IT-Recht und Datenschutz20.11.2020 Pressemitteilungen
Einigung über neue Dual-Use-Verordnung
Der Europäische Rat und das Europäische Parlament haben sich am 9. November 2020 über neue Regelungen zur Kontrolle der Ausfuhr, des Transfers, der Vermittlung, der technischen Hilfe und der Durchfuhr von Gütern mit doppeltem Verwendungszweck geeinigt.
Seit Inkrafttreten der Dual-Use-Verordnung im Jahr 2009 wurde sie bereits mehrfach geändert. Die Liste der kontrollierten Güter wurde jährlich angepasst. Bereits 2016 stellte sich heraus, dass die bestehende Verordnung an den raschen technologischen, wirtschaftlichen und politischen Wandel angepasst werden muss. Nach jahrelangen Diskussionen des EU-Rates und des EU-Parlaments ist eine Änderung der Dual-Use-Verordnung zum Greifen nah. Der finale Entwurf dieser Einigung wurde nun veröffentlicht.
Wichtigste Neuerungen
Die geplanten Änderungen legen einen besonderen Fokus auf Überwachungstechnologien, eine flexible Anpassung der Anhänge der Dual-Use-VO, die Optimierung des Genehmigungs- und Kontrollsystems sowie eine Überarbeitung der grundlegenden Definitionen:
Überwachungstechnologien
Der Entwurf sieht eine besondere Kontrolle für Güter mit doppeltem Verwendungszweck vor, die konstruiert sind, um die verdeckte Überwachung natürlicher Personen durch Überwachung, Extraktion, Sammlung oder Analyse von Daten aus Informations- und Telekommunikationssystemen zu ermöglichen (Überwachungstechnologien).
Neben den schon heute (überwiegend in Kategorie 5) gelisteten Gütern in diesem Bereich und der bestehenden Catch-All-Klausel des Art. 4 Dual-Use-VO, soll für solche Güter eine besondere Catch-All-Klausel eingeführt werden. Eine Ausfuhr von Überwachungstechnologien wird genehmigungspflichtig, wenn der Ausführer darüber Kenntnis erlangt (durch Information des BAFA oder von Dritten), dass das entsprechende Produkt für einen Einsatz im Zusammenhang mit interner Repression und/oder der Begehung schwerer Verletzungen der internationalen Menschenrechte und des humanitären Völkerrechts verwendet werden soll oder könnte. Auch die nationalen Zollbehörden und EU-Mitgliedstaaten sind in diesem Fall zu informieren. Letztere haben dann bis zu 30 Werktage Zeit, die Information zu prüfen und ggf. Einwände gegen die Ausfuhr zu erheben. Damit fügt sich der Entwurf in die bisherige Kontrollsystematik im Rahmen von Catch-All ein. Insbesondere steht es nach dem jetzigen Entwurf nicht in der alleinigen Verantwortung der Unternehmen, eine Bewertung der Menschenrechtssituation vorzunehmen.
Ein besonderes Risiko für Menschenrechtsverletzungen besteht nach dem Entwurf, wenn Überwachungstechnologien besonders entwickelt sind, um u. a. eine verdeckte Überwachung von natürlichen Personen durch Überwachung, Extraktion, Sammlung oder Analyse von Daten, einschließlich biometrischer Daten, aus diesen Systemen durchzuführen. Dabei erkennt der Gesetzgeber, dass Gegenstände, die für rein kommerzielle Anwendungen wie Fakturierung, Marketing, Qualitätsdienste, Benutzerzufriedenheit, Netzsicherheit usw. verwendet werden, im Allgemeinen nicht mit solchen Risiken behaftet sind.
Eine eigenständige, neue Kategorie 10 für Güter der Überwachungstechnologie sieht der Entwurf nicht mehr vor.
Die EU-Mitgliedstaaten verpflichten sich, Informationen auszutauschen, um wirksame Kontrollen der Ausfuhr von nicht gelisteten Cyber-Überwachungsgütern zu stärken.
Außerdem werden die Mitgliedstaaten ermächtigt, nationale Genehmigungspflichten für sensible Überwachungstechnologien zu erlassen.
Flexible Anpassung der Anhänge
Der Gesetzgeber soll rasch in die Lage versetzt werden können, auf schwerwiegenden Missbrauch bestehender Technologien oder auf neue Risiken im Zusammenhang mit neuen Technologien (emerging technologies) zu reagieren. Dazu wird die Kompetenz zur Überarbeitung der Listen kontrollierter Güter (Anhang I der Dual-Use-VO), der Allgemeinen Ausfuhrgenehmigungen (Anhang II) und der innereuropäisch kontrollierten Güter (Anhang IV) auf die EU-Kommission übertragen.
