Anmelden Abonnieren
AMLR

Kontinuierliche Überwachung der Geschäftsbeziehung unter der AMLR: Neue Standards, erkennbare Offenheit für Technologie und der jüngste AMLA-Leitlinien-Entwurf

Die kontinuierliche Überwachung der Geschäftsbeziehung bleibt auch unter der AMLR der Dreh- und Angelpunkt der laufenden geldwäscherechtlichen Kundenbewertung. Mit den am 3. Juni 2026 zur Konsultation gestellten Entwurfs-Leitlinien konkretisiert die AMLA nun diese zentrale Überwachungspflicht.

Kontinuierliche Überwachung der Geschäftsbeziehung unter der AMLR: Neue Standards, erkennbare Offenheit für Technologie und der jüngste AMLA-Leitlinien-Entwurf

Die Pflicht zur kontinuierlichen Überwachung der Geschäftsbeziehung ist das Herzstück der Sorgfaltspflichten gegenüber Bestandskunden. Auch unter der AMLR bleibt sie Dreh- und Angelpunkt für die laufende geldwäscherechtliche Bewertung einzelner Kundenbeziehungen. Die AMLA hat am 3. Juni 2026 die lang erwarteten Leitlinien zur kontinuierlichen Geschäftsbeziehungsüberwachung („ongoing monitoring of a business relationship“) in der Entwurfsfassung zur Konsultation gestellt, mit denen die Überwachungspflicht konkretisiert wird.

Die Konsultationsphase dauert noch bis September 2026 an, die Leitlinienentwürfe lassen aber bereits zentrale Inhalte erkennen: Vieles ist bekannt, vieles bleibt ähnlich, einzelne Details sind aber vollkommen neu (und haben es in sich!). Die AMLA zeigt: Die Vorgaben werden künftig zwar in Teilen strenger, gleichzeitig besteht aber Offenheit für flexible Lösungsansätze, den Einsatz von KI und sogar die automatisierte Trefferbearbeitung im Transaktionsmonitoring.

Die Pflicht zur kontinuierlichen Überwachung von Geschäftsbeziehungen ist nicht neu, findet sich bislang in § 10 Abs. 1 Nr. 5 GwG und wird in Teilen durch die Verwaltungspraxis der BaFin konkretisiert (BaFin AuA AT, Stand: Juli 2025, Ziff. 5.5). Innerhalb der AMLR regelt künftig Art. 26 die kontinuierlichen Überwachung von Geschäftsbeziehungen. Art. 26 Abs. 5 EU-AML-VO gibt der AMLA den Auftrag, bis zum 10. Juli 2026 Leitlinien für die kontinuierliche Überwachung einer Geschäftsbeziehung auszugeben – dieser Pflicht ist die AMLA nun mit dem hiesigen Konsultationsentwurf nachgekommen.

I. Bekannte Struktur der Überwachungspflicht

Die grundsätzliche Struktur der kontinuierlichen Überwachung von Geschäftsbeziehungen ändert sich unter der EU-AML-VO und den spezifizierenden EBA-Leitlinien nicht:

Bislang bestimmt § 10 Abs. 1 Nr. 5 GwG die Überwachungspflicht wie folgt: Geschäftsbeziehung sind kontinuierlich zu überwachen. Gesetzlich wird dies in zweierlei Hinsicht spezifiziert:

  • Einerseits sind die Transaktionen zu überwachen, die im Verlauf der Geschäftsbeziehung durchgeführt werden, damit sichergestellt wird, dass das Transaktionsverhalten mit den Informationen über den Vertragspartner übereinstimmen (= Transaktionsmonitoring).
  • Andererseits ist im Rahmen der kontinuierlichen Überwachung sicherzustellen, dass die jeweiligen Dokumente, Daten oder Informationen unter Berücksichtigung des jeweiligen Risikos im angemessenen zeitlichen Abstand aktualisiert werden (= Kundendatenaktualisierung).

Auch bislang galt aber: Transaktionsmonitoring und Kundendatenaktualisierung sind nur zwei Teilfacetten der Geschäftsbeziehungsüberwachung und erfüllen die kontinuierliche Überwachungspflicht nicht vollständig. Daher ist es auch heute schon praxisüblich, den Vertragspartner und seinen wirtschaftlich Berechtigten täglich gegen PeP- und Sanktionslisten zu screenen, turnusmäßig und anlassbezogen Background-Checks vorzusehen, fortlaufende Adverse-Media-Abfragen durchzuführen usw.

