Skip to content
KundenreferenzPreiseSicherheitVergleichBlog
GlossarLänderleitfädenChecklistenROI-Rechner

Europe

Americas

Oceania

Compliance15 min Lesezeit

AML-Lösung auswählen: Bewertungskriterien und Checkliste

Bewertungsleitfaden für Anti-Geldwäsche-Lösungen (GwG): 12 wesentliche Kriterien, Auswahl-Checkliste und Bewertungsraster für Unternehmen.

Das CheckFile-Team
Das CheckFile-Team·
Illustration for AML-Lösung auswählen: Bewertungskriterien und Checkliste — Compliance

Diesen Artikel zusammenfassen mit

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Die Wahl einer AML-Lösung (Anti-Money Laundering) besteht darin, Plattformen zur Geldwäschebekämpfung und Terrorismusfinanzierungsprävention anhand ihrer Fähigkeit zu bewerten, verdächtige Transaktionen zu erkennen, Sanktionslisten abzugleichen, Transaktionsmonitoring durchzuführen und regulatorische Meldungen zu erstellen. Die BaFin hat 2024 Bußgelder in Rekordhöhe für Verstöße gegen das Geldwäschegesetz (GwG) verhängt — ein Trend, der eine strukturelle Verschärfung der Aufsicht widerspiegelt, keinen konjunkturellen Ausschlag.

Diese zunehmende Strenge stellt Compliance-Verantwortliche vor eine folgenschwere Entscheidung: Die gewählte AML-Lösung bestimmt die Fähigkeit des Unternehmens, Verdachtsfälle zu erkennen, zu melden und seine Sorgfalt über 5 bis 10 Jahre hinweg nachzuweisen. Dieser Leitfaden bietet einen strukturierten Bewertungsrahmen: 12 gewichtete Kriterien, 30 Fragen an Anbieter, ein Bewertungsraster und eine 5-stufige Auswahlmethodik. Für einen Gesamtüberblick zur Dokumenten-Compliance siehe unseren Leitfaden Dokumenten-Compliance.

Warum eine dedizierte AML-Lösung unverzichtbar geworden ist

Der regulatorische Druck beschleunigt sich

Der europäische Anti-Geldwäsche-Rechtsrahmen durchläuft zwischen 2024 und 2027 eine grundlegende Transformation. Die Richtlinie AMLD6 (6. Geldwäscherichtlinie), 2024 verabschiedet, bringt drei fundamentale Änderungen:

  1. Gründung der AMLA (Anti-Money Laundering Authority): Die europäische Aufsichtsbehörde mit Sitz in Frankfurt wird ab 2028 die 40 risikoreichsten Finanzinstitute direkt beaufsichtigen und technische Standards für alle verpflichteten Unternehmen festlegen.
  2. Erweiterung des Anwendungsbereichs: Immobilienmakler, Luxusgüterhändler, professionelle Fußballvereine und Krypto-Plattformen fallen unter die GwG-Pflichten.
  3. Harmonisierung der Regeln: Die AML-Verordnung (AMLR), unmittelbar in allen Mitgliedstaaten anwendbar, ersetzt die nationale Umsetzung und beseitigt Auslegungsunterschiede.

Die Grenzen manueller und provisorischer Ansätze

Unternehmen, die ihre AML-Compliance mit Excel-Tabellen, manuellen Prozessen oder in ihr ERP integrierten Modulen verwalten, stoßen an eine operative Grenze. Drei Symptome zeigen dies an:

  • Falsch-Positiv-Rate über 90 % beim Sanktionslistenfiltering. Dies ist der vom Wolfsberg Group festgestellte Durchschnitt bei Systemen mit einfachen Regeln. Jeder Alarm erfordert 15 bis 30 Minuten manuelle Bearbeitung.
  • Unfähigkeit, komplexe Muster zu erkennen: Geldwäsche durch Strukturierung (Smurfing), kaskadierende Briefkastengesellschaften und Konstruktionen mit Kryptowerten entgehen festen Schwellenwertkontrollen.
  • Nicht-konformes Reporting: Die FIU Deutschland (Financial Intelligence Unit) verlangt strukturierte, zeitgestempelte und nachvollziehbare Verdachtsmeldungen. Ein manueller Prozess garantiert weder die Vollständigkeit noch die bei einer BaFin-Prüfung geforderte Nachverfolgbarkeit.

