KYC und AML für Crowdfunding-Plattformen: ECSP-Compliance 2026
Vollständiger Leitfaden zu KYC- und GwG-Pflichten für Crowdfunding-Plattformen unter der EU-ECSP-Verordnung 2020/1503 und dem deutschen GwG: Anlegerverifizierung, Screening und Meldungen an die FIU.
Diesen Artikel zusammenfassen mit
ChatGPT
Claude
Perplexity
Gemini
GrokDie EU-Schwarmfinanzierungsverordnung ((EU) 2020/1503) hat den Rechtsrahmen für Crowdfunding in der gesamten Europäischen Union seit dem 10. November 2023 harmonisiert. Für deutsche Plattformen bedeutet dies eine BaFin-Zulassung als zuständige nationale Behörde, verschärfte KYC-Anforderungen gegenüber Anlegern und Projektträgern sowie eine vollständige Integration in das Geldwäschebekämpfungsregime nach dem GwG 2017. Dieser Leitfaden beschreibt die konkreten Anforderungen für ECSP-Plattformen in 2026.
Dieser Artikel dient ausschließlich Informationszwecken und stellt keine rechtliche, finanzielle oder regulatorische Beratung dar. Die regulatorischen Angaben entsprechen dem Stand zum Veröffentlichungsdatum (Juni 2026). Bitte wenden Sie sich an einen qualifizierten Fachmann für auf Ihre Situation zugeschnittene Beratung.
EU-Schwarmfinanzierungsverordnung 2020/1503: Rechtsrahmen für Crowdfunding
Die ECSP-Verordnung ist seit dem 10. November 2023 unmittelbar in Deutschland anwendbar und wird durch das Schwarmfinanzierungsdienstleistergesetz (SFDLG) von 2021 flankiert, das die Übergangsregelungen und nationalen Besonderheiten regelt. Die BaFin fungiert als nationale zuständige Behörde für die Erteilung der ECSP-Zulassung in Deutschland, die einen EU-weiten Pass für den Betrieb in allen 27 Mitgliedstaaten ermöglicht (Verordnung (EU) 2020/1503, Art. 12). Die BaFin hatte bis Anfang 2026 15 ECSP-Zulassungen erteilt.
| Aspekt | Vor ECSP (VermAnlG/KAGB) | ECSP-Verordnung 2020/1503 |
|---|---|---|
| Geografischer Geltungsbereich | Nur Deutschland | 27 EU-Mitgliedstaaten (EU-Pass) |
| Zuständige Behörde | BaFin | BaFin + ESMA |
| Höchstbetrag je Projekt | 6 Mio. € (VermAnlG-Ausnahme) | 5 Mio. € je 12 Monate |
| Nicht-professionelle Anleger | Kein individuelles Limit | Max. 1.000 € oder 5 % des Nettovermögens |
| Widerrufsfrist | Nicht einheitlich geregelt | 4 Kalendertage |
| Kenntnistest | Nicht einheitlich | Obligatorisch vor 1. Anlage |
| Aufbewahrungspflicht | 5 Jahre (GwG + DSGVO) | Mindestens 5 Jahre |
Einen umfassenden Überblick zur Dokumenten-Compliance finden Sie in unserem Leitfaden zur Dokumenten-Compliance.
KYC-Pflichten für Anleger auf Crowdfunding-Plattformen
Identifizierung und Verifizierung von Anlegern
Vor jeder ersten Anlage müssen ECSP-Plattformen die Identität des Anlegers verifizieren. Die EU-Geldwäscheverordnung ((EU) 2024/1624), Art. 20, schreibt die Identifizierung mittels amtlichem Lichtbildausweis (Reisepass, Personalausweis oder Aufenthaltstitel) und eine Adressverifizierung vor, wobei auch eine elektronische Fernverifizierung zulässig ist (Verordnung EU 2024/1624). Das Geldwäschegesetz (GwG 2017 §10 ff.) verpflichtet Crowdfunding-Plattformen als Verpflichtete gemäß §2 Abs. 1 Nr. 15b zu entsprechenden Sorgfaltspflichten.
Die elektronische Verifizierung — automatisierte OCR, Metadatenanalyse und Liveness-Detection — ist von der BaFin und der FIU Deutschland als gleichwertig zur persönlichen Überprüfung anerkannt. CheckFile unterstützt mehr als 3.200 Dokumenttypen in 32 Rechtsordnungen für KYC-Workflows auf Crowdfunding-Plattformen.
