Cloud- und Dual-Use-Dienstleistungen: Lücken im Güterkontrollrecht schliessen

Der Bundesrat wird beauftragt die gesetzlichen Grundlagen, insbesondere das Güterkontrollgesetz (GKG) und die Güterkontrollverordnung (GKV), so anzupassen, dass auch die Bereitstellung digitaler Infrastruktur und Dienstleistungen, namentlich Cloud-Infrastrukturen (IaaS), Plattformdienste (PaaS), Software-as-a-Service (SaaS) sowie Fernzugriffe, einer Bewilligungs- oder Meldepflicht unterstellt werden, wenn ein konkretes Risiko einer militärischen oder sicherheitsrelevanten Nutzung besteht.

Dabei ist insbesondere sicherzustellen, dass:

1. die bestehende Unterscheidung zwischen physischer Ausfuhr und digitaler Bereitstellung sicherheitsrelevanter Technologien überprüft und angepasst sowie bestehende Lücken geschlossen werden
2. die zuständigen Behörden über geeignete Instrumente verfügen, um immaterielle Technologietransfers sowie auch zukünftige digitale Dienstleistungsformen wirksam und technologieoffen zu erfassen und zu kontrollieren
3. die Schweiz ihre Handlungsspielräume im Rahmen des Wassenaar-Arrangement aktiv nutzt und weiterentwickelt.

Der Bundesrat hält in der IP 25.4530 fest, dass Cloud-Infrastrukturen wie ''IaaS'', ''PaaS'' und ''SaaS'' derzeit nicht als Ausfuhr im Sinne des Güterkontrollrechts gelten und daher keiner Bewilligungspflicht unterliegen. Gleichzeitig bestehen keine spezifischen Kontrollmechanismen für solche Dienstleistungen, sofern keine explizit gelistete Software betroffen ist.

Diese Rechtslage ermöglicht den Zugang zu potenziell sicherheitsrelevanter digitaler Infrastruktur aus der Schweiz, ohne dass eine systematische exportkontrollrechtliche Prüfung erfolgt. Angesichts der wachsenden Bedeutung digitaler Technologien in militärischen und nachrichtendienstlichen Kontexten stösst ein primär auf physische Güter ausgerichteter Ansatz an seine Grenzen und ist nicht mehr zeitgemäss.

Die heutige Praxis, wonach Kontrollen nur im Einzelfall und bei konkreter Kenntnis erfolgen, ist nicht ausreichend, um Missbrauch präventiv zu verhindern. Zudem erfordert die rasante technologische Entwicklung, etwa im Bereich neuer ‘’as a Service’’ Modelle, einen technologieoffenen Ansatz, um künftige Lücken zu vermeiden.