Wissen
KYC – einfach erklärt
Aktualisiert 12. Juni 2026
KYC ist ein regulatorisch vorgeschriebener Prozess, bei dem Finanzdienstleister und Krypto-Plattformen die Identität ihrer Kunden vor der Aufnahme einer Geschäftsbeziehung überprüfen und deren Risikoprofil einschätzen.
Was ist KYC? Definition und Herkunft
KYC steht für „Know Your Customer" – zu Deutsch: „Kenne deinen Kunden". Der Begriff beschreibt die Gesamtheit aller Maßnahmen, die ein reguliertes Unternehmen ergreift, um sicherzustellen, dass es weiß, mit wem es eine Geschäftsbeziehung eingeht.
Entstanden ist das Konzept im traditionellen Finanzwesen. Banken, Versicherungen und Wertpapierhändler unterliegen seit Jahrzehnten der gesetzlichen Pflicht, Kundendaten zu erheben und zu verifizieren – zunächst vor allem um Geldwäsche und Terrorismusfinanzierung zu verhindern. Internationale Organisationen wie die Financial Action Task Force (FATF) haben KYC-Standards in Empfehlungen gegossen, die von Mitgliedsstaaten in nationales Recht umgesetzt werden. In den USA setzt die Financial Crimes Enforcement Network (FinCEN) entsprechende Anforderungen durch.
In der Kryptowelt wurde KYC lange als Fremdkörper wahrgenommen. Das Pseudonymus-Prinzip der Blockchain schien mit Identitätsprüfungen zu kollidieren. Doch je stärker Kryptowährungen in regulierte Finanzmärkte einbinden, desto klarer wurde: Plattformen, die Krypto-Dienstleistungen erbringen, unterliegen denselben Sorgfaltspflichten wie klassische Finanzinstitute. KYC ist heute für einen Großteil der Krypto-Börsen und verwandter Dienste keine Kür, sondern gesetzliche Pflicht.
Wie funktioniert der KYC-Prozess?
Der KYC-Prozess ist kein einzelner Schritt, sondern eine strukturierte Abfolge von Maßnahmen. Die genaue Ausgestaltung variiert je nach Jurisdiktion, Anbietertyp und Risikoklasse des Kunden.
Schritt 1: Datenerhebung
Zu Beginn werden grundlegende persönliche Informationen erfasst:
- Vollständiger Name
- Geburtsdatum
- Wohnsitzadresse
- Staatsangehörigkeit
Bei juristischen Personen (Unternehmen) kommen Angaben zur Unternehmensstruktur und zu den wirtschaftlich Berechtigten (Beneficial Owners) hinzu – also den natürlichen Personen, die hinter dem Unternehmen stehen und es kontrollieren.
Schritt 2: Dokumentenprüfung
Die angegebenen Daten müssen durch amtliche Dokumente belegt werden. Typische Dokumente sind:
Schritt 3: Listenabgleich
Parallel zur Dokumentenprüfung erfolgt ein automatisierter Abgleich gegen mehrere Datenbanken:
- Sanktionslisten: Personen und Organisationen, gegen die internationale oder nationale Sanktionen verhängt wurden (z. B. EU-Sanktionslisten, OFAC-Liste der USA)
- PEP-Listen (Politically Exposed Persons): Politisch exponierte Personen wie Regierungsbeamte, deren Umfeld einem erhöhten Korruptionsrisiko ausgesetzt ist
- Watchlists: Interne und externe Beobachtungslisten mit Verdachtspersonen oder -unternehmen
Ein Treffer in diesen Listen bedeutet nicht automatisch eine Ablehnung, löst aber eine vertiefte Prüfung aus.
Schritt 4: Risikoeinschätzung
Auf Basis der gesammelten Informationen wird ein Risikoprofil erstellt. Faktoren sind unter anderem Herkunftsland, Berufsfeld, erwartetes Transaktionsvolumen und etwaige PEP-Eigenschaft. Das Ergebnis bestimmt, welche Stufe der Sorgfaltspflicht angewendet wird.
eKYC: Der digitale Prozess
Heutzutage läuft KYC bei den meisten Krypto-Plattformen als eKYC (electronic Know Your Customer) vollständig digital ab. Dabei kommen verschiedene Technologien zum Einsatz:
- NFC-Auslesung: Moderne Ausweisdokumente enthalten einen Chip, der per Smartphone ausgelesen werden kann und manipulationssichere Daten liefert
- Biometrie: Gesichtserkennung gleicht das Selfie des Nutzers mit dem Ausweisfoto ab
- Liveness-Check: Verhindert, dass ein statisches Foto statt einer echten Person verwendet wird
- KI-gestützte Dokumentenanalyse: Prüft Echtheit und Konsistenz von Ausweisdokumenten in Echtzeit
Diese Methoden ermöglichen eine schnelle Identitätsprüfung, ohne dass Kunden physisch erscheinen müssen. Unterschiedliche Aufsichtsbehörden stellen jedoch unterschiedliche Anforderungen, weshalb die zulässigen Methoden je nach Region variieren.
