US Export Administration Regulations (EAR)

Informationen zum EAR

Das US-Handelsministerium setzt die Export Administration Regulations (EAR) durch das Bureau of Industry and Security (BIS) durch. Die EAR regelt und kontrolliert weitgehend den Export und die Wiederausfuhr der meisten kommerziellen Güter, Software und Technologien, einschließlich "Dual-Use"-Gütern, die sowohl für kommerzielle als auch militärische Zwecke sowie für bestimmte Verteidigungsgüter verwendet werden können.

Die BIS-Anleitung besagt, dass beim Hochladen von Daten oder Software in die Cloud oder der Übertragung zwischen Benutzerknoten der Kunde, nicht der Cloudanbieter, der "Exporteur" ist, der dafür verantwortlich ist, dass übertragungen, speichern und darauf zugreifen können, dass diese Daten oder Software dem EAR entsprechen.

Export bezieht sichnach Angaben der BIZ auf die Übertragung geschützter Technologien oder technischer Daten an einen ausländischen Bestimmungsort oder deren Freigabe an eine ausländische Person im USA (auch als als als "als eingestufte Ausfuhr" bezeichnet). Die EAR regelt im Großen und Ganzen:

• Exporte aus dem USA.
• Reexporte oder Retransfers von US-Ursprungsartikeln und bestimmten Ausländischen Ursprungsartikeln mit mehr als einem de-geringfügigen Teil des US-Ursprungsinhalts.
• Übermittlungen oder Offenlegungen an Personen aus anderen Ländern.

Elemente, die dem EAR unterliegen, finden Sie in der Commerce Control List (CCL), in der jedem Element eine eindeutige Export Control Classification Number (ECCN) zugewiesen ist. Artikel, die nicht in der CCL aufgeführt sind, werden als EAR99 bezeichnet, und die meisten kommerziellen EAR99-Produkte erfordern keine Lizenz für den Export. Je nach Ziel, Endbenutzer oder Endverwendung des Elements ist jedoch auch für ein EAR99-Element möglicherweise eine BIS-Exportlizenz erforderlich.

In der im Juni 2016 veröffentlichten endgültigen Regel wurde klargestellt, dass die EAR-Lizenzierungsanforderungen auch nicht für die Übertragung und Speicherung von nicht klassifizierten technischen Daten und Software gelten würden, wenn sie end-to-End mit FIPS 140-2-validierten kryptografischen Modulen verschlüsselt und nicht absichtlich in einem Land mit einem Militärembargo oder in der Russischen Föderation gespeichert wurden.

Microsoft und der EAR

Microsoft-Technologien, -Produkte und -Dienste unterliegen den US-Amerikanischen Export Administration Regulations (EAR). Obwohl es keine Compliancezertifizierung für ear gibt, bieten Microsoft Azure, Microsoft Azure Government und Microsoft Office 365 Government (GCC High- und DoD-Umgebungen) wichtige Features und Tools, die berechtigten Kunden, die dem EAR unterliegen, dabei zu helfen, Exportkontrollrisiken zu verwalten und ihre Complianceanforderungen zu erfüllen.

Das US-Handelsministerium, das die EAR erzwingt, hat die Position eingenommen, dass Kunden, nicht Clouddienstanbieter wie Microsoft, als Exporteure ihrer eigenen Kundendaten gelten. Während die meisten Kundendaten nicht als "Technologie" oder "technische Daten" gelten, die DEN EAR-Exportkontrollen unterliegen, sind die Clouddienste von Microsoft so strukturiert, dass sie Kunden dabei unterstützen, die potenziellen Exportkontrollrisiken, denen sie ausgesetzt sind, zu verwalten und erheblich zu mindern. Microsoft empfiehlt im Allgemeinen, aber nicht ausschließlich, die Verwendung seiner Government-Clouddienste für berechtigte Kunden. Bei entsprechender Planung können Kunden die folgenden Tools und ihre eigenen internen Verfahren verwenden, um die vollständige Einhaltung der US-Exportkontrollen zu gewährleisten.

• Steuert den Datenspeicherort. Kunden haben Einblick in den Speicherort ihrer Daten und Zugriff auf robuste Tools, um den Speicher einzuschränken. Sie können daher sicherstellen, dass ihre Daten im USA gespeichert werden und die Übertragung kontrollierter Technologie oder technischer Daten außerhalb der USA minimieren. Darüber hinaus werden Kundendaten nicht an einem nicht konformen Ort gespeichert, was den EAR-Verboten entspricht, wo Daten "absichtlich gespeichert" werden: Kein Azure-Rechenzentrum befindet sich in einem der 25 Länder der Gruppe D:5 oder der Russischen Föderation.
• End-to-End-Verschlüsselung. Durch die Nutzung des End-to-End-Verschlüsselungs-Safe-Harbors für physische Speicherorte, die im EAR angegeben sind, bieten Microsoft-Clouddienste verschlüsselungsfeatures, die zum Schutz vor Exportkontrollrisiken beitragen können. Sie bieten Kunden auch eine Vielzahl von Optionen für die Verschlüsselung von Daten während der Übertragung und im Ruhezustand sowie die Flexibilität, zwischen Verschlüsselungsoptionen zu wählen. Weitere Informationen finden Sie unter:
  • Übersicht über die Azure-Verschlüsselung
  • Microsoft Purview Information Protection
  • Verschlüsselung auf Mandantenebene mit Kundenschlüssel
• Tools und Protokolle, um nicht autorisierten Export zu verhindern. Die Verwendung von Verschlüsselung trägt auch zum Schutz vor einem potenziellen Export (oder einer möglichen Wiederexportierung) im Rahmen des EAR bei, denn selbst wenn eine Person außerhalb der USA Zugriff auf verschlüsselte Daten hat, wird nichts offengelegt, wenn sie die Daten nicht lesen oder verstehen kann, während sie verschlüsselt sind; Daher gibt es keine "Freigabe" von kontrollierten Daten.

Zu Microsoft gehörende Cloudplattformen und -dienste

• Azure und Azure Government
• Office 365 Government (GCC-High und DoD)
• Intune

Implementierung

Übersicht über us-amerikanische Ausfuhrkontrollen und Anleitungen für Kunden, die ihre Verpflichtungen im Rahmen des EAR bewerten.

• Azure
• Office 365

Häufig gestellte Fragen

Was muss ich tun, um exportkontrollieren zu können, wenn Microsoft Cloud Services verwendet wird?

Wenn Daten auf einen Cloudserver wie die Microsoft-Cloud hochgeladen werden, gilt der Kunde, der die Daten besitzt, nicht der Clouddienstanbieter, als Exporteur. Aus diesem Grund muss der Besitzer der Daten , d. h. der Microsoft-Kunde, sorgfältig bewerten, wie seine Verwendung der Microsoft-Cloud us-amerikanische Exportkontrollen beeinträchtigen kann, und bestimmen, ob die Daten, die er verwenden oder speichern möchte, möglicherweise EAR-Kontrollen unterliegen und wenn ja, welche Kontrollen gelten. Erfahren Sie mehr darüber, wie Azure- und Office 365-Clouddienste Kunden dabei helfen können, ihre vollständige Einhaltung der US-Exportkontrollen sicherzustellen.

Unterliegen Microsoft-Technologien, -Produkte und -Dienste dem EAR?

Die meisten Microsoft-Technologien, -Produkte und -Dienste:

• Unterliegen nicht dem EAR und sind daher nicht in der Commerce Control List enthalten und haben kein ECCN;
• Oder sie sind EAR99 oder 5D992 Mass Market-berechtigt für die Selbstklassifizierung durch Microsoft und können ohne Lizenz als No License Required (NLR) in Länder ohne Embargo exportiert werden.

Allerdings wurde einigen Microsoft-Produkten eine ECCN zugewiesen, für die möglicherweise eine Lizenz erforderlich ist oder nicht. Wenden Sie sich an den EAR oder den Rechtsberater, um den geeigneten Lizenztyp und die in Frage kommenden Länder für Exportzwecke zu ermitteln.

Was ist der Unterschied zwischen dem EAR und dem International Traffic in Arms Regulations (ITAR)?

Die wichtigsten US-Exportkontrollen mit der umfassendsten Anwendung sind die EAR, die vom US-Handelsministerium verwaltet wird. Die EAR gilt für Güter mit doppeltem Verwendungszweck, die sowohl kommerzielle als auch militärische Anwendungen haben, sowie für Artikel mit rein kommerziellen Anwendungen.

Die USA verfügt auch über separate und speziellere Exportkontrollbestimmungen, wie z. B. die ITAR, die die sensibelsten Elemente und Technologien regelt. Sie werden vom US-Außenministerium verwaltet und erzwingen Kontrollen für den Export, den vorübergehenden Import, den Wiederexport und die Übertragung vieler Militärischer, Verteidigungs- und Nachrichtenartikel (auch als "Verteidigungsartikel" bezeichnet) einschließlich der zugehörigen technischen Daten.

Ressourcen

• Exportieren von Microsoft-Produkten
• Exporteinschränkungen für Kryptografie
• Microsoft und FIPS 140-2
• Microsoft und ITAR
• Compliance im Microsoft Trust Center