KYC vs. AML: Unterschiede, Prozesse und Compliance-Anforderungen erklärt

KYC überprüft die Identität des Kunden, während AML ist der umfassendere Rahmen zur Verhinderung von Finanzkriminalität. KYC ist der erste Schritt im Rahmen der Geldwäschebekämpfung, zu der auch Sanktionsprüfungen, Transaktionsüberwachung, Überprüfungen negativer Medienberichte und laufende Sorgfaltspflichten gehören. Regulierte Unternehmen (Banken, Fintechs, Krypto-Börsen, Broker, Glücksspielanbieter und Versicherer) müssen die AML-Compliance umsetzen, was ohne effektive KYC-Verfahren nicht möglich ist.

Was ist KYC (Know Your Customer)?

Kennen Sie Ihren Kunden ist der geregelte Prozess der Identifizierung eines Kunden und der Überprüfung, ob er tatsächlich derjenige ist, für den er sich ausgibt, bevor ein Konto eröffnet oder ein Finanzprodukt angeboten wird.

Ein vollständiges KYC-Verfahren umfasst drei Dinge:

1. Sammelt identifizierende Informationen, vollständiger rechtlicher Name, Geburtsdatum, Wohnanschrift und ein

von der Regierung ausgestellte Ausweisnummer.

2. Überprüft die Informationen anhand von maßgeblichen Quellen.in der Regel eine von der Regierung ausgestellte

Dokumenten-, elektronischen Identitätsdaten- und PEP-/Sanktionsdatenbanken.

3. Verbindet die Identität mit einer realen Person, wodurch bestätigt wird, dass die Person, die den Antrag einreicht,

Die Dokumente belegen den tatsächlichen Inhaber dieser Identität, typischerweise durch biometrische Gesichtserkennung. mit Lebenderkennung.

KYC ist keine einmalige Angelegenheit. Regulierte Unternehmen müssen die Kundeninformationen regelmäßig aktualisieren, in der Regel alle 12 Monate für Kunden mit hohem Risiko und alle 24–36 Monate für Kunden mit Standardrisiko.

Woher kommt die KYC-Pflicht?

Region	Primäre Rechtsgrundlage
USA	USA PATRIOT Act (Kundenidentifizierungsprogramm), Bankgeheimnisgesetz
Großbritannien	Geldwäscheverordnung 2017 (MLR 2017), in der geänderten Fassung
Europäische Union	Geldwäscherichtlinie 4/5 (aktuell); EU-Geldwäscheverordnung (AMLR) und Geldwäscherichtlinie 6 ab Juli 2027
Globaler Standard	FATF-Empfehlungen 10–12 (Kundensorgfaltspflichten)

 

Das FATF 40 Empfehlungen sind die globale Grundlage, die von mehr als 200 Jurisdiktionen übernommen wird nationales Recht. Sie bilden den richtigen Ausgangspunkt für jedes Compliance-Programm, das übergreifend gilt. Grenzen.

Typischerweise für KYC erforderliche Dokumente

Für Einzelpersonen:

• Von der Regierung ausgestellter Lichtbildausweis (Reisepass, Personalausweis, Führerschein)
• Adressnachweis – Strom-, Gas- oder Wasserrechnung, Kontoauszug oder Mietvertrag, in der Regel nicht älter als drei Monate
• Steueridentifikationsnummer, sofern zutreffend

Für Unternehmen (KYB):

• Gründungsurkunde
• Satzung und Gesellschaftsvertrag
• Offenlegung der wirtschaftlichen Eigentümer (UBO-Informationen)
• Identifizierung von Geschäftsführern und Aktionären
• Nachweis der registrierten Adresse

Was ist AML (Anti-Geldwäsche)?

AML ist der übergeordnete Rahmen von Gesetzen, Richtlinien und betrieblichen Kontrollen, die dazu dienen, aufzudecken, Finanzkriminalität verhindern und melden. Dies umfasst alles von Geldwäsche bis hin zu Terrorismusfinanzierung. Finanzierung von Sanktionsumgehung, Erträgen aus Betrug und Korruption.

