De meldingsplicht voor grensoverschrijdende constructies (DAC6) is nu bijna twee jaar in werking en er zijn, alleen al in Nederland, inmiddels enkele duizenden meldingen gedaan. Naar verluidt is Nederland in de EU koploper van het aantal meldingen, wat natuurlijk niet helpt om van ons imago af te komen dat wij nog steeds disproportioneel veel bij ‘agressieve fiscale constructies’ zouden zijn betrokken.
Onder DAC6 worden systematisch persoonsgegevens aan de fiscus verstrekt, opgeslagen en met de fiscale autoriteiten van alle EU-lidstaten gedeeld. Voorafgaand aan de inwerkingtreding zijn zorgen geuit over de privacy-aspecten van DAC6. Allereerst met betrekking tot meldingen (inclusief persoonsgegevens) van constructies die wel aan cliënten ter beschikking zijn gesteld, maar die niet zijn uitgevoerd, bijvoorbeeld omdat de cliënt de constructie te agressief, duur of complex vindt. Daarnaast over de verstrekking van persoonsgegevens van belastingplichtigen en intermediairs aan de fiscale autoriteiten van outsider-states: EU-lidstaten die geheel niet bij de constructie zijn betrokken. In beide gevallen kan ik mij weliswaar voorstellen dat de geadviseerde constructies in abstracto interessant kunnen zijn voor de fiscale autoriteiten, maar heb ik ernstige twijfels of het onder deze omstandigheden ook noodzakelijk is dat ook persoonsgegevens worden opgeslagen en gedeeld. De aan de DAC onderliggende premisse is immers dat uitsluitend inlichtingen worden verzameld, verstrekt, opgeslagen en uitgewisseld die naar verwachting van belang zijn voor de administratie en de handhaving van belastingwetten door een lidstaat. Bedenk dat DAC6 als doel heeft om agressieve fiscale constructies te ontwaren, ontmantelen en ontmoedigen. Van constructies die niet worden uitgevoerd, kan uitsluitend ontwaren en ontmoedigen relevant zijn en daarvoor is het niet nodig dat de fiscus toegang heeft tot persoonsgegevens. Dat geldt evenzeer voor lidstaten die niet bij een constructie zijn betrokken: er is voor hen geen economisch of financieel belang om toegang te hebben tot persoonsgegevens van betrokkenen bij constructies, waarvan het onwaarschijnlijk is dat het de lidstaat betreft.
Kort geleden heeft het Hof van Justitie EU een belangrijk en vermoedelijk verstrekkend arrest gewezen inzake de privacy-bescherming en het UBO-register (zie V-N 2022/53.20). In de kern besliste het Hof dat uitsluitend een rechtsgeldige aantasting van de in het Handvest EU neergelegde grondrechten van eerbiediging van het privéleven en bescherming van persoonsgegevens mogelijk is als deze passend, noodzakelijk en evenredig is aan het door de inmenging nagestreefde doel. Deze criteria zijn natuurlijk niet nieuw, maar het arrest onderstreept dat op de Europese Commissie de verantwoordelijkheid rust om een gerechtvaardigde inmenging voldoende te onderbouwen.
Dezelfde kwetsbaarheid speelt naar mijn opvatting ook voor DAC6. Ik wil zelfs zover gaan dat het in de door mij hierboven genoemde situaties evident onnodig is om persoonsgegevens te verzamelen, op te slaan en te delen om de door DAC6 nagestreefde doelen te bereiken. Daarmee ontbreekt naar mijn mening de vereiste grondslag voor dit onderdeel van DAC6. Concreet: de verplichting tot het verstrekken van persoonsgegevens van belastingplichtigen en intermediairs in situaties, waarin een constructie niet wordt uitgevoerd, en de verstrekking van persoonsgegevens met lidstaten die niet bij een constructie zijn betrokken, is naar mijn mening ongeldig. Wie pakt de handschoen op?