KYC-Prozess einführen: Pflichten, Stufen und Rollen nach GwG

Die Pflicht zum Know-Your-Customer-Prozess wurzelt im Geldwäschegesetz, das mit der vierten und fünften EU-Geldwäscherichtlinie deutlich verschärft wurde. § 10 GwG verlangt von Verpflichteten nach § 2 GwG, dass sie ihre Vertragspartner identifizieren, deren wirtschaftlich Berechtigte ermitteln, Geschäftsbeziehungen risikobasiert bewerten und kontinuierlich überwachen. Verpflichtete sind nicht nur Banken und Versicherer, sondern auch Immobilienmakler, Güterhändler ab 10.000 Euro Bargeschäft, Kryptoverwahrer, Rechtsanwälte und Notare bei bestimmten Tätigkeiten, Wirtschaftsprüfer und Treuhänder. Die Bandbreite ist breit und in der Praxis oft unterschätzt.

Dieser Beitrag zeigt, wie ein KYC-Prozess strukturiert eingeführt wird, welche Stufen er umfasst, welche Rollen er erfordert und welche Dokumentation im Audit der Aufsichtsbehörden, etwa der BaFin oder der Landesaufsicht, Bestand hat. Sie erhalten eine Übersicht der gesetzlichen Anker, eine Skizze der drei Sorgfaltsstufen, eine Beschreibung der typischen Schnittstellen zu Vertrieb, Onboarding und Compliance, sowie eine Einordnung, wie CIVAC als Compliance-Plattform und Officer-as-a-Service die Rolle des Geldwäschebeauftragten und den KYC-Workflow in einem Workspace abbildet. 490 Audit-Vorlagen, mandantenfähige Mehrstandortverwaltung, EU-Datenresidenz und eine SLA von zwei Werktagen für externe Bestellungen statt der branchenüblichen zwei bis sechs Wochen runden das Angebot für mittelständische und größere Häuser ab.

§ 2 GwG zählt die Verpflichteten abschließend auf. Klassisch erfasst sind Kreditinstitute, Finanzdienstleistungsinstitute, Zahlungsdienstleister, E-Geld-Institute, Versicherungsunternehmen mit Lebensversicherungen, Versicherungsvermittler im Lebensbereich sowie Kapitalverwaltungsgesellschaften. Erweitert wurden die Verpflichteten in den letzten Jahren erheblich. Heute gehören dazu Immobilienmakler bei Kauf- und Mietgeschäften, Güterhändler bei Barzahlungen über 10.000 Euro und Kunsthändler bei Geschäften über 10.000 Euro, sowie Kryptoverwahrer nach § 1 KWG. Bei den freien Berufen sind Rechtsanwälte, Notare, Wirtschaftsprüfer und Steuerberater bei bestimmten Tätigkeiten erfasst, ebenso Treuhänder und Dienstleister für Gesellschaften.

In der Praxis bedeutet das: Auch ein mittelständischer Maschinenbauer, der eine Tochtergesellschaft mit Bargeschäften über 10.000 Euro führt, kann GwG-pflichtig sein. Auch ein Immobilienmakler mit drei Beschäftigten ist GwG-pflichtig und muss einen Geldwäschebeauftragten bestellen, sofern er bestimmte Schwellen erreicht. Auch eine Kunstgalerie, die Sammlerwerke jenseits der 10.000-Euro-Marke verkauft, ist GwG-pflichtig. Wer unsicher ist, prüft die eigene Klassifizierung mit dem Geldwäschebeauftragten und dokumentiert das Ergebnis schriftlich. Eine falsche Selbsteinschätzung schützt im Audit nicht und kann zu Bußgeldern nach § 56 GwG führen. CIVAC stellt die Rolle des Geldwäschebeauftragten als Workspace-Funktion bereit und unterstützt Häuser bei der Erstanalyse ihrer Verpflichteten-Eigenschaft mit strukturierten Vorlagen und Entscheidungsbäumen, die im Audit nachvollziehbar bleiben. Diese Erstanalyse ist nicht trivial und sollte schriftlich fixiert werden, weil sich die Verpflichtetenstellung mit der Geschäftsausweitung dynamisch ändern kann, etwa durch neue Produktlinien, Kryptobezüge oder neue Vertriebspartner mit Bargeschäftsbezug. Eine jährliche Selbstüberprüfung ist Pflicht und sollte protokolliert werden. Wer die eigene Verpflichteten-Eigenschaft nicht ernst nimmt, riskiert nicht nur Bußgelder, sondern auch die persönliche Inanspruchnahme der Geschäftsleitung nach § 130 OWiG.

