AMLA-Auskunftsersuchen: Was Verpflichtete jetzt wissen müssen
Veröffentlicht: 2026-02-27
Die EU-Antigeldwäschebehörde Authority for Anti-Money Laundering and Countering the Financing of Terrorism (AMLA) arbeitet seit Juli 2025 – und sie wartet nicht. Im Februar 2026 kontaktierte die BaFin im Auftrag der AMLA ausgewählte Verpflichtete im Rahmen eines AMLA-Datensammelprojektes. Was bedeutet das konkret? Florian Peters, Head of AML Compliance Investment Industries bei Kerberos, gibt Antworten.
AMLA im Aufbau: Wo stehen wir?
Mit der Aufnahme ihres operativen Betriebs am 1. Juli 2025 hat die AMLA in Frankfurt am Main eine neue Ära der europäischen Geldwäscheaufsicht eingeleitet. Die Behörde ist Aufsichtsbehörde, Standardsetzer und Koordinierungsstelle zugleich – und sie macht zügig Fortschritte.
Bis zum 10. Juli 2026 muss die AMLA der EU-Kommission fertige Entwürfe zentraler Regulatory Technical Standards (RTS) vorlegen. Derzeit laufen gleich drei Konsultationsverfahren parallel:
RTS zu Kundensorgfaltspflichten (CDD-RTS, Art. 28 AMLR) – Konsultation bis 8. Mai 2026
RTS zur Identifikation von Geschäftsbeziehungen und Transaktionen (Art. 19(9) AMLR) – Konsultation bis 8. Mai 2026
RTS zu Aufsichtsmaßnahmen und Bußgeldbemessung (Art. 53(10) AMLD6) – Konsultation bis 9. März 2026
Parallel hat die AMLA im Dezember 2025 einen Implementing Technical Standard (ITS) zur Zusammenarbeit bei der Direktaufsicht konsultiert. Dieser regelt, wie BaFin und andere nationale Behörden mit der AMLA kooperieren, wenn diese ab 2028 bis zu 40 besonders risikoexponierte, grenzüberschreitend tätige Finanzinstitute direkt beaufsichtigt.
„Eine Trockenübung für die Zeit, wenn die AML-Verordnung gilt“
Interview mit Florian Peters, Head of AML Compliance Investment Industries, Kerberos
Florian Peters betreut seit knapp sechs Jahren bei Kerberos nahezu ausschließlich Kapitalverwaltungsgesellschaften. Im Interview erklärt er, was hinter dem aktuellen AMLA-Datenpiloten steckt – und was KVGen jetzt tun müssen.
Florian, wie macht sich die Arbeit der AMLA für Kapitalverwaltungsgesellschaften gerade konkret bemerkbar?
„Die AMLA ist eine eine Behörde, die im Zuge des sogenannten AML-Pakets ins Leben gerufen wurde, mit Sitz in Frankfurt. Sie ist zuständig, künftig die gesamte Geldwäscheprävention in der Europäischen Union auf einheitliche Füße zu stellen. Sie wird direkt einige sehr große Institute grenzüberschreitend mit besonderem Risikoprofil überwachen – aber über ihre Verlautbarungen und Leitlinien wird sie Einfluss auf die Geldwäsche-Compliance von allen Verpflichteten nach der AML-Verordnung ausüben. Und deswegen werden ihre Vorgaben für alle bindend sein.
Was sie derzeit schon macht: Sie stockt auf jeden Fall personell auf, damit sie ihrer Aufgabe nachkommen kann, und füllt bereits jetzt einige Umsetzungsvorschriften mit Leben. Sie fängt auch bereits an, sich einen Überblick über die Risikosituationen in der Europäischen Union zu verschaffen – durch statistische Erhebungen. Im Frühjahr hat die AMLA über die BaFin einen recht umfangreichen Fragebogen verschicken lassen, der sich sehr genau mit der Risikosituation beschäftigt – bei ausgesuchten Instituten. Darunter waren auch einige Kapitalverwaltungsgesellschaften.“
Der AMLA-Datenpilot in 4 Phasen
Im Februar 2026 kontaktiert die BaFin im Auftrag der AMLA ausgewählte Verpflichtete im Rahmen des sogenannten AMLA-Datenpiloten – einer verpflichtenden Datenerhebung, die die AMLA am 26. Januar 2026 per Pressemitteilung angekündigt hatte.