Die 12 wesentlichen Kriterien einer AML-Lösung

Jedes Kriterium wird auf einer Skala von 1 bis 5 bewertet und nach seiner Auswirkung auf Compliance und operative Effizienz gewichtet.

Kriterium 1: Sanktions- und PEP-Filterung (Gewichtung: 15 %)

Die Filterung ist das Fundament jeder AML-Lösung. Sie vergleicht Kunden und Gegenparteien mit internationalen Sanktionslisten (EU, OFAC, UN, HM Treasury) und Datenbanken politisch exponierter Personen.

Was zu bewerten ist:

  • Anzahl der abgedeckten Listen (Minimum: 1.500 Listen, 200+ Jurisdiktionen)
  • Aktualisierungsfrequenz (Standard: täglich; optimal: Echtzeit)
  • Fuzzy-Matching-Algorithmus (verarbeitet orthographische Varianten, Transliterationen, Aliase)
  • Falsch-Positiv-Rate (Benchmark: <5 % nach Kalibrierung)
  • Dokumentierte und auditfähige Whitelisting-Funktion

Bewertung 5/5: Umfassende Abdeckung, Echtzeitaktualisierung, fortschrittliches Fuzzy Matching mit Relevanzbewertung, Falsch-Positive <3 % nach Kalibrierung.

Kriterium 2: Transaktionsmonitoring (Gewichtung: 15 %)

Das Transaktionsmonitoring analysiert Finanzströme zur Erkennung verdächtiger Transaktionen. Es ist das Kriterium, das die Lösungen am stärksten voneinander unterscheidet.

Was zu bewerten ist:

  • Anzahl vorkonfigurierter Erkennungsszenarien (Minimum: 50 Standardszenarien)
  • Fähigkeit zur Erstellung benutzerdefinierter Szenarien (visueller Regeleditor vs. individuelle Entwicklung)
  • Erkennung komplexer Muster (Strukturierung, Layering, Round-Tripping)
  • Verarbeitungszeit (Echtzeitanalyse vs. täglicher Batchlauf)
  • Erkennungsrate für die von der FIU veröffentlichten Typologien

Bewertung 5/5: 100+ vorkonfigurierte Szenarien, No-Code-Regeleditor, Echtzeiterkennung, Abdeckung der FATF- und FIU-Typologien.

Kriterium 3: Alarmmanagement und Ermittlungsworkflow (Gewichtung: 12 %)

Eine Lösung, die Alarme generiert, ohne einen strukturierten Ermittlungsworkflow bereitzustellen, schafft mehr Probleme als sie löst. Das tägliche Alarmvolumen in einer mittelgroßen Bank erreicht 200 bis 500 pro Tag — ohne ein effektives Triage-Tool gehen die Analysten unter.

Was zu bewerten ist:

  • Automatisches Scoring und Priorisierung der Alarme
  • Ermittlungsoberfläche mit konsolidierter Ansicht (Kunde, Transaktionen, Dokumente, Historie)
  • Konfigurierbarer Workflow (Eskalationsstufen, Fristen, automatische Zuweisung)
  • Audit-Trail jeder Entscheidung (wer bearbeitet hat, welche Entscheidung, zu welchem Datum)
  • Erwartete Produktivität: Anzahl bearbeiteter Alarme pro Analyst pro Tag (Benchmark: 40-60)

Kriterium 4: Regulatorische Abdeckung und Reporting (Gewichtung: 12 %)

Die Lösung muss die von den Aufsichtsbehörden geforderten Meldungen und Berichte ohne manuelle Nachbearbeitung erstellen.

