Exportkontrolle und Sanktionslisten: Compliance-Prozess für den Mittelstand

„Wir verkaufen doch nichts Militärisches“ — dieser Satz fällt in mittelständischen Exportgesprächen erstaunlich oft. Und genauso oft führt er zu einem teuren Irrtum. Denn Exportkontrolle betrifft nicht nur Waffen oder Bomben, sondern eine Vielzahl von zivil-militärisch nutzbaren Gütern (Dual-Use), bestimmte Software, Verschlüsselungstechnologie, Maschinen mit hoher Genauigkeit, Sensorik, Chemikalien, Optik. Und Sanktionslisten gelten unabhängig vom Produkt — wer den Falschen beliefert, riskiert Bußgelder bis zu 500.000 € pro Fall, bei vorsätzlichen Verstößen Freiheitsstrafen bis zu fünfzehn Jahre. Dieser Leitfaden zeigt, wie ein mittelständisches Unternehmen einen praxistauglichen Exportkontroll-Prozess aufbaut.

Die drei Säulen der Exportkontrolle

Ein Compliance-Prozess für die Exportkontrolle stützt sich auf drei Säulen, die alle gemeinsam eingehalten werden müssen:

  1. Güterprüfung: Ist das Produkt genehmigungspflichtig? (EU-Dual-Use-Verordnung, deutsche Ausfuhrliste)
  2. Empfängerprüfung: Sind Käufer und Endverwender auf Sanktionslisten? Steht das Bestimmungsland unter Embargo?
  3. Verwendungsprüfung: Ist eine kritische Verwendung erkennbar oder bekannt? (z. B. Militär, Massenvernichtungswaffen)

Wer alle drei Säulen sauber abarbeitet und dokumentiert, ist auf der sicheren Seite. Wer auch nur eine vergisst, hat ein Problem — selbst bei „uncritischen“ Geschäften.

Säule 1: Güterprüfung

Welche Güter sind kontrollpflichtig? Drei Listen kommen zusammen:

EU-Dual-Use-Verordnung (VO 2021/821)

Anhang I der Dual-Use-VO listet Güter, die sowohl zivil als auch militärisch verwendet werden können. Einteilung in 10 Kategorien (0 bis 9), darunter Werkstoffe, Telekom, Elektronik, Computer, Sensoren. Die Liste umfasst über 700 Positionen, von speziellen Werkzeugmaschinen bis zu Verschlüsselungssoftware.

Deutsche Ausfuhrliste (Anlage AL)

Teil I A: Rüstungsgüter — Genehmigungspflicht in alle Länder außerhalb EU+. Teil I B: Sonstige Güter — meist Genehmigungspflicht für bestimmte Bestimmungsländer.

Branchen-spezifische Regelungen

Chemikalien (Chemikalienwaffenübereinkommen), nukleare Güter (NSG-Listen), Cyber-Surveillance-Tools (neuere Ergänzungen). Plus US-Reexportkontrollen (EAR), wenn US-Komponenten oder -Technologie enthalten sind — der „de minimis“-Schwellenwert liegt oft bei 25 % oder sogar 10 %.

Praxis-Werkzeug: Jeder kontrollpflichtige Artikel bekommt eine sogenannte Ausfuhrlistennummer (z. B. „5A002a“ für bestimmte Verschlüsselungssoftware, „2B201″ für hochpräzise Werkzeugmaschinen). Diese Nummer steht in der Stammdatenbasis und triggert automatisch die Genehmigungsprüfung.

Säule 2: Empfängerprüfung — Sanktionslisten-Screening

Unabhängig vom Produkt darf an bestimmte Personen, Unternehmen und Länder nicht oder nur eingeschränkt geliefert werden. Die wichtigsten Listen, die jeder Exporteur kennen muss:

  • EU-Finanzsanktionsliste (alle EU-Sanktionsverordnungen kombiniert)
  • Anti-Terror-Listen (EG 2580/2001 und EG 881/2002)
  • OFAC SDN-Liste der USA (Office of Foreign Assets Control)
  • UN-Sanktionsliste
  • Britische Sanktionsliste (post-Brexit)
  • Schweizerische Sanktionsliste (SECO)

Embargo-Länder (Stand 2026): Russland (umfassend), Belarus, Iran, Nordkorea, Syrien, Myanmar — plus Teilembargos und Sektoremphargos in weiteren Ländern. Embargos sind dynamisch und ändern sich quartalsweise.

Wie screenen?

Manuell ist das nicht zu schaffen. Es gibt drei praktikable Wege:

  • ERP-Modul: SAP GTS (Global Trade Services), Oracle GTM, Infor Trade Compliance. Hoher Aufwand, hohe Integration, ab 8.000–15.000 €/Jahr.
  • Stand-alone-Software: Atlas-Anbieter, Aeb, Format Software, Mendel. 3.000–8.000 €/Jahr für KMU-Pakete.
  • Webportale: Für Kleinstvolumen — manuelle Online-Prüfung pro Geschäftsvorfall. Ab 1.500 €/Jahr.

Wichtig: Screening muss nicht nur einmalig vor Auftragsannahme erfolgen, sondern laufend bei Listenänderungen — und vor jeder neuen Bewegung (Lieferung, Zahlung). Eine ältere Prüfung „vom letzten Quartal“ reicht nicht.

Säule 3: Verwendungsprüfung („Catch-All“)

Selbst wenn Produkt nicht gelistet und Empfänger nicht sanktioniert ist, kann eine Genehmigungspflicht entstehen, wenn die Verwendung kritisch ist. Beispiele:

  • Lieferung an einen Empfänger, der bekannt mit Militärprojekten zusammenarbeitet
  • Verwendung im Zusammenhang mit ABC-Waffen oder Trägertechnik
  • Bestimmungsland steht unter Waffenembargo, und der Endverwender ist militärisch

Diese „Catch-All“-Vorschrift verlangt, dass Exporteure aktiv hinhören. Wenn der Kunde sagt „die Maschine geht in unsere Drohnen-Produktion“ und Drohnen für ein Embargo-Land bestimmt sind — Stop. Auch wenn die Maschine selbst nicht gelistet ist.

Der Compliance-Prozess in 7 Schritten

Ein praxistauglicher Exportkontroll-Prozess für KMU:

  1. Risikoanalyse: Welche Produkte führen wir? Welche Märkte beliefern wir? Wo sind die Risiken? — einmalig, jährliches Update.
  2. Klassifizierung der Produkte: Jeder Artikel bekommt eine Ausfuhrlistennummer (oder das Klar-Statement „nicht gelistet“). In den Stammdaten des ERP gepflegt.
  3. Sanktionslisten-Screening: Vor jeder Auftragsannahme, vor jeder Lieferung, vor jeder Zahlung. Automatisiert über Software.
  4. Catch-All-Prüfung: Mitarbeiter sind sensibilisiert, Indikatoren werden geprüft (Bestimmungsland, Endverwendung, ungewöhnliches Bestellverhalten).
  5. Genehmigungseinholung: Wo nötig, beim BAFA (Bundesamt für Wirtschaft und Ausfuhrkontrolle) Genehmigung beantragen. Bearbeitungszeiten 4–12 Wochen.
  6. Dokumentation: Jede Prüfung dokumentieren — Datum, Software-Logs, Verantwortliche. Aufbewahrungsfrist 5 Jahre.
  7. Schulung & Audit: Jährliche Schulung der Mitarbeiter, regelmäßiges internes Audit, alle 2–3 Jahre externe Prüfung.

Rolle des Ausfuhrverantwortlichen

Ab einer gewissen Unternehmensgröße ist die Bestellung eines Ausfuhrverantwortlichen Pflicht — bei strukturierten Exportkontroll-Prozessen sogar gesetzlich gefordert. Der Ausfuhrverantwortliche ist meist ein Vorstand oder Geschäftsführer und trägt die Verantwortung. Operativ wird die Aufgabe an einen Exportkontroll-Beauftragten delegiert.

Aufgaben des Beauftragten:

  • Klassifizierung neuer Produkte
  • Genehmigungsmanagement
  • Schulung der Vertriebs- und Auftragsbearbeitungs-Mitarbeiter
  • Schnittstelle zum BAFA
  • Vorbereitung externer Audits

Bei mittelständischen Exporteuren mit 50–200 Mio. € Umsatz reicht meist eine 0,5- bis 1,0-FTE-Position. Externe Beratungsverträge ergänzen punktuell, ersetzen aber nicht.

BAFA-Genehmigungen: Was ist wie zu beantragen?

Wenn eine Genehmigung nötig ist, gibt es verschiedene Genehmigungstypen:

  • Einzelgenehmigung: Konkreter Auftrag, konkreter Empfänger. Bearbeitungszeit 4–8 Wochen, Standardfall 6 Wochen.
  • Sammelgenehmigung: Mehrere Aufträge an mehrere Empfänger über bis zu 2 Jahre — sinnvoll bei Serien- und Wiederholungsgeschäften.
  • Allgemeine Genehmigung: Vorab erlassen für bestimmte Produkt-Land-Kombinationen — kein eigener Antrag, aber Registrierung beim BAFA.
  • Höchstbetragsgenehmigung: Volumenbasierte Genehmigung für Wiederholungslieferungen.

Tipp: Wer regelmäßig in dieselben Märkte exportiert, sollte aktiv mit dem BAFA über Sammel- oder Allgemeine Genehmigungen sprechen. Reduziert den operativen Aufwand drastisch.

Sonderfall: Reexportkontrolle der USA

Sobald in einem Produkt US-Komponenten, US-Software oder US-Technologie enthalten sind, greifen oft die US-Reexportkontrollen (EAR). Das ist ein eigenes, sehr scharfes Regime:

  • De-Minimis-Regel: Bei einem US-Anteil > 25 % (in manchen Fällen > 10 %) gelten US-Regeln auch für Reexporte aus Deutschland.
  • Foreign Direct Product Rule: Bei mit US-Tech hergestellten Produkten gelten teilweise US-Regeln, auch ohne US-Komponenten.
  • Entity List: US-Sanktionsliste mit über 1.000 Einträgen — Embargo gilt auch für Lieferungen aus Drittländern.

Praktische Konsequenz: Sie müssen wissen, was in Ihren Produkten an US-Tech drinsteckt — und das ändert sich oft, wenn Sie Lieferanten wechseln. Lieferantenanfragen zur „US-Origin“ sind Standard.

Typische Fallstricke im Mittelstand

Fallstrick 1: „Kleine Firmen werden eh nicht geprüft.“ Falsch. Gerade KMU werden zunehmend Ziel von BAFA-Prüfungen, weil Großkonzerne in der Regel saubere Prozesse haben. Bußgeldverfahren steigen seit Jahren.

Fallstrick 2: Ersatzteile vergessen. Wer Hauptmaschine sauber genehmigt, dann aber Ersatzteile ohne Prüfung nachsendet — Bußgeld. Auch Ersatzteile sind exportkontrollpflichtig.

Fallstrick 3: Software-Updates & Remote-Service. Eine Software-Komponente per Download oder VPN nach Russland zu schicken, ist ein Exportvorgang. Genauso ein Remote-Wartungseinsatz mit technischem Know-how-Transfer.

Fallstrick 4: Konzerngesellschaft als „Exportkanal“. Lieferung an die eigene Tochtergesellschaft befreit nicht von Exportkontrolle — der Endverwender zählt.

Fallstrick 5: Sanktionsliste outdated. Quartalsweise oder seltener Aktualisierung reicht bei der heutigen Dynamik (Russland-Sanktionen, Iran-Pakete) nicht mehr — Tagesaktuell ist Pflicht.

Häufige Fragen zur Exportkontrolle für KMU

Brauche ich einen Exportkontrollbeauftragten?

Ab signifikantem Exportgeschäft praktisch immer. Formal verpflichtend ab bestimmter Genehmigungsdichte. Praktisch sinnvoll, wenn Sie mehr als 10 Genehmigungen pro Jahr beantragen oder regelmäßig in Risiko-Märkte liefern.

Was passiert bei einem Verstoß?

Bußgelder bis 500.000 € pro Fall. Bei vorsätzlichen Verstößen Freiheitsstrafen bis zu 15 Jahre. Reputationsschaden im B2B-Geschäft erheblich. Versicherungen decken Bußgelder in der Regel nicht.

Reicht eine einmalige Sanktionsliste-Prüfung?

Nein. Vor jedem Geschäftsvorfall (Auftragsannahme, Versand, Zahlung) ist neu zu prüfen. Bei laufenden Beziehungen mindestens monatlich, bei Risiko-Bestimmungen täglich.

Wie unterstützt das BAFA?

Das BAFA hat einen Hotline-Service, Merkblätter, ein Online-Antragssystem (ELAN-K2) und veranstaltet regelmäßig Schulungen. Vor strittigen Geschäften ist eine vorherige BAFA-Anfrage (sog. Nullbescheid-Anfrage) sinnvoll.

Was kostet ein vollständiger Compliance-Aufbau?

Initial 25.000–80.000 € (Software, Beratung, Schulung), laufend 15.000–40.000 €/Jahr. Bei Verzicht: Risiko sechs- bis siebenstelliger Bußgelder.

Fazit: Exportkontrolle ist ein Pflichtprogramm

Exportkontrolle ist kein optionales Add-on, sondern Pflichtprogramm. Mittelständische Exporteure, die noch keinen strukturierten Prozess haben, sollten priorisiert handeln — nicht aus Compliance-Lust, sondern aus Risikomanagement-Überlegung. Die Investition in Software, Schulung und einen verantwortlichen Mitarbeiter rechnet sich gegenüber dem Risiko von Bußgeldern, Reputationsschäden und Lieferengpässen um Faktor 50 oder mehr.

Lesen Sie auch: „Export-Strukturen für den Mittelstand“ und unser Beitrag zu Akkreditiven und Exportfinanzierung.

Weitere Beiträge: