INTERNET WORLD Business





Recht: Stochern im Nebel

Neue Gesetze sollen die Verwendung digitaler Technologien regeln. Nicht selten entstehen aber rechtliche Grauzonen

Das Internet ist längst kein Neuland mehr. Die digitalen Technologien und Anwendungen beeinflussen und verändern unser tägliches Leben unübersehbar. Die bestehende Rechtslage hinkt dem technologischen Fortschritt in vielen Bereichen jedoch nur allzu oft hinterher. Gerade im Hinblick auf die neuen Datennutzungsmöglichkeiten, die die digitalen Technologien eröffnen, fehlt es an einem verlässlichen Rechtsrahmen, der nicht nur den Einzelnen schützt, sondern auch der Technologiebranche insgesamt ausreichend Möglichkeiten zur Ausschöpfung der mit diesen Innovationen einhergehenden Geschäftspotenziale bietet.

Der deutsche und der europäische Gesetzgeber haben nun verschiedene Gesetzesinitiativen auf den Weg gebracht, die den Rechtsrahmen für die digitale Welt neu ordnen sollen.

Veraltetes Datenschutzrecht und variable Auslegung

Eine große Baustelle dabei ist das europäische Datenschutzrecht, das zum einen veraltet ist und zum anderen innerhalb der EU sehr unterschiedlich ausgelegt wird. Beide Schwachstellen sollen nun durch eine neue Datenschutzgrundverordnung behoben werden, über deren Text sich die Kommission, der Rat und das Europäische Parlament im Rahmen der sogenannten Trilog-Verhandlungen soeben geeinigt haben. Die Verordnung soll dann Anfang nächsten Jahres verabschiedet werden. Anschließend haben die betroffenen Unternehmen zwei Jahre Zeit, ihre Datenverarbeitungspraxis den neuen Anforderungen anzupassen.

Weitgehend unklar ist zurzeit noch, unter welchen Voraussetzungen Daten künftig in die USA übertragen werden dürfen. Der Europäische Gerichtshof hatte Anfang Oktober 2015 befunden, dass sich Unternehmen hierfür nicht mehr auf das bestehende Safe-Harbor-Abkommen zwischen der EU und den USA aus dem Jahr 2000 stützen dürfen. Die Unternehmen mussten für die Datenübertragung beim Datenschutz lediglich der in den USA geltenden Selbstverpflichtung gegenüber dem US Department of Commerce nachkommen. Dabei verpflichtet sich der Datenempfänger zur Einhaltung bestimmter Datenschutz- und Datensicherheitsmindeststandards.

Aufgrund der durch die Snowden-Enthüllungen bekannt gewordenen Datenüberwachungsmaßnahmen kam das europäische Gericht jedoch zu dem Schluss, dass mit der Selbstverpflichtung allein kein dem europäischen Datenschutzrecht entsprechendes Datenschutzniveau hergestellt werden könne. Unternehmen, die Datentransfers in die USA bislang auf Basis des Safe-Harbor-Abkommens vorgenommen haben, müssen nun alternative Wege finden. In Betracht kommen zum Beispiel das Einholen der Einwilligung des Betroffenen, die Erarbeitung konzerninterner Datenschutzprogramme (sogenannter Binding Corporate Rules), die Vereinbarung bestimmter, von der Kommission vorgegebener Standardvertragsklauseln sowie andere nach der neuen Grundverordnung vorgesehene Maßnahmen.

Praxistipp: Praktikabel und kurzfristig umsetzbar sind für E-Commerce-Unternehmen, die Daten mit den USA austauschen, hierbei eigentlich nur die Standardvertragsklauseln. Diese müssen mit allen Unternehmen (auch konzerneigenen!) abgeschlossen werden, an die Daten übertragen werden. Sie werden als Formular von der Kommission zur Verfügung gestellt, und müssen nur noch auf den konkreten Fall bezogen ausgefüllt werden.Die Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten haben den Entscheidungsträgern in Brüssel zudem eine Frist bis Ende Januar 2016 gesetzt, um gemeinsam mit den US-Behörden eine Alternative zum Safe-Harbor-Programm zu entwickeln, die den Bedenken des EuGH ausreichend Rechnung trägt. Abzuwarten bleibt, ob Brüssel diese Forderungen fristgemäß erfüllen kann.

Neue Anforderungen an die Datensicherheit

Neben den Anforderungen an Datenschutz und Datenexport stellen sich bei der Entwicklung neuer digitaler Technologien zudem verstärkt Fragen zur Datensicherheit. Der Bundestag hat hierzu bereits im Juni dieses Jahres das IT-Sicherheitsgesetz (IT-SG) verabschiedet, mit dem Betreiber sogenannter „kritischer Infrastrukturen“ verpflichtet werden, bestimmte technische Sicherheitsmaßnahmen zu implementieren, Datensicherheits-Audits durchzufüh ren und Störfälle dem Bundesamt für Sicherheit in der Informationstechnik zu melden. Unklar ist derzeit allerdings noch, wer als Betreiber „kritischer Infrastrukturen“ anzusehen ist und somit zum Kreis der Verpflichteten gehört.

