Blogpost

CESOP – Lösungen zur Erfüllung der neuen Meldepflicht für Banken und Zahlungsdienstleister

Ab 01.01.2024 sind alle Banken und Zahlungsdienstleister in der EU zur Meldung von grenzüberschreitenden Zahlungen verpflichtet. Ziel der neuen EU-Richtlinie 2020/284 ist es, über ein zentrales elektronisches Zahlungsinformationssystem (Central Electronic System of Payment Information, CESOP) möglichen Umsatzsteuerbetrug bei grenzüberschreitenden Zahlungen aufzudecken.

Dr. Christian Engel
1481
Banksteuerung
Compliance
Meldewesen
Open Banking
7 Minuten Lesezeit
CESOP

Übersicht

Aufgrund der EU-Richtlinie 2020/284 gelten ab 01.01.2024 neue Aufzeichnungs- und Meldepflichten für Banken und Zahlungsdienstleister. Ziel dieser neuen Richtlinie ist es, über ein zentrales elektronisches Zahlungsinformationssystem (Central Electronic System of Payment Information, CESOP) möglichen Umsatzsteuerbetrug bei grenzüberschreitenden Zahlungen aufzudecken.

Banken und Zahlungsdienstleister haben also nur noch wenige Monate Zeit, ihre technische Lösung umzusetzen beziehungsweise abzuschließen.

In diesem Beitrag geben wir Antworten auf die grundlegenden Fragen zur Richtlinie und den daraus entstehenden Verpflichtungen und zeigen auftretende Probleme und mögliche Lösungswege auf.

CESOP, Darstellung Umsatzsteuerbetrug mit Karussellgeschäft

Abbildung 1: Umsatzsteuerbetrug mit dem Karussellgeschäft

Der in der Abbildung dargestellte Umsatzsteuerbetrug mit dem Karussellgeschäft kann von Spezialisten bei den Finanzbehörden erkannt werden, wenn die Zahlung im Schritt 1 an CESOP übermittelt wurde.

Gesetzliche Umsetzung der Verordnung

Die EU-Richtlinie ist in Deutschland im Jahressteuergesetz 2022 Artikel 17 und den neuen Paragraphen § 22g im Umsatzsteuergesetz am 16.12.2022 verabschiedet worden. Am 01.01.2024, synchron zu anderen von der Richtlinie betroffenen Staaten, tritt die rechtliche Umsetzung und damit die neuen Verpflichtungen für Zahlungsdienstleister in Kraft.

Wer ist betroffen?

Betroffen sind alle Banken und andere Zahlungsdienstleister, die in den 27 Mitgliedsländern der Europäischen Union Zahlungskonten bereitstellen und für ihre Kunden Zahlungen senden oder entgegennehmen. Genau definiert wird dies in der Direktive (EU) 2015/2366 (PSD2), Artikel 1(1). In der rechtlichen Umsetzung in Deutschland, dem Jahressteuergesetz 2022 Artikel 17 mit § 22g UstG und dem Gesetz über die Beaufsichtigung von Zahlungsdiensten (auch „Zahlungsdiensteaufsichtsgesetz“, ZAG), sind Kreditinstitute (Banken), Zahlungsinstitute (Acquirer, Issuer, PSPs usw.), E-Geld-Institute (Prepaid-Karten, elektronische Geldbörse usw.) und Geldtransferdienste eingeschlossen.

Was ist von wem zu melden?

Zu berücksichtigen sind zunächst alle Zahlungen,

  • gleich welchen Betrags,
  • gleich welcher Art (Überweisungen, Lastschriften, Geldtransfers, Karten- und E-Geld-Zahlungen, nicht aber Zahlungen in Bargeld oder Kryptowährungen),
  • die von Zahlern aus einem EU-Mitgliedsland (bestimmt durch dessen IBAN, BIC, IIN, BIN usw.)
  • an einen Zahlungsempfänger in einem anderen Land (innerhalb oder außerhalb der EU) gehen.