Kenntnistest und Anlegerkategorien
Die ECSP-Verordnung unterscheidet zwischen sachkundigen und nicht sachkundigen Anlegern. Für letztere schreibt Art. 21(1) einen obligatorischen Kenntnistest vor der ersten Investition vor, der folgende Bereiche abdecken muss: Verständnis des Produkts, Risiko des Totalverlusts des Kapitals, fehlende Liquidität und keine Einlagensicherung.
Plattformen, die den Kenntnistest unterlassen, riskieren BaFin-Sanktionen von bis zu 5 Millionen Euro oder 5 % des Jahresumsatzes (Verordnung EU 2020/1503, Art. 39).
Anlagegrenzen und Schutzmaßnahmen
Für nicht sachkundige Anleger unter der ECSP-Verordnung:
- Maximal 1.000 € je Projekt, oder 5 % des Nettovermögens, wenn dieser Betrag 1.000 € übersteigt (Art. 21(7))
- Widerrufsfrist von 4 Kalendertagen ohne Sanktionen (Art. 22)
Die Plattform muss die Nettovermögenserklärung mindestens 5 Jahre aufbewahren und den Anleger warnen, wenn seine kumulierten Anlagen die Schwelle überschreiten.
KYB: Verifizierung von Projektträgern
Vor der Veröffentlichung eines Finanzierungsangebots müssen Plattformen eine Unternehmensverifizierung (Know Your Business) des Projektträgers durchführen. Art. 5 der ECSP-Verordnung und die EU-AMLR 2024/1624 verlangen die Verifizierung der Rechtspersönlichkeit, die Identifizierung wirtschaftlich Berechtigter (UBO) mit mindestens 15 % Anteil (seit AMLD6 von 25 % gesenkt) und die Überprüfung strafrechtlicher Verurteilungen der Geschäftsführer.
Erforderliche KYB-Dokumente für einen deutschen Projektträger:
- Handelsregisterauszug (nicht älter als 3 Monate) vom Unternehmensregister
- Aktueller Gesellschaftsvertrag bzw. Satzung
- Personalausweis oder Reisepass jedes Geschäftsführers und UBO ≥ 15 %
- Nachweis der Geschäftsadresse
- Transparenzregistereintrag (Abruf über das Transparenzregister)
Die automatisierte Kreuzvalidierung — zwischen Handelsregisterauszug, Gesellschaftsvertrag und Transparenzregistereintrag — ist ein zentraler Anwendungsfall der CheckFile-Verifizierungslösungen.
Thema vertiefen
Entdecken Sie unsere Praxisleitfäden und Ressourcen zur Dokumenten-Compliance.
Leitfäden entdeckenGwG-Pflichten: Screening, Monitoring und Meldungen an die FIU
Screening auf Sanktionslisten und PEPs
ECSP-Plattformen sind Verpflichtete nach GwG 2017, §2 Abs. 1 Nr. 15b und der EU-AMLR 2024/1624. Dies beinhaltet die systematische Überprüfung aller Anleger und Projektträger gegen die konsolidierte EU-Sanktionsliste, OFAC- und UN-Listen sowie Listen politisch exponierter Personen (PEPs) vor dem Onboarding und fortlaufend.
Verdachtsmeldungen an die FIU Deutschland
Plattformen müssen der FIU Deutschland (beim Bundesverwaltungsamt) gemäß GwG §43 eine Verdachtsmeldung erstatten, wenn sie Tatsachen feststellen, die auf Geldwäsche oder Terrorismusfinanzierung hindeuten — unabhängig vom Betrag. Die Nichterstattung einer Meldung ist eine Ordnungswidrigkeit mit Bußgeldern bis zu 150.000 Euro.
Weitere Informationen zu AML-Compliance-Anforderungen finden Sie in unserem Leitfaden zur Geldwäscheprävention und dem AMLD6-Compliance-Leitfaden für Verpflichtete.
DSGVO und Datenspeicherung
Die Aufbewahrung von KYC-Daten unterliegt zwei kumulativen Rechtsrahmen: der DSGVO — Datensparsamkeit — und dem GwG — mindestens 5 Jahre nach Beendigung der Geschäftsbeziehung (DSGVO Art. 5 und GwG §8). Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Landesdatenschutzbehörden können Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes verhängen.
