Einleitung
Bei Namirial arbeiten wir intensiv mit Kunden im Finanzdienstleistungssektor zusammen – von Banken und Zahlungsdienstleistern bis hin zu aufstrebenden Fintechs und Anbietern von Krypto-Assets. Eine wiederkehrende Herausforderung in diesen Projekten war es, die Prozesse für Kunden-Onboarding und KYC mit einem zunehmend komplexen regulatorischen Rahmen in Einklang zu bringen. Daher möchten wir in diesem Artikel das aktuelle regulatorische Umfeld erläutern, die Koexistenz von eIDAS 2.0, GWG, GWG6, PSD3, PSR und MiCAR hervorheben und darstellen, warum Investitionen in skalierbare Onboarding-Prozesse heute ein strategisches Gebot sind – insbesondere angesichts der bevorstehenden Einführung der Europäischen Digitalen Identitäts-Wallet (EUDI Wallet).
Aktueller Stand von KYC in regulierten Sektoren
1. GWG und AMLD6
Die Anti-Geldwäsche-Verordnung (oder Geldwäsche-Gesetz, GWG oder engl. Anti-Money-Laundering Regulation, AMLR, EU 2024/1624) stärkt den risikobasierten Ansatz für Verpflichtete in der gesamten EU. Sie wird ab Juli 2027 vollständig anwendbar sein und lässt bis dahin Zeit zur Vorbereitung. Ziel ist es, die Anforderungen an die Kunden-Due-Diligence in den Mitgliedstaaten zu harmonisieren, damit Banken, Zahlungsdienstleister, Versicherer und Krypto-Asset-Unternehmen auf eine gemeinsame Grundlage zurückgreifen können. Bemerkenswert ist, dass das GWG ausdrücklich die Rolle der Qualified Trust Service Providers (QTSPs) anerkennt und damit eine erste Brücke zum eIDAS-Rahmen schafft, auf den wir später eingehen werden. Als führender QTSP sind wir kontinuierlich gefordert, unsere Dienstleistungen an die Bedürfnisse von Kunden im Finanzsektor anzupassen. In diesem Zusammenhang ist auch die jüngste Einrichtung der Anti-Geldwäsche-Behörde (Anti-Money Laundering Authority, AMLA) hervorzuheben, die derzeit ihr Personal aufbaut und die Einhaltung auf europäischer Ebene überwachen wird – im Einklang mit dem in dem GWG und AMLAR festgelegten Aufsichtsmandat.
Die Sechste Anti-Geldwäsche-Richtlinie (AMLD6) ergänzt das GWG, indem sie die strafrechtliche Haftung erweitert und Lücken in den nationalen Umsetzungen schließt. Gemeinsam heben diese Rahmenwerke den Standard für KYC-Prozesse an und verlangen robuste Infrastrukturen für Identifizierung, Überwachung und Berichterstattung.
2. PSD3 und PSR
Die Payment Services Directive 3 (PSD3) und die Payment Services Regulation (PSR) zielen darauf ab, die Zahlungsaufsicht zu modernisieren und eine stärkere Harmonisierung herbeizuführen. Beide sollen ab 2026 gelten und die Strukturierung von KYC- und Betrugspräventionskontrollen durch Zahlungsdienstleister (PSPs) neu gestalten. Diese Rechtsinstrumente verstärken die Verpflichtungen zur Identitätsprüfung, zur Verhinderung von Kontoübernahmen und zur Angleichung an die Anforderungen des GWG.
3. MiCAR
Die Markets in Crypto-Assets Regulation (MiCAR) trat im Juni 2023 in Kraft, mit gestaffelter Anwendung. Seit Dezember 2024 gelten die Vorschriften für Stablecoins (EMTs und ARTs) vollständig, während die umfassenderen Pflichten für Krypto-Asset-Dienstleister ab Juni 2026 greifen. MiCAR verlangt KYC-Prozesse, die den Anforderungen aus AMLR und PSD3/PSR entsprechen und etabliert damit einen integrierten Rahmen für digitale Vermögenswerte.
