Skip to content
KundenreferenzPreiseSicherheitVergleichBlog

Europe

Americas

Oceania

Branche8 min Lesezeit

Kanzleien: KYC automatisieren, Mandantengeheimnis schützen

KYC-Prüfungen automatisieren und gleichzeitig das anwaltliche Berufsgeheimnis wahren. Vollständiger AMLD6-Leitfaden mit praktischen Compliance-Strategien.

Dr. Katrin Hoffmann, Expertin für regulatorische Compliance
Dr. Katrin Hoffmann, Expertin für regulatorische Compliance·
Illustration for Kanzleien: KYC automatisieren, Mandantengeheimnis schützen — Branche

Diesen Artikel zusammenfassen mit

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Rechtsanwaltskanzleien unterliegen denselben KYC/GwG-Pflichten wie Banken und Finanzinstitute – jedoch mit einer zusätzlichen Einschränkung, die Finanzunternehmen nicht betrifft: das anwaltliche Berufsgeheimnis. Diese Dualität versetzt Anwälte in eine einzigartige Position. Sie müssen die Identität ihrer Mandanten überprüfen, wirtschaftlich Berechtigte identifizieren und gegebenenfalls Verdachtsmeldungen an die zuständige Financial Intelligence Unit (FIU) erstatten – und dabei die absolute Vertraulichkeit der Anwalt-Mandant-Beziehung wahren. Wie lassen sich diese beiden scheinbar widersprüchlichen Anforderungen vereinbaren? Die Automatisierung der Dokumentenprüfung durch künstliche Intelligenz bietet eine konkrete Antwort, sofern strenge Garantien für Sicherheit und Datensouveränität eingehalten werden.

KYC-Pflichten für Kanzleien: Der regulatorische Rahmen

Der rechtliche Rahmen, der Kanzleien Sorgfaltspflichten zur Geldwäschebekämpfung und Terrorismusfinanzierung (GwG) auferlegt, beruht auf mehreren Gesetzesebenen. Auf europäischer Ebene harmonisieren die 6. Geldwäscherichtlinie (AMLD6) und die Geldwäscheverordnung (AMLR) die Anforderungen an alle verpflichteten Unternehmen, einschließlich Kanzleien. In Deutschland setzt das Geldwäschegesetz (GwG) diese Vorgaben um. Die Bundesrechtsanwaltskammer (BRAK) gibt ergänzende Hinweise zur Umsetzung. Die FATF-Empfehlungen, aktualisiert im Oktober 2025, bilden den globalen Maßstab.

Wann gelten KYC-Pflichten für Kanzleien?

Anders als bei Banken gelten KYC-Pflichten für Kanzleien nicht für alle beruflichen Tätigkeiten. Die Sorgfaltspflicht greift nur, wenn der Anwalt im Zusammenhang mit bestimmten, gesetzlich enumerativ aufgeführten Tätigkeiten handelt:

  • Finanztransaktionen. Beratung bei oder Mitwirkung an Kauf/Verkauf von Immobilien, Verwaltung von Mandantengeldern oder -werten, Eröffnung von Bankkonten im Auftrag von Mandanten.
  • Gesellschaftsgründung und -verwaltung. Gründung juristischer Personen, Tätigkeit als Treuhänder, Geschäftsführer oder Gesellschafter.
  • Immobilientransaktionen. Jede Beteiligung an einer Immobilientransaktion, einschließlich Vertragsgestaltung und Due Diligence.
  • Treuhandstrukturen und Nachlassplanung. Errichtung, Verwaltung oder Administration von Trusts, Stiftungen oder ähnlichen Gestaltungen.
  • Schwellentransaktionen. Jede Transaktion über 10.000 € oder jede Transaktion, die im Zusammenhang mit Geldwäsche oder Terrorismusfinanzierung stehen könnte.

Rein streitige Tätigkeit – Rechtsberatung und Prozessvertretung – bleibt ausdrücklich vom Anwendungsbereich der GwG-Pflichten ausgenommen. Diese Unterscheidung markiert die Grenze zwischen KYC-Pflichten und dem Schutz des Berufsgeheimnisses.

Praktische Pflichten bei Anwendbarkeit

Wenn Sorgfaltspflichten greifen, muss die Kanzlei drei Maßnahmenkategorien umsetzen:

Mandantenidentifizierung. Erhebung von Identifizierungsdaten für den Mandanten (natürliche oder juristische Person) und ggf. für den wirtschaftlich Berechtigten. Für natürliche Personen: vollständiger Name, Geburtsdatum und -ort, Wohnadresse, Staatsangehörigkeit. Für juristische Personen: Firma, Rechtsform, Sitz, Identität der gesetzlichen Vertreter und wirtschaftlich Berechtigten mit mehr als 25 % Beteiligung (unter AMLD6 auf 15 % für Hochrisikoeinheiten gesenkt).

