Exportkontrolle und Sanktionen
Dein Startup wächst, und du möchtest international expandieren? Grossartig! Aber bevor du deine Software, Technologie oder Waren in andere Länder verkaufst, musst du dich mit Exportkontrolle und Sanktionen auseinandersetzen. Dieses Thema wird von vielen Startups unterschätzt -- mit potenziell schwerwiegenden Folgen.
Warum Exportkontrolle auch Startups betrifft
Exportkontrolle klingt nach Rüstungsindustrie und Waffenhandel. Aber die Realität ist breiter: Auch zivile Technologien, Software und Know-how können exportkontrollrechtlichen Beschränkungen unterliegen. Besonders betroffen sind:
- Software mit Verschlüsselungstechnologie
- Künstliche Intelligenz und Machine Learning
- Hochleistungscomputing
- Cybersecurity-Tools
- Drohnentechnologie
- Biotechnologie
- Fortgeschrittene Materialien
Wenn dein Startup in einem dieser Bereiche tätig ist, solltest du das Thema Exportkontrolle ganz oben auf deine Compliance-Agenda setzen.
Rechtlicher Rahmen
EU-Dual-Use-Verordnung
Die wichtigste Rechtsgrundlage ist die EU-Dual-Use-Verordnung (EU) 2021/821. "Dual-Use" bedeutet, dass Güter sowohl für zivile als auch für militärische Zwecke verwendet werden können.
Die Verordnung enthält eine umfangreiche Güterliste (Anhang I), in der alle genehmigungspflichtigen Dual-Use-Güter aufgeführt sind. Die Liste wird regelmässig aktualisiert.
Österreichisches Aussenhandelsgesetz (AussHG)
Das AussHG regelt die nationale Umsetzung der EU-Exportkontrollvorschriften in Österreich. Es enthält unter anderem:
- Nationale Genehmigungspflichten
- Meldepflichten
- Strafbestimmungen
EU-Sanktionsverordnungen
Die EU erlasst regelmässig Sanktionsverordnungen gegen bestimmte Länder, Personen und Organisationen. Diese Sanktionen können umfassen:
- Handelsembargos (vollständig oder teilweise)
- Einfrieren von Vermögenswerten
- Reisebeschränkungen
- Sektorale Sanktionen (z.B. gegen bestimmte Industriezweige)
Was ist ein Dual-Use-Gut?
Dual-Use-Güter sind Waren, Software und Technologien, die sowohl für zivile als auch für militärische oder proliferationsrelevante Zwecke eingesetzt werden können.
Kategorien der Dual-Use-Liste
Die EU-Dual-Use-Liste ist in zehn Kategorien unterteilt:
- Kerntechnische Materialien, Anlagen und Ausrüstung
- Besondere Werkstoffe und Materialien
- Werkstoffbearbeitung
- Allgemeine Elektronik
- Rechner (Computer)
- Telekommunikation und Informationssicherheit
- Sensoren und Laser
- Luftfahrtelektronik und Navigation
- Schiffstechnik
- Luft- und Raumfahrtantriebe
Für Startups besonders relevant: Kategorie 5
Kategorie 5 umfasst "Telekommunikation und Informationssicherheit". Hierunter fallen:
- Verschlüsselungssoftware -- wenn deine Software starke Verschlüsselung verwendet (z.B. AES-256), kann sie unter die Exportkontrolle fallen
- Netzwerküberwachungstechnologie -- Tools für Deep Packet Inspection oder Netzwerkanalyse
- Intrusion-Software -- Software, die zur Überwindung von Sicherheitsmassnahmen eingesetzt werden kann
Catch-all-Klausel
Auch wenn dein Produkt nicht auf der Dual-Use-Liste steht, kann eine Genehmigungspflicht bestehen, wenn du weisst oder Grund zur Annahme hast, dass das Produkt:
- Für die Entwicklung von Massenvernichtungswaffen eingesetzt werden soll
- Für militärische Endverwendung in einem Embargoland bestimmt ist
- Für Menschenrechtsverletzungen (Überwachung) eingesetzt werden soll
Genehmigungsverfahren in Österreich
Zuständige Behörde
In Österreich ist das Bundesministerium für Arbeit und Wirtschaft (BMAW) für die Erteilung von Exportgenehmigungen zuständig. Die operative Abwicklung erfolgt über die zuständige Abteilung.
Genehmigungsarten
- Einzelgenehmigung: Für eine bestimmte Ausfuhr an einen bestimmten Empfänger
- Globalgenehmigung: Für wiederholte Ausfuhren bestimmter Güter an bestimmte Empfänger
- Allgemeine Genehmigungen der EU (EU-AGE): Vorab erteilte Genehmigungen für bestimmte Güter in bestimmte Länder
Antragsverfahren
Der Genehmigungsantrag muss vor der Ausfuhr gestellt werden. Du brauchst:
- Beschreibung des auszuführenden Gutes
- Technische Spezifikationen
- Endverwendererklarung (End-User Certificate)
- Informationen über den Empfänger
- Informationen über den Endverwender (wenn abweichend)
- Angaben zur vorgesehenen Endverwendung
Die Bearbeitungszeit beträgt in der Regel 4-8 Wochen, kann aber bei komplexen Fällen deutlich länger dauern.