Während KYC ein einzelner Prozess ist, ist AML ein Programm. Ein konformes AML-Programm typisch :

• Kunden-Due-Diligence (CDD) – die risikobasierte Bewertung, die mit KYC beginnt und sich über die gesamte Beziehung erstreckt.
• Sanktionen und PEP-ScreeningÜberprüfung von Kunden und Geschäftspartnern anhand von OFAC-, UN-, EU-, HMT- ​​und anderen Listen
• Negative Medienprüfung – Überwachung negativer Nachrichten, die auf ein Reputations- oder Finanzkriminalitätsrisiko hinweisen
• Transaktionsüberwachung – Aufzeigen ungewöhnlicher Muster wie z. B. Strukturierung, rasche Geldflüsse oder Aktivitäten, die nicht mit dem Kundenprofil übereinstimmen.
• Verdachtsmeldungen (SARs) – obligatorische Meldungen an die zuständige Financial Intelligence Unit (FinCEN, NCA, AUSTRAC usw.).
• Aufzeichnungen – Aufbewahrung von Identitäts-, Transaktions- und Risikodaten für den gesetzlich vorgeschriebenen Zeitraum (in der Regel fünf bis zehn Jahre).
• Interne Kontrollen und Schulung – schriftliche Richtlinien, ein benannter Geldwäschebeauftragter, fortlaufende Mitarbeiterschulungen und eine unabhängige Prüfung.

Woher kommt die AML-Anforderung?

• Vereinigte Staaten: Bank Secrecy Act (BSA)Geldwäschegesetz 2020, FinCEN-Vorschriften
• Großbritannien: Proceeds of Crime Act 2002, MLR 2017, Economic Crime and Corporate Transparency Act 2023, FCA-Regeln
• Europäische Union: Das EU-Geldwäschebekämpfungspaket wurde 2024 verabschiedet. Die Geldwäscheverordnung (AMLR, EU 2024/1624) ist ab Juli 2027 unmittelbar anwendbar. AMLD6 Die Verordnung (EU) 2024/1640 muss von den Mitgliedstaaten bis zum selben Datum umgesetzt werden. Die neue EU-Geldwäschebehörde (AMLA) mit Sitz in Frankfurt nahm im Juli 2025 ihre Tätigkeit auf.
• Globaler Standard: Die FATF-Empfehlungen Nr. 40 sowie branchenspezifische Leitlinien, wie beispielsweise die FATF-Leitlinien für virtuelle Vermögenswerte im Bereich Kryptowährungen.

KYC vs. AML: Ein direkter Vergleich

Abmessungen	KYC	AML
Was es ist	Ein Verfahren zur Überprüfung der Kundenidentität	Ein regulatorischer Rahmen zur Verhinderung von Finanzkriminalität
Geltungsbereich	Identitätsprüfung + erste Risikoklassifizierung	Identität, Transaktionen, Sanktionen, Meldepflichten, Kontrollen, Schulung
Timing	Onboarding + regelmäßige Aktualisierung	Kontinuierlich über den gesamten Kundenlebenszyklus hinweg
Aktivitäten und Ergebnisse	Identitätsprüfung, Risikobewertung, Kundendatensatz	Verdachtsmeldungen, Sanktionsverstöße, Überwachungsalarme, behördliche Berichte
Fahrerfrage	„Wer ist dieser Kunde?“	Ist das Verhalten dieses Kunden legitim?
Eigentümer	Onboarding/Betrieb + Compliance	Compliance, unter Einbeziehung der Bereiche Betrieb, Betrugsbekämpfung und Risikomanagement
Zubehör	Dokumentenprüfung, Biometrie, eIDV, PEP-/Sanktionsprüfung	KYC- und Transaktionsüberwachung, negative Medienberichterstattung, Fallmanagement, Meldung von Verdachtsfällen
Beziehung	Ein erforderlicher Bestandteil der Geldwäschebekämpfung	Der Regenschirm, der KYC enthält

 

Am einfachsten merkt man sich das: KYC gibt Auskunft darüber, wer der Kunde ist. AML prüft, ob seine Aktivitäten legitim sind. Ersteres ist Voraussetzung für Letzteres.

