EU-Richtlinie 95/46/EG, Datenverarbeiter in Drittländern

[Trixi.com]

Hallo,

für ein bestimmtes Projekt wollen wir datenschutzrechtlich auf der sicheren Seite sein, da die Bestimmungen hier in .es mit zum den härtesten Regeln in der EU gehören. Aus diesem Grunde haben wir einen Anwalt beauftragt, das ganze mal zu analysieren...

Die Situation ist folgende: Wir starten bald unter einer generic .es ein Projekt, welches in .de oder .nl gehosted wird.

Hierbei werden im Projekt Daten gesammelt, wie z.B. die Emailaddresse. Nach spanischem Recht ist die Emailadresse ein Identifikationsmerkmal wie z.B. ein Nachname oder Geburtsdatum und unterliegt deshalb besonderer Schutzwürdigkeit.

Und eben deshalb müssen wir sicherstellen, dass entsprechende Schutzmassnahmen für den User greifen, damit kein Missbrauch betrieben wird.

Dazu gehört offensichtlich auch die Datenschutzrichtlinie 95/46

Meine Anwältin sagt, dass wir vom Hoster jetzt einen Vertrag brauchen:

"Standardvertragsklauseln für Datenverarbeiter in Drittländern" /
BESCHLUSS DER KOMMISSIONvom 5.2.2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates

Meine Fragen:

Hat sich mal jemand von Euch damit auseinander gesetzt?

Bei shared servern: Unterschreibt ein Hoster so ohne weiteres ? Ist das bei denen schon gängige Praxis?

Bei dedicated servern: Wenn ich den selber manage, kann ich das Ding dann mit mir selber unterzeichnen? Da ich ja Datenimporteur und Exporteur gleichzeitig bin....

Bin mal gespannt, ob jemand von Euch mit dem Zeugs schon zu tun hatte....

Und wie siehst aus, wenn ich in der EU sitze, aber der Server physisch in der Schweiz (Non-EU)?

Gruss

Gerald

 

[domainhengst]

...
Dazu gehört offensichtlich auch die Datenschutzrichtlinie 95/46
...

Sollte Dich Deine Anwältin auf EU-Richtlinien verweisen, so würde ich die Wahl der Anwältin nochmal hinterfragen.

 

[Trixi.com]

Könntest Du das erläutern?

 

[domainhengst]

Könntest Du das erläutern?

EU-Richtlinien haben für Dich keine praktische Bedeutung. Deren Umsetzung ins nationale Recht ist worauf es ankommt und die kann durchaus von den Richtlinien abweichen, erst verspätet vorgenommen werden oder manchmal auch gar nicht erfolgen.

 

[Trixi.com]

Das ist klar. Nur wäre es der Sache nicht dienlich, wenn ich jetzt hier spanische Gesetze posten würde, welche die EU-Richtlinie 95/46/EG berücksichtigen.

Wobei ich aber mal blauäugig davon ausgegangen bin, dass nach so vielen Jahren die nationale Einführung der o.g. Richtlinie geschehen ist - ich werde die Anwáltin aber sicherheitshalber fragen, ob dies auch wirklich geschehen ist.

Ich frag' nochmal nach...

Tx

 

[Trixi.com]

Also, ich brauche mich nicht nach einer neuen Anwältin umsehen...sie hat sich auf die Directive bezogen, die national in das ensprechende nationale Datenschutzgesetz LOPD in Spanien eingearbeitet wurde...

Ich kann mir durchaus vorstellen, dass diese Direktive auch in Deutschland ensprechend umgesetzt wurde und Anwendung findet.

Kommen wir also zurück zur Ausgangsfrage im ersten Posting. Ich gehe mal davon aus, dass es EU-weit relativ gleich gehandhabt wird...





_______________________________________
Zur Info - falls jemand von den "Spaniern" den Gesetzestext braucht der LOPD....


TÍTULO V
Movimiento internacional de datos
Artículo 33. Norma general.
1. No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.
2. El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países

 

[coder]

... Ich kann mir durchaus vorstellen, dass diese Direktive auch in Deutschland ensprechend umgesetzt wurde und Anwendung findet ...

Dann hast Du aber selbst nicht gelesen, was Du oben verlinkt hast

"Im März 2010 urteilte der Europäische Gerichtshof (EuGH),[1] dass die Bundesrepublik die Vorgabe falsch umgesetzt hat."