EU-Sanktionen verstehen
Aktuelle Sanktionsregime
Die EU unterhält Sanktionen gegen zahlreiche Länder und Entitäten. Die wichtigsten aktuellen Sanktionsregime betreffen:
- Russland und Belarus
- Iran
- Nordkorea
- Syrien
- Myanmar
- Verschiedene terroristische Organisationen und Personen
Was bedeuten Sanktionen für dein Startup?
Sanktionen können verschiedene Formen annehmen:
Umfassende Embargos
Bei umfassenden Embargos ist jeder Handel mit dem betroffenen Land verboten oder stark eingeschränkt. Ausnahmen gibt es nur für humanitäre Güter.
Sektorale Sanktionen
Sektorale Sanktionen betreffen bestimmte Industriezweige. Beispielsweise sind Exporte von Technologie für die Erdölindustrie nach Russland verboten.
Listensanktionen
Bestimmte Personen und Organisationen stehen auf Sanktionslisten. Mit diesen darfst du keine Geschäfte machen -- weder direkt noch indirekt. Das betrifft:
- Vertragsabschlüsse
- Zahlungen
- Bereitstellung von Gütern oder Dienstleistungen
- Bereitstellung von wirtschaftlichen Ressourcen
Screening-Pflicht
Du bist verpflichtet, deine Geschäftspartner gegen die EU-Sanktionslisten zu prüfen. Das gilt für:
- Kunden
- Lieferanten
- Partner
- Investoren
- Endverwender deiner Produkte
Die konsolidierte EU-Sanktionsliste ist online verfügbar und wird regelmässig aktualisiert. Es gibt auch kommerzielle Screening-Tools, die den Abgleich automatisieren.
Software und Technologieexporte
Cloud-Dienste und SaaS
Ein häufig übersehener Bereich: Auch die Bereitstellung von Software über die Cloud kann eine "Ausfuhr" im Sinne der Exportkontrolle darstellen. Wenn ein Nutzer in einem sanktionierten Land auf dein SaaS-Produkt zugreift, kann das problematisch sein.
Praktische Massnahmen:
- Geo-Blocking für sanktionierte Länder implementieren
- Registrierungsprozesse mit Länderprüfung versehen
- IP-Adress-basierte Zugangsbeschränkungen einrichten
- Sanktionslisten-Screening in den Onboarding-Prozess integrieren
Open-Source-Software
Open-Source-Software ist grundsätzlich von der Exportkontrolle ausgenommen, wenn sie:
- Öffentlich zugänglich ist (z.B. auf GitHub)
- Ohne Einschränkungen verbreitet wird
- Keiner weiteren Entwicklung für spezifische Endverwender unterliegt
Aber Vorsicht: Wenn du Open-Source-Software um proprietäre Komponenten erweiterst und diese vertreibst, kann die Ausnahme entfallen.
Technischer Support und Schulungen
Auch der Export von "technischer Unterstützung" kann genehmigungspflichtig sein. Das umfasst:
- Schulungen zu kontrollierten Technologien
- Technischen Support für kontrollierte Produkte
- Beratungsdienstleistungen im Zusammenhang mit kontrollierten Gütern
US-Exportkontrolle -- ein Sonderfall
Auch wenn dein Startup in Österreich sitzt, kannst du von US-amerikanischen Exportkontrollvorschriften betroffen sein:
EAR (Export Administration Regulations)
Die US-Export Administration Regulations können auch für österreichische Unternehmen gelten, wenn:
- Dein Produkt US-kontrollierte Komponenten oder Technologie enthält
- Dein Produkt auf US-kontrollierter Technologie basiert
- Du US-Personen beschäftigst oder mit ihnen zusammenarbeitest
OFAC-Sanktionen
Das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums führt eigene Sanktionslisten. Wenn dein Startup in irgendeiner Weise mit dem US-Dollar-System verbunden ist (z.B. USD-Zahlungen), solltest du auch die OFAC-Listen berücksichtigen.
Praktische Relevanz
Für österreichische Startups ist die US-Exportkontrolle besonders relevant, wenn:
- Du US-Kunden hast
- Du US-Investoren hast
- Dein Produkt US-Technologie oder -Komponenten enthält
- Du über US-Cloud-Dienste (AWS, Azure, Google Cloud) arbeitest
Aufbau eines Exportkontroll-Compliance-Programms
1. Risikoanalyse
Identifiziere die für dein Startup relevanten Exportkontrollrisiken:
- Welche Produkte, Technologien oder Dienstleistungen bietest du an?
