Navigation
Seiteninhalt
Bestimmte digitale Produkte wie Hardware, Software und Verschlüsselungsanwendungen unterliegen der Exportkontrolle. Die Grenzen der Kontrollpflicht sind aber nicht immer scharf definiert. Damit bleiben häufig auch die gesetzlichen Risiken bzw. Compliance-Verpflichtungen unerkannt.
Von Mag. Klaus Höfler
27. November 2023

Eine Grenze irgendwo am äußeren Rand der Europäischen Union. Der Mitarbeiter eines Unternehmens mit Hauptsitz in der EU ist am Weg zu einem Tochterbetrieb in einem Drittstaat. Mit im Gepäck: der Firmenlaptop, das Diensthandy und eine Software - allesamt digitale Produkte also, mit der am Betriebsgelände digitale Überwachsungstätigkeiten durchgeführt werden sollen. Seit 2021 kann eine derartige Dienstreise laut EU-Gesetz problematisch werden, da Genehmigungen im Sinne der Exportkontrolle schlagend werden können. Zumindest dann, wenn es sich um ein unsicheres Drittland handelt. Dabei ist es unerheblich, ob die Software an einen Kunden verkauft wird oder für die Zweigstelle des eigenen Unternehmens gedacht ist und vom eigenen Servicetechniker über die Grenze mitgenommen wird.

Der Hintergrund: Software, die aus dem Internet eingehende Informationen - beispielsweise E-Mails -  und die dahinterliegenden Datenpakete, in die jede Mail oder SMS aufgeteilt wird, auf Stichworte hin untersucht, ist zwar ganz normaler Standard. Geprüft wird durch derartige Sicherheitstools an der Schnittstelle zwischen Unternehmen und Internet, ob es eine potenzielle Gefährdung durch Cybercrime gibt, ob dahinter verdächtige Absender stehen und ob die Kommunikation kritisch ist. So weit, so hilfreich für das Unternehmen.

Software-Missbrauch als Risiko

Allerdings kann eine derartige Software auch missbraucht werden, beispielsweise von Staaten ohne Selbstverpflichtung zur Einhaltung der Menschenrechte, um die nationale Kommunikation zu analysieren, also auch, um damit die politische Opposition zu identifizieren. Aus diesem Grund ist die Ausfuhr einer solchen Standard-IT-Sicherheitssoftware in bestimmte kritische Länder untersagt, weil damit ein Missbrauch verhindert werden soll. Auch, wenn sie nur an eine Tochtergesellschaft des eigenen Unternehmens exportiert wird, handelt es sich um einen genehmigungspflichtigen Vorgang. Eine Schwachstelle des Gesetzes: Es gibt keine dezidierte Liste, welche Länder von der Limitierung betroffen sind.

Der "digitale Fuhrpark" muss genehmigt sein

Nicht das einzige Tor für Missverständnisse, das im Bereich der Exportkontrolle weit offensteht. Denn trotz des Grundsatzes des freien Warenverkehrs können bestimmte Software, Verschlüsselungsanwendungen und entsprechende Hardware Genehmigungspflichten auslösen – vor allem, wenn sie an Kunden verkauft werden, aber auch wenn sie überwiegend unternehmensintern für die IT-Infrastruktur beziehungsweise für die Produktentwicklung verwendet werden. „Die damit verbundenen gesetzlichen Risiken bleiben aber häufig unerkannt, da digitale Produkte häufig ohne Trade Compliance-Prozesse grenzüberschreitend bereitgestellt werden“, warnt Dirk Hagemann von Hagemann Trade Compliance Consulting (HTCC). Import- und Exportunternehmen jeder Größe sind daher gezwungen, sich mit der Komplexität des Exportkontrollrechts auseinanderzusetzen und diese Kontrollpflichten in ihre Geschäftsabläufe zu integrieren.

