Finance Risk and Compliance
Viele Banken betrachten KYC noch immer als regulatorische Pflichtübung. Die neuen
AMLA-Standards machen deutlich, dass dieser Ansatz künftig nicht mehr
ausreicht. Customer Due Diligence entwickelt sich zu einer datengetriebenen
Kernfähigkeit, die Prozesse, Technologie und Governance gleichermaßen betrifft.
Im Rahmen des neuen EU AML-Pakets konsultiert die AMLA derzeit technische Regulierungsstandards zur Customer Due Diligence nach Artikel 28 Absatz 1 der Verordnung EU 2024/1624. Ziel ist eine weitgehend harmonisierte Umsetzung der KYC-Anforderungen in der EU. Finanzinstitute müssen sich auf deutlich konkretere operative Vorgaben einstellen, insbesondere bei Datenerhebung, Risikobewertung, PEP- und Sanktionsprüfungen sowie beim Einsatz automatisierter Systeme.
Für Banken heißt das: mehr Daten, mehr Transparenz und mehr Prozessdisziplin. Die neue Regulatorik erhöht den Druck, bestehende KYC-Architekturen, Datenmodelle und operative Abläufe gezielt weiterzuentwickeln. Wer Customer Due Diligence künftig effizient, prüfungssicher und skalierbar umsetzen will, muss KYC stärker als integriertes Zusammenspiel aus Regulatorik, Datenqualität, Technologie und Governance denken.
Für die zukünftige Umsetzung sind insbesondere folgende Aspekte relevant:
Deutlich detailliertere Datenerhebung bei Kundenaufnahme
Künftig wird viel genauer vorgegeben, welche Kunden- und Unternehmensdaten erhoben werden müssen. Bei natürlichen Personen geht es u. a. um vollständige Namensangaben, Geburtsort, Nationalitäten bzw. Statusangaben und detaillierte Adressdaten. Bei juristischen Personen reichen Basisregisterdaten nicht mehr aus; relevant sind etwa auch Handelsnamen, Geschäftsadressen sowie Angaben zu Nominee-Strukturen. Für Banken heißt das: Onboarding-Formulare, KYC-Datenfelder und Dokumentationsstandards müssen deutlich granularer werden.
Schärfere Anforderungen an UBO-/Kontrollstrukturen und wirtschaftliches Verständnis
Ein zentrales Novum ist der stärkere Fokus auf das Verständnis komplexer Eigentums- und Kontrollstrukturen. Bei mehrschichtigen Strukturen, Non-EU-Bezügen, Nominees oder sonstigen Verschleierungselementen sollen Banken zusätzliche Informationen einholen und die Plausibilität der Struktur risikobasiert verifizieren; genannt werden etwa auch Organigramme. Praktisch ist das vor allem für Corporate- und Private-Banking-Kunden relevant, weil Banken künftig tiefer prüfen müssen, wer tatsächlich kontrolliert und ob die Struktur wirtschaftlich nachvollziehbar ist.
Registerabfrage reicht für Beneficial Ownership nicht mehr aus
Die Entwürfe stellen klar, dass die Abfrage zentraler Register zwar nötig, aber nicht ausreichend ist. Banken sollen zusätzliche Quellen heranziehen und „reasonable measures“ ergreifen, um wirtschaftlich Berechtigte tatsächlich zu verifizieren. Das ist eine wichtige Verschärfung, weil sich Institute nicht mehr auf einen formalen Registercheck zurückziehen können. Gerade bei höheren Risiken oder komplexen Strukturen wird das zu mehr Prüfaufwand, mehr Evidenzanforderungen und mehr Dokumentation führen.
Remote Onboarding wird strenger und technischer reguliert
Für nicht-persönliche Identifizierung gibt es künftig deutlich präzisere Standards. AMLA priorisiert eIDAS-konforme Lösungen; wenn diese nicht genutzt werden, muss das Institut begründen können, warum das nicht möglich oder nicht zumutbar war. Außerdem steigen die Anforderungen an Bildqualität, Integrität der Kommunikation, Aufzeichnung, Nachvollziehbarkeit und Datenschutz. Für Banken ist das hochrelevant, weil viele digitale Onboarding-Strecken angepasst und belastbar gegenüber Aufsicht und Prüfung dokumentiert werden müssen.
PEP- und Sanktions-Screening werden stärker operationalisiert und automatisiert
Die RTS konkretisieren, dass PEP- und Sanktionsprüfungen vor Begründung der Geschäftsbeziehung bzw. vor Transaktionen zu erfolgen haben und laufend mit risikosensitiver Frequenz zu aktualisieren sind. Zudem wird der Einsatz automatisierter Tools faktisch zum Regelfall, außer ein manueller Ansatz ist aufgrund von Größe, Geschäftsmodell oder Komplexität gerechtfertigt. Das bedeutet für Banken: Screening-Setups, Name-Matching, Transliterationen, Trigger-Events und False-Positive-Handling müssen robuster und stärker standardisiert werden.
Die RTS erhöhen nicht nur die regulatorischen Anforderungen. Sie verschieben den Wettbewerbsvorteil im KYC-Bereich. Institute mit integrierten Datenarchitekturen und automatisierten Kontrollmechanismen werden die neuen Anforderungen deutlich effizienter erfüllen als Banken mit historisch gewachsenen, fragmentierten KYC-Prozessen.
Strategische Auswirkungen für Banken
Während die Herausforderung beim Retail Banking vor allem die Skalierung und Automatisierung ist, liegt der Impact im Private Banking klar auf Komplexität, Tiefe der Analyse und dadurch erhöhtem manuellen Aufwand.
Warum das für Banken besonders wichtig ist
Im Kern verschiebt AMLA CDD von einem teilweise national unterschiedlich ausgelegten Rahmen hin zu stärker harmonisierten, technisch konkreten EU-Standards. Für Banken bedeutet das nicht nur „mehr Compliance“, sondern vor allem Umbau in KYC-Prozessen, Datenhaushalt, Remote-Ident, UBO-Analyse, Screening-Architektur und Bestandskunden-Remediation. Die finalen RTS sollen bis 10. Juli 2026 an die Kommission gehen.
Wie Capco helfen kann
Als spezialisierte Technologieberatung mit 100% Fokus auf den Financial Service Bereich, ist Capco der Partner für regulatorische Neueinführungen auf der Prozess- und auch auf der Datenseite. Die Umsetzung von Regulatorik in Prozesse und Systeme ist eine unserer Kernkompetenzen. Wir freuen uns auf einen ersten Austausch für eine resiliente Umsetzung der neuen Anti Financial Crime Anforderungen.