Stephan Denk, Lukas Pomaroli, Cristina Hajek Gross und Holger Roos
Sanktionsverstöße im Unternehmen: Organpflichten und interne Untersuchungsmaßnahmen
Unternehmen sehen sich zunehmend umfassenderen und komplexeren Sanktionsregimen gegenüber. Damit einher geht ein erhöhtes Risiko für Verstöße, insbesondere für global agierende Unternehmen, deren Geschäftsalltag von grenzüberschreitenden Sachverhalten geprägt ist. Auch wenn Verstöße nicht bewusst begangen wurden, folgen hieraus regelmäßig erhebliche Konsequenzen, von empfindlichen Strafen über Reputationsschäden bis hin zur persönlichen Haftung der Unternehmensleitung. Der nachfolgende Beitrag gibt einen strukturierten Überblick über zentrale Instrumente der Sanktionspolitik der Europäischen Union (I.) und mögliche Konsequenzen von Verstößen (II.). Darauf aufbauend zeigt er die Eckpfeiler eines wirksamen Sanktionscompliance-Programms auf (III.). Abschließend wird erläutert, wie die Unternehmensleitung im Ernstfall durch effektives Krisenmanagement und eine zielgerichtete Sachverhaltsaufklärung die Situation unter Kontrolle bringen und Schäden begrenzen kann (IV.).
I. Komplexe Sanktionsrisikolandschaft
Im Gleichschritt mit dem sich rasch wandelnden globalen Machtgefüge entwickelt sich auch das Instrumentarium wirtschaftspolitischer Gegenmaßnahmen weiter. Die Sanktionsrisikolandschaft ist aufgrund geopolitischer Spannungen heute dynamischer und komplexer denn je, wobei den EU-Sanktionen eine Schlüsselrolle zukommt. Besonders das weitreichende Sanktionsregime gegen Russland1 ist – vor allem für global tätige Unternehmen – von erheblicher praktischer Relevanz. Ein vertieftes Bewusstsein für sanktionsrechtliche Vorgaben und Beschränkungen ist daher von entscheidender Bedeutung.2
Im Folgenden werden die zentralen Sanktionsmaßnahmen praxisnah dargestellt. Zur besseren Veranschaulichung erfolgt die Darstellung anhand des EU-Sanktionsregimes gegen Russland; je nach Sanktionsregime können sich Umfang, Anwendungsbereich und konkrete Regelungen unterscheiden.
1. Vermögenssperren und Bereitstellungsverbote
Vermögenssperren sind der häufigste Sanktionsmechanismus. Sie verpflichten zum sofortigen Einfrieren aller Gelder und Ressourcen, die sich im Eigentum oder Besitz sanktionierter natürlicher oder juristischer Personen befinden. Gleiches gilt für Vermögenswerte, die von gelisteten Personen gehalten oder kontrolliert werden.3
Der Begriff „Gelder“ ist weit zu verstehen und umfasst alle finanziellen Vermögenswerte und Vorteile wie beispielsweise Bargeld oder Guthaben auf Konten.4 „Wirtschaftliche Ressourcen“ dient als Auffangtatbestand für alle sonstigen materiellen wie immateriellen Vermögenswerte, inklusive geistigen Eigentums5, die zum Erwerb von Geldern, Waren oder Dienstleistungen genutzt werden können.6
Parallel zum Einfriergebot verbieten zahlreiche Sanktionsregime, gelisteten oder von ihnen gehaltenen oder kontrollierten juristischen Personen direkt oder indirekt Gelder oder wirtschaftliche Ressourcen zur Verfügung zu stellen oder zugutekommen zu lassen.7 Erfasst ist jede Handlung, die der sanktionierten Person Verfügungsmacht über die Vermögenswerte verschafft.8
Die größte Herausforderung für Unternehmen liegt dabei nicht in der Identifizierung direkt sanktionierter Personen, sondern in der korrekten Anwendung dieser Verbote auf nicht-gelistete Unternehmen, die durch sanktionierte Personen gehalten oder kontrolliert werden.9 Diese erhebliche Erweiterung des Anwendungsbereichs begründet für Unternehmen weitreichende Sorgfalts- und Prüfpflichten.
Eine reine Überprüfung von Geschäftspartnern gegen die offiziellen Sanktionslisten im Rahmen eines Sanktionslisten-Screenings reicht regelmäßig nicht aus. Unternehmen sind vielmehr gezwungen, die gesamte Eigentums- und Kontrollstruktur ihrer Geschäftspartner zu durchleuchten. Dies kann mit erheblichen praktischen Schwierigkeiten verbunden sein, da diese Strukturen oft komplex und international verschachtelt sind und die relevanten Informationen nicht immer öffentlich zugänglich sind.
Das Verbot der mittelbaren Bereitstellung verschärft diese Prüfpflichten weiter: Um ausschließen zu können, dass ein nicht-sanktioniertes Unternehmen als Kanal für sanktionierte Personen dient, ist regelmäßig eine genaue Analyse von Zahlungsströmen und Transaktionszweck erforderlich.
2. Produktbezogene Handelsbeschränkungen
Produktbezogene Handelsbeschränkungen stellen ein weiteres zentrales Instrument der EU-Sanktionspolitik dar und verfolgen sowohl ausfuhrgerichtete Verbote als auch einfuhrgerichtete Verbote.10
Beispielsweise beschränken die EU-Sanktionen gegen Russland die direkte und indirekte Lieferung, Ausfuhr, Verbringung und den Verkauf einer sehr breiten Palette von Gütern und Technologien an Personen in Russland oder zur Verwendung in Russland. Dies umfasst Güter mit doppeltem Verwendungszweck (sog. „Dual-Use“-Güter), Produkte zur militärischen und industriellen Stärkung (von Rohstoffen über Maschinen bis zu Industrieanlagen) sowie Luxuswaren.11 Die stetige Erweiterung der betroffenen Güter macht eine kontinuierliche Beobachtung der relevanten Verordnungen und Anhänge unerlässlich.
Flankierend zu den Ausfuhrverboten hat die EU umfassende Einfuhrverbote für wirtschaftlich bedeutsame russische Produkte erlassen. Verboten sind Kauf, Einfuhr oder Verbringung von Gütern, die ihren Ursprung in Russland haben oder von dort exportiert werden. Dies umfasst beispielsweise Eisen, Stahl, Rohöl, Gold, Diamanten sowie diverse industrielle Halb- und Fertigwaren.12 Auch für diese Einfuhrverbote werden die Listen der betroffenen Güter regelmäßig erweitert.
