BAFA verschärft Cloud-Regeln für Technologieexporte

Deutsche Exporteure sensibler Güter müssen ab sofort auf besonders gesicherte Cloud-Dienste setzen. Das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) hat zum 1. Februar 2026 neue Vorgaben für den digitalen Außenhandel erlassen. Kern der Neuregelung: Wer genehmigungspflichtige Software oder Technologien exportiert, darf dies nur noch über Cloud-Server tun, die den hohen Sicherheitsstandard C5 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erfüllen und in der EU gehostet werden.

Diese Maßnahme ist Teil eines Pakets zur Straffung der Exportkontrollen. Sie soll den Missbrauch deutscher Spitzentechnologie verhindern und gleichzeitig Rechtssicherheit für Unternehmen schaffen. Der Schritt unterstreicht den politischen Willen, die digitale Souveränität Europas zu stärken.

Was sich für Exporteure konkret ändert

Die Änderungen betreffen mehrere Allgemeine Genehmigungen (AGGen) für Rüstungs- und Dual-Use-Güter. Für den Transfer dieser Güter über elektronische Medien gelten nun zwei harte Bedingungen: Die genutzte Server-Infrastruktur muss erstens den Mindestanforderungen des BSI C5-Kriterienkatalogs entsprechen. Zweitens muss der Server physisch im Zollgebiet der Europäischen Union stehen.

Betroffen sind unter anderem die nuova Allgemeine Genehmigung Nr. 45 für bestimmte Rüstungsgüter sowie angepasste Fassungen der AGGen Nr. 13 und 17 im Dual-Use-Bereich. Die Bundesregierung stellt so sicher, dass sensible Technologiedaten auch in der Cloud unter einer Architektur verbleiben, die nationalen Sicherheitsstandards genügt. Zugriffe auf die Daten müssen zudem lückenlos nachvollziehbar sein.

Passend zum Thema Dual‑Use und Exportkontrollen: Viele Verantwortliche unterschätzen, welche Güter genehmigungspflichtig sind und wie sich Änderungen an Listen, Fristen und Cloud‑Vorgaben auf die Lieferkette auswirken. Das kostenlose E‑Book „Das 1×1 der Dual‑Use‑Verordnung“ erklärt praxisnah, wie Sie ausfuhrpflichtige Waren identifizieren, Prüfschritte einführen und Genehmigungsverfahren effizient gestalten – inklusive Checklisten für Compliance‑Teams. Jetzt Gratis‑Dual‑Use‑Leitfaden herunterladen

C5-Standard wird zur Export-Voraussetzung

Der C5-Katalog des BSI ist in Deutschland bereits ein etablierter Maßstab für Cloud-Sicherheit. Er definiert Anforderungen in Bereichen wie physischer Sicherheit, Zugriffsmanagement und Verschlüsselung. Indem das BAFA die Einhaltung dieses Katalogs zur Bedingung macht, wird ein branchenbekannter Sicherheitsstandard zur gesetzlichen Hürde.

Für Exporteure schafft das Klarheit: Nur Cloud-Anbieter mit einem gültigen C5-Testat kommen für den Transfer sensibler Güter infrage. Während zunächst vor allem große Provider wie die Deutsche Telekom oder spezialisierte Anbieter diese Zertifizierung vorweisen konnten, ziehen nun auch zunehmend mittelständische Unternehmen nach. Die regelmäßige Überarbeitung des Katalogs soll sicherstellen, dass die Anforderungen mit der technologischen Entwicklung Schritt halten.

Mehr Aufwand, mehr Sicherheit, mehr Souveränität

Für exportstarke deutsche Unternehmen, insbesondere aus den Bereichen Maschinenbau, Automotive und IT, hat die Regelung direkte Folgen. Sie müssen ihre Compliance-Prozesse prüfen und sicherstellen, dass ihre Cloud-Dienstleister die C5-Anforderungen nicht nur erfüllen, sondern dies auch nachweisen können. Das bedeutet zunächst mehr Prüfaufwand in der Lieferkette.

Langfristig soll die Maßnahme jedoch für mehr Effizienz und Planungssicherheit sorgen. Sie ist ein klares politisches Signal: Der Export kritischer Technologien wird an die Nutzung sicherer, europäischer Infrastruktur gekoppelt. Dies fügt sich ein in Initiativen wie den EU Data Act und stärkt das Ziel, weniger abhängig von außereuropäischen Cloud-Giganten zu werden.

Digitale Güter brauchen digitale Kontrollen

Die Verknüpfung von Exportrecht und Cybersicherheit ist eine logische Antwort auf die Digitalisierung. Sensible Güter sind heute oft Datenpakete oder Algorithmen, die in Sekundenschnelle global transferiert werden können. Traditionelle Grenzkontrollen greifen hier nicht mehr.

Die neue BAFA-Regelung schließt diese Lücke, indem sie die Sicherheit der digitalen Transportwege in den Fokus rückt. Branchenkenner sehen darin einen notwendigen Schritt, um die Kontrolle über Dual-Use-Technologien zu wahren, ohne cloud-basierte Geschäftsmodelle auszubremsen. Die Integration in ein Paket zur Verfahrensbeschleunigung soll zeigen: Mehr Sicherheit und mehr Effizienz sind kein Widerspruch.

Ausblick: C5 wird zum europäischen Standard?

Unternehmen sind nun gefordert, ihre Cloud-Strategie und Provider-Verträge umgehend zu überprüfen. Die Nachfrage nach C5-zertifizierten Diensten dürfte spürbar steigen. Wer hier bereits auf zertifizierte Partner setzt, ist klar im Vorteil.

Auf europäischer Ebene könnte das deutsche Vorgehen Schule machen. Da Cybersicherheit und Technologiekontrolle ganz oben auf der EU-Agenda stehen, ist eine Harmonisierung der Regelungen wahrscheinlich. Die befristeten Laufzeiten einiger betroffener Genehmigungen – einige gelten nur bis März 2026 oder 2027 – deuten auf ein dynamisches Umfeld hin. Sicherheit in der Cloud wird zum dauerhaften Fixpunkt im Exportgeschäft.

PS: Die neuen BAFA‑Vorgaben erhöhen Prüfpflichten und Bußgeldrisiken bei Exporten sensibler Software und Technologien. Unser praxisorientierter Leitfaden zur Exportkontrolle liefert konkrete Checklisten, Selbsttests für Ihre Prozesse und Anleitungen zur Sanktions‑ und Embargoprüfung, damit Sie Zoll‑ und Compliance‑Risiken frühzeitig erkennen und beheben. Unverzichtbar für Exportunternehmen, die jetzt ihre Cloud‑Provider‑Verträge prüfen müssen. Exportkontrolle‑Leitfaden gratis herunterladen