KYC/KYB unter AMLR & RTS: Was sich für Banken und PSPs wirklich ändert

Sebastian Glaab und Camillo Werdich über die neuen KYC-Anforderungen im EU-AML-Paket.

Im EU-AML-Paket wird ein Bereich plötzlich zum Dreh- und Angelpunkt: KYC – Know your Customer bzw. KYB – Know Your Business. In der neuen Folge von „Alles Legal – FinTech-Recht kompakt“ spricht Dana Wondra erneut mit Sebastian Glaab (Annerton) und Dr. Camillo Werdich (Sinpex) darüber, warum sich das Verständnis von KYC/KYB grundlegend verschiebt: weg vom einmaligen Onboarding-Schritt, hin zu einem laufenden, risikobasierten Prozess.

Denn auch wenn es banal klingt: Geldwäscheprävention steht und fällt damit, ob Unternehmen wirklich wissen, mit wem sie Geschäfte machen. Und genau hier setzt das neue Regelwerk an: mehr Datenpunkte, strengere Erwartungen an Nachvollziehbarkeit und ein deutlich höherer Anspruch an Steuerung und Verantwortlichkeit.

Sebastian Glaab räumt gleich zu Beginn mit einem verbreiteten Missverständnis auf: KYC war eigentlich schon immer als fortlaufender Prozess gedacht. Wer sich nur alle paar Jahre im Rahmen fester Review-Zyklen den Kunden anschaut und ansonsten „die Augen verschließt“, handelt weder zeitgemäß noch risikogerecht.

Neu ist aber, wie stark die AML-Verordnung und die Regulatory Technical Standards (RTS) dieses Verständnis konkretisieren und wie sehr sie das Thema in die Breite ziehen. Identität, wirtschaftliche Eigentümerstrukturen, auftretende Personen, Sanktionsbezug, Datenpflege, Aktualisierung, Dokumentation – das sind nicht mehr nur Punkte in der Compliance-Checkliste, das wird Prozesslogik.

Mehr Daten, mehr Tiefe – und weniger Spielraum

Camillo Werdich bringt den Praxisblick mit ein: Viele Systeme sind schlicht nicht dafür gebaut, KYC/KYB als Dauerprozess sauber abzubilden. Noch immer laufen Datenflüsse teilweise manuell, im schlimmsten Fall per Excel, SharePoint und „irgendwo liegt der Handelsregisterauszug“. Genau das wird unter dem neuen Regime zum Risiko – nicht nur, weil Daten fehlen, sondern weil nicht mehr nachvollziehbar ist, wo sie herkommen, wie aktuell sie sind und wie Entscheidungen daraus abgeleitet wurden.

Besonders anspruchsvoll werden laut beiden Gästen die Themen Datenqualität und „Defensibility“, also die Fähigkeit, bei einer Prüfung nicht nur ein Ergebnis zu liefern, sondern auch belegen zu können, wie man zu diesem Ergebnis gekommen ist, inklusive der Dokumentenbasis, der Prozessschritte und des Audit-Trails.

Ein konkreter Punkt, der im Gespräch hängen bleibt: Künftig müssen Nationalitäten umfassender erhoben werden. Das klingt nach einem kleinen Detail, löst aber in der Praxis große Fragen aus, vor allem bei Bestandskunden. Viele Unternehmen werden nicht drumherumkommen, ihre Stammdaten aktiv nachzuziehen und Kunden erneut anzusprechen. Und genau solche „kleinen“ neuen Datenfelder summieren sich zu einem großen Transformationsprojekt.

Technologie hilft – Verantwortung bleibt trotzdem im Haus

Ein weiteres zentrales Thema der Folge: externe Dienstleister. Denn viele Unternehmen arbeiten bei Identifizierungs- und Prüfprozessen mit Third Parties. Das neue Regime schränkt diese Welt teilweise ein und macht vor allem eines klar: Verantwortung lässt sich nicht outsourcen.

Camillo Werdich beschreibt das sehr deutlich aus Anbieterperspektive: Technologie kann Prozesse massiv beschleunigen und Teams entlasten, aber sie nimmt keine Entscheidung ab. Der Mensch bleibt Entscheider und das ist auch regulatorisch gewollt. Wer glaubt, man könne „Risiko einkaufen und Verantwortung abgeben“, hat das Einmaleins nicht verstanden – da sind sich beide Gäste einig.

Was jetzt zu tun ist: ehrliche Gap-Analyse statt Flickenteppich

Zum Abschluss wird es praktisch: Beide empfehlen als ersten realistischen Schritt eine ehrliche Gap-Analyse. Wo stehen die KYC-Prozesse heute? Welche Daten werden erhoben? Wo gibt es Medienbrüche? Was läuft manuell? Welche Nachweise fehlen? Wie weit ist man davon entfernt, unter AMLR/RTS auditierbar, nachvollziehbar und risikogerecht aufgestellt zu sein?

Denn klar ist: Wer KYC weiterhin als einmaliges Onboarding versteht, wird im neuen EU-AML-Regime nicht einfach „ein bisschen nachjustieren“ können. Es geht um Prozessarchitektur, Datenhaushalt und um Governance.

Jetzt reinhören – überall, wo es Podcasts gibt.