Für international tätige Unternehmen resultieren aus diesen vielschichtigen Handelsbeschränkungen erhebliche Compliance-Anforderungen. Unternehmen müssen sicherstellen, dass ihre Produkte auch nicht über Drittländer nach Russland umgeleitet werden. Verschärft wird diese Anforderung durch die für Exporteure bestimmter sensitiver Güter geltende Pflicht, ihre Vertragspartner in Drittländern mittels einer vertraglichen „No-Re-Export-to-Russia“-Klausel zur Unterlassung einer Wiederausfuhr ihrer Waren nach Russland zu verpflichten.13
3. Dienstleistungsverbote
EU-Sanktionen gegen Russland verbieten außerdem auch die Erbringung bestimmter unternehmensrelevanter Dienstleistungen unmittelbar oder mittelbar an in Russland niedergelassene juristische Personen, Organisationen oder Einrichtungen und die russische Regierung. Zu den erfassten Dienstleistungen gehören etwa Buchführung, Wirtschaftsprüfung, Rechts- und Steuerberatung, Unternehmensberatung und Public-Relations-Dienste. Gleichermaßen verboten sind Architektur- und Ingenieurdienstleistungen, technische Prüf- und Analysedienste, Dienstleistungen in den Bereichen Informationstechnologie und Künstliche Intelligenz. Auch die Erbringung technischer Hilfe, Vermittlungsdienste, anderer Dienste, Finanzmittel oder Finanzhilfen im Zusammenhang mit den beschränkten Dienstleistungen und Software-Tools ist untersagt.14 Um zu verhindern, dass die Verbote durch die Verlagerung von Know-how umgangen werden, wurde zudem ein Verbot des Verkaufs, der Lizenzierung oder der sonstigen Weitergabe von Rechten des geistigen Eigentums und Geschäftsgeheimnissen im Zusammenhang mit den betroffenen Gütern eingeführt.15
Die Europäische Kommission stellt hierzu weiterführend klar, dass EU-Akteure darüber hinaus keine beschränkten Dienstleistungen an EU- oder andere nicht-russische Unternehmen erbringen dürfen, sofern diese Leistungen tatsächlich dem Nutzen der in Russland ansässigen Muttergesellschaft zugutekämen.16
4. Investitionsbeschränkungen
Investitionsverbote schränken Geschäftsbeziehungen und Investitionen in sanktionierten Sektoren ein. Das Sanktionsregime gegen Russland umfasst beispielsweise das Verbot, neue Investitionen in den russischen Energie- und Bergbausektor zu tätigen, um die technologische und wirtschaftliche Entwicklung dieser strategisch wichtigen Branchen zu hemmen. Die Beschränkungen sind umfassend und schließen den Erwerb neuer oder die Ausweitung bestehender Beteiligungen, die Bereitstellung neuer Darlehen, Kredite oder sonstiger Finanzmittel wie Eigenkapital, die Gründung neuer Gemeinschaftsunternehmen sowie die Erbringung damit verbundener Wertpapierdienstleistungen explizit mit ein.17
5. Faktische extraterritoriale Wirkungen von EU-Sanktionen
Eine besondere Herausforderung für international aufgestellte Unternehmen ergibt sich aus der faktischen extraterritorialen Wirkung der EU-Sanktionen. Zwar beanspruchen die Sanktionsverordnungen der EU für reine Drittstaatsgesellschaften grundsätzlich keine Geltung außerhalb des Unionsgebiets,18 jedoch etabliert das EU-Recht über zwei zentrale Mechanismen eine erhebliche Mitverantwortung der EU-Muttergesellschaften für die Compliance ihrer ausländischen Tochtergesellschaften.
Zunächst verbieten die Sanktionsregelungen jede wissentliche und vorsätzliche Beteiligung an Handlungen, die auf eine Umgehung der Verbote abzielen oder dies bewirken; bereits bedingter Vorsatz genügt für die Erfüllung des Umgehungstatbestands.19 Eine EU-Muttergesellschaft darf daher weder ihre russische oder sonstige ausländische Tochtergesellschaft noch Drittgesellschaften dazu einsetzen, Geschäfte zu tätigen, die für sie selbst verboten wären.20
Des Weiteren sind Unternehmen verpflichtet, die sogenannte „Best-Efforts“-Verpflichtung einzuhalten. Diese weitreichende Bemühensverpflichtung verlangt, „nach besten Kräften“ sicherzustellen, dass außerhalb der EU niedergelassene juristische Personen, Organisationen oder Einrichtungen, die sich in ihrem Eigentum oder unter ihrer Kontrolle befinden, sich nicht an Handlungen beteiligen, die restriktive Maßnahmen untergraben.21 Nach Auslegung der Europäischen Kommission umfasst diese Pflicht Maßnahmen, die für das jeweilige EU-Unternehmen im Lichte seiner Art, Größe und tatsächlichen Umstände zumutbar und tatsächlich umsetzbar sind. Dabei spielen Faktoren wie Marktsektor, Risikoprofil, Mitarbeiterzahl und verfügbare Compliance-Ressourcen eine Rolle. In der Praxis sollten EU-Unternehmen sicherstellen, dass sie über ausreichende Kenntnisse der Geschäftstätigkeiten ihrer außerhalb der EU ansässigen Tochtergesellschaften verfügen und dass diese ein Bewusstsein für sanktionsrelevante Risiken entwickeln. Dies kann etwa durch interne Compliance-Programme, verbindliche Schulungen, den Versand von Newslettern und Sanktionshinweisen, die Einrichtung von Meldekanälen und die Implementierung klarer Reaktionsmechanismen bei potenziellen Verstößen erfolgen.22
Durch die „Best-Efforts“-Verpflichtung wird die EU-Muttergesellschaft zu einer Art „Gatekeeper“ für die Sanktionseinhaltung im gesamten Konzern. Um nachteilige rechtliche Konsequenzen zu vermeiden, muss die EU-Muttergesellschaft ihren Einfluss auf die Tochter ausüben und deren Konformität mit EU-Sanktionen sicherstellen. Die Wirksamkeit der EU-Sanktionen wird somit letztlich in die internen Governance-Strukturen international tätiger Unternehmen verlagert.
