SEPBLAC und Sanktionsprüfung in Spanien
Sanktionsprüfung in Spanien sollte als Teil eines breiteren AML/CFT-Kontrollrahmens verstanden werden, nicht als isolierte Namenssuche. Das spanische Gesetz 10/2010 regelt die Verhinderung von Geldwäsche und Terrorismusfinanzierung, legt Pflichten für Verpflichtete fest und gibt bestimmten Finanzsanktionen der Europäischen Union und der Vereinten Nationen unmittelbare Wirkung.
Für Compliance-Teams lautet die praktische Frage nicht nur: „Welche Liste müssen wir prüfen?“ Entscheidend ist, wie gesetzliche Pflichten in ein wiederholbares Betriebsmodell übersetzt werden: Kunden und wirtschaftlich Berechtigte identifizieren, relevante Parteien prüfen, mögliche Treffer bewerten, bestätigte Treffer eskalieren, bei Bedarf melden und Nachweise so aufbewahren, dass sie von Aufsicht, Prüfern und Bankpartnern nachvollzogen werden können.
Warum das in Spanien wichtig ist
Der Tätigkeitsbericht von SEPBLAC für 2024 zeigt den operativen Druck auf spanische AML/CFT-Kontrollen. Der Bericht nennt einen Anstieg der Verdachtsmeldungen durch Verpflichtete von 13.854 im Jahr 2023 auf 24.320 im Jahr 2024. Er hebt außerdem deutliche Zuwächse bei Neobanken und Anbietern von Dienstleistungen rund um virtuelle Vermögenswerte hervor.
Der SEPBLAC-Tätigkeitsbericht 2024 nennt 24.320 Verdachtsmeldungen von Verpflichteten, nach 13.854 im Jahr 2023.
Meldungen von Neobanken stiegen von 1.152 im Jahr 2023 auf 7.595 im Jahr 2024.
Meldungen von Anbietern virtueller Vermögenswerte stiegen von 202 im Jahr 2023 auf 972 im Jahr 2024.
Quelle: SEPBLAC, Memoria de actividades 2024, Abschnitt zu analysierten Verdachtsmeldungen.
Der Bericht sagt außerdem, dass bis zum 31. Dezember 2024 ein neues aggregiertes Meldeformat für Mule-Konten von 26 Verpflichteten genutzt wurde und mehr als 30.000 Konten, 1,5 Millionen Transaktionen und über 700 Millionen Euro abdeckte. Für Produkt- und Betriebsteams ist das ein klares Signal: Moderne AML/CFT-Kontrollen müssen bei der Kundenaufnahme, in Transaktionen, bei anlassbezogenen Überprüfungen und im laufenden Monitoring funktionieren.
Was SEPBLAC macht
SEPBLAC ist die spanische Financial Intelligence Unit. Sie empfängt, analysiert und verbreitet Finanzinformationen im Zusammenhang mit Geldwäsche und Terrorismusfinanzierung. Außerdem ist SEPBLAC Aufsichtsbehörde für AML/CFT-Compliance und für die Umsetzung bestimmter Finanzsanktionen und Gegenmaßnahmen.
Für ein Unternehmen mit Tätigkeit in Spanien bedeutet das: SEPBLAC ist nicht nur die Stelle, bei der bestimmte Verdachtsmeldungen landen. SEPBLAC ist Teil des Kontroll- und Aufsichtsumfelds, das prägt, wie Verpflichtete Sorgfaltspflichten, Monitoring, interne Kontrollen, Meldungen und Nachweisführung organisieren.
SEPBLAC ist nicht die Sanktionsliste
Es gibt keine eigene „SEPBLAC-Sanktionsliste“, die EU-, UN- oder andere offizielle Sanktionsquellen ersetzt. SEPBLAC beaufsichtigt, verarbeitet Finanzinformationen und ist in das Kontrollumfeld für Finanzsanktionen und Gegenmaßnahmen eingebunden. Die eigentliche Listenprüfung muss sich aber auf die offiziellen Listenquellen stützen, die zum Risiko und zur rechtlichen Präsenz des Unternehmens passen.
Für Kontrollen in Spanien bedeutet das in der Regel: Restriktive Maßnahmen der EU und relevante Finanzsanktionen des UN-Sicherheitsrats bilden die rechtliche Basis. OFAC, die UK Sanctions List und andere nationale oder regionale Quellen kommen hinzu, wenn Geschäftsmodell, Zahlungswege, Kunden oder Bankbeziehungen eine breitere Abdeckung rechtfertigen. Diese Unterscheidung verhindert sowohl eine zu enge Suche nach einer lokalen Liste, die es als eigenständige SEPBLAC-Liste nicht gibt, als auch die überzogene Aussage, jede ausländische Liste sei automatisch eine spanische Rechtspflicht für jedes Unternehmen.
Wer verpflichtet ist
Ausgangspunkt ist Artikel 2 des Gesetzes 10/2010, der die Verpflichteten definiert. Die Liste ist breit. Für viele Checklynx-Leser sind unter anderem Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Versicherer, Verwalter von Pensions- und Investmentfonds, Wechselstuben, Kreditvermittler sowie Anbieter des Wechsels zwischen virtueller und gesetzlicher Währung und Anbieter von Wallet-Verwahrung relevant.
Das Gesetz macht außerdem deutlich, dass Pflichten auch für Geschäfte gelten können, die über Agenten, Vermittler oder Intermediäre ausgeführt werden. Das betrifft Embedded Finance, Marktplätze, Zahlungsprogramme und andere Modelle, bei denen Risiko über indirekte Kanäle eintreten kann.
Sanktionsprüfung sollte deshalb mit dem breiteren Customer-Due-Diligence-Prozess verbunden sein:
- formelle Identifizierung des Kunden;
- Identifizierung und Überprüfung des wirtschaftlich Berechtigten;
- Verständnis von Zweck und angestrebter Art der Geschäftsbeziehung;
- laufende Überwachung der Geschäftsbeziehung;
- besondere Prüfung ungewöhnlicher oder nicht plausibler Sachverhalte und Transaktionen;
- Meldung, wenn die rechtliche Schwelle erreicht ist;
- Aufbewahrung von Nachweisen.
Pflichten aus Gesetz 10/2010, die die Prüfung prägen
Sanktionsprüfung steht innerhalb einer breiteren Abfolge von AML/CFT-Pflichten. Eine Orientierung an der Systematik des Gesetzes macht den Prozess für Compliance-, Produkt- und Betriebsteams leichter verständlich.
| Bezug im Gesetz 10/2010 | Praktische Bedeutung | Auswirkung auf die Prüfung |
|---|---|---|
| Artikel 2 | Definiert Verpflichtete, darunter viele Finanz-, Zahlungs-, Investment-, Versicherungs-, Beratungs-, Immobilien-, Glücksspiel-, Hochwertgüter- und Aktivitäten mit virtuellen Vermögenswerten. | Prüfen, ob Geschäft, Zweigniederlassung, Agent, Vermittler oder grenzüberschreitende Tätigkeit erfasst ist. |
| Artikel 3 und 4 | Verlangen formelle Kundenidentifizierung sowie Identifizierung und Überprüfung des wirtschaftlich Berechtigten. | Kunden und natürliche Personen prüfen, die hinter der Beziehung stehen, sie besitzen oder kontrollieren. |
| Artikel 5 bis 7 | Betreffen Zweck und Art der Geschäftsbeziehung, laufende Überwachung und risikobasierte Anwendung auf bestehende Kunden. | Erneut prüfen, wenn sich Beziehung, Eigentümerstruktur, Produkt oder Transaktionsrisiko ändern. |
| Artikel 17 bis 19 | Regeln besondere Prüfung, Verdachtsmeldung und Unterlassen der Ausführung in ML/TF-Fällen. | Nicht geklärte Hochrisiko-Hinweise als Untersuchungsfälle behandeln, nicht als einfache Suchergebnisse. |
| Artikel 24 | Verbietet Tipping-off gegenüber Kunden oder Dritten über Meldungen oder Prüfungen. | Bearbeitung und Eskalation von Hinweisen kontrolliert halten. |
| Artikel 25 | Verlangt zehnjährige Aufbewahrung relevanter AML/CFT-Unterlagen. | Prüfdaten, Treffer, Begründungen, Entscheidungen und Maßnahmen speichern. |
| Artikel 42 | Gibt qualifizierenden EU- und UN-Finanzsanktionen sowie bestimmten Gegenmaßnahmen unmittelbare Wirkung. | Aktuelle Prüf- und Reaktionsverfahren für bestätigte Treffer vorhalten. |
Diese Struktur hilft auch, zwei Pflichten auseinanderzuhalten, die in Marketingtexten oft vermischt werden. Ein bestätigter Sanktionstreffer löst das Verfahren zur Reaktion auf die anwendbare restriktive Maßnahme aus. Eine Verdachtsmeldung an SEPBLAC folgt aus einer besonderen Prüfung, wenn Anhaltspunkte oder Gewissheit für Geldwäsche oder Terrorismusfinanzierung bestehen. Ein Fall kann beides auslösen, aber Rechtsgrundlage und operative Vorgehensweise sind nicht identisch.
Wie Sanktionsprüfung in AML/CFT passt
Sanktionskontrollen und AML/CFT-Kontrollen überschneiden sich, sind aber nicht dasselbe. AML/CFT ist risikobasiert. Unternehmen müssen Kunden verstehen, Beziehungen überwachen, verdächtiges Verhalten erkennen und melden, wenn Anhaltspunkte für Geldwäsche oder Terrorismusfinanzierung vorliegen.
Sanktionskontrollen sind unmittelbarer. Wenn eine Person, ein Unternehmen, ein Schiff, eine Wallet oder eine andere relevante Partei einer Finanzsanktionsmaßnahme unterliegt, muss das Unternehmen je nach anwendbarem Regime und Verfahren der zuständigen Behörde Aktivitäten ablehnen, aussetzen, einfrieren, blockieren oder melden.
Artikel 42 des Gesetzes 10/2010 ist der spanische Ankerpunkt. Er sieht vor, dass qualifizierende restriktive Maßnahmen der EU und relevante Maßnahmen des UN-Sicherheitsrats, die Finanzsanktionen wie das Einfrieren oder Blockieren von Geldern sowie Verbote der Bereitstellung von Geldern, Vermögenswerten, wirtschaftlichen Ressourcen oder Finanzdienstleistungen vorsehen, ab Designierung unmittelbar verpflichtend sind.
Deshalb ist eine Richtlinie nach dem Muster „einmal bei der Kundenaufnahme prüfen“ schwach. Ein Kunde, der bei der Kundenaufnahme unauffällig war, kann später sanktioniert werden. Ein wirtschaftlich Berechtigter kann wechseln. Ein Zahlungsempfänger kann neues Risiko mit sich bringen. Ein Transaktionsweg kann eine Jurisdiktion oder Gegenpartei enthalten, die die Sanktionsanalyse verändert.
