Kay Höft (Rechtsanwalt, M.A. (BWL)) und CEO Dr. Ronald M. Meixner veröffentlichen gemeinsamen Artikel in der Zeitschrift für Außenwirtschaftsrecht (ZASA) 09/2025, S. 531.
Hier stellen wir die Zusammenfassung vor.
Exportkontrolle und Künstliche Intelligenz: Warum Datenströme, Cloud und KI-Outputs zunehmend „kontrollrelevant“ werden
Die digitale Transformation verlagert Exportkontrolle immer stärker von physischen Gütern hin zu Datenströmen, Software, Technologie und Wissenstransfers. Der Beitrag „Exportkontrolle und Künstliche Intelligenz – Kontrollbedürfnisse in der digitalen Transformation“ zeigt, warum KI-Anwendungen und globale IT-Infrastrukturen (Cloud, Repositories, Remote-Zugriffe) klassische Prüfprozesse herausfordern – und welche regulatorischen Antworten sich bereits abzeichnen.
1) Datenexport findet heute oft „unsichtbar“ statt
Während der Grenzübertritt bei Waren noch relativ klar feststellbar ist, erfolgen Technologietransfers im Alltag häufig über Cloud-Speicher, E-Mail, Messenger, Kollaborationstools und Remote-Zugriffe. Exportkontrollrechtlich kann bereits das Einräumen von Zugriffsrechten an Empfänger außerhalb der EU oder das Hochladen in ein Repository in einem Drittland als Export/Technologietransfer qualifizieren. Besonders komplex wird es, wenn internationale Entwicklerteams gemeinsam an kontrollierter Software/Technologie arbeiten und Daten auf gemeinsamen Speicherorten nutzen.
Auch „technische Unterstützung“ (z. B. Fernwartung, Schulungen per Videokonferenz, mündliche Wissensweitergabe) kann genehmigungspflichtig sein – ein Punkt, der in globalen Projektstrukturen leicht übersehen wird.
2) KI im kritischen Güterkontext: Viele Bausteine sind schon heute kontrolliert
Der Beitrag ordnet ein, dass zahlreiche Technologien, die im KI-Kontext zentral sind, bereits Dual-Use- oder rüstungsgüterrechtlich erfasst sein können – etwa:
- Kryptografie (z. B. starke Verschlüsselungskomponenten in KI-Systemen),
- KI-relevante Halbleiter / High-End-Rechenhardware und Hochleistungsserver,
- Software für Überwachung/Strafverfolgungszwecke sowie militärische C3I/C4I-Kontexte,
- Sensorik und Systeme zur Datenfusion (je nach Spezifikation/Verwendungszweck),
- sowie KI-nahe Software/Technologie, bei der weniger der „Algorithmus an sich“ als vielmehr Know-how, Quellcode und technische Unterlagen in den Fokus rücken.
3) Regulatorische Bewegung: Von Hardware hin zu Modellen und „Model Weights“?
Ein zentraler Ausblick: Regulierer denken zunehmend darüber nach, nicht nur Hardware, sondern künftig auch hochleistungsfähige KI-Systeme selbst stärker zu kontrollieren. Als Beispiel wird der US-amerikanische Ansatz diskutiert, bei dem zeitweise sogar trainierte Modellparameter („Model Weights“) von Frontier-Modellen als eigenständiger Kontrollgegenstand adressiert wurden (mit anschließender politischer Neubewertung). Der Trend ist dennoch klar: Exportkontrolle könnte sich weiter in Richtung Software, Daten und Modelle entwickeln.
4) KI-generierte Inhalte: Können Outputs „Technologie“ sein?
Besonders praxisrelevant ist die Frage, ob KI-generierte Ergebnisse (z. B. Konstruktionszeichnungen, Quellcode, technische Anleitungen) exportkontrollrechtlich als „Technologie“ eingeordnet werden können. Der Beitrag arbeitet heraus: Maßgeblich ist Inhalt und Verwendungszweck – nicht, ob ein Mensch oder eine KI die Information erzeugt hat. Wenn ein KI-Output spezifisches technisches Wissen enthält, das für Entwicklung/Herstellung/Verwendung gelisteter Güter relevant ist, kann die Weitergabe an ausländische Empfänger einen genehmigungspflichtigen Technologietransfer auslösen.
Damit verbunden sind offene Fragen der Zurechnung (wer ist „Ausführer“, wenn Tools automatisiert arbeiten?) – ein Feld, das rechtlich weiter in Bewegung ist.
5) Was bedeutet das für die Praxis?
Aus der Momentaufnahme lassen sich einige Handlungslinien ableiten:
- Exportkontrolle in die IT- und Datenprozesse integrieren (Cloud, Collaboration, Repositories, Remote Support).
- Neue Regeln für KI-Tools: Umgang mit vertraulichen technischen Daten, Trainingsdaten, Prompting, Output-Nutzung und Freigabeprozesse.
- Klassifizierungskompetenz ausbauen (Software/Technologie/Know-how, nicht nur Waren).
- Bewusstsein schaffen in Fachbereichen (Entwicklung, Einkauf, IT, Vertrieb, Service), weil viele Transfers heute „nebenbei“ passieren.
Fazit: Exportkontrolle „lernt“ KI – und Unternehmen sollten ihre Trade-Compliance so aufstellen, dass sie den gesamten KI-Lebenszyklus abdeckt: vom Chip über Software und Daten bis hin zu cloudbasierten Zugriffs- und Austauschprozessen.
