ITAR-Compliance: Definition und Vorschriften
Wenn Ihr Unternehmen Güter der Rüstungs- oder Raumfahrtindustrie aus den Vereinigten Staaten exportiert, müssen Sie den Vorschriften der ITAR nachkommen. Andernfalls könnten Sie mit einer Geldstrafe von Hunderttausenden von US-Dollar belegt werden.
Was bedeutet es, ITAR-konform zu sein? Die Einhaltung der International Traffic in Arms Regulations bedeutet, dass Ihr Unternehmen beim Directorate of Defense Trade Controls (DDTC) des US-Außenministeriums registriert ist und alle notwendigen ITAR-Bestimmungen für die Ausfuhr von Gütern der US-Munitionsliste eingehalten hat.
Was ist ITAR und warum sollte ein Unternehmen ITAR-konform sein wollen?
Die International Traffic in Arms Regulations sind ein Regelwerk zur Kontrolle von Waffen- und Munitionsimporten und -exporten im Interesse des Schutzes der nationalen Sicherheit und der außenpolitischen Prioritäten der Vereinigten Staaten.
Die Bestimmungen der ITAR beziehen sich ausdrücklich auf die U.S. Munitions List (USML), eine Liste von Dienstleistungen, Technologien und Gütern, die als “rüstungs- und raumfahrtbezogen” bezeichnet werden. Es handelt sich dabei um ein Verzeichnis von Waffen, militärischer Ausrüstung und rüstungsbezogenen Daten, die als “Rüstungsgüter” definiert sind. Da die USA häufig mit Waffen handeln (entweder als Käufer oder Verkäufer), muss die Regierung akribische Aufzeichnungen über ihre Rüstungsgüter führen. Da die Lieferkette im Verteidigungsbereich ein Netzwerk von Behörden und Drittanbietern (bekannt als Defense Industrial Base) umfasst, müssen diese Unternehmen ebenfalls die Anforderungen erfüllen, die für die Verwaltung von US-Rüstungsgütern gelten.
ITAR und der Arms Export Control Act wurden 1976 während des Kalten Krieges in Kraft gesetzt, um der Befürchtung zu begegnen, dass US-Waffen in die Hände von Agenten der UdSSR oder deren Satellitenregierungen fallen könnten. Im Jahr 1999 wurde die Verwaltung und Durchsetzung der Regeln und Vorschriften unter ITAR und dem Arms Export Control Act (AECA) dem US-Außenministerium übertragen.
Gemäß ITAR werden “Rüstungsgüter” in zwei große Kategorien unterteilt: physische Ausrüstung und technische Daten über bestehende oder zukünftige Ausrüstung. Innerhalb dieser beiden Kategorien gibt es weitere benutzerspezifische Kategorien:
- Schusswaffen, Nahkampfwaffen und Schnellfeuergewehre
- Rohstoffe, Chemikalien, Mikroorganismen und Toxine
- Munition und Kampfmittel
- Trägerraketen, gelenkte und ballistische Flugkörper, Raketen, Torpedos, Bomben und Minen
- Sprengstoffe und Energieerzeugende Stoffe, Treibstoffe, Brandstoffe und ihre Bestandteile
- Kriegsschiffe und Spezialausrüstung der Marine
- Panzer und Militärfahrzeuge
- Flugzeuge und zugehöriges Equipment
- Militärische Trainingsausrüstung
- Schutzausrüstung für Personal
- Militärische Elektronik
- Ausrüstung für Feuerkontrolle, Entfernungsmesser, Optik, Steuerung und Kontrolle
- Militärische Hilfsgüter
- Toxikologische Wirkstoffe, einschließlich chemischer Wirkstoffe, biologischer Wirkstoffe und zugehöriger Ausrüstung
- Raumfahrzeugsysteme und dazugehörendes Equipment
- Ergänzende Produkte zu Nuklearwaffen, Konstruktion und Testverfahren
- der Geheimhaltung unterliegende Güter, technische Daten und Verteidigungsdienstleistungen, die nicht anderweitig aufgezählt sind
- Gerichtete Energiewaffen
- Gasturbinen-Triebwerke
- Tauchboote, ozeanografische und damit verbundene Ausrüstung
- Güter, technische Daten und Verteidigungsdienstleistungen, die nicht anderweitig aufgezählt sind
Alle militärischen Waffen und Informationen über diese Waffen fallen unter eine dieser Kategorien. Jedes Unternehmen, das Güter, die unter diese Kategorien fallen, herstellt, erforscht oder exportiert, muss sich beim Directorate of Defense Trade Controls (DDTC) registrieren lassen und die entsprechenden ITAR-Vorschriften einhalten.
Wie kann ein Unternehmen ITAR-konform werden?
Es gibt einige wichtige Maßnahmen, die jedes Unternehmen ergreifen muss, um ITAR-konform zu sein:
- Registrierung bei der DDTC: Dieser Schritt kommt vor allen anderen und ist notwendig, um in irgendeiner Weise mit Erzeugnissen im Rahmen der USML arbeiten zu können. Laut der DDTC-Website müssen sich alle “Hersteller, Exporteure, temporären Importeure und Vermittler von Verteidigungsgütern (einschließlich technischer Daten)”, die unter die USML fallen, beim DDTC registrieren lassen.
- Einführung eines ITAR-Compliance-Programms. Die ITAR-Anforderungen schreiben vor, dass Unternehmen über ein dokumentiertes ITAR-Compliance-Programm verfügen müssen, das die Überwachung, Nachverfolgung und Prüfung von technischen USML-Daten, die in den Zuständigkeitsbereich der ITAR fallen, regelt. Darüber hinaus empfiehlt das DDTC, sensible Güter mit einer ITAR-Kennzeichnung zu versehen, um die Einhaltung der Vorschriften durch die Mitarbeiter zu unterstützen.
- ITAR-Sicherheit implementieren: Die Einhaltung der Vorschriften hängt von der entsprechenden Sicherheitseinstufung der Daten ab. Nehmen wir an, die im Rahmen von ITAR verwalteten Daten sind als geheim eingestuft. In diesem Fall gelten für sie höchstwahrscheinlich eigene Anforderungen an die Einhaltung der Sicherheitsvorschriften (einschließlich der Verwendung spezieller Router-Netzwerke wie dem Secret Internet Protocol Router Network). Wenn ein Unternehmen jedoch kontrollierte, nicht klassifizierte Informationen (Controlled Unclassified Information, CUI) verwaltet – sensible Informationen im Zusammenhang mit Waffen und Verteidigung, die nicht klassifiziert sind -, kann die Einhaltung der Sicherheitsbestimmungen der National Institute of Standards and Technology Special Publication 800-171
Was bedeutet ITAR für Technologieunternehmen?
Die wachsende Abhängigkeit der Verteidigungsbehörden von Drittanbietern hat zu einer parallelen Abhängigkeit von der IT-Infrastruktur der Anbieter für diese Behörden und ihre Vertragspartner geführt. Zu dieser Art von Infrastruktur gehören Software-as-a-Service (SaaS)-Anwendungen, Cloud-Speicher, Behörden-Lösungen und wichtige Technologien für die meisten Organisationen.
Da Systeme wie die Cloud-Speicher so wichtig für den Betrieb von Unternehmen und Behörden des Verteidigungssektors sind, ist es auch wichtig, dass jedes System, das “Güter, technische Daten und Verteidigungsdienste” (klassifiziert oder nicht) verwaltet, die Mindestanforderungen an die Compliance erfüllt.
Dies geschieht auf zwei verschiedene Arten. In Bezug auf CUI oder klassifizierte Daten muss ein Unternehmen die Vorschriften zum Schutz dieser speziellen Arten von Daten befolgen. Außerdem mussten diese Unternehmen vor 2020 gemäß den ITAR-Anforderungen sicherstellen, dass die Rechenzentren nur von US-Bürgern mit Sitz in den Vereinigten Staaten verwaltet werden.
Welche Strafen gibt es für den Verstoß gegen die ITAR-Vorschriften?
Gemäß der ITAR-Dokumentation auf der DDTC-Webseite gelten die folgenden Handlungen als rechtswidrig:
- Verteidigungsgüter ohne Genehmigung des US-Außenministeriums aus den bzw. In die Vereinigten Staaten zu exportieren, zu importieren oder den Import oder Export zu planen
- Import, Export oder Vermittlung des Austauschs von Verteidigungsgütern ohne ordnungsgemäße Lizenz
- Herstellung von Rüstungsgütern in Zusammenarbeit mit der US-Regierung ohne Einhaltung von Lizenzen und Sicherheitsvorschriften
- Betrug bei dem Versuch, ITAR-Compliance, Lizenzen oder andere Genehmigungen für den Export, Import oder die Vermittlung von Rüstungsgütern zu erhalten
Die Strafen werden durch ein so genanntes “Consent Agreement” (Einverständniserklärung) geregelt, bei der ein Unternehmen, das gegen die ITAR verstößt, nicht nur die Geldstrafen bezahlen muss, sondern in einem Prozess, der drei bis vier Jahre dauern kann, überwacht wird und Abhilfemaßnahmen ergreifen muss.
Laut der DDTC-Website gibt es zwei Stufen von Strafen:
- Zivilrechtliche Sanktionen: Zivilrechtliche Strafen werden durch ITAR-Artikel 128 geregelt und umfassen Strafen von mindestens US$ 1 Mio. pro Verstoß und einen möglichen Ausschluss, zumindest während eines Zeitraums, in dem Abhilfemaßnahmen im Rahmen einer Einverständniserklärung getroffen werden. Zivilrechtliche Strafen werden in der Regel als unbeabsichtigt oder korrigierbar angesehen, so dass ein Consent Agreement möglich ist.
- Strafrechtliche Sanktionen: Strafrechtliche Sanktionen sind im AECA 22 U.S.C2778(c) geregelt und gelten generell für Organisationen, die wissentlich und vorsätzlich gegen die ITAR verstoßen. Die Strafen liegen bei mindestens US$ 1 Million pro Verstoß oder bis zu 20 Jahren Gefängnis und Berufsverbot.
Gewährleistung von sicheren Systemen und nach ITAR-Richtlinien geschützten Informationen
Unternehmen, die in der Lieferkette des US-Verteidigungsministeriums arbeiten, haben bereits mit wichtigen, sensiblen Daten zu tun. Diejenigen, die im Rahmen der Verwaltung der U.S. Munitions List technische Informationen zu verwalten haben, tragen sogar noch mehr Verantwortung dafür, dass diese Informationen nicht in die falschen Hände geraten. Deshalb ist es wichtig, mit Cloud- und Data-Management-Systemen zu arbeiten, die die strengen Sicherheitsanforderungen innerhalb und außerhalb der Rüstungsindustrie erfüllen können.
Melden Sie sich noch heute für eine kostenlose Demo an und erfahren Sie, wie die Kiteworks-Plattform Ihre Sicherheits- und Compliance-Anforderungen unterstützen kann.
–>