II. Haftungsrisiken
Die Nichteinhaltung von EU-Sanktionen birgt erhebliche Risiken für Unternehmen und ihre Organe, die zuletzt durch die Richtlinie (EU) 2024/122623 verschärft wurden. Während die Verfolgung von Sanktionsverstößen auf nationaler Ebene der jeweiligen EU-Mitgliedstaaten erfolgt und lange Zeit uneinheitlich geregelt war, gibt die Richtlinie (EU) 2024/1226 nunmehr unionsweit einheitliche Mindeststandards für die Definition strafbarer Handlungen und die rechtlichen Folgen bei Verstößen gegen die EU-Sanktionen vor, die auf mitgliedstaatlicher Ebene umzusetzen sind.24 Das Ziel der Richtlinie ist die Überwindung bisheriger Fragmentierung nationaler Durchsetzungsregime und die Sicherstellung konsequenter Ahndung unabhängig vom Unternehmenssitz.25
1. Straf- und verwaltungsrechtliche Haftung
Verstöße gegen Sanktionen können straf- und verwaltungsrechtliche Konsequenzen nach sich ziehen, wobei die Richtlinie (EU) 2024/1226 vorsieht, dass bestimmte Handlungen auf mitgliedstaatlicher Ebene als Straftaten qualifiziert werden, darunter etwa Verstöße gegen das Bereitstellungs- und Verfügungsverbot, Ein-, Aus- und Durchfuhrverbote sowie Sanktionsumgehungen.26 Darüber hinaus müssen auch die Anstiftung, die Beihilfe und der Versuch der Begehung solcher Straftaten unter Strafe gestellt werden.27 Hinsichtlich der konkreten Ahndung stellt die Richtlinie die Anforderung, dass Verstöße mit wirksamen, verhältnismäßigen und abschreckenden Strafen verfolgt werden und legt für die definierten Straftaten Mindesthöchststrafen fest.28
Die Mindesthöchststrafen sehen für natürliche Personen etwa Freiheitsstrafen – je nach konkretem Sanktionsverstoß – im Höchstmaß von mindestens einem, drei oder fünf Jahren vor, sofern der Verstoß Gelder oder wirtschaftliche Ressourcen im Wert von mindestens 100.000 EUR betrifft.29 Ergänzend müssen die EU-Mitgliedstaaten sicherstellen, dass flankierende Maßnahmen wie Geldstrafen und Geldbußen, der Entzug von Genehmigungen und Zulassungen für Tätigkeiten, Verbote zur Bekleidung von Führungspositionen in Unternehmen und in Einzelfällen die Veröffentlichung der gerichtlichen Entscheidung verhängt werden können.30
Unternehmen müssen für Sanktionsverstöße von Personen in Führungspositionen, die zu ihren Gunsten begangen wurden oder durch unzureichende Aufsichts- und Kontrollmaßnahmen ermöglicht worden sind,31 mit wirksamen, verhältnismäßigen und abschreckenden Sanktionen oder Maßnahmen belegt werden können, die sich an der Schwere der Handlung und an den individuellen, finanziellen und sonstigen Umständen des Unternehmens orientieren. Das Höchstmaß der Geldstrafen oder Geldbußen hat dabei mindestens 1 % des weltweiten Gesamtumsatzes (oder alternativ einen fixen Betrag in Höhe von 8 Mio. EUR) bei Meldepflichtverstößen sowie mindestens 5 % des weltweiten Gesamtumsatzes (oder alternativ einen fixen Betrag in Höhe von 40 Mio. EUR) bei Verstößen gegen Bereitstellungs- und Verfügungsverbote, Handelsbeschränkungen, Dienstleistungsbeschränkungen oder Sanktionsumgehungen zu betragen.32 Ergänzend haben unter anderem der Ausschluss von öffentlichen Zuwendungen oder vom Zugang zu öffentlichen Finanzierungen, Verbote der Ausübung einer Geschäftstätigkeit, die Entziehung von Genehmigungen und Zulassungen für Tätigkeiten, die gerichtliche Auflösung, die Schließung von Niederlassungen oder die Veröffentlichung der gerichtlichen Entscheidung zu drohen.33
2. Vertragliche Risiken
Sanktionsverstöße können auch zivilrechtliche Haftungsrisiken begründen. In Kauf-, Leasing- oder Finanzierungsverträgen werden häufig Klauseln eingefügt, die die Einhaltung von EU-Sanktionen ausdrücklich vorschreiben.
Aus unternehmenspraktischer Sicht empfiehlt sich daher eine sorgfältige Überprüfung bestehender Vertragsmuster. Ebenso ist zu prüfen, inwieweit begleitende Dokumentations- und Kontrollmaßnahmen erforderlich sind, um im Streitfall die Erfüllung der Sorgfaltspflichten nachweisen zu können.
Bei Nichteinhaltung drohen einem Unternehmen die Geltendmachung von Kündigungsrechten, Schadensersatzforderungen, empfindliche Vertragsstrafen und entsprechende gerichtliche Auseinandersetzungen. Unmittelbare Folgen können gestörte Lieferketten, die Gefährdung von Umsätzen und der Verlust wichtiger Geschäftspartner sein.
3. Reputationsrisiken
Neben finanziellen Konsequenzen drohen Unternehmen bei der Nichteinhaltung von EU-Sanktionen erhebliche Reputationsrisiken, die über negative Medienberichterstattung, Social-Media-Kampagnen oder Enthüllungen durch NGOs und Whistleblower öffentlichkeitswirksam eskalieren und das Stakeholder-Vertrauen nachhaltig untergraben können. Dies führt oft zu Kettenreaktionen: Geschäftspartner und Finanzinstitute fordern verschärfte Due-Diligence-Prüfungen, was die Kapitalkosten erhöht und den Zugang zu Finanzierungen erschwert. Gleichzeitig kann das Vertrauen von Kunden und des Marktes nachhaltig beschädigt werden, was sich direkt in Umsatzrückgängen niederschlägt.
Aus unternehmenspraktischer Sicht ist ein proaktiver Zugang zur Sicherstellung umfassender Compliance mit EU-Sanktionen daher nicht nur ein Instrument zur Vermeidung von Bußgeldern, sondern ein zentraler Baustein des Risikomanagements zum Schutz der vertraglichen Stabilität und des Unternehmenswerts.
