Skip to content
KundenreferenzPreiseSicherheitVergleichBlog
GlossarLänderleitfädenChecklistenROI-Rechner

Europe

Americas

Oceania

Leitfaden8 min Lesezeit

Know Your Supplier (KYS): Lieferanten-Verifizierung Checkliste 2026

Vollständiger KYS-Leitfaden für Einkaufsteams: 12-Schritte-Checkliste, deutsches GwG/LkSG-Rahmenwerk, BaFin-Anforderungen, Warnsignale und Automatisierung 2026.

Das CheckFile-Team
Das CheckFile-Team·
Illustration for Know Your Supplier (KYS): Lieferanten-Verifizierung Checkliste 2026 — Leitfaden

Diesen Artikel zusammenfassen mit

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Know Your Supplier (KYS) ist der strukturierte Sorgfaltspflichtprozess, mit dem Einkaufs- und Compliance-Teams die Identität, Rechtmäßigkeit und das Compliance-Profil ihrer Lieferanten systematisch prüfen — sowohl vor als auch während einer Geschäftsbeziehung. Als Lieferantenentsprechung von KYC (Know Your Customer) und KYB (Know Your Business) hat sich KYS in allen Branchen als Standard für das Drittparteienrisikomanagement im Einkauf etabliert.

In Deutschland werden die Sorgfaltspflichten gegenüber Lieferanten durch zwei zentrale Gesetze geprägt: das Geldwäschegesetz (GwG), das Sorgfaltspflichten für verpflichtete Unternehmen gegenüber Geschäftspartnern und Lieferanten regelt, sowie das Lieferkettensorgfaltspflichtengesetz (LkSG), das seit dem 1. Januar 2024 für alle deutschen Unternehmen ab 1.000 Mitarbeitern gilt und umfassende Due-Diligence-Pflichten entlang der gesamten Lieferkette vorschreibt. Bei schwerwiegenden Verstößen gegen das LkSG drohen Bußgelder von bis zu 2 % des globalen Jahresumsatzes (LkSG — § 24 Bußgeldvorschriften).

Einkaufsteams, die ihren KYS-Prozess automatisieren, reduzieren den Bearbeitungsaufwand um 83 % und die Kosten pro Lieferantendossier um 67 % (CheckFile Plattformdaten, interne Analyse 2026).

Was ist Know Your Supplier (KYS)?

KYS umfasst drei komplementäre Dimensionen: die Verifikation der rechtlichen Identität des Lieferanten, die Authentifizierung der Bankdaten und die laufende Risikobewertung während der gesamten Geschäftsbeziehung. Im Unterschied zu einer einmaligen Onboarding-Prüfung ist KYS ein fortlaufendes Programm mit geplanten Überprüfungszyklen entsprechend dem jeweiligen Risikoniveau des Lieferanten.

Ein vollständiges KYS-Programm umfasst:

  • Prüfung der rechtlichen Existenz und des Unternehmensstatus (aktiv, Insolvenz, Löschung)
  • Identifizierung der wirtschaftlich Berechtigten (UBO — Ultimate Beneficial Owners)
  • Screening auf internationalen Sanktionslisten (EU, OFAC, UN, BaFin-Sanktionsliste)
  • Erkennung politisch exponierter Personen (PEP) in Geschäftsführung und Eigentümerschaft
  • Recherche negativer Medienberichte (Adverse Media Screening)
  • Authentifizierung von Bankdaten zur Prävention von IBAN-Betrugsfällen

Seit dem 1. Januar 2024 gilt das LkSG für alle deutschen Unternehmen ab 1.000 Mitarbeitern und verpflichtet diese zur Durchführung von Risikoanalysen und Präventionsmaßnahmen entlang der gesamten Lieferkette — mit Bußgeldern von bis zu 2 % des weltweiten Jahresumsatzes (LkSG § 24 — BGBl. I Nr. 38, 2021).

Deutsches Rechtsrahmen für KYS

Vier Rechtsrahmen strukturieren die Lieferantenprüfungspflichten in Deutschland:

Geldwäschegesetz (GwG): verpflichtete Unternehmen (Kreditinstitute, Rechtsanwälte, Notare, Wirtschaftsprüfer, Steuerberater, Immobilienmakler, Kryptowertedienstleister) sind verpflichtet, Sorgfaltspflichten auch gegenüber Lieferanten und Dienstleistern anzuwenden, die an meldepflichtigen Transaktionen beteiligt sind. Die BaFin veröffentlicht Auslegungshinweise zur praktischen Umsetzung.