Phase 1 – Test- und Kalibrierungsphase (läuft jetzt)
Die BaFin hat für die AMLA eine Auswahl an Instituten kontaktiert und diesen Draft-Berichtsvorlagen zugesandt: Excel-Templates sowie einen umfangreichen Interpretationsleitfaden. Die Teilnahme ist verpflichtend. Die eigentliche Datenerhebung startet im März 2026.
Phase 2 – Finalisierung der Modelle und Eligible-Liste
Risikomodelle werden kalibriert, Templates festgezurrt, finale Eligible-Liste erstellt. Interne Kosten werden nicht erstattet.
Phase 3 – Offizieller Auswahlprozess (2027: Datenerhebung und Auswahlentscheidung)
Von der AMLA zu beaufsichtigende Institute werden bestimmt.
Phase 4 – Start der direkten Aufsicht (ab 2028)
Die AMLA übernimmt die Aufsicht über die 40 ausgewählten Institute. Die erarbeiteten Standards strahlen auf alle anderen Verpflichteten aus.
Wichtig: Was heute mit 40 Instituten getestet wird, prägt morgen die Prüfungspraxis für alle Verpflichteten.
Was verlangt die BaFin im Auftrag der AMLA von den Verpflichteten konkret?
„Ihren ersten Fragebogen hatte die AMLA im Frühjahr 2025 im Rahmen eines Pilotprojekts verschickt. Diesen Fragebogen hat die AMLA jetzt in leicht veränderter Form noch einmal versendet – an deutlich mehr Institute, darunter auch wieder registrierte Kapitalverwaltungsgesellschaften. Die Daten, die erhoben werden, sind in großen Teilen schon bekannt aus dem, was wir im Rahmen einer regulären Risikoanalyse erheben, zum Beispiel:
Wie viele Full-Time-Employees sind mit Geldwäscheprävention beschäftigt?
Wie viele Hochrisikokunden gibt es?
In welchen Ländern sitzen die Kunden?
Welche Transaktionen fanden in welcher Größenordnung statt?
Wie viele politisch exponierte Personen (PEPs) gibt es?
Wann fand der letzte Jahresabschluss statt?
Welche internen Governance- und Compliance-Vorgaben gibt es?
Letztlich werden die Datenpunkte, die eine KVG im Rahmen einer Risikoanalyse nach dem Geldwäschegesetz selbst erheben würde, diesmal von der AMLA über die BaFin bei den Instituten abgefragt. Der maßgebliche Unterschied ist, dass für diese Umfrage die zentralen Daten bereits nach den Vorgaben der AML-Verordnung erhoben werden. Das bedeutet, dass hier schon die neuen Berechnungsmethoden für wirtschaftliche Eigentümer angewendet werden müssen.“
Welche Ressourcen braucht eine KVG, um den Fragebogen zu beantworten – und muss sie das überhaupt?
„Die wichtigste Ressource ist, wie so oft, die Zeit. Der Fragebogen hat eine Deadline, die jetzt einige wenige Wochen beträgt – was man im operativen Tagesgeschäft unbedingt einplanen sollte.
Die Beantwortung ist insofern komplex, da viele Informationen einerseits recht einfach erhoben oder im Haus vorhanden sein dürften – aber manchmal auch Aspekte abgefragt werden, die nicht jede KVG auf Knopfdruck parat hat. Das sind häufig Informationen im Bereich des Transaktionsmonitorings. Da eine signifikante Anzahl von KVGen auch Investoren oder Investments im Ausland hat, ergeben sich grenzüberschreitende Zahlungsströme – und die muss man benennen können.