§ 5 GwG verlangt von jedem Verpflichteten eine schriftliche, dokumentierte und regelmäßig aktualisierte Risikoanalyse. Diese Risikoanalyse bewertet, welche Geldwäsche- und Terrorismusfinanzierungsrisiken im Unternehmen bestehen, gegliedert nach Kundengruppen, Produkten, Vertriebskanälen, geografischen Räumen und Transaktionsarten. Sie ist das Fundament, auf dem alle weiteren KYC-Aktivitäten aufbauen. Ohne saubere Risikoanalyse sind die Sorgfaltspflichten nicht steuerbar und der KYC-Prozess wird im Audit als unstrukturiert bewertet, was im Ernstfall Bußgelder nach sich zieht.

Die Risikoanalyse folgt einem dreistufigen Aufbau. Erstens die Identifikation der Risikofaktoren: Welche Kunden, Produkte, Kanäle und Länder sind potenziell relevant? Zweitens die Bewertung der Risiken: Wie hoch ist das inhärente Risiko und wie wirken Kontrollen darauf? Drittens die Maßnahmen: Welche Sorgfaltspflichten gelten in welcher Konstellation, welche Monitoringregeln, welche Reporting-Schwellen? Die BaFin veröffentlicht Auslegungs- und Anwendungshinweise, die als verbindliche Orientierung gelten. Der Geldwäschebeauftragte ist für die Erstellung und Aktualisierung verantwortlich, üblicherweise einmal jährlich und anlassbezogen bei wesentlichen Änderungen, etwa neuen Produkten, neuen Märkten oder neuen Vertriebspartnern. In einer Plattform wie CIVAC wird die Risikoanalyse versionssicher hinterlegt, mit Bezug zu konkreten KYC-Workflows verknüpft und im Audit-Modul auf Knopfdruck exportiert. Bestellurkunde, unterschrieben, abgelegt, belegbar. Diese Strukturierung erspart im Audit das mühsame Zusammensuchen aus Tabellen und Mailpostfächern und reduziert die Vorbereitungszeit erheblich. Zugleich wird die Risikoanalyse durch die Verknüpfung mit dem KYC-Workflow operativ wirksam, statt als reines Dokument im Regal zu verstauben. Aufsichtsbehörden erkennen diese Verzahnung als Reifeindikator und gewichten sie im Bußgeldverfahren positiv. Eine reine Schreibtisch-Risikoanalyse ohne Verbindung zum Tagesgeschäft erfüllt den Anspruch nicht und wird im Audit kritisch hinterfragt.

Das GwG unterscheidet drei Stufen der Sorgfaltspflichten, die je nach Risikoeinstufung des Kunden anzuwenden sind. Die allgemeinen Sorgfaltspflichten nach § 10 GwG sind der Regelfall und umfassen die Identifikation des Vertragspartners, die Ermittlung des wirtschaftlich Berechtigten nach § 3 GwG, die Bewertung des Zwecks und der Art der Geschäftsbeziehung sowie die kontinuierliche Überwachung. Die vereinfachten Sorgfaltspflichten nach § 14 GwG gelten bei geringem Risiko, etwa bei börsennotierten EU-Unternehmen oder bestimmten staatlichen Stellen. Sie reduzieren den Umfang, nicht aber die Existenz der Pflichten.

