Sanktionslistenscreening: Wie, was, warum und das Drumherum

Wie bei der Organisation aller Compliance Themen, muss auch beim Sanktionslistenscreening in einem ersten Schritt eine Risikoanalyse durchgeführt werden. Für in der EU ansässige Unternehmen bedeutet dies, dass die zu beachtenden Beschränkungen des EU-Sanktionsrechts ermittelt werden müssen. Aus dem US-Sanktionsrecht kommen Finanzsanktionen mit sogenannten Secondary Sanctions dazu und beim Handel mit zivilen US-Produkten sind die Beschränkungen aus dem US-Re-Exportkontrollrecht zu beachten. Nur die Unternehmen, die die für sie relevanten Verbote und Genehmigungspflichten kennen, können geeignete Maßnahmen zur Vermeidung von Verstößen implementiert werden.

Bereits an dieser Stelle wird deutlich, dass die Risikoanalyse für das Sanktionslistenscreening nicht so einfach ist, wie es auf den ersten Blick scheint. Neben den Vorschriften des EU-Sanktionsrechts müssen Unternehmen die Regelungen des US-Sanktions- und US-Re-Exportkontrollrechts kennen und verstehen. Verwirrung stiften nicht selten auch die Sanktionsvorschriften vieler weiterer Länder, die ebenfalls mit Sanktionslisten arbeiten. Fragen nach beispielsweise der schweizerischen, chinesischen oder kanadischen Sanktionsliste sind keine Seltenheit.

Erst mit Abschluss der Risikoanalyse gibt es im Unternehmen eine Entscheidungsgrundlage für das weitere Vorgehen. Nur dann, wenn das Risiko eines Gesetzesverstoßes besteht, hat das Unternehmen ein Todo. Falls durch die Risikoanalyse kein Risiko eines Gesetzesverstoßes festgestellt wird, bedarf es keiner weiteren Prüfungen, also auch keiner Listenprüfung.

Mit dem Sanktionslistenscreening überprüfen Unternehmen, ob ihre Geschäftspartner auf einer Sanktionsliste stehen. Ist dies der Fall, müssen je nach Liste im Geschäftsverkehr mit dem gelisteten Geschäftspartner alle Beschränkungen, die das konkrete Gesetz bei einer Listung vorsieht, beachtet werden.

Durchgeführt wird das Sanktionslistenscreening immer mit Hilfe einer Software. Die Software führt einen Namensabgleich durch zwischen dem Namen des Geschäftspartners und den Namen, die sich auf den zur Prüfung hinterlegten Listen befinden. Stellt die Software eine Namensidentität oder eine Namensähnlichkeit fest, meldet sie einen Treffer.

Im nächsten Schritt muss die im Treffer gemeldete Namensähnlichkeit oder -identität zwischen dem Geschäftspartner und dem Listeneintrag auf das Vorliegen einer Personenidentität überprüft werden. Diese Überprüfung nennt man in der Praxis Trefferbearbeitung. Ist der Geschäftspartner tatsächlich die von der Software genannte gelistete Entität, liegt eine Personenidentität vor und man spricht von einem echten Treffer.

Welche Folgen die Listung für den weiteren Geschäftsverkehr mit dem Geschäftspartner hat, hängt davon ab, auf welcher Liste der Geschäftspartner steht. Findet sich der Treffer auf der CFSP-Liste der EU, besteht für EU-Unternehmen ein umfassendes Bereitstellungsverbot. Steht der Geschäftspartner auf einer US-Liste, sieht dies zumeist ganz anders aus. Stünde der Geschäftspartner auf einer Liste, in deren Anwendungsbereich sich das Unternehmen nicht findet, hätte der Treffer keine rechtlichen Konsequenzen und die Geschäftstätigkeit könnte ohne Einschränkungen weiterlaufen.

In der Praxis ergibt die Trefferbearbeitung in den meisten Fällen keine Personenidentität. Der Geschäftsverkehr mit dem Geschäftspartner unterliegt damit keinen Beschränkungen. Die Geschäftsbeziehungen dürfen ohne Einschränkungen aufgenommen oder weitergeführt werden.

Für ein in der EU ansässiges Unternehmen sind die rechtlichen Grundlagen für die Sanktionslistenprüfung in den Sanktions- und Embargoverordnungen der EU zu finden.

Die Idee der Sanktionierung von Personen (natürliche Personen, Unternehmen und Organisationen) durch die Festsetzung von Finanzsanktionen findet sich zwischenzeitlich in allen EU-Länderembargoverordnungen und auch in den länderunabhängigen Sanktionsverordnungen im Zusammenhang mit Terrorismus, Menschenrechtsverstößen, Cyberkriminalität und der Verbreitung chemischer Waffen.