Eine vergleichbare Systematik findet sich auch in Art. 26 AMLR und den AMLA-Leitlinien: Auch in Zukunft ist die Geschäftsbeziehung kontinuierlich zu überwachen, was insbesondere für die vom Kunden in Verlauf der Geschäftsbeziehung durchgeführten Transaktionen gilt (Art. 26 Abs. 1 AMLR = Transaktionsmonitoring). Im Zusammenhang mit dieser kontinuierlichen Überwachung sind auch die Kundendaten und-informationen aktuell zu halten und sowohl turnusgemäß als auch anlassbezogen zu aktualisieren (Art. 26 Abs. 2 und 3 AMLR = Kundendatenaktualisierung). Damit wird aber auch in Zukunft gelten, dass das Transaktionsmonitoring und die Kundendatenaktualisierung nur Teilbereiche der kontinuierlichen Überwachung sind und neben den sonstigen kontinuierlichen Überwachungsmaßnahmen (wie z.B. laufendes PeP- und Sanktionslistenscreening, Background-Checks und Adverse-Media-Abfragen) stehen. Speziell für das Sanktionslistenscreening wird das nun auch explizit und „zusätzlich“ gefordert (Art. 26 Abs. 4 AMLR).

II. Neue Detailvorgaben

Während die grundsätzliche Überwachungssystematik gleich bleibt, verstecken sich die Neuerungen im Detail:

1.    Ausdrückliche Pflicht zum laufenden Sanktionslistenscreening

Für einzelne verpflichtete Unternehmen bedeutet die ausdrückliche Pflicht zum laufenden Sanktionslistenscreening eine inhaltliche Neuerung. Für die allermeisten Kredit- und Zahlungsinstitute ergab sich die Screeningpflicht bzgl. des eigenen Kundenstamms schon aus Art. 5d Abs. 1 UAbs. 1 SEPA-VO (Verordnung (EU) Nr. 260/2012) bzw. aus Art. 23 GTVO (Verordnung (EU) 2023/1113) i.V.m. den entsprechenden Spezifizierungen der EBA/GL/2024/15, Ziff. 4.1.4 Ziff. 14 ff.). Andere Unternehmen, gerade im Nichtfinanzsektor, werden aber bislang kaum laufendes Sanktionslistenscreening betrieben haben. Unter der AMLR muss die Häufigkeit der Sanktionslistenprüfung mit Blick auf Risikoexposition des Verpflichteten und der Geschäftsbeziehung „angemessen“ sein. Institute des Finanzsektors werden auch in Zukunft mindestens täglich Screenen müssen. Unternehmen des Nichtfinanzsektors werden dagegen mit einer weniger hohen Prüffrequenz auskommen. Die konkrete Ausgestaltung wird sich wiederum aus der unternehmenseigenen Risikoanalyse ableiten lassen müssen.

2.    Ganzheitliche Betrachtung und Bündelung von Geschäftsbeziehungen

Gänzlich neu wird der Umfang der zu überwachenden Geschäftsbeziehung definiert:

  • Unterhält ein Kunde mehr als ein Produkt oder mehr als eine Dienstleistung, so ist sicherzustellen, dass die Sorgfaltsmaßnahmen im Rahmen der kontinuierlichen Überwachung alle diese Produkte und Dienstleistungen abdecken (Art. 26 Abs. 1 UAbs 2 AMLR).
  • Innerhalb von Unternehmensgruppen, in denen ein Kunde mit mehreren Unternehmen Geschäftsbeziehungen unterhält, sind die Informationen über die verschiedenen Geschäftsbeziehungen ganzheitlich für die Zwecke der Überwachung der Geschäftsbeziehung zu berücksichtigen. Das gilt auch für Geschäftsbeziehung, an denen nicht geldwäscherechtlich verpflichtete Unternehmen beteiligt sind (Art. 26 Abs. 1 UAbs 3 AMLR).

