Sanktionslistenprüfung: Wie gut kennen Sie Ihre Geschäftspartner?

„Sanktionierte Personen konnten ihre Geschäfte über PayPal abwickeln – PayPal stimmt einem Vergleich in Höhe von 5,5 Millionen Euro zu“, „Die Deutsche Bank muss in Folge der russischen Geldwäsche-Affäre 630 Millionen Dollar Bußgeld zahlen“: So und ähnlich lauteten die Schlagzeilen rund um Verstöße gegen die Pflicht zur Sanktionslistenprüfung.

Ein Risiko, das nur Global Player und insbesondere Finanzdienstleister sowie exportierende Betriebe betrifft? Falsch!

Auch wenn das Compliance-Thema Sanktionsliste bei vielen KMU (noch) nicht auf der Agenda steht, ist jedes Unternehmen unabhängig von seiner Größe oder Branche gesetzlich verpflichtet, geeignete Maßnahmen zur Terrorismusabwehr zu treffen.

Keine einfache Aufgabe im Zeitalter der Globalisierung! Unternehmen bewegen sich in einem zunehmend komplexeren Umfeld in diversen Rechtsräumen und es besteht steigender Handlungsbedarf, um das eigene Unternehmen vor zweifelhaften Verbindungen zu schützen.

Das Ziel der Sanktionsliste

Seit 2001 ist die Beachtung der „Anti-Terror-Verordnungen“ – die auch die Sanktionslistenprüfung umfassen – in deutschen und europäischen Unternehmen Pflicht. Zwar gab es auch vorher bereits Verzeichnisse von natürlichen und juristischen Personen, zu denen geschäftliche Kontakte verboten oder genehmigungspflichtig waren, doch in Folge der Terroranschläge am 11. September 2001 wurden die Vorschriften deutlich verschärft und haben vor dem Hintergrund aktueller terroristischer Aktionen nichts von ihrer Brisanz verloren.

Ziel ist es, Personen oder Organisationen, die mit dem Terrorismus in Verbindung gebracht werden, keinerlei wirtschaftliche Ressourcen zur Verfügung zu stellen. Der Begriff „Ressourcen“ umfasst dabei nicht nur Geldströme, sondern auch Warenlieferungen, Dienstleistungen, Vermietung, Immobilien- und Technologietransfers. Mehrere Institutionen, unter anderem die EU und die US-Behörden, veröffentlichen sogenannte Sanktionslisten, auf denen die sanktionierten Personen, Organisationen und Unternehmen aufgeführt werden.

Warum die Sanktionslistenprüfung jedes Unternehmen betrifft

Die Zeiten sind also vorbei, als das Risikomanagement im Rahmen von Geschäftsbeziehungen lediglich die Frage nach der Zahlungsmoral oder möglicher Zahlungsausfälle umfasste. Um Geschäfte rechtskonform abzuwickeln – Stichwort Compliance – ist es unerlässlich, dass sich auch KMU mit der Umsetzung der Sanktionslistenprüfung auseinandersetzen. Zudem müssen sie durch geeignete Maßnahmen sicherstellen, dass Kunden, Lieferanten und Mitarbeiter nicht auf den Sanktionslisten verzeichnet sind.

Verstöße haben juristische Konsequenzen und können weitreichende Folgen nach sich ziehen, die im schlimmsten Fall die Existenz des Unternehmens bedrohen:

• hohe Bußgelder
• Einfrieren des Unternehmensvermögens
• Schadenersatzansprüche
• Freiheitsstrafen bis zu fünf Jahren
• Aberkennung des AEO-Zertifikats als „zugelassener Wirtschaftsbeteiligter“
• Untersagung des Gewerbes wegen Unzuverlässigkeit
• Verlust der Reputation

Wichtig: Strafbar ist bereits der Nachweis der Fahrlässigkeit, beispielsweise wenn die Sanktionslistenprüfung nicht oder nur unzureichend durchgeführt wird. Die Geschäftsführung haftet persönlich – egal, ob absichtlich oder versehentlich gegen die Vorschriften verstoßen wurde.

Angesichts dieser Risiken leuchtet ein, dass die Kosten für eine entsprechende Anpassung der betrieblichen Prüfprozesse deutlich niedriger sind als die drohenden Risiken bei Nichtbeachtung. 

Sanktionsliste & Compliance: Wer muss was prüfen?

Jedes Unternehmen ist verpflichtet, Prozesse zur regelmäßigen Überprüfung aller Mitarbeiter und Geschäftspartner einzurichten. Auch wenn viele kleinere und mittelständische Betriebe der Ansicht sind, dass die Sanktionslistenprüfung nur bei Exporten oder dem Handel mit kritischen Waren wie Rüstungsgütern oder Hochtechnologie greift: Das ist ein Irrtum! Die Verordnungen gelten unabhängig von der Art des Geschäfts und wo dieses stattfindet. Betroffen sind also auch alle innerdeutschen Transaktionen.

