Beitrag von Joachim Dorschel (DPS Engineering GmbH)
Die Umsetzung der Meldepflichten nach CESOP und DAC7 haben vielen Marktteilnehmern im E-Commerce in den letzten Monaten Herausforderungen beschert. Nun, da die ersten Meldungen erfolgt sind, zeigt sich die wahre Dimension des mit den Meldepflichten verbundenen technischen und organisatorischen Aufwands. Der vorliegende Beitrag zeigt neben einem kurzen Überblick über die gesetzlichen Anforderungen praktische Lösungsansätze für einige zentrale Herausforderungen und stellt Ideen vor, wie sich der mit den Meldepflichten verbundene Aufwand für die Zukunft reduzieren lässt.
Die Bekämpfung von Steuerbetrug im E-Commerce steht bereits seit einigen Jahren auf der Agenda der deutschen und europäischen Gesetzgeber. Nach FATCA und dem Common Reporting Standard[1] kennt die Finanzwirtschaft bereits Verpflichtungen zur Offenlegung von bestimmten Konto-Informationen gegenüber Steuerbehörden. Die Richtlinien DAC7[2] und CESOP[3], in Deutschland umgesetzt im Plattformsteuertransparenzgesetz (PStTG)[4] beziehungsweise § 22g Umsatzsteuergesetz[5], verfolgen erstmals das Konzept durch Zugriff auf die einzelnen Transaktionsdaten die Steuerehrlichkeit der Marktteilnehmer zu überprüfen. CESOP und DAC7 adressieren beide den E-Commerce, unterscheiden sich aber im Anwendungsbereich und der Ausgestaltung der Meldepflicht.
Die gesetzlichen Bestimmungen im Überblick
CESOP
Ziel von CESOP ist es, den Steuerbehörden umsatzsteuerpflichtige, grenzüberschreitende Leistungen zur Kenntnis zu bringen. Online-Händler und Anbieter digitaler Dienste, die ihre Leistungen auch im europäischen Ausland anbieten, sind den Steuerbehörden außerhalb ihres Herkunftslandes häufig nur dann bekannt, wenn die Unternehmen die steuerbaren Umsätze aktiv erklären.
Um nicht erklärten steuerpflichtigen Umsätzen auf die Spur zu kommen, nimmt CESOP die Zahlung seitens der Kunden entrichteten Vergütung in den Blick. CESOP richtet sich an Zahlungsdienstleister, die an einer Transaktion beteiligt sind. Zahlungsdienstleister sind dabei alle Institute und Unternehmen, die nach den Regeln der PSD2[6] Zahlungsdienste in der EU erbringen. Hierzu zählen auch Marktplätze, wenn sie die Zahlungen von den Anbietern an die Endkunden für diese abwickeln. Anders als die PSD2 sieht CESOP keine Erleichterungen für kleine Zahlungsdienste vor, somit gilt es auch für kleine, regionale Marktplätze und ähnliche Angebote.
Die Grundregel ist: Alle europäischen Zahlungsdienstleister müssen in Fällen, in denen sie in einem Kalenderquartal mehr als 25 grenzüberschreitende Zahlungen an ein und denselben Zahlungsempfänger ausführen, eine Meldung vornehmen. Die Meldung über diese Transaktion sowie weitere Informationen über die Beteiligten erfolgt an die jeweilige nationale Steuerbehörde, in Deutschland also an das Bundeszentralamt für Steuern (BZSt). Die Meldung muss quartalsweise in einem regulatorisch vorgegebenen XML-Format erfolgen.
DAC7
Bei DAC7 geht es um steuerpflichtige Einkünfte, die Anbieter über elektronische Marktplätze, im PStTG als „Plattform“ bezeichnet, erzielen. Definiert werden Plattformen als „jedes auf digitalen Technologien beruhende System, das es Nutzern ermöglicht, über das Internet mittels einer Software miteinander in Kontakt zu treten und Rechtsgeschäfte abzuschließen“, das heißt also alle E-Commerce-Angebote, bei denen der eigentliche Vertrag über den Leistungsaustausch zwischen einem Anbieter und einem Kunden zu Stande kommt, die beide Nutzer der Plattform sind.