- In welche Länder exportierst du?
- Wer sind deine Kunden und Endverwender?
- Gibt es Bezüge zu US-Technologie?
2. Klassifizierung
Prüfe, ob deine Produkte auf der Dual-Use-Liste stehen:
- Analysiere die technischen Spezifikationen deiner Produkte
- Vergleiche sie mit den Einträgen in der Dual-Use-Liste
- Hole im Zweifel eine Auskunft beim BMAW ein
3. Screening
Implementiere ein Screening-Verfahren:
- Prüfe alle Geschäftspartner gegen die EU-Sanktionslisten
- Dokumentiere die Prüfungsergebnisse
- Wiederhole das Screening regelmässig (mindestens bei jeder neuen Transaktion)
4. Prozesse und Verantwortlichkeiten
Definiere klare Prozesse:
- Wer ist für Exportkontrolle verantwortlich?
- Wie werden Genehmigungsanträge gestellt?
- Wie werden Red Flags erkannt und eskaliert?
- Wie wird dokumentiert?
5. Schulung
Schulte alle relevanten Mitarbeiterinnen und Mitarbeiter:
- Vertrieb und Business Development
- Produktentwicklung
- Customer Support
- Geschäftsführung
Red Flags -- Warnsignale
Achte auf folgende Warnsignale, die auf eine problematische Ausfuhr hindeuten könnten:
- Der Kunde ist in einem Land mit Handelsembargo ansässig
- Der Kunde weigert sich, den Endverwender oder die Endverwendung offenzulegen
- Der Kunde bietet ungewöhnlich hohe Preise oder Cash-Zahlungen an
- Das Produkt passt nicht zum Geschäft des Kunden
- Der Kunde lehnt Installation, Schulung oder Wartung ab
- Der Kunde will das Produkt über ungewöhnliche Routen liefern lassen
- Der Kaufende ist ein Briefkastenunternehmen oder hat keine erkennbare Geschäftstätigkeit
Sanktionen bei Verstössen
Strafrecht
Verstösse gegen Exportkontrollvorschriften können in Österreich strafrechtlich verfolgt werden. Das AussHG sieht Freiheitsstrafen von bis zu fünf Jahren vor.
Verwaltungsstrafen
Auch verwaltungsrechtliche Sanktionen sind möglich, einschliesslich:
- Geldbussen
- Entzug von Genehmigungen
- Ausschluss von öffentlichen Aufträgen
Reputationsschäden
Neben den rechtlichen Konsequenzen können Verstösse gegen Exportkontrollrecht zu erheblichen Reputationsschäden führen -- bei Investoren, Kunden und Partnern.
Anlaufstellen und Ressourcen
In Österreich
- BMAW -- Exportkontrollabteilung für Genehmigungsanträge und Auskünfte
- WKO -- Aussenwirtschaftsservice und Aussenwirtschaftscenter
- Österreichische Kontrollbank (ÖKB) -- Exportförderung und -absicherung
Auf EU-Ebene
- EU-Sanktionskarte -- Interaktive Übersicht über EU-Sanktionsregime
- Konsolidierte EU-Sanktionsliste -- Aktuelle Liste aller sanktionierten Personen und Entitäten
- DG Trade -- Informationen zur EU-Handelspolitik und Exportkontrolle
Fazit
Exportkontrolle und Sanktionen sind ein komplexes, aber unverzichtbares Thema für international tätige Startups. Die Konsequenzen bei Verstössen sind schwerwiegend -- von Geldbussen bis hin zu Freiheitsstrafen. Gleichzeitig ist die Einhaltung der Vorschriften mit überschaubarem Aufwand machbar, wenn du die richtigen Prozesse etablierst.
Beginne mit einer Risikoanalyse, klassifiziere deine Produkte und implementiere ein Screening-Verfahren. So bist du auf der sicheren Seite und kannst dein internationales Geschäft mit Zuversicht ausbauen.
Du planst die internationale Expansion deines Startups? Bei Startup Burgenland unterstützen wir dich bei der Navigation durch die Exportkontrollvorschriften und verbinden dich mit Experten für Aussenwirtschaft. Melde dich bei uns!
Dieser Beitrag ist Teil der Serie "Regulierung und Compliance" auf dem Startup Burgenland Blog. Die Serie behandelt alle wesentlichen regulatorischen Themen, die für österreichische Startups relevant sind -- praxisnah, verständlich und mit konkreten Handlungsempfehlungen.
Über den Autor: Felix Lenhard ist Program Director und Startup Coach bei Startup Burgenland. Zuvor Managing Director beim 360 Innovation Lab, Innovation Manager bei RHI Magnesita und Serial Entrepreneur mit internationalen Exits. Über 15 Jahre Erfahrung in Innovation und Unternehmensaufbau.