Sanktionslisten und Anti-Terrorlisten-Prüfungen automatisieren

Unternehmen sind gesetzlich verpflichtet, sicherzustellen, dass sie keine Geschäftsbeziehungen zu sanktionierten Personen, Organisationen oder Ländern unterhalten. Diese Pflicht ergibt sich aus verschiedenen internationalen und nationalen Vorschriften, darunter die EU-Verordnungen zur Terrorismusbekämpfung, das Außenwirtschaftsgesetz (AWG) sowie Regelungen der US-amerikanischen OFAC-Liste.

Die Prüfung gegen offizielle Sanktionslisten und Anti-Terrorlisten dient der Vermeidung von Verstößen gegen Embargos oder Finanzsanktionen – denn schon eine unbeabsichtigte Geschäftsbeziehung mit einer sanktionierten Partei kann zu hohen Geldstrafen, Reputationsschäden oder strafrechtlichen Konsequenzen führen.

Die händische Prüfung jeder einzelnen Person und jedes Unternehmens, dass Anfragen an unseren Kunden richtet, stellt einen erheblichen manuellen Prüfungsaufwand dar. Auch bestehende Geschäftsbeziehungen müssen regelmäßig geprüft werden, was ebenso einen erheblichen Aufwand verursacht. Alle Prüfungen müssen zudem dokumentiert und nachweisbar sein.

Sehr viel Handarbeit, die wir für unseren Kunden vollständig automatisiert haben. Sowohl die Einzelfallprüfung bei Anfragen über das Kontaktformular auf der Webseite und Prüfung zur Newsletteranmeldung als auch Anmeldungen zu Veranstaltungen und Webinaren sind direkt an das automatische Prüfverfahren angeschlossen. Nur wer durch die Prüfung kommt, kommt überhaupt als Anfrage/Lead bei unserem Kunden an.

Für eine rechtssichere Durchführung der Sanktionslistenprüfung sind zwei Arten von Prüfprozessen erforderlich: Zum einen anlassbezogene Einzelprüfungen, die bei bestimmten Ereignissen automatisch angestoßen werden. Zum anderen sind regelmäßige Prüfungen von Bestandskunden notwendig, um auch nachträgliche Listeneinträge erfassen zu können.

Dabei müssen sowohl die natürliche Person als auch das Unternehmen geprüft werden – inklusive aller relevanten Identitätsdaten. Voraussetzung für eine zuverlässige Prüfung ist daher, dass alle notwendigen Informationen vollständig vorliegen.

Die technische Umsetzung erfolgt durch die Anbindung eines externen Prüfdienstes per API, der die aktuellen internationalen Sanktionslisten (z. B. EU, UN, OFAC) abgleicht. Die Prüfung selbst sowie die Ergebnisse werden vollständig im angebundenen Prüftool dokumentiert – jeweils separat für Personen und Unternehmen.

Kommt es zu einem potenziellen Treffer, wird der Prüfprozess unterbrochen: Ein Mitarbeiter muss den Fall manuell sichten, den Treffer validieren oder ausräumen und entsprechende Maßnahmen einleiten. Das System sorgt in diesem Fall automatisch für eine Benachrichtigung des zuständigen Mitarbeiters, sodass zeitnah reagiert werden kann.

Im Rahmen der Umsetzung wurden auf der TYPO3-Website mehrere Eingabeformulare integriert – darunter ein Kontaktformular, eine Newsletter-Anmeldung sowie ein Anmeldeformular für Veranstaltungen und Webinare. Alle Eingaben werden zentral im CMS erfasst und zur weiteren Verarbeitung gespeichert. Es erfolgt noch kein Versand der Anfragen an unseren Kunden.

Zur strukturierten Übergabe dieser Daten an nachgelagerte Systeme kommt unsere Middleware „Medienpalast Connect“ zum Einsatz. Die Middleware wurde so implementiert, dass sie revolvierend neue Anfragen aus dem CMS abruft, diese für die Prüfung vorbereitet und in einem Zwischenspeicher systematisch verwaltet. Sobald ein Datensatz zur Prüfung übergeben wurde, wird dieser im TYPO3-System automatisch als „in Bearbeitung“ markiert, um Dopplungen oder erneute Übertragungen zu vermeiden.

Die eigentliche Prüfung erfolgt regelmäßig über einen zeitgesteuerten Prozess (CRON). Dabei werden alle aktuell zur Prüfung vorgesehenen Datensätze per API einzeln an die angebundene Prüfanwendung zur Sanktionslisten- oder Validierungsprüfung übergeben.

Nach Abschluss der Prüfung wird der jeweilige Status zurück an die Middleware übertragen. Dort erfolgt eine strukturierte Dokumentation der Ergebnisse, sodass jederzeit nachvollziehbar ist, welcher Datensatz geprüft wurde, wann die Prüfung erfolgte und wie das Ergebnis ausgefallen ist.

Regelmäßig wird zudem geprüft, ob Treffer vom Mitarbeiter gesichtet wurden und ob der Treffer sich bestätigt oder als falsch herausgestellt hat. Der Datenbestand in der Middleware spiegelt also immer die Wahrheit ab.

Dieser Datenbestand wird als Basis für den Use Case "Regelmäßige Sanktionslistenprüfung der CRM Daten" verwendet.