Skip to content
KI- & Deepfake-ErkennungNeu

KI-Signale, synthetische Medien, Deepfakes

KundenreferenzPreiseSicherheitVergleichBlog
GlossarLänderleitfädenChecklistenROI-Rechner

Europe

Americas

Oceania

Compliance10 min Lesezeit

Verlangt AML-Compliance die Erkennung gefälschter Dokumente?

Das GwG verpflichtet Unternehmen zur Identitätsprüfung mit zuverlässigen Dokumenten. Was bedeutet das für die Erkennung gefälschter Dokumente in Deutschland?

Das CheckFile-Team
Das CheckFile-Team·
Illustration for Verlangt AML-Compliance die Erkennung gefälschter Dokumente? — Compliance

Diesen Artikel zusammenfassen mit

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Ja — das Geldwäschegesetz (GwG) verpflichtet verpflichtete Unternehmen ausdrücklich, die Identität ihrer Vertragspartner anhand geeigneter Dokumente zu identifizieren und zu überprüfen. Ein gefälschtes Dokument ist per Definition kein geeignetes Dokument. Wer ein Onboarding auf der Grundlage eines gefälschten oder manipulierten Identitätsnachweises durchführt, verstößt gegen das GwG — unabhängig davon, ob das Unternehmen davon wusste. Die Erkennung gefälschter Dokumente ist damit keine optionale technische Erweiterung, sondern eine gesetzliche Kernpflicht.

Dieser Artikel erläutert, was das GwG konkret verlangt, wie Dokumentenfälschungen die Compliance untergraben, was die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) und die Financial Intelligence Unit (FIU) in der Praxis erwarten, und welche Maßnahmen Unternehmen ergreifen können, um ihre Dokumentenprüfungsprozesse wirksam zu sichern.

Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine rechtliche, finanzielle oder regulatorische Beratung dar. Die regulatorischen Verweise sind zum Veröffentlichungsdatum aktuell. Wenden Sie sich an einen qualifizierten Fachmann für eine auf Ihre Situation zugeschnittene Beratung.

Was das GwG zur Dokumentenprüfung verlangt

§ 10 Abs. 1 Nr. 1 GwG in Verbindung mit § 11 GwG verpflichtet verpflichtete Unternehmen, die Identität des Vertragspartners anhand geeigneter, beweiskräftiger Dokumente zu identifizieren und zu überprüfen — eine Anforderung, die unmittelbar aus FATF Empfehlung 10 folgt und durch die Richtlinie (EU) 2024/1640 (6. EU-Geldwäscherichtlinie) weiter verschärft wird.

Die Sorgfaltspflichten nach dem GwG gliedern sich in drei Intensitätsstufen, abhängig vom Risikoprofil des Vertragspartners und der Transaktion:

Art der Sorgfaltspflicht Dokumentenanforderung Risikoniveau
Vereinfachte Sorgfaltspflichten (§ 14 GwG) Basisidentifizierung; weniger umfangreiche Überprüfung bei nachgewiesenem niedrigem Risiko Niedrig — z. B. börsennotierte Unternehmen, Behörden
Allgemeine Sorgfaltspflichten (§ 10 GwG) Identifizierung natürlicher oder juristischer Personen; Feststellung des wirtschaftlich Berechtigten; Zweck und Art der Geschäftsbeziehung Mittel — die meisten Privat- und Geschäftskunden
Verstärkte Sorgfaltspflichten (§ 15 GwG) Erweiterte Dokumentation, Herkunft der Vermögenswerte, erhöhte Überwachungsfrequenz; zusätzliche Quellenprüfung Hoch — politisch exponierte Personen (PEP), Hochrisikoländer, ungewöhnliche Transaktionsmuster

Die zentrale Anforderung auf allen drei Stufen ist identisch: Die verwendeten Dokumente müssen geeignet und beweiskräftig sein. Das GwG enthält keine abschließende Liste akzeptierter Dokumente, stellt jedoch als funktionales Kriterium auf, dass das Unternehmen in der Lage sein muss, die Identität des Vertragspartners mit hinreichender Sicherheit festzustellen. Ein gefälschter Reisepass oder eine manipulierte Identitätskarte erfüllt dieses Kriterium strukturell nicht — das Dokument ist schlichtweg nicht das, was es vorgibt zu sein.

