KYC-Rezertifizierung: WZ-Codes automatisiert prüfen und aktualisieren
Die KYC-Rezertifizierung – die turnusmäßige Überprüfung und Aktualisierung der Kundendaten – ist für Banken, Versicherer, Zahlungsdienstleister und andere GwG-Verpflichtete kein freiwilliges Datenpflege-Projekt, sondern Teil der gesetzlichen Sorgfaltspflichten. Seit die WZ 2025 die WZ 2008 abgelöst hat, kommt eine Aufgabe hinzu: In den Beständen stehen noch massenhaft alte Branchencodes. Dieser Artikel zeigt, was rechtlich gilt – und warum jeder Rezertifizierungslauf der beste Moment ist, WZ-Codes automatisiert zu prüfen und auf WZ 2025 zu migrieren.
KYC-Rezertifizierung: die gesetzliche Grundlage
Rechtsgrundlage der KYC-Rezertifizierung ist die kontinuierliche Überwachung der Geschäftsbeziehung nach § 10 Abs. 1 Nr. 5 GwG. Verpflichtete müssen sicherstellen, dass Transaktionen zu dem passen, was sie über den Vertragspartner, den wirtschaftlich Berechtigten, dessen Geschäftstätigkeit und das Kundenprofil wissen – und dass die zugrunde liegenden Dokumente, Daten und Informationen „in angemessenem zeitlichen Abstand" aktualisiert werden, risikobasiert.
In der Praxis heißt das: Wer einmal onboardet und die Akte danach nie wieder anfasst, verletzt seine Sorgfaltspflichten. Die Rezertifizierung ist der organisierte Prozess, mit dem Institute diese Aktualisierungspflicht abarbeiten – meist portfolioweise, gestaffelt nach Risikoklasse. Zu den Verpflichteten zählen neben Kreditinstituten unter anderem Finanzdienstleistungsinstitute, Zahlungsinstitute, Versicherungsunternehmen und Factoring-Gesellschaften (§ 2 Abs. 1 GwG).
Fristen und Intervalle: was die BaFin-AuA vorgeben
Wie oft rezertifiziert werden muss, konkretisieren die Auslegungs- und Anwendungshinweise (AuA) der BaFin, die in novellierter Fassung seit Februar 2025 gelten. Sie verkürzen die bisher übliche Verwaltungspraxis deutlich:
| Risikoklasse | Aktualisierungsintervall | Hinweis |
|---|---|---|
| Hohes Risiko | jährlich | zusätzlich verstärkte Sorgfaltspflichten |
| Mittleres Risiko | spätestens alle 5 Jahre | Regelfall im Bestand |
| Niedriges Risiko | risikobasiert | vereinfachte Sorgfaltspflichten möglich |
Für die verkürzten Intervalle hat die BaFin eine Umsetzungsfrist bis Juli 2027 eingeräumt; die übrigen Anforderungen der novellierten AuA gelten bereits. Verbindlich ist immer die eigene, dokumentierte Risikoklassifizierung des Instituts – die Intervalle sind der Rahmen, den die Aufsicht erwartet. Ereignisbezogene Anlässe (etwa auffällige Transaktionen oder eine geänderte Geschäftstätigkeit) lösen eine Aktualisierung unabhängig vom Turnus aus.
Warum der WZ-Code in jede Rezertifizierung gehört
Die Branche eines Kunden ist Kernbestandteil des Kundenprofils: Sie bestimmt mit, welches Transaktionsverhalten plausibel ist, und fließt als Faktor in die Risikoklassifizierung ein – manche Wirtschaftszweige gelten per se als risikoträchtiger (etwa bargeldintensive Branchen). Gespeichert wird die Branche in aller Regel als Code nach der Klassifikation der Wirtschaftszweige, also als WZ-Kennung. Wie diese Codes aufgebaut sind, erklärt der Artikel WZ-Code Aufbau.
Genau hier liegt das aktuelle Problem: Bestandsdaten tragen fast durchgängig noch WZ-2008-Codes, während die amtliche Klassifikation seit den Bezugszeiträumen ab dem 1. Januar 2025 die WZ 2025 ist. Ein Teil der alten Codes lässt sich nicht 1:1 übertragen, weil die WZ 2025 der europäischen NACE Rev. 2.1 folgt und Zuschnitte neu geordnet hat. Ein veralteter oder falsch übertragener Branchencode bedeutet im Zweifel: falsches Kundenprofil, falsche Risikoklasse, falsche Meldedaten.
Rezertifizierung als Migrationsfenster: WZ 2008 → WZ 2025
Die gute Nachricht: Es braucht kein eigenes Migrationsprojekt. Da ohnehin jede Kundenakte turnusmäßig durch die Rezertifizierung läuft, lässt sich die WZ-Migration dort einhängen – jeder Lauf hebt den geprüften Teilbestand auf WZ 2025. Pro Akte sind das drei Schritte:
- Vorhandenen WZ-2008-Code übersetzen. Eindeutige Zuordnungen liefert der amtliche Umsteigeschlüssel; bei aufgeteilten Codes entscheidet die tatsächliche Tätigkeit. Details dazu im Leitfaden WZ 2008 auf WZ 2025 umschlüsseln.
