Die EU-Geldwäscheverordnung (AMLR) tritt im Juli 2027 in Kraft. Für Banken in Liechtenstein und der Schweiz bedeutet das: Bis dahin müssen Prozesse, Systeme und interne Richtlinien an ein neues, europaweit einheitliches Regelwerk angepasst sein. Die Frage, die sich jede Geschäftsleitung stellt, lautet: Wo stehen wir heute, und was fehlt noch?
Die Antwort auf diese Frage liefert eine strukturierte Gap-Analyse. Dieser Artikel beschreibt, wie eine solche Analyse in der Praxis aufgebaut wird, welche Bereiche sie abdecken muss und warum das Ergebnis mehr sein sollte als ein Prüfbericht.
Was eine Gap-Analyse leisten muss
Eine Gap-Analyse im Kontext der AMLR ist kein Compliance-Audit im klassischen Sinn, sie vergleicht den Ist-Zustand der internen AML-Organisation mit den konkreten Anforderungen der Verordnung (EU) 2024/1624. Das Ergebnis ist eine dokumentierte Übersicht, die zeigt, wo die Bank bereits konform ist, wo Anpassungsbedarf besteht und wo grundlegend neue Prozesse oder Strukturen aufgebaut werden müssen.
Der Unterschied zu einem regulären Audit: Eine Gap-Analyse ist vorwärtsgerichtet. Sie misst nicht die Einhaltung bestehender Regeln, sondern die Bereitschaft für kommende Anforderungen. Das macht sie zum Planungsinstrument, nicht zum Kontrollinstrument.
Compliance-Audit: Prüft die Einhaltung bestehender regulatorischer Anforderungen. Rückwärtsgerichtet, stichtagsbezogen.
Gap-Analyse: Vergleicht den Ist-Zustand mit zukünftigen Anforderungen. Vorwärtsgerichtet, massnahmenorientiert. Liefert einen priorisierten Umsetzungsfahrplan.
Die sechs Handlungsfelder einer AMLR Gap-Analyse
Die AMLR berührt nahezu jeden Aspekt der AML-Organisation. Für eine strukturierte Analyse lassen sich die Anforderungen in sechs Handlungsfelder gliedern, die jeweils eigene Fragestellungen mit sich bringen.
1. Kundenidentifikation und Onboarding
Die AMLR definiert über technische Regulierungsstandards (RTS) einen europaweit einheitlichen Mindestdatensatz bei der Kundenidentifikation. Banken müssen prüfen, ob ihre Onboarding-Formulare, Systemmasken und Datenmodelle diesen Mindestdatensatz vollständig abbilden. Typische Lücken: fehlende Felder für Legal Entity Identifier (LEI), unvollständige Erfassung von Staatsangehörigkeiten bei Doppelbürgern, keine strukturierte Erfassung der Herkunft der Vermögenswerte bereits im Onboarding.
Besondere Aufmerksamkeit verdient die eIDAS-Priorisierung: Die AMLR macht eIDAS-konforme elektronische Identifikation zum bevorzugten Standard. Video-Identifikation wird zur Rückfalloption. Banken, die heute ausschliesslich auf Video-Ident setzen, müssen Alternativen evaluieren.
2. Wirtschaftliche Berechtigung (UBO)
Die Anforderungen an die Feststellung und Dokumentation wirtschaftlich Berechtigter werden durch die AMLR präzisiert. Der 25%-Schwellenwert bleibt bestehen, aber die Dokumentationspflichten steigen. Banken müssen nachweisen können, dass sie die Beteiligungsstruktur bis zur natürlichen Person aufgelöst haben. Bei komplexen Strukturen mit Zwischengesellschaften in mehreren Jurisdiktionen reicht ein einfaches Organigramm nicht mehr aus.
Die Gap-Analyse prüft hier: Sind die UBO-Daten aller bestehenden Kundenbeziehungen auf dem Stand, den die AMLR verlangt? Gibt es einen Prozess zur regelmässigen Aktualisierung? Werden Änderungen in der Eigentümerstruktur systematisch erfasst?
