Die EU-Kommission hat am 28. September 2016 einen Vorschlag für eine Neufassung der Dual-Use-Verordnung veröffentlicht ­(Verordnungsvorschlag 2016/0295). Der VO-Entwurf zielt vor allem auf eine schärfere Kontrolle von Exporten von Überwachungssoftware und -technik sowie von technischen Unterstützungen und Dienstleistungen, die zur „internen Repression im Zielland“ genutzt werden können. Was bedeutet dies für Exporteure?

Beitrag in der Gesamtausgabe (PDF)

Schutz der Menschenrechte

In der Vergangenheit ist europäische Überwachungssoftware u.a. an autoritäre Regime in Ägypten, Uganda und Äthiopien verkauft worden, wo sie auch zur Unterdrückung von Oppositionsgruppen und Menschenrechtsaktivisten eingesetzt wurde. Aufgrund öffentlichen Drucks soll der Export von Spähprogrammen nun stärker reglementiert werden. Dazu gehören u.a. Geräte und Software zum Abhören von Mobiltelefonen, zur Infiltrierung von Computern („Trojaner“), zur Umgehung von Passwörtern sowie zur Identifizierung von Internetnutzern, Programme für Funkzellenauswertungen, Data-Mining-Software, Datenbanksysteme, die Beziehungen zwischen Menschen analysieren, und Sicherheitstechnologien, die in intelligenten Verkehrslenkungssystemen angewandt werden.

Der Vorschlag der EU-Kommission bedeutet, dass Mitgliedstaaten die Gefahr für Menschenrechte beurteilen müssen, bevor sie ein breites Spektrum an Überwachungstechnologien zum Export autorisieren. Ferner sollen zukünftig alle Mitgliedstaaten Informationen über die von ihnen genehmigten Exporte untereinander teilen.

Erweiterte Catch-all Klausel

Der VO-Entwurf sieht außerdem einen Paradigmenwechsel vor. Zukünftig ist nicht nur fehlbar, wer wissentlich gegen Exportkontrollen verstößt, sondern auch, wer bei Anwendung bestehender Sorgfaltspflichten Kenntnis darüber hat, dass die Güter und Technologien zur Verletzung von Menschenrechten bestimmt sind oder bestimmt sein können. Das bedeutet, ein Unternehmen oder sein Mitarbeiter machen sich strafbar, wenn sie mit der notwendigen Sorgfalt hätten wissen müssen, dass sie Exportkontrollregeln (dann auch in Bezug auf Menschenrechtsverletzungen) nicht einhalten.

Neuer Güteranhang

Der VO-Entwurf soll die VO (EG) Nr. 428/2009 ersetzen. Dem erweiterten Begriff „Dual-Use-Güter“ entsprechend, wird ein neuer genehmigungspflichtiger Güteranhang geschaffen. Die in Art. 2 Nr. 1b) definierten Güter werden in Anhang I Abschnitt B „Liste Andere Güter mit doppeltem Verwendungszweck“ aufgeführt. Dazu wird ihnen die neue Kategorie 10 „Andere Güter der Technologie für digitale Überwachung“ zugewiesen. Gemäß Art. 16 der neuen VO soll dieser neue Anhang I Abschnitt B als Delegierter Akt durch die Kommission erlassen und wie bei Güterlisten üblich regelmäßig ergänzt und angepasst werden.

Begriffserweiterung Ausführer

Der VO-Entwurf erweitert außerdem den Begriff des Ausführers. Bisher ist Ausführer im Sinn der Dual-Use-VO die Person, für die eine Ausfuhranmeldung abgegeben wird. Außerdem gilt als Ausführer, wer entscheidet, Software oder Technologie elektronisch an Empfänger außerhalb der EU zu übertragen oder für diese bereitzustellen. Neu gemäß Art. 2 Nr. 3 ist Ausführer jede natürlich Person, welche die zur Ausfuhr bestimmten Waren im persönlichen Gepäck befördert.

Zu wenig Rechtssicherheit

Der Vorschlag der Kommission wird von zahlreichen Industrie- und Interessenverbänden in Europa kritisiert. Unter anderem wird moniert, dass bereits bestehende Exportkontrollregeln in den EU-Mitgliedstaaten nicht gleichmäßig um- und durchgesetzt werden. Es fehle an einem einheitlichen respektive vergleichbaren Kontrollniveau in der EU.

Die im Kommissionsvorschlag verwendeten Begriffe (interne Repression im Zielland, schwerwiegende Verletzungen der Menschenrechte, Cyberwaffen, Cyber- Surveillance-Technology, Intrusion-Software etc.) seien zu schwammig und würden unterschiedlichen rechtlichen Interpretationen in den Mitgliedstaaten Vorschub leisten.

