Neue Märkte, neue Regeln
Interview: Was Industrieunternehmen im Defence-Sektor unterschätzen
Die deutsche Industrie erlebt im Verteidigungssektor eine Phase, die noch vor wenigen Jahren kaum denkbar war: steigende Verteidigungsbudgets, beschleunigte Beschaffungsprozesse und ein Markteintritt neuer Akteure aus klassischen Industriezweigen, vom Maschinenbau bis zur Softwareentwicklung. Damit verschiebt sich nicht nur die wirtschaftliche Dynamik, sondern auch das, was über Erfolg oder Misserfolg entscheidet. Technologie, Fertigungstiefe und Skalierbarkeit bleiben zentral. Doch zunehmend zeigt sich: Wer im Verteidigungsmarkt bestehen will, muss Recht nicht nur einhalten, sondern strategisch beherrschen. Im Interview erläutert Oliver Huq, Rechtsanwalt und Experte für Sicherheit und Verteidigung, warum gerade Industrieunternehmen diesen Faktor häufig unterschätzen und weshalb er sich zunehmend zum entscheidenden Wettbewerbsfaktor entwickelt.
Industrial Production: Herr Huq, viele Industrieunternehmen aus Maschinenbau, Automotive oder Elektrotechnik drängen derzeit in den Verteidigungssektor. Wo beobachten Sie dort die größten Missverständnisse im Umgang mit Regulierung?
Oliver Huq: Das größte Missverständnis ist die Gleichsetzung von Compliance mit reiner Bürokratie. Unternehmen, die aus dem zivilen Bereich kommen, kennen Regulierung vor allem als etwas, das man „abarbeitet“: Formulare ausfüllen, Nachweise einreichen, Haken setzen. Im Verteidigungssektor ist das fundamental anders. Hier ist Regulierung nicht der Rahmen, innerhalb dessen man arbeitet. Sie ist Teil des Produkts selbst.
Das zweite große Missverständnis betrifft die Geschwindigkeit. Viele Unternehmen glauben, dass beschleunigte Vergabeverfahren (Stichwort § 103b GWB oder die Sonderregelungen nach dem Bundeswehr-Beschaffungsbeschleunigungsgesetz) bedeuten, dass auch die inhaltlichen Anforderungen weniger werden. Das Gegenteil ist oft der Fall: Schnellere Verfahren bedeuten, dass man von Anfang an vollständig aufgestellt sein muss. Wer erst dann anfängt, sich um Geheimschutz, Exportkontrolle oder IT-Sicherheitsanforderungen zu kümmern, wenn er bereits in einer Ausschreibung ist, hat in aller Regel verloren – unabhängig davon, wie gut sein Produkt technisch ist.
Und schließlich: Viele Unternehmen unterschätzen, dass es sich nicht um einen einheitlichen Markt handelt. Bundeswehr, NATO-Agenturen, europäische Beschaffungsstellen wie die EDA – jede dieser Einrichtungen hat eigene Anforderungen, eigene Prozesse, eigene „Red Lines“. Wer diese Unterschiede früh versteht und sein Produkt gezielt darauf ausrichtet, schafft die Grundlage dafür, nicht nur für die Bundeswehr, sondern auch für internationale Beschaffungsorganisationen wie OCCAR erfolgreich anschlussfähig zu werden.
Sie sprechen von „rechtlicher Resilienz“ als Wettbewerbsvorteil. Was bedeutet das konkret für ein mittelständisches Industrieunternehmen, das erstmals Defence-Kunden bedient?
Rechtliche Resilienz bedeutet, dass ein Unternehmen nicht bei jedem regulatorischen Gegenwind ins Stocken gerät, sondern handlungsfähig bleibt – und zwar auch dann, wenn sich das rechtliche Umfeld ändert, ein Exportantrag abgelehnt wird oder eine Ausschreibung Anforderungen stellt, die kurzfristig einzuhalten sind.
