False Positive im Sanctions Screening — Fehltreffer richtig behandeln

Rechtsstand: 20. Mai 2026.

Sie starten ein Sanctions Screening, das System meldet das Ergebnis POSSIBLE — und Sie stocken. Ist das dieselbe Person wie auf der EU-Sanktionsliste? Oder nur eine zufällige Namensgleichheit? Sie dürfen diesen Alert nicht ignorieren — aber Sie dürfen die Transaktion auch nicht automatisch ohne Prüfung sperren. Genau das ist ein False Positive, und praktisch jedes Unternehmen, das Screening betreibt, wird früher oder später damit konfrontiert.

Dieser Beitrag erklärt, was ein Fehltreffer ist, wie er entsteht und — vor allem — wie Sie ihn korrekt behandeln und dokumentieren, damit Ihr Unternehmen rechtlich und operativ abgesichert ist.

TL;DR

• Ein False Positive (Fehltreffer) liegt vor, wenn das Screening-System eine Übereinstimmung mit der Sanktionsliste meldet, sich nach Prüfung aber herausstellt, dass es sich um eine andere Person oder Einrichtung handelt als die von Sanktionen betroffene.
• Fehltreffer sind unvermeidbar — je häufiger ein Name, desto höher das Risiko der Mehrdeutigkeit.
• Verwerfen Sie einen Alert niemals automatisch, ohne zusätzliche Identifikatoren zu prüfen (Geburtsdatum, Ausweisnummer, Land, USt-IdNr oder Handelsregisternummer).
• Das Ergebnis POSSIBLE ist ein Signal für eine manuelle Prüfung — nicht für sofortiges Handeln und nicht für sofortiges Schließen.
• Jede Entscheidung — sowohl CLEAR als auch MATCH — müssen Sie im Trefferregister dokumentieren.
• Gute Eingabedatenqualität und eine richtig konfigurierte Matching-Schwelle verringern die Zahl der Fehltreffer erheblich.

Was ist ein False Positive (Fehltreffer)

Ein False Positive liegt vor, wenn ein Werkzeug für das Sanctions Screening Alarm schlägt — also auf eine potenzielle Übereinstimmung zwischen den Daten Ihres Geschäftspartners und einem Eintrag auf der Sanktionsliste hinweist —, sich nach genauer Prüfung jedoch zeigt, dass es sich um zwei verschiedene Personen oder zwei verschiedene Einrichtungen handelt.

Ein Beispiel: Ihr Kunde heißt Alexej Nowak und wohnt in Berlin. Auf der EU-Sanktionsliste steht ein Alexej Nowak aus Moskau, anderer Geburtsjahrgang, anderer Pass. Das System — das nach dem Prinzip des Abgleichs von Namen und ihrer klanglichen Ähnlichkeit arbeitet — meldet einen Alert, weil die Übereinstimmung groß genug ist, um sie nicht zu ignorieren. Das ist ein False Positive: Der Alarm war technisch berechtigt (Vor- und Nachname sehen ähnlich aus), nach der Prüfung zeigt sich jedoch, dass der Geschäftspartner nicht die von Sanktionen betroffene Person ist.

Ein Fehltreffer ist kein Systemfehler — er ist ein charakteristisches Merkmal jedes Screening-Werkzeugs, das darauf achtet, keinen echten Treffer durchzulassen. Ein gutes System meldet lieber zu viele Alerts, als eine gelistete Person zu übersehen. Ihre Aufgabe ist es, diese Alerts hinreichend zügig zu bearbeiten.

Warum False Positives entstehen

Fehltreffer haben einige typische Ursachen. Es lohnt sich, sie zu kennen, denn das hilft zu verstehen, worauf bei der Prüfung zu achten ist.

Häufige Vor- und Nachnamen. Sanktionslisten — EU, UN, OFAC¹ — enthalten Hunderte Einträge mit Vor- und Nachnamen, die nicht eindeutig sind. Wenn Sie ein Unternehmen führen, das auf dem russischsprachigen Markt tätig ist oder Kunden aus dem Osten betreut, stoßen Sie auf statistisch häufige Nachnamen: Iwanow, Kusnezow, Nowikow.

