Begleiten Sie Gary Staley bei der Enträtselung des verschlungenen Netzes von ITAR-, EAR- und Cybersicherheitsmaßnahmen, die unschätzbare Einblicke in die effektive Einhaltung von Vorschriften in einer sich schnell entwickelnden globalen Landschaft bieten.
Nielsonsmith: Gary, zunächst einmal möchte ich Ihnen dafür danken, dass Sie heute zu uns sprechen und Ihr Wissen mit unseren Zuhörern teilen.
Gary: Ich danke Ihnen. Ich denke, wir haben dieses Jahr so viel zu besprechen. Es war wahrscheinlich eines der aufregendsten Jahre für Exportkontrollfachleute in jüngster Zeit, denn es ist so viel passiert. Und nicht nur Gutes; darüber können wir im weiteren Verlauf sprechen.
Nielsonsmith: Ja, warum fangen wir nicht gleich damit an? Die erste Frage, die wir Ihnen stellen möchten, lautet: Könnten Sie einen kurzen Überblick über die wichtigsten Änderungen und Entwicklungen bei ITAR und EAR im vergangenen Jahr geben?
Gary: The difficult part for me is to provide a BRIEF overview; I could talk for hours on this. Most of the readers of this interview probably know that the United States has two systems of export controls: the U.S. Department of State’s International Traffic in Arms Regulations (ITAR) and the U.S. Department of Commerce’s Export Administration Regulations (EAR). And, of course, there’s also the U.S. Department of the Treasury’s Office of Foreign Assets Control (OFAC), which administers U,S. sanctions, although EAR export controls and OFAC sanctions continue to converge, with EAR controls looking more and more like sanctions in terms of targeting specific individuals and entities rather than whole countries. Of course, targeting specific individuals and entities is what U.S. sanctions have done for a long time.
But let’s start with the ITAR. Interestingly, there’s not a whole lot of earth-shaking developments regarding the ITAR over the past year. I think, in part, that’s because from May of 2023, when Deputy Assistant Secretary Mike Miller announced that he was leaving for a position at the US Department of Defense, until just recently, there has not been a formally-appointed Deputy Assistant Secretary to lead the Directorate of Defense Trade Controls. During that time, DDTC has had a series of Acting Deputy Assistant Secretaries drawn from the office directors within DDTC. When you have that situation, I think that somewhat chills initiatives within that office; they don’t want to undertake major developments or changes to the ITAR without having the formal appointment of a new Deputy Assistant Secretary. There were tweaks to the ITAR for the most part. The ITAR Reorg rule got finalized; there was an extension of the Open General Licenses, which we can talk about, and there were a few other developments, but again, nothing earthshaking.
Ich habe noch kein Unternehmen im Vereinigten Königreich, in Australien oder Kanada getroffen, das zugibt, die Offenen Allgemeinen Lizenzen zu verwenden; sie scheinen wieder einmal ein Programm zu sein, das bei seiner Ankunft tot ist. Das ist schade, denn diese Offenen Allgemeinlizenzen ermöglichen theoretisch die Weitergabe von ITAR-kontrollierten Gütern innerhalb dieser Länder und die Wiederausfuhr zwischen diesen drei Ländern ohne Lizenz und ohne vorherige Genehmigung, sofern alle Bedingungen dieser Offenen Allgemeinlizenzen erfüllt werden.
Es gab eine Aktualisierung des ITAR-Zusatzes Nr. 1 zu Teil 126, durch die die für die kanadische Ausnahmeregelung und die Verträge über die Kontrolle des Verteidigungshandels des Vereinigten Königreichs und Australiens verfügbaren Güter erweitert wurden. Aber auch diese Verträge waren schon unter der Bush-Regierung vom Tisch. Ich habe noch kein Unternehmen getroffen, das zugibt, eines der Abkommen zu nutzen.
Das DDTC hat die Aussetzung des Status Zyperns als verbotenes Land im Rahmen der ITAR fortgesetzt. Zypern war aufgrund des Konflikts zwischen der griechischen und der türkischen Gemeinschaft auf der Insel ein verbotenes Land, aber der Status als verbotenes Land nach ITAR 126.1 wurde vorerst ausgesetzt. Nur noch einmal: Optimierungen.
Was steht also an? Nun, im Moment sieht es so aus, als gäbe es weitere Optimierungen, außer bei AUKUS. Und AUKUS wird sehr interessant sein. AUKUS ist ein Vorschlag, der eine ITAR-ähnliche Ausnahmeregelung für das Vereinigte Königreich und Kanada vorsieht, vorausgesetzt, wie verschiedene Beamte des Außenministeriums vor dem Kongress ausgesagt haben, verfügen das Vereinigte Königreich und Australien über Ausfuhrkontrollsysteme, die mit denen der Vereinigten Staaten vergleichbar sind. Der eklatanteste Unterschied zwischen den USA, dem Vereinigten Königreich und Australien besteht meines Erachtens darin, dass die USA Reexport- und Retransferkontrollen einführen. Australien hat vor kurzem einige Änderungen an seinen Ausfuhrkontrollgesetzen vorgenommen, die wohl einige Anforderungen an die Reexportkontrolle stellen würden. Was das Vereinigte Königreich betrifft, so habe ich im September letzten Jahres auf einer Konferenz in London einem Vertreter eines der großen britischen Handelsverbände die Frage gestellt: "Ist das Vereinigte Königreich bereit, ein vergleichbares System einzuführen?". Er antwortete sehr schnell, dass wir bereits ein vergleichbares System haben, und er hatte seine Argumente, warum das so ist. Im Vereinigten Königreich gibt es keine Wiederausfuhrkontrollen; es wird also interessant sein zu sehen, wie sich das auswirkt.
Ich möchte auch darauf hinweisen, dass der so genannte National Defense Authorization Act für das Geschäftsjahr 2024 Bestimmungen zur Ausfuhrkontrolle enthält. Unter anderem wurde Australien und dem Vereinigten Königreich die Befugnis eingeräumt, über Ausnahmeregelungen zu verhandeln und den Handel mit Kanada auf der ITAR-Seite weiter zu liberalisieren. Es wird interessant sein zu sehen, wie sich das alles auswirkt.
Other than that, again, some tweaking. We are still waiting on a final rule regarding the definition of dual/third country nationals. I believe two years or so ago the State Department proposed to change the definition from “do you hold a nationality” to “have you held a nationality.” Right now, the definition is “hold” which means that even someone’s country of birth can make the person a dual national, But what does “hold” mean? If you were born in Iran and you left as a child when the Shah was deposed, and you’ve never been back, and you don’t have any family there, but you wisely have not gone into an Iranian Embassy and said, “where’s the form for me to fill out for me to renounce my Iranian citizenship?”, does the person still “hold” Iranian citizenship. At least in State’s proposed rule, they didn’t clarify that. So, we’ll see.
Auf der EAR-Seite geht es natürlich vor allem darum, den Druck auf Russland, Weißrussland und China durch Ausfuhrkontrollen zu erhöhen. Eines der großen Themen des vergangenen Jahres waren Halbleiter und Halbleiterfertigungsanlagen. Es scheint, als ob alle paar Wochen die Entity List ergänzt wird, die eine der wichtigsten Möglichkeiten für den Handel ist, Sanktionen gegen russische Unternehmen und Einrichtungen in anderen Ländern zu verhängen, die als Unterstützer Russlands angesehen werden.
The other big development is the significantly increased emphasis on enforcement. The State Department came out with a new compliance program guide. They also published a compliance matrix, which is well worth reviewing. It is very useful. State has continued to bring enforcement cases; particularly, there was a Consent Agreement that came out just last week imposing a $51 million dollars civil penalty on Boeing, although that’s far from the highest civil penalty that has previously been assessed against companies. Interestingly, in the Boeing Consent Agreement, there was a reference to one of the Boeing export control managers fabricating DSP-5 licenses. And you kind of go, “Wow!” How’s that possible? So, I thought that was interesting. About half of the $51 million penalty is allowed to be applied toward remedial measures.
Was die EAR und die Sanktionen angeht, so haben wir viel mehr behördenübergreifende und, ich würde sagen, länderübergreifende Durchsetzungsmaßnahmen gesehen. Auf US-amerikanischer Seite gibt es seit März 2022 eine vom Justizministerium geleitete Task Force KleptoCapture, die das FBI, den US Marshals Service, den Internal Revenue Service, den US Postal Inspection Service, die Immigration and Customs Enforcement usw. zusammenbringt, um Sanktionen gegen russische Oligarchen durchzusetzen. Und im Februar 2023 haben Justiz und Handel die so genannte Disruptive Technology Strike Force" ins Leben gerufen. Auch hier handelt es sich um eine gemeinsame Anstrengung, bei der das FBI, der Heimatschutz und Task Forces der einzelnen US-Staatsanwaltschaften in den verschiedenen Bundesstaaten zusammenkommen, um die Durchsetzung von US-Ausfuhrkontrollen und Sanktionen zu verstärken.
Interessant ist, dass es seit der Obama-Regierung ein sogenanntes Export Enforcement Coordination Center (E2C2) gibt, das die gleiche Aufgabe übernehmen sollte. Warum also war diese neue Disruptive Technology Task Force notwendig? War das E2C2 ein Fehlschlag? Neugierige wollen es wissen! Aber es besteht kein Zweifel daran, dass der Druck besteht, Fälle vorzubringen.
Und damit komme ich zu einem Thema, über das ich mich sehr auf den Dialog mit den Konferenzteilnehmern freue. Machen wir uns etwas vor, was die Wirksamkeit von Sanktionen und Exportkontrollen angeht?
Anfang letzter Woche erschien in der New York Times ein sehr interessanter Artikel, in dem anhand von sieben Tabellen erklärt wurde, warum die Sanktionen gegen Russland nicht wirksam waren, und einer der wichtigsten Faktoren ist natürlich, dass Russland einen Großteil seines Handels mit China abgewickelt hat. Aber auch ein Großteil des illegalen Handels kommt aus dem Nahen Osten: VAE, Bahrain, einige der anderen Golfstaaten. Allem Anschein nach haben die Sanktionen nicht ausgereicht, um Russland in die Knie zu zwingen.
Nielsonsmith: Das war eine der Fragen, die heute auf der Tagesordnung standen, um zu erfahren, wie effektiv sie Ihrer Meinung nach sind; nun, hier sind die Antworten.
Gary: Letzte Woche oder Ende der Woche davor, als sich der Krieg in der Ukraine zum zweiten Mal jährte, erschienen in einigen großen US-Zeitungen Artikel darüber, warum die Sanktionen nicht effektiver sind. Meiner Meinung nach geht es unter anderem darum, dass das Sanktionsverfahren einfach nicht schnell genug ist. Es war schon immer ein Spiel mit dem Maulwurf. Sobald man einen Kanal für illegalen Handel identifiziert und ausschaltet, tauchen fünf weitere auf. Die US-Behörden gehen sehr legalistisch an Sanktionen heran; es geht darum, vor US-Gerichten verfolgbare Fälle aufzubauen. Und bis man das geschafft hat, ist eine ganze Menge illegaler Handel passiert. Eine weitere Sache, die ich einfach nicht verstehe, und ich würde mich freuen, wenn mir das jemand erklären könnte, ist, warum die Vereinigten Staaten zum zweiten Jahrestag des Krieges dieses große zusätzliche Sanktionspaket herausgebracht haben. Die Behörden kündigten an, dass sie 500 zusätzliche Personen und Einrichtungen in Russland, Belarus und Drittländern sanktionieren würden. Worauf haben sie gewartet? Fünfhundert? Sie wussten, dass sie in illegalen Handel verwickelt waren, und haben mit der Verhängung von Sanktionen gewartet? Das verstehe ich nicht.
Nielsonsschmied: Nun, wir haben jetzt ziemlich viel besprochen, ich würde gerne noch einmal etwas ausführlicher auf das Thema AUKUS eingehen. Welche Auswirkungen könnte dies auf die Einhaltung der Handelsbestimmungen haben?
Gary: Nun, ich bin ein zweifelnder Thomas in dieser Sache. Zum Teil deshalb, weil all diese Initiativen anscheinend viel Presse bekommen und sich dann als nicht sehr effektiv erweisen. Ich erwähnte die Initiative zur offenen allgemeinen Lizenz von vor etwa drei Jahren. Sie hat keinen Einfluss auf die US-Wiederausfuhrkontrollen, die für den Handel mit Rüstungsgütern aus dem Vereinigten Königreich in andere Länder als Kanada und Australien gelten. Die globalen Versorgungsketten sind heute so eng miteinander verwoben. Das britische Unternehmen BAE arbeitet an einem US-Rüstungsprogramm, das unter die ITAR fallen würde; BAE hat wahrscheinlich Zulieferer in ganz Europa, wenn nicht sogar in der ganzen Welt. Selbst wenn wir also tatsächlich eine Ausnahmeregelung für den Handel mit dem Vereinigten Königreich haben, muss BAE nicht immer noch zurückgehen und eine Genehmigung für die Wiederausfuhr einholen, um mit diesen Zulieferern in Deutschland, Frankreich und möglicherweise Indien zu verhandeln. Ich kann mir also vorstellen, dass dies einen gewissen Unterschied machen könnte, aber auch hier muss ich mich angesichts der Funktionsweise der globalen Lieferkette fragen, wie effektiv das sein wird.
Und wenn AUKUS britische, kanadische und australische Unternehmen dazu veranlasst, sich stärker abzuschotten und keine globalen Lieferketten zu nutzen, ist das dann wirklich gut für unsere jeweilige Verteidigungsposition? Die USA, das Vereinigte Königreich, Australien und Kanada haben nicht mehr das Monopol auf die beste Technologie. Wenn also eine Ausnahmeregelung für diese Länder die BAEs und die Rolls-Royces der Welt davon abhält, bessere Technologie, die in Deutschland verfügbar ist, für ein Projekt des US-Verteidigungsministeriums zu nutzen - ist das eine gute Sache? Wir werden also wieder sehen.
Was die weiteren Auswirkungen für rechtmäßige Unternehmen betrifft, so hoffe ich, dass sie ihre Bemühungen um die Einhaltung der Vorschriften durch Dritte verstärken, um sicherzustellen, dass sie nicht mit jemandem Geschäfte machen, bei dem die Waren in Russland oder als illegale Exporte nach China landen. Ich wüsste nicht, wie man das im Jahr 2024 ohne Automatisierung schaffen sollte. Man braucht eine Software zur Handelsautomatisierung, um das zu erreichen.
Nielsonsmith: Cybersicherheit ist derzeit ein großes Thema. Meine nächste Frage lautet daher: Was sind die neuesten Entwicklungen in Bezug auf das Cybersecurity Maturity Model Certification Program des US-Verteidigungsministeriums?
Gary: Nun, interessanterweise hat das DoD bis zum 26. Dezember gewartet, als alle im Urlaub waren, um nicht nur die vorgeschlagenen Regeln für CMMC 2.0 zu veröffentlichen, sondern auch eine ganze Reihe zusätzlicher Anleitungsdokumente, die für CMMC 2.0 gelten würden. Es scheint, dass sie das Programm vorantreiben. Es sieht so aus, als ob wir am Ende drei Stufen haben werden, und wenn Sie im Verteidigungshandel tätig sind, werden Sie in Stufe 2 sein, weil Sie mit exportkontrollierten Informationen zu tun haben werden.
Die große Frage, die ich mir für europäische Unternehmen stelle, ist, dass das CMMC eine Prüfung, eine Prüfung durch Dritte, verlangt, um zu verifizieren, dass Sie Cybersicherheitsprogramme haben, die den CMMC-Anforderungen entsprechen, wie sie in der Sonderveröffentlichung 800-171 des National Institute of Standards and Technologies und ihren verschiedenen Abwandlungen formuliert sind. Wie soll diese Prüfung im Ausland funktionieren? In Kanada wird derzeit ein eigenes Cybersicherheitsprogramm entwickelt, das ähnlich wie das CMMC ein Zertifizierungselement enthält, und es werden Gespräche mit den Vereinigten Staaten über eine Gegenseitigkeit geführt, d.h.Wenn wir ein kanadisches Unternehmen als konform mit unserem Programm zertifizieren, werden Sie das dann als konform mit dem CMMC anerkennen und kein separates Audit verlangen? Ich glaube, das Vereinigte Königreich arbeitet an so etwas. Aus anderen europäischen Ländern habe ich noch nicht viel darüber gehört; wo bleiben also deren Unternehmen in der Lieferkette für das US-Verteidigungsministerium, wo die CMMC-Anforderungen zum Tragen kämen. Es ist immer noch sehr vage, ob und wann das CMMC-Programm Auditoren in Drittländern für die Durchführung dieser Audits akkreditieren wird. Wenn dies in den ersten zwei - drei - vier - fünf Jahren nach Inkrafttreten von CMMC nicht der Fall ist, müssen die Audits von US-Unternehmen durchgeführt werden. Ich kann mir nicht vorstellen, dass Unternehmen in Frankreich oder den Niederlanden davon begeistert sein werden, dass sie für den Besuch von Prüfern aus den USA bezahlen müssen. Ich habe sogar einige Vorbehalte von europäischen Unternehmen gehört - und das ist nicht nur eine Verschwörungstheorie -, dass US-Prüfer ihre Cybersicherheitsprogramme untersuchen sollen. Werden die gesammelten Informationen an unsere Nationale Sicherheitsbehörde weitergeleitet, damit diese ihre Programme ausspionieren kann? Es gibt also noch viel zu klären über CMMC 2.0, aber es schreitet voran, und die Unternehmen in der Lieferkette des US-Verteidigungsministeriums wären gut beraten, wenn sie sich mit all dem noch nicht befasst haben, dies zu tun.
Nielsonsmith: Vielen Dank, dass Sie heute so viel Wissen weitergegeben haben. Zum Schluss möchte ich Sie noch fragen, wie wichtig es Ihrer Meinung nach für Unternehmen ist, in die Ausbildung ihrer Compliance-Beauftragten zu investieren, und welche Ressourcen sie nutzen sollten.
Gary: I can’t emphasize enough that training is one of the three key components to an effective compliance program. If you haven’t trained your employees about what the requirements are, how do you expect them to adhere to those requirements? And particularly, if you haven’t provided training resources to your dedicated export control managers, how are they supposed to administer your compliance programs? I see that time and time and time again. I’m going to be having a videoconference today with a company I’m assisting with a major voluntary disclosure to the Department of State, and they continue to go out and hire people to be export control managers that have no training, no experience. Well, they’re learning on the job, but in my experience over 40 years, that only may happen. A lot of these folks do not put the homework that is required into learning export control requirements.
Es handelt sich hier nicht um Akademiker der fünften Klasse; es sind sehr anspruchsvolle Regeln, die zu lernen viel Zeit und Mühe erfordert, und in vielen Fällen sehe ich das nicht. Aber die gute Nachricht, Alisa, ist, dass die europäischen Exportkontrollmanager im Durchschnitt besser ausgebildet und informiert sind als die amerikanischen.
Nielsonsmith: Vielen Dank, dass Sie sich die Zeit genommen haben, Gary, und ich bin sicher, dass das Wissen, das Sie heute weitergegeben haben, von unseren Lesern sehr geschätzt wird.
Gary Stanley ist die Präsident von Global Legal Services, PCeiner in Washington, DC, ansässigen Anwaltskanzlei, die sich auf die Einhaltung von Handelsbestimmungen und andere internationale Geschäftsangelegenheiten konzentriert.
Herr Stanley vertritt unter anderem zahlreiche US-amerikanische, kanadische und europäische Unternehmen in Fragen der Exportkontrolle im Verteidigungsbereich.
Herr Stanley hat zum Beispiel:
- Beratung zahlreicher US-Verteidigungsunternehmen bei der Erlangung von Genehmigungen für Lizenzen des US-Außenministeriums/Direktorat für Handelskontrollen im Verteidigungsbereich sowie von Vereinbarungen über Herstellungslizenzen und technische Unterstützung gemäß den Teilen 123 und 124 der International Traffic in Arms Regulations ("ITAR") und bei der Anwendung von ITAR-Ausnahmen, einschließlich der kanadischen Ausnahme in ITAR §126.5.
- Beratung mehrerer Unternehmen bei der freiwilligen Offenlegung gemäß ITAR § 127.12.
- Unterstützung zahlreicher Rüstungsunternehmen bei der Registrierung und Lizenzierung ihrer Makler gemäß Teil 129 der ITAR.
- Er bot einer Reihe von US-amerikanischen, britischen und kanadischen Verteidigungsunternehmen sowie Exportkontrollbeamten der russischen Regierung und verschiedenen Behörden der kanadischen Regierung, einschließlich des kanadischen Verteidigungsministeriums, des kanadischen Ministeriums für auswärtige Angelegenheiten und internationalen Handel und der kanadischen Raumfahrtbehörde, Schulungen zur Exportkontrolle an. Von Februar 2004 bis Februar 2005 beaufsichtigte Herr Stanley als Special Compliance Official das Exportkontrollprogramm eines großen Verteidigungsunternehmens gemäß einer Vereinbarung, die das Unternehmen mit dem US-Außenministerium geschlossen hatte. Staatliche Vollstreckungsbeamte hatten gegen das Unternehmen Anklage erhoben, weil es als Nachfolger für Verstöße verantwortlich gemacht wurde, die ein anderes Unternehmen, dessen Vermögenswerte das Unternehmen größtenteils erworben hatte, begangen haben soll.
Neben der Vertretung von Privatunternehmen hat Herr Stanley auch als Berater für die US-Regierung und Industriegruppen gearbeitet. So war er beispielsweise der wichtigste externe Sachverständige für Exportkontrollen für den Hauptauftragnehmer Booz Allen Hamilton Inc. in Phase II des Transatlantic Secure Collaboration Program. Bei diesem Programm handelte es sich um ein Konsortium aus zehn US-amerikanischen, kanadischen und europäischen Verteidigungsunternehmen, darunter Lockheed Martin, EADS, Northrop Grumman und Boeing, das sich um die Erstellung von "Best Practice"-Richtlinien für den elektronischen Austausch nicht klassifizierter geschützter und exportkontrollierter Informationen bemühte.
Herr Stanley erwarb 1975 seinen Bachelor-Abschluss an der Emory University und 1978 seinen Abschluss in Jura an der Harvard Law School. Er wurde in seinem ersten Studienjahr in die Phi Beta Kappa gewählt. Herr Stanley ist derzeit Sekretär-Schatzmeister und Treuhänder des The Procedural Aspects of International Law Institute.
Weitere Informationen über Herrn Stanley und seine Anwaltskanzlei Global Legal Services erhalten Sie telefonisch unter (202) 686-4854 oder per E-Mail unter gstanley@glstrade.com.
WELTWEITE JURISTISCHE DIENSTLEISTUNGEN
Verwandte Ereignisse
