Sanqto
Startseite Blog sanctions screening und dsgvo — geschäftspartnerprüfung und datenschutz vereinen
Artikel

Sanctions Screening und DSGVO — Geschäftspartnerprüfung und Datenschutz vereinen

Sanctions Screening ist eine Verarbeitung personenbezogener Daten — hat aber eine Rechtsgrundlage in der DSGVO. So prüfen Sie Geschäftspartner im Einklang mit den EU-Verordnungen.

Veröffentlicht: · Sanqto-Team · 15 Min. Lesezeit
sanctions-screening dsgvo datenschutz geschaeftspartnerpruefung compliance eu-sanktionen on-premise personenbezogene-daten
Mitarbeiter eines Unternehmens analysiert das Ergebnis einer Geschäftspartnerprüfung am Bildschirm — Vereinbarkeit von Sanctions Screening mit DSGVO und Datenschutz

Rechtsstand: 2026-05-20.

Sie sind verpflichtet, Geschäftspartner und Kunden gegen die EU-Sanktionslisten zu prüfen — hören aber zugleich, Sie dürften nicht einfach „in fremden Daten herumwühlen". Das ist eine häufige Sorge von Unternehmern außerhalb des Finanzsektors. Die gute Nachricht: Diese beiden Pflichten — die Sanktionspflicht und der Datenschutz — stehen nicht im Widerspruch zueinander. Die Datenschutz-Grundverordnung (DSGVO) sieht ausdrücklich den Fall vor, dass Sie Daten verarbeiten, weil das Gesetz es verlangt.

TL;DR

  • Sanctions Screening ist eine Verarbeitung personenbezogener Daten, hat aber eine klare Rechtsgrundlage in der DSGVO — Art. 6 Abs. 1 lit. c (rechtliche Verpflichtung des Verantwortlichen).
  • Grundlage der Screening-Pflicht sind die unmittelbar in Deutschland geltenden EU-Verordnungen, u. a. die Verordnung (EU) Nr. 269/2014 des Rates1 und Nr. 833/20142 — Sie brauchen keine Einwilligung der geprüften Person.
  • Sie erheben nur die Daten, die zur Identifizierung erforderlich sind — Grundsatz der Datenminimierung.
  • Sie haben eine Informationspflicht, aber mit Ausnahmen — etwa wenn die Information den Zweck der Verarbeitung untergraben würde.
  • Prüfergebnisse bewahren Sie so lange auf, wie das Gesetz oder ein berechtigtes Interesse es verlangt — grundsätzlich nicht kürzer als für die Dauer der Geschäftsbeziehung.
  • Eine On-Premise-Lösung sorgt dafür, dass die Daten Ihre Infrastruktur nicht verlassen — das erleichtert den Nachweis der DSGVO-Konformität.

Ist Sanctions Screening eine Verarbeitung personenbezogener Daten?

Ja — ohne Ausnahme. Wenn Sie Vorname, Nachname oder eine Identifikationsnummer eines Geschäftspartners oder Kunden in ein System eingeben, das Sanktionslisten abgleicht, verarbeiten Sie personenbezogene Daten im Sinne der DSGVO. Das gilt sogar dann, wenn Sie es nur ein einziges Mal tun, vor dem Vertragsschluss.

Die DSGVO definiert Verarbeitung weit: Es ist jeder Vorgang im Zusammenhang mit personenbezogenen Daten — Erheben, Speichern, Auslesen, Abgleichen. Die Prüfung, ob ein Max Mustermann auf der konsolidierten EU-Sanktionsliste3 oder einer maßgeblichen UN- bzw. OFAC-Liste steht — eine eigenständige nationale Sanktionsliste gibt es in Deutschland nicht4 —, erfüllt diese Definition. Dass Sie „nur abgleichen", ändert daran nichts — es bleibt eine Verarbeitung.

Viele Unternehmen schieben deshalb die Einführung eines Screenings auf, weil sie einen DSGVO-Verstoß befürchten. Das ist der Fehler in die andere Richtung. Ein fehlendes Screening setzt Sie der Verantwortung nach den EU-Sanktionsverordnungen aus — und die nationalen Durchsetzungsinstrumente sehen empfindliche Sanktionen vor: ein Bußgeld bis 500 000 EUR bei vorsätzlichen Verstößen nach § 19 AWG5, dazu eine Verbandsgeldbuße bis 10 Mio. EUR nach § 30 OWiG; durchgesetzt werden sie von BAFA, Bundesbank und Zoll6.

