Datenschutz und Datensicherheit
[Page 8]
Harald Roth ist Rechtsanwalt in Bad Soden/Ts und seit 1980 spezialisiert auf Exportkontrollen. Von 1982-1990 hat er als technischer Experte an COCOM Sitzungen teilgenommen, zuletzt als Chairman der Arbeitsgruppe für die Mikroelektronik.E-Mail: roth@export-control.com
Die Welt der Mikroelektronik ist extrem schnellebig. Staatliche Kontrollen
sind im Vergleich dazu eigentlich "lahme Enten". Dies gilt jedoch nicht für
die Milcroelektronik und erst recht nicht für den
Kryptobereich,1 denn hier geben die USA aus
Eigeninteresse durch rechtliche Exportbeschränkungen den Takt vor. Die
recht1ichen Regelungen efordern in Hinblick auf die Vielzahl der Kryptoprodukte,
die ausgeführt werden können, eine differenzierte Betrachtungsweise.
Der folgende Artikel kann nur einen Teil der Probleme beleuchten. Die rechtlichen
Folgerungen widersprechen manchmal dem gesunden
Menschenverstand.
_______________
1 Der Absatz über Exportkontrollen in Hortmann, DuD 4/1997, 214, ist heute schon zum Teil veraltet.
Anders als der Import von Verschlussclungsprodukten2, der zumindest in die Bundesrepublik Deutschland völlig frei ist, unterliegt der Export strikten Kontrollen. Eine Verletzung dieser Bestimmungen fahrt sehr schnell zu strafrechtlichen Konsequenzen (Busseld bis zu 1 Mio DM, ggf Gefängnis bis 10 Jahre, Einzug aller Umsatzerlöse aus dem unerlaubten Export, bis hin zur Forderung nach Ablösung der Geschäftsführung).
Der Export wird durch eine Vielzahl von Vorschriften geregelt, die je nach Produkt und Situation auf einen bestimmten Fall anwendbar sein können. Neben den deutschen nationalen Vorschnften gelten fur zivile Waren vor allem die in der EU einheitlichen Vorschriften der EG Dual Use Verordnung, die am 1.7.1995 in Kraft traten.3 Unter Export ist dabei die Lieferung über die deutsche Landesgrenze oder uber die Grenzen der Europäischen Union hinaus zu verstehen. Aber auch die Weitergabe an Ausländer in Deutschland kann unter bestimmten Umständen genehmigungspflichtig sein. Dem Export ist in Deutschland anders als in der EU die Verbreitung per Datenfernübertragung gleichgestellt.
Zusätzlich mussen gerade im Bereich der Mikroelektronik und vor allem der Verschlüsselungshard- und software die US-Reexportvorschriften beachtet werden. Diese sind häufig viel strenger als deutsche oder europäische Vorschriften. Auf sie wird deshalb im sechsten Abschnitt gesondert eingegangen.4
__________
2 Verschlüsselung bedeutet im folgenden sowohl Ver- wie Entschlüsselung.3 Im folgenden Dual Use Verordnung. Auszüge in DuD 4/1997, 229 ff., im weiteren Text sowie http://www.dud.de.
4 Siehe Teil II des Beitrages in DuD 2/1998.
Exportbeschrankungen unterliegen die vom Staat in cincr Ausfuhrliste erfaBten Waren,
die vom Staat zur Wahrung seiner auBeren oder inneren Sicherheit fur wichtig gehalten werden. Eine Ausfuhr dieser Listenwaren ist ohne behordliche Genehmigung unzulassig. Unter Listenwaren werden Hardware, Software und Technologie verstanden.
Staatlicher Kontrolle unterliegen aber auch Waren, die nicht i,z der Ausfuh)liste erfaBt sind, weil sie technologisch oder strategisch nicht als so bedeutsam angesehen werden. Hintergrund ist die Feststellung, daB auch derartige Waren fur Rustungsprojekte in kritischen Landern eingesetzt werden. Sie unterliegen einer Genehmigungspflicht, wenn dcr Exporteur weiJ3 daB diese Waren auf dem Gebiet der ABCWaffen, der konventionellen Rustung, der Nukleartechnik oder der Tragerraketen ziviler und militarischer Art verwendet werden. Man spricht auch von ver vendungsbe..o~ene)t Konlrollen.
Da manche Exporteure weniger uber die Verwendung ihrer Waren wissen (oder wiSSen wollen) als andere, konnen die Behorden - gewissermaBen als Ausgleich fur dieses (bewuBte oder unbewuBte) Informationsdefizit - den Exporteur von der unerwunschten Verwendung in Kenntnis se~zen und auf diese Weise eine Genehmigungspflicht auslosen.
SchlicBlich wurde in Deutschland noch cin Verbot der Unterstutzung von ABCWaffen/7)0jekte)z eingefuhrt. Hier ist schon fahrlassiges Handeln mit Strafe bedroht.
Dienslleistlnlgen Deutscher fur konventionelle militansche oder
zivile nukleare Projekte in bestimmten Landern bedurfen ebenfalls einer
Genehmigung.
1.2 Behördliche Kontrolle
Die Bundesregierung hat auf der Grundlage des 2 Abs. 2 Aussenwirtschaftsgesetz
(AWG) zusätzlich das Recht, jede Lieferung oder sonstige Handlung in
Deutschland oder eines Deutschen zu unterbinden, wenn sonst keine
Kontrollmöglichkeit besteht.
Im ubrigen ist es naturlich Aufgabe und Befugnis der Zollbehorden, die
Berechtigung vor jeder Ausfuhr zu prufen, was stichprobenartig auch
geschieht. Hat der Zoll Zweifel, so halt er die Lieferung an und verlangt
eine formliche Freigabe durch das Bundesausfuhramt (BAFA). Bei den heutigen
sehr knappen Lieferzeiten und den vergleichsweise langen Bearbeitungszeiten
des BAFA ist das Anhalten einer Lieferung haufig fur den Exporteur sehr teuer.