Im Idealfall sollte man ein digitales Transaktionsmonitoring oder eine Form der Zahlungsüberwachung haben, die derartige statistische Erhebungen ermöglicht. Personelle Ressourcen sind ebenfalls vorzuhalten – entweder inhouse als designierter Geldwäscheexperte oder extern als Beauftragter, der weiß, welche Daten in welcher Form erhoben werden sollten.
Letztlich liegt der Schwerpunkt, was die AMLA mit Fokus interessiert, bei den Transaktionen. Oft bestehen die Daten schon – aber wie man sie nutzt, lesbar macht oder verwertbar aufbereitet, da liegt erfahrungsgemäß der Schwerpunkt dessen, was bei uns an Unterstützung nachgefragt wird.“
Antwortpflicht – keine Ausrede möglich
Die Teilnahme am AMLA-Datenpiloten ist verpflichtend. Verpflichtete können sich nicht auf Auskunftsverweigerungsrechte berufen: Die Verordnung hat die Antwortpflicht explizit vorgesehen.
Wer den Fragebogen erhält – ob direkt oder über den externen Geldwäschebeauftragten –, muss ihn fristgerecht beantworten.
Wie umfangreich ist der Aufwand konkret?
„Bei Unternehmen, die schon an uns ausgelagert haben und bei denen bereits Informationsflüsse und etablierte Prozesse bestehen, dürften sich die Daten etwas leichter erheben lassen. Dennoch ist es ein recht umfangreicher Fragebogen – man sieht es auch an der Anzahl der Sheets: Selbst als kleine KVG muss man durchaus acht oder neun Excel-Sheets beantworten. Allein an der Beschreibung merkt man, was da an Datenmasse abgefragt wird.“
Welchen Zweck verfolgt die AMLA mit diesen Datenabfragen – und müssen Institute im Zweifel mit Folgeprüfungen rechnen?
„Generell dient diese Übung der Erstellung eines globalen Risikoprofils in der Europäischen Union insgesamt. Dabei werden sich gewisse Schwerpunkte herausbilden.
Dieser Fragebogen ist jedoch kein Präjudiz. Wenn man angibt, viele PEPs zu haben oder viele Investoren in Risikoländern – dann würde die BaFin Informationen kriegen, die sie in den meisten Fällen schon hat. Einfach weil sie über die Jahresabschlüsse bereits über Statistik zu Vertragspartnern der Verpflichteten informiert ist, wer welches Risikoprofil hat. Diese erhobenen Daten sind gewissermaßen auch zweckgebunden.
Die BaFin ist bereits sehr aktiv und führt Aufsichtsbesuche durch. Auch verschickt sie eigene Fragebögen zu von ihr selbst ausgemachten Risiken.“
Was passiert mit den erhobenen Daten?
1. Auswahlverfahren Direktaufsicht (30–40 Institute)
Die Daten bilden die Grundlage, welche Institute ab 2028 der direkten AMLA-Aufsicht unterliegen. Kriterien: geografischer Footprint (mind. 6 Mitgliedstaaten), Größe, Risikoprofil.
2. Kalibrierung der AMLA-Risikomodelle
Die Bewertungsmodelle werden verfeinert – und strahlen künftig auf alle Verpflichteten aus.
3. Datenkonsistenz als Risikofaktor
Inkonsistente KYC-Daten, widersprüchliche Risikoklassifizierungen oder fehlende UBO-Informationen fallen als Schwachstelle im Risikoprofil auf.
Wie unterstützt Kerberos Verpflichtete bei der Bearbeitung der Anfragen?
„Oft ist es die Datenaufbereitung, die den größten Aufwand macht – nicht die Daten selbst. Die bestehen in der einen oder anderen Form schon, aber wie man sie nutzt, lesbar macht oder verwertbar aufbereitet – da liegt erfahrungsgemäß der Schwerpunkt. Da kann man auch kurzfristig noch unterstützen, wenn man noch nicht beauftragt ist. Bei Unternehmen, die schon an uns ausgelagert haben und bei denen bereits Prozesse etabliert sind, lässt sich das effizienter lösen.“
Ist damit zu rechnen, dass weitere Fragebögen folgen?