Was zu bewerten ist:

  • Automatische Generierung von Verdachtsmeldungen (goAML-Format für die FIU Deutschland)
  • Periodisches regulatorisches Reporting (BaFin-Fragebogen, Jahres-GwG-Bericht)
  • Multijurisdiktionale Abdeckung (SAR für UK, STR für FATF-Länder)
  • Register nicht gemeldeter verdächtiger Transaktionen (Archiv mit Begründung)
  • Anpassungsfähigkeit an regulatorische Änderungen (Aktualisierungsfrist nach Veröffentlichung eines neuen Textes)

Kriterium 5: Kundenrisikobewertung (Gewichtung: 10 %)

Der risikobasierte Ansatz (Risk-Based Approach) steht im Zentrum von AMLD6. Die Lösung muss eine Kundenklassifizierung nach Risikoniveau und eine entsprechende Anpassung der Sorgfaltspflichten ermöglichen.

Was zu bewerten ist:

  • Konfigurierbares Risikoscoring-Modell (Kunden-, geografische, Produkt- und Kanalfaktoren)
  • Anzahl der Risikoniveaus (Minimum: 3 — niedrig, mittel, hoch; optimal: 5 Stufen mit Granularität)
  • Automatische Neueinstufung bei Ereignissen (verdächtige Transaktion, Länderwechsel, Listenaufnahme)
  • Dokumentation der Methodik (von der BaFin bei Vor-Ort-Prüfungen gefordert)

Kriterium 6: Kundenkenntnis und Sorgfaltspflichten (Gewichtung: 8 %)

Über das initiale KYC hinaus muss die AML-Lösung die Sorgfaltspflichtstufen verwalten: vereinfacht (SDD), Standard (CDD) und verstärkt (EDD).

Was zu bewerten ist:

  • Automatisierung der Dokumentenerfassung nach Risikoniveau
  • Prüfung der wirtschaftlich Berechtigten (UBO) mit 15-%-Schwellenwert (AMLD6)
  • Verwaltung komplexer Strukturen (Beteiligungsketten, Trusts, Stiftungen)
  • Automatisierte periodische Überprüfung (ausgelöst durch Risikoniveau und Bestandsdauer)

Kriterium 7: Künstliche Intelligenz und maschinelles Lernen (Gewichtung: 8 %)

KI im AML-Bereich ist kein Marketing mehr. Die Regulierer (EBA, BaFin) ermutigen ausdrücklich zur Nutzung von KI, um Falsch-Positive zu reduzieren und neue Geldwäschemuster zu erkennen.

Was zu bewerten ist:

  • Art der verwendeten Modelle (überwacht, unüberwacht, Graph Neural Networks)
  • Erklärbarkeit der Entscheidungen (regulatorische Pflicht: jeder Alarm muss begründbar sein)
  • Lernfähigkeit auf Ihren Daten (vortrainiertes Modell vs. Fine-Tuning)
  • Gemessene Reduktion der Falsch-Positive (Benchmark: 40 bis 70 % Reduktion gegenüber einfachen Regeln)
  • Anomalieerkennung ohne vordefiniertes Szenario (essenziell für neue Typologien)

Kriterium 8: Technische Integration und API (Gewichtung: 7 %)

Die AML-Lösung muss sich in ein bestehendes Ökosystem einfügen: Kernbanksystem, CRM, Zahlungssysteme, DMS-Tools.

Was zu bewerten ist:

  • Dokumentierte REST-API mit Versionierung
  • Native Konnektoren (SWIFT, SEPA, gängige Kernbanksysteme)
  • Verarbeitungskapazität (Transaktionen pro Sekunde)
  • Durchschnittliche Integrationszeit (Benchmark: 8 bis 16 Wochen)
  • Unterstützung von Standarddatenformaten (ISO 20022, XML, JSON)

Kriterium 9: Datenverwaltung und Vertraulichkeit (Gewichtung: 5 %)

AML-Daten gehören zu den sensibelsten im Unternehmen. Ihre Verarbeitung unterliegt der DSGVO und den sektorspezifischen Vorschriften.

