Neobank und Digitalbank KYC/AML Compliance: Vollständiger Leitfaden 2026
KYC- und AML-Pflichten für Neobanken und Digitalbanken 2026: GwG, AMLD6, AMLR, BaFin-Aufsicht, Onboarding-Anforderungen und Transaktionsmonitoring. Praxisleitfaden für Fintech-Institute.
Diesen Artikel zusammenfassen mit
ChatGPT
Claude
Perplexity
Gemini
GrokNeobanken und Digitalbanken sind vollständig lizenzierte Kreditinstitute oder Zahlungsdienstleister, die denselben KYC- und AML-Pflichten unterliegen wie klassische Filialbanken. In Deutschland bedeutet das die Einhaltung des Geldwäschegesetzes (GwG), die Aufsicht durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sowie die Vorbereitung auf die unmittelbar anwendbare AMLR (Verordnung (EU) 2024/1624), die ab dem 10. Juli 2027 gilt. Das vollständig digitale Geschäftsmodell von Neobanken stellt besondere Anforderungen an digitales Onboarding, Liveness-Erkennung und laufendes Transaktionsmonitoring.
Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine rechtliche, finanzielle oder regulatorische Beratung dar. Die regulatorischen Verweise sind zum Veröffentlichungsdatum aktuell. Wenden Sie sich an einen qualifizierten Fachmann für eine auf Ihre Situation zugeschnittene Beratung.
Regulatorischer Rahmen für Neobanken in Deutschland
Neobanken unterliegen exakt denselben GwG-Pflichten wie traditionelle Kreditinstitute. Eine digitale Lizenz oder ein vollständig app-basiertes Geschäftsmodell ändert nichts an der gesetzlichen Einstufung als verpflichtetes Unternehmen im Sinne des § 2 GwG.
Anwendbare Gesetze und Aufsichtsbehörden
Das AML/KYC-Rahmenwerk in Deutschland stützt sich auf drei Säulen:
GwG (Geldwäschegesetz) ist das nationale AML-Rahmengesetz, das die Umsetzung der AMLD4 und AMLD5 enthält. Das Gesetz verpflichtet Kreditinstitute, Zahlungsdienstleister und E-Geld-Institute zur Kundensorgfaltspflicht (KYC), zur laufenden Überwachung und zur Meldung verdächtiger Transaktionen an die Zentralstelle für Finanztransaktionsuntersuchungen (FIU). Die BaFin ist die zentrale AML-Aufsichtsbehörde für Neobanken in Deutschland und kann auf Grundlage von § 57 GwG Bußgelder, Geschäftsbeschränkungen und den Entzug der Zulassung anordnen.
AMLR (Verordnung (EU) 2024/1624) gilt ab dem 10. Juli 2027 unmittelbar in allen EU-Mitgliedstaaten ohne nationale Umsetzung. Die AMLR harmonisiert Kundensorgfaltspflichten, führt standardisierte Verifizierungsmethoden ein und senkt die Transaktionsschwelle für Kryptowerte auf 1.000 Euro. Neobanken, die in mehreren EU-Märkten aktiv sind, profitieren von einem einheitlichen Rahmen, sehen sich jedoch auch mit strengeren Mindeststandards konfrontiert.
AMLD6 (Richtlinie (EU) 2024/1640) hat eine Umsetzungsfrist bis zum 10. Juli 2027 für den deutschen Gesetzgeber. Die Richtlinie erfordert Anpassungen des GwG hinsichtlich der Schwellenwerte für wirtschaftlich Berechtigte, Sanktionsregelungen und des Anwendungsbereichs verpflichteter Unternehmen.
AMLA (Verordnung (EU) 2024/1620) nimmt ab dem 1. Januar 2028 die Direktaufsicht über 40 grenzüberschreitende Institute mit erhöhtem Risiko auf. Neobanken mit Aktivitäten in mehreren EU-Mitgliedstaaten sollten prüfen, ob sie in diese Kategorie fallen.
Videoidentifizierung und Online-Ausweisverfahren nach GwG
Deutschland verfügt über spezifische gesetzliche Regelungen für die Fernidentifizierung, die Neobanken besondere Compliance-Sicherheit bieten:
§ 17 GwG – Videoidentifizierung (VideoIdent) ist als anerkanntes Verfahren zur Fernidentifizierung kodifiziert. Ein geschulter Agent verifiziert die Identität des Kunden per Video-Liveübertragung. Die technischen Anforderungen sind in den BaFin-Auslegungs- und Anwendungshinweisen zum GwG geregelt.
