Kultur der bewussten und kontrollierten Datenhandhabung 

In einer vernetzten globalen Wirtschaft können Daten zum Exportgut werden, auch wenn kein physischer Gegenstand das Land verlässt. Der Begriff "virtuelle Ausfuhren" beschreibt den grenzüberschreitenden digitalen Transfer von Informationen – etwa per E-Mail, Cloud oder Fernzugriff. Solche Übertragungen – etwa personenbezogene Daten oder Geschäftsgeheimnisse – gelten rechtlich oft als Export. Sobald Daten Ländergrenzen überschreiten oder aus dem Ausland abrufbar sind, handelt es sich um eine Ausfuhr im rechtlichen Sinne. Für Compliance-Verantwortliche bringt das neue Herausforderungen. Denn Exportkontrolle und Datenschutz gelten längst auch für digitale Transfers.

Wachsende Regelungsdichte in Deutschland und der EU

Nach dem deutschen Außenwirtschaftsrecht (AWG/AWV) gilt jede grenzüberschreitende digitale Übermittlung als Export – auch ohne physische Datenträger. Schon der Zugriff eines ausländischen Partners auf ein deutsches IT-System oder auf in der Cloud gespeicherte Daten kann genehmigungspflichtig sein.

Ob eine Exportkontrollgenehmigung nötig ist, hängt unter anderem davon ab, ob die Technologie auf Güterlisten wie der EU-Dual-Use-Verordnung steht. Besonders streng sind die Regeln für Rüstungs- und Dual-Use-Güter.

Datenschutzregelungen und Drittlandtransfers  

Auch der Datenschutz greift. Die DSGVO erlaubt Übermittlungen in Drittländer nur unter bestimmten Bedingungen – etwa bei einem Angemessenheitsbeschluss der EU-Kommission oder auf Basis von Standardvertragsklauseln (SCCs). Zusätzlich sind technische Schutzmaßnahmen notwendig. Ohne diese Voraussetzungen ist der Transfer unzulässig.

Schon der Zugriff eines Dienstleisters aus einem Drittland auf Daten in der EU gilt als Drittlandtransfer – etwa bei Fernwartung durch US-Anbieter. Seit dem EuGH-Urteil "Schrems II" von 2020 ist die Lage verschärft. Das EU–US Data Privacy Framework von 2023 soll für Erleichterung sorgen, doch wegen US-Gesetzen wie dem CLOUD Act bestehen weiter Zweifel.

Datenschutzbehörden empfehlen deshalb Maßnahmen wie Ende-zu-Ende-Verschlüsselung oder Pseudonymisierung, um sensible Daten zu schützen.  

US-Regelungen greifen weltweit 

Die USA haben eigene Exportvorgaben – mit weltweiter Geltung. Das Konzept des "deemed export" bedeutet: Schon die Weitergabe technischer Informationen an ausländische Staatsangehörige innerhalb der USA kann als Export gelten. Relevante Regelwerke sind EAR (für Dual-Use-Güter) und ITAR (für Rüstungsgüter).

Enthält ein deutsches Produkt US-Technologie, greift unter Umständen das US-Reexportrecht. Auch deutsche Unternehmen können bei Verstößen haften – etwa beim Transfer über Cloud-Systeme oder bei Verstößen gegen OFAC-Sanktionen.

US-Datenschutzrecht und der CLOUD Act 

In puncto Datenschutz verfügen die USA nicht über ein einheitliches Gesetz wie die DSGVO. Für europäische Unternehmen besonders kritisch: Der CLOUD Act erlaubt US-Behörden den Zugriff auf Daten bei US-Cloud-Anbietern – auch wenn die Server in Europa stehen.

Das EU-US Data Privacy Framework will diesen Zielkonflikt entschärfen. Doch Unternehmen müssen vertraglich und technisch sicherstellen, dass unberechtigte Zugriffe ausgeschlossen oder dokumentiert werden.

Strenge Vorgaben auch außerhalb der EU und USA 

Auch andere Länder regulieren Datenexporte strenger. In China gelten das Data Security Law und das Personal Information Protection Law. Kritische oder personenbezogene Daten dürfen meist nur mit staatlicher Genehmigung ausgeführt werden. Seit 2024 gelten für kleinere Transfers gewisse Erleichterungen. Dennoch führt das Regime zu Datenlokalisierung: Unternehmen speichern Daten zunehmend vor Ort.

Ähnliche Entwicklungen zeigen sich in Russland, Brasilien und Indien. Auch dort wird entweder lokale Datenspeicherung verlangt oder es gelten strenge vertragliche Schutzvorgaben.  