 

[Trixi.com]

Doch, doch - habe ich. Evtl. hab' ich es nicht verstanden...M.E. geht es hier mehr um Kompetenzen / Aufsichtsbehörden...

Aber der Richterspruch hebt zunächst ja mal keine Gesetze auf, oder und sagt auch nicht "Alles was von der EU bisher kam und eingearbeitet / umgesetzt wurde hinsichtlich Datenschutz sei obsolet".

Oder?

 

[Arithmos]

Das ist klar. Nur wäre es der Sache nicht dienlich, wenn ich jetzt hier spanische Gesetze posten würde.
Tx

Mach mal - vielleicht verstehe ich dann besser, worum es geht - denn aus diesem Pararaphendschungel in den verlinkten Dokumenten bin ich nach 2 Zeilen intellektuell rausgeflogen ... :help:

Das letzte, was ich glaube, verstanden zu haben ist, dass das nur Daten betrifft, die während der Verarbeitung die Landesgrenzen überschreiten - richtig? Wobei mit "Drittländern" zumindest im Steuerrecht doch nur Staaten außerhalb der EU gemeint sind. Würde .nl und .de also nicht betreffen ...

 

[floES]

Ich habe das auch schon mal von einem anderen Anwalt gehört (und mich gefragt, ob er damit nicht bloß die Gebühren rechtfertigen wollte).

Die Frage ist natürlich auch, wer einen Serversandort nachweist (und auf welchen Verdacht hin). Theoretisch könntest du ja auch einen Server in NL betreiben unter einer IP, die Spanien zugerechnet wird (oder umgekehrt).

Bei dedicated servern: Wenn ich den selber manage, kann ich das Ding dann mit mir selber unterzeichnen? Da ich ja Datenimporteur und Exporteur gleichzeitig bin....

Meine Vermutung: dazu müsstest du nur "Rackspace" oder einen Serverraum mieten und dort deinen eigenen Server (dein Eigentum) aufstellen.

(Und daran schließt sich dann (leicht OT) auch noch die Frage der evtl. dadurch begründeten ausländischen Betriebsstätte an... bin mir nicht sicher, ob es dazu inwischen höchtrichterliche Entscheidungen gibt!?)

 

[Trixi.com]

Serverstandort = Betriebsstätte?

Sehr interessanter Aspekt, der in den Gesamtzusammenhang passt, wenn auch OT. Danke für den Hinweis zur Betriebsstätte.

Die Frage ist sicher nicht unerheblich und nach einem Telefonat mit Florian, sind wir beide auch nicht wirklich schlauer...Sehr viel findet man zur Frage
"Serverstandort = Betriebsstätte?" im Netz nicht...

Wie Florian schon gefragt hat: Gibt es da höchstrichterliche Entscheidungen?

Mir geht's darum: Wir haben ne neue GMBH in Spanien gegründet (SL) und wollen die Netzaktivitäten dort bündeln. Hier unterliegen wir spanischem Steuerrecht. Es wäre aber schwachsinnig in .de z.B. Steuern zu zahlen, bloss weil da ein Server in irgendeinem Datacenter rumsteht...welcher genausogut woanders stehen könnte.


Saludos

Gerald

 

[Adomino]

Mir geht's darum: Wir haben ne neue GMBH in Spanien gegründet (SL) und wollen die Netzaktivitäten dort bündeln. Hier unterliegen wir spanischem Steuerrecht. Es wäre aber schwachsinnig in .de z.B. Steuern zu zahlen, bloss weil da ein Server in irgendeinem Datacenter rumsteht...welcher genausogut woanders stehen könnte.


Saludos

Gerald

Also ich habe eine österr. GmbH und die Geschäftsleitung und Mitarbeiter sind auch in Österreich. Meine Webserver und Nameserver sind in Deutschland und 90% meiner User kommen auch aus Deutschland. Trotzdem zahle ich in Österreich die Steuern (Körperschaftssteuer und Umsatzsteuer) weil es ausschlaggebend ist wo die operativen Entscheidungen getroffen werden.