Die verstärkten Sorgfaltspflichten nach § 15 GwG greifen bei höherem Risiko. Dazu gehören politisch exponierte Personen nach § 1 Abs. 12 GwG mit Familienangehörigen und nahestehenden Personen, Hochrisikoländer nach Anhang III der EU-Geldwäscherichtlinie, ungewöhnliche oder komplexe Transaktionen ohne erkennbaren wirtschaftlichen Hintergrund sowie Korrespondenzbankbeziehungen mit Drittstaaten. Bei verstärkten Sorgfaltspflichten ist eine Zustimmung der Leitungsebene zur Aufnahme oder Fortsetzung der Geschäftsbeziehung erforderlich, eine intensivere Überwachung sowie zusätzliche Nachweise zur Herkunft der Mittel. Die Stufen müssen im KYC-Prozess technisch abgebildet sein, sodass jede Geschäftsbeziehung einer Stufe zugeordnet ist und die jeweiligen Maßnahmen automatisch ausgelöst werden. In der Plattform CIVAC erfolgt die Zuordnung anhand der Risikoanalyse und wird im Lebenszyklus der Geschäftsbeziehung fortgeschrieben. Andere führen Compliance wie einen Aktenschrank, eine Plattform führt sie wie Software. Damit ist der KYC-Prozess nicht nur regelkonform, sondern auch im Audit nachvollziehbar und reproduzierbar dokumentiert. Die saubere Stufenzuordnung schützt vor zwei klassischen Fehlern: unterstufige Behandlung von PEPs und überstufige Behandlung von Massengeschäft, die Ressourcen bindet, ohne das Risiko zu senken.

§ 11 GwG regelt die Identifikation natürlicher Personen und § 12 GwG die der juristischen Personen. Bei natürlichen Personen sind Vorname, Nachname, Geburtsort, Geburtsdatum, Staatsangehörigkeit und Wohnanschrift zu erfassen, anhand eines amtlichen Ausweisdokuments. Die Identifikation kann persönlich, per Postident, per Video-Ident nach den Vorgaben der BaFin oder per qualifizierter elektronischer Signatur erfolgen. Bei juristischen Personen sind Firma, Rechtsform, Registernummer, Sitz und die Namen der gesetzlichen Vertreter zu erfassen, unter Vorlage eines Auszugs aus dem zuständigen Register.

§ 3 GwG definiert den wirtschaftlich Berechtigten als die natürliche Person, in deren Eigentum oder unter deren Kontrolle der Vertragspartner letztlich steht. Bei juristischen Personen liegt die Vermutungsschwelle bei mehr als 25 Prozent Kapital- oder Stimmrechtsanteil oder vergleichbarer Kontrolle. Komplexere Strukturen wie Treuhandverhältnisse, Stiftungen oder ausländische Holdings erfordern die Aufschlüsselung bis zur natürlichen Person. Das Transparenzregister nach §§ 18 ff. GwG dient der Recherche, ersetzt jedoch nicht die eigenständige Sorgfaltspflicht des Verpflichteten. Werden Diskrepanzen zwischen Transparenzregister und eigener Recherche festgestellt, ist eine Meldung an das Transparenzregister abzugeben. Ein digitaler KYC-Prozess sollte alle diese Datenpunkte strukturiert erfassen, mit dokumentierter Quelle und Versionsstand versehen und im Workspace versionssicher ablegen. CIVAC nutzt dafür Standardvorlagen, die mit Personalstammdaten aus HR und mit Datenquellen wie dem Transparenzregister verknüpft werden können. Frist läuft ab Kenntnis. Der Prüfer ruft an, der Nachweis liegt bereit. Diese Datenarchitektur ist die Grundlage dafür, dass spätere Aktualisierungen und Verdachtsfallbewertungen zügig und auf aktueller Basis durchgeführt werden können, ohne erneut Stammdaten erheben zu müssen. Stammdatenqualität ist damit der unsichtbare Erfolgsfaktor des gesamten KYC-Prozesses und sollte regelmäßig per Stichprobe geprüft werden.

