18. Juni 2026
6 Min.

AMLR-RTS: Neue Vorgaben für Gruppen-Governance

Die RTS zu Art. 16 Abs. 4 und Art. 17 Abs. 3 AMLR konkretisieren die Anforderungen an gruppenweite Governance, Informationsaustausch und den Umgang mit Drittlandstrukturen. Betroffen sind nicht nur klassische Konzernstrukturen, sondern erstmals auch Netzwerke, Partnerschaften und Franchise-Modelle mit gemeinsamer Steuerung oder Compliance-Funktion.

Auf einen Blick
  • Gruppen-Governance wird unionsweit verbindlich
  • „Parent in the Union“ klar zuzuordnen
  • Informationsaustausch mit Mindestinhalt und Leitplanken
  • Drittlandhemmnisse lösen gestufte Zusatzmaßnahmen aus
  • Netzwerk- und Franchise-Strukturen erstmals voll erfasst

Sachverhalt

Neues Gruppenregime für AML/CFT und TFS

Mit der AML-Verordnung (AMLR) und den konsultierten Regulatory Technical Standards (RTS) zu Art. 16 Abs. 4 und Art. 17 Abs. 3 entsteht ein unmittelbar geltendes Gruppenregime für AML/CFT und TFS über Finanz- und Nichtfinanzsektoren hinweg. Kern ist die Pflicht eines „parent undertaking in the Union“, gruppenweit einheitliche Policies, Procedures and Controls (PPC) einschließlich Gruppen-Risikoanalyse, zentraler Compliancefunktion und strukturiertem Informationsaustausch zu etablieren. 

Anforderungen an Gruppen-Governance und Informationsaustausch

Die RTS konkretisieren Mindestanforderungen an diese PPC, definieren Kriterien zur Bestimmung des Parent in der Union – auch in Konstellationen mit Drittland-Head-Office und mehreren EU-Schwestergesellschaften – und ordnen Informationskategorien und Governance-Anforderungen für gruppeninterne Datenflüsse.

Parallel ersetzen sie die Delegierte Verordnung (EU) 2019/758 und statuieren ein aktualisiertes System zusätzlicher Maßnahmen und zusätzlicher Aufsichtsmaßnahmen, wenn Drittlandsrecht die Umsetzung der AMLR behindert.

Netzwerke und Franchise-Strukturen im Fokus

Neu ist die Ausdehnung gruppenähnlicher Pflichten auf Netzwerke, Partnerschaften und Franchises mit gemeinsamer Steuerung oder Compliance-Strukturen, auch außerhalb klassischer Konzernverbünde.

Die RTS sollen ab 10. Juli 2027 gelten, mit Übergangsfristen insbesondere für die Notifizierung des Parent in der Union und einer späteren Anwendung für bestimmte neue Verpflichtetenkategorien.

Rechtliche Bewertung

Klare Verantwortlichkeiten auf Gruppenebene

Für Institute mit bisher an § 9 GwG und BaFin-AuA ausgerichteter Praxis verdichtet das RTS-Regime die Anforderungen und verlagert die Verantwortung auf ein klar bestimmtes Parent in der Union. Diese Einheit verantwortet künftig ausdrücklich die gruppenweite Risikoanalyse, die Ausgestaltung der PPC und die Drittlandstrategie.

Erforderlich sind insbesondere:

  • eine klare Verankerung der Group-Compliance-Rolle,
  • belastbare Eskalationswege und
  • Berichtspflichten gegenüber Leitungs- und Kontrollorganen, abgebildet in Organisationshandbuch, Geschäftsordnungen und gruppenweiten Richtlinien.
Auswahl des „Parent in the Union“

Die Kriterien „prominence“ und „understanding of operations“ für die Bestimmung des Parent lassen Spielräume, schaffen aber auch Konfliktpotenzial. Wer hier nicht früh entscheidet, riskiert, dass die Aufsicht eine Einheit bestimmt, die operativ oder personell nicht auf europaweite AML-Steuerung vorbereitet ist.

Zentral ist daher die frühzeitige Festlegung auf eine Steuerungseinheit, die Volumen und Governance-Kompetenz bereits abdeckt oder zeitnah aufbauen kann.

Neue Anforderungen an den Informationsaustausch

Der verbindliche Mindestkatalog für den Informationsaustausch beendet punktuelle, transaktionsbezogene Ad-hoc-Abfragen und verlangt tragfähige Datenarchitekturen.

