HomeSekundärsanktionen und Krypto: Haftungsrisiken für EU-Unternehmen bei Verstößen über Drittländer
EU-Unternehmen, die Kryptowährungen über Drittländer-Plattformen handeln, können für Verstöße gegen EU-Sanktionsrecht haften – selbst wenn die Transaktion außerhalb der EU abgewickelt wird. Sekundärsanktionen erfassen auch indirekte Geschäftsbeziehungen mit sanktionierten Personen oder Unternehmen über Drittstaaten-Intermediäre. Die EU-Verordnung Nr. 833/2014 und nachfolgende Sanktionspakete verbieten die Bereitstellung finanzieller Mittel an sanktionierte Parteien und gelten unabhängig davon, wo die Krypto-Transaktion technisch ausgeführt wird.
Was sind Sekundärsanktionen und warum treffen sie EU-Unternehmen beim Krypto-Handel besonders hart?
Sekundärsanktionen sind extraterritoriale Zwangsmaßnahmen, die nicht nur eigene Staatsangehörige oder Unternehmen betreffen, sondern auch Drittstaatsunternehmen sanktionieren, wenn diese mit sanktionierten Personen oder Ländern Geschäfte tätigen. Die EU hat ein eigenes Sekundärsanktionsregime aufgebaut, das parallel zu den bekannteren US-Sekundärsanktionen existiert. Konkret können Finanzinstitute und andere Unternehmen außerhalb der EU auf EU-Sanktionslisten gesetzt werden, wenn sie Umgehungsgeschäfte ermöglichen oder aktiv unterstützen.
Für EU-Unternehmen im Kryptobereich bedeutet dies: Auch wenn die Transaktion über eine Börse in Dubai, Singapur oder einem anderen Drittstaat läuft, haftet das EU-Unternehmen für Verstöße gegen EU-Sanktionsrecht. Die Verordnung (EG) Nr. 833/2014 – erlassen nach Russlands Annexion der Krim und mehrfach erweitert – verbietet die Bereitstellung von Kryptowerten an sanktionierte Personen und Unternehmen. Das 20. EU-Sanktionspaket von 2025 hat Krypto-Dienstleistungen ausdrücklich ins Russland-Sanktionsregime aufgenommen.
Dezentralisierte Krypto-Netzwerke schaffen ein zusätzliches Risiko: Transaktionen laufen über Wallets ohne zentrale Kontrollinstanz, und Endempfänger können ihre Identität verschleiern. Dennoch verlangt die EU von allen Marktteilnehmern, sanktionierte Adressen zu identifizieren und zu blockieren. Das EU-Sanktionsregime erfasst zudem die Umgehung von Restriktionen über Drittstaaten – eine Geschäftsbeziehung mit einer nicht-sanktionierten Drittlands-Plattform schützt nicht vor Haftung, wenn diese Plattform Mittel an sanktionierte Wallets weiterleitet.
Die Konsequenzen bei Verstößen sind erheblich: Geldstrafen bis 1 Million Euro oder 10 Prozent des Jahresumsatzes (je nachdem, was höher ist), strafrechtliche Verfolgung nach nationalem Sanktionsstrafrecht und zivilrechtliche Haftungsansprüche. Zudem kann die zuständige Behörde dem Unternehmen die Betriebserlaubnis in der EU entziehen.
Sekundärsanktionen und Krypto
Unser Team ist auf Fälle mit internationalem Bezug spezialisiert. Wir prüfen einschlägige Verträge, bewerten Risiken und erstellen einen Aktionsplan.
Anwalt kontaktieren →Welche EU-Sanktionsgesetze verpflichten mich zur Compliance bei Krypto-Transaktionen über Drittländer?
Artikel 3 und Artikel 4 der meisten EU-Sanktionsverordnungen legen fest, dass die Regelungen für EU-Bürger, in der EU ansässige Unternehmen und alle Personen gelten, die auf EU-Territorium tätig sind – unabhängig davon, wo die Transaktion stattfindet. Die Verordnung (EG) Nr. 833/2014 und ihre über 20 Änderungsverordnungen verbieten die Bereitstellung finanzieller Mittel oder wirtschaftlicher Ressourcen gegenüber sanktionierten Personen und Unternehmen. Artikel 5d der Verordnung wurde 2022 ergänzt und verbietet die Bereitstellung von Krypto-Wallets, Konten oder Verwahrungsdiensten für russische Staatsangehörige oder in Russland ansässige Personen, wenn die Transaktion einen Gegenwert von über 10.000 Euro übersteigt.
