Regulatory

Austria: Cloud Computing and Export Control

In its Cloud Computing Strategy the European Commission1 attested that enormous economic potential lies in cloud computing solutions. In order to avert liability pitfalls, enterprises which outsource technology and software in clouds would be well advised to consider the impacts of export control regimes.

Export control for sensitive goods

Basically, the export of goods from the territory of one EU member state to another or to a non-EU country can be effected without having to obtain an export license. However, restrictions and export control mechanisms are in place for sensitive goods, which – when exported to other countries – may affect certain overriding public interests (such as national or international security, prevention of internal repressions or infringements of human rights, non-proliferation of weapons of mass destruction, etc). In particular, goods which may be used in warfare or in connection with weapons of mass destruction are caught by export control mechanism, including dual-use-goods2, nuclear material, certain chemicals, firearms, or goods which may be used for torture or in connection with the execution of capital punishment.

Trade restrictions and export control mechanisms are laid down in a scattered landscape of multi-layered legal sources including:

(i) national legislative frameworks;3

(ii) European legislation;4 and

(iii) agreements under international law.5

In order to efficiently safeguard the public interests affected by the export of sensitive goods, both the physical transfer of goods and the underlying software and technology essential to construct, maintain, and/or operate sensitive goods are regularly subject to export control regimes.

Export of software and technology

Prominent legislative acts under which the transfer of software and technology is covered by export control mechanisms include:

(i) the Dual-Use-Regulation (428/2009/EU), which provides for export control of certain listed goods which can be used for both military and civil purposes. Also, software and technology which is essential for the development, production, or use of controlled dual-use goods is subject to export restrictions under the Dual-Use-Regulation.

(ii) the Common Military List of the EU, which also catches software and technology which is used in the development, production and use of military goods;

(iii) restrictive measures under international law;7

(iv) national catch-all clauses.

Export” is regularly defined to catch not only procedures in which goods physically cross borders but also procedures for the immaterial provision of software and technology to purchasers in other countries. For example, the definition of “export” under the Dual-Use-Regulation (Cf Art 2 Para 2) also includes the “transmission of software or technology by electronic media […]” to third countries, including making software and technology available in electronic form.

Therefore, the Dual-Use Regulation restricts export of technology and software, as soon as persons of third countries have the possibility to access the information, even if borders have never been physically crossed.

Cloud computing and export control

Due to the restrictions on transmitting and making technology and software available imposed by certain export control regimes, enterprises would be well advised to consider export control implications when using cloud computing services. The constellations in which authorisations for exports apply are wide:

(i) Export authorisation may be required if sensitive software or technology is stored within the cloud where enterprises use virtualised computer hardware resources (eg, storage capacities) of foreign countries or foreign cloud providers, as storing software or technology within a cloud can constitute an export by virtue of transmitting software or technology to other states.

(ii) Authorisation requirements may also be triggered if private clouds (ie, access to abstracted IT-infrastructure within an organisation) are installed, and access to sensitive technology or software included therein is provided to persons or entities in third countries (eg, affiliates in a group company having its seat in a third country). A series of export control regulations do not privilege intra-group exports.

(iii) The German authority for Export Control (Bundesamt für Wirtschaft und Ausfuhrkontrolle) is of the opinion – with regard to Dual-Use-Export Control – that authorisation requirements may also be triggered when an enterprise grants access to internal storage to its own employees who may access the relevant files while on business trips to foreign countries.

Also, cloud service providers should be cautious when providing their services to enterprises operating in the defence sector or other sensitive economic areas. Unlike the US, the EU has not yet taken an official position on the extent to which cloud providers trigger EU export control mechanisms. Even though the mere provision of cloud services is not normally sufficient to trigger export control regimes, a legally binding clarification would contribute to legal certainty. It remains to be seen whether the European Commission will include these considerations in its on-going review of EU export control provisions.

Due to the wide application of export control regimes, enterprises are well advised to scrutinise their export practices, especially when they decide to outsource sensitive technology or software to cloud services. In case of infringements of export control provisions, contracts may be considered as void and exporters may have to face harsh administrative fines or in more severe cases also the initiation of criminal proceedings.

1
European Commission, Unleashing the Potential of Cloud Computing in Europe, COM (2012) 529 fin.
2
Council Regulation 4282009 of 5 May 2009 setting up a Community regime for the control of exports, transfers, brokering and transit of dual-use items; OJ L 1341.
3
As in Austria the Foreign Trade Act (Außenwirtschaftsgesetz), the Defense Goods Act (Kriegsmaterialiengesetz) or the Security Control Act (Sicherheitskontrollgesetz).
4
Cf for examples above Fn 2, 5 and 6.
5
Such as the Chemical Weapons Convention, Biological and Toxin Weapons Convention, Zangenaar Agreement, Australia Group, UN Security Council Resolutions etc.
6
OJ C 1071. Certain national regulations refer to the Common Military List of the EU in order to define which goods are caught by export controls (eg the Austrian Defense Goods Act).
7
Such as UN-resolution 19292010 imposing restrictive measures against Iran (incl restrictions of software export for industrial processes); Regulation 7652006 concerning restrictive measures against Belarus (Art 1b prohibits to provide technology for listed goods); Regulation 4012013 concerning restrictive measures against Myanmar (Annex I fig 11 prohibits the provision of technology icw listed goods).

