Wie verändern die neuen EBA-RTS die Kundensorgfaltspflichten?

Die neuen EBA-RTS konkretisieren CDD-Pflichten und erhöhen den Anpassungsbedarf bei KYC, PEP-Screening und Monitoring für Finanzinstitute.

Überblick:

• Neue EU-AML-Regulierung, AMLA und EBA-RTS schaffen einen einheitlichen Rahmen und schärfen Vorgaben zu Kundensorgfaltspflichten und Risikobewertung.
• RTS präzisieren CDD: zusätzliche Identifizierungsdaten, strengere Vorgaben zu UBO, PEP, Sanktionen sowie kürzere Fristen für KYC-Updates.
• Kreditinstitute und Versicherungen müssen Prozesse, Governance und IT anpassen; frühzeitige Projekte und Ressourcenplanung sind für die Umsetzung zentral.

Die Europäische Union (EU) treibt den Aufbau eines einheitlichen europäischen Rahmens zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung weiter voran. Mit der Richtlinie (EU) 2024/1640, der Verordnung (EU) 2024/1624 und der neuen Anti-Geldwäsche-Behörde (AMLA) hat sie ein einheitliches Aufsichtssystem zur Bekämpfung grenzüberschreitender Risiken geschaffen. Die Europäische Bankenaufsichtsbehörde (EBA) berät zu sechs regulatorischen Standards, die von der AMLA übernommen werden. Zwischen März und Juni 2025 hat die EBA darüber hinaus eine Konsultation für Entwürfe von vier technischen Regulierungsstandards (RTS) durchgeführt. Das Ergebnis des Konsultationsprozesses hat sie nun vorgelegt, Entschlussvorlagen für die RTS an die Europäische Kommission übermittelt und ihre Begründungen für einzelne Anpassungen veröffentlicht.

Fokus der RTS: Konkretisierung der Kundensorgfaltspflichten

Die RTS, die von der EBA entwickelt werden, sind verbindliche Vorgaben, die die praktische Umsetzung dieser Richtlinien konkretisieren. Die Ende Oktober veröffentlichten RTS beziehen sich dabei auf folgende Themen:

• Entwurf der RTS gemäß Artikel 28 Absatz 1 der Verordnung (EU) 2024/1624 über die Sorgfaltspflichten gegenüber Kunden (CDD)
• Entwurf der RTS nach Artikel 53 Absatz 10 der Richtlinie (EU) 2024/1640 über Geldstrafen, Verwaltungsmaßnahmen und Zwangsgelder
• Entwurf der RTS zur Bewertung des inhärenten Risikos und des Restrisikoprofils der Verpflichteten nach Artikel 40 Absatz 2 der Richtlinie (EU) 2024/1640
• Entwurf der RTS zur Risikobewertung zum Zwecke der Auswahl der Kreditinstitute, Finanzinstitute und Kredit- und Finanzinstitute für die direkte Beaufsichtigung gemäß Artikel 12 Absatz 7 der Verordnung (EU) 2024/1620

Wir haben im Rahmen des EY-AMLA-Kompetenzzentrums die neuen RTS in vier Schritten ausführlich analysiert und fassen die Ergebnisse hier zusammen. Für eine ausführliche Gegenüberstellung der regulatorischen Vorgaben und eine Darstellung der erforderlichen Handlungen verweisen wir auf unsere Analyse 

Ein besonderer Schwerpunkt unserer Analysen lag auf dem Bereich der Sorgfaltspflichten gegenüber Kunden oder auch Customer Due Diligence (CDD). Die RTS enthalten detaillierte Vorgaben zur Identifizierung und Überprüfung von Kunden, zur Dokumentation wirtschaftlich Berechtigter (UBO) sowie zu risikobasierten Anpassungen im Rahmen der laufenden Kundenüberwachung. Diese Anforderungen sind entscheidend für die operative Umsetzung der neuen EU-Anti-Geldwäsche-Architektur und sollen nicht nur die Transparenz und Vergleichbarkeit erhöhen, sondern auch die Effizienz der Aufsicht verbessern und die Compliance-Anforderungen für Verpflichtete klarer strukturieren.

1. Vergleich der RTS-Entwürfe zur CDD (März 2025 vs. Oktober 2025)

Wir haben die Aktualisierungen der RTS für die Kundensorgfaltspflichten zwischen März und Oktober 2025 verglichen. Besonderes Augenmerk galt dabei den Neuerungen im Bereich Sorgfaltspflichten gegenüber Kunden/CDD, da hier die Anforderungen an Identifizierung, Überwachung und Dokumentation von Kunden sowie die risikobasierte Steuerung maßgeblich präzisiert wurden.

Ein Vergleich zwischen der im März 2025 veröffentlichten Version der RTS mit der überarbeiteten Fassung vom Oktober 2025 ergibt wesentliche Änderungen in folgenden Bereichen:

• Einführung eines risikobasierten Ansatzes für die Informationsbeschaffung und Maßnahmen zur Durchführung der Kundensorgfaltspflichten
• Erweiterung des Personenkreises:  nicht nur für Kunden, sondern auch für Personen, die im Namen des Kunden handeln, gültig
• Erhebung aller im Ausweisdokument aufgeführten Namen; Mindestanforderung: Erfassung des Geburtslandes
• Pflicht zur Erfassung aller Staatsangehörigkeiten, inklusive Staatenlosigkeit und Schutzstatus
• Lockerung der Anforderungen an gleichwertige Dokumente und alternative Identifizierungsmethoden für schutzbedürftige Gruppen
• Streichung der Verpflichtung zur Überprüfung von Sicherheitsmerkmalen und zur ausdrücklichen Zustimmung bei Fernidentifizierung
• Ergänzung neuer Informationsquellen zur Identitätsprüfung, zum Beispiel virtuelle IBAN und Kreditauskunfteien
• Klarstellung zu Screening und Sorgfaltsprüfung, insbesondere bei politisch exponierten Personen und Sanktionen

2. Abgleich mit deutscher Rechtslage (GwG und BaFin-AuA-AT)

Darüber hinaus haben wir einen Vergleich zwischen dem CDD-Artikel der Oktober-Version mit der aktuellen deutschen Gesetzeslage, insbesondere dem Geldwäschegesetz (GwG) und den allgemeinen Auslegungs- und Anwendungshinweisen der BaFin (AuA AT), die die neuen Anforderungen für Verpflichtete im Finanzsektor verdeutlichen, durchgeführt.

Dabei ergeben sich in folgenden Bereichen wesentliche Änderungen:

• weitere verpflichtende Datenfelder für die Identifizierung von Kunden
• Erfassung des Geburtslandes
• neue Vorgaben zur Identifizierung von wirtschaftlichen Eigentümern
• kürzere Fristen zur Aktualisierung von KYC-Daten
• erweiterte Definition des Begriffs „politisch exponierte Person“ (PEP)
• Screening von Kunden und wirtschaftlichen Eigentümern im Bereich Sanktionen
• Risikobewertung und Monitoring
• digitale Identifizierung
• Dokumentation und Nachvollziehbarkeit

3. Spezifische Auswirkungen auf Kreditinstitute

Speziell für Kreditinstitute  haben wir die neuen Anforderungen analysiert (ein Vergleich zwischen GWG/BaFin-AUA-BT-KI und dem RTS zu Artikel 28 Verordnung (EU) 2024/1624).

Neuerungen und erweiterte regulatorische Anforderungen sind hier vor allem in den folgenden Bereichen zu verzeichnen:

• neue Vorgaben zu Bar-Transaktionen
• Wegfall der Mindestanforderung für die Kundenidentifizierung in Situationen mit geringem Risiko
• spezifische Vorgaben zu verstärkten Sorgfaltspflichten bei grenzüberschreitenden Korrespondenzbankbeziehungen
• neue Vorgaben für Sammelkonten

4. Spezifische Auswirkungen auf Versicherungsunternehmen

Speziell für den Versicherungssektor haben wir die neuen Anforderungen für Versicherungsunternehmen analysiert (ein Vergleich zwischen GWG/BaFin-AUA-BT-VU und dem RTS zu Artikel 28 Verordnung (EU) 2024/1624).

Für Versicherungsunternehmen, die bisher im Rahmen der BaFin-AuA-BT-VU von einer Vielzahl von Erleichterungen hinsichtlich der Umsetzung der Kundensorgfaltspflichten profitierten, bestehen die neuen Anforderungen im Wesentlichen in folgenden Bereichen:

• Wegfall der Vereinfachungen bei der Identifizierung von wirtschaftlich Berechtigten (UBO) im Bereich baV
• Verkürzte Frist zur Aktualisierung von KYC-Daten