Was zu bewerten ist:

  • Datenlokalisierung (EU-Hosting für Daten europäischer Einwohner obligatorisch)
  • Verschlüsselung im Ruhezustand und bei Übertragung (mindestens AES-256)
  • Aufbewahrungsfristen (5 Jahre nach Ende der Geschäftsbeziehung gemäß GwG)
  • Recht auf Löschung vs. Aufbewahrungspflicht (Spannungsfeld zwischen DSGVO Art. 17 und § 8 GwG)
  • Sicherheitszertifizierung (ISO 27001, SOC 2 Type II)

Kriterium 10: Skalierbarkeit (Gewichtung: 3 %)

Die Lösung muss das Geschäftswachstum ohne Leistungseinbußen oder unverhältnismäßige Mehrkosten begleiten.

Was zu bewerten ist:

  • Cloud-native vs. On-Premise-Architektur (Auswirkung auf Skalierbarkeit)
  • Grenzkosten pro Transaktion bei steigendem Volumen
  • Multi-Entitäten-Fähigkeit (Verwaltung mehrerer Tochtergesellschaften, Marken, Jurisdiktionen)
  • Dokumentierte Leistung bei verschiedenen Volumenstufen

Kriterium 11: Support und Begleitung (Gewichtung: 3 %)

Der Support geht über den technischen Rahmen hinaus. Ein AML-Anbieter muss eine kontinuierliche regulatorische Begleitung bieten.

Was zu bewerten ist:

  • Supportverfügbarkeit (24/7, Geschäftszeiten, nur Werktage)
  • Supportsprache (Deutsch unverzichtbar für die Kommunikation mit der BaFin)
  • Regulatorische Beobachtung inklusive (Warnungen bei Neuerungen, Aktualisierung der Szenarien)
  • Dedizierter Customer Success Manager (ab welchem Abrechnungsvolumen)

Kriterium 12: Gesamtbetriebskosten (Gewichtung: 2 %)

Die TCO einer AML-Lösung übersteigen die Lizenzkosten bei Weitem. Detaillierte Preis-Benchmarks finden Sie in unserem Artikel zur Compliance-Software für Steuerberater und Wirtschaftsprüfer.

Was zu bewerten ist:

  • Tarifstruktur (pro Transaktion, pro Nutzer, Jahrespauschale)
  • Integrations- und Ersteinrichtungskosten
  • Wartungs- und Aktualisierungskosten (inklusive oder extra berechnet)
  • Schulungskosten (initial und laufend)
  • Ausstiegskosten (Datenmigration, vertragliche Reversibilität)

Auswahl-Checkliste: 30 Fragen an die Anbieter

Funktionalitäten und Erkennung (10 Fragen)

  1. Wie viele Sanktions- und PEP-Listen decken Sie ab, und wie häufig erfolgt die Aktualisierung?
  2. Verarbeitet Ihr Fuzzy-Matching-Algorithmus arabisch-lateinische Transliterationen und chinesische Zeichen?
  3. Wie viele Transaktionsmonitoring-Szenarien sind vorkonfiguriert, und können neue ohne Entwicklungsaufwand erstellt werden?
  4. Wie hoch ist Ihre gemessene Falsch-Positiv-Rate bei vergleichbaren Kundenprofilen?
  5. Sind Ihre KI-Modelle erklärbar im Sinne der EBA Guidelines on the Use of ML (EBA/GL/2024/06)?
  6. Erkennen Sie Kryptowert-Transaktionen und Cross-Chain-Transfers?
  7. Wie handhaben Sie die Erkennung wirtschaftlich Berechtigter in mehrstufigen Strukturen?
  8. Welche Abdeckung der von der FIU veröffentlichten Geldwäschetypologien bieten Sie?
  9. Bieten Sie unüberwachte Anomalieerkennung (ergänzend zu regelbasierten Szenarien)?
  10. Wie handhaben Sie Batch-Screening vs. Echtzeit-Screening, und wie hoch ist die Latenz?