Welche Sanktionslisten geprüft werden sollten
Die richtige Abdeckung hängt von rechtlicher Präsenz, Kundenbasis, Währungen, Zahlungswegen, Bankbeziehungen und geografischem Bezug ab. Für einen Verpflichteten in Spanien bilden EU-Finanzsanktionen und relevante UN-Finanzsanktionen die klare Grundlage. Weitere Listen sind oft sinnvoll, wenn das Risikoprofil sie rechtfertigt.
| Quelle | Praktische Rolle für Unternehmen in Spanien | Einordnung |
|---|---|---|
| EU-Quellen zu Finanzsanktionen | Grundlage für Unternehmen, die in Spanien und der EU tätig sind. | Rechtliche und operative Basis. |
| Konsolidierte Liste des UN-Sicherheitsrats | Relevant, weil Artikel 42 qualifizierenden UN-Finanzsanktionen unmittelbare Wirkung gibt. | Grundlage, soweit die Maßnahme unter Artikel 42 fällt. |
| OFAC-Sanktionslisten | Wichtig bei US-Bezug, USD-Clearing, US-Personen, Anforderungen von Bankpartnern oder internationalen Gegenparteien. | Risikobasierte Erweiterung, nicht die rein spanische Basis. |
| UK Sanctions List | Relevant bei britischen Kunden, Gegenparteien, Bankbeziehungen, Verträgen oder Gruppenrichtlinien. | Risikobasierte Erweiterung bei UK-Bezug. |
| Andere nationale oder regionale Listen | Können bei Bezug zur Schweiz, zu Kanada, Australien, Singapur oder anderen Jurisdiktionen relevant sein. | Begründung in der Richtlinie dokumentieren. |
Der redaktionelle Kernpunkt ist Präzision. Unternehmen, die nur in Spanien tätig sind, sollten nicht den Eindruck bekommen, jede Nicht-EU-Liste sei automatisch eine spanische Rechtspflicht. Gleichzeitig sollte erklärt werden, dass internationale Finanzdienstleistungen oft eine breitere Prüfung erfordern, etwa wegen Bankkorridoren, Zahlungswegen, Kundengeografie, Korrespondenzbankbeziehungen, Investorenerwartungen oder Gruppenrichtlinien.
Praktischer Prüfprozess
Sanktionsprüfung ist ein Prozess, keine einzelne Datenbankabfrage.
- 01
Daten erfassen und strukturieren
Kundennamen, Aliase, Geburtsdaten, Nationalität, Adressen, Registernummern, wirtschaftlich Berechtigte, Geschäftsführer, Zahlungsparteien, Wallets, Schiffe und weitere relevante Kennungen erfassen.
- 02
Prüfen und Treffer einordnen
Gegen den definierten Listenumfang prüfen, Kennungen vergleichen, Kontext nutzen, um schwache reine Namenstreffer zu reduzieren, und Hinweise priorisieren, die eine manuelle Prüfung erfordern.
- 03
Entscheiden und Nachweise sichern
Falsch positive Treffer mit Begründung schließen, mögliche Treffer eskalieren, bei bestätigten Treffern erforderliche Maßnahmen auslösen und eine vollständige Prüfspur aufbewahren.
Bei der Kundenaufnahme sollten Kunde, wirtschaftlich Berechtigter, Geschäftsführer, Kontrollpersonen und weitere relevante Parteien geprüft werden. Während der Beziehung sollte erneut geprüft werden, wenn sich Sanktionslisten ändern, Kundendaten geändert werden, neue Produkte eröffnet werden, Eigentümerstrukturen wechseln oder Transaktionen neue Gegenparteien oder Wege einführen.
Die EBA-Leitlinien von 2024 zu restriktiven Maßnahmen sind hier besonders hilfreich für Zahlungs- und Krypto-Dienstleister. Sie erwarten, dass die Prüfung relevante Kundeninformationen nutzt, etwa Name und Geburtsdatum bei natürlichen Personen und rechtlicher Name bei juristischen Personen, soweit diese Informationen für die anwendbaren restriktiven Maßnahmen relevant sind. Die EBA hat außerdem klargestellt, dass ein Geburtsdatum nicht isoliert von Vor- und Nachnamen geprüft werden sollte. In der Praxis reduzieren bessere Kennungen sowohl übersehene Treffer als auch unnötige Fehlalarme.
Eine gute Richtlinie sollte Prüfanlässe definieren und sich nicht nur auf eine feste periodische Aktualisierung verlassen. Sinnvolle Auslöser sind neue oder geänderte Sanktionsmaßnahmen, Kundenaufnahme, wesentliche Änderungen von CDD-Daten, neue Produkte, neue wirtschaftlich Berechtigte, wesentliche oder komplexe Transaktionen, neue Zahlungskorridore, Wallet-Bezug, neue Gegenparteien und begründete Hinweise auf Sanktionsumgehung.