Wenngleich die Zielrichtungen auch unterschiedlich sind, die inhaltliche Ausgestaltung der Finanzsanktionen ist identisch. Die für Unternehmen relevanten gesetzlichen Vorgaben lauten immer gleich: „Den in Anhang I aufgeführten natürlichen und juristischen Personen, Organisationen und Einrichtungen dürfen weder unmittelbar noch mittelbar Gelder oder wirtschaftliche Ressourcen zur Verfügung gestellt werden oder zugutekommen.“ Im Anhang I der zitierten Verordnung findet sich eine Namensliste mit den Namen und weiteren Informationen zu den Entitäten, die von den Bereitstellungsverboten betroffen sind.

Mehr rechtliche Vorgaben, beispielsweise zur Umsetzung, macht der EU-Gesetzgeber nicht. Insbesondere wird an keiner Stelle die Verpflichtung zur Durchführung eines Sanktionslistenscreenings ausgesprochen. Vielmehr obliegt es der Eigenverantwortung der Unternehmen sicherzustellen, dass den gelisteten Entitäten weder mittelbar noch unmittelbar Gelder oder wirtschaftliche Ressourcen zur Verfügung gestellt werden.

Die EU definiert in den Begriffsbestimmungen aller Verordnungen die Begriffe Gelder und wirtschaftliche Ressourcen einheitlich. Insbesondere die Definition der wirtschaftlichen Ressource ist sehr weit gefasst. Unter diesen Begriff fallen „Vermögenswerte jeder Art, unabhängig davon, ob sie materiell oder immateriell, beweglich oder unbeweglich sind, bei denen es sich nicht um Gelder handelt, die aber für den Erwerb von Geldern, Waren oder Dienstleistungen verwendet werden können“.

Beschränkungen wie Untergrenzen oder Ausnahmen sehen die EU-Sanktionsverordnungen nicht vor. Eingeschränkt wird der Anwendungsbereich der Bereitstellungsverbote durch ein Ratsdokument der EU auf den Geschäftsverkehr zwischen Unternehmen (B2B). Geschäfte mit Konsumenten (B2C) finden sich nicht im Anwendungsbereich der wirtschaftlichen Ressourcen.

Sämtliche Namenseinträge aus den EU-Sanktions- und Länderembargo-Verordnungen, die Bereitstellungsverbote betreffen, werden durch die EU in einer Datenbank konsolidiert. Diese unter dem Namen CFSP-Liste bekannte Datenbank stellt die EU immer aktuell in einem maschinenlesbaren Format bereit. Softwareanbieter lesen die CFSP-Liste tagesaktuell in die Softwarelösungen ein und stellen sie den Softwarenutzern zur Überprüfung ihrer Geschäftspartner zur Verfügung.

In der Praxis ist ein automatisiertes Screening der Geschäftspartner gegen die CFSP-Liste zumeist die einzige Möglichkeit einer rechtssicheren und effizienten Überprüfung der Bereitstellungsverbote der EU.

Kunden, Lieferanten, Spediteure, Mitarbeitende, Banken, Gäste und Ansprechpersonen… ? Die Frage wer geprüft werden muss und wer nicht sorgt in vielen Unternehmen für Kopfzerbrechen. Allzu kompliziert ist es jedoch nicht, wenn man den folgenden Grundsatz im Hinterkopf behält: Zu prüfen sind alle Geschäftspartner, denen Gelder oder wirtschaftliche Ressourcen zur Verfügung gestellt werden.

Also alle, die einen Vermögenswert erhalten. Die Geschäftspartner sind dabei grundsätzlich die Vertragspartner. Im Business-Umfeld sind die Vertragsparteien in der Regel Unternehmen. Folglich sind es grundsätzlich Unternehmensnamen, die gegen die Sanktionslisten geprüft werden.

Häufig diskutiert wird die Frage, ob auch die Ansprechpersonen oder Gäste im Unternehmen überprüft werden sollten. Wendet man den oben genannten Grundsatz an, dann gilt Folgendes:

Die Ansprechpersonen bei den Kunden, Lieferanten oder sonstigen Geschäftspartnern sind keine Vertragspartner, sie erhalten aus dem konkreten Geschäft keinen Vermögenswert. Mangels Risikos eines Verstoßes gegen die Sanktionsverordnungen macht ihre Überprüfung keinen Sinn. Ähnlich sieht es aus bei Gästen im Unternehmen. Auch diese erhalten in der Regel keinen Vermögenswert und sind somit grundsätzlich nicht zu prüfen.