Dieser weite Bereich, der kontinuierlich zu überwachen ist, wird vor allem für solche Unternehmen relevant, die nur partiell geldwäscherechtlichen Pflichten unterliegen, im Rahmen der kontinuierlichen Überwachung aber nun zu einem weitreichenden Monitoring angehalten werden.

Das gilt beispielsweise für Lebensversicherungsunternehmen innerhalb eines Versicherungskonzerns. Die geldwäscherechtlichen Identifizierungspflichten gelten nur, sofern soweit Lebensversicherungstätigkeiten oder andere Versicherungstätigkeiten mit Anlagezweck ausgeübt, also z.B. Lebensversicherungsprodukte angeboten und abgeschlossen werden. Nimmt der Kunde bei anderen gruppenangehörigen Unternehmen z.B. auch eine Krankenversicherung und eine Kfz-Haftpflichtversicherung in Anspruch, sollen nun auch die dazugehörigen Informationen durch den geldwäscherechtlich verpflichteten Lebensversicherer im Rahmen der kontinuierlichen Überwachung berücksichtigt werden.

III. Spezifikationen durch die AMLA-Leitlinien

Mit dem Entwurf der AMLA-Leitlinien werden die Einzelheiten der kontinuierlichen Geschäftsbeziehungsüberwachung nochmals konkretisiert. Auch hier gilt: Vieles ist bekannt und entspricht bewährter Praxis. Neuerungen lauern aber im Detail.

1.    Grundsätze der kontinuierliche Überwachung

a. Überwachung = mehr als nur Transaktionsmonitoring

Die laufende Überwachung beschränkt sich nicht auf die das Transaktionsmonitoring, sondern umfasst auch sonstige relevante Aktivitäten, Verhaltensweisen und Ereignisse während der gesamten Geschäftsbeziehung (Entwurf der AMLA-Leitlinien, Rn. 4).

💡
Das ist eine Selbstverständlichkeit und gilt auch heute schon (siehe oben unter Ziff. I), wird hier aber nochmals klargestellt.

b. Ohne Schulung keine brauchbare Umsetzung

Mitarbeiter, die an der kontinuierlichen Überwachung beteiligt sind, müssen angemessen geschult werden (Entwurf der AMLA-Leitlinien, Rn. 7).

💡
Im Ergebnis erfordert das eine gezielte Schulung unterschiedlicher Mitarbeitergruppen: Das Transaktionsmonitoring wird innerhalb der AML-Abteilung abgebildet und von Mitarbeitern mit spezifischem AML-Fachwissen durchgeführt. Die Kundendatenaktualisierung liegt dagegen typischerweise in der 1stLoD, z.B. in der Abteilung der Kundendatenverwaltung oder des Kundenservices.

2.    Kundendatenaktualisierung und Kundendatenprüfung

a. Strenge Höchstfristen

Die in Art. 26 Abs. 2 AMLR festgelegten Aktualisierungsfristen sind höchstfristen. Gegenüber den heute in den BaFin AuA AT (Ziff. 5.5.2) festgelegten Höchstfristen werden diese unter der AMLR nochmals deutlich verkürzt (mindestens jährliche Überprüfung von Hochrisikokunden!) (Entwurf der AMLA-Leitlinien, Rn. 2).

💡
Die unternehmensinternen Prozesse sind so aufzusetzen, dass diese Fristen nicht überschritten werden. Das erfordert interne Alerts, Hinweise und zunehmende Eskalationen, desto näher das Fristende rückt.

b. Neubeginn der Aktualisierungsfrist

Wird eine Überprüfung und Aktualisierung früher als geplant durchgeführt, kann dies den Zeitplan für die nächste erforderliche Aktualisierung zurücksetzen (Entwurf der AMLA-Leitlinien, Rn. 2).

💡
Auch das entspricht der bisherigen Praxis, wird hier aber begrüßenswert klargestellt.

c. Aktualisierung ist kein Re-KYC

Die Kundendatenaktualisierung folgt einem risikobasierten Ansatz („risikosensitive Maßnahmen“). Kundeninformationen sollen unter Verwendung bestimmter zuverlässiger Quellen aktualisiert werden. Das können sowohl Informationen oder Bestätigungen sein, die direkt vom Kunden bereitgestellt werden, als auch Informationen, die sich aus amtlichen Registern, Behördendatenbanken oder den Datenpools kommerzieller Datendienstleistern ergeben (Entwurf der AMLA-Leitlinien, Rn. 12).