Plattformen sind grundsätzlich verpflichtet, die über ihr System abgewickelten Transaktionen kalenderjährlich an die nationale Steuerbehörde zu melden. Das Gesetz sieht – vereinfachend zusammengefasst – in folgenden Fällen Ausnahmen vor:
Wie bei CESOP erfolgt die Meldung in einem vorgegebenen XML-Format, wobei das Gesetz eine Meldung je Kalenderquartal vorschreibt.
Die langfristigen Herausforderungen
Die meisten betroffenen Unternehmen und Institute haben ihre ersten Meldungen abgegeben. Bereits in den Umsetzungsprojekten haben sich die wesentlichen Herausforderungen gezeigt, mit denen dauerhaft umzugehen sein wird.
Rechtliche Zwickmühlen
Die Frage, wann eine Transaktion meldepflichtig ist, ist sowohl bei CESOP als auch bei DAC7 nicht frei von Interpretationsspielräumen. Hinzu kommen Herausforderungen bei der technischen Abbildung der Regeln, die insbesondere daraus resultieren, dass sehr große Datenmengen aus unterschiedlichsten Liefersystemen analysiert werden müssen. Nichtsdestotrotz muss der Anspruch sein, alle meldepflichtigen Transaktionen, aber auch nur diese, zu melden. Unterlassene Meldungen stellen einen bußgeldbewehrten Verstoß gegen die Meldepflicht dar.
Im Zweifel eher zu viel zu melden, ist gleichermaßen keine Lösung. Jede Meldung ist im Sinne des Art. 6 der Datenschutz-Grundverordnung (DSGVO)[7] eine Datenübermittlung, die einer gesetzlichen Legitimation bedarf. Bei meldepflichtigen Transaktionen liegt diese Legitimation in der gesetzlichen Meldepflicht selbst. Bei Transaktionen, die ohne entsprechende Verpflichtung gemeldet werden, fehlt eine entsprechende legitimierende Grundlage, sodass die Meldung zu einem ebenso bußgeldbewehrten DSGVO-Verstoß wird.
Änderungen an Schnittstellen
Insbesondere im Fall von CESOP stammen die für die Meldung relevanten Daten typischerweise aus unterschiedlichen Transaktions-, Kunden- sowie Kernbanksystemen und liegen dort in verschiedenen fachlichen und technischen Formaten vor. Dies liegt daran, dass bei der Berechnung des Schwellenwerts für eine Meldepflicht alle durch das Institut abgewickelten Transaktionen zusammengezählt werden müssen, also SEPA-, Instant- und RTGS-Transaktionen ebenso wie Kartenzahlungen und E-Money-Transaktionen. Die Anbindung der relevanten Liefersysteme und die Umwandlung der Daten in ein Format, welches eine Aggregation über verschiedene Zahlungsverkehrsprodukte hinweg erlaubt, war gerade für größere Institute eine wesentliche Herausforderung bei der Umsetzung. Dies gilt umso mehr, wenn bestimmte Daten von Dritten, etwa Kreditkarten-Prozessoren, angeliefert werden.
Die für die Datenüberleitung mit viel Aufwand entwickelten Schnittstellen müssen dauerhaft aktuell bleiben. Jedes Liefersystem unterliegt dabei einem eigenen Release-Zyklus, wobei Änderungen potenzielle Auswirkungen auf die übergeleiteten Daten haben. Solche Auswirkungen müssen erkannt und gegebenenfalls durch Anpassung der Schnittstellen berücksichtigt werden. Aufgrund der bei größeren Instituten anfallenden Datenmengen sind Fehler bei der Datenüberleitung nur mit erheblichem Aufwand zu korrigieren.
Änderungen der regulatorischen Anforderungen
Eine Herausforderung bei jeder Umsetzung regulatorischer Bestimmungen ist die Tatsache, dass die rechtlichen Anforderungen sich über die Zeit ändern. Hinzu kommen Änderungen in den technischen Spezifikationen. Für CESOP wurde gerade erst ein aktualisierter User Guide angekündigt, der ab dem vierten Quartal 2024 zu verwenden ist. Lösungen, die Regulatorik umsetzen, müssen daher stets die einfache Möglichkeit der Anpassung abdecken.
Bei den hier besprochenen Meldepflichten kommt hinzu, dass neben die europarechtlichen Normen technische Regeln der Portale zur Abgabe der Meldungen treten, die in jedem Mitgliedstaat durch die nationale Steuerbehörde individuell aufgestellt werden. International tätige Institute, die in mehreren Mitgliedstaaten Meldepflicht sind, müssen entsprechend viele Regelwerke im Auge behalten.
Insbesondere CESOP birgt zusätzlich ein Auslegungsrisiko. Wesentliche rechtliche Fragen, etwa wie eine Cross-Border-Transaktion eigentlich erkannt wird – anhand der IBAN oder der Adresse der Beteiligten – waren bis zuletzt umstritten. Es ist gut möglich, dass die Auslegung, auf welche sich die Branche letztlich verständigt hat, durch neue Auslegungsregeln der Steuerbehörden gekippt werden.
Unterschätzter manueller Aufwand
Der Happy Flow der Meldung ist denkbar einfach: Daten aggregieren und analysieren, Meldung erstellen, abgeben und archivieren. Aufwand entsteht, wenn die Dinge nicht so funktionieren, wie sie sollen. Störungen entstehen durch (berechtigte oder unberechtigte) negative Rückmeldungen der Steuerbehörden oder durch Fehler in Liefersystemen. CESOP umfasst eine große Bandbreite fachlicher Rückmeldungen zu einzelnen Transaktionen. Enthalten Transaktionen nicht existente Kontoverbindungen, stellt sich die Frage, wie viel Aufwand mit der Fehleranalyse und der Erstellung der Korrekturmeldung verbunden ist. Gleiches gilt, wenn Liefersysteme Daten falsch, unvollständig oder doppelt anliefern. Im schlimmsten Fall muss ein Sachbearbeiter auf Einzeltransaktionsebene Datentabellen bereinigen. Bei CESOP, bei dem die Meldung quartalsweise erfolgen muss, kumulieren sich solche Aufwände schnell zu veritablen Kosten.
Auskünfte und Nachweise
Finanzwirtschaftliche Institute müssen im Falle von aufsichtsrechtlichen Prüfungen den Nachweis führen können, den Meldepflichten ordnungsgemäß nachgekommen zu sein. Hierfür müssen die aufzeichnungspflichtigen Daten ebenso vorliegen wie die Kommunikationsprotokolle mit den Steuerbehörden.
Auskunftspflichten können aber auch aus datenschutzrechtlicher Sicht bestehen. Gemäß Art. 15 Abs. 1 DSGVO hat jeder Betroffene das Recht auf Auskunft darüber, welche personenbezogenen Daten über ihn in welcher Weise und zu welchen Zwecken verarbeitet wurden. Dies schließt insbesondere das Recht ein, zu erfahren, ob und welche Kunden- und Transaktionsdaten an Steuerbehörden übermittelt wurden. Art. 15 Abs. 3 DSGVO gibt dem Betroffenen das Recht, eine Kopie der entsprechenden Daten zu verlangen.
Diese Anforderungen könnten sich langfristig als Aufwandstreiber erweisen, wenn Steuerbehörden aufgrund der in den zentralen Datenbanken gewonnenen Erkenntnisse tatsächlich gegen Betroffene ermitteln. Ein Bankkunde, der von seiner Steuerbehörde mit dem Vorwurf konfrontiert wird, Umsätze in einem Mitgliedstaat nicht korrekt versteuert zu haben, dürfte sich künftig an seine Bank wenden, um zu erfahren, welche Daten wem gegenüber offengelegt wurden.
Künftige Erweiterungen
CESOP und DAC7 reihen sich in eine Serie regulatorischer Bestimmungen ein, deren Ziel es ist, Steuerbetrug dadurch zu verhindern, dass Finanzinstitute und Plattformen Daten ihrer Kunden proaktiv an die Behörden übermitteln.[8] Es bedarf keiner Verschwörungstheorie, wenn man davon ausgeht, dass der Datenhunger der Steuerbehörden eher zu- als abnimmt und dass Rücksichtnahme in Bezug auf die mit neuen Meldepflichten verbundenen Aufwände keine zentrale Leitlinie des Steuergesetzgebers ist. Die Stakeholder des E-Commerce müssen sich vermutlich darauf einstellen, die zur Erfüllung der heutigen Meldepflichten eingerichteten Tools und Verfahren künftig weiter auszubauen.
Möglichkeiten der Reduktion von Aufwänden
Aus den Projekten zur Umsetzung von CESOP und DAC7 kann abgeleitet werden, wie sich die langfristigen, mit den Meldepflichten verbundenen Aufwände reduzieren lassen.
