Der grenzüberschreitende E-Commerce steigt und damit auch das Potenzial des Mehrwertsteuerbetruges durch Anbieter, insbesondere durch Importe von außerhalb der EU. Auf Basis einer Studie von Deloitte1) schätzt die EU-Kommission den Umfang des Cross-Border (XB2) ) E-Commerce im C2B-Segment auf etwa 100 Milliarden Euro (2014; EU-28), Tendenz steigend. Damit steigt auch das Betrugspotenzial, das auf jährliche fünf Milliarden Euro (ohne Dienstleistungen) geschätzt wird. Derzeit gibt es dokumentierte Mehrwertsteuerbetrugsfälle in den Bereichen Online-Fernsehen und digitale Spiele.
Europäische Superdatenbank
Die nationalen Steuerbehörden tun sich schwer bei der Aufdeckung dieses Betrugs, weil es eine - in der Regel mühsame - grenzüberschreitende Zusammenarbeit der nationalen Instanzen im Verdachtsfall voraussetzt. Außerdem fehlen dazu oft finanzielle und personelle Ressourcen. Der einfachere und effizientere Weg wäre die Erfassung sämtlicher Cross-Border-Zahlungsverkehrsdaten in einer Superdatenbank der EU-Kommission, gespeist durch die Daten sämtlicher in der EU registrierten Zahlungsdienstleister (Payment Service Provider oder PSP). Diesen Vorschlag hat die Kommission am 12. Dezember 2018 in zwei Dokumenten eingebracht:
1. Vorschlag für eine Richtlinie des Rates zur Änderung der Richtlinie 2006/112/EG im Hinblick auf die Einführung bestimmter Anforderungen der Zahlungsdienstleister,
2. Vorschlag für eine Verordnung des Rates zur Änderung der Verordnung (EU) Nr. 904/2010 des Rates über die Zusammenarbeit der Verwaltungsbehörden und die Betrugsbekämpfung auf dem Gebiet der Mehrwertsteuer.
Das erste Dokument beinhaltet den neuen Artikel 243 mit Anforderungen an die PSP (Kreditinstitute, Zahlungs- und E-Geldinstitute) hinsichtlich der Datenspeicherung und -weitergabe. Im zweiten Dokument wird der Aufbau der supranationalen Datenbank "CESOP" (Central Electronic System of Payment Information) geregelt, und es enthält Verfahrensregeln für Datenweitergabe, -erfassung und -zugang (Art. 24). Die Umsetzung soll zum 1. Januar 2022 erfolgen. Der Vorschlag wird allerdings von einer umfangreichen Folgenabschätzung begleitet. Die Umsetzung soll zum 1. Januar 2022 erfolgen.
Standardmodell aus Ausganglage
Als Grundlage geht die Kommission von einem einfachen Standardmodell einer Überweisung oder Lastschrift im kontobasierten Zahlungsverkehr aus: Zahler (Annahme Konsument) und Zahlungsempfänger (Annahme E-Commerce-Händler) haben ihren mehrwertsteuerrelevanten Sitz in unterschiedlichen (EU)-Staaten (wobei der Empfänger sich zudem außerhalb der EU befinden kann). Der Transfer erfolgt über Zahlungskonten, die bei den jeweiligen PSP für die Akteure geführt werden. Sowohl über das Konto als auch über den ausführenden PSP ist eine Identifizierung nach den jeweiligen Staaten möglich (IBAN beziehungsweise BIC).
Da in diesem Modell eine Länderidentifizierung der jeweils involvierten Konten beziehungsweise PSPs aufgrund der übermittelten Transaktionsdaten für beide Seiten möglich ist, begnügt sich die Kommission mit dieser höhergelagerten Datenebene, da im Zahlungsverkehr keine Daten zum mehrwertsteuerrelevanten Sitz des Kontoinhabers transferiert werden.
Die Behelfsannahme der Kommission, dass der Ländersitz des Kontoinhabers mit dem seines Zahlungsdienstleisters übereinstimmt, mag im Hinblick auf den gleichzeitig von der EU geförderten einheitlichen Zahlungsverkehrsraum und die innerhalb der EU ungehinderte Nutzung ausländischer Zahlungsdienstleister einen Anachronismus darstellen. Zumindest auf der Konsumentenseite wird aber die überwiegende Mehrheit noch nicht über ein herkömmliches Bankkonto in einem anderen Mitgliedsstaat verfügen. Auf der Seite des Zahlers sind die Mehrwertsteuerfahnder auch nur an der Länderherkunft interessiert, nicht an den personenbezogenen Daten des jeweiligen Zahlers, die ausdrücklich nicht erfasst werden sollen.
