KYC/KYB und das Recht – EU- und globale Vorschriften

Einleitung

Know Your Customer (KYC) und Know Your Business (KYB) sind zentrale Elemente der weltweiten Regulierungsrahmen zur Bekämpfung von Geldwäsche (AML) und Terrorismusfinanzierung (CTF).
Sie verpflichten Finanz- und Nichtfinanzinstitute, sowohl die Identität von Einzelkunden als auch die Eigentums- und Kontrollstrukturen von juristischen Personen zu überprüfen, einschließlich der wirtschaftlich Berechtigten (UBOs).
Das Ziel ist es, Anonymität beim Zugang zu sensiblen Finanz- und digitalen Dienstleistungen zu beseitigen und sicherzustellen, dass Institutionen wissen, wer ihre Kunden sind und zu welchem Zweck die Geschäftsbeziehung besteht.

Der globale Standardsetzer ist die Financial Action Task Force (FATF), deren Empfehlung 10 die Grundprinzipien der Kundenidentifizierung (CDD) und der Ermittlung wirtschaftlich Berechtigter festlegt1.

1. Der EU-Rechtsrahmen für KYC/KYB

1.1 Geldwäscherichtlinien (AMLD4–6)

Die zentralen EU-Instrumente sind:

  • Richtlinie (EU) 2015/849 (AMLD4) – Grundlage der KYC/CDD-Pflichten2,

  • Richtlinie (EU) 2018/843 (AMLD5) – Erweiterung auf Kryptodienstleister3,

  • Richtlinie (EU) 2018/1673 (AMLD6) – Harmonisierung der strafrechtlichen Verantwortlichkeit4.

Artikel 13(1) der AMLD4 verpflichtet die Verpflichteten zu:

  1. Identifizierung und Überprüfung der Kundenidentität anhand zuverlässiger und unabhängiger Quellen,

  2. Identifizierung des wirtschaftlich Berechtigten,

  3. Einholung von Informationen über Zweck und Art der Geschäftsbeziehung,

  4. Kontinuierliche Überwachung der Geschäftsbeziehung2.

Artikel 30 verpflichtet die Mitgliedstaaten zur Einrichtung von Registern der wirtschaftlich Berechtigten2.
Der EuGH hat mit Urteil vom 22. November 2022 (verb. Rs. C-37/20 und C-601/20) den öffentlichen Zugang zu diesen Registern wegen Datenschutzbedenken (GDPR) eingeschränkt5.

AMLD5 erweiterte den Geltungsbereich auf:

  • Kryptowährungsbörsen und Wallet-Anbieter,

  • schränkte anonyme Prepaid-Instrumente ein,

  • führte verstärkte Sorgfaltspflichten für Hochrisikoländer ein3.

AMLD6 präzisierte die Definition der Geldwäsche und verschärfte die Haftung juristischer Personen4.

1.2 Das neue EU-AML-Paket und die AMLA

Die EU arbeitet an einem neuen EU-AML-Paket, das Direktiven durch eine verbindliche Verordnung ersetzt.
Die Aufsicht wird durch die neue EU-Anti-Money Laundering Authority (AMLA) in Frankfurt zentralisiert, um eine einheitliche Anwendung der KYC/KYB-Standards sicherzustellen6.

1.3 Datenschutz gemäß DSGVO

Alle KYC/KYB-Prozesse müssen mit der Datenschutz-Grundverordnung (DSGVO) übereinstimmen7.
Gemäß Artikel 6(1)(c) erfolgt die Datenverarbeitung auf Grundlage einer rechtlichen Verpflichtung.
Artikel 5 schreibt Datenminimierung und Speicherbegrenzung vor – nach Artikel 40 AMLD4 müssen Daten mindestens 5 Jahre gespeichert werden, verlängerbar auf 102.

1.4 Kryptowährungen, Travel Rule und MiCA

Die überarbeitete Verordnung (EU) 2023/1113 über Geldtransfers (Transfer of Funds Regulation – TFR) erweitert die FATF-Travel-Rule auch auf Krypto-Transaktionen8.
Zahlungs- und Kryptodienstleister müssen Informationen über Absender und Empfänger übermitteln, um Transaktionen nachvollziehbar zu machen.
Die MiCA-Verordnung (EU) 2023/1114 ergänzt dies durch einheitliche Lizenzierungs- und Verbraucherschutzregeln9.

1.5 Verpflichtete Sektoren in der EU

Nach Artikel 2(1) AMLD4 gelten die KYC/KYB-Pflichten für:

  • Kredit- und Finanzinstitute,

  • Wirtschaftsprüfer, Steuerberater, Buchhalter,

  • Notare und Rechtsanwälte (bei Finanz- oder Immobilientransaktionen),

  • Treuhänder und Gesellschaftsdienstleister,

  • Immobilienmakler,

  • Spielbanken,

  • Händler von Waren ab Barzahlungen ≥ 10.000 €,

  • und seit AMLD5 – Kryptodienstleister (VASPs)23.

Darüber hinaus werden in vielen Ländern auch Telekommunikationsanbieter (SIM-Registrierung), Online-Marktplätze (gemäß DAC7) und Händler hochwertiger Güter einbezogen.

