AMLR definiert die Risikoanalyse neu: Pflichtübung war gestern – Warum die Aufsicht neu denkt

Geldwäsche- und Terrorismusfinanzierungsprävention ist längst kein „Nebenkriegsschauplatz“ mehr. Die BaFin hebt „Risiken aus unzureichender Prävention von Geldwäsche und Terrorismusfinanzierung“ explizit als Fokusrisiko für 2026 hervor.  Zugleich beschreibt die BaFin eine dynamische, komplexer werdende Risikolage, unter anderem getrieben durch geopolitische Spannungen sowie durch die zunehmende Fragmentierung des Zahlungsverkehrs und den Ausbau des Kryptogeschäfts.

Das passt zu einem größeren Bild auf EU-Ebene: Mit dem EU-AML-Paket (u.a. AMLR als direkt geltender Pflichtenrahmen und AMLA als neue EU-Behörde) verschiebt sich die Erwartungshaltung spürbar – auch in Bezug auf die Risikoanalyse. Dabei folgt ein weg vom jährlichen Bericht, hin zu einer dauerhaft betreibbaren, nachvollziehbaren Risikosteuerung.

Diese Blogserie folgt dabei einem klaren roten Faden: Problem verstehen → Realität erkennen → Lösung sehen. Heute starten wir mit der Grundlogik: Warum denkt die Aufsicht Risikoanalysen strukturell neu?

Der bisherige Zustand ist nicht mehr tragfähig: „Dokumentationsübung“ statt Steuerungsinstrument

Viele Risikoanalysen waren historisch stichtagsbezogen, periodisch (oft jährlich) und stark durch nationale Auslegungen geprägt – mit hohen Interpretationsspielräumen und entsprechend begrenzter Vergleichbarkeit. Das Problem daran: Wenn Risikoanalyse primär als Bericht verstanden wird, liefert sie der Aufsicht und dem Management nur eingeschränkt belastbare, konsistente Entscheidungsgrundlagen.

Genau hier setzt die Systemlogik der AMLR an: nicht „mehr Regulierung um der Regulierung willen“, sondern eine Antwort auf strukturelle Ineffizienzen bestehender Risikoanalysen.

Was die Aufsicht eigentlich will: Vergleichbarkeit, Steuerungsfähigkeit, Wirksamkeit

Die Kernrichtung lässt sich so zusammenfassen:

• EU‑weite Vergleichbarkeit („Single Rulebook“): gleiche Maßstäbe, weniger Einzelfallinterpretation.
• Effizientere Aufsicht: Fokus dort, wo reale Risikotreiber sichtbar werden.
• Wirksamkeit statt Papier: Risiko, Kontrollen/Maßnahmen und Ergebnisse müssen logisch verknüpft sein.

Das führt zu einer klaren Verschiebung: von „Bericht erstellen“ zu „System betreiben“, von „Stichtag“ zu „kontinuierlicher Aktualität“ und von „Beschreibung“ zu „quantifizierbarer, nachvollziehbarer Bewertung“. Der Takeaway aus Aufsichtssicht ist entsprechend hart formuliert: Die Risikoanalyse ist kein Dokument mehr, sondern ein laufendes, prüfbares System.

AMLR konkret: Erst Risiko bewerten – dann Maßnahmen begründen (und beides aktuell halten)

Vor der Festlegung risikoangemessener Maßnahmen (Strategien, Verfahren, Kontrollen) muss eine unternehmensweite Risikobewertung stehen. Diese Sequenz ist die Grundlage dafür, dass Kontrollen später überhaupt angemessen begründet werden können.

Die AMLR verankert diesen Gedanken in einer unternehmensweiten Risikobewertung: Art. 10 verlangt, dass Verpflichtete die Risiken von Geldwäsche und Terrorismusfinanzierung sowie die Risiken der Nichtumsetzung/Umgehung gezielter finanzieller Sanktionen identifizieren und bewerten. Zusätzlich muss die Risikobewertung dokumentiert, aktuell gehalten und regelmäßig überprüft werden; sie ist der Aufsicht auf Anfrage bereitzustellen.

Spannend (und oft unterschätzt): Art. 10 nennt explizit, dass mindestens

• Risikovariablen (Anhang I) sowie Risikofaktoren (Anhänge II und III) zu berücksichtigen sind,
• und dass unter anderem Erkenntnisse aus EU‑/nationalen Risikoanalysen sowie relevante Veröffentlichungen (u. a. auf EU‑Ebene) einzubeziehen sind.