Erste Empfehlung: Gründliche Länderrisikoanalyse 

Je nach Zielland gelten unterschiedliche Compliance-Vorgaben. Eine gründliche Länderrisikoanalyse ist daher Pflicht. Vor jedem Datentransfer außerhalb Europas sollte geprüft werden, ob im Empfängerland Melde- oder Genehmigungspflichten bestehen. Ebenso ist zu klären, ob lokale Gesetze – etwa behördliche Zugriffsrechte – mit dem EU-Recht kollidieren könnten. Virtuelle Ausfuhren betreffen verschiedene Datenarten – jede mit eigenem Risiko.

Besonders sensibel sind personenbezogene Daten. Dazu zählen Kunden-, Mitarbeiter- oder Nutzungsdaten. Sie unterliegen strengen Datenschutzregeln, weil unsachgemäße Transfers die Privatsphäre der Betroffenen verletzen können.

Auch Forschungs- und Entwicklungsdaten erfordern besondere Sorgfalt. Sie sind häufig durch geistiges Eigentum geschützt oder gelten als sicherheitsrelevant – etwa bei Dual-Use-Technologien in der Hochtechnologie oder Biotechnologie.

Industrie- und Geschäftsgeheimnisse wie Konstruktionspläne, Stücklisten, Fertigungsprozesse oder finanzielle Planungen gelten als besonders schützenswert. Eine unautorisierte Offenlegung – selbst versehentlich durch einen Transfer ins Ausland – kann den gesetzlichen Geheimnisschutz gefährden oder zerstören.

Daneben spielen auch Betriebs- und Produktionsdaten eine Rolle. Dazu zählen etwa Maschinen- und Sensordaten aus Industrie-4.0-Anwendungen. Ebenso sind Logistik- und Lieferkettendaten oft strategisch bedeutsam. Auch Telemetriedaten aus vernetzten Geräten wie Fahrzeugen fließen regelmäßig über Landesgrenzen hinweg.

Solche Daten sind zwar nicht immer personenbezogen, können aber dennoch regulatorisch relevant sein. Das gilt etwa, wenn lokale Gesetze eine Speicherung im Land verlangen oder bestimmte Informationen als sicherheitskritisch einstufen.

Zweite Empfehlung: Technische Schutzmaßnahmen

Verschlüsselung schützt vor unbefugtem Zugriff. Besonders sicher ist Ende-zu-Ende-Verschlüsselung, bei der nur der Dateninhaber den Schlüssel besitzt.

Die rechtliche Konsequenz mag überraschen: Auch verschlüsselte Datenübertragungen gelten meist als Export. Entscheidend ist, dass die Verschlüsselung konsequent umgesetzt wird – auch bei gespeicherten Daten. Der Schlüssel darf dabei nicht beim ausländischen Dienstleister liegen.

Im Exportkontrollrecht hat Verschlüsselung keine befreiende Wirkung. Kann der Empfänger die Daten entschlüsseln, ist eine Exportgenehmigung erforderlich.

Starke Verschlüsselung schützt die Vertraulichkeit, ersetzt aber keine rechtliche Prüfung. Sie erhöht die Sicherheit, verhindert jedoch nicht die Einstufung als Export.

Pseudonymisierung ersetzt personenbezogene Merkmale durch Kennungen. Die Daten bleiben nutzbar, lassen sich aber ohne Zusatzinformationen nicht auf Personen zurückführen. Das senkt das Risiko bei internationalen Transfers. Anonymisierte Daten unterliegen nicht mehr der DSGVO – allerdings ist echte Anonymität technisch schwer zu gewährleisten.

In der Exportkontrolle spielt Pseudonymisierung kaum eine Rolle – dort geht es meist um technische Informationen ohne Personenbezug.

Dritte Empfehlung: Data Governance ist Voraussetzung für den sicheren Datentransfer

Um virtuelle Ausfuhren im Griff zu behalten, braucht es im Unternehmen eine durchdachte Data Governance. Sie definiert klare Verantwortlichkeiten, schafft verbindliche Prozesse und nutzt geeignete Systeme, um Datenflüsse zu überwachen, zu klassifizieren und rechtskonform zu steuern.  Wichtige Elemente dabei sind: 