💡
Das heißt auch, dass – wie bislang – die Aktualisierung der Kundendaten nicht (immer) voraussetzt, dass der betreffende Kunde nochmals ein „echtes“ Legitimationsverfahren durchlaufen muss.

d. Abgelaufene Ausweisdokumente

Bzgl. abgelaufener Ausweisdokumente, Reisepässe oder gleichwertiger Dokumente soll risikobasiert evaluiert werden, ob und inwiefern diese zu aktualisieren sind und ob die betroffen Person nochmals ein Identifizierungsverfahren durchlaufen muss (Entwurf der AMLA-Leitlinien, Rn. 16 ff.).

💡
Diese Vorgaben sind strenger als die bisher verbreitete Praxis: Allein wegen des Ablaufs von Ausweisdokumenten wurde bislang häufig nicht zwingend ein Aktualisierungsverfahren angestoßen. In der Sache ist dies auch überschießend – jedes Ausweisdokument läuft irgendwann ab, wobei die Gültigkeit des Ausweisdokuments keinerlei Risikorelevanz hat (anders als z.B. der geografische Sitz, die Geschäftstätigkeit oder die Eigentümerstruktur eines Kunden, die sich durchaus risikoerhöhend ändern können). Insofern bleibt zu hoffen, dass die Vorgaben bzgl. der abgelaufenen Ausweisdokumente im Rahmen der Konsultation nochmals entschärft werden.

e. Reduzierte Überprüfung von statischen Kundenbeziehungen

Die Intensität und der Umfang der Kundendatenüberprüfung kann sich danach richten, ob sich die (Geschäfts-)Aktivitäten des Kunden seit der letzten Überprüfung geändert hat. Sind sie gleichgeblieben, haben keine neuen Aktivitäten stattgefunden und wurden dem Kunden keine neuen Dienstleistungen oder Produkte angeboten, kann die Tiefe der Kundendatenüberprüfung reduziert werden. Eine solche Überprüfung kann z.B. die Abfrage von Unternehmensregistern bzw. anderer zuverlässiger Quellen, die Durchführung von PEP- und Adverse-Media-Screenings sowie die interne Überprüfung umfassen, ob sich etwas an der Art oder dem Zweck der Geschäftsbeziehung geändert hat (Entwurf der AMLA-Leitlinien, Rn. 20).

💡
Diese Klarstellung ist uneingeschränkt zu begrüßen und gibt konkrete Guidance, wie die laufenden Kundendatenüberprüfung stattfinden kann.

f. Anlassbezogene Aktualisierung

Der Entwurf der AMLA-Leitlinien nennt bestimmte Ereignisse und Umstände, die eine Überprüfung der Kundendaten auslösen können (Rn. 27).

💡
Die AMLA ist erkennbar im digitalen Zeitalter angekommen: Während die bisherigen Ausführungen der BaFin (AuA AT, Ziff. 5.2.2) als anlassbezogenen Aktualisierungstrigger noch Postrückläufer („Unzustellbare Post“) nennt, zählt die AMLA unter anderem „ungeklärte Wechsel von professionellen Dienstleistern, wiederholte oder ungewöhnliche Änderungen der IP-Adresse oder des Gerätestandorts“ und neue Adverse-Media-Treffer auf.

g. Beendigungspflicht als ultima ratio

Ist ein verpflichtetes Unternehmen nicht in der Lage, die relevanten Kundendokumente, -daten oder -informationen auf dem neuesten Stand zu halten, hat es der Durchführung von Transaktionen abzusehen und die Geschäftsbeziehung zu beenden (Art. 20 Abs. 1 lit f, Art. 26, Art. 21 AMLR, Entwurf der AMLA-Leitlinien, Rn. 30). Die Beendigungspflicht soll aber auch nur ultima ratio sein; vorher muss sich nach Kräften bemüht werden, die fehlenden/veralteten Unterlagen zu beschaffen (Entwurf der AMLA-Leitlinien, Rn. 32).

💡
Diese Beendigungspflicht ist deutlich strenger als bislang nach dem GwG! Eine solche ausdrückliche Beendigungspflicht besteht gemäß § 10 Abs. 9 S. 1 GwG insoweit, als die Sorgfaltspflichten gegenüber Neukunden nicht erfüllt werden können, gilt aber bislang nicht bei Schwierigkeiten im Rahmen der kontinuierlichen Überwachung.