KYC und AML: Zusammenhang und Unterschied
KYC und AML (Anti-Money Laundering) werden häufig synonym verwendet. Das ist ungenau.
AML bezeichnet das gesamte Regelwerk und alle Maßnahmen zur Verhinderung von Geldwäsche und Terrorismusfinanzierung. Es ist der übergeordnete Rahmen.
KYC ist die erste und grundlegende Stufe innerhalb dieses AML-Rahmens: die Identifizierung und Verifizierung des Kunden beim Onboarding. Ohne gesicherte Identität ist kein weiterer AML-Schritt sinnvoll möglich.
Die drei Stufen der AML-Sorgfaltspflicht
| Stufe | Bezeichnung | Inhalt |
|---|---|---|
| 1 | KYC / Customer Due Diligence (CDD) | Identitätsprüfung beim Onboarding |
| 2 | Ongoing Due Diligence | Laufende Überwachung von Transaktionen und Aktualisierung von Kundendaten |
| 3 | Enhanced Due Diligence (EDD) | Vertiefte Prüfung bei erhöhtem Risiko (z. B. PEPs, Hochrisikoländer) |
Ein wichtiges Missverständnis lautet: Eine einmalige KYC-Prüfung beim Kontoeröffnung reiche für immer. Das ist falsch. Plattformen sind verpflichtet, Kundendaten in regelmäßigen Abständen zu aktualisieren und erneut zu prüfen (Ongoing Due Diligence). Änderungen in der Eigentümerstruktur eines Unternehmens oder veränderte Transaktionsmuster können eine erneute Verifizierung oder sogar eine Enhanced Due Diligence auslösen.
Die laufende Transaktionsüberwachung – also das Erkennen verdächtiger Muster nach dem Onboarding – ist hingegen Bestandteil von AML, nicht von KYC im engeren Sinne.
KYC-Pflicht bei Krypto-Plattformen
Wer ist zur KYC-Pflicht verpflichtet?
Der regulatorische Rahmen für Krypto-Dienstleister hat sich in den vergangenen Jahren erheblich verschärft. Folgende Plattformtypen unterliegen in den meisten regulierten Jurisdiktionen einer KYC-Pflicht:
- Zentralisierte Krypto-Börsen (CEX): Kunden müssen sich vor dem Handel identifizieren
- Custodial Wallets: Anbieter, die Kryptowährungen im Namen des Nutzers verwahren, gelten als Finanzdienstleister
- Krypto-Broker und Fiat-on/off-Ramps: Dienste, die den Umtausch zwischen Fiat-Währungen und Kryptowährungen ermöglichen
- Bestimmte regulierte DeFi-Plattformen: Wenn ein Anbieter hinter dem Protokoll identifizierbar ist und als Verpflichteter gilt
Regulatorischer Rahmen
Die FATF hat mit ihren 40 Empfehlungen – insbesondere Empfehlung 16, die sogenannte Travel Rule – einen globalen Standard gesetzt, der Krypto-Dienstleister (Virtual Asset Service Providers, VASPs) zur Identitätsprüfung und Weitergabe von Senderdaten bei Transaktionen verpflichtet.
In der Europäischen Union regeln die Geldwäscherichtlinien (zuletzt die 6. AMLD) sowie die MiCA-Verordnung den Rahmen für Krypto-Dienstleister. In den USA setzt die FinCEN die Bank Secrecy Act-Anforderungen auch für Krypto-Unternehmen durch.
Die regulatorische Grauzone bei dezentralen Protokollen
Bei Non-Custodial Wallets und rein dezentralen Protokollen (DEX ohne zentralen Betreiber) ist die rechtliche Lage weniger eindeutig. Weil kein identifizierbarer Dienstleister die Verwahrung übernimmt, greift die KYC-Pflicht nach aktuellem Stand in vielen Jurisdiktionen nicht direkt. Allerdings befindet sich dieser Bereich im regulatorischen Wandel. Behörden in verschiedenen Ländern prüfen, ob und wie KYC-Pflichten auch auf dezentrale Protokolle ausgeweitet werden können. Wer keine KYC-Pflicht hat, ist nicht zwingend ein regulierter Dienst – und wer als regulierter Dienst keine KYC durchführt, setzt sich erheblichen rechtlichen Risiken aus.
Für Plattformbetreiber gilt: Fehlendes oder mangelhaftes KYC kann zu empfindlichen Bußgeldern und dem Entzug von Lizenzen führen.
Grenzen, Missverständnisse und Datenschutz
Was KYC nicht leistet
KYC identifiziert Kunden – es verhindert nicht automatisch Betrug oder Finanzkriminalität. Ein Krimineller, der echte Dokumente vorlegt, besteht eine KYC-Prüfung. KYC ist ein Werkzeug zur Risikominimierung, kein Garant für Sicherheit. Die eigentliche Aufdeckung verdächtiger Aktivitäten liegt bei der laufenden Transaktionsüberwachung als Teil des AML-Rahmens.
Häufige Missverständnisse
„KYC und AML sind dasselbe." Nein. KYC ist eine Teilmenge von AML. AML umfasst darüber hinaus kontinuierliche Überwachung, Meldepflichten bei Verdacht und weitergehende Compliance-Strukturen.
„Nach einmaliger KYC-Prüfung ist alles erledigt." Nein. Kundendaten müssen regelmäßig aktualisiert werden. Bei verändertem Risikoprofil kann eine erneute Prüfung fällig werden.
„Kein KYC bedeutet Betrug." Das ist zu pauschal. Es gibt legitime non-custodiale Angebote, die strukturell keine KYC-Pflicht trifft. Der Verzicht auf KYC allein ist kein Betrugssignal – er sagt zunächst nur etwas über den regulatorischen Status des Angebots aus.
„KYC bedeutet nur Reisepass hochladen." Der Prozess ist umfangreicher. Er schließt Sanktionslistenabgleich, PEP-Screening, Watchlist-Abgleich und bei erhöhtem Risiko den Nachweis der Herkunft von Vermögenswerten ein.
Datenschutz und Datensicherheit
KYC erzeugt sensible personenbezogene Daten: Ausweiskopien, Wohnsitznachweise, biometrische Merkmale. Diese Daten werden von Plattformen gespeichert und unterliegen – in der EU – der DSGVO. Das bedeutet Zweckbindung, Speicherbegrenzung und Löschpflichten.
In der Praxis variiert die Datensicherheit bei KYC-Prozessen erheblich. Datenpannen bei Krypto-Plattformen, bei denen KYC-Daten entwendet wurden, sind dokumentiert. Nutzer sollten sich bewusst sein, dass die Übergabe von Ausweisdaten an eine Plattform ein Restrisiko birgt – unabhängig davon, dass die Pflicht zur Übergabe regulatorisch begründet ist. Pauschale Empfehlungen, welcher Plattform man seine KYC-Daten anvertrauen soll, sind an dieser Stelle nicht möglich und wären auch keine sachliche Information, sondern Rechtsberatung.
Häufige Fragen zu KYC
Warum verlangen Krypto-Börsen KYC?
Krypto-Börsen sind in den meisten regulierten Ländern als Finanzdienstleister eingestuft und damit gesetzlich zur Identitätsprüfung verpflichtet. Ohne KYC riskieren Betreiber den Entzug ihrer Lizenz und empfindliche Bußgelder. Die Pflicht dient der Verhinderung von Geldwäsche, Terrorismusfinanzierung und Sanktionsumgehung.
Muss ich KYC bei jeder Krypto-Plattform durchlaufen?
Nicht zwingend. Ob KYC erforderlich ist, hängt davon ab, welcher Art die Plattform ist und in welcher Jurisdiktion sie operiert. Zentralisierte Börsen und Custodial-Dienste verlangen in aller Regel KYC. Bei rein dezentralen, non-custodialen Protokollen ist die Pflicht rechtlich differenzierter zu betrachten – die regulatorische Entwicklung in diesem Bereich ist noch nicht abgeschlossen.
Wie lange dauert eine KYC-Prüfung?
Bei digitalen eKYC-Prozessen mit automatisierter Dokumentenprüfung und Biometrie kann die Prüfung wenige Minuten dauern. Komplexere Fälle – zum Beispiel bei Unternehmenskunden, PEP-Treffern oder erforderlicher Enhanced Due Diligence – können mehrere Tage in Anspruch nehmen, da manuelle Prüfschritte notwendig werden.
Werden KYC-Daten sicher aufbewahrt?
Das ist plattformabhängig und lässt sich pauschal nicht beantworten. In der EU gelten DSGVO-Anforderungen, die Mindeststandards für Datenspeicherung und -schutz setzen. Dennoch sind Datenpannen in der Branche dokumentiert. Nutzer sollten die Datenschutzrichtlinien einer Plattform sorgfältig lesen, bevor sie sensible Dokumente einreichen.
Was passiert, wenn mein KYC-Antrag abgelehnt wird?
Eine Ablehnung kann verschiedene Ursachen haben: unleserliche Dokumente, Inkonsistenzen in den Angaben, ein Treffer auf einer Sanktionsliste oder ein unklares Risikoprofil. Plattformen sind in der Regel verpflichtet, den Grund mitzuteilen, soweit dies rechtlich zulässig ist. In manchen Fällen können ergänzende Dokumente nachgereicht werden.
Ist KYC einmal ausreichend oder muss ich es wiederholen?
Eine einmalige Prüfung ist nicht dauerhaft ausreichend. Plattformen sind im Rahmen der Ongoing Due Diligence verpflichtet, Kundendaten in regelmäßigen Abständen zu aktualisieren. Veränderte Lebensumstände, neue regulatorische Anforderungen oder ein verändertes Transaktionsverhalten können eine erneute Identitätsprüfung auslösen.
Quellen & weiterführende Links
Für diesen Artikel wurden Primärquellen ausgewertet. Eine Auswahl zum Weiterlesen: