Das dezentrale AML-Paradox, Teil 1: Fragmentierung, Über-Compliance und die Subjektivität von Risiko
Einführung: dezentrale Financial-Crime-Compliance
Der europäische Zahlungsverkehr steht unter doppeltem Druck. Regulatoren verlangen stärkere Kontrollen gegen Geldwäsche und Terrorismusfinanzierung, während digitale Zahlungsvolumen schneller wachsen, als viele Legacy-Compliance-Systeme Schritt halten können. 2023 bewegten sich schätzungsweise 3,1 Billionen US-Dollar an illegalen Geldern durch das globale Finanzsystem. Auf Europa entfielen rund 750,2 Milliarden US-Dollar an grenzüberschreitenden illegalen Finanzströmen und mehr als 103,6 Milliarden US-Dollar an Betrugsverlusten.
Geschätzte illegal bewegte Gelder im globalen Finanzsystem im Jahr 2023.
Geschätzter europäischer Anteil an grenzüberschreitenden illegalen Finanzströmen.
Betrugsverluste im europäischen Financial-Crime-Umfeld.
Ausgewählte Komponenten der europäischen Financial-Crime-Exponierung 2023
Von Nasdaq Verafin für Europa 2023 ausgewiesene Beträge. Quelle: Financial Crime Insights: Europe.
$178.0B geschätzte Aktivität
$103.6B geschätzte Betrugsexponierung
$82.2B geschätzte Aktivität
$2.7B geschätzte Aktivität
Die Antwort darauf war ein enges Netz aus AML/CFT-Pflichten. Diese Kontrollen sind notwendig, erzeugen aber Reibung, wenn sie uneinheitlich umgesetzt werden. Legitime Zahlungen verzögern sich, risikoarme Kunden werden übermäßig geprüft, und Zahlungsunternehmen merken häufig, dass ihr Wachstum vom Risikoappetit von Banken, Aufsehern und internen Compliance-Leitungen abhängt.
Im Kern steht das historisch dezentrale Regulierungsmodell der Europäischen Union. Über Jahre arbeitete die EU mit Richtlinien wie AMLD4, AMLD5 und AMLD6. Diese setzten gemeinsame Ziele, mussten aber von den Mitgliedstaaten in nationales Recht übertragen werden. Daraus entstand ein Flickenteppich aus Regeln, Durchsetzungspraxis und aufsichtsrechtlichen Erwartungen im Binnenmarkt.
Die Folge waren regulatorische Arbitrage, ungleiche Behandlung ähnlicher Risiken und eine hohe operative Last für einzelne Compliance Officers. Der risikobasierte Ansatz sollte AML effizienter machen. In der Praxis verlagert er oft unklare regulatorische Abwägungen auf Personen, die institutionelle und persönliche Konsequenzen tragen, wenn eine Entscheidung später falsch wirkt.
Dieser erste Teil untersucht die Mechanismen hinter dieser Dysfunktion: fragmentierte nationale Anwendung, uneinheitlicher Umgang mit Hochrisikoländern, steigende Kosten, False Positives, Talentmangel, subjektiver Risikoappetit, De-Risking und Enforcement-Fälle, in denen Wachstum schneller war als die Kontrollen.
AML-Kontrollen sind nicht verhandelbar. Die Größenordnung illegaler Finanzströme, Sanktionsumgehung, Betrug, Terrorismusfinanzierung und kriminelle Nutzung von Zahlungssystemen macht Financial-Crime-Compliance unverzichtbar. Das Problem liegt darin, dass der europäische Zahlungssektor jahrelang versucht hat, einen schnellen, grenzüberschreitenden Echtzeitmarkt mit einer Compliance-Architektur zu schützen, die fragmentiert, langsam, national uneinheitlich und stark interpretationsabhängig ist.
Diese Architektur erzeugt Marktinkonsistenzen, die leicht missverstanden werden. Sie erscheinen nicht immer als eindeutige Nicht-Compliance. Häufig zeigen sie sich als widersprüchliche Compliance: Eine Institution beendet eine Kundenbeziehung, die eine andere aufnimmt; ein Aufseher toleriert ein Produktdesign, das ein anderer kritisch sieht; eine Sponsorbank akzeptiert einen KYB-Prozess, während eine andere zusätzliche Dokumentationsschichten verlangt; ein Compliance Officer behandelt einen Zahlungskorridor als steuerbares Risiko, ein anderer als kategorisch inakzeptabel.
Das europäische AML-Problem im Zahlungsverkehr ist rechtlich, technologisch und organisatorisch zugleich. Der gleiche risikobasierte Ansatz, der Flexibilität schafft, gibt Compliance-Teams breite Ermessensspielräume. Wird dieses Ermessen unter dem Risiko von Bußgeldern, Lizenzauflagen, persönlicher Haftung und Reputationsschäden ausgeübt, ist defensives Übererfüllen oft die intern sicherere Wahl.
