CCTVplanner.io
    Einhaltung15 Minuten Lesezeit

    Software russischer Herkunft in EU-Videoüberwachungsprojekten (2026): Überprüfung der Einhaltung von Vorschriften, Sanktionen und des Beschaffungswesens

    Eine faktenbasierte, auf Beschaffungsprozesse fokussierte Analyse für CCTV-Planer, -Integratoren und EU-Auftraggeber, die sich auch 2026 mit der immer wiederkehrenden Frage auseinandersetzen: Wie sind die Ursprungs-, Sanktions- und Datenresidenzregeln bei der Verwendung von CCTV-Planungssoftware anzuwenden? Dieser Artikel fasst den öffentlich zugänglichen Rahmen zusammen. Er stellt keine Rechtsberatung dar – jede konkrete Beschaffungsentscheidung sollte mit einem qualifizierten Beschaffungsrechtsberater abgesprochen werden.

    Wichtig: Dies ist eine sachliche Überprüfung, keine Rechtsberatung.

    Sanktionen, Exportkontrollen und Vergabevorschriften ändern sich häufig und werden in den EU-Mitgliedstaaten unterschiedlich ausgelegt. Die Informationen in diesem Artikel stellen keine Rechtsberatung für konkrete Transaktionen dar. Für verbindliche Festlegungen konsultieren Sie bitte einen qualifizierten Rechtsberater für Vergaberecht in der jeweiligen Gerichtsbarkeit. Die Angaben zu öffentlich zugänglichen Normen, Vorschriften und Rechtsprechung entsprechen unserem Kenntnisstand vom Mai 2026.

    Inhaltsverzeichnis

    Warum diese Frage für das EU-Beschaffungswesen 2026 relevant ist

    Seit 2022 hat die EU mehrere aufeinanderfolgende Sanktionspakete gegen Russland verabschiedet, parallel dazu wurden die Vergabevorschriften der Mitgliedstaaten angepasst. Die Auswirkungen auf die Softwarebeschaffung sind erheblich: Auftraggeber, die zuvor nicht nach der Herkunft von Software fragten, verlangen nun routinemäßig die Offenlegung der Herkunft bereits in der Qualifizierungsphase, und Angebote, die keine nicht sanktionierte Herkunft nachweisen können, werden üblicherweise vor der kommerziellen Prüfung aussortiert.

    Software zur Planung von Videoüberwachungssystemen birgt ein besonderes Risiko, da die von ihr erzeugten Daten – Grundrisse, Kamerapositionen, Netzwerktopologie, BOM – sowohl sicherheits- als auch betriebsrelevant sind. Selbst wenn ein Sanktionsinstrument ein bestimmtes Planungstool für Videoüberwachungssysteme nicht explizit erwähnt, verfolgen Auftraggeber in der Regel einen vorsorglichen Ansatz, insbesondere in den Bereichen Verteidigung, öffentliche Verwaltung, kritische Infrastrukturen sowie bei großen Projekten im Gesundheitswesen oder im Verkehrssektor.

    Dieser Artikel erklärt genau das, was wir uns gewünscht hätten, als unsere Integratoren-Kunden uns erstmals nach der Herkunft von Software in Ausschreibungsunterlagen fragten. Er ist beschreibend, nicht vorschreibend – sein Ziel ist es, den Rahmen in verständlicher Sprache darzulegen, damit ein CCTV-Planer seinem Einkaufsberater die richtigen Fragen stellen kann, anstatt dieses Gespräch zu ersetzen.

    Der aktuelle EU-Sanktionsrahmen – Zusammenfassung auf hoher Ebene

    Die restriktiven Maßnahmen der EU gegen Russland werden durch Verordnungen des Rates umgesetzt, die im Amtsblatt der Europäischen Union veröffentlicht und durch fortlaufende Änderungspakete aktualisiert werden. Der Rahmen basiert auf drei Säulen, die für die Softwarebeschaffung relevant sind.