Das ist ein wesentlicher Hebel für Standardisierung und Vergleichbarkeit: nicht über „schönere PDFs“, sondern über konsistente Risikotreiber, Datenquellen und Bewertungslogik.

Entwurf der AMLA zur Beurteilung des inhärenten und Restrisikoprofils

In ihrem Entwurf zur Beurteilung und Bewertung der Risiken weist die AMLA unter dem Punkt 2.2.2 darauf hin, dass erwartet wird, dass die inhärenten Risikowerte automatisch berechnet werden. Die bisherige Herangehensweise, Bruttorisiken in Form einer Expertenschätzung zu bewerten, gehört der Vergangenheit an.

Wie die Aufsicht die Risikoanalyse künftig strukturiert (RTS unter AMLD6)

Die Vergleichbarkeit entsteht nicht nur „durch mehr Daten“, sondern durch ein harmonisiertes Bewertungsraster, das die Aufseher EU‑weit anwenden sollen – zunächst für den Finanzsektor (phased approach). Die Draft RTS unter Art. 40(2) AMLD6 sehen dafür einen Drei‑Schritt‑Ansatz vor: Inhärentes Risiko → Qualität der Kontrollen → Residualrisiko.

• Das inhärente Risiko (Bruttorisiko) wird entlang von Risikofaktoren strukturiert, insbesondere bezogen auf Kunden, Produkte/Services/Transaktionen, Vertriebskanäle und Geografien.
• Die Qualität der AML/CFT‑Kontrollen wird gesondert bewertet.
• Das Residualrisiko (Nettorisiko)  bildet das verbleibende Risiko ab, nachdem die Qualität der Kontrollen berücksichtigt wurde – und soll die risikobasierte Aufsichtsplanung unterstützen.

Auch die Frequenz wird konkreter: Risikoprofile sollen mindestens jährlich überprüft werden; für sehr kleine bzw. sehr niedrig riskante Konstellationen kann ein Drei‑Jahres‑Zyklus ausreichen, ergänzt um Ad‑hoc‑Assessments bei wesentlichen Änderungen (z. B. Geschäftsmodell/Ownership) oder bei neuen Informationen bzw. Kontrollversagen.

Warum das betriebswirtschaftlich Sinn ergibt (und nicht nur regulatorisch)

Die ökonomische Logik dahinter ist nachvollziehbar: Wenn Risiken, Kontrollen und Resultate konsistent zusammenhängen, kann Aufsicht Ressourcen gezielter einsetzen – und Institute können die Risikoanalyse endlich als Steuerungsinstrument nutzen (Priorisierung, Budget, Maßnahmenwirksamkeit), statt als jährliches Großprojekt.

Gleichzeitig steigt der Druck aus dem Umfeld: Die EBA weist in ihrer (aktuellen) Opinion zu ML/TF‑Risiken unter anderem auf wachsende Risiken im Kontext von Innovation (FinTech), schwache Umsetzung von RegTech‑Potenzialen und steigenden Druck durch Sanktionsthemen hin. Das zahlt direkt auf die Erwartung ein, dass Risikoanalysen dynamischer und besser operationalisierbar werden müssen.

Ausblick: AMLA, Leitlinien und die Brücke aus bestehenden EBA‑Standards

Seit 1. Januar 2026 liegt die EU‑AML/CFT‑Rulebook‑Verantwortung auf EU‑Ebene bei der AMLA; bestehende EBA‑Guidelines bleiben zunächst gültig, bis sie durch AMLA‑Instrumente ersetzt werden.

Parallel zeigt die AMLA‑Übersicht zu „Regulatory Instruments“, dass an verschiedenen RTS/ITS‑Paketen gearbeitet wird (u. a. zur Bewertung inhärenter/residualer Risikoprofile).

Und: Für 10. Juli 2026 sind EU‑weit weitere Level‑3‑Konkretisierungen (Guidelines) zur Risikobewertung und Governance‑Elementen eingeplant. Das deckt sich mit der Erwartung aus der Praxis‑Einordnung, dass EBA‑Leitlinien als Basis für neue Standards dienen könnten.