Skip to content
KundenreferenzPreiseSicherheitVergleichBlog

Europe

Americas

Oceania

Compliance8 min Lesezeit

KYC: vollständiger Leitfaden für Unternehmen 2026

Was ist KYC? Definition, gesetzliche Pflichten, Prozessschritte und Best Practices für Unternehmen in Deutschland. Aktualisierter Leitfaden mit BaFin-Anforderungen 2026.

Dr. Katrin Hoffmann, Expertin für regulatorische Compliance
Dr. Katrin Hoffmann, Expertin für regulatorische Compliance·
Illustration for KYC: vollständiger Leitfaden für Unternehmen 2026 — Compliance

Diesen Artikel zusammenfassen mit

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

KYC — Know Your Customer — bezeichnet den Prozess, mit dem Unternehmen die Identität ihrer Kunden vor Beginn einer Geschäftsbeziehung feststellen und verifizieren, das damit verbundene Geldwäscherisiko beurteilen und die Beziehung laufend überwachen. In Deutschland wird dieser Prozess durch das Geldwäschegesetz (GwG) geregelt und von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) beaufsichtigt.

Im Januar 2026 kündigte die BaFin mindestens 75 Sonderprüfungen für 2026 an, mit explizitem Schwerpunkt auf Kunden-Risikoklassifizierung und KYC-Verfahren bei Kreditinstituten. Verstöße gegen das GwG können mit Bußgeldern bis zu 5 Millionen Euro oder 10 % des Jahresumsatzes geahndet werden — je nachdem, welcher Betrag höher ist. KYC-Compliance ist keine Bürokratiepflicht, sondern ein geschäftskritischer Prozess.

Dieser Artikel dient ausschließlich der Information und stellt keine rechtliche, finanzielle oder regulatorische Beratung dar. Bitte konsultieren Sie einen qualifizierten Fachmann für Ihre spezifische Situation.

Was ist KYC?

KYC (Know Your Customer) bezeichnet die Pflicht von Unternehmen, die Identität ihrer Vertragspartner festzustellen, die Geschäftsbeziehung auf Plausibilität zu prüfen und das Geldwäsche- und Terrorismusfinanzierungsrisiko zu beurteilen. Der Prozess erstreckt sich auf die gesamte Dauer der Geschäftsbeziehung und endet nicht mit dem Onboarding.

Seit dem 19. Juni 2024 gilt die Europäische Verordnung (EU) 2024/1620 über die Geldwäschebehörde AMLA, die die koordinierte Aufsicht auf EU-Ebene stärkt und unmittelbare Auswirkungen auf die BaFin-Praxis hat (Verordnung (EU) 2024/1620, ABl. EU vom 19. Juni 2024).

Das KYC-Verfahren umfasst drei Kernelemente:

  • Identifizierung: Erhebung der Kundendaten (Name, Geburtsdatum, Anschrift, Staatsangehörigkeit)
  • Verifizierung: Prüfung der Echtheit der vorgelegten Dokumente
  • Risikobewertung: Klassifizierung des Kunden und Festlegung der angemessenen Sorgfaltspflichten

Für welche Unternehmen gilt KYC in Deutschland?

Das GwG gilt für alle in § 2 GwG aufgeführten Verpflichteten. Der Anwendungsbereich reicht weit über den klassischen Bankensektor hinaus.

Sektor Beispiele verpflichteter Unternehmen
Banken und Kredit Kreditinstitute, Zahlungsinstitute, E-Geld-Institute
Investitionen Wertpapierdienstleistungsunternehmen, Kapitalverwaltungsgesellschaften
Versicherungen Lebensversicherer und -vermittler
Rechts- und Steuerberatung Rechtsanwälte, Notare, Steuerberater, Wirtschaftsprüfer
Immobilien Immobilienmakler (Transaktionen ≥ 10.000 €)
Krypto-Assets Kryptowerte-Dienstleister mit BaFin-Erlaubnis
Handel Händler bei Barzahlungen ≥ 10.000 €
Glücksspiel Spielkasinos (land- und onlinebasiert)

Für Güterhändler gilt die Identifizierungspflicht bereits ab einer Barzahlung von 10.000 Euro, gemäß § 2 Abs. 1 Nr. 16 GwG. Der Glücksspielsektor gilt als besonders anfällig für Geldwäsche und unterliegt verschärften KYC-Anforderungen.

Die Phasen des KYC-Prozesses

Identifizierung und Dokumentenerhebung

Die Identifizierung muss vor Beginn der Geschäftsbeziehung erfolgen. Bei natürlichen Personen erhebt der Verpflichtete: Vor- und Nachname, Geburtsdatum und -ort, Staatsangehörigkeit sowie Wohnanschrift. Als Nachweise dienen amtliche Lichtbildausweise — Personalausweis oder Reisepass — sowie aktuelle Adressnachweise.

Bei juristischen Personen sind zusätzlich zu erheben: Firma, Rechtsform, Registernummer, Geschäftsanschrift und die Identität der wirtschaftlich Berechtigten. Wirtschaftlich Berechtigter ist jede natürliche Person, die unmittelbar oder mittelbar mehr als 25 % der Kapitalanteile oder Stimmrechte hält oder auf sonstige Weise Kontrolle ausübt, gemäß § 3 GwG.

Verifizierung der Echtheit

Die Überprüfung der vorgelegten Dokumente kann persönlich oder über zugelassene Fernidentifizierungsverfahren (Video-Ident, eID) erfolgen. Die BaFin hat in ihren Auslegungshinweisen zum GwG klargestellt, dass automatisierte Identifizierungslösungen mit KI-Einsatz zulässig sind, sofern sie einem persönlichen Erscheinen gleichwertig sind.

Die automatisierte Dokumentenprüfungslösung von CheckFile verarbeitet über 200 Dokumentenarten — darunter deutsche Personalausweise, Reisepässe und europäische Ausweisdokumente — in unter 10 Sekunden, mit integrierter Fälschungserkennung und Metadatenprüfung. Informieren Sie sich über unsere Tarife und Pakete.

Sorgfaltspflichten und Risikoklassifizierung

Das GwG verlangt einen risikobasierten Ansatz bei den Sorgfaltspflichten:

Sorgfaltspflicht Anwendungsfall Erforderliche Maßnahmen
Vereinfachte Sorgfaltspflicht Niedriges Risiko (börsennotierte Gesellschaften, Behörden) Erleichterte Identifizierung zulässig
Allgemeine Sorgfaltspflicht Standardgeschäftsbeziehungen Vollständige Identifizierung und laufende Überwachung
Verstärkte Sorgfaltspflicht PEP, Hochrisikoländer, ungewöhnliche Transaktionen Herkunft der Mittel klären, verstärkte Überwachung

Eine politisch exponierte Person (PEP) ist jede natürliche Person, die ein wichtiges öffentliches Amt ausübt oder ausgeübt hat — Regierungsmitglied, Parlamentarier, Richter an einem obersten Gericht, Leiter eines staatlichen Unternehmens — sowie deren Familienangehörige und bekannte enge Mitarbeiter. Verstärkte Sorgfaltspflichten für PEPs sind zwingend nach § 15 GwG.

Laufende Überwachung und Aktualisierung

Der KYC-Prozess endet nicht mit der Aufnahme des Kunden. Verpflichtete müssen Transaktionen laufend überwachen, Kundendaten aktuell halten und bei wesentlichen Änderungen — Gesellschafterwechsel, neue wirtschaftlich Berechtigte, ungewöhnliche Transaktionsmuster — sofort eine Aktualisierung vornehmen. Hochrisikokunden werden mindestens jährlich überprüft; Standardkunden üblicherweise alle drei bis fünf Jahre.

Bestellung eines Geldwäschebeauftragten

Kreditinstitute, Finanzdienstleister und andere verpflichtete Unternehmen ab einer bestimmten Größe müssen gemäß § 7 GwG einen Geldwäschebeauftragten und einen Stellvertreter bestellen. Diese Person muss auf Führungsebene angesiedelt sein, ihre Tätigkeit in Deutschland ausüben und direkt an die Unternehmensleitung berichten. Sie ist Ansprechpartner für die BaFin, Strafverfolgungsbehörden und die Zentralstelle für Finanztransaktionsuntersuchungen (FIU).