Ein komplexes Feld. Denn zum „digitalen Fuhrpark“ eines Unternehmens gehört jeder Laptop, jedes Handy, jede Betriebssoftware und alles, was zur Netzwerksicherheit beiträgt. Aber auch - wenn man Hersteller von Maschinen, Anlagen und Produkten ist – der gesamte Softwarebereich, der gebraucht wird, um diese Produkte zu konstruieren, herzustellen und zu steuern, sofern diese Produkte in der Dual Use-Verordnung der EU gelistet sind. Darunter fallen Güter mit doppeltem Verwendungszweck, also Waren, Software und Technologie, die aufgrund ihrer technischen Spezifikationen sowohl zivil als auch militärisch verwendet werden können.

Missverständnisse vorprogrammiert: Die Tiefen der gesetzlichen Kontrolle

Auch da bleibt die Grenzziehung aber ein weites Feld für Juristen. Denn eigentlich sind Rechner oder andere Geräte, bei denen Datenspeicherung und -verarbeitung die Hauptfunktionen sind, genehmigungspflichtige Produkte.
Aber: Jeder Computer, jeder Laptop und jedes Smartphone hat als Hauptfunktion Datenspeicherung und Datenverarbeitung. Und jedes dieser Geräte verwendet dafür auch automatisch und immer eine Verschlüsselung. Sind diese Geräte damit genehmigungspflichtige Produkte, wenn sie grenzüberschreitend verwendet werden? Alltagsübliche Businesslaptops und -handys sind frei von Kontrolle, sagt Hagemann, verweist aber auf den Ansatz des Gesetzgebers, wenn es um Kryptografie geht: Hier ist Software zwar bis zu einem gewissen Punkt frei, ab einem gewissen Verschlüsselungsgrad gibt es aber Kontrollen. Denn aus Sicht der Exportkontrolle ist der nur maschinenlesbare Objektcode immer etwas kritischer zu betrachten als der Quellcode (der von Programmierern gelesen werden kann). Daher ist eine Produkt-Software, die nur im Objektcode vorliegt, genehmigungspflichtig. „Hier entstehen bei der Exportkontrolle viele Missverständnisse“, so Hagemann beim Compliance Solution Day, „weil sich nur wenige mit den Tiefen der gesetzlichen Kontrolle auseinandersetzen.“


Autoren

{"uuid":"e92f1a553be84a27a54a236214ed3627","username":"49c0781a-11e0-4033-81d1-adeea09fc1a6","firstname":"Klaus","lastname":"Höfler","emailAddress":"klaus.hoefler@gmx.at","created":"2023-12-04T22:26:56.108Z","edited":"2023-12-20T10:06:25.803Z","jobposition":"Autor","fullname":"Mag. Klaus Höfler","salutation":"Herr","pretitle":"Mag.","posttitle":"","companyname":"COPE","premium":true,"premiumtrialend":"2023-11-07T15:41:03.007Z","telephone":"0664/75079103","vita":"Mag. Klaus Höfler ist Journalist. Nach Stationen bei den Tageszeitungen \"Die Presse\" und \"Kleine Zeitung\" schreibt der mehrfach ausgezeichnete Grazer (\"Steirischer Journalist des Jahres\", \"Inge-Morath-Preisträger\") und Autor (\"Ho(h)les Haus - Zitate aus Nationalratssitzungen\") heute für deutschsprachige Zeitungen, Zeitschriften und Magazine, schwerpunktmäßig über Wirtschaftsthemen.","jet_abo":"902004470","open":true,"profilephoto":{"uuid":"b26eef7c9bd14113b36eab28885e44a3","path":"/439_KlausHoefler.jpg","fields":{"name":"Klaus Hoefler","description":"Privat"}},"path":"https://www.compliance-praxis.at/Insider/Menschen/Person.html?pid=e92f1a553be84a27a54a236214ed3627"}
Klaus Hoefler

Mag. Klaus Höfler

Mag. Klaus Höfler ist Journalist. Nach Stationen bei den Tageszeitungen "Die Presse" und "Kleine Zeitung" schreibt der mehrfach ausgezeichnete Grazer ("Steirischer Journalist des Jahres", "Inge-Mor...