Transliteration aus dem Kyrillischen. Viele Personen und Einrichtungen auf den Sanktionslisten stammen aus Ländern, die das kyrillische Alphabet verwenden. Ihre Namen gelangen in Transliteration auf die Listen, also in lateinischer Lautschrift. Das Problem: Es gibt keinen einheitlichen Standard für die Transliteration des Kyrillischen — deutsche, englische, polnische und russische Transliterationsregeln liefern für dasselbe Wort unterschiedliche Ergebnisse. Der Name „Александр" kann als Alexander, Aleksandr, Alexandre oder Aleksander geschrieben werden. Wenn Ihr Kunde seine Daten in einer Version angegeben hat und die Liste eine andere enthält, kann das System dennoch eine Übereinstimmung melden, weil die Buchstaben ähnlich sind.

Fuzzy Matching, also näherungsweiser Abgleich. Screening-Werkzeuge vergleichen Namen nicht Zeichen für Zeichen — das wäre zu riskant, weil ein einziger Tippfehler genügen würde, um eine gelistete Person zu umgehen. Stattdessen setzen sie Algorithmen für den näherungsweisen Abgleich (engl. Fuzzy Matching) ein, die den Ähnlichkeitsgrad zweier Zeichenketten messen. So erfasst das System Schreibvarianten, Kurzformen und Fehler. Zugleich gilt aber: Je niedriger die Ähnlichkeitsschwelle, desto mehr Alerts zu Personen, die den Listeneinträgen nur entfernt ähneln.

Teilweise Datenübereinstimmung. Vor- und Nachname stimmen überein, aber Geburtsdatum, Land oder Ausweisnummer fehlen oder passen nicht. Das System kann nicht eigenständig entscheiden, ob es sich um dieselbe Person handelt — deshalb signalisiert es das Ergebnis POSSIBLE, statt sofort MATCH oder CLEAR zu urteilen.

Firmennamen. Wirtschaftsakteure haben ein zu Personen analoges Problem: Häufige Wörter in Firmenbezeichnungen (Trading, Investment, Group, International) wiederholen sich vielfach auf den Listen und in Kundendatenbanken. Eine zusätzliche Komplikation ist die 50-%-Eigentumsregel — von Sanktionen sind auch Einrichtungen erfasst, an denen eine gelistete Person mehr als 50 % der Anteile hält oder die sie kontrolliert². Eine mittelbare kapitalmäßige Abhängigkeit ist ohne dediziertes Werkzeug oft schwer festzustellen.

Warum man einen Alert weder ignorieren noch automatisch verwerfen darf

Hier liegt die größte operative Falle. Viele Unternehmen beginnen, wenn sie wieder einen Alert zu einem ähnlichen Namen ohne offensichtliche Übereinstimmung sehen, nach einer Woche reflexhaft „CLEAR zu klicken" — ohne echte Prüfung. Das ist ein schwerwiegender Fehler.

Erstens: Wenn sich ein Alert als echter Treffer (MATCH) herausstellt und Sie ihn ohne Prüfung übergangen und eine Transaktion mit einer von Sanktionen betroffenen Person abgeschlossen haben, haften Sie für den Verstoß gegen die EU-Verordnung³. EU-Verordnungen sind in allen Mitgliedstaaten unmittelbar geltend — Sie brauchen kein nationales Gesetz, um verpflichtet zu sein⁴. Strafen für Verstöße gegen Sanktionsvorschriften können in Deutschland für juristische Personen bis zu 10 Mio. EUR betragen⁵.

Zweitens: Bei einer Kontrolle durch die Aufsichtsbehörde (in Deutschland sind das je nach Sachverhalt BAFA, Deutsche Bundesbank und Zoll⁶) müssen Sie nachweisen können, dass Sie jeden Alert geprüft haben und dass Ihre Entscheidung durch konkrete Daten begründet war. „Sah anders aus" ist keine Begründung. „Ich habe Geburtsdatum, Passnummer und Land geprüft — die Daten passen nicht zum Listeneintrag, Entscheidung: CLEAR" — das ist eine Begründung.

Drittens: Das automatische Verwerfen von Alerts ohne Dokumentation hebt den Sinn des Screenings auf. Wenn Sie jemals nachweisen müssen, dass Sie mit der gebotenen Sorgfalt gehandelt haben, wird das Fehlen einer dokumentierten Prüfung ein Beweis gegen Sie sein — nicht zu Ihren Gunsten.

Wie man das Ergebnis POSSIBLE behandelt — Schritt für Schritt

Das Ergebnis POSSIBLE bedeutet: „Das System hat eine potenzielle Übereinstimmung gefunden, ist aber nicht sicher — jemand muss das manuell prüfen." Im Folgenden ein praktischer Prozess, den Sie in Ihrem Unternehmen umsetzen können.

Schritt 1. Sperren Sie die Transaktion nicht sofort, aber halten Sie sie bis zur Klärung an.

Führen Sie die Transaktion nicht aus, bis der Alert geklärt ist. Behandeln Sie das Anhalten zugleich nicht als Entscheidung — es ist nur eine operative Pause, die Zeit zur Prüfung verschafft.

Schritt 2. Gleichen Sie den Listeneintrag mit den Geschäftspartnerdaten Identifikator für Identifikator ab.

Rufen Sie den Eintrag auf der Sanktionsliste auf — wenn Sie nicht wissen, wie man einen Sanktionslisten-Eintrag liest, beginnen Sie damit — und stellen Sie ihn den Daten gegenüber, die Sie über den Geschäftspartner haben:

• Vor- und Nachname (alle Varianten aus der Liste, einschließlich Transliterationen),
• Geburtsdatum und Geburtsort,
• Nummer und Art des Ausweisdokuments (Pass, Personalausweis),
• Staatsangehörigkeit und Wohnsitzland,
• bei Unternehmen: Registernummer, Registrierungsland, Sitzadresse.

Ein einzelner abweichender Identifikator ist noch kein ausreichender Grund, den Alert zu verwerfen. Mehrere abweichende Identifikatoren bei fehlender jeglicher Übereinstimmung außer der Namensähnlichkeit sind hingegen eine solide Grundlage, den Fall als CLEAR zu schließen.

Schritt 3. Prüfen Sie die Listen alternativer Namen und Aliase.

Einträge auf den EU-Sanktionslisten enthalten häufig einen Abschnitt mit Aliasen, Decknamen und alternativen Transliterationen. Prüfen Sie, ob Ihr Geschäftspartner nicht unter einer dieser Varianten geführt wird. Wenn Ihr Werkzeug diese Daten nicht anzeigt, prüfen Sie unmittelbar in der konsolidierten Datenbank der EU-Kommission⁷ oder auf der EU Sanctions Map⁸.

Schritt 4. Beschaffen Sie fehlende Daten vom Geschäftspartner, falls Sie sie nicht haben.

Wenn Sie nicht über genügend Identifikatoren verfügen (z. B. nur Vorname, Nachname und Land, aber kein Geburtsdatum), bitten Sie den Geschäftspartner um ein Ausweisdokument. Das ist eine Standardprozedur der Due Diligence, und der Geschäftspartner sollte davon nicht überrascht sein — besonders wenn Sie sich auf Compliance-Anforderungen berufen.

Schritt 5. Entscheidung treffen und dokumentieren.

Auf Grundlage der gesammelten Daten treffen Sie eine Entscheidung: CLEAR (Übereinstimmung mit hinreichender Sicherheit ausgeschlossen) oder MATCH (Übereinstimmung bestätigt — eskalieren Sie gemäß interner Prozedur). Die Entscheidung muss dokumentiert werden — siehe Abschnitt unten.

