Welle

DID YOU KNOW...

Jeder, der mit Zoll zu tun hat, weiß: Zoll erklärt sich nicht von selbst.

Melden Sie sich jetzt zum kostenlosen Newsletter an!

Erhalten Sie regelmäßig spannende Fachartikel, aktuelle Weiterbildungsangebote und weitere exklusive Inhalte direkt in Ihr Postfach.

Jetzt anmelden & informiert bleiben!
Ihre Daten werden nicht an Dritte weitergegeben. In jedem Newsletter bieten wir Ihnen die Möglichkeit sich abzumelden.

back to overview

Cloud Computing und Exportkontrolle

Der Einsatz von Cloud-Technologien beeinflusst die Exportkontrolle erheblich. Die EG-Dual-Use-Verordnung (VO (EU) 2021/821) erfasst neben physischen Gütern auch die digitale Übermittlung von Technologie und Software. Vor diesem Hintergrund sind bei Speicherung, Verarbeitung oder Bereitstellung kontrollierter Technologie in Cloud-Umgebungen besondere rechtliche und technische Anforderungen zu beachten. Der folgende Beitrag erläutert zentrale Begriffe, Verantwortlichkeiten, Voraussetzungen für Sammelgenehmigungen und praktische Compliance-Maßnahmen.

Begriff der Ausfuhr im digitalen Raum

Nach der EG-Dual-Use-Verordnung umfasst der Ausfuhrbegriff nicht nur physische Warenversendungen, sondern auch die elektronische Übertragung von Technologie und Software in oder für Drittstaaten. Das Bereitstellen kontrollierter Informationen in elektronischer Form für Personen außerhalb der EU gilt als Ausfuhr, wenn entweder

  • Server des Cloud-Anbieters ganz oder teilweise in einem Drittland betrieben werden, oder
  • Personen in Drittländern Zugriff auf in der EU gespeicherte Daten haben

Entscheidend ist der tatsächliche Übertragungsvorgang, nicht das vermeintliche Ziel. Auch technisch bedingte oder vorübergehende Transfers können eine Ausfuhr auslösen. Bei Gütern des Anhangs IV der Verordnung reicht bereits die Speicherung in einem anderen EU-Mitgliedstaat oder ein Zugriff aus dem EU-Ausland, um Genehmigungspflichten zu begründen.

Ausführer: Wer trägt die Verantwortung?

Die Ausführer-Bestimmung richtet sich nach Art. 2 Nr. 3 der Verordnung: Grundsätzlich ist Ausführer die Person, die über die Versendung bzw. Bereitstellung bestimmt. Im Cloud-Kontext ergibt sich folgende Zuordnung:

IaaS (Infrastructure as a Service)

Bei IaaS stellt der Provider nur Infrastruktur (Speicher, Rechner, Netzwerk). Der Nutzer verwaltet eigenständig Daten und Transfers und gilt regelmäßig als Ausführer, da der Transfer in seinem Interesse und unter seiner Kontrolle erfolgt.

PaaS (Platform as a Service)

PaaS stellt Entwicklungs- und Laufzeitumgebungen bereit. Wird in der Plattform kontrollierte Technologie entwickelt, bereitgestellt oder gespeichert, ist der Nutzer in der Regel Ausführer. Die Abgrenzung kann jedoch im Einzelfall vom konkreten Verantwortungs- und Kontrollverhältnis abhängen.

SaaS (Software as a Service)

Bei SaaS sind differenzierte Betrachtungen erforderlich: Anbieter sind regelmäßig Verantwortliche für die zur Verfügung gestellte Software; Nutzer sind verantwortlich für hochgeladene oder eingegebene Daten. Die Bestimmung des Ausführers ist situationsabhängig und bedarf einer Einzelfallprüfung.

Sammelgenehmigungen: Voraussetzungen und technischer Rahmen

Für wiederkehrende oder systematische Transfers kontrollierter Technologie über Cloud-Infrastrukturen ist die Beantragung einer Sammelgenehmigung beim BAFA möglich. Typische Voraussetzungen:

Technische Anforderungen

  • Bevorzugung privater Clouds: Primär kommen private Clouds infrage; hybride bzw. andere Modelle sind möglich, sofern die Datensicherheit gewährleistet ist.
  • Geografische Einschränkungen: Die Cloud muss geografisch einschränkbar sein; Orte der Datenverarbeitung (Serverstandorte) müssen im Antrag angegeben werden und verarbeitungsfreie Zonen vertraglich ausgeschlossen sein.
  • Stand der Technik: Sicherheitsmaßnahmen müssen dem Stand der Technik genügen (z. B. Orientierung an BSI-Empfehlungen wie dem C5-Katalog).
  • Zugriffsschutz: Technische Maßnahmen, die den Zugriff Dritter (inkl. Cloud-Provider-Administratoren) ausschließen, sind erforderlich — etwa strikte Rollen- und Berechtigungskonzepte, Trennung von Enklaven, Ende-zu-Ende-Verschlüsselung mit kundenseitiger Schlüsselverwaltung.

