CESOP

Der Mehrwertsteuerbetrug in der EU hat ein beachtliches Ausmaß angenommen: die 100 Mrd.€ Grenze dürfet bald durchschlagen sein. Die europäische Kommission hat daher Gegenmaßnahmen beschlossen und im Februar 2020 eine Richtlinie bzw. eine Verordnung erlassen, die wohl die meisten Zahlungsdienstleister in der EU betrifft. Mit dem Central Electronic System of Payment Information (CESOP) werden künftig verdächtige Zahlungen meldepflichtig. Dieser Artikel gibt einen Überblick zum Thema.

Wie funktioniert Mehrwertsteuerbetrug?

Steuerbetrug durch Mehrwertsteuerhinterziehung in der EU basiert auf einer Besonderheit im europäischen Umsatzsteuerrecht, nach der die Lieferung zwischen EU-Unternehmen umsatzsteuerbefreit sind. Bedingung dabei ist, dass sie nicht im selben EU Land bzw. eine Partei dabei außerhalb der EU ansässig ist. Im einfachsten Fall wird eine Ware von Land A nach Land B umsatzsteuerfrei verkauft und in Land B mit Mehrwertsteuer verkauft. Das Unternehmen in Land B führt die Umsatzsteuer aber nicht ab, sondern „verschwindet“, bevor das Finanzamt die Steuerschuld eintreiben kann.
Oft wird die Ware über Umwege erneut an den ursprünglichen Verkäufer zurück verkauft und das Ganze beginnt von vorne. Inzwischen wurden sehr große solcher Umsatzsteuerkarusselle identifiziert, die in vielen Ländern mit dutzenden Unternehmen agieren. Das Aufdecken des Betrugs und die Strafverfolgung wird für die einzelnen nationalen Behörden extrem aufwändig. Um das Risiko der Entdeckung zu minimieren, haben sich die Betrüger inzwischen auf kleine Einzelumsätze mit hoher Frequenz verlegt.

CESOP ab 2024 verpflichtend! Was ist zu tun?

Üblicherweise müssen Institute sich um Ihre eigenen Kunden (sprich Kontoinhaber) kümmern, bei CESOP geht es aber auch um den ausländischen Zahlungsempfänger, der meist gar keine Rechtsbeziehung zur eigenen Organisation hat. Wenn die eigenen Kunden an einen Empfänger außerhalb der EU Geld senden, ist dies u.U. meldepflichtig. Die bestehenden Filter und Analysen z.B. für AML und KYC werden also nicht helfen können.

Zum 1. Januar 2024 geht das Meldesystem in Betrieb und mit Ende des ersten Quartals 2024 müssen die Meldungen der Payment Service Provider eingehen. Es sind also nicht nur Banken betroffen, sondern u.U. jedes Unternehmen, dass eine Lizenz für Geldgeschäfte hat und selbst Zahlungen ausführt z.B.:

• E-Geld- und Zahlungsinstitute (payone, WEAT,…)
• Marktplatze (Amazon, Otto, ebay…)
• Issuer, Acquirer und drei Parteien Kreditkartengesellschaften (American Express, JCB, Concardis, …)

Ausgenommen sind Vier-Parteien-Kreditkartengesellschaften (Visa, Mastercard) und auch PISP sowie AIS Dienstleister gem. PSD2.

In erster Linie ist zu prüfen, ob die eigenen Kontoinhaber Zahlungen aus dem Ausland (EU, non-EU) erhalten. Sind es mehr als 25 Zahlungen pro Quartal (über alle Zahlarten und Konten!), ist dies meldepflichtig.
Wie oben erwähnt fallen aber auch Zahlungen der eigenen Kunden u.U. unter die Meldepflicht: Wenn der Empfänger im nicht EU Ausland sitzt, muss ebenfalls geprüft werden ob mehr als 25 Transaktionen im Quartal getätigt wurden.
Wer gegen seine Meldepflicht verstößt, dem droht ein Bußgeld. Um die Sorgfalt in Sachen CESOP nachzuweisen ist eine „0“-Meldung ratsam, wenngleich auch derzeit noch nicht Pflicht. Es ist naheliegend, dass bei Verdacht auf Beteiligung der Bank am Steuerbetrug neben der Steuerbehörde auch die Finanzaufsicht den Geschäftsbetrieb sehr schnell genauer untersuchen wird.

Wer ist betroffen?

In den CESOP Leitlinien sind verschiedene Konstellationen von Zahler, Bank und Zahlungsempfänger genannt. Meldepflichtig ist immer diejenige Bank, bei der ein Vorgang überhaupt erkannt werden kann. Um auch Aufteilungen von Zahlungsströmen zu erkennen, müssen Banken alle Zahlungsarten prüfen: Überweisungen, Lastschriften und Kartentransaktionen. Da eine schnelle Abwicklung typisch für Mehrwertsteuerbetrüger ist, wird die Überwachung von SEPA Instant Payments sicherlich auch zu Treffern führen.
Natürlich muss eine Bank auch über mehrere Konten eines Kontoinhabers hinweg die Anzahl der Transaktionen subsumieren.

Auch Dienstleister deren Fokus nicht die Kontoführung ist, sind betroffen: z.B. Marktplatzanbieter und E-Geld-Institute. Wenn min. 25 Auszahlungen an ein und den selben Empfänger pro Quartal getätigt werden, muss eine Meldung erfolgen. Ob die Auszahlung an unterschiedliche Konten erfolgt spielt dabei keine Rolle. E-Geld Institute sind mit ihren Geschäften oft sehr international ausgerichtet. Sie sollen beim filtern von Transaktionen das „Login Land“ des Kunden heranziehen. Wer als Zahlungsdienstleister nicht ausschließen kann, dass er an Zahlungen ins Ausland beteiligt ist, sollte die Vorschrift sehr genau prüfen.

Wie bei den meisten andern Meldepflichten und Statistiken der EU ist auch bei CESOP eine Ausweitung und Verschärfung zu erwarten, da sich die Behörden im Wettlauf mit neuen Ideen seitens der Betrüger befinden.

Welche Daten müssen an CESOP gemeldet werden?

Die Meldepflicht besteht für sehr ausführliche Angaben einer Transaktion, insbesondere hinsichtlich Sender und Empfänger (strukturierte Adressangaben). Ebenso werden auch die beteiligten Banken oder Zahlungsdienstleister abgefragt, evtl. in der Transaktion genannte Steuernummern sowie auch dem Ort der Transaktion, wenn z.B. eine Kartenzahlung am Point of Sale stattgefunden hat. Für die Meldung gibt es ein „elektronisches Formular“ in Gestalt einer XML Schemadateien nebst Handbuch.

Banken mit einem modernen Zahlungsverkehrssystem wie CPG.classic können dieser neuen Meldepflicht beruhigt entgegen sehen.

Quellen: Europäische Kommission