Skip to content
KundenreferenzPreiseSicherheitVergleichBlog
GlossarLänderleitfädenChecklistenROI-Rechner

Europe

Americas

Oceania

Alle Leitfäden
🇩🇪

KYC-Pflichten in Deutschland — Vollständiger Leitfaden 2026

Umfassender Leitfaden zu den KYC- und Geldwäschepräventionspflichten in Deutschland: Anforderungen der BaFin, GwG (Geldwäschegesetz), Dokumentenprüfung und bewährte Verfahren für Verpflichtete.

Aufsichtsbehörden:BaFin
Wichtige Gesetze:GwG (Geldwäschegesetz), AMLD6
Zuletzt aktualisiert 2026-03-28

Regulatorischer Rahmen

Deutschland, die größte Volkswirtschaft Europas, verfügt über einen umfassenden Rechtsrahmen zur Geldwäscheprävention, der auf dem Geldwäschegesetz (GwG) basiert. Dieses Gesetz wurde erstmals 1993 verabschiedet und 2017 grundlegend überarbeitet, um die 4. Europäische Geldwäscherichtlinie (AMLD4) umzusetzen. Weitere Änderungen folgten 2020 (AMLD5) und 2023 (AMLD6). Die aktuelle Fassung des GwG bildet den Referenztext für sämtliche Sorgfaltspflichten im Bereich der Bekämpfung von Geldwäsche und Terrorismusfinanzierung (AML/CFT).

Die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) ist die zentrale Aufsichtsbehörde. Sie beaufsichtigt Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister und andere Finanzinstitute. Die BaFin ist für die Durchsetzung des GwG im Finanzsektor zuständig und verfügt über weitreichende Untersuchungs-, Kontroll- und Sanktionsbefugnisse. Sie veröffentlicht regelmäßig Auslegungs- und Anwendungshinweise, die ihre Erwartungen an die Umsetzung des GwG präzisieren.

Die Financial Intelligence Unit (FIU), angesiedelt bei der Generalzolldirektion, ist die deutsche Zentralstelle für Finanztransaktionsuntersuchungen. Sie empfängt die Verdachtsmeldungen (Verdachtsmeldungen nach § 43 GwG) der Verpflichteten und analysiert diese, um festzustellen, ob sie an die Strafverfolgungsbehörden weitergeleitet werden müssen. Seit ihrer Verlagerung von der Polizei zur Zollverwaltung im Jahr 2017 wurde die FIU wegen Bearbeitungsrückständen kritisiert, was zu Reformen und einer Aufstockung des Personals geführt hat.

Ein Besonderheit des deutschen Systems ist die Rolle der Bundesländer bei der Aufsicht über bestimmte nicht-finanzielle Verpflichtete (Immobilienmakler, Güterhändler usw.), was zu einem dezentralen Überwachungssystem führt. Jedes Bundesland verfügt über eine zuständige Aufsichtsbehörde für die nicht-finanziellen Berufe, während die BaFin auf Bundesebene für den Finanzsektor zuständig bleibt.

Verpflichtete Unternehmen

§ 2 des GwG definiert einen umfangreichen Kreis von verpflichteten Berufen und Tätigkeiten:

  • Kreditinstitute (gemäß KWG): Universalbanken, Sparkassen, Genossenschaftsbanken (Volks- und Raiffeisenbanken), Direktbanken
  • Finanzdienstleistungsinstitute: Broker, Anlageberater, Portfolioverwalter
  • Zahlungsinstitute und E-Geld-Institute: Fintechs, Neobanken, Zahlungsdienstleister
  • Versicherungsunternehmen: Lebensversicherer, Versicherungsvermittler für Kapitalisierungsprodukte
  • Kapitalverwaltungsgesellschaften (KVG) und Verwahrstellen: Investmentfonds-Manager und Depotbanken
  • Kryptoverwahrer und Kryptodienstleister: Handelsplattformen und Verwahrungsdienste, seit 2020 BaFin-lizenzpflichtig
  • Rechts- und Steuerberufe: Rechtsanwälte, Notare, Wirtschaftsprüfer, Steuerberater
  • Immobilienmakler: Für Immobilientransaktionen aller Art
  • Güterhändler: Für Barzahlungen über 10.000 Euro
  • Spielbanken und Glücksspielanbieter: Landbasierte Casinos und Online-Glücksspielanbieter

Seit der Umsetzung der AMLD5 erfasst das GwG auch Kunst- und Antiquitätenhändler für Transaktionen über 10.000 Euro sowie Immobilienvermittler für monatliche Mieten über 10.000 Euro.

