Ongoing Monitoring nach Artikel 26 EU-AML VO: Was sich ab Juli 2027 ändert

Verfasst von Florian Peters

Datum: 2026-05-08

Am 6. Mai 2026 haben Thomas Manzey (Head of AML Compliance – Financial & Payment Services) und Florian Peters (Head of AML Compliance – Investment Industries & Capital Markets) in unserem Webinar erläutert, wie Artikel 26 der EU-Geldwäscheverordnung (VO (EU) 2024/1624, „AML VO") die laufende Kundenüberwachung umbaut. Die Verordnung ist bereits in Kraft, gilt jedoch erst ab dem 10. Juli 2027 (Art. 90 AMLR). Wer bis dahin die existierende Datenbasis nicht auf ihre Konformität mit der AML VO und die Prozesse zur Aktualisierung nicht angepasst hat, wird die Fristen nicht halten können. Die wichtigsten Botschaften des Webinars im Überblick.

Vom „angemessenen zeitlichen Abstand" zu festen Höchstfristen

Bislang verlangt § 10 Abs. 1 Nr. 5 GwG eine Aktualisierung der Kundendaten „im angemessenen zeitlichen Abstand". Was angemessen ist, klärt die BaFin in ihren Auslegungs- und Anwendungshinweisen. Mit Artikel 26 Abs. 2 AML VO werden daraus erstmals europaweit verbindliche Höchstfristen:

  • ein Jahr für Kunden mit erhöhtem Risiko (Art. 26 Abs. 2 lit. a AML VO)

  • fünf Jahre für alle anderen Kunden (Art. 26 Abs. 2 lit. b AML VO)

Der Wortlaut ist deutlich: Der Zeitabstand, innerhalb der die Aktualisierung abgeschlossen (!) sein muss, „darf keinesfalls" diese Zeiträume überschreiten. Florian Peters ordnete das im Webinar genauso ein: „Fünf Jahre ist demnächst dann für alle Kunden die Höchstfrist."

Spielraum für Kunden mit geringem Risiko – innerhalb der 5 Jahre

Für nachweislich geringes Risiko sieht Art. 33 Abs. 1 AML VO vereinfachte Sorgfaltsmaßnahmen vor – darunter ausdrücklich:

  • „Vergrößerung der Abstände, in denen die Kundenidentität erneut zu überprüfen ist" (Art. 33 Abs. 1 lit. b AML VO)

  • „Vergrößerung der Abstände, in denen die Transaktionen des Kunden überprüft werden, oder Verringerung des Umfangs dieser Überprüfungen" (Art. 33 Abs. 1 lit. d AML VO)

Wichtig: Diese Vergrößerung der Abstände bewegt sich innerhalb der 5-Jahres-Höchstfrist nach Art. 26 Abs. 2 lit. b AMLR – sie hebelt sie nicht aus. Die volle Aktualisierung der Kundeninformationen muss also auch bei Low-Risk-Kunden spätestens nach fünf Jahren erfolgen. Die genaue Kontur dürfte die AMLA in den Leitlinien zu Art. 26 sowie in den Technischen Regulierungsstands („RTS“) zu Art. 28 AML VO (Sorgfaltspflichten) konkretisieren.

Manzey wies zudem darauf hin, dass die Hochrisiko-Gruppe in der Praxis spürbar wachsen dürfte: Der Begriff der politisch exponierten Person erfasst künftig u.a. Bürgermeister kleinerer Kommunen, und Hochrisikoländer-Listen werden erweitert und können sich kurzfristig ändern.

Was Artikel 26 Abs. 1 AMLR neu verlangt

Die kontinuierliche Überwachung wird nicht nur fristmäßig verschärft, sondern auch inhaltlich erweitert. Verpflichtete müssen künftig:

  • produktübergreifend überwachen: „Betreffen Geschäftsbeziehungen mehr als ein Produkt oder mehr als eine Dienstleistung, stellen die Verpflichteten sicher, dass die Sorgfaltsmaßnahmen gegenüber Kunden alle diese Produkte und Dienstleistungen abdecken" (Art. 26 Abs. 1 UAbs. 2 AML VO). Für Leasing/Factoring-Häuser und Zahlungsdienstleister bedeutet das: Kundenverhalten über alle Produkte hinweg in einem Gesamtbild zusammenführen.

