Kundenidentifizierung (KYC / EDD)

Know –Your-Customer (KYC - dt. „kenne deinen Kunden") bezeichnet die Identifikation von Kunden. Die Identifizierung schließt weitreichende Recherchen mit ein und ist allgemein unter dem Begriff „Know Your Customer“ (KYC, dt.: kenne deine Kunden) bekannt.

Hierzu gehören folgende Schritte bei der Identifikation:

• Identifizierung und Verifizierung aller Vertragspartner

• Identifizierung der wirtschaftlich Berechtigten

• Sanktionslistenabgleich

• PeP-Check (Abgleich mit Listen von politisch exponierten Personen)

• Adverse-Media Check (Abgleich von Veröffentlichungen diverser Medien zur Einschätzung des Reputationsrisikos empfohlen)

Zusätzlich besteht die Verpflichtung, die gesammelten Daten zu dokumentieren und für fünf Jahre DSGVO-konform aufzubewahren.

Die Identifizierung des Vertragspartners – allgemein bekannt unter dem Begriff “Know Your Customer”-Prüfungen - ist Teil der Allgemeinen Sorgfaltspflichten nach §10 GwG.

Rechtlich werden die Know Your Customer Prüfungen in den Artikeln §11 und §12 des GwG weiter definiert. Demnach haben “Verpflichtete (…) Vertragspartner, gegebenenfalls für diese auftretende Personen und wirtschaftlich Berechtigte vor Begründung der Geschäftsbeziehung oder vor Durchführung der Transaktion zu identifizieren.” (§11 GwG Abs. 1 Satz 1). Hierbei ist jedoch zu beachten, dass unterschiedliche Verpflichtete – wie zum Beispiel Makler – ggf. auch noch branchenspezifische Voraussetzungen zur Kundenidentifizierung einhalten müssen, die sich aus den folgenden Abschnitten ergeben.

Ausnahmen bei der Identifizierung von Vertragspartnern sind nur dann erlaubt, wenn die zu identifizierende Person bereits bei früheren Gelegenheiten identifiziert wurde und es keine Zweifel daran gibt, dass sich die erhobenen Angaben seither nicht geändert haben (§11 GwG. Abs. 3).

Der §12 GwG regelt vor allem, wie Verpflichtete die Identität von Vertragspartnern überprüfen müssen. Hierbei sind die vor allem die Unterschiede bei der Identifizierung von natürlichen Personen (§ 12 GwG Abs. 1) und Unternehmen (juristische Personen) (§ 12 GwG Abs. 2) zu beachten.

KYC-Prüfungen müssen von allen Verpflichteten nach dem Geldwäschegesetz durchgeführt werden, wenn die für ihre Branche jeweils spezifischen Voraussetzungen vorliegen.

Immobilienmakler müssen beispielsweise ihre Kunden erst dann identifizieren, wenn sie Mietverträge ab 10.000 Euro Monatsmiete und/oder Kaufverträge vermitteln. Kfz-Händler sind hierzu erst ab Bartransaktionen von 10.000 Euro verpflichtet. Im Gaming-Sektor liegt die Grenze bei Einsätzen oder Gewinnen schon bei 2.000 Euro. Diese Spezifikationen sind im §10 GwG geregelt.

Unabhängig von den oben genannten Schwellenwerten sind die Verpflichteten nach dem Geldwäschegesetz jedoch immer dazu verpflichtet die allgemeinen Sorgfaltspflichten gegenüber ihren Vertragspartnern einzuhalten – also auch die KYC-Prüfungen durchzuführen – wenn Tatsachen vorliegen, die darauf hindeuten, dass die Vermögenswerte im Zusammenhang mit Terrorismusfinanzierung oder Geldwäsche stehen. Auch, wenn es Zweifel bezüglich der Richtigkeit der Angaben zur Identität der an der Transaktion beteiligten Parteien gibt, sind Sorgfaltspflichten einzuhalten. Dies regelt der §10 Abs. 3 Nr. 3 und 4.

