zurück zur Übersicht

Restricted Fabrication Facility (RFF)

Eine Restricted Fabrication Facility (RFF) bezeichnet eine Fertigungsstätte, die aufgrund der verarbeiteten Güter, verwendeten Technologien oder zugänglichen technischen Daten besonderen exportkontrollrechtlichen Beschränkungen unterliegt. Während der Begriff vor allem in der US-Regulierung (ITAR, EAR) gebräuchlich ist, hat er erhebliche Bedeutung für international tätige Unternehmen: bereits die Nutzung von US-Ursprungstechnologien oder die Mitwirkung an internationalen Verteidigungsprojekten kann eine Fertigungsstätte in den Anwendungsbereich der RFF-Kontrollen bringen. Für Zollverantwortliche und Außenhandelsbeauftragte ist das Verständnis der RFF-Konsequenzen zentral, um Compliance-Risiken zu erkennen und handlungsfähig zu bleiben.

Rechtlicher Rahmen — ITAR und EAR kurz gefasst

Die ITAR (International Traffic in Arms Regulations) steuern Herstellung, Überlassung und Export von Gütern und technischen Daten, die in der U.S. Munitions List (USML) stehen. Das DDTC (Directorate of Defense Trade Controls) kann Fertigungsstätten, die USML-relevante Tätigkeiten ausführen, besonderen Auflagen unterwerfen.

Die EAR (Export Administration Regulations), verwaltet durch das BIS (Bureau of Industry and Security), adressieren vor allem Dual-Use-Güter. Auch bei EAR-relevanten Gütern können Fertigungsstätten durch Lizenzanforderungen, Endverwendungs- oder Endnutzerprüfungen betroffen sein. Entscheidend ist in beiden Regelwerken häufig der „Ursprung“ von Technologie oder Komponenten: US-Ursprung führt häufig zur Anwendung US-amerikanischer Restriktionen, unabhängig vom Produktionsort.

Konkrete Anforderungen an Unternehmen, deren Standorte als RFF gelten können

• Zugangs- und Personenverkehrskontrolle
  • Physische Zutrittsregelungen, Zutrittslisten, Besucherbegleitung, differenzierte Zugangsebenen für sensible Bereiche.
  • Hintergrundprüfungen bei Personal in relevanten Bereichen; dokumentierte Rollen- und Berechtigungsprofile.
• Kontrolle technischer Daten
  • Strikte Trennung von IT-Netzen (Netzsegmentierung), Verschlüsselung von storage und Kommunikationswegen, Logging und Kontrollmechanismen für technisch relevante Dateien.
  • Implementation von Technology Control Plans (TCP) zur Steuerung von Zugriff, Bearbeitung und Weitergabe von Technical Data.
• Lizenz- und Genehmigungsmanagement
  • Prüfung, ob Herstellung oder Weitergabe lizenziert werden muss; rechtzeitige Anträge bei DDTC/BIS; Dokumentationspflichten.
  • Prozesse zur Einholung von Endverwendungs- und Endnutzer-Erklärungen sowie zur Prüfung von Sanktionen und Embargos.
• Vertrags- und Lieferantensteuerung
  • Einbindung spezifischer Exportkontrollklauseln in Liefer- und Entwicklungsverträge (z. B. Genehmigungs-Triggers, Audit-Rechte, Verantwortlichkeiten).
  • Nachweispflichten der Zulieferer (Ursprung, Klassifizierung, Compliance-Nachweise).
• Audit- und Monitoringprozesse
  • Regelmäßige, dokumentierte Compliance-Audits; internes Reporting; Mechanismen zur raschen Behebung von Abweichungen.
  • Vorbereitung auf mögliche Inspektionen durch US-Behörden oder internationale Partner.

