KYC-Anforderungen für Zahlungsdienstleister (PSP): AML-Compliance 2026

Zahlungsdienstleister (Payment Service Provider, PSP) in Deutschland unterliegen umfangreichen Sorgfaltspflichten nach dem Geldwäschegesetz (GwG) und dem Zahlungsdiensteaufsichtsgesetz (ZAG). Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) überwacht die Einhaltung dieser Pflichten, unterstützt durch die Deutsche Bundesbank als Aufsichtsbehörde für Kreditinstitute. Im Jahr 2026 hat die BaFin in ihrem Risikobericht AML/CFT-Sonderprüfungen und die risikobasierte Kundeneinstufung als Schwerpunkte der Aufsicht benannt. Zugleich müssen PSP die bevorstehende EU-Geldwäscheverordnung (AMLR, Verordnung (EU) 2024/1624) und die überarbeitete AML-Richtlinie (AMLD6, Richtlinie (EU) 2024/1640) vorbereiten, deren Umsetzungsfrist der 10. Juli 2027 ist.

Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechts-, Finanz- oder Regulierungsberatung dar. Konsultieren Sie einen qualifizierten Fachmann für Ihre spezifische Situation.

Welche PSP unterliegen KYC-Pflichten in Deutschland?

Das GwG definiert den Kreis der Verpflichteten in § 2. Für Zahlungsdienstleister umfasst dies:

§ 10 Abs. 1 GwG verpflichtet Verpflichtete, allgemeine Sorgfaltspflichten gegenüber Kunden zu erfüllen, bevor eine Geschäftsbeziehung aufgenommen oder eine gelegentliche Transaktion von 15.000 Euro oder mehr durchgeführt wird. Die BaFin hat in ihrem Risikobericht 2026 besonders betont, dass Kreditinstitute und Zahlungsdienstleister eine robuste, prüfungssichere Risikoklassifizierung der Kunden vorweisen müssen.

Das ZAG regelt die Erlaubnispflicht und Aufsicht von Zahlungsdienstleistern. PSP, die ohne ZAG-Erlaubnis tätig werden, riskieren strafrechtliche Verfolgung und sofortige Einstellung der Tätigkeit durch die BaFin.

Rechtsrahmen: GwG, ZAG, Verordnung (EU) 2023/1113 und EU-Entwicklungen

Geldwäschegesetz (GwG) Das GwG, zuletzt geändert durch das Finanzkriminalitätsbekämpfungsgesetz (FKBG) vom 22. Dezember 2023, ist die zentrale nationale Norm für die Geldwäscheprävention. § 10 regelt die allgemeinen Sorgfaltspflichten; § 15 regelt die verstärkten Sorgfaltspflichten für Hochrisikosituationen, politisch exponierte Personen (PEP) und Geschäfte mit Hochrisikoländern gemäß FATF. Die Identifizierungsanforderungen des GwG für juristische Personen umfassen die Feststellung des wirtschaftlich Berechtigten nach § 3 GwG i.V.m. § 23a GwG (Transparenzregister). Quelle: GwG, bundesrecht.juris.de

Zahlungsdiensteaufsichtsgesetz (ZAG) Das ZAG regelt Zulassung, Aufsicht und Pflichten von Zahlungsinstituten und E-Geld-Instituten. Die PSD3-Umsetzung in deutsches Recht wird eine Anpassung des ZAG erforderlich machen, die 2027-2028 erwartet wird.

Verordnung (EU) 2023/1113 über die Übermittlung von Angaben bei Geldtransfers Anwendbar seit 26. Dezember 2024, ersetzt sie die Verordnung (EG) Nr. 1781/2006. Diese Verordnung verpflichtet PSP, alle elektronischen Geldtransfers — unabhängig von Währung und Betrag — mit vollständigen Angaben zum Auftraggeber und Begünstigten zu begleiten. PSP, die Sofortüberweisungen anbieten, müssen ihre Kundendatenbanken sofort nach jeder Änderung der EU- oder nationalen Sanktionslisten filtern, mindestens jedoch täglich. Quelle: Verordnung (EU) 2023/1113, EUR-Lex

AMLD6 (Richtlinie (EU) 2024/1640) und AMLR (Verordnung (EU) 2024/1624) Mit Umsetzungsfrist 10. Juli 2027 erweitern diese Texte den Anwendungsbereich auf zusätzliche Kryptowerte-Dienstleister, harmonisieren die CDD-Schwellenwerte europaweit und errichten die Europäische Geldwäschebehörde (AMLA), die seit Anfang 2026 operativ ist. Quelle: Richtlinie (EU) 2024/1640, EUR-Lex

PSD3 und Zahlungsdienste-Verordnung (PSR) Eine vorläufige politische Einigung über PSD3 und die PSR wurde am 27. November 2025 erzielt. Die nationale Umsetzung in Deutschland wird für 2027-2028 erwartet. PSD3 führt eine verpflichtende IBAN/Name-Verifizierung für SEPA-Überweisungen ein und überarbeitet die Haftungsverteilung bei Betrug.

