US-Export Verwaltungsvorschriften (EAR)US Export Administration Regulations (EAR)

Über das OhrAbout the EAR

Das US Department of Commerce erzwingt die Export Verwaltungsvorschriften (EAR) über das Bureau of Industry and Security (bis).The US Department of Commerce enforces the Export Administration Regulations (EAR) through the Bureau of Industry and Security (BIS). Das Ohr regelt und auferlegt Steuerelemente für den Export und den Wiederexport der meisten kommerziellen Güter, Software und Technologien, einschließlich "Dual-Use"-Elemente, die sowohl für kommerzielle und militärische Zwecke als auch für bestimmte Verteidigungs Elemente verwendet werden können.The EAR broadly governs and imposes controls on the export and re-export of most commercial goods, software, and technology, including “dual-use” items that can be used both for commercial and military purposes and certain defense items.

Die bis-Anleitung besagt, dass, wenn Daten oder Software in die Cloud hochgeladen oder zwischen Benutzer Knoten übertragen werden, der Kunde, nicht der Cloud-Anbieter, der "Exporteur" ist, der dafür verantwortlich ist, sicherzustellen, dass die Übertragung, Speicherung und der Zugriff auf diese Daten oder Software mit dem Ohr übereinstimmt.BIS guidance holds that, when data or software is uploaded to the cloud or transferred between user nodes, the customer, not the cloud provider, is the “exporter” who has the responsibility to ensure that transfers of, storage of, and access to that data or software complies with the EAR.

Gemäß der BIZbezieht sich der Export auf die Übertragung geschützter Technologien oder technischer Daten an ein fremdes Ziel oder dessen Veröffentlichung an eine ausländische Person in den Vereinigten Staaten (wird auch als Exportbezeichnet).According to the BIS, export refers to the transfer of protected technology or technical data to a foreign destination or its release to a foreign person in the United States (also referred to as a deemed export). Das Ohr steuert im großen und ganzen:The EAR broadly governs:

  • Exporte aus den Vereinigten Staaten.Exports from the United States.
  • Erneute Exporte oder erneute Übertragungen von US-Origin-Elementen und bestimmten Produkten mit Ursprung in Drittländern mit mehr als einem de-minimis -Anteil von US-Origin-Inhalten.Re-exports or retransfers of US-origin items and certain foreign-origin items with more than a de minimis portion of US-origin content.
  • Übermittlungen oder Offenlegungen an Personen aus anderen Ländern.Transfers or disclosures to persons from other countries.

Elemente, die dem Ohr unterliegen, finden Sie in der Commerce Control List (CCL), für die jedem Element eine eindeutige Export Kontroll Klassifizierungs Nummer (ECCN)zugewiesen ist.Items subject to the EAR can be found on the Commerce Control List (CCL) where each item is assigned a unique Export Control Classification Number (ECCN). Elemente, die nicht in der CCL aufgeführt sind, sind als EAR99 festgelegt, und für die meisten EAR99-kommerziellen Produkte wird keine Lizenz zum Exportieren benötigt.Items not listed on the CCL are designated as EAR99 and most EAR99 commercial products will not require a license to be exported. Je nach Ziel, Endbenutzer oder Endverwendung des Elements kann selbst für ein EAR99-Element jedoch eine bis-Exportlizenz erforderlich sein.However, depending on the destination, end user, or end use of the item, even an EAR99 item may require a BIS export license.

Die letzte Regel, veröffentlicht im Juni 2016, verdeutlicht, dass die Ear-Lizenzierungsanforderungen auch nicht für die Übertragung und Speicherung von nicht klassifizierten technischen Daten und Software gelten würden, wenn Sie über eine verschlüsselte End-to-End-Verschlüsselung mit FIPS 140-2 validierte kryptografische Module verlegt wurden und nicht absichtlich in einem Militär Embargoland oder in der Russischen Föderation gespeichert wurden.The final rule, published in June 2016, clarified that EAR licensing requirements also would not apply to the transmission and storage of unclassified technical data and software if they were encrypted end-to-end using FIPS 140-2 validated cryptographic modules and were not intentionally stored in a military-embargoed country or in the Russian Federation.

Microsoft und das OhrMicrosoft and the EAR

Microsoft-Technologien,-Produkte und-Dienste unterliegen den US-Export Verwaltungsvorschriften (EAR).Microsoft technologies, products, and services are subject to the US Export Administration Regulations (EAR). Zwar gibt es keine Konformitätszertifizierung für das Ohr, Microsoft Azure, Microsoft Azure Government und Microsoft Office 365 Government (GCCHigh and DoD Environments) bieten wichtige Features und Tools, um berechtigten Kunden zu helfen, die das Ohr Manage Export Control Risks unterstützen und die Compliance-Anforderungen erfüllen.While there is no compliance certification for the EAR, Microsoft Azure, Microsoft Azure Government, and Microsoft Office 365 Government (GCCHigh and DoD environments) offer important features and tools to help eligible customers subject to the EAR manage export control risks and meet their compliance requirements.