Wann als CLEAR schließen und wann zu MATCH eskalieren

Ein Schließen als CLEAR ist gerechtfertigt, wenn:

• mindestens zwei unabhängige Identifikatoren (z. B. Geburtsdatum + Ausweisnummer) Ihren Geschäftspartner eindeutig von der gelisteten Person unterscheiden,
• die alternativen Namen und Aliase aus dem Listeneintrag nicht zu den Daten des Geschäftspartners passen,
• der Geschäftspartner ein Ausweisdokument vorgelegt hat, das die Abweichung der Daten bestätigt.

Je mehr Identifikatoren das Fehlen einer Übereinstimmung bestätigen, desto sicherer ist die CLEAR-Entscheidung. Ein einzelner Identifikator ist das Mindestniveau — bei großen Transaktionen oder risikoreichen Branchen sollten es zwei oder drei sein.

Eine Eskalation zu MATCH ist erforderlich, wenn:

• mehrere zentrale Identifikatoren (z. B. Vorname, Nachname, Geburtsdatum, Staatsangehörigkeit) mit dem Listeneintrag übereinstimmen,
• der Geschäftspartner sich weigert, die für die Prüfung erforderlichen Dokumente vorzulegen,
• der Abgleich der Aliase auf zusätzliche Übereinstimmungen hinweist,
• Sie Zweifel haben, die Sie mit den verfügbaren Daten nicht ausräumen können.

Bei einem MATCH führen Sie die Transaktion nicht aus, frieren Mittel ein, sofern Sie solche halten, und geben den Fall unverzüglich an die in Ihrem Unternehmen für Compliance benannte Person weiter. Die weiteren Schritte hängen von der Art der Sanktion und der zuständigen Behörde ab.

Beachten Sie: Der Grundsatz „in dubio" wirkt hier umgekehrt zum Strafrecht. Im Zweifel — eskalieren, nicht schließen.

Wie man eine Entscheidung über ein False Positive dokumentiert

Dokumentation ist keine Formalität — sie ist Ihr Nachweis der gebotenen Sorgfalt im Fall einer Kontrolle. Jede Klärung eines Alerts, unabhängig davon, ob sie mit CLEAR oder MATCH endete, muss in das Trefferregister gelangen.

Der Mindestumfang der Dokumentation einer CLEAR-Entscheidung sollte umfassen:

• Datum und Uhrzeit des Alerts sowie Datum und Uhrzeit der Entscheidung,
• die Daten des Geschäftspartners, der den Alert ausgelöst hat,
• die Kennung des Sanktionslisten-Eintrags, den das System mit dem Geschäftspartner verglichen hat (Listenname, Eintragsnummer oder Alias),
• die angewandten Prüf-Identifikatoren und ihr Ergebnis (z. B. „Geburtsdatum des Geschäftspartners: 1978-03-15, Listeneintrag: 1963-07-02 — Abweichung bestätigt"),
• den Namen der Person, die die Entscheidung getroffen hat,
• die Begründung der Entscheidung in ein bis zwei Sätzen.

Bei einer MATCH-Entscheidung kommt zusätzlich ein Vermerk über die ergriffenen Maßnahmen hinzu: wer wann die Eskalation erhalten hat und welche Abhilfemaßnahmen angewandt wurden.

Das Register kann in einer einfachen Tabelle oder einem dedizierten Modul des Screening-Systems geführt werden. Wichtig ist, dass es verfügbar, vollständig und chronologisch ist. Wie man eine vollständige Prozedur der Geschäftspartnerprüfung im Hinblick auf Sanktionen aufbaut, beschreiben wir in einem gesonderten Beitrag.

Wie man die Zahl der False Positives begrenzt

Die Zahl der Fehltreffer hängt von zwei Faktoren ab: der Qualität der Eingabedaten und der Konfiguration des Screening-Werkzeugs. Auf beide haben Sie Einfluss.

