DSGVO und die Rückerstattung der Mehrwertsteuer: Eine Einführung

In unserer zunehmend vernetzten, digitalisierten Welt fliegen Daten auf Knopfdruck um den Globus. Zum Schutz personenbezogener Daten von EU-Bürgern und in der EU getätigten Transaktionen trat die Datenschutz-Grundverordnung (DSGVO) in Kraft. Seitdem beschäftigt sie viele Branchen in der Europäischen Union.

Auch die Rückforderung von im Ausland geleisteter Mehrwertsteuer erfordert Daten mit Personenbezug und fällt damit in den Geltungsbereich der DSGVO. Dank verwirrender Definitionen und Gesetze erscheint die Verordnung oftmals komplizierter, als sie eigentlich ist. Deshalb erklären wir an dieser Stelle einige Schlüsselbegriffe sowie die wichtigsten Gesetze.

Kleines DSGVO Glossar

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen. Dazu zählen Namen, E-Mail-Adressen, Privatadressen und Identifikationsnachweise. Darüber hinaus identifiziert die DSGVO Daten besonderer Kategorie. Deren Erhebung und Verarbeitung birgt erhebliche Risiken für die Grundrechte und -freiheiten des Einzelnen. Hierunter fallen beispielsweise Rasse oder ethnische Herkunft, politische Meinungen oder Gewerkschaftszugehörigkeiten, religiöse oder weltanschauliche Überzeugungen sowie Gesundheitsdaten oder genetische Informationen.

Daten, die erhoben, gespeichert oder verarbeitet werden, sind einer betroffenen Person zuzuweisen. Bei der Mehrwertsteuerrückerstattung betrifft dies beispielsweise Mitarbeiter oder Vertreter von Kunden, Lieferanten und Handelspartnern. Innerhalb eines Unternehmens bestimmen Datenverantwortliche den Zweck sowie die Art und Weise der Verarbeitung der Daten. Das kann auch ein Mitarbeiter im Unternehmen sein, der die Datennutzung des Mitarbeiters für die Mehrwertsteuerrückforderung kontrolliert.

Eine Neuerung der DSGVO liegt in dem hohen Stellenwert der Einwilligung, die betroffene Personen für die Erhebung, Speicherung und Verarbeitung ihrer Daten geben müssen. Betroffene Personen müssen eine echte, ständige Wahlmöglichkeit und Kontrolle über die Verwendung ihrer Daten haben. Die Verordnung nimmt Datenverantwortliche in die Pflicht, dieses Einverständnis nachzuweisen, sicherzustellen und zu kontrollieren. Gültige Einwilligungen erfordern eine klare Zustimmung und eine ausdrückliche Entscheidungsmöglichkeit, etwa durch ein Opt-In. Auch die Art der Formulierung und Darstellung wird von der Verordnung geregelt: deutlich sichtbar, von anderen Bedingungen getrennt, kurz und bündig, leicht verständlich und benutzerfreundlich. Die Zustimmung muss sich insbesondere auf den Namen des Kontrolleurs, den Zweck der Verarbeitung und die Art der Verarbeitungstätigkeit beziehen. Unverständliche Formulierungen und versteckte Passagen im Rahmen von AGBs sind seit Inkrafttreten der DSGVO nicht mehr zulässig. Nur mit ausdrücklicher Einwilligung der betroffenen Person ist die Verarbeitung von Daten, auch für die Mehrwertsteuerrückerstattung, zulässig.

Datenverarbeitung durch Dritte: Klare Verantwortlichkeiten

Datenverarbeitung selbst ist weiter gefasst, als der allgemeine Sprachgebrauch vermuten lässt. Unter Verarbeitung fasst die DSGVO alle Vorgänge, die mit den Daten durchgeführt werden. Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Nutzung, Offenlegung durch Übermittlung, Einschränkung, Löschung oder Zerstörung sind allesamt Prozesse der Datenverarbeitung. Kurzum: jede Handlung mit Bezug zu personenbezogenen Daten lässt sich unter den Begriff der Datenverarbeitung fassen.

Gleichwohl Datenverantwortliche für die Sicherstellung eines ausdrücklichen Einverständnis’ der betroffenen Personen verantwortlich sind, können sie für die Verarbeitung Dritte, einen Auftragsverarbeiter, beauftragen. Dies geschieht meist im Zuge einer Dienstleistung, für die Daten mit Personenbezug erforderlich sind. So auch im Falle einer Mehrwertsteuerrückerstattung, bei der zum Beispiel Concur Tax Assurance by Blue dot die Rolle des Auftragsverarbeiters einnimmt. Auftragsverarbeiter besitzen weder die von ihnen verarbeiteten Daten noch kontrollieren sie diese. Sie sind an die Anweisungen des für die Datenverarbeitung Verantwortlichen gebunden.

Nur unter bestimmten, von der DSGVO definierten, Bedingungen ist eine Datenverarbeitung zulässig. Das einfachste und in der Praxis häufigste Szenario ist die Zustimmung der Einzelperson, auch im Rahmen eines Vertrages, bei dem die betroffene Person jedoch Vertragspartei sein muss. Weiterhin rechtfertigen gesetzliche Verpflichtungen, wichtige Interessen, öffentliche Aufgaben und rechtmäßige Interessen die Verarbeitung.

Weitläufige Rechte und Geltungsbereiche

Generell gilt mit der DSGVO: Die Hoheit über die eigenen Daten obliegt der jeweiligen Einzelperson. Ihr muss der Zugang zu den verarbeiteten Daten gewährt werden. Fordert sie eine Berichtigung oder Löschung, muss diese veranlasst werden. Ihre Einwilligung zur Verarbeitung können Einzelpersonen jederzeit anpassen und damit auch die Nutzung auf bestimmte Zwecke einschränken oder der Nutzung widersprechen. Eine Übertragung auf andere Datenverantwortliche und Auftragsverarbeiter kann veranlasst werden. Zudem hat die betroffene Person das Recht, nicht einer Entscheidung zu unterliegen, die aufgrund einer automatisierten Verarbeitung getroffen wurde. Profiling aufgrund von Alter, Geschlecht oder anderen Angaben und darauf basierende Entscheidungen ohne das Zutun der Person sind damit nicht zulässig.

Unklarheiten bestehen oftmals auch bezüglich des geografischen Geltungsbereichs der DSGVO, insbesondere wenn die betroffene Person, Datenverantwortlicher und -verarbeiter an unterschiedlichen Standorten ansässig sind. Befindet sich jedoch die betroffene Person innerhalb der EU, unterliegt die Datenverarbeitung den Bestimmungen der DSGVO.

Unterstützung von Experten

Verstöße gegen die DSGVO können auf Seiten von Unternehmen zu hohen Geldstrafen führen – bis zu 20 Mio. Euro oder 4 % des weltweiten Gesamtjahresumsatzes. Eine hohe Expertise der Datenverantwortlichen, aber auch des Auftragsverarbeiters ist somit unerlässlich. Dank umfangreichem Fachwissen und geschulten Experten gestaltet SAP Concur die DSGVO-konforme Mehrwertsteuerrückforderung so einfach wie möglich.

Gehen Sie das Thema der Mehrwertsteuerrückerstattung richtig an und holen sich Ihr Geld von der Geschäftsreise zurück!