Organisatorische Anforderungen

  • Vertragliche Regelungen: Servicevertrag (SLAs) mit klaren Zusicherungen zu Datenlokation, Datenverarbeitungsorten, Auditrechten und Incident-Management.
  • ICP (Internal Compliance Programme): Nachweis eines wirksamen internen Exportkontrollsystems (siehe unten).
  • Audit- und Prüfrechte: Möglichkeit, technische und organisatorische Maßnahmen extern oder durch Behörden prüfen zu lassen.

Internal Compliance Programme (ICP) für Cloud-Nutzung

Ein ICP muss spezifische Regelungen für Cloud-Szenarien enthalten. Zentrale Elemente:

  • Rollen und Verantwortlichkeiten: Eindeutige Zuordnung von Ausführer- und Verantwortungsrollen, Einbeziehung von IT-Security, Rechtsabteilung und Exportkontrolle.
  • Berechtigungsmanagement: Minimalprinzip („need to know“), Multi-Factor-Authentication, regelmäßige Rechteprüfungen.
  • Endgeräte- und Verbindungssicherheit: Gesicherte Endgeräte (MDM), VPNs, TLS/HTTPS für Übertragungen.
  • Verschlüsselung: Ende-zu-Ende- oder ruhende Datenverschlüsselung; vorzugsweise kundenseitige Schlüsselverwaltung (KMS) zur Minimierung von Providerzugriffen.
  • Protokollierung & Monitoring: Revisionssichere Logs zu Zugriffen, Datenbewegungen und Administrationsvorgängen.
  • Schulungen & Awareness: Regelmäßige Trainings für Mitarbeiter mit Exportkontrollpflichten.
  • Vertragsprüfungen: Regelmäßige Überprüfung der SLAs auf Änderungen in Standort, Subprozessoren oder Zugriffsrechten.
  • Notfall- und Incident-Management: Prozesse für unerlaubte Zugriffe, Datenlecks und Meldefristen.

Dokumentation und Antragstellung (ELAN-K2)

Sammelgenehmigungen werden elektronisch über das ELAN-K2 Ausfuhrportal beantragt. Wichtige Angaben im Antrag:

  • Ausführerangaben und Kontaktpersonen;
  • Beschreibung der kontrollierten Technologie/Software und einschlägige Positionsnummern/Anhangszuordnungen;
  • Cloud-Anbieter und detaillierte Angabe der Serverstandorte bzw. Verarbeitungsorte;
  • Liste zugriffsberechtigter Personen und Organisationsstrukturen;
  • Nachweis technischer/organisatorischer Maßnahmen (z. B. Verschlüsselung, ICP-Beschreibung);
  • Angaben zu Fallgruppe bzw. Zweck (konzerninterner Transfer, projektbezogen, etc.).

Dokumentationspflichten verlangen eine nachvollziehbare Aufzeichnung aller auf Grundlage der Sammelgenehmigung vorgenommenen Transfers. Diese Aufzeichnungen sind revisionssicher zu speichern und auf Verlangen dem BAFA vorzulegen.

Fallbeispiele

Konzerninterner Technologietransfer (IaaS)

Ein deutsches Tochterunternehmen lädt sensiblen Quellcode in eine IaaS-Umgebung, die von einem internationalen Provider betrieben wird; einige Server stehen in einem Drittland. Der Upload stellt eine genehmigungspflichtige Ausfuhr dar. Ausführer ist das Tochterunternehmen; eine Sammelgenehmigung oder Einzelausfuhrgenehmigungen sind zu prüfen. Notwendig sind kundenseitige Verschlüsselung, Verfahrensanweisungen im ICP und vertragliche Sicherungen zur Serverlokation.

SaaS mit Drittlandzugriff

Ein Finanztool (SaaS) speichert Berichte in EU-Rechenzentren, erlaubt jedoch durch Supportzugriffe eines Drittlandsmanagements das Einsehen der Daten. Auch wenn physisch in der EU gespeichert, begründet der potenzielle Zugriff aus dem Drittland eine Ausfuhrkonstellation. Verantwortlich ist primär der Nutzer für die eingespeisten Daten; technische Begrenzungen und vertragliche Sperren gegen Drittlandzugriff sind erforderlich, ggf. ist eine Genehmigung einzuholen.

Checkliste: Prüfpunkte vor Cloud-Rollout

  • Liegen kontrollierte Technologien/Software vor (Anhangzuordnung prüfen)?
  • Welche Cloud-Service-Modelle werden genutzt (IaaS/PaaS/SaaS)?
  • Wo befinden sich Server / Datenverarbeitungsorte? Sind Subprozessoren bekannt?
  • Gibt es vertragliche Zusicherungen zu Datenlokation und Auditrechten?
  • Ist eine kundenseitige Verschlüsselung (KMS) implementiert?
  • Besteht ein ICP mit klaren Rollen, Prozessen und Schulungen?
  • Werden Zugriffsrechte und Administratorrollen technisch begrenzt und protokolliert?
  • Sind die Anforderungen der relevanten Sicherheitsstandards (z. B. C5/BSI-Leitlinien) berücksichtigt?
  • Wurde die Möglichkeit einer Sammelgenehmigung geprüft (ELAN-K2)?
  • Sind Dokumentation und Revisionssichere Logs für BAFA-Anfragen vorbereitet?