    Drei Säulen, die für Software relevant sind

    • Exportkontrollen. Beschränkungen für die Lieferung bestimmter Güter, Dienstleistungen, Technologien und Software nach Russland, mit sektoralem Schwerpunkt auf Gütern mit doppeltem Verwendungszweck, Verteidigung und bestimmten Industriekategorien.
    • Finanzielle Sanktionen. Vermögenssperren und Verbote, gelisteten Personen und Unternehmen Gelder oder wirtschaftliche Ressourcen zur Verfügung zu stellen. Die Prüfung der „Eigentums- und Kontrollverhältnisse“ ist einzelfallbezogen und gilt auch dann, wenn ein Anbieter selbst nicht gelistet ist, aber im Besitz oder unter der Kontrolle eines gelisteten Unternehmens steht.
    • Filter für das öffentliche Beschaffungswesen. Die Bestimmungen der Verordnung (EU) Nr. 833/2014 des Rates (in der geänderten Fassung), die die Vergabe öffentlicher Aufträge an bestimmte russische Personen und Einrichtungen untersagen, wurden durch das Vergaberecht der Mitgliedstaaten auf unterschiedliche Weise umgesetzt und ergänzt.

    Zusätzlich zum EU-weiten Rahmenwerk haben Mitgliedstaaten wie Deutschland, Frankreich, Polen, die nordischen und die baltischen Staaten eigene Vergabevorschriften mit strengeren Kriterien eingeführt. Dies führt dazu, dass ein und derselbe Anbieter in einem EU-Mitgliedstaat akzeptiert, in einem anderen jedoch ausgeschlossen werden kann, selbst wenn er in keinem Dokument explizit genannt wird. Beschaffungsteams orientieren sich daher in der Regel an den strengsten Vorgaben eines Mitgliedstaats als internem Maßstab.

    US-Seite: NDAA §889 und ICTS-Präsidialverordnungen

    Auf US-amerikanischer Seite werden zwei Instrumente regelmäßig, selbst von EU-Beschaffungsbeamten, als informelle Vergleichsmaßstäbe herangezogen. NDAA §889 (das John S. McCain National Defense Authorization Act für das Haushaltsjahr 2019) verbietet Bundesbehörden und Bundesauftragnehmern den Kauf oder die Nutzung bestimmter Telekommunikations- und Videoüberwachungsausrüstung von namentlich genannten chinesischen Herstellern. Die Executive Orders im Bereich Informations- und Kommunikationstechnologie und -dienste (ICTS), insbesondere Executive Order 13873 und ihre Nachfolgeverordnungen, geben dem US-Handelsministerium weitreichende Befugnisse zur Überprüfung von Transaktionen mit ausländischen Gegnern.

    Keines der beiden Instrumente findet im Rahmen eines typischen EU-Beschaffungsverfahrens rechtlich Anwendung. Sie werden jedoch häufig als Vorlage für Vergabeformulierungen verwendet. Eine EU-Auftraggeberin, die eine Videoüberwachungs-Ausschreibung für 2026 erstellt, wird üblicherweise vom Anbieter eine Erklärung verlangen, dass seine Software, sein Hosting und sein Personal nicht unter die Bestimmungen des § 889 fallen, selbst wenn § 889 selbst für den Vertrag irrelevant ist. Anbieter, die diese Erklärung nicht abgeben können, sind unabhängig von der Rechtmäßigkeit ihres Angebots im Wettbewerb benachteiligt.

    Direkte Auswirkungen der Beschaffung auf die CCTV-Designsoftware

    Bei den folgenden vier Kategorien sehen wir am häufigsten Fragen zur Softwareherkunft in EU-Videoüberwachungsprojekten im Jahr 2026.

    Öffentliche Ausschreibungen

    Öffentliche Ausschreibungen im Verteidigungs-, Gesundheits- und Bildungssektor enthalten zunehmend explizite Offenlegungsklauseln zur Softwareherkunft. Auslöser ist in der Regel eine der oben genannten Beschaffungsfilterbestimmungen, die durch nationale Umsetzung Anwendung findet. Selbst wenn die rechtliche Schwelle umstritten ist, werden Angebote, die keine akzeptable Herkunft nachweisen können, in der Praxis bereits in der Qualifizierungsphase aussortiert. Entwickler, die sich 2026 an öffentlichen Ausschreibungen beteiligen, müssen daher damit rechnen, für jedes im Entwicklungsprozess verwendete Softwaretool – und nicht nur für die Überwachungshardware selbst – Herkunftsangaben machen zu müssen.

