliedstaaten in nationals Recht implementiert werden.

Ab dem 10. Juli 2027 gelten damit in allen Mitgliedstaaten identische Regeln für Sorgfaltspflichten, wirtschaftliche Eigentümer, interne Kontrollen, Verdachtsmeldungen, Aufzeichnungspflichten, etc.

Das so genannte „Single Rulebook" bringt einen fundamentalen Paradigmenwechsel mit sich: Weg von der formellen Dokumentationspflicht, hin zur tatsächlichen Wirksamkeit des Compliance-Systems. Die bloße Existenz eines Geldwäsche-Handbuchs reicht künftig nicht mehr; entscheidend ist, ob das System in der Praxis funktioniert. 

Inhaltlich sticht die AMLR durch mehrere wesentliche Neuerungen hervor:

  • Der persönliche Anwendungsbereich wird erheblich ausgeweitet. Neu in die Liste der Verpflichteten aufgenommen werden unter anderem Händler von Luxusgütern (Schmuck und Uhren ab 10.000 Euro), Crowdfunding-Plattformen, bestimmte Fußballklubs und deren Vermittler (ab 2029), nicht-bankliche Kreditvermittler, Investment-Migration-Betreiber sowie Krypto-Dienstleister (CASPs).
  • Die Sorgfaltspflichten gegenüber Kunden (Customer Due Diligence, CDD) werden präziser und umfassen mehr Situationen. Kundendaten müssen mindestens alle fünf Jahre – bei Hochrisikokunden jährlich – aktualisiert werden.
  • Die Schwelle für die Identifikation wirtschaftlicher Eigentümer wird von „mehr als 25 %" auf „25 % oder mehr" der Anteile oder Stimmrechte abgesenkt. Sie gilt künftig auch für alle dahinter liegenden Beteiligungsebenen, bei denen bisher eine 50 %-Schwelle maßgeblich war. Nicht-EU-Unternehmen sind verpflichtet, wirtschaftliche Eigentumsverhältnisse in der EU zu registrieren, wenn sie mit EU-Verpflichteten Geschäfte tätigen.
  • Erstmals schreibt das EU-Recht die Bestellung eines Compliance-Managers vor – eines Mitglieds des Leitungsorgans mit übergeordneter Gesamtverantwortung für die AML-Compliance. Diese Funktion ist vom operativen Compliance Officer zu unterscheiden, der das Tagesgeschäft verantwortet.
  • Geldwäscheprävention wird datengetriebener: Unternehmen werden verpflichtet sein, ihre Daten strukturiert zu erheben, kontinuierlich zu aktualisieren und intelligent auszuwerten. Die AMLR rückt damit Datenschutz und AML-Compliance eng zusammen – beide Disziplinen lassen sich künftig nicht mehr isoliert betrachten.
  • Zudem führt die AMLR ein EU-weites Barzahlungsverbot für Transaktionen über EUR 10.000,- im geschäftlichen Umfeld ein. Auch das ist neu: Eine einheitliche Bargeldobergrenze für den gesamten Binnenmarkt.

Besonders interessant wird sein, welche konkreten Vorgaben die zahlreichen zu erwartenden Regulatory Technical Standards (RTS) und Guidelines enthalten, die von der AMLA (siehe dazu gleich) gerade entwickelt werden. Dies wird maßgeblich beeinflussen, wie aufwändig die Veränderungen vor allem für die Finanzindustrie werden.

Die AMLA-Verordnung und die neue EU-Aufsichtsbehörde (AMLAR) - Verordnung (EU) 2024/1620

Die dritte Säule, die AMLA-Verordnung (AMLA-VO bzw. AMLAR), die seit 1. Juli 2025 gilt, hat eine neue Europäische Geldwäscheaufsichtsbehörde geschaffen: die Anti-Money Laundering Authority (AMLA) mit Sitz in Frankfurt am Main.

Die AMLA hat ihre Tätigkeit bereits 2025 aufgenommen. Seit 1. Jänner 2026 hat sie die Kompetenz zur Ausarbeitung der AML-Level 2 Texte von der EBA übernommen. Der Vollbetrieb ist für Jänner 2028 geplant. Ab 2027 wird die AMLA 40 direkt beaufsichtigte Unternehmen auswählen – vor allem solche, die ein besonders hohes Geldwäscherisiko aufweisen, darunter CASPs. Die direkte Beaufsichtigung von Instituten wird dann mit 1. Jänner 2028 starten, wobei erwartet wird, dass 1 bis 2 österreichische Finanzinstitute unter die direkte AMLA-Aufsicht fallen werden.

Wie gesagt vereint die AMLA direkte und indirekte Aufsichtsfunktionen: Für direkt beaufsichtigte Einheiten kann sie bindende Entscheidungen treffen und bei schwerwiegenden Verstößen unmittelbar eingreifen. Für alle übrigen Finanzinstitute agiert sie als übergeordnete Koordinationsinstanz gegenüber den nationalen Aufsehern. Im Nicht-Finanzsektor liegt ihre Rolle primär in der Koordination und Förderung von Aufsichtskonvergenz.