Österreich: Exportkontrollrechtliche Implikationen des Cloud Computings

Die Europäische Kommission kam in ihrer Cloud Computing Strategie1 zum Schluss, dass Unternehmen durch Cloud Computing Lösungen beträchtliche wirtschaftliche Einsparungen erzielen können. Um Haftungen zu vermeiden, sollten Unternehmen, die Software und Technologien in Clouds auslagern, jedoch jedenfalls exportkontrollrechtliche Implikationen von Cloud Lösungen beachten.

Exportkontrolle für sensible Güter

Grundsätzlich können Waren ohne exportkontrollrechtliche Genehmigung innerhalb des Binnenmarktes verbracht bzw in Drittländer ausgeführt werden. Jedoch wird die Ausfuhr von Gütern dann einer exportkontrollrechtlichen Kontrolle unterzogen, wenn durch die Ausfuhr bestimmte öffentliche Interessen beeinträchtig werden könnten (etwa die nationale Sicherheit, Vermeidung interner Repression oder Verletzung von Menschenrechten im Zielland, Verhinderung der Verbreitung von Massenvernichtungswaffen etc). Typischerweise unterliegen Waren, die im Rüstungsbereich bzw in Verbindung mit (Massenvernichtungs-)Waffen verwendet werden können einer Exportkontrolle. Dazu zählen etwa Güter mit doppeltem Verwendungszweck, radioaktives Material, bestimmte Chemikalien, Feuerwaffen oder Güter, die zur Folter, zur erniedrigenden Bestrafung bzw zum Vollzug der Todesstrafe eingesetzt werden können.

Dzt existiert keine einheitliche Rechtsquelle, die umfassend sämtliche Exportkontrollbestimmungen enthält, sondern es besteht ein vielschichtiges System einander ergänzender und überlappender Ausfuhrbestimmung. Hauptrechtsquellen des Exportkontrollrechts sind

(i) nationale Bestimmungen;3
(ii) das europäische Regelwerk;4 und
(iii) völkerrechtliche Abkommen.5

Ein effizienter Schutz öffentlicher Interessen erfordert, dass nicht nur die physische Verbringung von Gütern, sondern auch der Transfer von Software und Technologie, die zur Entwicklung, Wartung oder dem Betrieb von sensiblen Gütern erforderlich sind, entsprechend exportkontrollrechtlich überwacht wird.

Export von Software und Technologie

Verschiedene Exportkontrollregime enthalten Bestimmungen, die die Ausfuhr von Software und Technologie betreffen, ua:

(i) die Dual-Use-VO (428/2009/EU), die bestimmte gelistete Güter, die sowohl zum militärischen als auch zivilen Gebrauch eingesetzt werden können, einer Exportkontrolle unterwirft. Software und Technologie, die für die Entwicklung, Herstellung und Verwendung von Dual-Use Gütern unverzichtbar sind, sind Genehmigungsgegenstand der Dual-Use-VO.

(ii) die gemeinsame Militärgüterliste der EU6 erfasst Software und Technologie, die für die Entwicklung, Herstellung und Verwendung von Militärgütern erforderlich sind;

(iii) völkerrechtliche Sanktionen und Embargos;7

(iv) nationale catch-all Bestimmungen.

Der Begriff “Export” wird regelmäßig dahingehend definiert, dass nicht nur die physische grenzüberschreitende Verbringung von Gütern erfasst wird, sondern das Bereitstellen oder Übermitteln von Software und Technologie ins Ausland ebenso exportkontrollrechtliche Rechtsfolgen auslöst. Bspw ist gem Art 2 Abs 2 Dual-Use-VO “die Übertragung von Software oder Technologie mittels elektronischer Medien” oder das Bereitstellen von Software und Technologie in Drittstaaten einer physischen Ausfuhr gleichgestellt.

Unter der Dual-Use-VO wird dementsprechend bereits dann eine exportkontrollrechtliche Genehmigungspflicht ausgelöst, wenn die Möglichkeit von einem Drittstaat auf sensible Technologie oder Software zuzugreifen eingerichtet werden soll, wenngleich auch kein physischer Grenzübertritt einer körperlichen Sache erfolgt.

