Die Messlatte steigt: Aufsichtliche Erwartungen an die Qualität von AML und KYC

Wie sieht „gutes“ AML und KYC im Jahr 2026 und darüber hinaus aus?

In unserem neuesten Experten-Webinar gab Arend Koper, Senior Supervisor für Financial Economic Crime bei der niederländischen Zentralbank (DNB), einen klaren Einblick in die Richtung, in die sich die aufsichtlichen Erwartungen entwickeln. Die zentrale Botschaft zog sich durch die gesamte Session: Wirksamkeit, Proportionalität und Nachvollziehbarkeit werden zu den entscheidenden Maßstäben in der aufsichtlichen Bewertung.

Im Folgenden fassen wir die wichtigsten Erkenntnisse zusammen und stellen die Ergebnisse unserer Live-Umfragen vor.

Der Compliance-Balanceakt: Wirksamkeit, Proportionalität, Fairness

Aufsichtsbehörden erwarten zunehmend, dass Institute eine sorgfältige Balance finden zwischen:

• wirksamer Bekämpfung von Geldwäsche- und Terrorismusfinanzierungsrisiken
  
  
• proportionaler Ressourcenallokation auf Basis der wesentlichen Risiken
  
  
• Vermeidung unbeabsichtigter Folgen wie De-Risking, finanzieller Ausgrenzung und Diskriminierung

In den Niederlanden haben strenge Durchsetzungsmaßnahmen und hohe Vergleichszahlungen den Compliance-Druck erheblich erhöht. Viele Institute haben daraufhin ihre Onboarding-Richtlinien verschärft, sich aus risikoreicheren Segmenten zurückgezogen oder zusätzliche Kontrollen eingeführt. Das ist nachvollziehbar – führt jedoch zu Nebenwirkungen, die Aufsichtsbehörden inzwischen genauer prüfen.

Live-Umfrage: Unbeabsichtigte Folgen sind weit verbreitet

Wir haben die Teilnehmenden gefragt:

„Begegnen Ihnen in Ihrer täglichen Compliance-Praxis unbeabsichtigte Folgen von Geldwäschevorschriften?“

Ergebnisse:

• 37 %: Ja, aber selten
• 14 %: Ja, häufig
• 37 %: Nein, aber ich kenne Beispiele für De-Risking, finanzielle Ausgrenzung oder Diskriminierung
• 11 %: Nein, nie

Fast 90 % erleben solche Effekte selbst oder kennen konkrete Beispiele.

Das bestätigt die Wahrnehmung der Aufsicht: Risikobasierte Rahmenwerke können, wenn sie zu starr oder defensiv angewendet werden, zu De-Risking, übermäßig konservativen Risikoklassifizierungen und sogar zu wahrgenommener Diskriminierung führen.

Warum „risikobasiert“ oft zu „risikoavers“ wird

Arend Koper benannte mehrere wiederkehrende Beobachtungen aus der Aufsichtspraxis:

Verfahrenssicherheit statt professionellem Ermessen

Analysten orientieren sich stark an Arbeitsanweisungen und Checklisten, wodurch kontextbezogene Entscheidungen erschwert werden.

Feedback-Schleifen mit Risikoverzerrung

Interne Qualitätskontrollen und aufsichtliche Prüfungen fokussieren häufig auf Fälle, in denen Risiken unterschätzt wurden. Dies kann ungewollt zu einer systematischen Überklassifizierung als „High Risk“ führen.

Automatische Eskalation durch Risikoindikatoren

Veröffentlichte Risikoindikatoren, die starr in automatisierte Scoring-Modelle integriert werden, können Kontext und Proportionalität überlagern.

Kompetenzlücken in großen Remediation-Projekten

In Teams mit vielen Junior-Mitarbeitenden fehlt teilweise die Erfahrung, um komplexe Fälle differenziert und risikobasiert zu beurteilen.

Die Aufsicht erwartet keine Perfektion – sondern belastbare Nachweise dafür, dass Institute ihre Risiken verstehen und ihre Ressourcen entsprechend priorisieren.

Live-Umfrage: Aktive Minderung von Diskriminierungsrisiken

Anschließend fragten wir:

„Mindert Ihr Unternehmen aktiv das Risiko, Kundinnen und Kunden zu diskriminieren?“

Ergebnisse:

• 16 %: Ja, das Thema ist wichtig und wir mindern das Risiko aktiv
• 32 %: Ja, aber es besteht Verbesserungsbedarf
• 20 %: Nein, aber wir diskutieren diese Risiken informell
• 32 %: Nein, wir sehen keinen (oder keinen unmittelbaren) Handlungsbedarf
  
  

Nur ein kleiner Teil verfügt über einen strukturierten und aktiven Minderungsrahmen.

Diese Lücke zwischen Problembewusstsein und formaler Umsetzung ist erheblich. Aufsichtsbehörden erwarten zunehmend, dass Institute:

• Diskriminierungsrisiken klar definieren
• Verantwortlichkeiten festlegen
• Feedback-Mechanismen implementieren
• Diskriminierungsrisiken in ihre Compliance-Governance integrieren

Weitere Einordnung zu regulatorischen Erwartungen und Nachvollziehbarkeit in AML-Rahmenwerken bietet der Sinpex-Beitrag EU-AML-Paket 2025: Ein Weckruf für europäische Compliance.

