Cloud Services: Dunkle Wolken bei der Export Compliance?

Written on 17 Sep 2014

Cloud Services haben sich im privaten und beruflichen Umfeld mittlerweile etabliert: Immer schnellere und immer umfangreichere Datenströme verlangen immer höhe Speicher- und Rechenleistungen, die konventionelle Nutzer technisch überfordern. Cloud Services Provider bieten Public, Private und Hybrid Clouds als Lösungen an, um auch größere Datenmengen auszulagern und ortsunabhängig zur Verfügung zu stellen. Daten und Applikationen (Software-as-a-Service) werden auf externe Server transferiert und von dort in Echtzeit den Nutzern genutzt. Stehen diese Server im europäischen oder internationalen Ausland, handelt es sich dabei um einen Exportvorgang, der genehmigungspflichtig kann.

Welche Pflichten die Nutzer von Cloud Services haben, zeigt der nachfolgende Beitrag auf.

Genehmigungspflichten für den Export von Gütern

Genehmigungspflichten für die grenzüberschreitende Lieferung von Gütern können sich aus verschiedenen internationalen, europäischen und nationalen Regelungen, namentlich dem US-Exportrecht, der EU-Dual-Use Verordnung Nr. 428/2009 und dem deutschen Aussenwirtschaftsrecht, zur Exportkontrolle ergeben. Ausgangspunkt für das Bestehen von Genehmigungspflichten ist grundsätzlich die Ausfuhr und die Verbringung von Gütern.

Als „Güter“ sind dabei nicht nur körperliche Waren, sondern auch Technologie und Datenverarbeitungsprogramme zu verstehen. Technologie ist spezifisches technisches Wissen, das für die Entwicklung, Herstellung oder Verwendung eines Produkts erforderlich ist. Deshalb können auch Technologieunterlagen von den Genehmigungspflichten des Exportkontrollrechts erfasst sein. Software ist dann erfasst, wenn sie besondere kryptografische Funktionen aufweist. Insbesondere zählen dazu:

  • Komplette technische Dokumentationen / Fertigungsunterlagen, wie sie z. B. im Rahmen eines Lizenzabkommens dem Lizenznehmer für die Fertigung eines oder mehrerer erfasster Güter zur Verfügung gestellt werden, sowie Teile der Dokumentationen / Fertigungsunterlagen, sofern diese Teile nicht nach der nachfolgenden beispielhaften Aufstellung als nicht erfasst anzusehen sind.
  • Laufende Aktualisierungsmitteilungen im Rahmen des Änderungsdienstes, z. B. bei der technischen Fortschreibung von Fertigungsunterlagen.
  • Blaupausen, Pläne, Diagramme, Formeln, Tabellen, Beschreibungen und Anweisungen in Schriftform oder auf anderen Medien.
  • Software, die kryptografische Funktionen aufweist.

Upload in die Cloud als Ausfuhrvorgang

Genehmigungspflichten bestehen unabhängig davon, auf welche Weise die Güter in einen anderen Staat gebracht werden. Insbesondere immaterielle Güter, wie Software, können auf Speichermedien oder im Wege der Nutzung elektronischer Medien, per E-Mail oder sonstigem Datentransfer, exportiert werden. Für das Vorliegen einer Ausfuhr kommt es also keineswegs auf die Art der Übermittlung der Technologie oder der Software an. 

Der Upload in eine „Cloud“ von Daten, die kontrollierte Technologie oder Software darstellen, ist dann eine Ausfuhr, wenn die Server des Cloud Service Providers außerhalb der Europäischen Union gelagert werden.

Selbst wenn man annähme, dass sich die Cloud Services Nutzer dessen bewusst wären, würde es viele von ihnen vor das tatsächliche Problem stellen, Informationen über den physischen Standort der Server, das Routing der Datenströme, die Sub-Contractor-Situation und vieles mehr im Verantwortungsbereich des Cloud Service Providers zu erhalten. In vielen Fällen wird zu bedenken sein, dass Daten nicht ausnahmslos auf einem Server gelagert werden. Cloud Service Provider speichern Daten auf vielen Servern in verschiedenen Ländern, ohne dass der Cloud Service Nutzer dies nachvollziehen kann. Gleichwohl kann es sich dabei – jeweils – um einen Ausfuhrvorgang handeln, wenn kontrollierte Software und Technologie in die Cloud transferiert wurde.

