Know Your Customer (KYC)

Alles zum Ablauf einer Geldwäschegesetz-konformen KYC-Prüfung

Damit Banken und andere Finanzinstitute sicher gehen können, dass sie ihre Finanzprodukte und Services ausschließlich seriösen Kund:innen anbieten, müssen sie wissen, mit wem sie es zu tun haben. Für den Finanzsektor und viele andere Branchen ist es sogar rechtlich vorgeschrieben, sichere Prozesse und Systeme vorzuhalten, mit denen eine solche Prüfung erfolgen kann.

Und da kommt KYC ins Spiel: KYC steht für “Know Your Customer”, übersetzt ins Deutsche: “Kenne deine Kund:innen”. Dieser Beitrag handelt davon, was KYC ist, wie ein moderner KYC-Prozess aussieht, welche Pflichten Banken und andere Finanzinstitutionen – und auch Unternehmen – haben und welche Lösungen es für einen sicheren KYC-Prozess gibt.

Warum ist KYC wichtig?

Wer seine Kund:innen kennt, kann kriminellen Handlungen zuvorkommen. Oder anders gesagt: Durch einen lückenlosen KYC-Prozess können Geldwäsche, Terrorismus-Finanzierung und andere Arten der Wirtschaftskriminalität unterbunden werden. Neben Banken und anderen Unternehmen aus dem Finanzsektor sind inzwischen viele andere Wirtschaftszweige (etwa für die Versicherungs-, Immobilien-, oder E-Commerce-Branche) rechtlich verpflichtet, umfangreiche KYC-Prozesse zu etablieren. Grundlage hierfür sind die EU-Geldwäsche-Richtlinie, der UK Bribery Act, der UK Modern Slavery Act sowie die Bestimmungen der Financial Action Task Force (FATF).

Die Einhaltung von KYC-Vorschriften ist also ein Muss. Bei Nichteinhaltung drohen empfindliche Strafen und das heißt für Banken und Co.: Es muss ein rigoroses KYC-Verfahren angewendet werden, um die rechtlichen Vorgaben zu erfüllen.

Basis für das korrekte Vorgehen ist die EU-Geldwäsche-Richtlinie. Sie ist das verpflichtende Rahmenwerk für Banken und Finanzinstitute zur Kundenidentifikation. Ihr Ziel ist es, Geldwäsche zu vermeiden.

Geldwäsche ist ein reales Problem!

Geldwäsche, Terrorismusfinanzierung oder auch Identitätsdiebstahl sind echte Sorgenkinder der EU. Sie sind eine reale Bedrohung für das Wirtschaftssystem der Europäischen Union und stellen nicht nur für Finanzinstitute und die Länder selbst, sondern auch für die Bevölkerung, eine große Gefahr dar.

Seit mehr als 30 Jahren steht darum die Bekämpfung von Geldwäsche ganz oben auf der Agenda. Die erste Geldwäscherichtlinie wurde 1991 erlassen und seitdem regelmäßig ergänzt – und das aus gutem Grund, schließlich gilt es, immer neuen Risikofaktoren auszuschließen, unter anderem:

• technologische Innovationen, wie etwa Blockchain oder Krypto-Währungen
• terroristische Organisationen, die global vernetzt und aktiv sind
• Schlupflöcher, die von Kriminellen ausgenutzt werden.

Die EU-Geldwäsche-Richtlinie: kontinuierlich angepasst

Die erste Geldwäscherichtlinie wurde 1991 ausgearbeitet. Der Fokus lag zu diesem Zeitpunkt in erster Linie auf der Bekämpfung des Drogenhandels. Banken und Finanzdienstleister waren bereits von dem Geldwäschegesetz (GwG) betroffen.

In der zweiten Version der Richtlinie wurden neben Banken und Finanzdienstleistern auch Branchen des Nichtfinanzsektors in die Geldwäschebekämpfung einbezogen, etwa die Versicherungs-, Immobilien, Glücksspiel-Branche oder Wirtschaftsprüfer und Notare.

