Bereitstellung (im Sinne der Exportkontrolle)
Die Bereitstellung stellt im Kontext der Exportkontrolle eine besondere Form der Ausfuhr dar. Sie beschreibt die Einräumung von unbeschränktem Zugriff auf Software oder Technologie in elektronischer Form für Empfänger außerhalb der Europäischen Union. Dies kann beispielsweise durch das Hochladen auf einen Server, die Übermittlung per E-Mail oder die Freigabe über Cloud-Dienste erfolgen.
Rechtlich wird die Bereitstellung in der EU-Dual-Use-Verordnung (Art. 2 Buchst. d, 2. Halbsatz) sowie im Außenwirtschaftsgesetz (AWG) (§ 2 Abs. 3 Nr. 2) als Ausfuhrhandlung definiert. Damit unterliegt sie denselben Genehmigungspflichten wie physische Lieferungen von Gütern oder Technologien ins Ausland.
Bedeutung für Unternehmen
Die Bereitstellung ist insbesondere für Unternehmen relevant, die mit sensiblen Technologien oder Software arbeiten, die unter die Dual-Use-Kategorie fallen – also Produkte, die sowohl zivil als auch militärisch genutzt werden können. Auch bei der Zusammenarbeit mit internationalen Partnern, Tochtergesellschaften oder Dienstleistern kann eine Bereitstellung vorliegen, wenn technische Informationen elektronisch übermittelt werden.
Ein häufiger Irrtum besteht darin, dass nur physische Exporte genehmigungspflichtig seien. Tatsächlich kann bereits das elektronische Zugänglichmachen von Daten für Personen außerhalb der EU eine genehmigungspflichtige Ausfuhr darstellen. Dies gilt unabhängig davon, ob die Daten aktiv versendet oder passiv bereitgestellt werden.
Compliance und Risiken
Die Nichtbeachtung der Regelungen zur Bereitstellung kann erhebliche rechtliche Konsequenzen nach sich ziehen – von Bußgeldern bis hin zu strafrechtlichen Sanktionen. Unternehmen sind daher verpflichtet, ihre Prozesse und IT-Infrastrukturen so zu gestalten, dass eine ungewollte Bereitstellung ausgeschlossen wird. Dies umfasst unter anderem:
- Zugriffsmanagement für sensible Daten
- Schulung von Mitarbeitenden im Umgang mit exportkontrollrechtlich relevanten Informationen
- Prüfung von Cloud-Diensten und deren Speicherorte
- Dokumentation und Nachweisführung im Rahmen der Exportkontroll-Compliance