ANHANG

EU-LEITLINIEN FÜR EIN INTERNES COMPLIANCE-PROGRAMM (ICP) FÜR DIE KONTROLLE DES HANDELS MIT DUAL-USE-GÜTERN

EINLEITUNG

Wirksame Kontrollen des Handels mit Gütern mit doppeltem Verwendungszweck — physischen Gütern, Software und Technologie — sind unerlässlich zur Abwehr von Risiken im Zusammenhang mit der Verbreitung von Massenvernichtungswaffen (MVW) und der destabilisierenden Anhäufung konventioneller Waffen. Unternehmen, die Güter mit doppeltem Verwendungszweck (Dual-Use-Güter) verkaufen, sind zur Einhaltung der an strategische Handelskontrollen gestellten Anforderungen nach Maßgabe der Rechtsvorschriften der Europäischen Union (1) und ihrer Mitgliedstaaten verpflichtet. Geschäfte mit Gütern, die möglicherweise zu Verbreitungszwecken genutzt werden könnten, sind zu unterlassen.

In Anbetracht des schnellen wissenschaftlichen und technologischen Fortschritts, der Komplexität der heutigen Lieferketten und der stetig zunehmenden Bedeutung nichtstaatlicher Akteure sind wirksame Handelskontrollen in starkem Maße auf das Bewusstsein der „Unternehmen“ (2) und ihre aktiven Bemühungen um die Einhaltung von Handelsbeschränkungen angewiesen. Deshalb führen Unternehmen in der Regel ein Reihe interner Maßnahmen und Verfahren ein, ein sogenanntes internes Compliance-Programm (ICP), um die Einhaltung der für die Kontrolle des Handels mit Dual-Use-Gütern geltenden Rechtsvorschriften der EU und der Mitgliedstaaten zu gewährleisten. Der Geltungsbereich und der Umfang dieser Maßnahmen und Verfahren hängen in der Regel von der Größe und der Geschäftstätigkeit des jeweiligen Unternehmens ab.

Die vorliegenden Leitlinien sollen Unternehmen bei der strikten Einhaltung der einschlägigen Rechtsvorschriften der EU und der Mitgliedstaaten unterstützen und ihnen Orientierungshilfe bieten, damit es ihnen gelingt, die Wirkung der Kontrollen des Handels mit Dual-Use-Gütern festzustellen und zu steuern und damit verbundene Risiken zu verringern. Den Kern bilden sieben Elemente für ein wirksames ICP. Jedes Kernelement ist unterteilt in den Abschnitt „Was wird erwartet?“, in dem die Zielsetzungen des Kernelements beschrieben werden, und den Abschnitt „Was sind die einzelnen Schritte?“, in dem die Maßnahmen genauer ausgeführt und mögliche Lösungen für die Entwicklung oder Umsetzung von Compliance-Verfahren skizziert werden. Den Abschluss bilden eine Reihe nützlicher Fragen zum ICP eines Unternehmens und eine Liste von Indikatoren für Umlenkungsrisiken und Warnsignalen für verdächtige Anfragen oder Aufträge.

Bei der Entwicklung der ICP-Leitlinien der EU für Kontrollen des Dual-Use-Handels wurden vorhandene Konzepte für Compliance im Zusammenhang mit Ausfuhrkontrollen herangezogen, insbesondere:

—	die „Best Practice Guidelines on Internal Compliance Programmes for Dual-Use Goods and Technologies“ von 2011 des Wassenaar-Arrangements (3),

—	der „Best Practice Guide for Industry“ der Nuclear Suppliers Group (NSG) (4),

—	die ICP-Elemente der Empfehlung 2011/24/EU der Kommission (5),

—	die Ergebnisse der 4. Wiesbaden-Konferenz (2015) zum „Private Sector Engagement in Strategic Trade Controls: Recommendations for Effective Approaches on United Nations Security Council Resolution 1540 (2004) Implementation“,

—	die Website „ICP Guide“ (6) (2017) des United States Export Control and Related Border Security Program.

Die vorliegenden Leitlinien umfassen sieben Kernelemente; die Aufzählung ist nicht erschöpfend und stellt keine Rangordnung der Wichtigkeit dar. Diese Kernelemente werden als Eckpunkte eines auf ein Unternehmen zugeschnittenen ICP betrachtet; sie sollen Unternehmen unterstützen, die sich über die am besten geeigneten Mittel und Verfahren zur Einhaltung der für die Kontrolle des Dual-Use-Handels geltenden Rechtsvorschriften der EU und der Mitgliedstaaten Gedanken machen. Von betroffenen Unternehmen wird erwartet, dass sie eine Reihe von Maßnahmen und Verfahren zur Ausfuhrkontrolle anwenden. Die Struktur der Kernelemente könnte ein Benchmarking ihres Compliance-Konzepts erleichtern. Das Compliance-Konzept eines Unternehmens mit Maßnahmen und internen Verfahren für zumindest alle Kernelemente sollte den ICP-Leitlinien der EU für die Kontrolle des Handels mit Dual-Use-Gütern entsprechen. Unternehmen, die dabei sind, ein Compliance-Konzept für den Dual-Use-Handel zu entwickeln, bietet die Struktur der Kernelemente ein brauchbares Grundgerüst.

Bei der Entwicklung eines ICP kommt es vor allem darauf an, dass es zur Organisationsstruktur und zur Tätigkeit des Unternehmens passt, dass interne Prozesse gut verständlich sind und leicht eingehalten werden können und dass die täglichen Abläufe und Verfahren einbezogen sind. Welche Anforderungen und Merkmale ein ICP aufweist, hängt von der Größe, der Struktur und dem Umfang der Geschäftstätigkeit des jeweiligen Unternehmens, vom strategischen Charakter seiner Güter und den möglichen Endverwendungen oder Endverwendern, vom Standort seiner Kunden und von der Komplexität der internen Ausfuhrverfahren ab. In dem Zusammenhang ist darauf hinzuweisen, dass bei der Entwicklung dieser Leitlinien auch mögliche Herausforderungen für kleine und mittlere Unternehmen (KMU) bei der Umsetzung systematisch berücksichtigt worden sind.