Dieselbe Richtlinie sollte festlegen, welche Felder je Parteityp geprüft werden. Bei natürlichen Personen sollte die Prüfung nicht bei einem einzelnen Namensfeld stehen bleiben, wenn bessere Kennungen verfügbar sind. Bei juristischen Personen sollten rechtliche Namen, Handelsnamen, Registernummern, Eigentums- und Kontrollbeziehungen sowie relevante Adressen berücksichtigt werden. Bei Zahlungen, Krypto-Vermögenswerten, Schiffen, Flugzeugen oder anderen vermögenswertbezogenen Szenarien kann das Datenmodell auch Wallet-Adressen, Zahlungsparteien, Schiffskennungen oder andere regimespezifische Felder benötigen.
Wie Treffer geprüft werden sollten
Ein Trefferhinweis ist nicht dasselbe wie ein bestätigter Treffer. Namensähnlichkeit sollte eine Prüfung auslösen, nicht automatisch eine rechtliche Maßnahme.
Die Prüfung sollte die stärksten verfügbaren Kennungen vergleichen:
- vollständiger rechtlicher Name und bekannte Aliase;
- Transliteration und abweichende Schreibweisen;
- Geburtsdatum und Geburtsort;
- Nationalität oder Staatsangehörigkeit;
- Adresse und Länderdaten;
- Registernummern oder Dokumentenkennungen;
- Eigentums- und Kontrollbeziehungen;
- Zahlungsrolle und Transaktionskontext;
- Listenquelle, Sanktionsregime und Designierungsdetails;
- gelistete Wallets, Schiffe, Flugzeuge oder andere Kennungen von Vermögenswerten.
Die Entscheidung sollte als einer von drei Grundfällen dokumentiert werden:
| Ergebnis | Bedeutung | Operative Reaktion |
|---|---|---|
| Falsch positiver Treffer | Der geprüfte Kunde oder die geprüfte Transaktion ist nicht die gelistete Partei. | Mit Begründung schließen und Nachweise aufbewahren. Kontrollierte Ausnahmen nur nutzen, wenn die Richtlinie sie erlaubt. |
| Möglicher Treffer | Der Hinweis kann mit den verfügbaren Nachweisen nicht geklärt werden. | Für vertiefte Prüfung eskalieren und zusätzliche Informationen einholen. |
| Bestätigter Treffer | Die geprüfte Partei ist die sanktionierte Person, Einheit, der Vermögenswert oder eine kontrollierte Partei. | Erforderliche rechtliche und interne Verfahren unverzüglich auslösen. |
Falsch positiver Treffer
Ein falsch positiver Treffer ist kein Kontrollversagen, wenn er korrekt geprüft wird. Die Akte sollte zeigen, warum Kunde, wirtschaftlich Berechtigter, Gegenpartei, Wallet, Schiff oder eine andere geprüfte Partei nicht die gelistete Zielperson oder Zieleinheit ist. Gute Bearbeitung falsch positiver Treffer vergleicht Kennungen, dokumentiert die Begründung und vermeidet informelle Schließvermerke, die später nicht rekonstruiert werden können.
Wenn die Richtlinie interne Freigabelisten oder Unterdrückungen zulässt, müssen sie kontrolliert sein. Ein geschlossener Name sollte erneut geprüft werden, wenn sich Sanktionslisten ändern, Kundendaten ändern oder die ursprüngliche Begründung nicht mehr trägt. Sonst kann eine Unterdrückung zu einer veralteten Ausnahme werden, die künftige echte Treffer verdeckt.
Möglicher Treffer
Ein möglicher Treffer ist ein ungeklärter Hinweis. Er sollte unverzüglich untersucht und als Fall mit Nachweisen, klarer Zuständigkeit und Eskalation behandelt werden. Das Unternehmen kann zusätzliche Informationen aus internen Systemen, Aufnahmeakten, Transaktionsmetadaten, Unternehmensregistern oder vom zuständigen Kundenbetreuungsteam benötigen, ohne das Verbot der Verdachtsweitergabe zu verletzen.
Der wichtige operative Punkt: Ein möglicher Treffer sollte intern nicht als „sanktioniert“ bezeichnet werden, bevor er bestätigt ist. Er ist aber auch kein normales Geschäft. Der Fall sollte offen bleiben, bis das Unternehmen ihn als falsch positiven Treffer, bestätigten Treffer oder anderes dokumentiertes Ergebnis nach Richtlinie einordnen kann.
Bestätigter Treffer
Ein bestätigter Treffer bedeutet, dass die geprüfte Partei die gelistete Person, gelistete Einheit oder der gelistete Vermögenswert ist oder einer gelisteten Zielperson gehört beziehungsweise von ihr kontrolliert wird. Für bestätigte Treffer nennen die EBA-Leitlinien Folgeverfahren, die sofortige Ablehnung, Aussetzung oder Einfrieren sowie Meldungen an die zuständige nationale oder Aufsichtsbehörde umfassen können, soweit das anwendbare Recht dies verlangt.
In Spanien kann der genaue Melde- und Handlungsweg von der anwendbaren restriktiven Maßnahme und den Vorgaben der zuständigen Behörde abhängen. Der stabile praktische Punkt ist enger: Nach Bestätigung darf der Fall nicht als gewöhnlicher Hinweis liegen bleiben. Er muss die Reaktion auf den Sanktionstreffer, interne Eskalation, Nachweisaufbewahrung und erforderliche Behördenkommunikation unverzüglich auslösen.