Wie passt KYC in den AML-Rahmen?

KYC und AML sind keine parallelen Prozesse. KYC ist eine von mehreren Kontrollmaßnahmen, die zusammen ein AML-Programm bilden. Die Beziehung sieht folgendermaßen aus:

• Der AML-Rahmen legt die rechtliche Verpflichtung zur Aufdeckung und Verhinderung von Finanzkriminalität fest.
• CDD (Customer Due Diligence) ist die risikobasierte Art und Weise, wie diese Verpflichtung in die Praxis umgesetzt wird.
• KYC ist die Komponente zur Identitätsprüfung im Rahmen von CDD.
• Laufende ÜberwachungWeitere Bestandteile der CDD sind Sanktionsprüfung, Transaktionsanalyse und die Einreichung von Verdachtsmeldungen.

Würde man KYC abschaffen, gäbe es für die übrigen Maßnahmen zur Bekämpfung von Geldwäsche keine verlässliche Grundlage mehr für Risikobewertungen. Deshalb wird die Identitätsprüfung von Kunden in allen Rahmenwerken zur Bekämpfung von Geldwäsche – FATF, BSA, MLR 2017 und EU AMLR – als grundlegende und nicht als optionale Anforderung betrachtet.

Der KYC-Prozess: Schritt für Schritt (2026)

Ein modernes KYC-Prozess, das darauf ausgelegt ist, die Anforderungen der Regulierungsbehörden zu erfüllen und legitime Kunden zu gewinnen, läuft in fünf Phasen ab.

Schritt 1: Kundenidentifizierungsprogramm (CIP)

Erfassen Sie die gemäß den Bestimmungen Ihrer Gerichtsbarkeit erforderlichen Datenpunkte. Kundenidentifikationsprogramm (KVP) Entspricht: vollständiger Name, Geburtsdatum, Adresse und Ausweisnummer. Bei Geschäftskunden sind zusätzlich die Unternehmensidentifikationsnummer und die Informationen zum wirtschaftlich Berechtigten zu erfassen.

Schritt 2: Dokumentenüberprüfung

Überprüfen Sie die Echtheit der eingereichten Ausweisdokumente. Eine zuverlässige Prüfung umfasst:

• Format- und Vorlagenintegrität im Vergleich zu einer globalen Dokumentvorlagendatenbank
• Die Sicherheitsmerkmale prüfen Hologramme, Konsistenz der maschinenlesbaren Zone (MRZ), Mikroschrift und Originalität des Dokuments.
• Manipulationserkennung, forensische Analyse auf Pixelebene zum Aufspüren bearbeiteter Dokumente
• Die Erkennung von Deepfakes in Dokumenten wird immer wichtiger, da generative KI die Anforderungen an synthetische Identitäten senkt.

Schritt 3: Identitätsbindung (Biometrische Verifizierung)

Bestätigen Sie, dass die Person, die das Dokument vorlegt, tatsächlich der Inhaber dieser Identität ist. Dazu ist Folgendes erforderlich:

• Gesichtsabgleich mit dem Dokumentenfoto
• Lebendigkeitserkennung um zu bestätigen, dass ein echter, lebender Mensch anwesend ist, nicht ein Foto, eine Maske oder eine Videoaufzeichnung.
• Erkennung von Einschleusungsangriffen, um zu verhindern, dass Deepfakes und synthetische Medien die Kamera vollständig umgehen

Dies ist der Schritt, bei dem die meisten Betrugsversuche bei schwachen Kontrollmechanismen erfolgreich sind. Statische Dokumentenprüfungen allein können die physische Anwesenheit nicht beweisen; nur biometrische Daten können die physische Anwesenheit nachweisen. Gesichtsverifizierung Mit robuster Live-Funktionalität lässt sich diese Lücke aus der Ferne schließen.

