Ein ausführlicher Leitfaden zur Kunden-Due-Diligence (CDD)
Im globalen Finanz- und Handelsumfeld reicht oberflächliche Compliance nicht aus. Eine wirksame Verteidigung gegen Finanzkriminalität erfordert ein genaues Verständnis des Kunden-Due-Diligence-Prozesses (CDD). Dieser Leitfaden geht über Definitionen hinaus und zeigt konkrete Maßnahmen, Datenpunkte und Überlegungen für ein belastbares CDD-Rahmenwerk.
Warum CDD mehr ist als eine Pflichtübung
Im Kern ist Kunden-Due-Diligence ein Risikomanagementprozess. Das wichtigste Ziel besteht darin, zu verhindern, dass ein Unternehmen für Geldwäsche oder Terrorismusfinanzierung missbraucht wird. Die Bedeutung reicht jedoch weiter:
- Aufsichtsrechtliche Pflichten erfüllen: CDD wird von globalen Standardsetzern wie der Financial Action Task Force (FATF) gefordert und von nationalen Aufsichtsbehörden durchgesetzt.
- Schutz der Reputation: Ein belastbares CDD-Programm schützt Unternehmen davor, mit kriminellen Aktivitäten in Verbindung gebracht zu werden.
- Finanzielle Integrität: CDD stärkt die Stabilität und Vertrauenswürdigkeit des Finanzsystems insgesamt.
Säule 1: Die Granularität eines Kundenidentifizierungsprogramms (CIP/KYC)
„Know Your Customer“ (KYC) ist die Phase der Nachweiserhebung. Fehler an dieser Stelle schwächen den gesamten Prozess. Bei der Verifizierung werden die gesammelten Daten mit unabhängigen, zuverlässigen Quellen abgeglichen (z. B. Regierungsdatenbanken, offizielle Dokumente, digitale Identitätsdienste).
Für Privatkunden sollten folgende Daten erfasst und geprüft werden
- Vollständiger offizieller Name und etwaige Aliase.
- Dauerhafte Wohnadresse. Ein Postfach reicht nicht aus.
- Geburtsdatum zur Überprüfung der Volljährigkeit und als eindeutige Kennung.
- Offizielle Identifikationsnummer aus einem amtlichen Dokument wie einem Reisepass, Führerschein oder Personalausweis.
Für Unternehmen und andere juristische Personen sind die Anforderungen komplexer
- Vollständiger gesetzlicher Name und alle Handelsnamen.
- Offizielle Registrierungsnummer und Gründungsort.
- Adresse des eingetragenen Firmensitzes und Hauptgeschäftssitz.
- Wesentliche Kontrollpersonen: Namen der Direktoren und der Geschäftsleitung.
- Wirtschaftlich Berechtigte (UBO): Die natürlichen Personen identifizieren, die das Unternehmen letztlich besitzen oder kontrollieren (in der Regel mehr als 25 % der Eigentums- oder Stimmrechte). Dies ist häufig der anspruchsvollste Teil von KYC für Unternehmen.
Säule 2: Kundenrisikoprofile mit mehreren Faktoren erstellen
Ein risikobasierter Ansatz bedeutet, dass nicht jeder Kunde gleich behandelt wird. Mehrere Faktoren bestimmen die Risikobewertung (z. B. niedrig, mittel, hoch) und damit den Umfang der erforderlichen Sorgfaltspflichten.
Wichtige Risikofaktoren
- Geografisches Risiko: Woher kommt der Kunde? Wo ist er geschäftlich tätig? Länder mit schwachen AML-Regimen (wie von der FATF ermittelt), hoher Korruption oder Sanktionen stellen ein höheres Risiko dar.
- Kundenrisiko: Zu den Kundentypen mit hohem Risiko gehören:
- Politisch exponierte Personen (PEPs): Personen mit herausragenden öffentlichen Funktionen sowie deren Familienangehörige und enge Mitarbeiter.