Konkret heißt das für einen Mittelständler: Es geht nicht darum, eine Rechtsabteilung aufzubauen, die hinter jedem Vorgang herläuft. Es geht darum, bestimmte rechtliche Grundstrukturen in die eigene Organisation einzubauen, bevor man sie braucht. Das beginnt bei einer klaren internen Verantwortlichkeit für Exportkontrolle (dem sogenannten Exportkontrollbeauftragten), geht über ein funktionierendes System zur Klassifizierung der eigenen Produkte nach Dual-Use-Kriterien und hört bei vertraglichen Schutzklauseln gegenüber Sublieferanten noch lange nicht auf.
Ein praktisches Beispiel: Ein Mittelständler, der einen Antriebskomponenten-Auftrag für ein Rüstungsprojekt erhält, wird in der Regel durch seinen Auftraggeber verpflichtet, bestimmte Sicherheitsanforderungen an seine eigenen Zulieferer weiterzugeben. Wer in seinen Einkaufsverträgen dafür keine Grundlage hat, steht vor einem echten Problem. Das ist der Unterschied zwischen einem Unternehmen, das rechtlich resilient aufgestellt ist, und einem, das improvisiert.
Gerade in global aufgestellten Industrieunternehmen sind Lieferketten komplex und international. Warum wird genau diese Struktur im Verteidigungssektor schnell zum rechtlichen Risikofaktor?
Weil die Verantwortung nicht an der Werkstür endet. Ein Unternehmen, das einen elektronischen Sensor an die Bundeswehr liefert, ist nicht nur für das Endprodukt verantwortlich. Es ist auch dafür verantwortlich, dass sämtliche Vorprodukte und Komponenten, die dieser Sensor enthält, den anwendbaren Regelwerken entsprechen – einschließlich der Exportkontrollvorschriften der Länder, aus denen diese Komponenten stammen.
Das wird besonders kritisch, wenn US-amerikanische Zulieferer im Spiel sind. Die USA haben mit ITAR und EAR zwei Systeme, die sogenannte „Re-Export-Kontrollen“ enthalten. Das bedeutet: Ein Bauteil, das aus den USA stammt oder US-amerikanische Technologie enthält, unterliegt der US-Exportkontrolle auch dann, wenn es in Deutschland in ein deutsches Produkt eingebaut und von Deutschland aus exportiert wird.
Die Lieferkette wird also zum Vehikel, über das sich regulatorische Risiken, die man selbst nicht verursacht hat, ins eigene Unternehmen übertragen. Das kann zu erheblichen Haftungsrisiken führen – im schlimmsten Fall zu strafrechtlicher Verantwortung der handelnden Personen und nicht nur des Unternehmens als solchem. Die Leitungsebene muss somit verstehen, dass es hier keine Verantwortungsdiffusion gibt: Das Gesetz fragt, wer wusste oder hätte wissen müssen.
Exportkontrolle trifft viele Unternehmen überraschend, insbesondere bei scheinbar zivilen Produkten. Wo liegt aus Ihrer Sicht der typische Denkfehler der Industrie bei Dual-Use-Fragen?
Der Denkfehler liegt im Wort „zivil“. Viele Unternehmen denken: „Wir stellen Industriedrohnen her, keine Militärdrohnen, also betrifft uns Exportkontrolle nicht.“ Das ist ein großer Irrtum.
Das Dual-Use-System wird auf europäischer Ebene durch die EU-Dual-Use-Verordnung (EU) 2021/821 geregelt und erfasst Güter, die sowohl zivil als auch militärisch genutzt werden können. Und die entscheidende Frage lautet nicht: „Wie nutzen wir das Produkt?“ Sondern: „Wie könnte der Empfänger es nutzen?“ Oder noch präziser: „Welche technischen Eigenschaften hat das Produkt, und sind diese in den Kontrolllisten erfasst?“
Ein Hochleistungsprozessor, ein Gyroskop mit bestimmter Präzision, Software zur Bildauswertung – all das kann genehmigungspflichtig sein, auch wenn das produzierende Unternehmen ausschließlich an zivile Kunden liefert. Das System fragt nach den Eigenschaften des Produkts, nicht nach der subjektiven Absicht des Herstellers.
Der zweite klassische Denkfehler: „Wir liefern nur innerhalb der EU, da brauchen wir keine Genehmigung.“ Auch das stimmt nur bedingt. Bei bestimmten besonders sensiblen Gütern besteht eine Genehmigungspflicht auch für den innergemeinschaftlichen Transfer. Und sobald der Empfänger das Produkt außerhalb der EU weiterveräußert, greift das Kontrollsystem erneut – und das Unternehmen muss sichergestellt haben, dass es davon wusste oder vernünftigerweise hätte wissen müssen.
ITAR, EAR und EU-Dual-Use-Regeln wirken wie ein dichtes regulatorisches Geflecht. Wie kann ein Industrieunternehmen diese Anforderungen praktisch in seine Entwicklungs- und Vertriebsprozesse integrieren?
Ich empfehle hier einen strukturierten Dreiklang: Klassifizieren, Kontrollieren, Dokumentieren.
Klassifizieren bedeutet: Jedes Produkt, jede Komponente, jede Software, die das Unternehmen entwickelt oder einkauft, muss einmal systematisch daraufhin untersucht werden, ob sie einer Exportkontrollklassifizierung unterliegt. Das ist eine einmalige, aber aufwendige Aufgabe, die für neue Produkte und Komponenten in den Entwicklungsprozess integriert werden muss – und nicht erst am Ende, wenn das Produkt bereits fertig ist.
Kontrollieren bedeutet: Auf Basis der zuvor beschriebenen Klassifizierung werden Prozesse etabliert, die sicherstellen, dass vor jedem Export, jedem Transfer, jeder Lizenzierung an ausländische Partner geprüft wird, ob eine Genehmigung erforderlich ist. Das scheint vordergründig reine Bürokratie, ist aber tatsächlich ein sinnvoller Risikofilter, der verhindert, dass ein Mitarbeiter im Vertrieb unwissentlich eine strafbare Handlung begeht.
Dokumentieren bedeutet: Was nicht dokumentiert ist, hat im Zweifel nicht stattgefunden. Behörden, Strafverfolgung und Auftraggeber werden im Ernstfall fragen, wie die Entscheidung getroffen wurde – nicht nur, was die Entscheidung war. Ein Unternehmen, das nachweisen kann, dass es systematisch geprüft, Experten einbezogen und Entscheidungen schriftlich begründet hat, steht in einer völlig anderen Position als eines, das sagt: „Das haben wir schon immer so gemacht.“
Konkret empfehle ich, bei Lieferketten mit US-Bezug frühzeitig zu klären, ob eine License Exception oder eine formelle ITAR-Lizenz benötigt wird. Und: Die zuständigen Behörden – in Deutschland das BAFA – sind oft kooperativer, als viele Unternehmen glauben. Eine frühzeitige Kontaktaufnahme bei Unsicherheiten ist kein Zeichen von Schwäche, sondern von Professionalität.
Welche Rolle spielt die frühe Produktentwicklung? Anders gefragt: Müssen Unternehmen heute schon im Engineering rechtlich denken, wenn sie Defence-tauglich werden wollen?
Ja – und das ist vielleicht die wichtigste strukturelle Veränderung, die ich gerne bei meinen Mandanten anstoßen möchte: Der klassische Produktentwicklungsprozess endet im Engineering, beginnt im Marketing und mündet in Legal Review. Im Verteidigungssektor muss Legal von Anfang an am Tisch sitzen – oder zumindest müssen die entsprechenden Fragen bereits im Engineering-Prozess gestellt werden.
Das hat mehrere Gründe. Erstens: Wenn ein Produkt bestimmte technische Spezifikationen erreicht, z. B. eine bestimmte Reichweite, Präzision oder Verschlüsselungstiefe, dann wird es automatisch genehmigungspflichtig. Das ist keine Frage des Verwendungszwecks, sondern der technischen Eigenschaften. Wer das erst nach der Markteinführung merkt, hat ein Problem, das sich nicht ohne Weiteres rückwirkend lösen lässt.
Zweitens: ITAR-Freiheit als Produktmerkmal. Immer mehr europäische Defence-Auftraggeber fordern explizit, dass Zulieferprodukte frei von US-kontrollierter Technologie sind – oder mit anderen Worten: „ITAR-free“. Das ist ein echtes strategisches Verkaufsargument. Wer das von Anfang an plant, kann es erreichen. Wer es erst im Nachhinein versucht, muss oft das Produkt neu entwickeln oder auf amerikanische Technologiekomponenten verzichten, die bereits tief in der Architektur verankert sind.
Drittens: Sicherheitsanforderungen wie BSI-Zertifizierungen oder NATO-Qualifikationen haben Vorlaufzeiten von Monaten, manchmal Jahren. Wer im Engineering nicht vorausdenkt, kann diese Fristen schlicht nicht einhalten.
Im Vergaberecht konkurrieren neue Industrieakteure mit etablierten Rüstungskonzernen. Warum scheitern technisch starke Anbieter dennoch häufig an öffentlichen Ausschreibungen?
Weil öffentliche Ausschreibungen kein Markt im klassischen Sinne sind. Sie sind ein Verfahren. Und in einem Verfahren entscheidet nicht nur die Qualität des Angebots, sondern auch die Einhaltung formaler Anforderungen. Ein technisch überlegenes Angebot, das eine formale Anforderung nicht erfüllt, sei es eine fehlende Eignungserklärung, ein nicht fristgerecht eingereichter Nachweis, eine unzureichend belegte Referenz oder Ähnliches, wird zwingend ausgeschlossen. Das ist nicht Willkür, das ist Rechtsstaatlichkeit.
Neue Marktteilnehmer unterschätzen außerdem die Bedeutung der Leistungsbeschreibung. In einer gut formulierten Ausschreibung steckt oft bereits das Bild des Wunschbieters: in Form von technischen Mindestanforderungen, Zertifizierungsvoraussetzungen oder geforderten Nachweisen über vergleichbare frühere Leistungen. Wer diese Beschreibung nicht sorgfältig liest und strategisch darauf antwortet, verliert – selbst dann, wenn er das beste Produkt hat.
Ein weiterer Faktor: Referenznachweise. Öffentliche Auftraggeber, insbesondere im Sicherheits- und Verteidigungsbereich, fordern den Nachweis vergleichbarer Leistungen. Ein Unternehmen, das erstmals im Defence-Markt tätig werden will, hat diese Referenzen per Definition nicht. Das lässt sich nicht über Nacht lösen, aber es gibt Strategien: Bietergemeinschaften mit erfahrenen Partnern, gezielte Sub-Auftragnehmerschaften zur Referenzgewinnung oder Pilotprojekte, die bewusst als Einstieg in einen langfristigen Marktaufbau konzipiert werden.
Und schließlich: Viele neue Anbieter unterschätzen die Rügepflicht. Wer in einem Vergabeverfahren einen Fehler erkennt, etwa eine diskriminierende Anforderung in der Leistungsbeschreibung, muss diesen unverzüglich rügen, bevor das Verfahren abgeschlossen ist. Wer wartet, verliert das Recht, sich nachträglich zu beschweren. Das ist ein häufiger und teurer Fehler.
Viele Industrieunternehmen unterschätzen die Bedeutung von Geheimschutz- und Sicherheitsanforderungen. Wo entstehen hier in der Praxis die größten „Showstopper“ im Markteintritt?
