Foto: Thinkstock / zimmytws
Foto: Thinkstock / zimmytws
Compliance Management

Geldwäsche, Embargo und Sanktionen

1. Die Problemstellung

Im Januar 2017 war im Spiegel folgendes zu lesen: Deutsche Bank muss 630 Millionen Dollar zahlen

Die Deutsche Bank hat zugestimmt, in der russischen Geldwäsche-Affäre insgesamt 630 Millionen Dollar Bußgeld zu zahlen. In dem Fall drohen aber noch weitere Strafzahlungen. (Der Spiegel  v. 17.01.2017) Erst kürzlich haben US-Behörden der französischen Großbank BNP Paribas wegen Geschäften mit Iran, Kuba und dem Sudan eine Rekordstrafe in Höhe von fast neun Milliarden Dollar auferlegt. Die US-Behörden sahen amerikanische Handelssanktionen in eklatanter Weise verletzt.

Angesichts der nahezu atemberaubenden Höhe der ausgesprochenen Sanktionen leuchtet es ein, dass dergestalt Risiken zu den TOP Risiken eines Unternehmens (gleich welcher Branche) zählen. Nimmt man nun noch an, dass in einem Unternehmen die Compliance Stelle dafür Sorge zu tragen hat, dass durch das Unternehmen, seine Mitarbeiter aber gegebenenfalls auch durch Geschäftspartner derartige Verstöße nicht begangen werden, fragt man sich wie Compliance hier dagegen angehen kann.

Zwar sind in den überwiegenden Fällen die juristischen Kenntnisse vorhanden jedoch gilt es die Herausforderungen vor allem prozessual und technisch in den Griff zu bekommen.  Denn angesichts dieses Sanktionsrahmen leuchtet eins ein: Die Kosten für eine wirksame Prävention dürften immer geringer sein als die drohenden Sanktionen.

2. Sanktionen und Geldwäsche

2.1 Sanktionen und Embargos

Im europäischen Raum sind die EU-Verordnungen 2580/2001, 881/2002 und 83/2011 als Finanzsanktionsvorschriften maßgeblich. Sie verbieten es, in einschlägigen Listen genannten Personen, Gesellschaften oder Organisationen Gelder oder andere wirtschaftliche Ressourcen direkt oder indirekt zur Verfügung zu stellen.

Geschäfte mit sanktionierten Personen oder Firmen sind strafbar. Das geht aus der EU-Verordnung 2580/2001 und 881/2002 zur Bekämpfung des Terrorismus eindeutig hervor. Die Verordnung verpflichtet Unternehmen dazu, ihre Daten mit den in der Sanktionsliste aufgeführten Adressen abzugleichen. Bei Nichtbeachtung drohen empfindliche Geldbußen oder gar Haftstrafen. Es besteht sogar das Risiko, selbst auf die Sanktionslisten gesetzt zu werden.

Boykott- oder Sanktionslisten sind Adressdaten von terror-verdächtigen Personen, Organisationen oder Firmen, mit denen Unternehmen laut der genannten EU-Verordnung keine Geschäfte machen dürfen. Neben Personen, Gruppen, Organisationen werden auch bestimmte Wirtschaftsgüter (Waren) in verschiedenen Listen geführt. Grund hierfür kann zum einen die Exportbeschränkung (Exportkontrolle) sein, wie es u. a. bei den sog. Dual-Use-Gütern der Fall ist.

Personenbezogene Embargos

Dies sind zum einen die personenbezogenen Embargos wie sie aus den EU-Verordnungen 881/2002 (Al Quaida), 2580/2001 (Terror) und 753/2011 (Taliban) inklusive aller Änderungsverordnungen hervorgehen. Zum anderen gibt es länderbezogene Embargo-EU-Verordnungen mit angehängten Adresslisten, wie unter anderem für die Länder Birma/Myanmar, Iran, Irak, die Demokratische Republik Kongo, Nordkorea, den Sudan etc. Unternehmen müssen sicherstellen, dass sie keinen Handel oder geschäftliche Beziehungen mit in Sanktionslisten aufgeführten Personen, Gruppen oder Organisationen eingehen.

US-Embargos

Besteht darüber hinaus ein Bezug zu den USA (Vermögen, Staatsbürgerschaft oder Aufenthaltsort), ist zudem zu prüfen, ob die Vorschriften des US-amerikanischen Office of Foreign Assets Control (OFAC) eingehalten werden.

