STRATEGIE1. August 2023

Beim CESOP Melderegister wurden Unschärfen bewusst in Kauf genommen!

Das Central Electronic System of Payment Information (CESOP) ist ein Melderegister für grenzüberschreitende Zahlungen. Ziel ist es, den Mehrwertsteuerbetrug im Geschäftsverkehr aufzudecken. Was das für Banken und Zahlungsdienstleister bedeutet und welche neuen Aufgaben und Pflichten hier anstehen, beleuchten Steffen Weiß und Rudolf Linsenbarth.

von Steffen Weiß und Rudolf Linsenbarth

Das CESOP-Melderegister soll Umsatzsteuerbetrug verhindern.
ITFM
Die rechtliche Grundlage für CESOP bildet die COUNCIL DIRECTIVE (EU) 2020/284 (Link). Diese wurde mit dem Jahressteuergesetz 2022 (Link) in nationales deutsches Recht überführt.

Wer ist von dieser Regelung betroffen? Dies sind in erster Linie Kreditinstitute/Banken und Zahlungsinstitute, wobei letztere auch Marktplätze sein können, die sowohl im Namen des Zahlers als auch des Zahlungsempfängers tätig sein können. Ob die sendende oder empfangende Partei hier eine Meldung machen muss, wird weiter unten im Text geklärt.

Welche Transaktionen sind meldepflichtig?

Grundsätzlich gilt, dass jeder Zahlungsfluss zum/vom Kunden meldepflichtig ist, aber nicht der Zahlungsfluss zwischen Intermediären zur Verrechnung.

Entsprechend meldepflichtig ist der Informationstausch oder konkreter gesagt die Autorisierung einer Zahlung. In einem 4-Parteien-Systeme ist auch die damit verbundene Sammel-Transferzahlung meldepflichtig. Beim Zahlungsprozess eines 3-Parteien-Systems dagegen nur die Zahlungsautorisierung.

Steffen Weiß ist der Meinung, dass das CESOP Melderegister bewusst Unschärfen enthält
Steffen Weiß, AUSY TechnologiesAUSY Technologies

Herr Weiß, wenn hier von 3-Parteien-Systemen gesprochen wird, schließt das neben AMEX auch Zahlungsabwickler wie PayPal und Amazon Pay mit ein?

Ja, sowohl PayPal als auch Amazon Pay sind betroffen. Schlussendlich gibt es drei wesentliche Bedingungen, die erfüllt sein müssen, dass ein Zahlungsabwickler betroffen ist:

  • Die erste Voraussetzung für die Betroffenheit ist, dass es sich um ein europäisches Zahlungsinstitut handelt. PayPal ist in Luxemburg eine registrierte Bank, Amazon Pay ein in Luxemburg registriertes E-Money Institut.
  • Als nächste Voraussetzung ist notwendig, dass Zahlungstransaktionen getätigt werden – das ist in diesem Fall offensichtlich der Fall.
  • Und dann kommt noch hinzu, dass diese Zahlungstransaktionen grenzüberschreitend sind – was hier vss. häufig der Fall sein wird.

Da hier alle Voraussetzungen erfüllt sind, liegt eine Betroffenheit vor.

Einschränkungen für die Erfassung von Zahlungen! Mit CESOP sollen also nur grenzüberschreitende Zahlungen erfasst werden, bei denen der Zahlungspflichtige in einem EU-Land sitzt. Das heißt Zahlungen von einem Unternehmen außerhalb der EU sind nicht meldepflichtig. Prinzipiell soll immer der Dienstleister des Zahlungsempfängers die Meldung übernehmen. Da aber Dienstleister außerhalb der EU nicht verpflichtet werden können, erfolgt in diesem Fall eine Umkehr der Meldepflicht und der sendende Zahlungsdienstleister steht im Soll, die Daten an CESOP zu übermitteln. Meldungen sind zudem nur statthaft, wenn mehr als 25 Transaktionen pro Quartal an denselben Empfänger erfolgen.

Herr Weiß, warum hat man das so kompliziert gestaltet?

