Compliance: Kennen Sie Ihre Kunden?
von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH
Nachdem wir in unserem letzten Blog-Beitrag aus der Reihe GRC@SAVISCON über das Durchführen der Datenschutz-Folgenabschätzung berichtet haben, soll es heute um den Compliance-Prozess „Know Your Customer“ gehen. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: „Know your Customer“ (KYC) ist in aller Munde, doch was ist das überhaupt und was ist hier konkret zu tun? Diese Fragen haben wir uns im Projekt ebenso gestellt und wollen uns nun Schritt-für-Schritt dem Thema nähern.
Definition
Unter „Know your Customer“ (zu Deutsch: kenne deinen Kunden) versteht man die Prüfung von persönlichen Daten und Geschäftsdaten zur Prävention von Geldwäsche und Terrorismusfinanzierung. Grundlage bietet hier unter anderem das Geldwäschegesetz (GwG). Es gilt zu prüfen, mit wem das eigene Unternehmen da überhaupt Geschäfte macht und dabei geht es nicht nur um Kunden, sondern ebenso um Dienstleister, Lieferanten und Mitarbeiter (auch eine Gehaltszahlung ist eine Art finanzielle Unterstützung).
Und: früher galten Prüfungen eher nur für Unternehmen im Finanzsektor, doch mittlerweile trifft es Organisationen aller Branchen.
Um Wirtschaftskriminalität, Geldwäsche und andere kriminelle Machenschaften zu bekämpfen, bestehen zahlreiche nationale und internationale Prüf-Standards, die in keinem Compliance-Management fehlen dürfen. Taucht ein bestehender oder potenzieller Geschäftspartner oder Mitarbeiter z.B. auf einer Sanktionsliste oder PEP-Liste auf, sind weitere Untersuchungen notwendig. Eine bedenkliche Einstufung hat ggf. sogar eine Beendigung bzw. Verweigerung der Geschäftsbeziehung zur Folge. Es gibt zwar keine rechtliche Verpflichtung, dass jedes Unternehmen prüfen muss, aber jedes Unternehmen muss gewährleisten, dass keine sanktionierten Personen/Unternehmen Unterstützung bekommen. Unter „Unterstützung“ sind sämtliche Aktionen gemeint: es dürfen keine Gelder ausgezahlt werden; aber auch Warenlieferungen und/oder Dienstleistungen dürfen nicht (mehr) erbracht werden.
Bei Missachtung können neben Reputationsverlust auch diese Folgen drohen:
- Bei fahrlässigen Verstößen: Ahndung als Ordnungswidrigkeit gem. § 19 AWG Geldbuße bis zu 500.000 €
- Bei vorsätzlichen Verstößen: Bestrafung der Verstöße als Straftat gem. § 17 AWG, bis zu 10 Jahre Freiheitsstrafe bzw. gem. § 18 AWG bis zu 5 Jahren Freiheitsstrafe
- ggf. auch Entzug der Geschäftserlaubnis
Sanktionslisten
Begonnen wurde mit der Prüfung von terrorverdächtigen Personen als Reaktion auf die Anschläge vom 11. September 2001. Als Grundlage gilt die vom UN-Sicherheitsrat erarbeitete UN-Sanktionsliste. Darauf aufbauend gibt es erweiterte europäische Sanktionslisten (EU-Listen) und eigene Sanktionslisten einiger Staaten, wie z.B. der USA, Großbritannien, Japan und der Schweiz. Nicht alle Listen sind für alle Unternehmen relevant. Es muss also im Vorfeld erstmal geprüft werden, welche Listen (mit welchen Schwerpunkten) auf das eigene Unternehmen Anwendung finden. An dieser Stelle möchten wir einige Listen kurz erwähnen und einen Einblick in diese geben:
CFSP-Liste / Common Foreign & Security Policy (EU-Liste):