Das zentrale Paradox: AML-Kontrollen sind essenziell, aber fragmentierte Umsetzung kann notwendige Risikokontrollen in Zahlungsfriktion, Kundenausschluss und subjektive Vetomacht verwandeln.
Ursprung der regulatorischen Fragmentierung
Der europäische Zahlungssektor durchläuft eine tiefgreifende AML-Transformation, weil das ältere dezentrale System keine konsistenten Ergebnisse lieferte. Nationale Umsetzung führte zu Unterschieden bei Customer Due Diligence, Transaktionsmonitoring, Verdachtsmeldungen und aufsichtsrechtlicher Durchsetzung.
In einem vernetzten Zahlungsmarkt steht diese Struktur unter Spannung. Zahlungsinfrastrukturen überschreiten Grenzen in Sekunden, während Compliance-Pflichten an nationale Lizenzen, lokale Aufsichtsauslegung und interne Risikopolitiken gebunden bleiben.
Uneinheitliche nationale Durchsetzung
Überprüfungen der Europäischen Bankenaufsichtsbehörde haben wiederholt gezeigt, dass AML/CFT-Aufsicht in EU- und EWR-Jurisdiktionen unterschiedlich funktioniert. Auch wenn nationale Behörden Strategien und Aufsichtspläne verbessert haben, bleibt die zugrunde liegende Varianz erheblich.
Virtuelle IBANs sind ein gutes Beispiel. Verschiedene zuständige Behörden interpretieren ihre Merkmale, die SEPA-Verordnung und einschlägige ISO-Standards unterschiedlich. Diese Inkonsistenz schafft blinde Flecken, die Täter für Layering und Verschleierung über Jurisdiktionen hinweg nutzen können.
Ähnliches gilt für Krypto-Assets. Regulatoren teilen oft allgemeine Bedenken, aber rechtliche Pflichten, Aufsichtspraxis und institutionelle Umsetzung weichen deutlich voneinander ab. Für grenzüberschreitende Zahlungsanbieter entsteht Unsicherheit: Derselbe Produkt- oder Kundenfluss kann in einem Land akzeptiert und in einem anderen stark eingeschränkt sein.
Zahlungsunternehmen arbeiten nicht in sauber getrennten nationalen Silos. Eine in einem Mitgliedstaat lizenzierte Institution kann Händler, Plattformen, Verbraucher, Banken und Gegenparteien in vielen anderen Märkten bedienen. Ihr Modell kann Safeguarding-Konten, Korrespondenzbeziehungen, Outsourcing-Anbieter, Kartensysteme, SEPA-Rails, virtuelle IBAN-Strukturen, Embedded Finance und Krypto-Exponierung umfassen. Jede Schicht bringt einen weiteren Aufseher, einen weiteren vertraglichen Risikoappetit oder einen weiteren Interpretationsstandard mit sich.
Das alte richtlinienbasierte System erzeugte daher zwei Formen von Fragmentierung. Die erste war formal: unterschiedliche nationale Gesetze, Meldekanäle, Register, Aufsichtstraditionen und Enforcement-Praktiken. Die zweite war informell: private Compliance-Standards von Bankpartnern, Zahlungsnetzwerken, Auditoren, Investoren und Boards. Eine Fintech konnte rechtlich compliant sein und dennoch nicht operieren, weil ihre Sponsorbank strengere interne Maßstäbe anlegte.
Regulatorische Arbitrage war deshalb nicht nur ein Werkzeug schlechter Akteure. Sie wurde auch zur kommerziellen Realität legitimer Unternehmen, die eine Lizenzumgebung, Bankbeziehung und Aufsichtshaltung finden mussten, die ihr Modell überhaupt tragfähig machte. Der Binnenmarkt versprach passfähige Finanzdienstleistungen. In der Praxis machte AML-Umsetzung diesen Pass oft von lokaler Interpretation abhängig.
Hochrisikoländer und lokale Umsetzung
Grenzüberschreitende Zahlungen mit Bezug zu Hochrisikoländern zeigen dieselbe Schwäche. EU-Recht verlangt verstärkte Sorgfaltspflichten, wenn Geschäftsbeziehungen oder Transaktionen Jurisdiktionen mit strategischen AML/CFT-Defiziten betreffen. Die Grundlage ist stark von der FATF-Grauen Liste beeinflusst, während die Europäische Kommission die EU-Hochrisikoliste per delegierten Verordnungen aktualisiert.