Rechtsgrundlage der Verarbeitung — rechtliche Verpflichtung des Verantwortlichen

Die DSGVO verbietet die Verarbeitung von Daten nicht — sie verlangt nur, dass Sie dafür eine Rechtsgrundlage haben. Beim Sanctions Screening ist diese Grundlage Art. 6 Abs. 1 lit. c DSGVO: Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.

Woher stammt diese rechtliche Verpflichtung? Unmittelbar aus den Verordnungen des Rates der Europäischen Union. EU-Verordnungen gelten in jedem Mitgliedstaat unmittelbar — ohne dass es eines gesonderten nationalen Gesetzes zur Umsetzung ihres Inhalts bedarf7. Die Verordnung 269/20141 und die Verordnung 833/20142 verbieten jedem Akteur — auch Nicht-Finanzunternehmen — Transaktionen mit sanktionierten Personen und Organisationen. Um dieses Verbot einzuhalten, müssen Sie prüfen. Um zu prüfen, müssen Sie Daten verarbeiten.

Auf nationaler Ebene flankiert das Außenwirtschaftsgesetz (AWG) in Verbindung mit dem Sanktionsdurchsetzungsgesetz (SanktDG) vom 19. Dezember 2022 dieses Regime8 — es ersetzt die EU-Verordnungen nicht, sondern ergänzt sie um deutsche Durchsetzungsinstrumente.

Wichtige praktische Folgerung: Sie müssen den Geschäftspartner nicht um seine Einwilligung in die Verarbeitung seiner Daten für Screening-Zwecke bitten. Die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) ist freiwillig und jederzeit widerrufbar — das Screening muss aber unabhängig davon möglich sein, ob der Geschäftspartner geprüft werden „möchte". Die Grundlage lit. c löst dieses Problem: Sie haben eine rechtliche Verpflichtung, also dürfen Sie verarbeiten.

Wissenswert ist außerdem, dass die Verordnung 833/2014 nicht nur die natürlichen Personen der Liste erfasst, sondern auch Organisationen, an denen eine gelistete Person mehr als 50 % der Anteile hält oder die sie kontrolliert9. Die Prüfung der Anteilseigner ist eine Verarbeitung der Daten weiterer Personen — und dieselbe Grundlage (Art. 6 Abs. 1 lit. c) deckt sie ab.

Grundsatz der Datenminimierung im Screening

Die Rechtsgrundlage erlaubt die Verarbeitung von Daten — gibt Ihnen aber nicht das Recht, alles zu erheben, was Sie erheben könnten. Die DSGVO gebietet, den Umfang der verarbeiteten Daten auf das für den Zweck Erforderliche zu beschränken. Beim Sanctions Screening ist der Zweck konkret: zu prüfen, ob eine Person oder Organisation auf den Sanktionslisten geführt wird.

Was bedeutet das in der Praxis? Für die Prüfung benötigen Sie Identifikatoren, die zur eindeutigen Erkennung des Akteurs ausreichen:

  • Natürliche Personen: Vorname, Nachname, Geburtsdatum, optional Wohnsitzland oder Staatsangehörigkeit.
  • Juristische Personen: vollständige Firmenbezeichnung, Sitzland, Identifikationsnummer (Handelsregisternummer, USt-IdNr. oder ausländisches Pendant).

Sie erheben nicht die Kaufhistorie des Geschäftspartners, keine Gesundheitsdaten und nichts, was für die Identitätsprüfung nicht benötigt wird. Datenminimierung ist nicht nur eine Pflicht — sie vereinfacht auch den Prozess. Je weniger Daten Sie speichern, desto kleiner die Angriffsfläche für potenzielle Sicherheitsprobleme.

In der Praxis erzwingt ein gutes Sanctions-Screening-System die Minimierung von selbst: Es nimmt bestimmte Identifikationsfelder entgegen, gleicht sie mit der Liste ab und liefert ein Ergebnis. Daten, die es nicht braucht, erfasst es nicht.

Informationspflicht gegenüber Geschäftspartnern und Kunden

Die DSGVO verpflichtet den Verantwortlichen, die Personen zu informieren, deren Daten er verarbeitet — unter anderem über Zweck und Grundlage der Verarbeitung. Das ist die allgemeine Regel. Ihre Erfüllung im Kontext des Screenings ist einfacher, als es scheint.

