Was ist KYB, wie funktioniert es und wozu dient es

Die angemessene Kundenprüfung betrifft nicht nur natürliche Personen. Wenn der Kunde ein Unternehmen ist, wird das KYC-Verfahren (Know Your Customer) entsprechend angepasst und wird zu Know Your Business, oder KYB. 

Neben der gesetzlichen Verpflichtung für die von den AML/CFT-Vorschriften (Anti-Geldwäsche und Bekämpfung der Terrorismusfinanzierung) betroffenen Parteien ist das KYB-Verfahren ein wichtiges Instrument des Risikomanagements, das hilft, Betrug zu verhindern, die Lieferkette zu schützen und sich vor rechtlichen und Reputationsrisiken zu schützen.

Was ist KYB (Know Your Business)?

Der KYB-Prozess, eine Abkürzung für Know Your Business, ist ein Prüfverfahren, das darauf abzielt, die Legitimität der Unternehmen zu bestätigen, mit denen Geschäftsbeziehungen eingegangen werden. Genau wie KYC (Know Your Customer) ist KYB ein Verfahren der Due Diligence, das darauf abzielt, Betrug, Geldwäsche und Terrorismusfinanzierung zu verhindern, und ist daher eine der zentralen Säulen der AML- (Anti-Money Laundering) und CTF-Vorschriften (Counter-Terrorism Financing).

Im Gegensatz zu KYC, das auf natürliche Personen angewendet wird, wird der KYB-Prozess verwendet, um die Authentizität und Zuverlässigkeit juristischer Personen wie Unternehmen zu überprüfen, unter anderem durch die Analyse der Unternehmensstruktur und der wirtschaftlich Berechtigten (Ultimate Beneficial Owner, UBO).

Für Banken, Finanzinstitute, Kryptowährungsunternehmen und andere von den AML/CFT-Regelungen betroffene Akteure ist KYB eine gesetzliche Pflicht, da es ein wesentlicher Bestandteil der Customer Due Diligence (CDD) ist. Unternehmen, die nicht zu den verpflichteten Parteien gehören, können freiwillig KYC- und KYB-Verfahren anwenden, um ihr Geschäftsrisiko zu managen (z. B. um Betrug und Insolvenzen zu vermeiden) und ihren Ruf zu schützen, indem sie sicherstellen, dass sie nicht mit unzuverlässigen Partnern oder Lieferanten in Verbindung gebracht werden, die in Skandale verwickelt sind. 

Wie werden KYB-Prüfungen durchgeführt?

Kurz gesagt, das KYB-Verfahren erfolgt in vier Hauptphasen:

1. Informationssammlung im KYB

Zunächst werden vom Kunden Informationen und Dokumente angefordert, um die notwendigen Daten zur Überprüfung der Existenz und Legitimität des Unternehmens zu erhalten. Unter anderem werden folgende Unterlagen benötigt:

• Die grundlegenden Unternehmensdaten wie Name, Sitz und Umsatzsteuer-Identifikationsnummer;
• Gründungs- oder Registrierungszertifikat;
• Aktueller Handelsregisterauszug;
• Organisationsstruktur des Unternehmens;
• Erklärung des wirtschaftlich Berechtigten, also der natürlichen Personen, die das Unternehmen kontrollieren.

In manchen Fällen können auch Satzung, Jahresabschlüsse, Lizenzen und Genehmigungen verlangt werden. Die jeweils anzuwendenden KYB-Verfahren hängen im Wesentlichen vom Risikolevel des Unternehmens ab.

2. Due Diligence im Know Your Business

Sobald die Daten gesammelt wurden, müssen sie mit denen aus den offiziellen öffentlichen Registern (z. B. dem Handelsregister) abgeglichen werden, um sicherzustellen, dass die vom Kunden bereitgestellten Informationen korrekt sind. Wie beim KYC gibt es kein universelles Verfahren: Die Due Diligence hängt vom Risikolevel der betreffenden Partei ab. 

Banken und Finanzinstitute müssen zunächst grundlegende Identifikationsinformationen sammeln, um die Art des Kunden, die geografische Region und die Art des angeforderten Dienstes festzustellen: Diese Informationen reichen aus, um eine vorläufige Risikobewertung vorzunehmen und damit die Art der anzuwendenden Due Diligence zu bestimmen.

Die Standard-Due-Diligence sieht zum Beispiel vor, KYC-Prüfungen aller natürlichen Personen an der Spitze des Unternehmens durchzuführen. Das bedeutet, ihre Identität zu überprüfen, Sanktionslisten zu prüfen, politisch exponierte Personen (PEP) zu identifizieren und nach negativen Medienberichten zu suchen, die die betreffende Person mit kriminellen Aktivitäten in Verbindung bringen oder ihren Ruf schädigen könnten.

Das Hauptziel dieses Prozesses ist es, potenzielle Risiken genauer zu bewerten, die mit einem bestimmten Unternehmen verbunden sind. Nach der Überprüfung der Daten und der Zuweisung eines ersten Risikoprofils ist es notwendig, die Informationen weiter zu analysieren, um die wichtigsten Merkmale des Unternehmens besser zu verstehen (Unternehmensstruktur, Hierarchie, finanzielle Situation, Geschäftsbeziehungen usw.).

3. Risikobewertung in der KYB-Kundenprüfung

Die Risikobewertung ist die entscheidendste Phase des KYB-Verfahrens. Der AML-Regelrahmen folgt einem risikobasierten Ansatz (Risk-Based Approach), der keine standardisierten Maßnahmen anwendet, sondern die Verfahren an das Risikolevel jeder Partei oder Tätigkeit anpasst. Das Risikolevel eines Unternehmens bestimmt die anzuwendenden Due-Diligence-Verfahren.

Die Risikobewertung erfolgt anhand verschiedener Faktoren, darunter der Tätigkeitssektor, die Komplexität der Unternehmensstruktur (je komplexer die Struktur, desto höher das Risiko) und die Ergebnisse der vorherigen Prüfungen.

Das Unternehmen wird dann einem Risikolevel zugeordnet und damit einer vereinfachten, normalen oder verstärkten Due Diligence. In diesem Moment wird entschieden, ob eine einfache Dokumentenprüfung ausreicht oder ob eine Standard-Due-Diligence oder noch tiefere Prüfungen erforderlich sind.

In jedem Fall kann das Onboarding erst nach der Festlegung der anzuwendenden Due-Diligence-Verfahren erfolgen.

4. KYB: laufende Überwachung

Die AML/CFT-Vorschriften verlangen eine kontinuierliche Überwachung der Geschäftsbeziehung und des Status des Kundenunternehmens, einschließlich der regelmäßigen Aktualisierung der vorhandenen Informationen. Für Kunden mit geringem Risiko reichen beispielsweise regelmäßige Überprüfungen der Handelsregisterauszüge und der wirtschaftlich Berechtigten alle 3–5 Jahre aus, während in der normalen Due Diligence Aktualisierungen in der Regel alle 2–3 Jahre stattfinden. 

Darüber hinaus erfolgt die Transaktionsüberwachung (mindestens für verpflichtete Parteien), die auf automatischen Warnungen für Transaktionen basiert, die nicht mit dem Unternehmensprofil übereinstimmen, oder gezielten Kontrollen, die beispielsweise das Transaktionsvolumen oder unerwartete Partner berücksichtigen. Für Hochrisikokunden, wie PEPs oder Unternehmen in Hochrisikoländern, wird diese Überwachung in Echtzeit durchgeführt und konzentriert sich auf die Erkennung bekannter Geldwäschemuster, wie Strukturierung oder die Nutzung von Briefkastenfirmen. In diesen Fällen umfasst die Überwachung auch die regelmäßige Prüfung negativer Medienberichte über Schlüsselpersonen und die Überprüfung der Herkunft der in bedeutenden Transaktionen verwendeten Mittel.

Warum KYB-Prüfungen durchführen?

Die KYB-Verfahren betreffen nicht nur verpflichtete Parteien wie Banken und Versicherungen. Fachleute und Unternehmen – insbesondere solche mit Geschäftsbeziehungen zu AML/CFT-Hochrisikoländern oder zur öffentlichen Verwaltung – sollten diese Art der Due Diligence als strategische bewährte Praxis betrachten. 

Kontrollen wie die im Rahmen des KYB vorgesehenen ermöglichen es, sich in vielerlei Hinsicht selbst zu schützen:

• Geschäftsrisikomanagement: Während die Analyse der Unternehmensstruktur undurchsichtige Verbindungen aufdecken kann, die die Zahlungsfähigkeit beeinflussen, stellt eine KYB-Prüfung sicher, dass Schlüssellieferanten nicht anfällig für Unterbrechungen, finanzielle Instabilität oder Sanktionen sind;
• Reputation: Die Zusammenarbeit mit einem kompromittierten Unternehmen kann erhebliche Reputationsschäden verursachen und das Vertrauen von Kunden, Investoren und Stakeholdern beeinträchtigen;
• Compliance: Die Anwendung von Due Diligence auf Geschäftspartner verhindert unbeabsichtigte Beteiligung an illegalen Aktivitäten und gewährleistet volle Konformität mit Gesetzen und Vorschriften auf lokaler, nationaler und internationaler Ebene.

Die Anwendung einer effektiven Due Diligence bei Kunden, Partnern und Lieferanten ermöglicht es beispielsweise, Lieferketten zu überwachen und Betrug bei Zahlungen, Rückerstattungen und sogenannten „Man-in-the-Middle“-Angriffen (oder IBAN-Betrug) zu verhindern. Außerdem hilft sie, die Beteiligung an Mehrwertsteuerbetrugssystemen zu erkennen und verringert insgesamt das Risiko vertraglicher Verstöße erheblich.