Schritt 4: Sanktionen, PEP und Screening negativer Medien

Überprüfen Sie die verifizierte Identität anhand folgender Kriterien:

• Globale Sanktionslisten, OFAC, UN, EU, HMT/OFSI und andere
• Politisch exponierte Personen (PEP) Datenbanken, einschließlich enger Mitarbeiter und Familienmitglieder
• Negative Medien, jüngste negative Berichterstattung, die auf ein Reputations- oder Geldwäscherisiko hindeutet

Schritt 5: Risikoklassifizierung

Weisen Sie dem Kunden anhand seines Profils, seines Standorts, seines Produkts und etwaiger im Screening festgestellter Auffälligkeiten eine Risikostufe zu – vereinfacht, standardmäßig oder erweitert. Die Risikostufe bestimmt den Umfang der Sorgfaltsprüfung und die Häufigkeit der laufenden Überwachung.

Der AML-Compliance-Lebenszyklus

KYC öffnet die Tür. AML überwacht den Rest.

Onboarding-Phase – KYC und erste CDD-Prüfung

Identität feststellen, Dokumente überprüfen, Abgleich mit WatchlistsRisiken müssen klassifiziert und die Gründe dafür dokumentiert werden. Die Aufsichtsbehörden erwarten eine lückenlose Dokumentation, aus der hervorgeht, warum jeder Kunde die jeweilige Risikobewertung erhalten hat.

Laufende Überwachung

• Transaktionsüberwachung, Regeln und verhaltensbasierte Warnmeldungen bei Mustern, die nicht dem erwarteten Kundenprofil entsprechen
• Sanktionsüberprüfung Die Aktualisierung erfolgt fortlaufend, da die Sanktionslisten mehrmals pro Woche aktualisiert werden.
• PEP- und negative Medienbeobachtung, um Statusänderungen nach dem Onboarding zu erfassen
• Regelmäßige Aktualisierung der KYC-Daten, typischerweise alle 12 Monate für Kunden mit hohem Risiko, alle 24–36 Monate für Kunden mit Standardrisiko.

Untersuchung und Berichterstattung

• Alarmpriorisierung: Analysten prüfen und bearbeiten jeden Alarm.
• Erweiterte Due Diligence (EDD) – Eskalierte Ermittlungen wegen risikoreicher Beziehungen
• Verdachtsmeldungen (SARs) – werden bei der zuständigen Finanzermittlungsstelle eingereicht, wenn hinreichende Gründe vorliegen

Unternehmensführung und Prüfung

• Schriftliche AML-Richtlinien und -Verfahren
• Vorgesehen MLRO oder AML-Beauftragter
• Unabhängige Prüfungen oder Audits in festgelegten Abständen
• Jährliche Mitarbeiterschulungen, gegebenenfalls mit rollenspezifischen Modulen
• Aufbewahrungsfrist für Aufzeichnungen gemäß den gesetzlichen Bestimmungen

Kundensorgfaltspflicht: SDD, CDD und EDD erklärt

Risikobasiertes KYC bedeutet, den Umfang der Sorgfaltsprüfung an das vom Kunden ausgehende Risiko anzupassen.

Vereinfachte Due Diligence (SDD) – Wird nur angewendet, wenn das Risiko nachweislich gering ist und die Aufsichtsbehörde dies zulässt, typischerweise für Produkte mit geringem Wert und niedrigem Risiko sowie strengen Zulassungskriterien. SDD ist die Ausnahme, nicht die Regel.

