DIE EUROPÄISCHE KOMMISSION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Verordnung (EU) Nr. 904/2010 des Rates vom 7. Oktober 2010 über die Zusammenarbeit der Verwaltungsbehörden und die Betrugsbekämpfung auf dem Gebiet der Mehrwertsteuer, insbesondere auf Artikel 24e,
in Erwägung nachstehender Gründe:
1Mit der Richtlinie 2006/112/EG des Rates in der durch die Richtlinie (EU) 2020/284 geänderten Fassung werden für Zahlungsdienstleister mit Wirkung vom 1. Januar 2024 Meldepflichten eingeführt. Ab dem genannten Datum müssen Zahlungsdienstleister, die in der Europäischen Union niedergelassen sind oder dort Zahlungsdienste anbieten, bestimmte Aufzeichnungen über grenzüberschreitende Zahlungen von Zahlern in Mitgliedstaaten sowie über bestimmte Informationen zu den Zahlungsempfängern führen und diese Aufzeichnungen für die Zwecke der Bekämpfung von Mehrwertsteuerbetrug an die Mitgliedstaaten übermitteln.
2Die Verordnung (EU) Nr. 904/2010 in der durch die Verordnung (EU) 2020/283 geänderten Fassung sieht vor, dass die Mitgliedstaaten diese Informationen an ein zentrales elektronisches Zahlungsinformationssystem („CESOP“) übermitteln, das von der Kommission zu entwickeln, zu pflegen, zu hosten und technisch zu verwalten ist.
3Zur Gewährleistung des reibungslosen Funktionierens des CESOP und gemäß Artikel 24e Buchstabe a der Verordnung (EU) Nr. 904/2010 sind die technischen Maßnahmen zur Einrichtung des CESOP festzulegen. Diese Maßnahmen sollten die erforderlichen CESOP-Funktionalitäten für die in Artikel 24c der Verordnung (EU) Nr. 904/2010 genannten Systemfunktionen vorsehen. Die Maßnahmen sollten außerdem ein hohes Maß an Nutzerfreundlichkeit sicherstellen, indem in CESOP Such- und Visualisierungstools angeboten werden. Des Weiteren sollte das CESOP den Informationsaustausch zwischen Eurofisc-Verbindungsbeamten dahingehend ermöglichen, dass diese direkt im CESOP rasch und sicher Informationen zu Mehrwertsteuerbetrug austauschen können. Ebenfalls festzulegen sind die Maßnahmen, welche die Kommission nach der Einführung des CESOP im Hinblick auf dessen Pflege durchführen sollte, um die operativen Qualitätsstandards der IT-Infrastruktur des CESOP und seiner Funktionalitäten zu gewährleisten und dafür Sorge zu tragen, dass im Fall von Problemen mit der Systemverbindung zwischen Kommission und Mitgliedstaaten die nötigen Updates gemacht werden.
4Während die Mitgliedstaaten als Verantwortliche für das CESOP für dessen Verwaltung zuständig sind, nimmt die Kommission gemäß Artikel 24e Buchstabe b der Verordnung (EU) Nr. 904/2010 eine Reihe von Aufgaben wahr, die sich auf die technische Verwaltung des CESOP als dessen Host und Auftragsverarbeiter beschränken. Diese sollten die für die tägliche Verwaltung des CESOP erforderlichen technischen Aufgaben umfassen, zum Beispiel das Führen von Aufzeichnungen zur Identifizierung der Eurofisc-Verbindungsbeamten, die Zugang zum CESOP haben, das Führen von Aufzeichnungen über die Zahlungsdienstleister, die Daten an Mitgliedstaaten übermittelt haben, die Festlegung geeigneter organisatorischer Sicherheitsmaßnahmen für das CESOP sowie die Ergreifung der nötigen Schulungs- und Unterstützungsmaßnahmen für die Eurofisc-Verbindungsbeamten im Hinblick auf die effektive Nutzung des CESOP.
5Gemäß Artikel 24b Absatz 1 Buchstabe b der Verordnung (EU) Nr. 904/2010 haben die Mitgliedstaaten die Daten mittels eines elektronischen Standardformulars an das CESOP zu übermitteln. Die von den Zahlungsdienstleistern im XML-Format zu meldenden Datenelemente sollten festgelegt werden. Um die Gesamtoperabilität zwischen den nationalen elektronischen Systemen und dem CESOP gemäß Artikel 24b Absatz 3 der Verordnung (EU) Nr. 904/2010 sicherzustellen, sollten die Mitgliedstaaten überprüfen, ob die von den Zahlungsdienstleistern übermittelten Daten die obligatorischen und syntaktisch korrekten Datenelemente gemäß Artikel 243d der Richtlinie 2006/112/EG enthalten, da CESOP nur dann funktionieren kann, wenn die obligatorischen Daten korrekt im CESOP erfasst sind.
