Vollständiger KYC-Leitfaden

Vollständiger KYC-Leitfaden: Definition, Schritte und gesetzliche Anforderungen im Jahr 2026

‍

KYC (Know Your Customer) ist zum Eckpfeiler der regulatorischen Compliance in der Finanzdienstleistungsbranche geworden. Im Jahr 2026 hat sich die Situation durch die Umsetzung der AMLD6-Richtlinie und zunehmende Anforderungen an die Remote-Identitätsverifizierung weiter verschärft. Finanzinstitute, die die Automatisierung dieses Prozesses verzögern, sehen sich mit exponentiellen Kosten, hohen Abbruchquoten und erhöhtem Risiko für Dokumentbetrug konfrontiert.

‍

Was ist KYC (Know Your Customer)?

‍

Definition und Umfang

‍

KYC umfasst alle Verfahren, die ein Finanzinstitut ermöglichen, die Kundenidentität zu sammeln, zu überprüfen und zu validieren. Es geht weit über die einfache Erfassung von Name und Adresse hinaus: modernes KYC umfasst Sammlung von Identitätsdokumenten, Authentizitätsverifizierung durch künstliche Intelligenz, Lebenderkennung durch Gesichtsbiometrie und Bewertung des mit dem Kunden verbundenen regulatorischen Risikos.

‍

Der Prozess deckt alle Neukunden sowie bestehende Kunden ab, die einer regelmäßigen erneuten KYC-Überprüfung unterliegen, insbesondere wenn sich Risikoprofile ändern oder verfügbare Informationen veralten. Betroffene Unternehmen sind Kreditinstitute, Lebensversicherungsunternehmen, Zahlungsdienstleister, Fintech-Kreditgeber, Investitionsplattformen und Kryptowährungsbörsen.

‍

Warum ist KYC verpflichtend?

‍

KYC verfolgt drei grundlegende Ziele: Bekämpfung von Geldwäsche, Verhinderung der Terrorismusfinanzierung und Einhaltung von Anti-Betruggesetzen. Finanzaufsichtsbehörden erkennen an, dass Kriminelle ohne robuste Identifikationsprozesse das Finanzsystem leicht missbrauchen können, um die Herkunft illegaler Gelder zu verschleiern.

‍

In Deutschland regelt das Geldwäschegesetz (GwG) die KYC-Anforderungen. Die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) überwacht die Einhaltung. International formuliert die FATF (Financial Action Task Force) Empfehlungen, die als globaler Referenzstandard gelten. Diese Institutionen erkennen KYC als wesentliche Infrastruktur zur Verteidigung gegen finanzielle Missbräuche an.

‍

Wer unterliegt KYC-Anforderungen?

‍

KYC-Vorschriften gelten für jedes Unternehmen, das lizenziert oder zur Erbringung von Finanz- oder Zahlungsdienstleistungen berechtigt ist. Dies umfasst Banken, Versicherungsunternehmen, Broker, Vermögensverwalter und zunehmend digitale Plattformen im Bereich dezentraler Finanzen. Kleine Unternehmen und nichtfinanzielle Organisationen, die internationale Überweisungen tätigen, müssen möglicherweise auch die Identität bestimmter Geschäftspartner überprüfen.

‍

Die vier Kernschritte des KYC-Prozesses

‍

Erfassung und Strukturierung von Identitätsdaten

‍

Die erste Stufe besteht darin, erforderliche Informationen vom Kunden zu sammeln. In einem digitalen Prozess nimmt dies normalerweise die Form eines Formulars an, das den vollständigen Namen, die Wohnadresse, das Geburtsdatum, die Nationalität und die offizielle Identifikationsnummer (Ausweis, Reisepass usw.) anfordert. Die Daten werden in Echtzeit strukturiert, um sofortige Verifizierung zu ermöglichen und Erfassungsfehler zu minimieren.