§ 12 GwG – Online-Ausweisverfahren (eID) ermöglicht die Nutzung des elektronischen Personalausweises (nPA) mit Online-Ausweisfunktion für die digitale Kundenfernidentifizierung. Die eID-basierte Identifizierung gilt als besonders sicher und wird von der BaFin als vollwertiger Ersatz für die Präsenzidentifizierung anerkannt.
Vollständig automatisierte Verfahren ohne menschlichen Agenten sind in Deutschland zulässig, sofern sie den Anforderungen der EBA/GL/2021/21-Leitlinien (aktualisiert Oktober 2023) entsprechen. Diese Leitlinien schreiben Liveness-Erkennung für alle automatisierten Onboarding-Prozesse ohne menschlichen Agenten vor.
| Identifizierungsverfahren | GwG-konform | Liveness-Erkennung erforderlich | Besonderheiten |
|---|---|---|---|
| Präsenzidentifizierung | Ja | Nein | Bei Neobanken selten |
| VideoIdent (§ 17 GwG) | Ja | Nein (Live-Kontakt) | Anerkanntes Standardverfahren |
| eID / Online-Ausweisverfahren (§ 12 GwG) | Ja | Nein (kryptographisch gesichert) | Höchste Sicherheitsstufe |
| Vollautomatisch (ohne Agenten) | Ja, gemäß EBA/GL/2021/21 | Ja, verpflichtend | Standard bei digitalen Neobanken |
| NFC-Chip-Verifizierung (ePassport) | Ja | Kombinierbar | Starke technische Absicherung |
KYC-Anforderungen für digitales Onboarding
Digitales Onboarding bei Neobanken muss dieselbe Verifizierungssicherheit bieten wie physisches Onboarding. Die EBA-Leitlinien stellen klar, dass das Risiko der physischen Abwesenheit des Kunden durch ergänzende technische Maßnahmen kompensiert werden muss.
Identitätsverifizierung: gesetzliche Mindestanforderungen
Ein vollständiges KYC-Verfahren für einen Privatkunden bei einer deutschen Neobank umfasst mindestens:
Dokumentenverifizierung. Das Identitätsdokument (Personalausweis, Reisepass oder in bestimmten Fällen Führerschein) muss auf Echtheit geprüft werden. Eine visuelle Prüfung eines hochgeladenen Fotos ist für vollautomatisches Onboarding unzureichend. Die Verifizierung muss zu einem Authentizitätsurteil auf Basis struktureller Merkmale, Sicherheitsmerkmale und Metadatenanalyse führen.
Biometrische Verifizierung mit Liveness-Erkennung. Das Live-Selfie oder Video des Kunden wird mit dem Lichtbild im Identitätsdokument abgeglichen. Liveness-Erkennung verhindert, dass ein Angreifer ein Foto, ein Video oder einen Deepfake einsetzt. Ohne Liveness-Erkennung erfüllt das Verfahren nicht die Anforderungen der EBA/GL/2021/21 für automatisiertes Onboarding.
Screening-Prüfungen. Jeder neue Kunde wird gegen Sanktionslisten (EU, UN, OFAC), PEP-Register und Negativmedien geprüft. Die BaFin erwartet, dass diese Prüfungen sowohl beim Onboarding als auch laufend während der gesamten Geschäftsbeziehung durchgeführt werden.
Risikoeinstufung. Auf Basis der zusammengeführten Informationen wird eine Risikoeinstufung festgelegt (niedrig, standard, erhöht). Diese Einstufung bestimmt das Niveau der Kundensorgfaltspflicht und die Häufigkeit von Überprüfungen.
CheckFile unterstützt die Verifizierung von über 3.200 Dokumententypen in 32 Jurisdiktionen durch mehrstufige Analyse (strukturell, Metadaten, dokumentübergreifende Konsistenz). Dies deckt den Dokumentenumfang ab, den Neobanken für grenzüberschreitende Kundenstämme benötigen.