Haftungsausschluss

Diese Leitlinien sind nicht bindend und nicht als rechtliche Beratung zu verstehen. Sie lassen die Entscheidungen über Genehmigungen unberührt, für die die zuständigen Behörden nach Maßgabe der Verordnung (EG) Nr. 428/2009 verantwortlich sind.

Falls Sie Anmerkungen zu diesem Dokument haben, wenden Sie sich bitte an Ihre zuständige Behörde (siehe Anhang 3).

ICP-LEITLINIEN DER EU FÜR DIE KONTROLLE DES HANDELS MIT DUAL-USE-GÜTERN

Die folgenden Kernelemente sind für ein Compliance-Programm zur wirksamen Kontrolle des Dual-Use-Handels besonders wichtig:

1.	Bekenntnis der obersten Führungsebene zur Compliance

2.	Organisationsstruktur, Zuständigkeiten und Ressourcen

3.	Schulung und Sensibilisierung

4.	Screeningablauf und -verfahren in Bezug auf Geschäftsvorgänge

5.	Leistungsüberprüfung, Audits, Berichterstattung und Korrekturmaßnahmen

6.	Führen von Aufzeichnungen und Dokumentation

7.	Physische Sicherheit und Informationssicherheit

Zu jedem Kernelement werden im Abschnitt „Was wird erwartet?“ die mit dem ICP verfolgten Ziele beschrieben. Im Abschnitt „Was sind die einzelnen Schritte?“ werden die Maßnahmen genauer spezifiziert und mögliche Lösungen für die Entwicklung oder die Umsetzung von Compliance-Verfahren skizziert.

Vor diesem Hintergrund sind die Kernelemente als „Bausteine“ zur Vorbereitung der ICP von Unternehmen, die mit Dual-Use-Gütern handeln, zu betrachten. Jedes Unternehmen sollte in seinem eigenen maßgeschneiderten ICP beschreiben, wie die maßgeblichen Kernelemente unter Berücksichtigung der innerbetrieblichen Besonderheiten umgesetzt werden.

Dabei sollten alle am Dual-Use-Handel beteiligten Unternehmen insbesondere die Maßnahmen im Abschnitt „Was sind die einzelnen Schritte?“ berücksichtigen, von denen sie aus betriebsinternen Gründen aber auch abweichen können.

RISIKOBEWERTUNG

Ein ICP muss auf die Größe, die Struktur und den Umfang des Unternehmens und insbesondere auf die jeweilige Geschäftstätigkeit und die damit verbundenen Risiken zugeschnitten sein. Ein Unternehmen, das ein Compliance-Programm für die Kontrolle des Dual-Use-Handels entwickeln oder überprüfen will, sollte daher mit einer Risikobewertung beginnen, um das Risikoprofil seines Dual-Use-Handels zu bestimmen. Dieser Vorgang veranschaulicht dem Unternehmen, welche Geschäftsbereiche in das ICP einbezogen werden müssen, und hilft ihm, das ICP auf die Besonderheiten des Unternehmens auszurichten.

Gegenstand einer sorgfältigen Risikobewertung sind die Produktpalette, die Kundschaft und die Geschäftstätigkeit, die von der Kontrolle des Dual-Use-Handels betroffen sind oder sein könnten. So lassen sich relevante Schwachstellen und Risiken aufdecken, die dann im Rahmen des ICP verringert werden können. Zwar kann die Risikobewertung nicht alle potenziellen künftigen Schwachpunkte und Risiken Ihres Unternehmens aufzeigen, doch auf jeden Fall verschaffen Sie sich damit eine bessere Grundlage für die Entwicklung oder Überprüfung Ihres ICP.

Viele Unternehmen verfügen bereits über interne Kontrollverfahren, sodass sie, wenn sie ein ICP planen, nicht bei Null anfangen müssen. Die Risikobewertung unterstützt das Unternehmen bei der Beurteilung seiner unternehmerischen Maßnahmen und Verfahren zur Risikoabwehr im Zusammenhang mit Ausfuhrkontrollen und bei eventuellen Anpassungsmaßnahmen. Darüber hinaus sollte auch von Anfang an daran gedacht werden, Synergien zwischen bereits vorhandenen Maßnahmen und Anforderungen der Ausfuhrkontrollen zu fördern. So ist es beispielsweise bewährte Praxis, im gegebenenfalls vorhandenen Unternehmenskodex auf Grundsätze und Anforderungen der Ausfuhrkontrollen des Unternehmens zu verweisen.

Die Ergebnisse dieser Risikobewertung haben einen Einfluss auf die notwendigen Maßnahmen und geeigneten Lösungen für die Entwicklung oder Umsetzung der unternehmensspezifischen Compliance-Verfahren.

Jedes Unternehmen kann versuchen, so viel wie möglich von den Vorteilen globaler, konzernweiter ICP-Lösungen zu profitieren, doch muss dies stets mit allen geltenden Rechtsvorschriften der EU und des Mitgliedstaats vereinbar sein.

ZUGELASSENER WIRTSCHAFTSBETEILIGTER (7)

Wenn ein Unternehmen über eine gültige Bewilligung des Status als Zugelassener Wirtschaftsbeteiligter (AEO) verfügt, kann die Bewertung seiner Compliance in Bezug auf relevante Zolltätigkeiten bei der Entwicklung oder Überarbeitung eines ICP herangezogen werden.

Da die Zollabläufe und Zollverfahren Ihres Unternehmens von den Zollbehörden überprüft worden sind, kann der AEO-Status ein Pluspunkt bei der Festlegung oder Überprüfung von Verfahren rund um ICP-Kernelemente wie das Führen von Aufzeichnungen oder physische Sicherheit sein.

1.   Bekenntnis der obersten Führungsebene zur Compliance

Ein wirksames ICP orientiert sich an einem Top-down-Prozess, in dem die oberste Führungsebene des Unternehmens der unternehmerischen Compliance-Verpflichtung und Compliance-Kultur Bedeutung und Legitimität verleiht und organisatorische, personelle und technische Ressourcen bereitstellt.

Was wird erwartet?

Die oberste Führungsebene will mit ihrem Bekenntnis eine Führungsrolle in der Compliance übernehmen (mit gutem Beispiel vorangehen) und eine unternehmerische Compliance-Kultur für die Kontrolle des Dual-Use-Handels schaffen.

