KYC in Deutschland: Diese Pflichten müssen Unternehmen erfüllen

Identity
Identity

Mit Stripe Identity verifizieren Sie Nutzeridentitäten ohne großen Aufwand. So schützen Sie sich nicht nur vor Betrugsversuchen, sondern vereinfachen auch den Anmeldevorgang.

Mehr erfahren 
  1. Einführung
  2. Was ist KYC und welchen Zweck erfüllt es?
  3. Warum und wie unterscheiden sich die KYC-Anforderungen in Deutschland?
    1. Gesetzliche Vorschriften
    2. Transparenzregister
    3. BaFin
  4. Welche KYC-Anforderungen müssen deutsche Unternehmen erfüllen?
    1. Allgemeine Sorgfaltspflichten
    2. Interne Sicherungsmaßnahmen
    3. Risikoanalyse
    4. Aufbewahrungspflicht
    5. Meldepflicht
  5. Mit Stripe loslegen 

Compliance und KYC sind in Europa nicht voneinander zu trennen. EU-Richtlinien haben zu einer Harmonisierung der gesetzlichen Regelungen geführt; dennoch gibt es weiterhin Unterschiede in den einzelnen Mitgliedsstaaten. In diesem Artikel erfahren Sie, was KYC ist und warum sich die KYC-Verfahren in Deutschland im Vergleich zu anderen EU-Ländern unterscheiden. Zudem klären wir, welche Bedeutung KYC für deutsche Unternehmen hat und welche Anforderungen sie erfüllen müssen, um rechtskonform zu handeln.

Worum geht es in diesem Artikel?

  • Was ist KYC und welchen Zweck erfüllt es?
  • Warum und wie unterscheiden sich die KYC-Anforderungen in Deutschland?
  • Welche KYC-Anforderungen müssen deutsche Unternehmen erfüllen?

Was ist KYC und welchen Zweck erfüllt es?

Die Abkürzung KYC steht für „Know Your Customer“, frei übersetzt: „Kenne deine Kundin“ beziehungsweise „Kenne deinen Kunden“. Das KYC-Prinzip setzt internationale Standards zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung, Betrug, Korruption und sonstiger Wirtschaftskriminalität um. Es umfasst eine Reihe von Vorschriften und Verfahren, die primär der Identifikation und Verifizierung von Kundinnen und Kunden, deren Eigentumsstrukturen und finanzieller Hintergründe dienen.

Das KYC-Verfahren soll potenzielle Risiken in neuen oder bestehenden Geschäftsbeziehungen aufdecken – beispielsweise Briefkastenfirmen oder finanzielle Mittel aus fragwürdigen Quellen. Für Unternehmen ist KYC von Bedeutung, weil es ihnen durch die Identifikation ihrer Kundinnen und Kunden hilft, Betrug zu verhindern. Im Wesentlichen geht es darum zu verifizieren, dass die Kundinnen und Kunden tatsächlich diejenigen sind, die sie vorgeben zu sein.

KYC wird weltweit in verschiedenen Branchen eingesetzt, vor allem dort, wo es um finanzielle Transaktionen und regulatorische Compliance geht. Zu den wichtigsten Branchen gehören:

  • Finanzsektor: Banken, Versicherungen, Kreditinstitute und Zahlungsdienstleister/innen sind gesetzlich verpflichtet, KYC-Maßnahmen durchzuführen.
  • E-Commerce und Marktplätze: Plattformen mit finanziellen Transaktionen setzen KYC zur Betrugsprävention ein.
  • FinTech und Kryptowährungen: Krypto-Börsen und Wallet-Anbieter/innen müssen Kundenidentitäten prüfen, um unter anderem Geldwäsche zu verhindern.
  • Immobilienwirtschaft: Beim Kauf oder der Vermittlung von Immobilien müssen Kundinnen und Kunden auf ihre wirtschaftlichen Verhältnisse geprüft werden.
  • Rechts- und Unternehmensberatung: Anwaltskanzleien und Wirtschaftsprüfer/innen nutzen KYC zur Überprüfung von Mandantinnen und Mandanten sowie Geschäftspartnerinnen und -partnern.