Im Gesetz ist eher vage formuliert, dass es sich hierbei um Einrichtungen oder Anlagen aus den Bereichen Energie, Informationstechnik, Telekommunikation, Transport, Verkehr, Gesundheit, Wasser, Ernährung, Finanzwesen und Versicherungswesen handelt, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. Die Einzelheiten sollen in einer separaten Rechtsverordnung festgelegt werden, mit deren Verabschiedung nicht vor Anfang 2016 zu rechnen ist. Inwiefern einzelne Technologieunternehmen unter das Gesetz fallen, bleibt abzuwarten. Insgesamt geht der Gesetzgeber davon aus, dass etwa 200 deutsche Unternehmen betroffen sein werden.

Praxistipp: E-Commerce-Unternehmen fallen auch dann unter das neue Gesetz, wenn sie keine „kritische Infrastruktur“ anbieten. Das Gesetz enthält Sonderregelungen für Telemediendienste, die in Paragraf 13 Abs. 7 TMG umgesetzt wurden. Danach müssen E-Commerce-Unternehmen durch technische und organisatorische Vorkehrungen (wie insbesondere Verschlüsselungsverfahren) sicherstellen, dass kein unerlaubter Zugriff auf die technischen Einrichtungen und gespeicherten (Kunden-)Daten möglich ist. Ein wichtiger erster Schritt ist, sich genau zu vergewissern, welche präventiven Systeme bereits vorhanden sind und welche Risiken noch abgedeckt werden müssen – und bereits diesen Schritt genau zu dokumentieren.

Für Anbieter digitaler Dienstleistungen im B2C-Handel gelten seit dem durchzufüh01.01.2015 neue Regelungen zur Umsatzsteuer: Während bis dahin die Umsatzsteuer in dem Land zu entrichten war, in dem der Unternehmer ansässig ist, kommt es nunmehr darauf an, wo der Kunde seinen Wohnsitz oder gewöhnlichen Aufenthalt hat. Die neuen Regelungen beruhen auf EU-Recht und gelten daher im Grundsatz in allen EU-Mitgliedstaaten.

Zentrale USt-Erklärung spart Aufwand

Zur Erfüllung der sich daraus ergebenden steuerlichen Pflichten müssen sich alle Unternehmen, die digitale Dienstleistungen im B2C-Handel anbieten, in jedem Mitgliedstaat, aus dem die Leistungen abgerufen werden, umsatzsteuerlich erfassen lassen und dort ihren Erklärungspflichten nachkommen.

Praxistipp: In Deutschland können entsprechende Umsätze in anderen Mitgliedstaaten auch dem Bundeszentralamt für Steuern gemeldet und geschuldete Steuern dort abgeführt werden. Um einschätzen zu können, inwieweit Internet-Unternehmen von den neuen Pflichten betroffen sind, ist es ratsam zu prüfen, in welchen Ländern der EU die angebotenen Dienste tatsächlich abrufbar oder etwa durch Geo-Blocking gesperrt sind.

In diesem Zusammenhang wurde auch neu geregelt, dass für digitale Dienstleistungen, die über Plattformen wie App Stores vertrieben werden, die Plattformbetreiber als Leistende gegenüber dem Endverbraucher gelten. Damit ist grundsätzlich der Plattformbetreiber derjenige, der verpflichtet ist, alle Umsätze zu melden, die über die jeweilige Plattform getätigt werden. Etwas anderes gilt nur noch dann, wenn der Anbieter gegenüber dem Endkunden ausdrücklich als Leistender benannt wird, dies vertraglich geregelt ist und auch in den Rechnungen zum Ausdruck gebracht wird, dass der Drittanbieter die Leistung erbringt.

Leider stimmen der Wortlaut des deutschen Gesetzes und der entsprechenden EU-Regelungen nicht überein, sodass zu befürchten ist, dass die Anwendung der Vorschriften in Deutschland von der anderer EU-Staaten abweichen wird. Gleichzeitig ergeben sich Zweifel an der Vereinbarkeit der verschiedenen Regelungen mit höherrangigem EU-Recht. Die Entwicklung bleibt abzuwarten.

Zudem bestehen für alle betroffenen Unternehmen umfassende Aufzeichnungspflichten, um eine Überprüfung der ordnungsgemäßen Erfüllung der steuerlichen Pflichten auch in den anderen Mitgliedstaaten zu ermöglichen (z. B. Rechnungsanschrift des Kunden, IP-Adressen oder andere Lokalisierungsverfahren, Bankangaben, SIM-Karte u. Ä.). Diese Informationen sind zehn Jahre aufzubewahren. Ob und inwieweit die steuerlichen Aufzeichnungspflichten mit datenschutzrechtlichen Vorgaben in Einklang zu bringen sein werden, ist bislang nicht geklärt. Zwar hat der Bundesfinanzhof die Auffassung vertreten, dass das Interesse des Staates an einer gleichmäßigen und vollständigen Steuererhebung Vorrang vor dem Recht auf informationelle Selbstbestimmung hat, ob diese Auffassung aber auch vor dem Bundesverfassungsgericht Bestand haben wird, ist offen.

Die Zukunft bleibt also spannend. Der Gesetzgeber scheint die Digitalisierung als aktuelles Thema erkannt zu haben. Wenn er sich beeilt, könnte er mit den technologischen Entwicklungen Schritt halten. ❚


Georg von Wallis

(li.) leitet als Partner der Kanzlei Greenberg Traurig Germany den Bereich Steuerrecht. Carsten Kociok (re.) berät als Senior Associate v. a. Fintech- und E-Commerce-Unternehmen.

www.gtlaw.com

Weitere Bilder
comments powered by Disqus