- Bargeldintensive Unternehmen: Restaurants, Einzelhandelsgeschäfte usw.
- Komplexe Eigentumsstrukturen: Unternehmen mit verschachtelten Mantelgesellschaften oder Inhaberaktien, die wirtschaftlich Berechtigte verschleiern können.
- Produkt-/Dienstleistungsrisiko: Bestimmte Angebote sind anfälliger für Missbrauch, z. B. Dienste mit Anonymität, Bargeldtransaktionen mit hohem Volumen oder grenzüberschreitenden Überweisungen.
Säule 3: Laufende Sorgfaltspflichten und Überwachung
Compliance ist ein kontinuierlicher Prozess und kein einmaliges Ereignis. Entscheidend ist, Veränderungen im Kundenrisiko rechtzeitig zu erkennen.
Prüfanlässe für laufende Überwachung
Das System sollte bestimmte Ereignisse kennzeichnen, die auf eine Änderung im Risikoprofil eines Kunden hinweisen können:
- Transaktionsüberwachung: Ein plötzlicher Anstieg des Werts oder Volumens von Transaktionen; Transaktionen, die nicht mit dem bekannten Geschäftsprofil des Kunden übereinstimmen; Zahlungen in oder aus Ländern mit hohem Risiko.
- Prüfung negativer Medien: Der Name des Kunden erscheint in glaubwürdigen Nachrichtenquellen im Zusammenhang mit Finanzkriminalität, Korruption oder anderen illegalen Aktivitäten.
- Sanktionslistentreffer: Ein Hinweis, dass der Kunde jetzt auf einer Sanktionsliste des OFAC, der EU, der UN, des HMT oder anderer relevanter Stellen steht.
Sorgfaltspflichten anpassen: EDD vs. SDD in der Praxis
Die Risikobewertung bestimmt direkt die Intensität der Due Diligence.
Verstärkte Sorgfaltspflicht (EDD): was sie konkret bedeutet
Bei Kunden mit hohem Risiko reicht Standard-KYC nicht aus. Zu den praktischen EDD-Maßnahmen gehören:
- Beschaffung zusätzlicher Identitätsinformationen: Sammeln weiterer Dokumente oder Daten zur Bestätigung der Identität.
- Prüfung der Vermögensherkunft (SOW) und Herkunft der Gelder (SOF): Nachweise einholen, um zu verstehen, woher das Gesamtvermögen des Kunden stammt (SOW) und woher die spezifischen Gelder stammen, die für die Geschäftsbeziehung verwendet werden (SOF).
- Genehmigung durch die Geschäftsleitung erforderlich: Die Aufnahme oder Fortsetzung der Geschäftsbeziehung muss von der Geschäftsleitung genehmigt werden.
- Intensive Überwachung: Kundentransaktionen häufiger und detaillierter prüfen.
Vereinfachte Due Diligence (SDD): wann ist sie angemessen?
SDD ist Situationen vorbehalten, in denen das Geldwäscherisiko nachweislich gering ist. Beispiele hierfür sind der Umgang mit:
- Börsennotierte Unternehmen, die regulatorischen Offenlegungspflichten unterliegen.
- Regierungsbehörden oder öffentliche Verwaltungen.
- Andere regulierte Finanzinstitute aus seriösen Jurisdiktionen.
Kernaussage
Gute CDD erfordert in jeder Phase sorgfältige Detailarbeit. Von der Erfassung der richtigen UBO-Daten über die praktischen EDD-Schritte bis zur Konfiguration präziser Prüfanlässe zählt jedes Element. Moderne Tools können diese Komplexität strukturieren und große Teile des Prozesses automatisieren.
Ein belastbares und automatisiertes CDD-Rahmenwerk aufbauen. Checklynx stellt die Kontrollen bereit, die für KYC, Risikobewertung und laufende Echtzeitüberwachung erforderlich sind.
Lesen Sie weiter die wichtigsten KI-Softwareanforderungen