Zahlungsempfänger im Fokus
IBAN und BIC (oder ein anderer Business Identifier Code des PSP) dienen für die Steuerbehörden nur als Kriterium für die Datenerfassung. Im Fokus der zusätzlichen Aufzeichnungspflichten für die PSPs steht dagegen der Zahlungsempfänger als potenzieller Mehrwertsteuerbetrüger. Neben der IBAN oder einem anderen Kontoidentifikator sollen Name oder Firmenbezeichnung, Adresse und Mehrwertsteuer Identifikationsnummer erfasst werden. Die Datenanforderungen (gemäß Art. 243d) für ein- und ausgehende Zahlungen sind für die PSPs des Zahlers und des Zahlungsempfängers identisch. Beim PSP des Zahlers werden aber viele Daten des Zahlungsempfängers nicht vorhanden sein. Im Überweisungsverkehr kann zum Beispiel die Erfassung der einzelnen Transaktionen des Zahlungsempfängers in der Regel nur nach IBAN und BIC erfolgen, da der richtige Name für die Durchführung einer Überweisung keine Rolle spielt.
Die PSPs sollen also auf Basis der oben genannten Kriterien die ein- und ausgehenden XB-Transaktionen an die jeweiligen nationalen Finanzbehörden quartalsweise melden und diese Daten zusätzlich mit einer Frist von zwei Jahren ebenfalls speichern.
Die auf nationaler Ebene von den Finanzbehörden gespeicherten Daten werden an die unter Aufsicht der Kommission stehende supranationale Datenbank CESOP geleitet. Da die intraeuropäischen XB-Transaktionen (Zahler in EU-Land A, Zahlungsempfänger in EU-Land B) doppelt gemeldet werden, müssen die Daten hier zusammengeführt und sortiert werden ("matching"). Zusätzlich enthält diese Datenbank die ausgehenden XB-Transaktionen in Drittländer. Auswertungen dieses Datenbestandes sollen Steuersünder auf der Empfängerseite aufspüren. Außerdem haben Steuerfahnder bei Steuerprüfungen Zugang zu dieser Datenbank. Der jeweilige Zahler soll anonym bleiben, da - im Gegensatz zum Zahlungsempfänger - für jede Transaktion anscheinend nur der BIC seines PSP (oder zusätzlich die IBAN seines Kontos?3) ) gespeichert wird. Neben Zahlungen sollen auch Rückzahlungen erfasst werden.
Die Kommission geht davon aus, dass aufgrund der existierenden Kontokennung (IBAN) die Datenerfassung bereits auf Basis der heute bei den PSPs vorliegenden Informationen durchgeführt werden kann (also keine Erfassung neuer Daten). Für den herkömmlichen Überweisungs- und Lastschriftverkehr ist diese Annahme plausibel. Von der Verpflichtung ausgenommen sind diejenigen PSP, die das Bargeldein- und -auszahlungsgeschäft (Nr. 1 und 2 des Anhangs 1 der PSD2) betreiben, sowie die gemäß der PSD2 neu unter Aufsicht stehenden Dienstleister (Zahlungsauslöse- und Kontoinformationsdienste).
Der Schwellenwert ist inkonsistent
Gemäß dem Kommissionsvorschlag müssen nicht sämtliche grenzüberschreitenden Transaktionen gespeichert und weitergegeben werden. Für beide PSPs (Zahler und Zahlungsempfänger) gilt ein Schwellenwert von 25 XB-Zahlungen pro Quartal, die an den gleichen Zahlungsempfänger ausgeführt werden.
Die Kommission geht von einem durchschnittlichen Zahlungsbetrag in Höhe von 95 Euro im E-Commerce aus, wonach sich auf Empfängerseite eine steuerrelevante Grenze von etwa 10 000 Euro pro Jahr ergibt. Ein derartiger Schwellenwert seitens des PSP des Zahlungsempfängers wäre - trotz leichter Umgehungsmöglichkeit durch die Einrichtung von mehreren Zahlungskonten bei unterschiedlichen PSPs - im Prinzip praktikabel.
Die Handhabung der gleichen Untergrenze beim PSP des Zahlers führt allerdings zu einem Datendefizit in der CESOP-Datenbank, da die Datenweitergabe durch kleinere PSP nicht erfolgt. In einer kleineren Sparkasse wird der Schwellenwert gegebenenfalls nicht erreicht, damit entfällt die Verpflichtung zur Datenweitergabe.
