AMLA-Guidelines zur Risikoanalyse: Neue Pflichten für alle Verpflichteten
Datum: 2026-04-30
Die unternehmensweite Risikoanalyse ist keine neue Erfindung – sie ist seit Jahren Pflicht, in Deutschland nach § 5 GwG. Was die AMLA jetzt liefert, sind verbindliche EU-weite Mindestanforderungen dafür: wie die Analyse aufgebaut sein muss, was sie abdecken soll und für wen sie gilt. Am 16. April 2026 hat die Authority for Anti-Money Laundering and Countering the Financing of Terrorism (AMLA) ihren Entwurf der Guidelines zur Business-Wide Risk Assessment (BWRA) veröffentlicht. Grundlage ist Artikel 10 Absatz 4 der Anti-Geldwäsche-Verordnung (AMLR, VO (EU) 2024/1624). Die Konsultationsfrist läuft bis zum 15. Juli 2026.
Zwei Punkte ergänzen die bestehende Pflicht inhaltlich: Finanzsanktionen werden zum Pflichtbestandteil jeder Risikoanalyse – und die Vorgaben gelten ausdrücklich auch für den Nicht-Finanzsektor.
Was ist die BWRA – und warum betrifft sie Sie?
BWRA steht für Business-Wide Risk Assessment: die unternehmensweite Risikoanalyse. Jeder Verpflichtete muss sein gesamtes Geschäftsmodell systematisch auf Risiken der Geldwäsche (ML), der Terrorismusfinanzierung (TF) und – neu – der Nicht-Umsetzung gezielter Finanzsanktionen (TFS) analysieren. Nicht einzelne Kunden oder Transaktionen stehen im Fokus, sondern das Gesamtbild: Kundenstruktur, Produkte, Vertriebswege und geografische Reichweite.
In Deutschland entspricht die BWRA der Risikoanalyse nach § 5 GwG. Die AMLR hebt diese Pflicht jetzt auf EU-Verordnungsebene – mit einheitlichen, verbindlichen Mindestanforderungen für alle Mitgliedstaaten.
Wichtige Abgrenzung: Die BWRA ist die Selbstbewertung des Unternehmens (Art. 10 AMLR). Daneben bewertet die Aufsichtsbehörde das Risikoprofil von außen (Art. 40 AMLD6). Beide Instrumente sind verschieden, sollen sich aber gegenseitig informieren.
Die vier Mindestanforderungen der AMLA
Die Guidelines strukturieren die BWRA um vier aufeinander aufbauende Bausteine:
| Baustein | Inhalt |
|---|---|
| MR 1 – Geschäftsübersicht | Rechtsstruktur, Kundenstruktur, Produkte, Vertriebswege, Geografie, AML/CFT-Organisation, Outsourcing, neue Technologien |
| MR 2 – Inhärente Risiken | Identifikation und Klassifizierung aller Risiken vor jeder Maßnahme – entlang der Risikofaktoren Kunden, Produkte, Vertriebswege, Geografie |
| MR 3 – Kontrollqualität | Bewertung, ob AML/CFT/TFS-Kontrollen die inhärenten Risiken wirksam mindern – im Design und in der Umsetzung |
| MR 4 – Restrisiken | Verbleibende Risiken nach Kontrollen. Inhärent hohe Risiken können nie vollständig eliminiert werden. Prioritäten und Maßnahmen ableiten. |
Dieser dreistufige Prozess – inhärentes Risiko, Kontrollqualität, Restrisiko – spiegelt die Methodik der aufsichtlichen Bewertung nach den RTS zu Art. 40 Abs. 2 AMLD6 wider. Die dort definierten Datenpunkte (z. B. Kundenanzahl nach Land, PEP-Exposition, Transaktionsvolumen) und sieben Kontrollkategorien bieten einen guten Orientierungsrahmen für die eigene BWRA.
Finanzsanktionen: Was das konkret bedeutet – und warum NFS-Verpflichtete besonders exponiert sind
Was Finanzsanktionen sind – und was sie auslösen
Gezielte Finanzsanktionen (Targeted Financial Sanctions, TFS) sind EU-Verordnungen, die unmittelbar in jedem Mitgliedstaat gelten und zwei Kernverbote enthalten: Vermögenssperre (alle Gelder und wirtschaftlichen Ressourcen einer gelisteten Person oder Einrichtung sind einzufrieren) und Bereitstellungsverbot (es ist verboten, gelisteten Personen oder Einrichtungen direkt oder indirekt Gelder oder wirtschaftliche Ressourcen zur Verfügung zu stellen). (Art. 2 und 3 VO (EU) Nr. 269/2014)
Wer gegen dieses Verbot verstößt, macht sich nach § 18 Außenwirtschaftsgesetz (AWG) strafbar – mit Freiheitsstrafe von drei Monaten bis zu fünf Jahren. Bei Verstößen gegen UN-gestützte Sanktionen drohen nach § 17 AWG bis zu zehn Jahre Freiheitsstrafe. Fahrlässige Zuwiderhandlungen sind nach § 19 AWG Ordnungswidrigkeiten.
