Besitzen Sie diesen Inhalt bereits,
melden Sie sich an.
oder schalten Sie Ihr Produkt zur digitalen Nutzung frei.
Automatisierungspotenzial in der Finanzstrafrechtspflege
Die Ahndung einfacher Melde- und Übermittlungspflichtverletzungen
Dieser Beitrag geht der Frage nach, ob und unter welchen gesetzlichen Voraussetzungen (de lege ferenda) digitale Technologien genutzt werden können, um einfach strukturierte Melde- und Übermittlungspflichtverletzungen (Finanzvergehen) aus internationalen Rechtsakten (voll)automatisiert zu ahnden.
1. Grundlegendes
Die Internationalisierung stellt die Finanzstrafrechtspflege vor neue Herausforderungen. Zahlreiche internationale und europäische Rechtsakte verlangen von den Mitgliedstaaten – und damit auch von Österreich – die Einführung von Melde- und Übermittlungspflichten. Die Mitgliedstaaten haben sicherzustellen, dass Verstöße gegen Melde- und Übermittlungspflichten mit wirksamen, verhältnismäßigen und abschreckenden Sanktionen geahndet werden. Etliche internationale Rechtsakte, die Melde- und Übermittlungspflichten normieren, sind innerstaatlich bereits umgesetzt. In den letzten Jahren haben Melde- und Übermittlungspflichtverletzungen als Finanzvergehen stetig und vermehrt in das FinStrG (§§ 49b, 49c, 49d und 49e leg cit) und in Nebengesetze (zB Gemeinsamer Meldestandard-Gesetz [GMSG], Kontenregister- und Konteneinschaugesetz [KontRegG], Digitale Plattformen-Meldepflichtgesetz [DPMG], Wirtschaftliche Eigentümer Registergesetz [WiEReG], Mindestbesteuerungsgesetz [MinBestG], Nationales Emissionszertifikatehandelsgesetz 2022 [NEHG 2022]) Eingang gefunden.
Automatisierung, Digitalisierung und insbesondere der Einsatz von künstlicher Intelligenz (KI) entfachen einen bedeutsamen Wandel in der Gesellschaft. Digitalisierte Technologien und Systeme mit einem intelligenten, selbstlernenden Verhalten bergen auch im Bereich der Finanzstrafrechtspflege Chancen und Möglichkeiten.
In diesem Beitrag wird untersucht, ob und unter welchen gesetzlichen Voraussetzungen (de lege ferenda) digitale Technologien, Algorithmen bzw KI genutzt werden können, um einfach strukturierte Finanzvergehen, wie Melde- und S. 182 Übermittlungspflichtverletzungen – (voll)automatisiert zu ahnden.
2. Melde- und Übermittlungspflichten aus internationalen Rechtsakten
Die Bedeutung von Melde- und Übermittlungspflichten aus internationalen Rechtsakten hat in den letzten zehn Jahren immens zugenommen. Im Jahr 2014 einigten sich die OECD- und G20-Länder auf die Umsetzung des Common Reporting Standards (CRS), der einen jährlichen automatischen Austausch von Steuerinformationen vorsieht. Die Umsetzung auf Unionsebene erfolgte in der EU-Amtshilferichtlinie mit der Richtlinie 2014/107/EU (DAC 2). DAC 2 sieht Meldepflichten und einen verpflichtenden automatischen Informationsaustausch über Kontoinformationen vor.
In Umsetzung von DAC 2 verpflichtet § 3 GMSG Finanzinstitute zur Meldung ausgewählter Informationen über Konten und Kontoinhaber. § 3 Abs 1 KontRegG verpflichtet meldepflichtige Kredit- und Finanzinstitute, dem Kontenregister laufend bestimmte Daten (elektronisch) zu übermitteln. Der Umfang der auf der Grundlage der EU-Amtshilferichtlinie zu meldenden Informationen wurde in der Folge mehrfach erweitert. Richtlinie (EU) 2015/2376 (DAC 3) fordert einen verpflichtenden automatischen Informationsaustausch für grenzüberschreitende Vorbescheide und Vorabverständigungen über die Verrechnungspreisgestaltung. Richtlinie (EU) 2016/881 (DAC 4) verpflichtet zu einem automatischen Informationsaustausch über den länderbezogenen Bericht (Country-by-Country Reporting) multinationaler Unternehmensgruppen. In Umsetzung von DAC 4 verpflichtet das § 4 VPDG zur Übermittlung des länderbezogenen Berichts.