Identifizierung wirtschaftlich Berechtigter bei Geschäftskunden
Für Geschäftskunden gelten ergänzende Pflichten. § 3 GwG verpflichtet zur Identifizierung des wirtschaftlich Berechtigten: der natürlichen Person, die unmittelbar oder mittelbar mehr als 25 % der Kapitalanteile oder Stimmrechte hält oder auf vergleichbare Weise Kontrolle ausübt. Das Transparenzregister ist die primäre Referenzquelle in Deutschland. Stimmen Registerangaben und vom Kunden übermittelte Informationen nicht überein, muss die Diskrepanz untersucht und dokumentiert werden.
Unter der AMLR (ab 10. Juli 2027) sinkt die Schwelle für wirtschaftlich Berechtigte von 25 % auf 15 % bei Einheiten mit erhöhtem Risiko. Neobanken, die jetzt ihre Identifizierungsverfahren aufbauen, sollten diese bevorstehende Anforderung in die Systemarchitektur einplanen.
Verstärkte Kundensorgfaltspflichten (EDD) bei digitalen Kanälen
Bestimmte Kundenkategorien erfordern verstärkte Sorgfaltspflichten (Enhanced Due Diligence, EDD), unabhängig vom digitalen Charakter der Dienstleistung:
- Politisch exponierte Personen (PEPs) sowie deren Familienmitglieder und enge Mitarbeiter
- Kunden aus oder Transaktionen in Hochrisikoländer (FATF-Liste, EU-Hochrisikoliste)
- Geschäftskunden mit komplexen oder intransparenten Eigentumsstrukturen
- Kunden, bei denen die anfängliche Verifizierung Fragen zur Herkunft der Mittel aufwirft
EDD erfordert die Zustimmung der Geschäftsleitung vor Aufnahme der Geschäftsbeziehung, die Dokumentation der Herkunft von Vermögen und Mitteln sowie eine intensivere laufende Überwachung.
AML-Pflichten: Transaktionsmonitoring und Verdachtsmeldungen
Neobanken müssen über ein laufendes Transaktionsüberwachungssystem verfügen, das abweichendes Verhalten gegenüber dem erwarteten Kundenprofil erkennt. Dies ist eine Kernpflicht nach § 25h GwG und wird unter der AMLR ausdrücklich erweitert.
Anforderungen an das Transaktionsmonitoring
Wirksames Transaktionsmonitoring bei Neobanken umfasst:
Verhaltensbasierte Erkennung. Transaktionen werden im Verhältnis zum Nutzungsmuster des einzelnen Kunden (Onboarding-Profil, Transaktionshistorie, Branchenkategorie) bewertet. Abweichungen oberhalb festgelegter Schwellenwerte erzeugen Hinweismeldungen zur weiteren Prüfung.
Szenariobasierte Regeln. Ergänzend zur Verhaltensanalyse gibt es feste Szenarien, die unabhängig vom Kundenprofil eine Meldung auslösen: plötzliche große Einzahlungen, schnelle Geldtransfers (Layering), häufige internationale Überweisungen in Hochrisikogebiete oder die Nutzung mehrerer Konten für aufgesplittete Transaktionen (Structuring).
Laufendes Screening. Sanktionsscreening findet nicht nur beim Onboarding, sondern auch bei jeder Transaktion statt. Die EU-Sanktionsverordnungen erfordern ein Echtzeit-Screening der Gegenparteien bei der Zahlungsabwicklung.
Verdachtsmeldungen an die FIU
§ 43 GwG verpflichtet verpflichtete Unternehmen zur unverzüglichen Meldung von Verdachtsfällen an die FIU (Zentralstelle für Finanztransaktionsuntersuchungen). Eine Neobank muss:
- Interne Verfahren zur Eskalation von Hinweismeldungen an einen geschulten Compliance-Mitarbeiter vorhalten
- Entscheidungen über die Meldung oder Nicht-Meldung dokumentieren, unabhängig vom Ergebnis
- Meldungen über das goAML-Portal der FIU einreichen
- Das Tipping-off-Verbot einhalten: Der Kunde darf nicht darüber informiert werden, dass eine Verdachtsmeldung erstattet wurde (§ 47 GwG)
Die Meldepflicht ist objektiv: Im Zweifelsfall wird gemeldet. Es ist ausdrücklich nicht Aufgabe der Institution festzustellen, ob tatsächlich Geldwäsche vorliegt.