Wenn die Lieferung endgultig gestoppt wird, sind Geld und Ware verloren.
Aber auch wenn sich nach einer Prufung herausstellt, daB die Lieferung in
Ordnung ist, kann das Akkreditiv bereits abgelaufen sein, oder es wird eine
Vertragsstrafe fallig. In all diesen Fällen lehnen die Behörden
jegliche Entschädigung ab.
Die Kontrolle der bereits getätigten Ausfuhren erfolgt im
Unternehmen durch spezielle AuBenwirtschaftsprufer der Oberfinanzdirekcion.
Wenn diese Anlal3 fur Beanstandungen haben, legen sie den Fall
dem BAFA (Bundesausfuhramt) zur Begutachtung vor. Bestatigt das
BAFA den Verdacht, wird ein BuBgeld- oder Strafverfahren eingeleitet. Zusatzlich
pruft das BAFA die auBenwirtschaftsrechtliche Zuverlassigkeit des Unternehmens
und seiner Manager. Bei gravierenden Verstol3en wird es einen ~/echsel in
der Geschaftsfuhrung verlangen. Andernfalls kann das Unternehmen keinen Antrag
auf Ausfuhrgenehmigung mehr stellen.
1.3 Historische Entwicklunq
Wahrcnd die auf Warenlisten beruhenden Kontrollen fur Hard- und Software
sowie Technologie nach dem Krieg von den USA ins Leben gerufen und 1949 durch
Grundung von COCOM allen NATO-Staaten aufoktroyiert worden sind, smd die
verwerLdungsbezogenen Kontrollen fur nicht gelistete Waren deutsche
Rechtsschopfungen. Sie sind 1991 und 1992 als Reaktion auf die bekanntgewordenen
deutschen Beteiligun-
Exportkontrollen' f ~r Verschlussel LJngsprol
gen an irakischen Rustungsprojekten erlassen worden.
Obwohl sich auch alle anderen NATOStaaten im Rahmen ihrer Wirtschafts- und Exponkraft an irakischen Rustungsprojekten kraftig beteiligt hatten, ging die Initiative fur neue Kontrollen von Deutschland aus. Es dauerte fast funf Jahre, bis die Europaische Union ebenfalls verwendungsbezogene Kontrollen zumindest fur den ABC-Waffen und Tragerraketenbereich einfuhrte.5
ZusamrnengefaBt werden kann dieses komplexe Gebilde von Exportkontrollregelungen
au f drei Grundpnllzipie~l die auch in allen anderen Landern gelten:
1. Wenn die Ware (das Produkt, die Guter, die Hardware, Software, Technologie) in der Ausfu/lrliste erfaBt ist, braucht man eine Genellmigung unabhangig vom Verwendungszweck.
2. Bei Waren, die /liC/lt in der Ausfullrliste stehen, entscheidet
der Verwendungszweck und ggf. die Kenntnis von diesem Verwendungszweck sowie
das Kaufer- und Bestimmungsland uber die Genehmigungspflicht.
3. Genehmigungen werden erteilt, wenn der jeweiligen Regierung das vorgelegte
Geschaft, also Ware, Kaufer- und Bestimmungsland, Enduser und Enduse militarisch,
politisch und/oder wirtschaftlich vertretbar erscheint.
Neben Kontrollen fur einzelne E~portlieferungen gibt es noch UNO oder EU
Embargen (z.B. ein totales gegen Irak, ein teilweises fur
Waffen-, Luftfahrt- und Erdolausrustung gegen Libyen). Ein Totalembargo,
wie das jetzt wieder aufgehobene gegen Jugoslawien, verbietet jeglichen Liefer-
und Geschaftsverkehr (auch Zahlungen). So wurde beispielsweise ein deutscher
Briefmarkenhandler verurteilt, weil er seine Abonnenten weiter mit postfrischen
Neuausgaben jugoslawischer Briefmarken beliefert hatte. Daneben kann es auch
ein
S Art 4 EC Dual Use VO: ,,Die Ausfuhr von Gutern mit doppeltem Verwendungszweck,
die nicht in Anhnng I des Beschlusses 94/9421GASP nufgefuhrt sind, ist
genehmigungspflichtig, wenn der Ausfuhrer von seinen Behorden davon unternchtet
worden ist, daB dies Guter gnnz oder teilweise bestimmt sind oder bestimmt
sein konnen fur die Entwic~lung, die Herstellung, den Umschlng, die Hnndhnbung
i...) chemischer, biologischer oder nuklearer Wnffen, die Gegenstnnd
entsprechender Nichtverbreitungsregelungen sind, oder zur Enlwicklung,
Herstellung Wnrtung oder Lngerung von Tragerraketen fur dernrtige Wnffen."
DuD Datenschutz und Datensicherheit 22 (1998)1
Embargo eincs einzelnen Landes gegen bestimmte Landcr geben.~
1.4 Wie entstehen Ausfuhrlisten (AL)?
Ausfuhrlisten entstehen nach oft jahrelangcr Abstimmung in internationalen Gremien auf der Basis von Entwurfen, die vom Militar oder sicherheitsrelevanten Institutionen, wie z.B. der IAEO', vor allem aber von den Exportkontrollburokratien der beteiligten Lander eingebracht werden. Solche Gremien sind:
' ~ das Wassenaar Arrangement8 in Wien (als COCOM-Nachfolger).