Im ersten Schritt ist zu überprüfen, welche Prozesse aufgrund ihres Datengehalts mit den Sanktionslisten abgeglichen werden müssen:

• Der Vertrieb muss sicherstellen, dass die Kunden-Datenbank „sauber“ ist.
• Der Einkauf muss verhindern, dass Waren oder Leistungen bei Personen oder Unternehmen erworben werden, die in einer Sanktionsliste verzeichnet sind.
• Die Personalabteilungen haben eine Kontrollpflicht, Lohnzahlungen an Personen auf Sanktionslisten auszuschließen. Das betrifft auch Leiharbeiter, Werkstudenten und Praktikanten.

Leider genügt es nicht, einen neuen Kontakt einmalig zu prüfen. Stattdessen hat die Sanktionslistenprüfung regelmäßig zu erfolgen, wobei der Gesetzgeber den Begriff „regelmäßig“ nicht fest definiert. Ideal ist eine automatische Kontrolle bei jeder Transaktion (beispielsweise bei jeder Lohnzahlung oder Lieferung), da die Sanktionslisten laufend aktualisiert und ergänzt werden. Es ist also nicht zielführend, einen Mitarbeiter abzustellen, der die Stammdaten manuell und stichprobenartig mit den diversen „Blacklists“ abgleicht. 

Wo gibt es die Sanktionslisten?

• UN-Sanktionsliste
• EU-Sanktionsliste
• Großbritannien und Nordirland (HM Treasury)
• Schweiz (SECO)
• Weltbank (Ineligible Firms & Individuals)
• USA (Checkliste, Specially Designated Nationals, Debarred Parties for Arms Exports)
• USA (Unverified List)

Das Justizportal des Bundes und der Länder bietet eine kostenlose Möglichkeit zur Überprüfung einzelner Adressen.

Wie sehen geeignete Maßnahmen zur Sanktionslistenprüfung aus?

Unternehmen stehen vor der Herausforderung, die Pflicht zur Sanktionslistenprüfung in möglichst schlanke, praktikable und finanzierbare Prozesse umzusetzen. Die Compliance-Maßnahmen sollen das Kerngeschäft möglichst nicht stören, gleichzeitig aber einen optimalen Schutz vor Gesetzesverstößen und den entsprechenden juristischen Folgen bieten. Darüber hinaus muss ein Workflow im Fall eines Treffers implementiert und sichergestellt werden.

Auch wenn eine automatisierte Lösung durch ein Software-Tool nicht zwingend vorgeschrieben ist, führt in den meisten Fällen kein Weg daran vorbei, um die vorgeschriebene Prüfung der Vielzahl an Sanktionslisten in angemessener Zeit zu gewährleisten. Bei der Auswahl einer geeigneten Software spielen zahlreiche Kriterien eine wichtige Rolle:

• Sind alle relevanten Sanktionslisten in der Software enthalten?
• Reichen die Aktualisierungsintervalle der Sanktionslisten aus?
• Werden Varianten der Schreibweisen („fuzzy logic“) berücksichtigt?
• Wie geht die Software mit alternativen Skripten um (Kyrillisch, Arabisch, Mandarin …)?
• Lassen sich die Prüfintervalle nach dem individuellen Bedarf definieren (On Demand / Periodisch / Realtime)?
• Kann die automatische Sanktionslistenprüfung über passende Schnittstellen problemlos in das bestehende CRM-/ERP-System integriert werden?
• Welche Eskalations-Workflows greifen im Falle eines Treffers (Mail-Benachrichtigung der intern verantwortlichen Mitarbeiter, Sperrung der Personen für weitere Transaktionen bis zur Klärung, Führung einer Positivliste)?
• Werden die Prüfergebnisse rechtskonform dokumentiert, sodass im Falle einer Kontrolle durch die Zollbehörde oder das Bundeskriminalamt die Nachweispflicht erfüllt werden kann?

Die Implementierung einer Softwarelösung allein reicht jedoch zur Sicherstellung der Compliance rund um Sanktionslisten nicht aus. Alle Maßnahmen müssen im Unternehmen kommuniziert werden, damit ein Bewusstsein für die Brisanz des Themas geschaffen wird. Mitarbeiter sind zu schulen, Verantwortlichkeiten zu etablieren und Datenschutzaspekte zu berücksichtigen. Juristen, IT-Fachleute, der Betriebsrat und der Datenschutzbeauftragte sollten in die Gestaltung der Prozesse der Sanktionslistenprüfung eingebunden werden.

Fakt ist: Verstöße gegen die Pflicht zur Sanktionslistenprüfung sind kein Kavaliersdelikt und ein Ignorieren der Vorschriften kann empfindliche Strafen nach sich ziehen. Es gilt der alte Grundsatz aus dem römischen Recht: Unwissenheit schützt vor Strafe nicht!