CESOP öffne Dich: Die neue Datensammelwut der Kommission

Zuerst die schlechte Nachricht: Die Kommission hat erneut den grenzüberschreitenden (= Cross Border; einfacher: „XB“) Zahlungsverkehr in der EU ins Visier genommen. Sie plant eine supranationale Datenbank „CESOP“ (Central Electronic System of Payment Information“) unter ihrer Aufsicht. Ab Januar 2022 werden dort die XB-Zahlungsdaten sämtlicher Zahlungsdienstleister (Kreditinstitute, Zahlungs- und E-Geldinstitute) in der EU gespeichert. Das erklärte Ziel ist die Erleichterung der Fahndung nach Mehrwertsteuerbetrügern im XB-E-Commerce.

Vor wenigen Wochen hatte die Kommission die EU-Verordnung 2019/518 erfolgreich über die Bühne gebracht. Die Verordnung regelt die Preisgleichheit für XB-Zahlungen in Euro mit den inländischen Transaktionen auch für Zahlungsdienstleister in den Nicht-Euroländern. Zusätzlich müssen die Karten-Issuer und die Anbieter von Dynamic Currency Conversion (DCC) den Karteninhaber am POS oder Geldautomat über die Konditionen ausführlich informieren. In diesem Blog haben wir die Verordnung, die insbesondere für das Kartengeschäft erhebliche Auswirkungen hat, schon diskutiert (siehe meinen Beitrag zur Reg. 924).

Supranationale Vorratsdatenspeicherung in CESOP

Bei dem neuen Vorschlag aus der adventlichen Kommissionsküche (Dezember 2018) geht es diesmal um Zahlungsdaten, die auf der Zahlungsempfängerseite personen- und firmenbezogen erfasst werden: Betrag, Datum und Uhrzeit, Name und MwSt-ID. Denn dort sitzen die potentiellen MwSt-Betrüger, Händler die im grenzüberschreitenden E-Commerce Waren und Dienstleistungen anbieten. Der Betrug wird grob auf jährliche 5 Mrd. € geschätzt. Heute müssen die nationalen Steuerbehörden bei Verdachtsmomenten in einer Steuerprüfung die betreffenden Zahlungsdaten bei den involvierten Zahlungsdienstleistern anfordern und mit ihren Kollegen in anderen Mitgliedsstaaten kooperieren. Das ist aber ein mühsames Vorgehen für die betroffenen Beamten. Es ist natürlich einfacher und wesentlich effizienter, wenn zukünftig alle XB-Zahlungsdaten in einer supranationalen Datenbank auf Vorrat gespeichert werden. Außerdem eröffnet eine derartige, von den Zahlungsdienstleistern permanent gefütterte Datenbank ganz neue Möglichkeiten, dem Betrüger mittels künstlicher Intelligenz auf die Spur zu kommen.

Der Dateninput soll von beiden Marktseiten geliefert werden. Die Zahlungsdienstleister (PSPs) des Zahlers und des Zahlungsempfängers werden verpflichtet. Betroffen sind fast alle PSPs, die im Anhang der PSD2 genannt werden, mit Ausnahme der PSPs im Bargeldein- und auszahlungsgeschäft und die „neuen“ PSPs (Zahlungsauslöse- und Kontoinformationsdienste). Im Idealfall wird jede Zahlungstransaktion also von zwei Seiten gemeldet. In der CESOP-Datenbank werden dann die Daten „gematcht“ und bereinigt. Im Hinblick auf das Ziel der ganzen Aktion suchen die Steuerfahnder eigentlich nur die C2B-Zahlungsdaten, die durch E-Commerce anfallen: Zahler ist Konsument im Mitgliedsstaat A, Zahlungsempfänger ist Händler in Land B (Mitgliedsstaat oder nicht). Da man diese Nutzerrolle einem Datensatz nicht ansehen kann, werden vorsorglich einfach alle Daten erfasst, auch B2B, C2C usw. Sogar die XB-Kartenzahlungen am physischen POS sind betroffen. Das ist natürlich unsinnig, da es nur um die Bekämpfung des MwSt-Betruges im E-Commerce geht.

Wie lauten auch wieder die Prinzipien der DSGVO? Genau: Datensparsamkeit und Datenminimierung. Eine weitere Frage: Warum reicht eine Vorratsdatenspeicherung auf dezentraler Ebene bei den betroffenen PSPs nicht aus? Die Übermittlung sämtlicher Telekommunikationsdaten durch die Telcos an Europol wäre sicherlich auch ein sehr effektives Mittel gegen böse Islamisten. Nicht nur die Terrorismusgefahr, sondern auch die Steuerhinterziehung heiligt anscheinend viele Mittel.