Die von der obersten Führungsebene schriftlich zugesicherte Unterstützung für interne Compliance-Verfahren fördert im Unternehmen das Bewusstsein für die Ziele der Kontrolle des Dual-Use-Handels und die Einhaltung der einschlägigen Rechtsvorschriften der EU und des betreffenden Mitgliedstaats.

Das Bekenntnis lässt eine klare, starke und anhaltende Engagiertheit und Unterstützung durch die oberste Führungsebene erkennen. Auf dieser Grundlage stehen ausreichende organisatorische, personelle und technische Ressourcen für die Compliance-Verpflichtung des Unternehmens zur Verfügung. Die Geschäftsleitung unterrichtet die Mitarbeiterinnen und Mitarbeitern klar und regelmäßig über die unternehmerische Verpflichtung, um eine Kultur der Compliance zu fördern.

Was sind die einzelnen Schritte?

Halten Sie in einer unternehmerischen Verpflichtungserklärung fest, dass das Unternehmen alle für Kontrollen des Dual-Use-Handels geltenden Rechtsvorschriften der EU und des Mitgliedstaats einhält.

Definieren Sie die speziellen Erwartungen der Geschäftsleitung in Bezug auf die Compliance und vermitteln Sie die Bedeutung und den Wert wirksamer Compliance-Verfahren. (8)

Übermitteln Sie die Erklärung klar und regelmäßig an alle Mitarbeiterinnen und Mitarbeiter (auch diejenigen, die nicht an der Kontrolle des Dual-Use-Handels beteiligt sind), um eine Compliance-Kultur zu fördern. (9)

2.   Organisationsstruktur, Zuständigkeiten und Ressourcen

Ausreichende organisatorische, personelle und technische Ressourcen sind für die wirksame Entwicklung und Umsetzung von Compliance-Verfahren unerlässlich. Ohne eine klare Organisationsstruktur und genau definierte Zuständigkeiten wird es dem ICP schnell an Übersichtlichkeit und genauer Aufgabenverteilung mangeln. Eine starke Organisationsstruktur hilft bei der Bewältigung entstehender Probleme und verhindert, dass nicht genehmigte Geschäfte getätigt werden.

Was wird erwartet?

Das Unternehmen verfügt über eine schriftlich fixierte (z. B. in einem Organigramm) interne Organisationsstruktur, die interne Compliance-Kontrollen ermöglicht. Es ermittelt und benennt die Person (bzw. mehrere Personen), die umfassende Zuständigkeit besitzt, um die Einhaltung der Compliance-Verpflichtungen des Unternehmens zu gewährleisten. Beachten Sie, dass in einigen Mitgliedstaaten diese Person der obersten Führungsebene angehören muss.

Alle mit Compliance verbundenen Funktionen, Pflichten und Zuständigkeiten sind so definiert, zugewiesen und untereinander verknüpft, dass sich die Geschäftsleitung der durchgängigen Einhaltung der Compliance im Unternehmen sicher sein kann. Soweit es angebracht oder auch notwendig ist, können Funktionen und/oder Pflichten im Zusammenhang mit Ausfuhrkontrollen (jedoch nicht die Gesamtverantwortung) innerhalb der Einheit delegiert oder für zwei oder mehrere Unternehmenseinheiten in der EU wahrgenommen werden.

Das Unternehmen stattet alle Geschäftsbereiche, die mit dem Dual-Use-Handel zu tun haben, angemessen mit entsprechend qualifizierten Mitarbeitern aus. Mindestens eine Person im Unternehmen übt (nicht unbedingt ausschließlich) eine Kontrollfunktion in Bezug auf den Dual-Use-Handel aus. Diese Funktion kann sich auf mehrere Unternehmenseinheiten innerhalb der EU erstrecken, solange angemessene betriebliche Kontrollen stattfinden. Dies gilt jedoch nicht für alle EU-Mitgliedstaaten, da einige der nationalen Rechtsvorschriften für Ausfuhrkontrollen vorsehen, dass eine Person vor Ort damit beauftragt sein muss.

Das Kontrollpersonal für den Dual-Use-Handel muss so weit wie möglich vor Interessenkonflikten geschützt sein. Diese Mitarbeiterinnen und Mitarbeiter können sich direkt an die mit der übergeordneten Kontrollfunktion ausgestatteten Person/en wenden, und sie sollten darüber hinaus berechtigt sein, ein Geschäft zu stoppen.

Das Kontrollpersonal für den Dual-Use-Handel muss Zugang zu den einschlägigen Rechtsvorschriften und den aktuellen Listen kontrollierter Güter und Listen der mit einem Embargo oder Sanktionen belegten Ziele und Einrichtungen haben. Geeignete operative und organisatorische Abläufe und Verfahren, die für die Kontrolle des Dual-Use-Handels relevant sind, werden dokumentiert, gesammelt und an alle relevanten Mitarbeiter weitergegeben.

Das Unternehmen sollte die dokumentierten Abläufe und Verfahren zusammenstellen (z. B. in einem Compliance-Handbuch) und diese Sammlung auf dem neuesten Stand halten. Je nach Größe und Geschäftsumfang sollte das Unternehmen prüfen, ob es für seine internen Compliance-Verfahren digitale Unterstützung benötigt.

Was sind die einzelnen Schritte?

Legen Sie die Anzahl der für die Kontrolle des Dual-Use-Handels zuständigen Mitarbeiterinnen und Mitarbeiter unter Berücksichtigung der abzudeckenden rechtlichen und technischen Aspekte fest. Betrauen Sie mindestens eine Person im Unternehmen mit der Compliance in Bezug auf den Dual-Use-Handel und sorgen Sie dafür, dass bei deren Abwesenheit (wegen Krankheit, Urlaub usw.) ein ebenso qualifizierter Stellvertreter bereitsteht. Je nachdem, wie groß das durchschnittliche Auftragsvolumen ist, muss diese Person möglicherweise nur zeitweise für Kontrollaufgaben im Zusammenhang mit dem Dual-Use-Handel zur Verfügung stehen.

Alle mit der Compliance verbundenen Funktionen, Pflichten und Zuständigkeiten sind genau zu bestimmen, zu definieren und zuzuweisen, gegebenenfalls in einem Organigramm. Benennen Sie auch Unterstützungsfunktionen, wo immer dies möglich ist.