KYC endet nicht beim Onboarding. § 10 Abs. 1 Nr. 5 GwG verlangt eine kontinuierliche Überwachung der Geschäftsbeziehung, einschließlich der Aktualisierung der Kundendaten und der Plausibilisierung von Transaktionen. Diese laufende Pflicht ist regulatorisch der wichtigste Hebel zur Geldwäscheprävention und im Audit ein häufiger Beanstandungspunkt, weil viele Häuser KYC als einmaligen Akt am Onboarding verstehen und das Monitoring vernachlässigen oder ausschließlich auf Negativlisten gegen Sanktionsregister begrenzen.

Ein wirksames Monitoring kombiniert mehrere Schichten. Erstens Sanktions-Screening gegen einschlägige Listen wie EU-Konsolidierte Sanktionsliste, OFAC und Auslandshandel-Embargolisten. Zweitens Negativ-Screening gegen PEP-Datenbanken mit Family-Member- und Close-Associate-Erkennung. Dritten transaktionsbezogenes Monitoring auf Mustererkennung, etwa ungewöhnliche Beträge, unerwartete Empfängerländer, atypische Frequenzen oder Strukturierung. Verdachtsfälle werden nach § 43 GwG unverzüglich der FIU gemeldet, unabhängig von der wirtschaftlichen Beziehung. Die Meldung erfolgt elektronisch über die goAML-Plattform der FIU. Der Geldwäschebeauftragte ist verantwortlich für die Steuerung und Dokumentation der Meldungen, einschließlich Nicht-Meldungen mit Begründung. Eine Plattform wie CIVAC führt jeden Verdachtsfall vom Auslöser über die Bewertung bis zur Meldung in einem nachvollziehbaren Workflow, mit Fristtimern, Eskalationsregeln und automatischer Verknüpfung zur Geschäftsbeziehung. Im Audit ist diese Spur entscheidend, weil die FIU und die BaFin regelmäßig die Plausibilität der Meldepraxis und der nicht erfolgten Meldungen kontrollieren und Versäumnisse mit Bußgeldern sanktionieren können. Wer die Monitoring-Architektur sauber dokumentiert, schützt im Audit auch dann, wenn keine Verdachtsmeldung erfolgte, weil die Nicht-Meldung systematisch begründet und revisionssicher abgelegt ist und nicht als Unterlassung interpretiert werden kann. Diese Dokumentationsdisziplin ist deshalb der wichtigste Investitionspunkt im KYC-Aufbau, weil sie sich im Audit unmittelbar auszahlt.

§ 7 GwG verpflichtet die meisten Verpflichteten zur Bestellung eines Geldwäschebeauftragten auf Leitungsebene und eines Stellvertreters. Die Bestellung erfolgt schriftlich, der oder die Bestellte muss fachlich geeignet und zuverlässig sein. Die Aufgabe wird der Aufsichtsbehörde gemeldet. Der Geldwäschebeauftragte verantwortet die Einhaltung der GwG-Pflichten, erstellt und aktualisiert die Risikoanalyse, steuert die internen Sicherungsmaßnahmen nach § 6 GwG, koordiniert die Verdachtsmeldungen, schult die Beschäftigten und berichtet der Geschäftsleitung sowie der Aufsichtsbehörde.

Die persönliche Haftung des Geldwäschebeauftragten ist real und in den letzten Jahren durch BGH-Rechtsprechung präzisiert worden. Bei Pflichtverletzungen können Bußgelder nach § 56 GwG bis 5 Mio. Euro oder 10 Prozent des Jahresumsatzes verhängt werden, in schweren Fällen auch persönlich. Hinzu kommen straf- und ordnungsrechtliche Konsequenzen, wenn Verdachtsmeldungen unterlassen werden oder die Sorgfaltspflichten grob fahrlässig vernachlässigt sind. Der Geldwäschebeauftragte muss daher seine Aufgaben dokumentieren, Risikoanalysen und Berichte versionssicher ablegen und seine Beratung der Geschäftsleitung nachweisen können. Eine Plattform wie CIVAC bietet diese Struktur in einem Workspace: Bestellurkunde, Tätigkeitsbericht, Schulungsmatrix, Risikoanalyse, Verdachtsfallregister und Berichtslinie sind dort hinterlegt. Audit-fest, dokumentiert, § 7-fest. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Modelle nutzen dieselbe Plattform, dieselben Vorlagen und dieselbe Berichtslinie und sind nach der BaFin-Praxis vergleichbar zu bewerten, wenn die Eignung der externen Person nachgewiesen ist. Diese Wahlfreiheit ist gerade für mittelständische Häuser ohne dedizierte Compliance-Abteilung ein wesentlicher Hebel, weil sie Personalengpässe und Eignungsanforderungen flexibel ausgleicht und kurzfristige Engpässe ohne Audit-Bruch überbrückt, einschließlich sauberer Vertretungsregelungen mit dokumentierter Eignung im Workspace.

