Was MLRO in der Praxis bedeutet
MLRO steht für Money Laundering Reporting Officer. Im AML-Programm ist der MLRO die Person, die dafür sorgt, dass Verdachtsfälle eskaliert werden, Meldeentscheidungen sauber getroffen werden und das Unternehmen später nachweisen kann, warum es so gehandelt hat.
Die genaue Bezeichnung hängt von Land und Aufsicht ab. Manche Regelwerke verwenden MLRO, andere sprechen vom nominated officer, wieder andere von AML compliance officer, BSA/AML compliance officer oder von einer verantwortlichen Person für Risiken der Finanzkriminalität. Der Titel ist weniger wichtig als die Kontrollfrage: Wer hat genug Autorität, Unabhängigkeit, Informationszugang und Seniorität, damit AML-Eskalation und Meldungen in der Praxis funktionieren?
Im Alltag lautet die Frage für den MLRO selten nur: "Müssen wir das melden?" Meist geht es darum, ob sich später zeigen lässt, was passiert ist, was geprüft wurde, wer entschieden hat, warum die Entscheidung vertretbar war und was danach geschah. Eine gute MLRO-Fallakte verbindet deshalb unternehmensweite Risikobewertung, Kundenrisikobewertung, Sanktions- und PEP-Prüfungen, Prüfung negativer Medien, interne Eskalation, Fallnotizen, Meldeentscheidungen, Informationen für die Geschäftsleitung und abrufbare Prüfungsnachweise.
MLRO, nominated officer und AML compliance officer
Diese Funktionen liegen oft nah beieinander. In einem kleinen Unternehmen können sie sogar bei derselben Person liegen. Trotzdem hilft es, die Fragen zu trennen, die jede Funktion beantworten soll.
| Rolle | Typische Bedeutung | Praktisches Ergebnis |
|---|---|---|
| MLRO | Person mit Zuständigkeit für AML-Eskalation, Meldeprozesse und Aufsicht über AML-Kontrollen | Entscheidungen zu Verdachtsfällen, Kontrollaufsicht, Berichte an die Geschäftsleitung und Prüfungsnachweise |
| Nominated officer | Britischer Begriff für die Person, die interne Verdachtshinweise erhält und entscheidet, ob ein Verdacht besteht | Prüfung interner Meldungen, SAR-Begründung und Meldung an die NCA, soweit erforderlich |
| AML compliance officer | International gebräuchlicher Titel für die Person, die laufende AML-Compliance koordiniert | Koordination des AML-Programms, laufende Kontrolle, Schulung, Kontrollen und Berichte an Geschäftsleitung oder Aufsichtsgremium |
| Verantwortliche Person für Risiken der Finanzkriminalität | Breitere Funktion für AML und angrenzende Risiken | Betrug, Sanktionen, Bestechung, Korruption, Marktmissbrauch, Typologiearbeit oder Aufsichtskontakt je nach Unternehmen |
Entscheidend ist nicht nur die Stellenbezeichnung. Das Unternehmen sollte zeigen können, wer Verdachtsfälle erhält, wer über externe Meldungen entscheidet, wer AML-Systeme und -Kontrollen verantwortet und wie die Geschäftsleitung von der Wirksamkeit dieser Kontrollen erfährt, bevor ein Problem entsteht.
Wann braucht ein Unternehmen einen MLRO?
Ob ein Unternehmen einen MLRO braucht, hängt von Rechtsordnung, Aufsicht, Sektor, Lizenz und Geschäftsmodell ab. Finanzdienstleistungen, Zahlungen, Krypto, Glücksspiel, professionelle Dienstleistungen, Immobilien und hochwertige Güter brauchen häufig eine benannte AML-Melde- oder Compliance-Funktion. Der genaue Titel und die rechtliche Pflicht unterscheiden sich aber.
In der Praxis entsteht der Bedarf überall dort, wo ein Unternehmen Verdachtsfälle, Sorgfaltspflichten, Sanktionsrisiken, PEP-Risiken, negative Medien, Transaktionsaktivität oder andere Risiken der Finanzkriminalität steuern muss.