    Verträge für kritische Infrastrukturen

    Die Beschaffung in den Bereichen Energie, Transport, Bankwesen und Wasserversorgung unterliegt der NIS2-Richtlinie (EU) 2022/2555 und sich überschneidenden sektoralen Regelungen. Obwohl die NIS2 selbst risikobasiert und nicht herkunftsbasiert ist, wird die Herkunft der Lieferkette in den daraus resultierenden Risikobewertungen häufig als relevanter Faktor identifiziert, und Betreiber kritischer Infrastrukturen haben dies in ihre Beschaffungsrahmen integriert. Die Anforderungen an den Nachweis der Softwareherkunft sind bei Projekten kritischer Infrastrukturen deutlich höher als bei der allgemeinen kommerziellen Beschaffung.

    Compliance-Audits in Privatunternehmen

    Große Unternehmen mit eigenen ESG-, Lieferketten- oder Cyberrisiko-Rahmenwerken prüfen regelmäßig ihre Lieferanten und Unterlieferanten. Selbst ohne konkrete Ausschreibung kann ein Systemintegrator, der Software mit unbekannter Herkunft einsetzt, im Rahmen einer jährlichen Überprüfung von der Liste bevorzugter Lieferanten gestrichen werden. Diese Entwicklung hat sich 2024 und 2025 deutlich beschleunigt und setzt sich 2026 fort.

    Grenzüberschreitende Integrationsprojekte

    Systemintegratoren mit Niederlassungen sowohl in der EU als auch in Nicht-EU-Ländern stehen vor zusätzlichen Herausforderungen, da die Vergabestandards unterschiedlich sind. Ein Tool, das für ein privates Projekt in einem Land geeignet ist, kann bei einem öffentlichen Projekt in einem anderen Land durchfallen. Viele Systemintegratoren haben dies durch die Standardisierung auf Tools aus der EU für alle Projekte gelöst und vereinfachen so die Bearbeitung zukünftiger Ausschreibungen, unabhängig vom jeweiligen Land.

    Wie Käufer die Softwareherkunft überprüfen

    Ein Beschaffungsbeamter, der eine Herkunftsprüfung durchführt, verfügt über ein recht standardisiertes Instrumentarium. Keine dieser Prüfungen beweist die Herkunft allein – sie ergeben zusammen ein Gesamtbild aus öffentlich zugänglichen Informationen.

    • WHOIS-Registrierung der Anbieterdomain – Registrarland, Registrantenorganisation, Nameserver-ASN.
    • Offenlegung des Firmennamens, des Registrierungslandes und der Steueridentifikationsnummer durch den Anbieter – in der Regel Voraussetzung für die Qualifizierung.
    • Überprüfung des Hosting-Anbieters – die Cloud-Region, in der die SaaS-Infrastruktur physisch betrieben wird, nachgewiesen durch eine Bescheinigung oder einen Hosting-Vertrag mit einem Drittanbieter.
    • Öffentliche Unternehmensdokumente – Register der wirtschaftlich Berechtigten, Muttergesellschaftsstruktur und etwaige Querverweise zu Sanktionslisten.
    • Lieferkettenbestätigung – eine schriftliche Erklärung des Anbieters, in der beschrieben wird, wo die Software entwickelt, gehostet und unterstützt wird, und in der alle Unterprozessoren genannt werden.

    Bei risikoreicheren Beschaffungen (Verteidigung, kritische Infrastrukturen) kann die Bewertung die Herkunft des Quellcodes, Sicherheitstests durch Dritte und ein unabhängiges Rechtsgutachten umfassen. Die zusätzlichen Kosten dieser erweiterten Bewertung sind nicht unerheblich, und Auftraggeber beauftragen sie in der Regel nur dann, wenn der Wert oder die Sensibilität des Auftrags dies rechtfertigt.

    GDPR -Drittlandtransferaspekt

    Die Artikel 44 bis 49 GDPR regeln die Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums. Grundsätzlich ist eine solche Übermittlung verboten, es sei denn, eine der festgelegten Garantien greift: ein Angemessenheitsbeschluss der Europäischen Kommission, ein genehmigter Übermittlungsmechanismus wie Standardvertragsklauseln mit geeigneten ergänzenden Maßnahmen oder eine Ausnahmeregelung für bestimmte Situationen.

    Der Europäische Gerichtshof hat im Fall Schrems II (Rechtssache C-311/18, 2020) klargestellt, dass Standardvertragsklauseln durch eine Folgenabschätzung ergänzt werden müssen, die die Gesetze des Ziellandes und deren im Wesentlichen gleichwertigen Schutz berücksichtigt. Russland steht nicht auf der Angemessenheitsliste der Europäischen Kommission, und die vorherrschende Auffassung ist, dass ein „im Wesentlichen gleichwertiger“ Schutz für Datenübermittlungen nach Russland angesichts der dortigen Rechtslage schwer zu erreichen ist. Dies hat zur Folge, dass jedes Tool zur Entwicklung von Videoüberwachungssystemen, das personenbezogene Daten an Server in Russland oder an Unternehmen unter russischer Gerichtsbarkeit übermittelt, einer erheblichen Folgenabschätzung unterliegt, die für in der EU gehostete Tools nicht gilt.

