Commercial20.07.2023 Newsletter
Digital Compliance: Der Sprung aus der analogen Compliance-Arbeit Teil 2
Teil II: Software-basierte Sanktions-Compliance
Während in vielen Bereichen noch diskutiert und ausprobiert wird, wie softwarebasierte Compliance-Tools sinnvoll eingesetzt werden können, ist Software aus dem Bereich der Sanktions-Compliance schon seit Jahren nicht mehr wegzudenken. Mit Verhängung weitreichender Finanzsanktionen der EU im Rahmen des russischen Angriffskriegs auf die Ukraine hat ihre Bedeutung seit 2022 noch einmal deutlich zugenommen. In der schier unendlichen Auswahl verfügbarer Softwarelösungen für Sanktions-Screenings ist für (fast) jedes Unternehmen etwas dabei. Die Nutzung dieser Lösungen birgt aber auch rechtliche Risiken und Herausforderungen für den Geschäftsablauf, die wir in diesem Teil aufzeigen möchten.
Was ist softwarebasiertes Sanktions-Screening?
Viele Sanktionsverordnungen enthalten zur Durchsetzung einer gemeinsamen Außen- und Sicherheitspolitik sog. Finanzsanktionen. Sie ordnen an, dass diejenigen Personen, Gruppen und Organisationen (zusammenfassend „Personen“), die im Anhang der jeweiligen Verordnung aufgeführt sind, mit finanzbezogenen restriktiven Maßnahmen belegt werden. Das bedeutet, dass Vermögen, Eigentum und wirtschaftliche Ressourcen dieser Personen oder von dieser Person kontrollierter oder gehaltener Unternehmen eingefroren werden. Ihnen dürfen außerdem Gelder und wirtschaftliche Ressourcen weder direkt noch indirekt zur Verfügung gestellt werden oder zugutekommen.
Um diese Ge- und Verbote zu befolgen, muss in jeder Transaktion sichergestellt werden, dass der betroffene Geschäftspartner nicht im Anhang einer Sanktionsverordnung gelistet ist. Es gilt also den Namen der betroffenen Person mit den Einträgen der Sanktionsverordnungen anwendbarer Regime zu vergleichen – eine echte Sisyphusarbeit, wenn man sich vor Augen führt, wie viele Transaktionen täglich in einem Unternehmen durchgeführt werden, wie viele Sanktionslisten es gibt, wie viele Personen auf den einzelnen Listen geführt werden und wie oft Verordnungen angepasst werden:
- Ca. 30 Sanktionsregime nach EU-Recht, mit allein 1.700 sanktionierten Personen unter den Sanktionen gegen Russland,
- ca. 76 Regime des US-Rechts,
- ca. 40 Regime nach UK-Recht,
- ca. 15 Regime der UN und
- weitere Regime anderer Länder, wie Schweiz, Australien, Japan usw.
Die Listen sanktionierter Personen werden regelmäßig angepasst. Zu Beginn der Sanktionen gegen Russland beispielsweise gab es zum Teil täglich Änderungen.
Um den Abgleich der Geschäftskontakte mit den Sanktionslisten zu erleichtern, bieten verschiedene Softwareanbieter seit Jahren Programme, die diesen Abgleich halbautomatisiert oder sogar automatisiert durchführen. Es gibt zwar keine rechtliche Verpflichtung diese Programme zu nutzen, sie bieten aber eine erhebliche Arbeitserleichterung. Die Daten der zu prüfenden Person, insbesondere der Name, werden entweder manuell oder über eine Schnittstelle zum internen ERP-System des Unternehmens in die Software eingegeben und die Software zeigt nach Abgleich mit den Sanktionsverordnungen potentielle Übereinstimmungen („Treffer“) an.
Operative Herausforderungen bei der Nutzung von Screening-Tools
Die erste operative Herausforderung bei der Nutzung von Screening-Tools ist oftmals die Auswahl der richtigen Software-Lösung. Das Angebot ist groß und stetig wachsend. Da ist es oftmals schwierig zu erkennen, welches Produkt für das Unternehmen die richtige Lösung ist. Der wesentliche Unterschied der Produkte liegt – neben der Anzahl möglicher Nutzerlizenzen – insbesondere in der zum Abgleich genutzten Datenbank. Ein Unternehmen sollte sich also zumindest die folgenden Fragen stellen:
- Welche Sanktionsregime muss die Software abdecken? Je nach Gesellschaftsstruktur, Geschäftsaktivität, Corporate Policy sowie Nationalität der Mitarbeitenden können verschiedene Sanktionsregime anwendbar sein. Das Screening-Tool muss einen Abgleich mit den aktuellen Listen dieser Regime abdecken können.
- Braucht das Unternehmen ein Tool, das auch Eigentumsverhältnisse umfasst? Ist eine Person auf einer Sanktionsliste geführt, beziehen sich die Verbote und Beschränkungen nicht nur auf die wirtschaftlichen Ressourcen dieser Person, sondern auch auf Ressourcen von Unternehmen, die im Mehrheitseigentum der gelisteten Person stehen. Je nachdem, wie viele Kontakte zu prüfen sind und wie risikobehaftet die Transaktionen sind, kann es sinnvoll sein, in ein Tool zu investieren, in dessen Datenbank gesellschaftsrechtliche Strukturen hinterlegt sind und das bei entsprechenden Eigentumsverhältnissen Treffer anzeigt. Alternativ ist es auch möglich, anhand der Daten über gesellschaftsrechtliche Strukturen Eigentümer als separaten Vorgang im Tool zu prüfen.
- Reicht ein Tool? Es kann immer wieder zu Fehlern beim Sanktions-Screening kommen. Das sind etwa Fälle, in denen das Tool eine Person fälschlicherweise als sanktioniert erkennt („false positives“) oder – deutlich problematischer - nicht erkennt. Daher gibt es Unternehmen, die in mehrere Tools investieren, um Ergebnisse abzugleichen. Dies reduziert das Risiko von Sanktionsverstößen, kann aber die Geschäftsabläufe deutlich verlangsamen.
- Wie viele Personen benötigt das Unternehmen für die Nutzung des Tools? Es ist auch zu entscheiden, wie viele Personen Prüfungsergebnisse inkl. „falscher Treffer“ überprüfen können. Danach richtet sich auch die Anzahl erforderlicher Lizenzen. Diese Personen sind sorgfältig auszusuchen und zu schulen.
- Wie oft sind Screenings durchzuführen und wie viel kann automatisiert werden? Einige Screening-Tools können voll automatisiert prüfen. Je nach Umfang der Geschäftskontakte und Transaktionen, kann es sinnvoll sein, eine gewisse Anzahl an Personen routinemäßig automatisiert prüfen zu lassen und nur neue Vorgänge händisch einzupflegen.
- Wie geht man mit einem Treffer um?
Zunächst muss geklärt werden, ob es sich bei einem Treffer doch nur um ein „false positive“ handelt, was durchaus häufig der Fall ist. Aber auch wenn es sich um einen wirklichen Treffer handelt, muss dieser noch bewertet werden, da Sanktionen sehr differenziert gestaltet sind und daher nicht automatisch jedes Geschäft untersagt ist. Es stellen sich Fragen insb. nach dem geographischen und sachlichen Geltungsbereich. Die Bedeutung eines Treffers muss also noch rechtlich analysiert werden. Das kann im Einzelfall sehr anspruchsvoll sein und kann nicht durch das Screening-Tool geleistet werden.
Zur Beantwortung dieser Fragen ist stets vorab eine Risikobewertung der Geschäftsaktivität durchzuführen. Das Screening-Tool ist Teil des internen Compliance-Systems und muss daher eine wirksame und geeignete Maßnahme bezogen auf individuelle unternehmensspezifische Risiken sein. Abhängig von Faktoren wie Größe, Struktur, Geschäftsumfang, Kundenportfolio, Art der Güter und ausgeübter Geschäftstätigkeit sind Unternehmen in unterschiedlicher Art und Weise Risiken in Bezug auf Sanktions-Compliance ausgesetzt. Die Auswahl und die Nutzung des Tools müssen sich immer an diesen Risiken orientieren.
Rechtliche Leitplanken bei der Nutzung von Screening-Tools
Die Nutzung eines Sanktions-Screening-Tools ist kein Selbstläufer. Einige rechtlich relevante Aspekte der Finanzsanktionen können Screening-Tools bisher – nach unserer Kenntnis – nicht abdecken. Außerdem bedarf es für die Auswahl des Tools, der Eingabe der Daten und der Auswertung der Ergebnisse des notwendigen Know-hows. Unternehmen sollten sich daher nicht ausschließlich auf Software-Lösungen verlassen, um Compliance mit Finanzsanktionen sicherzustellen.