Automatisierung
CESOP und DAC7 verursachen Aufwände in Instituten und Unternehmen, ohne in irgendeiner Weise zur Weiterentwicklung des Geschäfts beizutragen. Es ist daher mehr als nachvollziehbar, dass die verpflichteten Wirtschaftsteilnehmer versuchen, die entsprechenden Umsetzungsprojekte so schlank und kostengünstig wie möglich zu halten. Daraus resultiert die Neigung, bei der Umsetzungsstrategie nur den Happy Flow zu betrachten und auf manuelle Lösungen zu setzen.
Betrachtet man die mit den Meldepflichten verbundenen Gesamtkosten, dürfte unter Berücksichtigung der obigen Aspekte diese Strategie in den wenigsten Fällen die günstigste sein.
Die meisten Steuerbehörden bieten Schnittstellen für eine maschinelle Einreichung der Meldungen. Verbunden mit einer klugen Integration der Liefersysteme sowie einem softwaregestützten Management der Meldedaten und Nachrichten, lässt sich so eine weitgehende Automatisierung der Meldepflichten erreichen, welche im Fall des Happy Flow die manuellen Aufwände auf nahezu Null reduziert.
In Fehlerfällen erlauben saubere Schnittstellen-Architekturen und geeignete Tools zumindest eine Teilautomatisierung der notwendigen Korrekturen.
Daten-Management
Bei großen Datenmengen lassen sich Fehler in der Verarbeitung nicht immer leicht korrigieren. Um aufwändige Recherchen und Korrekturen auf Einzeltransaktionsebene zu vermeiden, sollte eine Lösung die Möglichkeit vorsehen, einen Datenimport ganz oder teilweise rückgängig zu machen und Fehlermeldungen der Steuerbehörden direkt den betroffenen Transaktionen zuzuordnen. Dabei sollte die verwendete Technologie eine ausreichende Skalierung zulassen, um im Bedarfsfall auch große Transaktionszahlen neu importieren zu können, ohne die tägliche Verarbeitung zu stören. Hier zeigen Cloud-Technologien mit ihren Skalierungsmöglichkeiten klare Vorteile.
Schnittstellen
Ein wesentlicher Aufwandstreiber bei der Umsetzung der Meldepflichten sind die Anbindung der Liefersysteme und die Überleitung der Daten auf ein einheitliches Format. Technische Schnittstellen, die sich durch Customizing leicht anpassen und erweitern lassen, geben die notwendige Flexibilität, auf Änderungen in den Liefersystemen und bei den regulatorischen Anforderungen an die Daten schnell und ohne allzu hohe Projektaufwände zu reagieren.
User Interface für Error Handling und Auskunftserteilung
Im Happy Flow sollte die Abgabe der Meldungen ohne signifikanten manuellen Aufwand möglich sein. Wie dargestellt ist es aber mehr als wahrscheinlich, dass regelmäßig Korrekturen erforderlich sind – sei es aufgrund von Fehlern in den Liefersystemen oder Korrekturanforderungen der Steuerbehörden. Wie viel oder wenig Aufwand solche Korrekturen erfordern, hängt auch davon ab, ob den zuständigen Sachbearbeitern Tools für ein effizientes Arbeiten an die Hand gegeben werden. Im schlimmsten Fall müssen solche Korrekturen mit Skripten direkt in der Datenbank durchgeführt werden, was Fach- und IT-Ressourcen bindet.
Gleiches gilt bei der Erfüllung von Auskunftsverlangen, etwa auf Grundlage der Datenschutzgesetze. Es ist möglich und im Einzelfall auch ausreichend, bei einem Auskunftsverlangen eines Kunden eine manuelle Datenbankabfrage zu veranlassen. Häufen sich solche Anfragen, sind Tool-gestützte Lösungen effizienter.
Ein intuitives Userinterface kostet zwar initial Entwicklungsaufwand, reduziert den Aufwand für manuelles Nacharbeiten mittelfristig aber erheblich.
