Know Your Customer (KYC) bewegt die Finanzbranche, aber nicht nur. Viele Unternehmen kennen KYC nicht und agieren unwissend in einem nicht rechtsfreien Raum. Hohe Geld- und Haftstrafen drohen, wenn Geschäftspartner nicht hinreichend auf Compliance überprüft werden.
Inhaltsverzeichnis: Das erwartet Sie in diesem Artikel
Know Your Customer: Definition und Erklärung
Know Your Customer (KYC) ist das Prüfen der Identität eines Geschäftspartners oder Kunden. Der KYC-Check fällt in den Bereich der Due Diligence Prüfungen. neben der Identität werden auch weitere Geschäftsdaten geprüft.
Die KYC-Prüfung hat die Aufgabe, die Herkunft und den Verbleib von Geld und Vermögenswerten zu identifizieren. Dabei steht die Verhinderung der Geldwäsche und der Terrorismusfinanzierung als Anlass hinter der KYC-Prüfung. Geldwäscherei ist das Verschleiern des illegalen Ursprungs von Gewinnen aus kriminellen Handlungen. Das Risiko des Missbrauchs zur Geldwäsche steckt in jedem Finanzplatz. Die Terrorismusfinanzierung ist noch weitaus schwieriger zu erkennen als die Geldwäsche. Anders als bei der Geldwäsche können bei der Terrorismusfinanzierung auch legale Vermögenswerte für eine Ausführung eines terroristischen Akts bereitgestellt werden. Man spricht hier auch von der Proliferationsfinanzierung (Proliferation = Verbreitung) von Massenvernichtungswaffen.
Die Folge einer Know Your Customer Prüfung kann die Verweigerung oder auch der Abbruch der Geschäftsbeziehung sein. Ein KYC-Check kann auch dann ausgelöst werden, wenn der Geschäftspartner in den Verdacht gerät, in Geldwäsche oder in die Terrorismusfinanzierung verwickelt zu sein. Auslöser für einen Verdacht können beispielsweise sein:
- eine negative Meldung in der Presse
- ein Auftauchen des Geschäftspartners auf Sanktionslisten
- ein Auftauchen des Geschäftspartners auf Watchlisten
- ein Auftauchen des Geschäftspartners auf PEP-Listen (Politisch exponierte Personen)
Im Falle eines Verdachts muss eine weitergehende Untersuchung durchgeführt werden: eine sogenannte Enhanced Due Diligence. Wird eine verpflichtende Untersuchung nicht oder nicht entsprechend des nationalen und internationalen Mindeststandards durchgeführt, kann dies für den Verpflichteten Konsequenzen haben.
- Geldstrafen
- Reputationsverluste
- Haftstrafen
- die Entziehung der Geschäftserlaubnis
Die Prüfungen im Know Your Customer Verfahren (KYC) und auch die Know-Your-Supplier-Analysen (KYS) werden bei Unternehmen im Compliance-Management-Systems (CMS) verankert.
Rechtliche Grundlagen von KYC-Checks
Die Verpflichtung von Unternehmen und Organisationen zum KYC-Check von neuen Kunden und von Bestandskunden hat mehrere rechtliche Grundlagen.
- zuerst die 3. EU-Geldwäsche-Richtlinie
Es ist die Richtlinie 2005/60/EG des Europäischen Parlaments und des Rates vom 26.10.2005 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung, ABl L 309 vom 25.11.2005 - UK Bribery Act
Mit dem Bribery Act 2010 besitzt Großbritannien ein Antikorruptionsgesetz. Im April 2010 wurde der Bribery Act verabschiedet und trat am 1. Juli 2011 in Kraft. Der Bribery Act hat weltweite Geltung und sanktioniert sowohl natürliche Personen als auch Unternehmen. Das Antikorruptionsgesetz der Briten wird deswegen auch mit dem Foreign Corrupt Practices Act verglichen, einem Bundesgesetz der USA von 1977 - UK Modern Slavery Act
Der Modern Slavery Act vom 26. März 2015 ist ein Gesetz des Parlaments von Großbritannien und wurde zur Bekämpfung moderner Sklaverei in Großbritannien entwickelt. - Financial Action Task Force (FATF)
Die Financial Action Task Force ist eine internationale Institution mit Sitz in Paris, die Regeln zur Bekämpfung der Geldwäsche, von Terrorismusfinanzierung und der Finanzierung von Massenvernichtungswaffen aufstellt. Die FATF prüft die Mitgliedsstaaten auf Einhaltung der Regeln.