Im Prüfungsschwerpunkt der BaFin für 2026 steht explizit die Wirksamkeit der Funktion des Geldwäschebeauftragten im Mittelpunkt der Sonderprüfungen, insbesondere bei Zahlungsinstituten und E-Geld-Instituten (BaFin Risks in Focus 2026, veröffentlicht am 28. Januar 2026).

Verdachtsmeldungen an die FIU

Jeder Verpflichtete, der einen Sachverhalt kennt oder vermutet, der auf Geldwäsche oder Terrorismusfinanzierung hindeutet, muss eine Verdachtsmeldung an die FIU Deutschland erstatten. Im Jahr 2023 gingen bei der FIU Deutschland 340.169 Verdachtsmeldungen ein — ein Anstieg von 17 % gegenüber 2022. Das Unterlassen einer Verdachtsmeldung ist eine Ordnungswidrigkeit und kann mit Bußgeldern bis zu 150.000 Euro geahndet werden.

Tipping-off — die Offenbarung einer Verdachtsmeldung gegenüber dem Betroffenen — ist nach § 47 GwG verboten.

KYC und Unternehmensverifizierung (KYB)

Beim Onboarding von Unternehmenskunden erweitert sich KYC zum KYB (Know Your Business). Dabei werden neben der Identifizierung des Unternehmens auch die Gesellschafterstruktur, die wirtschaftlich Berechtigten und die Herkunft der Mittel geprüft. Unsere Analyse der KYC-Anforderungen für 2026 beleuchtet die aktuellen Verschärfungen im deutschen Recht.

Für eine übergreifende Übersicht der dokumentären Compliance-Anforderungen lesen Sie unseren Leitfaden zur dokumentären Conformität.

Digitalisierung des KYC-Prozesses

Moderne eKYC-Lösungen erlauben die vollständige Digitalisierung des KYC-Prozesses. Zugelassene Methoden umfassen Video-Ident-Verfahren, die Online-Ausweisfunktion des deutschen Personalausweises (eID) und automatisierte Dokumentenprüfung mit KI. Die BaFin hat in ihren aktualisierten Auslegungshinweisen zum GwG (2024) klargestellt, welche technischen Mindeststandards für automatisierte Identifizierungslösungen gelten.

Unsere AML-Compliance-Lösung unterstützt verpflichtete Unternehmen bei der GwG-konformen Umsetzung des gesamten KYC-Prozesses — von der automatisierten Dokumentenprüfung bis zur PEP- und Sanktionslistenprüfung.

Typische Fehler und BaFin-Beanstandungen in der Praxis

Aus den veröffentlichten BaFin-Jahresberichten zur Geldwäscheaufsicht und den öffentlich zugänglichen Sanktionsentscheidungen lassen sich vier häufige Schwachstellen in KYC-Programmen ableiten:

  • Undokumentierte Risikoklassifizierung: Kunden werden ohne nachvollziehbares Bewertungsschema als «Standardrisiko» eingestuft. Die BaFin erwartet eine schriftlich fixierte und von der Geschäftsleitung genehmigte Methodik mit konkreten Kriterien.
  • Überholte Kundendaten: Identifikationsdaten werden nach dem Onboarding nicht aktualisiert. Bei Änderungen der Eigentumsstruktur, neuen wirtschaftlich Berechtigten oder verändertem Geschäftsmodell fehlt eine zeitnahe Revision.
  • Lückenhafte UBO-Ermittlung: Bei Holdingstrukturen wird der direkte Anteilseigner fälschlicherweise als wirtschaftlich Berechtigter betrachtet, ohne die dahinterstehende natürliche Person zu ermitteln.
  • Fehlende Begründung bei Nicht-Meldungen: Transaktionen, die intern als ungewöhnlich eingestuft wurden, aber nicht zur Verdachtsmeldung führten, sind nicht ausreichend dokumentiert.