‍

Ein gut gestaltetes Erfassungssystem bietet ein reibungsloses Benutzererlebnis: an den Kontext angepasste Formulare, Vorausfüllung von gescannten Identitätsdokumenten, Formatvalidierung vor dem Absenden. Die Abschlussquoten hängen stark von dieser Phase ab. Eine schlecht gestaltete Schnittstelle oder ein zu langer Prozess kann massive Abbruchquoten erzeugen; nach 24 Stunden brechen etwa 40% der Kunden das Onboarding ab.

‍

Dokumentenverifizierung durch künstliche Intelligenz

‍

Nach der Datenerfassung muss die Plattform die Authentizität des eingereichten Identitätsdokuments überprüfen. Diese Phase basiert nun auf Deep-Learning-Algorithmen, die ausgefeilte Betrügereien erkennen können. Optische Zeichenerkennung (OCR) extrahiert Daten aus dem Dokument, die anschließend auf Konsistenz und Vollständigkeit validiert werden.

‍

Die besten Dokumentbetrugerkennungslösungen erreichen Erkennungsquoten von über 98%. Dies umfasst die Erkennung gefälschter Dokumente, Änderungen (künstliches Altern, Überschreibungen), regionale Varianten und abgelaufene Dokumente. Im Gegensatz zu manuellen Verfahren, bei denen 15 bis 30% des ausgefeilten Dokumentbetrugs nicht erkannt werden, gewährleistet Automatisierung konsistente und reproduzierbare Abdeckung.

‍

Lebenderkennung und Gesichtsbiometrie

‍

Der nächste Schritt stellt sicher, dass die Person, die das Onboarding durchführt, tatsächlich die im Identitätsdokument dargestellte Person ist. Die Lebenderkennung nutzt Gesichtsbiometrie, um Betrügereien wie gedruckte Fotos, voraufgezeichnete Videos oder Masken zu erkennen. Der Kunde macht ein Selfie oder ein kurzes Video, das die KI in Sekunden analysiert.

‍

Diese Lebenderkennung beruht auf ausgefeilten biometrischen Signalen: feinmotorische Bewegungen, Augenreflexe, thermische Variationen, dreidimensionale Bewegungskonsistenz. Sie entspricht der eIDAS-Verordnung, die elektronische Identifizierung und Authentifizierung in Europa regelt.

Risikobewertung und behördliches Screening

‍

Nach der Identitätsverifizierung wird automatisch ein Risikoscore berechnet. Dieser Score aggregiert mehrere Signale: geografischer Standort des Kunden, Geschäftssektor, geplante Transaktionsbeträge, IP-Adressen-Chronologie, bekannte Betrugsverlauf und Daten aus Compliance-Datenbanken (OFAC, internationale Sanktionslisten, Listen politisch exponierter Personen). Moderne Lösungen wie Meelo berechnen diesen Score in weniger als 2 Sekunden durch Analyse von über 400 verschiedenen Signalen.

‍

Das Scoring geht über eine einzelne Zahl hinaus: Es kategorisiert Kunden nach Risikoniveau (niedrig, mittel, hoch) und löst angemessene Maßnahmen aus. Niedriges Risiko ermöglicht sofortiges Onboarding, mittleres Risiko kann zusätzliche Überprüfungen erfordern und hohes Risiko führt zu Ablehnung oder Eskalation an einen Compliance-Beauftragten.

‍

Der KYC-Regelungsrahmen im Jahr 2026

‍

AMLD5- und AMLD6-Richtlinien

‍

Die AMLD5-Richtlinie (2018) harmonisierte KYC-Anforderungen in der gesamten Europäischen Union. Sie verschärft die Anforderungen an die Identitätsverifizierung, setzt engere Compliance-Fristen und erweitert die Definition regulierter Unternehmen. Die AMLD6-Richtlinie, die seit 2025 schrittweise umgesetzt wird, geht weiter, indem sie tiefergehendes Wissen über wirtschaftlich Berechtigte und verbesserte Rückverfolgbarkeit bei Geldtransfers verlangt.

‍

Das Geldwäschegesetz (GwG) setzt diese Anforderungen in Deutschland um. Strafen für Nichtkonformität können abschreckende Höhen erreichen: bis zu 1% des globalen Umsatzes für schwere Verstöße. Jeder Mitgliedstaat kann bestimmte Schwellenwerte anpassen, aber Grundprinzipien bleiben konsistent.