Ein Zahlungsdienstleister des Zahlers muss die Zahlungen nur dann berücksichtigen und melden, wenn der Zahlungsempfänger hinsichtlich des Merkmals seines Ortes (bestimmt durch IBAN, BIC, PAN usw.) außerhalb des Wirkungsgebiets der EU-Verordnung liegt.

Beispiel: Angenommen ein Zahlungsdienstleister in Deutschland muss bestimmen, welche grenzüberschreitenden Zahlungen er berücksichtigen muss. Die folgende Tabelle zeigt, dass er in zwei Fällen meldungspflichtig ist:

  • er ist Dienstleister für den Zahlungsempfänger und die Zahlung kommt aus einem anderen EU-Mitgliedsstaat;
  • er ist Dienstleister für den Zahlenden und die Zahlung geht in ein Land außerhalb der EU.
CESOP, Anwendungsfälle für grenzüberschreitende Zahlungen

Abbildung 2: Anwendungsfälle für grenzüberschreitende Zahlungen

Führt der Zahlungsdienstleister innerhalb eines Kalenderquartals 25 oder mehr zu berücksichtigende Zahlungen aus, die an denselben Zahlungsempfänger gehen, müssen alle diese Zahlungen transaktionsbasiert gemeldet werden.

Unter dem Zahlungsempfänger ist die juristische oder natürliche Person zu verstehen, sofern dem Zahlungsdienstleister die für die Identifikation erforderlichen Daten zur Verfügung stehen. Dies ist in der Regel beim Dienstleister des Zahlungsempfängers der Fall, jedoch bei Zahlungen, die an einen Zahlungsempfänger mit Standort außerhalb der EU gehen, ist es dem Zahlungsdienstleister des Zahlers in der Regel nicht möglich, die juristische oder natürliche Person des Zahlungsempfängers zu identifizieren. Dann dürfen Standortmerkmale des Zahlungsdienstleisters des Zahlungsempfängers verwendet werden (IBAN, BIC, BIN).

Die zu meldenden Zahlungsdaten umfassen (Auswahl, nicht vollständig):

  • bezüglich der Zahlung: Datum/Uhrzeit, Betrag, Währung, Zahlungsart;
  • bezüglich des Zahlenden: EU-Mitgliedsland (Standort);
  • bezüglich des Zahlungsempfängers: Name, IBAN, BIC oder ein anderes Merkmal zur Bestimmung des Ortes des Zahlungsempfängers sowie – falls vorhanden – Adresse und Umsatzsteuernummer.

Zahlungsdienstleister sind lediglich verpflichtet, die zur Verfügung stehenden Daten zu übermitteln, nicht jedoch Nachforschungen zu den geforderten Zahlungsinformationen zu tätigen.

Wie geht der Meldeweg?

Zahlungsdienstleister senden die Daten an die zuständige, nationale Finanzbehörde – in Deutschland das Bundeszentralamt für Steuern. Welche Finanzbehörde zuständig ist, richtet sich nach dem Merkmal, an dem das Land des Zahlungsempfängers beziehungweise des Zahlenden (IBAN, BIC, PAN usw.) bestimmt wird. In den überwiegenden Fällen entspricht das dem Land der Tätigkeit des Zahlungsdienstleister.

Die nationalen Finanzbehörden leiten die Daten an die zentrale Datenbank CESOP weiter. Das XML-Format für die Übermittlung an die zentrale Datenbank ist im Payment Data XSD User Guide – CESOP definiert. Das Format für Nachrichten an die nationalen Finanzbehörden leitet sich daraus ab, kann aber unter den Mitgliedsstaaten unterschiedlich erweitert werden.

CESOP, Weg der Meldung und Auswertung der Transaktionsdaten

Abbildung 3: Weg der Meldung und Auswertung der Transaktionsdaten

Wann und wie oft ist zu melden?

Die Daten sind zunächst über den Zeitraum eines Quartals zu sammeln und zu aggregieren. Im Monat des nach dem Quartal folgenden Monats sendet der Zahlungsdienstleister die von ihm zu meldenden Daten an die jeweils zuständige nationale Finanzbehörde. Diese leitet dann die Daten an die zentrale Datenbank CESOP bei der EU weiter.