Die Travel Rule für Zahlungsdienstleister
Neobanken, die Zahlungsdienste anbieten, unterliegen der Travel Rule gemäß Verordnung (EU) 2015/847 (geändert durch Verordnung (EU) 2023/1113). Bei jeder Überweisung über 1.000 Euro müssen Angaben zum Auftraggeber an den empfangenden Zahlungsdienstleister übermittelt werden. Für Kryptowerte gilt die Travel Rule bei allen Transaktionen unabhängig von einem Schwellenwert.
Thema vertiefen
Entdecken Sie unsere Praxisleitfäden und Ressourcen zur Dokumenten-Compliance.
Leitfäden entdeckenHäufige Compliance-Fehler und Bußgelder
Unzureichende KYC/AML-Compliance bei Neobanken hat zu erheblichen Aufsichtsmaßnahmen geführt. Die Branche ist aufgrund ihres innovativen Charakters oder technologischen Ansatzes nicht von der Durchsetzung ausgenommen.
Bekannte Durchsetzungsfälle
N26 (BaFin, 2021). Die BaFin verhängte gegen N26 ein Bußgeld von 4,25 Millionen Euro wegen Mängeln in den AML-Verfahren und beschränkte das Wachstum auf 50.000 neue Kunden pro Monat. Die Aufsichtsbehörde stellte fest, dass die Transaktionsüberwachungssysteme nicht auf das tatsächliche Risikoprofil des Kundenstamms kalibriert waren und dass die FIU-Meldungen unvollständig und verspätet erfolgten. Das BaFin-Bußgeld von 4,25 Millionen Euro gegen N26 ist der bislang markanteste AML-Durchsetzungsfall gegen eine europäische Neobank und verdeutlicht, dass skaliertes Wachstum ohne entsprechend skalierte Compliance-Infrastruktur ein direktes Aufsichtsrisiko darstellt.
Starling Bank (FCA, Oktober 2024). Die britische Aufsichtsbehörde FCA verhängte gegen Starling Bank ein Bußgeld von 29 Millionen Pfund wegen gravierender Mängel in den Finanzkriminalitätskontrollen. Die FCA stellte fest, dass Starling kontinuierlich neue Kunden akzeptiert hatte, obwohl Schwächen im KYC-System bekannt waren, und dass das Transaktionsüberwachungsrahmenwerk nicht mit dem Wachstum des Kundenstamms mitgewachsen war.
Revolut (PRA/FCA, Juli 2024). Revolut erhielt im Juli 2024 die britische Banklizenz von PRA und FCA – nach einem mehrjährigen Prüfprozess, der intensive Kontrollen des AML/KYC-Rahmens umfasste. Dies verdeutlicht, dass Neobanken, die eine vollständige Banklizenz anstreben, ein deutlich höheres Maß an Compliance-Reife nachweisen müssen als Zahlungsdienstleister.
| Institut | Aufsichtsbehörde | Jahr | Sanktion | Kern des Verstoßes |
|---|---|---|---|---|
| N26 | BaFin (DE) | 2021 | 4,25 Mio. € + Wachstumsbeschränkung | Unzureichendes Transaktionsmonitoring, verspätete FIU-Meldungen |
| Starling Bank | FCA (UK) | 2024 | 29 Mio. £ | Systemische KYC-Mängel bei schnellem Wachstum |
| Monzo | FCA (UK) | 2024 | Untersuchung | Onboarding von Hochrisikokunden ohne angemessene EDD |
Häufigste Compliance-Fehler bei Neobanken
Unzureichende Liveness-Erkennung. Verifizierungsprozesse, die nicht zwischen einer lebenden Person und einem Foto oder Deepfake unterscheiden, entsprechen nicht den EBA-Leitlinien und setzen das Institut dem Risiko synthetischer Identitätsfälle aus.
Nicht angepasste Risikoklassifizierung bei schnellem Wachstum. Neobanken, die schnell skalieren, aktualisieren ihre Risikomodelle häufig nicht entsprechend dem sich verändernden Kundenprofil. Das Ergebnis ist eine systematische Unterschätzung des Risikos bei Kundenkategorien, die tatsächlich erhöhte Aufsicht erfordern.
