TAXNEWS
Klienteninformation, verfaßt von Mag. Johannes Meller
Ausgabe Nr. 101 vom Oktober 2020

Inhalt:
1. Härtefallfonds-Zuschuss verlängert
2. Bewirtung zu 75% abzugsfähig bis 31.12.2020
3. Datenleck in Finnland: Tausende von Menschen öffentlich entblößt
4. Hacker und Opfer

 

1. Härtefallfonds-Zuschuss verlängert

Im Oktober 2020 hat das Finanzministerium eine neue 23-seitige Richtlinie zur Regelung der Auszahlungsphase 2 im Rahmen des Härtefallfonds für Ein·Personen-Unternehmen, freie Dienstnehmer und Kleinstunternehmen erlassen.

Es gibt nun 12 Betrachtungszeiträume, die von 16.03.2020 bis 15.03.2021 reichen.

Voraussetzungen für einen Antrag auf Härtefallfonds-Zuschuss sind weiterhin:

I)      unternehmerische Tätigkeit in Österreich.

II)     ein aufrechtes Versicherungsverhältnis in einer gesetzlich vorgeschriebenen Kranken-oder Pensionsversicherung bzw. in Versicherungen entsprechenden Einrichtungen der Freien Berufe (opting-out-Krankenversicherung). Freiwillige Versicherungen in einer gesetzlichen Kranken- und/oder Pensionsversicherung erfüllen diese Voraussetzung ebenfalls. Das Versicherungsverhältnis muss durch eigene Tätigkeit, eine Eigenpension auf Grund eigener Tätigkeit oder eine Witwenpension, also nicht durch Mitversicherung, jedoch nicht notwendigerweise durch die selbstständige Tätigkeit begründet sein.

III)    Eine wirtschaftlich signifikante Bedrohung durch COVID-19. Diese liegt vor, wenn:

• die laufenden Kosten nicht mehr gedeckt werden können oder

• im Betrachtungszeitraum überwiegend ein behördlich angeordnetes Betretungsverbot aufgrund von COVID-19 besteht oder
• ein Umsatzeinbruch von mindestens 50% zum vergleichbaren Betrachtungszeitraum des Vorjahres besteht.
Berechnung des Umsatzeinbruchs: Gegenüberstellung von

1) Betrachtungszeitraum 16.3. bis 15.04.2020: Umsatz dieses Zeitraumes gegenüber Umsatz des Monats März 2019
2) Betrachtungszeitraum 16.4. bis 15.05.2020: Umsatz dieses Zeitraumes gegenüber Umsatz des Monats April 2019
3) Betrachtungszeitraum 16.5. bis 15.06.2020: Umsatz dieses Zeitraumes gegenüber Umsatz des Monats Mai 2019
4) Betrachtungszeitraum 16.6. bis 15.07.2020: Umsatz dieses Zeitraumes gegenüber Umsatz des Monats Juni 2019
5) Betrachtungszeitraum 16.7. bis 15.08.2020: Umsatz dieses Zeitraumes gegenüber Umsatz des Monats Juli 2019
6) Betrachtungszeitraum 16.8. bis 15.09.2020: Umsatz dieses Zeitraumes gegenüber Umsatz des Monats August 2019
7) Betrachtungszeitraum 16.9. bis 15.10.2020: Umsatz dieses Zeitraumes gegenüber Umsatz des Monats September 2019
8) Betrachtungszeitraum 16.10. bis 15.11.2020: Umsatz dieses Zeitraumes gegenüber Umsatz des Monats Oktober 2019
9) Betrachtungszeitraum 16.11. bis 15.12.2020: Umsatz dieses Zeitraumes gegenüber Umsatz des Monats November 2019
10) Betrachtungszeitraum 16.12.2020 bis 15.1.2021:Umsatz dieses Zeitraumes gegenüber Umsatz Dezember 2019
11) Betrachtungszeitraum 16.1. bis 15.2.2021: Umsatz dieses Zeitraumes gegenüber Umsatz Jänner 2020
12) Betrachtungszeitraum 16.2. bis 15.3.2021 ist der Umsatz dieses Zeitraumes gegenüber Umsatz Februar 2020

 IV) Es wurden keine weiteren Förderungen in Form von Barauszahlungen durch Gebietskörperschaften erhalten, die der Bekämpfung der Auswirkungen von COVID-19 dienen. Ausgenommen davon sind Förderungen aufgrund von Corona-Kurzarbeit, Förderungen durch den Corona-Familienhärteausgleich, Förderungen durch den Fixkostenzuschuss und künstlerische Arbeitsstipendien. Die Inanspruchnahme staatlicher Garantien ist erlaubt. Zuschüsse aus dem Künstler-Sozialversicherungsfonds hindern die Antragstellung nicht; derartige Zuschüsse werden gemäß Punkt 5.6. angerechnet.