Die US-Commerce-Abteilung, die das Ohr erzwingt, hat die Position übernommen, dass Kunden, nicht Cloud-Dienstanbieter wie Microsoft, als Exporteure eigener Kundendaten betrachtet werden.The US Commerce Department, which enforces the EAR, has taken the position that customers, not cloud service providers such as Microsoft, are considered to be exporters of their own customer data. Während die meisten Kundendaten nicht als "Technologie" oder "Technische Daten" gelten, die den Ear-Exportkontrollen unterliegen, sind die Microsoft-bereichsübergreifenden Cloud-Dienste so strukturiert, dass Kunden die potenziellen Export Steuerungs Risiken besser managen und deutlich abschwächen.While most customer data is not considered “technology” or “technical data” subject to EAR export controls, Microsoft in-scope cloud services are structured to help customers manage and significantly mitigate the potential export control risks they face. Microsoft empfiehlt die Verwendung von Government Cloud Services für berechtigte Kunden in der Regel, jedoch nicht ausschließlich.Microsoft generally, but not exclusively, recommends the use of its government cloud services for eligible customers. Mit der entsprechenden Planung können Kunden die folgenden Tools und ihre eigenen internen Verfahren verwenden, um die vollständige Einhaltung der US-Exportkontrollen zu gewährleisten.With appropriate planning, customers can use the following tools and their own internal procedures to help ensure full compliance with US export controls.

  • Steuerelemente für den Datenspeicherort.Controls on data location. Kunden haben Einblick in die Speicherung Ihrer Daten und den Zugriff auf robuste Tools, um den Speicherplatz einzuschränken.Customers have visibility into where their data is stored and access to robust tools to restrict its storage. Sie können daher sicherstellen, dass Ihre Daten in den USA gespeichert werden und die Übertragung kontrollierter Technologien oder technischer Daten außerhalb der Vereinigten Staaten minimiert wird.They may therefore ensure that their data is stored in the United States and minimize transfer of controlled technology or technical data outside the United States. Darüber hinaus werden Kundendaten nicht an einem nicht konformen Standort gespeichert, und zwar im Einklang mit den Ear-verboten, in denen Daten "absichtlich gespeichert" werden: kein Azure-Rechenzentrum befindet sich in einem der 25 Gruppen D:5 Länder oder der Russischen Föderation.Furthermore, customer data is not stored in a non-conforming location, consistent with EAR prohibitions on where data is “intentionally stored”: no Azure datacenter is located in any of the 25 Group D:5 countries or the Russian Federation.
  • End-to-End-Verschlüsselung.End-to-end encryption. Durch die Nutzung der End-to-End-Verschlüsselung Safe Harbor für physikalische Speicherorte, die im Ohr angegeben sind, bieten Microsoft-bezogene Cloud-Dienste Verschlüsselungsfunktionen, die zum Schutz vor Export Steuerungs Risiken beitragen können.By taking advantage of the end-to-end encryption safe harbor for physical storage locations specified in the EAR, Microsoft in-scope cloud services deliver encryption features that can help protect against export control risks. Sie bieten Kunden außerdem eine Breite Palette von Optionen zum Verschlüsseln von Daten in der Übertragung und im Ruhezustand sowie die Flexibilität, zwischen Verschlüsselungsoptionen auszuwählen.They also offer customers a wide range of options for encrypting data in transit and at rest, and the flexibility to choose among encryption options.
  • Tools und Protokolle zur Verhinderung nicht autorisierter Exporte.Tools and protocols to prevent unauthorized deemed export. Die Verwendung von Verschlüsselung hilft auch vor potenziellen Exporten (oder als Wiederexport) unter dem Ohr zu schützen, da selbst wenn eine nicht-US-Person Zugriff auf verschlüsselte Daten hat, nichts offenbart wird, wenn Sie die Daten nicht lesen oder verstehen können, während Sie verschlüsselt werden; Daher gibt es keine "Freigabe" von kontrollierten Daten.The use of encryption also helps protect against a potential deemed export (or deemed re-export) under the EAR, because even if a non-US person has access to encrypted data, nothing is revealed if they cannot read or understand the data while it is encrypted; thus there is no “release” of controlled data.