Transaktionsmonitoring und Aktivitätsüberwachung

a.    „Aktivitätsmonitoring“

Die laufenden Überwachung umfasst ausdrücklich nicht nur das Transaktionsverhalten (Transaktionsmonitoring), sondern auch das sonstige Kundenverhalten (relevante Aktivitäten, Verhaltensweisen und Ereignisse während der gesamten Geschäftsbeziehung). Der Entwurf der AMLA-Leitlinien (Rn. 4 und 34 ff.) spricht daher ausdrücklich von der Überwachung von Transaktionen und Aktivitäten.

💡
In der Sache ist das kein Novum, stellt aber klar, dass kontinuierliche Überwachung mehr ist als schematisches Transaktionsmonitoring.

b.    Abgestuftes Transaktionsmonitoring bei high-risk-customers

Bei Kunden, auf die verstärkte Sorgfaltspflichten anzuwenden sind, können gezieltere oder intensivierte Überwachungsparameter, Szenarien, Risikoindikatoren oder analytische Ansätze und häufigere oder eingehendere Überprüfungen angebracht sein (Entwurf der AMLA-Leitlinien, Rn. 41).

💡
Auch das ist inhaltlich keine Neuerung, wurde durch die Aufsichtsbehörden bislang aber auch nicht so ausdrücklich klargestellt, sondern allenfalls im Rahmen von Prüfungen goutiert. Danach ist es ratsam, die einzelnen Regeln des Transaktionsmonitorings auf die verschiedenen Kundenrisikoklassen zuzuschneiden und z.B. für Hochrisikokunden niedrigere Schwellenwerte, längere Vergleichszeiträume und insgesamt strengere Regeln zu hinterlegen.

c. Manuelles Monitoring außerhalb des eigentlichen Finanzsektors

Ob verpflichtete Unternehmen automatisierte Transaktionsmonitoring-Systeme nutzen oder es bei manuellen oder halbautomatisierten Verfahren belassen, ist jeweils individuell und risikobasiert zu bewerten und im Einklang mit den Ergebnissen der unternehmenseigenen Risikoanalyse festzulegen (Entwurf der AMLA-Leitlinien, Rn. 46). Verpflichtete Unternehmen, die strukturell nur begrenzten oder gar keinen Zugang zu Transaktions- und Aktivitätsdaten haben, aufgrund der Art ihres Geschäftsmodells keine Transaktionen verarbeiten oder bei denen Transaktionsvolumen, -geschwindigkeit, -umfang und -komplexität den Einsatz automatisierter oder halbautomatisierter Überwachungssysteme und -prozesse nicht rechtfertigen, können sich auf manuelle Überwachungsprozesse und -kontrollen stützen (Entwurf der AMLA-Leitlinien, Rn. 47).

💡
Für vielen Unternehmen, die das Transaktionsmonitoring heute bereits manuell oder halbautomatisiert durchführen, dürfte auch in Zukunft keine Notwendigkeit bestehen, auf ein vollautomatisiertes Monitoringsystem umzustellen. Das betrifft z.B. Versicherungsunternehmen mit überschaubaren und regelmäßigen Prämienzahlungseingängen. Andersherum dürften die Unternehmen, die selbst Transaktionen in hoher Frequenz durchführen und die heute bereits gesetzlich zum IT-gestützten Transaktionsmonitoring verpflichtet sind (z.B. Kredit- und Zahlungsinstitute) auch in Zukunft vollautomatisiertes Monitoringsystem anwenden müssen.

d.    Keine externen Tools im Default-Mode

Wenn verpflichtete Unternehmen auf vorkonfigurierte oder extern entwickelte Monitoringtools zurückgreifen, müssen sie die Verwendung des Tools verstehen, die Standardeinstellungen gegen die Eigenheiten des eigenen Unternehmens und Geschäftsmodells prüfen und die Standardeinstellungen entsprechend anpassen. Standardeinstellungen sollten nicht ohne eine dokumentierte Bewertung ihrer Angemessenheit verwendet werden (Entwurf der AMLA-Leitlinien, Rn. 50).