Verifizierung anhand von Belegen. Überprüfung dieser Angaben anhand von Nachweisdokumenten: gültiger Personalausweis oder Reisepass, aktueller Handelsregisterauszug (nicht älter als 3 Monate), Gesellschaftsvertrag, Transparenzregisterauszug. Die Kanzlei muss Kopien dieser Dokumente mindestens 5 Jahre nach Ende der Geschäftsbeziehung aufbewahren.

Verdachtsmeldungen. Bei Geldwäscheverdacht oder Terrorismusfinanzierung muss die Kanzlei eine Meldung an die zuständige FIU erstatten. In Deutschland werden Meldungen von Rechtsanwälten über die Rechtsanwaltskammer als Intermediär geleitet, die prüft, ob die Meldung das Berufsgeheimnis verletzt, bevor sie weitergeleitet wird.

Das Berufsgeheimnis-Paradox

Die Wechselwirkung zwischen anwaltlichem Berufsgeheimnis und GwG-Pflichten gehört zu den heikelsten rechtlichen Fragen der Berufsregulierung.

Schutz des Berufsgeheimnisses

Das anwaltliche Berufsgeheimnis ist ein Grundpfeiler des Rechts auf ein faires Verfahren. In der EU verankern die Charta der Grundrechte (Art. 47) und die EMRK (Art. 6) das Recht auf anwaltlichen Beistand. In Deutschland schützen § 203 StGB (Verletzung von Privatgeheimnissen) und § 43a BRAO (Grundpflichten des Rechtsanwalts) die Vertraulichkeit umfassend.

AMLD6 verlangt dokumentarische Kontrollen

Parallel dazu verlangt der europäische GwG-Rahmen, dass Kanzleien Dokumente zu ihren Mandanten für die im Anwendungsbereich liegenden Tätigkeiten erheben, prüfen und aufbewahren.

Wie beides vereinbart wird

Die Vereinbarung stützt sich auf drei Prinzipien:

Strikte Informationskompartimentierung. KYC-Dokumente müssen getrennt von der materiellen Fallakte aufbewahrt werden. Informationen aus der Rechtsberatung dürfen nicht für GwG-Zwecke verwendet werden und umgekehrt.

Beruflicher Intermediärfilter. Die Verdachtsmeldung fließt nie direkt vom Anwalt zur FIU. Die Rechtsanwaltskammer prüft als Intermediär, ob die Meldung privilegiertes Material gefährdet.

Verhältnismäßigkeit. Die Kanzlei wendet einen risikobasierten Ansatz an. Die Intensität der Prüfung steht im Verhältnis zum identifizierten Risikoniveau.

Konkrete Anwendungsfälle

Anwendungsfall Erforderliche Dokumente Prüfungen
Mandatsannahme (neue Sache) Personalausweis/Reisepass, Meldebescheinigung, Handelsregisterauszug (juristische Personen) Dokumentengültigkeit, Datenkonsistenz, Sanktionslistenabgleich
M&A-Due-Diligence Handelsregisterauszüge aller Gesellschaften, Gesellschaftsverträge, Beteiligungsstrukturen, Jahresabschlüsse, Transparenzregisterauszüge Gegenprüfung HR-Nummern, UBO-Identifizierung, PEP-Screening
UBO-Prüfung Transparenzregisterauszug, Beteiligungsstruktur, Steuererklärungen Konsistenz der Beteiligungskette, AMLD6-Schwellenwerte (25 %/15 %)
Immobilientransaktion Personalausweis, Meldebescheinigung, Herkunftsnachweis der Mittel Mittelherkunft, Transaktionsstruktur-Konsistenz, Sanktionsscreening
Gesellschaftsgründung Personalausweise aller Gründer/Gesellschafter, Sitznachweis, Gesellschaftsvertragsentwurf, UBO-Erklärung Gründeridentität, Screening, Konsistenz der Kapitaleinlagen

Wie KI-Prüfung die Vertraulichkeit wahrt

Zero-Retention: Daten nach Analyse gelöscht

Das Zero-Retention-Prinzip garantiert, dass zur Analyse eingereichte Dokumente im flüchtigen Speicher verarbeitet und unmittelbar nach Rückgabe des Ergebnisses gelöscht werden.