Typische Beispiele sind:
- Banken, Zahlungsinstitute, E-Geld-Institute und Geldtransferdienste;
- Fintechs, Anbieter von Auslandsüberweisungen, Kryptobörsen, Verwahrer und VASPs;
- Investment-, Vermögensverwaltungs- und Asset-Management-Unternehmen;
- Glücksspielanbieter;
- Immobilienmakler, Trust- und Company-Service-Provider, Wirtschaftsprüfer, Rechtsanwälte und Händler hochwertiger Güter, soweit AML-Regeln gelten.
Für ein Startup oder Scale-up lautet die bessere Frage nicht nur: "Brauchen wir diesen Titel?" Entscheidend ist: Wenn ein Hochrisikokunde, ein Hinweis oder eine Transaktion später hinterfragt wird, können wir zeigen, wer die Eskalation übernommen hat, wer entschieden hat und wo die Nachweise liegen?
Länderhinweis: MLRO und nominated officer in Großbritannien
In Großbritannien sollte die Terminologie genau verwendet werden. FCA-regulierte Unternehmen benennen einen MLRO für die Aufsicht über AML-Systeme und -Kontrollen. Nach den Money Laundering Regulations ist die Person, die interne Verdachtshinweise erhält und entscheidet, ob ein Verdacht besteht, der nominated officer. In vielen Unternehmen kann dieselbe Person beide Aufgaben tragen, aber die Begriffe sind nicht in jedem Kontext identisch.
Außerhalb Großbritanniens können ähnliche Aufgaben bei einem AML compliance officer, BSA/AML compliance officer, Compliance-Verantwortlichen oder einer verantwortlichen Person für Risiken der Finanzkriminalität liegen. Das sind vergleichbare Kontrollfunktionen, aber keine austauschbaren Rechtstitel.
Was ein MLRO nachweisen können muss
Richtlinien sind wichtig, reichen aber nicht aus. Hilfreich ist die Aufzeichnung, mit der eine andere Person den Fall Monate später versteht: was passiert ist, was damals bekannt war, welche Risikofaktoren berücksichtigt wurden, wer geprüft hat und warum die Entscheidung verhältnismäßig war.
| Nachweisbereich | Was eine gute MLRO-Fallakte zeigen sollte |
|---|---|
| Prüfanlass | Hinweis, interne Meldung, Transaktion, Kundenänderung, Quellenänderung, negative Medien, externe Anfrage oder periodische Prüfung |
| Fallchronologie | Was passiert ist, wann es passiert ist, wer geprüft hat und was sich während der Prüfung geändert hat |
| Kundenrisiko | Kundenrisikobewertung, Änderungen der Risikostufe, Länderbezug, Produktrisiko, Vertriebskanal und geschäftliche Begründung |
| Eigentum und Beziehungen | Wirtschaftlich Berechtigte, Geschäftsleiter, Kontrollpersonen, verbundene Parteien, Gegenparteien und geprüfte verbundene Parteien |
| Prüfergebnisse | Sanktionen, PEP, negative Medien, Watchlists, Länderrisiko und interne Historie |
| Trefferbegründung | Warum ein Ergebnis als bestätigter Treffer, möglicher Treffer, Fehlalarm, Eskalation oder Nicht-Treffer behandelt wurde |
| Meldeentscheidung | Melden, nicht melden, weiter beobachten, weitere Informationen anfordern, Beziehung beenden oder eine Freigabe beantragen, soweit relevant |
| Prüfungsnachweis | Analyst, Zeitstempel, Richtlinienbasis, genutzte Anhänge, Freigaben, finales Ergebnis und Ablageort der Nachweise |
Das ist keine Dokumentation um ihrer selbst willen. MLROs brauchen Aufzeichnungen, die Sorgfaltspflichten, Transaktionsrekonstruktion, interne Meldungen und spätere Prüfungen durch Aufsicht, Audit, Geschäftsleitung oder Strafverfolgung stützen können.
