Anmerkung von März 2019: Die Hysterie vor der DSGVO hat sich als weitgehend unbegründet erwiesen. Staatenlos.ch bietet als Impressums-Firma eine Florida LLC (Geschäftsadresse Miami) gekoppelt mit einem Schweizer Verein für vollständige Anonymität und Abmahnsicherheit an. Die Kosten für das Setup liegen bei knapp 3000€.
Es wird Ernst. Bereits am 25. Mai tritt jenes Gesetz ein, das Online-Unternehmer seit Wochen hysterisch macht – die DSGVO. Hinter diesen 5 Buchstaben versteckt sich die EU-Datenschutzgrundverordnung, die bereits seit 2 Jahren beschlossene Sache ist, aber erst ab 25. Mai 2018 rechtlich in Kraft tritt.
Laut aktuellen Studien sind die wenigsten Unternehmer auf die DSGVO vorbereitet. Freuen tun sich lediglich die Abmahnanwälte.
Laut der Rechtsanwaltskammer Berlin könne man 50.000 Abmahnungen täglich verschicken. Damit der Stolz auf sein parasitäres Abmahnwesen nicht lange lastet, habe ich mich mit Staatenlos entschlossen einmal tiefer in die Datenschutzgesetzgebung der DSGVO einzutauchen.
Die komplette Compliance lasse ich dabei den Fachanwälten. Viel wurde über die DSVGO und seine korrekte Interpretation schon geschrieben. Empfehlenswerte Lektüre dazu ist etwa:
- DSGV Kompakt. Einstieg in die EU-Datenschutz-Grundverordnung für Unternehmen leicht gemacht, Michael Schmidt
- EU-Datenschutz-Grundverordnung im Unternehmen: Praxisleitfaden, Tim Wybitul
- EU-Datenschutz-Grundverordnung: Praktikerhandbuch, Paul Voigt
- Datenschutz-Grundverordnung DSGV selbst und schnell, Marco Kister
- Empfehlenswerte Linksammlung von Online-Quellen
In diesem Beitrag geht es um das, was ich im größeren Zusammenhang gemeinhin Regulierungsarbitrage nenne. Regulierungsarbitrage heißt Gesetze und Verordnungen an ihren Schwachstellen zu greifen und gegeneinander auszuspielen. Denn jede Regulierung hat einen wunden Punkt, der in der Regel durch weitere Regulierung versucht wird zu beseitigen. Dass damit eine nie endenwollende Regulierungsspirale entsteht, die die Schwachstellen jedoch nicht beseitigt, versteht natürlich kein Regulator.
Regulierungen sind an sich nichts Schlechtes. Fraglich an Regulationen ist nicht das “Was”, sondern das “Wer”. Wer reguliert die Regulatoren und kontrolliert, dass sie im Sinne der Allgemeinheit handeln?
Bei der Datenschutzgrundverordnung wie auch den meisten anderen EU-Initiativen drängt sich der Eindruck geradezu auf, dass Sonderinteressen eine Rolle spielen. Als wäre das Gesetz von wirtschaftsfeindlichen Sozialisten getrieben, Abmahnindustrie geschrieben und US-Großkonzernen verweichlicht worden. Als wollte sich die EU mit angekündigten Strafen von 20 Millionen selbst bereichern – wie man bereits in der Vergangenheit in angeblichen Kartellverfahren sehen konnte.
Es ist Usus unseres Rechtskreises, das Gesetze für alle gleich sein sollen. Aber möchte man kleinste Einzelunternehmer wirklich mit den gleichen Gesetzen drangsalieren, die man für große US-Konzerne geplant hat? Wäre eine freiwillige Selbstverpflichtung unter politischen Druck nicht eine bessere Lösung? Wo Regulierung versagt, muss Regulierungsarbitrage erlaubt sein.
Regulierungsarbitrage bezüglich der DSGVO richtet sich vor allem an der Risikominimierung aus, von den angekündigten drakonischen Strafen bei Regelbruch verschont zu werden. Lauter Anwälte verdienen schließlich gerade deshalb im Moment ein goldenes Näschen, weil sie die 20 Millionen Euro oder 4% des vergangenen Jahreumsatzes als Höchstrafe an die Wand malen.
Dass diese auf normale Online-Unternehmer kaum Anwendung finden sollte, dürfte klar sein. Empfindlich ist dies vor allem für Google, Amazon, Apple und dergleichen. Aber gerade die müssen sich am wenigsten Sorgen machen.
Risiko-Minimierung vor der Datenschutzgrundverordnung ist abhängig von mehreren Faktoren. Die typischen Flaggen der Flaggentheorie spielen dabei eine entscheidende Rolle. Selbst wenn die DSGVO auf dem Papier auch Nicht-EU-Unternehmen betrifft, sind diese sehr viel mehr geschützt als EU-Unternehmen. Aber auch innerhalb der EU gibt es gravierende Unterschiede der Anwendung der DSGVO, wie das jüngste Beispiel der Aufweichungen in Österreich zeigt.
Teil-Compliance bei der DSGVO
Ist Wohn- und Firmensitz in einem EU-Staat, so wird man an Teil-Compliance nicht vorbeikommen. Die Risikominimierung hier richtet sich daran aus, ein möglichst wenig lohnenswertes Ziel für Abmahnungen zu bieten. Diese sind nämlich die größte Gefahr für kleine Unternehmer. Grob gesagt droht Ihnen Gefahr aus 5 unterschiedlichen Richtungen.
- Die Abmahnindustrie selbst
- Verbraucherschutzvereine usw. mit angeschlossenen Abmahn-Abteilungen
- Wettbewerber
- Kunden
- Staaten oder die EU
Dass der normale Ein-Mann Online-Unternehmer ins Fadenkreuz der EU-Datenschutzbehörden kommt lässt sich fast ausschließen. Dazu fehlen die Ressourcen. Zudem würde eine hohe, existenzvernichtende Strafe gegen ein kleineres Unternehmen öffentlich unverhältnismäßig sein während Großkonzerne weiterhin davon kommen.