Die ML/TF-Risikoanalyse muss das Rahmenwerk steuern

Eine der klarsten aufsichtlichen Erwartungen: Die Risikoanalyse muss ein echtes Steuerungsinstrument sein.

Sie sollte:

• wesentliche Risiken identifizieren und priorisieren
• die Ressourcenallokation lenken
• in Monitoring und Management-Reporting einfließen
• datenbasiert sein und nicht nur auf Einschätzungen beruhen

Viele Institute erstellen jährliche Risikoanalysen als formale Pflichtübung. Die Aufsicht erwartet jedoch ein lebendiges Dokument, das die operative Realität prägt.

Dazu gehören:

• risikobasierte Stichprobenprüfung von Hochrisikofällen
• anlassbezogene Überprüfungen bei relevanten Risikotriggers
• aussagekräftige Managementinformationen zur Wirksamkeit von Tools
• kontinuierliche Feedback- und Verbesserungsprozesse
  
  

Wie Technologie dabei helfen kann, Risikopolitiken zu digitalisieren und operativ umzusetzen, zeigt die Sinpex-Ressource Digitalisieren Sie Ihre AML-Risk-Policy: Automatisierte KYC/KYB-Risikobewertungen.

Einen Überblick über Lösungen zur Automatisierung von AML-, KYC- und KYB-Prozessen finden Sie in der Sinpex-Produktübersicht.

Live-Umfrage: Vorbereitung auf das EU-AML-Paket

Wir fragten außerdem:

„Hat Ihr Unternehmen bereits mit der Vorbereitung auf das EU-AML-Paket begonnen?“

Ergebnisse:

• 20 %: Ja, mit umfassender Gap-Analyse und aktiver Einbindung
• 45 %: Ja, aber bislang nur mit einer kleineren Gap-Analyse
• 20 %: Nein, aber wir starten vor Inkrafttreten
• 15 %: Nein, wir befassen uns erst damit, wenn es anwendbar wird
  
  

Die Mehrheit hat mit Vorbereitungen begonnen, befindet sich jedoch vielfach noch in einem frühen Stadium.

Angesichts der operativen Auswirkungen der AML-Verordnung, von AMLA und der technischen Regulierungsstandards sollte die Vorbereitung nicht auf dem Papier bleiben. Datenanforderungen, Governance-Anpassungen und erweiterte Sorgfaltspflichten erfordern eine strukturierte Umsetzungsplanung.

Konkrete Hilfestellung bietet die Compliance Checklist für das EU AML Package von Sinpex.

Nachvollziehbarkeit wird zur Pflicht

Ein Thema zog sich durch alle Bereiche: Nachvollziehbarkeit.

Institute müssen klar erklären können:

• warum Kunden als niedrig oder hoch riskant eingestuft werden
• warum bestimmte Kontrollen angewendet werden
• warum Ressourcen in bestimmter Weise eingesetzt werden
• wie Modelle und Tools zu ihren Ergebnissen kommen
• wie Wirksamkeit gemessen wird
  
  

KI und Automatisierung sind willkommen – jedoch nur, wenn Wirksamkeit und Transparenz nachgewiesen werden können. „Black-Box-Compliance“ wird den aufsichtlichen Anforderungen ab 2026 voraussichtlich nicht mehr genügen.

Das häufigste Missverständnis zur AML-Wirksamkeit

Auf die Frage, welches Missverständnis Institute weiterhin haben, war die Antwort eindeutig:

Viele konzentrieren sich auf Projektmeilensteine und Dokumentation und versäumen zu prüfen, ob das Rahmenwerk im Alltag tatsächlich funktioniert.

Die Aufsicht blickt zunehmend hinter die Dokumentation und bewertet, ob:

• Analysten über die erforderliche Expertise verfügen
• Hochrisikofälle proportional behandelt werden
• Kontrollen sinnvolle Ergebnisse liefern
• Governance echte Steuerung ermöglicht
  
  

Kurz gesagt: AML-Qualität wird an Ergebnissen gemessen, nicht an Papier.

Fazit

Die Richtung ist klar:

• Mehr Fokus auf die wesentlichen Risiken
• Proportional und nachvollziehbar handeln
• Unbeabsichtigte Folgen aktiv überwachen
• Erklärbare und prüfbare Rahmenwerke aufbauen
• Frühzeitig auf AMLA und das EU-AML-Paket vorbereiten
  
  

Ein herzlicher Dank nochmals an Arend Koper für die offenen und praxisnahen Einblicke aus aufsichtlicher Perspektive.

Wenn Sie erfahren möchten, wie Ihr Unternehmen die AML-/KYC-Qualität stärken, Risiken gezielter priorisieren oder sich auf kommende regulatorische Änderungen vorbereiten kann, schreiben Sie uns gerne an. 

‍