Vier Mythen bei der Sanktionslistenprüfung

Wer als Unternehmen wirtschaftliche Ressourcen etwa in Form von Vermögenswerten, Dienstleistungen oder Güter zur Verfügung stellt, muss gewährleisten, dass diese nicht an terroristischen Organisationen und Einzelpersonen im In- und Ausland gehen. Das erfolgt über die Prüfung von Geschäftspartnern und Mitarbeitern gegen Sanktionslisten verschiedener Länder und internationaler Gemeinschaften. Unterm Strich sind alle Unternehmen betroffen, egal welche Größe sie haben und wie sie Geschäfte machen. Doch obwohl die Prüfpflicht – ihr Ursprung liegt in den Terroranschlägen des 11. Septembers – schon lange besteht, gibt es noch einige Falschannahmen, die sich hartnäckig halten. 

Mit dem Ukraine-Krieg ist die Pflicht zur Sanktionslistenprüfung in vielen Unternehmen in Erinnerung gerufen worden. Wer bis dato untätig war, stellt sich nun dem Thema, um rechtssicher arbeiten zu können, alte Systeme werden modernisiert und auf den neuen Stand gebracht. Dennoch halten sich viele Mythen und Falschannahmen in Bezug auf Sanktionslistenprüfungen. Das sind vier der häufigsten Annahmen im Faktencheck.

1. Die Sanktionslistenprüfung betrifft mich nicht

Viele Unternehmen glauben, dass sie von der Pflicht zur Sanktionslistenprüfung nicht betroffen sind, weil sie keine Geschäfte mit dem Ausland machen. Nun sind die Sanktionslistenprüfung und ihre Kontrolle beim Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) angesiedelt und in der Tat kann der Eindruck erweckt werden, die Prüfung sei nur für die Ausfuhr relevant und habe deswegen automatisch mit dem Export zu tun. 
Doch diese Annahme ist falsch: Auch Unternehmen, die sprichwörtlich Ware nur von Hamburg nach Harburg transportieren, unterliegen der Pflicht der Sanktionslistenprüfung: Jeder Betrieb, der wirtschaftliche Ressourcen vergibt oder empfängt, unterliegt der Prüfpflicht – unabhängig von der Unternehmensgröße, der Branche oder ob nationale oder internationale Geschäfte getätigt werden. Hinzu kommt, dass auch die eigenen Mitarbeiter gescreent werden müssen – spätestens hier gibt es dann keinen Bezug zum BAFA mehr.

2. Die Sanktionslistenprüfung muss auf die Länder, mit denen Geschäfte gemacht wird, abgestimmt sein.

Eine weiterer verbreiteter Glauben ist, dass die Auswahl der Sanktionslisten von den Ländern abhängt, mit denen man Geschäfte macht. Sprich, wer Ware nach Australien exportiert, muss die australische Sanktionsliste berücksichtigen. Unternehmen entwickeln dann fast eine Art Listenhunger. Doch das ist unnötig. Denn das Vorgehen in der Praxis lautet: Es gelten die Regeln des Landes, in dem das Unternehmen einen Sitz bzw. eine sogenannte legal entity hat oder eine juristische Person ist. Seine Geschäftspraktiken müssen sich also im Rahmen der örtlichen Gesetze bewegen. Und daraus ergibt sich die Auswahl der notwendigen Sanktionslisten. Es ist also nicht relevant, wohin ein Betrieb liefert oder wo er einkauft.

Wird von dem Land, in dem sich Firmensitz oder Tochtergesellschaft befinden, keine eigene Sanktionsliste herausgegeben, greift die nächstgrößere: Im Falle von Deutschland ist das die der EU. Eine Besonderheit gibt es hier: Die Sanktionslisten der EU gelten für alle Staaten des europäischen Wirtschaftsraums, da sie jene Inhalte vereinen, auf die sich alle geeinigt haben. Diese EU-Verordnungen gehen automatisch in nationales Recht über und müssen berücksichtigt werden. Es gibt aber Länder, etwa Belgien, Holland, Frankreich und Polen, die ihre eigenen Sanktionslisten herausgeben – diese enthalten ergänzende, zusätzliche Informationen und vertreten die Eigeninteressen des jeweiligen Staats. In diesem Fall müssen Unternehmen gegen beide Listen prüfen – Landes- und EU-Sanktionslisten. Für Länder außerhalb der EU muss in der Regel die UN-Liste herangezogen werden, wenn keine eigene vorhanden ist. 

Eine Sonderrolle spielt die Sanktionsliste der USA: Die USA streben an, Güter amerikanischen Ursprungs nachverfolgen zu können und interessieren sich deswegen für deren Ein- und Verkauf. Berührungen damit werden weit ausgelegt, da können schon Emails ausreichen, die über einen US-Server gelaufen sind. Viele Unternehmen prüfen deswegen ihre Geschäftsdaten auch gegen US-Sanktionslisten, um auf der sicheren Seite zu sein. Denn die angedrohten Strafen bei Verstößen sind drakonisch.