AES-256-Verschlüsselung bei Übertragung und Speicherung

Alle Austausche zwischen Kanzlei und Prüfplattform werden durch AES-256-Verschlüsselung geschützt (TLS 1.3 bei Übertragung, AES-256 im Ruhezustand).

100 % europäisches Hosting

Daten verlassen niemals europäisches Territorium. Hosting auf zertifizierter Infrastruktur innerhalb der EU gewährleistet die Anwendung der DSGVO und des BDSG und schließt jede Übermittlung an Drittstaaten aus – insbesondere solche mit weitreichenden Datenzugriffsgesetzen wie dem US CLOUD Act.

Vollständiger, aber kompartimentierter Prüfpfad

Jede Prüfung erzeugt einen zeitgestempelten Prüfpfad, der nach Mandantensache kompartimentiert ist. Kein Zusammenhang zwischen Prüfungen verschiedener Mandanten herstellbar.

Keine Datenverwendung für Modelltraining

Zur Prüfung eingereichte Dokumente werden niemals zum Training von KI-Modellen verwendet. Diese vertragliche Garantie ist für Berufsgeheimnisträger unverzichtbar.

KYC-Checkliste für Kanzleien

Dokument Prüfung Referenzquelle
Personalausweis/Reisepass Gültigkeitsdauer, MRZ-Konsistenz, Fälschungserkennung ICAO Doc 9303, PRADO-Datenbank
Meldebescheinigung Nicht älter als 3 Monate, Name/Adresse konsistent mit Ausweis Einwohnermeldeamt
Handelsregisterauszug Nicht älter als 3 Monate, HR-Nummer korrekt, gesetzlicher Vertreter Amtliches Handelsregister
Gesellschaftsvertrag/Satzung Aktuelle Fassung, konsistent mit HR-Auszug Handelsregister
Transparenzregisterauszug AMLD6-Schwellenwerte eingehalten, UBO-Identitäten verifiziert Transparenzregister
Mittelherkunftsnachweis Konsistenz mit Transaktionsbetrag, Bankrückverfolgbarkeit Kontoauszüge, Darlehensverträge
PEP-Erklärung Vom Mandanten unterzeichnete Erklärung, Screening gegen PEP-Datenbanken Spezialisierte Datenbanken

Wesentliche Sicherheitsgarantien

Die Lösung muss DSGVO- und BDSG-konform by Design sein. SOC 2 Type II-Zertifizierung, ISO 27001-Zertifizierung der Hosting-Infrastruktur und ggf. das C5-Testat des BSI sind empfohlen. Hosting auf Infrastruktur innerhalb der EU, zertifiziert nach ISO 27001, stellt sicher, dass Daten ausschließlich europäischem Recht unterliegen.

KYC in die tägliche Praxis integrieren

  1. Mandatseröffnung. Der Anwalt oder sein Assistent eröffnet eine neue Mandantensache.
  2. Dokumentenerhebung. Der Mandant lädt Unterlagen über ein sicheres Portal hoch oder übermittelt sie per verschlüsselter E-Mail.
  3. Automatisierte Prüfung. Dokumente werden in Echtzeit analysiert: Dokumententypidentifizierung, Datenextraktion, Gültigkeitsprüfung, Sanktionslistenabgleich, dokumentenübergreifende Gegenprüfung.
  4. Compliance-Bericht. Ein Zusammenfassungsbericht wird generiert, der für jedes Dokument Status und offene Punkte anzeigt.
  5. Anwaltsentscheidung. Der Anwalt prüft den Bericht und dokumentiert seine Entscheidung. Der Prüfpfad wird automatisch erstellt.
  6. Periodische Überprüfung. Das System warnt, wenn Dokumente ablaufen oder externe Ereignisse eine Aktenüberprüfung erfordern.

Dieser Prozess reduziert die Prüfzeit pro Mandantensache von 45 Minuten auf unter 5 Minuten, bei gleichzeitiger Erhöhung der Kontrollzuverlässigkeit.

Häufig gestellte Fragen

Gilt die KYC-Pflicht für alle anwaltlichen Tätigkeiten oder nur für bestimmte?

Die KYC-Pflicht gilt nicht für alle anwaltlichen Tätigkeiten, sondern nur für spezifisch im GwG aufgelistete Bereiche: Finanztransaktionen wie Immobilienkäufe oder die Verwaltung von Mandantengeldern, Gesellschaftsgründungen und -verwaltungen, Immobilientransaktionen, Treuhandstrukturen und Transaktionen über 10.000 Euro. Rein streitige Tätigkeit, also Rechtsberatung und Prozessvertretung, ist ausdrücklich vom Anwendungsbereich ausgenommen.

Wie kann eine Kanzlei KYC-Dokumente aufbewahren, ohne das Berufsgeheimnis zu verletzen?

Die Vereinbarkeit beruht auf strikter Informationskompartimentierung: KYC-Dokumente müssen in einem dedizierten Bereich getrennt von der materiellen Fallakte aufbewahrt werden, und Informationen aus der Rechtsberatung dürfen nicht für GwG-Zwecke verwendet werden. Automatisierte Lösungen mit Zero-Retention-Prinzip verarbeiten Dokumente im flüchtigen Speicher und löschen sie unmittelbar nach der Analyse, während nur das Prüfergebnis und der Prüfpfad mandantensachbezogen gespeichert werden.

Darf eine Kanzlei einen Geldwäscheverdacht direkt an die FIU melden?

Nein, Verdachtsmeldungen von Rechtsanwälten fließen in Deutschland über die Rechtsanwaltskammer als Intermediär und nicht direkt an die Financial Intelligence Unit. Die Kammer prüft zunächst, ob die Meldung das Berufsgeheimnis gefährdet, bevor sie weitergeleitet wird. Diese besondere Schutzstruktur unterscheidet Kanzleien fundamental von Banken und anderen verpflichteten Unternehmen, bei denen die Meldung direkt an die FIU erfolgt.

Welche Konsequenzen drohen einer Kanzlei bei GwG-Verstößen?

Berufsrechtliche Sanktionen bei GwG-Versäumnissen reichen von Verwarnungen und Rügen über vorübergehende Berufsausübungsverbote bis hin zum Ausschluss aus der Anwaltschaft in schweren Fällen. Zusätzlich können Verwaltungsbußgelder der BaFin bis zu 5 Millionen Euro für natürliche Personen und bis zu 10 % des Jahresumsatzes für die Kanzlei selbst verhängt werden. Unter AMLD6 werden diese Sanktionen ab Juli 2027 weiter harmonisiert und verschärft.

Handeln Sie, ohne Ihre Berufspflichten zu gefährden

KYC ist für Kanzleien, die in den vom GwG erfassten Bereichen tätig sind, nicht optional. Berufsrechtliche Sanktionen bei GwG-Versäumnissen sind real und erheblich: Verwarnungen, Rügen, vorübergehende Berufsausübungsverbote und in schweren Fällen Ausschluss aus der Anwaltschaft. Verwaltungsbußgelder der BaFin können bis zu 5 Millionen Euro für natürliche Personen und bis zu 10 % des Jahresumsatzes für Kanzleien erreichen.

CheckFile wurde für die spezifischen Anforderungen regulierter Berufe entwickelt. Entdecken Sie unsere Lösung für Kanzleien, prüfen Sie unsere Sicherheits-Garantien, oder konsultieren Sie unsere Preise.

Weiterführende Lektüre: Zum vollständigen Umfang der Pflichten unter dem neuesten EU-Rahmen lesen Sie unseren KYC-2026-Leitfaden und den AMLD6-Compliance-Leitfaden. Für B2B-Onboarding lesen Sie unseren KYB-Leitfaden.

Bereit, Ihre Prüfungen zu automatisieren?

Kostenloses Pilotprojekt mit Ihren eigenen Dokumenten. Ergebnisse in 48h.

Verwandte Artikel

Branche9 min

Notar Identitaetspruefung: digitale Transformation

Pflichten der Identitaetspruefung fuer Notare in Deutschland: rechtlicher Rahmen, digitale Werkzeuge, GwG-Compliance und digitale Transformation von Notariaten.

Lesen
Branche10 min

Dokumentenprüfung nach Branche: Sektorleitfaden 2026

Dokumentenprüfung nach Branche: Versicherung, Immobilien, Kanzleien, Steuerberater, Leasing, öffentlicher Sektor. Anforderungen und Lösungen pro Sektor.

Lesen
Branche9 min

Autohandel Dokumenten-Compliance: Kfz-Zulassung und Identitätsprüfung des Käufers

Vollständiger Leitfaden zur Dokumenten-Compliance im Autohandel in Deutschland: Kfz-Zulassung, Zulassungsbescheinigung Teil I und II, HU/TÜV, Halterwechsel beim KBA, Identitätsprüfung des Käufers und Dokumente je Transaktionstyp.

Lesen