KnowYour Customer (KYC) galt lange als Kostenfalle: teuer, aufwändig, regulatorisch erzwungen. Das neue EU-AML-Paket zwingt Banken zu einer Neubewertung und eröffnet zugleich eine Chance. Wer KYC konsequent digitalisiert, kann aus Compliance einen Wettbewerbsvorteil machen.
Mit dem EU-AML-Paket verfolgt die Europäische Union das Ziel, Geldwäsche und Terrorismus-Finanzierung zu bekämpfen, bestehende Lücken zu schließen, die Aufsicht zu stärken und erstmals einen harmonisierten europäischen Rahmen zu schaffen. Herzstück des Pakets ist die "Anti-Money Laundering and Counteringthe Financing of Terrorism Regulation" (AMLR). Ergänzend dazu gibt die sechste Geldwäscherichtlinie (AMLD6) den Rahmen für die nationale Umsetzung vor und definiert, wie die Aufsicht, die Zusammenarbeit der Behörden und die organisatorischen Zuständigkeiten in den Mitgliedstaaten ausgestaltet werden sollen.
Ein weiterer wesentlicher Baustein ist die europäische Geldwäscheaufsicht AMLA. Sie wird derzeit in Frankfurt am Main aufgebaut und wird ab dem 1. Januar 2028 die direkte Aufsicht über bis zu 40 besonders risikoreiche Institute übernehmen. Diese Kerninstrumente werden durch weitere Rechtsakte zu Meldepflichten, Registerzugängen und technischen Standards flankiert.
Die AMLR ist bereits seit Mitte 2024 in Kraft, verpflichtend anwendbar ist sie aber erst ab 10. Juli 2027. Bis dahin müssen auch die Vorgaben der AMLD6 in nationales Recht überführt werden. In Kombination mit der AMLA und begleitenden Regelungen ergibt sich daraus ein enger Handlungsrahmen, der Finanzinstituten neue Verbindlichkeiten auferlegt.
Besonders sichtbar wird dies bei der Ermittlung wirtschaftlich Berechtigter (Ultimate BeneficialOwners, UBOs): Bei Hochrisikokonstellationen, beispielsweise bei Unternehmen mit Bezug zur Rüstungsindustrie, kann die UBO-Schwelle abgesenkt werden, also der Anteil, ab dem eine Person als wirtschaftlich berechtigt gilt. Und zwar auf bis zu 15 Prozent, während sie regulär bei mindestens 25 Prozent liegt.
Gleichzeitig wird die Definition der UBO erweitert. Neben Kapital- und Stimmrechtsanteilen werden künftig auch beherrschende Einflüsse wie Sonderrechte aus Gesellschafterverträgen, Zahlungsflüsse oder andere Formen faktischer Kontrolle stärker gewichtet. Dies erhöht die Komplexität und erfordert neue Modellierungslogiken. Zusätzlich rücken politisch exponierte Personen (PEPs) und diesen nahestehende Personen stärker in den Fokus der Risikobewertung.
Aufgrund dieser Veränderungen müssen Banken Eigentümer- und Kontrollstrukturen deutlich granularer erfassen und bewerten. Durch die regelmäßigen, risikobasierten Überprüfungen wächst auch das Datenvolumen erheblich, und KYC entwickelt sich zu einem kontinuierlichen Prozess, der drei Herausforderungen kombiniert: regulatorische Risiken minimieren, operative Komplexität beherrschen und zugleich das Kundenerlebnis sichern.
Digitalisierung wird zur Voraussetzung für erfolgreiches KYC
Diese Komplexität ist manuell nicht mehr beherrschbar. Nur wer durchgängig automatisiert arbeitet – von der Identifikation über die Dokumentenprüfung bis hin zum Monitoring – kann regulatorische Vorgaben effizient und revisionssicher erfüllen. Das bedeutet: Digitalisierung ist keine Option mehr, sondern eine Voraussetzung.
Vier Kernbausteine bilden die technische Grundlage dafür:
- Registeranbindungen an Transparenz-, Handels-, Unternehmens- und Sanktionsregister sowie PEP-Listen – für automatisierten Datenbezug.
- Regelbasierte Workflows, die Prüfschritte dynamisch steuern und standardisieren und eine revisionssichere Auditierbarkeit sicherstellen.