In der EU ansässige Firmen – sofern Handel mit U.S.-Gütern betreiben oder in den USA tätig – müssen auch die zahlreichen US-Sanktionslisten beachten, da die Außenhandelsgesetze der USA extraterritoriale Geltung haben, das heißt auch außerhalb der USA Berücksichtigung finden (Beispiel: US-Re-Exporte). Unternehmen, welche gegen diese Listen verstoßen, laufen Gefahr, selbst auf einer „Schwarzen Liste“ zu landen und somit vom Handel mit U.S.-Gütern oder dem US – Finanzmarkt ausgeschlossen zu werden.

2.2 Geldwäsche AML

Geldwäsche Begriff

Als Geldwäsche bezeichnet man das Einschleusen illegal erworbener Vermögenswerte in den legalen Finanzkreislauf. Das Ziel dabei ist, die illegale Herkunft des Geldes zu verschleiern um es somit in „sauberer“ Form in den Wirtschaftskreislauf zurückzuführen. Die rechtliche Grundlage und die Notwendigkeit Präventionsmaßnahmen gegen Geldwäsche im Unternehmen zu implementieren bildet das Geldwäschegesetz (GwG). Betroffen von dem GwG sind laut § 2 Abs. 1 unter anderem Kreditinstitute, Finanzdienstleistungsinstitute, Versicherungsunternehmen und Personen die auf dem freien Markt mit Gütern handeln. Laut dem § 261 StGB (Strafgesetzbuch) ist der Verstoß gegen das Geldwäschegesetz ebenfalls eine Straftat und kann mit Freiheitsstrafen mit bis zu fünf Jahren bestraft werden. Die illegal erworbenen Vermögenswerte die durch Geldwäsche „rein“ gewaschen werden, könnten dabei aus unterschiedlichen rechtswidrigen Taten stammen. Diese könnten Diebstähle, Korruptionsstraftaten, Zuhälterei, Menschenhandel, Terrorismusunterstützung oder Drogenhandel sein. Die Liste lässt sich unendlich fortsetzen.

Geldwäsche Prävention

Um sich als Unternehmen zu schützen und die genannten Geschäfte zu stoppen sieht das GwG vor, interne Maßnahmen zu ergreifen und Geldwäsche durch definierte Sorgfaltspflichten aktiv zu bekämpfen. An dieser Stelle kommt laut dem § 3 Abs. 1 GwG, die Due-Diligence Prüfung ins Spiel, bei der es sich um die Überprüfung von Geschäftspartnern handelt. Geschäftspartner sind laut allgemeinen Definitionen Kunden, Lieferanten und sonstige Vertragspartner. Um eine solche Business Partner Prüfung vorzunehmen, können sich die Unternehmen neben den im GwG genannten und notwendigen Informationen auch den Sanktionslisten bedienen.

Natürliche oder juristische Personen, welche gegen das gültige Recht und/oder die Menschenrechte verstoßen finden sich auf solchen Sanktionslisten wieder. Durch die Eintragung und die getroffenen Sanktionsmaßnahmen sollen rechtswidrige Tätigkeiten eingeschränkt werden und beispielsweise der Terrorismus und Geldwäsche bekämpft werden. Die gängigsten Quellen sind die US Office Foreign Assets Control, die Sanktionslisten der Vereinten Nationen, der Europäischen Union und der Britischen Finanzverwaltung (UKHM Treasury). Somit sind Geschäfte mit Personen und Unternehmen die sich auf mindestens einer dieser Listen befinden verboten.

2.3 Sanktionen

Durch einen Abgleich des Geschäftspartners mit einer dementsprechenden PEP Liste, kann somit auch das Risiko zur Geldwäschebereitschaft eines Business Partners identifiziert werden. Ein hohes identifiziertes Geldwäsche Risiko muss nach genauer Prüfung dem Bundeskriminalamt und einer Strafverfolgungsbehörde gemeldet werden. Wird diese Vorschrift missachtet, verstößt das Unternehmen gegen das OwiG (Ordnungswidrigkeitsgesetz) und kann mit Geldbußen von bis zu 100.000 Euro bestraft werden. Daraus geht hervor, dass eine Geschäftspartnerprüfung unabdingbar für ein Unternehmen ist und in das Risikomanagement implementiert werden muss.