Neben der initialen Identifizierungspflicht verlangt § 10 Abs. 1 Nr. 5 GwG, dass verpflichtete Unternehmen die Geschäftsbeziehung kontinuierlich überwachen und die vorliegenden Informationen regelmäßig aktualisieren. Dies bedeutet, dass auch bei Nachidentifizierungen oder periodischen Überprüfungen dieselben Anforderungen an die Zuverlässigkeit der Dokumente gelten. Unternehmen, die ausschließlich auf initial eingereichte Dokumente vertrauen, ohne bei späteren Kontaktpunkten Fälschungsrisiken erneut zu prüfen, schaffen eine unkontrollierte Compliance-Lücke.

Die bevorstehende Anwendung der Geldwäscheverordnung (EU) 2024/1624 — unmittelbar anwendbar ab dem 10. Juli 2027 — wird die Identifizierungsanforderungen weiter verschärfen, unter anderem durch harmonisierte Standards für die technische Zuverlässigkeit von Verifizierungsmitteln bei Fernidentifizierungen.

Warum gefälschte Dokumente die GwG-Pflicht unwirksam machen

Ein gefälschtes Identitätsdokument macht die gesamte Sorgfaltsprüfung rechtlich unwirksam, weil das Unternehmen eine nicht existierende oder falsch identifizierte Person als verifizierten Vertragspartner akzeptiert hat — im Widerspruch zu § 10 GwG und FATF Empfehlung 13 zur Meldung verdächtiger Transaktionen.

Dokumentenfälschungen bei Geldwäscheversuchen folgen erkennbaren Mustern. Die BaFin und die beim Bundeskriminalamt (BKA) angesiedelte FIU Deutschland identifizieren regelmäßig folgende Typologien:

Manipulation von Identitätsdokumenten ist die häufigste Kategorie. Dabei werden echte Dokumente verändert — ein Passbild ausgetauscht, ein Geburtsdatum angepasst oder eine Adressangabe geändert, um die tatsächliche Identität des Trägers zu verschleiern. Die interne Analyse von CheckFile zeigt, dass mehr als 40 % der Dokumentenbetrugversuche Identitätsdokumente betreffen, bei denen Sicherheitsmerkmale manipuliert wurden.

Synthetische Identitäten kombinieren echte Personendaten (beispielsweise eine gültige Steueridentifikationsnummer) mit gefälschten fotografischen oder biometrischen Elementen. Dieser Ansatz ist besonders gefährlich, weil eine oberflächliche Datenbankabfrage keinen Alarm auslöst: Die Daten existieren, aber die sich präsentierende Person ist nicht der rechtmäßige Inhaber.

Gefälschte Begleitdokumente — etwa fingierte Gehaltsabrechnungen, Kontoauszüge oder Steuerbescheide — werden eingesetzt, um die Herkunft von Vermögenswerten im Rahmen verstärkter Sorgfaltspflichten zu belegen. Obwohl diese Dokumente selbst kein Identitätsnachweis sind, bilden sie Teil des Prüfungsdossiers und unterliegen dem Eignungserfordernis des GwG.

Identitätsleihe und Identitätsbetrug bezeichnen die Nutzung echter Dokumente Dritter — eines Familienmitglieds oder Strohmanns — um eine illegale Geschäftsbeziehung hinter einer scheinbar legitimen Identität zu verschleiern. Dieses Muster ist durch reine Dokumentenprüfung schwer zu erkennen und erfordert ergänzende verhaltensbasierte Überwachungsmaßnahmen.

Wenn eine dieser Fälschungstechniken erfolgreich eingesetzt wird, hat das Unternehmen faktisch einen anonymen oder falschen Vertragspartner akzeptiert. Die rechtliche Konsequenz ist, dass das gesamte Sorgfaltspflichten-Dossier als unwirksam gilt, weil es auf einem ungeeigneten Dokument beruht — was das GwG ausdrücklich verbietet.

Was BaFin und FIU in der Praxis erwarten

Die BaFin und die FIU erwarten, dass verpflichtete Unternehmen über dokumentierte, risikobasierte Verfahren zur Dokumentenprüfung verfügen, die tatsächlich geeignet sind, Fälschungen zu erkennen — und nicht lediglich das Vorhandensein eines Dokuments zu registrieren.