‍

eIDAS und Remote-Identitätsverifizierung

‍

Die eIDAS-Verordnung erkennt nun elektronische Identifikatoren und Remote-Authentifizierungsdienste unter bestimmten Sicherheitsbedingungen als äquivalent zu physischen Dokumenten an. Dies öffnet die Tür zu vollständig dematerialisierter Identitätsverifizierung über digitale Geldbörsen oder mobile Banking-Dienste.

‍

Allerdings stellt eIDAS strenge technische Anforderungen: End-to-End-Verschlüsselung, unveränderbare Audit-Trails, Einhaltung von Multi-Faktor-Authentifizierungsstandards. Institutionen müssen sicherstellen, dass aus elektronischen Identifikatoren extrahierte Daten das gleiche Sicherheitsniveau wie traditionelle Dokumente bieten.

‍

DSGVO und Schutz biometrischer Daten

KYC beinhaltet die Erfassung sensibler Daten: Fotografien, biometrische Vorlagen, Identitätsnummern. Der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) bekräftigt, dass biometrische Daten als spezielle Kategorie behandelt werden, die strengen Beschränkungen unterliegen. Eine Institution darf solche Daten nur sammeln und speichern, wenn sie eine explizite Rechtsgrundlage (informierte Zustimmung, gesetzliche Verpflichtung) hat und angemessene Sicherheitsmaßnahmen implementiert hat.

‍

Die DSGVO verlangt, dass biometrische Daten gelöscht werden, sobald der Zweck (Identitätsverifizierung) erreicht ist, außer wenn Speicherung gesetzlich vorgeschrieben ist. Dies bedeutet, dass ein DSGVO-konformer KYC-Prozess automatisches Löschen nach einem definierten Zeitraum oder Inaktivitätsperiode vorsehen muss.

‍

Von manuellem KYC zu automatisiertem KYC

‍

Die wahren Kosten des manuellen KYC

‍

Manuelles KYC ist teuer und ineffizient. Im Durchschnitt erfordert die Verarbeitung jeder Datei 15 bis 50 Euro Arbeitskosten, zuzüglich Fehler bei der Dateneingabe, Korrekturanfragen und wiederholte Qualitätsprüfungen. Ein Compliance-Team muss jedes Dokument prüfen, bereitgestellte Daten mit offiziellen Dokumenten vergleichen und eine Entscheidung treffen.

‍

Für ein Institut, das monatlich 10.000 Onboarding-Anfragen bearbeitet, sind dies 150.000 bis 500.000 Euro reine Verarbeitungskosten pro Monat. Addieren Sie Bußgelder für nicht erkannte Betrügereien, Streitigkeiten mit unzufriedenen Kunden angesichts langer Verzögerungen und Reputationsrisiken, und die wahren Kosten werden exponentiell.

‍

Konkrete Gewinne durch Automatisierung

‍

Die Automatisierung von KYC reduziert die Stückkosten um 70 bis 90%, indem wiederholte manuelle Eingriffe eliminiert werden. Ein automatisierter Prozess bearbeitet eine Anfrage in etwa 90 Sekunden mit Abschlussquoten von über 85%. Falsch-Positive werden durch intelligentes Scoring minimiert und reduzieren unnötige Eskalationen ans Compliance-Team.

‍

Kunden profitieren von schnellerem und transparenterem Onboarding-Erlebnis, was Konversionsraten und Zufriedenheit verbessert. Eine 12-fache Reduzierung von Betrügereien wurde bei bestimmten Kunden dokumentiert, begleitet von Einsparungen von 1,8 Millionen Euro über zwei Jahre. Automatisierung bietet auch vollständige und unveränderbare Audit-Trails und vereinfacht behördliche Inspektionen.