Die Umsetzung von KYC in der Praxis
Die dritte Geldwäscherichtlinie brachte für den Geschäftsverkehr eine Verschärfung aller Sorgfaltspflichten im Umgang mit Geschäftspartnern. Eine weitere Verpflichtung aus der dritten Geldwäscherichtlinie ist die Bereitstellung einer nationalen Zentralstelle für Verdachtsanzeigen. Zunächst wurde diese Zentralstelle (FIU) im Bundeskriminalamt angesiedelt. Die Financial Intelligence Unit wird seit dem 26. Juni 2017 als Abteilung der Generalzolldirektion geführt. Die FIU gehört zur Direktion VIII – Zollkriminalamt. Schließlich führte die dritte Geldwäscherichtlinie zur Aufnahme der Terrorismusfinanzierung in das Verfahren zur Geldwäschebekämpfung.
Die Umsetzung in den Staaten der EU
Die Umsetzung der dritten Geldwäscherichtlinie in deutsches Recht erfolgte am 21. August 2008 mit dem Geldwäschebekämpfungsergänzungsgesetz (GwBekErgG), das auch Geldwäschegesetz (GwG) genannt wird. Seit dem 26. Juni 2017 müssen die Regelungen der vierten Geldwäscherichtlinie (Richtlinie 2015/849/EU) umgesetzt werden.
Die EU-Geldwäsche-Richtlinien
- 3. EU-Geldwäsche-Richtlinie 2005/60/EG vom 26. Oktober 2005
- 4. EU-Geldwäsche-Richtlinie EU 2015/849 vom 20. Mai 2015
- 5. EU-Geldwäsche-Richtlinie EU 2018/843 vom 30. Mai 2018
Internationale Umsetzung
An der weltweiten Geltung des UK Bribery Act wird deutlich, dass die Umsetzung des KYC-Check auch für Unternehmen relevant ist, die in den jeweiligen Ländern keine eigene Niederlassung betreiben. Hier genügt es, dass wirtschaftliche Beziehungen zu den betreffenden Ländern unterhalten werden. Eine Überprüfung von Unternehmen und Einzelpersonen ist in solchen Fällen sehr aufwändig. Hier hilft bei der Umsetzung sogenannte KYC-Software.
Know Your Customer in Österreich
In Österreich stehen Geldwäscherei wie auch die Terrorismusfinanzierung unter Strafe (§§ 165 und 278d StGB). Die Rechtsgrundlage in Österreich bildet das Finanzmarkt-Geldwäschegesetz (FM-GwG). Es stellt die Umsetzung der 4. Geldwäsche-Richtlinie dar. Mit dem Finanzmarkt-Geldwäschegesetz erhielt die Finanzmarktaufsichtsbehörde eine sowohl einheitliche wie auch übersichtliche rechtliche Basis für ihre Aufsichtstätigkeit. Weitere Bestimmungen sind unter anderem
- die Gewerbeordnung
- das Glücksspielgesetz
- die Rechtsanwalts- und Notariatsordnung
Allen Bestimmungen liegt das Ziel zugrunde, mit dem Prinzip „Know your customer“ den Geldwäschern die Anonymität zu rauben. So muss sich in Österreich unter anderem jeder Kunde identifizieren, der eine Transaktion von mindestens 15.000 Euro durchführt, welche nicht aus einer andauernden Geschäftsbeziehung erwächst oder die sich auf Spareinlagen bezieht.
Die österreichische Geldwäschemeldestelle ist im Bundesministerium für Inneres angesiedelt. Sie muss informiert werden, sobald ein Verdacht auf Geldwäscherei oder Terrorismusfinanzierung aufkommt.
Know Your Customer in der Schweiz
Die Identifizierung der Vertragspartei ist auch in der Schweiz verpflichtend. Das Geldwäschegesetz hält den Finanzintermediär dazu an, bei der Aufnahme einer Geschäftsbeziehung seine Vertragspartei mit einem beweiskräftigen Dokument zu indentifizieren. Der Know Your Customer Check muss bei Aufnahme der Geschäftsbeziehung initiiert werden, so dass die Identifizierung des Geschäftspartners spätestens zum Zeitpunkt des Vertragsschlusses erfolgt ist.