So wurden durch delegierte Verordnungen mit Wirkung zum 29. Januar 2026 Bolivien, die Britischen Jungferninseln und die Russische Föderation auf die EU-Hochrisikoliste gesetzt. Burkina Faso, Mali, Mosambik, Nigeria, Südafrika und Tansania wurden nach Fortschritten bei Aktionsplänen entfernt.
| Status der Jurisdiktion | Relevante Länder | Wirksamkeit in der EU | Operative Konsequenz |
|---|---|---|---|
| Neu auf der Hochrisikoliste | Bolivien, Britische Jungferninseln, Russische Föderation | 29. Januar 2026 | Verpflichtende verstärkte Sorgfalt und erhöhtes Monitoring |
| Von der Liste entfernt | Burkina Faso, Mali, Mosambik, Nigeria, Südafrika, Tansania | 29. Januar 2026 | Mögliche Entschärfung, auch wenn institutioneller Risikoappetit konservativ bleiben kann |
| Weiterhin gelistet | Afghanistan, Iran, Syrien, DPRK, Vanuatu, Jemen und andere | Laufend | Maximale Prüfung und mögliches De-Risking |
Bolivien, die Britischen Jungferninseln und die Russische Föderation wurden mit Wirkung zum 29. Januar 2026 hinzugefügt.
Burkina Faso, Mali, Mosambik, Nigeria, Südafrika und Tansania wurden nach Fortschritten bei Aktionsplänen entfernt.
Nach der Aktualisierung im Januar 2026 umfasste die geänderte EU-Hochrisikoliste 26 Jurisdiktionen.
Die Liste ist zentralisiert, ihre praktische Umsetzung aber nicht. "Erhöhte Wachsamkeit" kann für einen in Deutschland lizenzierten Zahlungsabwickler etwas anderes bedeuten als für einen Anbieter in Malta oder Zypern. Eine Firma verlangt mehrere Nachweise zur Herkunft der Gelder, eine andere setzt stärker auf automatisierte Prüfungen. Beide können behaupten, dieselbe Pflicht zu erfüllen.
Das ist der praktische Effekt dezentraler AML-Umsetzung: Ähnliche Risikoszenarien führen zu unterschiedlichen Ergebnissen, abhängig von Lizenzstandort, Bankpartner und Risikokultur der Compliance-Funktion.
Besonders deutlich wird das bei Listenänderungen. Ein neu aufgenommenes Hochrisikoland löst nicht nur eine Policy-Aktualisierung aus. Es kann Onboarding-Fragebögen, Risk-Scoring-Logik, Screening-Regeln, Kundenkommunikation, EDD-Workflows, Case-Management-Queues und Board-Reporting verändern. Bei mehreren Märkten kann jedes lokale Team den Wechsel anders auslegen.
Entlistungen wirken nicht symmetrisch. Ein Land kann formal herabgestuft werden, während viele Institutionen ihre Kontrollen nicht sofort reduzieren. Interne Policy-Trägheit, Erwartungen von Sponsorbanken, historische Erfahrungen oder die Sorge vor späterer regulatorischer Kritik halten strengere Kontrollen oft aufrecht. Theoretisch sollte eine Entlistung Reibung reduzieren. Praktisch bleibt institutionelles Risikogedächtnis oft länger bestehen als der rechtliche Trigger.
Diese Asymmetrie treibt Über-Compliance. Eskalationen sind schnell, weil sie defensiv sind. Deeskalationen sind langsam, weil jemand Risiko akzeptieren muss. In einem fragmentierten Umfeld werden Compliance Officers selten dafür belohnt, legitimen Handel flüssiger zu machen. Sie werden aber hart bewertet, wenn eine spätere Auffälligkeit ihre Entscheidung permissiv aussehen lässt.
Die Kostenlast der Compliance
AML-Compliance ist längst kein Hintergrundkostenblock mehr. Sie beeinflusst Profitabilität, Produktdesign und Marktzugang von Zahlungsunternehmen.
Branchenstudien beziffern die jährlichen Kosten für Financial-Crime-Compliance in Europa, dem Nahen Osten und Afrika auf 85 Milliarden US-Dollar. Fast alle befragten Institute berichteten steigende Kosten, und eine große Mehrheit erklärte Kostensenkung in Compliance zur strategischen Priorität.
Die Treiber sind klar: Regulierung nimmt zu, Legacy-Monitoring-Systeme passen schlecht zu Echtzeit-Zahlungen, und Alert-Volumen wachsen mit Transaktionsvolumen. Rund 78% der EMEA-Firmen berichten, dass Screening-Workloads und Alerts parallel zum Zahlungsvolumen steigen.
Ausgewähltes EU-AML/Krypto-Rechtstextvolumen und KYC-Benchmarks
Kumulierte Seitenzahlen ausgewählter EU-Rechtsakte werden neben KYC-/Onboarding-Benchmarks gezeigt. Die Punkte sind Umfrage- oder Branchenbenchmarks, kein jährlicher EU-Durchschnitt.
