Skip to content
KI- & Deepfake-ErkennungNeu

KI-Signale, synthetische Medien, Deepfakes

KundenreferenzPreiseSicherheitVergleichBlog
GlossarLänderleitfädenChecklistenROI-Rechner

Europe

Americas

Oceania

Compliance7 min Lesezeit

Know Your Supplier (KYS): Lieferantenverifizierung und Compliance

KYS-Leitfaden für Deutschland: gesetzliche Pflichten aus GwG, LkSG und CSDDD, praktische Schritte zur Lieferantenprüfung und Dokumentation in 2026.

Das CheckFile-Team
Das CheckFile-Team·
Illustration for Know Your Supplier (KYS): Lieferantenverifizierung und Compliance — Compliance

Diesen Artikel zusammenfassen mit

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Know Your Supplier (KYS) bezeichnet alle Sorgfaltspflichten, die ein Unternehmen gegenüber seinen Lieferanten, Auftragnehmern und Wertschöpfungspartnern vor und während einer Geschäftsbeziehung anwendet. Ähnlich wie KYC (Know Your Customer) im Finanzsektor zielt KYS darauf ab, die rechtlichen, finanziellen und Reputationsrisiken jedes Drittpartners zu identifizieren. In Deutschland schaffen das Geldwäschegesetz (GwG), das Lieferkettensorgfaltspflichtengesetz (LkSG) und die EU-Richtlinie zur Lieferkettendue-Diligence (CSDDD) gemeinsam eine vielschichtige Verpflichtung zur Überprüfung von Geschäftspartnern.

Lieferantenbetrug — bei dem Kriminelle legitime Lieferanten imitieren, um Zahlungen umzuleiten — nimmt auch in Deutschland zu. Laut dem Lagebericht Wirtschaftskriminalität des Bundeskriminalamts (BKA) 2025 verursachten CEO- und Rechnungsbetrugsdelikte in Deutschland Schäden im dreistelligen Millionenbereich. Ein strukturiertes KYS-Programm ist eine der wirksamsten Präventivmaßnahmen.

Was KYS umfasst und warum es in Deutschland Pflicht ist

Ein robustes KYS-Programm adressiert drei Risikodimensionen: die rechtliche Identität des Lieferanten (Handelsregisternummer, aktueller HR-Auszug, wirtschaftlich Berechtigte), die Finanzlage (deponierte Jahresabschlüsse, Bonitätsbewertung, keine laufenden Insolvenzverfahren) und die regulatorische Reputation (Sanktionslisten, negative Medien, Verbindungen zu politisch exponierten Personen).

Das GwG verpflichtet Kreditinstitute, Versicherungsunternehmen, Notare, Rechtsanwälte und andere Verpflichtete zur Identifizierung und Verifizierung ihrer Kunden und — in bestimmten Konstellationen — der Dritten, mit denen sie Transaktionen durchführen. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) beaufsichtigt die Einhaltung im Finanzsektor; die zuständigen Landesbehörden überwachen andere Branchen. Bußgelder können bis zu 10 % des Jahresumsatzes oder 5 Millionen Euro betragen.

Das LkSG (Lieferkettensorgfaltspflichtengesetz), in Kraft seit dem 1. Januar 2023 für Unternehmen mit mehr als 3.000 Mitarbeitern in Deutschland und seit dem 1. Januar 2024 für Unternehmen ab 1.000 Mitarbeitern, verpflichtet zur jährlichen Risikoanalyse entlang der gesamten Lieferkette, einschließlich menschenrechtlicher und umweltbezogener Sorgfaltspflichten. Das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) überwacht die Umsetzung. Verstöße können mit Bußgeldern bis zu 8 Millionen Euro oder 2 % des Jahresumsatzes geahndet werden.