Die CFSP-Liste ist von jedem in der EU ansässigen oder wirtschaftlich tätigen Unternehmen zu prüfen. In dieser konsolidierten Liste stehen sämtliche Personen, Organisationen und Vereinigungen gegen welche Finanz-Sanktionen seitens der EU bestehen. Alle EU-weiten Namenslisten, die im Zuge von Verordnungen im Europäischen Amtsblatt veröffentlicht werden, finden sich auf dieser konsolidierten Listensammlung. Die Einträge erfolgen daher mit unterschiedlichen Hintergründen zur Terrorbekämpfung, zur Umsetzung von Länderembargos, zur Folter-Bekämpfung und zur politischen, wie wirtschaftlichen Sanktionierung. Nach den geltenden EU-Verordnungen und dem AWG sind die Unternehmen dazu verpflichtet, einen wirtschaftlich und technisch vertretbaren Aufwand zu betreiben, alle Geschäftspartner gegen diese Liste zu prüfen. Das bedeutet, dass nicht nur exportierende Unternehmen, sondern auch Unternehmen, die nur in Deutschland Geschäfte machen, alle Geschäftspartner, Lieferanten, Kunden und auch die Mitarbeiter gegen diese Sanktionsliste prüfen müssen. Hier ein Auszug:

Auszug aus der CFSP-Liste (Stand 02.07.2021)
SDN-Liste / Specially Designated Nationals (US-Liste):
Hier handelt es sich um eine US-Liste. In dieser Liste finden sich natürliche oder juristische Personen, welche in Aktivitäten verwickelt sind, die die Sicherheit der USA gefährden. Kommt es hier zu einem Treffer, muss bei diesem Handelspartner für den Austausch von Gütern, die der Export Administration Regulations (EAR) unterliegen, lediglich eine Genehmigung bei den amerikanischen Behörden beantragt werden. Hier kommt es also nicht zu einem generellen Verbot. Hier ein Auszug:

Auszug aus der SDN-Liste (Stand 02.07.2021)
DPL-Liste / Denied Persons List (US-Liste):
Bei dieser US-Liste sieht es dagegen etwas anders aus. In dieser Liste werden natürliche und juristische Personen geführt, welche gegen das US-Ausfuhrrecht verstoßen haben. Das Bureau of Industry an Security (BIS) hat gegen diese Personen eine Verbotsverfügung (Denial Order) erlassen. Für diese Personen gilt ein umfassendes Verbot für den Handel mit US-Produkten.
Das Thema Sanktionsliste bedarf also einer näheren und individuelleren Betrachtung – je nach Geschäftsfeld des eigenen Unternehmens muss erstmal geprüft werden, welche Sanktionslisten relevant sind.
(Quelle der Listen: https://www.bex.ag/sanktionslisten/)
Was muss genau geprüft werden?
Wenn ich die notwendigen Sanktionslisten eruiert habe, kann anhand von Vorname, Name, Adresse und Geburtsdatum geprüft werden, ob es Übereinstimmungen zwischen dem jeweiligen Geschäftspartner oder Mitarbeiter und einer sanktionierten Person gibt. Doch auch hier muss berücksichtigt werden, dass Übereinstimmungen auch oft nur durch Namensgleichheit bzw. -ähnlichkeit entstehen können. Hier ist es zwingend notwendig, weitere Kriterien wie Anschrift und Geburtsdatum hinzuzuziehen.
Wie kann ein Abgleich stattfinden?
Auf der Seite Justizportal des Bundes und der Länder gibt es unter Onlinedienste => Finanz-Sanktionsliste die Möglichkeit, Einzelprüfungen vorzunehmen: Finanzsanktionsliste 2021 (finanz-sanktionsliste.de). Bei einem großen Stamm an Geschäftspartnern ist dies aber mit hohem Aufwand verbunden und deshalb gibt es mittlerweile eine Vielzahl an Anbietern, die zur Prüfung eine eigene Software anbieten, die dann z.B. über Schnittstellen an das hausinterne Bestandssystem angebunden werden können.
Wie oft sollte geprüft werden?
Da sich der Status einer Person im Laufe der Zeit ändern kann, reicht eine einmalige Prüfung zu Beginn einer Geschäftsbeziehung nicht aus. Demnach wird empfohlen, in der Praxis mind. alle 3 Monate eine Stammdatenprüfung durchzuführen. Dies ist zwar nicht gesetzlich verbindlich vorgeschrieben, aber das Unternehmen muss wie bereits erwähnt gewährleisten, dass keine Geschäfte mit sanktionierten Personen stattfinden.
