Grenzüberschreitendes Datenschutzmanagement – Berücksichtigung von Verrechnungspreisimplikationen
Die Datenschutz-Grundverordnung (DSGVO) stellt umfangreiche Anforderungen an die Implementierung von Datenschutzorganisation und unternehmensinterne Prozessen zur Gewährleistung von Datenschutz-Compliance. Bei Verstößen gilt seit 2018 ein Bußgeldrisiko von bis zu 4% des globalen Vorjahresumsatzes. Parallel zu ersten behördlichen und gerichtlichen Entscheidungen haben verschiedene Länder weltweit begonnen, ihre Datenschutzgesetzgebung zu novellieren und orientieren sich dabei häufig an der DSGVO. Diese Entwicklungen haben dazu geführt, dass international tätige Konzerne Datenschutzprogramme aufgelegt haben. In vielen Fällen wurden zentrale Datenschutzkompetenzen auf Ebene der Konzernobergesellschaft aufgebaut, aber auch Verantwortliche unternehmensübergreifend festgelegt. In der Folge erbringen Konzernmütter oftmals vielfältige Dienstleistungen an ausländische Konzerngesellschaften. Insoweit stellt sich die Frage der Verrechnung erbrachter Dienste innerhalb des Konzerns.
Der Fremdvergleichsgrundsatz
Sobald ein grenzüberschreitender Liefer- oder Leistungsaustausch zwischen Unternehmen eines Konzerns vorliegt, stellt sich aus steuerlicher Sicht die Frage der Vergütung dieser Transaktion. Für diese Vergütung wird der Begriff der „Verrechnungspreise“ verwendet. Verrechnungspreise dienen dazu, dass der Gewinn des Konzerns wertschöpfungsadäquat auf die Länder verteilt wird, in denen Konzerngesellschaften ansässig sind. Hierbei kommt der sogenannte Fremdvergleichsgrundsatz zur Anwendung. D.h., grenzüberschreitende Geschäftsvorfälle zwischen Konzerngesellschaften müssen so vergütet werden, wie es voneinander unabhängige Dritte unter gleichen oder vergleichbaren Verhältnissen vereinbart hätten (vgl. § 1 Abs. 1 S. 1 AStG).
Beschreibung der grenzüberschreitend zu erbringenden Datenschutzleistungen
Die hohen und umfangreichen Anforderungen der DSGVO sind im gesamten Konzern in der EU umzusetzen. Auch außerhalb der EU gilt dies bezüglich der aus der EU heraus übermittelten personenbezogenen Daten. Dazu kommen ggf. ähnliche Anforderungen aus anderen Jurisdiktionen. Die Umsetzung erfolgt durch ein Datenschutzmanagementsystem. Dahinter verbirgt sich die Gesamtheit der in einer Organisation/im Konzern eingerichteten Datenschutz-Maßnahmen, Strukturen und Prozesse, um Regelkonformität herzustellen.
Insoweit sind nicht nur konzernweit verbindliche Richtlinien und Verfahrensanweisungen zu verabschieden, die die konkreten Rechte und Pflichten der Beschäftigten festlegen bzw. die gesetzlichen Pflichten konkretisieren und in die Konzernrealität „übersetzen“. Zusammengefasst können bei (international) agierenden Konzernen beispielsweise die folgenden Leistungen grenzüberschreitend erbracht werden:
- Prüfungs- und Beratungsleistungen des Konzern-Datenschutzbeauftragten, seines Teams und der Datenschutzkoordinatoren,
- Prüfungstätigkeit der Prozess-, System- und Applikationsverantwortlichen,
- Datenschutzbewertung im Einkauf,
- Bewertung durch die IT zur Angemessenheit der Datensicherheit,
- Durchführung von Schulungen/eLearning sowie Sensibilisierungsmaßnahmen,
- Betrieb einer Datenschutzmanagementsoftware zur Dokumentation der Compliance.