Gefahr droht nicht von behördlicher, sondern viel mehr von privater Seite. Hier gilt es also lediglich die Schwelle so zu setzen, dass sich eine Abmahnung nicht mehr lohnt. Das kann schon mit wenig Aufwand erreicht werden. Und richtig gemacht haben so auch Behörden keine Möglichkeiten mehr. Eine gute Zusammenfassung über die rechtliche Grundlage von Abmahnungen bezüglich der DSGVO ist hier nachzulesen.
Eine Teil-Compliance der DSVGO heißt jedoch sich eher gegenüber Konkurrenz und der Abmahnindustrie zu wappnen. Insbesondere die eigene Kundschaft sollte hier nicht übergangen werden. Denn langfristig kann dies in gewissen Branchen zum Reputationsrisiko werden, die DSGVO nicht zu befolgen. So wird auch Staatenlos einige der Vorschläge der Datenschutzgrundverordnung sicher umsetzen. Einige bedeutende Punkte innerhalb der Teil-Compliance sind zum Beispiel alle oberflächlich erkennbaren Dinge auf einer Webseite:
- Double-Optin bei Newsletter (Einwilligungserklärung)
- Freiwillige Eintragung in Newsletter (kein Interessenkonflikt, zB Freebie im “Tausch”)
- Cookie-Policy
- Tracking-Pixel
- Aktualisierung der Datenschutzerklärungen
Es gibt viele Online-Marketer, die genau diese Punkte verständlicherweise vermeiden wollen. Mit den unten genannten Strategien ist dies auch ohne weiteres möglich. Nur sollte dann auch richtig strukturiert werden, da das Abmahn-Interesse bei Auffinden einer solchen Webseite und der Streitwert bei zahlreichen DSGVO-Verstößen relativ hoch ist.
Zusätzlich zu den genannten Punkten sollte jedes Unternehmen die internen Prozesse und Merkblätter erstellen, die bei einer Überprüfung durch die Datenschutzbehörden relevant sein könnten. Dies ist wichtig, weil es die unten genannten Gestaltungen ergänzen muss. Wessen Webseiten über eine Domain-Holding laufen, der verfügt dennoch über ein operatives Unternehmen, das zwar nicht im Internet, aber in der realen Welt existiert. Und auch hier werden natürlich Daten gesammelt und gespeichert – etwa die von Mitarbeitern.
Im Grunde genommen geht es hier um durchdachte Richtlinien für die Erhebung, Aufbereitung und Speicherung von Daten. Deshalb sollte jeder Unternehmer ein sogenanntes Verarbeitungsverzeichnis erstellen, um bei etwaigen Behörden-, Mitarbeiter- oder Kundenanfragen danach gewappnet zu sein. Dieses Verarbeitungsverzeichnis ist kein Hexenwerk, sondern schnell erstellt. Zwei-drei Stunden Aufwand sind hier gut investierte Zeit. Datenschutzbehörden werden gerade bei kleinen Firmen lediglich abschätzen wollen, ob sich grundlegend Gedanken über die eigene Datenverarbeitung gemacht wurde.
Einen designierten Datenschutzbeauftragten brauchst Du in den meisten Fällen übrigens nicht. Dieser ist erst ab einer Unternehmensgröße von über 10 Personen erforderlich oder wenn das Geschäft bestimmte sensible personenbezogenen Daten (z.B. ethnische Herkunft, Sexualität, politische Einstellung, Straftaten, Gesundheitsdaten, usw.) als Kerntätigkeit verarbeitet oder darauf ausgerichtet ist Personen zu überwächen (z.B Detektive). Datenschutzbeauftragter bist Du im Endeffekt selbst, wenn Du der DSGVO komplett folgen willst.
Auf das zu erstellende Verarbeitungsverzeichnis samt den sogenannten TOM-Vermerk (technisch-organisatorische Maßnahmen) möchte ich an dieser Stelle nicht konkret eingehen. In den anfangs empfohlenen Büchern zur DSGVO und zahlreichen Internet-Quellen finden sich vielfältige Beispiele dazu. Oder man beauftragt eben einen Fachanwalt hier für Rechtssicherheit zu sorgen.
Wichtig ist mir in diesem Artikel die Möglichkeiten aufzuzeigen, um das Risiko von Problemen durch die DSGVO zu minimieren. Darüber schreibt nämlich niemand. Dies gelingt uns durch die 4 zentralen Prinzipien des Perpetual Travelings.
- Flaggentheorie (“Gehe dorthin, wo Du am besten behandelt wirst)
- Vermögensschutz (“Besitze nichts, kontrolliere alles)
- Regulierungsarbitrage (“Jede Regulierung schafft neue Schlupflöcher”).
- Verschleierung (“Was er nicht weiß, macht ihn nicht heiß”)
Regulierungsarbitrage bei der DSGVO
Einer der vielversprechenden Punkte der Regulierungsarbitrage bezüglich der DSGVO ist das Marktortprinzip. Schlau wie die Regulatoren meinen gewesen zu sein gilt die DSGVO nicht nur für EU-Unternehmen, sondern für alle Unternehmen weltweit, die etwas mit EU-Kunden zu tun haben. Schweizer Unternehmen etwa werden fast ausnahmslos ebenfalls von der DSGVO betroffen sein, weil sie meist auch mit Österreichern, Deutschen, Italienern oder Franzosen zu tun haben.
Dennoch greift die DSGVO nicht, wenn wir an Schweizer Kunden verkaufen. Hier würde das noch wesentlich laxere Datenschutzgesetz der Schweiz greifen, das zudem kaum auf ausländische Unternehmen angewendet wird. Was also, wenn wir nur an Schweizer verkaufen?
Tatsächlich wird nur wegen der DSGVO natürlich kein Unternehmer die heimischen Absatzmärkte ausklammern. Und doch kann es sich lohnen seine Webseiten darauf anzupassen, dass sie eben vor allem die Schweiz als Zielmarkt haben, nicht Deutschland oder Österreich. Oder die USA statt England. Oder Argentinien statt Spanien.