Richtlinie (EU) 2016/2258 (DAC 5) stellt den Zugang der Steuerbehörden zu Informationen über den wirtschaftlichen Eigentümer sicher. Mit Richtlinie (EU) 2018/822 (DAC 6) werden (potenziell aggressive) grenzüberschreitende Steuergestaltungen in erheblichem Umfang meldepflichtig. In Umsetzung von DAC 6 normiert das EU-MPfG Meldepflichten für Intermediäre und relevante Steuerpflichtige hinsichtlich bestimmter grenzüberschreitender Gestaltungen. Richtlinie (EU) 2021/514 (DAC 7) enthält (ua) Meldepflichten für digitale Plattformbetreiber. In Umsetzung von DAC 7 verpflichtet das DPMG digitale Plattformbetreiber, anbieterbezogene Informationen zu erheben, zu überprüfen und zu melden. Richtlinie (EU) 2023/2226 (DAC 8) sieht den Austausch von Informationen betreffend Krypto-Assets vor: Mit 2026 sind Krypto-Plattformen verpflichtet, Krypto-Assets an die Behörden zu melden. Ein (nationales) Krypto-Meldepflichtgesetz ist in Ausarbeitung.
Seit gibt es eine weitere aktuelle Meldeverpflichtung im Zusammenhang mit dem Zentralen elektronischen Zahlungsverkehrssystem (CESOP): Zur Bekämpfung des Mehrwertsteuerbetrugs im elektronischen Geschäftsverkehr regelt die Richtlinie (EU) 2020/284 Meldeverpflichtungen für Zahlungsdienstleister. In Umsetzung dieser Richtlinie normiert § 18a Abs 1 UStG Aufzeichnungs- und Übermittlungspflichten für Zahlungsdienstleister in Bezug auf grenzüberschreitende Zahlungen.
Neben den aus steuerlichen Gründen entstandenen Melde- und Übermittlungspflichten existieren auch solche aus Gründen der Verhinderung der Geldwäsche. In Umsetzung der Richtlinie (EU) 2018/843 verpflichtet § 5 Abs 1 WiEReG die Rechtsträger zur Meldung von Daten über ihre wirtschaftlichen Eigentümer (binnen vier Wochen nach erstmaliger Eintragung in das jeweilige Stammregister oder bei Trusts und trustähnlichen Vereinbarungen nach der Begründung der Verwaltung im Inland).
S. 183 Das MinBestG, das die aus den OECD-Mustervorschriften basierende Richtlinie (EU) 2022/2523 zur Gewährleistung einer globalen Mindestbesteuerung in nationales Recht umsetzt, verpflichtet mit dessen § 72 Abs 1 zur rechtzeitigen Übermittlung des Mindeststeuerberichts und der Mitteilung – 15 Monate nach dem letzten Tag des Geschäftsjahres.
3. Melde- und Übermittlungspflichtverletzungen als Finanzvergehen
Verletzungen der genannten Melde- oder Übermittlungspflichten werden als Finanzvergehen geahndet und sind – den internationalen Vorgaben entsprechend – innerstaatlich mit wirksamen und abschreckenden Sanktionsdrohungen (zu) versehen.
§ 107 GMSG ahndet die vorsätzliche Verletzung der Meldepflicht nach § 3 GMSG dadurch, dass eine Meldung nicht fristgerecht erstattet wird (Z 1 leg cit), mit Geldstrafe bis zu 200.000 €. Die grob fahrlässige Verletzung der Meldepflicht wird mit Geldstrafe bis zu 100.000 € geahndet. § 7 KontRegG bestraft die Verletzung der Übermittlungspflicht des § 3 KontRegG bei Vorsatz mit Geldstrafe bis zu 200.000 €, bei grober Fahrlässigkeit mit bis zu 100.000 €. Wer die Verpflichtung zur Übermittlung des länderbezogenen Berichts dadurch verletzt, dass die Übermittlung nicht fristgerecht erfolgt (§ 49b Z 1 FinStrG), ist mit Geldstrafe bis zu 50.000 € zu bestrafen. Bei grob fahrlässiger Tatbegehung droht Geldstrafe bis zu 25.000 €.