.~ die Australische Gruppe, die sich mit Waren beschaftigt. die fur chemische und biologische Waffen relevant sein konnen,
das MTCR (Missile Technology Control Regime), das sich mit Waren befaBt, die fiir Tragerraketen relevant sind,
die NSG (Nuclear Suppliers Group), dic sich mit den fur die Nukleartechnik relevanten Waren befaBt und
das CWU (Chemiewaffenubereinkommen), das sich mit der Kontrolle der in diesem Bereich relevanten Waren und Produktionsstatten beschaftigt.
An Wassenaar, MTCR, Australischer Gruppc und NSG sind jeweils uber 30 Lander beteiligt (fast immer dieselben, unter der Fuhrung der USA), beim CWU, (dem irgendwann das Biologiewaffenubereinkommen folgen wird) weit uber 60 Staaten mit wachsender Tendenz. Jeder Mitgliedstaat verpflichtet sich, die in aller Regel einverstandlich (d.h. einstimmig) zustande kommenden Ausfuhrlisten und Kontrollprozeduren in einem bestimmten Zeitrahmen in naiionales Recht zu ubertragen und anzuwenden.
Diese Listen werden konsolidiert zu einer Ausfuhrliste, wobei sich der
Zweck der einzelnen Kontrolle oft nur noch dem Experten erschliel3t.
Innerhalb der EU gibt es die Besonderheit, daB diese Listen gleichlautend
und einheitlich fur alle Mitgliedslander in der jeweiligen Landessprache
~ sekannt ist das US Totalembargo gegen Kuba und Libyen. Am 4. November 1997 hat US Prnsident Clinton es auf Sudan ausgeweitet Im Ergebnis fast gleichartige Beschrankungen fur US Waren bestehen gegenuber Iran, Nordkorea und Synen.
~ Intemationale Atomenergieorganisation in Wien
~ Zustandig fur Verschlusselungsprodukte
Harald Roth
gelten und Anderungen zum gleichen Zeitpunkt in Kraft treten, was mit der zum 1.7.1995 in Kraft getretenen EG-Dual Use Verordnung zum ersten Mal geschah.9 Sie regelt das in jedem ~itgliedsland geltende EU-Exportkontrollrecht von Gutern, die sowohl zivil als auch militarisch nutzbar sind (Dual Use). Die militarischen Guter"' hingegen unterliegen nicht dem Europaischen Recht, aber es besteht eine gewisse Tendenz der Burokratie in Brussel und einzelner Mitgliedslander, auch hier zu einheitlichen Regeln zu kommen.
Daneben haben alle EU-Mitgliedslander das Recht - wie selbstverstandlich
alle anderen Staaten auch -, rein nationale Listenpositionen hinzuzufugen
und die dadurch entstehenden wirtschaftlichen Nachteile
fur die eigene nationale Exportwirtschaft inkallf7llnehmen.''
1.5 Genehmigungspraxis in der EU
Zwar ist das EG-Recht, was die Verordnung und die Ausfuhrliste betrifft,
vereinheitlicht. Aber die Genehmigungspraxis ist eine nationale
Angelegenheit, die vott Mitgliedstaat zu Mitgliedstaat
unterschiedlich gehandhabt wird.
So ist es durchaus moglich, daB z.B. in Frankreich der Export einer konventionellen Rustungsfertigung fur 100 Millionen DM nach Indien genehmigt wird, wahrend eine deutsche Lieferung fur dieselbe Fabrtk im Wert von nur 10 TDM abgelehnt wird.
Ahnliches gilt fur die Auslegung der AL. Zwar bemuht man sich um internationalen
Konsens, aber die nationalen Behorden - auch innerhalb der EU - beanspruchen
die alleinige Kompetenz zur Auslegung der Regelun~en. Das fuhrt gclcgentlich
zu Unterschieden in der Genehmigungspflicht'-. die gerade internalionale
High Tech Unternehmen unnotig bela-
' FuBn. 3.
10 Zur Abgrenzung zwischen milit~nschen und Dual Use Gutem s.u. 3.
" Deswegen haben z.B. Frankreich und GroBbrit~nnien gegen die deutschen n~tionalen Kontrollen nichts einzuwenden, :Iber sie schlieBen sich ihnen auch nicht an.
12 SO kommt z.B. der segriff.,besonders konstruiert~ uber 300 m;ll in der AL vor, ist ~ber nirgends definiert.
11 Noch vor wenis.en Monaten waren MeBgerite fur GS~I Festsultionen wegen
ihrer Verschlusselungsfunkoon genehmigungspflichtig.
1.6 Exportkontrollen fur Verschlusselung
Dieses komplizierte und sich standige wandelnde nationale und internationale
Exportkontrollsystem gilt auch fur Verschliisselw1gsp~0dukle. Wahrend
aber bei der Exportkontrolle fur die ubrigen Guter Gesichtspunkle des
Volkerfnedens, der auBenpoli~ischen Beziehungen und der nationalen
auBeren Sicherheit eine Rolle spielen, tritt bei den
Verschlusselungsprodukten der hier fast noch wichtigere Aspekt der innerelt
Siclle~-lleit hinzu. Darunter verstehen slaarliclle Orgal7e im
Prinzip die Moglichkeit'4, jederzeit ungehinderten Zugang zu dem InformationsfluB
aller Organisationen, Burger und anwesenden Auslander zu haben und ihn soweit
wie moglich auch auf das Ausland auszudehnen. Die ll~irtscl~af~
versteht darunter die Geheimhaltung wirtschaftlich wichtiger, vertraulicher
Informationen und das Indi~
duum den Schutz seiner Privatsphare vor ungebetenen Zuhorern
und Lesern.