Die Rolle von eIDAS 2.0 und der Europäischen Digitalen Identitäts-Wallet
Von eIDAS zu eIDAS 2.0
Die eIDAS-Verordnung (2014) legte die Grundlage für grenzüberschreitendes Vertrauen in die elektronische Identifizierung. Die aktualisierte eIDAS 2.0 (Verordnung EU 2024/1183) trat im Mai 2024 in Kraft und führte die Europäische Digitale Identitäts-Wallet (EUDI Wallet) als zentrales Instrument für eine sichere, interoperable digitale Identität in der gesamten EU ein.
Wichtige Fristen und Artikel 5f
Nach Artikel 5f sind die Mitgliedstaaten und große private vertrauende Beteiligte (Relying Parties) in regulierten Sektoren verpflichtet, die Europäische Digitale Identitäts-Wallet spätestens ab dem 24.12.2027 für starke Authentifizierung zu akzeptieren (Danke, Weihnachtsmann!). Diese Bestimmung umfasst Bereiche wie Banken, Finanzdienstleistungen, Energie, Verkehr und Telekommunikation. Darüber hinaus müssen die Mitgliedstaaten sicherstellen, dass spätestens bis Dezember 2026 mindestens eine Wallet pro Land allen Bürgerinnen und Bürgern zur Verfügung gestellt wird. Diese Fristen markieren entscheidende Meilensteine für die universelle Einführung, zusammen mit Zwischenschritten wie der Annahme von Durchführungsrechtsakten (bereits seit November 2024 im Gange) und nationalen Vorbereitungen für Zertifizierungs- und Aufsichtsrahmen.
Datenschutz und Benutzerkontrolle
Die Wallet ist nach Privacy-by-Design-Prinzipien gestaltet, die Datenminimierung, Transparenz und Benutzerkontrolle gewährleisten. Durch die Nutzung von Qualified Electronic Attestations of Attributes (QEAA) verspricht die EUDI Wallet, das Onboarding zu vereinfachen und gleichzeitig mit der DSGVO und anderen Datenschutzvorgaben in Einklang zu bleiben.
Zusammenspiel zwischen den Regulierungen
Die Komplexität verstehen
Es ist hilfreich, die Wechselwirkungen zwischen diesen verschiedenen Regulierungen und ihren Durchführungs- oder delegierten Rechtsakten zu verstehen. Die Anzahl der übereinandergelegten Regeln und Standards ist beträchtlich: So sieht die eIDAS-Verordnung allein 36 Durchführungsrechtsakte vor, die auf etwa 70+ technische Standards verweisen, während das GWG von eigenen delegierten Rechtsakten begleitet wird. Dieses wachsende regulatorische Ökosystem macht es umso wichtiger, integrierte Ansätze für KYC und Onboarding zu entwickeln. Im Folgenden eine grobe Übersicht mit einigen der wichtigsten Zusammenhänge, die wir beobachtet haben.
1. eIDAS 2.0 + AMLR/AMLD6
Ein nützlicher Vergleich ergibt sich zwischen Artikel 24 der eIDAS und Artikel 22 der AMLR. Artikel 24 der eIDAS definiert Anforderungen an elektronische Identifizierungs- und Vertrauensdiensteanbieter und legt einen Rahmen für Identitätsprüfungsprozesse fest. Mit dem neuesten Durchführungsrechtsakt wird dabei direkt auf die neue Norm ETSI 119 461 verwiesen, die Anforderungen und Anwendungsfälle für unterschiedliche Szenarien detailliert definiert. Parallel dazu legt Artikel 22 der AMLR die Anforderungen an die Kunden-Due-Diligence für Verpflichtete fest und präzisiert die Bedingungen, unter denen Identifizierung und Verifizierung erfolgen müssen. Zusammen verdeutlichen diese Bestimmungen die komplementäre Natur von Vertrauensdiensten (Fokus auf Integrität und Verlässlichkeit von Identitäten und Signaturen) und GW-Verpflichtungen (Fokus auf die Verhinderung von Geldwäsche und Terrorismusfinanzierung).
Die Integration einer vertrauenswürdigen digitalen Identität in GWG-Rahmenwerke eröffnet Chancen, Onboarding-Prozesse zu verschlanken und gleichzeitig die Compliance zu stärken. Durch die Nutzung von EUDI Wallet-Credentials können Institutionen Reibungsverluste bei der Kunden-Due-Diligence verringern und gleichzeitig einheitliche Standards in allen Rechtsordnungen sicherstellen.
2. PSD3/PSR + AMLR/AMLD6
Zahlungsinstitute müssen KYC-Prozesse einbetten, die sowohl risikobasiert (gemäß AMLR) als auch technisch interoperabel (gemäß PSD3/PSR) sind. Diese Konvergenz erfordert skalierbare und flexible Onboarding-Plattformen, die sich an regulatorische Überschneidungen anpassen können, mit Prozessen, die je nach Risikoniveau variieren.
3. MiCAR + PSD3/PSR
Mit der Annäherung von Krypto und Zahlungen wird ein einheitliches Onboarding entscheidend sein. Die MiCAR-Anforderungen zur Kundenidentifizierung spiegeln jene aus PSD3/PSR wider und signalisieren eine Entwicklung hin zu sektorübergreifender Harmonisierung.
4. eIDAS 2.0 + PSD3/MiCAR
Die EUDI Wallet kann als einzelner Vertrauensanker im Finanzsektor dienen und Compliance sowohl im Fiat- als auch im Krypto-Ökosystem ermöglichen.
Architektur für skalierbares Onboarding
Warum skalierbare Architekturen wichtig sind
Institutionen stehen vor unterschiedlichen regulatorischen Anforderungen und variierenden Kundenrisikoprofilen. Um diesen gerecht zu werden, benötigen sie KYC-Architekturen, die sowohl skalierbar als auch flexibel sind. Solche Plattformen ermöglichen es, Onboarding-Prozesse je nach Risikoniveau zu differenzieren und dabei zugleich das Proportionalitätsprinzip des GWG sowie die Vertrauensniveaus von eIDAS einzuhalten. Indem Organisationen ihre Prozesse an Transaktionsvolumen und Kundensegmente anpassen, können sie Compliance sicherstellen, ohne dabei Effizienz oder Kundenerfahrung zu beeinträchtigen.
Zentrale Prinzipien
- Standardisierung: Nutzung der EUDI Wallet und qualifizierten Vertrauensdiensten.
- Risikobasierte Flexibilität: Ausrichtung am proportionalen Ansatz des GWG.
- Sektorübergreifende Interoperabilität: Sicherstellung der Kompatibilität über Länder und Wallets hinweg.
- Benutzerzentrierung: Minimierung von Reibungen bei gleichzeitiger Einhaltung der Vorschriften.
Strategische Vorteile
- Effizienz: Automatisierte, skalierbare Prozesse senken Kosten.
- Compliance-Resilienz: Agile Plattformen passen sich an sich entwickelnde Regeln an.
- Grenzüberschreitende Skalierbarkeit: Interoperabilität fördert Expansion.
- Kundenvertrauen: Sichere und nahtlose Erfahrungen steigern die Akzeptanz.
Fazit
Die regulatorische Landschaft entwickelt sich hin zu einem harmonisierten KYC-Rahmen. Mit dem Inkrafttreten des GWG im Juli 2027, der eIDAS 2.0 mit obligatorischer Wallet-Bereitstellung bis Dezember 2026 und deren verpflichtender Nutzung im Finanzsektor bis Dezember 2027 sowie der Anwendung von PSD3, PSR und MiCAR ab 2026 stehen Institutionen sowohl vor Compliance-Herausforderungen als auch vor Chancen zur Transformation.
Bei Namirial sind wir überzeugt, dass die Europäische Digitale Identitäts-Wallet – kombiniert mit skalierbaren Onboarding-Lösungen – das Fundament für regelkonforme, effiziente und nutzerzentrierte Finanzdienstleistungen im kommenden Jahrzehnt sein wird. Genau deshalb haben wir unsere eigene KYC- und Onboarding-Plattform entwickelt, die uns die Anerkennung von Branchenanalysten als führender Anbieter von KYC-Plattformen für Finanzdienstleistungen eingebracht hat.