HPS Steuerberatungsgesellschaft PartGmbB - Herford Schillerstraße 16 32052 Herford Deutschland +49522110530 +495221105353 http:/www.hps-consulting.de/ 52.114259 8.669278
HPS Steuerberatungsgesellschaft PartGmbB
Email: info@hps-consulting.de
Phone: +49 5221 1053 0
Fax: +49 5221 1053 53
Url:
Schillerstraße 16
Herford, DE 32052
HPS Logo HPS Logo
Veröffentlichungen

Cybererpressung? Ist die Lösegeldzahlung Betriebsausgabe?

Veröffentlichungsdatum: 11.11.2021
Autor: Martin Schrahe
Erschienen in: Service-Seiten Finanzen Steuern Recht OWL 2021/22

Weltweit explodiert die Cyberkriminalität. In Deutschland stieg die Zahl der im Jahr 2020 angezeigten Straftaten auf rund 108.000. Während der Pandemie wuchs die Anzahl der Mitarbeiter im Home-Office rasant. Von dort wählen sich die Mitarbeiter in das IT-System des Arbeitgebers ein und öffnen so häufig auch ein Einfallstor für Cyberkriminelle. Aber nicht nur das Home-Office, auch die Nachlässigkeit vieler Unternehmen in punkto IT-Sicherheit machen es den Hackern oft einfach in die IT-Systeme einzudringen. Nicht nur Großunternehmen sind betroffen, immer mehr kleinere Firmen und Selbständige werden Opfer von Cyberkriminellen. Mit Ransomware-Attacken, bei denen Hacker Unternehmensdaten verschlüsseln, wird i. d. R. erfolgreich versucht von den Unternehmen ein Lösegeld (Englisch: ransom) für die Daten zu erpressen. Wird kein Lösegeld gezahlt, droht man mit der Veröffentlichung der Daten. Fälle in denen Millionenbeträge gefordert und auch gezahlt wurden, sind mittlerweile keine Seltenheit mehr. Lösegelder werden in Kryptowährungen verlangt, meist Bitcoin, bei denen es so gut wie unmöglich ist, den regelmäßig ausländischen Empfänger zu ermitteln.

Diese Aufwendungen sind zweifelsohne durch den Betrieb veranlasst. Aber sind es auch abziehbare Betriebsausgaben? Die Frage ist nicht so einfach zu beantworten, denn nach § 160 der Abgabenordnung (AO), muss der Steuerpflichtige auf Verlangen dem Finanzamt den Empfänger der Zahlung genau benennen. Das dürfte in diesen Fällen nahezu unmöglich sein.
In der Rechtsprechung differenzierte der Bundesfinanzhof (BFH) für die Frage der Abzugsfähigkeit als Betriebsausgaben nach dem Grund bzw. Auslöser der Erpressung. Sind die Erpressungshandlungen, auf die spezifischen Lebensverhältnisse des Opfers oder einer ihm nahestehenden Person ausgerichtet und haftet dem Opfer das Risiko an, erpresst zu werden, weil es z.B. in großzügigen Einkommensverhältnissen lebt, ist dies für die Beurteilung der betrieblichen Veranlassung nebensächlich. Die Lösegeldzahlung wird als nicht ausschließlich betrieblich veranlasst und damit als „privat“ eingestuft. Ein Betriebsausgabenabzug ist selbst dann nicht möglich, wenn der Unternehmer in seinem Betrieb oder auf dem Weg von seinem Betrieb zu seiner Wohnung bedroht worden ist. Auch wenn die Täter auf ihr Opfer durch dessen Unternehmen mit seiner medialen Darstellung aufmerksam geworden sind, ist dies für die betriebliche Veranlassung der Aufwendungen ohne Bewandtnis.

Gleichwohl gibt es betrieblich veranlasste Erpressungen. Unzweifelhaft erscheint dies etwa im Bereich der Produkterpressungen und bei Taten, die der Cyberkriminalität zuzuordnen sind, wie die Lösegeldzahlung für die Entschlüsselung mit Ransomware infizierter IT-Systeme des Unternehmens. Der Betriebsausgabenabzug ist hier grundsätzlich möglich. Der Betriebsausgabenabzug für Erpressungs- und Lösegelder wurde in der Vergangenheit regelmäßig versagt, wenn das Opfer nach Aufforderung durch die Finanzbehörde die Benennung des Zahlungsempfängers verweigert, um bspw. nicht erneut in den Fokus der Erpresser zu gelangen.
Fraglich ist, ob ein Empfängerbenennungsverlangen vom Finanzamt stets ermessensgerecht ist. Diesbezüglich kann man eindeutig festhalten: nein. Ein Benennungsverlangen als erste Stufe der Ermessensausübung ist grundsätzlich rechtmäßig, wenn aufgrund der Lebenserfahrung die Vermutung naheliegt, dass der Empfänger der Zahlung diese zu Unrecht nicht versteuert.