Die BaFin übt als zuständige Aufsichtsbehörde die Überwachung von Kreditinstituten, Versicherungsunternehmen, Zahlungsinstituten und weiteren verpflichteten Unternehmen im Rahmen des GwG aus. In ihren Auslegungs- und Anwendungshinweisen (AuA) zum GwG hat die BaFin wiederholt betont, dass eine rein administrative Dokumentenkontrolle — bei der ein Mitarbeiter das Dokument lediglich visuell beurteilt und kopiert, ohne inhaltliche Prüfung — nicht ausreichend ist. Die BaFin erwartet:

  • Verfahren, die gezielt auf die Feststellung der Echtheit von Identitätsdokumenten ausgerichtet sind, nicht nur auf deren Vorhandensein.
  • Den Einsatz von Prüfhilfsmitteln, die Sicherheitsmerkmale kontrollieren, wie Wasserzeichen, UV-reaktive Elemente, Mikrodruckschriften und die maschinenlesbare Zone (MRZ).
  • Dokumentierte Eskalationswege bei Verdachtsfällen, einschließlich der Aufzeichnung der getroffenen Entscheidung und der zugrunde liegenden Überlegungen.

Die BaFin hat in der Vergangenheit substanzielle Aufsichtsmaßnahmen gegen Unternehmen ergriffen, die bei der GwG-Compliance versagt haben. Veröffentlichte Maßnahmen umfassen Anordnungen, Bußgeldbescheide und Verwaltungssanktionen, die bis zum gesetzlichen Höchstbetrag von 5 Millionen Euro pro Verstoß reichen können — oder bei wiederholten oder schwerwiegenden Verstößen einen Prozentsatz des Jahresumsatzes. Unter dem kommenden AMLD6-Rahmen wird dieser Höchstbetrag auf 10 Millionen Euro oder 10 % des Jahresumsatzes angehoben.

Die beim Bundeskriminalamt angesiedelte FIU Deutschland empfängt und analysiert Verdachtsmeldungen nach § 43 GwG. Die FIU hat in ihren Jahresberichten wiederholt auf die zunehmende Bedeutung von Dokumentenfälschungen als Vortatmittel bei Geldwäsche hingewiesen und entsprechende Risikotypologien veröffentlicht, die verpflichtete Unternehmen bei der Kalibrierung ihrer internen Kontrollsysteme berücksichtigen sollten.

Ein spezifischer Prüfpunkt bei BaFin-Untersuchungen betrifft die Angemessenheit der Dokumentenprüfung bei Fernidentifizierungen. Hier ist das Fälschungsrisiko strukturell erhöht, weil das Unternehmen das physische Dokument nicht in Händen hält. Die BaFin erwartet, dass Unternehmen, die Fernidentifizierungen durchführen, über technische Maßnahmen verfügen, die dieses erhöhte Risiko kompensieren — einschließlich automatisierter Authentifizierungstechnologie.

Bereit, Ihre Prüfungen zu automatisieren?

Kostenloses Pilotprojekt mit Ihren eigenen Dokumenten. Ergebnisse in 48h.

Kostenloses Pilotprojekt anfragen

Praktische Methoden zur Erkennung gefälschter Dokumente

Eine wirksame Erkennung gefälschter Dokumente erfordert einen mehrschichtigen Ansatz, bei dem manuelle und automatisierte Prüfung sich gegenseitig ergänzen, und bei dem das Risikoniveau der Geschäftsbeziehung bestimmt, welche Kontrollmechanismen eingesetzt werden.

Manuelle versus automatisierte Prüfung

Die manuelle Dokumentenprüfung — bei der ein geschulter Mitarbeiter das physische Dokument auf Sicherheitsmerkmale hin beurteilt — ist bei der Präsenzidentifizierung von Hochrisiko-Vertragspartnern wirksam. Die Einschränkungen sind jedoch erheblich: Die menschliche Überprüfung ist arbeitsintensiv, bei großen Volumina inkonsistent und bietet keinen Schutz vor digital gefälschten Dokumenten, die bei Fernidentifizierungen eingereicht werden.