Ist eine Person auf einer Sanktionsliste geführt, beziehen sich die Verbote und Beschränkungen nicht nur auf die wirtschaftlichen Ressourcen dieser Person, sondern auch auf Ressourcen von Unternehmen, die im Mehrheitseigentum der gelisteten Person stehen oder – gemäß jedenfalls den Sanktionen von EU und UK – von ihr kontrolliert werden. Dabei reicht es nach Sicht der EU-Kommission sogar aus, dass mehrere sanktionierte Personen kumuliert mehr als 50 % der Eigentumsanteile halten („aggregiertes Eigentum“). Diese Regelung stellt eine erhebliche Herausforderung für die Sanktions-Compliance von Unternehmen dar und kann teilweise in Screening-Tools bisher nicht abgebildet werden.
Es gibt zwar einige Tools, in deren Datenbanken gesellschaftsrechtliche Strukturen hinterlegt sind, sodass auch ein Treffer angezeigt wird, wenn ein Unternehmen im Eigentum einer gelisteten Person steht. Das Kriterium der Kontrolle und des aggregierten Eigentums ist bisher unseres Wissens aber in keinem Tool abgebildet. Das bedeutet, dass ggf. kein Treffer angezeigt wird, wenngleich der geprüfte Geschäftspartner unter der Kontrolle einer nach EU oder UK-Recht sanktionierten Person oder nach kumulierter Berechnung im Mehrheitseigentum sanktionierter Personen steht und die Finanzsanktionen daher auch für ihn gelten. Diese Prüfung kann das Sanktionstool also nicht übernehmen.
Darüber hinaus ist es auch nicht ausgeschlossen, dass Treffer zum Beispiel wegen fehlender Updates nicht richtig angezeigt werden. Zuletzt bei Erlass des 11. Sanktionspakets gegen Russland Ende Juni 2023 hat es über fünf Tage gedauert, bis die über 100 sanktionierten Personen in Datenbanken einiger elektronischer Sanktionslisten aufgenommen waren. Nutzte ein Screening-Tool eine entsprechende Datenbank, so wurde in dieser Zeit fälschlicherweise kein Treffer angezeigt. Dies kann für ein Unternehmen schwerwiegende Folgen haben, denn es gilt:
Verstößt ein Unternehmen gegen eine Finanzsanktion, kann es sich nicht strafbefreiend darauf berufen, dass dies auf einem Fehler des Screening-Tools beruht. Eine angemessene Nutzung eines Screening-Tools basierend auf einer zutreffenden Risikobewertung kann lediglich eine Strafe mildern.
Der Vollständigkeit halber soll hier noch kurz auf die datenschutzrechtlichen Aspekte des Screenings hingewiesen werden, ohne dass diese in diesem Beitrag erschöpfend behandelt werden sollen: Beim Screening werden personenbezogene Daten eingesetzt und dementsprechend muss das Screening und die Auswertung von Treffern datenschutzrechtlichen Anforderungen genügen, etwa hinsichtlich der Fragen des Zugangs zu den Daten, deren sicherer Aufbewahrung und des Löschens von Daten. In diesem Zusammenhang muss auch bedacht werden, welche Personen einem Screening unterworfen werden sollen. So gibt es geschäftliche Kontakte, denen jedenfalls zum fraglichen Zeitpunkt keine wirtschaftlichen Ressourcen zur Verfügung gestellt werden (etwa beim Besuch eines Dienstleisters, der sich um einen Auftrag bewerben möchte). Diesen einem Screening zu unterziehen, wäre datenschutzrechtlich problematisch, da der Zweck des Screenings nicht erreicht werden kann.
Wie sieht die Zukunft aus?
Wie sich Sanktions-Screening in der Zukunft entwickeln wird, kann natürlich niemand mit Sicherheit sagen. Es steht aber fest, dass es weiterhin an Wichtigkeit gewinnen wird, da das Instrument der Finanzsanktionen zunehmend zur Durchsetzung außen- und sicherheitspolitischer Interessen genutzt wird.
Es ist zu erwarten, dass die Systeme in der Zukunft noch schneller aktualisiert werden und möglicherweise die Datenbanken auch die Aspekte der Kontrolle und des aggregierten Eigentums besser abdecken. Dennoch wird es auch in der Zukunft so bleiben, dass digitales Sanktions-Screening nur ein Hilfsmittel sein kann und die Struktur der Screenings und die Bewertung der Ergebnisse eines Screenings der Beurteilung durch Experten bedarf.