Andererseits habe ich auch eine deutsche GMBH aber die Geschäftsleitung und Mitarbeiter arbeiten alle in Österreich. Nach einer Steuerprüfung hat das deutsche Finanzamt entschieden, das es eigentlich KEINE deutsche GmbH ist und deshalb sämtliche Steuern (Körperschaftssteuer und Umsatzsteuer) in Österreich zu bezahlen sind obwohl es eine deutsche Firma ist und auch eine eingetragene deutsche Handelsregisternummer hat. Die deutsche Firma hat nun eine österr. UID-Nummer und ist steuerlich gesehen eine österr.Firma. rechtlich gesehen aber eine deutsche Firma. Sämtliche steuerliche Angelegenheiten der deutschen Firma z.B. auch Jahresabschluss der deutschen Firma macht mein österr. Steuerberater.

Es ist deshalb vollkommen egal wo die Server stehen. Entscheidend ist nur wo die Geschäftsleitung und ggf. die Mitarbeiter arbeiten.

Harry

 

[Arithmos]

@Trixi.com: nochmal, da das möglicherweise untergegangen ist:

Dein Problem ist keines, da D und NL keine "Drittstaaten" im Sinne dieser Regelung sind. Daher findet die von Dir verlinkte Regelung hier keine Anwendung.
Das ist natürlich nur meine Meinung und keine Rechtsberatung - aber ich würde an Deiner Stelle mal eine zweite Fachmeinung einholen (und dann die Anwältin wechseln ...)

 

[Trixi.com]

Matthias, der spanische Text redet nur von Ländern (Drittstaaten, die nicht Spanien sind) - es wird nicht explizit zwischen Non-Eu-Ländern und Eu-Ländern unterschieden. Wie kommst Du darauf.

Harry: Interessant. Tx. Das betrachte ich auch als logisch und vernünftig. Allerdings steht hier:

"Demgegenüber vertritt der Steuerausschuss der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung in einem im Jahre 2001 überarbeiteten Stellungnahme zum OECD-Muster-Doppelbesteuerungsabkommen die Ansicht, dass ein Internet-Server sehr wohl eine Betriebsstätte im Sinne des Art. 5 OECD-Musterabkommen sein kann. (Das Musterabkommen wird insbesondere für die Auslegung von Doppelbesteuerungsabkommen herangezogen.) Als Betriebsstätte soll ein Server hiernach dann gelten, wenn mittels der ihm zuzurechnenden Software ein bedeutender Teil der gesamten geschäftlichen Transaktion abgewickelt wird. Tätigkeiten mit Hilfscharakter wie etwa die Internet - Werbung oder Kundeinformation oder die Annahme von Aufträgen, aber auch die Inanspruchnahme eines ausländischen Providers sollen nicht darunter fallen. Personen müssen in einer Betriebsstätte nicht vorhanden sein."

Und genau dass lässt mich zu dem Schluss kommen, dass es evtl. keine einheitliche Reglung / Interpretation gibt zur Frage: Serverstandort = Betriebstätte oder nicht....

Wenn alle Finanzämter das sehen, wie Deines, ist es ja ideal. Aber ist das so?

Gruss

G

 

[Arithmos]

Matthias [...] Wie kommst Du darauf.

Deswegen:

Drittstaaten oder Drittländer sind Staaten, die nicht Vertragspartei oder Mitgliedstaat irgend eines gegenseitigen Abkommens mindestens zweier (anderer) Staaten oder Staatsähnlicher Gebilde wie z.B. der Europäischen Union oder des Europäischen Wirtschaftsraums sind.

Drittstaat ? Wikipedia

... und weil die von Dir verlinkten Dokumente auch ständig EU und Drittstaaten unterscheiden ..

 

[oppo]

Also ich habe eine österr. GmbH und die Geschäftsleitung und Mitarbeiter sind auch in Österreich. Meine Webserver und Nameserver sind in Deutschland und 90% meiner User kommen auch aus Deutschland. Trotzdem zahle ich in Österreich die Steuern (Körperschaftssteuer und Umsatzsteuer) weil es ausschlaggebend ist wo die operativen Entscheidungen getroffen werden.

Andererseits habe ich auch eine deutsche GMBH aber die Geschäftsleitung und Mitarbeiter arbeiten alle in Österreich. Nach einer Steuerprüfung hat das deutsche Finanzamt entschieden, das es eigentlich KEINE deutsche GmbH ist und deshalb sämtliche Steuern (Körperschaftssteuer und Umsatzsteuer) in Österreich zu bezahlen sind obwohl es eine deutsche Firma ist und auch eine eingetragene deutsche Handelsregisternummer hat. Die deutsche Firma hat nun eine österr. UID-Nummer und ist steuerlich gesehen eine österr.Firma. rechtlich gesehen aber eine deutsche Firma. Sämtliche steuerliche Angelegenheiten der deutschen Firma z.B. auch Jahresabschluss der deutschen Firma macht mein österr. Steuerberater.