3. Die Rolle der Compliance

Unternehmen stehen vor der Herausforderung, die genannten Anforderungen in Form von schlanken Lösungsprozessen umzusetzen. Dabei sollten Störungen des Kerngeschäfts weitestgehend vermieden werden, die Prozesse aber gleichzeitig einen bestmöglichen Schutz gegen Verstöße bieten.  Beaufsichtigt werden diese Prozesse präventiv in der Regel von Compliance. Hier findet auch eine Eskalation statt im Falle eines Findings.  Compliance ist zuständig für die Etablierung von Strukturen, Kontrollen oder Prozessen, die dazu dienen, einen wirksamen umfassenden Abgleich (Screening) der Kundendaten beziehungsweise Zahlungsdaten mit den bestehenden Sanktionslisten zu ermöglichen. Hierzu zählt auch ein standardisiertes Business-Partner-Compliance-Screening in Kombination mit einer Workflow-basierten IT-Anwendung.

Dieses zeigt sehr gut die geänderten und stetig an Komplexität zunehmenden Aufgaben von Compliance. Wurde Compliance zum Beispiel im Finanzsektor meistens auf den Wertpapierbereich und Korruptionsbereich beschränkt, kommt Compliance heute ohne prozessuales aber auch in vielen Fällen technisches Know-how nicht mehr aus.  Vielfach empfiehlt sich eine Projektstruktur.

3.1 Was genau sollte Compliance tun

Die Risikoanalyse

Welches Risiko besteht, dass eine auf einer EU-Sanktionsliste genannte Person von Ihrem Unternehmen Gelder oder eine wirtschaftliche Ressource zur Verfügung gestellt bekommt? Welche Systeme sind aufgrund ihres Datengehaltes betroffen.  Hier ist zunächst an alle Systeme zu denken, welche zum einen Kundendaten enthalten zum anderen aber auch Zahlungsdaten. Schon diese Analyse erfordert ein Vernetzen innerhalb des Hauses und in der Regel eine Projektstruktur beim Vorgehen.

Regelung der Zuständigkeiten für die Sanktionslisten - Überwachung

Im Zweifel obliegt es Compliance, die Organisation und Überwachung der Sanktionslisten-Prüfungen sicherzustellen. Dieses bezieht sich nicht nur auf die jeweiligen Organisationseinheiten, sondern auch auf die Ausführung des Screenings (Zeitpunkt vor Auszahlung, bei Vertragsanbahnung usw.). Eskalationsprozesse müssen etabliert werden.

Bestimmung der relevanten Listen

Ist das Unternehmen im Außenhandel tätig? Handelt man mit Gütern, die den US Export- und/oder Reexport Bestimmungen unterliegen? Hat das Unternehmen US-Tochterfirmen oder ist das Unternehmen selbst Tochter eines US-Unternehmens? Hat das Unternehmen einen Geschäftsführer, der die US-Staatsbürgerschaft besitzt? Sollten all diese Fragen mit „nein“ beantwortet können, sind aller Wahrscheinlichkeit nach nur die EU-Sanktionslisten relevant. Bestimmte US-Listen, zum Beispiel die Entity List oder Unverified List, sind in diesem Fall   ohne rechtliche Bedeutung. Auch bei anderen Listen, zum Beispiel der Sanktionsliste der Bank of England, sollten Sie eruieren, ob diese gesetzlichen Bestimmungen tatsächlich auf Ihr Unternehmen Anwendung finden.

Softwaregestützes Screening?

Es kann sich der Einsatz von sogenannter Screening-Software zum Abgleich mit Embargolisten anbieten. Bei der Auswahl der Softwarehersteller ist auf die Aktualität dieser Listen zu achten. Wesentlich ist ebenso die intelligente Einbeziehung von Varianten der Schreibweise („fuzzy logic“), da viele Namen übersetzt sind.  Entscheidet man sich für eine manuelle Überprüfung, sollte erörtert werden, welche Suchalgorithmen verwendet werden sollten. Wichtig ist, bei unternehmensinternem Einsatz den Datenschutzbeauftragten hinzuzuziehen. Entscheidet man sich für eine Softwareunterstützte Lösung sind bestimmte Mindestanforderungen an eine solche Software zu stellen (Lizenzfragen, Content Fragen, Aktualität der Listen, Schnittstellen zu Systemen usw.).

Letztendlich verbleiben mehrere Möglichkeiten das Thema technisch an zu gehen. Dieses bezieht sich insbesondere auf die Zeit Intervalle beim Screening. Das folgende Schaubild mag dies verdeutlichen:

Insbesondere ist hier Augenmerk auf das Screening von Geschäftspartnern zu legen und darauf, dass letztendlich Geldwäsche und Sanktionslisten Screening gemeinsam erfolgen.