In den meisten geschäftlichen Situationen kann und sollte die Information über das Screening in die Datenschutzhinweise im Vertrag oder in den Allgemeinen Geschäftsbedingungen aufgenommen werden. Wenn ein Geschäftspartner einen Vertrag mit Ihnen schließt, fügen Sie einen Absatz hinzu, dass die Identifikationsdaten zum Zweck der Prüfung gegen Sanktionslisten auf Grundlage der geltenden EU-Verordnungen verarbeitet werden. Das genügt.

Es gibt jedoch Situationen, in denen eine vollständige Information mit dem Zweck des Screenings kollidieren kann. Die DSGVO sieht eine Einschränkung der Informationspflicht vor, wenn die Erteilung der Information die Verwirklichung dieses Zwecks erschweren würde — etwa wenn ein Geschäftspartner im Verdacht steht, mit einer sanktionierten Organisation verbunden zu sein, und eine vorherige Benachrichtigung gezielte Ausweichhandlungen auslösen könnte. Die Entscheidung, diese Ausnahme zu nutzen, sollte dokumentiert und begründet werden.

Praktische Regel: Beschreiben Sie das Screening in Ihren allgemeinen Datenschutzhinweisen (Datenschutzerklärung, Mustervertrag). Sie müssen kein gesondertes Schreiben an jeden Geschäftspartner vor jeder Prüfung versenden.

Wie lange Prüfergebnisse aufbewahren

Sanctions Screening ist keine einmalige Handlung — das Prüfergebnis ist Teil Ihrer Compliance-Dokumentation. Es stellt sich die Frage: Wie lange sollten die Ergebnisse aufbewahrt werden?

Keine Sanktionsvorschrift legt ausdrücklich eine Aufbewahrungsfrist für das Trefferregister fest. Hier gilt der allgemeine Grundsatz der DSGVO: Daten bewahren Sie nicht länger auf, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Zugleich verpflichtet Sie das Recht, eine Dokumentation für den Fall einer Prüfung oder eines Verwaltungsverfahrens vorzuhalten.

In der Praxis bedeutet das mindestens zwei Bezugszeiträume:

  1. Für die Dauer der Geschäftsbeziehung — während der aktiven Zusammenarbeit mit einem Geschäftspartner prüfen Sie ihn regelmäßig und bewahren die Ergebnisse als Nachweis der Sorgfalt auf.
  2. Nach Beendigung der Beziehung — Sie bewahren die Prüfungsdokumentation für einen Zeitraum auf, der sich aus dem Haftungsrisiko ergibt: in Analogie zu Verjährungsfristen für Ansprüche oder zu Verfolgungsfristen für Ordnungswidrigkeiten. Im deutschen Recht ist für die Verfolgung von Ordnungswidrigkeiten nach § 19 AWG eine längere Verjährungsfrist vorgesehen, und für geschäftliche Unterlagen gelten die handels- und steuerrechtlichen Aufbewahrungsfristen (regelmäßig 6 bzw. 10 Jahre).10

Die konkrete Entscheidung über die Aufbewahrungsdauer sollte in Ihrer internen Sanktionsrichtlinie festgehalten und verhältnismäßig zu Umfang und Risiko Ihrer Tätigkeit sein. Wichtig: Wenn Sie ein Trefferregister führen (MATCH oder POSSIBLE), haben diese Datensätze besonderes Beweisgewicht — löschen Sie sie nicht ohne durchdachte Begründung. Welche Felder ein Register enthalten sollte und wie lange Sie es aufbewahren, beschreiben wir im Artikel Trefferregister im Sanctions Screening — so führen Sie es.

Mehr zum Prozess der Geschäftspartnerprüfung Schritt für Schritt finden Sie in unserem Leitfaden.

Warum On-Premise für die DSGVO-Konformität vorteilhaft ist

Wenn Sie ein cloudbasiertes Screening-System nutzen, gelangen die personenbezogenen Daten Ihrer Geschäftspartner auf die Server des Anbieters — also zu einem externen Auftragsverarbeiter. Nach der DSGVO müssen Sie mit einem solchen Auftragsverarbeiter einen Auftragsverarbeitungsvertrag (AVV) schließen, und liegen die Server des Anbieters außerhalb des EWR (z. B. in den USA), kommen zusätzlich die Anforderungen an die Übermittlung von Daten in Drittländer hinzu.