Handelt es sich bei dem zu identifizierenden Vertragspartner um eine natürliche Person, dann müssen Daten nach §11 GwG Abs. 4 Nr. 1 erfasst werden. Das sind:

• Vorname und Nachname

• Geburtsort

• Geburtsdatum

• Staatsangehörigkeit

• Eine Wohnanschrift;

Auch bei Änderungen, die sich bei den Vertragspartnern während einer Geschäftsbeziehung ergeben, müssen diese nach §11 GwG Abs. 6 durch die Verpflichteten dokumentiert werden.

Handelt es sich bei dem zu identifizierenden Vertragspartner um ein Unternehmen – also eine juristische Person - dann müssen Daten nach §11 GwG Abs. 4 Nr. 2 erfasst werden. Das sind:

• Firma, Name oder Bezeichnung

• Rechtsform

• Registernummer, falls vorhanden

• Anschrift des Sitzes oder der Hauptniederlassung

• die Namen der Mitglieder des Vertreters / Vertretungsorgans.

Zur Identifizierung von wirtschaftlich Berechtigten sind weitere Angaben nach §11 GwG Abs. 5 erforderlich. Hierzu zählen z.T. auch Auszüge aus dem Transparenzregister.

Auch bei Änderungen, die sich bei den Vertragspartnern während einer Geschäftsbeziehung ergeben, müssen diese nach §11 GwG Abs. 6 durch die Verpflichteten dokumentiert werden.

Generell benötigt Kerberos für eine KYC-Prüfung folgende Unterlagen:

Sofern es sich bei dem zu identifizierenden Vertragspartner um eine natürliche Person handelt, reicht eine Kopie eines gültigen Ausweisdokuments* (ID).

Für die Identifizierung von Unternehmen – also juristischen Personen – benötigt Kerberos folgende Unterlagen:

• Name des Unternehmens,

• Registrierung (in Deutschland: Handelsregister-Nummer + Registergericht; Für ausländische Unternehmen: eine äquivalente Registernummer),

• Sitz (Straße Hausnummer, Postleitzahl Ort),

• Kopie eines gültigen Ausweisdokuments* (ID) der auftretenden Person (der Person mit der Sie Verhandlungen führen oder die Ihr Ansprechpartner ist),

• Name und Vorname der wirtschaftlich Berechtigten des Unternehmens.

*Gültige Ausweisdokumente sind insbesondere:

• Deutscher Personalausweis,

• EU-Personalausweis inkl. Adressnachweis (Meldebestätigung oder einer wiederkehrenden Verbrauchsrechnung (Telefon-, Gas-, Wasser-, Stromrechnung, etc.)),

• Reisepass inkl. Adressnachweis (s.o.).

Unter Due-Diligence versteht man im Allgemeinen eine erweiterte Know Your Customer Prüfung - also eine vertiefte Prüfung der Identität von Geschäftspartnern und Kunden. Due-Diligence-Prüfungen sind zwar in der Regel immer zu empfehlen, jedoch nur in bestimmten Fällen Pflicht - nämlich dann, wenn ein erhöhtes Risiko der Geldwäsche oder Terrorismusfinanzierung vorliegt.

Was genau wiederum unter “vertieften” Prüfungen zu verstehen ist, wird im § 15 GwG zu den verstärkten Sorgfaltspflichten nur ungenau definiert. Unter anderem heißt es, dass “angemessene Maßnahmen” zur Bestimmung von Vermögenswerten getroffen werden müssen (§15 Abs. 4 GwG). Ebenfalls müssen in bestimmten Fällen “zusätzliche Informationen” über Vertragspartner und wirtschaftlich Berechtigte eingeholt werden, ohne das genauer definiert ist, wo die Informationen abzurufen sind und wie viele es sein sollen. Innerhalb Europas gibt es hinsichtlich dieser Prüfungen noch unterschiedliche Standards, was die grenzüberschreitende Verfolgung von Geldwäschern teilweise erschwert.

Mehr Informationen zum Due Diligence Prozess mit Kerberos erfahren Sie hier auf unserer Lösungsseite.