„Es gibt keine bestimmte Höchstzahl, wie oft die AMLA Fragebögen verschicken darf. Sie könnte auch zum Schluss kommen, dass viele Fragen im aktuellen Design nicht zielführend waren – und einen angepassten Fragebogen verschicken. Das wäre eine übliche Vorgehensweise: Man arbeitet erst mit einem Fragenmodell, wartet auf Rückmeldungen aus den verpflichteten Kreisen.
Ich gehe allerdings davon aus, dass die grobe Stoßrichtung der abgefragten Informationen ähnlich bleiben wird. Wie es bei jedem Systemwechsel der Fall ist – von nationalen Aufsichten auf eine europäische –, wird man immer mit Nachjustierungen rechnen können, vielleicht auch mit im Detail angepassten RTS.“
Wie bewertest du den aktuellen Fragebogen im größeren Kontext – was bedeutet er für die künftige Compliance-Praxis?
„Die grobe Architektur bleibt gleich: Es werden sehr viel mehr Daten notwendig und zu erheben sein.
Und insofern sind diese gerade verschickten Fragebögen auch eine Art Trockenübung – für die Zeit, wenn die AML-Verordnung gilt. Denn diese Fragebögen sind so zu beantworten, als würde die AML-Verordnung bereits gelten.
Das heißt, neue UBO-Berechnungen können notwendig sein. Insofern sollte man sich mit dem Fragebogen nicht zu viel Zeit lassen – einfach, weil sich nicht nur bei den Transaktionen, sondern auch bei den wirtschaftlich Berechtigten einige Änderungen ergeben werden, die man zumindest einmal „durchgespielt“ haben sollte.
Es wird sich bei den meisten Kunden bei der UBO-Anzahl nicht viel ändern. Allerdings kann sich z.B. bei komplexen Strukturen mit verschachtelten Konstruktioneneiniges ändern – und das ist dann die herausragend wichtige Aufgabe: sich das genauer anzuschauen, um die AML-Verordnung für diesen Fragebogen bereits fiktiv korrekt anzuwenden.“
5 Handlungsempfehlungen für Verpflichtete
1. Sofort reagieren, nicht abwarten
Die Frist beträgt nur wenige Wochen. Wer den Fragebogen erhalten hat, sollte ihn umgehend intern verteilen.
2. Transaktionsdaten prüfen und aufbereiten
Grenzüberschreitende Zahlungsströme müssen benannt werden können – das ist der häufigste Engpass. Wer kein digitales Transaktionsmonitoring hat, sollte jetzt handeln.
3. UBO-Berechnungen nach AMLR-Methodik prüfen
Der Fragebogen ist so zu beantworten, als gelte die AML-Verordnung bereits. Das kann angepasste UBO-Berechnungen erfordern – besonders bei verschachtelten Strukturen.
4. Datenkonsistenz sicherstellen
Inkonsistente oder unvollständige KYC-Daten fallen als Schwachstelle im Risikoprofil auf.
5. Externe Begleitung frühzeitig einschalten
Nicht wegen juristischer Risiken, sondern weil die Qualität der eingereichten Daten die Grundlage für künftige Aufsichtsbewertungen bildet.
Fazit: Nicht abwarten – vorbereiten
2026 ist das Jahr der Vorbereitung. Die AMLA setzt Fakten: Drei RTS-Konsultationen laufen, die Direktaufsicht wird ausgerollt, und nationale Behörden wie die BaFin intensivieren ihre Prüfungstätigkeit. Der aktuelle Datenpilot ist dabei mehr als eine Pflichtübung – er ist, wie Florian Peters es nennt, eine Trockenübung für die Zeit, wenn die AML-Verordnung in vollem Umfang gilt. Verpflichtete, die ein Auskunftsersuchen erhalten, sind nicht allein. Aber sie brauchen schnell die richtigen Partner.
