- 2/5/2021
- 5 Minuten zu lesen
-
-
r
-
Über die EAR
Das US-Handelsministerium setzt die Export Administration Regulations (EAR) durch das Bureau of Industry and Security (BIS) durch. Die EAR regelt und kontrolliert die Ausfuhr und Wiederausfuhr der meisten Handelsgüter, Software und Technologien, einschließlich Gütern mit doppeltem Verwendungszweck, die sowohl für kommerzielle als auch für militärische Zwecke verwendet werden können, sowie bestimmter Verteidigungsgüter.
Der BIS-Leitfaden besagt, dass beim Hochladen von Daten oder Software in die Cloud oder bei der Übertragung zwischen Nutzerknoten der Kunde und nicht der Cloud-Anbieter der „Exporteur“ ist, der dafür verantwortlich ist, dass die Übertragung, Speicherung und der Zugriff auf diese Daten oder Software mit den EAR übereinstimmen.
Nach Angaben des BIS bezieht sich der Begriff „Export“ auf die Weitergabe geschützter Technologie oder technischer Daten an einen ausländischen Bestimmungsort oder ihre Freigabe an eine ausländische Person in den Vereinigten Staaten (auch als „deemed export“ bezeichnet). Die EAR regelt im Großen und Ganzen:
- Ausfuhren aus den Vereinigten Staaten.
- Wiederausfuhren oder Rückübertragungen von Gütern mit Ursprung in den USA und bestimmten Gütern mit Ursprung im Ausland, die mehr als einen geringfügigen Anteil an Inhalten mit Ursprung in den USA aufweisen.
- Weitergabe oder Offenlegung an Personen aus anderen Ländern.
Güter, die den EAR unterliegen, sind in der Commerce Control List (CCL) aufgeführt, in der jedem Gut eine eindeutige Export Control Classification Number (ECCN) zugewiesen ist. Güter, die nicht in der CCL aufgeführt sind, werden als EAR99 bezeichnet, und für die meisten EAR99-Handelsprodukte ist für die Ausfuhr keine Genehmigung erforderlich. Je nach Bestimmungsort, Endnutzer oder Endverwendung des Artikels kann jedoch auch für einen EAR99-Artikel eine BIS-Ausfuhrgenehmigung erforderlich sein.
Die im Juni 2016 veröffentlichte endgültige Regelung stellt klar, dass die EAR-Lizenzierungsanforderungen auch nicht für die Übertragung und Speicherung von nicht klassifizierten technischen Daten und Software gelten, wenn sie Ende-zu-Ende mit FIPS 140-2-validierten kryptografischen Modulen verschlüsselt sind und nicht absichtlich in einem Land mit einem militärischen Embargo oder in der Russischen Föderation gespeichert werden.
Microsoft und die EAR
Microsoft-Technologien, -Produkte und -Dienstleistungen unterliegen den US Export Administration Regulations (EAR). Es gibt zwar keine Konformitätszertifizierung für die EAR, aber Microsoft Azure, Microsoft Azure Government und Microsoft Office 365 Government (GCCHigh- und DoD-Umgebungen) bieten wichtige Funktionen und Tools, die berechtigten Kunden, die den EAR unterliegen, dabei helfen, Exportkontrollrisiken zu verwalten und ihre Konformitätsanforderungen zu erfüllen.
Das US-Handelsministerium, das die EAR durchsetzt, vertritt den Standpunkt, dass Kunden und nicht Cloud-Dienstanbieter wie Microsoft als Exporteure ihrer eigenen Kundendaten gelten. Zwar gelten die meisten Kundendaten nicht als „Technologie“ oder „technische Daten“, die den EAR-Ausfuhrkontrollen unterliegen, doch sind die Cloud-Dienste von Microsoft so strukturiert, dass sie den Kunden helfen, die potenziellen Ausfuhrkontrollrisiken, denen sie ausgesetzt sind, zu bewältigen und erheblich zu mindern. Microsoft empfiehlt berechtigten Kunden im Allgemeinen, aber nicht ausschließlich, die Nutzung seiner Cloud-Dienste für Behörden. Bei entsprechender Planung können Kunden die folgenden Tools und ihre eigenen internen Verfahren nutzen, um die vollständige Einhaltung der US-Ausfuhrkontrollen zu gewährleisten.
- Kontrolle des Datenstandorts. Die Kunden haben Einblick in den Ort, an dem ihre Daten gespeichert sind, und Zugang zu robusten Werkzeugen, um die Speicherung einzuschränken. So können sie sicherstellen, dass ihre Daten in den Vereinigten Staaten gespeichert werden, und den Transfer von kontrollierter Technologie oder technischen Daten außerhalb der Vereinigten Staaten minimieren. Darüber hinaus werden Kundendaten nicht an einem nicht konformen Ort gespeichert, was im Einklang mit den EAR-Verboten bezüglich des Ortes steht, an dem Daten „absichtlich gespeichert“ werden: kein Azure-Rechenzentrum befindet sich in einem der 25 Länder der Gruppe D:5 oder der Russischen Föderation.
- Ende-zu-Ende-Verschlüsselung. Durch die Nutzung des Safe Harbor für die Ende-zu-Ende-Verschlüsselung für physische Speicherorte, der in den EAR festgelegt ist, bieten die Cloud-Dienste von Microsoft in-scope Verschlüsselungsfunktionen, die zum Schutz vor Exportkontrollrisiken beitragen können. Sie bieten den Kunden auch eine breite Palette von Optionen für die Verschlüsselung von Daten bei der Übertragung und im Ruhezustand sowie die Flexibilität, zwischen verschiedenen Verschlüsselungsoptionen zu wählen.
- Tools und Protokolle zur Verhinderung von als unerlaubt erachteter Ausfuhr. Die Verwendung von Verschlüsselung trägt auch zum Schutz vor einer potenziellen fiktiven Ausfuhr (oder fiktiven Wiederausfuhr) im Rahmen der EAR bei, denn selbst wenn eine Nicht-US-Person Zugang zu verschlüsselten Daten hat, wird nichts preisgegeben, wenn sie die Daten nicht lesen oder verstehen kann, solange sie verschlüsselt sind; es findet also keine „Freigabe“ kontrollierter Daten statt.
Microsoft in-scope cloud services
- Azure und Azure Government
- Office 365 Government (GCC-High und DoD)
- Intune
How to implement
Überblick über die US-Exportkontrollen und Anleitungen für Kunden, die ihre Verpflichtungen im Rahmen des EAR bewerten.
- Azure
- Office 365
Häufig gestellte Fragen
Was muss ich tun, um bei der Nutzung von Microsoft-Cloud-Diensten die Exportkontrollen einzuhalten?
Nach den EAR gilt beim Hochladen von Daten auf einen Cloud-Server wie die Microsoft-Cloud der Kunde, der Eigentümer der Daten ist – und nicht der Anbieter der Cloud-Dienste – als Exporteur. Aus diesem Grund muss der Eigentümer der Daten – also der Microsoft-Kunde – sorgfältig prüfen, inwieweit seine Nutzung der Microsoft-Cloud mit den US-Ausfuhrkontrollen in Zusammenhang steht, und feststellen, ob die Daten, die er dort nutzen oder speichern möchte, möglicherweise den EAR-Kontrollen unterliegen, und wenn ja, welche Kontrollen gelten. Erfahren Sie mehr darüber, wie Azure- und Office 365-Cloud-Dienste Kunden dabei helfen können, die vollständige Einhaltung der US-Ausfuhrkontrollen zu gewährleisten.
Unterliegen Microsoft-Technologien, -Produkte und -Dienste den EAR?
Die meisten Microsoft-Technologien, -Produkte und -Dienste unterliegen entweder:
- Sie unterliegen nicht den EAR und stehen daher nicht auf der Commerce Control List und haben keine ECCN;
- oder sie sind als EAR99 oder 5D992 Mass Market für eine Selbsteinstufung durch Microsoft geeignet und können ohne Lizenz als No License Required (NLR) in Nicht-Embargoländer exportiert werden.
Einigen Microsoft-Produkten wurde jedoch eine ECCN zugewiesen, für die eine Lizenz erforderlich sein kann oder nicht. Konsultieren Sie die EAR oder einen Rechtsberater, um den entsprechenden Lizenztyp und die für die Ausfuhr in Frage kommenden Länder zu bestimmen.
Was ist der Unterschied zwischen den EAR und den International Traffic in Arms Regulations (ITAR)?
Die wichtigsten US-Ausfuhrkontrollen mit dem breitesten Anwendungsbereich sind die EAR, die vom US-Handelsministerium verwaltet werden. Die EAR gilt für Güter mit doppeltem Verwendungszweck, die sowohl kommerzielle als auch militärische Anwendungen haben, sowie für Güter mit rein kommerziellen Anwendungen.
Die Vereinigten Staaten haben auch separate und speziellere Ausfuhrkontrollvorschriften, wie die ITAR, die für die sensibelsten Güter und Technologien gelten. Sie werden vom US-Außenministerium verwaltet und regeln die Ausfuhr, die vorübergehende Einfuhr, die Wiederausfuhr und die Weitergabe zahlreicher militärischer, verteidigungsbezogener und nachrichtendienstlicher Güter (auch als „Verteidigungsartikel“ bezeichnet), einschließlich der zugehörigen technischen Daten.