Außerdem wird ein System zum Austausch von Informationen der Mitgliedstaaten eingerichtet, das es ihnen ermöglicht, ihre Reaktionen zu koordinieren, wenn ein neues Risiko festgestellt wird.
Optimierung des Genehmigungs- und Kontrollsystems
Der Entwurf sieht vor, dass ein gemeinsames Ausfuhrkontrollnetz in der gesamten Union eingerichtet wird. Dies umfasst z. B. elektronische Genehmigungsverfahren, technische Expertengruppen und die Einrichtung eines Mechanismus zur Koordinierung der Durchsetzung. Exporteure, Makler, Erbringer technischer Hilfe und andere einschlägige Akteure, die von der Verordnung betroffen sind, einschließlich der Industrie und zivilgesellschaftlicher Organisationen, sollen in diesem Zusammenhang regelmäßig konsultiert werden.
Die Genehmigungsbedingungen und -anforderungen sollen harmonisiert werden, um Wettbewerbsverzerrungen zu vermeiden und die einheitliche und wirksame Durchführung von Kontrollen im gesamten Zollgebiet der Union zu gewährleisten. Insofern begründet der neue Entwurf allerdings keine Pflicht der Mitgliedstaaten, wie es im ursprünglichen Entwurf der Kommission vorgesehen war. Ersieht lediglich vor, dass die Kommission in Zusammenarbeit mit den Mitgliedstaaten Leitlinien zur Unterstützung der behördenübergreifenden Zusammenarbeit zwischen Lizenz- und Zollbehörden entwickeln kann.
Der Entwurf sieht außerdem weitere Allgemeine Ausfuhrgenehmigungen der EU vor, insbesondere für
- die Ausfuhr von Verschlüsselungstechnologien,
- Ausfuhren mit geringem Wert,
- unternehmensinterne Übertragung von Software und Technologie und
- Ausfuhren zum Zweck eines bestimmten Großprojekts (large-scale projects).
Insbesondere die Allgemeine Ausfuhrgenehmigung für den unternehmensinternen Technologie-Transfer dürfte in der Praxis eine erhebliche Bedeutung erlangen können. In Deutschland werden sog. Internal Compliance Programs (ICP) schon seit Jahren von vielen Unternehmen implementiert: Das BAFA fordert solche u. a., wenn ein Antrag auf eine Sammelgenehmigung gestellt wird. Der Entwurf sieht nun jedoch vor, dass alle Mitgliedstaaten entsprechende Guidelines für ICP erlassen sollen. Auch hier zielt der Entwurf auf eine praxisorientierte Lösung ab: Er statuiert ausdrücklich, dass für die Guideline auch den Unterschieden in Größe, Ressourcen, Tätigkeitsbereichen und anderen Merkmalen der Ausführer – wie z. B. den konzerninternen Strukturen und Compliance-Standards – Rechnung getragen werden soll. Es kann gerade keine „one fits all“-Lösung geben. Das erkennt auch der Entwurf an.
Eine solche Guideline existiert in Deutschland bereits durch das Merkblatt des BAFA zur Firmeninternen Exportkontrolle (siehe hier). Änderungen der BAFA auf Grundlage der Verordnung sind unwahrscheinlich, da das Merkblatt bereits heute statuiert, dass es kein „Muster“-ICP gibt. Je nach Größe, Geschäftsfeld und Kundenportfolio eines Unternehmens muss anhand einer Risiko- bzw. Betroffenheitsanalyse festgelegt werden, welche Anforderungen im Einzelnen das ICP erfüllen muss (Merkblatt, Seite 4).
Überarbeitung grundlegender Definitionen
Eine letzte wesentliche Änderung, die durch den Entwurf eingebracht wurde, ist eine Überarbeitung grundlegender Definitionen.
Die Definition des Ausführers stellt klar, dass dies auch Personen betrifft, die Software und Technologie in elektronischer Form juristischen oder natürlichen Personen oder Personengesellschaften außerhalb des Zollgebiets der Union zur Verfügung stellen.
Außerdem wurden Definitionen aufgenommen für:
- Technische Unterstützung
- Erbringer technischer Unterstützung (supplier of technical assistance)
- Überwachungstechnologien
- Genehmigung für Großprojekte (large project authorisation)
- Allgemeine Transfer-Genehmigung der Union (Union general transfer authorisation)
- Internes Compliance-Programm (ICP) und
- im Wesentlichen identische Transaktion (essentially identical transaction).
Next steps
Die Einigung wird den EU-Botschafterinnen und -Botschaftern zur Billigung vorgelegt. Anschließend werden Parlament und Rat ersucht, den Entwurf in erster Lesung anzunehmen.
Die EU-Kommission rechnet mit einer Veröffentlichung der finalen Fassung im Frühjahr 2021, sodass die neue Verordnung im Sommer 2021 in Kraft treten könnte.