2. Digitale Identität, eIDAS und ETSI-Standards

Die eIDAS-Verordnung (EU) Nr. 910/2014 regelt die gegenseitige Anerkennung elektronischer Identifizierungsmittel und Vertrauensdienste wie qualifizierte elektronische Signaturen10.
Sie ermöglicht grenzüberschreitendes KYC, wenn ein eID mit hoher Vertrauensstufe verwendet wird.

Die neue eIDAS 2.0 führt die Europäische Digitale Identitäts-Wallet ein, mit der verifizierte Identitätsattribute direkt an Finanzinstitute übermittelt werden können11.

Zentrale technische Standards:

  • ETSI EN 319 401 – Sicherheitsanforderungen für Vertrauensdiensteanbieter,

  • ETSI TS 119 461 – Anforderungen an Identitätsprüfung und Videoidentifikation12.

Diese ETSI-Standards gelten als Benchmark für ferne/onlinbasierte Identifikation im Einklang mit der AMLD.

3. Länder außerhalb der EU

3.1 Vereinigte Staaten

Das US-System basiert auf:

  • Bank Secrecy Act (BSA), 31 U.S.C. §5311 ff.13,

  • USA PATRIOT Act 2001, Titel III14,

  • FinCEN Customer Identification Program (CIP), 31 CFR §1020.22015,

  • FinCEN Customer Due Diligence (CDD) Rule, 31 CFR §1010.23016.

Vor Kontoeröffnung müssen Banken Name, Geburtsdatum, Adresse und Steuer-ID erfassen und verifizieren.
Für Unternehmen müssen wirtschaftlich Berechtigte ab 25 % Beteiligung identifiziert werden.
Das Corporate Transparency Act (CTA) von 2021 schafft ein nationales Register wirtschaftlich Berechtigter17.

3.2 Vereinigtes Königreich

Rechtsgrundlagen:

  • Proceeds of Crime Act 2002,

  • Money Laundering Regulations 2017 (MLR), zuletzt geändert 202018.

Die FCA veröffentlicht Leitlinien für digitale und biometrische Identifizierung.
Das Vereinigte Königreich behält die EU-Standards bei, ergänzt sie aber z. B. um das Register of Overseas Entities (Economic Crime Act 2022).

3.3 Schweiz

Gesetzliche Basis:

  • Geldwäschereigesetz (GwG/AMLA)19,

  • FINMA-Verordnung über Geldwäscherei (OBA-FINMA).

Pflichten:

  • Identifizierung des Vertragspartners,

  • Feststellung des wirtschaftlich Berechtigten,

  • Aufbewahrung der Daten für 10 Jahre,

  • Meldung verdächtiger Transaktionen an MROS.

Die Schweiz wendet die FATF-Travel-Rule auch auf Kryptotransfers an1.

3.4 Kanada

Gesetz: Proceeds of Crime (Money Laundering) and Terrorist Financing Act (PCMLTFA)20, überwacht durch FINTRAC.
KYC gilt für Banken, MSBs, Casinos und Kryptoplattformen.
Fernidentifikation ist zulässig (z. B. Verified.Me).
Der Datenschutz wird durch PIPEDA geregelt21.

3.5 Australien

Gesetz: Anti-Money Laundering and Counter-Terrorism Financing Act 200622,
aufsichtliche Behörde: AUSTRAC.
Meldepflicht für Transaktionen ab 10.000 AUD.
Strenge Sanktionen – Westpac wurde 2020 mit 1,3 Mrd. AUD wegen AML/KYC-Verstößen belegt.

3.6 Singapur

Regulierung: MAS Notice 62623.
Pflicht zur Identifizierung aller Kunden und wirtschaftlich Berechtigten.
SingPass dient als staatlich verifizierte e-ID.
Verdächtige Transaktionen müssen an STRO gemeldet werden.

4. Vergleichende Analyse

Aspekt

Europäische Union

Vereinigte Staaten

Vereinigtes Königreich

Schweiz

Singapur

Rechtsgrundlage

AMLD4–6, DSGVO, eIDAS

BSA, PATRIOT Act, CIP

MLR 2017

GwG (AMLA)

MAS Notice 626

Aufsicht

risikobasiert, zentral unter AMLA

stark durchgesetzt (FinCEN)

aktiv (FCA)

konservativ, datenschutzorientiert

technologieorientiert, e-ID integriert

Digitale ID

eIDAS & ETSI

keine nationale ID

optional

begrenzt

SingPass

UBO-Transparenz

zentrale Register (eingeschränkter Zugriff seit 2022)

CTA (nicht öffentlich)

öffentliches Register

nur Behördenzugriff

Pflicht unter MAS

Datenaufbewahrung

5–10 Jahre

5 Jahre

5 Jahre

10 Jahre

mind. 5 Jahre

5. Technologie und Remote-Onboarding

Aufsichtsbehörden akzeptieren zunehmend Remote-KYC, wenn:

  1. die Sicherheit der Methode gleichwertig zu persönlicher Identifizierung ist,

  2. die Verarbeitung sicher und DSGVO-konform erfolgt,

  3. der Prozess prüfbar ist.