Einen vollständigen Überblick über die AMLD6-Anforderungen finden Sie in unserem AMLD6-Compliance-Leitfaden für Verpflichtete.

Konkrete KYC-Pflichten für PSP in Deutschland

Allgemeine Sorgfaltspflichten (CDD)

§ 10 Abs. 1 GwG verpflichtet PSP zur Feststellung und Überprüfung der Identität des Vertragspartners vor Begründung der Geschäftsbeziehung. Für natürliche Personen umfasst dies:

• Vollständiger Name, Geburtsort und -datum, Staatsangehörigkeit und Wohnanschrift
• Lichtbildausweis — Personalausweis, Reisepass oder Aufenthaltstitel
• Ggf. Steueridentifikationsnummer bei grenzüberschreitenden Finanzdienstleistungen
• Art und Zweck der beabsichtigten Geschäftsbeziehung

Für juristische Personen erstrecken sich die Pflichten auf die Ermittlung des wirtschaftlich Berechtigten — der natürlichen Person(en), die unmittelbar oder mittelbar mehr als 25 % der Kapitalanteile oder Stimmrechte halten oder auf andere Weise Kontrolle ausüben — nach § 3 GwG, mit Abgleich gegen das Transparenzregister (§ 23a GwG).

Der mehrschichtige Ansatz von CheckFile — der OCR-Extraktion, Metadatenprüfung und dokumentübergreifende Validierung verbindet — ermöglicht es PSP, diese Kontrollen zu automatisieren und dabei das von BaFin und Finanzaufsicht geforderte Prüfungsniveau zu erfüllen.

Verstärkte Sorgfaltspflichten: Auslöser und Verfahren

§ 15 GwG bestimmt die Situationen, die verstärkte Sorgfaltspflichten erfordern:

• Politisch exponierte Personen (PEP): hochrangige Amtsträger, Regierungsmitglieder, Richter höherer Gerichte und ihre nahen Familienangehörigen
• Kunden mit Bezug zu Hochrisikoländern gemäß FATF: Länder auf der Schwarzen Liste oder der Grauen Liste der FATF (FATF-Hochrisikoländer)
• Komplexe oder ungewöhnlich große Transaktionen ohne offensichtlichen wirtschaftlichen Zweck
• Nicht persönlich anwesende Kunden: ausschließlich digital ongeboardete Kunden ohne persönlichen Kontakt

Bei PEP-Kunden ist gemäß § 15 Abs. 5 GwG zusätzlich die Zustimmung eines Mitglieds der Führungsebene vor Aufnahme oder Fortsetzung der Geschäftsbeziehung einzuholen, sowie die Herkunft der Vermögenswerte zu klären.

Kontinuierliche Überwachung der Geschäftsbeziehung

PSP sind gemäß § 10 Abs. 1 Nr. 5 GwG zu einer kontinuierlichen Überwachung der Geschäftsbeziehung verpflichtet:

Die interne Richtlinie muss Überprüfungsintervalle nach Risikoklasse festlegen: jährlich für hochrisikobehaftete Kunden und PEP, alle zwei Jahre für mittleres Risiko, alle fünf Jahre für Niedrigrisikoklasse.

Schwellenwerte für PSP in Deutschland

Der physische Transport von Barmitteln in Höhe von 10.000 Euro oder mehr muss beim Zoll angemeldet werden.

Verdachtsmeldungen an die FIU: Meldepflichten für PSP

Die Financial Intelligence Unit (FIU) Deutschland, beim Bundeszollkriminalamt (BZKA) angesiedelt, ist die nationale Zentralstelle, die Verdachtsmeldungen entgegennimmt, analysiert und an zuständige Behörden weiterleitet. Alle verpflichteten PSP sind gemäß § 43 GwG verpflichtet, Tatsachen, die auf Geldwäsche oder Terrorismusfinanzierung hindeuten, unverzüglich der FIU zu melden — auch dann, wenn die Transaktion nicht ausgeführt wurde.

Meldungen erfolgen über das elektronische Meldeportal goAML der FIU. Kernpflichten:

• Meldung vor Durchführung der Transaktion, wenn möglich
• Absolute Vertraulichkeit — die Unterrichtung des Kunden über die Verdachtsmeldung ist strafbar (§ 47 GwG)
• Aufbewahrung sämtlicher die Meldung begründenden Unterlagen für fünf Jahre
• Bestellung eines Geldwäschebeauftragten (Pflicht ab bestimmten Schwellenwerten) gemäß § 7 GwG

Quelle: FIU Deutschland, goAML-Meldesystem

BaFin-Sanktionen: Was droht bei Nichteinhaltung?