Über eine entsprechende Domain (wie staatenlos.ch), Preisgestaltung in Schweizer Franken, Nennung der Schweiz und Schweizer in seinen Artikeln oder auch nur ein Disclaimer sich nur an Schweizer Endkunden zu wenden, kann oberflächlich der Eindruck erweckt werden, für die DSGVO nicht relevant zu sein, weil man sich nicht an EU-Kunden wendet.
Und damit gerät man bereits aus der Schusslinie von Abmahnanwälten und Datenschutzverbänden, die erst gegenteiliges (etwa über einen Testkauf) beweisen müssen (und damit wieder einen kleinen Aufwand haben, der sich schon kaum noch lohnt)
Auch innerhalb der EU kann sich eine kluge Länderwahl lohnen. Die DSGVO gibt letztlich den lokalen Landesbehörden sehr viel Spielraum in Interpretation und Durchsetzung der DSGVO. Schon zahlreiche Staaten, darunter neuerdings aus Österreich, haben die Verordnung an zahlreichen Stellen abgemildert.
Bei einigen EU-Ländern bestehen gar berechtigte Zweifel, ob sie ein Interesse haben die DSGVO überhaupt durchzusetzen. Hier wäre vor alle Irland zu nennen, deren kleine Datenschutzbehörde genug mit den amerikanischen Großkonzernen auf irischen Boden zu tun hat. Diese sind und bleiben nicht ohne Grund in Irland – neben steuerlichen hat dies vor allem auch regulatorische Gründe wie eine laxe Datenschutzgesetzgebung. Und unter den großen Datenkraken wird man als kleine Firma kaum auffallen. Besonders ergänzt durch die Möglichkeit einer irischen Stiftungs-Limited (siehe unten) kann dies eine hervorragende Wahl sein.
Auch im EU-kritischen Osteuropa wird man gerade als kleiner Unternehmer wohl kaum durch die DSGVO behelligt werden. Aber in Deutschland sieht es eben leider anders aus. Hier hilft neben kompletter Compliance nur eine Risiko-Minimierung durch Strategien der Non-Compliance.
DSGVO Non-Compliance
Wer sich nicht oder nur teilweise an die Datenschutzgrundverordnung halten möchte, muss zu einer kompletten Anonymisierung seiner Webseiten-Infrastruktur greifen. Die DSVGO gilt nämlich nach dem Marktortprinzip auch klar für Nicht-EU-Firmen, die an EU-Kunden verkaufen. Allerdings ist die Abmahnbarkeit außerhalb der EU bereits deutlich eingeschränkt. Mit entsprechender Anonymisierung der Inhaber oder Trennung des operativen Geschäftes von einer Domain-Holding für den Außenauftritt lassen sich viele Punkte umgehen.
Nicht-Compliance mit der DSVGO setzt jedoch einige beachtenswerte Punkte voraus.
- Es bestehen keine Möglichkeiten für Webseitenbetreiber, die mit Klarnamen (z.B, als Coaches) oder persönlichen Branding auftreten. Hier besteht immer die Gefahr des sogennanten Zulassungsdurchgriffs (“piercing the corporate veil”), das heißt die separate juristische Person wird aufgehoben und der Eigentümer selbst belastet. Wer mit Klarnamen auftritt, muss zur Risikominimierung zumindest außerhalb der EU leben und je nach Verstößen mit Problemen bei der Einreise rechnen. Es kommt häufig vor, das bei Nicht-Ermittelbarkeit verzogener Personen laufende Verfahren bei Ein- oder Ausreise aus der EU mitgeteilt werden, bis irgendwann eine “öffentliche Zustellung” (Aushang im Gericht) erfolgt. Strategie muss es deshalb hier sein, kein Eigentümer der Domain/Webseite mit Datenschutzverstößen zu sein, indem dieses z.B. an eine Stiftung, Verein oder Drittperson übergeht. Hier ist Durchgriffshaftung nicht möglich, weil es keinen Inhaber gibt.
- Einige Geschäftsmodelle werden mit der Strategie der Trennung von Webseiten-Infrastruktur und operativen Unternehmen nicht funktionieren. Das betrifft insbesondere viele Plattformen für Digitale Produkte und Affiliate-Marketing, bei denen das eingetragene Unternehmen dem Impressum der Webseiten entsprechen muss. Je nach Intensität der Prüfung derselben kannn man hier natürlich tricksen (nach der Freischaltung Impressum wieder ändern), sich aber klar machen, dass man gegen Geschäftsbedingungen verstößt und gesperrt werden könnte.
- Eine Trennung von Webseiten-Infrastruktur und operativen Unternehmen ist nicht zwingend nötig, aber wegen den strengen Regeln für Auslandsfirmen Deutschen, Österreichern und Schweizern generell zu empfehlen. Es besteht jedoch generell die Möglichkeit für Nicht-EU-Firmen eine unselbstständige Niederlassung (Betriebsstätte) zu formen und die Gesellschaft wie eine inländische GmbH besteuern zu lassen. Dafür ist eine Handelsregisteranmeldung nicht zwingend erforderlich. Erforderlich ist lediglich eine Eintragung ins Gewerberegister, das jedoch nicht öffentlich und nur auf berechtigten Interesse zugänglich ist. Durch Einsatz von Treuhändern kann hier eine Anonymisierung gewährleistet werden.
- Wer über Schaffung von Substanz im Ausland auch steuerlich dem deutschen Finanzamt davon kommt, fährt am sichersten. Aufgrund EU-weiten Bestrebungen nach Registern von Beneficiaries ist langfristig dafür aber ein Nicht-EU-Standort zu empfehlen. Zur Anerkennung dieses Standortes mit ordentlicher Betriebsstätte und lokaler Geschäftsführung sollte ein Doppelbesteuerungsabkommen bestehen. Klassische Länder dafür sind VAE, Singapur, Hong-Kong und USA.