{"name":"Wenn digitale Produkte auf Reisen gehen","contenttype":"text/html","templateName":"content-page","headmeta":"<meta charset=\"utf-8\">\n<meta http-equiv=\"X-UA-Compatible\" content=\"IE=edge\">\n<meta name=\"viewport\" content=\"width=device-width, initial-scale=1\">\n\n\n\n\n\n <title>Wenn digitale Produkte auf Reisen gehen</title>\n \n <meta name=\"keywords\" content=\"Exportkontrolle, EU, IT Compliance, Cybersecurity, digitale Produkte, digitale Dienstleitungen\"/>\n\n <meta name=\"description\" content=\"Digitale Produkte unterliegen der Exportkontrolle: Ein spannendes Feld in Sachen IT Compliance.\"/>\n\n <meta property=\"og:image\" content=\"/AdobeStock_662108973_-PicDY.jpeg\"/>\n <meta property=\"og:image:height\" content=\"3510\"/>\n <meta property=\"og:image:width\" content=\"9360\"/>\n <meta property=\"og:title\" content=\"Wenn digitale Produkte auf Reisen gehen\"/>\n <meta property=\"og:site_name\" content=\"CompliancePraxis\"/>\n <meta property=\"og:url\" content=\"/Themen/Digitalisierung_IT/Aktuell/Wenn-digitale-Produkte-auf-Reisen-gehen.html\"/>\n <meta property=\"og:type\" content=\"website\"/>\n <meta property=\"og:locale\" content=\"de_DE\">\n <meta property=\"og:description\" content=\"Digitale Produkte unterliegen der Exportkontrolle: Ein spannendes Feld in Sachen IT Compliance.\"/>\n","title":"Wenn digitale Produkte auf Reisen gehen","teaser":"Bestimmte digitale Produkte wie Hardware, Software und Verschlüsselungsanwendungen unterliegen der Exportkontrolle. Die Grenzen der Kontrollpflicht sind aber nicht immer scharf definiert. Damit bleiben häufig auch die gesetzlichen Risiken bzw. Compliance-Verpflichtungen unerkannt.","pagecontent":"<p class=\"\">Eine Grenze irgendwo am äußeren Rand der Europäischen Union. Der Mitarbeiter eines Unternehmens mit Hauptsitz in der EU ist am Weg zu einem Tochterbetrieb in einem Drittstaat. Mit im Gepäck: der Firmenlaptop, das Diensthandy und eine Software - allesamt digitale Produkte also, mit der am Betriebsgelände digitale Überwachsungstätigkeiten durchgeführt werden sollen. Seit 2021 kann eine derartige Dienstreise laut EU-Gesetz problematisch werden, da Genehmigungen im Sinne der Exportkontrolle schlagend werden können. Zumindest dann, wenn es sich um ein unsicheres Drittland handelt. Dabei ist es unerheblich, ob die Software an einen Kunden verkauft wird oder für die Zweigstelle des eigenen Unternehmens gedacht ist und vom eigenen Servicetechniker über die Grenze mitgenommen wird.</p><p style=\"\">Der Hintergrund: Software, die aus dem Internet eingehende Informationen - beispielsweise E-Mails -&nbsp; und die dahinterliegenden Datenpakete, in die jede Mail oder SMS aufgeteilt wird, auf Stichworte hin untersucht, ist zwar ganz normaler Standard. Geprüft wird durch derartige Sicherheitstools an der Schnittstelle zwischen Unternehmen und Internet, ob es eine potenzielle Gefährdung durch Cybercrime gibt, ob dahinter verdächtige Absender stehen und ob die Kommunikation kritisch ist. So weit, so hilfreich für das Unternehmen.