• Verantwortlichkeiten und Organisation: Die Verantwortung muss eindeutig verteilt sein. Das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) verlangt einen benannten Ausfuhrverantwortlichen auf Managementebene. Er trägt die Verantwortung für die Einhaltung der Exportkontrollvorschriften. 
  Für die operative Umsetzung sorgen Exportkontrollbeauftragte oder spezialisierte Teams. Sie prüfen Güterlisten, holen Genehmigungen ein und begleiten konkrete Vorhaben. Auch im Datenschutz ist ein fester Ansprechpartner nötig: Ab einer bestimmten Unternehmensgröße ist ein Datenschutzbeauftragter gesetzlich vorgeschrieben. Er sollte ebenfalls in internationale Datentransfers eingebunden sein. Darüber hinaus müssen IT, Rechtsabteilung und Informationssicherheit in einem Data-Governance-Board zusammenarbeiten. Dieses Gremium erstellt Richtlinien und bewertet Risiken. Alle betroffenen Abteilungen – vom Vertrieb (welche Daten dürfen wohin?) bis zur Personalabteilung (HR-Daten) – müssen eingebunden und geschult werden.
• Policies und Prozesse: Interne Richtlinien sollten klar definieren, wann und wie Daten das Unternehmen verlassen dürfen. So kann zum Beispiel festgelegt werden, dass technische Unterlagen nicht ohne Freigabe per E-Mail ins Ausland verschickt werden dürfen. 
  Das BAFA erwartet schriftliche Arbeitsanweisungen zur Übermittlung oder Bereitstellung von Technologie – etwa per E-Mail oder Cloud. Diese sollten Bestandteil eines internen Compliance-Programms (ICP) sein. 
• Überwachung und Protokollierung: Ausgehende Datenströme müssen technisch überwacht werden. Data-Loss-Prevention-Software erkennt sensible Inhalte und kann Übertragungen blockieren. 
• Klassifikation und Zugriffsrechte: Ein systematisches Klassifikationsschema ist empfehlenswert – zum Beispiel: "Öffentlich", "Intern", "Vertraulich", "Streng Vertraulich" mit dem Zusatz "Export Controlled". Dateien sollten automatisiert gekennzeichnet werden, etwa durch Tools zur Inhaltsanalyse. 
  Darauf aufbauend sorgt eine klare Rollen- und Rechteverteilung dafür, dass nur berechtigte Personen auf bestimmte Informationen zugreifen können. Idealerweise sind etwa ausländische Tochtergesellschaften technisch so eingeschränkt, dass sie nur freigegebene Kategorien sehen. Zugriffsrechte müssen regelmäßig überprüft und nicht mehr benötigte Berechtigungen konsequent gelöscht werden. 
• Datensparsamkeit: Unnötige Datenbewegungen sollten vermieden werden. Wo möglich, ist lokale Verarbeitung vorzuziehen. Grundsätzlich sollten nur die wirklich erforderlichen Daten übertragen werden – über sichere, kontrollierte Kanäle.
• Notfallprozesse: Für Verstöße oder unvorhergesehene Ereignisse braucht es klare Reaktionsabläufe. Das gilt zum Beispiel für Datenpannen oder unautorisierten Zugriff durch ausländische Behörden auf ausgelagerte Daten. 
  Ein Incident-Response-Prozess stellt sicher, dass das Management informiert, juristischer Rat eingeholt und gegebenenfalls Behörden benachrichtigt werden. Auch außergewöhnliche Situationen – etwa ein unerwarteter Massendatentransfer in einer Krisenlage – sollten durch Notfallpläne abgedeckt sein. So lassen sich Fehler unter Druck vermeiden. 

Vierte Empfehlung: Kultur der bewussten und kontrollierten Datenhandhabung 

Am Ende geht es darum, eine Kultur der bewussten und kontrollierten Datenhandhabung im Unternehmen zu verankern. "Know your data" heißt: Man muss wissen, welche Daten im Umlauf sind, wo sie gespeichert werden, wer Zugriff hat – und wohin sie fließen.

Technologie hilft, doch Priorität und Haltung der Unternehmensleitung sind entscheidend. Nur durch klare Prozesse, geschulte Mitarbeitende und geeignete Systeme entsteht ein Gleichgewicht zwischen globaler Datennutzung und rechtlicher Sicherheit.

Das Umfeld entwickelt sich dynamisch. Compliance-Verantwortliche sollten sich regelmäßig über neue technische und regulatorische Entwicklungen informieren – etwa über Empfehlungen von BAFA oder Datenschutzaufsicht.

Auch der Austausch mit anderen Unternehmen kann helfen. Bei komplexen Fragen sind externe Fachleute sinnvoll – zum Beispiel für Vertragsgestaltung oder Governance-Strukturen. Zertifizierungen wie ISO 27001 oder das C5-Testat decken Lücken auf und stärken das Vertrauen bei Kunden und Partnern.

Zusammenfassend: Eine proaktive Compliance-Kultur bringt Transparenz, schützt Know-how und schafft Vertrauen. Virtuelle Ausfuhren sind Teil der digitalen Realität – sie müssen rechtssicher und strategisch gemanagt werden.