Verdächtige ML/TF-Indikatoren
Sanktionsprüfung kann auch Sachverhalte offenlegen, die eine AML/CFT-Analyse erfordern, selbst wenn der Sanktionstreffer selbst ausgeschlossen wird. Ein Kunde kann zum Beispiel wiederholt in der Nähe sanktionierter Jurisdiktionen transagieren, Zahlungswege nutzen, die Gegenparteien verschleiern sollen, oder während der Trefferprüfung widersprüchliche Eigentümerinformationen liefern. Solche Tatsachen können eine besondere Prüfung nach Gesetz 10/2010 erfordern, auch wenn der Namenstreffer am Ende kein echter Sanktionstreffer ist.
Wie verdächtige Aktivitäten an SEPBLAC gemeldet werden
Die Verdachtsmeldung an SEPBLAC ist keine öffentliche API-Integration. In den geprüften öffentlich zugänglichen offiziellen Unterlagen gibt es keine allgemeine SEPBLAC-API für Verdachtsmeldungen, keinen öffentlichen REST- oder SOAP-Endpunkt und kein allgemeines XML-Schema für reguläre Verdachtsmeldungen.
Die gewöhnliche Meldung ist eine comunicación por indicio, also eine Meldung aufgrund von Anhaltspunkten. Sie setzt eine strukturierte besondere Prüfung nach Artikel 17 des Gesetzes 10/2010 voraus. Wenn der Verpflichtete nach dieser Prüfung Anhaltspunkte oder Gewissheit für Geldwäsche oder Terrorismusfinanzierung sieht, muss die Meldung nach Artikel 18 unverzüglich an SEPBLAC gehen.
Wo die Meldung eingereicht wird
Der Meldeweg hängt von der Art des Verpflichteten ab.
| Verpflichteter / meldende Stelle | Offizieller Meldeweg | Praktischer Hinweis |
|---|---|---|
| Banken, Sparkassen, Kreditgenossenschaften, spanische Zweigstellen ausländischer Kreditinstitute und bestimmte OCP-Stellen | SEPBLAC-Anwendung CTL 2.3 | SEPBLAC stellt CTL 2.3, die anwendbaren Regeln und eine Nutzeranleitung den Stellen bereit, die telematisch melden müssen. |
| Andere Verpflichtete | Elektronisches Register der Banco de España | Die Meldung sollte vom Vertreter gegenüber SEPBLAC oder einer bevollmächtigten Person elektronisch signiert, gescannt und über das Register eingereicht werden. |
| Andere Verpflichtete, nur als Ausnahmeweg | Post- oder persönliche Einreichung bei SEPBLAC / Banco de España, Calle Alcalá 48, 28014 Madrid | SEPBLAC beschreibt dies als Ausnahme, nicht als regulären Meldeweg. |
E-Mail sollte nicht als normaler Kanal für Verdachtsmeldungen behandelt werden. SEPBLAC veröffentlicht E-Mail-Adressen für CTL-Registrierung und Zertifikatsschritte, die eigentliche Verdachtsmeldung läuft aber je nach Unternehmenstyp über CTL 2.3 oder das elektronische Register der Banco de España.
Wo das Formular zu finden ist
Die SEPBLAC-Verfahrensseite verlinkt die aktuelle Vorlage als Formulario F19-1. Das herunterladbare Dokument trägt den Titel „Comunicación de operativa sospechosa por indicio (F19-1)“:
Einige SEPBLAC-Seiten und ältere Materialien sprechen allgemeiner von F19. Für praktische Dokumentation ist es sinnvoll, den aktuellen öffentlichen Dateititel F19-1 zu nennen und den offiziellen SEPBLAC-Link beizubehalten.
Was die Meldung enthält
Nach der SEPBLAC-Verfahrensseite muss die Meldung jedenfalls die Kerntatsachen enthalten, die den Verdacht nachvollziehbar machen.
| F19-1-Bereich | Was vorzubereiten ist | Beispiel |
|---|---|---|
| Beteiligte | Natürliche oder juristische Personen und ihre jeweilige Rolle. | Kunde, wirtschaftlich Berechtigter, Auftraggeber, Begünstigter, Kontoinhaber, Zahlungsintermediär, Wallet-Inhaber, Geschäftsführer oder bevollmächtigter Vertreter. |
| Bekannte Tätigkeit | Was das Unternehmen über diese Personen oder Gesellschaften weiß und ob die Aktivität zur Transaktion passt. | Ein Kunde gibt lokalen Einzelhandel an, erhält aber hohe Überweisungen von nicht erkennbar verbundenen ausländischen Gegenparteien. |
| Verbundene Transaktionen | Transaktionen, Daten, Art, Währung, Betrag, Ausführungsort, Zweck und Zahlungs- oder Einzugsinstrument. | Drei Euro-Überweisungen an aufeinanderfolgenden Tagen, jeweils knapp unterhalb einer internen Prüfschwelle, gefolgt von einem Krypto-Kauf oder einer ausgehenden Auslandsüberweisung. |
| Schritte der besonderen Prüfung | Was der Verpflichtete während der Analyse getan hat. | Prüfung der Aufnahmeakte, Herkunft der Gelder, Transaktionshistorie, Sanktions- und PEP-Prüfung, negative Medien, IP- oder Gerätehistorie und Erläuterungen aus dem zuständigen Geschäftsteam. |
| Verdachtsbegründung | Umstände, die Anhaltspunkte oder Gewissheit für ML/TF tragen oder fehlende wirtschaftliche, berufliche oder geschäftliche Rechtfertigung zeigen. | Das Transaktionsmuster passt nicht zum Kundenprofil, nutzt nicht nachvollziehbare Dritte, hat keine belastbare Rechnungsgrundlage und scheint auf schnelle Weiterleitung von Geldern ausgelegt. |
| Weitere relevante Daten | Alle weiteren Informationen, die für die AML/CFT-Analyse hilfreich sind. | Interne Fall-ID, frühere Hinweise, verbundene Kunden, wiederkehrende Gegenparteien, Mule-Konto-Indikatoren, sanktionsnahe Geografie oder versuchte, nicht ausgeführte Transaktionen. |
Bei versuchten Transaktionen weist SEPBLAC darauf hin, dass der Verpflichtete die Transaktion als nicht ausgeführt erfassen und die verfügbaren Informationen melden sollte.
