KYC für Versicherungsunternehmen 2026: GwG-Pflichten, AMLD6 und Solvency II

Lebensversicherungsunternehmen und Versicherungsvermittler sind Verpflichtete im Sinne des Geldwäschegesetzes (GwG). Der § 2 Abs. 1 Nr. 7 GwG nennt Versicherungsunternehmen und Versicherungsvermittler ausdrücklich als geldwäscherechtliche Verpflichtete, wenn sie Lebensversicherungen oder Dienstleistungen mit Investitionscharakter erbringen. Im Jahr 2026 bereitet sich die deutsche Versicherungsbranche auf die Umsetzung von AMLD6 (Richtlinie (EU) 2024/1640) vor, die bis zum 10. Juli 2027 in nationales Recht umgesetzt werden muss. Die AMLR (Verordnung (EU) 2024/1624) gilt ab diesem Datum unmittelbar.

Dieser Artikel dient ausschließlich Informationszwecken und stellt keine rechtliche, finanzielle oder aufsichtsrechtliche Beratung dar. Regulatorische Verweise sind zum Zeitpunkt der Veröffentlichung korrekt. Konsultieren Sie einen qualifizierten Fachmann für auf Ihre Situation zugeschnittene Beratung.

Warum Versicherungsunternehmen geldwäscherechtliche Verpflichtete sind

Die Versicherungsbranche bietet potenzielle Missbrauchswege für Geldwäsche: Platzierung illegaler Gelder als Versicherungsprämien, Layering über Policenabtretungen und Integrierung durch scheinbar legitime Versicherungsleistungen. Die Financial Action Task Force (FATF) hat Lebensversicherungen mit Rückkaufswert, Rentenprodukte und fondsgebundene Versicherungen als Hochrisikovektoren eingestuft.

Die BaFin hat im Zeitraum 2023 bis 2025 mehrere Bußgeldverfahren gegen Versicherungsunternehmen wegen Defiziten in der Kundenidentifizierung und der Identifikation wirtschaftlich Berechtigter eingeleitet. Verstöße können nach § 56 GwG mit Geldbußen von bis zu 5 Millionen Euro oder 10% des Jahresumsatzes geahndet werden (BaFin-Merkblatt zur Identitätsfeststellung). Für einen umfassenden Überblick über das Compliance-Rahmenwerk konsultieren Sie unseren Leitfaden zur Dokumenten-Compliance.

Welche Versicherungsprodukte lösen KYC-Pflichten aus?

Das GwG differenziert nach Risikoniveau des Produkts.

Das entscheidende Merkmal ist das Vorliegen eines Rückkaufswerts oder einer Anlagekomponente. Bei deren Vorhandensein gilt die vollständige Sorgfaltspflicht von Beginn der Geschäftsbeziehung an.

Konkrete KYC-Pflichten für Versicherungsunternehmen

Kundensorgfaltspflichten (CDD)

§ 10 GwG verpflichtet Verpflichtete zur Erfüllung allgemeiner Sorgfaltspflichten vor oder bei Begründung einer Geschäftsbeziehung. Versicherungsunternehmen müssen:

1. Versicherungsnehmer, Versicherten und bekannten Begünstigten identifizieren vor Vertragsschluss
2. Identität verifizieren anhand geeigneter Dokumente: Personalausweis, Reisepass oder, bei juristischen Personen, Handelsregisterauszug, Gesellschaftsvertrag und Vollmachten des Vertreters
3. Wirtschaftlich Berechtigten (UBO) ermitteln bei juristischen Personen: Personen mit direkter oder indirekter Beteiligung von mehr als 25% (Schwelle sinkt auf 15% mit AMLR 2027)
4. Zweck und Art der Geschäftsbeziehung klären: Herkunft der Mittel, Berufssituation und Vermögensverhältnisse des Versicherungsnehmers

Die Identifizierung des wirtschaftlich Berechtigten muss mit dem Transparenzregister abgeglichen werden. Die BaFin erwartet, dass Versicherungsunternehmen nicht allein auf das Registerauszug vertrauen, sondern eigene Verifikationsschritte dokumentieren.

Verstärkte Sorgfaltspflichten (EDD)

§ 15 GwG schreibt verstärkte Sorgfaltspflichten in Hochrisikosituationen vor:

• Politisch exponierte Personen (PEP): aktuelle oder frühere hochrangige Amtsträger, Familienmitglieder und nahestehende Personen
• Kunden in Drittstaaten mit hohem Risiko: Länder auf der FATF-Grau- oder Schwarzliste
• Komplexe oder ungewöhnlich hohe Transaktionen ohne offensichtlichen wirtschaftlichen Zweck
• Nicht-Präsenz-Geschäftsbeziehungen ohne gleichwertigen elektronischen Identifikationsprozess

Bei PEP ist die Zustimmung der Geschäftsführung vor oder während des Eingehens der Geschäftsbeziehung erforderlich. Herkunft von Vermögen und Mitteln muss ermittelt und dokumentiert werden. Lesen Sie auch unseren Artikel zur verstärkten Sorgfaltspflicht (EDD) für detaillierte Protokolle.