III. Eckpfeiler robuster Sanktionscompliance
Sanktionsrisiken erfordern ein spezifisches Compliance-System; bloße Vorsicht genügt nicht.34 Eine Integration in bestehende Compliance-Management-Systeme (CMS) ist zur Nutzung von Synergien sinnvoll, da viele Werkzeuge des klassischen Compliance-Managements wie Risikoanalysen und Monitoring ebenso Best Practices in der Sanktionscompliance sind.35
Orientierung bieten insbesondere rechtlich nicht-bindende, aber für Behörden als Referenzrahmen dienende Leitlinien36 wie die ICP-Empfehlungen von EU37 und BAFA38 sowie allgemeine Standards wie ISO 37301 und IDW PS 980. Diese fordern kein „One-size-fits-all“-Programm, sondern ein auf einer unternehmensspezifischen Risikoanalyse basierendes System.39 Die Qualitätsanforderungen (Selbstverpflichtung der Leitung, Risikoanalyse, klare Zuständigkeiten etc.) sind dabei international weitgehend deckungsgleich.40
Die folgenden fünf Leitfragen übersetzen diese abstrakten Vorgaben in einen praxisnahen Orientierungsrahmen; die jeweiligen Antworten sind jedoch individuell auf die spezifischen Gegebenheiten jedes Unternehmens abzustimmen.
1. Was ist das Risikoprofil meines Unternehmens und meiner Geschäfte?
Ein Compliance-System beginnt mit einer umfassenden Risikoermittlung, um alle sanktionsbetroffenen Bereiche zu identifizieren. Dabei sind insbesondere Unternehmensstruktur, Produkte, Jurisdiktionen41 sowie besondere Pflichten (z. B. für Nicht-EU-Töchter, für die eine „Best-Efforts“-Verpflichtung für die europäische Muttergesellschaft gelten könnte42) zu berücksichtigen.43 Jedes Risiko wird anhand von zwei Fragen evaluiert: Welche Sanktionen sind anwendbar und wie wahrscheinlich ist ein Verstoß?44
2. Wie sind einzelne Geschäfte zu prüfen?
Auf Basis der Risikoanalyse ist ein transaktionsbezogenes Kontrollsystem zu errichten. Dieses prüft vor Geschäftsabschluss, ob Sanktionsrisiken bestehen, und definiert Eskalationswege.45 Die Prüfung und das Ergebnis sind nachvollziehbar zu dokumentieren;46 die Kontrolltiefe richtet sich nach dem ermittelten Risiko.
Im Zentrum steht die Prüfung von Geschäftspartnern („Know Your Customer“), die für EU-Haftungsprivilegien47 Voraussetzung ist.48 Ein strukturierter Prozess umfasst die Erhebung von Geschäftsangaben, deren Verifizierung, eine Risikoklassifizierung inklusive Sanktionslisten-Screening und bei Bedarf weitergehende Endverbleibsprüfungen.49 So können „Red Flags“ wie ungewöhnliche Transportwege oder verschachtelte Beteiligungsstrukturen frühzeitig erkannt werden.
3. Wie schaffe ich Sensibilisierung und eine Compliance-Kultur?
Ausgangspunkt jeder Compliance-Bemühung ist, dass sich die Unternehmensführung unmissverständlich zu Compliance bekennt50 und dies über sämtliche Managementebenen weitergetragen wird.51 Sanktionscompliance sollte zudem ausdrücklich im Verhaltenskodex sowie in einer gesonderten, spezifischen Sanktionscompliance-Richtlinie verankert sein.
Ebenso sind regelmäßige Schulungen – insbesondere zu Umgehungskonstellationen unter Einbindung von Tochter- oder Drittgesellschaften – erforderlich, damit Mitarbeiter Risiken erkennen und das Unternehmen seine Sorgfaltspflichten gegenüber Behörden nachweisen kann. Entscheidend ist eine gelebte Speak-up- und Fehlerkultur: Nur durch frühzeitige Meldungen lassen sich Krisen vermeiden oder effizient bewältigen.
4. Wie schaffe ich verbindliche Verantwortlichkeiten und Strukturen?
Obwohl Compliance Aufgabe aller ist, erfordert ein Sanktionscompliance-System klar gebündelte Zuständigkeiten. Es braucht eine spezialisierte, in der Führung verankerte Stelle mit Weisungsbefugnis, um riskante Geschäfte zu stoppen52 (in Deutschland z. B. der Ausfuhrverantwortliche53). Melde- und Kommunikationswege müssen standardisiert, schriftlich und zugänglich sein.54 Anonyme Hinweisgebersysteme sind zur Förderung der Meldebereitschaft essenziell. Bei Einbeziehung ausländischer Töchter ist eine konzernweite Struktur nötig.
5. Wie gehe ich sicher, dass das System funktioniert?
Die Gewissheit, dass ein Sanktionscompliance-System nicht nur existiert, sondern auch wirksam ist, ergibt sich aus der aktiven und messbaren Validierung seiner Kernfunktionen. Dies geschieht zum einen durch regelmäßige, dokumentierte Audits und gezielte Stresstests,55 die sowohl die Einhaltung von Prozessen prüfen als auch deren konkretes Ergebnis: Wurden Hochrisikotransaktionen korrekt eskaliert? Konnten Umgehungsversuche („Red Flags“) zuverlässig identifiziert und blockiert werden?
Zum anderen beweist sich die Wirksamkeit in der nachweisbaren Anpassungsfähigkeit. Das System funktioniert, wenn Änderungen der Sanktionsregime (etwa die Aufnahme neuer Güter in einen Anhang) zeitnah in dokumentierte Prozessanpassungen, aktualisierte Schulungsunterlagen und justierte Screening-Parameter münden.
Ergänzt wird dies durch die Analyse von Kennzahlen, wie der Anzahl und Qualität der bearbeiteten Alerts aus dem Hinweisgebersystem oder der Effizienz von Eskalationsprozessen. Die Wirksamkeit ist somit kein statischer Zustand, sondern das Ergebnis eines kontinuierlichen Zyklus aus Überprüfung, Anpassung und der konsequenten Umsetzung von „Lessons Learned“.56
IV. Krisenmanagement und Erstreaktion
Auch ein gut funktionierendes Risikomanagementsystem vermag Sanktions- oder Exportkontrollverstöße nicht vollständig zu verhindern. Tritt ein Verdachtsfall auf, muss die Unternehmensleitung schnell reagieren. Sie hat den Sachverhalt aufzuklären (Legalitätskontrollpflicht) und angemessene Maßnahmen zur Begrenzung des Vorfalls sowie zur Verhinderung zukünftiger Verstöße zu ergreifen.57 Gleichzeitig muss effektiv und rechtssicher mit internen wie externen Stakeholdern kommuniziert und gegebenenfalls auch mit Behörden kooperiert werden.