Bessere Qualität der Eingabedaten. Je mehr Identifikatoren Sie beim Onboarding vom Geschäftspartner erheben, desto seltener muss das System raten. Erfassen Sie statt nur Vor- und Nachname: Geburtsdatum, Land, Ausweisnummer oder USt-IdNr bzw. Handelsregisternummer bei Unternehmen. Das Onboarding-Formular ist der beste Ort, um diese Daten auf natürliche Weise zu erheben.

Die richtige Ähnlichkeitsschwelle (Threshold). Screening-Werkzeuge erlauben es einzustellen, wie groß die Namensähnlichkeit sein muss, damit das System einen Alert meldet. Eine zu niedrige Schwelle = eine Flut von Fehltreffern. Eine zu hohe Schwelle = das Risiko, dass ein echter Treffer durch einen Tippfehler verloren geht. Die optimale Schwelle hängt von der Spezifik Ihres Kundenbestands ab und muss eine bewusste Entscheidung sein — nicht eine Standardeinstellung, die jemand bei der Einführung gesetzt und dann vergessen hat.

Aktualisierung der Geschäftspartnerdaten. Wenn die Daten Ihrer Geschäftspartner alt oder unvollständig sind, haben Sie mehr Berührungspunkte mit Listeneinträgen. Eine regelmäßige Auffrischung der Daten — besonders für Bestandskunden — senkt die Zahl der Alerts aufgrund fehlender Identifikatoren.

Das richtige Werkzeug. Nicht jedes Screening-Werkzeug kommt gleich gut mit der Transliteration des Kyrillischen, Varianten arabischer Namen oder Kurzformen von Unternehmensbezeichnungen zurecht. Wenn Ihr Unternehmen Kunden aus einer bestimmten geografischen Region betreut, prüfen Sie, ob das Werkzeug über passende Wörterbücher und Algorithmen für diese Region verfügt.

Worin sich On-Premise-Screening von SaaS unterscheidet und was das für die Konfiguration der Matching-Schwelle bedeutet, beschreiben wir im Beitrag über die Sanctions-Screening-Pflicht für Unternehmen.

FAQ — die häufigsten Fragen

Darf ich einen Alert ohne Prüfung verwerfen, wenn ich sicher bin, dass es ein False Positive ist?

Nein. „Sicherheit" ohne dokumentierte Prüfung ist keine ausreichende Begründung. Sie müssen die Identifikatoren prüfen und das Ergebnis festhalten. Wenn die Prüfung 2 Minuten dauert und das Ergebnis offensichtlich ist — halten Sie es in zwei Sätzen fest. Mehr verlangt die gebotene Sorgfalt im typischen Fall nicht.

Was, wenn der Geschäftspartner sein Geburtsdatum nicht angeben will?

Die Weigerung, grundlegende Identifikationsdaten herauszugeben, ist selbst ein Risikosignal. Sie können auf die Transaktion verzichten oder ein Ausweisdokument als Bedingung für die Leistungserbringung verlangen. Die Entscheidung liegt bei Ihnen, aber die fehlende Möglichkeit zur Prüfung bei bestehendem Alert ist ein operatives Risiko, das nicht ignoriert werden sollte.

Wie lange muss ich die Dokumentation der Alert-Klärungen aufbewahren?

Die Mindestaufbewahrungsfristen für Compliance-Dokumentation hängen von der Art der Tätigkeit und der Rechtsgrundlage ab. Empfohlene Branchenpraxis ist eine Aufbewahrung von mindestens 5 Jahren, analog zur geldwäscherechtlichen Dokumentation — die konkrete Pflicht für Ihr Unternehmen bestimmen jedoch die für Ihren Sektor einschlägigen Vorschriften. Im Zweifel konsultieren Sie eine Rechtsanwältin oder einen Compliance-Berater.

Kann ein False Positive auch für ein Unternehmen auftreten, nicht nur für eine Person?

Ja. Firmenbezeichnungen — besonders solche mit häufigen Wörtern wie „Group", „International", „Holdings", „Trading" — erzeugen genauso oft Fehltreffer wie Namen natürlicher Personen. Die Prüfung verläuft analog: Sie gleichen Registernummer, Registrierungsland und Adresse mit dem Listeneintrag ab.

Muss ich jede Liste einzeln prüfen?

Wenn Sie ein Werkzeug nutzen, das die Sanktionslisten der EU, der UN und der OFAC aggregiert, erfolgt das Screening gleichzeitig gegen alle Listen, und der Alert zeigt an, mit welcher Liste und welchem Eintrag das System eine Übereinstimmung festgestellt hat. Bei manueller Prüfung — ja, dann müssen Sie den konkreten Eintrag auf der konkreten Liste prüfen, auf die das System hingewiesen hat.

Wie viel Zeit sollte die Prüfung eines Alerts in Anspruch nehmen?

Für einen typischen Fehltreffer mit offensichtlichem Unterschied bei den Identifikatoren — von 2 bis 10 Minuten, einschließlich Dokumentation. Komplexe Fälle, bei denen die Daten unvollständig sind oder die Übereinstimmung mehrere Identifikatoren betrifft, können eine längere Recherche, die Beschaffung von Dokumenten beim Geschäftspartner und eine interne Abstimmung erfordern. Es gibt keine einheitliche Norm — wichtig ist, dass die Zeit zum Risiko der Transaktion verhältnismäßig ist.

Wie Sanqto helfen kann

Sanqto ist eine Software für Sanctions Screening, die unmittelbar im Netzwerk Ihres Unternehmens installiert wird — Geschäftspartnerdaten verlassen Ihre Infrastruktur niemals. Das System arbeitet im dreistufigen Modell: MATCH, POSSIBLE und CLEAR, mit einer Antwortzeit von unter 30 ms. Das Ergebnis POSSIBLE gelangt automatisch in die Warteschlange der manuellen Prüfung, und jede Entscheidung des Analysten wird samt Begründung protokolliert — ohne dass ein separates Register in einer Tabelle geführt werden müsste. Wenn Sie Kunden aus dem Tourismussektor betreuen, sehen Sie sich die Seite für Reisebüros an, und wenn Sie im Versicherungsbereich tätig sind — die Seite für Versicherungen.

Rechtsgrundlage

• Verordnung (EU) Nr. 269/2014 des Rates vom 17. März 2014 über restriktive Maßnahmen angesichts von Handlungen, die die territoriale Unversehrtheit, Souveränität und Unabhängigkeit der Ukraine untergraben oder bedrohen — CELEX 32014R0269
• Verordnung (EU) Nr. 833/2014 des Rates vom 31. Juli 2014 über restriktive Maßnahmen angesichts der Handlungen Russlands, die die Lage in der Ukraine destabilisieren — CELEX 32014R0833
• Verordnung (EG) Nr. 765/2006 des Rates vom 18. Mai 2006 über restriktive Maßnahmen gegen Belarus — CELEX 32006R0765
• Richtlinie (EU) 2024/1226 des Europäischen Parlaments und des Rates vom 24. April 2024 über die Definition von Straftaten und Strafen bei Verstößen gegen restriktive Maßnahmen der Union — CELEX 32024L1226
• Außenwirtschaftsgesetz (AWG) i.V.m. Sanktionsdurchsetzungsgesetz (SanktDG) — nationale Durchsetzung der EU-Sanktionen in Deutschland — gesetze-im-internet.de/awg_2013
• EU-Konsolidierte Sanktionsliste (FSD) — DG FISMA: finance.ec.europa.eu
• EU Sanctions Map: sanctionsmap.eu

Footnotes

Information, keine Rechtsberatung. Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Die konkrete rechtliche Bewertung im Einzelfall sollte mit einem fachkundigen Rechtsanwalt für Außenwirtschafts- und Sanktionsrecht erfolgen. Rechtsstand: 20. Mai 2026.