3. Risikoklassifizierung
Die AMLR verlangt eine granularere Risikoklassifizierung als die meisten bestehenden nationalen Regelwerke. Die Risikofaktoren sind in der Verordnung detailliert aufgeführt und müssen in der internen Risikobewertung abgebildet sein. Banken, die heute mit drei Risikostufen arbeiten (niedrig, mittel, hoch), müssen prüfen, ob diese Granularität den AMLR-Anforderungen genügt.
Die Gap-Analyse erfasst: Welche Risikofaktoren werden heute berücksichtigt? Welche fehlen? Ist die Methodik dokumentiert und nachvollziehbar? Werden geographische Risiken anhand aktueller FATF- und EU-Hochrisikoländerlisten bewertet?
4. Laufende Überwachung und periodische Reviews
Hier liegt erfahrungsgemäss der grösste Handlungsbedarf. Die AMLR legt erstmals europaweit verbindliche Review-Intervalle fest: jährlich bei hohem Risiko, alle fünf Jahre bei niedrigem und mittlerem Risiko. Die Gap-Analyse muss klären, wie viele Kunden in welche Risikoklasse fallen, wann sie zuletzt gereviewt wurden und ob die Bank die vorgeschriebenen Intervalle mit den bestehenden Ressourcen einhalten kann.
In der Praxis zeigt sich häufig: Die Bank hat Review-Prozesse, aber keine verlässliche Übersicht darüber, welche Kunden wann fällig sind. Oder die Reviews werden zwar durchgeführt, aber die Dokumentation reicht nicht aus, um gegenüber der Aufsicht nachzuweisen, dass alle relevanten Punkte geprüft wurden.
5. Screening und Monitoring
PEP-Screening, Sanktions-Screening und Transaktionsmonitoring sind unter der AMLR keine optionalen Komponenten, sondern explizit vorgeschrieben. Die Gap-Analyse prüft die Qualität und Aktualität der eingesetzten Systeme: Wie oft werden Sanktionslisten aktualisiert? Werden alle relevanten Listen abgedeckt (EU, OFAC, UN, nationale Listen)? Gibt es einen dokumentierten Prozess für den Umgang mit Treffern? Werden PEP-Screenings bei jedem Review wiederholt?
Beim Transaktionsmonitoring ist die zentrale Frage, ob die vorhandenen Regeln und Schwellenwerte den Risikoprofilen der Kunden entsprechen. Pauschale Schwellenwerte, die für alle Kunden gleich gelten, genügen unter der AMLR nicht. Das Monitoring muss risikobasiert kalibriert sein.
6. Governance und interne Organisation
Die AMLR stellt erhöhte Anforderungen an die AML-Governance. Der Compliance-Verantwortliche muss über ausreichende Ressourcen, direkten Zugang zur Geschäftsleitung und eine dokumentierte Berichtslinie verfügen. Die Gap-Analyse prüft: Ist die interne AML-Organisation so aufgestellt, dass sie den Anforderungen der AMLR standhält? Gibt es ein internes Kontrollsystem (IKS) mit dokumentierten Kontrollhandlungen? Sind Schulungsprogramme vorhanden und werden sie regelmässig durchgeführt?
Besonders relevant für kleinere Banken und Finanzintermediäre: Die AMLR verlangt, dass die AML-Funktion unabhängig von den Geschäftsbereichen agieren kann. In Häusern, in denen der Compliance Officer gleichzeitig operativ tätig ist, kann das eine organisatorische Herausforderung darstellen.
Von der Analyse zum Umsetzungsfahrplan
Die Gap-Analyse ist kein Selbstzweck. Ihr Wert liegt im Ergebnis: einem priorisierten Massnahmenplan, der die identifizierten Lücken nach Dringlichkeit und Aufwand ordnet. Dieser Fahrplan sollte drei Dimensionen berücksichtigen.
