KONTAKT
IT-Sicherheit-und-Recht.de
  • Blog
  • IT-Compliance Quick-Check
  • DSGVO
  • IT-Sicherheitsgesetz
    • KRITIS & IT-Zulieferer
    • Telemedienanbieter
  • Vorträge
  • Publikationen
  • Anwälte
  • Blog
  • IT-Compliance Quick-Check
  • DSGVO
  • IT-Sicherheitsgesetz
    • KRITIS & IT-Zulieferer
    • Telemedienanbieter
  • Vorträge
  • Publikationen
  • Anwälte
  • EU und IT-Sicherheit, Gesetze und Verordnungen

Verschärfte Ausfuhrbedingungen für Informationstechnologie
 

Am 27. April 2017 ist die nationale Außenwirtschaftsverordnung (AWV) in ihrer geänderten Fassung in Kraft getreten. Auch der Dual-Use-Verordnung („Dual-Use-VO“) der EU stehen höchstwahrscheinlich noch im Jahr 2017 Neuerungen bevor. Beide Regelungswerke betreffen die Ausfuhr von IT-Sicherheitsleistungen.

Hintergrund

Wer Waren aus Deutschland ausführt, hat die Ausfuhrbestimmungen aus AWV, dem Außenwirtschaftsgesetz (AWG) und der Dual-Use-VO einzuhalten. Auch die Ausfuhr von IT-Sicherheitsleistungen (v. a. außerhalb des EU-Raumes) kann genehmigungspflichtig sein. Voraussetzung ist, dass sie als „Dual-Use-Güter“ gelistet sind. Dual-Use-Güter sind solche mit doppeltem Verwendungszweck (vgl. Ausfuhrliste Teil I B  der AWV und Anhang I der Dual-Use-VO).

Ziel der Neuerungen

Insbesondere bei der Dual-Use-VO sieht die EU-Kommission Änderungsbedarf (vgl. Änderungsvorschlag vom 28. September 2016). Gerade im Bereich der Informationstechnologie führt der unterschiedliche Stand des technischer Entwicklungen in den einzelnen Mitgliedstaaten mitunter dazu, dass Exportkontrollen in der Praxis ungleich umgesetzt werden. Die Aktualisierungen sollen aber nicht nur die Angleichung des EU-Binnenmarktes fördern, sondern zudem sicherstellen, dass die EU-Mitgliedsstaaten ihren internationalen Sicherheitsverpflichtungen nachkommen. Eine  restriktivere Ausfuhrhandhabung bestimmter Güter soll verhindern, dass diese zu Menschenrechtsverletzung oder terroristischen Zwecken missbraucht werden können.

Neue Änderungsinhalte

Der neue „Dual-Use-Begriff“ benennt nun ausdrücklich auch Cyber-Überwachungstechnologie, die für Menschenrechtsverletzungen eingesetzt werden kann. Gemeint sind Güter, die besonders dafür konstruiert sind, das unbemerkte Eindringen in Informations- und  Telekommun­ika­tions­systeme zu ermöglichen, um Daten zu überwachen, zu extrahieren, zu  sammeln und zu analysieren und/oder das betreffende System betriebsunfähig zu machen oder zu  beschädigen (Art. 2 Abs. 21 des Änderungsvorschlags).  Dazu zählen z. B. Ausrüstung zum Abhören von mobiler Telekommunikation, Intrusion-Software, Systeme zur rechtmäßigen Überwachung und Vorratsdatenspeicherung sowie digitale Forensik. Auch die „Catch-All-Klausel“ wurde neu gefasst: Eine Ausfuhrgenehmigung soll etwa auch dann erforderlich sein, wenn der Exporteur von der zuständigen Behörde unterrichtet wurde, dass bestimmte Güter für Menschenrechts­verlet­zungen eingesetzt werden können, unabhängig davon, ob sie als Dual-Use-Güter gelistet sind. Gelockerte Ausfuhrbedingungen sind hingegen für Rechner und Technologien erkennbar, die z. B. dem Verbrauchsgüterbereich dienen, etwa aus der Medizintechnologiebranche oder der Autoindustrie.

Aktueller Stand und zukünftige Entwicklung

Den Vorschlag zur neu ausgearbeiteten Dual-Use-VO hat die EU-Kommission bereits dem Europäischen Rat und dem Parlament vorgelegt. Die Bundesregierung hat dazu am 27. Januar 2017 verschiedene Wirtschaftsverbände zu Stellungnahmen aufgefordert. Wie der Europäische Rat und das Parlament im ordentlichen Gesetzgebungsverfahren über den Änderungsvorschlag befinden, bleibt derzeit abzuwarten. Die Verhandlungen werden jedoch voraussichtlich nicht vor Ende 2017 abgeschlossen sein.

Bild: shutterstock.com

HK2

IMPRESSUM | DATENSCHUTZ