Zu beachten ist, dass die Bereitstellungsverbote einzig die Geschäftspartner im Blick haben. Die Prüfung erfolgt länder- und güterunabhängig. Daraus folgt, dass alle Geschäftspartner, also auch die im Inland, gegen die relevanten Sanktionslisten geprüft werden sollten.

Eine Prüfung gegen die relevanten Sanktionslisten sollte so früh wie möglich erfolgen. 

Dieser Grundsatz führt in vielen Unternehmen dazu, dass das erste Sanktionslistenscreening mit Anlage eines neuen Geschäftskontakts im System durchgeführt wird. Dabei ist darauf hinzuweisen, dass von juristischer Seite bei der Anlage eines Geschäftskontakts im System noch kein Austausch von Vermögenswerten vorliegt. Dazu kommt es frühestens mit Abgabe eines verbindlichen Angebots bzw. vor Annahme eines Angebots zum Vertragsschluss. Hier liegen die relevanten Ansatzpunkte für ein Sanktionslistenscreening.

Hinzuweisen ist darauf, dass die Bereitstellungsverbote in den Sanktionsvorschriften in der EU und den USA nicht nur unmittelbar, sondern auch mittelbar gelten. Mittelbare Bereitstellungsverbote bestehen dann, wenn der Geschäftspartner selbst nicht gelistet ist, aber im Eigentum einer gelisteten Entität steht. 

Mittelbare Bereitstellungsverbote erfordern die Ermittlung und Überprüfung der Eigentümer des Geschäftspartners. Unternehmen, die für sich ein Risiko sehen, in den Anwendungsbereich der mittelbaren Bereitstellungsverbote zu fallen, führen oftmals bereits bei Anlage des potenziellen Geschäftspartners im System eine sogenannte Due Diligence Prüfung durch. In diesem Zusammenhang werden bei neuen Geschäftspartnern die Eigentumsverhältnisse abgefragt. Die genannten Eigentümer werden dann einer Sanktionslistenprüfung unterzogen.

Auch diese Frage beantworten wir hier am Beispiel eines Unternehmens in der EU. Da sich die Namenslisten in den Sanktions- und Embargoverordnungen der EU häufig ändern, variiert die Antwort je nach Art der Unternehmenstätigkeit:

Für einen Maschinenbauer mit langen Projektlaufzeiten sieht sie anders aus als für ein Unternehmen mit einem 24h Helpdesk. Während es für den Maschinenbauer empfehlenswert sein kann, in regelmäßigen Abständen alle seine Geschäftspartner einer Prüfung zu unterziehen, ist dieses Vorgehen für Unternehmen mit wechselndem Kundenkreis nicht das richtige. Hier wird eine belegbezogene Prüfung der bessere Weg sein.

Kommerzielle Softwarelösungen bieten die Möglichkeit einer passgenauen Anbindung an die unterschiedlichen Geschäftstätigkeiten.

Vom US-Sanktionsrecht strikt zu trennen ist das US-Exportkontrollrecht nach den EAR. Das US-Exportkontrollrecht ist extraterritorial ausgestaltet und muss weltweit beim Handel mit US-Produkten, die den US Export Administration Regulations (EAR) unterliegen, beachtet werden. Die Definition von US-Produkten im Anwendungsbereich der EAR findet sich in § 734.3, 4 & 9 EAR.

Folgende vier amerikanische Sanktionslisten knüpfen als Teil der US-Exportkontrolle am US-Produkt an:

1. Denied Persons List (DPL): Geschäfte mit Personen, Unternehmen oder Organisationen, die auf der DPL gelistet sind, sind in Bezug auf US-Produkte verboten.
2. Entity List (EL): Der Handel mit US-Produkten steht für den Geschäftsverkehr mit den auf der EL gelisteten Personen, Unternehmen und Organisationen unter einer Genehmigungspflicht.
3. Unverified List (UVL): Der Handel mit US-Produkten steht für den Geschäftsverkehr mit den auf der UVL gelisteten Entitäten unter besonderen Sorgfaltspflichten. Das Geschäft kann weitergeführt werden, wenn mittels eines angeforderten schriftlichen UVL-Statements sichergestellt wird, dass die US-Produkte zu keiner verbotenen Endverwendung eingesetzt werden.
4. Military End User List: Der Handel mit den in Supp. No. 2 zu § 744.21 EAR genannten US-Produkten steht im Geschäftsverkehr mit in Supp. No.7 zu § 744 EAR genannten militärischen Endverwendern unter einer Genehmigungspflicht.