Unvollständige Dokumentation der Entscheidungslogik. Die BaFin erwartet, dass jede Compliance-Entscheidung nachvollziehbar dokumentiert ist: Warum wurde ein Kunde als geringes Risiko eingestuft? Warum wurde eine Transaktionshinweismeldung ohne FIU-Meldung geschlossen? Fehlende oder unzureichend dokumentierte Entscheidungen sind für sich genommen bereits ein Verstoß gegen § 8 GwG (Aufzeichnungs- und Aufbewahrungspflichten).
Zu enge Monitoring-Szenarien. Transaktionsüberwachungsregeln, die ausschließlich Schwellenwertüberschreitungen überwachen und keine Verhaltensmuster analysieren, erkennen keine ausgefeilten Geldwäschemethoden wie Layering über mehrere kleine Transaktionen.
Aufbau eines robusten Compliance-Programms
Ein robustes KYC/AML-Compliance-Programm für eine Neobank ruht auf fünf Säulen: Governance, Risikoanalyse, Kundensorgfaltspflichten, Transaktionsmonitoring und Schulung. Die BaFin bewertet nicht nur, ob Verfahren auf dem Papier vorhanden sind, sondern ob sie effektiv umgesetzt werden.
Governance und interne Organisation
Jedes verpflichtete Unternehmen muss einen Geldwäschebeauftragten gemäß § 7 GwG benennen, der auf ausreichend hoher Hierarchieebene in der Organisation angesiedelt ist. Bei Neobanken mit Matrixorganisationsstruktur muss klar sein, welche Führungskraft die Endverantwortung für die AML-Compliance in jeder Jurisdiktion trägt, in der das Institut tätig ist. Die BaFin erwartet, dass der Geldwäschebeauftragte eine direkte Berichtslinie zur Geschäftsleitung hat und unabhängig von kommerziellen Teams agieren kann.
Die BaFin-Auslegungs- und Anwendungshinweise zum GwG bieten detaillierte Hinweise zu den Mindestanforderungen an die organisatorische Aufstellung verpflichteter Unternehmen.
Risikoanalyse und Risikoklassifizierungssystem
Der risikobasierte Ansatz erfordert eine dokumentierte institutionelle Risikoanalyse, die mindestens jährlich aktualisiert wird. Die Risikoanalyse identifiziert, welche Kundenkategorien, Produkte, Vertriebskanäle und geografischen Märkte die höchsten AML/CFT-Risiken aufweisen. Auf dieser Basis werden die Kundensorgfaltspflichten, Überwachungsschwellen und EDD-Auslöser kalibriert.
Für Neobanken sind zwei Risikofaktoren besonders relevant:
- Der vollständig digitale Onboarding-Kanal (erhöhtes Risiko synthetischer Identitäten und Dokumentenfälschungen)
- Der internationale Kundenstamm (erhöhtes Risiko grenzüberschreitender Geldtransfers in Hochrisikogebiete)
Technische Infrastruktur für Compliance
Die BaFin-Aufsichtspraxis und die EBA-Leitlinien machen deutlich, dass manuelle Prozesse bei der Größenordnung von Neobanken unzureichend sind. Die technische Infrastruktur muss mindestens umfassen:
- Automatisierte Dokumentenverifizierung mit einem klaren Prüfpfad pro Kunde
- Liveness-Erkennung integriert in den Onboarding-Ablauf
- Echtzeit-Sanktionsscreening gekoppelt an die Zahlungsabwicklung
- Transaktionsüberwachungssystem mit Szenarioverwaltung und Hinweismeldungsworkflow
- Sichere Dokumentenaufbewahrung für mindestens fünf Jahre (§ 8 GwG)
CheckFile's KYC-Lösung für Banken bietet mehrstufige Dokumentenanalyse (strukturell, Metadaten, dokumentübergreifende Konsistenz) und generiert den Prüfpfad, den GwG und AMLR vorschreiben.
Vorbereitung auf die AMLR 2027
Neobanken, die jetzt ihr Compliance-Programm aufbauen oder erneuern, müssen die AMLR-Anforderungen berücksichtigen, die ab dem 10. Juli 2027 in Kraft treten. Die folgenreichsten Änderungen gegenüber dem aktuellen GwG sind:
- Absenkung der Schwelle für wirtschaftlich Berechtigte von 25 % auf 15 % (und 5 % bei intransparenten Strukturen)
- Harmonisierte Kundensorgfaltspflichten in allen EU-Mitgliedstaaten (relevant für Neobanken mit EU-Pass)
- Verpflichtende biometrische Verifizierung bei allen automatisierten Onboarding-Prozessen
- Ausweitung der Screening-Pflichten auf Kryptowerte-Transaktionen ab 1.000 Euro
Weiterführend empfehlen wir unseren Leitfaden zur Anti-Geldwäsche-Compliance und den AMLD6-Compliance-Leitfaden für verpflichtete Unternehmen.
Regelmäßige Überprüfung und Testen
Ein Compliance-Programm, das zum Zeitpunkt der Implementierung angemessen war, kann bei zunehmendem Kundenstamm, neuen Produkteinführungen oder sich veränderndem Risikoklima unzureichend werden. Die BaFin erwartet, dass Neobanken ihr Compliance-Programm regelmäßig unabhängig prüfen lassen. Dies kann in Form einer internen Revisionsprüfung, eines Compliance-Monitoring-Programms oder einer externen Bewertung erfolgen.
Informieren Sie sich auf der Sicherheitsseite von CheckFile darüber, wie Dokumentenverifizierung zu einem prüfbaren Compliance-Dossier beiträgt.
Häufig gestellte Fragen
Unterliegen Neobanken in Deutschland denselben KYC- und AML-Pflichten wie klassische Banken?
Ja. Neobanken, die in Deutschland als Kreditinstitut, Zahlungsinstitut oder E-Geld-Institut tätig sind, sind verpflichtete Unternehmen im Sinne von § 2 GwG. Sie unterliegen uneingeschränkt allen GwG-Pflichten: Kundensorgfaltspflichten, laufende Überwachung, Meldepflicht bei Verdachtsfällen und Aufzeichnungs- sowie Aufbewahrungspflichten. Das digitale oder app-basierte Geschäftsmodell ändert nichts an dieser rechtlichen Einstufung. Die BaFin ist die zuständige AML-Aufsichtsbehörde; bei Banklizenzinhabern übt die BaFin auch die prudentielle Aufsicht aus.
Was sind die spezifischen Anforderungen an die Liveness-Erkennung beim digitalen Onboarding?
Die EBA/GL/2021/21-Leitlinien (aktualisiert Oktober 2023) schreiben vor, dass bei vollautomatischem Onboarding ohne menschlichen Agenten eine Liveness-Erkennung verpflichtend ist. Das bedeutet, dass das Verifizierungssystem nachweisen muss, dass die Person, die das Dokument vorlegt, eine lebende Person und kein Foto, kein Video und kein Deepfake ist. Die technische Umsetzung kann variieren (passive Liveness-Erkennung, aktive Challenges, 3D-Tiefenanalyse), das resultierende Sicherheitsniveau muss jedoch vergleichbar mit dem sein, was ein geschulter menschlicher Agent bei physischer Verifizierung erreichen würde. Die BaFin bewertet Liveness-Erkennung im Rahmen ihrer GwG-Aufsicht bei Neobanken.
Welche Konsequenzen hat unzureichende AML-Compliance für eine Neobank?
Das GwG sieht Bußgelder von bis zu 1 Million Euro oder — bei schwerwiegenden, wiederholten oder systematischen Verstößen — bis zu 5 Millionen Euro oder 10 % des jährlichen Gesamtumsatzes vor (§ 56 GwG). Ergänzend drohen Wachstumsbeschränkungen (wie bei N26), die Veröffentlichung der Maßnahme auf der BaFin-Website sowie der Entzug der Zulassung. Unter AMLD6 steigen die Höchstgrenzen auf 10 Millionen Euro oder 10 % des Jahresumsatzes. Darüber hinaus können Geschäftsleiter und Geldwäschebeauftragte persönlich haftbar gemacht werden.
Wie unterscheidet sich KYC bei Neobanken von klassischen Banken in der Praxis?