Sorgen Sie dafür, dass die interne Organisationsstruktur für die Kontrolle des Dual-Use-Handels im gesamten Unternehmen bekannt ist und dass die internen Aufzeichnungen über die Aufgabenverteilung regelmäßig aktualisiert und an die Mitarbeiter weitergeleitet werden. Machen Sie die Kontaktdaten der für Kontrollfragen zuständigen Person im Unternehmen bekannt. Falls Kontrollaufgaben ausgelagert werden, müssen die Schnittstelle zum und die Kommunikation mit dem Unternehmen organisiert werden.

Definieren Sie die Kenntnisse und Fähigkeiten, über die das für rechtliche und technische Fragen zuständige Kontrollpersonal verfügen muss. Jobbeschreibungen werden empfohlen.

Sorgen Sie dafür, dass das Kontrollpersonal für den Dual-Use-Handel soweit wie möglich vor Interessenkonflikten geschützt ist. Je nach Größe des Unternehmens kann eine entsprechende Abteilung für die Compliance zuständig sein. Beispielsweise könnte die Person, die abschließend darüber entscheidet, ob Güter ausgeliefert werden können, statt der Vertriebsabteilung der Rechtsabteilung angehören. Ermöglichen Sie es diesen Mitarbeitern, als Fachberater zu Unternehmensentscheidungen beizutragen, damit Geschäfte vorschriftsmäßig abgewickelt werden.

Dokumentieren Sie sämtliche Maßnahmen und Verfahren zur Kontrolle des Dual-Use-Handels und leiten Sie sie an alle damit befassten Mitarbeiter weiter.

Tragen Sie die dokumentieren Maßnahmen und Verfahren zusammen und stellen Sie sie eventuell in einem Compliance-Handbuch zusammen.

3.   Schulung und Sensibilisierung

Schulung und Sensibilisierung für die Kontrolle des Dual-Use-Handels sind überaus wichtig, damit die Mitarbeiterinnen und Mitarbeiter ihre Aufgaben ordnungsgemäß ausführen können und die Compliance-Verpflichtungen ernst nehmen.

Was wird erwartet?

Das Unternehmen stellt durch Schulungen sicher, dass das Kontrollpersonal für den Dual-Use-Handel über alle einschlägigen Rechtsvorschriften für Ausfuhrkontrollen und über das ICP des Unternehmens und sämtliche Änderungen Bescheid weiß. Hierfür kommen beispielsweise externe Seminare, Informationsveranstaltungen zuständiger Behörden, innerbetriebliche Schulungen usw. in Betracht.

Außerdem sorgt das Unternehmen für eine Sensibilisierung der Beschäftigten auf allen relevanten Ebenen.

Was sind die einzelnen Schritte?

Führen Sie regelmäßig obligatorische Schulungen für alle für die Kontrolle des Dual-Use-Handels zuständigen Mitarbeiter durch, um sicherzustellen, dass sie wissen, wie die Rechtsvorschriften und das ICP des Unternehmens einzuhalten sind.

Sorgen Sie durch Schulungen aller betroffenen Mitarbeiter dafür, dass sie alle einschlägigen Gesetze, Verordnungen, Maßnahmen und Kontrolllisten mit sämtlichen Änderungen kennen, sobald diese von den zuständigen Behörden veröffentlicht werden. Ziehen Sie auch auf das Unternehmen zugeschnittene Schulungen in Betracht.

Sorgen Sie für die allgemeine Sensibilisierung aller Mitarbeiterinnen und Mitarbeiter und bieten Sie gezielte Schulungen, z. B. für die Bereiche Einkauf, Technik, Projektmanagement, Versand, Kundenbetreuung und Rechnungswesen, an.

Prüfen Sie, ob eventuell Schulungsinitiativen auf nationaler oder auf EU-Ebene für die Kontrolle des Dual-Use-Handels genutzt werden können.

Lassen Sie nach Möglichkeit Erkenntnisse aus Leistungsüberprüfungen, Audits, Berichten und Korrekturmaßnahmen in Ihre Schulungen oder Sensibilisierungsprogramme einfließen.

4.   Screeningablauf und -verfahren in Bezug auf Geschäftsvorgänge

Für die operative Umsetzung ist das Screening von Geschäftsvorgängen das kritischste Element eines ICP. Dieses Element beinhaltet die betriebsinternen Maßnahmen, mit denen sichergestellt werden soll, dass kein Geschäft ohne die erforderliche Genehmigung oder unter Verletzung einschlägiger Handelsbeschränkungen oder Handelsverbote abgewickelt wird.

Durch das Screening von Geschäftsvorgängen werden relevante Informationen über die Güterklassifizierung, die Bewertung des Geschäftsrisikos, die Ermittlung und Beantragung von Genehmigungen und die Kontrollen nach der Erteilung von Genehmigungen gesammelt und analysiert.

Das Screening von Geschäftsvorgängen ermöglicht es dem Unternehmen auch, systematisch ein bestimmtes Maß an Vorsicht beim Umgang mit verdächtigen Anfragen oder Aufträgen zu entwickeln und beizubehalten.

Was wird erwartet?

Das Unternehmen entwickelt ein Bewertungsverfahren, um festzustellen, ob ein Geschäft mit Dual-Use-Gütern Ausfuhrkontrollvorschriften des Mitgliedstaats oder der EU unterliegt, und legt die anzuwendenden Abläufe und Verfahren fest. Bei wiederholten Geschäften ist das Geschäftsscreening regelmäßig durchzuführen.

Dieses Kernelement ist folgendermaßen unterteilt:

—	Güterklassifizierung von physischen Gütern, Software und Technologie;

—

Bewertung des Geschäftsrisikos mit: — Prüfung im Hinblick auf mit Embargo oder Sanktionen belegte oder sicherheitssensible Ziele und Unternehmen (10); — Screening in Bezug auf die angegebene Endverwendung und beteiligte Parteien; — Screening in Bezug auf Umlenkungsrisiken; — Catch-all-Kontrollen nicht gelisteter Dual-Use-Güter;

—	Feststellung der Genehmigungsanforderungen und gegebenenfalls Antrag auf Genehmigung, auch für Vermittlung, Verbringung und Durchfuhr;

—	Kontrollen nach Erteilung einer Genehmigung wie Versandkontrollen und Einhaltung der Genehmigungsbedingungen.