Quellen: EUR-Lex-Seitenbereiche der ausgewählten Rechtsakte; Thomson Reuters KYC Survey 2016; The Global Treasurer zu KYC 2017; Fenergo KYC-Trenddaten.
Für Payment Service Provider ist dieser Kostendruck besonders relevant, weil Margen oft volumengetrieben und eng sind. Eine Bank kann Compliance-Kosten über Kreditgeschäft, Einlagen, Wealth Management, Treasury und Corporate Banking verteilen. Ein Zahlungsunternehmen hängt stärker an Transaktionsgebühren, Interchange, Abomodellen oder Embedded-Finance-Spreads. Wenn Alerts linear mit Zahlungen wachsen, aber Compliance-Personalkosten schneller steigen als Umsatz, wird das Geschäftsmodell fragil.
Hier entsteht eine Falle. Firmen brauchen Skalierung, um zu überleben. Skalierung erzeugt aber mehr Alerts, Onboarding-Prüfungen, Sanktionsscreenings, Customer Refreshes, Policy-Ausnahmen und Audit-Evidenz. Wenn die Kontrollarchitektur nicht skaliert, wird Wachstum selbst zum regulatorischen Risiko.
Legacy-Systeme verschärfen das. Viele Monitoring-Engines stammen aus langsameren Bankumgebungen, in denen Batch-Verarbeitung und nachgelagerte Reviews ausreichend waren. Moderne Zahlungen verlangen Entscheidungen in Echtzeit oder nahezu Echtzeit über Karten, Instant Payments, Wallets, Cross-Border-Transfers, Marketplace-Payouts, Merchant Acquiring, Krypto-Flows und Embedded Finance. Starre Schwellenwertregeln sind dafür ungeeignet.
Talentmangel in Compliance
Auch die personelle Seite ist angespannt. Der Markt leidet an einem Mangel an AML-, KYC-, Sanktions- und Financial-Crime-Fachkräften. Einige Umfragen berichten, dass bei 43% globaler Banken kritische regulatorische Arbeit wegen Personallücken unerledigt bleibt. Senior-Compliance-Vakanzen können etwa 18 Monate offen bleiben.
| Ressourcenproblem | Quantifizierbarer Effekt | Operative Konsequenz |
|---|---|---|
| Makroökonomische Ausgaben | 85 Milliarden US-Dollar Compliance-Kosten in EMEA | Kapital fließt von Innovation in regulatorische Verteidigung |
| Steigende Alert-Volumen | 78% der EMEA-Firmen melden steigende Workloads mit Zahlungsvolumen | Alert-Fatigue, Onboarding-Verzögerungen, Bottlenecks |
| Talentdefizit | Senior-Vakanzen können rund 18 Monate dauern | Kontrollrahmen bleiben unterverwaltet |
| Unerledigte regulatorische Arbeit | 43% globaler Banken melden offene regulatorische Aufgaben | Höheres Audit-, Bußgeld- und Remediation-Risiko |
| Enforcement-Bezug | Viele Compliance-Verantwortliche verknüpfen Findings mit Personalmangel | Talentmangel wird direktes regulatorisches Risiko |
In Hubs wie Luxemburg, Amsterdam und Frankfurt treibt der Wettbewerb um Compliance-Talent Gehälter und Abwerbungen. Werden Teams nicht ausreichend besetzt, wachsen Rückstände, Onboarding-Fristen rutschen und die Qualität der Untersuchungen sinkt.
Der Mangel verändert auch interne Machtverhältnisse. Ein starker Senior Compliance Officer ist teuer und schwer zu ersetzen. Firmen tolerieren unter Umständen sehr konservative Entscheidungen, weil ein Verlust dieser Person riskanter wäre als kommerzielle Reibung. Andere lassen unerfahrene Mitarbeitende komplexe Regeln auslegen, weil sie niemanden einstellen können. Beides ist gefährlich.
Es geht nicht nur um Headcount. AML-Arbeit braucht Domänenurteil: Unternehmensstrukturen, Sanktionsumgehung, Typologien, Zahlungsrails, Herkunftsnachweise, Kundenverhalten und Aufsichtserwartungen. Dieses Wissen entsteht langsam. Wenn erfahrene Analysten gehen, verliert eine Institution Gedächtnis über frühere Eskalationen, Modellanpassungen, regulatorisches Feedback und Risikomuster.
Rückstände sind deshalb nicht nur ein Operations-Problem. Sie können Verdachtsmeldungen verzögern, EDD schwächen, Customer Refreshes verschlechtern und Audit Trails erzeugen, die zeigen, dass die Firma überfällige Arbeit kannte. In AML kann operative Verzögerung zu rechtlicher Evidenz werden.
