Bosch zahlt 36 Millionen Dollar für den Verkauf von Sensoren an Huawei. Das Compliance-Versagen dahinter sollte jeden multinationalen Zulieferer beunruhigen.

Die meisten Lieferketten-Teams behandeln die Einhaltung von Exportkontrollvorschriften als ein Problem der Rechtsabteilung. Der Vergleich von Bosch mit den US-Behörden in dieser Woche ist eine nützliche Erinnerung daran, dass eine Compliance-Lücke innerhalb einer einzigen Tochtergesellschaft vier Jahre bis zum Auftauchen und zweistellige Millionenbeträge zur Behebung benötigen kann – selbst dann, wenn der zugrunde liegende Verstoß, in den Worten des Unternehmens selbst, unbeabsichtigt war.

Die Vereinigten Staaten verhängten in dieser Woche eine Strafe von mehr als 40 Millionen US-Dollar gegen Bosch, das große deutsche Technologie- und Engineeringunternehmen, nachdem das Unternehmen eingeräumt hatte, exportkontrollierte Produkte und Software illegal an Huawei geliefert und damit Lizenzanforderungen nach der Foreign-Direct-Product-Regel verletzt zu haben. Bosch muss im Rahmen einer Vergleichsvereinbarung mit dem Bureau of Industry and Security rund 32,5 Millionen US-Dollar zahlen und erklärte sich bereit, mehr als 11 Millionen US-Dollar an Gewinnen abzugeben, die es aus Verkäufen an Huawei und dessen verbundene Unternehmen erzielt hatte – die allesamt zum damaligen Zeitpunkt auf der Entity List standen und den FDP-Beschränkungen unterlagen.

Das US-Justizministerium (DOJ) erklärte, es habe von einer strafrechtlichen Verfolgung Boschs abgesehen, weil das Unternehmen die Probleme freiwillig offengelegt und mit der Behörde kooperiert habe.

Wie ein Sensorhersteller vier Jahre lang an ein sanktioniertes Unternehmen lieferte

Das BIS erklärte, Bosch habe über seine Tochtergesellschaft Bosch Sensortec von September 2020 bis September 2024 insgesamt 103 Verstöße gegen die Export Administration Regulations begangen, als es mikroelektromechanische Systeme und Sensoren im Wert von rund 70 Millionen US-Dollar zur Verwendung durch Huawei in Verbraucher- und Automobilanwendungen verkaufte. Bosch beging zudem sechs weitere Verstöße über seine Tochtergesellschaft ETAS, indem es CycurHSM-Automobilfirmware im Wert von rund 1,9 Millionen US-Dollar verkaufte, die zur Datenübertragung in Fahrzeugen verwendet wird.

Die Grundursache war kein vorsätzliches Umgehungsmanöver. Es war ein Compliance-Team, das unterbesetzt war und jahrelang auf der Grundlage falscher interner Beratung arbeitete. Das BIS führte die Verstöße auf mangelnde Fachkenntnis bei Boschs Compliance-Mitarbeitenden zurück, die sich über vier Jahre lang auf fehlerhafte Compliance-Hinweise verließen, denen zufolge die Produkte keine Lizenzen benötigten – trotz mehrfacher Hinweise von Geschäftspartnern, dass diese Einschätzung falsch war.

Boschs damaliges US-Team für Exportkontroll-Compliance bestand im Wesentlichen aus zwei Mitarbeitenden, von denen nur einer damit betraut war, die Unternehmensbereiche in Deutschland und außerhalb der USA in Fragen der Exportkontroll-Compliance zu beraten. Dem Team fehlte es an ausreichender Fachkenntnis oder Ressourcen, um die Regeländerung von 2020 angemessen zu bewältigen, durch die Huawei den erweiterten FDP-Beschränkungen unterworfen wurde.

Die ignorierte Warnung

Was diesen Fall lehrreich statt bloß bedauerlich macht, ist der dokumentierte Nachweis, dass Bosch klare Signale hatte, dass die Beratung falsch war, und nicht darauf reagierte. Im Juni 2023 nahm Bosch Sensortec einen Auftragshersteller von Halbleitern an Bord, der mitteilte, dass er ohne vorherige Einholung einer BIS-Lizenz keine Produkte an Huawei liefern könne, und sich dabei ausdrücklich auf die Rekordstrafe von 300 Millionen US-Dollar bezog, die das BIS drei Monate zuvor gegen Seagate Technologies für dieselbe Art von Verstoß verhängt hatte. Ein für Handels-Compliance zuständiger Bosch-Mitarbeiter in Deutschland tat dies fälschlicherweise als interne Richtlinie des Herstellers ab statt als US-Exportanforderung, und der zuständige Bosch-Geschäftsführer stufte diesen Hersteller daraufhin als ungeeigneten Zulieferer ein.

Das BIS erklärte, es gebe keine Hinweise darauf, dass das Management, der Einkauf oder das Handels-Compliance-Personal von Bosch Sensortec angemessene Anstrengungen unternommen hätten, um zu verstehen, warum die von diesem Hersteller angeführten FDP-Beschränkungen seine anderen Zulieferer oder seine Fähigkeit, Sensoren an Huawei zu verkaufen, nicht betreffen würden. Ein Zulieferer brachte exakt das regulatorische Bedenken vor, verwies auf einen neunstelligen Präzedenzfall einer Strafe – und Boschs interne Reaktion bestand darin, den Zulieferer als das Problem zu kennzeichnen.

Warum der Verzicht auf Strafverfolgung ebenso wichtig ist wie die Geldstrafe

John Eisenberg, Leiter der National Security Division des DOJ, sagte, der Verzicht auf eine Strafverfolgung sei aufgrund von Boschs Kooperation und rechtzeitiger Behebung gewährt worden, die den hohen Anforderungen der kürzlich aktualisierten Richtlinie der Behörde zur Unternehmensstrafverfolgung entsprochen hätten. Dies war der erste derartige Verzicht, den die National Security Division im Rahmen dieser neuen Richtlinie aussprach.

Bosch kooperierte, indem es relevante Fakten, Informationen und Dokumente für das DOJ sicherte und proaktiv offenlegte, und nahm organisatorische Änderungen vor, darunter disziplinarische Maßnahmen, zusätzliche Mitarbeitende für die Handels-Compliance, erweiterte US-Ressourcen für die Handels-Compliance sowie aktualisierte interne Richtlinien und Verfahren. Der Vergleich ist faktisch eine Vorlage dafür, wie multinationale Hersteller den Schaden aus einem selbst entdeckten Compliance-Versagen begrenzen können – vorausgesetzt, die Behebung erfolgt schnell und transparent.

Das Risiko für europäische und asiatische Unternehmen

Ein Bosch-Sprecher erklärte, die im Vergleich dargelegten zivilrechtlichen Verstöße seien unbeabsichtigt gewesen, und merkte an, das Unternehmen habe sein Handels-Compliance-Programm verbessert und Abhilfemaßnahmen umgesetzt, um künftige Verstöße zu verhindern.

Für jeden europäischen oder asiatischen Hersteller, der Sensoren, Komponenten, Firmware oder eingebettete Software in Automobil- oder Unterhaltungselektronik-Lieferketten verkauft, die mit chinesischen, auf der Entity List geführten Unternehmen in Berührung kommen, ist der Fall Bosch eine direkte Warnung davor, wie sich Exportkontrollrisiken still und leise innerhalb großer Organisationen anhäufen. Ein zweiköpfiges Compliance-Team, das sich auf veraltete interne Hinweise verließ, Warnungen von Geschäftspartnern ignorierte und Bescheinigungen unterzeichnete, ohne deren Bedeutung vollständig zu verstehen, brachte unzulässige Verkäufe im Wert von 70 Millionen US-Dollar zustande, bevor jemand es bemerkte.

Die Störung trifft nicht als Lieferverzögerung oder Zollbescheid ein. Sie trifft ein als eine vierjährige Compliance-Lücke, die auf einen Schlag zutage tritt – mit einer Geldstrafe, einer Gewinnabschöpfung und einem Abhilfeprogramm im Gepäck.