Checkliste für eine GwG-konforme KYC-Implementierung:

Komponente Mindestanforderung Prüfintervall
Risikoanalyse Schriftliche Risikobewertung mit Branchenprofil, Produkten und Vertriebskanälen Jährlich oder bei wesentlichen Änderungen
Kundenannahme Formalisierte Annahmepolitik mit Ausschlussliste für Hochrisikokunden Jährliche Überprüfung
Schulungen Pflichtschulung für alle Mitarbeiter mit Kundenkontakt (mit Teilnahmeprotokoll) Jährlich + bei Neueinstellung
Technologie Integriertes System für Dokumentenprüfung, PEP- und Sanktionslistenabgleich Kontinuierlich, Listenupdates täglich
Interne Revision Stichprobenprüfung von KYC-Dossiers durch die interne Revision Mindestens einmal jährlich

Häufig gestellte Fragen

Was ist KYC auf Deutsch?

KYC steht für Know Your Customer und bedeutet auf Deutsch in etwa «Kenne deinen Kunden». Es bezeichnet die im GwG verankerte Pflicht, die Identität von Kunden und Geschäftspartnern vor Aufnahme einer Geschäftsbeziehung festzustellen, zu verifizieren und ihr Geldwäscherisiko zu bewerten.

Welche Dokumente werden für KYC benötigt?

Für natürliche Personen: ein gültiger amtlicher Lichtbildausweis (Personalausweis oder Reisepass) und ein aktueller Adressnachweis. Für juristische Personen: Handelsregisterauszug, Gesellschaftsvertrag oder Satzung, Nachweise über Vertretungsbefugnisse und Angaben zu allen wirtschaftlich Berechtigten.

Gilt KYC auch für kleine Unternehmen in Deutschland?

Ja, sofern das Unternehmen zu den Verpflichteten nach § 2 GwG gehört — also zum Beispiel als Immobilienmakler, Rechtsanwalt, Steuerberater oder Güterhändler bei Barzahlungen über 10.000 Euro. Die Intensität der Sorgfaltspflichten richtet sich nach dem Risikoprofil des Unternehmens und seiner Kunden.

Was passiert bei Verstößen gegen KYC-Pflichten in Deutschland?

Verstöße gegen das GwG können mit Bußgeldern bis zu 5 Millionen Euro oder 10 % des Jahresumsatzes geahndet werden. Bei schwerwiegenden oder vorsätzlichen Verstößen drohen Entzug der Erlaubnis, Berufsverbot für Verantwortliche und strafrechtliche Konsequenzen. Die BaFin veröffentlicht ihre Sanktionsentscheidungen öffentlich.

Was ist der Unterschied zwischen KYC und AML?

KYC (Know Your Customer) ist der Prozess der Kundenidentifizierung und Risikobewertung — ein wesentlicher Bestandteil des AML-Programms. AML (Anti-Money Laundering, Geldwäscheprävention) umfasst das gesamte System von Kontrollen: Transaktionsüberwachung, Verdachtsmeldungen an die FIU, Schulungen der Mitarbeiter und interne Governance-Strukturen. KYC ist das Fundament, auf dem das AML-Programm aufbaut.

Thema vertiefen

Entdecken Sie unsere Praxisleitfäden und Ressourcen zur Dokumenten-Compliance.

Verwandte Artikel

Compliance9 min

Third-Party Risk Management (TPRM): Leitfaden 2026

Vollständiger Leitfaden zum Third-Party Risk Management (TPRM): DORA-Pflichten, BaFin-Anforderungen, Lieferantenbewertung, kontinuierliches Monitoring und GwG-Compliance in Deutschland 2026.

Lesen
Compliance11 min

Compliance-Risikobewertung: Leitfaden für deutsche Unternehmen 2026

Wie Sie regulatorische Risiken identifizieren, bewerten und minimieren. Praxisleitfaden zum Compliance-Risikomanagement nach BaFin-Anforderungen und GwG § 5.

Lesen
Compliance8 min

GRC: Governance, Risikomanagement und Compliance — Leitfaden 2026

Was ist Governance Risk Management Compliance (GRC)? Die drei Säulen, BaFin-Anforderungen in Deutschland und wie Sie ein effektives GRC-Framework aufbauen.

Lesen