Die Risikobewertung vermittelt Informationen darüber, ob eine Geschäftsbeziehung beibehalten oder abgebrochen werden sollte und vermittelt eine solide Beschlussgrundlage. Hierfür werden verschiedene Datenbanken genutzt, um möglichst alle Verbindungen zu Geschäftspartnern, Dienstleistern und weiteren Dritten offen zu legen.

Zum einen kann eine Due Diligence Prüfung zur Einhaltung der geldwäscherechtlichen Identifizierungspflicht genutzt werden. Darüber hinaus ist sie auch für jedes Unternehmen nützlich, welches wissen möchte, mit wem es Geschäfte macht. Es ist sozusagen „smart business“ zu wissen, mit wem man Geschäfte macht.

Eine Due Diligence Prüfung ist eine tief gehende und intensive Prüfung von Geschäftspartnern, um etwaige Auffälligkeiten zu identifizieren. Hierbei kann es sich um alle möglichen Themengebiete handeln. Von schlechter Presse, über tatsächlich strafrechtlich relevante Sachverhalte bis hin zu organisierter Kriminalität. Doch auch allgemeine, erweiterte Informationen zu einem Geschäftspartner, wie beispielsweise Lizenzen oder die Länder in denen ein Geschäftspartner aktiv ist, können für eine Geschäftsentscheidung nützlich sein.

Dabei kann eine Due Diligence Prüfung als Folge-Prüfung zu einer geldwäscherechtlichen Identifizierung eines Geschäftspartners eingesetzt werden. Denn es besteht zum einen eine gesetzliche Verpflichtung zu erweiterten Nachforschungen laut Deutschem Geldwäschegesetz, sofern sich ein erhöhtes Risiko im Zusammenhang mit einem Geschäftspartner ergibt. Weiterhin ist es aber auch insgesamt nützlich, über Risiken im Zusammenhang mit Geschäftspartnern informiert zu sein, um sein eigenes reputatives oder strafrechtliches Risiko zu reduzieren.

Wirtschaftlich Berechtigter ist die natürliche Person, in deren Eigentum oder unter deren Kontrolle der Vertragspartner steht, oder auf deren Veranlassung eine Transaktion durchgeführt oder eine Geschäftsbeziehung begründet wird.

Danach gehört zu den wirtschaftlich Berechtigten u.a. jede natürliche Person die mittelbar (z.B. über Anteile an einem Unternehmen) oder unmittelbar (z.B. als Privatperson) mehr als 25% der Kapitalanteile und/oder mehr als 25% der Stimmrechte besitzen. Die Sachlage ist in der Praxis jedoch kompliziert.

Beispielsweise werden Startups häufig über unterschiedliche Quellen finanziert, sodass Privatinvestoren und Unternehmen teilweise gleichermaßen an diesen Unternehmen beteiligt sind und jeweils mehr als 25 % der Stimmrechte oder Kapitalanteile besitzen.

Bei mehrstufigen Beteiligungsstrukturen sind die natürlichen Personen – ggf. auch durch mehrere juristische Personen hindurch – zu ermitteln, die die Kontrolle nach vorstehendem Maßstab über den Vertragspartner ausüben. Besitzt etwa eine natürliche Person unmittelbar 30% eines Unternehmens, während eine juristische Personengesellschaft die restlichen 70% hält, müssen ebenfalls die wirtschaftlich Berechtigten der juristischen Personengesellschaft als mittelbar wirtschaftlich Berechtigte angegeben werden.

Diese Einschätzung stützt sich auf Rechtshinweise des Bundesverwaltungsamts zur Meldepflicht wirtschaftlich Berechtigter im Transparenzregister. Hiernach zählen auch Personen, die über eine Sperrminorität Grundlagenbeschlüsse verhindern können, zu den wirtschaftlich Berechtigten. Halten also zwei natürliche Personen jeweils 50% der Stimmanteile eines Unternehmens, gelten beide als wirtschaftlich Berechtigte dieses Unternehmens. . Halten also zwei natürliche Personen jeweils 50% der Stimmanteile eines Unternehmens, gelten beide als wirtschaftlich Berechtigte dieses Unternehmens.

