Know Your Customer (KYC)

Was ist KYC?

Unter KYC versteht man die Überprüfung, ob ein Kunde derjenige ist, für den er sich ausgibt, und ob ein Finanzunternehmen in der Lage ist, mit diesem Kunden legal Geschäfte zu tätigen. Die Wurzeln von KYC liegen in der Gesetzgebung, die die Anforderungen an Finanzunternehmen zum Schutz vor Geldwäsche und Terrorismusfinanzierung festlegt. Dazu gehören u. a. der USA Patriot Act und die europäische Anti-Money Laundering Directive.

Die KYC-Verfahren müssen ab dem Beginn jeder Geschäftsbeziehung befolgt werden. Dazu gehört die Überprüfung der Identität des Kunden im Rahmen eines Kundenidentifizierungsprogramms (CIP). Im Falle von Unternehmen umfasst dies auch die Identifizierung der Eigentumsverhältnisse und des wirtschaftlich Berechtigten (UBO) der Organisation. Kunden, Organisationen oder UBOs dürfen nicht auf Sanktionslisten stehen. Weitere Schritte sind die Identifizierung der Geschäftstätigkeit des Kunden, die Überprüfung einer legitimen Finanzierungsquelle und die Bewertung des Geldwäscherisikos. Alle diese Schritte sind Teil der wirtschaftlichen Sorgfaltspflicht.

Dieser Prozess endet nicht mit dem Onboarding des Kunden, sondern ist fortlaufend. Je nach Risikoprofil muss der Kunde regelmäßig überprüft werden, wobei Kunden mit höherem Risiko häufiger überprüft werden müssen.

Für wen gilt KYC?

Generell gilt KYC für Finanz- und Kreditinstitute, wobei diese Definition weit gefasst ist. So schreibt die EU beispielsweise eine Obergrenze von 50 EUR für den Wert von anonymen Prepaid-Karten vor, die verkauft werden dürfen. Damit soll verhindert werden, dass diese Karten für illegale Zwecke missbraucht werden.

Die Gesetzgebung zu KYC unterscheidet sich von Land zu Land. Zwei der wichtigsten Gesetze sind der USA Patriot Act und die Anti-Geldwäsche-Richtlinie der EU.

Die Anti-Geldwäsche-Richtlinie der EU bezieht sich auf "verpflichtete Unternehmen", die KYC durchführen müssen. Dazu gehören Versicherungsgesellschaften, Wertpapierfirmen, Kreditinstitute und Finanzdienstleister. Mit der jüngsten Aktualisierung der Richtlinie, der Anti-Geldwäsche-Richtlinie 5, wurden auch Wallet-Anbieter und Krypto-Unternehmen in die Liste der Verpflichteten aufgenommen.

In den USA gilt der Patriot Act für Banken und Finanzinstitute, einschließlich solcher mit Sitz in anderen Ländern, die Korrespondenzbanken bei Banken und Finanzinstituten in den USA unterhalten.

Wie sieht KYC in der Praxis für Zahlungsanbieter aus?

Beim Onboarding von Händlern müssen die Zahlungsdienstleister Informationen über diesen sammeln. Die Informationen werden im Anschluss verwendet, um die Identität des Merchants zu überprüfen, z. B. anhand von staatlichen und branchenspezifischen Datenbanken.

Der Anbieter muss nicht nur die Identität des Händlers feststellen, sondern auch sicherstellen, dass dieser nicht auf einer Sanktions- oder Überwachungsliste steht. Dazu gehören Listen wie die MATCH-Liste (Member Alert to Control High Risk Merchants) von Mastercard, eine Sammlung von Merchants, die von anderen Zahlungsanbietern gesperrt wurden.

Was ist eKYC?

eKYC steht für "elektronische KYC". Es bezieht sich auf den Prozess der Nutzung des Internets oder anderer digitaler Mittel, um die Identität eines Kunden zu überprüfen. Erforderliche Dokumente können digital eingereicht und die Identität einer Person mit einer Vielzahl von Methoden festgestellt werden. Dazu gehören die Video- oder Fotoüberprüfung in Verbindung mit einem physischen Ausweis oder die rein elektronische Überprüfung mit elektronischen Signaturen.

