Verrechnungspreisimplikationen bei grenzüberschreitendem Datenschutzmanagement
Bei Verstößen gilt seit 2018 ein Bußgeldrisiko von bis zu 4 % des globalen Vorjahresumsatzes. Parallel zu ersten behördlichen und gerichtlichen Entscheidungen haben verschiedene Länder weltweit begonnen, ihre Datenschutzgesetzgebung zu novellieren und orientieren sich dabei häufig an der DSGVO. Diese Entwicklungen haben dazu geführt, dass international tätige Konzerne Datenschutzprogramme aufgelegt haben. In vielen Fällen wurden zentrale Datenschutzkompetenzen auf Ebene der Konzernobergesellschaft aufgebaut, aber auch Verantwortliche unternehmensübergreifend festgelegt. In der Folge erbringen Konzernmütter oftmals vielfältige Dienstleistungen an ausländische Konzerngesellschaften. Insoweit stellt sich die Frage der Verrechnung erbrachter Dienste innerhalb des Konzerns.
1. Der Fremdvergleichsgrundsatz
Sobald ein grenzüberschreitender Liefer- oder Leistungsaustausch zwischen Unternehmen eines Konzerns vorliegt, stellt sich aus steuerlicher Sicht die Frage der Vergütung dieser Transaktion. Für diese Vergütung wird der Begriff der "Verrechnungspreise" verwendet. Verrechnungspreise dienen dazu, dass der Gewinn des Konzerns wertschöpfungsadäquat auf die Länder verteilt wird, in denen Konzerngesellschaften ansässig sind. Hierbei kommt der sogenannte Fremdvergleichsgrundsatz zur Anwendung. D.h., grenzüberschreitende Geschäftsvorfälle zwischen Konzerngesellschaften müssen so vergütet werden, wie es voneinander unabhängige Dritte unter gleichen oder vergleichbaren Verhältnissen vereinbart hätten (vgl. § 1 Abs. 1 Satz 1 AStG).
2. Beschreibung der grenzüberschreitend zu erbringenden Datenschutzleistungen
Die hohen und umfangreichen Anforderungen der DSGVO sind im gesamten Konzern in der EU umzusetzen. Auch außerhalb der EU gilt dies bezüglich der aus der EU heraus übermittelten personenbezogenen Daten. Dazu kommen ggf. ähnliche Anforderungen aus anderen Jurisdiktionen. Die Umsetzung erfolgt durch ein Datenschutzmanagementsystem. Dahinter verbirgt sich die Gesamtheit der in einer Organisation/im Konzern eingerichteten Datenschutz-Maßnahmen, Strukturen und Prozesse, um Regelkonformität herzustellen.
Insoweit sind nicht nur konzernweit verbindliche Richtlinien und Verfahrensanweisungen zu verabschieden, die die konkreten Rechte und Pflichten der Beschäftigten festlegen bzw. die gesetzlichen Pflichten konkretisieren und in die Konzernrealität "übersetzen". Zusammengefasst können bei (international) agierenden Konzernen beispielsweise die folgenden Leistungen grenzüberschreitend erbracht werden:
- Prüfungs- und Beratungsleistungen des Konzern-Datenschutzbeauftragten, seines Teams und der Datenschutzkoordinatoren,
- Prüfungstätigkeit der Prozess-, System- und Applikationsverantwortlichen,
- Datenschutzbewertung im Einkauf,
- Bewertung durch die IT zur Angemessenheit der Datensicherheit,
- Durchführung von Schulungen/eLearning sowie Sensibilisierungsmaßnahmen,
- Betrieb einer Datenschutzmanagementsoftware zur Dokumentation der Compliance.
3. Verrechnung von Datenschutzleistungen
Die einzelnen Datenschutzleistungen sind aus steuerlicher Sicht dahingehend zu prüfen, ob sie zwischen den Beteiligten verrechnet werden dürfen. Hierbei ist maßgeblich, ob mit der Tätigkeit der leistungserbringenden Gesellschaft ein wirtschaftlicher Vorteil bei den Leistungsempfängern einhergeht, der deren wirtschaftliche Position fördert (sog. "benefit test"). Sofern die Leistungsempfänger im Gegenzug zu den erhaltenen Datenschutzleistungen keine eigene Datenschutzfunktion vorhalten müssen, bedeutet dies für sie ersparte eigene Kosten, weshalb ein wirtschaftlicher Vorteil gegeben ist.
Nachdem festgestellt wurde, welche Datenschutzleistungen verrechenbar sind, ist zu entscheiden, nach welcher Methodik die Verrechnung erfolgen soll. In der Regel werden konzerninterne Dienstleistungen kostenbasiert verrechnet. Hierfür ist es erforderlich, die entsprechende Kostenbasis ermitteln zu können. Es ist daher zu empfehlen, für die Erfassung der Datenschutzkosten eine separate Kostenstelle einzurichten.
Die genaueste, aber auch administrativ aufwendigste Art der Dienstleistungsabrechnung ist die "direkte Einzelabrechnung". Dies wäre beispielsweise der Fall, wenn die leistungserbringende Gesellschaft die Kosten der Datenschutz-Mitarbeiter in Stundensätze umrechnet. Die Beschäftigten müssten Stunden aufschreiben und zuordnen, wie viele Stunden sie jeweils im Interesse welcher Konzerngesellschaft gearbeitet haben. Aus der Multiplikation der Anzahl aufgeschriebener Stunden und der Stundensätze ergibt sich der jeweilige Rechnungsbetrag.
