Viele US-amerikanische Technologieunternehmen betrachten die Einhaltung der Vorschriften des Office of Foreign Assets Control (OFAC) immer noch als etwas, das nur für Transaktionen gilt. Aber eine kürzlich erfolgte Vollstreckungsmaßnahme gegen ein amerikanisches FinTech-Unternehmen verdeutlicht das Risiko dieser Annahme. Der Verstoß bezog sich nicht auf die Ausführung von Geschäften, das Halten von Kundengeldern oder die Zahlungsabwicklung, sondern auf die Bereitstellung von Kundensupport.
Im Dezember 2025 kündigten die US-Aufsichtsbehörden einen Vergleich in Höhe von 3,1 Millionen Dollar an, nachdem festgestellt worden war, dass das FinTech-Unternehmen Nutzern im Iran, einem umfassend sanktionierten Land, technische Unterstützung geleistet hatte. Mehr als ein Jahr lang beantworteten Mitarbeiter des Kundensupports Hunderte von Anfragen iranischer Nutzer und schlugen in einigen Fällen Umgehungslösungen vor, die es diesen Nutzern ermöglichten, weiterhin auf die Dienste zuzugreifen. Gemäß den OFAC-Vorschriften galt diese Unterstützung als verbotener Export von Dienstleistungen.
Die Durchsetzungsmaßnahme sendet ein klares Signal an FinTech-, SaaS- und digitale Plattformunternehmen: OFAC-Compliance geht über Code, Infrastruktur und Zahlungsströme hinaus.
Es kommt auch darauf an, was die Mitarbeiter sagen, empfehlen und Probleme beheben. In einer globalen, ständig verfügbaren Support-Umgebung ist das Risiko von Sanktionen jetzt ein fester Bestandteil alltäglicher operativer Entscheidungen.
Key Takeaways
- Die OFAC-Compliance gilt für Dienstleistungen, nicht nur für Transaktionen. Technische Unterstützung, Fehlerbehebung und Beratung für Benutzer in sanktionierten Ländern können als verbotene Dienstleistungsexporte im Sinne der OFAC-Bestimmungen gelten, auch wenn keine Gelder fließen.
- Kundensupport-Teams stellen ein echtes Sanktionsrisiko dar. Helpdesks, E-Mail-Support, FAQs und Eskalationsteams können zu Verstößen führen, wenn die Anleitung es den Benutzern ermöglicht, geografische oder sanktionsbasierte Kontrollen zu umgehen.
- U.S.-FinTech- und SaaS-Unternehmen fallen weiterhin voll in den Anwendungsbereich. Die Tätigkeit als Plattform, Tool-Anbieter oder Infrastrukturebene schränkt das Risiko der Durchsetzung nicht ein, und die Einhaltung der OFAC-Vorschriften muss sich auf das gesamte Unternehmen erstrecken.
- Nutzungsbedingungen allein sind nicht genug. Eine wirksame OFAC-Compliance erfordert Schulungen, Eskalationsregeln und Kontrollen, die verhindern, dass Mitarbeiter sanktionierte Aktivitäten erleichtern.
- Laufende Überprüfung und Kontrolle sind wichtig. Das Denied Party Screening, unterstützt durch OFAC Screening Software oder Sanctions Screening Software, ermöglicht es Unternehmen, eine OFAC-Sanktionsprüfung durchzuführen, eine Audit-Historie zu führen und eine vertretbare Compliance nachzuweisen.
Was geschah: Der Fall des FinTech-Unternehmens und die Zeitachse
Die Vollstreckungsmaßnahmen gegen das Unternehmen sind nicht auf ein einzelnes Versagen oder einen isolierten Fehler zurückzuführen. Er hat sich im Laufe der Zeit entwickelt, als das Unternehmen seinen Nutzerstamm vergrößerte, sich auf den Austausch mit Drittanbietern verließ und einen grenzüberschreitenden Kundensupport betrieb, ohne dass ein ausgereifter OFAC-Compliance-Rahmen vorhanden war.
Das Unternehmen wurde 2015 gegründet und bietet Geldbörsen für digitale Vermögenswerte ohne Depotfunktion an. Es verwahrte zwar keine Kundengelder und führte auch keine Transaktionen aus, verließ sich aber auf in die Wallet integrierte Drittanbieter-Börsen, um Transaktionen mit digitalen Vermögenswerten abzuwickeln. Aus Sicht der Compliance führte diese Struktur zu der kritischen Annahme, dass das Sanktionsrisiko in erster Linie bei den Börsen und nicht bei dem Unternehmen selbst lag.