Beispiel für eine meldereife Begründung
Eine nützliche Begründung ist konkret, chronologisch und nachweisgestützt. Sie sollte nicht nur „verdächtige Transaktion“ oder „mögliches Sanktionsrisiko“ sagen.
Der Kunde wurde als kleiner inländischer E-Commerce-Händler aufgenommen, mit erwarteten monatlichen Umsätzen von ungefähr 20.000 Euro. Zwischen dem 4. und 9. Mai 2026 gingen auf dem Konto acht Überweisungen über insgesamt 186.400 Euro von sechs nicht erkennbar verbundenen Auftraggebern aus drei Ländern ein. Die Gelder wurden innerhalb von 24 Stunden an zwei neu hinzugefügte Begünstigte weitergeleitet. Der Kunde konnte keine Rechnungen vorlegen, die zu den Zahlungseingängen passten. Die angegebene Geschäftstätigkeit erklärt weder Volumen und Gegenparteien noch die Geschwindigkeit der Abflüsse. Die besondere Prüfung umfasste die Kundenakte, Transaktionshistorie, Sanktions- und PEP-Prüfung, negative Medien und eine Anfrage zur wirtschaftlichen Begründung über das zuständige Beziehungsteam. Eine ausreichende wirtschaftliche oder geschäftliche Rechtfertigung wurde nicht festgestellt.
Dieselbe Struktur lässt sich auf andere Typologien übertragen:
- Mule-Konto-Muster: kürzlich eröffnetes Konto, schnelle Eingänge mutmaßlich betrugsbezogener Gelder, unmittelbare Weiterleitungen, wenig normale Kontobewegung und schwache Erklärung des Kontoinhabers.
- Sanktionsnahe Aktivität: wiederholte Zahlungen über Hochrisikorouten, Gegenparteien mit Eigentums- oder Standortbezug zu sanktionierten Sektoren und widersprüchliche Beschreibungen von Waren oder Dienstleistungen.
- Widersprüche bei wirtschaftlichem Eigentum: Angaben zum wirtschaftlich Berechtigten ändern sich während der Prüfung, Registerdaten passen nicht zu Aufnahmeunterlagen und Zahlungsaktivität wirkt von einem nicht offengelegten Dritten gesteuert.
Gibt es XML?
Für reguläre Verdachtsmeldungen ist der öffentliche Weg keine API und keine allgemeine XML-Einreichung. Die veröffentlichte strukturierte XML-Ausnahme ist das spezielle Verfahren für cuentas mula, also Mule-Konten.
Bei Mule-Konto-Meldungen setzt sich die Meldung laut SEPBLAC aus dem normalen Verdachtsmeldeformular plus einem XML-Anhang mit den Mule-Konto-Daten zusammen. Dieses XML wird durch ein veröffentlichtes XSD definiert und der regulären Meldung beigefügt, die über den üblichen Meldeweg des Verpflichteten eingereicht wird.
Diese Unterscheidung ist für Produktteams relevant. Ein System kann helfen, die Akte zur besonderen Prüfung, die Verdachtsbegründung, Beteiligten- und Transaktionsdaten, Nachweise und Aufbewahrungsinformationen vorzubereiten. Es sollte aber nicht behaupten, Verdachtsmeldungen direkt über eine öffentliche SEPBLAC-API oder ein allgemeines XML-Verfahren einzureichen, solange dies nicht gesondert mit SEPBLAC validiert wurde.
Nachweise und Prüfspur
Artikel 25 des Gesetzes 10/2010 verlangt von Verpflichteten, relevante Unterlagen zehn Jahre lang aufzubewahren. Erfasst sind Sorgfaltspflichtunterlagen sowie Dokumente oder Aufzeichnungen, die Transaktionen, Beteiligte und Geschäftsbeziehungen ausreichend belegen.
Für Sanktionsprüfung sollte die Nachweisakte so konkret sein, dass ein anderer Prüfer später nachvollziehen kann, was passiert ist.
Schwache Nachweise sind ein häufiger operativer Fehler. Ein Vermerk wie „geschlossen“ reicht nicht. Eine belastbare Akte sollte erklären, warum ein Treffer ausgeschlossen, eskaliert oder bestätigt wurde.
Checkliste für Sanktionsprüfung in Spanien
Diese Checkliste hilft, den rechtlichen und quellenbezogenen Rahmen in ein Betriebsmodell zu übersetzen:
- Prüfen, ob Geschäft, Zweigniederlassung, Agent, Vermittler oder grenzüberschreitender Dienst unter Artikel 2 fällt.
- Restriktive Maßnahmen der EU und relevante Finanzsanktionen des UN-Sicherheitsrats als spanische Basis nach Artikel 42 behandeln.
- Entscheiden, ob OFAC, UK, Schweiz, Kanada, Australien, Singapur oder andere Quellen wegen Währungen, Zahlungswegen, Kunden, Gegenparteien, Bankpartnern, Gruppenrichtlinien oder vertraglichen Pflichten ergänzt werden müssen.