Cloud Computing und Exportkontrolle

Unter diesem Gesichtspunkt sollten Unternehmen die exportkontrollrechtlichen Implikationen vor der Nutzung von Cloud-Services ausreichend analysieren. Eine Vielzahl von Fallkonstellationen ist denkbar, die exportkontrollrechtliche Genehmigungspflichten auslösen können:

(i) Eine Exportgenehmigung könnte dann erforderlich sein, wenn ausländische Service Provider die Cloud Leistungen bereitstellen oder wenn sensible Informationen auf ausländische Server ausgelagert werden.

(ii) Auch die Nutzung von sog “Private Clouds” (das sind abstrahierte IT-Leistungen, die nur Mitgliedern einer bestimmten Organisation zugänglich sind) kann einer Exportkontrolle unterliegen, wenn Zugang aus dem Ausland zur Private Cloud gewährt wird. Exportkontrollrechtliche Regelwerke sehen idR nämlich keine Konzernprivilegierungen für konzerninterne Exporte vor, so dass auch konzerninterne Übermittlungen grundsätzlich diversen Exportkontrollregimen unterliegen können.

(iii) Das deutsche Bundesamt für Wirtschaft und Ausfuhrkontrolle vertritt in Bezug auf die Ausfuhr von Dual-Use Gütern die Ansicht, dass exportkontrollrechtliche Genehmigungspflichten bereits dann ausgelöst werden, wenn Unternehmen eigenen Angestellten, die auf Dienstreise im Ausland sind, Zugang zum Intranet und damit sensiblen Informationen gewährt.8

Jedoch sollten sich auch Cloud Service Provider mit exportkontrollrechtlichen Implikationen ihrer Tätigkeit auseinandersetzen, insb wenn sie Leistungen an Rüstungsunternehmen bzw Unternehmen, die in sonstigen sensiblen Bereichen tätig sind (etwa in der chemischen- und petrochemischen Industrie, im Maschinenbau, in Flug- und Transportbereich etc) erbringen. Anders als die US Exportkontrollbehörden9 hat die EU noch keine offizielle Position dazu bezogen, in welchem Umfang Cloud Service Provider den Exportkontrollbestimmungen unterfallen. Obwohl das reine Anbieten von Cloud Service Leistungen idR noch keine Genehmigungspflichten auslöst, würde eine gesetzliche Klarstellung wesentlich zur Rechtssicherheit beitragen. Es bleibt abzuwarten, ob die Kommission entsprechende Klarstellungen im dzt anhängigen Verfahren zur Modernisierung der europarechtlichen Exportkontrollbestimmungen aufnimmt.

Aufgrund des weiten Anwendungsbereiches von Exportkontrollbestimmungen sollten Unternehmen ihre Exportpraxis dahingehend überprüfen, ob sie im Einklang mit den relevanten Exportkontrollbestimmungen steht; dies ist insb dann von maßgeblicher Bedeutung, wenn Cloud Services genutzt werden. Sofern Exportkontrollbestimmungen nicht eingehalten werden, drohen weitreichende Konsequenzen, die von der Nichtigkeit des Vertrages über empfindliche Verwaltungsstrafen bis hin zur strafrechtlichen Verfolgung führen können.

1
Europäische Kommission, Freisetzung des Cloud-Computing-Potenzials in Europa, KOM (2012) 529 fin.
2
Verordnung (EG) Nr. 4282009 des Rates vom 5. Mai 2009 über eine Gemeinschaftsregelung für die Kontrolle der Ausfuhr, der Verbringung, der Vermittlung und der Durchfuhr von Gütern mit doppeltem Verwendungszweck ABl L 1341.
3
Bspw in Österreich das Außenwirtschaftsgesetz, das Kriegsmaterialiengesetz oder das Sicherheitskontrollgesetz.
4
Bsp finden sich in Fn 2, 6 und 7.
5
Bspw die Chemiewaffenkonvention, die Biowaffenkonvention, das Zangenaar Abkommen, die Australia Group, Resolutionen des UN Sicherheitsrates etc.
6
ABl C 1071. Bestimmte nationale Regelungen verweisen auf die gemeinsame Militärgüterliste um abzugrenzen welche Güter einer Exportkontrolle unterliegen sollen (bspw das österreichische Kriegsmaterialiengesetz).
7
Bspw UN-Resolution 19292010 betr Sanktionen gegen den Iran (inkl Beschränkungen für die Ausfuhr von Software, die für industrielle Prozesse eingesetzt werden kann); VO 7652006 betr restriktive Maßnahmen gegen Weißrussland (Art 1b verbietet Technologie betr gelisteter Güter auszuführen); VO 4012013 betr restriktiver Maßnahmen gegen Myanmar (Annex I Z 11 verbietet die Ausfuhr von Software und Technologie betr gelisteter Güter).
8
BAFA, Technologietransfer und Non-Proliferation, 15.
9
Bspw BIS, Advisory Opinion Cloud Computing and Deemed Exports, 11.01.2011.

Print this articleSend this article via email