Angesichts des Informationsbedarfs der Gdhcimdienste
und anderer Behorden ist es keine Uberraschung,
daB die meisten Verschlusselungsprodukte in den Ausfuhrlisten
erfaBt sind. Bisweilen ist sogar dcr Import oder
Gebrauch dieser Produkte genehmigungspflichtig.'5
~ienehmigungspflicht bedeutet nicht, da~ der Export verboten ist. Andererseits
besteht in einer Reihe von Fallen von vornherein keine Aussicht auf eine
Genehmigung, und in anderen Fallen kann das
Genehmigungsverfahren sehr langwierig sein.'~ In wieder andercn Fallen werden
pausc/1a/e oder sogar Allget1leit1e Genelunigungen erteilt
(d.h. fur ledermann, sofern er sich nur an die Bedingungen halt) und es gibt
Falle, in denen auch fur gelistete Ver-
Auf seine Fr~ge, ob ein Inoenieur, der europ~weit mit diesem Ger~l seine Messungen m~cht. mil der Genehmigung nur eines EU Mitgliedsl~ndes unbeschr~nkt reisen durfe, erhielt der Autor hochst unterschiedliche behordliche Auskunfte.
'4 Siehe hierzu Phil Zimmermann: ,,Why PGP~: <Www ifi .uio.no/pgp/why_PGP shmtl>.
15 In der EU z.Ze nur in Fr;mkreich. D:lzu Rih~czek, DuD 1996. 484 ff.: Zur ICryptokontro~erse Bizer DuD 1996, 5 ff. sowie in DuD 4/1997, ~03 ff. Importbeschr~nkungen gibl es ~uch in Rul31:1nd und Polen.
'~ so da~ u.U. der ,,winschnftliche Tod" eines gepl;~nten Exports d:mn eintritt,
wenn der Kunde d~s Interesse verliert oder wenn ein ~nderes L~nd fur
Konkurrenzprodukte l;eine Genehrnigung ~erl;~ngt oder sie schneller erteilt.
schlusselungsprodukte keinerlei Genehmigungspflicht besteht. Die Bandbreite der moglichen Falle wird aus den folgenden Beispielen deutlich, auf die im weiteren Verlauf naher eingegangen wird:"
1. Verschlusselungsausrustung fur den Iran.
GSM-Netz Verschlusselungssoftware nach Polen.
Encryption-Karten im Notebook des Geschaftsreisenden.
Export des Web-Browsers NetscapeNavigator mit 128 bit Verschlusselung.'~
GSM-Handy mit Verschlusselungsfunktion im Auto oder Handgepack nach Frankreich.
Mitnahme eines Handys in den Iran, um das dortige GS!~f Netz zu benutzen. Militarische Verschlusselungsausrustung nach England, Ungarn, Rul3land oder Israel.
Gibt es Unterschiede in der Behandlung von Hardware, Software und Technologie?
Import von PGP 5.0.
2 Import und Nutzung
2.1 Import
In Deutschland'Y gibt es fur Verschlusselungsprodukte - sei es Hardware, Software oder Technologie - keine /Jnportkonlrollen. Genehmigungsfrei ist also auch der Import von PGP 5.0 nach Deutschland.
Cenehmigungs/~f7ichtig ist aber der Export von den USA nach Deutschland. Denn die in PGP verwendete starke Verschlusselung mit 1'8/10~4 bit (jede schwachere ist unsicher) ist nach den US-Vorschriften einzelgenehmigungspflichtig, obwohl es sich um kostenlose Public Domain Software handelt.
Nach Ansicht der US Behorden ist es nur Amerikanern und Kanadiern erlaubt,
PGP 5.0 beispielsweise vom MlT-Server m den USA herunterzuladen. Vor dem
Download pruft das Programm auf dem MIT Server die Staatsangehorigkeit u.a.
mit
'~ K;lpitel 3.3.
18 Noch Mitte 1997 w~r nur die 40 bit key Version fur den Export ~us den USA und den Reexport freigegeben. Inzwischen ist ;luch die 1'8 bit key Version frei fur den Export, ~uch per downlo~d im Internet. Dnmit ist naturlich die de jure weiterbestehende (us Reexport) Kontrolle fur L~nder wie Ir~n, Kuba, Libyen, Nordkorea, Sudan und Synen de f~kto Milkul:ltur.
'9 Anders in Polen und Ru~l~nd.
Hilfe der URL und der email-Adresse. Zwar kann man die Prufroutine des MITServers austricksen, aber nach Behordenansicht bleibt es dennoch ein Verstoi3 gegen US -Recht.
Die PGP-Aktivisten in Norwegen (Stale Schumacher-) haben einen anderen Weg eingeschlagen. Sie scannen die per Post e.~portierten rund 6000 Seiten Source Code von PGP 5.0 in Norwegen und wandeln ihn erst dort in Object Code um. Der Export von Public Domain Software im Source Code ,,als Buch" ist nach der USVerfassung, den US-Behorden und entsprechenden Gerichtsurteilen" als freie Rede nicht beschrankt und nicht beschrankbar. Vom norwegischen Server kann also bald ohne Verletzung der US-Reexportbestimmungen PGP 5.0 (wie schon die VorgangerVersionen) heruntergeladen werden.
Mit den bereits jetzt kursierenden Versionen soll man jedoch
vorsichtig sein. Angeblich sind von den Geheimdiensten stammende
Versionen im Umlauf, die nur ganz schwach verschlusseln,
obwohl sie volle Funktionalitat vor~aukeln.
2.2 Nutzung
Es gibt auch7~ keine deutschen Vorschnften fur die Nutzung von Verschlusselung
im Inland, aul3er fur die Unternehmen der Digitalen F~unktelefonnetze Dl,
D2 und E7l, sowie die behorden-internen Regeln/Geheimschutz. Den deutschen
Sicherheitsbehorden (die Geheimdienste BND, MAD, Verfassungsschutz sowie
die Staatsanwaltschaften und dem Zollkriminalinstitut) ist es gesetzlich
erlaubt, Telekommunikation ab-
20 Autor der Intemntional PGP Homepage.
2I Zum Bemslein Cnse, Kieper, DuD 4/1997, 216: Befurworter der freien
Verbreitung von Encryption Softwnre feiem dns Urteil als Meilen-
stein. US luristen sind sich jedoch ziemlich einig, dnB es zunachst nur nuf
Freew;lre angewnndt werden kann. Fur kommerzielle Software halt
man die gegenwartigen US EAR weiter fur einschlagig.
2 Ende 1996, Anfang 1997 wurden innerhalb
der sundesregierung Plnne einer Kryptoregulierung ebenso wie jungst ein Vorschlag
des Fsl fur
die USA diskutiert. Siehe auch Knnther, DuD 6/1997, 366 und die Ubersicht
in DuD 5/1997,
Die Netzbetreiber mussen, soweit sie den Eemmeldeverkehr Yerschlusseln, ihn
den Sicherheitsbehorden entschlusselt zur Verfugung stellen, soweit eine
Abhorgenehmigung besteht, 8 Abs. 4 Satz I FuV vom 18. Mni 1995,
BGBI. I S. 7 7~, nnher sizer 1996, 8 f.
Exportkontrollen~fur Verschlusselungsprod
zuhoren. ~ Die NSA75 hort in Deutschland Von der Regelungstechnil; entspncht die
ebenfalls ab. Dual Use VO einer Zusammenfassung des
deutschen AuBenwirtschaftsgesetzes
3 Exportkontrollen nung (AWV). Dle Llste der Guter mut dop-
fur Dual Use peltem Verwendungszweck entspncht Teil
I C der deutschen AL, jedoch ohne die dort
Verschlusselung enthaltenen nationalen Listenpositionen.
Mit Dual Use Verschlusselung sind eigent-
lich zivile Verschlusselungsprodukte ve-
meint, die Dual Use genannt werden, ~ eil
sie sowohl zivilen als auch militarischen
7wP(~kt~n ~ nt-n knnn~n
3.1 EU Dual Use
Verordnung
In Deutschland wie in der gesamten EU
wird der Export von Dual Use Verschlus-
selungsprodukten durch die EG VO Nr.
3381/94 geregelt, die am 1.7.1995 in Kraft
getreten ist. Sie gilt in allen EU Landern
unmittelbar und verdrangt entgegenstehen-
des nationales Recht.7
Systematik
Die Dual Use VO besteht aus zwei Teilen,
der Verordnung und der Lisle der Dual Use
Guter. Wahrend die Verordnung vom Rat
der Europaischen Union erlassen worden
ist, weil sie in die Zustandigkeit der EU
fallt, ist die der Verordnung als Anhang
beigefugte Liste der Dual Use Guter ein
Gemeinschaftswerk aller EU-Mitglieds-
staaten, weil diese der Auffassung sind, dal3
das Auflisten der zu kontrollierenden Guter
(Hardware, Software und Technologie) in
die nationale Kompetenz der Mitglieds-
staaten fallt. Im Ergebnis ist der Unter-
schied nicht gravierend, da eine einheitliche
Ausfuhrliste zustande gekommen ist. Pro-
bleme gibt es, weil die Interpretation der
gemeinsamen Ausfuhrliste als nationale
Zustandigkeit angesehen wird.~7
Naher Bizer DuD 1996. 5. Die auch als
verdnchtslose F~hndung des BND bezeichnete
Befugnis, den intemationalen nicht leitungsge-
bundenen Femmeldeverkehr nnch Suchworten
abzuhoren (,j 3 G 10 Geset2), ~ ird zur Zeit vom
Bundesverfassungsgericht uberpruft, EuGRZ
1995, 353 ff Zum Umfimg der AbhomnnBnlh-
men der Staatsanwaltschaften zuletzt DuD
8/1997, 493. Angaben zu den Nachrichtendien-
sten liegen nicht vor.
2S US National Secunty Agenc~
26 FuBn. 3.
27 Selbst wenn man sich in der EU auf eine gemeinsame Interpretation einigt,
wichtige Mitgliedsldnder wie USA, Kanada, RuBland,
DuD Datenschutz und Datensicherheit 22 (1998)1
Verhaltnis zu Wassenaar
Auch ihrem Inhalt nach enthalt die Liste der Dual Use Guter keine groBe Neuerung, denn sie ist eine Kopie der Wassenaar Listen fur nukleare und industrielle Guter. Die Vereinfachung der EG-Guterliste gegenuber dem Rechtszustand vor dem 1.7.1995 liegt darin, daB es einheitliche verbindliche Ubersetzungen dieser Liste in alle Sprachen der Mitgliedslander gibt, und dal3 die Liste ebenso wie alle Anderungen am selben Tag in allen Mitgliedslandern in Kraft treten, bzw. getreten sind.~~
Auch die anderen Mitgliedslander von Wassenaar auBerhalb der EU, wie z.B. USA, Kanada, Japan, Singapur, Sudkorea, Schweiz, Norwegen, RuBland und alle ehemaligen Ostblockstaaten sowie die Volksrepublik China verwenden dieselbe Liste als Grundlage fur ihre nationalen Kontrollen. Jedoch wjrd das wie und wann von Verscharfungen oder Erleichterungen, die in Wassenaar beschlossen worden sind, uneinheitlich gehandhabt.
So wird in den USA die Ausfuhr von Intel Pentium Prozessoren PS ab 90 Megahertz bis P6 mit 200 Megahertz immer noch in alle Lander kontrolliert, wahrend in der EU und in allen anderen Wassenaar Mitgliedslandern der Export dieser Prozessoren seit November 1996 keiner listenmaBigen Kontrolle mehr unterliegt.
Speziell im Bereich der Verschlusselung weichen die amerikanischen Vorschnften
stark von den bei Wassenaar gemeinsam29 verabschiedeten multilateralen Kontrollen
ab, und nur gelegentlich sind gleiche Fragmente in den sehr viel umfassenderen
US Regelungen erkennbar.
Inhalt der Dual Use VO und der AL
Doch zunachst zuruck zur Dual Use VO. Sie ist glucklicherweise
viel kurzer als das deutsche System aus AWG und AWV, hat aber auch ihre Tucken.
z.B. durch die
China, NorwegeD, Schweiz usw. konnen durchaus anderer Meinung sein.
Z~ AuBerdem gibt es im Regelfall keine Kontrollen mehr fur den Warenverkehr innerhalb der EU. Fur Verschlusselungsprodukte gilt dies jedoch nur mit groBen Einschrankungen.
2Y mit Zustimmung der USA.
Ha~oth ~
I,bernahme des sehrformalen Ausfuhrerbegriffs aus dem EG Zollrecht.
Die Verordnung regelt in 3 die Genehmigungspflicht, die im Prinzip nur fur
die Ausfuhr aus der EU gelten soll.
Aber gerade fur die Verschlusselungsprodukte ist dieses Prinzip in sein Gegenteil
verkehrt, Denn alle in Anhang IV zur Verordnung aufgefuhrten Guter bed~lrfen
auch bei Lieferungen innerhalb der EU (im Zolldeutsch ,,Verbnngung"
genannt) einer Einzelgenehmigung.l"
Fur Exporteure mit umfangreichen Liefermengen sind auch Sammel- und Hochstbetragsgenehmigungen mdglich, jedoch keine Allgemeinen Genehmigungen." Die wesentlichen Verschlusselungsprodukte sind in Anhang I und 4 aufgefuhrt, so daB es auch fur Lieferungen in kleinen Mengen oder mit kleinem Wert keinerlei Erleichterungen von derGenehmigungspflichtgibt(Art. 19).12
Eine von einem Mitgliedsstand erteilte Ausfuhrgenehmigung gilt
in allen EU Mitgliedslandern (Art. 6 Abs. 3). GemaB Art. 7 Abs. I wird die
Ausfuhrgenehmigung von den zustandigen Behorden des Mitgliedsstaates erteilt,
in den der Ausfuhrer niedergelassen ist. Probleme konnen entstehen, wenn
die Verschlusselungsprodukte z.B. aus Deutschland ausgefuhrt werden sollen,
aber sich zum Zeitpunkt der Antragsstellung oder spater in einem anderen
EU Ivlitgliedsland befinden. In diesem Fall muB
nach Art. 7 ein Konsultationsverfahren ein~eleitet werden.
Fur Verschlusselungsprodukte sind die Kontrollen in der EU Liste und der deut-
schen AL glucklicherweise identisch.
1~ Bei dcr Ausfullr ~us der EU bedurfen auch die nur in Anh~ng I ~rf~sten Guter einer Genehml~ung.
Besond~rs expo!tfreundlich sind die Vor~chnf~en in den ~'iederl:lnden. Die .,Glob;
License" erl~ubt Lieferungen von Anh~rtg I ~ren in pr~ isch ~lle L~nder ~n :Ille Enduser ohne vorheri~ Einzelgenehmigung od~r den in Deutschl~nd erforderlichen Endverbleibserkl~irungen Zus:lmlllen mit den ~orteilhaften niederl~lndischen Zoll und Steuervorschnften sind sie der Grund. v.~arum ~iele lmporteure, Exporteure und Spedi~ionen schon lange nicht mehr in Deutschlnnd residieren. Einseitige n~tion tle surokr:llie m.3cht ~us dem Export v on W~ren einen Expon von Arbei[spl~tzen.
l Gerade im Bereich von . ~ ssenprodukten gibt es jedoch eine Reihe von wichli~en
Ausn~hmen, so fl~r M:tss Mlrket Software. Kr~pto Faxgerate, GSM
H~ndies, Point of S~le Verschlusselungssoft- und H~rdw~re, usw. ~gl dazu
die Liste der ausgenorrLmenen Waren in DuD Recht 4/1997 S. ~30 f und httt~://www
dud.de.
Die maf3geblichen Bestimmungen finden
sich in den Kate~orien 4 und 5, Te~l 2, Info~7nationssiche1 ileit ".33
Zum Verstandnis der Rechtstexte ist wichtig, da~ alle gelisteten
Verschlusselungsprodukte, die der technischen Beschreibung entsprechen, von
den Beschrankungen erfa~t sind, soweit sie nicht in den Anmerkungen ex~ra
ausgenommen sind. Ebenso werden von der Ausfuhrliste alle Produkte erfaBt,
die ihrerseits erfal3te Verschlusselungsprodukte enthalten.
3.2 Einzelfalle
Anhand der mal3geblichen Bestimmungen der ~ategorien 4 und 5, Teil 2, ,,rnforltta~ionsslclte)/teit lassen sich die oben unter 1.6 genannten Beispielsfalle uberwiegend losen.
Fall 1 (Iran) erfordert eine Genehmigung (die nicht erteilt werden wird), wenn sich fur die Produkte keine Ausnahme von der Erfassung finden lal3t (wie z.B. fur personalized smartcards fur den Zahlungsverkehr). Ahnlich verhalt es sich mit Fall 8 (Indien), wobei fur zivile Enduser eine Genehmigungschance besteht.
Fall 2 (GSM-Netz Software nach Polen3~) ist zwar genehmigungspflichtig, aber Lieferungen an anerkannte Netzbetreiber oder Serviceunternehmen werden genehmigt.
Fall 5 (Handy nach Frankreich): GSM Handys sind zwar ,,entwickelt zum Einsatz digitaler Kryptotechnik zur Gewahrleistung von Informationssicherheit", werden aber durch Anmerkung d (am Ende von 5A002) von der Erfassung wieder ausgenommen.
Auch in den Iran (Fall 6) konnte das Handy nach deutschem und europaischen Recht frei geliefert werden, nicht aber nach amerikanischem Recht. Hier ist also das Handy von Motorola (Blaupunkt, Sony) gegenuber dem von Siemens, Nokia, Alcatel oder Ericsson im Nachteil.
Fall 7 erfordert den Blick in Teil I A der AL (s.u.).
Fall S konnen wir nur teilweise klaren, namlich daB Hardware
(in SA002 und SB002) Software (in 5D002) und Technologie (in SE2) grutldsatzlich
erfal3t werden.
'' AbgedrLckt in DuD 4/1997, 730 f. sowie unter hup:t/www.dud.dokumentlttion/.
3~ Importgenehmigung nicht vergessen
3.2.1 Encryption Card im
Notebook
Fall 3: Encryption Card im (nicht: fiir das) Notebook des Geschaftsreisenden. Diese PC-Karten sind in SA002 Ziff. 1 erfal3t. Eine Ausfuhrgenehmigung ist erforderlich fur Reisen aus der EU in D?ittstaaten. Fur Reisen innerhalb der EU gibt es in Anhang IV (siehe unten) eine Sonderregelung, die von der Genehtn~gungspflicht befreit.l5
~e~spiel: Wer tnit seinem Notebook, in dem sich eine Encryption
Card befindet, von Deutschland nach Italien reist, sollte Jliegen oder uber
den Brenner fahren. Die Reise uber den Gotthard-Pal3 erfordert eine deutsche
und eine schweizetische Genehnugung (und auf der Ruckreise eine italienische
und eine schweizer Genehmigung).
In der derzeit gultigen Fassung lautet3h
Anhang IV der Dual Use Verordnung
,,4AOOlb l~lel:tronisclle Rechner und ver~andte Cerare sowie elel;u-nnische Baueru?7/7en und besonders konstruierle ~estandleile hie~fur mir Eigenschaften oder Fw~ktionen die die Grenzwerte der Kategorie 5 (Teil 2 - Informa- tionssicherheit) ubersclueiten.
ausgenommell:
Di~italrechner mit Eigenschaften oder Funktionen gemaiJ3 Nummer
4 der Kategorie 5 Teil 2 dieses Anhangs sofem sie fur den personlichen Cebrauch
bestimmt sind und von ihre~n Benutzer mitRefuhl t ~ve/den.
,,4D003c
Software 17tir Eigenscltaftelt oder Funklionelt die die Glenzwelte der Kategolie 5 (Teil 2 - Informationssicherheit) iiberschleitelt,
ausgenommell:
Software ntit einer der in den folgenden Abscltniltelt beschl iebenen Eigenschaften oder Fwtklionelt:
a) Nummer I der Kategol ie 5 Teil 2 dieses Anhangs jedoch ohne End-zu-End-
Verschlusselultgs- oder Entschlusse-
lungsfunklion oder b) Nummer 4 der Kategol ie 5 Teil 2 dieses
Anhangs sofern siefiir den personlichen
15 Achtung: die Ausnahme gilt nur far Karten im Notebook des l~eisenden, nicht far die Mitnahme der Karten ol~ne Notebook. Sie gilt auch nicht fur die kommerzielle Lieferung von Notebooks mit Karten z.B. vom deutschen Hersteller an den Kaufer in Engl md.
6 Unterstnchen besagt, daB der Begriff in der Du;ll Use VO definiert
wird.
Gebrauch besrimrnl isl und von ihrem Benut. er mi~gefiihrt wird. "
,,Kategorie 5
Alle in Teil 2 - Informationssicherhei~ -
aufgefuhrten Guter; mir Allsnahme folgen-
der Gi(ter:
1. tragbare oder mobile Funklelefone die nac~l nationalen regionalen oder internationalen Zivilnormen entwickelt wurden z.B. tragbale oder mobile l~llnktelefone fiir den Einsar in kommerziellen ..ivilen zellularen Mobilfi-nksystemen;
2. kommerzielle ..ivile Basissrationen fiir .elllllare Mobilfi~nkltetze, Ittit allen folgenden Ei,yenscllafien.
a) beschrankl auf die Ve~vendung mil Funklelefonen bei denen eine Versc~tli~sselung des Nacllrichlenverkehrs allssclllie.~lic/t auf der direkten Verbindung zwischen Funktelefon Imd Basisstation (als Luftschnittstelle bekannt) erfolgt und
b) nicht geeignet zur Verschlilsselung des Nacltrichtenverkehrs ausgenommen uber die Luftschniltstelle;
3. von Nummer SB002 erfaJ3te Einriclltungen fi~r die ultter Nummer 2 genannten Gerate;
4. Giiter olme unmittelbare Sprachverscillusselungs- oder -entschlusselungsfahigkeit die ~.ur Verwendung in Verbindung mit Di~italrechnern (einschlieJ31ich der von ~ategorie 4 erfaJ3ten) enhvickek
vurden sofern sie fi~r den personlichen Cebrauch bestim~nt sind und von ihrem Benutzer mitgefiillrt verden;
5. Sofhvale als Teil eines Gerats dessen Eigenschaften oder Funktionen in einem der folgenden Abschnitte beschrieben sind.
a) /Vummern I bis 3 oder b) Nummer 4 sofern es fiir- den personlichen Gebrauch bestimmt ist und
om Benut..er mitgefuhrt wird;
6. TeclInoloRie fiir die Verwendun~ der von den Nummern
I bis S el fa~ten Guter: "
3.2.2 Browser mit Verschlusselung
Fall 4 ist glucklichcrweise praxisnah gere-
gelt. Fur den Netscape Navigator mit Verschlussclung gilt wie fur den
entsprechenden Microsoft Explorer die Ausnahme in der Allgemeinen Software
Anmerkung zur AL. Sie lautet:
,,Allgemeine Softw~re-Anmerkung (ASA)
(Soweit in Cattung D der Kategorien 0 bis
9 Sofnvare erfa~t wird enlfallen die Kon-
Exportkontrollen fur Verschlusselungsprodukte
trollen IYenn nachstehende Vorausset.ungen er~illt sind.)
Die Gattungen ~ler Kategorien O bis 9 d ieser Liste erfassen keine So fhvare. d ie enr~eder:
a) frei erhaltlici~ ist lmd
1. im Einzell1andel ohne Einschrankungen mittels einer der folgenden Geschaftspralrtiken ~Jerkauft ivird:
a) Barverkauf;
b) Versandverkallf oder c) Telefon\)er~aLIf
und
2. da..u enhvickelt ist vom ~enut er ohne umfangreiche Unterst~lt..ung durci den Anbieter installiert .u werden
oder
b) allgemein zu~an~licJ~ ist. "
Die (kauflichen) Web-Browser (z.B. Nelscape Navigator Gold) sind als mass
market software fur jedermann frei erhaltlich und dazu entwickelt. vom Benutzer
selbst installiert zu werden. DaB man dazu manch mal die Hotline braucht,
spielt keine Rolle. Die im Internet kostenlos erhaltlichen WebBrowser sind
als Public Domain Software, genehmigungsfrei.
ti Trotz der gemeinsamen Grundlage von Cocom/Wassenaar
und ASA (letztere ist auf erstere zuruckzufuhren und
wurde dort mit Zustimmung der USA vereinbart),
lassen die USA die ASA im USRecht fur Verschlusselung nicht gelten.
LJ~B der verschlusselungsfahige NetscapeBrowser dennoch keine
US-Reexportgenehmigung braucht, liegt daran, daB Netscape sich eine weltweite
Genehmigung erkampft hat.
3.2.3 Verschlusselungs-
hardware
In der Allgemeinen Softwareanmerkung
wird deutlich, dal3 im europaischen Recht
Verschlusselungshardware einerseits und
Public Domain oder Mass Market Software
andererseits unterschiedlich behandelt
werden. Denn fur Massenartikel wie PC-
Karten fur Notebooks gibt es keine allge-
meine Freistellung von der Exportkontrolle.
Hardware kann als Teil einer Hauptsa-
che in Hardware untergehen, d.h. seinen
Embargostatus in der Hauptsache verlieren.
Wenn also nicht erfaBte Hardware (z.B.
Netzkarte) in erfal3te Hardware (z.B. einen
High speed router) eingebaut wird, bleibt
die neue Gesamtware erfaBt. Oder wenn ein
erfaBter Prozessor (z. B. Intel Pentium P Il -
266 MHz) in einen nicht erfal3ten PC (z. B.
mit Ein-Prozessor-PC-Board) eingebaut wird, bleibt die neue Gesamtware (Pentium
PII PC) nicht erfaBt. Dies ergibt sich aus der:
,,Vorbemerkung 2 zur AL
Der Zweck der in der Al~sfiz~lrliste angege6enen Kontrollen ~arf nicht dadurc~l Iznterlal~fen werde1l dnJ~ nicht erfaJ3te Guiter (einschlie~lich Anlagen) mit einem oder melZreren erfaJ3ten Bestandteilen ausgefiihrt werden -enn das (die) erfapte(n) Bestandteil(e) ein ~al~prelement des Ausfuhrxz~tes ist (sind) und leic~tt entfernt oder filr andere Z-~ecke ve~-endet ~erden kann (konnen).
Anm.: Bei der Be~ eilz~ng daruber ob das oder die erfa/Jte(n) Bestandteile ein HaulJtelement bildet (bilden) mi~ssen Menge Wert Iznd eingeset_tes tec~znologisches Know-how sowie andere besondere Bedingz~ngen beri~cksichtigm~erden.
Bei Verscfllilsselullgsilaldware wird diese Ausnahmereglu1lg az~l~er Kraft gesetzt indem man Versc)zliisselungsllardware immer als Haupteleme1l t ansiell t. Der IBM Thinkpack fz~r 12.000.- DM n1it einer PC Encryption Card fio 500,- DM ist also erfa/3t. Anders als ~lardware in ~ardware geht Sofhvare in Hard-~are n~e z~nter In der AWVb_w. den allgemeinen Cenehmigungen (AC IZ) gibt es zwar fur Hard-vare die in Teil I C erfaJ3t ist ei~le Wertfreigrenze von DM 5.000,-. D. h. erst darilber gibt es Genehmigz~1lgspflichten. Fur Software gibt es derartige Wertfreigrenzen nicht. D.h.: erfaJJte Soft vare bleibt erfaJ3t auch dann wenn sie nz~r 500 DM kostet und die Har~pt vare in der sie enthalten ist 500.000,- DM kostet. Software wird eben nicllt als Bestandteil einen Computersystems angesehen sofern das Computersystem und mit anderer Software arbeiten kann. "
Anderes kann fur Firmenware gelten. Im GSM Handy ist die Software
einschlieBlich Verschlusselungsalgonthmus im Signalprocessor (DSP) fest
eingebaut. Sie wird damit zur Hardwarekomponente und geht unter. Damit begrunden
deutsche und amerikanische Behorden die Genehmigungsfreiheit des oSP als
Ersatzteil, trotz Verschlusselungsfunktion. In der DSPU des GSM-Funkturms
dagegen ist die Software (mit der gleichen Verschlusselung) auf eine Festplatte
aufgespielt. Sie geht daher nicht unter und die DSPU bleibt erfaBt.
(Wird in DuD 2/1998 fortgesetzt)
DuD Datenschutz und Datensicherheit 22 (1998)1 ~ ~ 13