Seit 2017 müssen wirtschaftlich Berechtigte im Transparenzregister eingetragen werden. In diesem sollen die wirtschaftlich Berechtigten von juristischen Personen, Gesellschaften und Vereinigungen zentral erfasst und öffentlich zugänglich gemacht werden.

Eine der Pflichten des GwG ist die Meldung verdächtiger Transaktionen bei der FIU (Financial Intelligence Unit) über das Portal goAML. Die Verpflichteten müssen sich dazu bei diesem Portal registrieren. Verstöße gegen diese Verpflichtung können mit Bußgeldern geahndet werden.

Die Meldung beinhaltet die Beantwortung der folgenden vier Grundfragen – sollte jedoch noch mit weiteren Informationen angereichert werden:

1. Um wen geht es?

2. Was wurde gekauft?

3. Was war verdächtig?

4. Zusätzliche Auffälligkeiten

Eine nicht abschließende – jedoch weiterführende Auflistung für Angaben in Verdachtsmeldungen finden Sie hier. Nach der Prüfung von Verdachtsmeldungen lässt die FIU den Meldenden entsprechende Handlungsaufforderungen zukommen.

Die FATF (Financial Action Task Force) besteht aus 39 Mitgliedsstaaten. Sie stellt internationale Kriterien zur Bekämpfung und Verhinderung von Geldwäsche, Terrorismusfinanzierung und Proliferationsfinanzierung auf und überprüft deren weltweite Einhaltung. Der Vorteil der Einhaltung der Vorgaben besteht darin, dass Länder eine Art Gütesiegel erhalten, das den Zugang zum internationalen Markt erleichtert. Wird bei einer FATF-Prüfung kein strategisches Defizit festgestellt, müssen andere Länder keine besonderen Sicherheitsmaßnahmen im Handel mit ebendiesen einhalten. Wenn Länder auf der sogenannten “grauen Liste” stehen, weisen sie (laut der FATF) strategische Defizite in der Umsetzung der internationalen Vorgaben auf oder konnten, wie im Fall von Syrien, lange nicht mehr von der internationalen Organisation überprüft werden. Der internationale Handel kann sich auf die besonderen Risiken, die mit der Einschätzung der FATF einhergehen, einstellen und besondere Vorsicht walten lassen. Die Nennung eines Landes auf der “schwarzen Liste”, wie es derzeit nur auf den Iran und Nordkorea zutrifft, verbindet die FATF explizit mit der Empfehlung nicht nur besondere Vorsicht walten zu lassen, sondern gleich auch Sanktionen zum Schutz des internationalen Marktes zu verhängen. Eine vollständige Übersicht der Listen finden sich hier.

Bei Vertragspartnern muss laut Geldwäschegesetz überprüft werden, ob sie politisch exponierte Personen sind. Das bedeutet, dass überprüft wird, ob sie politische Ämter innehaben oder hatten. Dies hätte verschärfte Sorgfaltspflichten zur Folge.

Zusätzlich ist es ratsam zu prüfen, ob Vertragspartner auf Sanktionslisten stehen.

In diesem Prozess macht es einen Unterschied, ob es sich um eine natürliche oder juristische Person handelt – vor allem in Bezug auf deren wirtschaftlich Berechtigte. Insbesondere Personen, gegen die internationale Sanktionen verhängt wurden, nutzen häufig Firmengeflechte, die die Identität der wirtschaftlich Berechtigten verschleiern. Unter Umständen können so Sanktionen umgangen werden. Die Identifizierung der tatsächlichen wirtschaftlich Berechtigten und deren Abgleich mit Sanktionslisten sind entsprechend wichtige Bestandteile des KYC-Prozesses.

KYC-Checks helfen also auch dabei, internationale Sanktionen einzuhalten und Korruption zu verhindern. Stellen die Behörden fest, dass es auf Grund von strukturellen Defiziten in der Einhaltung der Kundensorgfaltspflichten zu vermeidbar illegalen Geschäftsabschlüssen kommt, drohen bisweilen nicht nur Bußgelder. Es besteht daneben die Gefahr von hohen Reputationsschäden und der Möglichkeit, dass Länder wie die USA weitere, rechtliche Schritte veranlassen könnten.