Sorgfaltspflichten gegenüber Kunden

Allgemeine Sorgfaltspflichten (CDD — Customer Due Diligence)

Die allgemeinen Sorgfaltspflichten sind in den §§ 10 bis 13 des GwG geregelt:

Identifizierung des Kunden: Für natürliche Personen umfassen die Identifizierungsdaten den Namen, den Vornamen, das Geburtsdatum, den Geburtsort, die Staatsangehörigkeit und die Anschrift. Die Überprüfung erfolgt anhand eines gültigen amtlichen Ausweisdokuments (Personalausweis oder Reisepass). Für juristische Personen betrifft die Identifizierung die Firma, die Rechtsform, die Handelsregisternummer, die Anschrift des Sitzes und die Identifizierung der gesetzlichen Vertreter.

Identifizierung des wirtschaftlich Berechtigten (§ 3 GwG): Jede natürliche Person, die direkt oder indirekt mehr als 25 % des Kapitals oder der Stimmrechte einer juristischen Person hält oder auf andere Weise Kontrolle ausübt. Seit 2017 steht das Transparenzregister den Verpflichteten zur Überprüfung der Angaben zu wirtschaftlich Berechtigten zur Verfügung. Seit August 2021 ist das Transparenzregister ein eigenständiges Vollregister und nicht mehr ein bloßes Auffangregister.

Zweck und Art der Geschäftsbeziehung verstehen: Der Verpflichtete muss Informationen über die Geschäftstätigkeit des Kunden, den Zweck der Geschäftsbeziehung und das voraussichtliche Geschäftsvolumen einholen.

Fortlaufende Überwachung: Aktualisierung der Daten und Überwachung der Transaktionen während der gesamten Geschäftsbeziehung.

Identifizierung aus der Ferne: Das GwG und die BaFin-Rundschreiben erkennen die Videoidentifizierung (VideoIdent) als konforme Methode zur Fernidentifizierung an, sofern strenge technische Anforderungen eingehalten werden (Echtzeit-Videoübertragung, Bildqualität, Sicherheitskontrollen). Die BaFin hat darüber hinaus die Nutzung der eID-Funktion (Online-Ausweisfunktion des Personalausweises) zur Identitätsprüfung zugelassen.

Verstärkte Sorgfaltspflichten (EDD — Enhanced Due Diligence)

Die verstärkten Sorgfaltspflichten (§ 15 GwG) finden in folgenden Situationen Anwendung:

  • Politisch exponierte Personen (PEP): Personen, die ein bedeutendes öffentliches Amt ausüben oder ausgeübt haben, deren direkte Familienangehörige und Personen, die bekanntermaßen eng mit ihnen verbunden sind. Die Zustimmung der Geschäftsleitung ist erforderlich, ebenso verstärkte Maßnahmen zur Feststellung der Herkunft des Vermögens und der Mittel.
  • Geschäftsbeziehungen mit Hochrisikodrittländern: Länder, die auf der Liste der Europäischen Kommission stehen oder von der FATF als risikoreich eingestuft wurden.
  • Komplexe oder ungewöhnliche Transaktionen: Transaktionen, deren Betrag, Art oder Umstände atypisch sind.
  • Korrespondenzbankbeziehungen mit Drittlandsinstituten: Besondere Maßnahmen für Korrespondenzbankbeziehungen mit Banken außerhalb der EU.
  • Immobilientransaktionen: Verstärkte Sorgfaltspflichten für Notare bei Immobilientransaktionen, angesichts des in der Nationalen Risikoanalyse (NRA) identifizierten hohen Geldwäscherisikos in diesem Sektor.

