Zurück zu Nachrichten
Pädagogischer Inhalt

Weitergabe von Kundendaten und KYC: Was ist erlaubt und was nicht?

Weitergabe von Kundendaten und KYC: Was ist erlaubt und was nicht?

Der Austausch von KYC-Daten ist nicht gleichbedeutend mit der Aufteilung der AML-Verantwortung: Eine rechtliche Unterscheidung, die für jede Immobilientransaktion von Bedeutung ist

Bei Immobiliengeschäften mit mehreren Parteien – bei denen Makler, Bauträger, Rechtsanwälte und Notare jeweils eigenständige Verpflichtungen zur Bekämpfung der Geldwäsche haben – stellt sich eine Frage von wachsender praktischer Dringlichkeit: die Zulässigkeit des Austauschs von KYC-Informationen zwischen den verpflichteten Stellen. Die Rechtslage gemäß der Verordnung (EU) 2024/1624 (AMLR) wird in der Praxis häufig missverstanden, und die Folgen dieses Missverständnisses wirken in beide Richtungen: Einige Fachleute weigern sich, Daten weiterzugeben, deren Weitergabe die Verordnung erlaubt – und sogar fördert; andere gehen davon aus, dass der Erhalt von KYC-Daten von einem Dritten sie von ihren eigenen Compliance-Verpflichtungen entbindet, was jedoch nicht der Fall ist.

Die korrekte Rechtslage ist sowohl klar als auch folgenreich. Dieser Artikel legt sie dar.

Der rechtliche Rahmen: Was die AMLR tatsächlich besagt

Die AMLR legt drei Grundprinzipien fest, die für den Austausch von KYC-Daten im Immobilienbereich relevant sind:

1. Jedes verpflichtete Unternehmen trägt eine eigenständige CDD-Verantwortung. Unabhängig davon, was andere Transaktionsparteien getan haben, bleibt jedes verpflichtete Unternehmen – Makler, Bauträger, Notar und Rechtsanwalt – eigenständig für seine eigene Sorgfaltspflicht gegenüber Kunden verantwortlich. Diese Verantwortung ist nicht übertragbar.

2. Das Vertrauen auf eine andere verpflichtete Stelle ist unter bestimmten Bedingungen zulässig. Die Bestimmungen der AMLR zum Vertrauen auf Dritte erlauben es einer verpflichteten Stelle, sich auf die von einer anderen durchgeführte CDD zu stützen, doch behält die sich darauf stützende Stelle die volle rechtliche Verantwortung gegenüber ihrer eigenen Aufsichtsbehörde. Das Vertrauen ist eine verfahrensrechtliche Erleichterung, keine Befreiung.

3. Der Informationsaustausch ist innerhalb festgelegter rechtlicher Rahmenbedingungen zulässig. In Erwägungsgrund 147 der AMLR heißt es ausdrücklich: „Verpflichtete Stellen und zuständige Behörden sollten in der Lage sein, Informationen im Rahmen einer Partnerschaft zum Informationsaustausch auszutauschen.“ Derselbe Erwägungsgrund macht ebenso deutlich, dass verpflichtete Unternehmen „sich nicht ausschließlich auf Informationen stützen sollten, die sie im Rahmen des Informationsaustauschs erhalten haben, um Schlussfolgerungen über das Geldwäsche- und Terrorismusfinanzierungsrisiko des Kunden zu ziehen.“

Diese drei Grundsätze definieren die rechtlichen Grenzen präzise: Dokumente und überprüfte Sachdaten dürfen weitergegeben werden; Risikobewertungen, EDD-Feststellungen, Meldeentscheidungen und laufende Überwachungspflichten dürfen dies nicht.

Wo in der Praxis Missverständnisse entstehen

Bei einer typischen Immobilientransaktion, an der ein Makler, ein Bauträger, ein Rechtsanwalt und ein Notar beteiligt sind, kann jede Partei rechtmäßig Daten zur Kundenidentifizierung, Informationen zum wirtschaftlich Berechtigten, Unterlagen zur Unternehmensbeteiligungen, Nachweise zur Herkunft der Mittel und Überprüfungsergebnisse austauschen – vorbehaltlich der geltenden DSGVO, Vertraulichkeits- und AML-Sicherheitsvorkehrungen.

Was keine dieser Parteien tun darf, ist, den Erhalt dieser Informationen als Ersatz für ihre eigenen unabhängigen Verpflichtungen zu betrachten. Ein Notar, der die KYC-Unterlagen eines Immobilienmaklers akzeptiert, ohne eine eigene Risikobewertung durchzuführen, hat die AMLR nicht eingehalten – er hat sich ohne unabhängige Überprüfung auf das Urteil einer anderen Partei verlassen. Ein Bauträger, der sich auf die früheren Kundenprüfungen eines Rechtsanwalts verlässt, ohne eine eigene Risikoeinstufung vorzunehmen, hat seine eigene Aufsichtspflicht verletzt.

Wie die Analyse der Bestimmungen zur Informationsweitergabe in der AMLR durch DLA Piper bestätigt: „Als Mitglieder von Partnerschaften zur Informationsweitergabe dürfen verpflichtete Stellen Informationen zum Zweck der Sorgfaltspflicht gegenüber Kunden und der Meldung von Verdachtsfällen an FIUs weitergeben.“ Das neue AML-Paket zielt auf eine stärkere Zusammenarbeit zwischen den verpflichteten Stellen ab – nicht auf eine zentrale Stelle, die die Compliance-Verantwortung trägt.

Das Gesetz verbietet nicht den Informationsaustausch. Es verbietet die Übertragung der Verantwortung.

Der strukturelle Unterschied: Eine zweistufige Architektur

Die oben beschriebene Rechtslage lässt sich nahtlos auf eine zweistufige Architektur für jedes konforme KYC-Austauschmodell übertragen:

Zulässige Kernschicht – austauschbar zwischen den verpflichteten Stellen:

  • Identitäts- und Adressüberprüfung

  • Identifizierung und Überprüfung des wirtschaftlich Berechtigten (UBO)

  • Unternehmensbeteiligungsstrukturen

  • Dokumentation der Herkunft der Gelder

  • Historie der Immobilientransaktionen

  • Ergebnisse von Sanktions-, PEP- und negativen Medienprüfungen

Unternehmensspezifische Ebene – nicht gemeinsam nutzbar, wird von jedem verpflichteten Unternehmen unabhängig festgelegt:

  • Risikobewertung und Risikoklassifizierung

  • Anforderungen an die verstärkte Sorgfaltspflicht und deren Ergebnisse

  • Verdachtsbewertung und Entscheidungen zur Einreichung von SAR/STR

  • Parameter und Ergebnisse der laufenden Überwachung

  • Meldung an die nationale Finanzermittlungsstelle

Dies ist die Architektur, auf die die AMLR zusteuert: Kundendaten einmal erfassen, Risiken mehrfach bewerten – unabhängig voneinander, von jeder verpflichteten Stelle, im Hinblick auf die eigenen regulatorischen Verpflichtungen jeder Stelle.

Die technologische Anforderung: Warum Standard-KYC-Plattformen dies nicht leisten können

Die oben genannte rechtliche Unterscheidung schafft eine präzise technologische Anforderung, die die meisten KYC-Plattformen auf dem Markt strukturell nicht erfüllen können. Standardlösungen zur Identitätsprüfung und für KYC sind darauf ausgelegt, Daten zu erfassen und weiterzugeben. Sie sind nicht darauf ausgelegt, die rechtliche Trennung zwischen gemeinsam genutzten faktischen Kundendaten und den unabhängigen, nicht weitergebbaren Risikobewertungspflichten durchzusetzen, die jedes verpflichtete Unternehmen für sich selbst erfüllen muss.