Rechtsgrundlage Anwendungsbereich Zentrale KYS-Pflicht
GwG (2017, letzte Änderung 2023) Verpflichtete (Banken, Notare, Anwälte, WP) Identifizierung und Verifizierung von Kunden und Dritten
LkSG (ab 1.1.2023 / 1.1.2024) Unternehmen ≥1.000 Mitarbeiter in DE Jährliche Risikoanalyse der Lieferkette (Menschenrechte, Umwelt)
CSDDD (Umsetzung 2025-2026) Unternehmen >500 MA und >150 Mio. € Umsatz Nachhaltigkeits-Due-Diligence in der Lieferkette
GWB / Vergaberecht Bieter im öffentlichen Auftragswesen Nachweise über Steuer- und Sozialversicherungspflichten

Die 5 Schritte eines wirksamen KYS-Prozesses

Schritt 1 — Dokumentenerfassung. Fordern Sie vor jeder Bestellung oder vertraglichen Bindung systematisch an: einen aktuellen Handelsregisterauszug (verfügbar über das Unternehmensregister), die Steuernummer / Umsatzsteuer-ID (Überprüfung über das EU-VIES-System), den letzten hinterlegten Jahresabschluss, die Angaben zu den wirtschaftlich Berechtigten aus dem Transparenzregister sowie IBAN-Daten mit Bankbestätigung.

Schritt 2 — Prüfung der rechtlichen Daten. Verifizieren Sie die Handelsregisternummer im Handelsregister des zuständigen Amtsgerichts auf aktiven Status, Geschäftsführer und Sitz. Konsultieren Sie das Transparenzregister für die Angaben zu wirtschaftlich Berechtigten. Prüfen Sie auf laufende Insolvenzverfahren über das Insolvenzbekanntmachungsportal.

Schritt 3 — Sanktions- und PEP-Screening. Das Screening muss mindestens die EU-Sanktionslisten (über sanctionsmap.eu), die OFAC SDN-Liste für US-Dollar-Transaktionen und die UN-Sicherheitsratslisten abdecken. Für GwG-Verpflichtete ist das PEP-Screening nach § 1 Abs. 12 GwG Pflicht. Nutzen Sie vorzugsweise automatisiertes Echtzeit-Screening.

Schritt 4 — Negative Medien- und ESG-Prüfung. Führen Sie strukturierte Recherchen zu Korruption, Arbeitsverstößen und Umweltvorfällen durch. Für Unternehmen, die unter das LkSG fallen, integrieren Sie einen Lieferanten-Selbstauskunftsbogen zu Menschenrechts- und Umweltstandards entsprechend dem BAFA-Leitfaden für Sorgfaltspflichten in der Lieferkette.

Schritt 5 — Laufende Überwachung. Richten Sie automatische Alerts für Handelsregisteränderungen (Geschäftsführerwechsel, Kapitaländerungen), Veröffentlichungen im Bundesanzeiger und Aktualisierungen von Sanktionslisten ein. Jede Anforderung zur Änderung von Bankdaten muss ein unabhängiges Verifikationsprotokoll auslösen — genau hier setzt der Lieferantenbetrug am häufigsten an.

Falscher-Lieferant-Betrug: das meistunterschätzte KYS-Risiko

Auf Compliance- und Treasury-Fachforen wird immer wieder die gleiche Frage gestellt: "Wie validieren wir eine Bankverbindungsänderung eines Lieferanten sicher?"

Die typische Vorgehensweise der Betrüger: Wochen oder Monate werden genutzt, um das Unternehmen, seine Einkäufer und bestehende Lieferantenbeziehungen zu recherchieren. Dann wird unmittelbar vor einer größeren Zahlung eine E-Mail versandt, die von der Absenderdomäne des legitimen Lieferanten nahezu nicht zu unterscheiden ist — mit der Bitte um eine "dringende" Bankverbindungsänderung.