Compliance und Reporting (8 Fragen)

  1. Generieren Sie automatisch Verdachtsmeldungen im goAML-Format für die FIU Deutschland?
  2. Erstellen Sie die für den BaFin-Fragebogen (GwG-Abschnitt) erforderlichen Elemente?
  3. Wie lang ist Ihre durchschnittliche Aktualisierungsfrist nach Veröffentlichung eines neuen Regelwerks?
  4. Decken Sie die AMLD6-Spezifika ab (UBO-Schwellenwert 15 %, zentralisierte Register, AMLA)?
  5. Wie dokumentieren Sie den Audit-Trail für jeden bearbeiteten Alarm?
  6. Unterstützen Sie multijurisdiktionale Meldungen (SAR UK, STR etc.)?
  7. Wie gehen Sie mit dem Spannungsfeld DSGVO vs. GwG-Aufbewahrungspflichten um?
  8. Liefern Sie vorstands-taugliche GwG-Tätigkeitsberichte?

Technik und Integration (7 Fragen)

  1. Ist Ihre API in OpenAPI 3.0+ dokumentiert und mit einer Sandbox-Umgebung verfügbar?
  2. Welche nativen Konnektoren bieten Sie (Kernbanksystem, CRM, Zahlungssysteme)?
  3. Wie lang ist die durchschnittliche Integrationszeit bei Ihren Kunden?
  4. Wie hoch ist Ihre Verarbeitungskapazität (Transaktionen pro Sekunde) und Ihr Verfügbarkeits-SLA?
  5. Wo werden die Daten gehostet, und bieten Sie souveränes europäisches Hosting?
  6. Verfügen Sie über ISO-27001- und/oder SOC-2-Type-II-Zertifizierungen?
  7. Wie handhaben Sie Versionsupdates ohne Dienstunterbrechung?

Kommerzielles und Support (5 Fragen)

  1. Wie ist Ihre Tarifstruktur, und wie entwickeln sich die Kosten bei steigendem Volumen?
  2. Welche Integrations-, Schulungs- und Migrationskosten sind inklusive oder werden extra berechnet?
  3. Bieten Sie einen dedizierten Customer Success Manager und Support auf Deutsch?
  4. Welche Reversibilitäts- und Datenportabilitätsbedingungen gelten bei Vertragsende?
  5. Wie lang ist die Kündigungsfrist, und welche Vertragsstrafen gelten bei vorzeitiger Beendigung?

Bewertungsraster: Lösungen parallel bewerten

Verwenden Sie dieses Modell, um jede evaluierte Lösung zu bewerten. Multiplizieren Sie die Note (1 bis 5) mit der Gewichtung, um eine gewichtete Punktzahl zu erhalten. Die maximale Gesamtpunktzahl beträgt 500.

Kriterium Gewichtung (%) Lösung A (Note × Gew.) Lösung B (Note × Gew.) Lösung C (Note × Gew.)
1. Sanktions-/PEP-Filterung 15 ___ / 75 ___ / 75 ___ / 75
2. Transaktionsmonitoring 15 ___ / 75 ___ / 75 ___ / 75
3. Alarmmanagement 12 ___ / 60 ___ / 60 ___ / 60
4. Regulatorische Abdeckung 12 ___ / 60 ___ / 60 ___ / 60
5. Risikobewertung 10 ___ / 50 ___ / 50 ___ / 50
6. Sorgfaltspflichten (KYC/KYB) 8 ___ / 40 ___ / 40 ___ / 40
7. KI und maschinelles Lernen 8 ___ / 40 ___ / 40 ___ / 40
8. Technische Integration 7 ___ / 35 ___ / 35 ___ / 35
9. Daten und Vertraulichkeit 5 ___ / 25 ___ / 25 ___ / 25
10. Skalierbarkeit 3 ___ / 15 ___ / 15 ___ / 15
11. Support 3 ___ / 15 ___ / 15 ___ / 15
12. TCO 2 ___ / 10 ___ / 10 ___ / 10
Gesamt 100 ___ / 500 ___ / 500 ___ / 500