Sollten im Verlauf des Screeningprozesses Zweifel oder Verdachtsmomente aufkommen, insbesondere hinsichtlich der angegebenen Endverwendung und der beteiligten Parteien oder des Umlenkungsrisikos, wenden Sie sich bitte an die zuständige Behörde des EU-Mitgliedstaats, in dem Ihr Unternehmen seinen Sitz hat.

Das Screening von Geschäftsvorgängen kann je nach Bedarf und zur Verfügung stehenden Ressourcen Ihres Unternehmens manuell oder automatisiert erfolgen.

Was sind die einzelnen Schritte?

Güterklassifizierung

Bei der Güterklassifizierung geht es darum festzustellen, ob die betreffenden Güter in einer einschlägigen Liste aufgeführt sind. Dazu werden die technischen Merkmale des Produkts mit den Kontrolllisten der EU und des Mitgliedstaats für Dual-Use-Güter abgeglichen. Gegebenenfalls ist festzustellen, ob das betreffende Produkt Beschränkungen (Sanktionen) der EU oder des EU-Mitgliedstaats, in dem Ihr Unternehmen seinen Sitz hat, unterliegen.

Für Dual-Use-Güter, ob physisches Produkt, Software oder Technologie, kann aus verschiedenen Gründen eine Ausfuhrgenehmigung erforderlich sein.

Achten Sie insbesondere auf die Klassifizierung von Komponenten und Ersatzteilen mit doppeltem Verwendungszweck sowie von Software und Technologie mit doppeltem Verwendungszweck, die per E-Mail übermittelt oder beispielsweise über einen ausländischen Cloud-Dienst zur Verfügung gestellt werden können.

Sammeln Sie Informationen über eventuelle missbräuchliche Verwendungen Ihrer Dual-Use-Güter, z. B. im Zusammenhang mit der Weiterverbreitung von konventionellen militärischen Gütern oder Massenvernichtungswaffen. Leiten Sie diese Informationen im Unternehmen weiter.

Es wird angeraten, von Ihren Lieferanten Auskünfte über die Dual-Use-Klassifizierung der Materialien, Komponenten und Teilsysteme anzufordern, die in Ihrem Unternehmen verarbeitet oder eingebaut werden, einschließlich der in der Produktion verwendeten Maschinen. Ihr Unternehmen muss die von den Lieferanten erhaltene Klassifizierung auf jeden Fall überprüfen.

Vermerken Sie in Geschäftspapieren zu einer innergemeinschaftlichen Verbringung gemäß Artikel 22 Absatz 10 der Dual-Use-Verordnung (EG) Nr. 428/2009 mit Verweis auf die einschlägigen Rechtsvorschriften, dass es sich um Dual-Use-Güter handelt, die bei Ausfuhr aus der EU einer Kontrolle unterliegen.

Bewertung des Geschäftsrisikos

Überprüfung im Hinblick auf mit Embargo oder Sanktionen belegte oder sicherheitssensible Ziele und Unternehmen

Vergewissern Sie sich durch Konsultation der aktuellen Sanktionslisten (11), dass keine der beteiligten Parteien (Zwischenhändler, Käufer, Empfänger oder Endverwender) irgendwelchen Beschränkungen (Sanktionen) unterliegt.

Screening in Bezug auf die angegebene Endverwendung und beteiligte Parteien;

Sie sollten Ihre Kunden und deren Endverwendung Ihrer Produkte kennen.

Konsultieren Sie die Informationen Ihrer zuständigen Behörde über EU- und nationale Rechtsvorschriften und Anforderungen an die Endverwendungserklärung. Auch wenn auf nationaler Ebene eine korrekt ausgefüllte und unterzeichnete Endverwendungserklärung nicht zwingend vorgeschrieben ist, kann eine solche Erklärung zur Überprüfung der Zuverlässigkeit des Endverwenders/Empfängers hilfreich sein; anhand der enthaltenen Angaben lässt sich feststellen, ob für nicht gelistete Dual-Use-Güter eine Ausfuhrgenehmigung erforderlich ist, wenn im Sinne von Artikel 4 der Verordnung (EG) Nr. 428/2009 Bedenken hinsichtlich der Endverwendung bestehen. (12)

Achten Sie auf Anzeichen für ein Umlenkungsrisiko und für verdächtige Anfragen oder Aufträge, indem Sie z. B. feststellen, ob die angegebene Endverwendung der Geschäftstätigkeit und/oder den Märkten des Endverwenders entspricht. Anhang 2 enthält eine Liste von Fragen für das Screening in Bezug auf die angegebene Endverwendung und beteiligte Parteien.

Screening in Bezug auf Umlenkungsrisiken

Achten Sie auf Anzeichen für eine mögliche Umlenkung und für verdächtige Anfragen oder Aufträge. Anhang 2 enthält eine Liste von Fragen für das Screening in Bezug auf Umlenkungsrisiken.

Denken Sie insbesondere an die Catch-all-Kontrollen für nicht gelistete Dual-Use-Güter, wenn das Screening in Bezug auf die angegebene Endverwendung und beteiligte Parteien oder auf Umlenkungsrisiken Anhaltspunkte ergibt, die im Sinne von Artikel 4 der Verordnung (EG) Nr. 428/2009 bedenklich sind.

Catch-all-Kontrollen für nicht gelistete Dual-Use-Güter

Stellen Sie sicher, dass das Unternehmen Verfahren anwendet, um festzustellen, ob ihm „bekannt“ ist, dass bedenkliche Informationen hinsichtlich der angegebenen Endverwendung vorliegen (im Sinne von Artikel 4 der Verordnung (EG) Nr. 428/2009). Wenn dem Ausführer dies „bekannt“ ist, stellt das Unternehmen sicher, dass keine Ausfuhr ohne Unterrichtung der zuständigen Behörde und ohne deren abschließende Entscheidung erfolgt.