Bereitstellen in der Cloud als Ausfuhrvorgang

Aber nicht nur der Upload in die Cloud schafft exportrelevante Sachverhalte. Auch das elektronische Bereitstellen von kontrollierter Technologie stellt eine Ausfuhr dar. Dafür ist es sogar ausreichend, wenn die Möglichkeit eingeräumt wird, dass von einem Ort außerhalb der Europäischen Union auf kontrollierte Technologie zugegriffen werden kann.

Das Bundesamt für Wirtschaft und Ausfuhrkontrolle stellt dabei auf die technische Möglichkeit eines Zugriffs und daneben auch auf die zweckgerichtete Schaffung einer solchen Zugriffsmöglichkeit an, mit der die Technologie „aus den Händen“ gegeben wird und ein späterer Zugriff nicht mehr kontrolliert und verhindert werden kann. Dies ist regelmäßig eine schnell erreichte technische Minimallösung der Nutzer. Insbesondere ist darauf zu achten, dass für eine Ausfuhr kein Download der kontrollierten Technologie erfolgen muss; die Möglichkeit des Zugriffs ist ausreichend.

Häufig ist eine solche Bereitstellung notwendiger Bestandteil der Zusammenarbeit mit Dritten an gemeinsamen internationalen Entwicklungsprojekten.

Vorsicht auch im Konzern

Die Bereitstellung als Ausfuhrvorgang schafft aber nicht nur in der Zusammenarbeit mit Dritten exportkontrollrelevante Situationen, sondern auch innerhalb internationaler Konzernstrukturen. Genehmigungspflichtig ist auch das Bereitstellen von Software und Technologie im firmeninternen Intranet oder im Internet, wenn hierdurch der Zugriff auf die Software oder Technologie aus Drittstaaten möglich ist.

Häufiges Beispiel dafür ist die grenzüberschreitende Entwicklung von Software, welche kryptografische Funktionen aufweist. Während die Masterversion der zu entwickelnden Software möglicherweise in der Europäischen Union gespeichert ist, arbeiten eine Vielzahl von Entwicklungsteams aus verschiedenen Ländern außerhalb der Europäischen Union an der Entwicklung von einzelnen Programmbestandteilen – die Bestandteile werden dann von einem zentralen Server aus der Cloud heruntergeladen, dann weiterentwickelt und über ein Versionsverwaltungsprogramm in die Masterversion integriert. Werden dabei auch Softwarebestandteile mit kryptografischen Funktionen grenzüberschreitend transferiert, kann es zu einem Exportvorgang kommen, der genehmigungspflichtig ist.

Bestimmung des Exporteurs schafft Risiken

Unklar ist, wer Ausführer im Sinne der Exportregelungen ist und damit verantwortlich für eine rechtlich einwandfreie Handhabung des Exportvorgangs zeichnet.

Deutsche und EU-Vorschriften dazu setzen voraus, dass eine bewusste Willensentscheidung der Person vorliegt, die den Exportvorgang in Gang setzt. Dies knüpft an den klassischen Exportvorgang an, bei dem typischerweise auf der Grundlage eine Kaufvertrags ein Gut grenzüberschreitend geliefert wird. Bei der Nutzung von Cloud Services Probleme schafft dies aber Probleme:

Zu denken ist zunächst an den Cloud Service Nutzer, der kontrollierte Technologie oder Software auf einen Cloud Server transferiert, von dem er allerdings nicht weiß, dass er sich außerhalb der europäischen Union befindet. Ist er Ausführer im exportrechtlichen Sinne?

Wie ist der Cloud Service Nutzer exportkontrollrechtlich zu beurteilen, der verschiedene kontrollierte Daten auf einem Cloud Server innerhalb der Europäischen Union zur Verfügung stellt und einem Dritten, welcher mobil sowohl innerhalb als auch außerhalb der Europäischen Union mit dem Cloud Service Nutzer zusammenarbeitet, Zugriff auf die Cloud Server Daten gewährt? Ist er Ausführer im exportrechtlichen Sinne?