Es ist deshalb vollkommen egal wo die Server stehen. Entscheidend ist nur wo die Geschäftsleitung und ggf. die Mitarbeiter arbeiten.

Harry

danke harry, das war mir absolut neu. ich dachte eine deutsche gmbh versteuert logischerweise in deutschland, dass es daran festzumachen ist wo wer arbeitet war mir neu, entscheidend ist (war) doch wo der sitz ist der kapitalgesellschaft. natürlich kann das bei den mitarbeitern und deren gehältern anders aussehen, da ist es abhängig davon wo sie wohnen, bzw. gemeldet sind.

eine frage hierzu noch, FF du entschuldigst bitte den halben ot, wo versteuert deine gmbh dann die evtl. anfallende gewerbesteuer?

 

[Trixi.com]

Deswegen:


Drittstaat ? Wikipedia

... und weil die von Dir verlinkten Dokumente auch ständig EU und Drittstaaten unterscheiden ..

Klar Matthias - ich hatte ein Brett vorm Kopf. Ist schon interessant. Die Eu-Direktive spricht von Drittländern, also Ländern ausserhalb des Abkommenbereiches. So verstehen wir das ja, oder? Die Spanier haben dann offensichtlich bei der Einführung das einfach unterschlagen und reden nur noch von Ländern, und nicht mehr von Drittländern. Ich nehme an, dass da das Problem liegt...wobei das ja wiederum eine Blockierung des Binnen-Datenaustausches bedeuten würde...aber wo kein Kläger, da kein Richter...


Zum OT bzg. Steuern, Serverstandort, Betriebsstandort: Nur zu. Entführt den Thead...denn eigentlich geht es im Gesamtkontext ja um Europa / Normen im weitesten Sinne...

Gruss

G

 

[floES]

Ich denke, hier ist DEX gefragt. Ich poste noch mal den Link, den du mir geschickt hattest: LBG-Newsletter - Infos und Tipps

Man beachte den letzten Absatz:

Anders als im Umsatzsteuerrecht wird der Server ertragsteuerrechtlich weiterhin als Betriebsstätte qualifiziert, d.h., Gewinne, die ein Unternehmen mit Sitz im Ausland über einen in Österreich befindlichen Server erzielt, sind in Österreich zu versteuern.

Mein Steuerberate meinte irgendwann mal zu dem Thema: "...das müsste man mal genau recherchieren." (was natürlich mit einem Kostenaufwand verbunden gewesen wäre und ich deshalb nicht durchführen lies)

 

[coder]

Sorry für noch mehr OT

... ich dachte eine deutsche gmbh versteuert logischerweise in deutschland, dass es daran festzumachen ist wo wer arbeitet war mir neu, entscheidend ist (war) doch wo der sitz ist der kapitalgesellschaft ...

Dann müsste England ja richtig glücklich sein, wenn ich an die ganzen englischen Ltd.s in Deutschland denke. Das ist nichts anderes und die Ltd., die ihre Geschäfte (überwiegend) in Deutschland ausübt muss auch hier ihre Steuern zahlen.

 

[oppo]

Dann müsste England ja richtig glücklich sein, wenn ich an die ganzen englischen Ltd.s in Deutschland denke. Das ist nichts anderes und die Ltd., die ihre Geschäfte (überwiegend) in Deutschland ausübt muss auch hier ihre Steuern zahlen.

natürlich ist es was anderes. du weisst schon wo eine ltd mit hauptsitz eingetragen wird? du verwechselst da was mit (zweig)niederlassung.....

eine limited wird zb in england mit hauptsitz eingetragen, "eröffnet" dann eine niederlassung in deutschland, diese (kann) widerum ins deutsche hr eingetragen werden und zahlt hier auch steuern und abgaben. nachdem was harry sagt, würde die deutsche zweigniederlassung der engl. ltd. ihr gesamtes ergebnis in england versteuern......ich glaub das nicht so ganz, aber reinhold wird uns sicher aufklären

anders verhält es sich u.u. wenn die deutsche ltd niederlassung versteuerte gewinne zu ihrer mutter nach england transferiert und die diese an die eigner ausschüttet, evtl. fällt dann wie hier kapitalertragssteuer an