EU-AMLR/AMLA-Konformitäts-Self-Assessment

# Context (C)
Du unterstützt ein Self-Assessment eines deutschen Kreditinstituts gegen
die EU-AMLR und den AMLA-Aufsichtsrahmen. Rechtsstand: <heutiges Datum>.
Inputs pseudonymisiert.

# Role (R)
AML-Compliance-Beratungs-Assistenz. Du kennst die EU-AMLR-Struktur, das
AMLA-Mandat, die EU-AML-Richtlinie 6 (AMLD6), die deutsche Umsetzung
(GwG-Reform 2026/2027), BaFin-Auslegungs- und Anwendungshinweise GwG
(Update 29.11.2024). Du behauptest nicht, jede AMLR-Artikel-Nummer
auswendig zu kennen; bei Unsicherheit gibst du Hinweise zur Verifikation
gegen EUR-Lex aus.

# Action (A)
1. Pflicht-Cluster: bilde Cluster (KYC-Onboarding, EDD, SDD, UBO,
   Transaktionsmonitoring, SAR-Meldung, Schulung, Governance, Outsourcing).
2. Pro Cluster: liste die im Input enthaltenen Policy-Punkte vs. die
   typischen AMLR-Anforderungen.
3. Pro Pflicht: Status (erfüllt / teilweise / nicht erfüllt / nicht
   anwendbar) mit Begründung in max. 3 Sätzen.
4. Lücken-Liste mit Priorität (hoch/mittel/niedrig) und Maßnahmenvorschlag.
5. `[VERIFY: …]` für alle AMLR-Artikel-Bezüge.

# Format (F)
- Cluster-Block.
- Pflicht-für-Pflicht-Tabelle pro Cluster.
- Lücken-Liste mit Priorität.
- Empfohlene Maßnahmen mit zeitlicher Reihenfolge.

# Target Audience (T)
MLRO, Rechtsabteilung, Vorstand. Präzise; keine erfundenen AMLR-Artikel-
Nummern.

Auszug interner Policy [[Aktenzeichen-9b3d]] (KYC-Onboarding
Privatkunden):
- Identifikation: ausschließlich Video-Ident (IDnow),
  keine Vor-Ort-Identifikation
- Risikoklassifizierung: dreistufig (niedrig/mittel/erhöht)
  automatisch per Scoring-Tool, manuelle Endprüfung bei „erhöht“
- Periodic Review: niedrig 5 Jahre, mittel 3 Jahre, erhöht 1 Jahr
- EDD bei „erhöht“: Herkunfts-der-Mittel-Nachweis
  Schwelle 100.000 EUR

Schulung:
- Pflichtschulung GwG 1x/Jahr Online; Quote 2025: 87 %

Tool-Inventar:
- ACTICO MLDS (TMS), LSEG World-Check (Screening),
  IDnow (Video-Ident)
- KI-Inventar: nur ACTICO-Lernmodul gelistet,
  anymize-Pseudonymisierung fehlt im Inventar

Letzte SAR-Meldung: [[Datum-7f2a]], Vier-Augen-Freigabe MLRO.

## Cluster KYC-Onboarding
| Pflicht (typisch AMLR) | Policy-Status | Bewertung | Maßnahme |
|---|---|---|---|
| Identitätsfeststellung mit anerkannten Verfahren |
  nur Video-Ident IDnow | teilweise erfüllt |
  Vor-Ort-Identifikation als Ausweich-Verfahren ergänzen
  [VERIFY: AMLR-Identitäts-Artikel] |
| Risikoklassifizierung 3+ Stufen |
  dreistufig automatisch + Mensch bei „erhöht“ | erfüllt | – |
| Periodic Review risikoorientiert | 1/3/5 Jahre | erfüllt | – |
| EDD-Pflicht bei Hochrisiko inkl. Herkunfts-der-Mittel |
  EDD-Schwelle 100.000 EUR | teilweise |
  EDD ohne Schwelle bei Hochrisiko-Klasse, Schwelle nur bei mittel
  [VERIFY: AMLR-EDD-Artikel] |

## Cluster Schulung
| Pflicht | Policy-Status | Bewertung |
|---|---|---|
| Mitarbeiter-Schulung mindestens jährlich |
  1x/Jahr Online; Quote 87 % | teilweise — Quote unter 100 %,
  kein Nachholverfahren dokumentiert |

## Cluster Governance / KI-Inventar (BaFin-Orientierungshilfe Dez. 2025)
| Pflicht | Policy-Status | Bewertung |
|---|---|---|
| Vollständiges KI-Inventar |
  ACTICO-Lernmodul gelistet, anymize-Pseudonymisierung nicht gelistet |
  nicht erfüllt — Schatten-KI |

## Lücken-Liste mit Priorität
1. **Hoch**: Schatten-KI „anymize-Pseudonymisierung“ nicht im KI-Inventar
   — sofort eintragen, Risiko-Klassifikation vornehmen.
2. **Hoch**: EDD-Schwellen-Anwendung prüfen — bei Hochrisiko-Klasse
   keine Schwelle zulässig.
3. **Mittel**: Schulungsquote 87 % — Nachhol-Verfahren etablieren.
4. **Mittel**: Identifikationsverfahren um Vor-Ort-Option ergänzen.

## Maßnahmen-Reihenfolge
1. Sofort (≤ 30 Tage): KI-Inventar-Update.
2. ≤ 90 Tage: EDD-Policy-Update.
3. ≤ 180 Tage: Schulungs-Nachhol-Verfahren.
4. ≤ 12 Monate: Vor-Ort-Identifikation als Ausweich-Verfahren.