Die Verordnung (EU) 2021/821 – die EU-Dual-Use-Verordnung – kontrolliert den Transfer von Technologie und virtuellen Vermögenswerten in sanktionierte Jurisdiktionen. Artikel 4 verpflichtet Exporteure zur Genehmigungspflicht, wenn ein begründeter Verdacht besteht, dass die Güter oder Technologien für militärische Zwecke oder in Zusammenhang mit Menschenrechtsverletzungen genutzt werden. Krypto-Assets können unter diese Kategorie fallen, wenn sie zur Finanzierung staatlicher Aktivitäten in sanktionierten Ländern dienen.
Die EU-Sanktionslisten werden auf der Website des Europäischen Auswärtigen Dienstes (EEAS) veröffentlicht und regelmäßig aktualisiert. Krypto-Börsen und -Dienstleister müssen diese Listen täglich abgleichen, um sicherzustellen, dass keine Transaktionen mit sanktionierten Wallet-Adressen, Personen oder Unternehmen stattfinden. Die Verordnung (EU) 2023/1113 – die Transfer-of-Funds-Verordnung – verpflichtet Krypto-Dienstleister, bei jeder Transaktion Informationen über Zahler und Empfänger zu erheben und weiterzugeben. Dies gilt auch für dezentralisierte Transfers und soll Geldwäsche und Terrorismusfinanzierung verhindern.
Seit Januar 2025 gilt zudem die Verordnung (EU) 2023/1114 – die Markets in Crypto-Assets Regulation (MiCA). Artikel 7 verpflichtet alle Krypto-Asset-Service-Provider (CASPs) zur Zulassung durch die zuständige Behörde. Artikel 59 bis 70 legen Verhaltens- und Governance-Standards fest, darunter Pflichten zur Transaktionsüberwachung und Sanktionsprüfung. Ein Verstoß gegen diese Anforderungen führt zum Verlust der MiCA-Lizenz und zur Unmöglichkeit, in der EU legal Krypto-Dienstleistungen anzubieten.
Wie entstehen Haftungsrisiken, wenn mein EU-Unternehmen Krypto über Drittländer-Plattformen handelt?
Die Haftung entsteht unabhängig davon, ob das EU-Unternehmen direkt mit sanktionierten Personen Geschäfte macht oder über eine Drittlands-Plattform indirekt beteiligt ist. EU-Sanktionsrecht erfasst auch die Umgehung von Restriktionen – sobald das Unternehmen weiß oder wissen müsste, dass die Drittlands-Plattform sanktionierte Adressen bedient, kann es zur Verantwortung gezogen werden.
Ein praktisches Szenario verdeutlicht das Risiko: Ein EU-Krypto-Investmentfonds überweist Bitcoin an eine dezentralisierte Börse in Dubai, um Liquidität zu erhöhen. Die Börse leitet einen Teil der Mittel an eine Wallet weiter, die auf der EU-Sanktionsliste steht. Auch wenn der Fonds keinen direkten Kontakt zur sanktionierten Wallet hatte, haftet er für die Bereitstellung wirtschaftlicher Ressourcen über den Drittlands-Intermediär. Der EuGH hat in der Rechtssache Bank Melli Iran gegen Telekom Deutschland (C-124/20, Urteil vom 21. Dezember 2021) klargestellt, dass Unternehmen nachweisen müssen, dass die Geschäftsbeendigung nicht wegen Sanktionen erfolgte. Diese Beweislastumkehr gilt auch bei mehrstufigen Krypto-Transaktionsketten.
Mangelnde Due-Diligence-Prozesse auf Seiten der Drittlands-Plattform schützen das EU-Unternehmen nicht. Im Gegenteil: Die Nutzung einer nicht-regulierten oder unzureichend überwachten Plattform wird als Risikoindikator gewertet. Die zuständigen nationalen Behörden – in Deutschland das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) – prüfen, ob das EU-Unternehmen angemessene Kontrollmechanismen implementiert hat. Fehlen diese, drohen hohe Bußgelder und strafrechtliche Konsequenzen nach dem Außenwirtschaftsgesetz (AWG).
