Von Alexander Bender
Mit der EU-Geldwäscheverordnung (AMLR) gelten ab 10. Juli 2027 europaweit einheitliche Vorgaben zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung. Für Banken bedeutet das, ihre Verfahren zur Kundenidentifizierung und die Verwaltung von Kunden- und Geschäftspartnerdaten an die neuen Anforderungen anzupassen. Gefragt sind Lösungen, die regulatorische Vorgaben zuverlässig in bestehende IT-Landschaften integrieren.
Zentrale Geschäftspartner- und KYC-Systeme im Fokus
In vielen Instituten bilden zentrale Geschäftspartner- und KYC-Systeme das Rückgrat der Kundenidentifizierung. Hier werden Stammdaten erfasst, einer Plausibilisierung unterzogen, historisiert und über Schnittstellen an zahlreiche Fachanwendungen weitergegeben.
Mit der AMLR kommen neue fachliche Anforderungen hinzu: Diese werden in der Regel dort umgesetzt, wo die Daten zentral verwaltet werden – etwa durch zusätzliche Felder, neue Validierungen, angepasste Eingabemasken oder Erweiterungen der Schnittstellen. Die angeschlossenen Fachanwendungen können dabei vielfach unverändert weiterarbeiten.
Beispiel UBO: Mehr als ein neues Datenfeld
Eine der wichtigsten Neuerungen der AMLR betrifft die Ermittlung wirtschaftlich Berechtigter (Ultimate Beneficial Owner, UBO): Im Unterschied zu klassischen Stammdatenfeldern geht es hierbei nicht um eine einzelne zusätzliche Information, sondern um die Abbildung einer deutlich komplexeren fachlichen Logik. Künftig müssen Eigentums- und Kontrollstrukturen juristischer Personen nachvollziehbar erfasst, miteinander verknüpft und regelbasiert ausgewertet werden.
Für bestehende KYC- und Geschäftspartneranwendungen bedeutet das weitreichende Anpassungen: Datenmodelle müssen erweitert, Beteiligungsstrukturen und Eigentümerketten abgebildet sowie Prüf- und Berechnungslogiken implementiert werden. Gleichzeitig sind Screening-Prozesse, die Ermittlung wirtschaftlich Berechtigter, Risikoklassifizierungen sowie die laufende Überwachung eng miteinander verzahnt. Fehler bei der UBO-Ermittlung wirken sich deshalb unmittelbar auf alle nachgelagerten Compliance-Prozesse aus.
Besonders umfangreich ist die Migration bestehender Datenbestände: Viele gewachsene Anwendungen bilden komplexe Beteiligungs- und Kontrollstrukturen heute nicht in einer Form ab, die sich für eine regelbasierte UBO-Ermittlung oder den automatisierten Abgleich mit Sanktions- und PEP-Listen eignet. Eine frühzeitige Impact-Analyse schafft Transparenz über den Anpassungsbedarf in Datenmodellen, Geschäftslogik und Schnittstellen und bildet die Grundlage für eine sichere Umsetzung.
Bewährte Anwendungen gezielt weiterentwickeln
Geschäftskritische Anwendungen laufen in vielen Banken seit Jahren stabil auf Host- und Mainframe-Plattformen. Die Einführung der AMLR macht diese Systeme nicht obsolet. Vielmehr gilt es, sie gezielt um die neuen regulatorischen Anforderungen zu erweitern.
Je nach Architektur können Datenbankdefinitionen, zentrale Datenstrukturen, Dialogmasken, Batch-Verarbeitung, Datei- und Nachrichtenformate sowie MQ-, REST- oder weitere Schnittstellen betroffen sein. In PL/I-Anwendungen gehören beispielsweise Copybooks oder JCL-Prozesse dazu. Vergleichbare Abhängigkeiten finden sich ebenso in COBOL-, Java- oder anderen Anwendungslandschaften.
Vor der Umsetzung empfiehlt sich deshalb eine fundierte Impact-Analyse: Sie schafft Transparenz darüber, welche Programme, Datenstrukturen und Schnittstellen angepasst werden müssen und unterstützt eine schrittweise Einführung mit möglichst geringem Risiko für den laufenden Betrieb.

Beispielhafter Projektablauf zur technischen Umsetzung der AMLR-Anforderungen in bestehenden Bank-Systemen
DPS begleitet die technische AMLR-Umsetzung
DPS unterstützt Banken dabei, regulatorische Anforderungen innerhalb bestehender Systemlandschaften umzusetzen. Das Leistungsspektrum reicht von der Analyse der fachlichen Anforderungen über die Konzeption neuer Datenmodelle und Validierungen bis zur Implementierung in zentralen Host- und Mainframe-Systemen ebenso wie in dezentralen und hybriden Anwendungslandschaften.Hinzu kommen die Anpassung bestehender Schnittstellen, technische Dokumentation, Komponenten- und Integrationstests sowie die Begleitung der Produktivsetzung. So können Banken ihre KYC- und Geschäftspartneranwendungen an die neuen Geldwäschevorgaben anpassen und gleichzeitig auf bewährte Kernsysteme aufbauen.
Die Zeit bis zum Inkrafttreten der AMLR sollte für eine frühzeitige Impact-Analyse und Planung genutzt werden. Erfahrung in regulatorischen Projekten sowie fundiertes Host- und Mainframe-Know-how helfen dabei, Anpassungen effizient und mit geringem Risiko umzusetzen.