Die gesetzlichen Pflichten sind identisch: Neobanken sind dieselben verpflichteten Unternehmen wie klassische Banken. Der Unterschied liegt in der Umsetzung. Neobanken führen nahezu ihr gesamtes Onboarding vollständig digital und aus der Ferne durch, weshalb sie auf automatisierte Dokumentenverifizierung und Liveness-Erkennung anstatt auf persönlichen Kontakt angewiesen sind. Dies bringt spezifische technische Risiken mit sich (Deepfakes, synthetische Identitäten, Dokumentenmanipulationen), denen klassische Banken beim Schalter-Onboarding seltener begegnen. Die EBA-Leitlinien adressieren dies, indem sie für automatisiertes Onboarding ausdrücklich zusätzliche technische Maßnahmen vorschreiben.
Welche Nachweise muss eine Neobank bei einer BaFin-Prüfung vorlegen?
Die BaFin erwartet, dass eine Neobank bei einer Prüfung nachweisen kann: (1) eine aktuelle und dokumentierte institutionelle Risikoanalyse, (2) dokumentierte Kundensorgfaltspflichten für alle Kundenkategorien, (3) individuelle Kundendossiers mit Verifizierungsnachweisen und Risikoeinstufung, (4) eine Übersicht der bei der FIU erstatteten Verdachtsmeldungen, (5) Protokolle des Transaktionsmonitorings einschließlich Entscheidungen zur Nachverfolgung von Hinweismeldungen, und (6) Belege für regelmäßige Schulungen der Mitarbeiter zur Geldwäscheerkennung. Fehlende oder unzureichend dokumentierte Elemente werden von der BaFin als Mängel eingestuft, auch wenn die zugrunde liegenden Prozesse faktisch durchgeführt wurden.
Was ändert sich für Neobanken unter der AMLR ab dem 10. Juli 2027?
Die AMLR (Verordnung (EU) 2024/1624) gilt ab dem 10. Juli 2027 unmittelbar. Für Neobanken sind die relevantesten Änderungen: (1) Die Schwelle für wirtschaftlich Berechtigte sinkt von 25 % auf 15 % (und 5 % bei intransparenten Strukturen), (2) biometrische Verifizierung beim automatisierten Onboarding wird EU-weit verpflichtend, (3) Kundensorgfaltspflichten werden über alle Mitgliedstaaten harmonisiert — ein Vorteil für Neobanken mit EU-Lizenz, (4) die Schwelle für die Screening-Pflicht bei Kryptowerte-Transaktionen wird auf 1.000 Euro gesetzt. Neobanken sollten ihre technischen Systeme, Risikomodelle und Sorgfaltspflichten vor diesem Datum aktualisiert haben.
Nächste Schritte: Ihr Compliance-Programm bewerten
Die AMLR-Frist am 10. Juli 2027 und der zunehmende Aufsichtsdruck der BaFin machen eine strukturierte Herangehensweise an KYC/AML-Compliance bei Neobanken unabdingbar. Die Fehler, die N26 und Starling Bank teuer zu stehen kamen, sind im Kern dieselben: eine technische Infrastruktur, die nicht mit dem Wachstum des Kundenstamms mitgewachsen ist.
CheckFile bietet eine KYC-Plattform für Banken und Neobanken mit mehrstufiger Dokumentenverifizierung (strukturell, Metadaten, dokumentübergreifende Konsistenz) für über 3.200 Dokumententypen in 32 Jurisdiktionen. Jeder Verifizierungsschritt wird protokolliert und ist nachvollziehbar, sodass Sie den Prüfpfad vorweisen können, den BaFin und AMLR verlangen.
Informieren Sie sich über unsere Preise oder fordern Sie eine Demo an, um zu beurteilen, wo Ihre aktuellen KYC-Prozesse im Verhältnis zu den Anforderungen von 2027 stehen.
Weiterführende Lektüre: Für einen vollständigen Überblick über das bevorstehende AML-Rahmenwerk lesen Sie unseren Leitfaden zur Anti-Geldwäsche-Compliance und den AMLD6-Compliance-Leitfaden für verpflichtete Unternehmen. Für die dokumentarische Compliance im weiteren Sinne empfehlen wir den vollständigen Leitfaden zur dokumentarischen Compliance.
Bleiben Sie informiert
Erhalten Sie unsere Compliance-Analysen und Praxisleitfäden direkt in Ihr Postfach.