Lieferkettensorgfaltspflichtengesetz (LkSG): Unternehmen ab 1.000 Mitarbeitern müssen eine dokumentierte Risikoanalyse ihrer unmittelbaren Lieferanten durchführen, angemessene Präventionsmaßnahmen ergreifen und darüber jährlich Bericht erstatten. Das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) ist die zuständige Aufsichtsbehörde.

DSGVO + BDSG: die Verarbeitung personenbezogener Daten im Rahmen von KYS-Prozessen muss den Anforderungen der DSGVO (Verordnung (EU) 2016/679) und dem Bundesdatenschutzgesetz entsprechen, die vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) überwacht werden.

EU-Lieferketten-Richtlinie (CSDDD): die Richtlinie (EU) 2024/1760 über unternehmerische Sorgfaltspflichten wird ab 2027 von großen europäischen Unternehmen — einschließlich deutschen — Due-Diligence-Prozesse entlang der gesamten Wertschöpfungskette erfordern, mit Sanktionen von bis zu 5 % des weltweiten Nettoumsatzes.

Rechtsrahmen Anwendungsschwelle Primäre KYS-Pflicht
GwG (2023) Verpflichtete Unternehmen Sorgfaltspflichten gegenüber Geschäftspartnern
LkSG (ab 2024) Ab 1.000 Mitarbeiter (DE) Risikoanalyse unmittelbare Lieferanten, jährlicher Bericht
DSGVO + BDSG Alle Unternehmen Datenschutz in Verifikationsprozessen
CSDDD (ab 2027) >1.000 Mitarbeiter, >€ 450 Mio. Umsatz Sorgfaltspflichten gesamte Wertschöpfungskette

KYS-Checkliste: 12 erforderliche Prüfungsschritte

Einkaufs- und Compliance-Fachleute identifizieren regelmäßig zwei Schritte, die in der Praxis am häufigsten übersprungen werden: die UBO-Verifikation und das Sanktionsscreening — beide können das Unternehmen bei Auslassung erheblichen Bußgeldrisiken aussetzen.

Schritte 1–4: Rechtliche Identitätsprüfung

Dokument Offizielle Quelle Prüfungshäufigkeit
Handelsregisterauszug Unternehmensregister / Amtsgericht Bei Onboarding + jährlich
Gesellschaftsvertrag / Satzung Handelsregister / Notar Bei Onboarding
Transparenzregisterauszug (wirtschaftlich Berechtigte) Transparenzregister Bei Onboarding + bei Änderungen
USt-IdNr. (aktiv, nicht sanktioniert) Bundeszentralamt für Steuern Bei jeder Zahlung > € 5.000

Schritte 5–6: Bankdatenverifizierung

Die Authentifizierung von IBAN und Kontoinhaber ist die wirksamste Schutzmaßnahme gegen IBAN-Betrug (Business Email Compromise — BEC). Dieser Angriffstyp macht 31 % aller Lieferantenbetrugsszenarien aus, die auf unserer Plattform dokumentiert wurden. Die Prüfung muss bei jeder gemeldeten Bankdatenänderung wiederholt werden, unabhängig vom Kommunikationskanal. Telefonisch oder per E-Mail kommunizierte Änderungen dürfen nie ohne unabhängige dokumentarische Bestätigung umgesetzt werden.

Schritte 7–9: Sanktionsscreening, PEP-Erkennung und Adverse Media

Das Screening muss die EU-Konsolidierte-Sanktionsliste, die OFAC SDN-Liste und die UN-Sicherheitsratslisten umfassen. Die BaFin-eigene Sanktionsliste muss ebenfalls geprüft werden. Die PEP-Erkennung muss auf Geschäftsführer, Mehrheitsgesellschafter und wirtschaftlich Berechtigte ausgeweitet werden. Adverse Media-Recherchen decken strafrechtliche Verurteilungen, BaFin- und BAFA-Durchsetzungsmaßnahmen, Reputationsskandale und Verbindungen zur organisierten Kriminalität ab.