Der Umfang: Über 2.500 gelistete Personen und Einrichtungen allein im Russland-Regime
Seit Februar 2022 hat die EU insgesamt 18 Sanktionspakete gegen Russland verabschiedet. Das 18. Paket vom Juli 2025 brachte die Gesamtzahl gelisteter Personen und Einrichtungen auf über 2.500 – darunter Regierungsbeamte, Militärkommandeure, Unternehmensinhaber aus dem Energie-, Rüstungs- und Finanzsektor sowie deren Familienangehörige und Strohpersonen. 444 Schiffe der russischen Schattenflotte sind ebenfalls gelistet. (Rat der EU, Pressemitteilung 18. Paket, 18.07.2025)
Daneben existieren rund 33 aktive EU-Sanktionsregimes – gegen Iran, Belarus, Syrien, Nordkorea, Myanmar, Hamas, ISIL/Al-Qaida und weitere. (Deutsche Bundesbank, Sanktionsregimes-Übersicht)
Die vollständige, tagesaktuell konsolidierte EU-Sanktionsliste ist öffentlich zugänglich: EU Sanctions Map (Europäische Kommission).
Warum NFS-Verpflichtete an der Front stehen
Banken haben Sanktionsscreenings seit Jahren automatisiert. Im Nichtfinanzsektor ist dieser Prozess weniger etabliert – obwohl Immobilientransaktionen, Gesellschaftsgründungen und Güterkäufe klassische Kanäle zur Platzierung sanktionierter Vermögenswerte sind.
Praxisfall: Ein Immobilienmakler in Hamburg vermittelt den Verkauf einer Eigentumswohnung. Der Käufer tritt über eine zypriotische Limited auf. Deren wirtschaftlich Berechtigter ist ein russischer Staatsbürger, der im 14. Sanktionspaket (2024) gelistet wurde. Wäre die Transaktion abgeschlossen worden, hätte der Makler gegen das Bereitstellungsverbot verstoßen – strafbar nach § 18 AWG, auch wenn er die Listung nicht kannte, solange er die Prüfung fahrlässig unterlassen hat.
Praxisfall: Ein Notar beurkundet eine GmbH-Gründung. Gesellschafter ist eine Dubai-LLC mit unklarer Eigentümerstruktur. Hinter ihr steht ein belarussischer Unternehmer, der seit 2021 unter EU-Sanktionen steht. Ohne Screening der Beteiligten – inklusive mittelbarer wirtschaftlicher Eigentümer – kann der Notar das Bereitstellungsverbot nicht einhalten.
Umgehungsmuster: Was die BaFin warnt
Die BaFin hat im März 2025 auf typische Umgehungsmuster hingewiesen (BaFin Aufsichtsmitteilung, 11.03.2025 – bafin.de):
Intermediäre in Drittstaaten: Zahlungen laufen über Zwischenempfänger in UAE, Türkei, Hongkong oder der Schweiz, um den eigentlichen Bezug zu sanktionierten Ländern zu verschleiern
Strohfirmen und Beteiligungskaskaden: Gelistete Personen halten Anteile unterhalb des 25-Prozent-Schwellenwerts über mehrere Ebenen verschachtelt
Preismanipulation und Phantomhandel: Besonders in Handelsfinanzierungen und Gütergeschäften
Komplexe Treuhandstrukturen: Nutzung von Stiftungen oder Trusts in Drittstaaten zur Verschleierung des wirtschaftlich Berechtigten
TFS in der BWRA: Wo genau es hingehört
AMLR Art. 10 Abs. 1 verlangt ausdrücklich, dass TFS-Risiken Teil der unternehmensweiten Risikoanalyse sind – gleichrangig mit ML und TF. In der MR-Struktur der AMLA-Guidelines bedeutet das:
| Baustein | TFS-spezifischer Inhalt |
|---|---|
| MR 1 | Kundenherkunftsländer nach Sanktionsexponierung; Anteil von Transaktionen mit Drittstaatsbezug; Gesellschaftsformen mit typisch hohem Verschleierungsrisiko (Trusts, Offshore-LLCs) |
| MR 2 | Inhärentes TFS-Risiko je Kundensegment und Tätigkeitskategorie: Wie hoch ist die Wahrscheinlichkeit, mit einer gelisteten Person oder Einrichtung in Kontakt zu kommen? (z. B. Immobilientransaktionen mit Russland-/Belarus-/Iran-Bezug = hoch) |
| MR 3 | Screening-System: Gegen welche Listen? Mit welcher Häufigkeit? Wer prüft Treffer? Ist das Verfahren dokumentiert? Werden auch mittelbare wirtschaftliche Eigentümer erfasst? |
| MR 4 | Restrisiko: Verbleibende Lücken (z. B. kein automatisches Screening, manuelle Prüfung bei kleinen Betrieben) und Maßnahmen zur Risikoreduzierung |
Erstmals im Fokus: Was der Nicht-Finanzsektor jetzt wissen muss
Die BWRA-Guidelines gelten für alle Verpflichteten nach AMLR – auch für Unternehmen, die keine Banken oder Versicherungen sind. Betroffen sind unter anderem:
Immobilienmakler (Art. 3 Nr. 3 lit. d AMLR)
Rechtsanwälte und Notare bei Kataloggeschäften (Art. 3 Nr. 3 lit. b AMLR)
Steuerberater und Wirtschaftsprüfer (Art. 3 Nr. 3 lit. a AMLR)
Händler hochwertiger Güter (Art. 3 Nr. 3 lit. f AMLR)
Dienstleister für Gesellschaften und Trusts (Art. 3 Nr. 3 lit. c AMLR)
Praxisfall: Eine mittelgroße Steuerberatungskanzlei betreut Mandate in der Gründungsberatung und Treuhandstrukturierung. Ihre BWRA muss das abbilden: Welche Kunden bringen welches inhärentes TFS-Risiko mit? Werden wirtschaftlich Berechtigte hinter Offshore-Strukturen gegen Sanktionslisten gescreent? Ist das Verfahren dokumentiert?