Zeitleiste der Ereignisse und OFAC-Durchsetzung
Die nachstehende Sequenz zeigt, wie eine routinemäßige Unterstützungsaktivität, die nicht kontrolliert wurde, zu einem wesentlichen Verstoß gegen die OFAC-Vorschriften eskalierte.
| Okt 2017 – Jan 2019 | Der Kundensupport des FinTech-Unternehmens beantwortete 254 Anfragen von Nutzern, die sich als im Iran, einem umfassend sanktionierten Land, ansässig auswiesen, und leistete technische Unterstützung, die die weitere Nutzung der Plattform ermöglichte. |
| Frühes Vertrauen in die ‚Nutzungsbedingungen‚ | Die Zugangsbeschränkungen hingen weitgehend von der Selbstzertifizierung der Benutzer ab. Es gab keine praktischen Durchsetzungsmechanismen, Schulungen oder Arbeitsabläufe, mit denen sichergestellt werden konnte, dass die Kundenserviceteams die OFAC-Bestimmungen verstanden oder in Echtzeit anwendeten. |
| April – Mai 2018 | Ein Third-Party-Exchange-Partner begann damit, iranische Benutzer mit Hilfe von IP-basierten Kontrollen zu blockieren, um die US-Sanktionen einzuhalten, und die Führung und die Support-Mitarbeiter des Unternehmens wussten, dass diese Einschränkungen mit den Sanktionsanforderungen verbunden waren. |
| Mitte 2018 | Trotz dieses Bewusstseins unterstützten die Mitarbeiter des Kundensupports weiterhin iranische Nutzer und empfahlen in mindestens 12 Fällen die Nutzung von VPNs, um IP-basierte Beschränkungen zu umgehen, was die OFAC später als ungeheuerlich einstufte. |
| Dezember 2018 – Januar 2019 | Das Unternehmen holte sich externen Rechtsbeistand und begann, seine Vorgehensweise zu überdenken, aber das Fehlen eines strukturierten OFAC-Compliance-Programms, von Eskalationsregeln oder von Kontrollen zur Überprüfung verweigerter Parteien hatte das Ergebnis der Durchsetzung bereits beeinflusst. |
| 16. Dezember 2025 | Die OFAC kündigte eine Einigung mit dem Unternehmen in Höhe von 3,1 Millionen Dollar an. Davon sind 2,47 Millionen Dollar innerhalb von 15 Tagen nach Unterzeichnung der Vollstreckungsmaßnahme zu zahlen und 630.000 Dollar werden unter der Bedingung ausgesetzt, dass das Unternehmen in ein formelles Programm zur Einhaltung von Sanktionen investiert. |
Dieser komprimierte Zeitplan macht deutlich, wo das Risiko lag: nicht im Produktdesign, sondern in der Art und Weise, wie die Entscheidungen für den Kundensupport getroffen, dokumentiert und verwaltet wurden.
Warum dies für die OFAC-Compliance wichtig ist
Der Fall zeigt, wie sich die Gefährdung durch Sanktionen still und leise in den täglichen Abläufen entwickeln kann. Ohne integrierte Kontrollen, eine Audit-Historie und unterstützungsspezifische Schutzmaßnahmen können selbst wohlmeinende Teams ein erhebliches OFAC-Compliance-Risiko schaffen. Für die Aufsichtsbehörden war nicht die Technologie selbst das Problem, sondern wie der Dienst im Laufe der Zeit unterstützt, erklärt und aktiviert wurde.
Dieser Zeitplan unterstreicht, warum moderne Sanktionsprogramme über Transaktionen hinausgehen und sich auf die Menschen, Prozesse und Systeme erstrecken müssen, die globale Nutzer unterstützen.
Verwandte Inhalte: Warum Startups Zeit für die Einhaltung internationaler Handelsbestimmungen aufwenden sollten
Versäumnisse bei der Einhaltung der OFAC-Vorschriften und die daraus gezogenen Lehren
Die Begründung der OFAC für den Fall war durchweg konsistent. Das Risiko von Sanktionen entsteht durch die Art und Weise, wie Dienstleistungen erbracht und verwaltet werden, nicht nur dadurch, was ein Produkt tut. Die folgenden Fehler zeigen, wo dieses Risiko auftrat und warum die Aufsichtsbehörden das Verhalten als sanktionswürdig einstuften.
1. Behandlung des Kundensupports als außerhalb der OFAC-Compliance liegend
Das OFAC stellte fest, dass die Interaktionen mit Kunden als regulierte Dienstleistung einzustufen sind. Technische Unterstützung, Fehlerbehebung und Beratung für Benutzer im Iran stellten einen verbotenen Export von Dienstleistungen im Sinne der OFAC-Vorschriften dar, auch wenn keine Transaktionen durchgeführt oder Vermögenswerte gehalten wurden.
Unternehmen müssen die Erwartungen an die OFAC-Compliance auf Support Desks, Help Chats und Eskalationsteams ausdehnen, nicht nur auf Zahlungen oder den Plattformzugang.
2. Verlassen auf Nutzungsbedingungen ohne Durchsetzungskontrollen
Das OFAC stellte fest, dass vertragliche Beschränkungen allein nicht ausreichten, wenn die Mitarbeiter nicht geschult, überwacht oder daran gehindert wurden, Benutzern in sanktionierten Ländern zu helfen. Die Selbstzertifizierung konnte das Fehlen von operativen Kontrollen nicht ausgleichen. Eine wirksame Einhaltung der OFAC-Vorschriften erfordert durchsetzbare Prozesse, keine statische Rechtssprache.
3. Ermöglichung der Umgehung von Sanktionen durch Anleitung zur Unterstützung
In mindestens 12 Fällen stufte das OFAC das Verhalten als ungeheuerlich ein, weil die Support-Mitarbeiter die Sanktionsbeschränkungen kannten und dennoch die Nutzung von VPNs empfahlen, wodurch die Benutzer die Sanktionskontrollen umgehen konnten.
Die Bereitstellung von Ratschlägen, die den Nutzern helfen, die Beschränkungen zu umgehen, führt dazu, dass aus der routinemäßigen Unterstützung eine vorsätzliche Gefährdung durch Sanktionen wird, und untergräbt die OFAC-Vorschriften.
4. Versäumnis, sanktionsbezogene Interaktionen zu überprüfen und zu eskalieren
Die OFAC nannte das Fehlen von Screening-, Eskalations- und Überprüfungsabläufen als eine der Hauptschwächen. Das Hilfspersonal musste sanktionsrelevante Entscheidungen ohne Leitplanken, Dokumentation oder Aufsicht treffen.
Das Screening von verweigerten Parteien, das durch OFAC-Screening-Software, Sanktionsscreening-Software oder OFAC-Suchtools ermöglicht wird, muss in die unternehmensweiten Arbeitsabläufe integriert werden, um konsistente Entscheidungen und nachvollziehbare Prüfpfade zu gewährleisten.
Verwandte Inhalte:5 Tipps für Unternehmen, die mit Export Compliance und Denied Party Screening beginnen möchten
5. Unterschätzung der Verpflichtungen nach der Vollstreckung
Mit dem Vergleich wurden mehrjährige Verpflichtungen zur Einhaltung der Vorschriften auferlegt, da die OFAC die Verstöße nicht als isoliert betrachtete. Das Fehlen eines strukturierten Programms erhöhte das Risiko eines erneuten Verstoßes.
Versäumnisse bei der Einhaltung der OFAC-Vorschriften führen häufig zu langfristigen Anforderungen in Bezug auf Governance, Schulung, Audit und Zertifizierung, die weit über die ursprüngliche Strafe hinausgehen.
Verwandeln Sie OFAC-Compliance in eine betriebliche Kontrolle
Der Fall zeigt genau, wo das Sanktionsrisiko heute lebt. Das Versagen bei der Einhaltung der OFAC-Vorschriften ist nicht auf Zahlungen oder die Verwahrung zurückzuführen, sondern auf Kundenbetreuungsteams, die unbeaufsichtigte Compliance-Entscheidungen treffen, ohne Überprüfung, Eskalation oder Prüfpfade. Das ist jetzt eine klare Priorität für die Durchsetzung.
Für US-amerikanische FinTech-, SaaS- und Plattformunternehmen ist die Schlussfolgerung einfach: Die Einhaltung von Sanktionen muss in die täglichen Abläufe integriert werden und darf nicht als rechtliches Kästchen behandelt werden. Teams brauchen Tools, die konsistent prüfen, Arbeitsabläufe durchsetzen und dokumentieren, wie Entscheidungen getroffen werden, wenn die Aufsichtsbehörden nachfragen.
Descartes unterstützt eine durchsetzbare OFAC-Compliance, indem es Sanktionskontrollen direkt in die täglichen Abläufe einbettet, so dass Teams mit unserem robusten Portfolio an OFAC-Compliance-Lösungen Entscheidungen konsequent überprüfen, eskalieren und dokumentieren können.
- Denied Party Screening: Führen Sie ein genaues Screening und ein erneutes Screening durch, wenn sich Watchlists ändern, um zu verhindern, dass sanktionierte Parteien in Workflows eintreten.
- Screening und Audit Geschichte: Führen Sie vertretbare Aufzeichnungen, aus denen hervorgeht, wie Sanktionsentscheidungen getroffen wurden, wenn Aufsichtsbehörden danach fragen.
- Compliance Manager Arbeitsablauf: Stellen Sie sicher, dass Sanktionsprobleme durch konsistente, dokumentierte Prozesse eskaliert, überprüft und gelöst werden.
Buchen Sie eine Demo, um zu sehen, wie Descartes Teams dabei hilft, die OFAC-Compliance zu operationalisieren, das Sanktionsrisiko zu reduzieren und für Audits auf der ganzen Welt gerüstet zu sein.
Erfahren Sie, was unsere Kunden über Descartes Denied Party Screening auf G2 – einer Online-Plattform zur Bewertung von Unternehmenssoftware durch Dritte. Darüber hinaus können Sie diesen wichtigen Leitfaden zum Denied Party Screening lesen, der Ihnen bei der Auswahl einer für Ihre Bedürfnisse geeigneten Lösung hilft.
