AI Regulatory Intelligence — by YRproject

sachliche Einordnung · nachvollziehbar bis zur Primärquelle

Compliance-Plattform Zusammenarbeiten LinkedIn NL·EN·DE
Erläuterung

KI bei der Geldwäschebekämpfung und Transaktionsüberwachung

Verabschiedet 2026-06-22 · ≈ 2 Min. Lesezeit · Dirk Baaijen

KI zur Geldwäschebekämpfung steht nicht in Anhang III der KI-Verordnung, daher meist kein Hochrisiko. Der Schwerpunkt liegt beim EU-Geldwäschepaket und der DSGVO. Achten Sie auf die Überschneidung mit der Betrugsausnahme und auf Bias beim Melden verdächtiger Transaktionen.

Kurze Antwort: KI zur Geldwäschebekämpfung (AML) und Transaktionsüberwachung kommt in Anhang III der KI-Verordnung nicht vor und ist daher in der Regel kein Hochrisiko. Der Schwerpunkt liegt beim EU-Geldwäschepaket und bei der DSGVO. Dennoch ist dies kein freier Raum: Die Aufsichtspflichten nach dem AML-Recht sind streng, und Bias beim Melden verdächtiger Transaktionen kann Kunden zu Unrecht treffen.

Kein Anhang III, aber stark reguliert

Die KI-Verordnung führt keine AML- oder Transaktionsüberwachungssysteme als Hochrisiko auf. Das bedeutet nicht, dass sie unreguliert sind: Die gesetzliche Pflicht, Geldwäsche aufzudecken und zu melden, ergibt sich aus dem AML-Recht selbst. KI ist hier das Mittel, nicht die Grundlage. Die allgemeinen Bestimmungen der KI-Verordnung (etwa Transparenz und die Vorschriften für KI mit allgemeinem Verwendungszweck) gelten weiter.

Das EU-Geldwäschepaket

Das 2024 verabschiedete EU-Geldwäschepaket bündelt die Vorschriften unter anderem in einer unmittelbar geltenden Geldwäscheverordnung und richtet eine europäische Aufsichtsbehörde ein, die AMLA. Kernanforderungen, die die KI-Überwachung berühren:

  • Kundensorgfaltspflichten und fortlaufende Überwachung: Verpflichtete müssen Transaktionen weiterhin auf ungewöhnliche Muster verfolgen.
  • Meldung verdächtiger Transaktionen: Ein Signal des Systems muss zu einer menschlichen Bewertung und gegebenenfalls zu einer Meldung an die zentrale Meldestelle (FIU) führen.
  • Risikobasierter Ansatz: Der Mitteleinsatz muss im Verhältnis zum Geldwäscherisiko stehen.

KI hilft beim skalierbaren Erkennen, aber die rechtliche Verantwortung für die Meldung und die Bewertung verbleibt bei der Verpflichteten.

Überschneidung mit der Betrugsausnahme und der DSGVO

Die AML-Überwachung grenzt an die Betrugserkennung. Soweit ein System Finanzbetrug aufdeckt, fällt es unter die Ausnahme der KI-Betrugserkennung und nicht unter die Kredit-Hochrisikokategorie. Die AML-Überwachung selbst steht ohnehin nicht in Anhang III. In beiden Fällen ist die DSGVO vollständig anwendbar: Rechtsgrundlage, Zweckbindung und Transparenz, mit der Anmerkung, dass AML-Meldepflichten eine eigene gesetzliche Grundlage bieten. Läuft ein automatisiertes Signal auf eine einschneidende Entscheidung hinaus (etwa eine Sperrung), greift Art. 22 DSGVO und es ist menschliches Eingreifen erforderlich.

Was zu tun ist

  • Halten Sie den Menschen in der Schleife: Lassen Sie jedes KI-Signal durch einen Analysten bewerten, bevor eine Meldung oder Maßnahme erfolgt.
  • Beherrschen Sie False Positives und Bias: Überwachen Sie, ob bestimmte Gruppen unverhältnismäßig oft markiert werden.
  • Sichern Sie den DSGVO-Weg: Halten Sie Rechtsgrundlage, Speicherfristen und Betroffenenrechte fest, mit Blick auf Art. 22.
  • Dokumentieren Sie Modellentscheidungen: Machen Sie die Erkennungslogik für die AMLA und die nationalen Aufsichtsbehörden erklärbar.
  • Verbinden Sie dies mit Ihrem KI-Governance-Rahmenwerk und überwachen Sie die Datenqualität fortlaufend.

AML-KI ist keine Hochrisiko-KI nach der KI-Verordnung, steht aber unter einem strengen eigenen Regime. Der Mensch entscheidet über die Meldung; das Modell liefert das Signal.

Quellen

  1. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
    Verordnung (EU) 2024/1689 (KI-Verordnung): risikobasierte Einstufung; Transaktionsüberwachung/AML steht nicht in Anhang III.
  2. https://eur-lex.europa.eu/eli/reg/2016/679/oj
    Verordnung (EU) 2016/679 (DSGVO): Verarbeitung personenbezogener Daten und automatisierte Entscheidung bei der AML-Überwachung.

Share on LinkedIn

Lesen Sie auch

A

DSFA für HR-KI: wann verpflichtend und wie kombiniert man sie mit der FRIA?

Eine DSFA (Art. 35 DSGVO) ist bei umfangreicher Überwachung und Hochrisiko-KI im HR verpflichtend. Dieser Artikel erklärt, was hineingehört und wie man die DSFA mit der FRIA (Art. 27 KI-Verordnung) zu einem Verfahren bündelt. Mit Schritt-für-Schritt-Plan.

W

Die KI-Verordnung für den DSB: Zusammenspiel mit der DSGVO

KI-Verordnung und DSGVO überschneiden sich, sind aber nicht dasselbe. Der DSB ist nicht automatisch für die KI-Compliance verantwortlich, spielt aber eine Schlüsselrolle, wo KI personenbezogene Daten verarbeitet. Diese Übersicht erläutert die Berührungspunkte und die Grenze der DSB-Rolle.

U

KI in Non-Profits und gemeinnützigen Organisationen: Fundraising, Profiling und begrenzte Mittel

Gemeinnützige Organisationen nutzen KI für Fundraising und Spenderprofiling mit begrenzten Mitteln. Es gelten dieselben Regeln wie für Unternehmen: die DSGVO beim Profiling und die KI-Verordnung bei riskanten Anwendungen — ein Non-Profit-Status begründet keine Ausnahme.

Dirk Baaijen

Über diese Wissensdatenbank

Zusammengestellt und gepflegt von YRproject — Programm- und Projektsteuerung an der Schnittstelle von digitaler Transformation, KI und Regulierung. Jede sachliche Aussage ist bis zur Primärquelle nachvollziehbar. Hinter YRproject steht Dirk Baaijen Über & Methode →

Ein Projekt oder Programm? Mit YRproject arbeiten →

Das monatliche Briefing

KI-Regulierung in fünf Minuten: was sich geändert hat, was kommt und was es bedeutet. Kein Spam, jederzeit abbestellbar.

Ihre Adresse wird nur hierfür verwendet und auf eigenen Servern gespeichert.