Drei Kontrollmaßnahmen verhindern die meisten Fälle:

  1. Pflicht-Rückruf. Bei jeder IBAN-Änderungsanforderung per E-Mail den Lieferanten über die im ERP hinterlegte Telefonnummer zurückrufen — niemals über eine im E-Mail angegebene Nummer.
  2. Vier-Augen-Prinzip. Jede Bankdatenänderung muss von zwei Personen freigegeben werden, darunter mindestens einem Verantwortlichen aus dem Finanzbereich.
  3. Automatisierte IBAN-Überprüfung. Ein automatisierter Dokumentenprüfdienst, der die Kontoinhaber-Identität mit Firmendaten abgleicht, schließt diese Angriffsfläche wirkungsvoll. CheckFile unterstützt über 3.200 Dokumenttypen in 32 Jurisdiktionen, einschließlich deutscher Unternehmensdokumente.

Die AMLD6-Richtlinie (Richtlinie (EU) 2024/1640), die ab 2027 schrittweise in Kraft tritt, verschärft die Due-Diligence-Pflichten von Finanzinstituten gegenüber ihren Dienstleistern und risikoreichen Gegenparteien.

Weiterführende Informationen zur Erkennung gefälschter Dokumente finden Sie in unserem Artikel über KI-Techniken zur Dokumentenbetrugs-Erkennung.

Bereit, Ihre Prüfungen zu automatisieren?

Kostenloses Pilotprojekt mit Ihren eigenen Dokumenten. Ergebnisse in 48h.

Kostenloses Pilotprojekt anfragen

KYS, KYC und KYB: die Unterschiede im Überblick

Alle drei Konzepte adressieren Drittparteienrisiken, richten sich aber an unterschiedliche Zielgruppen:

  • KYC (Know Your Customer): Pflichtidentifizierung für GwG-Verpflichtete. Umfasst Kundenidentität, wirtschaftlich Berechtigte und laufende Transaktionsüberwachung.
  • KYB (Know Your Business): Beim B2B-Kunden-Onboarding angewendet; prüft Rechtsstatus, Eigentümerstruktur und Compliance-Stellung eines Unternehmens. Lesen Sie unseren KYB-Onboarding-Leitfaden.
  • KYS (Know Your Supplier): Auf Lieferanten und Subunternehmer angewendet; deckt Lieferkettenrisiken, Antikorruption und Nachhaltigkeitspflichten ab. Nicht auf regulierte Branchen beschränkt.

Ein ausgereiftes Third-Party-Risk-Management (TPRM)-Programm integriert alle drei Dimensionen in einem einheitlichen Rahmen, der typischerweise von Compliance, Recht und Einkauf gemeinsam gesteuert wird.

KYS-Akte aufbauen und aufbewahren

Das GwG (§ 8) verpflichtet GwG-Verpflichtete, Identifizierungsunterlagen und Prüfergebnisse für fünf Jahre nach Ende der Geschäftsbeziehung aufzubewahren. Für nicht dem GwG unterliegende Unternehmen empfiehlt sich eine Aufbewahrungsdauer von der Vertragslaufzeit plus fünf Jahre, abgestimmt auf die allgemeinen handels- und steuerrechtlichen Aufbewahrungsfristen.

Die KYS-Akte enthält mindestens:

  • Erfasste Dokumente mit Datum der Prüfung
  • Screening-Ergebnisse (Sanktionen, PEP, negative Medien) mit Datum und Anbieter
  • Identität der prüfenden und genehmigenden Personen
  • Änderungsprotokoll von Bankdaten mit zugehörigem Nachweis

CheckFile speichert alle Verifikationsnachweise in einem manipulationssicheren Audit-Trail nach ISO 27001 — für Ihre KYS-Dokumentation ohne zusätzlichen Aufwand. Weitere Informationen zu Leistungsumfang und Preisplänen für Lieferantenprüf-Workflows.

Häufig gestellte Fragen

Ist KYS in Deutschland für alle Unternehmen Pflicht?

Das GwG begründet direkte Pflichten für GwG-Verpflichtete. Für übrige Unternehmen ergeben sich KYS-Pflichten aus dem LkSG (ab 1.000 Mitarbeitern) und der CSDDD (ab 500 Mitarbeitern nach vollständiger Umsetzung). Mittelständische Unternehmen erhalten zunehmend KYS-Fragebögen von Großkunden als Voraussetzung für die Lieferantenqualifizierung.