Beide Cloud Service Nutzer haben jedenfalls gemeinsam, dass ihnen der Wille dazu fehlt, eine Ausfuhr zu initiieren. Sie wissen beide nicht, dass die Daten in das Ausland transferiert werden. Manche Cloud Service Provider bieten ihren Nutzern zwar die Möglichkeit, vertraglich festzulegen, welche Standorte die Cloud Server haben dürfen. Im Wesentlichen geschieht dies aus datenschutzrechtlichen Gründen. Dies gilt aber weitem nicht für alle Cloud Service Provider. Außerdem ist zu berücksichtigen, dass mancher Cloud Service Anbieter zudem gezwungen ist, fehlende Kapazitäten durch Unteranbieter aufbieten zu müssen. Ob diese entsprechenden vertraglichen Verpflichtungen unterliegen, erscheint zumindest zweifelhaft. Die beiden in den Beispielen beschriebenen Cloud Service Nutzer geraten also dann in exportrelevante Situationen, selbst wenn ihnen nicht bekannt ist, die Daten in das außereuropäische Ausland transferiert werden.

Der Cloud Service Provider hingegen wird sich regelmäßig darauf berufen, nicht zu wissen, dass er Software oder Technologie speichert und verarbeitet, die besonderen Genehmigungspflichten unterliegt.

Eine praktische Herangehensweise an die unklare Export-kontrollsituation hat das US-amerikanische Bureau of Industry and Security („BIS“) gewählt. In zwei sog. Advisory Opinions aus den Jahren 2009 und 2011 hat es festgelegt, dass das Angebot von Cloud Services keinen Export darstelle, sondern der Nutzer der Cloud Services weitestgehend für die Erfüllung exportrelevanter Verpflichtungen verantwortlich sei. Das BIS begründet dies damit, dass der Cloud Service Provider von dem Datentransfer nicht profitiere, sondern das charakteristische Merkmal seiner Tätigkeit lediglich die Bereitstellung einer technischen Infrastruktur sei.

Das US-amerikanische Exportkontrollsystem ist dem deutschen und europäischen System nur wenig ähnlich, so dass kaum Parallelen gezogen werden können. Nichtsdestotrotz zeigt die unklare Situation für die Cloud Service Nutzer, dass eine praktische Herangehensweise hilfreich sein kann.

Selbst wenn man diese praktische Herangehensweise zu Grunde legte und der Cloud Services Nutzer auch Ausführer wäre, stellten sich einige Folgefragen:

Wie würde das Empfängerland bestimmt werden, wenn es sich um eine Vielzahl von Ländern handelte? Wie wären die antragsbegleitenden Dokumente zu gestalten, wie zum Beispiel die Endverbleibserklärung? Gäbe es auch für Cloud Service Nutzer die Möglichkeit, Sammelausfuhrgenehmigungen zu nutzen? Gelten Allgemeine Genehmigungen auch für Cloud Services?

Verstoß gegen die Genehmigungspflichten

Das Außenwirtschaftsgesetz sieht für Ausfuhren ohne eine erforderliche Genehmigung strafrechtliche Sanktionen vor. Außerdem können den Handelnden und den Unternehmen signifikante Bußgelder auferlegt werden. Die Strafbarkeit betrifft nicht nur die Handelnden selbst, sondern auch die Geschäftsführung und den Vorstand der Unternehmen, welche den Verstoß begehen. Verstöße können schließlich ein Verbot der wirtschaftlichen Tätigkeit – im Sinne von Handelsverboten – nach sich ziehen.

Die Straf- und Bußgeldnormen sind allerdings auch in dieser unklaren Situation anwendbar.

Empfehlungen

Um das unternehmensinterne Risiko eines Verstoßes zu minimieren empfehlen wir,

  • unternehmensinternes Wissen über die Einordnung Ihrer Technologie und Software in das nationale und internationale System der Exportkontrolle aufzubauen und gegebenenfalls sensible Technologien und Daten von sonstigen Daten zu trennen;
  • Cloud Service Anbieter und deren Verträge insbesondere aus exportkontrollrechtlicher Sicht zu prüfen;
  • die Nutzung von Cloud Services zu spezifizieren, und zwar mit Blick auf Routings, Server Access, Sub-Contracting, Data Deletion; Encryption;
  • Ihre interne Exportkontrollabteilung auf die neuen Anforderungen durch die Nutzung von Cloud Services einzustellen, zu schulen und die internen Prozesse zu prüfen und anzupassen;
  • vor der Nutzung von Cloud Services das Internal Compliance Programme Export anzupassen;
  • die externen und internen Nutzer der Cloud Services zu kennen und festzulegen.