Talentmangel ist nicht nur ein HR-Thema. In AML kann Unterbesetzung zum Nachweis eines Kontrollversagens werden, wenn Alerts, Reviews oder Verdachtsmeldungen außerhalb der Policy-Fristen altern.
False Positives und Zahlungsengpässe
Die sichtbarste operative Folge ist der Zahlungsengpass: legitime Liquidität bleibt hängen, weil eine Transaktion in Compliance-Review geht. Für Unternehmen, die auf planbare Settlement-Zeiten angewiesen sind, kann das zu Cashflow-Problemen führen.
False Positives sind der Hauptmechanismus. Im Sanktionsscreening und Transaktionsmonitoring entsteht ein False Positive, wenn ein legitimer Kunde oder eine legitime Transaktion fälschlicherweise als verdächtig markiert wird. Legacy-Regelsysteme arbeiten mit statischen Schwellen, starren Schlüsselwörtern und einfacher Namensähnlichkeit. Kontext verstehen sie oft nicht.
False-Positive-Raten in traditionellen Monitoring-Umgebungen überschreiten regelmäßig 90%. Die meisten Alerts verbrauchen Analystenzeit, ohne echtes Risiko zu identifizieren. Jeder unnötige Alert zieht knappe Compliance-Kapazität von echten Financial-Crime-Typologien ab und erhöht die Wahrscheinlichkeit, dass wichtige Fälle spät oder schlecht bearbeitet werden.
False Positives sind nicht harmlos. Sie frieren Geld ein, frustrieren Kunden, verlangsamen Onboarding, erhöhen Abbruchraten und schaffen Konflikte zwischen Produkt, Operations und Compliance. Für einen Händler kann ein Compliance-Hold wie ein Liquiditätsschock wirken. Ein Freelancer oder kleines Unternehmen kann Dokumente oft nicht in der geforderten Frist beschaffen. Verzögerte Plattform-Payouts können Reputationsschäden für die Plattform auslösen.
Hohe False-Positive-Raten normalisieren Alert-Schließungen. Analysten gewöhnen sich an Alerts niedriger Qualität, wodurch echte Typologien leichter als Routine-Rauschen behandelt werden. Manager setzen Produktivitätsziele, die schnelles Schließen statt tiefer Analyse begünstigen können. Aufseher prüfen später, ob Alerts sorgfältig genug bearbeitet wurden, ob Schwellen geeignet waren und ob Meldungen rechtzeitig erfolgten.
So entsteht ein Kreislauf schwacher Compliance-Technologie: schlechte Regeln erzeugen zu viele Alerts; zu viele Alerts erzeugen Backlogs; Backlogs erzeugen Druck zu schnellen Schließungen; schnelle Schließungen senken Qualität; schlechte Qualität zieht Aufsichtskritik an; Aufsichtskritik führt zu mehr Regeln; mehr Regeln erzeugen noch mehr Alerts.
Zahlungsengpässe sind der wirtschaftliche Ausdruck dieses Kreislaufs. Sie sind nicht nur interne Workflow-Probleme. Sie sind Punkte, an denen Compliance-Unsicherheit in verzögerte Liquidität übersetzt wird.
Die Rolle des Compliance Officers
Der Rechtsrahmen verlangt einen risikobasierten Ansatz. Theoretisch erlaubt er effiziente Ressourcenzuweisung: EDD für hohe Risiken, leichtere Behandlung für risikoarmen Handel.
Praktisch ist Financial-Crime-Risiko schwer zu quantifizieren. Leitlinien sind oft prinzipienbasiert, und die konkrete Behandlung eines Kunden, Korridors, Produkts oder Transaktionsmusters hängt vom internen Risikoappetit ab. Dieser wird von Menschen unter Druck ausgelegt.
Rational-Choice-Theorie erklärt, warum Compliance Officers defensiv tendieren. Zu permissiv zu sein kann Bußgelder, Lizenzauflagen, Reputationsschäden und persönliche Haftung bedeuten. Zu konservativ zu sein trifft meist Kunden, Produktteams oder Umsatzlinien. Unter diesen Anreizen kann Über-Compliance rational sein, selbst wenn sie geschäftsschädlich ist.
Deshalb können zwei Zahlungsunternehmen bei gleichem Sachverhalt zu gegensätzlichen Entscheidungen kommen. Eine Compliance-Leitung, die mit Verhaltensanalytik und dynamischem Monitoring vertraut ist, genehmigt ein grenzüberschreitendes Produkt mit gezielten Kontrollen. Eine konservativere Leitung blockiert dasselbe Produkt vollständig. Beide glauben, den risikobasierten Ansatz anzuwenden.