Mögliche Synergien
Die Anforderungen Daten aus unterschiedlichen Liefersystemen zu aggregieren, zu analysieren und daraus Meldungen zu erzeugen, ist nicht nur aus dem Steuerrecht bekannt. In der Finanzwirtschaft gibt es bereits seit 2022 eine erweiterte statistische Meldepflicht in Bezug auf Zahlungsverkehrsdaten,[9] die nur durch eine Zusammenführung von Daten aus unterschiedlichen Transaktions- und Kundensystemen erfüllt werden kann. Ähnlich verhält es sich mit den aktuellen Russland-Sanktionen, die Meldepflichten in Bezug auf Zahlungen mit Russland-Bezug ab Erreichen eines bestimmten Schwellenwerts vorsehen.[10]
Es liegt nahe, solche strukturell ähnlichen regulatorischen Anforderungen über eine einheitliche Architektur, gegebenenfalls auch unter Nutzung derselben Tools, umzusetzen, um die sich beim Design der Datenflüsse ergebenden Synergien optimal zu nutzen.
Synergie-Potenzial besteht auch beim Aufbau des Daten-Haushalts. Viele Institute und Unternehmen nutzen Kunden- und Transaktionsdaten für die Analyse des Kundenverhaltens, als Erkenntnisquelle für Cross-Selling-Potenziale sowie für andere vertrieblich relevante Einblicke. In vielen Fällen kann es Sinn machen, einen gemeinsamen Datenbestand sowohl zur Erfüllung der Meldepflichten als auch für die Durchführung vertrieblich orientierter Datenanalysen durchzuführen. Hierbei lassen sich auch die Skalierungsmöglichkeiten von Cloud-Technologien optimal zum Einsatz bringen.
Fazit
Die steuerlichen Meldepflichten im E-Commerce vereinen hohen Lästigkeitswert mit fehlendem betriebswirtschaftlichem Mehrwert. Letztlich werden Institute und Plattformen verpflichtet, die Arbeit der Steuerbehörden auf eigene Kosten zu unterstützen. Die Strategie, die bei der Erfüllung der Verpflichtungen entstehenden Aufwände so gering wie möglich zu halten, ist daher mehr als nachvollziehbar.
Die Verfasser empfehlen dennoch, bei der Bestimmung der Aufwände nicht nur die Kosten der initialen Umsetzung, etwa durch Implementierung oder Anschaffung von Software und Schnittstellen, sondern auch die wiederkehrenden Kosten in den Blick zu nehmen, welche sich insbesondere aus manuellen Tätigkeiten und zu erwartenden Änderungen bei den regulatorischen Grundlagen und in den Liefersystemen ergeben.
Entscheidend ist eine vorausschauende Architektur, die ein hohes Maß an Flexibilität der Schnittstellen, die einfache Bearbeitung von Fehlersituationen und die Ausschöpfung von Synergien erlaubt.
Beitrag von Joachim Dorschel (DPS Engineering GmbH)
[1] Auf EU-Ebene umgesetzt durch die Richtlinie 2014/107/EU vom 9. Dezember 2014 (Verpflichtung zum automatischen Austausch von Informationen im Bereich der Besteuerung), in Deutschland durch das Finanzkonten-Informationsaustauschgesetz (FKAustG).
[2] Richtlinie (EU) 2021/514 vom 22. März 2021 (DAC7-Richtlinie).
[3] Richtlinie (EU) 2020/284 vom 18. Februar 2020 (CESOP-Richtlinie).
[4] Gesetz über die Meldepflicht und den automatischen Austausch von Informationen meldender Plattformbetreiber in Steuersachen (Plattformen-Steuertransparenzgesetz - PStTG).
[5] Jahressteuergesetz 2022.
[6] Richtlinie (EU) 2015/2366 vom 25. November 2015 (PSD2).
[7] Verordnung (EU) 2016/679 vom 04.05.2016 (DSGVO).
[8] Zum FKAustG vgl. o. Fn. 1, ein weiteres Beispiel ist die Meldepflicht nach dem Abzugsteuer-Entlastungs-Modernisierungs-Gesetz.
[9] Vgl. die Verordnung (EU) 2020/2011 der Europäischen Zentralbank vom 1. Dezember 2020 zur Änderung der Verordnung (EU) Nr. 1409/2013 zur Zahlungsverkehrsstatistik (EZB/2013/43) (EZB/2020/59).
[10] Vgl. Art. 5r der VERORDNUNG (EU) 2023/2878 DES RATES vom 18. Dezember 2023 zur Änderung der Verordnung (EU) Nr. 833/2014 über restriktive Maßnahmen angesichts der Handlungen Russlands, die die Lage in der Ukraine destabilisieren.