BAFA verschärft Regeln für Software-Exporte in die Cloud

Deutsche Software-Unternehmen müssen sich auf ein verschärftes Export-Kontrollregime einstellen. Die Digitalisierung der Verfahren geht mit neuen Pflichten und strengeren Prüfungen einher.

Seit dem 25. Dezember 2025 ist der Übergang zu einem vollständig digitalen Exportkontrollverfahren für sogenannte immaterielle Technologietransfers (ITT) abgeschlossen. Das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) hat mit dem „Vierten Maßnahmenpaket“ und entscheidenden ELAN-K2-Updates in diesem Jahr den Rechtsrahmen deutlich verschärft. Was zunächst wie eine Vereinfachung durch den Wegfall physischer Endverbleibserklärungen (EVE) wirkte, bedeutet in der Praxis mehr Aufwand und eine größere Verantwortung für die Exporteure.

Die unmittelbarste Änderung für Compliance-Verantwortliche trat am 1. September 2025 in Kraft. Das Update des elektronischen Antragssystems ELAN-K2 führt erstmals verpflichtende Felder speziell für Software-Exporte ohne klassische Warennummer ein.

Exportvorschriften treffen jetzt auch Software-Exporte hart. Viele Compliance-Teams sind unsicher, wie sie ELAN‑K2 korrekt ausfüllen und Haftungsfallen vermeiden. Ein kostenloser Leitfaden erklärt Schritt für Schritt, wie Sie Prüfprozesse aufsetzen, Sanktionslisten prüfen und Nullbescheide dokumentieren — inklusive praktischer Checklisten für Cloud‑ und IT‑Services. Ideal für Softwareanbieter und Compliance‑Verantwortliche. Exportkontrolle‑Leitfaden jetzt herunterladen

Der kritischste Punkt ist die neue „Kenntnis“-Erklärung. Antragsteller müssen nun aktiv bestätigen, dass sie mögliche Genehmigungspflichten nach Außenwirtschaftsverordnung (AWV) oder EU-Dual-Use-Verordnung geprüft haben. Diese Änderung verlagert die Haftung deutlich auf den Exporteur – Unwissenheit schützt künftig nicht mehr vor Sanktionen. Zudem muss die Begründung für einen Nullbescheid nun kategorisiert werden, etwa ob eine Zollanfrage oder Kundenanforderung der Auslöser war.

„Damit schließt das BAFA eine Grauzone“, kommentiert eine Münchner Handelsrechts-Expertin. „Die Zeit, in der man sich bei Dual-Use-Software auf mangelnde Kenntnis berufen konnte, ist vorbei.“

Cloud-Speicher: AGG 44 ist kein Freifahrtschein für SaaS

Das im Januar 2025 eingeführte Allgemeine Genehmigung Nr. 44 (AGG 44) hat den Umgang mit Cloud-Speicher vereinfacht. Sie erlaubt die Speicherung kontrollierter Software auf Servern Dritter. Ein verbreiteter Irrtum war jedoch, dass diese Genehmigung auch den Zugriff Dritter aus risikobehafteten Ländern auf diese Software abdeckt.

„Die Annahme, AGG 44 sei eine pauschale Erlaubnis für SaaS-Geschäftsmodelle, war 2025 die häufigste Compliance-Falle“, warnt Dr. Elena Weber, Handelsanalystin. Unternehmen müssten strikt zwischen dem technischen Export in die Cloud und der späteren Zugangsgewährung unterscheiden. Letzteres erfordere oft eine individuelle Lizenz.

Neue EU-Liste: Diese Software steht unter strengerer Kontrolle

Am 15. November 2025 trat eine aktualisierte Fassung der EU-Dual-Use-Liste in Kraft. Sie stellt bisher unregulierte Hochtechnologie-Software unter Kontrolle und zwingt Exporteure zur sofortigen Neuklassifizierung.

Betroffen ist Software für:
* Quantencomputing zur Entwicklung oder Produktion von Quantencomputern.
* Halbleiterfertigung, insbesondere für GAAFET-Strukturen und EUV-Lithografiemasken.
* Additive Fertigung (3D-Druck) von Bauteilen aus Hochleistungslegierungen.

Für Softwarepakete, die bisher als nicht genehmigungspflichtig galten, muss der Status dringend überprüft werden. Die „Catch-all“-Klauseln für diese Technologien wurden ebenfalls verschärft.

Digitale Archivierung: Die Fünf-Jahres-Regel bleibt zentral

Mit der Abschaffung physischer Dokumente gewinnt die digitale Archivierung an Bedeutung. Die fünfjährige Aufbewahrungspflicht für digitale Endverbleibserklärungen bleibt bestehen. Das BAFA betont, dass einfache „Click-Wrap“-Lizenzvereinbarungen für sensible Destinationen oft nicht ausreichen. Empfohlen werden spezifische, digital signierte Dokumente nach eIDAS-Standard, die in einem revisionssicheren, unveränderlichen Format (WORM) gespeichert werden.

Ausblick 2026: Stabilität und verstärkte Überwachung

Für die kommenden Monate bietet sich eine Phase der Stabilisierung. Alle Allgemeinen Genehmigungen (AGGs), die 2025 ausliefen, wurden bis zum 31. März 2026 verlängert. Dies gibt Exporteuren Planungssicherheit für Routinegeschäfte.

Gleichzeitig müssen sich Unternehmen auf verstärkte Prüfungen einstellen. Das ELAN-K2-System sammelt nun detailliertere Daten zu immateriellen Transfers. Das BAFA kann mit diesen Daten Analysen durchführen und Muster unerlaubter Technologietransfers identifizieren. Der Fokus 2026 wird daher vermutlich auf der Durchsetzung der neuen digitalen Werkzeuge liegen.

Handlungsempfehlungen für Exporteure:
1. Software neu klassifizieren: Alle Produkte anhand der Dual-Use-Liste vom 15. November 2025 prüfen.
2. ELAN-K2-Prozesse anpassen: Mitarbeiter in den neuen Pflichtfeldern schulen.
3. Cloud-Nutzung auditieren: Sicherstellen, dass AGG 44 nur für Speicherung, nicht für Zugriffe genutzt wird.
4. Digitales Archiv überprüfen: Die Aufbewahrung digitaler EVEs für fünf Jahre in einem WORM-konformen System gewährleisten.

Hinweis: Dieser Artikel gibt einen Überblick über die Rechtslage zum 25. Dezember 2025 und stellt keine Rechtsberatung dar.

PS: Für Exporteure von Dual‑Use‑Software ist rasches Handeln nötig — die neue EU‑Liste und verschärfte „Kenntnis“-Erfordernisse erhöhen das Risiko von Bußgeldern. Dieser kostenlose Praxis‑Report zeigt, wie Sie Software korrekt klassifizieren, AGG‑44-Fälle richtig bewerten und digitale EVEs revisionssicher archivieren. Praktische Vorlagen helfen, ELAN‑K2-Anträge prüfungssicher vorzubereiten. Jetzt kostenlosen Export‑Compliance‑Guide sichern