Bedingt durch den Schwellenwert richtet sich die Verpflichtung zur Datenweitergabe aufseiten des Zahlers nach dem XB-Zahlungsverkehrsvolumen des jeweiligen PSP beziehungsweise nach Konzentrationsgrad des PSP-Marktes in dem jeweiligen Land. Die Festlegung des gleichen Schwellenwertes für ein- und ausgehende Zahlungen ist inkonsistent. Darüber hinaus ist die grundsätzliche Frage berechtigt, warum - im Hinblick auf die Zielsetzung (Bekämpfung des Mehrwertsteuerbetruges im E-Commerce) - der Payment Service Provider auf Seite des Zahlers ebenfalls einbezogen werden soll.
Geringer Respons der PSP im Konsultationsprozess
Im Vorfeld des Kommissionsvorschlags wurde 2017 eine öffentliche und zielgruppengerichtete Konsultation durchgeführt. Der Respons war gering. In der zielgruppengerichteten Konsultation meldeten sich europaweit nur ein PSP-Verband und zwei Payment Service Provider. Einer dieser PSPs schätzte die zusätzlichen Kosten für Datenerfassung, Speicherung und Weitergabe für das Unternehmen auf etwa 100 000 Euro pro Jahr.4) In der zweiten Konsultationsphase im 1. Quartal 2019 auf Basis der konkreten Vorschläge zur Änderung der Richtlinie beziehungsweise der Verordnung vom 12. Dezember 2018, meldeten sich zwar wieder nur wenige betroffenen PSP beziehungsweise deren Verbände, aber dafür wesentlich kritischer.5)
Nicht zuletzt wegen der zusätzlichen IT-Anforderungen lehnt die Deutsche Kreditwirtschaft (DK) den Vorschlag rundweg ab. Außerhalb des Konsultationsprozesses hat sich außerdem der Bundesrat diesem Thema gewidmet. In einem Beschluss werden die Verhältnismäßigkeit und die Zweckmäßigkeit, aber auch die Rechtmäßigkeit im Hinblick auf die DSGVO bezweifelt.6) Zu Recht befürchtet der Bundesrat, dass die zusammengeführten Daten beider Marktseiten auf zentraler Ebene nicht mehr übereinstimmen.
Zahlungsgewohnheiten falsch eingeschätzt
Die vorgeschlagene Methodik (IBAN/ BIC) basiert auf einer direkten Zahlung zwischen zwei Zahlungskonten, wie üblich im traditionellen Überweisungs- und Lastschriftverfahren (Sepa). Die Kommission geht davon aus, dass im grenzüberschreitenden E-Commerce "mehr als 90 Prozent der von europäischen Verbrauchern getätigten Online-Käufe mittels Überweisungen, Lastschriften und Kartenzahlungen getätigt"7) werden. Auf Basis der gleichen Quelle wird in der Analyse der Folgenabschätzung die Aussage präzisiert: "94 percent of payments for cross-border online purchases use electronic payments, credit or debit cards, or prepaid cards"8) .
Die Kommission nimmt also stillschweigend an, dass mit "electronic payments" wohl Überweisungen und Lastschriften gemeint sind. Ein verhängnisvoller Irrtum, da die Quelle, auf die die Kommission sich bezieht (eine Analyse der International Post Corporation), genau das Gegenteil besagt. Im grenzüberschreitenden E-Commerce präferieren Konsumenten aus 31 untersuchten Ländern (auch außerhalb der EU) in erster Instanz sogenannte "alternative" Zahlungsmethoden, die nicht über Bankkonten ausgeführt werden, wie Paypal und Alipay (39 Prozent), gefolgt von Kartenzahlungen (37 Prozent). Überweisungen erzielen nur 5 Prozent, Lastschriften laufen unter "sonstiges".
Die zweite im Richtlinienentwurf zitierte Quelle (E-Shopper-Barometer 2017 der DPD-Gruppe) kommt zu vergleichbaren Ergebnissen für die EU: Eine eindeutige Präferenz für "digital wallets" und Kartenzahlungen. Die dritte zitierte Quelle (European Payment Strategy Report 2013 von A.T. Kearny) besagt, dass gerade die traditionellen Überweisungen und Lastschriften zukünftig eine noch geringere Rolle spielen werden.
Die vorhandenen (leider noch spärlichen) Daten zur tatsächlichen Nutzung von Zahlungsinstrumenten im europäischen XB-E-Commerce zeigen, dass die genannten Präferenzen der Zahler auch zu entsprechenden Marktanteilen führen. Die Methodik der Datenerfassung sollte sich also primär nach der Systematik von Kartenzahlungen und "alternativen" Zahlungsmethoden richten - und nicht nach herkömmlichen Überweisungen und Lastschriften wie im derzeitigen Entwurf.