Amoklauf der Datenschützer? Bislang noch nicht. Der Europäische Datenschutzbeauftragte hat den Vorschlag ohne erhobenen Zeigefinger artig durchgewinkt.

Methodische Schwächen

Abgesehen von diesen grundsätzlichen Fragen zeigt der Vorschlag methodische Schwächen. Damit der CESOP nicht platzt, soll es einen Schwellenwert für die Datenerfassung geben: 25 XB-Zahlungen an den gleichen Zahlungsempfänger pro Quartal pro PSP. An sich sinnvoll, wäre es nicht, dass dieser Schwellenwert nicht nur für den PSP des Zahlungsempfängers, sondern auch für den PSP des Zahlers gilt. Das Datenvolumen, das von dem PSP der Zahler geliefert wird, ist abhängig von seiner Größe bzw. von der Marktkonzentration der PSPs in einem Land und damit willkürlich.

Ein weiterer Schwachpunkt ist die Annahme, dass die Ansässigkeit des Zahlers und des Zahlungsempfängers in einem Mitgliedsstaat mit dem nationalen Sitz des jeweiligen PSP identisch ist. Demgegenüber steht ein zentrales Ziel mehrerer regulatorischer Aktionen der EU aus der Vergangenheit, gerade die länderübergreifende Inanspruchnahme der PSP innerhalb der EU als einheitlichen Zahlungsverkehrsraum zu fördern. Die Folge: Viele de facto (und mehrwertsteuerrechtlich) inländischen Transaktionen werden hier de jure zu XB-Transaktionen und umgekehrt. Beispiel: Karteninhaber und Händler in Österreich, aber Acquirer in Deutschland.

Amoklauf der betroffenen (zigtausenden) PSPs in der EU? Es gab öffentliche Konsultationen im Vorfeld des Dezember-Vorschlags und nach der Veröffentlichung. Im Vorfeld war der Respons aus der Branche minimal (3 Stellungnahmen). Ein PSP schätzte die internen Kosten für die Datenerfassung und -bereitstellung allerdings auf 100.000 Euro pro Jahr. Die wenigen Stellungnahmen in der Konsultation nach der Veröffentlichung kamen vor einigen Wochen aus Deutschland (DK und PVD), aus den Niederlanden und von einigen europäischen Verbänden (EPSM und EPIF). Immerhin: Der Tenor war sehr kritisch bis ablehnend. Irgendwie ist das Thema anscheinend noch nicht so richtig europaweit in der Branche angekommen.

Methodik am Markt vorbei

Und nun (schluss)endlich die gute Nachricht: Die Kommission kommt wohl nicht daran vorbei, den Vorschlag gründlich zu überarbeiten. Damit gewinnen die Politiker Zeit, sich die Sache noch mal gründlich zu überlegen. Was ist passiert?

Einer der häufigsten Gründe, dass Minister mit Doktortitel in Deutschland vorzeitig Amt und Titel verlieren, sind Urheberrechtsverletzungen durch Plagiat bei der Erstellung ihrer Doktorarbeiten (Guttenberg, Schavan; derzeit am Pranger: Familienministerin Giffey). Fremde Erkenntnisse wurden ohne erforderliche Quellenhinweise als eigene Geistesblitze präsentiert. Peinlich, aber nicht strafbar, ist allerdings das fehlerhafte Rezipieren des fremden Gedankengutes. Man hat die Quelle entweder inhaltlich nicht verstanden oder einfach nicht (richtig) gelesen. Die Folge: Punkteabzug, aber keine Disqualifikation. Es wird aber problematisch, wenn man ein ganzes Theoriegebäude  – oder wie in diesem Fall den Vorschlag zur Änderung einer Richtlinie – auf einer fehlerhaften Rezeption errichtet. Dieser Fehler ist der Europäischen Kommission offensichtlich unterlaufen.

Die vorgeschlagene Methodik für die Erfassung der notwendigen Daten basiert auf der Systematik von Überweisungen und Lastschriften gemäß der Verordnung über den einheitlichen Euro-Zahlungsverkehrsraum („SEPA-Verordnung“ 260/2012). Die Verordnung enthält vorwiegend technische Vorschriften für SEPA-Überweisungen und Lastschriften (IBAN, BIC und sonstige Standards). Die Methodik des Vorschlags ist also auf den zahlungskontenbasierten Interbankenzahlungsverkehr zugeschnitten und dafür ohne weiteres geeignet. Für das Kartengeschäft mit seinen aggregierten und multipolaren Zahlungsketten zwischen den betroffenen PSPs (Issuer und Acquirer) passt die Methodik schon nicht mehr. Ist die Methodik also geeignet für die Erfassung von XB-Zahlungsdaten im E-Commerce?