Wahl des richtigen Anbieters

‍

Die Auswahl einer KYC-Lösung sollte auf mehreren Kriterien basieren: zertifizierte Einhaltung von DSGVO und AMLD-Richtlinien, geografische Abdeckung (welche Länder-Dokumente können verifiziert werden?), Erkennungsquoten für Dokument- und Biometriebetrügereien, Verarbeitungszeit, transparente Kosten, API- oder Integrationsverfügbarkeit, Kundensupport und regelmäßige Algorithmus-Updates.

‍

Eine hochwertige Lösung bietet auch ausgefeilte Risikobewertung, Integration mit behördlichen Datenbanken (OFAC, Sanktionslisten), benutzerfreundliche Schnittstellen für Kunden und analytische Dashboards für Anbieter. Überprüfen Sie Zertifizierungen (SOC 2, ISO 27001) und fordern Sie Referenzen von vergleichbaren Instituten an. Die besten Lösungen aktualisieren ihre Betrugserkennungsmodelle kontinuierlich und profitieren von Millionen Verifizierungen zur Verbesserung der Genauigkeit.

‍

KYC und KYB: Zwei unterschiedliche, aber komplementäre Prozesse

‍

KYB (Know Your Business) ist das Äquivalent von KYC für juristische Personen. Während sich KYC auf die Identifizierung natürlicher Personen konzentriert, überprüft KYB Existenz, Zusammensetzung und wirtschaftlich Berechtigte von Unternehmen. Die beiden Prozesse sind komplementär und werden oft parallel ausgeführt, besonders bei Geschäftskunden.

‍

Ein Institut, das B2B-Clients bedient, muss einen robusten KYB-Prozess implementieren, der Handelsregister, Unternehmensstatuten, Vollmachten und Vorstandszusammensetzung überprüft. FATF und nationale Behörden verlangen auch eine Kartografierung wirtschaftlich Berechtigter (Personen mit 25% oder mehr Eigenkapital), um undurchsichtige Strukturen für Geldwäsche zu erkennen.

‍

Für umfassende Abdeckung empfehlen Best Practices Automatisierung sowohl von KYC als auch KYB mit integrierten Workflows, bei denen Identitätsverifizierung natürlicher Personen KYB-Daten speist. Dies eliminiert Duplikate und beschleunigt Genehmigungen.

‍

Häufig Gestellte Fragen

‍

Was ist der Unterschied zwischen initialem KYC und erneuertem KYC?
Initiales KYC wird beim Kundeneinstellung durchgeführt. Erneuertes KYC ist eine regelmäßige Aktualisierung (typisch jährlich oder alle zwei Jahre), um sicherzustellen, dass Informationen aktuell bleiben und das Risikoprofil sich nicht geändert hat. Einige Institute verlangen sofortiges erneuertes KYC, wenn sich das politische oder geografische Risiko eines Kunden ändert oder verdächtige Aktivität erkannt wird.

‍

Können während KYC erfasste biometrische Daten wiederverwendet werden?
Nein, außer mit ausdrücklich erneuerte Zustimmung. DSGVO setzt ein Zweckbegrenzungsprinzip: Während KYC für Identifikation erfasste Daten können nicht ohne spezifische erneuerte Kundeneinwilligung für andere Zwecke wiederverwendet werden. Daten müssen nach Ablauf der Aufbewahrungsfrist gelöscht werden.

‍

Was ist die regulatorische Frist zur Durchführung von KYC?
Gemäß AMLD5 muss KYC vor Beginn der Kundenbeziehung oder Durchführung der Transaktion abgeschlossen sein, außer in Ausnahmefällen, wo KYC unmittelbar danach abgeschlossen kann (aber das Institut muss Gelder sperren können). In der Praxis sind 48 Stunden bis 5 Tage typisch.

‍

Kann elektronische Identitätsverifizierung (eIDAS) als einziges KYC-Mittel verwendet werden?
Ja, wenn der elektronische Identifizierungsdienst auf eIDAS-Stufe zertifiziert ist. Allerdings bleibt Lebenderkennung empfohlen, um Betrugsrisiken zu minimieren. Einige Behörden verlangen kombinierte Quellen zur Reduktion falsch-positiver Ergebnisse, besonders bei mittlerem oder hohem Risiko.

‍