Wer vorsätzlich eine Pflicht nach dem zweiten Teil des EU-MPfG dadurch verletzt, dass eine Meldung nicht erstattet wird, oder (Z 1 leg cit) die Meldepflicht nicht fristgerecht erfüllt wird (Z 2 leg cit), wird mit Geldstrafe bis zu 50.000 € geahndet. Wer die genannte Pflicht grob fahrlässig verletzt, wird mit Geldstrafe bis zu 25.000 € geahndet (§ 49c FinStrG). Die (vorsätzliche) Verletzung der Pflicht zur Übermittlung von Aufzeichnungen nach § 18 Abs 11 oder 12 UStG wird als Finanzvergehen mit Geldstrafe bis zu 50.000 € geahndet, die grob fahrlässige Begehung mit bis zu 25.000 € (§ 49d FinStrG). Die Nichtübermittlung von Informationen entgegen § 18a Abs 8 Z 2 UStG wird bei Vorsatz mit Geldstrafe bis zu 50.000 € geahndet, bei grober Fahrlässigkeit mit bis zu 25.000 € (§ 49e FinStrG).
Eine Verletzung der Meldepflicht nach §§ 13 f DPMG durch Plattformbetreiber ist bei vorsätzlicher Begehung mit 200.000 €, bei grob fahrlässiger Begehung mit 100.000 € bedroht (§ 30 DPMG). § 15 Abs 1 Z 2 WiEReG stellt denjenigen unter Strafe, der seiner Meldepflicht trotz zweimaliger Aufforderung nicht nachkommt. Bei vorsätzlicher Begehung droht eine Geldstrafe bis zu 200.000 €, bei grob fahrlässiger Begehung bis zu 100.000 €.
Eine Verletzung der Übermittlungspflicht in Bezug auf den Mindeststeuerbericht ist gemäß § 75 MinBestG bei vorsätzlicher Begehung mit Geldstrafe bis zu 100.000 € bedroht (Abs 2 leg cit), bei grob fahrlässiger Begehung mit bis zu 50.000 € (Abs 3 leg cit). In Umsetzung von DAC 8 wird de lege ferenda auch die Verletzung der Übermittlungspflicht in Bezug auf Krypto-Assets finanzstrafrechtlich geahndet (werden müssen).
Bei den genannten Melde- und Übermittlungspflichtverletzungen handelt es sich um einfache Tatbestände mit geringem Komplexitätsgrad (stellt man nur auf die Meldung/Nichtmeldung und nicht auf die Inhalte ab). Zu prüfen ist, ob und unter welchen (rechtlichen) Voraussetzungen in diesem Bereich der (stark ansteigenden) Meldepflichtbestimmungen für die Ahndung von einfach strukturierten finanzstrafrechtlich relevanten Sachverhalten vollautomatisierte Entscheidungen durch digitale Technologien bzw KI möglich sind.
4. Vollautomatisierte Ahndung von Melde- und Übermittlungspflichtverletzungen?
4.1. Grundsätzliches zur (Voll-)Automatisierung bei Beurteilungsspielräumen
Finanzstrafrechtliche Bestimmungen folgen gewissen vorgegebenen Regeln. Einer Konstellation von objektiven und subjektiven Tatbestandsmerkmalen ist eine bestimmte Rechtsfolge zugeordnet, nämlich die Strafdrohung. Diese Zuordnung (Tatbestand–Rechtsfolge) ist freilich nicht streng deterministisch. Begriffe/Tatbestandsmerkmale sind auslegungsbedürftig. Es gibt Ermessens- und Beurteilungsspielräume – etwa bei Schuld und Strafe (Erschwerungs- und Milderungsgründe sind abzuwägen, präventive Erfordernisse zu berücksichtigen).