Gefahr besteht in beide Richtungen. Über-Compliance kann legitime Aktivität blockieren; willkürlicher Geschäftsdruck auf Compliance kann aber ebenso schädlich sein. Enforcement-Fälle zeigen, dass Alert-Capping oder mechanisches Unterdrücken von Risikoindikatoren zur Beseitigung von Backlogs regulatorische Folgen haben kann. Compliance ist keine Quote, die minimiert wird. Sie braucht Autorität und Ressourcen, um ehrlich zu funktionieren.
Die Position des Compliance Officers ist schwierig. Business-Teams sehen Compliance oft als Blocker. Regulatoren sehen sie als erste Verteidigungslinie. Boards erwarten Lizenzschutz ohne Wachstumsverlust. Sponsorbanken erwarten strenge Kontrollen. Kunden erwarten sofortigen Zugang mit minimaler Reibung.
Kein einzelner Officer kann all diese Erwartungen allein durch persönliches Urteil erfüllen. In vielen Firmen kollabiert der risikobasierte Ansatz dennoch in individuelle Ermessensentscheidungen, weil klare Risikoappetit-Statements, verlässliche Daten, nachvollziehbare Analytik, dokumentierte Eskalationswege und Board-Ownership fehlen. In diesem Vakuum füllt Persönlichkeit die Lücke.
Ein pragmatischer Compliance Leader akzeptiert möglicherweise gesteuertes Risiko, wenn Kontrollen messbar und evidenzbasiert sind. Ein defensiver Leader bevorzugt kategorische Ausschlüsse, umfangreiche Dokumentation und manuelle Freigaben. Ein unerfahrener Leader kopiert Sponsorbank-Anforderungen. Ein unter Druck stehender Leader verengt heimlich den Alert-Funnel. Unter demselben formalen Rechtsrahmen entstehen unterschiedliche Geschäftsresultate.
Diese Subjektivität zählt, weil die Anreize auseinanderlaufen. Das Recht verlangt Proportionalität. Die Institution verlangt Wachstum. Der Regulator verlangt Verteidigbarkeit. Der einzelne Compliance Officer wählt angesichts asymmetrischer Nachteile oft den Weg, der sich im Nachhinein am einfachsten verteidigen lässt.
In einem fragmentierten AML-System wird der Compliance Officer zum praktischen Übersetzer des Binnenmarkts. Dieselbe Transaktion kann als steuerbares, übermäßiges oder inakzeptables Risiko behandelt werden.
De-Risking: Wenn Sicherheit zu Ausschluss wird
Die klarste Manifestation konservativen Risikoappetits ist De-Risking. Statt spezifische Kundenrisiken zu steuern, beenden oder beschränken Institutionen ganze Kundengruppen, Geografien oder Geschäftsmodelle, weil sie zu teuer oder komplex zu überwachen sind.
Die Europäische Bankenaufsichtsbehörde hat De-Risking als wichtiges Verbraucherthema identifiziert, neben Zahlungsbetrug und Verschuldung. Personen und legitime Unternehmen haben zunehmende Schwierigkeiten, Zahlungskonten zu eröffnen oder zu behalten, obwohl diese für wirtschaftliche Teilhabe notwendig sind.
Besonders betroffen sind vulnerable Gruppen, Non-Profit-Organisationen in Hochrisikoregionen, KMU mit grenzüberschreitenden Lieferketten, Freelancer, digitale Nomaden und Nichtbank-PSPs, die auf Sponsorbanken angewiesen sind.
Zwischen regulatorischer Wahrnehmung und Marktrealität besteht eine Lücke. Einige Aufsichtsberichte deuten auf rückläufiges ungerechtfertigtes De-Risking hin. Marktteilnehmer berichten anderes: Korrespondenzbanknetzwerke schrumpfen weiter, Nichtbank-PSPs kämpfen um Bankbeziehungen, und Sponsorbanken verlangen Kontrollen weit über gesetzliche Mindeststandards hinaus.
Das ist Gold-Plating: Kontrollen werden über gesetzliche Anforderungen hinaus implementiert, um jede plausible Enforcement-Exponierung zu vermeiden. Für Fintechs kann das existenziell sein. Eine Firma kann ein proportional digitales Onboarding bauen und feststellen, dass ihre Bank strengere Kontrollen verlangt als das Gesetz.
De-Risking ist besonders schädlich, weil es Risiko aus sichtbaren regulierten Kanälen verdrängt. Verlieren legitime Kunden Zugang zu Mainstream-Zahlungsdiensten, wenden sie sich möglicherweise an informelle Netzwerke, schlechter überwachte Vermittler, bargeldlastige Strukturen oder Offshore-Anbieter. Das Risiko verschwindet nicht. Es wird weniger transparent.