Hinweis zur aufsichtlichen Bewertung: Die aktuellen RTS zu Art. 40 AMLD6 gelten zunächst nur für den Finanzsektor. Für den Nicht-Finanzsektor folgen eigene RTS zu einem späteren Zeitpunkt. Die Grundpflicht zur BWRA nach Art. 10 AMLR gilt jedoch bereits jetzt für alle.
Was „nicht-komplex" bedeutet – und wer vereinfachen darf
Die AMLA betont Verhältnismäßigkeit. Nicht-komplexe Unternehmen dürfen eine vereinfachte, qualitativ-deskriptive BWRA erstellen. Die Kriterien (auf Basis der RTS zu Art. 40 AMLD6) müssen kumulativ erfüllt sein:
Größe: Maximal 5 Vollzeitäquivalente im betreffenden Mitgliedstaat
Tätigkeit: Bestimmte risikoarme Dienstleistungen (z. B. Versicherungsvermittlung, Kreditvermittlung, risikoarme Lebensversicherungen mit Jahresprämie ≤ 1.000 € oder Einmalprämie ≤ 2.500 €)
Für den Nicht-Finanzsektor sind die Kriterien noch nicht final definiert – die Grundprinzipien der Verhältnismäßigkeit werden aber wahrscheinlich übertragbar sein. Vereinfacht heißt nicht optional: Auch kleine Betriebe müssen eine BWRA durchführen und dokumentieren.
Bußgelder bei mangelhafter Risikoanalyse
Wer die Risikoanalyse nicht durchführt oder nicht dokumentiert, riskiert nach § 56 GwG empfindliche Bußgelder: bis zu 150.000 € bei Vorsatz, bis zu 100.000 € bei Leichtfertigkeit. Bei schwerwiegenden oder systematischen Verstößen steigen die Grenzen auf bis zu 1 Mio. € oder das Zweifache des wirtschaftlichen Vorteils. Für juristische Personen im Finanzsektor sind bis zu 5 Mio. € oder 10 % des Gesamtumsatzes möglich.
Separat dazu: Wer Sanktionen selbst verletzt – also tatsächlich Geschäfte mit gelisteten Personen abwickelt – riskiert nach §§ 17, 18 AWG strafrechtliche Verfolgung mit Freiheitsstrafen bis zu zehn Jahren. Das ist eine andere Dimension als das GwG-Bußgeld für eine mangelhafte Risikoanalyse.
Was Sie jetzt tun sollten
Die AMLR gilt ab dem 10. Juli 2027. Wer erst dann beginnt, gerät unter Zeitdruck. Drei Schritte sind jetzt sinnvoll:
1. TFS-Lücke in der bestehenden Risikoanalyse schließen
Enthält Ihre aktuelle Risikoanalyse bereits eine TFS-Bewertung? Sind Screening-Prozesse dokumentiert? Ist geregelt, wer bei einem Treffer was tut? Diese Lücke ist oft die größte und schnellste zu schließen.
2. GAP-Analyse gegen die vier AMLA-Mindestanforderungen
Gleichen Sie Ihre bestehende Risikoanalyse mit MR 1–4 ab. Nutzen Sie die Datenpunkte der RTS zu Art. 40 AMLD6 als Orientierungsrahmen – auch wenn diese RTS formal noch nicht für den Nicht-Finanzsektor gelten.
3. Konsultation bis 15. Juli 2026 nutzen
Für den Nicht-Finanzsektor ist das eine seltene Gelegenheit, praxisrelevante Anliegen – etwa zur Verhältnismäßigkeit oder zu Vereinfachungskriterien – frühzeitig einzubringen.
Wie Kerberos Compliance Sie unterstützt
Die BWRA ist kein einmaliges Dokument – sie ist die Grundlage jeder Compliance-Entscheidung in Ihrem Unternehmen. Kerberos Compliance begleitet Verpflichtete aus dem Finanz- und Nicht-Finanzsektor bei der Umsetzung: von der GAP-Analyse bis zur dokumentierten Risikoanalyse inklusive TFS-Baustein, die einer Aufsichtsprüfung standhält.
Digital. Bezahlbar. Auf dem neuesten regulatorischen Stand.