In vielen Ländern ist KYC ein zentraler Bestandteil regulatorischer Vorgaben. Die konkreten Anforderungen variieren jedoch je nach Region erheblich und können damit für international tätige Unternehmen zur Herausforderung werden. Einige Länder haben sehr strikte Vorgaben, andere Länder bieten mehr Flexibilität.

In den USA sind die Vorgaben für KYC-Compliance verhältnismäßig streng geregelt. Der Patriot Act und der Bank Secrecy Act verlangen umfassende Identitätsprüfungen, um illegale Finanzströme frühzeitig zu erkennen und zu unterbinden. Finanzinstitute müssen nicht nur Kundinnen und Kunden verifizieren, sondern auch deren Transaktionen kontinuierlich überwachen, um verdächtige Aktivitäten zu melden.

In Asien gewinnt KYC zunehmend an Bedeutung. In Finanzzentren wie Singapur und Hongkong gibt es klare Vorgaben für Banken und andere Finanzdienstleister/innen zur Identitätsprüfung. In der Europäischen Union wird KYC durch die Geldwäscherichtlinie geregelt, die einheitliche Mindeststandards für alle Mitgliedstaaten festlegt. Trotz gemeinsamer Ziele bestehen länderspezifische Unterschiede in der Umsetzung.

Warum und wie unterscheiden sich die KYC-Anforderungen in Deutschland?

Deutsche Unternehmen stehen vor einer besonderen Herausforderung bei der KYC-Compliance. Hierfür gibt es verschiedene Gründe.

Gesetzliche Vorschriften

In Deutschland werden die EU-Geldwäscherichtlinien mit dem „Gesetz über das Aufspüren von Gewinnen aus schweren Straftaten“ (GwG) in nationales Recht umgesetzt. Das Geldwäschegesetz gilt im internationalen Vergleich als verhältnismäßig streng und detailliert. Die Anforderungen an die Identitätsprüfung von Kundinnen und Kunden sowie an die Dokumentations- und Meldepflichten sind hoch. Deutsche Banken müssen beispielsweise nicht nur bei einer Kontoeröffnung oder großen Transaktionen KYC-Checks durchführen. Sie sind verpflichtet, die Geschäftsbeziehungen regelmäßig zu kontrollieren, um Verdachtsmomente frühzeitig melden zu können. Diese kontinuierliche Überprüfung erfordert hohe Investitionen in Compliance-Prozesse und -Systeme.

Transparenzregister

Ein weiterer zentraler Unterschied zu anderen europäischen Ländern ist das deutsche Transparenzregister. Das Transparenzregister ist eine Datenbank, die Informationen über wirtschaftlich Berechtigte (siehe § 3 GwG) von Unternehmen enthält und der Bekämpfung von Geldwäsche und Steuerhinterziehung dient. Behörden und andere Unternehmen können über das Register verdächtige Aktivitäten aufdecken, Geldflüsse nachvollziehen und versteckte Vermögensverhältnisse identifizieren.

Seit dem 1. August 2021 ist das deutsche Transparenzregister ein sogenanntes Vollregister. Damit sind nahezu alle inländischen Unternehmen dazu verpflichtet, ihre wirtschaftlich Berechtigten mit vollständigen Datensätzen zu melden. In anderen EU-Ländern bleibt das Transparenzregister ein sogenanntes Auffangregister, in dem Unternehmen nur dann Angaben machen müssen, wenn die wirtschaftlich Berechtigten nicht in anderen offiziellen Quellen zu finden sind. Damit ist der Verwaltungsaufwand für Unternehmen in Deutschland höher: Sie müssen immer eine separate Meldung machen.