Kommunikation und Schulung

Sämtliche Maßnahmen müssen im Unternehmen kommuniziert werden. Dieses geschieht zum Beispiel  durch Guidelines, Richtlinien und so weiter. Mitarbeiter müssen geschult werden, es muss ein Bewusstsein geschaffen werden und, Prozesse veröffentlicht werden.

Fazit

Letztendlich geht es um Systeme, die Daten enthalten, die wiederum mit Listen abzugleichen sind. So einfach und banal dies klingt umso deutlicher werden die sich ändernden Herausforderungen für die Compliance Funktion. Hier gilt es Schritt zu halten. Compliance ist wesentlich mehr als das bloße Sicherstellen der Einhaltung von Regulatorik. Zieht man nun auch noch die Anzahl der Systeme in Betracht, verschiedene zeitliche Komponente so wird einem sehr schnell die Komplexität der Aufgabe – gerade für internationale Häuser – bewusst. Hinzu kommen die aufgrund der Weltlage sich ständern ändernden Anforderungen, man denke an die Ukraine Krise und die daraus resultierenden Wirtschaftssanktionen gegen Russland.

Den Herausforderungen an die Qualitätssicherung moderner, hochkomplexer Lösungen, die zum Beispiel aufgrund der sich häufig ändernden Regulatorik in kurzen Abständen aktualisiert und verändert werden, sollte sich Compliance stellen.

Dieses mag betreffen:

  • Inbetriebnahme von Programm – Updates und neuen Releases
  • Änderungen von Prozessen
  • Wechselwirkungen einer Vielzahl von Systemkomponenten im IT – Betrieb

Hierzu, braucht es schnelle, flexible und kostengünstige Lösungen, die es erlauben, Qualitätssicherung in Form von zum Beispiel automatisierten Tests mit großer Abdeckung und Häufigkeit durchzuführen. Es versteht sich von selber, dass Compliance solche Tests nicht selber durchführt. Gleichwohl empfiehlt es sich, sich – als Compliance Verantwortlicher – prozessual in das Testing mit einzuschalten. Dieses kann zum Beispiel durch eine Anforderung der Testergebnisse oder aber durch die Formulierung entsprechender Testfälle geschehen.

Weiterhin sei empfohlen, dass die Compliance Abteilung Mitarbeiter mit IT-Hintergrund beschäftigt.  Nur so kann es gelingen, dass der Compliance Verantwortliche – oft Jurist – auch den technischen Herausforderungen seiner Funktion begegnen kann.

 

Das könnte sie auch noch interessieren

© GettyImages / relif

Das Regulatory Monitoring muss professionalisiert werden

Das vorausschauende Erfassen und Verarbeiten von Norm- und Gesetzesänderungen ist ein Punkt, in dem das Compliance Management vieler Unternehmen nach wie vor Schwächen aufweist. Ein einheitlich...

© GettyImages / ChakisAtelier

Digitalisierung spart Zeit und Kosten

Durch Automatisierung und Digitalisierung zur effizienteren Compliance-Risikoanalyse.

Foto: Getty Images / Eric Audras

Die neue EU-Richtlinie zum Schutz von Whistleblowern

Es ist jetzt genau einen Monat her, seit dem der Entwurf einer EU-Richtlinie zum Schutz von Whistleblowern veröffentlicht wurde. Und die erste offizielle Beratung durch die EU-Justizminister steht...

Foto: Getty Images / Joseph Clark

Technische Compliance als Schlüssel zur Effizienz

Technische Compliance im Großanlagenbau gehört zu den am wenigsten beleuchteten Bereichen. Dabei lassen sich viele Konflikte beseitigen, wenn man die „Spielregeln“ kennt.

Foto: Getty Images / yacobchuk

Was erfolgreiche Compliance-Einheiten ausmacht

Auf diese Frage liefert die aktuelle Berufsfeldstudie des Berufsverbandes der Compliance Manager (BCM) keine Antwort. Sie spiegelt aber an einigen Stellen interessante Ergebnisse zum Stand der...

Foto: Thinkstock / seb_ra

Keine „Vorgesetztenverantwortlichkeit“ im Strafrecht!?

Rechtsprechung und Strafverfolgungsbehörden erhöhen seit Jahren stetig den Druck auf Unternehmen und deren Leitungspersonen. Zuletzt kam ein weiterer Impuls von Seiten der Politik.

Neuen Kommentar schreiben