Für das Kartengeschäft ist die Methodik ungeeignet
Im Kartengeschäft kann der involvierte Payment Service Provider des Zahlers (Issuer) auf Basis der Transaktionsdaten nicht den jeweiligen BIC oder sonstige Identifikatoren des PSP des Zahlungsempfängers (Acquirer) erkennen. Auf der Acquirer-Seite könnte man allerdings das Problem der Identifizierung der Länderherkunft des Karteninhabers dadurch lösen, dass man die IBAN durch die Länderkennung der BIN ersetzt. Dies setzt allerdings eine Änderung des Art. 243c voraus.
Ein größeres Problem ist indessen die mittlerweile weite Verbreitung des grenzüberschreitenden Acquiring-Geschäfts. Wenn zum Beispiel ein Händler mit Sitz in Deutschland das Kartengeschäft mit einem ausländischen Acquirer abwickelt, sind sämtliche Transaktionen seiner deutschen Karteninhaber definitorisch als grenzüberschreitende Transaktionen zu betrachten und damit meldepflichtig. Für ein Drei Parteiensystem (Issuer = Acquirer) wären - je nach systeminterner Länderkennung - gegebenenfalls alle de facto grenzüberschreitenden Transaktionen de jure wieder "domestic" und damit nicht meldepflichtig. Fazit: Die vorgeschlagene IBAN- und BIC-Methodik ist für das im E-Commerce dominierende Kartengeschäft nicht geeignet, die realen, mehrwertsteuerrelevanten grenzüberschreitenden-Transaktionen aufzuspüren.
Alternative Zahlungsmethoden "domestizieren" Transaktionen
Auch bei "alternativen" Zahlungsmethoden hakt es. Bei den ebenfalls dominierenden "alternativen" Zahlungsmethoden werden die Konten des Zahlers und des Zahlungsempfängers in der Regel bei dem gleichen PSP geführt. Auf Basis der vorgeschlagenen Methodik wäre demnach zum Beispiel die Lastschrift, mit der ein Zahler in Deutschland sein Paypal Konto in Luxemburg auflädt, eine zu erfassende XB-Transaktion. Die anschließende eigentliche grenzüberschreitende E-Commerce-Zahlung mittels dieses Paypal-Kontos an einen Händler in Polen wäre eine inländische Zahlung (Transaktion zwischen zwei Konten, die bei einem PSP in Luxemburg geführt werden) und damit nicht meldepflichtig (wenn auf Kontoebene eine Länderkennung fehlt).
In der letzten Stufe der Zahlungskette (Auszahlung des Paypal-Guthabens an den Händler in Polen) ist die einzelne Transaktion für die Händlerbank in Polen nicht mehr erkennbar, da die Zahlung aggregiert erfolgt. Diese aggregierte Zahlung zwischen den Payment Service Providern in Luxemburg und Polen müsste allerdings wieder erfasst werden.
Eine ähnliche "Domestizierung" einer eigentlichen grenzüberschreitenden Transaktion (Konsument in Land A, Händler in Land B) erfolgt, wenn auf internationalen E-Commerce-Plattformen, ein intermediärer Zahlungsempfänger zwischengeschaltet wird (zum Beispiel Amazon).
Speicherung und Weitergabe nicht-relevanter Daten
Der Zweck des Vorschlags ist die Bekämpfung des Mehrwertsteuerbetrugs im grenzüberschreitenden E-Commerce. Die Datenerfassung bezieht sich allerdings ohne Differenzierung auf sämtliche bargeldlose Zahlungen. Im Kartengeschäft müssen demnach ebenfalls Milliardenzahlungen im Präsenzgeschäft gemeldet werden, die per Definition im E Commerce (Distanzgeschäft) nicht relevant sind.
Auf Ebene der Zahlungsempfänger werden die Daten (inklusive personenbezogener Daten) aller Zahlungsempfänger (nicht nur E-Commerce-Händler im C2B) mit einem Zahlungseingang von 25 grenzüberschreitenden Transaktionen (pro Quartal) erfasst: Firmen-, Privat-, Vereinskonten und so weiter. Wie vorher gezeigt, können hier auch inländische Zahlungen Gegenstand der Erfassung werden.
Die Verpflichtungen der Richtlinie gelten zudem für die in der Regel nichtkontobasierten XB-Geldtransfers mittels Finanztransferdienstleistern (wie zum Beispiel Westernunion). In diesem Fall ist der BIC des ausführenden PSP das Kriterium für die Länderzuordnung. Die Verpflichtung zur Datenweitergabe für diese PSP-Gruppe ist derzeit überflüssig, da erfahrungsgemäß Finanztransferzahlungen im grenzüberschreitenden E-Commerce keine Rolle spielen. Grob geschätzt kann man davon ausgehen, dass über 50 Prozent der von der CESOP gesammelten Daten sich nicht auf XB-E-Commerce beziehen werden. Neben der Zweckmäßigkeit sollte demnach die Verhältnismäßigkeit des Vorschlags kritisch hinterfragt werden.