Wie prüfe ich die wirtschaftlich Berechtigten eines Lieferanten in Deutschland?

Das Transparenzregister, geführt vom Bundesanzeiger Verlag, enthält die Angaben zu wirtschaftlich Berechtigten aller in Deutschland eingetragenen juristischen Personen. Seit Einführung des Vollregisters im August 2021 sind alle Unternehmen zur eigenständigen Eintragung verpflichtet — die Fiktion der Eintragung durch Abgleich mit Primärregistern gilt nicht mehr.

Was ist der Unterschied zwischen Lieferantenqualifizierung und KYS?

Die Lieferantenqualifizierung bewertet technische Leistungsfähigkeit, Qualität und Konditionen. KYS fokussiert auf Rechtsidentität, Bonität, wirtschaftlich Berechtigte und Regulierungsrisiken (Sanktionen, Korruption, Geldwäsche). Beide lassen sich in einem integrierten Lieferantenmanagement-Prozess zusammenführen, adressieren aber unterschiedliche Risikodimensionen.

Wie oft sollte die KYS-Prüfung wiederholt werden?

Mindestens einmal jährlich für alle aktiven Lieferanten, sowie unmittelbar bei jedem Auslöseereignis: Geschäftsführerwechsel, Bankdatenänderung, Vertragsverlängerung oder negative Medienberichterstattung. Hoch-risiko-Lieferanten (sensible Branchen, FATF-Hochrisikoländer) erfordern kontinuierliches Monitoring mit automatischen Alerts.

Was ist zu tun, wenn ein Lieferant die KYS-Prüfung nicht besteht?

Befunde dokumentieren, an Geschäftsleitung und Rechtsabteilung eskalieren und eine risikobasierte Entscheidung treffen: verstärkte Due Diligence bei Grenzfällen, Zahlungsaussetzung bei Bankunregelmäßigkeiten, Beendigung der Geschäftsbeziehung bei bestätigten Sanktionsverstößen. Im letzteren Fall sind GwG-Verpflichtete nach § 43 GwG zur Erstattung einer Verdachtsmeldung bei der Financial Intelligence Unit (FIU) verpflichtet.

Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine Rechtsberatung dar. Gesetzliche Pflichten variieren je nach Branche, Unternehmensgröße und Art der Geschäftsbeziehung. Wenden Sie sich an einen spezialisierten Rechtsberater für eine auf Ihre Situation zugeschnittene Analyse.

Bleiben Sie informiert

Erhalten Sie unsere Compliance-Analysen und Praxisleitfäden direkt in Ihr Postfach.

Bereit, Ihre Prüfungen zu automatisieren?

Kostenloses Pilotprojekt mit Ihren eigenen Dokumenten. Ergebnisse in 48h.

Verwandte Artikel

Compliance8 min

Geldwäsche-Compliance für Vermögensverwalter und Anlageberater 2026

Vollständiger Leitfaden zu GwG-Pflichten für Vermögensverwalter und Anlageberater in Deutschland 2026: KYC, verstärkte Sorgfaltspflichten, FIU-Meldungen, BaFin-Anforderungen und Dokumentenautomatisierung.

Lesen
Compliance7 min

Hinweisgeberschutzgesetz (HSchG): Compliance und Dokumentationspflichten 2026

Vollständige Dokumentationspflichten nach dem Hinweisgeberschutzgesetz (HSchG) und EU-Richtlinie 2019/1937: Meldekanäle, Fristen, Datenschutz und Bußgelder für deutsche Unternehmen.

Lesen
Compliance6 min

Verdachtsmeldungen nach GwG: Leitfaden für Verpflichtete 2026

Wie Verpflichtete nach dem Geldwäschegesetz (GwG) Verdachtsmeldungen über das goAML-Portal der FIU einreichen müssen: rechtliche Grundlage, Fristen, GwGMeldV 2026 und Sanktionen.

Lesen