- Wer seinen Wohnsitz in Null- oder Niedrigsteuerländern hat, kann mit anonymen Offshore-Firmen generell bedenkenlos DSGVO-non-compliant agieren, sofern er nicht öffentlich mit Klarnamen brandet. Hier ist dann zumindest eine Teil-Compliance zu empfehlen sowie ein Stiftungsmodell (siehe oben).
- Es gilt zu beachten, dass auch viele Dienstleister und Plattformen von ihren Kunden die strikte Einhaltung der DSVGO erwarten und Nicht-Compliance zum Reputationsrisiko wird. Deshalb ist eine zumindest partielle, oberflächliche Compliance sehr zu empfehlen.
Die sicherste Variante, wo geschäftstechnisch zulässig, ist die Gründung einer Domain-Holding außerhalb der EU. Die Domain-Holding dient dem einzigen Zweck die Webseiten-Infrastruktur zu verwalten. Sie hat demnach kein operatives Einkommen, das heißt man läuft selbst bei Verschweigen gegenüber den Behörden nicht Gefahr Steuerhinterzieher zu sein.
Bei der Domain-Holding gibt es auf 2 wichtige Aspekte zu achten:
- Möglichst hohe Anonymität der Firmenstruktur
- Möglichst hohe Anonymität der Webseiten
Trennung Webseiten und operatives Geschäft durch Domain-Holding
Im Folgenden wird die, wo möglich, empfehlenswerteste Variante geschrieben: die Trennung der Webseiten vom operativen Business mit Verlagerung der Domains in eine dezidierte Holding. Die Rechnungen oder Verkäufe erfolgen dennoch weiterhin über eine beliebige Gesellschaft, die jedoch im Internet quasi “nicht existiert” und damit kaum zur Zielscheibe werden kann. Sie sollte nur die Compliance interner Richtlinien einhalten, falls es zu einer Prüfung kommt (Verarbeitungsverzeichnis).
Die sicherste Domain-Holding besteht im Rahmen einer Offshore-Gründung auf den Marshall Islands. Die Marshall-Inseln sind ein US-sonderverwaltetes Territorium im Pazifik und schon allein der ewig langen Anreise her unattraktiv für jede Abmahnungen. Die Marshall-Islands sind unter Protektorat der USA (die die DSVGO nicht gerade mögen), aber rechtlich voll autonom und erkennen keine gültigen Urteile aus anderen Staaten an.
Um den Besitzer einer Marshall-Islands-Firma zu ermitteln ist also ein lokaler Schuldspruch nötig. Dass es überhaupt eine Marshall-Firma gibt erfährt man (wenn nicht über Impressum) erst bei erfolgreichen Knacken anonymer Hosting-Plattformen (siehe unten). Dennoch bringt dies dem Kläger rein gar nichts, wenn die Marshall-Firma richtig strukturiert ist.
Richtig strukturiert heißt Gründung über Inhaberaktien. Inhaberaktien waren einst weit verbreitet, sind mittlerweile in ihrer ultimativen Form aber nur noch auf den Marshall Islands möglich. Auf Inhaberaktien (englisch: Bearer Shares) gegründete Gesellschaften sind nirgendwo eingetragen. Kein Register und kein Mitarbeiter desselben weiß um die Gesellschaft und seine Eigentümer. Kein Leak der Welt kann den Eigentümer einer Inhaberaktien-Firma aufdecken. Und jeder Eigentümer selbst unter Eid schwören, dass er keine solche Firma besitzt.
Inhaberaktien bedeuten nämlich, dass der Eigentümer einer Firma der ist, der die “Aktie” in den Händen hält. Dementsprechend kann die Firma durch Weitergeben des “Aktienzertifikats” jederzeit seinen Besitzer wechseln. Bei guter Hinterlegung der Aktie ist eine Aufdeckung der Eigentümer nicht möglich.
Neben den Marshall-Inseln gibt es noch viele weitere Jurisdiktionen auf der Welt, die weiterhin Inhaberaktien anbieten. Das Problem ist aber, dass sie hier immobilisiert sind. Das heißt, die Inhaberaktie muss zwingend in einem Banktresor lagern, bei dem die Bank den wahren Eigentümer der Firma kennt. Absolute Anonymität ist hier nicht mehr gegeben, aber die Möglichkeit ein Bank-Konto zu bekommen. Eine gute Möglichkeit ist hier etwa eine bulgarische Aktiengesellschaft auf Inhaberaktien, die man sehr gut in ein Substanzmodell einbetten kann (siehe weiter unten).
Aber eine Domain-Holding hat ja keine operativen Einnahmen und braucht deshalb kein Bank-Konto. Sie muss lediglich für ihre Domains und Server bezahlen, was gerade bei den zu empfehlenden anonymen Anbietern über Krypto-Währungen erfolgen kann. Deshalb ist eine Marshall-Islands-Gesellschaft das Nonplusultra zur Absicherung seiner Webseite vor Abmahnungen und Klagen.
Eine Marshall-Islands-Firma ist dazu nicht sonderlich teuer und kann auf Inhaberaktien bereits für Gründungskosten von 1900€ und 900€ ab dem zweiten Jahr gegründet werden. Zur Gründung werden Pass, Verbrauchsrechnung und Bankreferenz rein aus internationalen KYC-Compliance-Gründen benötigt. Die Firma ist der Person nicht zuordnungsbar.
Natürlich muss man nicht zwingend auf Nonplusultra gehen. Jede Offshore-Jurisdiktion mit nicht öffentlichen Handelsregister bietet hohe Sicherheit, insbesondere wenn Treuhänder eingesetzt sind. So muss zuerst Zugang zum nicht öffentlichen Register und dann Zugang zu den wahren Eigentümern hinter den Treuhändern bekommen werden.
Solch einen Zeit- und Geldaufwand wird selbst kein Staat für einen DSVGO-Verstoß aufbringen, geschweige denn ein Abmahnanwalt. Wer es günstiger als die Marshall-Firma haben möchte, könnte etwa eine LLC im Bundesstaat New Mexico für etwa 400$ gründen. New Mexico ist der anonymste Bundesstaat in den USA und teilt keine Informationen der Firmeneigentümer.