Ein weiteres Risiko entsteht durch die EU-Blocking-Verordnung (Verordnung (EG) Nr. 2271/96). Diese verbietet EU-Unternehmen, US-Sekundärsanktionen zu befolgen, wenn diese im Widerspruch zu EU-Recht stehen. Artikel 5 Absatz 1 untersagt die Befolgung bestimmter US-Sanktionsgesetze ohne vorherige Genehmigung der EU-Kommission. Ein EU-Krypto-Unternehmen, das eine Geschäftsbeziehung aus Angst vor US-Sekundärsanktionen beendet, kann gegen die Blocking-Verordnung verstoßen und sowohl in den USA als auch in der EU haftbar werden. Artikel 5 Absatz 2 ermöglicht eine Ausnahme, wenn das Unternehmen nachweist, dass die Einhaltung der US-Sanktionen für seine Interessen oder die der EU unverzichtbar ist – diese Genehmigung muss jedoch vorab bei der Kommission beantragt werden.
Welche konkreten Due-Diligence-Maßnahmen muss ich implementieren, um Sanktionsverstöße zu vermeiden?
Automatisiertes tägliches Sanktionslisten-Screening ist der erste Schritt. Alle Wallet-Adressen, Kontrahenten und Transaktionsbeteiligten müssen täglich gegen die EU-Sanktionslisten auf der EEAS-Website, die OFAC-SDN-Liste und UN-Sanktionslisten abgeglichen werden. Artikel 7 der Verordnung (EG) Nr. 833/2014 verlangt, dass Unternehmen sicherstellen, dass keine finanziellen Mittel oder wirtschaftlichen Ressourcen sanktionierten Personen zugutekommen. Ein einmaliger Abgleich reicht nicht aus – Sanktionslisten werden mehrmals pro Woche aktualisiert, und neue Einträge gelten ab dem Zeitpunkt der Veröffentlichung.
Kontrahenten-Verifizierung ist der zweite Schritt. Für alle Drittländer-Partner – Krypto-Börsen, Makler, Liquiditätsprovider – muss die Sanktionskonformität dokumentiert und regelmäßig überprüft werden. Das bedeutet konkret: Verträge müssen Sanktions-Compliance-Klauseln enthalten, die den Partner verpflichten, selbst keine Geschäfte mit sanktionierten Personen zu tätigen. Zudem sollte das EU-Unternehmen Nachweise über die Screening-Prozesse des Partners einholen – etwa Berichte über KYC-Verfahren, AML-Kontrollen und Sanktionsprüfungen.
Blockchain-Analyse-Tools sind für Krypto-Unternehmen unverzichtbar. Diese Tools verfolgen Transaktionsverläufe auf der Blockchain und identifizieren Wallets, die mit sanktionierten Adressen interagiert haben. Kommerzielle Anbieter wie Chainalysis, Elliptic oder CipherTrace bieten solche Dienste an und aktualisieren ihre Datenbanken kontinuierlich. Ein EU-Unternehmen, das keine Blockchain-Analyse nutzt, kann im Ernstfall nicht nachweisen, dass es angemessene Vorkehrungen getroffen hat.
Dokumentation aller Compliance-Schritte ist die dritte Säule. Jede Sanktionsprüfung, jede Kontrahenten-Verifizierung und jede Risikoentscheidung muss schriftlich festgehalten werden. Im Fall einer behördlichen Prüfung oder eines Gerichtsverfahrens trägt das Unternehmen die Beweislast – es muss nachweisen, dass es alle zumutbaren Maßnahmen ergriffen hat, um Verstöße zu vermeiden. Die EuGH-Rechtsprechung in Bank Melli Iran macht deutlich, dass Unternehmen nicht nur formal Prozesse einführen müssen, sondern diese auch wirksam umsetzen und dokumentieren müssen.