Praktische Umsetzung — Aufbau eines RFF-geeigneten Compliance-Systems

• Governance: Benennung einer verantwortlichen Stelle (z. B. Exportkontrollbeauftragter) mit klaren Kompetenzen. Verankerung von Exportkontrolle in der Unternehmens-Governance.
• Risikobasierte Klassifikation: Identifikation und Priorisierung sensibler Produkte, Bauteile, Technologien und Standorte. Erstellung einer RFF-Risikoliste.
• Technische Maßnahmen: Physische Sicherheit, Zugangssysteme, Videoüberwachung, IT-Segmentierung, Rechteverwaltung, Data Loss Prevention (DLP) und Audit-Logging.
• Prozessuale Maßnahmen: Standard Operating Procedures (SOPs) für Herstellung, Freigabe, Dokumentation und Versand; Prozesse für Lizenzanträge; Incident-Response-Plan.
• Vertragliche Absicherung: Sorgfältig formulierte NDAs, TCPs und Exportkontrollklauseln; vertraglich geregelte Audit- und Sanktionsklauseln gegenüber Lieferanten.
• Personal & Schulung: Regelmäßige, rollenspezifische Schulungen; Sensibilisierung für technische Daten; verpflichtende Compliance-Trainings vor Tätigkeitsbeginn in sensiblen Bereichen.

Lieferketten- und Vertragsaspekte

Die Einstufung eines Standorts als RFF wirkt sich unmittelbar auf Zulieferer und Subunternehmer aus. Empfehlenswerte Maßnahmen:

• Supplier Due Diligence: Abfrage von Ursprungsangaben, Klassifizierungen, Compliance-Zertifikaten.
• Vertragsklauseln: Pflichten zur Einhaltung von ITAR/EAR, verpflichtende Mitteilungspflichten bei Änderungen, Audit-Rechte und Haftung bei Verstößen.
• Operative Trennung: Soweit möglich, organisatorische oder physische Trennung von RFF-Produktion und anderen Fertigungsprozessen, um Reputations- und Rechtsrisiken zu begrenzen.

Strategische Implikationen für Unternehmen

Die Implementierung einer RFF-konformen Infrastruktur ist aufwändig, kann jedoch strategische Vorteile schaffen: Zugang zu sicherheitsrelevanten Aufträgen, höhere Vertrauenswürdigkeit bei Behörden und Partnern sowie bessere Position in sicherheitskritischen Wertschöpfungsketten. Gleichzeitig sind Investitionen in Sicherheit, Personal und Prozesse sowie potenziell längere Genehmigungszeiträume zu berücksichtigen.

Checkliste — Praktische Mindestanforderungen für betroffene Standorte

• Dokumentierte Klassifizierung der Produkte/Technologien (USML/CCL).
• Technology Control Plan (TCP) etabliert und freigegeben.
• Physische Zutrittskontrollen und Hintergrundprüfungen für Schlüsselpersonal.
• Getrennte IT-Umgebung für technische Daten, inklusive DLP und Logging.
• Lizenz- und Genehmigungs-Workflow dokumentiert; Verantwortliche benannt.
• Vertragsklauseln mit Partnern und Lieferanten ergänzt um Exportkontrollanforderungen.
• Regelmäßige Audits und interne Reporting-Mechanismen implementiert.
• Notfall- und Incident-Response-Pläne vorhanden.

Typische Problemfälle und Praxisbeispiele

• Unklare Ursprungsketten: Komponenten mit US-Ursprung gelangen in ein Produkt, das ohne vollständige Prüfung ausgeliefert wird — Folge: unerwartete Lizenzpflichten.
• Fehlende IT-Trennung: Technische Zeichnungen werden über allgemeine Netzlaufwerke geteilt, wodurch US-technische Daten unkontrolliert weitergeleitet werden.
• Ungenaue Vertragsregelungen: Subunternehmer ohne Exportkontrollklauseln führt zu Haftungs- und Compliance-Lücken.

Schlussfolgerung — Handlungsempfehlung auf Organisationsebene

Die Einstufung beziehungsweise das Risiko einer Einstufung als Restricted Fabrication Facility erfordert eine ressortübergreifende Reaktion: Compliance, IT, Produktion und Einkauf müssen koordiniert handeln. Die Implementierung robuster organisatorischer, technischer und vertraglicher Maßnahmen schützt nicht nur vor regulatorischen Sanktionen, sondern sichert zugleich Marktchancen in sicherheitssensitiven Segmenten. Ein systematischer, risikobasierter Aufbau von Prozessen abgestützt durch regelmäßige Audits und klare Verantwortlichkeiten ist entscheidend, um Rechtssicherheit zu schaffen und Fertigungsprozesse langfristig abzusichern.