Auch prominente Offshore-Jurisdiktionen wie Nevis oder die Cook-Inseln, die für ihre Asset-Protection bekannt sind, sind empfehlenswert zu nutzen. Sie bieten keine Inhaberaktien, aber eine ähnlich vorteilhafte Gesetzgebung der Behandlung ausländischer Anfragen.
So müssen zur Zulassung einer Klage 100.000$ in cash vor Ort beim Gericht hinterlegt werden, sehr teure Anwälte ab dem ersten Tag bezahlt und beim wahrscheinlichen Scheitern sämtliche Gerichts- und Anwaltskosten der Gegenseite übernommen werden.
Eine andere Strategie ist es, die Firma von sich selbst als Privatperson zu trennen. Rein theoretisch bräuchte es auch nicht einmal eine Firma. Eine Domain oder auch Server kann direkt über eine Stiftung oder einen Verein laufen. Alle 3 Strukturen sind formidable Möglichkeiten der Verschleierung.
Gerade für Deutsch-sprachige kann es sehr attraktiv sein mit nur 2 Personen einen nicht eingetragenen Schweizer Verein als Domain-Holding zu gründen. Dies geht fast kostenlos. Lediglich eine Schweizer Domiziladresse wird benötigt. Wer extra clever sein möchte, lässt den Verein von 2 Unbekannten gründen, etwa zugewanderten Flüchtlingen, die ihre Unterschrift geben. Statt dem Verein die Domains selbst halten zu lassen, kann er natürlich auch an Offshore-Firmen beteiligt sein. Oder in der Schweiz ein privates Schliessfach anmieten, in der die Inhaberaktien der Marshall-Islands-Firma hinterlegt sind.
Eine Alternative ist die Gründung einer Familienstiftung, die aber selbst im günstigsten Land wie Panama mit über 2500$ zu Buche schlägt. Noch teurer sind meistens Trusts, die in allen Common-Law-Wohnsitzländern Sinn machen. Ein Trust jedoch ist keine eigenständige Rechtsperson, sondern die Auslagerung von Vermögen wie zB auch Firmen an eine Drittperson. Dies bietet oft steuerlichen und rechtlichen Schutz, macht aber den Trustee DSVGO nicht-compliant. Da Trustees meistens in Steueroasen residieren ist eine Angreifbarkeit freilich sehr klein.
Keine Domain-Holding möglich
Besprochen haben wir bisher die strikte Trennung einer Webseite-verwaltenden Gesellschaft und dem operativen Business. Das wird nicht immer aus geschäftlichen Gründen möglich sein, weshalb zu anderen Strategien gegriffen werden muss. So verlangen etwa viele Plattformen für Affiliate-Marketing oder Produktverkauf, dass die verkaufende Firma auch überall mit denselben angegebenen Daten auf der Webseite erscheint.
Mit der Gefahr gegen die Geschäftsbedingungen zu verstoßen kann eine Trennung dennoch versucht werden. In vielen als Domain-Holding in Frage kommenden Jurisdiktionen ist der Rechtsformzusatz etwa frei wählbar. Eine Nevis IBC kann sich auch GmbH nennen und ein Virtual Office in Deutschland mieten. Auf dem Papier kann sie ganz legal den genau gleichen Namen und Adresse der eigentlichen Gesellschaft haben – nur, dass sie eben natürlich keinen Handelsregistereintrag hat.
Ein sogenannter “Name Mismatch” ist eine übliche Strategie, weil auf alles außer dem Firmenname wenig geachtet wird. Trägt die Domain-Holding den gleichen Namen wie die operative Firma, so wird dies in vielen Fällen ausreichen. Wer beispielsweise Marshall Islands auf Inhaberaktien gründet und damit kein Bankkonto bekommt, gründet einfach eine zweite Marshall-Firma ohne Inhaberaktien mit Konto, die bis auf einen kleinen Buchstabendreher denselben Namen trägt. Kleines “l” (el) und großes “I”(ie) sehen letztlich sogar gleich aus, auch 0 und O oder “nn” und “m”sind kaum zu unterscheiden.
Dennoch ist es natürlich reizvoll komplette Sicherheit aus einer Hand zu haben. Hier kommen, da die Firma operativ genutzt wird, steuerliche Gesichtspunkte ins Spiel, sofern der Hauptwohnsitz noch in Deutschland oder Österreich ist. Typische Perpetual Traveler können die genannten Substanz-Lösungen natürlich auch ohne nutzen – und sind vielleicht bereits eh bei einer Domain-Holding fündig geworden, die sie selbstverständlich auch operativ nutzen können.
- Auslandsfirma wird wie deutsche Firma besteuert
- Auslandsfirma baut Substanz auf
- Auslandsfirma agiert anonym
Variante 3 bedeutet Steuerhinterziehung und wird auf diesem Blog deshalb nicht besprochen. Der Firmeninhaber muss sich also letztlich entscheiden, ob er den Weg geht eine Auslandsfirma anerkennen zu lassen oder sie wie eine inländische Firma besteuern lässt. Aufgrund strenger Regelungen gegenüber Auslandsfirmen in Deutschland und Österreich lohnt sich die Anerkennung von Auslandsfirmen erst ab einen gewissen Gewinn von meist zwischen 70.000€ und 100.000€.
Entgegen vieler Meinungen ist es ein zwar seltenes, aber legales Mittel eine Auslandsfirma einfach wie eine deutsche Firma besteuern zu lassen. Hierbei geniesst man die Vorzüge des Gesellschaftsrechtes des Sitzstaates, während die Steuerhoheit auf den Staat der effektiven Geschäftsführung der Firma übergeht.
Dies löst eine unselbstständige Niederlassung, also eine Betriebsstätte aus. Im Gegensatz zur selbstständigen Zweigniederlassung muss eine Betriebsstätte einer Auslandsfirma nicht ins Handelsregister eingetragen werden. Verpflichtend ist lediglich eine Eintragung ins lokale Gewerberegister. Im Gegensatz zum Handelsregister ist das Gewerberegister jedoch weder öffentlich noch zentralisiert.
Zwar kann bei berechtigtem Interesse ein Zugang angefragt werden, doch müsste man dazu erst einmal die zuständige Gemeinde kennen, die durch Nutzen einer Geschäftsadresse in einer anderen Gemeinde verschleiert weden kann. Für die Eintragung ins Gewerberegister ist der Wohnsitz des Firmeninhabers entscheidend – die tatsächlichen Betriebsstätten einer Auslandsfirma in Deutschland können davon jedoch abweichen.
Zum Zwecke der Besteuerung ausländischer Firmen wie eine deutsche GmbH bedient man sich am besten amerikanischer Corporations. Diese genießen am wenigsten Berührungsängste seitens der Behörden und sind durch den USA-Freundschaftsvertrag von 1954 mit gewissen Sonderrechten ausgestattet, die so andere Nicht-EU-Staaten nicht haben. Eine US-Corporation mit Treuhändern bietet hierbei besten Schutz. Aber auch sämtliche anderen Offshore-Jurisdiktionen sind in diesem Modell theoretisch denkbar.
Da eine Gewerbeanmeldung mit Offenbarung des Firmenhabers dennoch verpflichtend ist, bestehen gewisse Restrisiken, die nur mit Anerkennung der Firma an ihrem eigentlichen Standort zu lösen sind. Da die EU neben der DSGVO auch die glorreiche Idee hat bis 2020 einen Register der Wirtschaftlich Berechtigten von EU-Firmen verpflichtend einzuführen, ist die übliche Substanzlösung in Europa zu diesem Zweck nicht unbedingt die beste Idee.
Ausgenommen von einem solchen Register sind aber wiederum Inhaberaktien. So gibt es etwa die sehr attraktive Möglichkeit einer bulgarischen Aktiengesellschaft auf Inhaberaktien, die allerdings ein eingezahltes Stammkapital von 50.000€ erfordert. Sie verspricht jedoch volle Anonymität – nur die die immobilen Inhaberaktien verwahrende Bank kennt den wahren Eigentümer, den sie allenfalls bei Steuerstraftaten oder Terrorismusverdacht offenbaren darf.
Bulgarien ist deshalb attraktiv, weil es neben der geringen Körperschaftssteuer von 10% eines der günstigsten Länder in der EU ist um tatsächliche Substanz aufzubauen. Schließlich sind die Kosten einer ordentlichen Betriebsstätte und lokaler Mitarbeiter sehr gering.
Aufgrund des drohenden Beneficial-Owner-Register ist es aber sonst eher schlauer, eine ordentliche Betriebsstätte außerhalb der EU aufzubauen. Hier sollte darauf geachtet werden, dass ein Doppelbesteuerungsabkommen mit dem Wohnsitzland besteht, da dies die Anforderungen an die Substanz wesentlich im Vergleich zum Nicht-DBA-Sachverhalt erleichtert.
Typische Länder sind hier wiederum die USA, aber auch Schweiz, Liechtenstein, Singapur, Hong-Kong, Georgien oder eine Freihandelszonenfirma aus den Emiraten, in denen mit eingesetzten Treuhändern eine weitgehende Anonymität gewährleistet werden kann. Wesentliche Informationen zum Substanz-Modell bei Wohnsitz in deutsch-sprachigen Ländern gibt es in diesem Artikel.
Kontrolliere alles, besitze nichts
Im Rahmen der Domain-Holding bin ich bereits auf die Möglichkeit von Trusts, Stiftungen und Vereinen eingegangen. Diese möchte ich hier nochmals wiederholen. Schließlich werden solche Strukturen regelmäßig völlig unterschätzt. Nach dem Mantra der Flaggentheorie “Gehe dorthin, wo Du am besten behandelt wirst” ist das Mantra des Vermögensschutzes “Kontrolliere alles, besitze nichts” genauso wichtig.
Während die Reichen dieser Welt dieses Mantra schon seit Jahrhunderten leben, hat die Mittelschicht einen unnatürlichen Stolz auf “Eigentum” entwickelt und möchte dieses nicht in fremde Hände geben. Gerade bei hohen Zahlungsrisiken durch diverse Regulierungen wie auch der DSGVO sollte man diese Haltung jedoch überdenken. Wie anfangs beschrieben kann die separate juristische Person außer Kraft gesetzt und eine Verfehlung den Eigentümer der Firma zugeordnet werden (“piercing the corporate veil”).
Diese Durchgriffshaftung spielt dann eine Rolle, wenn das Geschäft in einer persönliche Brand besteht, die Webseite also nicht anonymisierbar ist (z.B. ein typisches Coaching-Business). Hier sind sich selbst gehörende Strukturen wie eine Stiftung oder Vereine eine tolle Lösung, weil sie sich eben selbst gehören. Es gibt keinen Eigentümer, dem eine Verfehlung zugeordnet werden kann.
Statt seine Webseiten in eine sich selbst gehörende Struktur auszulagern (siehe Domain-Holding), kann man natürlich auch den umgekehrten Weg gehen. Man hält sich selbst arm, indem man sein ganzes Vermögen innerhalb von Stiftungen und Trusts hält.
Staatenlos agiert etwa selbst mit einer Familienstiftung in Panama und besitzt nicht außer seinem Handgepäck. In diesem Fall kann man seine Domains bewusst privat halten, da es ja ohnehin nichts zu holen gibt. Im schlimmsten Fall geht nur die Firma pleite oder man selbst in Privatinsolvenz.
Freilich bedarf es dazu noch nicht einmal Stiftungen. Hat man ohnehin kein Geld, so gibt es auch nichts zu holen. Seine Domains könnte man also etwa auch auf den Namen von Vermögenslosen registrieren, die für ein etwaiges Risiko von Unannehmlichkeiten eine kleine Entlohnung erhalten.
Diese müssen bei entsprechender Domainwahl nicht mal in Deutschland sein, sondern können überall auf der Welt sitzen. Über gängige Online-Job-Portale findet man hier schnell Möglichkeiten. Das Abmahnrisiko kann man damit wieder erheblich senken. Natürlich gibt man theoretisch den Besitz eventuell werthaltiger Domains ab, doch kann man gerade bei Laien alles so regeln, dass man dennoch die Domain kontrollieren und jederzeit übertragen kann.
Als Domainholding kann man etwa mit befreundeten Unternehmern einen deutschen Verein gründen, der rein den Zweck hat die Webseiten und Domains zu verwalten. Haftung ist für die Vereinsmitglieder ausgeschlossen. Lediglich als Geschäftsführer sollte eine entsprechend “vermögenslose” Person eingesetzt werden, da sie im Zweifel haftbar gemacht werden könnte. Da ein deutscher Verein auch De-Domains ohne Admin-C halten kann, ist dies besonders attraktiv.
Wo keine Domain-Holding möglich, kann der Unternehmer durch Vereine oder Stiftungen immer sein Privatvermögen schützen. Alternativ und noch empfehlenswerter ist auch das operative Unternehmen im Vereins- oder Stiftungs-Besitz. Eine interessante Gestaltungsmöglichkeit in deutsch-sprachigen Ländern ist dabei noch die englische oder irische Stiftungs-Limited (Limited by guarantee). Eine irische Stiftungs-Limited kann dank EU-Recht auch theoretisch ins deutsche Handelsregister eingetragen werden.
In den Fällen, wo man auf seinen Webseiten ohehin öffentlich auftritt oder aus bestimmten Gründen öffentlich zu finden sein muss, kann man so trotzdem relativ DSGVO-sicher agieren. Denn eine Stiftungs-Limited gehört sich selbst und ist damit unpfändbar. Steuerrechtlich wird sie wie eine inländische Kapitalgesellschaft behandelt, gesellschaftsrechtlich gilt jedoch irisches oder englisches Recht. Da eine solche Art operativer Stiftung nicht im deutschen Rechtskreis existiert, verweigern viele Notare aber mittlerweile die durch EU-Recht eigentlich legale Eintragung ins deutsche Handelsregister. Auch Geschäftskonten sind schwierig zu bekommen.
Das Stiftungs- und Vereinsweisen ist kompliziert, wenn man es sich kompliziert machen möchte. Nutzt man solche Strukturen jedoch nur zum Besitz von Webseiten, so sind steuerrechtliche und stiftungsrechtliche Überlegungen völlig nebensächlich. Selbstverständlich erfordert es aber eine genaue Beratung, wenn man Unternehmensanteile oder Vermögen über eine eigene Stiftung halten möchte.
Zusammenfassung der Non-Compliance Möglichkeiten
Fassen wir diese ausführlich geschilderten Möglichkeiten einmal kurz zusammen gegliedert nach der persönlichen Ausgangssituation:
- Wohnsitz in EU, öffentliche Person: Absicherung durch Stiftungen & Vereine
- Wohnsitz in EU, anonym, Domain-Holding: Offshore-Firmengründung (Treuhänder/Inhaberaktien)
- Wohnsitz in EU, anonym, operative Firma lokal: Auslandsfirma inländisch besteuern lassen
- Wohnsitz in EU, anonym, operative Firma Substanz: Substanz in EU/DBA-Ländern aufbauen
- Wohnsitz außerhalb EU, öffentliche Person: Absicherung durch Stiftungen & Vereine
- Wohnsitz außerhalb EU, anonym, Domain-Holding: Offshore-Firmengründung
- Wohnsitz außerhalb der EU, anonym, operative Firma: generell jegliche Nicht-EU-Firmen. Anonymität kann durch Treuhänder erreicht werden.
Idealerweise werden die genannten Möglichkeiten kombiniert, sobald man sich ein Set-Up aus Stiftungen und mehreren Firmen leisten kann oder rechtlich dank richtigen Wohnsitz dazu in der Lage ist. So kann man ein für Abmahnparasiten unmöglich zu knackendes Konstrukt entwickeln.
Denn das sollte man sich immer wieder vor Augen halten: mit jedem kleinen hier genannten Schritt steigt das Kostenrisiko für Abmahnungen seitens des Abmahnenden immens an, weshalb sich diese einfach nicht mehr lohnen. Probleme wird nur haben, wer weiterhin mit einer deutschen oder EU-Gesellschaft aus gewissen Ländern öffentlich agiert und seine Webseiten darüber laufen lässt sowie ein substanzielles Privatvermögen ohne Einsatz von sich selbst gehörenden Strukturen hat.
Anonyme Hosting- und Domain-Anbieter
Mit einer richtigen Firmenstruktur muss man sich über die eigentliche Verwaltung der Webseiten keine großen Sorgen mehr machen. Denn der Abmahnanwalt kann ja gerne die Daten einer Marshall-Islands Firma auf Inhaberaktien vom Hosting-Anbieter bekommen – seinen Eigentümer wird er dennoch nicht herausfinden.
Deshalb ist die Anonymisierung der eigenen Webseiten-Infrastruktur für alle, die eine strukturelle Lösung gefunden haben, nur noch eine weitere Maßnahme die Kosten für potentielle Abmahner zu erhöhen. Wirklich wichtig ist eine anonyme Webseiten-Infrastruktur nur für jene, die auf oben genannte strukturelle Möglichkeiten aus welchen Gründen auch immer verzichten wollen.
Hierbei wird es nicht reichen, lediglich die Domain durch einen WHOIS-Schutz und den Server durch eine DNS zu anonymisieren. Dies ist ohne Zweifel ein empfehlenswerter Schritt um die Kosten hochzusetzen, um den Webseiten-Betreiber zu identifizieren, jedoch kein vollständiger Schutz.
Insbesondere deutsche oder auch europäische Hoster geben bei anwaltlichen Drohungen, spätestens aber nach gerichtlichen Urteilen, die Daten hinter einem Whois oder DNS frei. Domains in gewissen Ländern können zudem unter Umständen durchaus gesperrt werden. Deshalb empfiehlt es sich seine Webseiten in Ländern verwalten zu lassen, die eine möglichst hohe Anonymität gewährleisten und Daten selbst bei Anfrage ausländischer Behörden nicht herausgeben.