Eine On-Premise-Lösung kehrt diese Konstellation um. Das Screening-System wird in Ihrer eigenen Infrastruktur installiert — auf Ihren Servern oder denen Ihres Rechenzentrums. Die personenbezogenen Daten der Geschäftspartner verlassen Ihre Organisation nicht. Sie geben sie an niemanden weiter. Der einzige Ort ihrer Verarbeitung sind Sie selbst — als Verantwortlicher.

Aus DSGVO-Sicht ist das eine erhebliche Vereinfachung:

  • Kein Erfordernis eines AVV mit dem Screening-Anbieter.
  • Kein Risiko einer Datenübermittlung in Drittländer außerhalb des EWR.
  • Einfacherer Nachweis der Kontrolle über die Daten bei einer etwaigen Prüfung durch die Datenschutzaufsichtsbehörde.

Sanqto arbeitet im On-Premise-Modell — das System wird im Netzwerk des Kunden installiert, und die Daten der Geschäftspartner und Kunden verbleiben ausschließlich unter dessen Kontrolle. Das Prüfergebnis wird in drei Zuständen zurückgegeben: MATCH, POSSIBLE oder CLEAR, was eine schnelle Einordnung ermöglicht, ohne personenbezogene Daten nach außen zu exportieren.

Wenn Sie in der Versicherungs- oder Immobilienbranche tätig sind — Sektoren, die für den Schutz von Kundendaten besonders sensibel sind — ist die On-Premise-Architektur eine beachtenswerte Lösung. Lesen Sie mehr über Sanctions Screening für Versicherungsunternehmen und Immobilienmakler.

False Positive und personenbezogene Daten — Vorsicht bei der Einordnung

Ein False Positive ist eine Situation, in der das System für eine Person das Ergebnis MATCH oder POSSIBLE liefert, die nicht von Sanktionen betroffen ist — etwa weil sie denselben Vor- und Nachnamen trägt wie jemand auf der Liste. Das ist in jedem Screening-System, das auf einem Textabgleich beruht, technisch unvermeidlich.

Das Problem: Eine fehlerhafte Einordnung führt zur Verarbeitung der Daten einer Person, die nichts mit Sanktionen zu tun hat, in einem Kontext, der ihr schaden kann — Verweigerung eines Vertragsschlusses, Sperrung einer Zahlung, Eintrag in ein Register. Das birgt das Risiko einer Verletzung der DSGVO-Rechte dieser Person.

Einige Grundsätze, die dieses Risiko begrenzen:

Treffen Sie keine automatisierten Entscheidungen allein auf Grundlage des Algorithmus. Die DSGVO beschränkt ausdrücklich Entscheidungen, die ausschließlich auf einer automatisierten Verarbeitung beruhen, wenn die Entscheidung erhebliche Auswirkungen hat. Ein Ergebnis POSSIBLE oder MATCH sollte von einem Menschen geprüft werden — einem Compliance-Mitarbeiter oder einer für diesen Prozess verantwortlichen Person. Wie Sie solche Fälle methodisch klären, beschreiben wir im Artikel über False Positives im Sanctions Screening.

Dokumentieren Sie die Klärung. Wenn Sie nach der Analyse feststellen, dass ein Treffer ein False Positive ist, halten Sie dieses Ergebnis im Register fest. Das ist Ihr Sorgfaltsnachweis — sowohl gegenüber der Sanktionsdurchsetzungsbehörde im Fall einer Prüfung als auch gegenüber der Datenschutzaufsichtsbehörde im Fall einer Beschwerde der Person, deren Daten Sie verarbeitet haben.

Bewahren Sie Daten aus einem False Positive nur so lange auf wie nötig. Wenn Sie feststellen, dass ein Ergebnis POSSIBLE ein Fehler war und die Geschäftsbeziehung mit dem Geschäftspartner normal weiterläuft, erwägen Sie, den Datensatz nach Abschluss des Klärungsprozesses zu löschen oder zu anonymisieren — es sei denn, Vorschriften verlangen die Aufbewahrung der Dokumentation für einen bestimmten Zeitraum.

