Dunkle Wolken bei der Exportcompliance?

Cloudservices: Viele Fragen sind noch ungeklärt
Von Dr. Christoph Torwegge

Beitrag als pdf (Download)

Cloudservices haben sich mittlerweile etabliert: Cloudserviceprovider bieten Public, Private und Hybrid Clouds als Lösungen an, um auch größere Datenmengen auszulagern und ortsunabhängig zur Verfügung zu stellen. Daten und Applikationen (Software as a Service) werden auf externe Server transferiert und von dort in Echtzeit den Nutzern zur Verfügung gestellt. Stehen diese Server im europäischen oder internationalen Ausland, handelt es sich dabei um einen Exportvorgang, der genehmigungspflichtig sein kann. Wer das nicht beachtet, hat strafrechtliche Sanktionen und hohe Bußgelder zu befürchten.

Genehmigungspflichten für den Export von Gütern

Genehmigungspflichten für die grenzüberschreitende Lieferung von Gütern können sich aus verschiedenen internationalen, europäischen und nationalen Regelungen zur Exportkontrolle, namentlich dem US-Exportrecht, der EU-Dual-Use-Verordnung Nr. 428/2009 und dem deutschen Außenwirtschaftsrecht, ergeben. Ausgangspunkt für das Bestehen von Genehmigungspflichten sind grundsätzlich die Ausfuhr und die Verbringung von Gütern.

Als „Güter“ sind dabei nicht nur körperliche Waren, sondern auch Technologie und Datenverarbeitungsprogramme zu verstehen. Technologie ist spezifisches technisches Wissen, das für die Entwicklung, Herstellung oder Verwendung eines Produkts erforderlich ist. Deshalb können auch Technologieunterlagen von den Genehmigungspflichten des Exportkontrollrechts erfasst sein. Software ist dann erfasst, wenn sie besondere kryptographische Funktionen aufweist. Insbesondere zählen dazu:

komplette technische Dokumentationen/Fertigungsunterlagen, wie sie etwa im Rahmen eines Lizenzabkommens dem Lizenznehmer für die Fertigung eines oder mehrerer erfasster Güter zur Verfügung gestellt werden, sowie Teile der Dokumentationen/Fertigungsunterlagen, sofern diese Teile nicht nach der nachfolgenden beispielhaften Aufstellung als nicht erfasst anzusehen sind,

laufende Aktualisierungsmitteilungen im Rahmen des Änderungsdienstes, etwa bei der technischen Fortschreibung von Fertigungsunterlagen,

Blaupausen, Pläne, Diagramme, Formeln, Tabellen, Beschreibungen und Anweisungen in Schriftform oder auf anderen Medien,

Software, die kryptographische Funktionen aufweist.

Upload in die Cloud als Ausfuhrvorgang

Genehmigungspflichten bestehen unabhängig davon, auf welche Weise die Güter in einen anderen Staat gebracht werden. Insbesondere immaterielle Güter, wie Software, können auf Speichermedien oder im Wege der Nutzung elektronischer Medien, per E-Mail oder sonstigem Datentransfer, exportiert werden. Für das Vorliegen einer Ausfuhr kommt es also keineswegs auf die Art der Übermittlung der Technologie oder der Software an.

Der Upload in eine „Cloud“ von Daten, die kontrollierte Technologie oder Software darstellen, ist dann eine Ausfuhr, wenn die Server des Cloudserviceproviders außerhalb der Europäischen Union gelagert werden. Selbst wenn man annähme, dass sich die Cloudservicenutzer dessen bewusst wären, wäre es in der Praxis schwierig, Informationen über den physischen Standort der Server, das Routing der Datenströme, die Sub-Contractor-Situation und vieles mehr im Verantwortungsbereich des Cloudserviceproviders zu erhalten. Cloudserviceprovider speichern Daten auf vielen Servern in verschiedenen Ländern, ohne dass der Cloudservicenutzer dies nachvollziehen kann.

Aber nicht nur der Upload in die Cloud schafft exportrelevante Sachverhalte. Auch das elektronische Bereitstellen kontrollierter Technologie stellt eine Ausfuhr dar. Dafür ist es sogar ausreichend, wenn die Möglichkeit eingeräumt wird, dass von einem Ort außerhalb der Europäischen Union auf kontrollierte Technologie zugegriffen werden kann. Für eine Ausfuhr muss kein Download der kontrollierten Technologie erfolgen; die Möglichkeit des Zugriffs ist ausreichend. Häufig ist eine solche Bereitstellung notwendiger Bestandteil der Zusammenarbeit mit Dritten an gemeinsamen internationalen Entwicklungsprojekten.