Ein etabliertes Sanktionscompliance-System schafft eine solide Ausgangsbasis für zielgerichtetes Handeln. Dennoch bleibt ein Verstoß eine Ausnahmesituation, die ohne einen vordefinierten Notfallplan zu Überforderung und Zeitverlust führen kann. Der folgende Abschnitt beschreibt die wesentlichen Elemente eines solchen Plans.
1. Sofortige Risikoanalyse
Die ersten Stunden nach Entdeckung eines potenziellen Sanktionsverstoßes sind entscheidend. Die Unternehmensführung muss umgehend, oft auf Basis unvollständiger Informationen, den Sachverhalt einordnen, Risiken bewerten und Sofortmaßnahmen identifizieren. Ein vordefiniertes Krisenteam mit Schlüsselfunktionen (Recht, Compliance, Operations etc.) ist zur Vermeidung unkoordinierter Reaktionen essenziell.
Es gilt, präzise den Umfang der Verletzung und die betroffenen Jurisdiktionen zu erfassen. Parallel ist zu prüfen, ob behördliche Meldepflichten bestehen oder eine Selbstanzeige sinnvoll ist. In Deutschland gilt wegen der Selbstbelastungsfreiheit, jedenfalls für natürliche Personen, grundsätzlich keine strafrechtliche Selbstanzeigepflicht. Unternehmen kann als Nebenbeteiligten ein Schweigerecht zukommen. Bei Verstößen Dritter, auch von Mitarbeitern im Unternehmen, können aber Publizitäts- und Meldepflichten greifen, speziell nach § 43 GwG, § 23 WpHG, Art. 17 MAR sowie als Jedermannspflicht nach § 19 Abs. 5 AWG oder Art. 6b Verordnung (EU) Nr. 833/2014.58 Die Jedermannspflicht stellt eine sanktionsrechtliche Besonderheit dar, als dass auch unbeteiligte Mitarbeiter bei Unterlassen einer Meldung Bußgelder riskieren.
Eine zentrale Herausforderung ist die Heterogenität rechtlicher Rahmenbedingungen für Meldepflichten, die je nach Jurisdiktion stark divergieren. Dies erfordert einen strategischen Spagat: Entscheidungen müssen für jede Rechtsordnung individuell getroffen werden, während die Gesamtkommunikation konsistent bleiben muss, um Widersprüche zu vermeiden.
Eine Kooperation mit Ermittlungsbehörden ist oft sinnvoll. Eine rechtzeitige Selbstanzeige kann in vielen Jurisdiktionen strafbefreiend oder zumindest strafmildernd wirken. In Deutschland schließt eine Selbstanzeige fahrlässiger Ordnungswidrigkeiten nach § 19 Abs. 3–5 AWG die Verfolgung aus (§ 22 Abs. 4 AWG); bei anderen Verstößen wird sie mildernd berücksichtigt.59
Den Vorteilen der Selbstanzeige stehen Risiken gegenüber: Selbstbelastungsgefahr, Kontrollverlust und eingeschränkte Verteidigungsspielräume. Das Ob einer Selbstanzeige sowie Zeitpunkt, Adressat und Umfang einer solchen erfordern daher sorgfältige Abwägung. Sofern keine umgehende Meldepflicht besteht, ist es oft ratsam, zunächst den Sachverhalt aufzuklären, um eine belastbare sanktionsrechtliche Einschätzung zu ermöglichen.
2. Eindämmungsmaßnahmen
Basierend auf der Risikoanalyse sind unverzüglich Sofortmaßnahmen zur Kriseneindämmung umzusetzen, die in der Praxis oft parallel zur rechtlichen Prüfung ergriffen werden. Um weitere Verstöße zu vermeiden, müssen beispielsweise Auslieferungs- und Zahlungsstopps veranlasst werden. Das Risiko kann weiter verringert werden, indem potenziell riskante Transportrouten, Zahlungsströme und Geschäftsbeziehungen temporär gestoppt und kritische Geschäftsentscheidungen auf einen eng definierten Kreis leitender Entscheidungsträger beschränkt werden.
Bei jeder Sofortmaßnahme müssen jedoch Wechselwirkungen berücksichtigt werden, wie etwa eine mögliche zivilrechtliche Haftung durch einen Liefer- oder Zahlungsstopp. Gleichzeitig muss die Geschäftskontinuität in nicht betroffenen Bereichen gewahrt bleiben. Die Eindämmungsmaßnahmen sind daher auf Grundlage des fortschreitenden Kenntnisstands regelmäßig auf ihre Verhältnismäßigkeit zu überprüfen.
3. Interne und externe Kommunikation
Bei Sanktionsverstößen verlangen externe Akteure wie Banken oder Behörden oft schnelle Auskünfte. Ohne zentral gesteuerte Kommunikationskanäle führt der Zeitdruck schnell zu widersprüchlichen Aussagen, die Geschäftsbeziehungen belasten und später Gegenstand behördlicher Untersuchungen werden können.
Die Unternehmensleitung sollte daher eine globale Kommunikations- und Clearing-Strategie etablieren. Ziel ist eine einheitliche, rechtssichere Kommunikation unter enger Einbindung der Rechtsberatung. Rechtssicherheit muss im Zweifel Vorrang vor PR-Interessen haben, um die Verteidigungsfähigkeit nicht durch Selbstbelastungen zu gefährden.60
Die Mitarbeiter sind anzuweisen, den Vorfall nicht informell zu diskutieren und spekulative Aussagen zu vermeiden, da diese dem Unternehmen in späteren Verfahren schaden könnten.