Verrechnung von Datenschutzleistungen
Die einzelnen Datenschutzleistungen sind aus steuerlicher Sicht dahingehend zu prüfen, ob sie zwischen den Beteiligten verrechnet werden dürfen. Hierbei ist maßgeblich, ob mit der Tätigkeit der leistungserbringenden Gesellschaft ein wirtschaftlicher Vorteil bei den Leistungsempfängern einhergeht, der deren wirtschaftliche Position fördert (sog. „benefit test“). Sofern die Leistungsempfänger im Gegenzug zu den erhaltenen Datenschutzleistungen keine eigene Datenschutzfunktion vorhalten müssen, bedeutet dies für sie ersparte eigene Kosten, weshalb ein wirtschaftlicher Vorteil gegeben ist.
Nachdem festgestellt wurde, welche Datenschutzleistungen verrechenbar sind, ist zu entscheiden, nach welcher Methodik die Verrechnung erfolgen soll. In der Regel werden konzerninterne Dienstleistungen kostenbasiert verrechnet. Hierfür ist es erforderlich, die entsprechende Kostenbasis ermitteln zu können. Es ist daher zu empfehlen, für die Erfassung der Datenschutzkosten eine separate Kostenstelle einzurichten.
Die genaueste, aber auch administrativ aufwendigste Art der Dienstleistungsabrechnung ist die „direkte Einzelabrechnung“. Dies wäre beispielsweise der Fall, wenn die leistungserbringende Gesellschaft die Kosten der Datenschutz-Mitarbeiter in Stundensätze umrechnet. Die Beschäftigten müssten Stunden aufschreiben und zuordnen, wie viele Stunden sie jeweils im Interesse welcher Konzerngesellschaft gearbeitet haben. Aus der Multiplikation der Anzahl aufgeschriebener Stunden und der Stundensätze ergibt sich der jeweilige Rechnungsbetrag.
Aufgrund des großen Aufwands der Stundenerfassung setzen die meisten Unternehmen auf eine indirekte Umlageverrechnung. Hierbei werden die angefallenen Kosten anhand eines Umlageschlüssels auf die partizipierenden Konzerngesellschaften umgelegt. Der gewählte Umlageschlüssel sollte hierbei so gut wie möglich den Nutzen der Leistungsempfänger widerspiegeln.
Festlegung eines fremdüblichen Gewinnaufschlags
Bei konzerninternen Dienstleistungen ist ein Gewinnaufschlag anzuwenden, der dem entsprechen soll, der auch zwischen unabhängigen Dritten zur Anwendung kommen würde. In vielen Fällen stellen Datenschutzleistungen eine Unterstützungsfunktion dar und sind nicht Teil des Kerngeschäfts des Konzerns. Darüber hinaus sind für die Erbringung von Datenschutzleistungen in der Regel keine einzigartigen und wertvollen immateriellen Wirtschaftsgüter notwendig und es werden hierbei auch keine solchen erzeugt.
Sofern diese Voraussetzungen erfüllt sind, können Datenschutzleistungen grundsätzlich als Dienstleistungen mit geringer Wertschöpfung klassifiziert werden. Gemäß den OECD-Richtlinien für Verrechnungspreise ist daher ein Gewinnaufschlag von 5% als fremdüblich zu betrachten. Darüber hinaus könnte es aber auch Fälle geben, in denen der Datenschutz ggf. als eine Kernkompetenz betrachtet werden muss (beispielsweise bei stark digitalen Geschäftsmodellen). In solchen Konstellationen können umfangreichere Untersuchungen zur Bestimmung eines fremdüblichen Gewinnaufschlags notwendig sein.
Fazit
In der Praxis ist festzustellen, dass beim Aufbau und der Erbringung grenzüberschreitender Datenschutzleistungen innerhalb von Konzernen deren fremdübliche Verrechnung nicht immer ausreichend gewürdigt wird.
Es ist zu empfehlen, beim Aufbau entsprechender Datenschutzprogramme sehr frühzeitig die Steuerabteilung zu informieren und mit einzubinden. Hierdurch können die Datenschutzprozesse bereits von Anfang auch aus steuerlicher Sicht angemessen aufgebaut, verrechnet und dokumentiert werden.