Partner	Name	Beschreibung	Dauer
IXOPAY GmbH	cookiesConsent	Cookie Banner. Speichert Ihre Cookie Einstellungen.	12 Monate
IXOPAY GmbH	_fm	Nutzerorientierter Sicherheitscookie, um Authentifizierungsmissbrauch zu erkennen. Filtert Websiteaufrufe aus, die durch Computer (Bots) erzeugt wurden.	30 Minuten
Google Ireland Limited	reCAPTCHA	Nutzerorientierter Sicherheitscookie, um zu prüfen, ob Eingaben in unsere Kontakt- und Newsletterformulare durch einen Menschen oder missbräuchlich computergeneriert erfolgen.	6 Monate
Cloudflare Inc.	cf_clearance	Wird von Cloudflare (Website-Sicherheitsnetzwerk) verwendet, um vertrauenswürdigen Webverkehr zu identifizieren und unsere Website vor bösartigen Aktivitäten zu schützen (siehe Cloudflares Cookie Informationen).	30 Minuten

Partner	Name	Beschreibung	Dauer
Google Ireland Limited	_ga	Analyse-Cookie des Services Google Analytics zur Unterscheidung von Besuchern. Erfasst Daten über die Anzahl der Besuche und die User Journey.	2 Jahre
Google Ireland Limited	_gid	Analyse-Cookie des Services Google Analytics zur Unterscheidung von Besuchern. Erfasst Daten über die Anzahl der Besuche und die User Journey.	24 h
Google Ireland Limited	_gat_ua-keynumber	Analyse-Cookie des Services Google Analytics zur Drosselung der Request Rate (Anfragerate) auf Websites mit starker Auslastung.	Sitzung
Google Ireland Limited	_ga_container-id	Cookie des Services Google Analytics 4. Dieses Cookie wird verwendet, um den Sitzungsstatus zu erhalten.	12 Monate
Microsoft Ireland Operations Limited	Clarity	Analyse-Service, der Ihre Interaktionen auf der Website erfasst, zB wie die Website gerendert wurde und welche Interaktionen Sie auf der Website hatten (Surfverhalten: Mausbewegungen, Klicks, Scrollverhalten). Microsoft erhebt oder erhält personenbezogene Daten von uns für Microsoft Werbezwecke (siehe Microsoft Privacy Statements). Vertrauliche Inhalte wie Passwörter, Usernamen und Nutzereingaben werden vor der Übermittlung an Microsoft durch Platzhalter ersetzt.	12 Monate
Dealfront Group GmbH	_lfa	Analyse-Service, der die IP Adresse erhebt, um Besuche von Unternehmen und deren Standort zu erfassen. Dealfront filtert automatisch alle Besucher mit einer auf einen Wohnsitz bezogenen IP Adresse aus, und erfasst somit nur unternehmerische Besuche. Erhobene Daten werden auf Unternehmensebene aggregiert (kein Personenbezug). Über eine Verbindung zu Google Analytics zeigt uns Dealfront die Website-Interaktionen der Besuche von Unternehmen an (besuchte Seiten, Quelle des Besuchers, Dauer der Session). Dealfront reichert diese Firmeninformationen mit aus öffentlichen Quellen (bspw LinkedIn) abrufbaren Kontaktdaten natürlicher Personen an.	24 Monate

Partner	Name	Beschreibung	Dauer
Google Ireland Limited	_gcl_au	Conversion-Cookie des Services Google Ads, um die Wirksamkeit von Werbung auf unseren Websites und auf Webseiten unserer Marketing- & Werbepartner zu evaluieren.	3 Monate
Google Ireland Limited	_gac_gb_container-id	Cookie zur Verknüpfung von Google Analytics und Google Ads. Dieses Cookie wird von den Website-Conversion-Tags von Google Ads ausgelesen.	90 Tage
Microsoft Ireland Operations Limited	Universal Event Tracking (UET)	Conversion-Cookie des Services Microsoft Advertising, um die Wirksamkeit von Werbung auf unseren Websites und auf Webseiten unserer Marketing- & Werbepartner zu evaluieren. Grundsätzlich werden der Cookie der entsprechenden Domain und Ihre IP Adresse nicht nur über den UET, sondern mit jeder Anfrage (http request) an Microsoft weitergegeben.	13 Monate

Glossar

Know Your Customer (KYC)