Außenhandel09.09.2021 Newsletter

Dual-Use-Verordnung: Was Unternehmen jetzt beachten sollten und wie sie profitieren können

Die Dual-Use-Verordnung tritt heute, am 9. September 2021 in Kraft. Knapp drei Monate nach ihrer Veröffentlichung herrschen teilweise noch Unsicherheiten, wie genau die Vorschriften nun anzuwenden sind. Was muss ich als Unternehmen beachten und wie kann ich eventuell von den Neuregelungen profitieren? 

Nach langjährigen Verhandlungen auf europäischer Ebene über eine Neuregelung für Güter mit doppeltem Verwendungszweck wurde die neue Dual-Use-Verordnung (EU) 2021/821 am 11. Juni 2021 im Amtsblatt der EU veröffentlicht. Diese tritt am 9. September 2021 in Kraft und ersetzt die Dual-Use-Verordnung (EG) 2009/428. Sie ist ohne weitere Übergangszeiträume ab diesem Datum von allen Unternehmern zu beachten und umzusetzen.

Mit den in der Verordnung vorgesehenen Leitlinien der Kommission ist frühestens Anfang 2022 zu rechnen, das BAFA hat eigene Merkblätter aber bereits auf seiner Homepage veröffentlicht. Wir haben die wichtigsten Neuregelungen bereits jetzt für Sie zusammengefasst.

Neue Allgemeine Genehmigungen

Mit der Neufassung der Dual-Use-Verordnung wurden zwei neue Allgemeine Genehmigungen (AGG) in Anhang II der Verordnung aufgenommen.

Konzerninterner Austausch von Software und Technologie

In der unternehmerischen Praxis ist der Austausch von Software und Technologie nahezu an der Tagesordnung, wenn zum Beispiel neue Entwicklungen an verschiedenen Unternehmensstandorten vorangetrieben werden oder die Fertigung auf mehrere Standorte verteilt ist. Die Notwendigkeit von Ausfuhrgenehmigungen für diese Art der konzerninternen Zusammenarbeit wurde immer als fehl am Platz empfunden.

Die neue AGG EU 007 soll den konzerninternen Austausch im Rahmen von gewerblicher Produktentwicklung erleichtern.

Der privilegierte Güterkreis ist grundsätzlich sehr weit gefasst. Mit einigen Ausnahmen werden sämtliche Positionen des Anhangs I der Dual-Use-Verordnung erfasst. Die Ausnahmen betreffen neben explizit ausgenommenen Gütern des Anhangs II Abschnitt I der Verordnung auch Güter der Kommunikationsüberwachung, da diese ein besonderes Missbrauchspotenzial aufweisen und regelmäßig im politischen und medialen Fokus stehen.

Der räumliche Geltungsbereich ist positiv durch eine Aufzählung der möglichen Bestimmungsländer beschränkt.

Weitere Voraussetzung ist, dass der Endverwender eine Tochtergesellschaft oder eine Schwestergesellschaft des Ausführers ist, sofern die Muttergesellschaft eine verbindliche Garantie für die Handlungen dieser Gesellschaft übernimmt. So soll eine gewisse Kontrolle gewährleistet werden. Weitere Anforderungen stellen ebenfalls sicher, dass der Ausführer Kontrolle über die Software oder Technologie behält, zum Beispiel die Erstreckung der Kontrolle auf die aus der Entwicklung resultierenden Produkte. Am Ende des Entwicklungsvorganges oder bei anderweitigem Verlust der Kontrolle über die Software und Technologie (etwa bei Verkauf der betreffenden Gesellschaft) muss die Technologie/Software an den Ausführer zurückgegeben und von der Tochter- bzw. Schwestergesellschaft vollständig gelöscht werden.

Eine weitere – neuartige – Nebenbestimmung ist die Pflicht zur Registrierung mindestens 30 Tage vor der erstmaligen Ausfuhr unter Verwendung dieser Allgemeinen Genehmigung.1 Die weiter zu beachtenden Meldeverpflichtungen über die Verwendung entsprechen den bisher bekannten Regelungen.

Auch neu ist die erforderliche Bestätigung eines etablierten ICP des Ausführers, denn der betroffene Bereich der Entwicklungstechnologie ist besonders sensibel. Damit wächst die Bedeutung des ICP für Unternehmen weiter.

