Exportkontrollen im Cyberspace

Die Dual-Use Verordnung in der EU soll zum Schutz von Menschenrechten erweitert und verschärft werden. Was bedeutet dies für Exporteure?

Redaktion: Arne Mielken

Die EU-Kommission hat am 28. September 2016 einen Vorschlag für eine Neufassung der Dual-Use Verordnung veröffentlicht (Verordnungsvorschlag 2016/0295). Das EU-Parlament hat seinen Standpunkt dazu kundgetan. Jetzt muss der Rat der Europäischen Union den Änderungen noch zustimmen. Der VO-Entwurf zielt vor allem auf eine schärfere Kontrolle von Exporten von Überwachungssoftware und –technik sowie von technischen Unterstützungen und ­Dienstleistungen, die zur „internen Repression im Zielland“ genutzt werden können, ab.

Schutz der Menschenrechte.
In der Vergangenheit ist europäische Überwachungssoftware u. a. an autoritäre Regime in Ägypten, Uganda und Äthiopien verkauft worden, wo sie auch zur Unterdrückung von Oppositionsgruppen und Menschenrechtsaktivisten eingesetzt wurde. Aufgrund öffentlichen Drucks soll der Export von Spähprogrammen nun stärker reglementiert werden. Dazu gehören: Geräte und Software zum Abhören von Mobiltelefonen, zur Infiltrierung von Computern („Trojaner“), zur Umgehung von Passwörtern sowie zur Identifizierung von Internetnutzern, Programme für Funkzellenauswertungen, Data-Mining-Software, Datenbanksysteme, die Beziehungen zwischen Menschen analysieren, und Sicherheitstechnologien, die in intelligenten Verkehrslenkungssystemen angewandt werden.

Die neue Gesetzgebung soll es autoritären Regimen schwerer machen, europäische Überwachungs-Hard- und Software einzukaufen und zum Ausspähen von Oppositionellen zu benutzen. Der Vorschlag bedeutet, dass Mitgliedstaaten die Gefahr für Menschenrechte beurteilen müssen, bevor sie ein breites Spektrum an Überwachungstechnologien zum Export autorisieren. Der VO-Entwurf sieht außerdem vor, dass alle Mitgliedstaaten Informationen über die von ihnen genehmigten Exporte untereinander teilen. Die Öffentlichkeit soll aber keinen Einblick in die Exportlisten bekommen.

Neuer Güteranhang.
Der VO-Entwurf soll die VO (EG) Nr. 428/2009 ersetzen. Anhang VI der neuen VO soll eine Entsprechungstabelle enthalten, welche die Vorschriften der neuen VO der alten gegenüberstellt.

Dem erweiterten Begriff „Dual-Use-Güter“ entsprechend wird ein neuer genehmigungspflichtiger Güteranhang geschaffen. Die in Art.2 Nr. 1 b) definierten Güter werden in Anhang I Abschnitt B „Liste Andere Güter mit doppeltem Verwendungszweck“ aufgeführt. Dazu wird ihnen die neue Kategorie 10 „Andere Güter der Technologie für digitale Überwachung“ zugewiesen. Gemäß Art. 16 der neuen VO soll dieser neue Anhang I Abschnitt B als Delegierter Akt durch die Kommission erlassen und wie bei Güterlisten üblich regelmäßig ergänzt und angepasst werden.

Begriffserweiterung Ausführer.
Der VO-Entwurf erweitert außerdem den Begriff des Ausführers. Bisher ist Ausführer im Sinn der Dual-UseVO, die Person, für die eine Ausfuhranmeldung abgegeben wird. Außerdem gilt als Ausführer, wer entscheidet, Software oder Technologie elektronisch an Empfänger außerhalb der EU zu übertragen oder bereitzustellen. Neu gemäß Art. 2 Nr.3 ist Ausführer jede natürliche Person, welche die zur Ausfuhr bestimmten Waren im persönlichen Gepäck befördert.

Zu wenig Rechtssicherheit.
Der Vorschlag der Kommission wird von zahlreichen Industrie- und Interessenverbänden in Europa beanstandet. Unter anderem wird moniert, dass bereits bestehende Exportkontrollregeln in den EU-Mitgliedstaaten nicht gleichmäßig um- und durchgesetzt werden. Es fehle an einem einheitlichen, respektive vergleichbaren Kontrollniveau in der EU.

Die im Kommissionsvorschlag verwendeten Begriffe (z. B. ­interne Repression im Zielland, schwerwiegende Verletzungen der Menschenrechte, Cyberwaffen, Cyber Surveillance Technology, Intrusion Software etc.) seien zu schwammig und würden unterschiedlichen rechtlichen Interpretationen in den Mitgliedstaaten Vorschub leisten.