3. Es reicht, wenn geprüft wird – eine Dokumentation ist nicht notwendig

Manche Unternehmen glauben, dass es ausreichend ist, ihrer Pflicht zur Sanktionslistenprüfung nachzukommen. Nach der Prämisse: „Es reicht ja, wenn ich’s mache.“ Dem ist nicht so. Unternehmen haben eine umfängliche Dokumentationspflicht. Sie müssen nachweisen, dass die Prüfungen stattgefunden haben, die Ergebnisse vorhalten und wie mit den Treffern umgegangen wurde – wer, wann und wie bzw. auf welcher Grundlage.

Gerade der letzte Punkt, das Handling der technischen Hits aus der Software, wird gern unterschätzt. Denn hier ist oft nicht klar, ob es sich um einen Fehltreffer, einen false positive handelt, oder ob der Treffer echt ist. Das Unternehmen muss dokumentieren, wer wann den Treffer bearbeitet hat und wie der Vorgang begründet wird: etwa, dass der Treffer verworfen wurde, weil es sich um eine Karteileiche aus einem alten Stammdatensatz handelt oder um einen Fehltreffer wegen eines abweichenden Namens. Es reicht also nicht, über die Logdaten der Software nur die erfolgte Prüfung nachzuweisen.

Eine saubere, umfassende Dokumentation stellt für Firmen einen guten Schutz dar: Kommt es zu einer Prüfung und zu Mängeln, zum Beispiel weil eine Fehleinschätzung bei der Prüfung von Treffern erfolgte, können sie eher auf Nachsicht hoffen, als wenn die Dokumentation von Anfang an fehlt oder nur unzureichend vorhanden ist. Werden die Organisationsrichtlinien kontrolliert und ist eine Software im Einsatz, die nicht manipuliert werden kann, haben Firmen ihre Aufgabe bereits erfüllt.

Handlungsfehler wiegen dann nicht ganz so schwer. Ein Tool wie z.B. von der Firma Sapper löst die Abarbeitung von Treffern mit der Funktion des Hit Case Managers: Systemimmanent führt er die User durch die notwendigen Schritte – jeder Treffer wird als eigener Fall, als Case, abgearbeitet samt Name und Datum und im Berechtigungskonzept dokumentiert. Dieses kann so eingestellt werden, dass das Vieraugenprinzip greift.

So muss die Dokumentation nicht mehr ausgedruckt und abgeheftet werden, sondern befindet sich in einem geschlossenen System: Es wird sichergestellt, dass keine Schritte vergessen werden, das Vorgehen ist standardisiert, so dass sich auch andere Mitarbeiter darin zurechtfinden. Durch die Dokumentation wird auch ein sorgfältiges Arbeiten sichergestellt, da der verantwortliche Mitarbeiter jederzeit klar ersichtlich ist.

4. Eine einmalige Prüfung bzw. eine Prüfung in Intervallen ist ausreichend

Eine einmalige Prüfung von Geschäftspartnern oder Mitarbeitern gegen die Sanktionslisten ist nicht ausreichend – auch sporadische Abfragen zu festgelegten Turnussen wie alle zwei Wochen und die Mitarbeiter einmal im Quartal genügt nicht, um der gesetzlichen Pflicht nachzukommen. Denn die Listen ändern sich häufiger und Unternehmen müssen stets gegen die aktuellen Listen prüfen. Allein im vergangenen Jahr wurde die EU-Sanktionsliste 80 mal angepasst. Wer sporadisch oder zu festen Intervallen prüft, verpasst diese Änderung. Es ist also wichtig, immer dann neue Prüfungen anzustoßen, wenn sich Listen verändert haben – auch müssen nicht alle Daten wiederholt geprüft werden, sondern nur das Delta.

Eine gute Software triggert diese erneute Prüfung bei Änderungen automatisch. So sind Unternehmen auf der sicheren Seite und stets aktuell, auch, wenn sich nichts verändert haben sollte. Sie müssen die Prüfungen nicht manuell anstoßen, das Tool stellt die aktualisierten Listeninhalte bzw. deren neue Versionen zur Verfügung. Von Vorteil ist, wenn sich die Änderungen von Listen nicht im Preismodell des Anbieters niederschlagen, da die Anzahl der Änderungen nicht vorhersehbar ist. 2022 stieg wegen des Ukraine-Kriegs die Zahl der Anpassungen um mehr als 30 Prozent. Eine Flat auf Basis des Prüfvolumens schafft hier Planungssicherheit für Unternehmen, so dass Anpassungen von Sanktionslisten nicht zum Kostentreiber bei der Softwarelizenz werden. 

Fazit

Unternehmen müssen die Sanktionslistenprüfung durchführen – aber bitte richtig. Viele tun zu wenig und sind sich ihrer Verpflichtungen nicht bewusst, andere schießen über das Ziel hinaus, um auf der sicheren Seite zu sein. Mit einer guten Software finden sie das richtige Maß, gewährleisten die automatisierte Durchführung der Prüfungen und einen reibungslosen Ablauf bei der Dokumentation.

letzte Änderung E.R. am 13.03.2023 Autor(en):  Marie-Helene Wessel Geschäftsführerin, SAPPER INSTITUT GmbH Nadja und Müller, IT-Journalistin für Wordfinder