Non-Profit-Organisationen zeigen das Problem deutlich. Eine Hilfsorganisation in oder nahe einem Konfliktgebiet kann einen klar humanitären Zweck haben, aber Geografie, Gegenparteien und Cashflows lösen verstärkte Prüfung aus. Eine Bank entscheidet möglicherweise, dass der Ertrag die Monitoring-Last nicht rechtfertigt. Die Organisation wird nicht ausgeschlossen, weil sie kriminell ist, sondern weil sie operativ unbequem ist.
Für Nichtbank-PSPs ist das Problem durch Sponsorbanken und Safeguarding-Strukturen verstärkt. Die Compliance-Abteilung der Sponsorbank kann Regeln vorgeben, die die Fintech an Kunden weiterreichen muss. Die Fintech wird zur operativen Oberfläche eines Risikoappetits, den sie nicht vollständig kontrolliert.
De-Risking kann legitime Aktivität aus sichtbaren, regulierten Kanälen verdrängen. Das Risiko wird nicht beseitigt; es wandert in weniger transparente Zahlungswege.
Enforcement-Fälle
Jüngere Enforcement-Fälle zeigen, dass weder Innovation noch Größe eine Firma schützen, deren Financial-Crime-Kontrollen nicht mit dem Wachstum Schritt halten.
Digitale Challenger-Banken wurden sanktioniert, wenn Kundengewinnung schneller wuchs als Sanktionsscreening und Monitoring. Starling Bank erhielt eine FCA-Strafe, nachdem automatisiertes Sanktionsscreening nicht mit dem Nutzerwachstum skalierte. Revolut wurde in Litauen wegen unzureichender AML-Monitoring-Protokolle sanktioniert. Eine oberflächliche Compliance-Schicht nach dem Wachstum reicht nicht aus.
Failure Pattern "Growth at all costs": Digitale Finanzinstitute können Kunden schneller gewinnen, als ihre AML-Systeme Risiko klassifizieren, monitoren und belegen können. Regulatoren behandeln diese Lücke zunehmend als Governance-Versagen, nicht als Skalierungsentschuldigung.
| Sektor | Typisches Versagensmuster |
|---|---|
| Krypto-Börsen | Unlizenzierte Transmission, Sanktionsjurisdiktionen, schwaches SAR-Reporting |
| Traditionelle Banken | Systeme skalieren nicht, Red Flags werden ignoriert, Monitoring-Szenarien veralten |
| Payments und Fintech | Sanktionsscreening versagt, interne Warnungen werden ignoriert, CDD unzureichend |
Der litauische EMI-Skandal zeigt die Gefahr regulatorischer Arbitrage. Litauen baute ein fintechfreundliches Lizenzumfeld auf, aber das Wachstum wurde nicht von entsprechender Aufsichtstiefe begleitet. Eine lizenzierte EMI soll rund 2 Milliarden Euro über Briefkastenfirmen und kriminelle Netzwerke gewaschen haben. Der Fall zeigt, wie eine lokale Aufsichtslücke zur europäischen Schwachstelle wird, wenn eine Lizenz Zugang zu SEPA-Rails verschafft.
Der TD-Bank-Fall in den USA liefert eine weitere Lehre. Die Geldstrafe war hoch, aber der Asset Cap war strategisch schwerwiegender. Durch Wachstumsbegrenzung zeigten Regulatoren, dass AML-Versagen operative Einschränkungen auslösen kann, nicht nur Bußgelder. Europäische Aufseher beobachten dies; Zahlungsinstitute sehen zunehmend Onboarding-Beschränkungen, Lizenzdruck und Geschäftsmodellauflagen, wenn Kontrollen nicht glaubwürdig sind.
Für europäische Zahlungsunternehmen ist die Botschaft eindeutig. Regulatoren akzeptieren keine Policies mehr, die nur auf Papier stimmen. Sie erwarten skalierende Kontrollen, gepflegte Monitoring-Szenarien, untersuchte Alerts, rechtzeitige Verdachtsmeldungen und Governance, die Ressourcenlücken erkennt, bevor sie systemisch werden.
Das Modell "Growth at all costs" ist mit regulierten Zahlungen unvereinbar. AML ist keine späte operative Schicht nach Product-Market-Fit. Im Zahlungsverkehr ist Compliance Teil der tragenden Produktstruktur. Sie bestimmt, welche Kunden bedient werden, welche Korridore geöffnet werden, welche Bankpartner teilnehmen, welche Lizenzen gehalten werden und welches Risiko Investoren akzeptieren.