PEP-Listen
Völlig unabhängig von diversen Sanktionslisten gibt es auch noch PEP-Listen, die ggf. berücksichtigt werden müssen. Steht man in Beziehung zu sogenannten politisch exponierten Personen (Politiker, Behörden, etc.) so spielt die Prüfung von PEP-Listen zur Vermeidung von Korruption und Bestechung eine wichtige Rolle. Eine PEP im Sinne des GwG ist eine natürliche Person, die ein hochrangiges wichtiges öffentliches Amt auf internationaler, europäischer oder nationaler Ebene oder ein öffentliches Amt unterhalb der nationalen Ebene, dessen politische Bedeutung vergleichbar ist, ausübt (§ 1 Abs. 12 GwG). Juristische Personen sind keine PEPs.
Zu den politisch exponierten Personen gehören insbesondere:
a) Staatschefs, Regierungschefs, Minister, Mitglieder der Europäischen Kommission, stellvertretende Minister und Staatssekretäre,
b) Parlamentsabgeordnete und Mitglieder vergleichbarer Gesetzgebungsorgane,
c) Mitglieder der Führungsgremien politischer Parteien,
d) Mitglieder von obersten Gerichtshöfen, Verfassungsgerichtshöfen oder sonstigen hohen Gerichten, gegen deren Entscheidungen im Regelfall kein Rechtsmittel mehr eingelegt werden kann,
e) Mitglieder der Leitungsorgane von Rechnungshöfen,
f) Mitglieder der Leitungsorgane von Zentralbanken,
g) Botschafter, Geschäftsträger und Verteidigungsattachés,
h) Mitglieder der Verwaltungs-, Leitungs- und Aufsichtsorgane staatseigener Unternehmen,
i) Direktoren, stellvertretende Direktoren, Mitglieder des Leitungsorgans oder sonstige Leiter mit vergleichbarer Funktion in einer zwischenstaatlichen internationalen oder europäischen Organisation;
Neben den eigentlichen Amtsträgern gelten auch unmittelbare Familienmitglieder (Ehe-/Lebenspartner, Kinder, Eltern, Geschwister) und evtl. enge Vertraute als PEP.
Bei der Zusammenarbeit mit einer politisch exponierten Person (PEP) wird ein erhöhtes Risiko von strafrechtlich relevanten Aktivitäten wie Geldwäsche, Korruption oder Steuerhinterziehung angenommen und aus diesem Grund schreibt das GwG die Einhaltung verstärkter Sorgfaltspflichten vor (§ 15 GwG, Anlage 2 zum GwG). Leider gibt es keine staatliche oder übergeordnete Stelle (UN oder EU), die offizielle PEP-Listen herausgibt. Zur Prüfung gibt es hier aber ebenso zahlreiche (kostenpflichtige) Datenbanken von diversen Anbietern. Es besteht zwar aber keine Verpflichtung, die am Markt angebotenen PEP Datenbanken zu nutzen, aber die Nutzung indiziert in aller Regel die angemessene Erfüllung der Pflichten zur Abklärung des PEP-Status. Bei Missachtung dieser Pflicht kann es zu hohen Geldbußen und Reputationsverlust führen.
Wie geht es weiter?
Unser Ziel ist es, in unserem GRC-Cockpit sämtliche Prüfungen direkt aus den Stammdaten vorzunehmen bzw. ein System zur Prüfung an das GRC-Cockpit anzubinden. In den nächsten Schritten werden wir relevante Listen weiter eruieren, Software von unterschiedlichen Anbietern testen und die bestehenden Möglichkeiten unseres Systems prüfen. Über die weitere Entwicklung halten wir Sie über unsere Blog-Beiträge auf dem Laufenden.
…to be continued:
Hier die Zusammenfassung der wichtigsten Erkenntnisse zum Thema „Know your Customer“:
• auch Unternehmen, die nur in Deutschland Geschäfte machen müssen gegen Sanktionslisten prüfen
• welche Listen genau relevant sind, sind individuell für das Unternehmen zu betrachten
• Sanktionslisten und PEP-Listen sind erstmal unabhängig voneinander zu betrachten
• Einzelprüfungen oder Software / Datenbank – diese Entscheidung muss getroffen werden
• Eine einmalige Prüfung reicht nicht aus – Stammdaten müssen regelmäßig gegen Listen geprüft werden
Im nächsten Blog-Beitrag schauen wir wieder gemeinsam in das Projekt Risiko-Management und beleuchten die wesentlichen Risiken für kleine und mittelständische Unternehmen (KMU).
Über die Autorin:

Karin Selzer (Consultant Compliance & Datenschutz) im Büro der SAVISCON GmbH.
Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de