Über die Jahre wurde das Gesetz immer weiter ausgearbeitet und verschärft. So wurden etwa die Sorgfaltspflichten strenger reguliert und eine nationale Zentralstelle für Verdachtsanzeigen eingeführt. 2015 wurden zusätzlich hohe Barzahlungen ins Visier genommen und nochmals die Sorgfaltspflichten gegenüber Kund:innen verschärft.

In der fünften Geldwäscherichtlinie wurden außerdem virtuelle Währungen, etwa Bitcoin, berücksichtigt. Solche Währungen ermöglichen es den Beteiligten, ihre Transaktionen unter einem Pseudonym durchzuführen, was die Verfolgung illegaler Machenschaften natürlich erschwert – umso wichtiger ist hier ein rechtliches Eingreifen und die Umsetzung von geeigneten KYC-Verfahren.

Die aktuelle Geldwäscherichtlinie enthält überarbeitete Bestimmungen für die zentralen Meldestellen, die Aufsichtsbehörden und das Transparenzregister. Sie ermöglicht strengere Bestrafungen.

Rechtliche Grundlagen der KYC-Prüfung

Die rechtliche Grundlage für das KYC-Prinzip bilden Artikel 8 der dritten EU-Geldwäsche-Richtlinie, die vierte EU-Geldwäsche-Richtlinie sowie das Geldwäschegesetz. Zusammen mit dem UK Bribery Act, dem UK Modern Slavery Act und der Financial Action Task Force (FATF) bilden die EU-Richtlinien den rechtlichen Rahmen für KYC-Verfahren.

Anti-Korruptionsgesetze, wie der UK Bribery Act 2010, verlangen eine angemessene Prüfung und Überwachung von Geschäftspartnern und beinhalten aufgrund ihrer länderübergreifenden Wirkung auch für deutsche Unternehmen Haftungsrisiken. Zur Einhaltung der internationalen Richtlinien muss das KYC-Prinzip eingehalten werden. Bei Verstößen drohen Unternehmen empfindliche Strafen. Etwa die Entziehung der Geschäftserlaubnis.

Ablauf einer den rechtlichen Vorgaben entsprechenden KYC-Prüfung

Grundsätzlich müssen alle Unternehmen der Finanzbranche – wie Banken, Kreditinstitute und Finanzdienstleister – gemäß des KYC-Prinzips Kundendaten erfassen. Und auch Versicherungen, Rechtsanwälte, Notare, Wirtschaftsprüfer, Steuerberater und Immobilienmakler sind von dem Gesetz betroffen.
Jede KYC-Prüfung beginnt mit der Verifizierung der folgenden zwei Faktoren:

• Die Identität des Geschäftspartners oder der Person, die mit dem zur KYC-Prüfung verpflichteten Unternehmen einen Vertrag abschließen oder etwa ein Konto eröffnen möchte. Diese Informationen, beziehungsweise die benötigten Daten, werden mithilfe eines Identitätsnachweises ermittelt, wofür im Regelfall der Personalausweis benötigt wird, alternativ ein Reisepass.
• Die Überprüfung der Adresse. Sie kann beispielsweise mit Hilfe einer aktuellen Rechnung eines Versorgers etwa eines Strom-, Telekommunikations- oder Gasanbieters) oder eines amtlichen Dokuments (Meldebescheinigung), geprüft werden. Auch ein aktueller Mietvertrag kann ausreichen.

KYC-Prüfung bei einer natürlichen Person

Wenn eine KYC-Prüfung einer natürlichen Person durchgeführt werden soll, sind die folgenden Informationen zu prüfen und zu verifizieren:

• Vorname und Nachname der Person
• Geburtsort
• Geburtsdatum
• Staatsangehörigkeit
• Anschrift

Sind diese Personendaten erfasst, ist ein Abgleich mit Sanktionslisten vorzunehmen, um auszuschließen, dass mit der im Rahmen eines KYC-Prozesses zu identifizierenden Person möglicherweise aufgrund kritischer Ereignisse keine Geschäftsbeziehung eingegangen werden sollte.