  • gruppenweit berücksichtigen: Kunden, die parallel zu anderen Gruppenunternehmen Beziehungen unterhalten, sind unter Berücksichtigung der dortigen Informationen zu überwachen (Art. 26 Abs. 1 UAbs. 3 AML VO). Dabei müssen etwaige datenschutzrechtliche Hürden berücksichtigt und die Informationsweitergabe im Konzern prozessual vorgegeben werden.

  • Sanktionslisten regelmäßig prüfen: Art. 26 Abs. 4 AML VO verpflichtet zur regelmäßigen Überprüfung, ob die Voraussetzungen nach Art. 20 Abs. 1 lit. d AML VO (gezielte finanzielle Sanktionen) noch erfüllt sind. Was bislang vor allem über das AWG und einschlägige EU-Sanktionsverordnungen lief, wird damit ausdrücklich Teil des AML-Pflichtenkreises – und fällt damit in den Verantwortungsbereich des Geldwäschebeauftragten.

Anlassbezogene Aktualisierung bleibt – und wird wichtiger

Über die Höchstfristen hinaus müssen Verpflichtete Kundeninformationen unverzüglich überprüfen, wenn sich maßgebliche Umstände beim Kunden ändern, eine Kontaktpflicht aus anderen Gesetzen besteht oder ein neuer relevanter Sachverhalt bekannt wird (Art. 26 Abs. 3 lit. a–c AML VO). Bei Hochrisikokunden mit komplexer Struktur kann das nach Manzeys Einschätzung dazu führen, dass eine Prüfung mehrfach im Jahr ansteht.

Übergangsregeln: Bestands- und Neukunden

Peters fasste die operativen Übergänge so zusammen:

  • Bestandskunden: Die neuen Höchstfristen greifen ab dem nächsten regulären Aktualisierungszyklus. Wurde der Kunde nach bisherigem Recht aktualisiert, beginnt die Frist (1 bzw. 5 Jahre) ab diesem Stichtag neu zu laufen.

  • Neukunden ab 10. Juli 2027: Die Fristen laufen ab Beginn der Geschäftsbeziehung.

AMLA-Leitlinien folgen bis 10. Juli 2026

Nach Art. 26 Abs. 5 AML VO gibt die AMLA bis zum 10. Juli 2026 Leitlinien zur kontinuierlichen Überwachung heraus. Die Höchstfristen aus Abs. 2 wird die Behörde dabei nicht aufweichen können – sie bewegt sich innerhalb der Verordnung. Verpflichtete sollten den Verlautbarungsstand der AMLA dennoch eng verfolgen, um spätere Prüfungsfeststellungen zu vermeiden.

Datenbasis und IT: faktischer Zwang zu Systemen

Auch wenn die BaFin in den aktuellen Auslegungshinweisen formell auf EDV-Systeme nicht besteht, machten die Referenten klar: Ohne Tooling lassen sich die produktübergreifende Sicht, gruppenweite Datenflüsse, Sanktionslisten-Treffer und kürzere Aktualisierungszyklen praktisch nicht abbilden. Das Stichwort lautet Perpetual KYC (pKYC) – kontinuierliche, ereignisgetriebene Aktualisierung statt periodischer Reviews. Wer noch in Excel-Listen denkt, wird nach Aussage von Manzey „den Überblick verlieren".

Operative Checkliste: Was Sie bis Juli 2027 erledigen sollten

  • Gap-Analyse Artikel 26 AML VO: Aktuelle Aktualisierungspraxis gegen die neuen Höchstfristen (1/5 Jahre) abgleichen.

  • Kundenstamm segmentieren: Erwartete Verschiebung in die Hochrisiko-Gruppe (PEP-Erweiterung, Hochrisikoländer) quantifizieren und Kapazitäten im Geldwäsche-Team kalkulieren.