Schulung der Mitarbeiter ist der vierte Baustein. Compliance-Verantwortliche, Risikomanager und alle Mitarbeiter, die Krypto-Transaktionen abwickeln, müssen regelmäßig zu Sanktionsrecht und Umgehungsrisiken geschult werden. Die Schulung sollte konkrete Szenarien durchspielen, etwa: Was tun, wenn eine Zahlung an eine unbekannte Wallet geht? Wie reagiert man, wenn ein Partner auf einer Sanktionsliste auftaucht?
Was muss ich tun, wenn mein Unternehmen versehentlich gegen Sanktionsrecht verstoßen hat?
Sofortige Selbstanzeige bei der zuständigen Behörde ist der erste Schritt. In Deutschland ist das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) zuständig. Eine freiwillige Offenlegung kann Bußgelder reduzieren und strafrechtliche Konsequenzen abmildern. Die Selbstanzeige muss alle relevanten Fakten enthalten: Welche Transaktion war betroffen? Wer war der Empfänger? Wie konnte der Verstoß passieren? Welche Maßnahmen wurden seitdem ergriffen?
Interne Untersuchung ist der zweite Schritt. Das Unternehmen muss die Ursache des Verstoßes identifizieren – war es ein technisches Versagen des Screening-Systems, ein menschlicher Fehler oder eine bewusste Umgehung? Diese Analyse ist entscheidend, um gegenüber der Behörde glaubhaft zu machen, dass der Verstoß nicht vorsätzlich war und dass wirksame Gegenmaßnahmen ergriffen wurden.
Sofortmaßnahmen zur Risikobegrenzung sind der dritte Schritt. Alle betroffenen Geschäftsbeziehungen müssen sofort eingefroren werden. Wenn Mittel an eine sanktionierte Wallet geflossen sind, muss versucht werden, diese zurückzuholen – bei Krypto-Transaktionen ist das oft unmöglich, aber der Versuch muss dokumentiert werden. Zudem müssen die internen Compliance-Prozesse sofort verschärft werden, um weitere Verstöße zu verhindern.
Rechtliche Vertretung ist der vierte Schritt. Ein auf Sanktionsrecht spezialisierter Anwalt kann in Verhandlungen mit der Behörde Strafmilderung erreichen, indem er auf die Kooperationsbereitschaft des Unternehmens, die sofortigen Korrekturmaßnahmen und die fehlende Vorsätzlichkeit hinweist. In Deutschland können Verstöße nach Paragraf 18 AWG mit Freiheitsstrafe bis zu fünf Jahren geahndet werden – in schweren Fällen bis zu zehn Jahren. Eine frühzeitige und professionelle Verteidigung ist daher unerlässlich.
Wie schütze ich mich vor widersprüchlichen Anforderungen zwischen EU- und US-Sekundärsanktionen?
Die EU-Blocking-Verordnung (Verordnung (EG) Nr. 2271/96) verbietet EU-Unternehmen die Befolgung bestimmter US-Sanktionsgesetze, die im Anhang der Verordnung aufgeführt sind. Artikel 5 Absatz 1 enthält das Befolgungsverbot – ein EU-Unternehmen darf nicht einfach eine Geschäftsbeziehung beenden, weil US-Behörden dies verlangen. Tut es das dennoch, riskiert es Sanktionen in der EU.
Artikel 5 Absatz 2 bietet einen Ausweg: Die EU-Kommission kann eine Genehmigung erteilen, wenn das Unternehmen nachweist, dass die Nichtbefolgung der US-Sanktionen ernste Schäden für seine Interessen oder die der EU zur Folge hätte. Dieser Antrag muss begründet und mit Nachweisen versehen sein – etwa mit der Darstellung, dass US-Korrespondenzbanken die Geschäftsbeziehung beenden würden oder dass das Unternehmen den Zugang zum US-Markt verlieren würde.
Der EuGH hat in der Rechtssache Bank Melli Iran betont, dass Unternehmen die Beweislast tragen. Sie müssen nachweisen, dass die Geschäftsbeendigung auf legitimen, nicht-sanktionsbedingten Gründen beruht – etwa auf wirtschaftlichen Erwägungen oder veränderten Geschäftsstrategien. Diese Beweislast ist hoch, und Unternehmen sollten jede Entscheidung sorgfältig dokumentieren.
Praktisch bedeutet das: Wenn ein EU-Krypto-Unternehmen vor der Wahl steht, entweder eine Geschäftsbeziehung mit einem Iran-bezogenen Geschäftspartner aufrechtzuerhalten und US-Sekundärsanktionen zu riskieren oder diese zu beenden und gegen die Blocking-Verordnung zu verstoßen, muss es entweder vorab eine Genehmigung nach Artikel 5 Absatz 2 beantragen oder alternative Geschäftsmodelle entwickeln, die beide Rechtsordnungen respektieren.
Welche Rolle spielen nationale Behörden bei der Durchsetzung von EU-Sanktionsrecht im Kryptobereich?
In Deutschland ist das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) die zentrale Behörde für die Durchsetzung von EU-Sanktionsrecht. Das BAFA prüft Verdachtsfälle, verhängt Bußgelder und leitet bei Bedarf strafrechtliche Ermittlungen ein. Parallel dazu ist die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für die Aufsicht über Krypto-Dienstleister zuständig – sie kontrolliert die Einhaltung der MiCA-Vorschriften und der Transfer-of-Funds-Verordnung.
Die nationale Umsetzung von EU-Sanktionsrecht erfolgt in Deutschland über das Außenwirtschaftsgesetz (AWG) und die Außenwirtschaftsverordnung (AWV). Paragraf 18 AWG sieht Freiheitsstrafen bis zu fünf Jahren für Verstöße gegen Sanktionsvorschriften vor – in besonders schweren Fällen bis zu zehn Jahren. Ein besonders schwerer Fall liegt vor, wenn das Unternehmen vorsätzlich handelt, große Mengen an Krypto-Werten transferiert oder wenn die sanktionierten Personen in terroristische Aktivitäten oder schwere Menschenrechtsverletzungen verwickelt sind.
Die EU-Richtlinie 2024/1226 zur Harmonisierung des Sanktionsstrafrechts wurde 2024 verabschiedet und muss bis Ende 2026 in nationales Recht umgesetzt werden. Sie legt Mindeststrafrahmen für Sanktionsverstöße fest und verpflichtet die Mitgliedstaaten, die Haftung von juristischen Personen zu regeln. In Deutschland bedeutet dies, dass Unternehmen für Verstöße ihrer Mitarbeiter haften – selbst wenn die Geschäftsleitung nichts von dem Verstoß wusste, kann das Unternehmen mit Bußgeldern belegt werden, wenn es keine wirksamen Compliance-Strukturen eingerichtet hat.
Die Zusammenarbeit zwischen nationalen Behörden und EU-Institutionen wird durch das European Anti-Money Laundering Authority (AMLA) gestärkt, die ab 2025 ihre Arbeit aufgenommen hat. AMLA koordiniert die Aufsicht über Krypto-Dienstleister in der EU und kann grenzüberschreitende Ermittlungen einleiten. Für EU-Unternehmen bedeutet dies, dass ein Verstoß in einem Mitgliedstaat auch in anderen Mitgliedstaaten Konsequenzen haben kann – etwa wenn die MiCA-Lizenz EU-weit entzogen wird.
FAQ
Was sind sekundäre Sanktionen?
Sekundäre Sanktionen sind extraterritoriale Zwangsmaßnahmen, die nicht nur eigene Staatsangehörige oder Unternehmen betreffen, sondern auch Drittstaatsunternehmen sanktionieren, wenn diese mit sanktionierten Personen oder Ländern Geschäfte tätigen. Sie wirken über das Hoheitsgebiet des sanktionierenden Staates hinaus und verfolgen das Ziel, Dritte zur Einhaltung fremder Sanktionsregime zu zwingen. Die EU hat ein eigenes Sekundärsanktionsregime entwickelt, das parallel zu US-Sekundärsanktionen besteht und Finanzinstitute sowie andere Unternehmen außerhalb der EU erfassen kann.
Wer muss Sekundärsanktionen befolgen?
Primär richten sich Sekundärsanktionen an Unternehmen in Drittstaaten, die mit dem sanktionierenden Staat wirtschaftlich verbunden sind. EU-Unternehmen stehen vor einem Dilemma: Die EU-Blocking-Verordnung (Verordnung (EG