</p><p style=\"\"><b>Software-Missbrauch als Risiko</b></p><p class=\"\">Allerdings kann eine derartige Software auch missbraucht werden, beispielsweise von Staaten ohne Selbstverpflichtung zur Einhaltung der Menschenrechte, um die nationale Kommunikation zu analysieren, also auch, um damit die politische Opposition zu identifizieren. Aus diesem Grund ist die Ausfuhr einer solchen Standard-IT-Sicherheitssoftware in bestimmte kritische Länder untersagt, weil damit ein Missbrauch verhindert werden soll. Auch, wenn sie nur an eine Tochtergesellschaft des eigenen Unternehmens exportiert wird, handelt es sich um einen genehmigungspflichtigen Vorgang. Eine Schwachstelle des Gesetzes: Es gibt keine dezidierte Liste, welche Länder von der Limitierung betroffen sind.</p><p class=\"\"><b>Der \"digitale Fuhrpark\" muss genehmigt sein</b></p><p class=\"\">Nicht das einzige Tor für Missverständnisse, das im Bereich der Exportkontrolle weit offensteht. Denn trotz des Grundsatzes des freien Warenverkehrs können bestimmte Software, Verschlüsselungsanwendungen und entsprechende Hardware Genehmigungspflichten auslösen – vor allem, wenn sie an Kunden verkauft werden, aber auch wenn sie überwiegend unternehmensintern für die IT-Infrastruktur beziehungsweise für die Produktentwicklung verwendet werden. „Die damit verbundenen gesetzlichen Risiken bleiben aber häufig unerkannt, da digitale Produkte häufig ohne Trade Compliance-Prozesse grenzüberschreitend bereitgestellt werden“, warnt Dirk Hagemann von Hagemann Trade Compliance Consulting (HTCC). Import- und Exportunternehmen jeder Größe sind daher gezwungen, sich mit der Komplexität des Exportkontrollrechts auseinanderzusetzen und diese Kontrollpflichten in ihre Geschäftsabläufe zu integrieren.</p><p class=\"\">Ein komplexes Feld. Denn zum „digitalen Fuhrpark“ eines Unternehmens gehört jeder Laptop, jedes Handy, jede Betriebssoftware und alles, was zur Netzwerksicherheit beiträgt. Aber auch - wenn man Hersteller von Maschinen, Anlagen und Produkten ist – der gesamte Softwarebereich, der gebraucht wird, um diese Produkte zu konstruieren, herzustellen und zu steuern, sofern diese Produkte in der Dual Use-Verordnung der EU gelistet sind. Darunter fallen Güter mit doppeltem Verwendungszweck, also Waren, Software und Technologie, die aufgrund ihrer technischen Spezifikationen sowohl zivil als auch militärisch verwendet werden können.</p><p class=\"\"><b>Missverständnisse vorprogrammiert: Die Tiefen der gesetzlichen Kontrolle</b></p><p class=\"\" style=\"\">Auch da bleibt die Grenzziehung aber ein weites Feld für Juristen. Denn eigentlich sind Rechner oder andere Geräte, bei denen Datenspeicherung und -verarbeitung die Hauptfunktionen sind, genehmigungspflichtige Produkte. <br>Aber: Jeder Computer, jeder Laptop und jedes Smartphone hat als Hauptfunktion Datenspeicherung und Datenverarbeitung. Und jedes dieser Geräte verwendet dafür auch automatisch und immer eine Verschlüsselung. Sind diese Geräte damit genehmigungspflichtige Produkte, wenn sie grenzüberschreitend verwendet werden? Alltagsübliche Businesslaptops und -handys sind frei von Kontrolle, sagt Hagemann, verweist aber auf den Ansatz des Gesetzgebers, wenn es um Kryptografie geht: Hier ist Software zwar bis zu einem gewissen Punkt frei, ab einem gewissen Verschlüsselungsgrad gibt es aber Kontrollen. Denn aus Sicht der Exportkontrolle ist der nur maschinenlesbare Objektcode immer etwas kritischer zu betrachten als der Quellcode (der von Programmierern gelesen werden kann). Daher ist eine Produkt-Software, die nur im Objektcode vorliegt, genehmigungspflichtig. „Hier entstehen bei der Exportkontrolle viele Missverständnisse“, so Hagemann beim Compliance Solution Day, „weil sich nur wenige mit den Tiefen der gesetzlichen Kontrolle auseinandersetzen.