Ergänzt wird die Aufsichtsarchitektur durch Technische Regulierungsstandards (RTS) und Technische Durchführungsstandards (ITS), die die AMLA erarbeitet und die in den nächsten Jahren schrittweise konkretisieren werden, welche operativen Anforderungen Verpflichtete zu erfüllen haben. Die wichtigsten betreffen die unternehmensweite Risikoanalyse, die Customer Due Diligence-Maßnahmen und die laufende Überwachung von Geschäftsbeziehungen, die derzeit allesamt in Entwürfen vorliegen (siehe hier die Informationen der AMLA).

Was bedeutet das konkret für Unternehmen?

Verpflichtete, die bereits über ein funktionierendes AML-Compliance-System verfügen, stehen natürlich nicht bei null, aber doch vor nicht zu unterschätzenden Herausforderungen. Es muss geprüft werden, wo die neuen Anforderungen bereits erfüllt werden, und wo es Lücken gibt, denn die AMLR präzisiert und verschärft an vielen Stellen und fordert in Bereichen wie CDD, UBO-Identifikation und internen Kontrollen eine Tiefe, die in dieser Form bislang nicht EU-weit einheitlich vorgegeben war.

Eine Schwierigkeit bei der derzeitigen Analyse ist, dass noch nicht alle technischen Regulierungsstandards (RTS) der AMLA final vorliegen. Gewisse Details können sich noch ändern. Dennoch sollte dringend mit einem Umsetzungsplan begonnen werden, denn wer wartet, bis das vollständige Regelwerk steht, startet wohl zu spät. 

Folgende Herangehensweise empfiehlt sich grundsätzlich:

Schritt 1: Gap-Analyse

Der erste Schritt ist eine solide Gap-Analyse. Sie sollte weder ein rein rechtliches Gutachten noch eine ausschließlich operative Bestandsaufnahme sein – am besten verbindet sie beides: die neuen Anforderungen der AMLR, den Alltag, der im Unternehmen tatsächlich gelebt wird, und schließlich die Frage, welche Anpassungsschritte sowohl regulatorisch geboten als auch in der Praxis realisierbar sind.

Dafür müssen Rechtsabteilung, Compliance-Funktion und operative Einheiten von Beginn an eng eingebunden sein – mit klar geregelten Verantwortlichkeiten.

Schritt 2: Maßnahmenplan

Aus der Gap-Analyse sollte dann ein konkreter Maßnahmenplan hervorgehen – kein weiteres Dokumentenpaket, sondern ein Umsetzungsplan mit klaren Prioritäten: Was ist dringend anzugehen, was kann in einem zweiten Schritt folgen, und wo bieten sich Gestaltungsspielräume, die aktiv genutzt werden sollten?

Die AMLR ist kein Regelwerk, das sich Punkt für Punkt abhaken lässt. Hinter vielen ihrer Anforderungen stecken weitreichende Grundsatzentscheidungen: Wie wird der KYC-Prozess künftig aufgestellt? Sind bestehende Auslagerungsvereinbarungen unter dem neuen Regime noch tragfähig? Nach welchem Rhythmus müssen Bestandskundendaten aktualisiert werden? Je früher diese Weichenstellungen getroffen werden, desto kohärenter und rechtssicherer gelingt die spätere Umsetzung in Abläufen, IT-Systemen und Kontrollen.

Ausblick: Was diese Blogserie abdeckt

Das EU-AML-Paket ist komplex, und seine Auswirkungen variieren stark je nach Branche, Unternehmensstruktur und bisherigem Reifegrad der Compliance-Organisation.

Diese Blogserie begleitet Sie durch die wesentlichen Themenbereiche. Geplante Beiträge umfassen unter anderem:

  • Die neuen KYC- und CDD-Anforderungen im Detail
  • Wirtschaftliche Eigentümer: Was ändert sich für Unternehmen mit komplexen Strukturen?
  • Die neuen Verpflichteten: Krypto, Fußball, Luxusgüter und mehr
  • Die AMLA und ihre Bedeutung für die nationale Aufsicht
  • Datenschutz und AML: Zwei Disziplinen, ein Datensatz

Bleiben Sie dabei – die Zeit bis Juli 2027 ist kürzer, als sie erscheint. Weitere Teile dieser Serie veröffentlichen wir in den kommenden Wochen.

News Kategorien

Suche in News

Newsletter Anmeldung

Abonnieren Sie unseren Newsletter und verpassen Sie keine Neuigkeiten von PFR mehr!

Aktuellste Artikel

Sie haben Fragen?
Wir haben Antworten.

+43 1 877 04 54
Kontaktieren sie uns