Die BaFin verfügt gemäß § 56 GwG über weitreichende Sanktionsbefugnisse:

• Bußgelder: bis zu 5 Millionen Euro oder bis zu 10 % des jährlichen Gesamtumsatzes (der höhere Betrag gilt) für schwere Verstöße
• Öffentliche Bekanntmachung: Veröffentlichung der Sanktion auf der BaFin-Website mit sofortigen Reputationsfolgen
• Untersagungsverfügung: Verbot bestimmter Geschäftsaktivitäten oder Entfernung von Führungskräften
• Erlaubnisrücknahme: Ultima Ratio, die die Geschäftstätigkeit des PSP beendet

Der BaFin-Risikobericht 2026 betont, dass AML/CFT-Sonderprüfungen schwerpunktmäßig die Robustheit und Prüfungssicherheit der Kundenrisikoklassifizierung sowie die Wirksamkeit des Transaktionsmonitorings beurteilen werden. Quelle: BaFin, AML/CFT-Aufsichtsschwerpunkte 2026

KYC-Compliance automatisieren mit CheckFile

Automatisierte Dokumentenprüfung ist für PSP mit hohem Onboarding-Volumen eine operative Notwendigkeit. CheckFile bietet eine API, die sich direkt in Onboarding-Workflows integrieren lässt:

• Prüfung von über 3.200 Dokumententypen aus 32 Rechtssystemen, einschließlich Personalausweis, Reisepass und Aufenthaltstitel
• Automatische Extraktion biographischer Daten mit feldübergreifenden Konsistenzprüfungen
• Erkennung von veränderten, KI-generierten oder metadatenmanipulierten Dokumenten
• Gesetzeskonforme Aufbewahrung von Verifikationsnachweisen für fünf Jahre für BaFin-Audits
• Direkte Integration mit Risikomanagement-, CRM- und Kernbankensystemen

Um Ihren risikobasierten Ansatz zur AML-Kundensegmentierung zu stärken, weist CheckFile jedem geprüften Dossier automatisch Risikoindikatoren zu. Weitere Informationen zu den Preisoptionen für den API-Zugang finden Sie in unserem Preisgefüge-Leitfaden.

Häufig gestellte Fragen

Muss ein PSP die Identität aller Kunden prüfen?

Ja, aber die Intensität der Sorgfaltspflichten variiert je nach Risikoprofil. Vereinfachte Sorgfaltspflichten gelten für Niedrigrisikoexpositionen (z. B. nicht aufladbare Prepaidkarten ≤ 150 €). Standard-CDD gilt für die meisten Kunden. Verstärkte Sorgfaltspflichten sind bei PEP-Kunden, Kunden mit Bezug zu FATF-Hochrisikoländern und komplexen Transaktionen ohne erkennbaren wirtschaftlichen Zweck obligatorisch.

Wie oft muss die KYC-Akte eines Kunden aktualisiert werden?

Die Akte muss bei wesentlichen Änderungen der Kundensituation und in periodischen, risikoproportionalen Abständen aktualisiert werden. Empfehlung: jährlich für Hochrisiko-Kunden und PEP, alle zwei Jahre für mittleres Risiko, alle fünf Jahre für Niedrigrisiko.

Haben Neobanken und Fintechs dieselben Pflichten wie traditionelle Banken?

Ja, für die von ihrer ZAG-Erlaubnis abgedeckten Dienste. Ein von der BaFin zugelassenes Zahlungsinstitut hat dieselben GwG-Pflichten wie eine Bank für die von ihm erbrachten Zahlungsdienste. Der Unterschied liegt im Umfang der Erlaubnis, nicht im geforderten Compliance-Niveau.

Was ändert PSD3 an den KYC-Anforderungen für PSP?

PSD3 und die PSR stärken primär die Governance-Anforderungen und führen die IBAN/Name-Verifizierung bei SEPA-Überweisungen ein. Die gravierendsten KYC-Änderungen kommen durch AMLD6 und die AMLR, mit Umsetzungsfrist 10. Juli 2027.

Welche Anforderungen stellt das Transparenzregister an PSP?

Gemäß § 23a GwG sind PSP verpflichtet, die wirtschaftlich Berechtigten ihrer Kunden (juristische Personen) mit den Einträgen im Transparenzregister abzugleichen. Das Transparenzregister ist beim Bundesanzeiger Verlag elektronisch geführt und für Verpflichtete zugänglich. Unstimmigkeiten zwischen den Kundendaten und dem Registereintrag sind unverzüglich an das Transparenzregister zu melden.