27. November 2023
Eine Grenze irgendwo am äußeren Rand der Europäischen Union. Der Mitarbeiter eines Unternehmens mit Hauptsitz in der EU ist am Weg zu einem Tochterbetrieb in einem Drittstaat. Mit im Gepäck: der Firmenlaptop, das Diensthandy und eine Software - allesamt digitale Produkte also, mit der am Betriebsgelände digitale Überwachsungstätigkeiten durchgeführt werden sollen. Seit 2021 kann eine derartige Dienstreise laut EU-Gesetz problematisch werden, da Genehmigungen im Sinne der Exportkontrolle schlagend werden können. Zumindest dann, wenn es sich um ein unsicheres Drittland handelt. Dabei ist es unerheblich, ob die Software an einen Kunden verkauft wird oder für die Zweigstelle des eigenen Unternehmens gedacht ist und vom eigenen Servicetechniker über die Grenze mitgenommen wird.
Der Hintergrund: Software, die aus dem Internet eingehende Informationen - beispielsweise E-Mails - und die dahinterliegenden Datenpakete, in die jede Mail oder SMS aufgeteilt wird, auf Stichworte hin untersucht, ist zwar ganz normaler Standard. Geprüft wird durch derartige Sicherheitstools an der Schnittstelle zwischen Unternehmen und Internet, ob es eine potenzielle Gefährdung durch Cybercrime gibt, ob dahinter verdächtige Absender stehen und ob die Kommunikation kritisch ist. So weit, so hilfreich für das Unternehmen.
Software-Missbrauch als Risiko
Allerdings kann eine derartige Software auch missbraucht werden, beispielsweise von Staaten ohne Selbstverpflichtung zur Einhaltung der Menschenrechte, um die nationale Kommunikation zu analysieren, also auch, um damit die politische Opposition zu identifizieren. Aus diesem Grund ist die Ausfuhr einer solchen Standard-IT-Sicherheitssoftware in bestimmte kritische Länder untersagt, weil damit ein Missbrauch verhindert werden soll. Auch, wenn sie nur an eine Tochtergesellschaft des eigenen Unternehmens exportiert wird, handelt es sich um einen genehmigungspflichtigen Vorgang. Eine Schwachstelle des Gesetzes: Es gibt keine dezidierte Liste, welche Länder von der Limitierung betroffen sind.
Der "digitale Fuhrpark" muss genehmigt sein
Nicht das einzige Tor für Missverständnisse, das im Bereich der Exportkontrolle weit offensteht. Denn trotz des Grundsatzes des freien Warenverkehrs können bestimmte Software, Verschlüsselungsanwendungen und entsprechende Hardware Genehmigungspflichten auslösen – vor allem, wenn sie an Kunden verkauft werden, aber auch wenn sie überwiegend unternehmensintern für die IT-Infrastruktur beziehungsweise für die Produktentwicklung verwendet werden. „Die damit verbundenen gesetzlichen Risiken bleiben aber häufig unerkannt, da digitale Produkte häufig ohne Trade Compliance-Prozesse grenzüberschreitend bereitgestellt werden“, warnt Dirk Hagemann von Hagemann Trade Compliance Consulting (HTCC). Import- und Exportunternehmen jeder Größe sind daher gezwungen, sich mit der Komplexität des Exportkontrollrechts auseinanderzusetzen und diese Kontrollpflichten in ihre Geschäftsabläufe zu integrieren.
Ein komplexes Feld. Denn zum „digitalen Fuhrpark“ eines Unternehmens gehört jeder Laptop, jedes Handy, jede Betriebssoftware und alles, was zur Netzwerksicherheit beiträgt. Aber auch - wenn man Hersteller von Maschinen, Anlagen und Produkten ist – der gesamte Softwarebereich, der gebraucht wird, um diese Produkte zu konstruieren, herzustellen und zu steuern, sofern diese Produkte in der Dual Use-Verordnung der EU gelistet sind. Darunter fallen Güter mit doppeltem Verwendungszweck, also Waren, Software und Technologie, die aufgrund ihrer technischen Spezifikationen sowohl zivil als auch militärisch verwendet werden können.
Missverständnisse vorprogrammiert: Die Tiefen der gesetzlichen Kontrolle
Auch da bleibt die Grenzziehung aber ein weites Feld für Juristen. Denn eigentlich sind Rechner oder andere Geräte, bei denen Datenspeicherung und -verarbeitung die Hauptfunktionen sind, genehmigungspflichtige Produkte.
Aber: Jeder Computer, jeder Laptop und jedes Smartphone hat als Hauptfunktion Datenspeicherung und Datenverarbeitung. Und jedes dieser Geräte verwendet dafür auch automatisch und immer eine Verschlüsselung. Sind diese Geräte damit genehmigungspflichtige Produkte, wenn sie grenzüberschreitend verwendet werden? Alltagsübliche Businesslaptops und -handys sind frei von Kontrolle, sagt Hagemann, verweist aber auf den Ansatz des Gesetzgebers, wenn es um Kryptografie geht: Hier ist Software zwar bis zu einem gewissen Punkt frei, ab einem gewissen Verschlüsselungsgrad gibt es aber Kontrollen. Denn aus Sicht der Exportkontrolle ist der nur maschinenlesbare Objektcode immer etwas kritischer zu betrachten als der Quellcode (der von Programmierern gelesen werden kann). Daher ist eine Produkt-Software, die nur im Objektcode vorliegt, genehmigungspflichtig. „Hier entstehen bei der Exportkontrolle viele Missverständnisse“, so Hagemann beim Compliance Solution Day, „weil sich nur wenige mit den Tiefen der gesetzlichen Kontrolle auseinandersetzen.“
Autoren
Mag. Klaus Höfler
Mag. Klaus Höfler ist Journalist. Nach Stationen bei den Tageszeitungen "Die Presse" und "Kleine Zeitung" schreibt der mehrfach ausgezeichnete Grazer ("Steirischer Journalist des Jahres", "Inge-Mor...