Verschlüsselungstechnologie

Die weitere neue AGG EU 008 privilegiert die Ausfuhr bestimmter Dual-Use-Güter der Verschlüsselungstechnologie. Ihr Anwendungsbereich ist enger als der der nationalen AGG 16. Die Abgrenzung kann im Einzelfall technisch sehr komplex sein. Zum Beispiel können VPN-Router je nach ihrer technischen Ausgestaltung entweder der Unternummer 5A002a1 des Anhangs I der EU-Dual-Use-VO (dann nur für AGG 16 zugelassen) oder der Unternummer 5A002a2 (dann sowohl für AGG EU 008 als auch für AGG 16 zugelassen) zugeordnet werden. Die beschriebene Zuordnungsproblematik wurde erkannt und es wurde versucht, die Verfahrenserleichterung möglichst anwendungsfreundlich zu gestalten. Daher gilt, dass die EU 008 ausnahmsweise nicht zwingend vorrangig zu verwenden ist, sondern der Ausführer hier ein freies Wahlrecht hat.2

Sollte der Ausführer die EU 008 wählen, sind der eingeschränkte Länderkreis sowie einige Nebenbestimmungen zu beachten:

In Bezug auf den örtlichen Anwendungsbereich sind grundsätzlich alle Länder erfasst, welche nicht schon über die EU 001 abgedeckt werden. Vom privilegierten Länderkreis ausgenommen sind Waffenembargoländer oder Länder, gegen welche EU-Sanktionen im Dual-Use-Bereich bestehen. Außerdem gibt es eine umfangreiche Auflistung von Ländern, die explizit vom Anwendungsbereich ausgeschlossen werden.

Die Nebenbestimmungen erfassen neben den bekannten Meldepflichten und Ausschlusstatbeständen auch eine Registrierungspflicht des Ausführers. Danach muss sich der Ausführer – wie bei der AGG EU 007 - vor der erstmaligen Inanspruchnahme der EU 008 registrieren. Der registrierte Ausführer hat außerdem zehn Tage vor dem Datum der erstmaligen Ausfuhr dem BAFA gegenüber mitzuteilen, dass er diese Genehmigung erstmalig verwenden wird.

Großprojekte

Eine Genehmigungsmöglichkeit für Großprojekte wird mit Art. 12 Abs. 3 S. 2 eingeführt, um die besonderen Bedürfnisse der Industrie zu berücksichtigen. Danach können Einzel- oder Globalausfuhrgenehmigungen beantragt werden, welche für die Ausfuhr an einen oder mehrere bestimmte Endverwender in ein oder mehrere genau festgelegte Drittländer zum Zwecke der Durchführung eines genau bestimmten Großprojektes gültig sind. Diese Genehmigung hat grundsätzlich eine Gültigkeitsdauer von bis zu vier Jahren. In hinreichend begründeten Fällen, welche sich aus der Laufzeit des Projektes ergeben, kann die Geltungsdauer aber auch darüber hinausgehen.

Cloud-Computing

In den Erwägungsgründen wird nun erstmals auch Cloud-Computing erwähnt. Die Mitgliedstaaten sollen für die Ausfuhr von Software oder Technologie mit doppeltem Verwendungszweck unter anderem im Rahmen von Cloud-Computing Bestimmungen über Allgemein- oder Globalgenehmigungen oder eine harmonisierte Auslegung der jeweiligen Bestimmungen vorsehen. So soll der Verwaltungsaufwand für Ausführer reduziert werden.

Wann im Rahmen von Cloud-Computing eine genehmigungsbedürftige Ausfuhr vorliegt, wird hingegen nicht konkret geregelt. In der Konsequenz bedarf es deshalb zunächst weiterhin einer Auslegung des Begriffs der Ausfuhr gemäß Art. 2 Nr. 2 der EU-Dual-Use-Verordnung. Diese Auslegung wird von den verschiedenen Mitgliedstaaten allerdings unterschiedlich vorgenommen.