V. Durchführung einer internen Untersuchung
1. Zweck und Notwendigkeit interner Untersuchungen
Nach der unmittelbaren Krisenreaktion sollte eine tiefergehende Sachverhaltsaufklärung erfolgen. Dies ist regelmäßig ohnehin zur Erfüllung der Legalitätskontrollpflicht erforderlich. Eine Sachverhaltsaufklärung ist Voraussetzung für eine belastbare rechtliche Bewertung sowie eine Ursachenanalyse zur Verbesserung interner Prozesse und zur Minimierung künftiger Risiken. Die Untersuchung kann intern oder, je nach Komplexität des Vorfalls, durch externe Berater erfolgen.
2. Vorbereitung der Untersuchung und Beweissicherung
Eine vorausschauende Planung ist die Voraussetzung für eine zielgerichtete und ressourcenschonende Untersuchung.61 Zunächst werden klare Ziele und ein präziser Untersuchungsrahmen (Scope) definiert: Welche Gesellschaften, Zeiträume und Transaktionen stehen im Fokus? Prozess, Zeitplan und Berichtsformat sollten vorab abgestimmt werden.
Die Untersuchung beginnt mit der Sicherung und Sammlung relevanter Daten auf Basis eines robusten Beweissicherungskonzepts, das auch die Aussetzung von Löschroutinen (Litigation Hold) einschließt. Dies umfasst je nach Kontext Finanz-, Export- und Vertragsdokumente, Due-Diligence-Unterlagen, Compliance-Systemprotokolle sowie interne Kommunikation. Ergänzend können Personalgespräche weitere Einblicke liefern.
3. Durchführung der Untersuchung
Die gesammelten Daten werden in einem durchsuchbaren System zusammengeführt, um Abläufe nachvollziehen und Unregelmäßigkeiten erkennen zu können. Dies umfasst etwa die Rückverfolgung von Geldflüssen und die Bewertung möglicher Verbindungen zu sanktionierten Unternehmen oder Einzelpersonen. Typische Warnsignale sind Transaktionen über Briefkastenfirmen, der Einsatz von Vermittlern in Risikoländern oder inkonsistente Dokumentation.
Die Untersuchung kann dabei regelmäßig einem risikobasierten Ansatz folgen und sich auf Aspekte mit dem höchsten Sanktionsrisiko (z. B. sensitive Jurisdiktionen, Produkte, Transportrouten oder Vertragspartner) konzentrieren, um eine ausufernde Datenerhebung und -auswertung zu vermeiden. Um den Vorgang effizient zu gestalten, sollten, wo möglich, diejenigen Quellen priorisiert werden, bei denen der größte Informationsgewinn zu erwarten ist. Oft bietet es sich an, zunächst begrenzte Stichproben zu testen und die Prüfung nur dann auszuweiten, wenn diese relevante Auffälligkeiten ergeben. Interviews mit beteiligten Mitarbeitern ergänzen die Analyse für ein kohärentes Gesamtbild.
4. Rechtliche Bewertung sowie Korrektur- und Präventionsmaßnahmen
Auf die Sachverhaltsaufklärung folgt die rechtliche Bewertung, die bei komplex gelagerten Fallkonstellationen regelmäßig mehrere Jurisdiktionen umfasst, sowie die erneute Prüfung, ob eine Selbstanzeige erforderlich oder zweckdienlich ist. Bei einer Offenlegung sollte diese auch im Namen der Geschäftsleitung und Mitarbeiter erfolgen, um etwaigen Jedermannspflichten zuvorzukommen.62
Ein zentrales Ergebnis der Untersuchung ist die Umsetzung von Korrektur- und Präventionsmaßnahmen zur Risikominimierung und Stärkung der Governance und Kontrollsysteme. Ausgangspunkt ist eine Gap-Analyse, die klärt, warum das bestehende Compliance-System den Vorfall nicht verhindert hat.
Ein Schwerpunkt sollte zudem auf die Vereinbarung vertraglicher Wiederausfuhrverbote und verstärkter Due-Diligence-Pflichten63 sowie zivilrechtliche Absicherungen durch Sanktionsklauseln mit Kündigungsrechten und Rechtswahlklauseln gelegt werden.64 Des Weiteren können je nach Situation die folgenden Maßnahmen sinnvoll sein:
- Schärfung von Berichtslinien und Stärkung der Compliance-Funktionen;
- zwingende Genehmigungsschritte für Hochrisikotransaktionen;
- eine Überarbeitung der relevanten Richtlinien und Prozesse;
- dokumentierte disziplinarische Maßnahmen, um eine Null-Toleranz-Politik bei Sanktionsverstößen zu signalisieren.
Ebenso wichtig sind gezielte Schulungen, um die Maßnahmen nachhaltig im Unternehmen zu verankern. Die Schulungen sollten funktionsspezifisch ausgerichtet und praxisnah sein sowie die Erkenntnisse aus der Untersuchung nutzen. Teilnahme und Inhalte müssen zur Rechenschaftssicherung revisionssicher dokumentiert werden.
VI. Fazit
Die rechtlichen Rahmenbedingungen der Sanktionscompliance sind dicht, mehrstufig und stark in Bewegung. Verstöße können straf- und ordnungswidrigkeitenrechtliche Konsequenzen, zivilrechtliche Nichtigkeit und Schadensersatzansprüche sowie den Ausschluss von Vergabeverfahren, erhebliche Reputationsschäden und nachhaltige operative Belastungen nach sich ziehen.
Sanktionsverstöße sind für Unternehmen und deren Geschäftsleitung deshalb besonders anspruchsvoll, weil sie laufende Geschäfte von einem Tag auf den anderen unzulässig machen können und sofortige Stopps, Einfrieren von Vermögenswerten, Meldeentscheidungen sowie den Umgang mit mehreren Rechtsordnungen erfordern. Ohne Vorbereitung schlägt diese Gleichzeitigkeit schnell in Überforderung und Zeitverlust um.
Dem lässt sich nur begegnen, wenn Sanktionscompliance als Priorität verstanden wird. Nötig sind klare Zuständigkeiten und dokumentierte Prüfprozessen für Geschäfte und Geschäftspartner. Für den Ernstfall braucht es ein eingeübtes Krisen- und Untersuchungsframework – von sofortiger Risikoanalyse, Eindämmungsmaßnahmen und Krisenkommunikation über interne Untersuchungen bis hin zu konsequenter Remediation.
Autoren
Stephan Denk ist Rechtsanwalt und Partner bei Freshfields und arbeitet im Wiener Büro der Kanzlei. Stephan Denk ist European Head der auf Sanktionen, Exportkontrollen und weitere außenwirtschaftsrechtliche Compliance-Fragestellungen spezialisierten Global Sanctions and Trade Group (GST) der Kanzlei. Als Teamleiter der Wiener Dispute-Resolution-Praxis sowie Leiter des Environmental, Products and Regulatory Teams (EPR) der Kanzlei berät er zudem zu einem breiten Spektrum regulatorischer Fragestellungen, insbesondere im Verfassungs-, Wirtschafts- und Energierecht.
Lukas Pomaroli ist Rechtsanwalt und Counsel bei Freshfields und arbeitet im Wiener Büro der Kanzlei. Als Senior Member der Global Sanctions and Trade Group (GST) der Kanzlei liegt sein Beratungsschwerpunkt auf internationalen Wirtschaftssanktionen, exportkontroll- und außenwirtschaftsrechtlichen Fragestellungen sowie damit verbundenen Compliance-Fragestellungen.
Cristina Hajek Gross, LL.M. Eur., ist Rechtsanwältin bei Freshfields und Betriebswirtin. Sie berät weltweit tätige Unternehmen im Risiko- und Krisenmanagement sowie bei komplexen globalen Investigations. Ihr Fokus liegt auf regulatorischen und Corporate Governance- Fragen sowie strategischer Geschäftsberatung im Einklang mit der Business Judgement Rule.
Holger Roos ist Rechtsanwalt und Counsel bei Freshfields. Er ist spezialisiert auf die Begleitung komplexer Compliance-Vorfälle, die Durchführung interner Untersuchungen und das damit einhergehende Krisen- und Risikomanagement. Zudem berät und vertritt er Mandanten in Rechtsstreitigkeiten, insbesondere bei Post-M&A-Streitigkeiten sowie im Nachgang von Compliance-Vorfällen.
Verordnung (EU) Nr. 269/2014 des Rates vom 17. 3. 2014 über restriktive Maßnahmen in Anbetracht von Handlungen, die die territoriale Integrität, Souveränität und Unabhängigkeit der Ukraine beeinträchtigen oder bedrohen, ABl. L 78/6 v. 17. 3. 2014, zuletzt geändert durch Durchführungsverordnung (EU) 2025/2588 des Rates v. 15. 12. 2025; Verordnung (EU) Nr. 833/2014 des Rates vom 31. 7. 2014 über restriktive Maßnahmen in Anbetracht der Situation in der Ukraine, ABl. L 229/1 v. 31. 7. 2014, zuletzt geändert durch Durchführungsverordnung (EU) 2026/124 der Kommission v. 14. 1. 2026.
Sarcevic/Böhm, EuZW 2025, 651.
Art. 2 Abs. 1 Verordnung (EU) Nr. 269/2014.
Art. 1 lit. g Verordnung (EU) Nr. 833/2014; Moghaddam/Ghassemi/Dobert, IWRZ 2025, 251.
Europäische Kommission, Commission consolidated FAQs on the implementation of Council Regulation No 833/2014 and Council Regulation No 269/2014, veröffentlicht am 22. 6. 2022, zuletzt geändert am 23. 1. 2026, S. 36, abrufbar unter https://finance.ec.europa.eu/publications/consolidated-version_ en, zuletzt abgerufen am 9. 2. 2026.
Art. 1 lit. d Verordnung (EU) Nr. 269/2014.
Art. 2 Abs. 2 Verordnung (EU) Nr. 269/2014.
Rat der Europäischen Union, Vorbildliche Verfahren der EU für die wirksame Umsetzung restriktiver Maßnahmen, S. 22, Rn. 59, abrufbar unter https://data.consilium.europa.eu/doc/document/ST-11623–2024-INIT/de, zuletzt abgerufen am 9. 2. 2026; Moghaddam/Ghassemi/Dobert, IWRZ 2025, 251.
Vgl. zum Eigentums- und Kontrollbegriff u. a. das derzeit beim Europäischen Gerichtshof anhängige Verfahren Rs. C-84/24.
Pfeil/Mertgen, in: Pfeil/Mertgen (Hrsg.), Compliance im Außenwirtschaftsrecht, 2. Aufl. 2023, § 5 Rn. 139 f.
Vgl. z. B. Art. 2, Art. 2a, Art. 3h, Art. 3k Verordnung (EU) Nr. 833/2014.
Vgl. z. B. Art. 3g, Art. 3i, Art. 3m, Art. 3o, Art. 3p Verordnung (EU) Nr. 833/2014.
Art. 12g Verordnung (EU) Nr. 833/2014.
Art. 5n Verordnung (EU) Nr. 833/2014.
Vgl. z. B. Art. 3k Abs. 2 lit. c Verordnung (EU) Nr. 833/2014.
Europäische Kommission, (Fn. 5), S. 372 f.
Art. 3a Verordnung (EU) Nr. 833/2014.
Art. 13 Verordnung (EU) Nr. 833/2014; Art. 17 Verordnung (EU) Nr. 269/2014.
Art. 12 Verordnung (EU) Nr. 833/2014; Art. 9 Verordnung (EU) Nr. 269/2014.
Europäische Kommission, (Fn. 5), S. 11.
Art. 8a Verordnung (EU) Nr. 833/2014; Art. 15a Verordnung (EU) Nr. 269/2014.
Europäische Kommission, (Fn. 5), S. 23 f.
Richtlinie (EU) 2024/1226 des Europäischen Parlaments und des Rates vom 24. 4. 2024 zur Definition von Straftatbeständen und Sanktionen bei Verstoß gegen restriktive Maßnahmen der Union und zur Änderung der Richtlinie (EU) 2018/1673, ABl. L 2024/1226 v. 29. 4. 2024.
Vgl. exemplarisch die Umsetzung in Deutschland: Gesetz zur Anpassung von Straftatbeständen und Sanktionen bei Verstößen gegen restriktive Maßnahmen der Europäischen Union vom 5. 2. 2026 (BGBl. I 2026, 27).
Art. 1 Richtlinie (EU) 2024/1226; Erw 1, 3.
Art. 3 Richtlinie (EU) 2024/1226.
Art. 4 Richtlinie (EU) 2024/1226.
Art. 5 Richtlinie (EU) 2024/1226.
Art. 5 Abs. 3 Richtlinie (EU) 2024/1226.
Art. 5 Abs. 5 Richtlinie (EU) 2024/1226.
Art. 6 Richtlinie (EU) 2024/1226.
Art. 7 Abs. 2 Richtlinie (EU) 2024/1226.
Art. 7 Abs. 1 Richtlinie (EU) 2024/1226.
Jungkind/Bormann, AW-Prax 2020, 103.
Ahmad, AW-Prax 2015, 257; Salathé/Moussaoui, in: Schulz (Hrsg.), Compliance Management im Unternehmen, 3. Auflage 2025, 891 f.
Vgl. Jungkind/Bormann, AW-Prax 2020, 103, 104; Salathé/Moussaoui, in: Schulz (Fn. 35), 892 f. bei standardmäßig formulierten EU-Sanktionsregimen.
Empfehlung (EU) 2019/1318 der Kommission vom 30. Juli 2019 zu internen Compliance-Programmen für die Kontrolle des Handels mit Gütern mit doppeltem Verwendungszweck (Dual-Use-Gütern) nach Maßgabe der Verordnung (EG) Nr. 428/2009 des Rates, ABl. L 205/15 v. 30. 7. 2019.
BAFA, Merkblatt Firmeninterne Exportkontrolle (ICP), 3. Auflage, Apr2022, abrufbar unter https://www.bafa.de/SharedDocs/Downloads/DE/Aussenwirtschaft/afk_ merkblatt_ icp.html, zuletzt abgerufen am 9. 2. 2026.
Ahmad, AW-Prax 2015, 257, 258; Jungkind/Bormann, AW-Prax 2020, 103 für die EU-Dual-Use-ICP.
Jungkind/Bormann, AW-Prax 2020, 103, 106; vgl. Kark, in: Kark (Hrsg.), Compliance-Risikomanagement, 3. Aufl. 2024, § 7 Rn. 1037 ff., 1133 ff. mit einer Übersicht über den ISO- und den IDW-Standard.
Vgl. LG München I, 10. 12. 2013 – 5 HK 0 1387/10, NZG 2014, 345 – Siemens/Neubürger; eine Übersicht über Arten von Risikofaktoren mit Beispielen für konkrete Risiken findet sich bei Salathé/Moussaoui, in: Schulz (Fn. 35), 891 f.
Vgl. z. B. Art. 8a Verordnung (EU) Nr. 833/2014 Art. 15a Verordnung (EU) Nr. 269/2014.
Raspé/Stein, WiJ 2024, 176, 180.
Salathé/Moussaoui, in: Schulz (Fn. 35), 892.
Ein Flussdiagramm für ein Exportkontroll-Compliance-Programm findet sich bei Merz, in: Moosmayer/Lösler (Hrsg.), Corporate Compliance, 4. Auflage 2024, § 26 Rn. 144.
Jungkind/Bormann, AW-Prax 2020, 103, 105.
Vgl. z. B. Art. 10 Verordnung (EU) Nr. 833/2014 und Art. 10 Abs. 2 Verordnung (EU) Nr. 269/2014, wonach natürliche oder juristische Personen, Organisationen oder Einrichtungen für ihre Handlungen nicht haftbar gemacht werden können, wenn sie nicht wussten und keinen vernünftigen Grund zu der Annahme hatten, dass sie mit ihrem Handeln gegen EU-Russlandsanktionen verstoßen.
Salathé/Moussaoui, in: Schulz (Fn. 35), 892 f.
Ausführlicher hierzu Roeder/Schlutz/Hille/Havlik/Conte, CCZ 2023, 337, 343; vgl. auch Salathé/Moussaoui, in: Schulz (Fn. 35), 893 ff.; Merz, in: Moosmayer/Lösler (Fn. 45), § 26 Rn. 41 ff., 81 ff.
Schwab, in: Wieland/Steinmeyer/Grüninger (Hrsg.), Handbuch Compliance-Management, 4. Auflage 2025, Rn. 14; Jungkind/Bormann, AW-Prax 2020, 103, 105.
Knothe, in: Moosmayer/Lösler (Fn. 45), § 40 Rn. 11.
Jungkind/Bormann, AW-Prax 2020, 103, 105; Salathé/Moussaoui, in: Schulz (Fn. 35), 896.
Merz, in: Moosmayer/Lösler (Fn. 45), § 26 Rn. 89, 112.
Schwab, in: Wieland/Steinmeyer/Grüninger (Fn. 50), Rn. 14; Salathé/Moussaoui, in: Schulz (Fn. 35), 896.
Vgl. Salathé/Moussaoui, in: Schulz (Fn. 35), 898 f.
Kark, in: Kark (Fn. 40), § 5 Rn. 868 f; Schwab, in: Wieland/Steinmeyer/Grüninger (Fn. 50), Rn. 14; Ahmad, AW-Prax 2015, 257, 257 ff.
Ghassemi-Tabar/Wenzl, in: Born/Ghassemi-Tabar/Gehle (Hrsg.), Münchener Handbuch des Gesellschaftsrechts, 6. Auflage 2020, Band 7, § 107 Rn. 11; Weiß/Raad/Gajek/Zipf, TLJ 2025, 245, 249 f.; Moosmayer, in: Moosmayer/Kraus (Hrsg.), Interne Untersuchungen, 3. Auflage 2025, § 1 Rn. 1 f., § 2 Rn. 5, 13; Kark, in: Kark (Fn. 40), § 5 Rn. 868 f; Schwab, in: Wieland/Steinmeyer/Grüninger (Fn. 50), Rn. 14; Ahmad, AW-Prax 2015, 257, 257 ff.
Ghassemi-Tabar/Wenzl, in: Born/Ghassemi-Tabar/Gehle (Fn. 57), § 107 Rn. 107; Louca/Ackermann, BB 2025, 2754, 2758.
Merz, in: Moosmayer/Lösler (Fn. 45), § 26 Rn. 137 ff.; Schöning/Sauro, CCZ 2016, 11, 17.
Jahn/Guttmann/Krais, in: Jahn/Guttmann/Krais (Hrsg.), Krisenkommunikation bei Compliance-Verstößen, § 6 Rn. 44, 47.
Moosmayer, in: Moosmayer/Kraus (Fn. 57), § 7 Rn. 74 f.
Louca/Ackermann, BB 2025, 2754, 2759.
Raspé/Stein, WiJ 2024, 176, 181 f.
Pfeil/Mertgen, in: Pfeil/Mertgen (Fn. 10), § 5 Rn. 80 ff.