back to overview

Klassifizierung von Software – Kategorie D der EU-Dual-Use-Verordnung

Die EU-Dual-Use-Verordnung (EU 2021/821) regelt den Export von Gütern, Technologien und Software, die sowohl für zivile als auch für militärische Zwecke genutzt werden können. Sie setzt internationale Verpflichtungen, insbesondere aus dem Wassenaar Arrangement, in europäisches Recht um und stellt sicher, dass sensible Technologien nicht unkontrolliert exportiert werden.

Software wird als Teil der Güter mit doppeltem Verwendungszweck (Dual-Use) betrachtet. Sie ist relevant, wenn sie speziell für die Entwicklung, Herstellung, Wartung oder Nutzung von Dual-Use- oder sicherheitsrelevanten Gütern konzipiert ist.

Definition und Klassifizierungskriterien

Software unter Kategorie D zeichnet sich durch technische Funktionen aus, die für sicherheitsrelevante Anwendungen oder Produkte mit doppeltem Verwendungszweck entscheidend sind. Wesentliche Merkmale:

• Funktion: Steuerung, Simulation, Analyse, Kryptografie, Sicherheitsüberwachung
• Technische Parameter: Leistungsfähigkeit, Genauigkeit, Sicherheit, Datenverarbeitungskapazität
• Endverwendung: Einsatz in sicherheitskritischen oder Dual-Use-Produkten
• Bereitstellung: Physische Software, digitale Downloads, Cloud-Lösungen oder Fernzugriff

Die Endverwendungsprüfung ist entscheidend für die Klassifizierung und für die Bestimmung der Genehmigungspflicht.

Praxisbeispiele mit Ausfuhrlisten-Positionen

Einige relevante Positionen im Anhang I der EU-Dual-Use-Verordnung (EU 2021/821) verdeutlichen, welche Software der Genehmigungspflicht unterliegt:

• 1D001 – Software, die speziell für die Entwicklung, Herstellung oder Verwendung von Gütern der Positionen 1B001, 1B002 oder 1B003 entwickelt oder geändert wurde.
• 2D001 – Software, die speziell für die Entwicklung, Herstellung oder Verwendung von Gütern der Positionen 2B001, 2B002 oder 2B003 entwickelt oder geändert wurde.
• 5D001 – Software, die speziell für die Entwicklung, Herstellung oder Verwendung von Gütern der Positionen 5B001, 5B002 oder 5B003 entwickelt oder geändert wurde.

Praxisbeispiele

• Simulationssoftware für Turbinen, die sowohl in zivilen Energieanlagen als auch in sicherheitsrelevanten Anwendungen eingesetzt werden kann
• Analyse- und Testsoftware für Materialien in sicherheitskritischen oder Dual-Use-Anwendungen
• Verschlüsselungssoftware für Datenübertragung in kritischen Infrastrukturen
• Steuerungssoftware für hochpräzise Fertigungsmaschinen, die für Produkte mit Dual-Use-Potenzial genutzt wird

Alle diese Softwarearten unterliegen der Exportkontrolle, unabhängig davon, ob sie direkt militärisch genutzt wird oder potenziell in Dual-Use-Systemen Anwendung findet.

Genehmigungspflichten und Compliance

Software der Kategorie D ist genehmigungspflichtig, wenn sie:

• in der EU-Ausfuhrliste aufgeführt ist,
• für sicherheitsrelevante Endverwendungen außerhalb der EU bestimmt ist,
• an Länder oder Organisationen mit speziellen Exportbeschränkungen geliefert wird.

Compliance-Maßnahmen für Unternehmen und Forschungseinrichtungen

• Klassifizierung: Prüfung der Software anhand der EU-Ausfuhrliste
• Endverwendungsprüfung: Bestimmung der Genehmigungspflicht
• Genehmigungsantrag: Einreichung bei der zuständigen Behörde (in Deutschland: BAFA)
• Interne Richtlinien: Standardisierte Prüfprozesse, Checklisten und Schulungen
• Dokumentation und Auditfähigkeit: Nachvollziehbarkeit aller Transaktionen

Digitale Transfers, Cloud-Lösungen und Fernzugriffe fallen ebenfalls unter die Kontrollpflichten.

Forschung, Hochschulen und Kooperationen

Software, die im Rahmen von Forschungsprojekten oder internationalen Kooperationen entwickelt wird, kann ebenfalls genehmigungspflichtig sein, insbesondere wenn sie potenziell in Dual-Use-Anwendungen eingesetzt werden kann.

Beispiel

Ein Analyseprogramm für Werkstofftests, das sowohl für zivile Energieprojekte als auch für sicherheitsrelevante Anwendungen genutzt werden kann, darf nur nach Prüfung der Exportkontrollpflichten an internationale Partner weitergegeben werden.

Risiken bei Verstößen

Verstöße gegen die Exportkontrollvorschriften können zu:

• hohen Bußgeldern und strafrechtlicher Verfolgung
• Verlust von Exportmöglichkeiten
• Reputationsschäden
• Haftungsrisiken für Unternehmen und Mitarbeiter führen

Empfehlungen für Compliance-Systeme

• Implementierung standardisierter Klassifizierungs- und Prüfprozesse
• Regelmäßige Schulungen für Entwicklungs-, IT- und Exportabteilungen
• Überwachung von Software-Updates, Cloud-Diensten und Remote-Zugriffen
• Sicherstellung der Auditfähigkeit aller Software-Exporte

Zusammenfassung und Ausblick

Software der Kategorie D der EU-Dual-Use-Verordnung umfasst Programme, die speziell für sicherheitsrelevante oder Dual-Use-Anwendungen entwickelt wurden. Die sorgfältige Klassifizierung, Einhaltung von Genehmigungspflichten und Implementierung von Compliance-Maßnahmen sind essenziell, um rechtliche Risiken zu vermeiden und eine sichere Exportabwicklung zu gewährleisten. Digitale Bereitstellung und Fernzugriffe erweitern die Kontrollpflichten und machen eine umfassende Compliance-Strategie erforderlich. Für Zollverantwortliche und Außenhandelsakteure ist die präzise Handhabung dieser Software ein entscheidender Faktor für die erfolgreiche und rechtssichere Teilnahme am internationalen Handel.