Über diese Länder und Hosting-Anbieter habe ich bereits in einem vergangenen Artikel geschrieben. Sehr viel geändert hat sich seitdem nichts. Noch immer hostet man seine Webseiten am besten in den nordischen Ländern. Gerade Island, Norwegen und Russland sind hier weiterhin sehr empfehlenswert.
Hat man die Wahl, greift man zudem zu Domains aus diversen Zwergstaaten. Bekannt sind etwa .to (Tonga), .io (Britisches Territorium im Indischen Ozean), .tv (Tuvalu) oder auch .is (Island). Eine Sperrung der Domains zu erreichen ist hier wesentlich schwieriger als etwa bei einer EU-Domain. Auch die Schweizer .ch Domain ist interessant, weil die Schweiz sich ja nicht an der DSGVO beteiligt (siehe Regulierungsarbitrage).
Zur Registrierung von Domains können auch Treuhanddienste wie nja.la verwendet werden. Hier besteht ein Vertrag über die volle Verfügungsgewalt an den Domains, rechtliches Eigentum sind sie jedoch von Njalla.
Dieses Prinzip läuft ähnlich der Domain-Verpachtung ab, die ich über Staatenlos einst angeboten habe. Die Domain-Verpachtung oder “Impressums”-Vermietung ist auch wegen der DSGVO aber ausgesetzt. Das liegt nicht daran, dass gewisse Länder etwas zu befürchten haben, sondern das diese Dienstleistung missverstanden wurde.
Die Domain-Verpachtung bezog sich rein auf das Aushebeln wettbewerbsrechtlicher Aspekte in Deutschland (z.B problematischer Vertrieb eines eigenen Produktes über eine eigene Preisvergleichsseite), nie auf Anonymität oder Abmahnschutz für den Inhaber. Schon allein aus Gründen der Durchgriffshaftung kann ich keine Impressen vermieten, da dies letztlich dem Webseiten-Betreiber nichts nutzen würde. Sobald nämlich irgendein Bezug zu diesem darstellbar ist, muss er die Datenschutzverletzung ausbaden.
Auch deshalb habe ich diesen Artikel geschrieben, um Dir selbst die verschiedenen Möglichkeiten an die Hand zu geben, Deine Webseiten möglichst abmahnsicher zu gestalten.
Was Du zusätzlich bei der Anonymisierung Deiner Webseiten beachten solltest, ist den Zahlungsfluss sauber zu gestalten. Alle anonyme Firmenstruktur nützt nichts, wenn Deine privaten Daten doch wieder über Kreditkartenzahlungen verknüpft sind. Deshalb solltest Du die entsprechenden Anbieter über Bitcoin, Paysafecard oder ähnliche anonyme Methoden bezahlen, niemals mit persönlicher Kreditkarte. Akzeptiert der Hoster keine Krypto-Währungen, solltest Du dir besser einen anderen suchen.
Im Endeffekt solltest Du dir noch einmal die 4 zentralen Prinzipien einprägen, um Deine Gefahr ein Opfer der Datenschutzgrundveordnung zu werden wesentlich zu minimieren. Diese 4 Prinzipien sind:
- Flaggentheorie (“Gehe dorthin, wo Du am besten behandelt wirst)
- Vermögensschutz (“Besitze nichts, kontrolliere alles)
- Regulierungsarbitrage (“Jede Regulierung schafft neue Schlupflöcher”).
- Verschleierung (“Was er nicht weiß, macht ihn nicht heiß”)
Im Idealfall gründest Du also zuerst eine möglichst anonyme Firma (Flaggentheorie), die von einer sich selbst gehörenden Struktur verwaltet wird (Vermögensschutz) und über die richtige Webseiten-Infrastruktur (Verschleierung) zumindest einen Teil der DSGVO-Richtlinien erfüllt (Regulierungsarbitrage). Wenn Du alle 4 Prinzipien in Deine Anti-DSGVO-Strategie verkörperst, so wirst Du dir wenig Sorgen machen müssen.
Selbst bei Anwendung von nur einem der 4 genannten Prinzipien kannst Du jedoch bereits den Aufwand und die Kosten potentieller Abmahner oder Behörden in die Höhe treiben, sodass es sich für diese kaum lohnen wird.
Abmahnparasiten saugen nur Opfer aus – und diese werden sich nach dem 25. Mai zahlreich finden. Wenn Du kein Opfer sein willst, stehen Dir viele Strategien offen.
Viele dieser Strategien vertiefe ich gerne in einem Beratungsgespräch mit Dir. Außerdem kann ich selbstverständlich die beiden Kernprinzipien der Flaggentheorie und des Vermögensschutzes für Dich umsetzen. Ob eine Familienstiftung in Panama oder eine Marshall-Firma auf Inhaberaktien – die Gründung kann rasch über meine Partnerkanzleien erfolgen.
Hier müssen aber immer der konkrete Einzelfall und die zahlreichen Implikationen auch steuerlicher Art berücksichtigt werden. Denn die DSGVO ist letztlich nur ein kleiner Punkt in einem Dschungel aus Regulierungen und Steuern, die den naiven Unternehmer schnell zum Verhängnis werden können.
Wenn Du dich anhand dieser Lektüre gut rüstest, kannst Du dein Geschäft aber auch nach dem 25. Mai fast unverändert weiter betreiben – und einen gehörigen Wettbewerbsvorteil gegenüber all denjenigen genießen, die sich 100% an die DSGVO halten (müssen).
Dir hat unser Blogartikel gefallen?
Unterstütze uns mit einem Erwerb unserer Produkte und Dienstleistungen. Oder baue Dir ein passives Einkommen mit ihrer Weiterempfehlung als Affiliate auf! Und vergiss nicht auf Christophs Reiseblog christoph.today vorbei zu schauen!
Videokurs Staatenlos Geheimwissen
Lerne alles, was Du für ein Perpetual Travel Leben wissen musst.
Kurs anschauen