zuletzt geändert am 06.07.2025
Die Regulierung von Software durch das US-Exportrecht ist ein zentrales und zugleich komplexes Thema für international agierende Unternehmen. Anders als bei physischen Gütern sind bei Software immaterielle Aspekte wie Download, Cloud-Zugriff oder Quellcode-Transfer entscheidend. Die maßgeblichen Rechtsquellen sind die Export Administration Regulations (EAR), ergänzt durch spezifische Regeln des US-Außen- und Finanzministeriums.
Klassifizierung von Software nach den EAR
Im US-System unterliegt Software grundsätzlich der Zuständigkeit des Bureau of Industry and Security (BIS), sofern sie nicht militärischer Natur ist (dann ITAR). Die Einordnung erfolgt über die sogenannte Commerce Control List (CCL). Für jede kontrollierte Software ist eine Export Control Classification Number (ECCN) maßgeblich. Diese entscheidet darüber, ob für einen bestimmten Export oder Reexport eine Lizenz erforderlich ist.
Software kann insbesondere dann kontrollpflichtig sein, wenn sie:
- kryptographische Funktionen enthält (vgl. ECCN 5D002),
- für militärische oder sicherheitskritische Anwendungen entwickelt wurde,
- Bestandteil eines dual-use-Guts ist oder
- auf US-Technologie basiert (Stichwort: Reexport und De-minimis-Regeln).
Relevanz der Verschlüsselung
Ein besonders sensibler Bereich ist Verschlüsselungssoftware. Bestimmte kryptographische Anwendungen unterliegen strengeren Melde- oder Lizenzpflichten – je nach Algorithmus, Schlüsselstärke, Endnutzer und Verwendungszweck. Unternehmen müssen hier sorgfältig prüfen, ob ihre Produkte unter eine der Ausnahmen der License Exception ENC fallen oder eine Exportlizenz benötigen.
Extraterritoriale Wirkung und Foreign Direct Product Rule
Ein zentrales Merkmal des US-Exportrechts ist seine extraterritoriale Reichweite. Software, die auf US-Technologie basiert oder mit US-Tools entwickelt wurde, kann selbst dann den US-Vorschriften unterliegen, wenn sie außerhalb der USA erstellt, gespeichert oder vertrieben wird. Insbesondere die Foreign Direct Product Rule (FDPR) macht Software, die unter Nutzung von US-Software oder -Know-how entwickelt wurde, zum „subject to the EAR“.
Cloud und Bereitstellung
Auch die Bereitstellung von Software über die Cloud oder durch Fernzugriff (z. B. Software-as-a-Service, SaaS) kann einen kontrollierten Export darstellen. Entscheidend ist, ob US-Jurisdiktion tangiert wird – etwa durch US-basierte Server, US-Personal oder US-Unternehmen im Konzernverbund.
Aktuelle Informationen zu Software unter Exportkontrolle
Neue US-Exportkontrollregelung für KI-Rechenzentren: Data Center Validated End-Users
Mit Wirkung zum 15. Januar 2025 hat das US-Handelsministerium (Bureau of Industry and Security, BIS) im Rahmen des neuen „Framework for Artificial Intelligence Diffusion“ die...
Red Flags in der AI
In Anhang Nr. 3 zu Teil 732 wurde durch das Framework for Artificial Intelligence Diffusion eine neue Warnung (Red Flag Nr. 28) hinzugefügt, um Compliance-Hinweise für...
KI-Modelle unter Exportkontrolle
Die Regulierung von Exporten durch die USA gewinnt weiter an Bedeutung – nicht nur für US-Unternehmen, sondern auch für Unternehmen aus Deutschland und der EU. Besonders die...
Compliance-Empfehlungen
Unternehmen, die Software exportieren oder international bereitstellen, sollten:
- eine präzise ECCN-Klassifikation der Software erstellen (US-Elemente: de-minimi-rule),
- kryptographische Funktionen sorgfältig prüfen,
- Kunden, Nutzer und Verwendungszwecke kontrollieren (End-Use/End-User Checks),
- und gegebenenfalls eine License Exception oder Exportlizenz beantragen.
Ein internes Exportkontrollprogramm (Export Compliance Program) ist dringend zu empfehlen – insbesondere angesichts empfindlicher Strafen bei Verstößen.
Bei Fragen stehe ich Ihnen gerne zur Verfügung.
Prof. Dr. Darius O. Schindler, MBA
Stabelstr. 8 | 76133 Karlsruhe
mail@us-exportrecht.com
Telefon: +49 (0)721 85 140 840