Erforderliche Dokumente

Für natürliche Personen:

  • Personalausweis oder Reisepass (gültig)
  • Meldebescheinigung (nicht älter als 3 Monate)
  • Gegebenenfalls Steuer-Identifikationsnummer (Steuer-ID)
  • Für PEP: Ergänzende Dokumentation zur Herkunft des Vermögens und der Mittel

Für juristische Personen:

  • Aktueller Handelsregisterauszug
  • Gesellschaftsvertrag/Satzung in der aktuellen Fassung
  • Gesellschafterliste
  • Ausweisdokumente der gesetzlichen Vertreter (Geschäftsführer, Vorstand)
  • Auszug aus dem Transparenzregister zu den wirtschaftlich Berechtigten
  • Gegebenenfalls Vollmachten und Vertretungsnachweise

Für Stiftungen und Vereine:

  • Stiftungsurkunde oder Satzung
  • Eintragung im Stiftungs- oder Vereinsregister
  • Identifizierung der Vorstandsmitglieder und Begünstigten

Die Aufbewahrungsfrist beträgt 5 Jahre nach Beendigung der Geschäftsbeziehung oder Durchführung der Transaktion.

Meldepflichten

Verdachtsmeldung (§ 43 GwG): Verpflichtete müssen der FIU jede Transaktion oder jeden Transaktionsversuch melden, bei dem sie wissen, vermuten oder vernünftige Gründe haben zu vermuten, dass diese mit Geldwäsche, Terrorismusfinanzierung oder einer sonstigen strafbaren Handlung in Zusammenhang steht. Die Meldung erfolgt über das Online-Portal goAML der FIU.

Meldegrenzen: Das GwG sieht keinen Mindestbetrag für Verdachtsmeldungen vor. Jedoch müssen Bartransaktionen ab 10.000 Euro im Güterhandel dokumentiert werden, und Geldtransfers unterliegen den Anforderungen der Europäischen Geldtransferverordnung.

Transaktionsverbot: Bei einer abgegebenen Meldung muss der Verpflichtete die Durchführung der Transaktion für einen Zeitraum von 3 Geschäftstagen unterlassen, es sei denn, die FIU gibt die Transaktion frei oder die zuständige Behörde erteilt eine Genehmigung.

Informationsverbot (Tipping-off-Verbot): Der Verpflichtete darf den Kunden oder Dritte nicht darüber informieren, dass eine Meldung abgegeben wurde. Ein Verstoß gegen dieses Verbot wird strafrechtlich verfolgt.

Im Jahr 2024 erhielt die FIU mehr als 340.000 Verdachtsmeldungen, ein deutlicher Anstieg gegenüber den Vorjahren, der sowohl die gestiegene Sensibilisierung als auch die Digitalisierung des Meldeprozesses widerspiegelt.

Sanktionen bei Nichteinhaltung

Verwaltungsrechtliche Sanktionen (BaFin und Landesaufsichtsbehörden):

  • Anordnungen zur Herstellung des rechtmäßigen Zustands
  • Vorübergehendes oder dauerhaftes Verbot der Ausübung von Leitungsfunktionen
  • Entzug der Erlaubnis oder Genehmigung
  • Geldbußen von bis zu 5 Millionen Euro für natürliche Personen und der höhere Betrag aus 5 Millionen Euro, 10 % des Gesamtjahresumsatzes oder dem doppelten Betrag des aus dem Verstoß gezogenen Vorteils für juristische Personen
  • Bei schwerwiegenden, wiederholten oder systematischen Verstößen können die Bußgelder auch für nicht-finanzielle Berufe bis zu 1 Million Euro betragen

Strafrechtliche Sanktionen:

  • Geldwäsche (§ 261 StGB) wird mit einer Freiheitsstrafe von 3 Monaten bis 5 Jahren bestraft, in besonders schweren Fällen (organisierte Kriminalität, gewerbsmäßig) mit 6 Monaten bis 10 Jahren
  • Terrorismusfinanzierung (§ 89c StGB) wird mit 6 Monaten bis 10 Jahren Freiheitsstrafe bestraft
  • Verstoß gegen die Meldepflicht (§ 56 GwG) kann zu einer Geldbuße von bis zu 150.000 Euro oder bei Vorsatz zu einer Freiheitsstrafe führen

Veröffentlichung der Sanktionen: Die BaFin veröffentlicht bestimmte Sanktionsentscheidungen auf ihrer Website, gemäß den Bestimmungen des GwG.