Ein KYC-Prozess funktioniert nur, wenn er in die operativen Abläufe von Vertrieb und Onboarding integriert ist. Im Vertrieb beginnt der KYC-Prozess oft mit dem ersten Kundengespräch, in dem grundlegende Informationen zu Vertragspartner, wirtschaftlichem Hintergrund und Zweck der Geschäftsbeziehung erfasst werden. Diese Informationen sind Grundlage der Risikoeinstufung. Werden sie unstrukturiert oder unvollständig erfasst, ist die Risikoeinstufung später nicht belastbar und die Sorgfaltspflichten greifen unzureichend. Eine enge Verzahnung zwischen Vertrieb und Compliance ist deshalb ein operativer Erfolgsfaktor des KYC.

Das Onboarding ist die zentrale Schnittstelle. Hier werden Identifikation, Datenerfassung, wirtschaftlich Berechtigter und Risikoeinstufung zusammengeführt. In digitalen Onboarding-Strecken sind Video-Ident, automatisierte Adressprüfung und Registerabfragen Standard. Wichtig ist, dass die Ergebnisse strukturiert in das KYC-System fließen und nicht als PDF-Anhänge in Mailpostfächern verbleiben. Aus der IT kommen Stammdaten zu Konten, Verträgen, Transaktionen und Vertriebspartnern, idealerweise per API-Schnittstelle. Das Sanktionsscreening läuft als Hintergrundjob mit konfigurierbarer Frequenz. Eine Plattform wie CIVAC bündelt diese Schnittstellen in einem Workspace und macht die Datenflüsse für den Geldwäschebeauftragten transparent. Die Datenminimierung nach Art. 5 DSGVO wird technisch erzwungen, sodass nur die für KYC erforderlichen personenbezogenen Daten verarbeitet werden. Eine sauber gebaute Schnittstellenarchitektur ist der wirtschaftliche Hebel, weil sie manuelle Doppelpflege vermeidet und die Reaktionszeit auf Verdachtsfälle messbar verkürzt, was im Ernstfall den Unterschied zwischen Verwarnung und Bußgeld ausmachen kann. Die Integration zwischen Vertrieb, Onboarding und KYC ist damit nicht IT-Detail, sondern Governance-Frage, die in jeder Beschaffung schriftlich beantwortet werden sollte. Wer hier sauber baut, gewinnt nicht nur Auditfestigkeit, sondern auch operative Geschwindigkeit im Onboarding-Trichter.

§ 8 GwG verlangt eine Aufbewahrung der KYC-Unterlagen für fünf Jahre nach Beendigung der Geschäftsbeziehung. Hinzu kommen Aufbewahrungsfristen aus HGB und AO, die in der Praxis längere Fristen auslösen, üblicherweise zehn Jahre. Die Unterlagen müssen so geführt werden, dass sie der Aufsicht innerhalb angemessener Frist vorgelegt werden können, üblicherweise innerhalb von Tagen. Eine Aufbewahrung in unstrukturierten Ordnern ohne Versionsstand oder Indexierung genügt der Vorschrift nicht und führt im Audit zu Beanstandungen.

Die Aktualisierung der KYC-Daten ist eine laufende Pflicht. Bei wesentlichen Änderungen der Geschäftsbeziehung, etwa neuen wirtschaftlich Berechtigten, neuen Vertriebskanälen oder neuen Produkten, müssen die Daten überprüft und aktualisiert werden. In der Praxis bewährt sich ein Aktualisierungszyklus von zwei bis fünf Jahren je nach Risikostufe, ergänzt durch anlassbezogene Aktualisierungen. Die Audit-Vorbereitung ist deutlich einfacher, wenn eine zentrale Plattform den Stand aller Geschäftsbeziehungen, Risikostufen, Verdachtsmeldungen und Dokumente anzeigt. CIVAC stellt 490 einsatzbereite Audit-Vorlagen bereit, darunter die Risikoanalyse, das Verdachtsfallregister, die Schulungsmatrix, den Tätigkeitsbericht des Geldwäschebeauftragten und die Sicherungsmaßnahmen nach § 6 GwG. Im Audit lassen sich diese Dokumente per Klick exportieren und prüferseitig validieren. Diese Strukturierung senkt den Aufwand für Audit-Vorbereitung von Wochen auf Tage und schließt einen der häufigsten Beanstandungspunkte: die schlechte Auffindbarkeit von KYC-Unterlagen über die fünfjährige Aufbewahrungsfrist hinweg. Damit wird Compliance nicht zur Sammelaktion vor einer Prüfung, sondern zum laufenden Standardprozess mit messbarer Reife und nachvollziehbarer Audit-Spur. Diese Reife wirkt sich auch auf Kosten und Personalbedarf aus, weil die Audit-Vorbereitung nicht mehr Sonderprojekte mit Überstunden auslöst, sondern als Standardabfrage in der Plattform erledigt wird.

CIVAC bildet den KYC-Prozess und die Rolle des Geldwäschebeauftragten in einem zentralen Workspace ab. Die Risikoanalyse wird mit Mandantenstruktur und Versionsstand geführt, die KYC-Stufen sind mit Workflow-Regeln hinterlegt, die Identifikations- und Aktualisierungspflichten werden mit Fristtimern überwacht. Verdachtsmeldungen folgen einem strukturierten Workflow vom Auslöser über die Bewertung durch den Geldwäschebeauftragten bis zur Meldung an die FIU über die goAML-Plattform. Die Schulungsmatrix dokumentiert jährliche und anlassbezogene Mitarbeiterschulungen, das Sanktions-Screening läuft als Hintergrundprozess mit konfigurierbarer Frequenz.

Im Dual-Modell können Sie die Plattform für Ihren internen Geldwäschebeauftragten lizenzieren, oder Sie lassen CIVAC den Geldwäschebeauftragten extern bestellen. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Die SLA für eine externe Bestellung beträgt zwei Werktage statt der branchenüblichen zwei bis sechs Wochen. Beide Modelle nutzen dieselbe Audit-Spur, dieselben Vorlagen und dieselbe Berichtslinie zur Geschäftsleitung und Aufsichtsbehörde. Wenn Sie einen KYC-Prozess strukturiert einführen oder einen bestehenden Prozess auf eine zentrale Plattform überführen wollen, lohnt sich ein 30-minütiges Erstgespräch. Aus dem Lesen einen Auftrag machen. Eine kurze Nachricht an info@civac.de oder ein Eintrag im Kontaktformular reicht für eine erste Bedarfsklärung. Sie erhalten innerhalb von fünf Werktagen eine schriftliche Bestandsaufnahme, einen Einführungsfahrplan über 90 Tage und einen Vorschlag zur Lizenz oder externen Bestellung mit klarem Kostenrahmen und benannten Verantwortlichen. So lässt sich die Entscheidung über die Einführung oder Migration des KYC-Prozesses auf einer belastbaren Grundlage treffen, ohne Ressourcenbindung im Vorfeld oder unklare Verantwortlichkeiten in der Projektphase, mit klarer Wirtschaftlichkeitsbetrachtung und benannten Meilensteinen pro Phase.