Kürzlich wurden die sogenannten Pandora Papers veröffentlicht, was die Offshorewelt in Aufregung versetzt hat. Dabei sind die Pandora Papers nicht das erste Ereignis, bei dem Datenleaks die Offshorewelt erschüttern und legale wie auch illegale Gestaltungsmöglichkeiten im Zusammenhang mit Offshorefirmen, Stiftungen, Trusts, etc. aufgedeckt werden.

Doch was genau passiert bei Panama Papers, Paradise Papers, Pandora Papers, etc. eigentlich genau und was gilt es für die Zukunt zu beachten Das wollen wir in diesem Artikel genauer beleuchten.

Wer hat es vermasselt?

Während 2016 bei den Panama Papers nur eine einzelne Kanzlei in Panama (Mossack & Fonseca) betroffen war deren vertrauliche Unterlagen über Offshorefirmen und deren Inhaber durch investigative Journalisten veröffentlicht wurden, waren es bei den Paradise Papers schon mehrere Unternehmen (Applebys und Asiaciti Trust) und nun bei den Pandora Papers sind es schon 14 Anbieter (AABOL und Alpha Consulting auf den Seychellen, Alcogal und OMC in Panama, Asiaciti Trust und Il Shin aus Hong Kong, CCS Trust, GDG und CIL Trust International aus Belize, Commence Overseas und Fidelity Overseas aus den BVI, Demetriades aus Zypern, SFM aus der Schweiz und Dubai sowie der weltweit tätige Trident Trust).

Was kann mir passieren?

Wenn man nicht gerade eine prominente Person wie z.B. ein Politiker oder Filmstar ist, dürfte die Gefahr gering sein, dass man selbst namentlich in den Medien mit seiner Offshorefirma auftaucht, doch sobald solche Datenleaks im Internet verfügbar sind, ist es meist nur eine Frage der Zeit, bis jemand eine einfache Methode veröffentlicht, die kompletten Datenbestände einfach durchsuchbar zu machen, und im nächsten Schritt nehmen die großen Suchmaschinen die Ergebnisse in ihren Index auf. Damit kann dann eine einfache Sucheingabe des eigenen Namens reichen um eine Beteiligung an einer Offshorefirma aufzudecken.

Bestenfalls ist die Verfügbarkeit einer solchen Information im Internet nur unangenehm wenn man mit der Offshorefirma nur legale Geschäfte gemacht hat (die bestenfalls auch nicht moralisch „anrüchig“ sind). Vielleicht hat es aber auch nur Auswirkungen auf das persönliche Umfeld, wenn z.B. der/die zukünftige Ex-Partner-/in auf einmal vom geheimen Spardosen-Trust etwas mitbekommt oder die Nachbarn herausfinden, dass man unter dem Deckmantel einer vermeintlich anonymen Offshorefirma eine Webseite für Erwachsenenunterhaltung betreibt. Hat man es aber bei der Nutzung der Offshore-Strukturen mit den Gesetzen nicht so genau genommen, ist nicht auszuschließen, dass auch Behörden und Strafverfolger auf einen aufmerksam werden.

Was muss ich jetzt tun?

Ob man nach einem Gesetzesverstoß gleich zum heimischen Finanzamt gehen sollte um eine Selbstanzeige zu machen hängt hier aber ganz von der persönlichen Risikotoleranz und dem Vertrauen in die IT Kenntnisse der entsprechenden Staatsdiener ab. Für die Themen, die eher im privaten Lebensumfeld zu Schwierigkeiten führen können, dürfte das persönliche Feingefühl gefragt sein, ob man hier die Initiative ergreift und sein Umfeld proaktiv informiert, bevor dieses alles von der großen Suchmaschine erfährt, oder ob man nach dem Prinzip Hoffnung agiert, dass das schon keiner herausfinden wird.

Ist meine Offshorefirma betroffen?

Wenn du deine Offshorefirma über Lifestyle Solutions oder einen unserer Partner gegründet hast: Höchstwahrscheinlich nicht.

Wenn du über eines der vorgenannten Unternehmen gegründet hast oder von dort betreut wirst: kann sein.

Der schnellste Weg um das herauszufinden dürfte hier sein, direkt beim betroffenen Unternehmen anzufragen, oder – wenn du Zugriff auf die geleakten Daten bekommen kannst – den Datensatz selbst zu durchsuchen.