Deutschland verfolgt hierbei einen eher strengen Ansatz: Bei der elektronischen Übertragung von Software oder Technologie aus der EU heraus auf einen Server, welcher sich in einem Drittland befindet, wird auch dann schon eine Ausfuhr bejaht, wenn die Software oder Technologie ausschließlich verschlüsselt übertragen und abgespeichert wird und dabei keiner Person im Drittland Zugriff auf diese Daten gewährt wird. Hintergrund ist, dass zwar auf den ersten Blick in dieser Konstellation keine Gefahr besteht, dass die Software oder Technologie „in die falschen Hände“ gerät, allerdings könnten Regierungsstellen sich auf Grundlage nationaler Gesetze Zugang zu diesen Daten verschaffen.

Für den Fall, dass Software oder Technologie auf Servern innerhalb der EU gehostet wird, liegt nach der Praxis des BAFA dann eine Ausfuhr vor, wenn eine Person aus einem Drittland die Möglichkeit des unbeschränkten Zugriffs erhält. Ein tatsächlicher Zugriff ist hingegen nicht erforderlich.

Unternehmen werden folglich weiterhin vor große Herausforderungen gestellt. Sie müssen sich den möglichen Beschränkungen bei der alltäglichen Nutzung von zum Beispiel Cloud-Diensten oder Webmails bewusst zu sein und eventuell erforderliche Genehmigungen einholen. Ein konkreter Anpassungsbedarf für Unternehmer aufgrund der neuen Verordnung besteht damit nicht.

Es besteht aber Hoffnung auf einen reduzierten administrativen Aufwand durch zukünftige AGG oder Globalgenehmigungen auf nationaler Ebene.

Erweiterung der Genehmigungspflichten für Vermittlungsgeschäfte

Liest man den neuen Art. 6 Abs. 1 EU-Dual-Use-Verordnung über die Genehmigungspflicht für die Erbringung von Vermittlungsgeschäften, stellt man auf den ersten Blick keinen wesentlichen Unterschied zum alten Art. 5 Abs. 1 EG-Dual-Use-Verordnung fest.

Der Schein trügt jedoch. Der von beiden Vorschriften in Bezug genommene Art. 4 Abs. 1 hat sich wesentlich verändert: Aufgrund der neuen Strukturierung von Art. 4 sind nunmehr nicht nur Vermittlungsgeschäfte genehmigungspflichtig, welche die Ausfuhr von Gütern mit doppeltem Verwendungszweck betreffen, die zur Verwendung im Zusammenhang mit der Entwicklung, der Herstellung, der Handhabung, dem Betrieb, der Wartung, der Lagerung, der Ortung, der Identifizierung oder der Verbreitung von chemischen, biologischen oder Kernwaffen oder sonstigen Kernsprengkörpern oder zur Entwicklung, Herstellung, Wartung oder Lagerung von Flugkörpern für derartige Waffen bestimmt sind (Buchstabe a). Auch Vermittlungsgeschäfte, die Güter für die militärische Endverwendung betreffen, wenn gegen das Käuferland oder das Bestimmungsland ein Waffenembargo verhängt ist (Buchstabe b), sind nun genehmigungspflichtig. Außerdem gilt mit der EU-Dual-Use-Verordnung eine Genehmigungspflicht für Vermittlungsgeschäfte, die sich auf die Verwendung als Bestandteil militärischer Güter beziehen, die in der nationalen Militärgüterliste aufgeführt sind und aus dem Hoheitsgebiet eines Mitgliedstaats ohne Genehmigung oder unter Verstoß gegen eine aufgrund der einzelstaatlichen Rechtsvorschriften dieses Mitgliedstaats erteilte Genehmigung ausgeführt wurden (Buchstabe c).

Emerging technologies

Neu entstehende Technologien unterliegen einer rasanten Entwicklung, welche eine Bedrohung für nationale Sicherheitsinteressen oder auch Menschenrechte darstellen können, zum Beispiel Drohnen, Künstliche Intelligenz, Quantencomputing oder Satellitentechnik.

In den USA wurde deshalb bereits im Jahr 2018 mit dem Export Control Reform Act (ECRA) eine Verschärfung der Exportkontrollvorschriften vorgenommen. Hintergrund ist der zunehmende Abfluss von technologischem Know-how insbesondere nach China, unmittelbar durch Exporte, aber auch indirekt durch ausländische Investitionen.