Erstens die regulatorische Dringlichkeit: Welche Lücken betreffen Kernpflichten, die ab Juli 2027 unmittelbar gelten? Zweitens den Umsetzungsaufwand: Welche Massnahmen erfordern Systemanpassungen, welche lassen sich durch Prozessänderungen oder Schulungen lösen? Drittens die Abhängigkeiten: Welche Massnahmen können parallel umgesetzt werden, welche bauen aufeinander auf?
Ein realistischer Fahrplan berücksichtigt auch die verfügbaren Ressourcen. Viele Banken werden die Umsetzung nicht ausschliesslich mit internen Kapazitäten stemmen können, insbesondere wenn gleichzeitig das Tagesgeschäft weiterlaufen muss. Die Gap-Analyse sollte deshalb auch eine Einschätzung enthalten, wo externe Unterstützung sinnvoll ist.
Typische Befunde aus der Praxis
Aus unserer Beratungspraxis lassen sich wiederkehrende Muster identifizieren, die in fast jeder Gap-Analyse auftauchen:
- Review-Rückstände: Die häufigste Lücke. Bestehende Kundenbeziehungen wurden seit Jahren nicht systematisch überprüft. Der Aufwand, diese Rückstände vor Juli 2027 abzuarbeiten, wird regelmässig unterschätzt.
- Fragmentierte Dokumentation: KYC-Daten liegen in verschiedenen Systemen, Ordnern und E-Mail-Postfächern. Eine konsolidierte Sicht pro Kunde fehlt. Die AMLR verlangt jedoch eine nachvollziehbare, zusammenhängende Dokumentation.
- Screening ohne Prozess: Screenings werden durchgeführt, aber es fehlt ein dokumentierter Workflow für die Bewertung von Treffern. Wer entscheidet, ob ein Treffer relevant ist? Wie wird die Entscheidung dokumentiert? Wer eskaliert bei Unsicherheit?
- Risikoklassifizierung als Einmalakt: Die Risikobewertung erfolgt bei Onboarding, wird danach aber nicht systematisch aktualisiert. Änderungen im Kundenprofil, neue geographische Risiken oder veränderte Transaktionsmuster fliessen nicht in die Bewertung ein.
Zeitrahmen und Ressourcen
Eine Gap-Analyse für eine mittelgrosse Bank dauert in der Regel vier bis acht Wochen. Davon entfallen zwei bis drei Wochen auf die Erhebung (Dokumentenanalyse, Interviews mit Fachbereichen, Systemprüfungen), eine bis zwei Wochen auf die Bewertung und Priorisierung, und eine bis zwei Wochen auf die Erstellung des Massnahmenplans. Die effektive Dauer hängt von der Komplexität der Bankorganisation, der Anzahl der Geschäftsbereiche und der Verfügbarkeit der internen Ansprechpartner ab.
Entscheidend ist der Zeitpunkt: Wer heute mit der Analyse beginnt, hat noch ausreichend Vorlauf für die Umsetzung. Wer bis Ende 2026 wartet, wird unter starkem Zeitdruck arbeiten, insbesondere wenn Systemanpassungen nötig sind, die eigene IT-Projekte erfordern.
Wo steht Ihre Bank heute?
SilverSeed führt strukturierte AMLA 2027 Gap-Analysen für Banken und Finanzintermediäre in Liechtenstein und der Schweiz durch. In einem ersten Gespräch klären wir den Scope und den realistischen Zeitrahmen für Ihre Organisation.
Fazit
Eine Gap-Analyse ist der erste konkrete Schritt in der AMLR-Vorbereitung. Sie schafft Transparenz über den tatsächlichen Handlungsbedarf, verhindert Fehlallokation von Ressourcen und liefert der Geschäftsleitung die Entscheidungsgrundlage für die Umsetzungsplanung. Banken, die diesen Schritt jetzt gehen, verschaffen sich den Spielraum, den eine sorgfältige Umsetzung braucht.