Eine generische KYC-Plattform, die Dokumente sammelt und zwischen den Parteien weitergibt, deckt nur die erste Ebene ab. Sie bietet keinen strukturierten Mechanismus, mit dem jede Partei ihre eigene Risikoklassifizierung, EDD-Feststellung oder Verdachtsbewertung innerhalb derselben Umgebung unabhängig durchführen und dokumentieren kann. Die Daten und die Compliance-Verpflichtung sind voneinander entkoppelt – und die aufsichtsrechtlichen Aufzeichnungen, die erforderlich sind, um die unabhängige Compliance jedes einzelnen verpflichteten Unternehmens nachzuweisen, existieren nicht.

Dies ist keine geringfügige operative Lücke. Nach den AMLR stellt die Unfähigkeit, eine unabhängige Risikobewertung durch jedes verpflichtete Unternehmen nachzuweisen, einen Compliance-Verstoß für jede Partei dar, die gemeinsam genutzte Daten erhalten hat, ohne eine eigene dokumentierte Bewertung zu erstellen.

Immosurance: Die einzige Plattform, die beide Ebenen in einer einzigen DSGVO-konformen Umgebung bereitstellt

Immosurance ist die einzige AML-Compliance-Plattform in Europa, die speziell für den Immobiliensektor entwickelt wurde und beide Ebenen der konformen KYC-Sharing-Architektur in einer einzigen, integrierten, DSGVO-konformen Umgebung bereitstellt.

Die Kernschicht – Identitätsprüfung, UBO-Zuordnung, Dokumentation der Unternehmensbeteiligungen, Nachweis der Herkunft der Mittel sowie kontinuierliche Überprüfung auf Sanktionen, PEP und negative Medienberichte – kann einmalig erfasst und mehreren verpflichteten Stellen innerhalb des zulässigen rechtlichen und datenschutzrechtlichen Rahmens zur Verfügung gestellt werden. Dies beseitigt die Doppelarbeit, die bisher für die Compliance bei Immobiliengeschäften mit mehreren Parteien charakteristisch war, und entlastet Kunden, die bisher bei jeder Transaktionspartei denselben Verifizierungsprozess wiederholen mussten.

Die unternehmensspezifische Ebene wird innerhalb der Plattform strukturell getrennt umgesetzt. Jedes verpflichtete Unternehmen, das Immosurance nutzt, unterhält sein eigenes unabhängiges Compliance-Dossier, seine eigene dokumentierte Risikobewertung, seinen eigenen EDD-Workflow und seine eigenen Berichtsunterlagen – auf die andere Parteien weder Zugriff haben noch die mit ihnen geteilt werden. Die rollenbasierte Zugriffsarchitektur stellt sicher, dass das, was jede verpflichtete Stelle gesetzlich unabhängig festlegen muss, von Natur aus unabhängig festgelegt wird.

Kein generischer KYC-Anbieter, Identitätsprüfungsdienst oder Dokumenten-Sharing-Plattform auf dem Markt bietet diese Kombination. Die Trennung von gemeinsam nutzbaren Kundendaten und der nicht gemeinsam nutzbaren Risikobewertungspflicht – beides innerhalb derselben Plattform umgesetzt, beides DSGVO-konform, beides auditfähig – ist einzigartig bei Immosurance.

Dies ist keine Zukunftsvision. Immosurance ist bereits heute einsatzbereit und steht Immobilienmaklern, Bauträgern, Rechtsanwälten und Notaren in ganz Europa in 14 Sprachen zur Verfügung, wobei die KYC-Sharing-Architektur rechtlich auf die von der AMLR bestätigte Richtung abgestimmt ist.

Die rechtliche Unterscheidung ist klar. Die damit verbundenen technologischen Anforderungen sind hoch. Immosurance ist die Antwort.

Alle Artikel
Frühbucherangebot

FRÜHBUCHERKONDITIONEN

Für Frühbucher gibt es Sonderkonditionen, die bald nicht mehr verfügbar sein werden. Sichern Sie sich noch heute Ihren Vorzugspreis.
Preise ansehen