Darüber hinaus sind Unternehmen in Deutschland gesetzlich verpflichtet, ihre Angaben regelmäßig zu prüfen und zu aktualisieren. Verstöße gegen die Transparenzpflichten können als Ordnungswidrigkeit zu Bußgeldern in Höhe von 150.000 € führen. Schwerwiegende, wiederholte oder systematische Verstöße können im Einzelfall mit einem Bußgeld von 5 Millionen € oder zehn Prozent des Gesamtumsatzes geahndet werden. In anderen EU-Ländern können die Strafen geringer ausfallen beziehungsweise werden seltener durchgesetzt.

BaFin

Die starke Rolle der BaFin ist ein weiterer Unterschied zu anderen Ländern in puncto KYC. Die Bundesanstalt für Finanzdienstleistungsaufsicht kontrolliert als Finanzaufsichtsbehörde für Deutschland unter anderem Banken und deren Geschäfte. KYC und Compliance gehen dabei Hand in Hand, denn die BaFin erhält nicht nur Einblicke in die Bilanzen, sondern auch in die Geschäftspraktiken der Banken. Verstöße werden mit Sanktionen geahndet, die von Abmahnungen und Bußgeldern bis zum Entzug der Banklizenz reichen können. In Deutschland müssen Finanzinstitute und andere Unternehmen mit einer sehr intensiven Überwachung und schnellen Sanktionierung bei Verfehlungen rechnen. In anderen Ländern sind vergleichbare Aufgaben oft auf mehrere Behörden verteilt, was zu einer weniger stringenten Kontrolle führen kann.

Welche KYC-Anforderungen müssen deutsche Unternehmen erfüllen?

Deutsche Unternehmen müssen dem Geldwäschegesetz folgend zahlreiche Anforderungen im Rahmen des KYC-Verfahrens erfüllen. Die wichtigsten Anforderungen finden Sie nachfolgend im Überblick.

Allgemeine Sorgfaltspflichten

In § 10 GwG sind die allgemeinen Sorgfaltspflichten aufgelistet, denen Verpflichtete in puncto KYC nachkommen müssen, um Compliance zu gewährleisten. Dies sind unter anderem:

  • die Identifizierung der Vertragspartner/innen
  • die Feststellung, ob die Vertragspartner/innen für wirtschaftlich Berechtigte handeln und gegebenenfalls eine Identifizierung dieser Personen
  • die Feststellung, ob die Vertragspartner/innen politisch exponierte Personen sind oder diesen nahestehen
  • die Klärung des Zwecks der Geschäftsbeziehung
  • die kontinuierliche Überwachung der Geschäftsbeziehung sowie der durchgeführten Transaktionen

Nach § 11 Abs. 4 GwG müssen für eine korrekte Identifizierung von natürlichen Personen die folgenden Daten festgestellt werden:

  • Vor- und Nachname
  • Geburtsort und -datum
  • Staatsangehörigkeit
  • Anschrift

Bei einer juristischen Person oder einer Personengesellschaft müssen die folgenden Daten erhoben werden:

  • Firma, Name oder Bezeichnung
  • Rechtsform
  • Registernummer (falls vorhanden)
  • Anschrift des Sitzes oder der Hauptniederlassung
  • die Namen der Mitglieder/innen des Vertretungsorgans oder die Namen der gesetzlichen Vertreter/innen

Da die Identifizierung von Kundinnen und Kunden Kern des KYC-Prinzips ist, sollten Unternehmen eine adäquate technische Lösung nutzen. Mit Stripe Identity können sie amtliche Ausweisdokumente aus über 100 verschiedenen Ländern verifizieren. Diese weitreichende Überprüfung ist technisch anspruchsvoll, da weltweit verschiedene Standards für Ausweise genutzt werden. Darüber hinaus ist mit Identity ein biometrischer Abgleich von Ausweisfotos und Selfies möglich sowie die Validierung von Namen, Geburtsdaten und Sozialversicherungsnummern.