Entscheidungsschwellen:

  • Punktzahl >400: Reife und vollständige Lösung, zu bevorzugen
  • Punktzahl 300-400: Solide Lösung mit identifizierten Verbesserungsbereichen
  • Punktzahl 200-300: Teillösung, erfordert Ergänzungen oder eignet sich nur für begrenzte Anforderungen
  • Punktzahl <200: Für die AML-Anforderungen eines verpflichteten Unternehmens ungeeignet

Klassische Fallen bei der AML-Lösungsauswahl

Falle 1: Technologisches Lock-in

Einige Anbieter erschweren die Migration absichtlich: proprietäre Datenformate, kein standardisierter Export der Audit-Historien, nicht portable Erkennungsszenarien. Die Migrationskosten einer AML-Lösung liegen für ein mittelgroßes Unternehmen zwischen 50.000 und 300.000 €. Verhandeln Sie die Portabilität bereits im Erstvertrag.

Falle 2: Die Compliance-Lücke zwischen Marketing und Realität

„AMLD6-konform" ist eine Behauptung, die 2026 alle Anbieter aufstellen. Aber AMLD6 ist kein binäres Label. Prüfen Sie konkret: Ist das Register der wirtschaftlich Berechtigten in Echtzeit mit den nationalen Registern verbunden? Ist der 15-%-Schwellenwert implementiert? Decken die Erkennungsszenarien die neuen Kryptowert-Typologien ab? Fordern Sie eine detaillierte Konformitätsmatrix Artikel für Artikel.

Falle 3: Versteckte Kosten

Die sichtbaren Kosten (Lizenz oder Transaktionspreis) machen 40 bis 60 % der tatsächlichen TCO aus. Versteckte Kosten umfassen:

  • Szenarienkonfiguration: 10.000 bis 50.000 €, wenn nicht in der Lizenz enthalten
  • Laufende Schulung: 3.000 bis 10.000 €/Jahr (Regulierer verlangen eine jährliche Schulung der GwG-Teams)
  • Regulatorische Updates: Einige Anbieter berechnen jedes Szenario-Update nach regulatorischen Änderungen separat
  • Jährliche Überprüfung des Dispositivs: Die BaFin erwartet eine dokumentierte Jahresüberprüfung — wenn die Lösung dies nicht erleichtert, kommen manuelle Erstellungskosten hinzu

Falle 4: Die KI-Illusion

„Powered by AI" bedeutet ohne Kennzahlen nichts. Fragen Sie: Wie hoch ist die gemessene Reduktion der Falsch-Positiven bei vergleichbaren Kunden? Sind die KI-Entscheidungen erklärbar und dokumentiert (regulatorische Pflicht der EBA)? Ist das Modell auf europäischen oder nur auf amerikanischen Daten trainiert? Ein auf amerikanische Geldwäschetypologien trainiertes Modell erkennt schlecht die für den europäischen Markt spezifischen Muster (Immobiliengesellschaften, Holdings in Luxemburg).

Falle 5: Change Management vernachlässigen

Das beste AML-Tool am Markt scheitert, wenn die Teams es nicht korrekt nutzen. Planen Sie Budget und Zeitplan für Change Management: intensive Erstschulung (3-5 Tage), operative Begleitung über 3 Monate, Prozessüberprüfung nach 6 Monaten. Die Adoptionsrate nach 6 Monaten sollte 85 % übersteigen.