Besuchen Sie unsere Sicherheitsseite und prüfen Sie die CheckFile-Preise für Fintechs für Informationen zu Datenschutz und Plattformsicherheit.
Aufbau eines GwG-konformen Compliance-Programms für ECSP-Plattformen
Ein vollständiges Compliance-Programm nach dem GwG für eine Crowdfunding-Plattform umfasst weit mehr als reine KYC-Maßnahmen und Verdachtsmeldungen. Die BaFin erwartet bei der Antragstellung auf ECSP-Zulassung ein dokumentiertes Rahmenwerk zu folgenden Bereichen:
1. Governance und Geldwäschebeauftragter Der bestellte Geldwäschebeauftragte (GWB) ist nach GwG §7 für die Überwachung des gesamten Compliance-Programms, die Berichterstattung an die Geschäftsleitung und die jährliche Überprüfung des Risikomanagementsystems verantwortlich. Für Plattformen ab einer bestimmten Größe ist die Bestellung eines stellvertretenden Geldwäschebeauftragten ebenfalls vorgeschrieben.
2. Risikobasierter Ansatz und Gefährdungsanalyse Das GwG schreibt in §5 eine schriftliche Risikoanalyse vor, die das inhärente Geldwäscherisiko der Plattform nach Kundensegmenten, Produkten, Vertriebswegen und geografischen Risiken bewertet. Für Schwarmfinanzierungsplattformen sind besondere Risikobereiche: grenzüberschreitende Anleger, Projektträger in risikobehafteten Sektoren (Immobilien, Energie, Technologie) sowie Mittelzuflüsse aus FATF-Jurisdiktionen auf der grauen Liste.
3. Laufende Transaktionsüberwachung Plattformen müssen ein Transaktionsüberwachungssystem implementieren, das auffällige Verhaltensmuster erkennt: Stückelung von Beträgen durch mehrere Konten, Investitionen inconsistent mit dem angegebenen Einkommen oder ungewöhnlich häufige Transaktionen auf mehreren Projekten in kurzen Zeiträumen (Structuring-Muster).
4. Schulung und Sensibilisierung Mitarbeiter mit Kundenkontakt müssen jährlich in geldwäscherelevanten Typologien geschult werden, die spezifisch für das Crowdfunding-Geschäftsmodell sind. Die BaFin kann Nachweise der Schulungsmaßnahmen bei Prüfungen anfordern.
5. Unabhängige Prüfung Eine unabhängige Überprüfung des Compliance-Programms — intern oder extern — muss mindestens einmal jährlich durchgeführt werden. Feststellungen sind zu dokumentieren; identifizierte Mängel sind innerhalb angemessener Fristen zu beheben.
ESMA-Technische Standards und BaFin-Merkblätter für ECSP-Plattformen
Die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) hat mehrere bindende technische Regulierungsstandards (RTS) zur Umsetzung der ECSP-Verordnung veröffentlicht. Für deutsche Crowdfunding-Plattformen sind insbesondere relevant:
- RTS zur Anlegerkommunikation (ESMA/2022/1584): Detaillierte Vorgaben zum Format des Kenntnistests, zur Risikobewertungsmethodik und zu den Informationspflichten gegenüber nicht sachkundigen Anlegern.
- RTS zur Vorfallsberichterstattung: ECSP-Plattformen müssen der BaFin operative Vorfälle, die den Betrieb beeinträchtigen, innerhalb der in den technischen Standards festgelegten Fristen melden.
- ESMA Q&A ECSP: Die ESMA veröffentlicht regelmäßig Q&A-Dokumente zu Anwendungsfragen der Verordnung — aktuell unter ESMA Interactive Single Rulebook abrufbar.
Die BaFin hat darüber hinaus Hinweise zur Erlaubnisbeantragung für ECSP-Dienstleister sowie zum erwarteten Inhalt des Geldwäschepräventionsprogramms veröffentlicht. Aktuelle Merkblätter sind auf bafin.de verfügbar.