Für eine Automatisierung der finanzstrafbehördlichen Beurteilungsspielräume (die auch bei Melde- und Übermittlungspflichtverletzungen bestehen) wäre es erforderlich, – vorab – ermessensleitende Kriterien festzulegen und Fallkonstellationen zu bilden. Auslegungsbedürftige Begriffe wären zu konkretisieren, etwa anhand von Gesetzesmaterialien sowie vorhandener Judikatur und Literatur. Hinsichtlich des Verschuldens sowie der general- und spezialpräventiven Notwendigkeiten wären Durchschnittswerte heranzuziehen.
Vorbilder dazu gibt es im Verwaltungsstrafrecht, im Bereich der Verkehrsstrafen bei Geschwindigkeitsüberschreitungen.
4.2. Eignung für Melde- und Übermittlungspflichtverletzungen?
ME sind (einfache) Melde- und Übermittlungspflichtverletzungen geeignete Kandidaten für eine vollautomatisierte Sanktionierung: Der S. 184 objektive Tatbestand (Fristversäumnis) ist durch digitale Technologien leicht feststellbar. In der Regel ist neben der (objektiven) Tatbestandsmäßigkeit auch die Rechtswidrigkeit gegeben – und fehlt ein Rechtfertigungsgrund. In der Regel liegt auch kein entschuldbarer Irrtum gemäß § 9 FinStrG vor. Schwieriger als die Prüfung des objektiven wird es bei der Beurteilung des subjektiven Tatbestands. Melde- und Übermittlungspflichtverletzungen können nämlich nicht nur vorsätzlich begangen werden, auch eine grob fahrlässige Begehung ist strafbar. Subjektiv könnte es geboten sein, bei beschuldigten Ersttätern (belangten Verbänden) im Sinne von in dubio pro reo nicht vom Unrechtsgehalt des Vorsatzes, sondern von einer grob fahrlässigen Verletzung der Melde- und Übermittlungspflichten auszugehen.
Überlegenswert wäre, dem Vorbild des Verwaltungsstrafgesetzes 1991 (VStG) nachzustreben und als Zuständigkeitsregel festzulegen, dass das oberste Organ durch Verordnung für automatisiert abzustrafende Melde- und Übermittlungspflichtverletzungen im Vorhinein festgesetzte Sanktionen bestimmen darf.
4.3. Datenschutzrechtliche Anforderungen an vollautomatisierte Entscheidungen
Die DSGVO beinhaltet allgemeine datenschutzrechtliche Anforderungen für den Einsatz digitaler Technologien. Diese sind auch für die öffentliche Verwaltung, und damit für die Finanzverwaltung, von Bedeutung. Art 22 DSGVO schützt die betroffene Person vor Entscheidungen im Einzelfall, die ausschließlich auf automatisierter Verarbeitung beruhen, sofern diese Entscheidungen rechtliche Wirkungen entfalten oder die Person in ähnlich erheblicher Weise beeinflussen. Art 22 DSGVO normiert ein grundsätzliches Verbot (Art 1 leg cit) automatisierter Entscheidungsfindung. Dieses ist durch gewisse Ausnahmen (Art 2 leg cit) bzw Öffnungsklauseln unterbrochen. Die in Art 22 Abs 2 lit b DSGVO enthaltene Öffnungsklausel ermöglicht es der EU und den Mitgliedstaaten, im Einzelfall Rechtsvorschriften für automatisierte Entscheidungen zu schaffen. Diese Rechtsvorschriften müssen angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten (Art 22 Abs 2 lit b DSGVO).
