Informationen und technische Daten sind aus Sicht der Exportkontrolle oft noch sensibler als physische Werkstoffe, Komponenten und Produkte. Doch der Umgang mit Daten ist in Zeiten unübersehbarer Bestände und einfacher Übertragungsmöglichkeiten anfällig für eine ungewollte Verbreitung, die auch noch strafrechtliche Konsequenzen nach sich ziehen kann. Auch die Export­verantwortlichen sind hier zu großer Wachsamkeit aufgefordert.

Von Stephan Müller, Rechtsanwalt, Oppenhoff & Partner

Serverstandort wählen

In vielen international agierenden Unternehmen stellt sich für die IT-Verantwortlichen häufig die Frage nach dem optimalen Standort des IT-Servers. Hierfür kann es unterschiedliche Gründe geben. Einer der Gründe, die man häufiger findet, ist die Einsparung von Kosten durch die Verlagerung an Standorte mit geringeren Kosten für Personal, Räumlichkeiten, Serviceleistungen etc. Ein anderer Grund kann in dem Wunsch begründet sein, dass IT-Department schlanker aufzustellen und deshalb Serverstandorte zusammenzulegen und sich auf diese Weise auf nur wenige oder sogar nur einen Serverstandort zu beschränken.

Zudem kann es durch die Konzentration auf einen oder wenige Serverstandorte einfacher werden, einheitliche Standards im Unternehmen einzuführen und durchzusetzen (z.B. im Bereich SPAM-Filter). Schließlich kommt es vor, dass Muttergesellschaften – ob offen oder unausgesprochen – zur besseren Kontrolle ihrer Tochterunternehmen deren Serverstandorte an sich ziehen.

Exportkontrolle beachten

Während bei den Planungen für die Ver­lagerung eines Serverstandortes in der Regel – aber auch nicht immer – auf datenschutz- und steuerrechtliche Compliance geachtet wird, werden nicht selten Fragen der Exportkontrolle nicht oder nicht rechtzeitig berücksichtigt, und tatsächlich ist nicht jedes Unternehmen von den exportkontrollrechtlichen Aspekten einer Verlagerung des Serverstandortes berührt. Diese Fragen stellen sich vor allem für solche Unternehmen, die Dokumente in elektronischer Form auf ihren Servern bereitstellen, die exportkontrollrechtlich als Technologie zu qualifizieren sind, die also entweder Dual-Use-Charakter haben oder sogar als Technologie für Rüstungsgüter zu klassifizieren sind. Der richtige Umgang mit dem Thema Verlagerung des Serverstandortes setzt also zunächst voraus, dass das betreffende Unternehmen seinen exportkontrollrechtlichen Status korrekt analysiert hat. Das ist ein Grundproblem der exportkontrollrechtlichen Compliance und soll hier nicht weiter vertieft werden.

Nachfolgend sollen – ohne Anspruch auf Vollständigkeit – einige exportkontrollrechtliche Aspekte und Szenarien hervorgehoben werden, die bei der Planung einer Verlagerung eines Servers berück-sichtigt werden sollten:

Aufspielen der Dokumente auf den “neuen” Server

Zunächst ist festzuhalten, dass die Verlagerung der auf dem Server am bisherigen Standort gespeicherten Dokumente in ein drittes Land als Export von Technologie zu qualifizieren ist. Dass dazu nicht physische, also ausgedruckte, Dokumente bewegt werden müssen, spielt keine Rolle. Dies ergibt sich aus den einschlägigen rechtlichen Bestimmungen; z.B. Art. Nr. 2 lit. ii der EG-Dual-Use-Verordnung 428/2009), der den Begriff „Ausfuhr“ (vereinfacht) so definiert, dass auch die Übertragung von Technologie, also insbesondere technischen Dokumenten, mittels elektronischer Medien davon erfasst wird. Die Versendung einer Diskette, auf der entsprechende Informationen gespeichert sind, oder einer E-Mail mit Anlage ist ebenfalls erfasst.

Für die weitere exportkontrollrechtliche Bewertung kommt es nun darauf an, ob es sich um Dual-Use- oder Rüstungstechnologiedaten handelt. Im Fall von Technologie für Rüstungsgüter sind auch schon Verlagerungen innerhalb der EU exportkontrollrechtlich relevant. Bei Dual-Use-Gütern sind Verlagerungen in Drittländer im Blick zu behalten. Nicht selten, insbesondere bei kostenmotivierten Verlagerungen, wird Ziel der Verlagerung ein Staat im Fernen Osten oder in Osteuropa sein. Hier wären also auch keine exportkontrollrechtlichen Privilegien, wie etwa im Anhang II der Dual-Use-Güterliste vorgesehen, zu nutzen. In diesen Situationen bedarf die Verlagerung des Servers bzw. in der Folge das Ablegen exportkontrollrechtlich relevanter Technologie auf dem Server einer Ausfuhrgenehmigung.

