Cyberkriminalität: Wann sind Schäden Betriebsausgaben?
Phishing, gehackte Rechnungen, Cyber-Erpressung: Nicht alle Betrugsschäden können Handwerker von der Steuer absetzen, wie drei Beispiele zeigen.
-square.jpg&w=1080&q=75)
Cyberangriffe auf Unternehmen haben im letzten Jahr weiter zugenommen, meldet der Digitalverband Bitkom. Besonders häufig trafen Ransomware-Attacken die Firmen: Hacker verschlüsseln Daten und geben sie erst nach Lösegeldzahlung frei. Laut Bitkom waren 34 Prozent der Unternehmen betroffen.
Können Handwerksbetriebe solche Cyberschäden steuerlich als Betriebsausgaben absetzen? Grundsätzlich ja, erklärt Alison Siefert, Vorstandsmitglied der Steuerberaterkammer Niedersachsen. Voraussetzung sei aber, dass der Schaden rein betrieblich bleibt. Kommen private Belange ins Spiel, entfällt der Betriebsausgabenabzug, warnt Siefert.
An drei Beispielen erläutert die Steuerberaterin, was Unternehmen bei Cyberangriffen steuerlich noch beachten müssen:
1. Ransomware-Angriff: Lösegeldzahlungen nach Cybererpressung
Angriff: Hacker sperren den Zugriff auf Firmendaten.
Schaden: Der Betrieb zahlt Lösegeld, um wieder Zugriff zu erhalten.
Steuern: Beim Betriebsausgabenabzug gibt es eine Hürde, sagt Siefert. „Nach § 160 der Abgabenordnung müssen Unternehmen den Empfänger benennen.“ Doch das ist bei Ransomware-Angriffen unmöglich, da Hacker das Lösegeld in Kryptowährungen fordern und anonym bleiben. Es gebe jedoch Hinweise, dass die Finanzverwaltung die Empfängernennung inzwischen als unzumutbar betrachtet und den Steuerabzug akzeptiert, so Siefert. Voraussetzung sei allerdings, dass ein Unternehmen nicht durch mangelhafte IT-Sicherheit zur Erpressung beigetragen hat.
Tipp: Siefert rät jedoch, sich nicht alleine auf den guten Willen des Finanzamtes zu verlassen. Eine Cyberpolice, die solche Schäden abdeckt, sei in jedem Fall eine gute Investition.
2. Datendiebstahl: Bankdaten gehackt, Konto leergeräumt
Angriff: Kriminelle dringen in das Firmennetzwerk ein und stehlen die Bankdaten.
Schaden: Die Täter räumen das Firmenkonto leer.
Steuern: Auch dieser Verlust ist eine Betriebsausgabe, so Siefert. Voraussetzung ist auch hier, dass das Unternehmen keine Mitschuld trägt.
3. E-Mail-Rechnung gehackt: Kunde zahlt an Betrüger
Angriff: Hacker manipulieren die E-Mail-Rechnung eines Betriebs. Der Kunde erhält eine gefälschte Rechnung und überweist das Geld an die Kriminellen.
Schaden: Eigentlich schulde der Kunde dem Handwerker noch immer die Bezahlung, entschied ein Gericht in so einem Fall. Doch habe der Handwerker seine E-Mails und damit die Kundendaten nicht ausreichend geschützt. Für diesen Verstoß gegen die DSGVO habe der Kunde Anspruch auf Schadenersatz in Höhe der falsch überwiesenen Rechnung. Das Ergebnis: Der Kunde musste nicht mehr zahlen, der Handwerker ging leer aus.
Steuern: Durch die Verrechnung von Schadenersatz und Rechnungsbetrag sei die Rechnung aus steuerlicher Sicht bezahlt, sagt Siefert. Der Rechnungsbetrag ist als Betriebseinnahme zu buchen, der Schadenersatz als Betriebsausgabe – auch wenn kein Geld geflossen ist.
Wichtig: Aufpassen müssten Betroffene bei der Umsatzsteuer. „Die Umsatzsteuer aus der Rechnung muss der Betrieb an das Finanzamt abführen“, betont Siefert. Schadenersatz sei hingegen umsatzsteuerfrei, also entfalle der Vorsteuerabzug.
Tipp: Sie wollen beim Thema Steuern nichts verpassen? Nutzen Sie den kostenlosen Newsletter von handwerk.com. Jetzt hier anmelden!
Diese Artikel könnten Sie auch interessieren:
