AMLA-Leitlinien zum Ongoing Monitoring nach AMLR
Die Anti-Money Laundering Authority (AMLA) hat einen Leitlinienentwurf zur laufenden Überwachung von Geschäftsbeziehungen gemäß Art. 26 Abs. 5 AMLR veröffentlicht. Der Entwurf konkretisiert Anforderungen an KYC-Aktualisierungen, Transaktionsmonitoring sowie den Einsatz automatisierter und KI-gestützter Verfahren und wird künftig einen wichtigen aufsichtsrechtlichen Maßstab darstellen.
Auf einen Blick
- Ongoing Monitoring wird horizontal präzisiert
- Periodische und anlassbezogene Reviews verzahnen
- Transaktions- und Aktivitätsmonitoring risikobasiert gestalten
- Abgelaufene Ausweise: Kein Automatismus
- KI zulässig, Governance zwingend
Sachverhalt
Konsultation zu den Leitlinien nach Art. 26 Abs. 5 AMLR
Die AMLA konsultiert bis zum 3. September 2026 Leitlinien nach Art. 26 (5) AMLR zur laufenden Überwachung von Geschäftsbeziehungen. Der Entwurf konkretisiert die Aktualisierung von Kundenunterlagen über risikobasierte periodische und anlassbezogene Prüfungen sowie das Monitoring von Transaktionen und Aktivitäten. Kernelemente sind Proportionalität, technologische Neutralität, die Anbindung an das Business‑Wide Risk Assessment und die Integration der Monitoring‑Ergebnisse in die KYC‑Profile.
Anforderungen an Monitoring und KYC-Aktualisierung
Für das Transaktions‑/Aktivitätsmonitoring werden Vor‑, Echtzeit‑ und Nachlaufansätze adressiert, einschließlich Alternativmaßnahmen, wo Transaktionsdaten strukturell fehlen.
Die Wiedererhebung abgelaufener Identitätsdokumente soll risikobasiert erfolgen. Bei ausbleibenden Aktualisierungen werden temporäre Beschränkungen vor Beendigung der Geschäftsbeziehung zugelassen, flankiert von Dokumentations‑ und Aufbewahrungspflichten.
Einsatz von Automatisierung und KI
Der Entwurf setzt zudem Leitplanken für den Einsatz automatisierter und KI-gestützter Verfahren. Dazu gehören Anforderungen an Erklärbarkeit, menschliche Aufsicht sowie Datenqualitätskontrollen.
Rechtliche Bewertung
Ongoing Monitoring als künftiger Aufsichtsmaßstab
Die Leitlinien konkretisieren unmittelbar geltende Pflichten aus Art. 26 AMLR und werden maßgeblicher Aufsichtsmaßstab.
Für Institute folgt hieraus ein Steuerungsauftrag: Die Ausgestaltung des Ongoing Monitoring muss nachweislich aus dem institutsspezifischen Risikoprofil hergeleitet sein; Proportionalität rechtfertigt Anpassung, nicht Absenkung des Schutzniveaus.
Mehr Flexibilität – aber höhere Nachweispflichten
Vorteilhaft ist der gewonnene Spielraum bei inaktiven Beziehungen und der Verzicht auf starre Dokumentenwiedererhebungen.
Demgegenüber steigt der Begründungs‑ und Prüfungsaufwand. Wer Erleichterungen nutzt, trägt die Darlegungslast, dass die Ergebnisse gleichwohl effektiv sind.
Verzahnung von Monitoring und KYC-Prozessen
Das Zusammenspiel von KYC‑Aktualisierung und Monitoring erfordert konsistente Datenhaushalte und klare Eskalationspfade.
Monitoring‑Outputs müssen risikoorientiert bewertet, in Profilen reflektiert und ggf. in Enhanced Due Diligence überführt werden. Effektivität wird nicht an Alarmvolumina, sondern an zeitnahen, sachgerechten Ergebnissen gemessen; dies verschiebt KPI‑Sets in Richtung Qualität, Durchlaufzeit und Fehlklassifikationen.
Datenschutz und Alternativkontrollen
Rechtskonflikte entstehen insbesondere zwischen reichweitenstarkem Monitoring und Datenschutz. Der Entwurf adressiert dies über Erforderlichkeit und Datenminimierung; Institute müssen diese Prinzipien in Use‑Case‑spezifischen Datenkonzepten verankern.
Für Sektoren mit eingeschränktem Zugriff auf Transaktionsdaten akzeptiert AMLA ersatzweise dokumenten‑ und prozessbasierte Prüfungen. Diese Abweichung ist zulässig, verlangt aber die transparente Dokumentation von Grenzen und Kompensationsmaßnahmen, um Prüfungsfeststellungen wegen „Blind Spots“ zu vermeiden.
Governance-Anforderungen für automatisierte Systeme
Der Einsatz von Technologie bleibt optional. Institute, die automatisierte Verfahren einsetzen, müssen jedoch eine belastbare Governance sicherstellen.
Erforderlich sind unter anderem:
- definierte Regeln und Modelle,
- regelmäßige Kalibrierungen,
- Erklärbarkeit wesentlicher Entscheidungen,
- Model-Risk-Kontrollen,
- menschliche Überwachung.
Drittanbieter‑Lösungen dürfen ohne Verständnis und Anpassung an das eigene Risikoprofil nicht „out of the box“ betrieben werden. Schließlich eröffnet die Möglichkeit temporärer Leistungseinschränkungen bei ausstehender KYC‑Aktualisierung Handlungsspielräume, verlangt aber ein rechtsfestes Vorgehen unter Beachtung kontorelevanter Sonderregime und lückenloser Dokumentation.
Fazit
Handlungsbedarf für Vorstände und Compliance-Verantwortliche
Vorstände sollten kurzfristig einen institutsweiten Gap‑Check gegen den Entwurf mandatieren, die Risikoappetit‑Parameter für Ongoing Monitoring festlegen und die Governance für Szenario‑Design, Schwellenwertkalibrierung und Eskalation verbindlich ordnen.
KYC‑ und Monitoring‑Prozesse sind technisch und fachlich zu verschränken; dazu gehören insbesondere:
- ein triggerfähiges Ereignisinventar,
- klare Entscheidungsrechte sowie
- Metriken, die Effektivität statt Volumen belohnen.
Eine risikobasierte Policy zu abgelaufenen Ausweisen ist zu verabschieden und mit einem abgestuften Maßnahmenplan (Reminder, temporäre Einschränkung, Beendigung) zu hinterlegen. Für KI‑gestützte Verfahren sind Model‑Lifecycle, Explainability‑Standards, Datenqualitäts‑ und Drift‑Kontrollen sowie Lieferantenaufsicht zu implementieren.
Institute mit limitiertem Datenzugriff müssen Alternativkontrollen definieren, Grenzen offenlegen und deren Wirksamkeit belegen. Unterbleibt die Neuaufstellung, drohen Prüfungsfeststellungen wegen mangelnder Wirksamkeit, erhöhte Melderisiken, Eingriffe in das Geschäftsmodell und Haftungsnachteile für Leitungsorgane. Jetzt getroffene, gut dokumentierte Designentscheidungen sichern Proportionalität, Prüfungsfestigkeit und operative Effizienz.
Ihre Ansprechpersonen
Dr. Jur. A. Dominik Brückel
Rechtsanwalt, Fachanwalt für Bank- und Kapitalmarktrecht
+49 69 69783295