Auswahlmethodik in 5 Schritten

Schritt 1: Bedarfe kartieren (2-3 Wochen)

Bevor Sie Anbieter kontaktieren, dokumentieren Sie Ihre Situation:

  • Volumetrie: Anzahl der Kunden, Transaktionen, zu prüfenden Gegenparteien
  • Regulatorischer Perimeter: Welche spezifischen Pflichten (BaFin, FCA, ACPR etc.)
  • Bestehende Systeme: Kernbanksystem, CRM, aktuelle Tools, Datenflüsse
  • Organisation: Größe des Compliance-Teams, aktuelle Prozesse, Pain Points
  • Budget: Jahresbudget, Investitionskapazität im ersten Jahr

Erstellen Sie ein strukturiertes Lastenheft von 15 bis 20 Seiten. Dieses Dokument dient als Grundlage für die Ausschreibung.

Schritt 2: 3 bis 5 Lösungen vorauswählen (2 Wochen)

Senden Sie das Lastenheft an 6 bis 8 Anbieter und fordern Sie eine strukturierte schriftliche Antwort an. Eliminieren Sie anhand von Ausschlusskriterien:

  • Fehlende lokale regulatorische Abdeckung (Deutschland/BaFin)
  • Kein europäisches Datenhosting
  • SLA unter 99,5 %
  • Kein deutschsprachiger Support

Behalten Sie 3 bis 5 Lösungen für die Demonstrationsphase.

Schritt 3: Demos und POC (4-6 Wochen)

Für jede vorausgewählte Lösung:

  1. Geführte Demo (2 Stunden): Durchgang der Schlüsselfunktionen mit Ihren Anwendungsfällen
  2. Umgekehrte Demo (2 Stunden): Sie steuern, der Anbieter unterstützt
  3. POC (2-4 Wochen): Test mit einer Stichprobe realer Daten (200-500 Kunden, 1 Monat Transaktionen)

Der POC muss konkret messen: Falsch-Positiv-Rate, Erkennungsrate, Bearbeitungszeit eines Alarms und Qualität des generierten Reportings.

Schritt 4: Verhandlung und Vertragsschluss (2-4 Wochen)

Prioritäre Verhandlungspunkte:

  • Preisgestaltung: Preisverpflichtung über 3 Jahre mit volumenabhängiger Revisionsklausel
  • SLA: Finanzielle Vertragsstrafen bei Nichteinhaltung (Service-Credits)
  • Reversibilität: Datenportabilität in Standardformat (JSON, CSV), Migrationsunterstützung inklusive
  • Regulatorische Updates: In der Lizenz enthalten, nicht extra berechnet
  • Auditklausel: Recht zur Prüfung der Sicherheitsmaßnahmen und Compliance des Anbieters

Schritt 5: Implementierung und Hochlauf (8-16 Wochen)

Die Implementierung folgt vier Phasen:

  1. Technische Integration (3-4 Wochen): API-Anbindung, Datenflüsse, Integrationstests
  2. Fachliche Konfiguration (2-3 Wochen): Szenarienkonfiguration, Schwellenwertkalibrierung, Risikoprofile
  3. Parallelbetrieb (3-4 Wochen): Parallel laufendes Alt-/Neusystem, Ergebnisvergleich
  4. Umstellung und Optimierung (2-4 Wochen): Produktivgang, intensives Monitoring, Schwellenwertanpassung

Planen Sie in den ersten 6 Monaten einen zweiwöchentlichen Lenkungsausschuss mit Tracking-KPIs: Falsch-Positiv-Rate, Analystenproduktivität, Alarmbearbeitungszeit, Teamzufriedenheit.

Häufig gestellte Fragen

Was ist der Unterschied zwischen einer AML- und einer KYC-Lösung?

KYC (Know Your Customer) konzentriert sich auf die Identitätsprüfung des Kunden bei Begründung der Geschäftsbeziehung: Ausweisdokumente, Adresse, wirtschaftlich Berechtigte. AML deckt einen breiteren Bereich ab: laufendes Transaktionsmonitoring, Sanktionslistenfilterung, Erkennung von Geldwäschemustern, Verdachtsmeldungen. In der Praxis ergänzen sich beide. Einige Lösungen decken beides ab (Sumsub, Jumio), andere spezialisieren sich auf AML (ComplyAdvantage, Napier, NICE Actimize).

