Three Lines of Defense: der Fall Microsoft

von | 11. Februar 2026 | Audit, BIS, ICP, OFAC, Software

Am 6. April 2023 veröffentlichte das U.S. Department of the Treasury ein Enforcement Release zu einem Vergleich zwischen dem Office of Foreign Assets Control (OFAC) und der Microsoft Corporation. Das Unternehmen verpflichtete sich zur Zahlung von 2.980.265,86 USD zur Beilegung potenzieller zivilrechtlicher Haftung wegen Verstößen gegen mehrere US-Sanktionsprogramme. Hinzu kam eine Strafzahlung gegenüber dem Bureau of Industry and Security (BIS) in Höhe von 624.013 USD wegen damit verbundener Verstöße gegen die Export Administration Regulations (EAR). In Anbetracht des OFAC-Vergleichs schrieb das BIS Microsoft 276.382 USD auf den Vergleichsbetrag gut, vorausgesetzt, Microsoft erfüllt seine Verpflichtungen aus der Vergleichsvereinbarung mit dem OFAC.

Höchststrafe 400,6 Mio. USD

Die in dieser Angelegenheit anwendbare zivilrechtliche Höchststrafe beträgt 404.646.121,89 USD. OFAC hat festgestellt, dass Microsoft die offensichtlichen Verstöße freiwillig selbst angezeigt hat und dass die offensichtlichen Verstöße einen nicht schwerwiegenden Fall darstellen.

Dementsprechend beträgt gemäß den OFAC-Enforcement Guidelines (31 C.F.R. part 501, app. A)der in dieser Angelegenheit anwendbare Grundbetrag der zivilrechtlichen Geldstrafe 5.960.531,72 USD.

Der Vergleichsbetrag in Höhe von 2.980.265,86 USD spiegelt die Berücksichtigung der allgemeinen Faktoren gemäß den Durchsetzungsrichtlinien wider.

Der Fall ist ein Lehrstück moderner Sanktionsdurchsetzung – insbesondere im Kontext digitaler Geschäftsmodelle, indirekter Vertriebsstrukturen und unzureichender Endkunden-Transparenz.

Umfang und Struktur der Verstöße

Zwischen Juli 2012 und April 2019 kam es zu insgesamt 1.339 „apparent violations“ der US-Sanktionsvorschriften. Betroffen waren:

  1. Kuba (CACR)
  2. Iran (ITSR)
  3. Syrien (SySR)
  4. Ukraine-/Russland-bezogene Sanktionen (URSR)

Der Gesamttransaktionswert der betroffenen Softwarelizenzen und Dienstleistungen belief sich auf rund 12,1 Mio. USD.

Im Zentrum standen insbesondere Lieferungen bzw. Lizenzaktivierungen zugunsten sanktionierter russischer Unternehmen, darunter zahlreiche SDNs sowie Akteure in der Krim-Region. Parallel zu OFAC führte auch das Bureau of Industry and Security (BIS) ein Verfahren wegen Verstößen gegen die Export Administration Regulations (EAR).

Technischer und organisatorischer Hintergrund

Die Verstöße ereigneten sich im Rahmen eines indirekten Reseller-Modells. Microsoft arbeitete mit Drittvertriebspartnern („Licensing Solution Partners“) zusammen, die Endkundenverträge schlossen, während Lizenzaktivierungen und Serviceleistungen teilweise über US-basierte Server liefen

Entscheidend ist der Compliance-rechtliche Kern des Falls:

Selbst wenn der Vertragsschluss über ausländische Vertriebspartner erfolgt, liegt ein sanktionsrechtlich relevanter US-Bezug vor, wenn

  • Softwareaktivierungen,
  • Lizenzschlüsselverifizierungen oder
  • technische Services

über US-Systeme oder US-Personal abgewickelt werden.

Damit qualifizierten sich die Transaktionen als verbotene Dienstleistungsexporte zugunsten sanktionierter Parteien.

OFAC identifizierte strukturelle ICP-Schwächen

Fehlende Transparenz hinsichtlich der Endkundenidentität: In Volumenlizenzprogrammen erhielt das Unternehmen teils keine vollständigen oder zutreffenden Endkundendaten.

Umgehung interner Kontrollen: In einem Fall nutzten Mitarbeiter der russischen Tochtergesellschaft ein Pseudonym, um eine bereits als SDN identifizierte Gesellschaft erneut als Kunden zu platzieren.

Unzureichende Screening-Architektur:

  • Keine Aggregation vorhandener Kundendaten (Name, Adresse, Steuernummer) über verschiedene Datenbanken hinweg
  • Fehlende Berücksichtigung der 50-Prozent-Rule
  • Keine Erkennung kyrillischer oder chinesischer Namensvarianten
  • Verzögerte Re-Screenings bei SDN-List-Updates

Mangelnde Kontrolle indirekter Vertriebsketten

Diese Faktoren führten dazu, dass über Jahre hinweg Geschäftsbeziehungen mit mehr als 100 sanktionierten Personen oder Unternehmen bestanden.

„Three Lines of Defense“-Modell

Als wesentliche Abhilfemaßnahme implementierte Microsoft ein neues Governance-Modell für die Trade Compliance

1. Vertreidigungslinie: Operative Verantwortung im Vertrieb

Transaktionsverantwortliche tragen die tägliche Compliance-Verantwortung.

2. Verteidigungslinie: Unabhängige Compliance-Überwachung

Legal-, Trade- und High-Risk-Einheiten kontrollieren operativ tätige Bereiche und berichten direkt an das Senior Management.

3. Verteidigungslinie: Interne Revision

Regelmäßige unabhängige Prüfungen (Auditierungen) mit Bericht an die Unternehmensleitung.

OFAC hebt ausdrücklich hervor, dass Governance, Testing und Managementaufsicht zentrale Bewertungsfaktoren im Enforcement-Verfahren sind.

Trade Talk

Dieser Fall wurde von Prof. Schindler in seinem Podcast „Trade Talk – U.S. Export Controls & Sanctions“ besprochen.

Compliance-Lehren für Unternehmen mit internationalem Vertrieb:

Der Fall verdeutlicht mehrere Grundprinzipien moderner Sanktionsdurchsetzung:

  1. Digitale Geschäftsmodelle begründen Exporttatbestände.
  2. US-Server oder US-Personal können einen Sanktionsbezug auslösen.
  3. Reseller-Modelle entbinden nicht von Endkundenprüfungspflichten.
  4. Screening muss sprach- und strukturübergreifend erfolgen.
  5. SDN-List-Updates erfordern sofortige Re-Evaluierung bestehender Kundenbeziehungen.
  6. Governance-Strukturen sind bußgeldrelevant.

Für Unternehmen mit US-Bezug – insbesondere im Software-, Technologie- oder Plattformbereich – stellt der Fall eine deutliche Mahnung dar: Sanktions-Compliance ist kein rein transaktionsbezogener Prüfprozess, sondern eine strukturelle Organisationspflicht.

 

Bei Fragen stehe ich Ihnen gerne zur Verfügung.

Prof. Dr. Darius O. Schindler MBA

Stabelstr. 8 | 76133 Karlsruhe
mail@us-exportrecht.com

Telefon: +49 (0)721 85 140 840