Schritte 10–12: Branchenspezifische Prüfungen

Je nach Branche des Lieferanten: Zulassungen und Berufsqualifikationen, ISO-Zertifizierungen (9001, 27001, 14001), Haftpflichtversicherungsnachweise sowie Unbedenklichkeitsbescheinigungen der Finanzbehörde und der Sozialversicherungsträger.

Bereit, Ihre Prüfungen zu automatisieren?

Kostenloses Pilotprojekt mit Ihren eigenen Dokumenten. Ergebnisse in 48h.

Kostenloses Pilotprojekt anfragen

Risikobewertungsmodell

Ein einheitliches Prüfniveau für alle Lieferanten ist in großen Portfolios operativ nicht tragbar. Ein risikobasiertes Stufenmodell konzentriert die erweiterten Sorgfaltspflichten dort, wo sie am notwendigsten sind.

Risikoniveau Kriterien Überprüfungsfrequenz
Niedrig In DE/EU registrierter Lieferant, < € 50.000/Jahr, nicht regulierter Sektor Jährlich
Mittel Außerhalb EU, € 50.000–€ 500.000/Jahr, oder regulierter Sektor Halbjährlich
Hoch > € 500.000/Jahr, FATF-Hochrisikoland, oder regulierte Dienstleistungen Quartalsweise + EDD
Kritisch Strategischer Lieferant, Aktivitäten in Sanktionsgebieten Kontinuierliche Überwachung

Laut dem CheckFile Dokumentenrisikoindex erzielen Lieferantendossiers in Sektoren mit hohem Transaktionsvolumen einen Durchschnittswert von 6,2/10, was die Automatisierung von Kontrollen rechtfertigt, um die Vollständigkeit in großen Lieferantenportfolios zu gewährleisten.

KYS, KYC und KYB: Wesentliche Unterschiede

Prozess Zielgruppe Primärer Kontext
KYC (Know Your Customer) Kunden, Investoren, Privatpersonen Bankwesen, Versicherungen, Finanzdienstleistungen
KYB (Know Your Business) Geschäftspartner, Händler B2B-Onboarding, öffentliche Ausschreibungen
KYS (Know Your Supplier) Lieferanten, Subunternehmer, Dienstleister Einkauf, Lieferkette, Kreditorenbuchhaltung

Weitere Informationen zur Verifizierung von Unternehmensdokumenten beim Onboarding finden Sie in unserem Leitfaden KYB-Unternehmensverifizierung beim Onboarding. Die Due-Diligence-Checkliste für Unternehmen bietet ein ergänzendes Rahmenwerk für die Bewertung von Lieferantenrisiken.

Warnsignale bei der Lieferantenprüfung

Einkaufs- und Compliance-Fachleute identifizieren diese Warnsignale regelmäßig als häufigste Indikatoren, die eine verstärkte Sorgfaltspflicht erfordern:

  • IBAN-Änderung per informeller E-Mail mitgeteilt, ohne offiziellen Firmenbriefkopf
  • Keine überprüfbare Online-Präsenz (kein Unternehmensauftritt, kein Handelsregistereintrag)
  • Undurchsichtige Eigentumsstruktur mit Zwischenholdings in Risikogerichtsbarkeiten (BVI, Cayman)
  • Abweichung zwischen angegebener USt-IdNr. und eingetragenem Unternehmensnamen
  • Weigerung, aktuellen Handelsregisterauszug oder Transparenzregisterauszug vorzulegen
  • Rechnungsadresse weicht von eingetragenem Sitz oder Hauptgeschäftssitz ab
  • Symbolisches Stammkapital im Verhältnis zum vorgeschlagenen Vertragswert

KYS-Prozess automatisieren

Die manuelle Verwaltung von KYS für ein Portfolio von 100 aktiven Lieferanten bedeutet 200–300 einzelne Prüfungen pro Jahr, mit exponentiell zunehmendem Fehlerrisiko bei wachsendem Portfolio. Unternehmen mit mehr als 200 aktiven Lieferanten können die Vollständigkeit mit manuellen Prozessen selten gewährleisten.

CheckFile automatisiert den gesamten KYS-Workflow: Dokumentenerfassung, Prüfung anhand offizieller Register (Handelsregister, Transparenzregister, BaFin-Sanktionsliste, OFAC), PEP-Screening und Generierung von zeitgestempelten Audit-Trails. Weitere Informationen zur Verifizierungsmethodik finden Sie im Leitfaden zur Dokumentenprüfung und der Due-Diligence-Checkliste für Unternehmen.