💡
Die AMLA gießt hier in Schriftform, was die Aufsichtsbehörden im Rahmen ihrer Prüfungen immer wieder feststellen: Am Markt erworbene Tools werden ungesehen und unangepasst auf das eigene Unternehmen angewandt, meist mit der Folge von einer Vielzahl von false-positive-Treffern und vermeidbaren Fehlerbildern. Auch heute gilt schon, dass die Standardeinstellungen nicht starr übernommen werden, sondern auf das eigenen Unternehmen angepasst werden müssen.

e.    Wechselwirkung zwischen Bestandsdaten und Überwachungsergebnissen

Verpflichtete Unternehmen sollten sicherstellen, dass relevante Ergebnisse aus dem Monitoring bewertet werden und wiederum in die Steuerung anderer interner Prozesse einfließen. So können sich wesentliche Änderungsergebnisse sogar auf die gesamte Risikoanalyse auswirken. Zu den möglichen Wechselwirkungen zwischen Monitoringergebnissen und sonstigen geldwäscherechtliche Prozessen gehört auch, die Kundenrisikoklassifizierung und die damit einhergehenden Intensität der Sorgfaltspflichten entsprechend der Monitoringergebnisse anzupassen sind. Wenn Überwachungsergebnisse auf ein erhöhtes Risiko hindeuten, sollten verpflichtete Unternehmen geeignete Maßnahmen zur Risikominderung ergreifen, wozu auch die Anwendung verstärkter Sorgfaltspflichten gehört Entwurf der AMLA-Leitlinien, 52).

💡
Die AMLA formuliert hier die Erwartungshaltung, die die BaFin in dieser Ausdrücklichkeit bislang nicht verschriftlicht, aber dennoch vorausgesetzt hat. Die kontinuierliche Überwachung findet nicht zum Selbstzweck statt; vielmehr müssen die Ergebnisse der kontinuierlichen Überwachung einschließlich des Transaktionsmonitorings erfasst und bewertet werden, damit auf Grundlage dieser Bewertung wiederum relevanten Folgeprozesse (z.B. client outreach, Folgerecherchen, Verdachtsmeldungsabgabe, Hochstufung der Risikoklasse, Beendigung der Geschäftsbeziehung usw.) angestoßen werden.

f.    Ex-Ante-Monitoring vs. Ex-Post-Monitoring

Die Überwachung von Transaktionen und Aktivitäten (also das Erkennen und Bewerten der Risikorelevanz) kann sowohl vor als auch nach Ausführung einer Transaktion oder Ausführung einer Aktivität geschehen. Der Entwurf der AMLA-Leitlinien (Rn. 60 ff.) nennt hier verschiedene Prinzipien, um das Für und Wider der vor- und nachgelagerten Überwachung in Abhängigkeit vom jeweiligen Unternehmenstyp zu beschreiben. Im Ergebnis plädiert der Entwurf der AMLA-Leitlinien für eine möglich frühe, vorgelagerte Überwachung, erkennt aber an, dass dies für viele Unternehmen nur eingeschränkt oder gar nicht möglich ist.

💡
Im Ergebnis kommt es – wie heute schon – auf die unternehmenseigene Situation an und insbesondere darauf, ob das einzelne Unternehmen überhaupt über die Daten und Informationsquellen verfügt, die eine vorgelagerte Überprüfung erfordern. Kredit- und Zahlungsinstitute, die Zahlungsaufträge ausführen, können angestoßene Zahlungsaufträge noch vor deren Ausführung bewerten. Andere Unternehmen (gerade im Nichtfinanzsektor) haben dagegen überhaupt keine Möglichkeit, ein vorgelagertes Transaktionsmonitoring zu betreiben.

g.    Umgang mit Monitoringtreffern

Monitoringtreffer müssen unverzüglich bewertet, nach Risiko priorisiert und, sofern eine weitere Analyse erforderlich ist, an Mitarbeiter mit entsprechenden Kundenkenntnissen und Fachkompetenz weitergeleitet werden (Entwurf der AMLA-Leitlinien, Rn. 75).

💡
Insofern bleibt alles beim Alten: Eine unverzügliche Verdachtsmeldungsabgabe setzt voraus, dass auch die zugrundeliegende Auffälligkeit – z.B. der Treffer im Transaktionsmonitoring – unverzüglich bewertet wird.

h.    NEU: Automatisiertes Aussortieren von false-positive-Treffern

Werden automatisierte Mechanismen zur abschließenden Bearbeitung von Monitoringtreffern einsetzen („to close monitoring outputs“), ist sicherzustellen, dass diese Mechanismen nur auf Fälle angewendet werden, die nach automatisierter Analyse keine Hinweise auf verdächtige oder ungewöhnliche Transaktionen und Aktivitäten oder andere wesentliche ML/TF-Risikoindikatoren aufweisen (false positive-Treffer). In Hochrisikokonstellationen und in Bezug auf Hochrisikokunden dürfen diese automatisierten Mechanismen grundsätzlich nicht eingesetzt werden (Entwurf der AMLA-Leitlinien, Rn. 78).

💡
Das ist eine zentrale Neuerung! Die BaFin steht dem Einsatz von Technologie bei der Bewertung von Treffern im Transaktionsmonitoring nicht gänzlich verschlossen gegenüber, legt bislang aber Wert darauf, dass die Letztsequenz der Einzelfallbearbeitung stets manuell durch einen Sachbearbeiter geschieht. Die AMLA eröffnet nun vollkommen neue, ausschließlich begrüßenswerte Perspektiven: Künftig dürfte es möglich sein, regel- und parameterbasiert vorzudefinieren, welche Treffer für welchen Kunden bzw. Kundengruppe unter welcher Monitoringregel als false-positive gelten und bereits systemseitig und automatisiert geschlossen werden dürfen. Das entsprechende Regelwerk wird fortlaufend aktuell zu halten und zu überprüfen sein.

i.    Einsatz von Technologie, insbesondere KI

Der Entwurf der AMLA-Leitlinien zeigt ganz grundsätzlich, dass die AMLA dem Einsatz von Technologie, insbesondere von künstlicher Intelligenz (KI) im Rahmen der kontinuierlichen Überwachung offen gegenüber steht und sogar begrüßt (Rn. 87 ff.). Verpflichtete Unternehmen sind aufgefordert zu prüfen, ob der Einsatz automatisierter oder fortschrittlicher Analyseinstrumente, einschließlich Algorithmen, maschinellem Lernen, künstlicher Intelligenz und anderer innovativer Technologien, die wirksame Erkennung und Eskalation von ML/TF-Risiken innerhalb ihres Überwachungsrahmens verbessern würde. Entsprechende Tools entbinden allerdings nicht vollkommen von der Verantwortung, sondern müssen hinterfragt und erläutert werden können. Verpflichtete Unternehmen bleiben für die im Ergebnis getroffene Überwachungsentscheidung verantwortlich und müssen sicherstellen, dass diese überprüft und, falls erforderlich, angepasst werden können, gegebenenfalls auch durch wirksame menschliche Aufsicht.

💡
Die ausdrückliche Technologieoffenheit ist ausschließlich zu begrüßen. Der Einsatz von KI im Rahmen der Verdachtsfallbearbeitung kann diese stark effektivieren, Ergebnisse präzisieren und jede einzelne Prozesssequenz innerhalb der Überprüfung stärken.

IV. Fazit

Der Rahmen der kontinuierlichen Überwachung von Geschäftsbeziehungen wird unter der AMLR kaum verändert. Kundendatenaktualisierung und Transaktionsmonitoring stehen weiterhin im Fokus, sind aber auch in Zukunft nur zwei Teilfacetten einer weitreichenderen, gesamtheitlich zu begreifenden Überwachungslogik.

Der Entwurf der AMLA-Leitlinien bringt einzelne Neuerungen und verschriftlicht in der Breite die Grundsätze der bisherigen Aufsichtspraxis, die zwar nicht ausdrücklich vorgegeben, im Markt aber doch erwartet und gelebt wurden. Besonders begrüßenswert: Die AMLA bricht eine Lanze für den Einsatz von innovativen Technologien und Analyseinstrumente, einschließlich Algorithmen, maschinellem Lernen und künstlicher Intelligenz. Das ist ausschließlich zu begrüßen und hält erneut das fest, was einzelnen Verpflichtete (gerade im Finanzsektor) heute schon vorleben.

Lies auch