Wie CheckFile Sie unterstützt

Der deutsche KYC-Rahmen verlangt eine strenge Dokumentenprüfung, die durch die spezifischen Vorgaben der BaFin zu VideoIdent und eID weiter verschärft wird. CheckFile bietet eine Lösung zur Dokumentenprüfung mittels künstlicher Intelligenz, die optimal auf die Anforderungen des GwG und die Auslegungshinweise der BaFin abgestimmt ist.

Die CheckFile-Plattform überprüft automatisch die Echtheit deutscher Ausweisdokumente (Personalausweis, Reisepass) und von mehr als 6.000 internationalen Dokumententypen. Die KI analysiert physische und digitale Sicherheitsmerkmale, führt die Lesung und Validierung der MRZ-Zone durch und erkennt Versuche des Dokumentenbetrugs (Fälschung, Nachahmung, Manipulation). Die automatische Kreuzvalidierung zwischen den aus dem Dokument extrahierten Daten und den Informationen des Transparenzregisters ermöglicht eine effiziente Überprüfung der wirtschaftlich Berechtigten.

CheckFile erstellt einen vollständigen Prüfpfad gemäß den Anforderungen der BaFin, einschließlich Zeitstempel, Details jeder durchgeführten Kontrolle, Vertrauenswert und Gründe für etwaige Warnungen oder Ablehnungen. Die Daten werden während der regulatorischen Aufbewahrungsfrist von 5 Jahren sicher archiviert und sind für Compliance-Teams zugänglich. Die Integration über API ermöglicht eine nahtlose Automatisierung der Onboarding-Prozesse, kompatibel mit VideoIdent-Lösungen und deutschen Bankplattformen. Die Verarbeitung ist DSGVO-konform mit Datenhaltung in der EU.

Häufig gestellte Fragen

Welche Dokumente sind für KYC in Deutschland erforderlich?

Für natürliche Personen sind ein gültiger Personalausweis oder Reisepass und eine Meldebescheinigung erforderlich. Für juristische Personen werden ein aktueller Handelsregisterauszug, der Gesellschaftsvertrag/die Satzung, die Gesellschafterliste, die Ausweisdokumente der Geschäftsführer und ein Auszug aus dem Transparenzregister zu den wirtschaftlich Berechtigten benötigt. Die Aufbewahrungsfrist beträgt 5 Jahre nach Beendigung der Geschäftsbeziehung.

Welche Sanktionen drohen bei KYC-Verstößen in Deutschland?

Die verwaltungsrechtlichen Sanktionen der BaFin können bis zu 5 Millionen Euro für natürliche Personen und 10 % des Jahresgesamtumsatzes für juristische Personen betragen. Geldwäsche wird mit 3 Monaten bis 10 Jahren Freiheitsstrafe bestraft. Verstöße gegen die Meldepflicht können Bußgelder von bis zu 150.000 Euro nach sich ziehen. Die Sanktionen werden veröffentlicht und bergen ein erhebliches Reputationsrisiko.

Wie häufig müssen KYC-Überprüfungen in Deutschland aktualisiert werden?

Die Häufigkeit richtet sich nach der Risikoeinstufung. Kunden mit hohem Risiko (PEP, Hochrisikoländer) müssen jährlich überprüft werden. Kunden mit Standardrisiko werden je nach internen Richtlinien alle 3 bis 5 Jahre überprüft. Jedes auslösende Ereignis — Wechsel des wirtschaftlich Berechtigten, atypische Transaktionen, widersprüchliche Informationen — erfordert eine sofortige Aktualisierung. Die BaFin prüft bei ihren Audits systematisch die Aktualität der KYC-Akten.

Häufig gestellte Fragen

Automatisieren Sie Ihre Compliance

CheckFile vereinfacht die Dokumentenprüfung konform mit lokalen Anforderungen.