    Bei Videoüberwachungsprojekten ist dies relevant, da Design-Tools häufiger auf personenbezogene Daten zugreifen, als man annimmt – Projektmetadaten, Informationen zu Kundenstandorten, E-Mail-Adressen von Kundenkonten, Inhalte von Support-Tickets. Ein Käufer, der GDPR ernst nimmt, möchte die Gewissheit haben, dass keine dieser Daten die EU/den EWR in einer Weise verlässt, die eine Prüfung nach Kapitel V auslöst.

    Warum CCTVplanner existiert – EU-gehostet, EU-entwickelt

    CCTVplanner wird von DEFENSAR betrieben, einem in Polen registrierten Unternehmen. Das Frontend wird in Polen gehostet, das Backend hingegen auf einer Cloud-Infrastruktur innerhalb der EU. Daher die Aussage „100 % entwickelt und gehostet in der EU“: Die Rechtsform, die Entwicklung und das Hosting befinden sich innerhalb der Europäischen Union, und die Standardarchitektur sieht keine Unterauftragnehmer in Drittländern vor.

    Für Einkaufsteams bedeutet dies eine kurze, eindeutige Antwort auf die oben beschriebenen Fragen zur Herkunftskennzeichnung. Es gibt keine Unterauftragnehmer mit Sitz in Russland, China oder den USA entlang des Datenpfads. Da die Daten die EU nicht verlassen, fällt keine Folgenabschätzung gemäß Kapitel V GDPR an. Es gibt keine Ausschlussklausel in der Lieferkette, die § 889 entspricht. Die EU-Standardarchitektur, der Integratoren weltweit vertrauen, ist das Merkmal, das 2026 am häufigsten in Einkaufsgesprächen zur Sprache kommt.

    EU-Position in einem Absatz

    • Die operative Gesellschaft DEFENSAR ist in Polen registriert und steuerlich ansässig.
    • Frontend wird in Polen gehostet; Backend in der EU-Region-Cloud (eu-west).
    • In der Standardarchitektur sind keine Daten-Subprozessoren in Drittländern vorgesehen.
    • Standardmäßig GDPR -konform – für Käufer aus der EU ist keine separate Folgenabschätzung erforderlich.

    Die Realität des "Wechsels von JVSG "

    Eine häufige Frage von Systemintegratoren im Jahr 2026 lautet: „Wir sind mit unserem aktuellen CCTV-Planungstool zufrieden, aber das Einkaufsteam hat die Offenlegung der Softwareherkunft als Risiko eingestuft. Wie sieht ein Übergang aus?“ Die Antwort ist im Wesentlichen technisch: Grundriss als DXF exportieren, in CCTVplanner importieren, Kameras aus einem Katalog mit über 65.000 Modellen neu platzieren, DORI Schwellenwerte anpassen, Kabel neu verlegen und die mehrseitige PDF Datei exportieren. Eine detaillierte Schritt-für-Schritt-Anleitung finden Sie im unten verlinkten Migrationsleitfaden. Keiner der Schritte ist besonders schwierig. Die größte Herausforderung ist in der Regel die Entscheidung zum Wechsel, nicht der Wechsel selbst.

    Insbesondere bei beschaffungsbedingten Systemwechseln empfehlen wir, den Übergang schriftlich zu dokumentieren – das auslösende Ereignis, die evaluierten Alternativen, das gewählte Ersatzprodukt und das Datum der Außerbetriebnahme des bisherigen Tools. Sowohl Beschaffungsberater als auch ESG-Prüfer schätzen dokumentierte Entscheidungen, und ein schriftliches Übergangsprotokoll ist ein üblicher Bestandteil von Due-Diligence-Unterlagen.

    Schlusshinweis

    Dieser Artikel stellt eine sachliche Übersicht auf Grundlage öffentlich zugänglicher Normen, Vorschriften und Rechtsprechung (Stand: Mai 2026) dar. Er ist keine Rechtsberatung und ersetzt nicht die Beratung durch einen qualifizierten Vergaberechtsexperten in Ihrem Zuständigkeitsbereich. Sanktionen, Exportkontrollen und Vergabevorschriften ändern sich häufig und werden in den EU-Mitgliedstaaten unterschiedlich ausgelegt. Jede konkrete Vergabeentscheidung sollte daher mit einem Rechtsberater abgestimmt werden, der mit dem jeweiligen Auftraggeber, dem Sektor und dem betreffenden Zuständigkeitsbereich vertraut ist.

    Keine Aussage in diesem Artikel ist als Herabsetzung eines Landes, Unternehmens oder einer Anbieterkategorie gedacht. Ziel ist es, den Beschaffungsrahmen so zu beschreiben, wie er von Käufern im Jahr 2026 erlebt wird, damit Systemintegratoren Angebote erstellen und Arbeitsabläufe entwickeln können, die die Qualifizierungsphase erfolgreich durchlaufen.

    Häufig gestellte Fragen

    Is software of Russian origin banned from EU public procurement in 2026?

    There is no single blanket EU rule that says "all software of Russian origin is banned". Instead, several layered EU instruments — sanctions regulations, public-procurement rules, sectoral export controls and member-state interpretations — combine to make Russian-origin software difficult or impossible to procure in many specific contexts (defence, public administration, critical infrastructure, financial services). Whether your specific procurement is permitted depends on the contracting authority, the sector and the country. Always consult your in-house counsel or external procurement advisor for a binding determination.

    Does the EU sanctions framework apply to design software, not just hardware?

    Sanctions instruments commonly cover "goods, services, technology and software" — software is treated as a category of its own, separate from physical hardware. Whether a particular CCTV design tool falls inside or outside a specific sanctions instrument is a fact-specific legal question. Public-sector tenders increasingly include explicit "software origin" disclosure requirements, and a vendor unable to evidence non-Russian origin is usually filtered out at the qualification stage regardless of the underlying sanctions analysis.

    How does GDPR interact with Russian-hosted software?

    GDPR Articles 44 to 49 govern personal-data transfers to third countries. Russia is not on the European Commission's list of countries with an adequacy decision, and standard contractual clauses to Russian processors face additional scrutiny under the Schrems II reasoning of the European Court of Justice. In practice this means that any CCTV design tool that transmits personal data — project metadata, account information, customer-site details — to servers in Russia or to entities under Russian jurisdiction faces a meaningful GDPR transfer-impact assessment burden that EU-hosted tools do not.

    What is NDAA §889 and does it apply outside the United States?

    NDAA §889 is a US federal procurement rule that prohibits federal agencies and federal contractors from buying or using telecommunications and video-surveillance equipment from certain named Chinese companies. It is a US instrument with US scope, but it is increasingly cited as a procurement template by EU and UK contracting authorities updating their own rules. Procurement officers in 2026 routinely ask vendors whether their products would qualify under §889 even when §889 itself does not legally apply to the contract.

    What practical due-diligence does a procurement team perform on software origin?

    Standard checks include WHOIS lookups on the vendor domain, verification of the legal entity name and registration country, review of hosting providers (where the SaaS infrastructure physically runs), inspection of public corporate filings, and a request for a written supply-chain attestation from the vendor. For higher-risk procurements (defence, critical infrastructure) the assessment can extend to source-code provenance, third-party penetration testing, and an independent legal opinion. None of this is a substitute for advice from procurement counsel, which is why the recurring recommendation in this article is to consult one.

    Verwandte Artikel

    CCTVplanner vs JVSG

    Direkter Vergleich einschließlich Datenresidenz.

    Umstellung von JVSG : Migrationsleitfaden 2026

    Schritt-für-Schritt-Anleitung für einen beschaffungsgesteuerten Wechsel.

    Beste kostenlose Software für die CCTV-Planung (2026)

    Kostenlose Angebote wurden auf EU-Herkunft und GDPR Konformität geprüft.

    EN 62676-4 :2025 OODPCVS -Update (2026)

    Aktualisierung der Normen im Hinblick auf die EU-Vergabesprache.

    DORI Rechner

    EU-gehosteter Browser-Rechner, keine Installation erforderlich.

    EN 62676-4 Taschenrechner

    Normenorientierte Objektivempfehlung, EU-gehostet.

    ← Zurück zum Blog

    © 2026 CCTVplanner. © 2026 CCTVplanner. Alle Rechte vorbehalten.