- Genügend Kennungen erfassen, um Hinweise zu klären: rechtlicher Name, Vor- und Nachname, Aliase, Handelsnamen, Geburtsdatum, Nationalität, Adresse, Registernummer, Eigentumsbeziehungen, Wallet-Adressen und Vermögenswert-Kennungen, soweit relevant.
- Kunden, wirtschaftlich Berechtigte, Geschäftsführer, Kontrollpersonen, Zahlungsparteien, Gegenparteien und weitere relevante Dritte nach Risikomodell prüfen.
- Auslöser für erneute Prüfungen definieren, darunter Listenaktualisierungen, Kundenaufnahme, geänderte CDD-Daten, neue Produkte, Eigentümerwechsel, wesentliche Transaktionen, neue Korridore und Verdacht auf Umgehung.
- Falsch positive Treffer, mögliche Treffer, bestätigte Treffer und verdächtige ML/TF-Indikatoren in der Fallklassifikation trennen.
- Eskalationswege für die Reaktion auf Sanktionstreffer, AML/CFT-Sonderprüfung, Meldung, Unterlassen der Ausführung und Kontrollen gegen Tipping-off klar halten.
- Listenquelle, Version oder Aktualisierungszeitpunkt, Eingabedaten, Kandidatentreffer, Begründung, Analyst, Entscheidung und jede Blockierungs-, Melde- oder Monitoring-Maßnahme für die erforderliche Aufbewahrungsfrist sichern.
Wie Checklynx den Prozess unterstützt
Checklynx unterstützt Sanktionsprüfung als zusammenhängenden Prozess, nicht als einzelnes Suchfeld. Teams können Echtzeit-API-Prüfungen, Batch-Prüfungen, manuelle Überprüfungen, laufendes Monitoring, Transaktionsprüfung, Case Management und Prüfnachweise nutzen, je nachdem, wie Risiko in das Geschäft eintritt.
Das ist für Unternehmen in Spanien wichtig, weil Pflichten nicht an einem einzigen Zeitpunkt hängen. Ein sanktionsrelevantes Ereignis kann bei der Kundenaufnahme, nach einer Listenaktualisierung, während einer Transaktion, nach Änderung eines wirtschaftlich Berechtigten oder im Rahmen einer Untersuchung auftreten. Ein praktisches System sollte den Kontext jeder Entscheidung aufbewahren und leichter zeigen können, was geprüft wurde, wann geprüft wurde, welcher Treffer vorlag, wer geprüft hat und was danach geschehen ist.
Prüffähige Sanktionsprozesse aufbauen
Mit Checklynx Kunden und Gegenparteien prüfen, Trefferprüfungen steuern, Listenaktualisierungen überwachen und Nachweise für Compliance-Teams aufbewahren.
FAQ
Was ist SEPBLAC?
SEPBLAC ist die spanische Financial Intelligence Unit und eine Aufsichtsbehörde für AML/CFT-Compliance sowie bestimmte Finanzsanktionen und Gegenmaßnahmen. SEPBLAC empfängt und analysiert Finanzinformationen und beaufsichtigt Compliance-Kontrollen.
Verlangt spanisches Recht Sanktionsprüfung?
Spanisches Recht gibt qualifizierenden Finanzsanktionen der EU und der UN nach Artikel 42 des Gesetzes 10/2010 unmittelbare Wirkung. Das Gesetz verlangt außerdem Sorgfaltspflichten, laufende Überwachung, interne Kontrollen, besondere Prüfung, Meldung und Nachweisaufbewahrung. Listenprüfung ist der praktische Kontrollmechanismus, mit dem Unternehmen diese Pflichten operativ erfüllen.
Ist SEPBLAC die Sanktionsliste in Spanien?
Nein. SEPBLAC ist die Financial Intelligence Unit und eine Aufsichtsbehörde. Sanktionsprüfung sollte die offiziellen Listenquellen nutzen, die für das Unternehmen relevant sind, mit EU- und relevanten UN-Finanzsanktionen als spanischer Basis und weiteren Listen je nach Risikoprofil.
Welche Sanktionslisten sollte ein Unternehmen in Spanien prüfen?
EU-Finanzsanktionen und relevante Maßnahmen des UN-Sicherheitsrats sollten die spanische Basis bilden. OFAC, die UK Sanctions List und andere nationale Listen sollten ergänzt werden, wenn Risikoprofil, Bankbeziehungen, Währungen, Gegenparteien oder Gruppenrichtlinien eine breitere Abdeckung rechtfertigen.
Sollten wirtschaftlich Berechtigte geprüft werden?
Ja, soweit wirtschaftliches Eigentum für die Beziehung oder Transaktion relevant ist. Gesetz 10/2010 verlangt, den wirtschaftlich Berechtigten zu identifizieren und angemessene Maßnahmen zur Identitätsprüfung zu ergreifen, bevor eine Geschäftsbeziehung aufgenommen oder eine Transaktion ausgeführt wird.
Wie oft sollten bestehende Kunden erneut geprüft werden?
Eine erneute Prüfung sollte erfolgen, wenn sich Sanktionslisten ändern, Kundendaten geändert werden, neue Produkte eröffnet werden, Eigentümerstrukturen wechseln, wesentliche Transaktionen stattfinden oder der Transaktionskontext neues Risiko einführt. Kunden mit höherem Risiko und Geschäftsmodelle mit vielen Änderungen benötigen stärkeres laufendes Monitoring.