Standardmäßige Kundensorgfaltspflicht (CDD) – die Standardeinstellung für die meisten Einzelhandelskunden. Identifizieren und verifizieren Sie den Kunden, verstehen Sie den Zweck der Geschäftsbeziehung und wenden Sie eine grundlegende Transaktionsüberwachung an.

Erweiterte Due Diligence (EDD) ist obligatorisch für:

• Politisch exponierte Personen (PEP) und ihre engen Vertrauten
• Kunden aus von der FATF als Hochrisikogebiete eingestuften Ländern
• Kunden mit komplexen Eigentümerstrukturen oder ungewöhnlichen Aktivitätsmustern
• Jeder Kunde, dessen Profil oder Verhalten Anlass zur Sorge gibt

EDD erfordert eingehendere Untersuchungen der Herkunft der Mittel und die Herkunft des Vermögens, häufigere erneute Überprüfungen und die Zustimmung des Top-Managements, bevor die Geschäftsbeziehung fortgesetzt wird.

Wer benötigt KYC- und AML-Compliance?

Die KYC- und AML-Pflichten gelten für die verpflichteten Unternehmen, also die in den AML-Gesetzen Ihrer Gerichtsbarkeit definierten Kategorien. Die Liste hat sich im letzten Jahrzehnt, insbesondere für digitale Unternehmen, deutlich erweitert.

Zu den typischen Verpflichteten gehören unter anderem folgende:

• Banken und Kreditgenossenschaften – überall vollständig abgedeckt
• Zahlungsdienstleister und E-Geld-Institute – die in der EU unter PSD2/AML fallen und Gelddienstleistungsgeschäft Regeln in den USA
• Kryptowährungsbörsen und VASPs fallen nun unter die aktualisierten FATF-Richtlinien für virtuelle Vermögenswerte, und die meisten nationalen Gesetze
• Broker-Dealer, Investmentfirmen und Vermögensverwalter
• Versicherungsgesellschaften für Lebens- und bestimmte Nichtlebensprodukte
• Immobilienunternehmen, deren Transaktionen die festgelegten Schwellenwerte überschreiten
• Anwaltskanzleien und Wirtschaftsprüfer, die Mandantengelder oder bestimmte Transaktionen verwalten.
• Glücksspiel- und Spielbanken, die bestimmte Schwellenwerte überschreiten
• Kunsthändler und Händler hochwertiger Güter in vielen Rechtsordnungen

Wenn Sie sich nicht sicher sind, ob Ihr Unternehmen in den Anwendungsbereich fällt, sind die Richtlinien Ihrer nationalen Regulierungsbehörde die maßgebliche Quelle, nicht die Blogs der Anbieter.

Die Kosten, wenn man es falsch macht

Weltweit beliefen sich die finanziellen Strafen für Verstöße gegen die Vorschriften zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung (AML), zur Identifizierung von Kunden (KYC), gegen Sanktionen und zur Sorgfaltspflicht gegenüber Kunden (CDD) im Jahr 2024 auf 4.6 Milliarden US-Dollar, wobei Nordamerika den überwiegenden Anteil ausmachte. Ein einzelnes Institut, die TD Bank, wurde mit einer Geldstrafe belegt. 3 Milliarden Dollar nachdem die Aufsichtsbehörden systematische Mängel bei der Bekämpfung der Geldwäsche festgestellt hatten, die jahrelang unentdeckt geblieben waren.

Das Muster der letzten zehn Jahre ist eindeutig: Die Aufsichtsbehörden verhängen immer häufiger höhere Geldstrafen und machen immer häufiger hochrangige Einzelpersonen persönlich verantwortlich, anstatt nur die Institution zu bestrafen.

