Immer häufiger werden Unternehmen Opfer eines sogenannten Ransomware-Angriffs, bei dem Daten des Unternehmens von einem Erpresser verschlüsselt werden. Die Entschlüsselung der Firmendaten erfolgt in der Regel gegen die Zahlung eines Erpressungsgelds. Hier stellt sich natürlich die Frage, ob solche Zahlungen als Betriebsausgabe abziehbar sind? Die Antwort kann einer aktuellen internen Verfügung der Finanzverwaltung entnommen werden.
Da die Zahlungen eines Unternehmens im Zusammenhang mit einem Ransomware-Angriff geleistet werden, um ein Wirtschaftsgut des Betriebsvermögens (Daten) wiederherzustellen, handelt es sich bei dieser Zahlung unzweifelhaft um eine betriebliche Veranlassung und somit nach § 4 Abs. 4 EStG um eine Betriebsausgabe. Ein Abzugsverbot nach § 4 Abs. 5 EStG besteht nicht.
Ein Abzugsverbot für die Zahlungen an Cyberkriminelle könnte nur nach § 160 Abs. 1 Satz 1 AO in Betracht kommen, da es einem Unternehmer in der Regel nicht gelingen wird, die tatsächlichen Empfänger der Zahlung im Rahmen eines Benennungsverlangens zu benennen.
Da Cyberkriminelle anonym auftreten, ihre Identität verschleiern und die Zahlung in der Regel in Kryptowährung erfolgt, ist die Empfängerbenennung nach § 160 Abs. 1 Satz 1 AO nach Auffassung der Finanzverwaltung grundsätzlich nicht zumutbar.
Praxistipp
Die Nichtberücksichtigung von Betriebsausgaben bei Lösegeldzahlungen aufgrund eines Ransomware-Angriffs kommt nur dann in Betracht, wenn ein Unternehmen durch sein Verhalten die Cyber-erpressung begünstigt hat (z. B. durch nicht zeitgemäße Standards bei der IT-Sicherheit).