Der größte Showstopper ist die Unterschätzung der Vorlaufzeit. Eine Sicherheitsüberprüfung nach dem Sicherheitsüberprüfungsgesetz (SÜG) für einen Mitarbeiter kann Monate dauern, ebenso eine Ermächtigung zum Umgang mit Verschlusssachen für ein Unternehmen – das sogenannte Facility-Security-Clearance-Äquivalent in der deutschen Terminologie – oder die Geheimschutzbetreuung durch das BMWK oder BMVg. Wer erst dann mit diesen Prozessen beginnt, wenn er bereits einen Auftrag gewonnen hat, der entsprechende Sicherheitseinstufungen voraussetzt, bricht seinen Vertrag, bevor er ihn erfüllen kann.
In der Praxis sehe ich drei typische Problemfelder:
Erstens: IT-Infrastruktur. Viele Ausschreibungen im Defence-Bereich setzen voraus, dass bestimmte Informationen auf gehärteten, zugelassenen IT-Systemen verarbeitet werden. Die BSI-Anforderungen oder NATO-Standards für Verschlusssachen-IT sind nicht trivial. Wer sein normales Business-Office-System nutzt, erfüllt diese Anforderungen nicht – und wird das oft erst feststellen, wenn die Due Diligence beginnt.
Zweitens: Personal. Nicht jede Person, die ein Unternehmen im Rahmen eines Defence-Projekts einsetzen möchte, ist ohne Weiteres sicherheitsüberprüfbar. Das hängt von der Nationalität, dem Lebenslauf, familiären Verbindungen und weiteren Faktoren ab. Wenn ein Unternehmen in einem hochspezialisierten Bereich tätig ist und seine Schlüsselentwickler nicht die notwendige Sicherheitsüberprüfung erhalten können, hat es ein strukturelles Problem.
Drittens: physische Infrastruktur. Bestimmte Aufträge erfordern, dass Dokumente oder Materialien physisch gesichert werden – in entsprechend zugelassenen Räumlichkeiten. Das ist eine Investition, die Unternehmen im Vorfeld einkalkulieren müssen.
All das ist lösbar, aber nur, wenn man frühzeitig daran denkt und mit der Umsetzung beginnt.
ESG- und Lieferkettengesetze gelten eigentlich als klassische Industriethemen. Warum werden sie im Verteidigungssektor noch einmal deutlich komplexer?
Weil der Verteidigungssektor an der Schnittstelle zweier Anforderungswelten operiert, die sich in manchen Punkten widersprechen – oder zumindest in erheblicher Spannung zueinander stehen.
Auf der einen Seite steht das Lieferkettensorgfaltspflichtengesetz (LkSG) sowie die europäische Corporate Sustainability Due Diligence Directive (CSDDD), die von Unternehmen verlangen, Menschenrechts- und Umweltrisiken entlang der gesamten Lieferkette zu identifizieren, zu mindern und zu berichten. Das klingt zunächst wie ein allgemeines Industriethema.
Auf der anderen Seite operiert der Verteidigungssektor häufig mit Lieferanten aus Regionen, die politisch sensitiv sind, oder mit Partnern, bei denen eine detaillierte Nachprüfbarkeit aus Geheimschutzgründen eingeschränkt ist. Wenn ein Tier-2-Lieferant eines Defence-Produkts in einem Land tätig ist, das unter Rüstungsembargo steht oder in dem die LkSG-Sorgfaltspflicht schwer zu erfüllen ist – wie prüft man das, ohne sensible Lieferkettendaten offenzulegen?
Dazu kommt: Das LkSG gilt für Unternehmen ab bestimmten Schwellenwerten und verpflichtet zur Sorgfalt auch gegenüber mittelbaren Zulieferern, wenn Hinweise auf Verstöße vorliegen. Im Defence-Bereich, wo Lieferketten oft wenig transparent sind und sich über mehrere Jurisdiktionen erstrecken, ist diese Pflicht operativ extrem anspruchsvoll.