Wann wird ein Namenstreffer zu einem echten Sanktionstreffer?
Ein echter Treffer erfordert die Prüfung von Kennungen und Kontext, nicht nur Namensähnlichkeit. Zu vergleichen sind Namen, Aliase, Transliteration, Geburtsdatum, Nationalität, Registernummern, Adressen, Eigentumsbeziehungen und regimespezifische Kennungen, soweit verfügbar.
Was ist der Unterschied zwischen einem Sanktionstreffer und einer SEPBLAC-Meldung?
Ein Sanktionstreffer betrifft die Frage, ob eine Partei einer restriktiven Maßnahme unterliegt und welche Sanktionsreaktion erforderlich ist. Eine Verdachtsmeldung an SEPBLAC betrifft Anhaltspunkte oder Gewissheit für Geldwäsche oder Terrorismusfinanzierung nach besonderer Prüfung. Ein Fall kann beides betreffen, aber es sind getrennte Entscheidungen.
Gibt es eine SEPBLAC-API oder XML für Verdachtsmeldungen?
Es gibt keine öffentliche allgemeine SEPBLAC-API und kein öffentliches allgemeines XML-Schema für reguläre Verdachtsmeldungen. Kreditinstitute und bestimmte OCP-Stellen nutzen CTL 2.3. Andere Verpflichtete nutzen das elektronische Register der Banco de España. Die veröffentlichte XML-Ausnahme ist der besondere Anhang für Mule-Konten, der der regulären Verdachtsmeldung beigefügt und über den üblichen Meldeweg eingereicht wird.
Wie meldet ein Unternehmen verdächtige Aktivitäten an SEPBLAC?
Das Unternehmen führt zuerst eine strukturierte besondere Prüfung durch. Wenn Anhaltspunkte oder Gewissheit für Geldwäsche oder Terrorismusfinanzierung bestehen, bereitet es die F19-1-Meldung vor und reicht sie unverzüglich über den richtigen Weg ein: CTL 2.3 für Kreditinstitute und bestimmte OCP-Stellen oder das elektronische Register der Banco de España für andere Verpflichtete.
Wie lange sind Nachweise zur Sanktionsprüfung in Spanien aufzubewahren?
Artikel 25 des Gesetzes 10/2010 verlangt die Aufbewahrung relevanter AML/CFT-Unterlagen für zehn Jahre. Nachweise zur Sanktionsprüfung sollten konsistent mit der rechtlichen und dokumentarischen Aufbewahrungspolitik des Unternehmens aufbewahrt werden.
Sind OFAC- und UK-Sanktionen für alle Unternehmen in Spanien verpflichtend?
Nicht als universelle rein spanische Basis. Sie sind in der Regel risikobasierte Erweiterungen für Unternehmen mit US- oder UK-Bezug, Korrespondenzbankerwartungen, Gruppenanforderungen, vertraglichen Pflichten, relevanten Währungen oder grenzüberschreitenden Gegenparteien.
Offizielle Quellen erklärt
- BOE: konsolidierter Text des Gesetzes 10/2010: rechtliche Grundlage für Verpflichtete, Kunden-Due-Diligence, wirtschaftliches Eigentum, laufende Überwachung, besondere Prüfung, Meldung, Verbot der Verdachtsweitergabe, Dokumentenaufbewahrung und Finanzsanktionen nach Artikel 42.
- SEPBLAC-Verfahren zur comunicación por indicio: offizielles Verfahren für Verdachtsmeldungen, einschließlich besonderer Prüfung, Mindestinhalt, CTL-2.3-Meldung für Kreditinstitute, Einreichung über das elektronische Register der Banco de España für andere Verpflichtete und F19-1-Vorlage.
- Elektronisches Register der Banco de España: Meldeweg für nicht kreditinstitutsartige Verpflichtete zur elektronischen Einreichung signierter und gescannter Verdachtsmeldungen.
- SEPBLAC-Verfahren zu Mule-Konto-Meldungen: spezielles aggregiertes Verfahren für Mule-Konten, einschließlich XML-Anhang und XSD-basierter Struktur.
- SEPBLAC-Tätigkeitsbericht 2024: Quelle für die oben genannten Zahlen zu Verdachtsmeldungen 2024, Zuwächsen bei Neobanken und Anbietern virtueller Vermögenswerte sowie aggregierten Meldedaten zu Mule-Konten.
- Konsolidierte Liste des UN-Sicherheitsrats: offizielle UN-Listenquelle für die Prüfung relevanter Maßnahmen des Sicherheitsrats.
- OFAC Sanctions List Service: offizieller US-Listenbereitstellungsdienst für Unternehmen, die OFAC-Abdeckung wegen US-Bezug, USD-Clearing, Bankanforderungen oder Gruppenrichtlinien benötigen.
- UK Sanctions List: offizielle britische Quelle für Designierungen von Unternehmen mit UK-Bezug, Gegenparteien, Verträgen oder Anforderungen aus internen Richtlinien.
- EBA Final Report zu Leitlinien über restriktive Maßnahmen: operative Orientierung zu Governance restriktiver Maßnahmen, Prüffeldern, Prüfanlässen, Kalibrierung, Bearbeitung von Hinweisen und Folgemaßnahmen bei bestätigten Treffern.
Zuletzt geprüft: 25. Mai 2026.