ETSI TS 119 461-zertifizierte Anbieter gelten als AML-konform.
API-basierte KYC-Lösungen und biometrische Verfahren setzen sich international durch.

6. Nichtfinanzielle Sektoren

KYC/KYB-Pflichten gelten zunehmend auch für:

  • Krypto- und virtuelle Vermögensdienstleister (VASPs),

  • Versicherungen,

  • Glücksspielanbieter,

  • Immobilienunternehmen,

  • Rechtsanwälte und Wirtschaftsprüfer,

  • Händler hochwertiger Güter,

  • Telekommunikationsanbieter und Online-Plattformen (z. B. DAC7).

Dies entspricht der FATF-Position, dass Geldwäscherisiken nicht auf Banken beschränkt sind1.

7. Kosten und Wirksamkeit

Laut Studien (z. B. Fenergo, Thomson Reuters):

  • große Institute geben jährlich 15–30 Mio. USD für KYC aus,

  • durchschnittliche Onboarding-Zeit für Firmenkunden: 2–5 Monate,

  • weltweit werden jährlich 2–5 % des BIP gewaschen2425.

Die regulatorischen Rahmen sind ausgereift, aber Datenstandardisierung und Zusammenarbeit zwischen FIUs und Finanzinstituten müssen verbessert werden.

8. Fazit

  • Die KYC/KYB-Vorschriften in EU, USA, UK, Schweiz, Kanada, Australien und Singapur sind heute weitgehend FATF-konform.

  • Die EU zeichnet sich aus durch:

    1. breite sektorale Anwendung,

    2. Integration digitaler Identitäten (eIDAS),

    3. hohen Datenschutz (DSGVO),

    4. neue zentrale Aufsichtsbehörde (AMLA).

  • Länder außerhalb der EU sind führend in Durchsetzung (USA, Australien, Singapur) und digitaler Identifikation (Singapur).

  • Der Trend ist global eindeutig: keine Anonymität, mehr Transparenz, mehr Automatisierung.

Die regulatorische Herausforderung bleibt: Effektive Kontrolle bei gleichzeitig praktikabler Belastung für Unternehmen und Kunden.

Bestellen Sie eine kostenlose KYC/KYB-Beratung online

Quellen / Fußnoten

Footnotes

  1. FATF, International Standards on Combating Money Laundering and the Financing of Terrorism, Empfehlungen 10, 11, 24 (2023). 2 3

  2. Richtlinie (EU) 2015/849 (AMLD4), ABl. L 141/73, 5.6.2015. 2 3 4 5

  3. Richtlinie (EU) 2018/843 (AMLD5), ABl. L 156/43, 19.6.2018. 2 3

  4. Richtlinie (EU) 2018/1673 (AMLD6), ABl. L 284/22, 12.11.2018. 2

  5. EuGH, verbundene Rechtssachen C-37/20 und C-601/20, Urteil vom 22. November 2022.

  6. Vorschlag für eine Verordnung zur Einrichtung der Anti-Money Laundering Authority (AMLA), COM(2021) 421 final.

  7. Verordnung (EU) 2016/679 (DSGVO), ABl. L 119/1, 4.5.2016.

  8. Verordnung (EU) 2023/1113 (TFR – Übermittlung von Zahlungsinformationen).

  9. Verordnung (EU) 2023/1114 über Märkte für Krypto-Assets (MiCA).

  10. Verordnung (EU) Nr. 910/2014 (eIDAS).

  11. Vorschlag zur Änderung der eIDAS-Verordnung (eIDAS 2.0), COM(2021) 281 final.

  12. ETSI TS 119 461:2021; ETSI EN 319 401:2019.

  13. Bank Secrecy Act (31 U.S.C. §5311 ff.).

  14. USA PATRIOT Act, Pub. L. Nr. 107–56 (2001).

  15. FinCEN Rule, 31 CFR §1020.220 – Customer Identification Program.

  16. FinCEN Rule, 31 CFR §1010.230 – Customer Due Diligence Requirements.

  17. Corporate Transparency Act, 31 U.S.C. §5336 (2021).

  18. Money Laundering, Terrorist Financing and Transfer of Funds Regulations 2017 (UK).

  19. Bundesgesetz über die Bekämpfung der Geldwäscherei und der Terrorismusfinanzierung (GwG/AMLA), SR 955.0.

  20. PCMLTFA, Kanada, 2000.

  21. PIPEDA, Kanada.

  22. Anti-Money Laundering and Counter-Terrorism Financing Act 2006, Australien.

  23. Monetary Authority of Singapore (MAS) Notice 626, 2020.

  24. UNODC, Money Laundering Estimates, 2023.

  25. Fenergo, Global KYC/Onboarding Report 2022.

 

Bestellen Sie eine kostenlose KYC/KYB-Beratung online

KYC KYB AML CFT MLRO Compliance Identifizierung des Kunden Firmenidentifizierung Anti-Geldwäsche Bekämpfung der Terrorismusfinanzierung Regelkonformität
Sonntag Montag Dienstag Mittwoch Donnerstag Freitag Samstag January February March April May June July August September October November December