Vorsicht auch im Konzern

Die Bereitstellung als Ausfuhrvorgang schafft Herausforderungen auch innerhalb internationaler Konzernstrukturen. Genehmigungspflichtig ist auch das Bereitstellen von Software und Technologie im firmeninternen Intranet oder im Internet, wenn hierdurch der Zugriff auf die Software oder Technologie aus Drittstaaten möglich ist.

Häufiges Beispiel dafür ist die grenzüberschreitende Entwicklung von Software, die kryptographische Funktionen aufweist. Während die Masterversion der zu entwickelnden Software möglicherweise in der Europäischen Union gespeichert ist, arbeitet eine Vielzahl von Entwicklungsteams aus verschiedenen Ländern außerhalb der Europäischen Union an der Entwicklung von einzelnen Programmbestandteilen – die Bestandteile werden von einem zentralen Server aus der Cloud heruntergeladen, dann weiterentwickelt und über ein Versionsverwaltungsprogramm in die Masterversion integriert. Werden dabei auch Softwarebestandteile mit kryptographischen Funktionen grenzüberschreitend transferiert, kann es zu einem Exportvorgang kommen, der genehmigungspflichtig ist.

Bestimmung des Exporteurs schafft Risiken

Unklar ist nach wie vor, wer Ausführer im Sinne der Exportregelungen ist und damit verantwortlich für eine rechtlich einwandfreie Handhabung des Exportvorgangs zeichnet: der Cloudservicenutzer oder der Provider.

Deutsche und EU-Vorschriften dazu setzen voraus, dass eine bewusste Willensentscheidung der Person vorliegt, die den Exportvorgang in Gang setzt. Dies knüpft an den klassischen Exportvorgang an, bei dem typischerweise auf der Grundlage eines Kaufvertrags ein Gut grenzüberschreitend geliefert wird. Bei der Nutzung von Cloudservices schafft dies aber Probleme.

Eine praktische Herangehensweise hat das US-amerikanische Bureau of Industry and Security gewählt. Das Angebot von Cloudservices stelle keinen Export dar, sondern der Nutzer der Cloudservices sei weitestgehend für die Erfüllung exportrelevanter Verpflichtungen verantwortlich. Selbst wenn man diese praktische Herangehensweise zugrunde legte und der Cloudservicenutzer auch Ausführer wäre, stellten sich Folgefragen, die die Situation schwer berechenbar machen. Cloudservicenutzer sollten im Zweifel davon ausgehen, dass sie als Ausführer gelten.

Verstoß gegen die Genehmigungspflichten

Das Außenwirtschaftsgesetz sieht für Ausfuhren ohne eine erforderliche Genehmigung strafrechtliche Sanktionen vor. Außerdem können den Handelnden und den Unternehmen signifikante Bußgelder auferlegt werden. Die Strafbarkeit betrifft nicht nur die Handelnden selbst, sondern auch die Geschäftsführung und den Vorstand der Unternehmen, welche den Verstoß begehen. Verstöße können schließlich ein Verbot der wirtschaftlichen Tätigkeit – im Sinne von Handelsverboten – nach sich ziehen. Die Straf- und Bußgeldnormen sind allerdings auch in dieser unklaren Situation anwendbar.

Empfehlungen für Unternehmen

unternehmensinternes Wissen über die Einordnung ihrer Technologie und Software in das nationale und internationale System der Exportkontrolle aufbauen und gegebenenfalls sensible Technologien und Daten von sonstigen Daten trennen;

Cloudserviceanbieter und deren Verträge insbesondere aus exportkontrollrechtlicher Sicht prüfen;

die Nutzung von Cloudservices spezifizieren, und zwar mit Blick auf Routings, Server-Access, Sub-Contracting, Data-Deletion; Encryption;

die interne Exportkontrollabteilung auf die neuen Anforderungen durch die Nutzung von Cloudservices einstellen, schulen und die internen Prozesse prüfen und anpassen;

vor der Nutzung von Cloudservices das Internal-Compliance-Programm Export anpassen;
die externen und internen Nutzer der Cloudservices kennen und festlegen.

christoph.torwegge@osborneclarke.com