Interne Sicherungsmaßnahmen

KYC-Compliance erfordert interne Sicherungsmaßnahmen, die ein wirksames Risikomanagement ermöglichen, das in Art und Umfang der Geschäftstätigkeit angemessen ist. Unternehmen sind unter anderem auf Grundlage der Paragraphen 4, 6 und 7 GwG den folgenden Maßnahmen verpflichtet:

  • die Überprüfung der Mitarbeiter/innen auf Zuverlässigkeit
  • die regelmäßige Information der Mitarbeiter/innen über aktuelle Geldwäschemethoden und -regelungen
  • die Bestellung einer beziehungsweise eines qualifizierten Geldwäschebeauftragten sowie einer Stellvertreterin beziehungsweise eines Stellvertreters
  • die Auskunftserteilung auf Anfrage der Zentralstelle für Finanztransaktionsuntersuchungen (FIU)
  • die Schaffung eines „Whistle-Blowing-Systems“, um es den zuständigen Mitarbeitenden zu ermöglichen, vertraulich GwG-Verstöße zu melden

Risikoanalyse

Paragraf 5 GwG verpflichtet Unternehmen, jede einzelne Geschäftsbeziehung beziehungsweise Transaktion zu prüfen. Ziel ist eine Ermittlung und Bewertung der Risiken von Geldwäsche und Terrorismusfinanzierung. Eine Auflistung der wichtigsten Risikofaktoren sind in den Anlagen 1 und 2 des Geldwäschegesetzes zu finden. Diese beziehen sich auf die Kundinnen und Kunden, das Produkt, die Dienstleistung oder die Transaktion sowie die geographische Lage des Unternehmens. Besteht lediglich ein geringes Risiko, müssen die Verpflichteten nur vereinfachte Sorgfaltspflichten erfüllen (siehe § 14 GwG).

Aufbewahrungspflicht

Sämtliche Daten aus KYC-Verfahren müssen laut § 8 GwG sorgfältig erfasst und mindestens fünf Jahre aufbewahrt werden. Hierzu zählen Informationen über Vertragspartner/innen, Kopien von Identifikationsdokumenten, Informationen zu Geschäftsbeziehungen sowie Risikoanalysen.

Meldepflicht

Besteht der Verdacht, dass Transaktionen oder Geschäfte der Geldwäsche beziehungsweise der Terrorismusfinanzierung dienen, müssen diese bei der Zentralstelle für Finanztransaktionsuntersuchungen gemeldet werden. Laut § 43 GwG besteht die Meldepflicht unabhängig vom Wert des betroffenen Vermögensgegenstandes oder der Transaktionshöhe.

Der Inhalt dieses Artikels dient nur zu allgemeinen Informations- und Bildungszwecken und sollte nicht als Rechts- oder Steuerberatung interpretiert werden. Stripe übernimmt keine Gewähr oder Garantie für die Richtigkeit, Vollständigkeit, Angemessenheit oder Aktualität der Informationen in diesem Artikel. Sie sollten den Rat eines in Ihrem steuerlichen Zuständigkeitsbereich zugelassenen kompetenten Rechtsbeistands oder von einer Steuerberatungsstelle einholen und sich hinsichtlich Ihrer speziellen Situation beraten lassen.

Weitere Artikel

Startklar?

Erstellen Sie direkt ein Konto und beginnen Sie mit dem Akzeptieren von Zahlungen. Unser Sales-Team berät Sie gerne und gestaltet für Sie ein individuelles Angebot, das ganz auf Ihr Unternehmen abgestimmt ist.
Identity

Identity

Mit Stripe Identity verifizieren Sie Nutzeridentitäten ohne großen Aufwand. So schützen Sie sich nicht nur vor Betrugsversuchen, sondern vereinfachen auch den Anmeldevorgang.

Dokumentation zu Identity

Erfahren Sie, wie einfach die Identitätsprüfung mit Stripe Identity funktioniert.
OSZAR »