Und schließlich das Spannungsfeld mit dem Verteidigungsauftrag als solchem: Die Rüstungsindustrie produziert Güter, die zur Tötung von Menschen verwendet werden können. Das ist kein böswilliger Vorwurf, sondern eine rechtliche und ethische Realität, mit der sich Unternehmen auseinandersetzen müssen – nicht nur intern, sondern auch gegenüber ihren Finanzierungspartnern. ESG-Ratingagenturen und Banken, die nachhaltige Finanzierung anbieten, haben hier zum Teil restriktive Policies entwickelt. Wer als Industrieunternehmen in den Defence-Markt eintritt, muss diese Fragen proaktiv in seiner ESG-Strategie adressieren. Und das Thema Nachwuchs haben wir dann noch gar nicht adressiert.
Wenn Sie den Blick nach vorn richten: Was trennt in fünf Jahren erfolgreiche Industrieunternehmen im Verteidigungsmarkt von jenen, die wieder aussteigen müssen?
Die erfolgreichen Unternehmen werden meines Erachtens diejenigen sein, die Recht, Technologie und Strategie als untrennbare Einheit verstehen.
Ich sage das nicht als Werbung für Anwälte. Ich sage es, weil die Komplexität der Anforderungen in den nächsten Jahren nicht abnehmen wird. Das Gegenteil ist der Fall: Die EU entwickelt beispielsweise gerade mit Programmen wie dem European Defence Industry Programme (EDIP), dem European Defence Fund (EDF), dem European Defence Industry Reinforcement through Common Procurement Act (EDIRPA) und dem Act in Support of Ammunition Production (ASAP) neue Förder- und Regularienarchitekturen. Die NATO standardisiert Anforderungen, die für alle Mitgliedsstaaten verbindlich werden. Die USA überarbeiten ihre ITAR-Regelungen. Und das LkSG-Nachfolgerecht auf europäischer Ebene wird umfassender sein als das, was wir heute kennen.
Wer in diesem Umfeld dauerhaft erfolgreich sein will, braucht drei Dinge:
Institutionelles Wissen. Nicht Berater, die man im Notfall anruft, sondern internes Know-how, das in der Organisation verankert ist. Das können Mitarbeiter mit entsprechender Ausbildung sein, aber auch gut strukturierte Prozesse, die sicherstellen, dass die richtigen Fragen zur richtigen Zeit gestellt werden. Auch externe Berater können im Rahmen einer festen Kooperationsstruktur so eingebunden werden, dass deren Know-how ebenfalls wie institutionelles Wissen abrufbereit ist.
Strategische Flexibilität. Die Unternehmen, die aussteigen müssen, werden oft diejenigen sein, die eine einzige Produkt- und Marktstrategie hatten und nicht anpassungsfähig waren. Im Defence-Markt ändern sich Prioritäten, Budgets, politische Schwerpunkte. Wer sein Geschäftsmodell so aufgebaut hat, dass es von einem einzigen Programm oder einem einzigen Kunden abhängt, ist verletzlich.
Vertrauen als Kapital. Im Verteidigungssektor gilt mehr als in anderen Märkten: Vertrauen ist die wichtigste Währung. Auftraggeber – egal ob Bundeswehr, OCCAR oder ein Systemintegrator wie Rheinmetall oder KNDS – geben langfristige, sicherheitskritische Aufträge an Unternehmen, denen sie vertrauen. Dieses Vertrauen entsteht nicht durch das beste Angebot. Es entsteht durch konsistentes, verlässliches Verhalten über Zeit – durch die Einhaltung von Zusagen, Transparenz im Umgang mit Problemen und den Nachweis, dass das Unternehmen die besondere Verantwortung dieses Markts verstanden hat.
Rechtliche Resilienz ist letztlich nichts anderes als der institutionelle Ausdruck dieses Vertrauens – nach innen und nach außen.
Zur Person
Oliver Huq ist Rechtsanwalt in Düsseldorf, Senior-Partner bei gunnercooke und spezialisiert auf internationales Wirtschaftsrecht. Er berät Unternehmen im Bereich Sicherheit und Verteidigung – von der regulatorischen Compliance über Vertragsgestaltung bis hin zu Fragen der Organverantwortung.









