zuletzt geändert am 17.09.2025

ITAR-Compliance im Mittelstand: Anforderungen und Umsetzung

Die zunehmende internationale Verflechtung von Lieferketten sowie der Einsatz US-amerikanischer Technologien führen dazu, dass auch mittelständische Unternehmen in Deutschland regelmäßig mit dem US-Exportkontrollrecht konfrontiert werden. Die „International Traffic in Arms Regulations“ (ITAR) regeln den Export von Rüstungsgütern, militärischer Technologie und technischen Daten. Aufgrund ihrer extraterritorialen Wirkung entfalten diese Regelungen auch dann Wirkung, wenn das betreffende Unternehmen keine Niederlassung in den Vereinigten Staaten unterhält.

Ein funktionierendes Exportkontrollsystem nach ITAR erfordert die Integration verschiedener organisatorischer, technischer und rechtlicher Maßnahmen in die Unternehmensstruktur.

Management Commitment

Voraussetzung für ein wirksames ITAR-Compliance-System ist das klare und dokumentierte Bekenntnis der Unternehmensleitung zur Einhaltung der einschlägigen Vorschriften. Dieses Commitment beinhaltet auch die Bereitstellung von Ressourcen sowie die Benennung eines Exportkontrollbeauftragten (EKB), der die Implementierung und Überwachung der erforderlichen Maßnahmen verantwortet.

Risikobasierte Analyse

Im ersten Schritt erfolgt eine systematische Prüfung der Produkte, Komponenten, Software und technischer Daten in Bezug auf ihre ITAR-Relevanz. Maßgeblich ist die U.S. Munitions List (USML), die alle von ITAR erfassten Güter abschließend auflistet. Auch zivil nutzbare Produkte mit militärischer Anwendung (sog. dual-use) können ITAR-pflichtig sein, wenn sie beispielsweise als Teil militärischer Systeme Verwendung finden.

Registrierung und Lizenzverfahren

Unternehmen, die mit ITAR-relevanten Produkten oder Technologien umgehen, unterliegen einer Registrierungspflicht beim Directorate of Defense Trade Controls (DDTC). Darüber hinaus sind je nach Einzelfall Exportlizenzen zu beantragen – sowohl für physische Exporte als auch für den elektronischen Transfer technischer Daten an ausländische Personen. Der Antrag erfolgt über das DECCS-System und unterliegt strengen Dokumentationspflichten.

Schulungen und Sensibilisierung

Ein Compliance-System ist nur dann wirksam, wenn die betroffenen Mitarbeitenden über die notwendigen Kenntnisse verfügen. Schulungen müssen risikoorientiert erfolgen, regelmäßig wiederholt und dokumentiert werden. Dabei sind die Inhalte auf die jeweilige Funktion der Beschäftigten abzustimmen – insbesondere in Technik, Einkauf, Vertrieb, Logistik und IT.

Geschäftspartner-Screening

Vor jeder relevanten Transaktion ist eine Überprüfung aller beteiligten Parteien gegen US-Sanktionslisten durchzuführen (z. B. SDN-Liste, Debarred Parties). Die Prüfung kann manuell oder automatisiert erfolgen, muss jedoch nachvollziehbar dokumentiert sein. Gegebenenfalls ist zusätzlich eine Endverbleibserklärung (End-Use Certificate) einzuholen.

Interne Kontrollmechanismen

Für ITAR-relevante Prozesse sind verbindliche Prüf- und Freigabeverfahren einzuführen. Dazu zählen insbesondere Genehmigungsprozesse vor Exporten, Zugriffskontrollen auf sensible Daten, die Trennung technischer Netzwerke und geeignete Verschlüsselungsmaßnahmen. Zugriffe durch nicht-US-Personen auf ITAR-relevante Informationen müssen unterbunden werden.

Dokumentation und Aufbewahrung

Alle relevanten Vorgänge – einschließlich Lizenzanträge, Genehmigungen, interne Freigaben und Schulungsnachweise – sind revisionssicher zu dokumentieren und mindestens fünf Jahre aufzubewahren. Hierfür bieten sich zentrale Dokumentations- oder Exportkontrollsysteme an, die den Zugriff und die Nachvollziehbarkeit sicherstellen.

Audits und Korrekturmaßnahmen

Die Einhaltung der Vorgaben ist regelmäßig durch interne Audits zu prüfen. Dabei sind insbesondere Schwachstellen im System aufzudecken und durch geeignete Korrekturmaßnahmen zu beheben. Im Falle eines Verstoßes kann ein Verfahren zur freiwilligen Selbstanzeige gegenüber dem DDTC erforderlich werden.

Fortlaufende Aktualisierung

Da sich das US-Exportkontrollrecht laufend weiterentwickelt, ist eine kontinuierliche Beobachtung der Rechtslage erforderlich. Änderungen in Produktportfolio, Lieferketten, Unternehmensstruktur oder technischer Architektur können eine Anpas

Diese strukturierte Herangehensweise ermöglicht es, ITAR-relevante Risiken systematisch zu erkennen, rechtssicher zu steuern und die Einhaltung internationaler Exportkontrollvorschriften nachhaltig sicherzustellen.