Bei den sogenannten Kassageschäften, die einen erheblichen Wert erreichen und nicht über ein bestehendes Konto bei einem Finanzintermediär außerhalb einer bestehenden Geschäftsbeziehung ausgeführt werden, ist ebenfalls eine Identifizierung der Vertragspartei vorzunehmen. Hierzu zählen gemäß Artikel 2 lit. a GwV-FINMA
- Geldwechsel
- Kauf oder Verkauf von Edelmetallen
- Verkauf von Reisechecks
- Barliberierung von Inhaberpapieren, Kassa- und Anleihensobligationen
- Bareinlösen von Schecks
sofern mit diesen Geschäften keine dauernde Geschäftsbeziehung verbunden ist (vgl. Art. 2 lit. a GwV-FINMA). Als erheblicher Wert bzw. pflichtauslösender Schwellenwert wurden sowohl in der Ausführungsverordnung (GwV-FINMA) und den Reglements der Selbstregulierungsorganisationen (Liste) wie der Selbstregulierungsorganisation für die in der Schweiz tätigen Lebensversicherer SRO-SVV folgende Werte festgelegt:
- 5.000 Franken bei Geldwechselgeschäften
- 25.000 Franken bei allen übrigen Kassageschäften
- 25.000 Franken bei einmaligen bzw. periodischen Prämie oder des gesamten Prämienvolumens einer Privatversicherung
Wie der Know Your Customer Prozess von der BaFin vorgesehen ist
Das BaFin ist die aufsichtsführende Behörde bzgl. des Geldwäschegesetzes. Die BaFin hat zum GwG die sogenannten Auslegungs- und Anwendungshinweise (AuA) verfasst, welche das GwG ergänzen. So wird bestimmt, welche Daten regelmäßig zu erheben sind.
- Name, Familienname und alle Vornamen
- Geburtsort
- Geburtsdatum
- Staatsangehörigkeit
- Wohnsitz/Anschrift
- Das Identifikationsdokument: Art, Nummer und ausstellende Behörde
Die Identifizierung lässt die BaFin auf verschiedene Weise zu. Neben der Prüfung eines qualifizierten Identifikationsdokuments vor Ort kommen ein elektronischer Identitätsnachweis wie der eID Personalausweis oder andere notifizierte Verfahren in Betracht. Auch die qualifizierte elektronische Signatur, mehrere Videoidentifizierungsverfahren und andere durch Rechtsverordnungen bestimmte Verfahren sind gemäß § 13 Absatz 1 Nr. 2, Absatz 2 Nr. 2 des GwG zulässig.
Kann Blockchain den Know Your Customer Prozess vereinfachen?
Die bestehenden KYC-Verfahren haben eine große Schwäche, da Personen- und Unternehmensdaten mehrfach erfasst werden, nämlich durch jedes Kreditinstitut, welche mit der natürliche oder juristischen Person eine Geschäftsbeziehung eingeht. Hat Bank A die Daten aufgenommen und verifiziert, erfolgt der gleiche KYC-Check bei Bank B ein zweites Mal. Die KYC-Prozesse werden an unterschiedlichen Orten mit identischen Ergebnissen durchlaufen. Für die beteiligten Kreditinstitute sind dies vermeidbare Mehraufwände und auch für den Kunden kommt es so zu störenden Zeitaufwänden beim mehrfachen Durchlaufen der KYC-Prozesse.
Trusted Parties: nur einmal KYC-Daten aufnehmen?
Wenn vertraute Dritte – etwa Behörden – einmalig die Verifizierung durchführen und damit die Authentizität von Identitäten sicherstellen, kann das Know Your Customer Verfahren vereinfacht werden. Wer sich einmalig identifiziert hat, kann dann einen Datensatz erhalten, der von einer solchen Trusted Party beglaubigt wurde. Diesen Datensatz kann man dann all jenen Geschäftspartnern zur Verfügung stellen, welche zur Aufnahme der Geschäftsbeziehung einen KYC-Check einleiten. Der gesamte KYC-Prozess wird so deutlich verkürzt. Von dieser Verkürzung profitieren beide: die Bank, weil sie ihre Zeit in ihr Kerngeschäft investieren kann und der Kunde, weil er sich einfach und schnell ausweisen kann.
Blockchain als perfekte Plattform für KYC?
Das Modell der Trusted Parties stellt an eine digitale Plattform hohe Anforderungen.
- Der Datenbestand muss immer verfügbar sein.
- Der Datenbestand digitaler Assets muss immer aktuell sein.
- Der Datenbestand muss vor Manipulation geschützt sein.
- Der Datenbestand muss von unauthorisiertem Zugriff geschützt sein.
- Alle Transaktionen sollen in ihrer zeitlichen Abfolge gespeichert werden und nachvollziehbar bleiben.