China antwortete darauf mit dem im Dezember 2020 in Kraft getretenen Exportkontrollgesetz Export Control Law of the People’s Republic of China (ECL). Dieses schließt explizit auch Technologien, Dienstleistungen oder Daten ein, die es im Interesse der chinesischen Sicherheit zu kontrollieren gilt.

Diesem politisch aufgeladenen Spannungsfeld begegnet die EU durch die Einführung der Art. 9 und 10 EU-Dual-Use-Verordnung mit einem vorsichtigeren Ansatz. Über den dort vorgesehenen Mechanismus kann zunächst eine nationale Genehmigungspflicht für nicht gelistete Güter aus Gründen der öffentlichen Sicherheit, einschließlich der Verhinderung von Terroranschlägen, oder aus Menschenrechtserwägungen eingeführt werden. Den anderen Mitgliedstaaten eröffnet sich sodann die Möglichkeit der Übernahme dieser nationalen Listung, worüber alle zuständigen nationalen Behörden zu informieren sind.

Hierbei handelt es sich um eine Umsetzung der angestrebten verbesserten Zusammenarbeit der Mitgliedstaaten untereinander sowie der Harmonisierung der Exportkontrolle, welches im Ergebnis auch zu mehr Wettbewerbsgleichheit im Binnenmarkt führen kann.

Güter der digitalen Überwachung

Die Verordnung führt weiterhin eine „Catch-All-Klausel“ für Güter der digitalen Überwachung ein. Diese wird nur für eine kleine Gruppe von Unternehmen von Bedeutung sein. 

Erfasst sind ausschließlich Güter mit doppeltem Verwendungszweck, welche speziell dafür konstruiert sind, die verdeckte Überwachung natürlicher Personen durch Überwachung, Extraktion, Erhebung oder Analyse von Daten aus Informations- und Telekommunikationssystemen zu ermöglichen oder eine entsprechend „tiefgreifende Datenpaketanalyse“ erlauben.

Zu diesen Daten gehören auch biometrische Daten. Darunter versteht man personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen und die mit speziellen technischen Verfahren gewonnen werden, wie zum Beispiel Gesichtsbilder oder daktyloskopische Daten.

Nicht erfasst sind hingegen Güter, welche für eine rein kommerzielle Anwendung bestimmt sind, wie etwa zur Rechnungsstellung, für Marketingzwecke, zur Sicherstellung von Qualitätsdiensten, der Nutzerzufriedenheit oder der Netzsicherheit.

Weitere Konkretisierungen und Beispiele stellt das BAFA in seinen am 16.8.2021 erschienen Merkblättern „Die neue EU-Dual-Use-Verordnung (Verordnung (EU) 2021/821)“ sowie „Merkblatt zum Art. 5 der neuen EU-Dual-Use-Verordnung (Verordnung (EU) 2021/821)“ dar. Diese sind zwar rechtlich nicht verbindlich, vermitteln aber einen guten Eindruck der Herangehensweise der Genehmigungsbehörde.

Ist einem Unternehmer aufgrund von im Rahmen seiner Sorgfaltspflicht erlangten Erkenntnissen bekannt, dass die auszuführenden Güter der digitalen Überwachung ganz oder teilweise dafür bestimmt sind, im Zusammenhang mit interner Repression und/oder der Begehung schwerwiegender Verstöße gegen die Menschenrechte und das humanitäre Völkerrecht verwendet zu werden, muss er das BAFA darüber in Kenntnis setzen.

Offen ist dabei, welche Anforderungen an die Sorgfaltspflichten des Ausführers gestellt werden. Nach Ansicht des BAFA ist es für die Kenntnisse über die Verwendung der Güter durch den Geschäftspartner wohl ausreichend, sich einfachsten Quellen wie etwa Google oder dem Menschenrechtsbericht der Bundesregierung3 (abrufbar über die Homepage des Auswärtigen Amtes) zu bedienen – mit anderen Worten Quellen, die jedermann zugänglich sind. Ob darüber hinaus mit den Vertragspartnern ein entsprechender Code of Conduct über die Endverwendung vereinbart werden sollte, wird diskutiert. In ersten mündlichen Stellungnahmen haben Vertreter des BAFA dies für nicht erforderlich gehalten.  

Die Catch-All Klausel ist auch einschlägig, wenn das BAFA den Ausführer über eine der vorgenannten Endverwendungen unterrichtet.  

Dieses Regelungsmuster ist aus Art. 4 der EG-Dual-Use-Verordnung hinlänglich bekannt.

Im Ergebnis entscheidet in beiden vorgenannten Fällen das BAFA über die Genehmigungspflicht für die Ausfuhr der betroffenen Güter.

Im deutschen Recht wurde bereits im Jahr 2015 eine Listung von Überwachungssystemen sowie von Geräten und deren Bestandteile für die Informations- und Kommunikationstechnik in 5A902 Teil I Abschnitt B der Ausfuhrliste eingefügt. Für die dort gelisteten Güter gilt das Genehmigungserfordernis für die Ausfuhr und Verbringung gemäß §§ 8, 11 AWV der genannten Güter selbst und für diesbezügliche Handels- und Vermittlungsgeschäfte gemäß § 46 AWV, sowie das Genehmigungserfordernis des ebenfalls im Jahr 2015 eingefügten § 52 b AWV. Damit wurde ein Genehmigungserfordernis auch für die technische Unterstützung im Zusammenhang mit bestimmten in Teil I Abschnitt B der Ausfuhrliste gelisteten Gütern der Kommunikationsüberwachung geschaffen.

Entsprechend des Erwägungsgrundes 9 der EU-Dual-Use-Verordnung soll die Regelung des Art. 5 EU-Dual-Use-Verordnung die Ausfuhrkontrolle nicht gelisteter Güter der digitalen Überwachung harmonisieren.

Im Verhältnis zwischen EU-Recht und nationalem Recht sieht Art. 5 Abs. 3 EU-Dual-Use-Verordnung eine Öffnungsklausel vor, so dass eine einzelstaatliche Rechtsvorschrift wie die der §§ 8, 11 AWV in Verbindung mit 5A902 bzw. § 52 b AWV unter Beachtung der verschiedenen Voraussetzungen des Art. 5 EU-Dual-Use-Verordnung fortbestehen kann.

Fazit

Unternehmer sollten sich mit der Dual-Use-Verordnung unbedingt auseinandersetzen. Es gilt es zu klären, inwieweit sie von den neu geschaffenen Allgemeinen Genehmigungen oder der Regelung über Großprojekte profitieren können. Ein bestehendes ICP auf seine Wirksamkeit und Effizienz zu überprüfen ist gerade im Zusammenhang mit den neuen AGG empfehlenswert.

Der neue Art. 5 der Verordnung bezüglich der Güter der digitalen Überwachung wird nur eine kleine Gruppe von Unternehmen betreffen, die diese Entwicklung intensiv verfolgt und zum Teil aktiv begleitet hat. 

Den Unternehmen sollte bewusst sein, dass durch verschiedene neue Formate der Zusammenarbeit und Transparenz auf EU-Ebene ein insgesamt höheres und einheitlicheres Kontrollniveau erreicht wird. Genehmigungsentscheidungen könnten zum Beispiel – zumindest anonymisiert – veröffentlicht werden. In Deutschland ansässige Unternehmen sollten darin aber durchaus eine Chance auf eine Verbesserung im Sinne von europaweit einheitlichen Wettbewerbsbedingungen sehen (Stichwort: „level playing field“).

 

1 Bei den bestehenden AGGs genügt in der Regel eine Registrierung bis zu 30 Tage nach der erstmaligen Nutzung.

2Kochendörfer/Paul: Neue Allgemeingenehmigungen EU 007 und EU 008, AW-Prax 2021, 218, 222.

3 BAFA Merkblatt zum Art. 5 der neuen EU-Dual-Use-Verordnung, S. 11, abrufbar auf www.bafa.de/SharedDocs/Downloads/DE/Aussenwirtschaft/afk_merkblatt_eu-dual-use-vo_artikel-5.html.

Zurück zur Übersicht

Stephan Müller

Stephan Müller

PartnerRechtsanwalt

Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 448
M +49 173 3088 038

E-Mail