Die Kosten mangelhafter Kontrollen gehen über Geldstrafen hinaus:

• Sanierungskosten, Bearbeitungsrückstände bei der Aktenprüfung, Beauftragung von Beratern, Systemneuaufbauten
• Betriebsbeschränkungen, Genehmigungsanordnungen, Geschäftsbeschränkungen, Wachstumsobergrenzen
• Reputationsschaden, Finanzierungsdruck, Kundenabwanderung, Rückzug von Partnern
• Persönliche Haftung, Geldwäschebeauftragte, Compliance-Beauftragteund Vorstandsmitglieder sehen sich direkten Durchsetzungsmaßnahmen gegenüber.

Ein funktionierendes KYC/AML-Programm ist kein Kostenfaktor. Es ist die Voraussetzung für die Tätigkeit in einem regulierten Markt.

KYC und AML im Zeitalter KI-generierten Betrugs

Die Bedrohungslandschaft hat sich seit der Entwicklung der meisten AML-Programme grundlegend verändert. Drei Entwicklungen prägen die Funktionsweise der KYC- und AML-Kontrollen:

1. Synthetischer Identitätsbetrug. Gefälschte Identitäten, die aus einer Mischung echter und gefälschter Datenpunkte zusammengesetzt sind, bestehen Dokumentenprüfungen und Kreditprüfungen, weil kein einzelnes Element „falsch“ ist. Verteidigung gegen synthetische Identitäten erfordert Identitätsbindung durch Lebendigkeit sowie Signalkorrelation über verschiedene Datenebenen hinweg.
2. Deepfakes und Injection-Angriffe. Generative KI kann überzeugende Gesichter, Stimmen und Dokumentenfälschungen nahezu ohne zusätzliche Kosten erzeugen. 2024 veröffentlichte FinCEN eine wegweisende Warnung vor Deepfake-Betrug, der Finanzinstitute ins Visier nimmt – ein klares Signal der Aufsichtsbehörden, dass diese Bedrohung mittlerweile weit verbreitet ist. Lebendigkeitsprüfungen, die vor 2022 entwickelt wurden, versagen häufig bei modernen Deepfake-Angriffen.
3. Dokumentieren Sie Deepfakes. Synthetische Ausweisdokumente, die generiert und nicht physisch gefälscht werden, entgehen zunehmend der vorlagenbasierten Dokumentenprüfung. Ihre Erkennung erfordert nun eine forensische Analyse auf Pixelebene, die auf generative Artefakte abgestimmt ist.

Wie unterstützt Shufti die Einhaltung der KYC- und AML-Vorschriften?

Shufti bietet den kompletten KYC/AML-Stack auf einer einzigen Plattform:

• Identitäts VerifikationDokumentenprüfung, Gesichtserkennung mit Lebenderkennung, Adressverifizierung und elektronische Identitätsprüfung in über 240 Ländern und Gebieten
• KYC, KYB, KYI umfassen Privatpersonen, Unternehmen und Investoren.
• AML-Screening und Geldwäscheprävention im Geschäftsverkehr – Sanktionen, PEPs, Watchlists, laufende Überwachung
• Transaktionsprüfung – Sanktions- und Risikoprüfungen auf Zahlungsebene
• Negative Medienfilterung – kontinuierliche Überwachung negativer Nachrichten
• Multi-Faktor-AuthentifizierungVerhaltensbiometrie und Geräte-Fingerprinting zur fortlaufenden Authentifizierung auch jenseits der Haustür
• Blind Spot Audit – oberflächlicher Betrug, der Ihre bestehenden Verifizierungsmechanismen bereits durchlaufen hat, einschließlich Deepfakes, Replay-Angriffen und synthetischen Dokumenten

Dies bedeutet, dass eine einzige Integration Verpflichtungen abdeckt, für die normalerweise drei bis fünf separate Anbieter benötigt werden, einschließlich der Integration von IDV. AML-Screening, Transaktionsüberwachung und fortlaufende Authentifizierung, mit einem einzigen Prüfprotokoll und einem einzigen Vertrag.

Möchten Sie sehen, wie ein einheitlicher KYC- und AML-Stack in der Produktion aussieht? Demo anfordern.