Bei Fehlermeldungen, zum Beispiel fehlerhaften oder inkonsistenten Daten, muss der Zahlungsdienstleister die Daten korrigieren und erneut übertragen. Bei verspäteter, unvollständiger oder falscher Meldung beziehungsweise fehlender Compliance kann ein Bußgeld von bis zu 915.000 Euro pro Quartal verhängt werden.

Besondere Herausforderungen

Die größte Herausforderung in einem Umsetzungsprojekt besteht dann, wenn der Zahlungsdienstleister Transaktionen auf mehreren Plattformen verteilt prozessiert (Beispiel: Überweisungen im Online-Banking / Kartenzahlungen / Lastschrifteinzug bei Ratenzahlungen). Diese Quellen müssen identifiziert und die Transaktionsdaten an zentraler Stelle gesammelt, aggregiert und evaluiert werden.

Bei den ihm vorliegenden Geschäftsdaten muss der Zahlungsdienstleister des Zahlungsempfängers die natürliche oder juristische Person identifizieren und unabhängig von dem Zahlungskonto oder der Zahlungsart alle Zahlungen an diese Person zusammenführen.

Liegt der Standort des Zahlungsempfängers nicht in einem EU-Mitgliedsland, stellt es für den in diesem Fall meldepflichtigen Zahlungsdienstleister des Zahlenden eine besondere Herausforderung dar, den Zahlungsempfänger zu identifizieren. Er ist jedoch nicht zu Datenrecherchen außerhalb seines Unternehmens verpflichtet. Wenn nicht anders möglich, dürfen hierzu IBAN, BIC, BIN oder andere Merkmale zur Bestimmung des Ortes des Zahlungsdienstleisters des Zahlungsempfängers herangezogen werden. Dies liefert den Steuerbehörden allerdings ein sehr unscharfes Datenbild.

Anforderungen an die Lösung

Betroffene Zahlungsdienstleister hatten nach der Bekanntgabe der Direktive zu evaluieren, ob eine Eigenentwicklung oder eine zugekaufte Lösung eingesetzt werden soll.

Die wichtigsten Anforderungen an eine CESOP-Lösung sind:

  • Erfassung aller Zahlungen an der Quelle der Transaktionserzeugung
  • Zusammenführung der Daten aus den verschiedenen Quellen an einem zentralen Punkt
  • Verarbeitung von Batch-Dateien inhomogener Formate (quellenabhängig)
  • Bestimmung des Landes von Zahler und Zahlungsempfänger und Reduktion auf grenzüberschreitende Zahlungen
  • Anreicherung mit den Daten des Zahlungsempfängers (Zugriff auf Stammdaten)
  • Bestimmung des Zahlungsempfängers (natürliche oder juristische Person), gegebenenfalls mit Zugriff auf Stammdaten
  • Zählung der Zahlungen an denselben Zahlungsempfänger und Überprüfung, ob der Schwellenwert von 25 Transaktionen überschritten ist
  • Erstellung einer Meldedatei im Format der zuständigen nationalen Behörde
  • Berücksichtigung der unterschiedlichen Formate bei der Meldung an die nationalen Finanzbehörden
  • Versendung der Datei an die nationale Behörde
  • Monitoring und Tracking der Meldedateien
  • Fehlermeldung, -verfolgung und -behebung
  • Beachtung der datenschutzrechtlichen Anforderungen

Lösungswege

Bei msg for banking beobachten wir, dass nicht wenige Zahlungsdienstleister erst in der zweiten Jahreshälfte 2023, also innerhalb eines sehr kurzen Zeitraums, die Compliance zu CESOP noch umsetzen müssen. Eine Eigenentwicklung, die vielleicht aufgrund Aufwands, Kosten oder Ressourcenanforderungen ohnehin nicht in Frage kommt, scheidet somit aus. Daher ist bei solchen Zahlungsdienstleistern die Suche nach einer zugekauften Lösung der richtige Weg.

Derzeit bringen verschiedene Anbieter ihre CESOP-Lösungen an den Markt. Üblicherweise wird eine Software „On-Premise“ beziehungsweise im Outsourcing auf Basis einer Lizenz betrieben. Das Preismodell ist zumeist volumenbezogen, kann aber auch eine wiederkehrende Maintenance Fee sein.