Die Kommission geht irrtümlicherweise davon aus, dass Überweisungen und Lastschriften hier die Hauptrolle spielen. Im Kontext des Vorschlags schreibt sie:

In jüngster Zeit wurden mehr als 90% der von europäischen Verbrauchern getätigten Online-Käufe mittels Überweisungen, Lastschriften und Kartenzahlungen getätigt.

Auch wenn die Aussage für den inländischen E-Commerce in manchen Mitgliedsstaaten vielleicht stimmen würde, es geht im Vorschlag um XB-E-Commerce. Davon ist hier nicht die Rede. In der Analyse der Folgenabschätzung wird die Aussage (mit Verweis auf die gleichen Quellen) aber präzisiert:

94% of payments for cross-border online purchases use electronic payments, credit or debit cards, or prepaid cards.

In den zitierten Quellen werden keine Daten der tatsächlichen Nutzung, sondern Präferenzen von befragten Endverbrauchern präsentiert. Okay, das kann man durchgehen lassen, wenn man davon ausgeht, dass die angekreuzten Präferenzen mit dem tatsächlichen Verhalten der Zahler einigermaßen übereinstimmen. Der zweite Fehler ist schwerwiegender. Die Kommission nimmt im Vorschlag stillschweigend an, dass mit „electronic payments” wohl Überweisungen und Lastschriften gemeint sind. Die Quelle, worauf die Kommission sich bezieht (eine Analyse der International Post Corporation), besagt aber genau das Gegenteil. Im XB-E-Commerce präferieren Konsumenten aus 31 untersuchten Ländern (auch außerhalb der EU) in erster Instanz sog. „alternative“ Zahlungsmethoden, die gerade nicht über Bankkonten ausgeführt werden, wie PayPal und Alipay (39%), gefolgt von Kartenzahlungen (37%). Überweisungen erzielen nur 5%, Lastschriften laufen unter „sonstiges“. Die zweite im Richtlinienentwurf zitierte Quelle (E-shopper barometer 2017 der DPD-Gruppe) kommt zu vergleichbaren Ergebnissen für die EU: Eine eindeutige Präferenz für „digital wallets“ und Kartenzahlungen.

Ergo: Die Methodik soll sich auf die Zahlungsinstrumente richten, die im XB-E-Commerce dominieren. Das sind – auf Basis der zitierten Quellen – jedenfalls nicht bankkontobezogene Überweisungen und Lastschriften. Mein Vorschlag: Als erster Schritt sollte die Kommission eine gründliche Bestandsaufnahme des EU-Zahlungsverkehrsmarktes im XB-E-Commerce von mit der Materie vertrauten Sachverständigen erstellen lassen. Auf Basis dieses Ergebnisses könnte dann eine entsprechende Methodik für die Datenerfassung erstellt werden. Das wird erfreulicherweise dauern. Und das ist die gute Nachricht. Denn: Kommt Zeit, kommt Rat.

Ein Rat hat sich bereits mutig aus der Deckung gewagt. Der Bundesrat bezweifelt, ob das Ziel (Bekämpfung des MwSt-Betruges) mit dem vorliegenden Vorschlag

auf verhältnis- und zweckmäßige Art und Weise erreicht werden kann.

Außerdem befürchtet er einen nicht mehr handhabbaren Datensalat auf CESOP-Ebene und rät zu einer kritischen Würdigung der Stellungnahme des Europäischen Datenschutzbeauftragten. Vielleicht folgt jetzt ein europäischer Rat, der der Kommission empfiehlt, den unausgereiften Vorschlag einfach unauffällig und leise zu beerdigen. CESOP schließe Dich! Ich würde selbstverständlich zur Trauerfeier gehen und, versprochen, in diesem Blog dazu für immer schweigen.

 

Cover picture: Copyright © fotolia / Dmytro

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

You May Also Like

Das Geheimnis der Geheimhaltung von Geheimnissen: das Geschäftsgeheimnis-Gesetz

Die EU-Geschäftsgeheimnis-Richtlinie und GeschGehG sorgen für eine übersichtliche und in einem Gesetz zusammengefasste Regelung des Schutzes von Geschäftsgeheimnissen. Dennoch kann auf Unternehmen, die im Wettbewerb vor allem auf Geschäftsgeheimnisse und weniger auf „Registerrechte“ wie Patente, oder auf den Schutz ihres Urheberrechts setzen (können), eine Menge Arbeit zukommen. Was zu tun ist, um die eigenen Geschäftsgeheimnisse auch in Zukunft zu schützen, erläutert PayTechLaw.
Weiterlesen