Erfahren Sie mehr darüber, wie der Sanctions-Screening-Prozess funktioniert und wie Sie Prüfergebnisse einordnen.

FAQ

Brauche ich die Einwilligung des Geschäftspartners, um ihn gegen eine Sanktionsliste zu prüfen?

Nein. Grundlage der Datenverarbeitung im Sanctions Screening ist eine rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO), nicht die Einwilligung. Die Einwilligung ist freiwillig und widerrufbar — sie eignet sich nicht als Grundlage für eine Prüfung, die Sie unabhängig vom Willen des Geschäftspartners durchführen müssen. Die EU-Verordnungen — wie 269/20141 oder 833/20142 — gelten unmittelbar für Sie, ohne dass Sie darüber entscheiden.

Was schreibe ich in die Datenschutzhinweise zum Screening?

Geben Sie den Zweck der Verarbeitung an (Prüfung gegen Sanktionslisten), die Rechtsgrundlage (Erfüllung einer rechtlichen Verpflichtung aus den EU-Verordnungen), die Kategorien der verarbeiteten Daten (Identifikationsdaten: Vorname, Nachname, Firmenname, Identifikationsnummern) sowie die Aufbewahrungsdauer. Sie müssen nicht jede Sanktionsliste namentlich nennen — eine allgemeine Formulierung über „die nach EU-Recht und nationalem Recht geltenden Sanktionslisten" genügt.

Was tun, wenn ein Geschäftspartner nach Beendigung der Beziehung die Löschung seiner Daten verlangt?

Sie haben das Recht, dies abzulehnen — oder die Umsetzung des Begehrens aufzuschieben —, wenn Vorschriften von Ihnen die Aufbewahrung der Dokumentation für einen bestimmten Zeitraum verlangen. Berufen Sie sich auf die rechtliche Verpflichtung und nennen Sie die voraussichtliche Aufbewahrungsdauer. Geht das Löschbegehren während einer aktiven Geschäftsbeziehung ein, in der das Screening weiterhin erforderlich ist, können Sie ablehnen und erläutern, dass die Datenverarbeitung zur Erfüllung der rechtlichen Verpflichtung erforderlich ist.

Muss ich die Datenverarbeitung im Zusammenhang mit dem Screening bei der Datenschutzaufsichtsbehörde anmelden?

In den meisten Fällen nicht — die allgemeine Pflicht zur Anmeldung der Verarbeitung bei der Aufsichtsbehörde wurde mit Inkrafttreten der DSGVO abgeschafft. Sie müssen aber ein eigenes Verzeichnis von Verarbeitungstätigkeiten führen (sofern Sie mehr als 250 Personen beschäftigen oder wenn die Verarbeitung ein Risiko für die Rechte der betroffenen Personen bergen kann) und das Sanctions Screening darin als gesonderte Verarbeitungstätigkeit aufnehmen.

Befreit mich On-Premise von den DSGVO-Pflichten gegenüber den Mitarbeitern, die das System bedienen?

Nein. Die Daten im On-Premise-System werden weiterhin von Ihnen verarbeitet — Sie sind der Verantwortliche. Sie haben damit alle Pflichten eines Verantwortlichen: Informationspflicht, angemessene technische und organisatorische Maßnahmen, Bearbeitung der Betroffenenrechte. On-Premise beseitigt lediglich das Erfordernis, die Daten einem externen Softwareanbieter anzuvertrauen.

Was ist, wenn mein Geschäftspartner ein ausländisches Unternehmen ist? Gilt die DSGVO weiterhin?

Ja, wenn der Sitz oder Wohnsitz des verarbeiteten Akteurs im EWR liegt oder wenn Ihr Unternehmen seinen Sitz in der EU hat. Die DSGVO hat einen weiten räumlichen Anwendungsbereich. Zugleich erfasst die Sanktionspflicht — die sich aus den EU-Verordnungen sowie aus AWG und SanktDG ergibt8 — jede Transaktion eines in Deutschland tätigen Akteurs, unabhängig von der Staatsangehörigkeit der Gegenseite.

Was konkret zu tun ist — Schrittliste

  1. Inventarisieren Sie die Verarbeitungstätigkeiten. Ergänzen Sie das Verzeichnis von Verarbeitungstätigkeiten um einen neuen Eintrag: „Prüfung von Geschäftspartnern und Kunden gegen EU- und nationale Sanktionslisten". Geben Sie Zweck, Rechtsgrundlage (Art. 6 Abs. 1 lit. c DSGVO), Datenumfang und geplante Aufbewahrungsdauer an.

  2. Aktualisieren Sie die Datenschutzhinweise. Fügen Sie dem Mustervertrag, den AGB oder der Datenschutzerklärung einen Absatz über die Verarbeitung von Identifikationsdaten zum Zweck des Sanctions Screenings hinzu. Das genügt in der überwiegenden Mehrzahl der Fälle.

  3. Begrenzen Sie den Umfang der erhobenen Daten. Prüfen Sie, welche Daten Ihr System für die Prüfung tatsächlich benötigt. Entfernen Sie Felder, die Sie erheben, aber im Screening-Prozess nicht verwenden.

  4. Führen Sie ein Verfahren für False Positives ein. Benennen Sie eine für die manuelle Prüfung der Ergebnisse MATCH und POSSIBLE verantwortliche Person. Erstellen Sie ein Muster für einen Klärungsvermerk und nehmen Sie ihn in das Trefferregister auf.

  5. Legen Sie eine Aufbewahrungspolitik für Ergebnisse fest. Entscheiden und dokumentieren Sie, wie lange Sie Prüfergebnisse aufbewahren — getrennt für CLEAR-Ergebnisse (kürzere Frist) und für MATCH und POSSIBLE (länger, als Beweisdokumentation).

  6. Bewerten Sie die Systemarchitektur. Wenn Sie ein Cloud-Werkzeug nutzen, stellen Sie sicher, dass Sie einen aktuellen AVV mit dem Anbieter haben, und prüfen Sie den Serverstandort. Werden Daten außerhalb des EWR verarbeitet — bewerten Sie das Risiko und die Übermittlungsmechanismen.

  7. Verknüpfen Sie die Sanktionsrichtlinie mit der Datenschutzerklärung. Beide Dokumente sollten kohärent sein: Die Sanktionsverfahren beschreiben, wie Sie prüfen, die Datenschutzerklärung beschreibt, wozu und auf welcher Grundlage Sie bei dieser Prüfung Daten verarbeiten.

Wie Sanqto helfen kann

Sanqto ist eine Sanctions-Screening-Software, die direkt in Ihrer Infrastruktur installiert wird — das On-Premise-Modell bedeutet, dass die Daten der Geschäftspartner und Kunden das Netzwerk Ihres Unternehmens nicht verlassen. Damit entfällt das Erfordernis, Daten einem externen Auftragsverarbeiter anzuvertrauen. Das System liefert ein Ergebnis in drei Zuständen — MATCH, POSSIBLE oder CLEAR —, was Ihnen eine klare Grundlage für Entscheidung und Dokumentation im Trefferregister gibt. Im Einführungspaket finden Sie fertige Dokumentvorlagen: Sanktionsrichtlinie, Trefferregister und ein Verfahren für False Positives — bereit zur Anpassung an Ihr Tätigkeitsprofil. Lesen Sie, was die Sanctions-Screening-Pflicht ist und wen sie betrifft, bevor Sie sich für ein Werkzeug entscheiden.

Rechtsgrundlagen

  • Verordnung (EU) Nr. 269/2014 des Rates vom 17. März 2014 über restriktive Maßnahmen angesichts von Handlungen, die die territoriale Unversehrtheit, Souveränität und Unabhängigkeit der Ukraine untergraben oder bedrohen — CELEX 32014R0269
  • Verordnung (EU) Nr. 833/2014 des Rates vom 31. Juli 2014 über restriktive Maßnahmen angesichts der Handlungen Russlands, die die Lage in der Ukraine destabilisieren — CELEX 32014R0833
  • Außenwirtschaftsgesetz (AWG) i.V.m. Sanktionsdurchsetzungsgesetz (SanktDG) vom 19. Dezember 2022 — nationale Durchsetzung der EU-Sanktionen in Deutschland — gesetze-im-internet.de
  • Verordnung (EG) Nr. 765/2006 des Rates vom 18. Mai 2006 über restriktive Maßnahmen gegen Belarus — CELEX 32006R0765
  • Konsolidierte EU-Sanktionsliste (FSD) — veröffentlicht von der Europäischen Kommission (DG FISMA) — finance.ec.europa.eu
  • In Deutschland existiert keine eigenständige nationale Sanktionsliste — angewendet werden die EU- und UN-Listen sowie ggf. die OFAC SDN-Liste; Aufsicht durch BAFA, Deutsche Bundesbank und Zoll — bafa.de
  • Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (Datenschutz-Grundverordnung / DSGVO) — CELEX 32016R0679

Fußnoten

Information, keine Rechtsberatung. Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Die konkrete rechtliche Bewertung im Einzelfall sollte mit einem fachkundigen Rechtsanwalt für Außenwirtschafts- und Sanktionsrecht erfolgen. Rechtsstand: 2026-05-20.