Finanzstrafrechtliche Entscheidungen in Form von Melde- und Übermittlungspflichtverletzungen sind als Entscheidungen iSd Art 22 DSGVO einzustufen, wenn ihnen ausschließlich eine (voll)automatisierte Verarbeitung von Daten zugrunde liegt und sie rechtliche Wirkung (auf die betroffene Person) entfalten. Notwendige Voraussetzung für eine vollautomatisiert erlassene (finanzstrafrechtliche) Entscheidung ist eine entsprechende Rechtsgrundlage (Art 22 Abs 2 DSGVO)
Im FinStrG müsste eine Rechtsgrundlage, die eine vollautomatisierte Entscheidung (für Melde- und Übermittlungspflichtverletzungen) ermöglicht, erst geschaffen werden. Eine solche Rechtsgrundlage hat gewisse Anforderungen zu erfüllen. Sie hat ex lege angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person (Art 22 Abs 2 lit b DSGVO) zu enthalten. Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen könnten durch die Möglichkeit einer Bescheidbeschwerde gewahrt werden. Nach Auffassung von Mayrhofer/Parycek bleibt die Möglichkeit einer Bescheidbeschwerde allerdings hinter einem iSd Art 22 Abs 2 lit b DSGVO angemessenen Schutzniveau zurück. Die Autoren sind der Ansicht, es könne angezeigt sein, ein einfacher zu erhebendes Rechtsmittel vorzusehen und der automatisierten Entscheidung auf diese Weise lediglich provisorische Wirkungen beizumessen. Die Ausgestaltung des automatisierten Verfahrens als Provisorialverfahren und der ein solches Verfahren abschließenden Erledigung als Provisorialentscheidung erlaube ein Aussteuern zu einem Organwalter und die Geltendmachung des Rechts auf Parteiengehör vor dieser Behörde. Eine angemessene Maßnahme zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person/des Beschuldigten im Finanzstrafrecht wäre demnach die Möglichkeit eines Rechtsbehelfs in Form eines Einspruchs, wie ihn § 145 Abs 1 FinStrG gegen eine Strafverfügung bereits vorsieht. Die vollautomatisierte Entscheidung könnte in Form einer Strafverfügung erledigt werden, die provisorialen Charakter hat.
4.4. Grundrechtliche Anforderungen an vollautomatisierte Entscheidungen
Ein wesentliches Prinzip eines fairen (finanzstrafrechtlichen) Verfahrens ist das Recht auf Parteiengehör. Dem Beschuldigten ist gemäß § 115 FinStrG Gelegenheit zu geben, seine Rechte und rechtlichen Interessen geltend zu machen. Die Äußerungsmöglichkeit ist umfassend. Sie beinhaltet Vorbringen zu Tatsachen, die für das Finanzstrafverfahren bedeutsam sind, zu Beweisen etc. Ein vollautomatisiertes Verfahren hinsichtlich Melde- und Übermittlungspflichtverletzungen, das ohne menschliches Zutun eingeleitet, durchgeführt und erledigt wird, konfligiert (insbesondere) mit dem Recht auf Parteiengehör.
S. 185 Hinzuweisen ist freilich darauf, dass das Parteiengehör nicht zwingend in jedem Verfahrensabschnitt gewährleistet sein muss. Die Fairness eines Verfahrens ist stets unter Berücksichtigung des Verfahrens in seiner Gesamtheit zu werten.
Betrachtet man das Finanzstrafverfahren in seiner Gesamtheit, ist zu überlegen, ob man das Parteiengehör nicht vom vollautomatisierten Verfahren in eine spätere Phase des Verfahrens verschieben kann/darf. Ob eine solche Verschiebung des Parteiengehörs dem Verhältnismäßigkeitsgrundsatz entspricht, hängt nach Mayrhofer/Parycek¦„insbesondere vom Gegenstand und der Tragweite der Provisorialentscheidung, der Komplexität des Sachverhalts und der zu seiner Ermittlung erforderlichen Schritte sowie den rechtlichen Anforderungen an die Erhebung eines Rechtsmittels gegen die Provisorialentscheidung und dem Wirkungsmodus dieses Rechtsmittels“ ab. Gegenstand der Provisorialentscheidung wären die genannten Melde- und Übermittlungspflichtverletzungen. Deren Komplexitätsgrad ist eher gering. Der Sachverhalt (= die Versäumung der Meldefrist) ist (in der Regel) klar. Ermessens- und Vollzugsspielräume sind (mit Ausnahme der Strafbemessung) eher gering. Die Anforderungen an die Erhebung eines Rechtsmittels sind nicht hoch: Ein Einspruch (gegen die provisorische Entscheidung in Form einer Strafverfügung) genügt. Nach einem Einspruch kann das Parteiengehör vor einem Organwalter des Amts für Betrugsbekämpfung (ABB) als Finanzstrafbehörde im ordentlichen Verfahren gewahrt werden. Das Parteiengehör findet auf dieser Ebene (im ABB) vor einer natürlichen (menschlichen) Person statt.