- Graphdatenbanken, die komplexe Eigentums- und Kontrollstrukturen effizient abbilden, analysieren und visualisieren – besser als relationale Systeme bzw. klassische Datenbanken. Graphdatenbanken modellieren Akteure und Beziehungen als Knoten und Kanten und eignen sich besonders für mehrstufige Beteiligungsketten, Konzernstrukturen oder transnationale Netzwerke und damit für die algorithmische Identifikation versteckter Einflusscluster.
- Entity-Matching, um interne und externe Datenquellen abzugleichen und Dubletten, Fehler oder Widersprüche zu eliminieren.
Als Konsequenz der verdichteten Überwachungsanforderungen des EU-AML-Pakets zeichnet sich ein kontinuierliches "Perpetual KYC"-Monitoring als praktikabler Ansatz ab. Dies ist in der AMLR zwar nicht vorgeschrieben. Doch wenn Institute ohnehin relevante Veränderungen in Echtzeit erkennen und bewerten, ist der Übergang von anlassbezogenen zu fortlaufenden Prüfungen der logische nächste Schritt – und birgt darüber hinaus geschäftsstrategisches Potenzial.
Eine hohe und belastbare Datenqualität ist in diesem Prozess von entscheidender Bedeutung. Nur eindeutige Identifikatoren, wie der international gültige Legal Entity Identifier (LEI) oder Handelsregisternummern, ermöglichen konsistentes Matching und vermeiden "False Positives", also Fehlalarme. Gleichzeitig müssen zusätzliche Attribute wie UBO-relevante Einflussgrößen oder PEP-Beziehungen korrekt und standardisiert modelliert werden. Das Problem: Noch fehlen europaweit einheitliche Schnittstellen zu Registern. Kurzfristig helfen hybride Modelle und Kooperationen mit externen Datenanbietern, langfristig sind jedoch verbindliche technische Standards erforderlich.
Organisation, Kultur und Zusammenarbeit müssen sich ändern
Die digitale KYC-Transformation erfordert auch einen organisatorischen und kulturellen Wandel. Noch immer arbeiten viele Institute nach dem Wasserfallmodell mit den bekannten Folgen: divergierende Prioritäten, lange Durchlaufzeiten und uneinheitliche Interpretationen der Anforderungen. Zunächst definiert die Compliance-Abteilung die Vorgaben, dann setzt die IT diese um und schließlich erfolgt die Prüfung durch die Fachbereiche. Zeitgemäß ist das nicht mehr. Die eigentlichen Engpässe entstehen weniger bei der Auslegung der Regelwerke als vielmehr bei der internen Koordination: Anforderungen müssen gleichzeitig in Prozesse, Datenmodelle und Systeme übersetzt werden – und das über Bereichsgrenzen hinweg. Das RACI-Prinzip schafft hierbei die notwendige Klarheit. Es steht für Responsible (wer führt aus), Accountable (wer trägt Gesamtverantwortung), Consulted (wer wird eingebunden) und Informed (wer wird informiert).
Durch diese interdisziplinäre Zusammenarbeit sind von Anfang an die Bereiche Compliance, IT, Markt, Risiko und das Data Office einbezogen, um rechtliche Anforderungen frühzeitig in technische Parameter zu übersetzen. Ein Beispiel hierfür ist die maschinenlesbare Abbildung und automatisierte Bewertung des Geschäftszwecks eines Kunden über Wirtschaftszweigschlüssel. Ebenso wichtig ist eine klare Governance. Während Compliance Regeln und Risiken definiert, ist die IT für Skalierbarkeit und Nachvollziehbarkeit verantwortlich. Das Datenmanagement überwacht die Qualität und Konsistenz der Daten, während die Fachbereiche das Kundenerlebnis und die operativen Abläufe ausbalancieren.
Dafür werden Banken zumindest teilweise mit FinTechs zusammenarbeiten müssen und API-basierte Lösungen nutzen. Die Möglichkeiten externer Dienstleister bleiben jedoch begrenzt. Sie haben beispielsweise keinen Zugriff auf vertrauliche Unterlagen wie Stiftungsurkunden, Gesellschafterverträge oder interne Korrespondenzen. FinTechs können daher zwar Teilprozesse wie Identitätsprüfung, Datenanreicherung oder Screening standardisieren, jedoch nicht den gesamten KYC-Prozess ersetzen.
Langfristig kann generative KI bei der Dokumentenanalyse und bei Abfragen in natürlicher Sprache unterstützen. Ein weiterer Use-Case könnte sein: Erläuterung in natürlicher Sprache, wie ein automatisch durchgelaufener Prüfalgorithmus zu einem Ergebnis gekommen ist. Voraussetzung hierfür ist jedoch ein rechtlicher Rahmen, der Erklärbarkeit und menschliche Kontrolle garantiert. Dies erfordert einen Kulturwandel in den Banken – und Vertrauen in Daten, Systeme und neue Abläufe. Ebenso wichtig ist die Fähigkeit, Spannungsfelder auszuhalten, beispielsweise zwischen Prüftiefe und Tempo oder zwischen Regeltreue und Kundenorientierung.
Vom Pain zum Gain: KYC als strategischer Mehrwert
Doch wer Compliance-Daten strukturiert erhebt, intelligent verknüpft und unternehmensweit nutzt, schafft Werte, die weit über die reine Regelerfüllung hinausgehen. Dazu gehört auch eine deutlich bessere Risikofrüherkennung – sowohl für das Institut als auch für den Kunden. Durch die Kombination von KYC-, Transaktions- und ESG-Daten werden Risikoindikatoren präziser, Fraud-Muster schneller erkannt und interne Eskalationen früher angestoßen. Gleichzeitig lassen sich Kunden proaktiv auf mögliche Unregelmäßigkeiten hinweisen – etwa auf Auffälligkeiten bei Tochtergesellschaften oder Geschäftspartnern. Institute reagieren damit schneller und stärken gleichzeitig die Stabilität ihrer Kundenbeziehungen.
Darüber hinaus eröffnen sich neue Geschäftsperspektiven, wenn strukturierte KYC-Daten in ein modernes Datenökosystem integriert sind. Dieses ermöglicht Lieferkettenanalysen, ESG-Monitoring und die Identifikation von Cross-Selling-Möglichkeiten. Ein Beispiel: Aus der Umfeldanalyse zu einer Tochtergesellschaft lassen sich frühzeitig Hinweise auf veränderte Geschäftszwecke, neue Marktaktivitäten oder wachsende Risiken ableiten – wertvolle Informationen für Beratung, Risikosteuerung und Geschäftsentwicklung. Je besser eine Bank ihre Kunden kennt, desto gezielter kann sie diese beraten und einen Mehrwert schaffen. Zudem wird die operative Effizienz gesteigert. Durch den "Once-and-Done"-Ansatz, bei dem Daten einmal erhoben und mehrfach genutzt werden, werden die Zeiten für das Onboarding verkürzt, Nachfragen reduziert und das Kundenerlebnis spürbar verbessert. So entwickelt sich KYC vom regulatorischen Pain Point zum strategischen Gain Point.
Fazit: Pflicht, Prozess, Potenzial
Mit dem neuen EU-AML-Paket müssen Banken ihre KYC-Prozesse und -Infrastruktur grundlegend neu denken. Drei Erkenntnisse:
- Ohne Digitalisierung kein effizientes KYC. Nur Automatisierung beherrscht Fristen, Prüftiefe und Datenmengen.
- Ohne Zusammenarbeit keine Nachhaltigkeit. Technologie, Organisation und Kultur müssen ineinandergreifen.
- Ohne Perspektivwechsel gibt es keinen Mehrwert. Wer KYC als strategische Datenquelle begreift, reduziert Risiken und baut Vertrauen auf.
Für Banken ist das mehr als eine regulatorische Zäsur. Jetzt kommt es darauf an, KYC so weiterzuentwickeln, dass es Stabilität, Transparenz und verlässliche Compliance bietet und gleichzeitig deutlich besser skalieren kann, weil die Anforderungen wachsen, ohne dass die verfügbaren Ressourcen im gleichen Umfang zunehmen.
Autoren:
Matthias Krüger ist Head of Client Lifecycle Management – Process Management & Digitalization bei der DZ BANK AG. In dieser Funktion steuert er mit seinem Team die Digitalisierung zentraler Geschäftsprozesse im KYC-Kontext und unterstützt die digitale Transformation der Bank. Mit einem daten- und prozessorientierten Ansatz erzielte er wesentliche Verbesserungen im Onboarding und KYC-Review, u.a. durch die Einführung der digitalen Plattform "GPdirekt".
Björn Böx ist Manager bei Cofinpro und berät Banken und Kapitalverwaltungsgesellschaften mit Fokus auf Wertpapierprozesse sowie Anti Financial Crime / KYC. Er verfügt über langjährige Erfahrung in der Finanzbranche und war in vielfältigen Projektumfeldern tätig. Insbesondere begleitete er die Einführung neuer Product Governance Prozesse sowie die Weiterentwicklung moderner, vertriebsnaher Wertpapierplattformen.