Rechtlich entsteht ein Spannungsfeld zwischen AMLR, DSGVO und nationalem Bankgeheimnis: Die RTS verlangen strenge Need-to-know-Steuerung, zugleich aber gruppenweiten Fluss aller AML-relevanten Informationen. Institute müssen dies durch klare Rechtsgrundlagen, granulare Rollen- und Berechtigungskonzepte sowie eine belastbare Dokumentation der Interessenabwägung auflösen. Fehlende Abstimmung zwischen AML- und Datenschutzfunktion wird damit zum strukturellen Governance-Defizit.

Drittlandstrukturen und aufsichtsrechtliche Eskalation


Bei Drittlandstrukturen steigen die Aufsichtserwartungen deutlich. Rechtliche Hemmnisse beim Datenzugriff oder -transfer lösen eine enge Pflichtenkaskade aus.
 
Dazu gehören:

  • Beschränkungen identifizieren und analysieren,
  • die Heimataufsicht informieren,
  • Kunden- und BO-Einwilligungen prüfen und
  • Umsetzung zusätzlicher Maßnahmen wie Produktbeschränkungen, Reliance-Ausschluss, intensivere Prüfungen und Überwachung

Zugleich reicht die normierte Eskalationsbefugnis der Aufsicht bis zur Schließung von Niederlassungen. Institute müssen deshalb früh dokumentieren, welche Kompensationsmaßnahmen sie ergriffen haben, um im Konfliktfall eine verhältnismäßige Aufsichtsentscheidung zu erreichen und Haftungsrisiken zu begrenzen.

Netzwerk- und Franchise-Modelle als neue Regulierungsadressaten

Besondere Aufmerksamkeit verdienen die neuen „Strukturen“ jenseits klassischer Gruppen.

Betroffen sein können beispielsweise:

  • berufsständische Netzwerke,
  • Vermittlerverbünde,
  • oder Franchisegeber.

Wer dort faktisch Strategie, Marke oder Compliance vorgibt, wird zur Quasi-Mutter mit Pflichten zur Einführung gruppenäquivalenter PPC und zur Benennung gegenüber der Aufsicht. Finanzgruppen mit dichten Vertriebs- oder Kooperationsnetzwerken sollten deshalb ihre Vertragsarchitektur darauf prüfen, ob sie unbeabsichtigt „Strukturen“ schaffen, für deren AML-Steuerung sie künftig regulierungsfest einstehen müssen.

Fazit

 

Strategische Vorbereitung auf das RTS-Regime


Entscheidungsträger sollten jetzt drei Prioritäten setzen:

  1. konzernweite Governance- und Strukturanalyse
    • Überprüfung sämtlicher EU-Einheiten, Drittlandpräsenzen sowie Netzwerk- und Franchise-Modelle
  2. Aufbau einer belastbaren Zielarchitektur
    • für Group-Compliance, BWRA, Datenflüsse und Eskalationswege im Einklang mit AMLR und DSGVO
  3. Drittland-Framework
    • Entwicklung klarer Kriterien für Zusatzmaßnahmen, Eskalationsprozesse und geordnete Rückzugsszenarien unter frühzeitiger Einbindung der Aufsicht.

Unterbleibt diese strategische Vorarbeit, drohen ab 2027 nicht nur operative Reibungsverluste, sondern auch persönliche Verantwortlichkeitsrisiken für Leitungsorgane, wenn gruppenweite Pflichten diffus bleiben, Informationsaustausch an rechtlichen oder technischen Hürden scheitert und Drittlandhemmnisse ohne klare Eskalationslogik verwaltet werden. Wer die kommenden Monate nutzt, um Governance, Datenhaushalt und Vertragslandschaft konsequent auf das RTS-Regime auszurichten, gewinnt dagegen nicht nur Regulierungssicherheit, sondern auch einen robusten Rahmen für eine konzernweit konsistente und revisionsfeste AML-Steuerung.

 

Weitere Informationen zum Thema

Recht Geldwäschegesetz

AMLA-Leitlinien zum Ongoing Monitoring nach AMLR

Hier weiterlesen
Recht Geldwäschegesetz

BWRA unter AMLR: Was sich jetzt ändert

Hier weiterlesen
Ihr Ansprechpartner

Dr. Jur. A. Dominik Brückel
AWADO Rechtsanwaltsgesellschaft
Dr. Jur. A. Dominik Brückel

Rechtsanwalt, Fachanwalt für Bank- und Kapitalmarktrecht

+49 69 69783295

RA
E-Mail schreiben