6Die Mitgliedstaaten sollten die Eurofisc-Verbindungsbeamten, die Zugang zum CESOP haben werden, benennen und ihre Entscheidung der Kommission mitteilen. Die Kommission sollte diesen Beamten eine eindeutige Kennung für den Zugang zum CESOP zuteilen und, basierend auf den Informationen der Mitgliedstaaten, eine Liste aller Eurofisc-Verbindungsbeamten führen, die Zugang zum CESOP haben.
7Gemäß Artikel 24e Buchstabe g der Verordnung (EU) Nr. 904/2010 hat die Kommission Verfahren festzulegen, um die Anwendung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen für die Entwicklung und den Betrieb des CESOP zu gewährleisten. Einige Sicherheitsaspekte zentraler Komponenten des CESOP hängen auch von der Durchführung nationaler Sicherheitsmaßnahmen ab, beispielsweise Maßnahmen zur Kontrolle der Sicherheit der übermittelten Daten sowie Maßnahmen, die gewährleisten, dass ausschließlich die Eurofisc-Verbindungsbeamten mit einer gültigen eindeutigen Kennung Zugang zum CESOP haben. Daher sollten die Mitgliedstaaten der Kommission Informationen über ihre eigenen Sicherheitsmaßnahmen zur Verfügung stellen. Die Mitgliedstaaten und die Kommission sollten einander über die ergriffenen Sicherheitsmaßnahmen und über die etwaige Notwendigkeit von Verbesserungen dieser Maßnahmen auf dem Laufenden halten.
8Die Verarbeitung personenbezogener Daten im Rahmen dieser Verordnung sowie die Zuständigkeiten der Mitgliedstaaten und der Kommission sind in der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates und in der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates geregelt. Gemäß Artikel 24e Buchstabe h der Verordnung (EU) Nr. 904/2010 sollten die Aufgaben und Zuständigkeiten der Mitgliedstaaten und der Kommission in Bezug auf die Funktionen des Verantwortlichen für das CESOP festgelegt werden. Die Mitgliedstaaten sollten gemeinsam als Verantwortliche für das CESOP betrachtet werden, da sie über die Mittel der Verarbeitung und Nutzung der Daten im CESOP entscheiden. Die Kommission sollte als Auftragsverarbeiter betrachtet werden, da sie bei der Wahrnehmung all ihrer Aufgaben im Namen der Mitgliedstaaten handelt.
9Diese Verordnung sollte erst ab dem 1. Januar 2024 gelten, damit ihr Geltungsbeginn an den Anwendungsbeginn der Verordnung (EU) 2020/283 und der Richtlinie (EU) 2020/284 angeglichen ist.
10Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 konsultiert und hat am 2. Februar 2022 eine Stellungnahme abgegeben.
11Die in dieser Verordnung vorgesehenen Maßnahmen entsprechen der Stellungnahme des Ständigen Ausschusses für die Zusammenarbeit der Verwaltungsbehörden —
HAT FOLGENDE VERORDNUNG ERLASSEN:
Artikel 1
Technische Maßnahmen zur Einrichtung und Pflege des CESOP
1Die Kommission entwickelt technische Maßnahmen zur Einrichtung des CESOP mit folgenden Funktionalitäten:
- Erfassung der von den Mitgliedstaaten übermittelten Zahlungsdaten;
- sichere Speicherung der Zahlungsdaten für höchstens fünf Jahre nach Ende des Kalenderjahres, in dem die Mitgliedstaaten die Informationen an das System übermittelt haben;
- Bereinigung der Zahlungsdaten in Bezug auf Anomalien und Fehler, einschließlich Doppelerfassungen derselben Zahlung;
- Aggregation der Zahlungsdaten für jeden einzelnen Zahlungsempfänger;
- Such- und Visualisierungsfunktionen für die Zahlungsdaten im CESOP;
- Analyse der Zahlungsdaten und deren Abgleich mit den gemäß Artikel 17 Absatz 1 Buchstaben a, b, d, e und f sowie Artikel 33 Absatz 2 Buchstabe b der Verordnung (EU) Nr. 904/2010 gespeicherten und ausgetauschten Daten;
- automatische Analysen und Kennzeichnung verdächtiger Zahlungsempfänger;
- Möglichkeit für die Eurofisc-Verbindungsbeamten, nicht automatisierte Kontrollen und Analysen vorzunehmen;
- Generierung von Berichten über die Ergebnisse der vom CESOP und von den Eurofisc-Verbindungsbeamten durchgeführten Analysen und Kontrollen;
- Bereitstellung einer Infrastruktur zur Zugangskontrollverwaltung für die Eurofisc-Verbindungsbeamten;
- Möglichkeit für die Eurofisc-Verbindungsbeamten, Informationen bezüglich Untersuchungen zu grenzüberschreitendem Mehrwertsteuerbetrug und der Aufdeckung solcher Fälle direkt im CESOP auszutauschen;
- Bereitstellung der technischen Infrastruktur für die Mitgliedstaaten zur Verwaltung der Zugangsrechte ihrer Eurofisc-Verbindungsbeamten.
2Die Kommission nimmt im Rahmen der Pflege des CESOP folgende Aufgaben wahr:
- Gewährleistung des ordnungsgemäßen Betriebs des CESOP und seiner Funktionalitäten;
- Sicherstellen der Wartung außerhalb der Arbeitszeiten;
- Durchführung erforderlicher technischer Updates für das reibungslose Funktionieren des CESOP und zu dessen Verbesserung;
- Behebung technischer Probleme.
Artikel 2
Aufgaben der Kommission im Rahmen der technischen Verwaltung des CESOP
Die Kommission nimmt im Rahmen der technischen Verwaltung des CESOP folgende Aufgaben wahr:
- Verwahrung und Aktualisierung der Liste der Eurofisc-Verbindungsbeamten mit Zugang zum CESOP und deren eindeutiger persönlicher Nutzerkennung gemäß Artikel 5;
- Durchführung der organisatorischen und technischen Sicherheitsmaßnahmen gemäß Artikel 6;
- Erstellung, Verwahrung und Pflege einer Liste der Zahlungsdienstleister, die gemäß Artikel 24b Absatz 1 der Verordnung (EU) Nr. 904/2010 Daten übermittelt haben, basierend auf den von den Mitgliedstaaten bereitgestellten Daten;
- Gewährung eines automatischen Zugangs für die Eurofisc-Verbindungsbeamten mit Zugang zum CESOP zu der gemäß Buchstabe c gepflegten Liste;
- technische Unterstützung der Eurofisc-Verbindungsbeamten bei der Nutzung des CESOP;
- Bereitstellung von Schulungen für die Eurofisc-Verbindungsbeamten in Bezug auf die Nutzung des CESOP.
Artikel 3
Verbindung und Gesamtinteroperabilität zwischen dem CESOP und den nationalen elektronischen Systemen
1Die Mitgliedstaaten treffen alle erforderlichen Maßnahmen, um sicherzustellen, dass die gemäß Artikel 24b Absatz 2 der Verordnung (EU) Nr. 904/2010 eingerichteten nationalen elektronischen Systeme zur Erhebung von Zahlungsinformationen funktionsfähig und in der Lage sind, die Zahlungsinformationen gemäß Artikel 24b Absatz 1 der genannten Verordnung zu erheben.
2Die Mitgliedstaaten übermitteln an das CESOP ausschließlich vollständige Zahlungsinformationen, bei denen alle obligatorischen Felder gemäß Artikel 243d der Richtlinie 2006/112/EG ausgefüllt sind und die den Anforderungen im Anhang der vorliegenden Verordnung entsprechen.
3Die Kommission gewährleistet die Interoperabilität zwischen dem CESOP und den in Absatz 1 genannten nationalen elektronischen Systemen.
Artikel 4
Elektronisches Standardformular
Das in Artikel 24b Absatz 1 Buchstabe b der Verordnung (EU) Nr. 904/2010 genannte elektronische Standardformular ist in einem standardisierten XML-Format gemäß der Datentabelle im Anhang der vorliegenden Verordnung zu übermitteln.
Artikel 5
Praktische Modalitäten hinsichtlich der Eurofisc-Verbindungsbeamten, die Zugang zum CESOP haben werden
1Die Mitgliedstaaten benennen die Eurofisc-Verbindungsbeamten, die Zugang zum CESOP haben werden, und teilen der Kommission deren Namen und E-Mail-Adressen mit.
2Die Mitgliedstaaten informieren die Kommission über etwaige Änderungen der in Absatz 1 genannten Angaben, einschließlich Änderungen bei den benannten Eurofisc-Verbindungsbeamten, rechtzeitig und spätestens 30 Kalendertage nach der betreffenden Änderung.
3Die Kommission teilt den in Absatz 1 genannten Eurofisc-Verbindungsbeamten unverzüglich eine eindeutige persönliche Nutzerkennung für den Zugang zum CESOP zu.
Artikel 6
Verfahren für die technischen und organisatorischen Sicherheitsmaßnahmen für die Entwicklung und den Betrieb des CESOP
1Die Mitgliedstaaten stellen der Kommission Informationen zur Anwendung und zu jeder Aktualisierung ihrer eigenen Sicherheitsmaßnahmen auf nationaler Ebene zur Verfügung.
Diese Informationen müssen Einzelheiten zu den Maßnahmen umfassen, die sicherstellen sollen, dass ausschließlich die in Artikel 5 genannten Eurofisc-Verbindungsbeamten Zugang zum CESOP haben, sowie Einzelheiten zu den Maßnahmen, die die Verschlüsselung der von den Mitgliedstaaten übermittelten Daten sicherstellen sollen.
2Die Kommission informiert die Mitgliedstaaten bis zum 30. April jedes Jahres ab dem Jahr nach Geltungsbeginn dieser Verordnung über die Maßnahmen, die zur Gewährleistung der Sicherheit des CESOP ergriffen wurden.
Diese Informationen müssen mindestens Folgendes umfassen:
- die im Vorjahr eingetretenen Sicherheitsvorfälle und die Art und Weise, wie diese behoben wurden;
- Einzelheiten zu getroffenen Sicherheitsmaßnahmen oder Änderungen bestehender Sicherheitsmaßnahmen;
- eine Bewertung der bestehenden Sicherheitsmaßnahmen und eine Beurteilung, ob nach Ansicht der Kommission Änderungen dieser Maßnahmen erforderlich sind.
Artikel 7
Aufgaben und Zuständigkeiten der Verantwortlichen und des Auftragsverarbeiters
1Die Mitgliedstaaten sind gemeinsam die für das CESOP Verantwortlichen im Sinne der Definition in Artikel 4 Nummer 7 der Verordnung (EU) 2016/679. Die Zuständigkeiten der für das CESOP Verantwortlichen legen Letztere in einer gemeinsamen Vereinbarung fest, die ihre Informationspflichten gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679 sowie die Modalitäten der Wahrnehmung von Rechten durch die betroffenen Personen enthalten muss.
Die Mitgliedstaaten haben folgende Zuständigkeiten:
- Erstellung der technischen Spezifikationen des CESOP und bei Bedarf deren Anpassung, damit die Kommission folgende Aufgaben durchführen kann:
- Einrichtung und Pflege des CESOP gemäß Artikel 1 der vorliegenden Verordnung;
- technische Verwaltung des CESOP gemäß Artikel 2 der vorliegenden Verordnung;
- Gewährleistung der Interoperabilität der in Artikel 24b der Verordnung (EU) Nr. 904/2010 genannten nationalen elektronischen Systeme und CESOP gemäß Artikel 3 Absatz 3 der vorliegenden Verordnung;
- Ergreifung der Sicherheitsmaßnahmen gemäß Artikel 6 Absatz 2 Unterabsatz 1 der vorliegenden Verordnung;
- Festlegung der Regeln und Verfahren für die Auswahl der Eurofisc-Verbindungsbeamten, die Zugang zum CESOP haben werden;
- Beantwortung von Anfragen betroffener Personen bezüglich der Wahrnehmung der in Kapitel III der Verordnung (EU) 2016/679 genannten Rechte.
2Die Kommission ist in Bezug auf das CESOP Auftragsverarbeiter im Sinne der Definition in Artikel 3 Nummer 12 der Verordnung (EU) 2018/1725.
Die Kommission
- verarbeitet die personenbezogenen Daten im Namen der Mitgliedstaaten nach deren Anweisungen und verwahrt die Dokumentation zu diesen Anweisungen;
- gewährleistet die Vertraulichkeit personenbezogener Daten bei der Verarbeitung im Rahmen der vorliegenden Verordnung;
- stellt die notwendige technische Infrastruktur bereit, damit die Mitgliedstaaten die in Absatz 1 Buchstabe c genannten Anfragen beantworten können;
- unterstützt die Mitgliedstaaten bei der Erfüllung ihrer Pflichten gemäß den Artikeln 33 bis 41 der Verordnung (EU) 2016/679;
- gewährleistet die Löschung aller im CESOP gespeicherten personenbezogenen Daten gemäß Artikel 24c Absatz 2 der Verordnung (EU) Nr. 904/2010;
- stellt den Mitgliedstaaten sämtliche Informationen zur Verfügung, die zum Nachweis der Erfüllung der in diesem Artikel genannten Pflichten erforderlich sind, und ermöglicht Prüfungen, einschließlich Kontrollen, durch die Mitgliedstaaten oder durch einen anderen, von den Mitgliedstaaten hiermit betrauten Prüfer und leistet einen Beitrag dazu, unter vollständiger Einhaltung des Protokolls (Nr. 7) zum Vertrag über die Arbeitsweise der Europäischen Union über die Vorrechte und Befreiungen der Europäischen Union.
Artikel 8
Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Sie gilt ab dem 1. Januar 2024.
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Brüssel, den 6. April 2022
Für die Kommission
Die Präsidentin
Ursula VON DER LEYEN
Seite teilen
SeiteTeilenText