Suchformular öffnen Menü öffnen
Anwaltssuche
Suche
Datenschutz und Cybersecurity
  • 27 Jun 2021
  • 4 Minuten Lesezeit

Grenzüberschreitendes Datenschutzmanagement – Berücksichtigung von Verrechnungspreisimplikationen

Verfasst von

Kathrin Isabelle Averwald

Die Datenschutz-Grundverordnung (DSGVO) stellt umfangreiche Anforderungen an die Implementierung von Datenschutzorganisation und unternehmensinterne Prozessen zur Gewährleistung von Datenschutz-Compliance. Bei Verstößen gilt seit 2018 ein Bußgeldrisiko von bis zu 4% des globalen Vorjahresumsatzes. Parallel zu ersten behördlichen und gerichtlichen Entscheidungen haben verschiedene Länder weltweit begonnen, ihre Datenschutzgesetzgebung zu novellieren und orientieren sich dabei häufig an der DSGVO. Diese Entwicklungen haben dazu geführt, dass international tätige Konzerne Datenschutzprogramme aufgelegt haben. In vielen Fällen wurden zentrale Datenschutzkompetenzen auf Ebene der Konzernobergesellschaft aufgebaut, aber auch Verantwortliche unternehmensübergreifend festgelegt. In der Folge erbringen Konzernmütter oftmals vielfältige Dienstleistungen an ausländische Konzerngesellschaften. Insoweit stellt sich die Frage der Verrechnung erbrachter Dienste innerhalb des Konzerns.

Der Fremdvergleichsgrundsatz

Sobald ein grenzüberschreitender Liefer- oder Leistungsaustausch zwischen Unternehmen eines Konzerns vorliegt, stellt sich aus steuerlicher Sicht die Frage der Vergütung dieser Transaktion. Für diese Vergütung wird der Begriff der „Verrechnungspreise“ verwendet. Verrechnungspreise dienen dazu, dass der Gewinn des Konzerns wertschöpfungsadäquat auf die Länder verteilt wird, in denen Konzerngesellschaften ansässig sind. Hierbei kommt der sogenannte Fremdvergleichsgrundsatz zur Anwendung. D.h., grenzüberschreitende Geschäftsvorfälle zwischen Konzerngesellschaften müssen so vergütet werden, wie es voneinander unabhängige Dritte unter gleichen oder vergleichbaren Verhältnissen vereinbart hätten (vgl. § 1 Abs. 1 S. 1 AStG).

Beschreibung der grenzüberschreitend zu erbringenden Datenschutzleistungen

Die hohen und umfangreichen Anforderungen der DSGVO sind im gesamten Konzern in der EU umzusetzen. Auch außerhalb der EU gilt dies bezüglich der aus der EU heraus übermittelten personenbezogenen Daten. Dazu kommen ggf. ähnliche Anforderungen aus anderen Jurisdiktionen. Die Umsetzung erfolgt durch ein Datenschutzmanagementsystem. Dahinter verbirgt sich die Gesamtheit der in einer Organisation/im Konzern eingerichteten Datenschutz-Maßnahmen, Strukturen und Prozesse, um Regelkonformität herzustellen.

Insoweit sind nicht nur konzernweit verbindliche Richtlinien und Verfahrensanweisungen zu verabschieden, die die konkreten Rechte und Pflichten der Beschäftigten festlegen bzw. die gesetzlichen Pflichten konkretisieren und in die Konzernrealität „übersetzen“. Zusammengefasst können bei (international) agierenden Konzernen beispielsweise die folgenden Leistungen grenzüberschreitend erbracht werden:

  • Prüfungs- und Beratungsleistungen des Konzern-Datenschutzbeauftragten, seines Teams und der Datenschutzkoordinatoren,
  • Prüfungstätigkeit der Prozess-, System- und Applikationsverantwortlichen,
  • Datenschutzbewertung im Einkauf,
  • Bewertung durch die IT zur Angemessenheit der Datensicherheit,
  • Durchführung von Schulungen/eLearning sowie Sensibilisierungsmaßnahmen,
  • Betrieb einer Datenschutzmanagementsoftware zur Dokumentation der Compliance.

Verrechnung von Datenschutzleistungen

Die einzelnen Datenschutzleistungen sind aus steuerlicher Sicht dahingehend zu prüfen, ob sie zwischen den Beteiligten verrechnet werden dürfen. Hierbei ist maßgeblich, ob mit der Tätigkeit der leistungserbringenden Gesellschaft ein wirtschaftlicher Vorteil bei den Leistungsempfängern einhergeht, der deren wirtschaftliche Position fördert (sog. „benefit test“). Sofern die Leistungsempfänger im Gegenzug zu den erhaltenen Datenschutzleistungen keine eigene Datenschutzfunktion vorhalten müssen, bedeutet dies für sie ersparte eigene Kosten, weshalb ein wirtschaftlicher Vorteil gegeben ist.

Nachdem festgestellt wurde, welche Datenschutzleistungen verrechenbar sind, ist zu entscheiden, nach welcher Methodik die Verrechnung erfolgen soll. In der Regel werden konzerninterne Dienstleistungen kostenbasiert verrechnet. Hierfür ist es erforderlich, die entsprechende Kostenbasis ermitteln zu können. Es ist daher zu empfehlen, für die Erfassung der Datenschutzkosten eine separate Kostenstelle einzurichten.

Die genaueste, aber auch administrativ aufwendigste Art der Dienstleistungsabrechnung ist die „direkte Einzelabrechnung“. Dies wäre beispielsweise der Fall, wenn die leistungserbringende Gesellschaft die Kosten der Datenschutz-Mitarbeiter in Stundensätze umrechnet. Die Beschäftigten müssten Stunden aufschreiben und zuordnen, wie viele Stunden sie jeweils im Interesse welcher Konzerngesellschaft gearbeitet haben. Aus der Multiplikation der Anzahl aufgeschriebener Stunden und der Stundensätze ergibt sich der jeweilige Rechnungsbetrag.

Aufgrund des großen Aufwands der Stundenerfassung setzen die meisten Unternehmen auf eine indirekte Umlageverrechnung. Hierbei werden die angefallenen Kosten anhand eines Umlageschlüssels auf die partizipierenden Konzerngesellschaften umgelegt. Der gewählte Umlageschlüssel sollte hierbei so gut wie möglich den Nutzen der Leistungsempfänger widerspiegeln.

Festlegung eines fremdüblichen Gewinnaufschlags

Bei konzerninternen Dienstleistungen ist ein Gewinnaufschlag anzuwenden, der dem entsprechen soll, der auch zwischen unabhängigen Dritten zur Anwendung kommen würde. In vielen Fällen stellen Datenschutzleistungen eine Unterstützungsfunktion dar und sind nicht Teil des Kerngeschäfts des Konzerns. Darüber hinaus sind für die Erbringung von Datenschutzleistungen in der Regel keine einzigartigen und wertvollen immateriellen Wirtschaftsgüter notwendig und es werden hierbei auch keine solchen erzeugt.

Sofern diese Voraussetzungen erfüllt sind, können Datenschutzleistungen grundsätzlich als Dienstleistungen mit geringer Wertschöpfung klassifiziert werden. Gemäß den OECD-Richtlinien für Verrechnungspreise ist daher ein Gewinnaufschlag von 5% als fremdüblich zu betrachten. Darüber hinaus könnte es aber auch Fälle geben, in denen der Datenschutz ggf. als eine Kernkompetenz betrachtet werden muss (beispielsweise bei stark digitalen Geschäftsmodellen). In solchen Konstellationen können umfangreichere Untersuchungen zur Bestimmung eines fremdüblichen Gewinnaufschlags notwendig sein.

Fazit

In der Praxis ist festzustellen, dass beim Aufbau und der Erbringung grenzüberschreitender Datenschutzleistungen innerhalb von Konzernen deren fremdübliche Verrechnung nicht immer ausreichend gewürdigt wird.

Es ist zu empfehlen, beim Aufbau entsprechender Datenschutzprogramme sehr frühzeitig die Steuerabteilung zu informieren und mit einzubinden. Hierdurch können die Datenschutzprozesse bereits von Anfang auch aus steuerlicher Sicht angemessen aufgebaut, verrechnet und dokumentiert werden.

Kontaktieren Sie uns

Dr. Jan-Peter Ohrtmann

Partner Düsseldorf
IP/IT Commercial Datenschutz und Cybersecurity

Tel.  +49 211 981-2572

Mail  E-Mail

Profil anzeigen

Weitere Fachbeiträge und Blogs

Financial Services
Taking stock of the Single Resolution Board’s new Single Resolution Mechanism Vision 2028 Strategy
  • 12 Apr 2024
  • 13 Minuten Lesezeit
Financial Services
EIOPA sets supervisory expectations on reinsurance concluded with third-country (re)insurance undertakings
  • 09 Apr 2024
  • 10 Minuten Lesezeit
Öffentliches Wirtschaftsrecht Datenschutz und Cybersecurity IP/IT
The first UN resolution on the regulation of AI – nice to have or big move?
  • 08 Apr 2024
  • 3 Minuten Lesezeit
Alle Fachbeiträge und Blogs