Die Rechtsunsicherheit werde Forschung und Entwicklung im Bereich Cyber-Security sowie intelligenter Infrastrukturen (intelligente Energie-, Wasser- und Gasversorgung, intelligente Verkehrskonzepte, industrieller Anlagenbau und E-Health)  behindern. In allen diesen Bereichen wird Sicherheits- und Überwachungstechnologie zur Datenanalyse, Steuerung und Ferndiagnose eingesetzt. Aber auch After-Sales-Services und Reparaturen per Ferndiagnose seien betroffen. Die Wettbewerbsfähigkeit der europäischen Industrie sei gefährdet. Zudem müsste bei den nationalen Genehmigungsbehörden und Ämtern das Fachpersonal aufgestockt werden, um eine zügige Genehmigungspraxis zu gewährleisten.

Manche fragen sogar, ob die Vorschläge vielleicht die Schaffung eines gemeinsamen digitalen Marktes (Digital Single Market) sowie die Digitalisierung der Zollsysteme und Exportkontrollen in Europa nicht  behinderten, statt sie zu fördern. Fraglich bleibt außerdem, ob mit dieser Neuregelung den Menschenrechten wirklich ein Dienst erwiesen wird.

Bestehende internationale Gesetze – aber wo bleibt Europa?

Seit Ende 2013 ist Software zur Angriffserkennung (Intrusion-Software) Bestandteil der regulierten Güter im Rahmen des Abkommens zur Exportkontrolle von konventionellen Waffen und doppelverwendungsfähigen Gütern und Technologien (Wassenaar-Abkommen). Diesem sind mittlerweile 41 Staaten beigetreten. Es wurde 1996 als Ersatz für das aus den Zeiten des Kalten Kriegs stammende COCOM-Abkommen verabschiedet. Ziele waren die Regulierung des Handels sowie die Eingrenzung der Verbreitung konventioneller Rüstungsgüter. 2009 wurde das Regelwerk um den Bereich der Dual-Use-Güter erweitert.

Die Umsetzung des Abkommens liegt in der Verantwortung jedes Mitgliedstaates, der unabhängig entscheidet und eigenständig Kontrollziele, Verfahren und Prioritäten definiert. Damit fehlt dem Abkommen eine rechtliche Verbindlichkeit. Die unterschiedlichen nationalen Regelungen bilden keine einheitliche Bewertungs- und Rechtsgrundlage.

Die Kontrollkriterien unterscheiden sich je nach Zielland eines geplanten Exports. Exporte in EU-Mitgliedstaaten, NATO-Staaten oder Staaten mit einem ähnlichen Status werden generell genehmigt, sofern nicht besondere politische Gründe dagegen sprechen. Exporte in andere Staaten werden grundsätzlich in Frage gestellt und mit Blick auf den potentiellen Käufer, den möglichen offenen und versteckten Einsatzzweck sowie die politische Lage und Stabilität im Zielland geprüft.

Fokus Sicherheitspolitik

Seit der Entdeckung der Schadsoftware Stuxnet ist der Cyberspace in den Fokus der internationalen Sicherheitspolitik gerückt. Während Staaten zunehmend die neue Domäne in ihre Sicherheits- und Militärdoktrinen aufnehmen, verdeutlichen Vorkommnisse wie der Sony- oder Maersk-Hack die Verwundbarkeit von IT-Systemen in allen Wirtschaftsbereichen und die mangelnden Vorkehrungen in Unternehmen im Bereich Cyber-Security. Internationale Bemühungen um die Etablierung verbindlicher Regeln für das staatliche und militärische Agieren im Cyberspace werden durch ein fehlendes gemeinschaftlich akzeptiertes Verständnis des Themas oder der Definition von Begrifflichkeiten erschwert.

Prozesse automatisieren, um neue Herausforderungen zu meistern

Die Neuausrichtung der EU-Dual-Use-Verordnung zeigt, dass mit der zunehmenden Globalisierung und Digitalisierung der Wirtschaft die Komplexität des Außenhandels und die rechtlichen Anforderungen an die Unternehmen stetig stark ansteigen. Softwarelösungen können die firmeninterne Exportkontrolle und alle neuen Compliancemaßnahmen zur Berücksichtigung der EU-Dual-Use-VO, automatisieren. Somit werden notwendige Genehmigungen für Exporte neuer Cybertechnologie automatisch rechtzeitig angezeigt, Lizenzen online gemanagt und Prozesse klar und logisch abgebildet, die sich problemlos rückverfolgen lassen.

Fazit

Die Dual-Use-Verordnung in der EU soll zum Schutz von Menschenrechten erweitert und verschärft werden. Neu unterliegen auch Exporte von Cyberüberwachungstechnologien, die bei Menschenrechtsverletzungen eingesetzt werden, einer Genehmigung. Die neue VO zwingt Behörden zu vielen Einzelprüfungen mit sensiblen politischen Bewertungen. Hier könnte es zu Engpässen kommen.

arnemielken@amberroad.com

Aktuelle Beiträge