Laufende Überwachung und Verdachtsmeldung

Versicherungsunternehmen müssen die Geschäftsbeziehung kontinuierlich überwachen, Transaktionen am Risikoprofil messen und CDD bei wesentlichen Änderungen aktualisieren. Spezifische Warnzeichen für Versicherungen:

• Vorzeitige Rückkäufe kurz nach Vertragsschluss
• Häufige Änderungen der Begünstigtenbezeichnung
• Prämienzahlungen von mehreren nicht verbundenen Quellen
• Anfragen zur Umleitung von Rückkauferlösen auf Drittkonten in Risikogebieten

§ 43 GwG verpflichtet zur unverzüglichen Verdachtsmeldung an die Financial Intelligence Unit (FIU) über das goAML-Portal. Die Meldung soll nach Möglichkeit vor Durchführung der verdächtigen Transaktion erfolgen.

AMLD6 und die Regulierungswelle 2027

Die AMLR (EU) 2024/1624 gilt ab dem 10. Juli 2027 unmittelbar in Deutschland, ohne nationale Umsetzung. Die wichtigsten Änderungen für Versicherungsunternehmen sind:

• UBO-Schwelle gesenkt von 25% auf 15% (5% bei undurchsichtigen Strukturen)
• Ausgeweitete PEP-Definition auf hochrangige Funktionäre großer internationaler Organisationen
• EU-weit harmonisierter Barzahlungsplafond von 10.000 EUR
• Direkte AMLA-Aufsicht über 40 Hochrisiko-Finanzinstitute ab 2028
• eIDAS 2.0 Digital Identity Wallet: ab November 2026 müssen Versicherungsunternehmen den EUDIW als Identifikationsmittel akzeptieren

Versicherungsunternehmen, die bereits AMLD5-konform sind, müssen primär ihre UBO-Identifikationsprozesse anpassen und ihr PEP-Verzeichnis auf die neuen Definitionen der AMLR erweitern.

Solvency II und KYC: sich ergänzende Rahmenwerke

Solvency II ist in Deutschland durch das Versicherungsaufsichtsgesetz (VAG) umgesetzt, mit der BaFin als zuständiger Aufsichtsbehörde. Das Aufsichtssystem Solvency II verstärkt indirekt die GwG-Compliance:

• Governance-System: Solvency II schreibt eine unabhängige Compliance-Funktion vor — die gleiche Infrastruktur, die für wirksames GwG-Management benötigt wird
• ORSA (Unternehmenseigene Risiko- und Solvabilitätsbeurteilung): integriertes Risikomanagement, das das Risiko der Finanzkriminalität einschließen muss
• Fit & Proper: Eignungs- und Zuverlässigkeitsanforderungen an Geschäftsleitung und Schlüsselfunktionen

Die BaFin ist sowohl prudentielle Aufsichtsbehörde (Solvency II/VAG) als auch Geldwäscheaufsichtsbehörde (GwG) für Versicherungsunternehmen — eine Kombination, die Synergien bei Inspektionen schafft.

Risikobasierter Ansatz für Versicherungsunternehmen

Der risikobasierte Ansatz (RBA) ist das Grundprinzip des GwG (§ 4 GwG). Die Intensität der Sorgfaltspflichten muss proportional zum ermittelten Risiko sein. Versicherungsunternehmen müssen eine dokumentierte unternehmensweite Risikoanalyse erstellen, die umfasst:

• Kundenbezogene Risikofaktoren: Wohnsitz, Beruf, PEP-Status, Unternehmensstruktur
• Geografische Risikofaktoren: Herkunftsland, Transaktionen mit Risikogebieten
• Produktbezogene Risikofaktoren: Rückkaufswert, Prämienvolumen, Anlagekomponente
• Vertriebskanalrisiken: Direktvertrieb, Maklerkanal, digitales Onboarding

Die BaFin veröffentlicht Auslegungs- und Anwendungshinweise (AuA) zum GwG, die als verbindliche Auslegungshilfe für Versicherungsunternehmen dienen.

Vereinfachte Sorgfaltspflichten: Wann sind sie zulässig?

§ 14 GwG erlaubt vereinfachte Sorgfaltspflichten, wenn das Geldwäscherisiko nachweislich gering ist. Reine Risikolebensversicherungen ohne Rückkaufswert, bestimmte betriebliche Pflichtversicherungen und kollektive Altersvorsorgeprodukte können geeignete Kandidaten sein. Das Unternehmen muss die Niedrigrisikobestimmung dokumentieren und regelmäßig überprüfen.