Litauischer EMI-Skandal: Ein fintechfreundliches Lizenzumfeld kann zur systemischen Schwachstelle werden, wenn Aufsichtskapazität nicht mit Marktwachstum Schritt hält. Eine Zahlungslizenz öffnet SEPA-Zugang, aber schwache interne Kontrollen können diesen Zugang in einen Geldwäschekanal verwandeln.
Fazit
Das dezentrale AML-Modell schuf ein instabiles operatives Umfeld für europäische Zahlungen. Fragmentierte nationale Umsetzung begünstigte Arbitrage, divergierende Aufsicht erzeugte inkonsistente Ergebnisse, und der risikobasierte Ansatz legte viel Ermessen in die Hände einzelner Compliance Officers.
Das Ergebnis ist nicht nur höherer Aufwand. Es sind Zahlungsfriktion, finanzielle Ausgrenzung, verzögertes Onboarding, False-Positive-Überlastung, konservative Sponsorbanken und Enforcement-Risiko. Das alte Modell zwang Zahlungsunternehmen in einen Markt, in dem dieselbe Transaktion je nach Jurisdiktion, Institution und Risikokultur unterschiedlich behandelt werden konnte.
Teil 2 untersucht die Antwort der EU: AMLA, das Single Rulebook und den Übergang zu zentralisierter Aufsicht. Er fragt auch, ob Zentralisierung das Problem löst oder fragmentierte Ambiguität nur durch starre operative Last auf EU-Ebene ersetzt.
Fragmentierung war nicht nur ein Problem für Compliance-Teams. Sie prägte die Marktstruktur. Sie belohnte Jurisdiktionswahl, erhöhte Abhängigkeit von privatem Risikoappetit, machte Sponsorbank-Beziehungen entscheidend und verwandelte Compliance Officers in faktische Gatekeeper der Produktstrategie.
Quellen
- Nasdaq Verafin, "Financial Crime Insights: Europe."
- EUR-Lex, "Directive (EU) 2015/849."
- EUR-Lex, "Directive (EU) 2018/843."
- EUR-Lex, "Directive (EU) 2018/1673."
- EUR-Lex, "Regulation (EU) 2023/1113."
- EUR-Lex, "Regulation (EU) 2023/1114."
- Thomson Reuters, "Thomson Reuters 2016 Know Your Customer Surveys."
- The Global Treasurer, "KYC Pain: Financial institutions and their clients still struggling with ongoing challenges."
- Fenergo, "Know Your Customer: 2022 trends."
- European Central Bank, "AMLA and ECB Banking Supervision: strengthening cooperation."
- Institute of International Finance, "The Evolution of the AML/CFT Landscape Under the New European Anti-Money Laundering Authority."
- FIAU, "AMLA: A New Chapter for Europe's AML/CFT Framework."
- Taylor & Francis, "The New EU Authority for Anti-Money Laundering and Countering the Financing of Terrorism."
- KPMG, "Regulatory insights."
- European Banking Authority, "Opinion of the European Banking Authority on money laundering and terrorist financing risks affecting the EU's financial sector."
- Bird & Bird, "EU List of high-risk countries and jurisdictions for money laundering and terrorism financing amended."
- European Commission, "Anti-money laundering and countering the financing of terrorism at international level."
- Garrett & Fields, "The 2025 Compliance Talent Crisis."
- Harmoney, "Facing compliance challenges: talent shortages, alert overload and regulatory change."
- Selby Jennings, "The Compliance Market in Europe."
- SGH Warsaw School of Economics, "Payment bottlenecks in Poland and in the European Union."
- Napier AI, "How to reduce false positives in client and transaction screening."
- Silent Eight, "2025 Trends in AML and Financial Crime Compliance."
- Fenergo, "4 Anti Money Laundering (AML) Requirements for Payment Processors."
- Horizon Research Publishing, "Determinant of Compliance Perceptions among Bank Officers towards Anti-Money Laundering."
- Compliance Week, "Survey: Firms Still Struggle Greatly with AML 'Culture of Compliance'."
- FCA, "Drivers & Impacts of Derisking."
- European Banking Authority, "EBA identifies payment fraud, indebtedness and de-risking as key issues affecting consumers in the EU."
- Swift, "Addressing the unintended consequences of de-risking."
- ResearchGate, "'De-Risking', De-Banking and Denials of Bank Services: An Over-Compliance Dilemma?"
- U.S. Department of the Treasury, "The Department of the Treasury's De-Risking Strategy."
- International Finance Magazine, "Europe's compliance crackdown."
- EIMF, "Lessons from Financial Crime and Regulatory Compliance Enforcement Cases."
- Fenergo, "Scandal-as-a-Service: AML Lessons from Lithuania's EUR2 Billion Case."
- FATF, "Anti-money laundering and counter-terrorist financing measures Lithuania."