Wenn der Ausführer von den zuständigen Behörden „informiert“ wurde, dass bedenkliche Anhaltspunkte hinsichtlich der angegebenen Endverwendung vorliegen (im Sinne von Artikel 4 der Verordnung (EG) Nr. 428/2009), müssen entsprechende Verfahren im Unternehmen den reibungslosen Informationsfluss und den unverzüglichen Abbruch der Ausfuhr sicherstellen. Es muss sichergestellt sein, dass die Ausfuhr nicht ohne Genehmigung der zuständigen Behörde erfolgt.

Genehmigungsermittlung und Genehmigungsantrag, auch für Vermittlung, Verbringung und Durchfuhr

Sorgen Sie dafür, dass Ihrem Unternehmen die Kontaktdaten der für Ausfuhrkontrollen zuständigen Behörde vorliegen.

Denken Sie daran, Informationen über die verschiedenen Genehmigungsarten (wie Einzel- oder Globalausfuhrgenehmigung und allgemeine Ausfuhrgenehmigung) und kontrollierte Tätigkeiten (wie Ausfuhr, Vermittlung, Verbringung und Durchfuhr) und über die Verfahren zur Beantragung von Genehmigungen für die anzuwendenden Kontrollen des Dual-Use-Handels in der EU und auf nationaler Ebene zu sammeln und weiterzuleiten.

Achten Sie auf weniger offensichtlich kontrollierte Ausfuhrarten (z. B. über die Cloud oder in persönlichem Gepäck) und auf Maßnahmen zur Kontrolle von Dual-Use-Gütern nicht nur bei der Ausfuhr, sondern auch in anderen Bereichen wie technische Hilfe oder Vermittlung.

Kontrollen nach Erteilung einer Genehmigung wie Versandkontrollen und Einhaltung der Genehmigungsbedingungen

Vor dem tatsächlichen Versand sollte in einer abschließenden Prüfung festgestellt werden, ob alle Schritte, die die Einhaltung der Rechtsvorschriften gewährleisten, ordnungsgemäß durchgeführt wurden. Dies ist ein guter Zeitpunkt, um festzustellen, ob Güter korrekt klassifiziert sind, ob Warnsignale festgestellt wurden, ob das Screening von Einrichtungen wirksam durchgeführt wurde und ob eine gültige Ausfuhrgenehmigung vorliegt.

Eine abschließende Bewertung des Geschäftsrisikos ist notwendig, wenn in der Zwischenzeit maßgebliche Änderungen der Rechtsvorschriften vorgenommen wurden und beispielsweise die Güter mittlerweile auf einer einschlägigen Dual-Use-Liste aufgeführt sind oder der Endverwender mit einer Sanktion belegt ist.

Sehen Sie ein Verfahren vor, das es ermöglicht, die Ausfuhr von Gütern zu stoppen oder auszusetzen, wenn nicht alle Anforderungen erfüllt sind oder Warnsignale auftauchen. Die Güter sollten nur von einer Person freigegeben werden, die für die Compliance zuständig ist.

Stellen Sie sicher, dass die Bedingungen für die Genehmigung (einschließlich Berichterstattung) erfüllt sind.

Bedenken Sie, dass sich Änderungen im Ausfuhrunternehmen (z. B. Name, Anschrift oder Rechtsform), beim Endverwender und/oder Zwischenhändler oder an den genehmigten Gütern auf die Gültigkeit Ihrer Ausfuhrgenehmigung auswirken können.

5.   Leistungsüberprüfung, Audits, Berichterstattung und Korrekturmaßnahmen

Ein ICP ist kein statisches Maßnahmenpaket und muss daher überprüft, getestet und überarbeitet werden, wenn dies für die Compliance erforderlich ist.

Mit Leistungsüberprüfungen und Audits wird festgestellt, ob das ICP auf operativer Ebene zufriedenstellend umgesetzt wird und mit den geltenden nationalen und europäischen Anforderungen an Ausfuhrkontrollen in Einklang steht.

Ein gut funktionierendes ICP beinhaltet klare Verfahren zur Meldung und Eskalation durch Mitarbeiter, wenn ein Fall von Non-Compliance vermutet wird oder bekannt geworden ist. Als Teil einer soliden Compliance-Kultur müssen die Mitarbeiter Vertrauen haben und sich sicher fühlen, wenn sie hinsichtlich der Einhaltung gesetzlicher Vorschriften in gutem Glauben Fragen stellen oder Bedenken äußern.

Durch Leistungsüberprüfungen, Audits und Berichtsverfahren sollen Unstimmigkeiten aufgedeckt werden, um Abläufe klären und ändern zu können, wenn sie zu Non-Compliance führen (könnten).

Was wird erwartet?

Das Unternehmen entwickelt Verfahren der Leistungsüberprüfung, um die tägliche Compliance-Arbeit im Unternehmen zu prüfen und festzustellen, ob die Ausfuhrkontrollen ordnungsgemäß und dem ICP entsprechend durchgeführt werden. Die Leistungsüberprüfung erfolgt intern; sie ermöglicht es, Fälle von Non-Compliance frühzeitig zu erkennen und Folgemaßnahmen zur Schadensbegrenzung zu entwickeln. Somit trägt sie dazu bei, Risiken für das Unternehmen zu verringern.

Im Unternehmen finden Audits, d. h. systematische, gezielte und dokumentierte Inspektionen statt, um die korrekte Durchführung des ICP zu bestätigen. Audits können intern oder von qualifizierten externen Fachleuten vorgenommen werden.

Die Berichterstattung sieht verschiedene Verfahren für das Kontrollpersonal für den Dual-Use-Handel und andere relevante Mitarbeiter vor, die Meldung und Eskalation in Verdachtsfällen oder bestätigten Fällen von Nichteinhaltung der Vorschriften für den Dual-Use-Handel regeln. Dabei geht es nicht um externe Meldepflichten, wenn Ihrem Unternehmen beispielsweise eine allgemeine Ausfuhrgenehmigung der Union nach Maßgabe der Verordnung (EG) Nr. 428/2009 erteilt wurde.

Korrekturmaßnahmen sind die Abhilfemaßnahmen, die die ordnungsgemäße Durchführung des ICP und die Beseitigung festgestellter Schwachstellen in den Compliance-Verfahren gewährleisten sollen.

Was sind die einzelnen Schritte?