Dr. Steffen Weiß, AUSY Technologies Germany
Dr. Steffen Weiß, PhD und Studium im Bereich Informatik, arbeitet als Senior Business Architect und Payment-Experte bei AUSY Technologies Germany AG in Nürnberg. Er hat langjährige Erfahrung bei der Umsetzung regulatorischer Projekte wie der PSD 2.
Von der Abwicklung bzw. Ermittlung wäre es sicher einfacher gewesen, mit simpleren Regeln zu operieren. Aber wenn man auf das Ziel der Richtlinie schaut, wird klar, dass diese Regeln so sein müssen: Zum einen muss das Thema datenschutzkonform sein und zum anderen muss Mehrwertsteuerbetrug erkannt werden können. Schauen wir uns kurz an, welche Regeln sich aus welcher Anforderung ergeben:

  • Die Regel „mehr als 25 Transaktionen an denselben Empfänger“ wird deswegen aufgestellt, dass nicht alle Transaktionen gemeldet werden müssen, sondern nur diejenigen, bei denen Mehrwertsteuerbetrug realistisch möglich ist. Wenn jemand beispielsweise nur 10 Transaktionen in einem Quartal erhält, wird er in den wenigsten Fällen gewerblich tätig sein und entsprechend wird es ihm auch nicht möglich sein, Mehrwertsteuerbetrug zu begehen. Somit wird durch die Beschränkung auf mehr als 25 Transaktionen den Grundzügen der Datensparsamkeit Rechnung getragen.
  • Schnell zu erklären ist auch, dass bei Transaktionen in Drittländer (also z. B. USA) immer der Sender melden muss. Denn der Empfänger sitzt in einem Rechtsraum, in welchem die EU keinen Einfluss hat.
  • Kommen wir zum vermutlich schwierigsten Teil der Frage: warum bei Zahlungen innerhalb der EU der Empfänger melden muss. Hier muss man sich zunächst anschauen, wie die Berechnung der Mehrwertsteuer bei innergemeinschaftlichen Lieferungen erfolgt: diese sind (wenn ein paar zusätzliche Kriterien erfüllt sind) im Ursprungsland von der Mehrwertsteuer befreit, die Mehrwertsteuer ist im Zielland zu entrichten. Das „Vergessen“ der Entrichtung im Zielland führt direkt zu Mehrwertsteuerbetrug. Mit den in CESOP zu meldenden Daten ist es dann den Finanzbehörden möglich, zu erkennen wie viel Umsatzsteuer zu zahlen ist. Weicht dieser Wert deutlich von den Umsatzsteuer-Zahlungen ab, haben die Finanzbehörden einen guten Anhaltspunkt, wo sie nach Umsatzsteuerbetrug suchen müssen. Heißt: für Fälle von innergemeinschaftlichen Lieferungen ist essentiell, dass der Zahlungsdienstleister des Empfängers meldet – zumal dieser auch den besten Überblick über alle Transaktionen des Empfängers geben kann.
ITFM

Damit ein Zahlungsdienstleister einschätzen kann, ob ein Empfänger in einem anderen Land sitzt oder nicht, wird als Selektionskriterium die IBAN (bei SEPA-Transaktionen) oder die BIN (für Kreditkartenzahlungen) genannt. Nun kann es aber durchaus sein, dass ein deutscher Empfänger bei einer Bank ist, die zum Beispiel nur niederländische IBANs vergibt. Oder ein ausländischer Empfänger hat ein Konto bei einer deutschen Bank. Wie soll eine Bank in solchen Fällen vorgehen?

Ganz pauschal kann man es nicht sagen, da es davon abhängig ist, welche Informationen die Bank von dem jeweiligen Kunden vorliegen hat. Prinzipiell gilt die Regel, dass genaue Informationen über den Ort des Zahlers und Empfängers vor ungenaue Informationen gehen. Heißt: wenn der Zahlungsdienstleister die Adresse des Zahlers oder Empfängers durch einen KYC-Prozess kennt, soll er nach diesem Kriterium das Land bestimmen. Kennt er diese nicht, soll er die IBAN oder BIN verwenden.

Dass es dabei zu Unschärfen kommen kann, wird bewusst in Kauf genommen. Anderenfalls müssten die Zahlungsdienstleister deutliche Mehraufwände betreiben, um an die entsprechenden Daten zu kommen. Und die CESOP-Guidelines der EU-Kommission sagen explizit, dass solche Mehraufwände nicht betrieben werden müssen.

Wie ist die Grenze von 25 Transaktionen pro Quartal zu verstehen? Heißt das 25 exakt identische Transaktionen für den dieselben Sender und Empfänger? Oder ist die Grenze für 25 Zahlungen an ein und denselben Empfänger des jeweiligen Zahlungsdienstleisters? Wie geht eine Bank damit um, wenn derselbe Empfänger mehrere Konten hat und der Schwellwert nur erreicht wird, wenn man diese Konten kumuliert? Muss die sendende Bank das überhaupt leisten können?