Handlungsempfehlungen und Fazit

Cloud-Lösungen bieten erhebliche Vorteile, erhöhen gleichzeitig aber die Komplexität der Exportkontrolle. Empfohlen wird ein abgestuftes Vorgehen:

  • Bestandsaufnahme: Identifikation kontrollierter Technologien/Software und Bewertung von Service-Modellen.
  • Risikoanalyse: Prüfung von Serverstandorten, Subprozessoren und Zugriffspfaden.
  • Technische Maßnahmen: Implementierung kundenseitiger Verschlüsselung, rollenbasierter Zugriffskonzepte und Audit-Logging.
  • Vertragliche Absicherung: SLAs mit spezifischen Zusicherungen zu Datenlokation und Auditrechten.
  • ICP-Aufbau: Integration von Cloud-Szenarien in das Internal Compliance Programme inkl. Schulungen.
  • Genehmigungsmanagement: Frühzeitige Prüfung der Notwendigkeit von Einzelausfuhr- oder Sammelgenehmigungen über ELAN-K2 und Abstimmung mit dem BAFA.

Abschließend bleibt festzuhalten: Die Exportkontrolle hat sich in den digitalen Raum verschoben. Verantwortliche müssen technische, vertragliche und prozessuale Maßnahmen verzahnen, um rechtskonforme Cloud-Nutzung sicherzustellen. Eine vorausschauende Compliance-Strategie und enge Zusammenarbeit zwischen Exportkontrolle, IT-Security und Rechtsabteilung sind zentrale Voraussetzungen für die rechtssichere Nutzung von Cloud-Diensten.

Welle
Jobs 1
Trainings 65

Privacy settings

This site uses cookies and third-party services. You have the option to accept or reject these (also individually). Further information in our Privacy policy.

Session-Cookie & Eigener Cookie

Wird benötigt, damit die von Ihnen gewählte Website-Spracheinstellung, die Validierung via csrf() in Web-Formularen erfolgen sowie der Status des Logins festgehalten werden können. Mehr Informationen finden Sie in unter https://getkirby.com/docs/guide/kirby-and-privacy.

Darüberhinaus speichert dieser Session-Cookie die von Ihnen gewählte Website-Spracheinstellung.

privacy_accepted: Damit wird festgehalten, dass Sie den Cookie-Banner bestätigt haben (Speicherdauer: 1 Jahr). — acceptedSources: Damit wird festgehalten, welche Cookie-Einstellung Sie akzeptiert haben (Speicherdauer: 1 Jahr).

Google Maps

Wird benötigt, damit die Google Maps-Karte auf der Website dargestellt wird. Mehr Informationen finden Sie in unserer Datenschutzbestimmung unter "Google Maps".

Apple Maps

Wird benötigt, damit die Apple Maps-Karte auf der Website dargestellt wird. Mehr Informationen finden Sie in unserer Datenschutzbestimmung unter "Apple Maps".

Mapbox

Wird benötigt, damit die Mapbox-Karte auf der Website dargestellt wird. Mehr Informationen finden Sie in unserer Datenschutzbestimmung unter "Mapbox".

Google reCAPTCHA

Wird benötigt, damit Kontaktformulare vor automatisierten Bots geschützt werden. Mehr Informationen finden Sie in unserer Datenschutzbestimmung unter "Google ReCAPTCHA".

Google Analytics

Wird verwendet, um Besucherverhalten und Statistiken festzustellen. Wir nutzen diese Daten um die Qualität und Relevanz unserer Inhalte zu verbessern. Mehr Informationen finden Sie in unserer Datenschutzbestimmung unter "Google Analytics".

Matomo

Wird verwendet, um Besucherverhalten und Statistiken festzustellen. Wir nutzen diese Daten um die Qualität und Relevanz unserer Inhalte zu verbessern. Mehr Informationen finden Sie in unserer Datenschutzbestimmung unter "Matomo".

Sendinblue

Wird benötigt, um das Anmeldeformular für den Newsletter darzustellen. Mehr Informationen finden Sie in unserer Datenschutzbestimmung unter "Sendinblue".

Mailchimp

Wird benötigt, um das Anmeldeformular für den Newsletter darzustellen. Mehr Informationen finden Sie in unserer Datenschutzbestimmung unter "Mailchimp".

Jameda

Wird benötigt, um Bewertungen vom Webportal Jameda anzuzeigen. Mehr Informationen finden Sie in unserer Datenschutzbestimmung unter "Jameda".

Facebook Pixel

Wird für Facebook Pixel benötigt. Mehr Informationen finden Sie in unserer Datenschutzbestimmung unter "Facebook Pixel".

Youtube

Wird für eingebettete Youtube Videos benötigt. Mehr Informationen finden Sie in unserer Datenschutzbestimmung unter "Youtube".

Vimeo

Wird für eingebettete Vimeo Videos benötigt. Mehr Informationen finden Sie in unserer Datenschutzbestimmung unter "Vimeo".

  1. [read more]
  2. [read more]
by agentur fenzl
Accept selection Accept all