Handelt es sich bei der identifizierten Person um eine politisch exponierte Person (PEP), greifen die verstärkten Sorgfaltspflichten gemäß §15 GwG, da ein höheres Risiko der Geldwäsche oder Terrorismusfinanzierung bestehen kann. Darum ist in diesem Falle eine Enhanced Due-Diligence-Prüfung (EDD) durchzuführen.

Die erhöhte Sorgfaltspflicht bei politisch exponierten Personen basiert übrigens auf der Annahme, dass diese aufgrund ihrer besonderen gesellschaftlichen Rolle in einem gesteigerten Maß Ziel von Korruptionsversuchen darstellen.

KYC-Prüfung juristischer Personen oder Personengesellschaften

Soll eine neue Geschäftsbeziehung zu einem bisher unbekannten Unternehmen eingegangen werden, muss zunächst das Unternehmen selbst identifiziert werden, wozu beispielsweise das Transparenzregister hinzugezogen werden kann, um folgende Informationen zu erhalten:

• Firma, Name oder Bezeichnung
• Rechtsform
• Registernummer, falls vorhanden
• Anschrift des Sitzes oder der Hauptniederlassung
• Namen der Mitglieder des Vertretungsorgans oder die Namen der gesetzlichen Vertreter und, sofern ein Mitglied des Vertretungsorgans oder der gesetzliche Vertreter eine juristische Person ist, von dieser juristischen Person die Daten nach den Buchstaben a bis d.

Im Zuge dieser Prüfung, die nach dem so genannten Know-Your-Business-Prinzip (KYB) erfolgen muss, sind also auch die wirtschaftlich Berechtigten zu ermitteln.

KYC-Prüfung wirtschaftlich Berechtigter

Eine wirtschaftlich berechtigte Person ist eine natürliche Person, die mittelbar (zum Beispiel über zwischengeschaltete juristische Personen) oder unmittelbar mit 25% oder mehr der Kapital- oder Stimmrechtsanteile das Unternehmen kontrolliert.

Die Ermittlung wirtschaftlich Berechtigter innerhalb eines Unternehmens ist verpflichtend. Besonders dann, wenn Veränderungen in der Firmenstruktur stattfinden und sich wirtschaftlich Berechtigte ändern.

Bei wirtschaftlich Berechtigten müssen folgende Daten erfasst werden:

• Status auf Sanktions-, Watch- und PEP-Listen
• Herkunft von Geldern und Vermögen
• Details der geplanten Kundenbeziehung.

Wie oft müssen KYC-Informationen aktualisiert werden?

Bei der Eröffnung eines Kontos werden die Daten des/der Kund:in abgefragt. Doch auch bei Bestandskund:innen ist eine regelmäßige Aktualisierung der Daten Pflicht. Daher müssen Finanzdienstleister ihre Kund:innen in regelmäßigen Abständen zur Einhaltung der allgemeinen Sorgfaltspflicht gemäß § 10 Abs. 1 Nr. 5 GwG dazu auffordern, die Aktualität ihrer Daten zu bestätigen.

Banken und andere Finanzinstitute aktualisieren KYC-Informationen in der Regel alle ein bis drei Jahre. Dabei spielen die Risikoeinstufung des/der Kund:in und gesetzliche Anforderungen eine Rolle. Personen mit einer höheren Risikoeinstufung müssen möglicherweise häufiger überprüft werden.

Krypto-Währungsbörsen haben oft strikteren Richtlinien zu folgen und können jährliche Überprüfungen durchzuführen. Die Frequenz kann sich beispielsweise erhöhen, wenn eine Person größere Transaktionen durchführt oder andere risikoreiche Aktivitäten zeigt.