“</p><p style=\"\"><br style=\"\"></p>","sidecolumn":null,"storiesmain":null,"storiesoverview":null,"headerimage":"<div class=\"card content-teaser clearfix \">\n <img src=\"/AdobeStock_662108973_-PicDY.jpeg\" class=\"card-img\" alt=\"Digitale Produkte unterliegen der Exportkontrolle, © Adobe Stock PicDY\">\n <div class=\"\">\n <div class=\"card-img-overlay\" title=\"© Adobe Stock PicDY\">\n <div class=\"card-header bg-white rounded-0 border-0 col-12 col-sm-11 col-md-8 col-lg-6\">\n <h1 class=\"card-title color-black\">Wenn digitale Produkte auf Reisen gehen</h1>\n </div>\n </div>\n </div>\n</div>\n","headertitle":"","stoerercontainer":null,"stoerercontainer2":null,"stoererwerbebanner":"","insiderheads":null,"overviewunternehmenimage":null,"overviewunternehmentitle":null,"buttonviewall1":null,"buttonviewall2":null,"superelement":null,"topstory":null,"netzwerkpartnerlogoleiste":"","metadata":"<div class=\"info\"><eval>>partials/themes-startpage/newsauthors data=(renderNewsAuthors \"561:klaus.hoefler@gmx.at\" userinfo)</eval>\n<br>27. November 2023</div>","footnotes":"<div class=\"footnote v-spacer footnote-editor-preview d-none\"></div>\n","eventsmain":null,"eventsoverview":null,"eventsoverviewjson":null,"event":"","eventdates":"","footer":"<footer class=\"d-flex flex-column flex-xl-row\">\n\t<span class=\"sr-only\">Footer</span>\n\t<ul class=\"nav footer-nav flex-row pb-4 pb-xl-0 w-100\" id=\"footernavigation\" role=\"navigation\">\n\t\t\t\t\t\t\t</ul>\n\t<div class=\"copyright flex-md-shrink-1 text-left text-md-right\">\n\t\t\t\t<img src=\"/static/compliance_praxis/files/images/LexisNexis.png\" alt=\"LexisNexis\">\n\t\t<p></p>\t</div>\n</footer>\n","footerglobal":"<eval>{cpConfigLoader \"global\" \"footer\"}</eval>","footerjson":null,"onetrust":null,"ogimagefallback":null,"ogimagefallbackheight":null,"ogimagefallbackwidth":null,"cpcouponlist":null,"taggedthemes":["IT-Compliance","Handel"],"taggedcategories":["Digitalisierung & IT"],"taggedorganizers":[],"taggedexhibitors":[],"taggedlecturers":[],"taggedmoderators":[],"taggedparticipants":[],"taggedauthors":["561:klaus.hoefler@gmx.at"],"taggedmagazine":[],"taggedmagazinepage":"","taggedadvertorial":[],"taggingcontainer":null,"authorsdetails":"<div><eval>>partials/content-page/authorsdetails</eval></div>","participantsdetails":null,"contactsdetails":null,"portalapp":"cpshop,cprelatedarticles,","sidecolumninsider":null,"sidecolumnthemen":null,"sidecolumnevents":null,"sidecolumnglobal":"\t<eval>{cpConfigLoader \"stoerer\" \"sidecolumnthemen\"}</eval>\n\t\t\t\t\t\t<eval>> partials/applications/cprelatedarticles applicationtag=\"cprelatedarticles\"</eval>\n\t\t\t","sidecolumntop":"<div class=\"row\"></div>","sidecolumnbottom":"<div class=\"row\"></div>","premium":null,"oecov":null,"textimage":null,"upcompanytaggedevents":null,"upcompanyadvertorialarticles":null,"personprofile":null,"cms_id":12146,"usermodule":null,"cpuseraccount":null,"meshroles":["anonymous"],"taggingusers":null,"magentoshopapp":"\n"}