Microsoft Cloud Services im LeistungsumfangMicrosoft in-scope cloud services

ImplementierungHow to implement

Übersicht über US-Exportkontrollen und Anleitungen für Kunden, die ihre Verpflichtungen unter dem Ohr bewerten.Overview of US export controls and guidance for customers assessing their obligations under the EAR.

Häufig gestellte FragenFrequently asked questions

Was muss ich tun, um Exportkontrollen bei der Verwendung von Microsoft Cloud Services einzuhalten?What should I do to comply with export controls when using Microsoft cloud services?

Unter dem Ohr gilt: Wenn Daten auf einen cloudserver wie die Microsoft-Cloud hochgeladen werden, wird der Kunde, der die Daten besitzt – nicht der Anbieter für Cloud-Dienste – als Exporteur betrachtet.Under the EAR, when data is uploaded to a cloud server such as the Microsoft cloud, the customer who owns the data — not the cloud services provider — is considered to be the exporter. Aus diesem Grund muss der Besitzer der Daten – d. h. der Microsoft-Kunde – sorgfältig prüfen, wie die Verwendung der Microsoft-Cloud dazu führen kann, dass US-Steuerelemente exportiert werden, und bestimmen, ob eine der Daten, die Sie verwenden oder dort speichern möchten, möglicherweise Ear-Steuerelementen unterliegt, und wenn ja, welche Steuerelemente angewendet werden.For that reason, the owner of the data — that is, the Microsoft customer — must carefully assess how their use of the Microsoft cloud may implicate US export controls and determine whether any of the data they want to use or store there may be subject to EAR controls, and if so, what controls apply. Erfahren Sie mehr darüber, wie Azure und Office 365 Cloud-Dienste Kunden dabei unterstützen können, Ihre vollständige Compliance mit den US-Exportkontrollen sicherzustellen.Learn more about how Azure and Office 365 cloud services can help customers ensure their full compliance with US export controls.

Unterliegen Microsoft-Technologien,-Produkte und-Dienste dem Ohr?Are Microsoft technologies, products, and services subject to the EAR?

Die meisten Microsoft-Technologien,-Produkte und-Dienste bieten entweder:Most Microsoft technologies, products, and services either:

  • Sind nicht dem Ohr unterworfen und befinden sich daher nicht in der Commerce-Steuerelementliste und haben keine ECCN;Are not subject to the EAR and thus are not on the Commerce Control List and have no ECCN;
  • Oder es handelt sich um EAR99 oder 5D992-Massenmarkt, der von Microsoft selbst klassifiziert werden kann und möglicherweise ohne Lizenz in nicht Embargoländer exportiert wird (NLR).Or they are EAR99 or 5D992 Mass Market-eligible for self-classification by Microsoft and may be exported to non-embargoed countries without a license as No License Required (NLR).

Allerdings wurden einigen Microsoft-Produkten ein ECCN zugewiesen, das möglicherweise eine Lizenz erfordert oder auch nicht.That said, a few Microsoft products have been assigned an ECCN that may or may not require a license. Konsultieren Sie das Ohr oder den Rechtsbeistand, um den entsprechenden Lizenztyp und die berechtigten Länder für Exportzwecke zu ermitteln.Consult the EAR or legal counsel to determine the appropriate license type and eligible countries for export purposes.

Worin besteht der Unterschied zwischen dem Ohr und dem internationalen Verkehr mit Rüstungs Vorschriften (ITAR)?What’s the difference between the EAR and International Traffic in Arms Regulations (ITAR)?

Die primären US-Exportsteuerelemente mit der umfassendsten Anwendung sind das Ohr, das vom US-Handelsministerium verwaltet wird.The primary US export controls with the broadest application are the EAR, administered by the US Department of Commerce. Das Ohr gilt für Elemente mit doppeltem Verwendungszweck, die sowohl kommerzielle als auch militärische Anwendungen aufweisen, sowie Elemente mit rein kommerziellen Anwendungen.The EAR is applicable to dual-use items that have both commercial and military applications, and to items with purely commercial applications.

Die Vereinigten Staaten verfügen außerdem über separate und speziellere Exportkontrollbestimmungen wie ITAR, die die sensibelsten Elemente und Technologien Regeln.The United States also has separate and more specialized export control regulations, such as the ITAR, that governs the most sensitive items and technology. Sie werden vom US-amerikanischen Außenministerium verwaltet und unterliegen dem Export, dem temporären Import, dem Wiederexport und der Übertragung von zahlreichen militärischen, Verteidigungs-und Nachrichtendienst Elementen (auch bekannt als "Defense articles"), einschließlich der dazugehörigen technischen Daten.Administered by the US Department of State, they impose controls on the export, temporary import, re-export, and transfer of many military, defense, and intelligence items (also known as “defense articles”), including related technical data.

RessourcenResources