Investmentfirmen und Vermögensverwalter sollten ebenfalls jährliche Überprüfungen durchführen, insbesondere für Kund:innen mit größeren Vermögenswerten oder komplexen Investitionsstrukturen.

Selbstverständlich können Unternehmen auch strengere Intervalle vorsehen. Zur Einhaltung der allgemeinen Sorgfaltspflicht von bereits identifizierten Kund:innen, auch „reKYC“ genannt, ist unter anderem die Nutzung eines vollautomatisierten Ident-Prozesses gestattet, der beispielsweise mit der WebID  Identifikationslösung AutoID möglich ist – sogar für BaFin-regulierte Unternehmen.

Zusätzlich zu regelmäßigen, geplanten Aktualisierungen müssen KYC-Informationen grundsätzlich auch außer der Reihe aktualisiert werden, wenn bestimmte Ereignisse eintreten, etwa:

• Änderung des Wohnsitzes oder der Kontaktinformationen der Person
• Änderungen in der Geschäftstätigkeit oder im beruflichen Status der Person
• signifikante Änderungen im Transaktionsverhalten, etwa wenn plötzlich deutlich mehr Geld transferiert wird.

Unstimmigkeiten bei der KYC-Prüfung

Sollten bei der KYC-Prüfung Unstimmigkeiten erkannt werden oder Aktivitäten des Interessenten auffällig sein, sollten Unternehmen von einer Geschäftsbeziehung absehen, um die Sicherheit anderer Kund:innen sowie die des Unternehmens selbst nicht zu gefährden.

Umsetzung professioneller KYC-Prozesse

Die Art des eingesetzten KYC-Prozesses zur Identifizierung der Kund:innen obliegt dem jeweiligen Unternehmen, das entsprechende rechtliche Vorgaben zu erfüllen hat. Hierbei muss der Fokus darauf liegen, dass diese Vorgänge sicher, wirtschaftlich und zuverlässig sind. Damit das gewährleistet ist, kann die Implementierung moderner Identifikations- und Verifikationstechnologien helfen.

Die richtigen Technologien zur Umsetzung von KYC-Prozessen

Studien belegen, dass der Einsatz fortschrittlicher Technologien in KYC-Prozessen die Zeit für die Identitätsverifikation um bis zu 70% reduzieren und die Genauigkeit der Datenverifikation deutlich erhöhen kann.

Mehr als 80 Prozent der Banken und Finanzinstitutionen in der DACH-Region profitieren seit vielen Jahren von den Identifikationslösungen der WebID, die eine schnelle, sichere und rechtskonforme Umsetzung geeigneter KYC-Prozesse gemäß den Vorgaben des Geldwäschegesetzes erlauben.

The All-In-One Identity Hub

Der WebID Hub ist der zentrale Marktplatz für digitale KYC-Prozesse und Online-Betrugsprävention. Es ist ein Ökosystem, das an die jeweiligen IT-Infrastrukturen, Produkte und Services von Finanzinstituten und vielen anderen Branchen angebunden werden kann.

Unternehmen können über eine einzige Schnittstelle auf eine Vielfalt an Angeboten für eine optimale KYC-Prüfung zugreifen, darunter Lösungen zur sicheren Online-Identifikation, für den digitalen Vertragsabschluss sowie für die Risikoprävention allgemein.

Kundinnen und Kunden hingegen profitieren von einem vereinfachten Verifizierungsprozess. Es ist ihnen möglich, ihre verifizierten digitalen Identitäten sicher auf verschlüsselten Servern abzulegen. Diese Server sind sicher an den WebID Hub angebunden.

KYC-Verfahren mit WebID realisieren

Mit dem Produktportfolio der WebID stehen verschiedene KYC-konforme Ident-Verfahren bereit, mit dem Geldwäschegesetz-konforme Identitätsprüfungen sicher durchgeführt werden können – effizient, genau und gesetzeskonform. Ideal für alle Unternehmen, die ihre Compliance-Anforderungen verbessern und das Risiko von Betrug und Geldwäsche minimieren wollen.