Dieser Artikel dient nur zu Informationszwecken und stellt keine rechtliche, finanzielle oder regulatorische Beratung dar. Für spezifische Situationen wenden Sie sich an einen qualifizierten Compliance-Fachmann oder Rechtsanwalt.

Häufig gestellte Fragen

Was ist Know Your Supplier (KYS)?

Know Your Supplier (KYS) ist der Sorgfaltspflichtprozess, mit dem eine Organisation die rechtliche Identität, Finanzlage, das Sanktionsprofil und die Bankdaten ihrer Lieferanten prüft — vor und während der Geschäftsbeziehung. Es erweitert die KYC-Grundsätze von der Kundenseite auf die Beschaffungsseite des Unternehmens.

Ist KYS in Deutschland Pflicht?

Teilweise. Für verpflichtete Unternehmen nach dem GwG sind Sorgfaltspflichten gegenüber Lieferanten vorgeschrieben, die an meldepflichtigen Leistungen beteiligt sind. Das LkSG verpflichtet Unternehmen ab 1.000 Mitarbeitern zur Risikoanalyse ihrer unmittelbaren Lieferanten und zum jährlichen Bericht. Ab 2027 wird die CSDDD umfassende Due-Diligence-Pflichten für alle großen europäischen Unternehmen einführen.

Wie häufig muss die Lieferantenprüfung erneuert werden?

Die Häufigkeit hängt vom Risikoniveau ab. Lieferanten mit geringem Risiko erfordern jährliche Überprüfungen. Lieferanten mit mittlerem Risiko werden halbjährlich geprüft. Lieferanten mit hohem Risiko erfordern quartalsweise Prüfungen mit erweiterter Sorgfaltspflicht sowie kontinuierliches Sanktionsmonitoring. Jede Änderung der Eigentümerschaft, Bankdaten oder Geschäftsadresse löst eine sofortige außerordentliche Prüfung aus.

Welche Dokumente sind für KYS zu erfassen?

Das grundlegende KYS-Dokumentendossier umfasst: aktuellen Handelsregisterauszug (<3 Monate), Gesellschaftsvertrag oder Satzung, Transparenzregisterauszug (wirtschaftlich Berechtigte), schriftliche Bankbestätigung auf offiziellem Firmenbriefkopf, aktuelle Umsatzsteuer-Identifikationsnummer sowie branchenspezifische Zulassungen oder Zertifikate. Jedes Dokument muss anhand der maßgeblichen Quelle verifiziert werden.

Was ist der Unterschied zwischen KYS und KYB?

KYB (Know Your Business) bezeichnet die Sorgfaltsprüfung von Geschäftspartnern oder Unternehmenskunden im B2B-Kontext, insbesondere beim Onboarding in regulierten Sektoren. KYS ist spezifisch für Lieferanten — Unternehmen, von denen Waren oder Dienstleistungen bezogen werden. Die Prüfungsschritte ähneln sich, aber die Richtung der Geschäftsbeziehung und die damit verbundenen Sorgfaltspflichten unterscheiden sich.

Bleiben Sie informiert

Erhalten Sie unsere Compliance-Analysen und Praxisleitfäden direkt in Ihr Postfach.

Bereit, Ihre Prüfungen zu automatisieren?

Kostenloses Pilotprojekt mit Ihren eigenen Dokumenten. Ergebnisse in 48h.

Verwandte Artikel

Leitfaden8 min

Gewerbliche Lizenzen und Erlaubnisse online prüfen (2026)

Praxisleitfaden zur Online-Prüfung gewerblicher Lizenzen und Erlaubnisse in Deutschland. Handelsregister, BaFin, KG-Daten, branchenspezifische Genehmigungen und Automatisierung.

Lesen
Leitfaden14 min

Vendor Due Diligence Checkliste: Schritt-für-Schritt Lieferantenbewertung

Vollständige Vendor Due Diligence Checkliste: 7-Schritte-Prozess, BaFin/GwG-Pflichten, Risikokategorien und Automatisierung der Lieferantenprüfung 2026.

Lesen
Leitfaden9 min

Versorgungsrechnung als Adressnachweis verifizieren

Versorgungsrechnung-Verifizierung als Adressnachweis: akzeptierte Dokumente, Authentifizierungsschritte, GwG-Anforderungen und automatisierte Pruefung.

Lesen