Wie ein MLRO eine Entscheidung zu einem Verdachtsfall dokumentiert
Eine Entscheidung zu einem Verdachtsfall sollte nicht wie eine kopierte Zusammenfassung eines Hinweises klingen. Sie muss die Überlegung zeigen. Der MLRO oder die entsprechende Meldefunktion sollte erklären können, wie der Verdacht entstanden ist oder warum kein Verdacht erreicht wurde, gestützt auf die damals verfügbaren Fakten.
Ein guter Entscheidungsnachweis beantwortet:
- Was hat die Prüfung ausgelöst?
- Wer oder was ist betroffen: Kunde, wirtschaftlich Berechtigter, Gegenpartei, Zahlungspartei, Produkt, Rechtsordnung oder Transaktion?
- Welche Fakten waren zu diesem Zeitpunkt bekannt?
- Welche Risikoindikatoren wurden berücksichtigt?
- Welche Informationen haben den Verdacht erhöht oder entkräftet?
- Ging es um Sanktionsrisiko, PEP-Risiko, negative Medien, Betrug, Steuerdelikt, Geldwäsche, Terrorismusfinanzierung oder Proliferationsfinanzierung?
- Wurde eine externe Meldung abgegeben, nicht abgegeben oder bis zu weiteren Informationen zurückgestellt?
- Wenn gemeldet wurde: Was war der Verdachtsgrund und welche unterstützenden Informationen wurden aufgenommen?
- Wenn nicht gemeldet wurde: Warum wurde die Verdachtsschwelle nicht erreicht?
- Was geschah danach mit der Kundenbeziehung oder Transaktion?
Die SAR-Leitlinien der UKFIU geben auch außerhalb Großbritanniens einen nützlichen Maßstab: Der Verdachtsgrund sollte erklären, warum ein Verdacht besteht und wie er entstanden ist. Die Darstellung sollte klar, knapp, chronologisch und in einfacher Sprache geschrieben sein. Interne Abkürzungen und Systembezeichnungen ersetzen keine Fakten.
Sanktionen, PEP-Risiko, negative Medien und Verdacht nicht vermischen
MLRO-Fallakten lassen sich schwer verteidigen, wenn jedes Risikosignal wie dasselbe Problem behandelt wird. Diese Signale können zusammenhängen, führen aber nicht zur gleichen Entscheidung.
| Signal | Bedeutung | Frage des MLRO |
|---|---|---|
| Sanktionsrisiko | Eine Person, ein Unternehmen, ein Schiff, ein Land oder eine Transaktion kann mit einer Sanktionspflicht verbunden sein | Gibt es einen bestätigten Treffer, eine rechtliche Beschränkung, eine Frage der Vermögenssperre oder eine Meldepflicht nach Sanktionsregeln? |
| PEP-Risiko | Der Kunde oder eine verbundene Partei hat eine öffentliche Funktion, einen Familienbezug oder eine enge Verbindung | Ist verstärkte Sorgfaltspflicht erforderlich, und sind Herkunft der Gelder oder Herkunft des Vermögens verstanden? |
| Negative Medien | Öffentliche Informationen deuten auf mögliches strafrechtliches, regulatorisches, reputationsbezogenes oder Integritätsrisiko hin | Ändert dies das Kundenrisiko, erfordert es verstärkte Sorgfaltspflicht oder stützt es einen Verdacht? |
| Verdächtige Aktivität | Das Unternehmen weiß oder vermutet Geldwäsche, Terrorismusfinanzierung oder kriminelle Vermögenswerte | Muss extern gemeldet werden, und was ist der Verdachtsgrund? |
| Proliferationsfinanzierungsrisiko | Beziehung, Waren, Rechtsordnungen, Gegenparteien oder Transaktionen können PF-Risiko schaffen | Decken PF-Risikobewertung und Kontrollrahmen diesen Fall ab? |
Eine PEP ist nicht automatisch kriminell. Negative Medien sind nicht automatisch ein Verdacht. Ein Sanktionstreffer ist nicht dieselbe Entscheidung wie eine Verdachtsmeldung. Gute Fallnotizen halten diese Wege getrennt und zeigen zugleich, wie ein Signal das gesamte Risikobild beeinflusst hat.
Was in einen jährlichen MLRO-Bericht gehört
Viele MLROs oder AML-Compliance-Verantwortliche berichten regelmäßig an Geschäftsleitung oder Aufsichtsgremium. In Großbritannien erwartet die FCA, dass die Geschäftsleitung angemessene Informationen zu AML-Systemen und -Kontrollen erhält, einschließlich mindestens eines jährlichen MLRO-Berichts. Auch wenn ein formaler Jahresbericht nicht vorgeschrieben ist, ist dieselbe Disziplin hilfreich: der Geschäftsleitung zeigen, ob Kontrollen funktionieren und was geändert werden muss.
Ein nützlicher MLRO-Bericht kann abdecken:
- Governance-Struktur, Berichtslinien, Unabhängigkeit des MLRO und Zugang zur Geschäftsleitung;
- Angemessenheit von AML-Ressourcen, Systemen, Daten und Informationszugang;
- unternehmensweite Risikobewertung und Änderungen bei Kunden-, Produkt-, Länder-, Kanal-, Sanktions- und Proliferationsfinanzierungsrisiken;
- Sorgfaltspflichten, verstärkte Sorgfaltspflicht, periodische Prüfungen und Klärungsmaßnahmen;
- Leistung der Prüfungen, Hinweisvolumen, Fehlalarme, bestätigte Treffer, Sanktionseskalationen, PEP-Eskalationen und Prüfungen negativer Medien;
- interne Verdachtshinweise, Meldeentscheidungen, externe Meldungen, Freigabe- oder Consent-Anfragen soweit relevant und Qualität der Entscheidungsnachweise;
- Schulungsstand, Awareness, Richtlinienänderungen und interne Kommunikation;
- Kontrolltests, Audit-Feststellungen, Vorfälle, Verstöße, Klärung und Handlungsempfehlungen für die Geschäftsleitung.
Die beste Version ist keine Jahresliste von Aktivitäten. Sie sagt der Geschäftsleitung, ob AML-Kontrollen funktionieren, wo Risiken steigen und was geändert werden muss.
Wie AML-Software einen MLRO unterstützt
AML-Software ersetzt nicht das Urteil des MLRO und sollte nicht so beschrieben werden, als treffe sie rechtliche Meldeentscheidungen selbst. Sie kann aber Reibung reduzieren: Änderungen erkennen, Hinweise weiterleiten, Fallnachweise zusammenhalten und eine später prüfbare Aufzeichnung erhalten.
Eine nützliche Systemlandschaft für den MLRO verbindet:
- Kundenrisikobewertung für Risikostufen, Prüfkadenz und Risikoänderungen;
- Sanktionsprüfung für Sanktionen und offizielle Listen;
- PEP-Prüfung für öffentliche Funktionen, Angehörige und enge Verbindungen;
- Prüfung negativer Medien für negative Nachrichten, Aufsichtspraxis und Reputationssignale;
- laufende Überwachung für Änderungen nach der Kundenaufnahme;
- Fallmanagement für Zuständigkeit, Notizen, Eskalation und Ergebnis;
- Prüfungsnachweise für Analyst, Begründung, Zeitstempel und Entscheidungsaufzeichnungen;
- Real-Time-Screening-API für Kundenaufnahme, Transaktionsprüfung, Ereignisse aus internen Systemen und Prozessintegrationen.
Häufige Schwächen in MLRO-Kontrollen
In der Praxis scheitern schwache MLRO-Kontrollen oft an bekannten Punkten:
- AML-Richtlinien als Nachweis behandeln, ohne fallbezogene Entscheidungsaufzeichnungen zu führen.
- Melden oder Nichtmelden aus dem Bauchgefühl heraus, ohne die Begründung zu dokumentieren.
- Nur bei der Kundenaufnahme prüfen und Änderungen nach Freigabe übersehen.
- Fehlalarme unterdrücken, ohne zu erhalten, warum der Nicht-Treffer vertretbar war.
- Sanktionen, PEP-Status, negative Medien, Länderrisiko, verdächtige Aktivität und Proliferationsfinanzierung als dieselbe Signalart behandeln.
- Generische Hochrisiko-Labels verwenden, ohne die Faktoren zu zeigen, die die Kundenbewertung geändert haben.
- MLRO-Berichte erstellen, die Aktivitäten auflisten, aber die Wirksamkeit der Kontrollen nicht bewerten und keine Maßnahmen empfehlen.
- Nachweise über E-Mails, Tabellen und Nachrichten verteilen, ohne verlässliche Fallchronologie.
FAQ
Wofür steht MLRO?
MLRO steht für Money Laundering Reporting Officer. Der MLRO ist für AML-Eskalation, Verdachtsmeldungen und Nachweise zu AML-Entscheidungen zuständig. Konkrete Aufgaben und Titel unterscheiden sich je nach Land und Aufsicht.
Ist ein MLRO dasselbe wie ein nominated officer?
Nicht immer. Nominated officer ist ein britischer Begriff für die Person, die interne Verdachtshinweise erhält und entscheidet, ob ein Verdacht besteht. MLRO wird häufig breiter für AML-Aufsicht und Meldeprozesse verwendet. In manchen Unternehmen trägt dieselbe Person beide Aufgaben.
Ist ein MLRO dasselbe wie ein Compliance-Verantwortlicher?
Nicht immer. Ein Compliance-Verantwortlicher kann breitere regulatorische Pflichten abdecken, während der MLRO sich auf AML-Systeme und -Kontrollen, Eskalation von Verdachtsfällen, Meldeentscheidungen und Nachweise konzentriert. Größere oder komplexere Unternehmen können diese Funktionen trennen.
Braucht jedes Unternehmen einen MLRO?
Nein. Anforderungen hängen von Rechtsordnung, Sektor, Lizenz, Aufsicht und AML-Risiko ab. Regulierte Finanzdienstleistungen, Zahlungen, Krypto, Glücksspiel, professionelle Dienstleistungen, Immobilien und hochwertige Sektoren brauchen häufig eine benannte AML-Melde- oder Compliance-Funktion, aber der Titel kann abweichen.
Welche Nachweise sollte ein MLRO aufbewahren?
Ein MLRO sollte Kundenrisikobewertungen, Prüfergebnisse, interne Melderegister, Fallchronologie, Trefferbegründungen, Fehlalarmentscheidungen, Nachweise zu verstärkter Sorgfaltspflicht, Meldeentscheidungen, Freigaben, Zeitstempel, Richtlinienverweise und den Ablageort unterstützender Dokumente aufbewahren.
Kann AML-Software SARs für den MLRO einreichen?
Software kann Nachweise sammeln, Fallprüfungen strukturieren, Prüfungsverlauf aufbewahren und Informationen für Meldungen vorbereiten. Die Entscheidung zur Meldung, der Verdachtsgrund und ein externer Meldeprozess hängen von Pflichten und Rechtsordnung des Unternehmens ab und sollten unter angemessener menschlicher Aufsicht bleiben.
Wichtige offizielle Quellen
- FATF - Risk-based approach for the banking sector
- FATF - Guidance on risk-based supervision
- FinCEN - Advisory on culture of compliance
- FCA Handbook - SYSC 3.2 systems and controls, annual MLRO report, and MLRO authority
- FCA Handbook - SYSC 6.3 financial crime
- FCA - Money laundering and terrorist financing
- HMRC - Nominated officer
- Money Laundering Regulations 2017
- NCA - Suspicious Activity Reports
- UKFIU - Submitting a SAR best practice guidance
- JMLSG - MLRO annual report aide-memoire
- FCA - Risk assessment processes and controls in firms: findings

Weiterlesen: wie MLROs die graue Liste der FATF nutzen sollten