Die Schwelle sind „mehr als 25 Transaktionen pro Empfänger“ – wobei jede rechtliche Einheit für sich auswertet. Das heißt:

  • Wer der Sender ist, spielt keine Rolle – es ist nur wichtig, dass es derselbe Empfänger ist. Konkret: wenn Sender A aus EU-Mitgliedsstaat 1 an Empfänger E 13 Transkationen sendet und Sender B aus EU-Mitgliedsstaat 2 an Empfänger E ebenfalls 13 Transaktionen sind diese vom Zahlungsdienstleister des Empfängers zu melden.
  • Konten desselben Empfängers E sind gemeinsam zu zählen. Hat E also bei einer Bank zwei Konten und empfängt auf diesen jeweils 13 Transaktionen aus einem anderen EU-Mitgliedsstaat, sind diese Transaktionen zu melden.

Verpflichteter zur Meldung ist der jeweilige Zahlungsdienstleister. Heißt: die Zählung der Anzahl Transaktionen erfolgt immer pro Zahlungsdienstleister.

Autor Rudolf Linsenbarth
Rudolf LinsenbarthRudolf Linsenbarth be­schäf­tigt sich mit Mobile Payment, NFC, Kundenbindung und digitaler Identität. Er ist seit über 15 Jahren in den Bereichen Banken, Consulting, IT und Handel tätig. Lin­sen­barth ist profilierter Fachautor und Praktiker im Finanzbereich und kommentiert bei Twitter (@holimuk) die aktuellen Entwicklungen. Alle Beiträge schreibt Linsenbarth im eigenen Namen.
Pflichten für die Übertragung, mögliche Korrekturen und Dokumentation. Die Meldung muss quartalsweise erfolgen und zwar spätestens bis zum Ende des darauf folgenden Kalendermonats. Als Übertragungsformat wurde ein eigenes XML-Schema definiert. Für die deutschen Zahlungsdienstleister ist das Bundeszentralamt für Steuern der entsprechende Adressat. Falls der Zahlungsdienstleister Kenntnisse darüber erhält, dass bereits übermittelte Daten fehlerhaft sind, müssen diese korrigiert werden. Die Pflicht zur Übermittlung der Daten gilt ab 01.01.2024.

Herr Weiß, ist eine Umsetzung bis zum 31.12.2023 machbar, wenn man bisher noch nicht tätig geworden ist? Welche Sanktionen muss man als Bank befürchten, wenn man es versäumt, die Meldungen rechtzeitig zu übermitteln? Wer führt die Audits durch, ob ein Zahlungsdienstleister seinen Melde- und Aufzeichnungspflichten nachkommt?

Zum ersten Teil der Frage – ist die Umsetzung noch machbar? Wenn man sich noch gar nicht damit beschäftigt hat, wird es sehr herausfordernd, zumal die wenigen Experten, die es zu dem Thema gibt, vermutlich schon alle in Projekten tätig sind. Wenn es sich um eine kleine Bank mit wenigen zu meldenden Daten und auch keinen allzu speziellen Anforderungen handelt, will ich es nicht ausschließen, dass sich noch Lösungen finden lassen. Aber sportlich wird es auf jeden Fall.

Zum Thema Sanktionen: Im Umsatzsteuergesetz wurden dazu neue Tatbestände erfasst, die genauso geahndet werden wie die Nicht-Aufbewahrung einer Rechnung. Nach unserem Verständnis sprechen wir hier von bis zu 5000 € pro falschem oder nicht korrigiertem Datensatz.

Und dann noch zur Frage wer die Audits durchführt: lt. Gesetz ist in Deutschland das Bundeszentralamt für Steuern hierfür zuständig. Und aus Gesprächen mit dem Bundeszentralamt ist bekannt, dass diese eine Einheit aufbauen, welche solche Prüfungen vornimmt.

Welche Schritte müssen als erstes umgesetzt werden? Liegen die Aufgaben eher im prozessualen Bereich oder ist die technische Aufrüstung der Banksysteme die größere Herausforderung?

Wie in fast jedem IT-Projekt ist der erste Schritt die Bedarfsanalyse (oder auch Requirements Engineering genannt). So ist es auch hier: auf Basis eines definierten Schemas lässt sich ermitteln, in welchen Bereichen die jeweilige Bank betroffen ist, wie sie die Länder der Transaktionen bestimmt etc. Ausgehend davon und den technischen Anforderungen des Kunden ist dann zu bestimmen, über welches System die Meldung erfolgt.

Herr Weiß, vielen herzlichen Dank für das Gespräch!Rudolf Linsenbarth

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert