Cybercrime

Ransomware: Sind Lösegeldzahlungen in Österreich steuerlich absetzbar?

Ransomware-Angriffe treffen auch österreichische Unternehmen immer häufiger. Systeme werden verschlüsselt, sensible Daten exfiltriert und mit Veröffentlichung bedroht. Oft bleibt nur eine unangenehme Entscheidung: Zahlen oder nicht zahlen?

Neben IT-Sicherheit, Strafrecht und Compliance stellt sich in der Praxis eine weitere Frage:

Kann ein österreichisches Unternehmen das Lösegeld für die Entschlüsselung oder Löschung von Daten steuerlich als Betriebsausgabe geltend machen?

Sie sind aktuell von einem Hackerangriff / einer Lösegeldforderung betroffen? Unser Incident Response Team hilft 24/7 – Kontaktieren Sie uns telefonisch unter 06508601778.

CyberCrime

1. Ausgangslage: Was passiert bei einem Ransomware-Angriff?

Typischer Ablauf eines Ransomware-Vorfalls:

  • Angreifer verschlüsseln Server, Datenbanken und Arbeitsstationen.

  • Wichtige Unternehmensdaten und Backups werden unzugänglich.

  • Zusätzlich werden häufig Daten exfiltriert.

  • Die Täter drohen mit der Veröffentlichung dieser Daten im Darknet.

  • Es wird Lösegeld gefordert – meist in Kryptowährungen.

In vielen Fällen geht es um zwei konkrete Forderungen:

  1. Lösegeld für einen funktionierenden Entschlüsselungsschlüssel (Decryption Key).

  2. Lösegeld für die Zusage, exfiltrierte Daten zu löschen bzw. nicht zu veröffentlichen (Data Leak Extortion).

Genau um diese beiden Konstellationen geht es in diesem Artikel.

2. Steuerlicher Grundsatz: Betriebliche Veranlassung als Ausgangspunkt

Nach österreichischem Einkommensteuerrecht sind Betriebsausgaben alle Aufwendungen, die durch den Betrieb veranlasst sind. Vereinfacht gesagt:

  • Es muss ein klarer wirtschaftlicher Zusammenhang mit dem Unternehmen bestehen.

Bei Ransomware-Lösegeldzahlungen ist dieser Zusammenhang regelmäßig gegeben:

  • Betroffen sind in der Regel betriebliche IT-Systeme und Unternehmensdaten.

  • Die Zahlung dient dazu,

    • die Arbeitsfähigkeit des Unternehmens wiederherzustellen (Entschlüsselung), oder

    • einen weiteren massiven Schaden durch Datenveröffentlichung zu verhindern (Löschung/Unterlassung des Leaks).

Damit spricht sehr viel dafür, diese Zahlungen dem Grunde nach als betrieblich veranlasste Aufwendungen einzuordnen. Sie sind wirtschaftlich mit Schadensbegrenzungs- und Wiederherstellungskosten vergleichbar.

3. Abzugsverbot für „strafbare Zuwendungen“ – trifft das Opfer?

Ein naheliegendes Gegenargument ist § 20 Abs 1 Z 5 lit a EStG. Dort heißt es vereinfacht: Zuwendungen, deren Gewährung oder Annahme mit gerichtlicher Strafe bedroht ist, sind nicht abzugsfähig.

Die Fachliteratur differenziert hier deutlich:

  • Die Norm soll vor allem korruptive Zahlungen und Schmiergelder erfassen.

  • Gemeint sind Fälle, in denen sich der Zahlende bewusst einen unrechtmäßigen Vorteil verschafft.

Bei einer Ransomware-Lösegeldzahlung ist die Situation anders:

  • Das Unternehmen ist Opfer einer Erpressung.

  • Es versucht, einen bestehenden Schaden zu begrenzen und den Fortbestand des Betriebs zu sichern.

  • Es geht nicht darum, eine eigene Straftat zu begehen oder jemanden rechtswidrig zu beeinflussen.

Daher wird überzeugend vertreten, dass § 20 Abs 1 Z 5 lit a EStG im Regelfall nicht dazu führen sollte, den Betriebsausgabenabzug beim Opfer eines Ransomware-Angriffs zu versagen, wenn es nur um die Entschlüsselung oder Nichtveröffentlichung von Unternehmensdaten geht.

Grenzen können dort verlaufen, wo:

  • klar ist, dass das Lösegeld erkennbar an eine sanktionierte oder terroristische Organisation fließt, oder

  • das Unternehmen bewusst in eigene strafbare Beteiligung hineinrutscht.

In typischen, anonymen Ransomware-Fällen besteht diese Konstellation jedoch meist nicht.

4. Empfängerbenennung: Was ist mit § 162 BAO, wenn die Täter anonym sind?

Ein weiterer Knackpunkt ist die Empfängerbenennung nach § 162 BAO. Die Finanz kann verlangen, dass ein Unternehmen den Empfänger einer Zahlung genau bezeichnet. Erfolgt das nicht, kann die Betriebsausgabe gestrichen werden.

Problem in der Praxis:

  • Ransomware-Täter sind anonym,

  • die Zahlung erfolgt auf eine Krypto-Wallet-Adresse,

  • es gibt keine reale Chance, Name oder Sitz des Empfängers zu ermitteln.

Nach der in der Literatur vertretenen Auffassung gilt:

  • § 162 BAO setzt eine „Verweigerung“ der Empfängerbenennung voraus.

  • Wenn der Empfänger objektiv nicht ermittelt werden kann, liegt keine Verweigerung, sondern eine Unmöglichkeit vor.

Im Kontext von Ransomware bedeutet das:

  • Wenn das Unternehmen den Angriff und die Zahlung nachvollziehbar dokumentiert,

  • und darlegt, dass eine Identifizierung der Täter trotz zumutbarer Anstrengungen nicht möglich ist,

  • darf die Betriebsausgabe nicht allein wegen fehlender Empfängerbenennung versagt werden.

5. Lösegeld für Entschlüsselung vs. Lösegeld für Datenlöschung

Für die steuerliche Behandlung macht es in der Praxis keinen grundsätzlichen Unterschied, ob das Lösegeld gezahlt wird für:

  1. Entschlüsselung von Unternehmensdaten

    • Ziel: Wiederherstellung der Arbeitsfähigkeit.

  2. Zusage zur Löschung oder Nichtveröffentlichung exfiltrierter Unternehmensdaten

    • Ziel: Vermeidung weiterer Schäden (Image, Geschäftsgeheimnisse, DSGVO-Risiken, Haftungsansprüche von Betroffenen, etc.).

In beiden Fällen ist die Zahlung eng an die betriebliche Tätigkeit gekoppelt. Sie dient der Schadensbegrenzung und dem Schutz des Unternehmens.

Ergebnis: Beide Varianten lassen sich grundsätzlich als steuerlich abzugsfähige Betriebsausgaben argumentieren, sofern die übrigen Voraussetzungen (Opferrolle, keine erkennbaren Sanktionsverstöße, sauber dokumentierter Sachverhalt inkl. Prüfung der faktischen und rechltichen Zulässigkeit der Lösegeldzahlung) erfüllt sind.

6. Fachlicher Hintergrund

Wir sind Rechtsanwälte, keine Steuerberater. Im Rahmen unserer Tätigkeit in Incident-Response-Teams werden wir jedoch häufig mit der Frage der steuerlichen Behandlung von Lösegeldzahlungen konfrontiert und arbeiten dabei regelmäßig mit spezialisierten Steuerberater:innen zusammen.

Die in diesem Beitrag dargelegten Informationen beruhen auf unserem derzeitigen Verständnis der Rechtslage und erheben keinen Anspruch auf Richtigkeit, Vollständigkeit oder Aktualität. Soweit ersichtlich, liegen zu den hier behandelten Fragen derzeit keine letztinstanzlichen Entscheidungen österreichischer Höchstgerichte vor, sodass sich die Beurteilung durch zukünftige Rechtsprechung oder Verwaltungspraxis ändern kann.

Teile der Darstellung stützen sich insbesondere auf den Fachaufsatz von Bräumann / Kofler / Tumpel, „Sind Lösegeldzahlungen bei Ransomware-Angriffen steuerlich abzugsfähig?“, SWK 26/2021, 1194–1205, ohne dass damit eine steuerliche Beratung ersetzt wird.

7. FAQ: Häufige Fragen zur steuerlichen Behandlung von Ransomware-Lösegeld

Frage 1: Sind Lösegeldzahlungen in Österreich steuerlich absetzbar?
Ja, sofern es um Entschlüsselung oder Nichtveröffentlichung betrieblicher Daten geht, das Unternehmen eindeutig Opfer ist und der Vorfall sauber dokumentiert wird, lassen sich diese Zahlungen grundsätzlich als Betriebsausgaben argumentieren.

Frage 2: Sind Lösegeldzahlungen auch absetzbar, wenn nur die Veröffentlichung exfiltrierter Daten verhindert werden sollen?
Ja. Wenn die Zahlung dazu dient, die Veröffentlichung von Unternehmensdaten zu verhindern und damit betriebliche Schäden abzuwenden (z.B. Geschäftsgeheimnisse, Haftungsrisiken, Reputationsschäden), besteht ebenfalls eine klare betriebliche Veranlassung.

Frage 3: Muss ich den Empfänger der Lösegeldzahlung gegenüber dem Finanzamt nennen?
Grundsätzlich kann die Finanz die Empfängerbenennung verlangen. Bei typischen Ransomware-Fällen sind die Täter jedoch anonym. Ist eine Identifizierung trotz zumutbarer Bemühungen nicht möglich, liegt eine Unmöglichkeit der Benennung vor. Die Betriebsausgabe sollte dann nicht allein aus diesem Grund versagt werden.

Frage 4: Spielt es steuerrechlich eine Rolle, ob Lösegeld mit Kryptowährungen gezahlt wird?
Die Zahlung in Kryptowährungen ändert nichts an der grundsätzlichen steuerlichen Qualifikation als Betriebsausgabe. Wichtig ist vor allem die Dokumentation der Transaktion (Wallet, Transaktions-ID, Umrechnung in EUR) und die Einordnung als Schadensaufwendung.

Frage 5: Steht § 20 Abs 1 Z 5 EStG („strafbare Zuwendungen“) der Abzugsfähigkeit einer Lösegeldzahlung entgegen?
Nach Meinung der einschlägigen Literatur in der Regel nein. Die Bestimmung zielt primär auf Schmiergeld und korruptive Zahlungen, nicht auf Opferzahlungen in einer Erpressungssituation. Bei typischen Ransomware-Fällen ist das Unternehmen Opfer und versucht lediglich, einen massiven Schaden zu begrenzen. Problematisch können Sonderfälle sein, in denen klar erkennbar ist, dass Zahlungen an sanktionierte oder terroristische Organisationen fließen.

8. Kurz-Fazit

Für österreichische Unternehmen, die nach einem Ransomware-Angriff Lösegeld für die Entschlüsselung von Daten oder für die Zusage zur Löschung bzw. Nichtveröffentlichung exfiltrierter Unternehmensdaten zahlen, ist nach aktueller Fachmeinung eine steuerliche Abzugsfähigkeit als Betriebsausgabe gut vertretbar –
vorausgesetzt, die betriebliche Veranlassung ist klar, der Sanktions- und Terrorismusbezug ist negativ geprüft und der Vorfall ist umfassend dokumentiert.

Für weitere Informationen steht Roman Taudes und sein Team jederzeit unter office@atb.law bzw. telefonisch unter 01 39 12345 zur Verfügung.

Linkedin-in Facebook-f