- Branche fachlich gegenprüfen. Die Rezertifizierung fragt ohnehin, ob sich die Geschäftstätigkeit geändert hat – der ideale Zeitpunkt, die Klassifizierung gegen den aktuellen Unternehmensgegenstand zu validieren.
- Ergebnis dokumentieren. Neuen WZ-2025-Code samt Quelle und Datum in den Stammdaten festhalten; das zahlt direkt auf die Dokumentationspflichten ein.
Wer so vorgeht, hat den Bestand spätestens nach einem vollen Rezertifizierungszyklus vollständig migriert – ohne Sonderbudget und ohne zusätzlichen Kundenkontakt.
Den WZ-Check im Batch automatisieren
Manuell skaliert das nicht: Ein mittelgroßes Portfolio bedeutet tausende Akten pro Rezertifizierungslauf. Die WZ 2025 API deckt beide Fälle maschinell ab – Übersetzen vorhandener WZ-2008-Codes und Klassifizieren aus dem Unternehmensgegenstand, wenn kein verlässlicher Code vorliegt. Ein Batch-Lauf über den fälligen Teilbestand sieht so aus:
// Rezertifizierungslauf: WZ-Codes des fälligen Teilbestands aktualisieren
for (const kunde of faelligeKunden) {
const body = kunde.wz2008
// Fall 1: alter Code vorhanden → übersetzen
? { action: 'translate', query: kunde.wz2008 }
// Fall 2: kein Code → aus dem Unternehmensgegenstand klassifizieren
: { query: kunde.unternehmensgegenstand };
const resp = await fetch('https://www.wz2025.io/api/', {
method: 'POST',
headers: { 'Content-Type': 'application/json', 'x-api-key': '<token>' },
body: JSON.stringify(body),
});
kunde.wz2025 = await resp.json(); // Ergebnis dokumentieren
}Mehrdeutige Fälle – ein 2008er-Code, der auf mehrere WZ-2025-Codes aufgeteilt wurde – löst die API über die mitgelieferte Tätigkeitsbeschreibung auf, statt stumpf die erste Tabellenzeile zu nehmen. Wie die Ermittlung aus einer freien Beschreibung im Detail funktioniert, zeigt der Artikel WZ-Code ermitteln. Wer den Batch-Lauf lieber zusammenklickt statt programmiert, findet in Mit n8n die WZ 2025 API abfragen eine Schritt-für-Schritt-Anleitung inklusive CSV- und Datenbank-Export. Einen API-Key für den produktiven Einsatz gibt es auf der Startseite.
Häufige Fragen zur KYC-Rezertifizierung
- Was ist die KYC-Rezertifizierung?
- Die KYC-Rezertifizierung ist die turnusmäßige Überprüfung und Aktualisierung der Kundendaten, die Verpflichtete nach dem Geldwäschegesetz im Rahmen der kontinuierlichen Überwachung (§ 10 Abs. 1 Nr. 5 GwG) durchführen müssen. Dabei werden Identitätsdaten, wirtschaftlich Berechtigte, das Kundenprofil und die Branchenzuordnung risikobasiert auf den aktuellen Stand gebracht.
- In welchen Intervallen muss rezertifiziert werden?
- Das GwG schreibt eine Aktualisierung „in angemessenem zeitlichen Abstand" risikobasiert vor. Die seit Februar 2025 geltenden Auslegungs- und Anwendungshinweise der BaFin konkretisieren das: bei hohem Risiko jährlich, bei mittlerem Risiko spätestens alle fünf Jahre; für die verkürzten Intervalle gilt eine Umsetzungsfrist bis Juli 2027. Maßgeblich ist die eigene Risikoklassifizierung.
- Warum gehört der WZ-Code in die Rezertifizierung?
- Die Branche eines Kunden ist Teil des Kundenprofils und fließt in die Risikoklassifizierung ein. Seit die WZ 2025 die WZ 2008 abgelöst hat, sind gespeicherte WZ-2008-Codes formal veraltet – der Rezertifizierungslauf ist der natürliche Zeitpunkt, sie auf WZ 2025 zu heben und zugleich fachlich zu prüfen.
- Lässt sich die WZ-Code-Prüfung im Rezertifizierungslauf automatisieren?
- Ja. Die WZ 2025 API übersetzt vorhandene WZ-2008-Codes in die passende WZ-2025-Kennung und klassifiziert Unternehmensbeschreibungen direkt in den korrekten Code. Beides lässt sich als Batch-Verarbeitung in bestehende Rezertifizierungs-Workflows integrieren.
- Reicht es, den alten WZ-2008-Code einfach zu behalten?
- Auf Dauer nicht. Statistische Meldungen und viele Datenabgleiche setzen bereits auf WZ 2025 auf, und ein WZ-2008-Code lässt sich nicht immer 1:1 übertragen. Wer den Bestand nicht migriert, riskiert inkonsistente Kundenprofile und Mehraufwand bei jeder späteren Einzelprüfung.