Zunächst ist im Umsetzungsprojekt eine Business-Analyse durchzuführen. Dabei sind vor allem die Plattformen oder Systeme zu identifizieren, in denen potenziell meldepflichtige Zahlungstransaktionen verarbeitet werden und somit deren Datenquellen sind. Wie bereits angesprochen ist die Zusammenführung der Daten von besonderer Herausforderung. Die CESOP-Lösung liest die Daten in Batch-Jobs ein, wobei zumeist die Quellen inhomogene Formate liefern und deshalb im Integration Layer eine Customization erfolgen muss. Eine Engine bildet das CESOP-Regelwerk ab und liefert in einer oder mehreren Dateien im CESOP-XML-Format die zu meldenden grenzüberschreitenden Transaktionen und deren Zahlungsempfänger. Abschließend müssen bei Meldung an eine oder mehrere Jurisdiktionen (EU-Mitgliedsstaaten) die Ausgabedateien passend an die Schnittstellen der nationalen Finanzbehörden übertragen werden. Diese und die anderen zuvor genannten Anforderungen an die Lösung sind sicherzustellen.

Im Anbetracht der kurzen Zeit kann es erforderlich sein, externe Ressourcen für die Dauer der Umsetzung einzubeziehen.

CESOP, Lösungswege

Abbildung 4: Workflow einer CESOP-Lösung

Veranstaltungstipp

CESOP – Zentrales elektronisches Zahlungsverkehrssystem

Eine wirtschaftliche Lösung zur Erfüllung der neuen Meldepflicht für Banken und andere Zahlungsdienstleister
17.08.2023 | 15:00 - 16:30 Uhr | kostenlose Live-Demo
Weiterer Termin
14.9.2023 | 10:00 - 11:30 Uhr

Fazit

Die EU-Direktive 2020/0284 und deren Umsetzung in den EU-Mitgliedsstaaten verpflichten alle Zahlungsdienstleister einschließlich Banken zur transaktionsbezogenen Meldung von grenzüberschreitenden Zahlungen, die von einem EU-Mitgliedsland ausgehen. Bereits ab dem 01.01.2024 müssen die Daten gesammelt werden und nach Ablauf des ersten Quartals an die nationale Behörde weitergeleitet werden.

Es besteht dringender Handlungsbedarf für alle Zahlungsdienstleister, die verordnungsgemäße Meldung der Zahlungsdaten umzusetzen – sofern dies nicht schon geschehen ist.

Aus Gründen der Wirtschaftlichkeit oder des Zeitdrucks kann es sinnvoll sein, statt einer Eigenentwicklung eine am Markt befindliche Lösung auszuwählen und zum Einsatz zu bringen.

Quellen
Share: LinkedIn Xing Twitter Facebook
Christian Engel

Dr. Christian Engel

ist Zahlungsverkehrsexperte und bei msg for banking als Principal Business Consultant im Bereich Payments im Einsatz. Seine Hauptthemen sind Consumer/Merchant-Payments im POS und E-Commerce, Regularien (z.B. Instant Payment, CESOP) und Rulebooks des Zahlungsverkehrs sowie Payments-Transformation bei Banken und Corporates. Er verfügt über langjährige Berufserfahrungen als fachlicher Spezialist und Referent im Projekt- und Produktmanagement bei Zahlungsdienstleistern und Finanzinstituten.

Schreiben Sie einen Kommentar

Sie müssen sich anmelden, um einen Kommentar zu schreiben.

Verwandte Beiträge

Entdecken Sie noch mehr interessante Beiträge zu diesem Thema.

Blogpost
3 Minuten Lesezeit

IFD/IFR – neue Meldepflichten für Wertpapierinstitute

Fachartikel
4 Minuten Lesezeit

Konsistente Gesamtlösung für Risikomanagement und Meldewesen in der KEB Hana Bank (NEWS 01-2023)

Fachartikel
4 Minuten Lesezeit

Die Verzahnung aufsichtsrechtlicher Meldewesenparameter mit Vorkalkulation und Banksteuerung