Automatisierte Dokumentenprüfungssysteme bieten eine skalierbare Ergänzung. Solche Systeme analysieren:

  • Die maschinenlesbare Zone (MRZ) auf Übereinstimmung mit den visuellen Daten auf dem Dokument.
  • Metadaten digital eingereichter Dateien auf Anzeichen von Bearbeitung (z. B. inkonsistente Pixeldichte, abweichende EXIF-Daten, Artefakte durch erneutes Speichern nach Manipulation).
  • Sicherheitsmerkmale mittels UV- und Infrarotanalyse, soweit die technische Einreichungsform dies zulässt.
  • Dokumentenvorlagen — jedes nationale Identitätsdokument verfügt über feste Gestaltungselemente; Abweichungen davon sind ein starker Indikator für eine Fälschung.

Warnsignale bei Identitätsdokumenten

Bestimmte Merkmale erhöhen die Wahrscheinlichkeit einer Fälschung erheblich und rechtfertigen eine Eskalation zur verstärkten Prüfung:

  • Inkonsistenz zwischen den MRZ-Daten und den visuell personalisierten Daten auf dem Dokument.
  • Pixelabweichungen oder Nachschärfungen rund um das Passbild oder die Personaldaten, die bei digitaler Einreichung sichtbar werden.
  • Dokumentformat oder -layout, das nicht den offiziellen Spezifikationen für das angegebene Ausstellungsland und den angegebenen Dokumenttyp entspricht.
  • Übermäßig hohe Auflösung bestimmter Dokumentelemente in Kombination mit einer insgesamt niedrigen Bildqualität — ein typisches Merkmal digitaler Komposition.
  • Fehlende oder schlecht reproduzierte Sicherheitselemente wie Hologramme, Guilloché-Muster oder kinegrafische Streifen.

KI-basierte Erkennung als Ergänzung des Prüfprozesses

Künstliche Intelligenz bietet Möglichkeiten, die die manuelle Prüfung nicht erreichen kann — insbesondere bei der Erkennung von Deepfake-Identitätsdokumenten und synthetischen Bildelementen. CheckFiles KI-gestütztes Erkennungsplattform analysiert eingereichte Dokumente auf forensische Inkonsistenzen, die für das bloße Auge unsichtbar sind, einschließlich Artefakten generativer KI bei synthetisch erstellten Dokumenten.

Der Einsatz KI-gesteuerter Dokumentenprüfung bei der Fernidentifizierung hat sich inzwischen als Marktstandard etabliert. Unternehmen, die bei digitaler Dokumenteneinreichung ausschließlich auf visuelle Inspektion vertrauen, tragen ein strukturell erhöhtes Risiko erfolgreicher Betrugsversuche — ein Risiko, das die BaFin explizit dem Compliance-Risiko zuordnet.

Einen vollständigen Implementierungsleitfaden finden Sie im Leitfaden Dokumenten-Compliance sowie in der ausführlicheren Erörterung der AMLD6-Pflichten für verpflichtete Unternehmen. Zusätzlichen Kontext zum übergeordneten AML-Rahmen bietet der Leitfaden Anti-Money-Laundering und Geldwäscheprävention.

Organisationen, die eine kombinierte KYC- und Dokumentenprüfungslösung suchen, können mehr über die KYC-Lösungen für den Bankensektor erfahren oder zur CheckFile-Startseite zurückkehren, um einen Überblick über die verfügbaren Verifizierungsdienste zu erhalten.

Häufig gestellte Fragen

Verpflichtet das GwG Unternehmen ausdrücklich zum Einsatz von Fälschungserkennungstechnologie?

Das GwG schreibt keine spezifische Technologie vor, verlangt jedoch, dass die Identifizierung anhand geeigneter Dokumente erfolgt und die Verfahren dem Risikoprofil des Vertragspartners angemessen sind. Die BaFin hat in ihren Auslegungs- und Anwendungshinweisen klargestellt, dass eine rein visuelle Prüfung bei der Fernidentifizierung als unzureichend gilt. In der Praxis bedeutet dies, dass Unternehmen, die Fernidentifizierungen ohne automatisierte Authentifizierungstools durchführen, bei einer BaFin-Prüfung nachweisen müssen, warum ihre alternativen Maßnahmen einen gleichwertigen Schutz bieten. Das ist eine erhebliche Beweislast.

Was sind die Konsequenzen, wenn ein Unternehmen unwissentlich einen Kunden mit einem gefälschten Dokument akzeptiert hat?

Das GwG verfolgt einen risikobasierten Ansatz, entbindet Unternehmen aber nicht von der Haftung bei unzulänglichen Verfahren. Die BaFin prüft nicht nur, ob eine konkrete Fälschung übersehen wurde, sondern ob das System und die Verfahren vernünftigerweise geeignet waren, die Fälschung zu erkennen. Bei strukturell unzureichenden Identifizierungsverfahren — unabhängig davon, ob tatsächlich Betrug stattgefunden hat — kann die BaFin eine Anordnung oder ein Bußgeld verhängen. Darüber hinaus kann das Unternehmen für Geldwäschetransaktionen haftbar gemacht werden, die über die betrügerische Geschäftsbeziehung abgewickelt wurden.

Gilt die Identifizierungspflicht auch für Rechtsanwälte, Steuerberater und Wirtschaftsprüfer?

Ja. Rechtsanwälte, Notare, Steuerberater und Wirtschaftsprüfer sind ebenfalls verpflichtete Unternehmen nach § 2 GwG und müssen bei der Durchführung bestimmter Tätigkeiten — insbesondere bei Immobilientransaktionen, Gesellschaftsgründungen und Treuhandverwaltung — Sorgfaltspflichten erfüllen, die denselben Anforderungen an die Dokumentenzuverlässigkeit unterliegen. Die Aufsicht über diese Berufsgruppen obliegt in der Regel den jeweiligen Berufskammern als zuständigen Aufsichtsbehörden nach § 50 GwG.

Wie unterscheidet sich die Pflicht für Niedrigrisiko- und Hochrisikokunden?

Das Risikoniveau bestimmt die Intensität der Sorgfaltspflichten, nicht jedoch die grundlegende Eignungsanforderung für Dokumente. Selbst bei vereinfachten Sorgfaltspflichten (§ 14 GwG) müssen die verwendeten Dokumente geeignet sein. Der Unterschied liegt in der Tiefe der Prüfung und der Häufigkeit der Aktualisierung: Bei allgemeinen und verstärkten Sorgfaltspflichten sind zusätzliche Quellenprüfungen verpflichtend, werden Sicherheitsmerkmale intensiver kontrolliert, und ist die Überwachungsfrequenz höher.

Was muss ein Unternehmen tun, wenn es beim Onboarding ein gefälschtes Dokument entdeckt?

Das Unternehmen muss das Onboarding unverzüglich abbrechen und darf keine Geschäftsbeziehung begründen. Anschließend ist zu prüfen, ob ein Verdacht auf Geldwäsche oder Terrorismusfinanzierung vorliegt, der nach § 43 GwG der FIU Deutschland gemeldet werden muss. Alle relevanten Informationen — das vorgefundene Dokument, die Umstände des Versuchs, das eingeleitete Eskalationsverfahren — sind im Kundendossier zu dokumentieren. Je nach Schwere des Versuchs kann auch eine Strafanzeige bei den Strafverfolgungsbehörden angezeigt sein.

Um diesen Risikobereich im CheckFile-Angebot einzuordnen, siehe unseren Ansatz zur KI- und Deepfake-Erkennung.

Bleiben Sie informiert

Erhalten Sie unsere Compliance-Analysen und Praxisleitfäden direkt in Ihr Postfach.

Bereit, Ihre Prüfungen zu automatisieren?

Kostenloses Pilotprojekt mit Ihren eigenen Dokumenten. Ergebnisse in 48h.

Verwandte Artikel

Compliance8 min

KYC und AML für Crowdfunding-Plattformen: ECSP-Compliance 2026

Vollständiger Leitfaden zu KYC- und GwG-Pflichten für Crowdfunding-Plattformen unter der EU-ECSP-Verordnung 2020/1503 und dem deutschen GwG: Anlegerverifizierung, Screening und Meldungen an die FIU.

Lesen
Compliance11 min

KYC für Verkäufer auf Online-Marktplätzen: DAC7, PStTG und DSA 2026

KYC für Verkäufer auf Online-Marktplätzen: Was DAC7, PStTG und DSA-Artikel 30 von Plattformbetreibern in Deutschland verlangen — Schwellenwerte, Dokumente und Fristen.

Lesen
Compliance7 min

KYC/AML für Online-Glücksspielanbieter: AMLD6-Pflichten 2026

Vollständiger Leitfaden zu KYC und Geldwäscheprävention für Online-Glücksspielanbieter unter AMLD6: CDD-Schwellenwerte, erforderliche Dokumente, Verdachtsmeldungen, verstärkte Sorgfaltspflichten 2026.

Lesen