Die Rechtsunsicherheit werde Forschung und Entwicklung im Bereich Cyber Security sowie intelligenter Infrastrukturen (Intelligente Energie-, Wasser- und Gasversorgung, Intelligente Verkehrskonzepte, Industrieller Anlagenbau und E-Health) eventuell behindern. In allen diesen Bereichen wird Sicherheits- und Überwachungstechnologie zur Datenanalyse, Steuerung und Ferndiagnose eingesetzt. Aber auch After-Sales-Services und Reparaturen per Ferndiagnose seien betroffen. Wäre die Wettbewerbsfähigkeit der europäischen Industrie sogar gefährdet?

Zudem müsste bei den nationalen Genehmigungsbehörden und Ämtern das Fachpersonal aufgestockt werden, um eine zügige Genehmigungspraxis zu gewährleisten.

Insgesamt würden die Vorschläge die Schaffung eines gemeinsamen digitalen Marktes (Digital Single Market) sowie die Digitalisierung der Zollsysteme und Exportkontrollen in Europa eher behindern als fördern. Es wird auch bezweifelt, ob den Menschenrechten so wirklich ein Dienst erwiesen wird.

Bestehende Gesetze.
Seit Ende 2013 ist Software zur Angriffserkennung (Intrusion Software) Bestandteil der regulierten Güter im Rahmen des Abkommens zur Exportkontrolle von konventionellen Waffen und doppelverwendungsfähigen Gütern und Technologien (Wassenaar-Abkommen). Diesem sind mittlerweile 41 Staaten beigetreten. Es wurde 1996 als Ersatz für das aus den Zeiten des kalten Kriegs stammende COCOM-Abkommen verabschiedet. Ziel war die Regulierung des Handels sowie die Eingrenzung der Verbreitung konventioneller Rüstungsgüter. 2009 wurde das Regelwerk um den Bereich der Dual-Use-Güter erweitert.

Die Umsetzung des Abkommens liegt in der Verantwortung jedes Mitgliedsstaates, der unabhängig entscheidet und eigenständig Kontrollziele, Verfahren und Prioritäten definiert. Damit fehlt dem Abkommen eine rechtliche Verbindlichkeit. Die unterschiedlichen nationalen Regelungen bilden keine einheitliche Bewertungs- und Rechtsgrundlage.

Die Kontrollkriterien des Bundesamts für Wirtschaft und Ausfuhrkontrolle (BAFA) unterscheiden sich je nach Zielland eines geplanten Exports. Exporte in EU-Mitgliedsstaaten, NATO-Staaten oder Staaten mit einem ähnlichen Status werden generell genehmigt, sofern nicht besondere politische Gründen dagegen sprechen. Exporte in andere Staaten werden grundsätzlich in Frage gestellt und mit Blick auf den potentiellen Käufer, den möglichen offenen und versteckten Einsatzzweck sowie die politische Lage und Stabilität im Zielland geprüft.

Fokus Sicherheitspolitik.
Seit der Entdeckung der Schadsoftware Stuxnet ist der Cyberspace in den Fokus der internationalen Sicherheitspolitik gerückt. Während Staaten zunehmend die neue Domäne in ihre Sicherheits- und Militärdoktrinen aufnehmen, verdeutlichen Vorkommnisse wie der Sony- oder Maersk-Hack die Verwundbarkeit von IT-Systemen in allen Wirtschaftsbereichen und die mangelnden Vorkehrungen in Unternehmen im Bereich Cyber Security. Internationale Bemühungen um die Etablierung verbindlicher Regeln für das staatliche und militärische Agieren im Cyberspace werden durch ein fehlendes gemeinschaftlich akzeptiertes Verständnis des Themas oder der Definition von Begrifflichkeiten erschwert.

Fazit.
Die Dual-Use-Verordnung in der EU soll zum Schutz von Menschenrechten erweitert und verschärft werden. Neu unterliegen auch Exporte von Cyber-Überwachungstechnologien, die zur „internen Repression im Zielland“ genutzt werden können, einer Genehmigung. Die neue VO zwingt zu vielen Einzelprüfungen mit sensiblen politischen Bewertungen. Wie dies im Rahmen eines Compliance-Management-Systems in Unternehmen umgesetzt werden kann, ist noch unklar. Lieferungen von Software und Elektronik für unkritische Infrastruktur, industrielle Fertigung und in unkritische Länder könnten sich durch die neuen, eventuell langwierigen Exportkontrolluntersuchungen aber zukünftig verzögern. (RED)

Quelle: LOGISTIK express Ausgabe 3/2018

Translate »