KYC/AML-Compliance automatisieren für ECSP-Plattformen
Die manuelle KYC-Onboarding eines Anlegers auf einer ECSP-Plattform — Dokumentenerfassung, manuelle Prüfung, Kenntnistest, Screening — dauert 15 bis 45 Minuten je Vorgang und birgt erhebliches menschliches Fehlerrisiko. Die Automatisierung mittels einer Dokumentenverifizierungs-API reduziert dies auf unter eine Minute für Standardfälle, während die Dokumentenprüfungsgenauigkeit durch Eliminations von Übertragungsfehlern bei manueller Dateneingabe nachweislich verbessert wird.
Crowdfunding-Plattformen verarbeiten in der Regel Hunderte bis Tausende von Anlegerdossiers pro Jahr. Bei einer manuellen Bearbeitungszeit von 30 Minuten pro Dossier entstehen erhebliche Personalkosten und Verzögerungen beim Onboarding-Erlebnis, was sich direkt auf die Konversionsrate der Plattform auswirkt. Durch automatisierte API-basierte Verifizierung werden beide Probleme gleichzeitig gelöst.
CheckFile bietet eine Dokumentenverifizierungs-API, die mit interaktiven KYC-Onboarding-Workflows kompatibel ist: hochwertige Datenextraktion bei über 3.200 Dokumenttypen, mehrfeldige Kreuzvalidierung und native Integration in ECSP-Pipelines. Fordern Sie eine Demo auf checkfile.ai an.
Häufig gestellte Fragen
Benötigt eine deutsche Crowdfunding-Plattform eine BaFin-Zulassung nach der ECSP-Verordnung?
Ja. Plattformen, die anlage- oder kreditbasiertes Crowdfunding anbieten, benötigen eine ECSP-Zulassung der BaFin. Die BaFin hatte bis Anfang 2026 15 ECSP-Zulassungen erteilt. Plattformen, die ausschließlich auf Spendenoder Belohnungsbasis operieren, fallen nicht in den Anwendungsbereich der ECSP-Verordnung.
Welche KYC-Dokumente sind für einen nicht sachkundigen Anleger erforderlich?
Mindestens: ein gültiger amtlicher Lichtbildausweis (Reisepass, Personalausweis oder Aufenthaltstitel) und ein aktueller Adressnachweis (Kontoauszug, Versorgungsrechnung oder Steuerbescheid, nicht älter als 3 Monate). Bei höheren Beträgen oder Risikoprofilen ist zusätzliche Dokumentation zur Herkunft der Mittel erforderlich.
Was ist das Anlagelimit für nicht sachkundige Anleger unter der ECSP-Verordnung?
Das Maximum beträgt 1.000 € je Projekt, oder 5 % des Nettovermögens, wenn dieses 1.000 € übersteigt. Bei einem Nettovermögen von 50.000 € wären beispielsweise 2.500 € je Projekt möglich. Die Plattform muss die Nettovermögenserklärung mindestens 5 Jahre aufbewahren.
Wann muss eine ECSP-Plattform eine Verdachtsmeldung an die FIU erstatten?
Eine Verdachtsmeldung muss erstattet werden, sobald die Plattform Tatsachen feststellt, die auf Geldwäsche oder Terrorismusfinanzierung hindeuten — unabhängig vom Betrag. Typische Auslöser: nicht erklärbare Mittelherkunft, mehrere Konten einer Person, Sanktions- oder PEP-Treffer, oder ungewöhnliche Transaktionsmuster. Unterlassene Meldungen stellen Ordnungswidrigkeiten dar, die mit Bußgeldern bis zu 150.000 Euro geahndet werden können.
Kann eine deutsche ECSP-Plattform in Frankreich oder den Niederlanden tätig werden?
Ja. Der europäische Pass der ECSP-Verordnung ermöglicht einer von der BaFin zugelassenen Plattform, in allen 27 EU-Mitgliedstaaten tätig zu werden, nach vorheriger Benachrichtigung der BaFin und der zuständigen Behörden des Aufnahmemitgliedstaats. Dies ist einer der größten Vorteile des neuen ECSP-Rahmens gegenüber dem zuvor fragmentierten nationalen Regime.
Die Angaben in diesem Artikel basieren auf der zum Juni 2026 geltenden Rechtslage. Bitte prüfen Sie regelmäßig die BaFin-Website und die ECSP-Verordnung im EUR-Lex auf aktuelle Informationen.
Bleiben Sie informiert
Erhalten Sie unsere Compliance-Analysen und Praxisleitfäden direkt in Ihr Postfach.