Es besteht die Möglichkeit, in einen darüber hinaus eingerichteten Corona-Hilfsfonds zu wechseln. Eine kumulierte Inanspruchnahme ist nicht möglich. Dies gilt nicht für den Fixkostenzuschuss: Auf diesen werden Leistungen aus dem Härtefallfonds nicht angerechnet.

Nebeneinkünfte (Gehälter) neben Einkünften aus Gewerbebetrieb oder selbständiger Arbeit sind möglich. Dazu zählen auch Bezüge aus der Pensionsversicherung. Steuerfreie künstlerische Arbeitsstipendien, die für die Bewältigung der COVID-19-Krisensituation geleistet werden, gelten als Nebeneinkünfte.

Nebeneinkünfte und Leistungen aus privaten bzw. beruflichen Versicherungen zur Abdeckung von COVID-19 Auswirkungen werden nach Maßgabe des Punktes 5.5. im Rahmen der Deckelung berücksichtigt oder können gemäß Punkt 5.5. zum Ausschluss der Förderung führen.

Für beide Auszahlungsphasen beträgt die maximale Gesamtförderung für den Nettoeinkommensentgang EUR 24.000, der maximale Comeback-Bonus beträgt EUR 6.000, in Summe beträgt die maximale Gesamtförderung somit EUR 30.000 pro Förderungswerber.

Für einen gewählten Betrachtungszeitraum beträgt die maximale Förderungshöhe für den Nettoeinkommensentgang EUR 2.000 und der Comeback-Bonus EUR 500- pro Förderungswerber.

Weitere Informationen entnehmen Sie bitte meinem Artikel unter
https://www.meller.biz/index.php/haertefallfonds-zuschuss-phase-2.html

 

2. Bewirtung zu 75% abzugsfähig bis 31.12.2020

Repräsentationsausgaben sind gemäß § 20 Abs 1 Z3 EStG nicht abzugsfähig. Darunter fällt grundsätzlich auch die Bewirtung von Geschäftsfreunden, es sei denn, der Steuerpflichtige weist nach, dass die Bewirtung der Werbung dient und die betriebliche Veranlassung weitaus überwiegt- dann können Bewirtungsausgaben zu 50% abgezogen werden. Davon abweichend ist ein Abzug zu 75% zulässig von 01.07.2020-31.12.2020- evtl. folgt sogar eine Verlängerung dieser Bestimmung.
 

3. Datenleck in Finnland: Tausende von Menschen öffentlich entblößt

von Jüri Reinvere, Frankfurter Allgemeine Zeitung, 28.10.2020 S. 9

 Digitale Katastrophe in Finnland: Hacker haben psychotherapeutische Krankenakten geraubt

Am 21. Oktober hinterließ ein anonymer Hacker auf einem finnischen Internetforum eine englischsprachige Nachricht, wonach die Krankenakten von etwa vierzigtausend Patienten des großen Psychotherapiezentrums Vastaamo in seinem Besitz seien. Dieses Material enthalte sowohl die Adressdateien als auch die Personenkennzeichen - in Finnland ein wichtiges Dokument, das die Nutzer zu gravierenden finanziellen und behördlichen Transaktionen berechtigt - sowie die gesamten Protokolle der Therapiesitzungen, die von den Therapeuten über mehrere Jahre hinweg geführt worden waren.

 Der Hacker schrieb, er habe die Akten der Vastaamo-Datenbank bereits im November 2018 gehackt. Ende September 2020 habe er sich an die Chefs des Zentrums gewandt und 450 000 Euro Schweigegeld erpresst, das ihm durch anonyme Vermittlung in Bitcoins über das Darknet überwiesen werden sollte. Die Firma habe seine Forderungen nicht akzeptiert, deshalb werde er ab sofort jeden Morgen die Akten von hundert Patienten im anonymen Tor-Netzwerk veröffentlichen.

Der Hacker hat Wort gehalten. Am nächsten Morgen erschienen weitere hundert, Freitag wieder hundert, bislang also dreihundert Patientenakten im Netz. Die Aufmerksamkeit der Presse und Internetforen wuchs. Redakteure unterschiedlichster finnischer Zeitungen prüften die Dateien und stellten fest: Das Material ist gravierend. Eine Autorin beschrieb in ihrer Kolumne, dass sie die Lektüre einer Akte abbrechen musste: Bei der Vorstellung, dass alle Welt lesen könne, wie ein Therapeut das Leben einer Person durchwühle, sei ihr schlecht geworden.

 Der Hacker behauptete, die Personen der bislang veröffentlichten Akten seien frei gewählt. Doch bereits unter den ersten fanden sich hochrangige Polizisten und Politiker. Am Freitagmorgen wurde auf der Tor-Seite des Hackers eine Datei von zehn Gigabyte hochgeladen und nach einer Stunde wieder gelöscht. Viele, die im Netz gelauert hatten, luden die Datei herunter. Danach brach die Hölle los: Am Samstag bekamen Zigtausende Patienten des Therapiezentrums per E-Mail einen Erpressungsbrief, diesmal auf Finnisch, der ihnen die Möglichkeit bot, sich freizukaufen: für zweihundert Euro, zahlbar in Bitcoins innerhalb eines Tages, oder für etwa fünfhundert Euro, zahlbar in zwei Tagen. Damit war klar: Es geht um wesentlich mehr.

 

Was das Datenleck bedeutet

Es ist schwer zu fassen, was dieses Datenleck für die Finnen bedeutet. Die Menge von vierzigtausend Patienten in Finnland entspricht, gemessen an der Gesamtbevölkerung, etwa jener von sechshunderttausend in Deutschland. Sie stehen nun völlig nackt in der Öffentlichkeit: mit ihren Geheimnissen, Krankheiten, Affären, unehelichen Kindern. Dazu kommt, dass zur finnischen Mentalität große Scheu, gedämpfte Kommunikation und viele innere Geheimnisse gehören. Der finnische Staat war auf diesen Angriff nicht vorbereitet. Die Premierministerin Sanna Marin ordnete am Wochenende eine Krisensitzung der Schlüsselministerien an. Die Polizei organisierte eine Pressekonferenz und bestätigte, es gehe vermutlich um "viele tausend Leute".

Die Behörden empfehlen, kein Schweigegeld zu bezahlen und stattdessen Strafanzeige im Internet zu stellen. Die Portale der Polizei kollabierten sofort. Die Patienten, viele von Angst paralysiert, suchten verzweifelt nach Möglichkeiten, mehr zu tun. Mit dem Personenkennzeichen kann man in Finnland per Internet Versandware bestellen, Umzüge organisieren, Firmen gründen, Sofortkredite beantragen. Um jede einzelne dieser Transaktionsmöglichkeiten zu sperren, muss man mit sieben bis acht Behörden telefonieren, bei einigen für die Sperrung auch Gebühren bezahlen - und das alles, während viele der betroffenen Menschen dazu keine Kraft und erst recht keine ausreichenden digitalen Kenntnisse haben.

 Die Krise weitet sich in alle Richtungen aus. Die zwei Hauptfragen lauten: Warum haben alle Aufsichtsbehörden versagt? Sind Gesetzeslage und Gesellschaftsstruktur überhaupt gerüstet für digitale Großunfälle dieser Art? Hinzu kommt: Die geraubten Daten können im Darknet von Kriminellen weiterverkauft werden. Niemand von den betroffenen Personen kann sicher sein, dass nicht nach Jahren ein neuer Krimineller mit weiteren Forderungen auftaucht. Niemand weiß, wer was hat.

Vastaamo hat viel von einem ultramodernen Unternehmen, ähnlich wie Wirecard. Die Geschäftsidee beruht auf einem Konzept stark vereinfachter Prozesse unterschiedlichster Transaktionen. Vastaamo vereinfachte den Prozess des Einstiegs in und des Verlaufs von Psychotherapien: Man muss nur ins Internet gehen, einen passenden Therapeuten aussuchen, und los geht's. Wie Wirecard gehörte Vastaamo zu den am schnellsten wachsenden Firmen in Finnland, die auf aggressive Weise ihr Evangelium von der digitalen Zukunft der modernen Gesellschaft predigten. Die Firma sah cool aus, genoss große Bewunderung in den Medien. Doch die Firmenleitung hat sich für die eigenen Inhalte und die Selbstkontrolle wenig interessiert.

 

Ultramodernität als Risiko

Valvira, die Aufsichtsbehörde des finnischen Gesundheitssystems, die sich auch um Fragen der Cybersicherheit kümmern müsste, räumte sofort ein, wegen Sparmaßnahmen sei bei ihr derzeit nur eine Person mit solchen Vorfällen beschäftigt, und auch sie werde jeweils nur auf Nachfrage tätig. Psychiater und Psychologen mögen ihre Arbeit noch so gewissenhaft machen, sobald das Management inhaltlich unsensibel nach reinen Kostenfragen agiert und die Sicherheit grob vernachlässigt, können die Folgen fatal sein und nationale Ausmaße annehmen.

In der finnischen Öffentlichkeit ist schon diskutiert worden, ob der Täter Verbindung zu ausländischen Geheimdiensten haben könne, da der Fall Vastaamo alle Symptome eines Hybridangriffs aufweise: Eine Kerngruppe der Gesellschaft werde mit etwas Überraschendem, Unvorstellbarem und Großem konfrontiert, teils gelähmt, und die Gesellschaft als ganze durch Dominoeffekte in Schach gehalten. Vermutungen wurden laut, der russische Geheimdienst versuche, das Vertrauen der finnischen Bevölkerung in die Datensicherheit zu zerrütten. Auch wenn das nicht der Fall sein sollte, bietet der Vorgang viel Analysematerial für Geheimdienste.

 Die digitale Euphorie ist groß, ebenso die Fehlerbereitschaft einer neuen Unternehmenskultur sowie die Phantasie und Schnelligkeit von Kriminellen. Damit stehen viele Staaten vor neuen Fragen: Wo können mögliche Löcher digitaler Schutzräume sein? Wo macht sich der Staat verwundbar? Ein Kommentator im Internet verglich den Fall schon mit dem Unglück des Tankers Exxon Valdez: Man hatte es längst kommen sehen, niemand hatte etwas dagegen getan. Dienstag Früh schrieb ein anderer: "Ja, ich habe von dieser Zehn-Gigabyte-Datei einen Teil herunterladen können. Ich sage aber nicht, wie viel, um meine Spur nicht nachverfolgbar zu machen. Es sind etwas weniger als fünf Gigabyte. Allerdings kann ich diese Datei öffnen, und wie es aussieht, sind alle vierzigtausend Patienten erhalten." Man wird niemals wissen, wie viele Menschen die Daten am frühen Freitagmorgen haben herunterladen können.

 

4. Hacker und Opfer

von Bastian Benrath FAZ vom 24.10.2020

Vor Cyberkriminellen kann man sich schützen – und dafür ist jeder selbst verantwortlich.

Ein drastischster Beleg dafür, dass die digitale Sicherheitslage in Deutschland angespannt ist, ist das erste bekanntgewordene Todesopfer eines Hackerangriffs. Cyberkriminelle hatten im September die Uniklinik Düsseldorf lahmgelegt, ein Krankenwagen mit einer schwerverletzten Frau schaffte es nicht rechtzeitig in ein anderes Krankenhaus. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellte diese Botschaft deshalb diese Woche in den Mittelpunkt seines Lageberichts. Jeden Tag steige die Zahl neuer Schadsoftware-Varianten im Internet um mehr als 300 000, schreibt er darin.

Dass die Cyberkriminalität zunimmt, sollte niemanden überraschen. Kriminalität gibt es in allen Bereichen des Lebens – und das Leben verlagert sich seit zwanzig Jahren mehr und mehr ins Netz. Die Corona-Pandemie verleiht der Digitalisierung in Deutschland zudem gerade zusätzlichen kräftigen Schub. Also folgen die Kriminellen den Menschen, um ihr krudes Handwerk in Geld umzusetzen. Der Großteil der Angriffe im Internet findet aus rein kommerziellen Gründen statt. Es gibt in Zentralasien und Osteuropa Hackergruppen, die zu normalen Bürozeiten von 9 bis 17 Uhr Schadsoftware programmieren und im Darknet sogar Arbeitsplätze ausschreiben – etwa nach dem Muster: „Wir suchen einen deutschen Muttersprachler, der Köder-E-Mails so formuliert, dass deutsche Opfer gutgläubig auf den Link darin klicken.“

Die digitale Welt gibt Kriminellen die Möglichkeit, mit wesentlich weniger Aufwand viel mehr potentielle Opfer zu erreichen. Wollte man in der realen Welt einen Erpresserbrief an Hunderttausende Bürger verschicken, brauchte man dafür sehr viel Papier und Porto – ganz zu schweigen von einem vielfach höheren Entdeckungsrisiko. Eine kontaminierte E-Mail an diese Zahl von Menschen zu schicken erfordert indes wenig mehr als einen Mausklick, den die Cyberkriminellen bequem aus einem fernen Land erledigen. Dabei berücksichtigen sie, dass nur eine kleine Zahl von Opfern auf die Schadsoftware hereinfällt und diese aufruft. Bei diesen Unglücklichen verschlüsselt dann zum Beispiel sogenannte „Ransomware“ die Systeme, eine Lösegeldforderung wird angezeigt. Einige der panischen Opfer – mittelständische Unternehmer, Verwaltungen von Krankenhäusern oder Banken – bezahlen die Forderung. Auch wenn die Zahler nur einen winzigen Anteil der ursprünglichen Adressaten ausmachen, hat sich die Aktion für die Hacker gelohnt.

Jeder vierte Deutsche war schon Opfer von Kriminalität im Internet. Damit ist es heute viel wahrscheinlicher, von Cyberkriminellen ausgebeutet als auf der Straße überfallen zu werden. Das Problem liegt darin, dass sich ein Großteil der Bevölkerung darauf noch nicht eingestellt hat. Nur 57 Prozent der Deutschen geben an, ein Antivirusprogramm einzusetzen, weniger als die Hälfte verwenden nach eigener Aussage sichere Passwörter. Eine Zwei-Faktor-Authentifizierung, durch die man beim Einloggen in einen Dienst nicht nur sein Passwort kennen, sondern auch im Besitz eines zweiten Faktors – in der Regel des eigenen Handys – sein muss, hat nur ein Drittel der Deutschen eingerichtet. Updates, die häufig neu entdeckte Sicherheitslücken schließen, lässt gar nur ein Viertel automatisch installieren. Doch all diese Maßnahmen sind das kleine Einmaleins der persönlichen Sicherheit im Internet. Dass noch nicht mal sie flächendeckend genutzt werden, zeigt: Wir machen es Hackern zu leicht.

Es liegt an jedem Bürger und Unternehmer selbst, sich dies zu Herzen zu nehmen, nicht am BSI oder anderen staatlichen Stellen. Jeder trägt selbst die Verantwortung dafür, seine Aktivitäten im Internet ausreichend abzusichern. Dafür muss auch nicht jeder zum IT-Experten werden. Gerade Unternehmer oder Verantwortliche für Institutionen – Krankenhäuser, lokale Behörden, Universitäten – sind aber verpflichtet, sich für IT-Sicherheitsfragen gegebenenfalls Fachleute ins Haus zu holen. Denn sie tragen Verantwortung für zahlreiche Unbeteiligte: Kunden, Patienten, Klienten.

Analog muss jeder Einzelne sich die Grundregeln für sicheres Verhalten im Digitalen vergegenwärtigen. Das bedeutet etwa auch, scheinbar harmlose E-Mails sorgfältig zu lesen, Daten nicht über USB-Sticks oder private E-Mail-Accounts zwischen dem privaten und dem dienstlichen Computer hin- und herzuschieben und sichere Passwörter zu verwenden. Ein solches sollte stets aus einer für sich keinen Sinn ergebenden Folge von Buchstaben, Zahlen und Sonderzeichen bestehen – und immer nur für einen einzigen Dienst verwendet werden. Ja, das ist nervig und neu für viele. Aber wer sich selbst unsicher verhält, darf sich nicht beschweren, wenn Hacker ihn kriegen.