Davon geht die Finanzbehörde regelmäßig aus, wenn Name und Anschrift des Zahlungsemfängers unzutreffend oder nicht vollständig gemacht wurden. Allerdings steht das Benennungsverlangen in besonderem Maße unter dem Gesichtspunkt der Zumutbarkeit. Das bedeutet, dass das Verlangen nicht unverhältnismäßig sein darf und die für den Steuerpflichtigen zu befürchtenden Nachteile (z. B. wirtschaftliche Existenzgefährdung) nicht außer Verhältnis zum beabsichtigten Aufklärungserfolg stehen dürfen. Entscheidend ist daher, inwieweit es für den Steuerpflichtigen zu diesem Zeitpunkt zumutbar war, sich nach den Gepflogenheiten eines ordnungsmäßigen Geschäftsverkehrs der Identität seines jeweiligen Geschäftspartners zu vergewissern, um so in der Lage zu sein, ihn als Empfänger von Zahlungen zutreffend zu benennen.
Ermessensfehlerhaft ist das Verlangen nur, wenn nach den Gesamtumständen kein Zweifel daran besteht, dass durch die Einnahme etc. beim Gläubiger oder Empfänger kein steuerpflichtiger Tatbestand verwirklicht worden ist und somit auch kein Steuerausfall entstanden sein kann. Die Frage des Steuerausfalls ist auf die deutsche Steuer zu beziehen. Bei Zahlungen an einen im Ausland ansässigen Empfänger, kann ein Benennungsverlangen grundsätzlich nicht auf § 160 AO gestützt werden.

Weitere Ermessensgrenzen des Benennungsverlangens können sich aus dem Übermaßverbot ergeben. Das Übermaßverbot oder auch Verhältnismäßigkeitsprinzip gebietet allgemein, dass die von der Behörde gewählte Maßnahme geeignet und erforderlich sein muss, um den erstrebten Zweck zu erreichen. Der alleinige Zweck besteht darin, Steuerausfälle im Inland zu verhindern. Daher kann bei Zahlungen an einen im Ausland ansässigen Empfänger ein Benennungsverlangen grundsätzlich nicht auf § 160 AO gestützt werden. Für einen steuermindernden Abzug solcher Auslandszahlungen trägt indes der Steuerpflichtige eine (erhöhte) Darlegungs- und Feststellungslast.

Nach dem Anwendungserlass zur AO soll bei Zahlungen an ausländische Empfänger auf den Empfängernachweis verzichtet werden, wenn feststeht, dass die Zahlung im Rahmen eines üblichen Handelsgeschäfts erfolgte, der Geldbetrag ins Ausland abgeflossen ist und der Empfänger nicht der deutschen Steuerpflicht unterliegt. Hierzu ist der Empfänger in dem Umfang zu bezeichnen, dass dessen Steuerpflicht im Inland mit hinreichender Sicherheit ausgeschlossen werden kann. Die bloße Möglichkeit einer im Inland nicht bestehenden Steuerpflicht reicht lt. BFH nicht aus. In geeigneten Fällen ist eine Erklärung der mit dem Geschäft betrauten Personen sowie des verantwortlichen Organs des Unternehmens zu verlangen, dass ihnen keine Umstände bekannt sind, die für einen Rückfluss der Zuwendung an einen inländischen Empfänger sprechen. Bei Zahlungen an ausländische Gesellschaften verlangt das Finanzamt häufig Angaben zu den Gesellschaftern, an die die Gelder letztlich gelangt sind.

Die Ransomware-Banden werden von Fachleuten vor allem im Ausland verortet. Das finnische Sicherheitsunternehmen F-Secure hat im vierten Quartal 2016 Angriffe untersucht, woher diese stammen. Insgesamt gab es im Studienzeitraum 5.150.664 Angriffe auf Deutschland.

Top 10 der Cyberattacken auf Deutschland nach Herkunftsländern:
Russland – 75,5 Prozent. China – 7,2 Prozent, Frankreich – 3,1 Prozent aller Angriffe, Vietnam – 2,8 Prozent, USA – 2,7 Prozent, Niederlande – 1,6 Prozent, Deutschland – 1,1 Prozent, Großbritannien – 0,9 Prozent, Ukraine – 0,8 Prozent und Polen – 0,8 Prozent aller Angriffe (Quelle: Computerbild, 5.4.2017).

Nach dieser Untersuchung kann m. E. nach mit hinreichender Sicherheit eine Steuerpflicht im Inland für Lösegeldzahlungen deutscher Unternehmen ausgeschlossen werden. Steuerpflichtige sind gut beraten eine möglichst sorgfältige und umfangreiche Dokumentation zu erstellen. Es bleibt zu hoffen, dass die Finanzbehörden in diesen Fällen mit Augenmaß vorgehen. Es ist allerdings zu erwarten, dass aufgrund der stetig wachsenden Bedeutung die Finanzgerichte sich in den nächsten Jahren mit dem Thema beschäftigen müssen.

Zurück zu den Veröffentlichungen