ME würde die mithilfe der Vollautomatisierung erreichte Effizienz und Beschleunigung des Verfahrens bei einfachen Melde- und Übermittlungspflichtverletzungen die Verschiebung des rechtlichen Gehörs in eine spätere Phase des Verfahrens durchaus legitimieren. Dasselbe gilt wohl auch in Bezug auf weitere tangierte Beschuldigtenrechte, wie zB das Recht auf die Begründung einer Entscheidung.
5. Anpassungserfordernisse durch den Gesetzgeber de lege ferenda
Art 22 DSGVO verlangt eine Rechtsgrundlage für den Einsatz digitaler Technologien. Will man (ausgewählte) simple Melde- und Übermittlungspflichtverletzungen (resultierend aus internationalen Rechtsakten) automatisiert mit digitaler Technologie sanktionieren, müsste der Gesetzgeber tätig werden. Um den Anforderungen des Art 22 DSGVO zu genügen, wäre eine Rechtsgrundlage zu generieren, die eine vollautomatisierte Finanzstrafentscheidung – in Form einer Strafverfügung – zulässt. Es würde genügen, § 143 Abs 1 FinStrG zu adaptieren und die Bestimmung de lege ferenda wie folgt zu ergänzen: „Eine Strafverfügung kann vollständig durch automatisierte Einrichtungen erlassen werden.“
In Umsetzung internationaler Rechtsakte wurden in den letzten Jahren stets neue Melde- und Übermittlungspflichtverletzungen als Finanzvergehen in das FinStrG und in andere Gesetze aufgenommen. Zu nennen sind hier insbesondere die Tatbestände der §§ 49b, 49c, 49d und 49e FinStrG, § 107 GMSG, § 7 KontRegG, § 30 DPMG, § 15 WiEReG und § 75 MinBestG, aber auch § 31 Abs 2 lit e NEHG 2022.
Im Bereich der finanzstrafrechtlich relevanten Melde- und Übermittlungspflichtverletzungen sind vollautomatisierte, KI-gesteuerte Verfahren – innerhalb der datenschutzrechtlichen und grundrechtlichen Rahmenbedingungen – durchaus denkbar. Ein vollautomatisiertes System kann mit Blick auf den Anspruch an ein faires Verfahren (rechtliches Gehör etc) zwar nicht final eine finanzstrafrechtliche Entscheidung treffen. Wohl aber könnte es in Form einer Strafverfügung mit der Möglichkeit eines Einspruchs (auf den eine personelle Weiterbearbeitung durch eine natürliche/menschliche Person folgt) provisorisch entscheiden. Notwendige Voraussetzung ist die Schaffung einer gesetzlichen Grundlage, welche die Möglichkeit einer vollautomatisierten Finanzstrafentscheidung zulässt. Es wird angeregt, § 143 Abs 1 FinStrG de lege ferenda zu adaptieren und um folgende Wortfolge zu ergänzen: „Die Strafverfügung kann vollständig durch automatisierte Einrichtungen erlassen werden.“
Eine Vollautomatisierung durch den Einsatz digitaler Technologien trägt der Effizienz der Ahndung der aus internationalen Rechtsakten resultierenden Melde- und Übermittlungspflichtverletzungen Rechnung. Sie wirkt verfahrensbeschleunigend und kostenreduzierend. Ein (nach erfolgtem Einspruch) von einer natürlichen Person durchzuführendes Finanzstrafverfahren bürgt für Rechtsstaatlichkeit und Verfahrensfairness, weil dem Beschuldigten in dieser späteren Phase alle fundamentalen Parteienrechte und Garantien zustehen, wie zB rechtliches Gehör und voller Rechtsschutz.