Sehen Sie stichprobenartige Kontrollmechanismen im täglichen Geschäftsbetrieb zur Überwachung der Handelskontrollabläufe im Unternehmen vor, um sicherzustellen, dass jegliches Fehlverhalten in einem frühen Stadium aufgedeckt wird. Ein anderer Ansatz ist das Vier-Augen-Prinzip, bei dem Entscheidungen im Rahmen der Handelskontrolle geprüft und noch einmal überprüft werden.

Sorgen Sie dafür, dass Audits entwickelt und durchgeführt werden, um die Gestaltung, die Eignung und die Wirksamkeit des ICP zu überprüfen.

Stellen Sie sicher, dass alle Aspekte des internen Compliance-Programms beim Audit berücksichtigt werden.

Sorgen Sie dafür, dass Mitarbeiterinnen und Mitarbeiter Vertrauen haben und sich sicher fühlen können, wenn sie in gutem Glauben Fragen oder Bedenken hinsichtlich der Einhaltung von Vorschriften äußern.

Ermöglichen Sie Aufdeckung und Eskalation durch entsprechende Verfahren für die Mitarbeiter, wenn ein Fall von Non-Compliance vermutet wird oder bekannt geworden ist. Dritte müssen diese Möglichkeit ebenfalls haben.

Dokumentieren Sie schriftlich alle vermuteten Verstöße gegen nationale und EU-Rechtsvorschriften für die Kontrolle des Dual-Use-Handels sowie die entsprechenden Korrekturmaßnahmen.

Führen Sie wirksame Korrekturmaßnahmen durch, um die Ausfuhrkontrollen oder das ICP nach den Ergebnissen der Leistungsüberprüfung, des ICP-Systemaudits oder der Berichterstattung anzupassen. Es wird angeraten, das Kontrollpersonal und die Geschäftsleitung über diese Ergebnisse und über Änderungen der Verfahren und Korrekturmaßnahmen zu unterrichten. Nach Durchführung der Korrekturmaßnahmen sollten alle betroffenen Mitarbeiter über die geänderten Verfahren informiert werden.

Gespräche mit ihrer zuständigen Behörde können zur Schadensbegrenzung und zur Stärkung der Ausfuhrkontrolle des Unternehmens beitragen.

6.   Führen von Aufzeichnungen und Dokumentation

Angemessene, genaue und nachvollziehbare Aufzeichnungen über die Ausfuhrkontrolle von Dual-Use-Gütern sind wichtig für die Compliance-Tätigkeit Ihres Unternehmens. Ein umfassendes System zum Führen von Aufzeichnungen unterstützt Ihr Unternehmen bei der Durchführung von Leistungsüberprüfungen und Audits gemäß den Anforderungen der EU und/oder des Mitgliedstaats an die Dokumentation und erleichtert die Kooperation mit den zuständigen Behörden bei Anfragen zur Kontrolle des Dual-Use-Handels.

Was wird erwartet?

Das Führen von Aufzeichnungen umfasst die Verfahren und Leitlinien für die Aufbewahrung von Rechtsdokumenten, die Aktenverwaltung und die Rückverfolgbarkeit der Maßnahmen zur Kontrolle des Dual-Use-Handels. Die Archivierung einiger Dokumente ist gesetzlich vorgeschrieben, doch es kann im ureigenen Interesse Ihres Unternehmens sein, auch andere Dokumente aufzubewahren (z. B. interne Dokumente, in denen die fachlichen Entscheidungen zur Klassifizierung eines Produkts beschrieben werden). Wenn alle geforderten Aufzeichnungen erfasst und korrekt abgelegt sind, erleichtert das die Suche und das Wiederauffinden in der täglichen Kontrolle des Dual-Use-Handels sowie in den regelmäßig durchgeführten Audits.

Was sind die einzelnen Schritte?

Überprüfen Sie die gesetzlichen Anforderungen an das Führen von Aufzeichnungen (Aufbewahrungsfrist, Umfang der Papiere usw.) in den einschlägigen Rechtsvorschriften der EU und des EU-Mitgliedstaats, in dem das Unternehmen seinen Sitz hat.

Um sicherzustellen, dass alle relevanten Unterlagen vorliegen, könnten Sie die Anforderungen an die Aufbewahrung in Verträgen mit Zwischenhändlern sowie Spediteuren und Großhändlern festlegen.

Richten Sie ein geeignetes System zum Erfassen und Wiederauffinden für die Kontrolle des Dual-Use-Handels ein. Sowohl für Papiersysteme als auch für elektronische Systeme sind leistungsfähige Indexierungs- und Suchfunktionalitäten von entscheidender Bedeutung.

Sorgen Sie dafür, dass die Unterlagen zu den Ausfuhrkontrollen konsequent geführt werden und der zuständigen Behörde oder anderen externen Parteien zu Inspektions- oder Prüfzwecken unverzüglich zur Verfügung gestellt werden können.

Es wird empfohlen, Aufzeichnungen über frühere Kontakte zur zuständigen Behörde zu führen, auch im Zusammenhang mit Kontrollen von Endverwendungen/Endverwendern nicht gelisteter Dual-Use-Güter und Beratungen zu technischen Klassifizierungen.

7.   Physische Sicherheit und Informationssicherheit

Der Handel mit Dual-Use-Gütern einschließlich Software und Technologie wird im Interesse der (inter)nationalen Sicherheit und aus außenpolitischen Gründen kontrolliert. Sicherheitssensible Dual-Use-Güter sollen „geschützt“ werden, und angemessene Sicherheitsmaßnahmen sollen dazu beitragen, die Risiken unerlaubter Wegnahmen oder des Zugangs zu kontrollierten Gütern einzugrenzen. Physische Sicherheitsmaßnahmen sind wichtig, doch gerade bei kontrollierter Software oder Technologie in elektronischer Form kann es aufgrund der Produkteigenschaften besonders schwierig sein, die Einhaltung von Vorschriften für den Handel mit Dual-Use-Gütern zu gewährleisten; deshalb sind auch Maßnahmen zur Informationssicherung erforderlich.

Was wird erwartet?

Physische Sicherheit und Informationssicherheit erfordern interne Verfahren, die den nicht genehmigten Zugang zu bzw. die Wegnahme von Dual-Use-Gütern durch Mitarbeiter, Auftragnehmer, Lieferanten oder Besucher verhindern sollen. Diese Verfahren schaffen eine Sicherheitskultur im Unternehmen und gewährleisten, dass Dual-Use-Güter einschließlich Software und Technologie nicht abhandenkommen und nicht ohne Weiteres entwendet oder ohne eine gültige Genehmigung ausgeführt werden können.

Was sind die einzelnen Schritte?

Physische Sicherheit

Stellen Sie auf der Grundlage der Risikobewertung des Unternehmens sicher, dass kontrollierte Dual-Use-Güter gegen die unerlaubte Wegnahme durch Mitarbeiter oder Dritte geschützt sind. Das kann beispielsweise durch die physische Sicherung der Güter, durch Zugangsbeschränkungen für bestimmte Bereiche und Personenkontrollen am Ein- oder Ausgang erfolgen.

Informationssicherheit

Richten Sie grundlegende Sicherungsmaßnahmen und Verfahren für eine gesicherte Lagerung und den gesicherten Zugang zu kontrollierter Dual-Use-Software oder Dual-Use-Technologie in elektronischer Form ein mit Virenschutz, Dateiverschlüsselung, Prüfpfaden und Auditprotokollen, Zugangskontrollen für Nutzer und Firewall. Erwägen Sie gegebenenfalls Schutzmaßnahmen für das Hochladen von Software oder Technologie auf die Cloud, das Speichern in der Cloud und die Übermittlung über die Cloud.

---

(1)  Verordnung (EG) Nr. 428/2009.

(2)  Für die Zwecke dieses Dokuments ist der Begriff „Unternehmen“ im weiteren Sinne zu verstehen. Er umfasst Forschungs-, Wissenschafts- und andere Einrichtungen, die im Sinne der Verordnung (EG) Nr. 428/2009 als „Ausführer“ gelten. Diese Leitlinien enthalten (zum gegenwärtigen Zeitpunkt) keine speziellen Empfehlungen für einzelne betroffene Branchen und Akteure.

(3)  Siehe: https://www.wassenaar.org/app/uploads/2015/06/2-Internal-Compliance-Programmes.pdf

(4)  Siehe: http://www.nuclearsuppliersgroup.org/images/Files/National_Practices/NSG_Measures_for_industry_update_revised_v3.0.pdf

(5)  Empfehlung 2011/24/EU der Kommission vom 11. Januar 2011 betreffend die Zertifizierung von Unternehmen der Verteidigungsindustrie nach Artikel 9 der Richtlinie 2009/43/EG des Europäischen Parlaments und des Rates zur Vereinfachung der Bedingungen für die innergemeinschaftliche Verbringung von Verteidigungsgütern (ABl. L 11 vom 15.1.2011, S. 62).

(6)  Siehe: http://icpguidelines.com

(7)  Siehe auch: https://ec.europa.eu/taxation_customs/general-information-customs/customs-security/authorised-economic-operator-aeo_de

(8)  Die unternehmerische Verpflichtungserklärung könnte beispielsweise vorsehen, dass die Ausfuhr, die Vermittlung, die Verbringung oder die Durchfuhr von Gütern, die von einer irgendeiner Person im Namen des Unternehmens durchgeführt wird, unter keinen Umständen gegen die für die Kontrolle des Dual-Use-Handels geltenden Rechtsvorschriften der EU und des Mitgliedstaats verstoßen darf. Um das Verständnis für die Notwendigkeit von Ausfuhrkontrollen zu stärken, könnten deren Ziele in der Erklärung kurz erläutert werden. Außerdem könnten Mitarbeiterinnen und Mitarbeiter darauf hingewiesen werden, wie wichtig es auch für sie ist, sich an die Ausfuhrkontrollen zu halten, und ihnen könnten mögliche Non-Compliance-Szenarien verständlich gemacht werden, indem ihnen die Risiken nicht genehmigter Transaktionen und mögliche Konsequenzen für das Unternehmen und die beteiligten Mitarbeiter (strafrechtliche Verfolgung, Rufschädigung, finanzielle und disziplinarische Konsequenzen usw.) aufgezeigt werden. Es wird empfohlen, die Compliance-Verpflichtung der Geschäftsleitung möglichst einfach zu formulieren.

(9)  Das Unternehmen könnte seine Erklärung auch auf einer unternehmenseigenen Website und über andere geschäftliche Kanäle veröffentlichen, um auch Dritte über seine Verpflichtung zur Einhaltung der Ausfuhrkontrollen zu informieren.

(10)  Sogenannte sicherheitssensible Ziele und Unternehmen sind nicht nur mit einem Embargo oder Sanktionen belegte Ziele, sondern auch andere Ziele, deren Belieferung mit (bestimmten) Dual-Use-Gütern in bestimmten, von der zuständigen Behörde festgelegten Fällen kritisch sein kann, z. B. wegen der Verbreitung von Massenvernichtungswaffen oder aufgrund von Menschenrechtsverletzungen. Beachten Sie, dass in Bezug auf Menschenrechtsverletzungen möglicherweise andere Rechtsvorschriften gelten wie die Verordnung (EU) 2019/125 des Europäischen Parlaments und des Rates (ABl. L 30 vom 31.1.2019, S. 1) zur Einführung von Kontrollen der Ausfuhr von Gütern, die zur Vollstreckung der Todesstrafe oder zu Folter verwendet werden können.

(11)  Die konsolidierte EU-Sanktionsliste (https://eeas.europa.eu/topics/sanctions-policy/8442/consolidated-list-sanctions_en) und die EU-Sanktionskarte (https://www.sanctionsmap.eu) können beim Sanktionslisten-Screening hilfreich sein.

(12)  Für den Fall, dass sich Ihr Kunde mit der verlangten Endverwendungserklärung nicht auskennt, könnten Sie ein (einseitiges) Begleitschreiben aufsetzen, in dem Sie die Grundlagen der Ausfuhrkontrolle von Dual-Use-Gütern erläutern und darauf hinweisen, dass die verlangte Erklärung die Erteilung einer Ausfuhrgenehmigung beschleunigen würde oder sogar eine Voraussetzung dafür ist.