Vorratsdatenspeicherung: Gelten soll der Push-Ansatz
In den meisten EU-Ländern erfolgt die Bereitstellung spezifischer Zahlungsverkehrsdaten an die Steuerfahnder auf Anfrage (Pull-Ansatz) und nur im Verdachtsfall oder bei der Ermittlung eines Mehrwertsteuerbetruges (zum Beispiel bei Steuerprüfungen). Diese Praxis soll jetzt durch die Datenübermittlung sämtlicher XB-Transaktionen (ab Schwellenwert) an die Fahnder (Push-Ansatz) ersetzt werden, wonach die Daten in einer supranationalen Datenbank der europäischen Kommission längerfristig gespeichert werden. Auf Basis dieses immensen Datenbestandes sollen weitere Betrugsfälle aufgespürt werden.
Dieser "Bulk-Data"-Ansatz wäre vergleichbar mit einem Szenario, wonach eine zentrale Vorratsdatenspeicherung und Auswertung sämtlicher Telekommunikationsdaten auf staatlicher oder sogar supranationaler Ebene erfolgen soll (statt derzeit auf dezentraler Ebene bei den Telekommunikationsunternehmen und Weitergabe fallbezogener Daten nur in konkreten Verdachts- und Ermittlungsfällen). Terrorismusbekämpfung heiligt bekanntlich viele Mittel. Im Telekommunikationsbereich würde dieses Szenario zumindest Datenschützer auf die Barrikaden bringen.
Schleppnetzmethode ist keine Datensparsamkeit
In der vor kurzem veröffentlichten Stellungnahme des Europäischen Datenschutzbeauftragten (EDPS) zu diesem Vorschlag9) legt diese Behörde der Kommission nur kleine Steinchen in den Weg:
- Nutzung der Datenbank nur für den Zweck der Steuerfahndung,
- Einhaltung der DSGVO,
- keine Erfassung von Konsumentendaten.
Grundsätzliche Bedenken gegen die Änderung der bisherigen Praxis gibt es aus Datenschutzsicht offenbar nicht. Die Schleppnetzmethode zum Fang seltener Fische entspricht aber nicht den DSGVO-Prinzipien der Datensparsamkeit und der Datenminimierung.
Fußnoten
1) Deloitte 2015, VAT Aspects of cross-border ecommerce - Options for modernization" Final report - Lot 1, S. 15-16.
2) Es ist unklar, wie "cross border" hier definiert ist. Handelt es sich um den physischen Ort des Versandes oder um den Ort des juristischen Sitzes des Anbieters. Je nach Definition wäre der gesamte Umsatz deutschen Konsumenten über Amazon als grenzüberschreitend einzustufen.
3) Auf der Zahlerseite soll gemäß Art. 243c in erster Instanz die IBAN des Kontoinhabers für die Länderherkunft der Zahlung genutzt werden. Falls diese nicht vorhanden ist, soll der BIC des PSP herangezogen werden. Diese Vorrangstellung der IBAN ist überflüssig, da der BIC bereits die Länderkennung des PSP enthält und damit auf Grund der Behelfsannahme der Kommission auf den mutmaßlichen Sitz des Zahlers hinweist. Im Hinblick auf den Zweck des Vorschlags soll aus Gründen der Datensparsamkeit diese Anforderung gestrichen werden.
4) Siehe Impact Assessment, SWD (2018) 488 final vom 12.12.2018
5) Von folgenden Organisationen aus der PSP-Branche wurden im 1. Quartal 2019 Stellungnahmen abgegeben: Deutsche Kreditwirtschaft (DK), European Association of Payment Service Providers for Merchants (EPSM), European Payment Institutions Federation (EPIF), Dutch Payments Association & Dutch Banking Association & Vereniging Betaal Instellingen Nederland (VBIN) mittels einer gemeinsamen Stellungnahme und der Prepaid Verband Deutschland (PVD).
6) Siehe Beschluss des Bundesrates vom 15.03.19, Drucksache 638/18
7) Richtlinienentwurf vom 12.12.2018 COM(2018) 812 final, S. 3f.
8) Impact Assessment vom 12.12.2018, SWD(2018) 488 final, S. 16
9) Opinion of the European Data Protection Supevisor vom 14. März 2019, 7589/19