  1. Verordnung (EU) Nr. 269/2014 des Rates vom 17. März 2014 über restriktive Maßnahmen angesichts von Handlungen, die die territoriale Unversehrtheit, Souveränität und Unabhängigkeit der Ukraine untergraben oder bedrohen — EUR-Lex CELEX:32014R0269↩︎ ↩︎ ↩︎

  2. Verordnung (EU) Nr. 833/2014 des Rates vom 31. Juli 2014 über restriktive Maßnahmen angesichts der Handlungen Russlands, die die Lage in der Ukraine destabilisieren — EUR-Lex CELEX:32014R0833; DG FISMA: finance.ec.europa.eu ↩︎ ↩︎ ↩︎

  3. Konsolidierte EU-Sanktionsliste — Europäische Kommission (DG FISMA): webgate.ec.europa.eu/fsd, Stand 20.05.2026 ↩︎

  4. In Deutschland gibt es keine eigenständige nationale Sanktionsliste auf Bundesebene — verbindlich sind die EU- und UN-Listen sowie ggf. die US-OFAC-SDN-Liste bei US-Berührungspunkten. Das BAFA ist Aufsichts- und Durchsetzungsbehörde für güterbezogene Sanktionen, nicht Listenhalter. — bafa.de ↩︎

  5. § 19 AWG (Bußgeld bis 500 000 EUR bei vorsätzlichen Verstößen, bis 30 000 EUR bei Fahrlässigkeit) i.V.m. § 30 OWiG (Verbandsgeldbuße bis 10 Mio. EUR bei vorsätzlichen, bis 5 Mio. EUR bei fahrlässigen Taten). — gesetze-im-internet.de § 19 AWG ↩︎

  6. AWG, SanktDG, § 19 AWG sowie Aufsichtsbehörden: BAFA, Deutsche Bundesbank, Zoll, ZfS (seit Januar 2023) — Vollzugsbehörden in Deutschland für Bußgelder und das Einfrieren von Vermögenswerten. — bafa.de, bundesbank.de, Stand 20.05.2026 ↩︎

  7. EU-Verordnungen sind in jedem Mitgliedstaat unmittelbar anwendbar, ohne Umsetzung in nationales Recht. Zitat: „A regulation is binding in its entirety and directly applicable in all Member States." — EUR-Lex, Regulation — EU legal act ↩︎

  8. Außenwirtschaftsgesetz (AWG) i.V.m. Sanktionsdurchsetzungsgesetz (SanktDG) vom 19. Dezember 2022 sowie 1. und 2. Sanktionsdurchsetzungsgesetz — BGBl. 2022 I S. 2606 — gesetze-im-internet.de, Stand 18.05.2026 ↩︎ ↩︎

  9. Eigentumsregel (ownership/control rule) — EU-Sanktionen erfassen Subjekte, an denen ein Listenadressat mindestens 50 % Anteile hält oder die er kontrolliert. Quelle: DG FISMA FAQ — finance.ec.europa.eu. Zitat: „An entity is considered as ‘owned’ by a sanctioned person if the latter owns more than 50% of its proprietary rights." Status: verified. ↩︎

  10. § 31 OWiG (Verfolgungsverjährung für Ordnungswidrigkeiten) sowie handels- und steuerrechtliche Aufbewahrungsfristen nach § 257 HGB und § 147 AO (regelmäßig 6 bzw. 10 Jahre). Die konkrete Aufbewahrungsdauer für Screening-Unterlagen ist gesetzlich nicht ausdrücklich geregelt und im Rahmen der internen Sanktionsrichtlinie risikoorientiert festzulegen. — § 257 HGB, § 147 AO ↩︎

Alle Artikel
Demo ansehen