In diesem Zusammenhang ist zu beachten, dass den Anforderungen des Exportkontrollrechtes nicht ohne weiteres mit einer einmaligen Genehmigung Genüge getan ist. In den meisten Unternehmen werden fortlaufend neue Technologiedaten entwickelt. Jeder Vorgang des Ablegens dieser Technologiedaten auf dem Server im Ausland ist exportkontrollrechtlich relevant. Mitunter sind enorme Mengen von Technologiedaten betroffen.

Dies stellt das Unternehmen und auch die Genehmigungsbehörde vor besondere Herausforderungen. Im Genehmigungsverfahren sollte darüber nachgedacht werden, ob bestimmte Technologieda-ten zu „Genehmigungsgruppen“ zusammengefasst werden können (ähnlich wie bei einer Sammelgenehmigung).

Die Nutzung der Technologie

Das Geschilderte ist aber nur der Einstieg in die exportkontrollrechtlich relevanten Aspekte. Denn die auf dem Server hinterlegten Technologiedokumente sollen selbstverständlich auch genutzt werden. Dies kann unter zwei Gesichtspunkten exportkontrollrechtlich relevant sein.

Zum einen muss bei der Speicherung der Technologiedaten auf dem Auslandsserver bedacht werden, wer die Daten in Zukunft nutzen wird, also von wo aus auf die Daten zugegriffen wird. Da Exportkontrolle zu einem wesentlichen Teil End-Use-Kontrolle ist, sind die Genehmigungsbehörden aufs Höchste daran interessiert zu wissen, wo die elektronischen Technologiedaten tatsächlich ankommen. Der Server mag sich in einem unkritischen Drittland befinden – wenn etwa in einem internationalen Konzern aus der ganzen Welt auf die hinterlegten Daten zugegriffen werden kann, muss das exportkontrollrechtlich berücksichtigt werden. Eine Lösung kann hier darin liegen, genau zu über-legen, wer Zugang zu den Daten haben muss, und entsprechend restriktive Zugriffsrechte zu vergeben.

Zum anderen mag der Zugriff auf die Technologiedaten aus dem Ausland nach dem Recht des Landes, in dem der Server steht, als Export angesehen werden. Dies bedeutet, dass grundsätzlich für die einzelnen Zugriffsakte Ausfuhrgenehmigungen erteilt werden müssten. Das ist selbstverständlich völlig unpraktikabel. Eine überzeugende Lösung für diese Fälle wird aber noch gesucht. Auch hier wird man nur mit der Zusammenfassung der Technologiedaten zu Technologiegruppen einerseits und strengen, technisch abgesicherten, Restriktionen des Zugriffs zum Erfolg kommen können.

Dieses Problem verschärft sich noch, wenn die „deemed re-export“-Bestimmungen der USA zur Anwendung kommen. Denn dann muss nicht nur der Ort, von dem aus auf den Server zugegriffen wird, in die Überlegungen eingestellt werden, sondern auch die Nationalität des Zugreifenden.

Eine weitere Facette ergibt sich dadurch, dass der Zugriff auf die Technologiedaten zu völlig unterschiedlichen Zwecken erfolgen kann. Wenn zugegriffen wird,
um tatsächlich mit den Technologie-daten zu arbeiten, ist die Wertung unproble­matisch. Aber wie verhält es sich, wenn der eigentliche Zweck des Zugriffs darin besteht, den Server zu warten;
der Inhalt der Technologiedaten also völlig nebensächlich ist und vom Zugreifenden mit hoher Wahrscheinlichkeit nicht wahr­genommen und je nach Spezialität der Daten auch inhaltlich nicht erfasst wird? Dies ist eine besonders praxis­relevante Fragestellung, da häufig Wartungsarbeiten aus Staaten wie Indien oder Pakistan erfolgen. In den USA wird offenbar tatsächlich versucht, auf den Zweck des Zugriffs, aber auch auf den „Empfängerhorizont“ des Zugreifenden abzustellen.

Es zeigt sich, dass mit der Verlagerung eines Servers an einen anderen Standort zahlreiche exportkontrollrechtliche Fragestellungen verbunden sind. Da es keine allgemein akzeptierten Lösungen für diese Situationen gibt und die zu bewertenden Szenarien von Unternehmen zu Unternehmen sehr unterschiedlich sein können, ist es empfehlenswert, zu einer verlässlichen und dokumentierten Ver-ständigung mit den zuständigen Behörden zu kommen.

Kontakt: stephan.mueller[at]oppenhoff.eu

Aktuelle Beiträge