- Der Zugriff auf die Daten und die Freigabe sollen in der Hand des Kunden verbleiben.
Für den Zugriff durch den Kunden ist eine biometrische Authentisierung wünschenswert.
Eine KYC-Lösung auf der Basis von Blockchain stellt hier eine nutzbare Plattform dar. Geht man davon aus, dass es mehrere unterschiedliche Trusted Parties gibt, dann kommt diesen eine besondere Rolle zu. Sie bilden ein Konsortium, welches das Privileg der Blockerzeugung besitzt.
Wenn eine Trusted Party Daten des Kunden zu Identität und Geschäft aufnimmt, so werden diese chiffriert gespeichert und verbleiben somit prüfbar. Die Daten zur Identität des Kunden werden in einem Smart Contract gespeichert. Dieser Smart Contract steuert das ausschließlich beim Kunden liegende Recht auf Einsicht, Löschung und Freigabe der Daten an Dritte. Bindet man jegliche Abläufe in Transaktionen ein, bleiben diese auf Dauer in ihrem zeitlichen Ablauf nachvollziehbar.
Die biometrische Authentisierung kann an jedem Ort – zuhause, in der Bank oder anderswo – per Kamera und per Fingerabdruck völlig ohne Geräte erfolgen. So kann der Kunde der Bank für den KYC-Check Zugriff auf die nötigen Daten der Blockchain gewähren.
Häufige Fragen rund um KYC
Wer ist zur KYC Prüfung verpflichtet?
Zur KYC-Prüfung sind Untermehmen verpflichtet, deren Geschäft in Zusammenhang mit finanziellen Transaktionen stehen. Zu diesen Organisationen und Unternehmen zählen gemäß Artikel 2 der dritten Geldwäscherichtlinie insbesondere solche, die mit Gütern handeln und im Rahmen ihres Geschäfts Barzahlungen oder elektronische Zahlungen in Höhe von über 15.000 Euro entgegennehmen:
- Banken
- Kreditinstitute
- Finanzdienstleistungsinstitute
- Finanzunternehmen
- Versicherungsunternehmen
- Rechtsanwälte
- Notare
- Wirtschaftsprüfer
- Steuerberater
- Immobilienmakler
- Güterhändler
Ein KYC-Check beim Aufbau der Geschäftsbeziehung ist auch für alle anderen Unternehmen anzuraten. Letztlich prüft man so einen möglichen neuen Geschäftspartner auf dessen Seriösität.
KYC Prüfung: Welche Informationen sind zu erfassen?
01: Daten zur Identifikation juristischer Personen
- Geschäftszweck
- Branchencode
- Sitz
- Anzahl der Mitarbeiter
- Umsatz
- Stammkapital
- Gründungsdatum
- HR Nummer
- Ort Amtsgericht
- USt ID
- LEI (Legal Entity Identifier: eine eindeutige Nummer bzw. Code zur Identifikation einer juristischen Person)
- Sanktionslistenstatus
- Informationen über die Anteilseigner
- Funktionsträger
- Beteiligungen
- wirtschaftlich Berechtigte
02: Daten zur Identifikation natürlicher Personen
- Name
- Zeitraum
- Stadt von wirtschaftlich Berechtigten, Anteilseignern und Funktionsträgern
- PEP-Listen-Status von wirtschaftlich Berechtigten, Anteilseignern und Funktionsträgern
- Sanktionslisten-Status von wirtschaftlich Berechtigten, Anteilseignern und Funktionsträgern
Zusätzliche Sorgfaltspflichten gelten bei politisch exponierten Personen gemäß §15 GwG. Hier ist ein erhöhtes Risiko der Geldwäsche oder Terrorismusfinanzierung vorhanden.
03: Daten zur Prüfung wirtschaftlich Berechtigter
Die Eigentümer- und Kontrollstruktur muss hier bzgl. wirtschaftlich Berechtigter ständig überwacht werden. Die KYC-Prüfung stellt hier sicher, dass Geschäftspartner auf keiner Sanktions-, Watch- oder PEP-Liste aufgeführt sind. Auch die Herkunft von Geld und Vermögen sowie Informationen zur Ausgestaltung der vorgesehenen Geschäftsbeziehung sind zu speichern.
04: Belege und Archivierung
Alle Informationen aus dem KYC-Check müssen belegt werden. Als Belege können amtliche Register ( z.B. Unternehemnsregister ) herangezogen werden. Alle Beleg-Dokumente müssen revisionssicher archiviert werden.