  • Vereinfachte Sorgfaltspflichten rechtssicher dokumentieren: Wo Sie Art. 33 Abs. 1 lit. b/d AML VO anwendenen, Risikobegründung, Faktoren und Re-Identifikations-/Transaktions-Abstände schriftlich festlegen – Höchstfrist 5 Jahre nach Art. 26 Abs. 2 AML VO bleibt.

  • Produkt- und gruppenübergreifende Datenintegration: Kundendaten über alle Produkte (z.B. Leasing + Factoring, mehrere Zahlungsprodukte) und – soweit zulässig – innerhalb der Gruppe konsolidieren; Datenschutzrechtsgrundlagen sauber dokumentieren.

  • Sanktionslisten-Prozess in das AML-Framework einbinden: Verantwortung beim Geldwäschebeauftragten verankern, Frequenz festlegen, Treffer-Workflow definieren.

  • Tooling/pKYC evaluieren: Auf automatisierte Datenfeeds (Handelsregister, PEP-/Sanktionslisten, adverse media) und ereignisgetriebene Reviews umstellen.

  • Kontrollplan anpassen: Neue Höchstfristen, Abhilfemaßnahmen-Nachweise (Art. 9 AML VO-Pflicht zur Mängelbehebung) und Sanktionsumgehungs-Prüfung in den Jahresplan aufnehmen.

  • Risikoanalyse aktualisieren: Unternehmensweite Risikoanalyse anlassbezogen bzw. mindestens jährlich und kundenbezogene Risikobewertungen innerhalb der genannten Zeiträume anpassen, sobald neue Risiken auftauchen.

Fazit

Artikel 26 EU-AML VO ist mehr als eine Fristverkürzung. Er erzwingt ein produktübergreifendes, gruppenweites und ereignisgetriebenes Monitoring – inklusive Sanktionslistenpflicht im Kerngeldwäscheprozess. Wer jetzt seine Datenbasis konsolidiert und in pKYC-Tooling investiert, geht der Jahresabschlussprüfung 2027/2028 entspannter entgegen. Wer wartet, läuft in den nächsten Prüfungszyklus mit überzogenen Aktualisierungsfristen – und in eine schwer beherrschbare Workload.

 

Quellen:

Verordnung (EU) 2024/1624 vom 31.05.2024 (AMLR), insb. Art. 20 Abs. 1 lit. d, Art. 26 Abs. 1–5, Art. 33 Abs. 1 lit. b und d, Art. 90 (Geltungsbeginn 10.07.2027) sowie Erwägungsgrund 78. Volltext: [eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202401624](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202401624)

§ 10 Abs. 1 Nr. 5 GwG (kontinuierliche Überwachung „im angemessenen zeitlichen Abstand"): [gesetze-im-internet.de/gwg_2017/__10.html](https://www.gesetze-im-internet.de/gwg_2017/__10.html)

AMLA-Leitlinien zu Art. 26 AMLR (Erlass nach Art. 26 Abs. 5 AMLR bis 10.07.2026 vorgesehen): [amla.europa.eu/publications-and-data](https://www.amla.europa.eu/publications-and-data)

Webinar Kerberos Compliance, „Continuous Monitoring nach Artikel 26 EU-AMLR" mit Thomas Manzey (Head of AML Compliance – Financial & Payment Services) und Florian Peters (Head of AML Compliance – Investment Industries & Capital Markets), 06.05.2026

Sie haben Fragen zur Umsetzung oder benötigen externe Unterstützung beim Aufbau Ihres pKYC-Prozesses? Sprechen Sie uns an.

Empfohlen
Thomas Manzey
Thomas Manzey

Thomas Manzey
Head of AML Compliance - Financial & Payment Services

Florian Peters, LL.M.
Florian Peters, LL.M.

Florian Peters
Head of AML Compliance

Florian Peters

Senior Manager Compliance

Weiter

AMLA-Guidelines zur Risikoanalyse: Neue Pflichten für alle Verpflichteten