Was mache ich jetzt mit meiner nicht mehr anonymen Offshorefirma?

Wenn für deinen Anwendungsfall wichtig war, dass deine Offshorefirma anonym oder zumindest im Verborgenen agiert, kann es Handlungsbedarf geben, jetzt ein neues Unternehmen zu eröffnen und Vermögenswerte zu verschieben. Eventuell bietet es sich hierbei an, auch den Dienstleister für deine Offshorefirma zu wechseln.

Ob das aber mehr Sicherheit bedeutet ist schwer vorauszusagen.

Mossack & Fonseca haben nach den Panama Papers ihre Geschäftstätigkeit eingestellt, so dass Kunden zwangsläufig wechseln mussten, während z.B. Asiaciti Trust nach den Paradise Papers weiter im Geschäft war und jetzt wieder Teil der Pandora Papers ist – aus dem letzten Leak also nichts gelernt zu haben scheint (oder ein Problem mit einem anderen ersetzt hat).

Ob die an Pandora beteiligten Unternehmen jetzt ihre Sicherheitsvorkehrungen wirklich anpassen oder nach dem Prinzip Hoffnung unterwegs sind, dass beim nächsten Mal die Leaks von der Konkurrenz kommen bleibt eine Prognose für die sprichwörtliche Glaskugel.

Wie stelle ich mich sicher für die Zukunft auf?

Pandora wird mit großer Wahrscheinlichkeit nicht das letzte Datenleak der Offshorewelt gewesen sein, vielmehr stehen wir hier noch ganz am Anfang. In einer Gesellschaft, in der sich „investigative Journalisten“ aus vielen Ländern zusammen tun um gemeinsam gegen den vermeintlichen Feind „Offshore“ vorzugehen – auch wenn der überwiegende Teil der Nutzung von Offshoreunternehmen komplett legal ist (über die moralische Komponente lässt sich natürlich streiten) – stehen diesem Netzwerk von Journalisten und Whistleblowern, die diese mit Informationen versorgen , oftmals Offshoredienstleister mit unzureichender (IT-)Sicherheit gegenüber, so dass es nur eine Frage der Zeit ist bis die nächste Datenbank ins Internet geleakt wird nur um eine weitere Story über die so korrupten Politiker in die Mainstreammedien zu publizieren.

Es dürfte zu erwarten sein, dass sich auch zukünftig der Focus dieser Leaks auf größere international tätige Anbieter für Offshoredienstleistungen erstreckt, da man hier mit größeren Zahlen „werben“ kann (z.B. „100.000 Offshorekonten aufgedeckt“) statt kleinere lokale Kanzleien versuchen zu infiltrieren, die nur wenige Unternehmen betreuen. Hier schätzen wir auch die Chance, dass ein Whistleblower sich an die Medien wendet als geringer ein, da ein Datensatz von 50 Offshorefirmen eher wenig Aufsehen und Interesse auf sich ziehen wird, wenn in diesen 50 nicht gerade der saudische Kronprinz oder der Russische Präsident als Kunde auftauchen.

Unabhängig vom gewählten Dienstleister sollte das persönliche Offshoresetup natürlich so gestaltet sein, dass auch nach einem Leak möglichst viel „normal“ weiter gehen kann.

Methoden hierzu können z.B. Nominee-Direktoren oder Gesellschafter sein, die nicht vom Offshore-Dienstleister gestellt werden, so dass der UBO (ultimate beneficial owner) dort gar nicht erst bekannt ist und geleaked werden kann. Zwar verlagert man hierdurch den Angriffspunkt auf den Diensleister, der den Direktor/Gesellschafter stellt, doch stehen diese bestenfalls (noch) nicht ganz oben auf der Liste der Investigativjournalisten. Ebenfalls macht man es zumindest etwas schwieriger, die unterschiedlichen Datenpunkte zu vernetzen, wenn mehrere Unternehmen beteiligt sind.

Nicht zuletzt sollte man natürlich – ganz im Sinne der Flaggentheorie – auch bei der Wahl seiner Offshoredienstleister diversifizieren und nicht sein komplettes Setup bei der gleichen Anwaltskanzlei und dem gleichen Postfachanbieter unterbringen.

Um dein persönliches Offshoresetup auf das nächste Pandora Leak vorzubereiten oder wenn dein Setup von Pandora betroffen ist und du jetzt handeln musst buche dein individuelles Beratungsgespräch.