Wie lang dauert die Implementierung einer AML-Lösung?

Rechnen Sie mit 12 bis 24 Wochen für eine vollständige Implementierung: technische Integration (3-4 Wochen), Szenarienkonfiguration (2-3 Wochen), Parallelbetrieb (3-4 Wochen), Hochlauf (2-4 Wochen) plus eine Stabilisierungsphase von 4 bis 8 Wochen. Cloud-native Lösungen verkürzen die technische Integrationsphase. Eine übereilte Implementierung in 6 Wochen produziert ein schlecht kalibriertes System mit über 90 % Falsch-Positiven.

Welches Budget ist für eine AML-Lösung einzuplanen?

Das Jahresbudget reicht von 25.000 € für ein kleines verpflichtetes Unternehmen (Vermittler, Early-Stage-Fintech) bis über 500.000 € für eine Retailbank. Die TCO umfassen die Lizenz (40-60 % der Gesamtkosten), Integration (15-25 %), Schulung (5-10 %) und laufende Betriebskosten (manuelle Alarmbearbeitung, Wartung). Für eine Schnellschätzung: Rechnen Sie mit 3 bis 8 € pro aktivem Kunden pro Jahr bei Gesamttarifierung.

Ersetzt eine AML-Lösung den Compliance-Beauftragten?

Nein. Die Lösung automatisiert Erkennung und Filterung, aber Entscheidungen über Verdachtsmeldungen, Risikopolitik und die Beziehung zu den Aufsichtsbehörden bleiben menschliche Verantwortungsbereiche. Die BaFin verlangt einen benannten GwG-Beauftragten und ein Internes Kontrollsystem unter Leitung eines identifizierten Compliance-Verantwortlichen. Die Lösung ist ein Werkzeug im Dienst dieses Verantwortlichen, kein Ersatz.

Woran erkennt man, dass die aktuelle AML-Lösung veraltet ist?

Fünf Warnsignale: Falsch-Positiv-Rate über 85 %, keine Erkennung von Kryptowert-Transaktionen, keine AMLD6-Unterstützung (UBO-Schwellenwert 15 %, zentralisierte Register), Unfähigkeit zur Erstellung von Verdachtsmeldungen im goAML-Format, und Alarmbearbeitungszeit über 25 Minuten. Wenn drei dieser fünf Kriterien zutreffen, ist eine Migration innerhalb der nächsten 12 Monate zu planen.

Deckt CheckFile AML oder nur Dokumentenprüfung ab?

CheckFile positioniert sich im Bereich der KI-gestützten Dokumentenprüfung: Extraktion, Validierung und Echtheitskontrolle von KYC- und KYB-Dokumenten. Für Transaktionsmonitoring und Sanktionslistenfilterung lässt sich CheckFile über API mit spezialisierten AML-Lösungen verbinden. Dieser modulare Ansatz ermöglicht es Unternehmen, das beste Dokumentenprüfungstool mit dem besten AML-Tool zu kombinieren, ohne von einer monolithischen Suite abhängig zu sein.

Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine Rechts-, Finanz- oder Regulierungsberatung dar.

Jetzt loslegen

Entdecken Sie unsere Angebote passend zu Ihrem Volumen und sprechen Sie mit einem Experten.

Verwandte Artikel

Compliance12 min

KYC-Lösungen im Vergleich: Funktionen, Preise und Compliance

Detaillierter Vergleich von KYC-Lösungen für Unternehmen: Kriterien, Bewertungsraster, Preismodelle und regulatorische Abdeckung 2026.

Lesen
Compliance8 min

Transaction Monitoring AML: Regeln und Signale

Umfassender Leitfaden zum AML Transaction Monitoring für Unternehmen: Erkennungsregeln, regulatorische Schwellenwerte

Lesen
Compliance8 min

PEP Screening: PEP identifizieren (2026)

Vollständiger Leitfaden zum PEP Screening: Definition, BaFin- und GwG-Pflichten, Identifikationsprozess für politisch exponierte Personen

Lesen