Compliance-Fachleute aus einschlägigen Foren fragen oft: „Bedeutet vereinfachte Sorgfalt, dass überhaupt keine Identifizierung stattfindet?" Nein — es bedeutet reduzierte Intensität der Überprüfung, nicht deren Wegfall. Auch bei vereinfachter Sorgfalt muss eine Grundidentifikation erfolgen und die Niedrigrisikobewertung dokumentiert sein.

Automatisierte KYC-Prüfung für Versicherungsunternehmen

Technologiegestützte Dokumentenverifikation ermöglicht Versicherungsunternehmen, KYC-Compliance in großem Maßstab zu bewältigen, ohne die Prüfqualität zu reduzieren. Die CheckFile-Plattform bietet eine mehrschichtige Analyse, die OCR-Extraktion, Metadatenvalidierung und dokumentenübergreifende Konsistenzprüfungen kombiniert — geeignet für schnelle digitale Onboarding-Prozesse im Versicherungsvertrieb.

Wesentliche Betriebsvorteile für Compliance-Teams in Versicherungsunternehmen:

• Konsistenz: Jeder Vorgang wird nach denselben Regeln verarbeitet, mit revisionssicherem Prüfprotokoll
• Geschwindigkeit: Prüfergebnisse in kurzer Zeit, kompatibel mit Straight-through-Processing bei Standardrisiken
• API-Integration: direkte Anbindung an Bestandsführungssysteme für die Prüfung im Antragsprozess
• Aufbewahrungskonformität: Prüfprotokoll über die nach GwG geforderte 5-Jahres-Frist verfügbar

Weitere Informationen finden Sie in unserem API-Integrationsleitfaden und in unseren Preisinformationen.

BaFin-Aufsicht und Bußgelder

Die BaFin kann bei Verstößen gegen GwG-Pflichten erhebliche Ordnungswidrigkeitensanktionen verhängen. Nach § 56 GwG sind folgende Bußgelder möglich:

• Schwerwiegende Verstöße: bis zu 5.000.000 Euro oder 10% des Jahresumsatzes für juristische Personen
• Verstöße durch natürliche Personen: bis zu 1.000.000 Euro
• Bekanntmachung: die BaFin macht rechtskräftige Bußgeldbescheide auf ihrer Website öffentlich bekannt

Die eIDAS 2.0-Frist bis November 2026 schafft zusätzlichen Handlungsdruck: Versicherungsunternehmen müssen ihre Identifikationsprozesse für die Akzeptanz des Europäischen Digitalen Identitäts-Wallets (EUDIW) vorbereiten, was technische Investitionen erfordert.

Häufig gestellte Fragen

Gelten die GwG-Pflichten auch für Schaden- und Unfallversicherungen?

Schaden- und Unfallversicherungen (Kfz, Haftpflicht, Gebäude) sind grundsätzlich von den GwG-Sorgfaltspflichten ausgenommen, weil das Geldwäscherisiko als gering eingestuft wird. Ausnahmen bestehen bei Produkten mit atypischen Akkumulationsmerkmalen oder wenn das Unternehmen auch Lebensversicherungen anbietet.

Wie oft müssen Bestandskundenakten aktualisiert werden?

Eine gesetzlich festgelegte Periodizität gibt es nicht. Die Aktualisierung wird durch materielle Ereignisse ausgelöst: Vertragsänderungen, Begünstigtenwechsel, erhebliche Prämienerhöhungen, Hinweise aus dem kontinuierlichen Monitoringsystem. BaFin-Praxis empfiehlt jährliche Überprüfung für Hochrisikokunden und einen Dreijahrestakt für Standardrisikobeziehungen.

Wie lange müssen KYC-Unterlagen aufbewahrt werden?

§ 8 GwG schreibt eine Aufbewahrung von fünf Jahren nach Beendigung der Geschäftsbeziehung (Rückkauf, Todesfallleistung oder Vertragsende) vor. Unterlagen müssen für BaFin-Prüfungen unverzüglich abrufbar sein.

Ist digitale Identifizierung (VideoIdent, eID) nach GwG zulässig?

Ja, unter bestimmten Voraussetzungen. Die BaFin akzeptiert videobasierte Identifizierungsverfahren und die Online-Ausweisfunktion des deutschen Personalausweises (eID) als gleichwertige Alternativen zur physischen Präsenz. Anforderungen an Bildqualität und Verfahrensablauf sind in den BaFin-AuA zum GwG detailliert geregelt.

Was muss eine Verdachtsmeldung an die FIU enthalten?

Die Meldung über das goAML-Portal der FIU muss enthalten: vollständige Identifizierung des Kunden und beteiligter Dritter, genaue Beschreibung der verdächtigen Transaktion oder des auffälligen Verhaltens, Begründung des Verdachts und verfügbare Belege. Die FIU stellt Formulierungshilfen für Versicherungsunternehmen auf ihrem Portal bereit.