Aufgrund des großen Aufwands der Stundenerfassung setzen die meisten Unternehmen auf eine indirekte Umlageverrechnung. Hierbei werden die angefallenen Kosten anhand eines Umlageschlüssels auf die partizipierenden Konzerngesellschaften umgelegt. Der gewählte Umlageschlüssel sollte hierbei so gut wie möglich den Nutzen der Leistungsempfänger widerspiegeln.
4. Festlegung eines fremdüblichen Gewinnaufschlags
Bei konzerninternen Dienstleistungen ist ein Gewinnaufschlag anzuwenden, der dem entsprechen soll, der auch zwischen unabhängigen Dritten zur Anwendung kommen würde. In vielen Fällen stellen Datenschutzleistungen eine Unterstützungsfunktion dar und sind nicht Teil des Kerngeschäfts des Konzerns. Darüber hinaus sind für die Erbringung von Datenschutzleistungen in der Regel keine einzigartigen und wertvollen immateriellen Wirtschaftsgüter notwendig und es werden hierbei auch keine solchen erzeugt.
Sofern diese Voraussetzungen erfüllt sind, können Datenschutzleistungen grundsätzlich als Dienstleistungen mit geringer Wertschöpfung klassifiziert werden. Gemäß den OECD-Richtlinien für Verrechnungspreise ist daher ein Gewinnaufschlag von 5 % als fremdüblich zu betrachten. Darüber hinaus könnte es aber auch Fälle geben, in denen der Datenschutz ggf. als eine Kernkompetenz betrachtet werden muss (beispielsweise bei stark digitalen Geschäftsmodellen). In solchen Konstellationen können umfangreichere Untersuchungen zur Bestimmung eines fremdüblichen Gewinnaufschlags notwendig sein.
5. Fazit
In der Praxis ist festzustellen, dass beim Aufbau und der Erbringung grenzüberschreitender Datenschutzleistungen innerhalb von Konzernen deren fremdübliche Verrechnung nicht immer ausreichend gewürdigt wird.
Es ist zu empfehlen, beim Aufbau entsprechender Datenschutzprogramme sehr frühzeitig die Steuerabteilung zu informieren und mit einzubinden. Hierdurch können die Datenschutzprozesse bereits von Anfang auch aus steuerlicher Sicht angemessen aufgebaut, verrechnet und dokumentiert werden.
Tipp: Falls Sie dieser Beitrag interessiert hat, empfehlen wir Ihnen noch gerne die Datenschutzkonferenz 2021 vom 19. bis 21. September 2021 im InterContinental Hotel Düsseldorf, die erstmals als Hybrid-Veranstaltung (Teilnahme vor Ort sowie online möglich) stattfindet. Die Datenschutzkonferenz ist eine DER richtungsweisenden Tagungen im Bereich Datenschutz und Datensicherheit, deren große Stärke es ist, dass sich die Inhalte ganz auf die für Datenschützer in Unternehmen wichtigen Fragen und Herausforderungen konzentrieren. So erwarten Sie auch diesmal wieder brandaktuelle wie hochspannende Themen, die von führenden Datenschutz-Praktikern beleuchtet werden. Das aktuelle Programm, weitere Informationen zur Veranstaltung und die Möglichkeit zur Anmeldung. |
-
Sind Rechtsmittel gegen die neuen Grundsteuerwertbescheide ratsam?
5.602
-
Umsatzsteuer 2025: Wichtige Änderungen im Überblick
5.575
-
Abgabefristen für die Steuererklärungen 2019 bis 2025
2.976
-
Begünstigte Versicherungsverträge vor dem 1.1.2005 in Rentenform
2.901
-
Vorauszahlung von privaten Krankenversicherungsbeiträgen als Steuersparmodell
2.36322
-
Feststellung des Grades der Behinderung für zurückliegende Zeiträume
1.614
-
Pflichtangaben für Kleinbetragsrechnungen
1.500
-
Pflege-Pauschbetrag für selbst Pflegende
1.436
-
So können Krypto-Verluste versteuert werden
1.383
-
Anschaffungsnahe Herstellungskosten bei Gebäuden
1.303
-
Nachlaufende Betriebsausgaben bei steuerbefreiten Photovoltaikanlagen
17.12.2024
-
Steuerberater sehen Notwendigkeit für Bürokratieabbau und steuerliche Entlastungen
11.12.2024
-
Umsatzsteuer 2025: Wichtige Änderungen im Überblick
05.12.2024
-
Nachträgliche Berücksichtigung übermittelter Riester-Daten
04.12.2024
-
Bekämpfung schädlicher Steuerpraktiken durch die EU hat Lücken
29.11.2024
-
Steuererklärung kann Anspruch auf Grundrente begründen
27.11.2024
-
1. Zuwendungsnießbrauch an Grundstücken des Privatvermögens
21.11.2024
-
2. Vorbehaltsnießbrauch an Grundstücken des Privatvermögens
21.11.2024
-
3. Quotennießbrauch an Grundstücken des Privatvermögens und Nießbrauchsverzicht
21.11.2024
-
4. Nießbrauch an Grundstücken des Betriebsvermögens
21.11.2024