Wie die Salzburg AG mit einer neuen Crowdinvesting-Plattform die Energiewende vorantreibt

09.06.2021

OSS: So funktioniert der neue One-Stop-Shop für die Umsatzsteuer

Über ein neues Portal können Unternehmen die in der EU anfallende Umsatzsteuer für bestimmte Umsätze erklären und bezahlen.

/artikel/oss-so-funktioniert-der-neue-one-stop-shop-fuer-die-umsatzsteuer

✨ AI Kontextualisierung

GASTBEITRAG

Mit 1. Juli 2021 wurde das neue One-Stop-Shop-System (OSS) eingeführt, mit dem Unternehmer über ein elektronisches Portal relevante, gewisse in der EU anfallende Umsatzsteuern erklären und bezahlen können. Damit kommt es für Unternehmen grundsätzlich zu einer Verwaltungsvereinfachung – um in den Genuss des OSS zu kommen, sind jedoch einige Punkte zu beachten. Nachfolgend werden die wesentlichen Aspekte der neuen Regelungen zusammengefasst.

Das EU-weit einheitliche OSS-System wurde in Österreich durch das E-Commerce-Paket im Zuge des Abgabenänderungsgesetz 2020 umgesetzt. Nach einmaliger Verschiebung tritt die Regelung nun am 1. Juli 2021 in Kraft. Das System vereinheitlicht die umsatzsteuerliche Behandlung von gewissen Lieferungen und sonstigen Leistungen an Nichtunternehmer (Versandhandel).

Der OSS ist ein elektronisches Portal, über das Unternehmen die in der EU anfallende Umsatzsteuer für bestimmte Umsätze erklären und bezahlen können. Verwendet ein Unternehmen die Sonderregelung für den OSS, entfällt die Verpflichtung, sich für die Umsätze, die über den OSS erklärt werden können, im jeweiligen Mitgliedstaat zur Umsatzsteuer zu registrieren.

Es gibt 3 verschiedene Systeme

Innerhalb der EU gibt es drei verschiedene One-Stop-Shop Schemen: Über den EU-OSS können sonstige Leistungen an Nichtunternehmer, innergemeinschaftliche Versandhandelsumsätze und bestimmte Umsätze einer Plattform erklärt werden. Über den IOSS können sowohl EU-Unternehmen als auch Drittlandsunternehmen Einfuhr-Versandhandelsumsätze erklären. Für den Nicht-EU-OSS können sich nur Drittlandsunternehmen registrieren, um dort ihre Umsatzsteuer für Dienstleistungen an Nichtunternehmer zu erklären. Nachfolgend eine kurze Übersicht:

Unternehmen	Nicht-EU-OSS	EU-OSS	IOSS
EU-Unternehmen	Registrierung nicht möglich	Dienstleistungen an Nichtunternehmer* Innergemeinschaftliche Versandhandelsumsätze Innerstaatliche Lieferungen durch Plattformen (§ 3 Abs. 3a Z 2 UStG)	Einfuhr-Versandhandelsumsätze bis maximal EUR 150,-
Drittlands-Unternehmen	Dienstleistungen an Nichtunternehmer	Innergemeinschaftliche Versandhandelsumsätze Innerstaatliche Lieferungen durch Plattformen (§ 3 Abs. 3a Z 2 UStG)	Einfuhr-Versandhandelsumsätze bis maximal EUR 150,-

*Dienstleistungen können nur im EU-OSS erklärt werden, wenn das Unternehmen im Mitgliedstaat, in dem die Leistung erbracht wird, nicht niedergelassen ist.

In diesem Zusammenhang kommt es auch zur Abschaffung der bisherigen Lieferschwellen für Versandhandelslieferungen. Stattdessen wird eine Kleinstunternehmer-Regelung für innergemeinschaftlichen Versandhandel und Dienstleistungen an Nichtunternehmer in Höhe von EUR 10.000 bezogen auf den gesamten EU-Raum eingeführt (wird diese Schwelle in einer Gesamtbetrachtung über den EU-Raum nicht überschritten, können Umsätze im Ursprungsland umsatzsteuerlich erfasst werden). Bei Überschreiten der Schwelle ist grundsätzlich eine umsatzsteuerliche Erfassung im jeweiligen Bestimmungsland erforderlich. Alternativ dazu ist unter gewissen Voraussetzungen die Meldung und Zahlung nach erfolgter Registrierung über das elektronische System OSS möglich. Entscheidet sich ein Unternehmen für die OSS-Registrierung sind grundsätzlich alle relevanten Umsätze (Dienstleistungen und innergemeinschaftlicher Versandhandel an Nichtunternehmer) über das System zu melden.

So kann man sich zum OSS anmelden

Die Antragstellung für eine Registrierung zum EU-OSS in Österreich erfolgt elektronisch über FinanzOnline. Die Verwendung setzt eine österreichische UID-Nummer voraus. Möchte der Unternehmer den OSS verwenden und liegen die Voraussetzungen zur Inanspruchnahme vor, ist der OSS ab dem Kalendervierteljahr anzuwenden, das auf die Antragstellung folgt (zB will ein Unternehmer den OSS ab 1. Juli 2021 verwenden, muss er einen Antrag auf Registrierung bis spätestens 30. Juni 2021 abgeben).

Betreibt ein Unternehmer beispielsweise in Österreich sein Unternehmen (Sitz der wirtschaftlichen Tätigkeit in Österreich), ist Österreich Mitgliedstaat der Identifizierung für das OSS System. Betreibt ein Drittstaatsunternehmer sein Unternehmen außerhalb der EU und hat er innerhalb der EU nur eine Betriebstätte in Österreich, ist ebenfalls Österreich der Mitgliedstaat der Identifizierung. Hat dieser Unternehmer noch eine andere Betriebsstätte innerhalb der EU, kann er einen Mitgliedstaat zur Registrierung auswählen.

Im Falle der erstmaligen Leistungserbringung einer Leistung, die unter die Sonderregelung fällt, kann davon abweichend der Antrag bis zum 10. Tag des auf die erste Leistungserbringung folgenden Monats gestellt werden (zB erfolgt die erstmalige Leistungserbringung im August 2021 ist bis 10. September 2021 ein Antrag über Finanzonline einzubringen).

Laufende Meldungen und Bezahlung

Die laufenden Umsatzsteuermeldungen erfolgen über FinanzOnline. Der Erklärungszeitraum ist das Kalendervierteljahr. Die Erklärung ist bis zum letzten Tag des auf den Erklärungszeitraum folgenden Monats abzugeben:

Erklärungszeitraum	Meldung bis spätestens
Q1 (Jänner – März)	30. April
Q2 (April – Juni)	31. Juli
Q3 (Juli – September)	31. Oktober
Q4 (Oktober – Dezember)	31. Jänner

Die unter den EU-OSS fallenden Umsätze sind in jenes Quartal aufzunehmen, in dem die Lieferung bzw Dienstleistung ausgeführt wird. Dies gilt auch dann, wenn das Unternehmen der Istbesteuerung nach § 17 UStG unterliegt oder wenn eine Anzahlung getätigt wurde. Hat der Unternehmer in einem Quartal keine Umsätze erbracht, muss er eine Nullerklärung abgeben.

Der Vorsteuerabzug ist nicht über den OSS möglich. Sofern Vorsteuern abzugsfähig sind, sind diese im Vorsteuererstattungsverfahren oder im Veranlagungsverfahren (sofern das Unternehmen auf Grund anderer Umsätze registriert ist) geltend zu machen.

Die Entrichtung der Steuer für die über OSS erklärten Umsätze erfolgt über den Mitgliedstaat der Identifizierung auf ein für Zwecke des OSS eingerichtetes Konto. Die Zahlung erfolgt unter Hinweis auf die zugrundeliegende Steuererklärung. Die Zahlung hat bei Abgabe der Erklärung, spätestens jedoch bis zum letzten Tag des auf den Erklärungszeitraum folgenden Monats zu erfolgen.

Beendigung des EU-OSS

Eine Beendigung des EU-OSS ist jederzeit möglich. Dies ist jedenfalls erforderlich, wenn die Tätigkeit eingestellt wird. Die Beendigung ist spätestens 15 Tage vor Ende eines Kalendervierteljahres elektronisch zu erklären und entfaltet mit Beginn des folgenden Kalendervierteljahres Wirkung.

Für das EU-OSS System steht bereits eine elektronische Testumgebung und eine dazugehörige Anleitung zur Verfügung. Unternehmer können hier den künftigen Ablauf testen.

Nicht-EU-OSS (Nicht EU-Schema)

Betreibt ein Drittlandsunternehmer sein Unternehmen außerhalb der EU und hat weder eine Betriebstätte in Österreich noch in einem anderen Mitgliedstaat und ist er aus anderen Gründen nicht verpflichtet, sich aus umsatzsteuerlichen Gründen in einem Mitgliedstaat registrieren zu lassen, kann der Unternehmer Österreich als Mitgliedstaat der Identifizierung wählen.

Die Antragstellung für eine Registrierung zu diesem Nicht-EU-OSS erfolgt elektronisch über das beim BMF dafür eingerichtete Portal. Auch hier wurde bereits eine Testumgebung eingerichtet.

Im Wesentlichen gelten hinsichtlich der laufenden Meldungen und Bezahlungen sowie Vorsteuern dieselben Rahmenbedingungen wie im Zusammenhang mit dem EU-OSS-System.

IOSS für Einfuhr-Versandhandelsumsätze

Neben den oben angeführten Änderungen wird auch ein Import-One-Stop-Shop ab 1. Juli 2021 implementiert. Dahingehend werden Einfuhr-Versandhandelsumsätze an Nichtunternehmer, bei denen der Einzelwert der Waren je Sendung EUR 150,- nicht übersteigt von der Einfuhrumsatzsteuer befreit. Alle anderen Einfuhrlieferungen mit Warenwert über EUR 150,- sind nach den bestehenden Regelungen zu deklarieren und besteuern. Bei der Einfuhr hat der Händler dem von ihm beauftragten Transporteur seine IOSS-Identifikationsnummer bekanntzugeben, damit die IOSS-Nummer (spätestens) bei Abgabe der Einfuhrzollanmeldung vorgelegt werden kann.

Im Wesentlichen gelten hinsichtlich Registrierung, laufenden Meldungen und Bezahlungen sowie Vorsteuern dieselben Rahmenbedingungen wie im Zusammenhang mit dem OSS-System, wobei hinsichtlich Erklärungszeitraum der jeweilige Kalendermonat relevant ist.

Damit gilt auch, dass die Anwendung von IOSS optional ist. Der betroffene Unternehmer kann auch bei der aktuellen Abwicklung mittels zollrechtlicher Einfuhr bleiben, mit dem Nachteil, dass die Einfuhr dann nicht der Steuerbefreiung unterliegt.

Dieser Gastbeitrag wurde von Christoph Puchner, Steuerberater und Geschäftsführer, und Katharina Geweßler Steuerberater von ECOVIS Austria verfasst.

LinktippEcovis Austria

Deine ungelesenen Artikel:

Carolin Desirée Töpfer

02.06.2026

Cybersecurity: Was tun, wenn die KI angreift?

Gastbeitrag: Während große Konzerne aufgrund des regulatorischen Drucks ihr Cybersicherheits-Level hochschrauben, werden kleine Unternehmen für Angreifer immer interessanter. Mithilfe von Künstlicher Intelligenz erreichen Hacker ganz neue Umsatz-Dimensionen.

/artikel/cybersecurity-was-tun-wenn-die-ki-angreift

Carolin Desirée Töpfer

02.06.2026

Cybersecurity: Was tun, wenn die KI angreift?

/artikel/cybersecurity-was-tun-wenn-die-ki-angreift

Carolin Desirée Töpfer ist externe Chief Information Security Officer, Cybersecurity-Strategin und Gründerin von Cyttraction mit Fokus auf kosteneffizientes Risikomanagement, sichere KI-Nutzung und Cybersecurity-Zertifizierungen. Mit praxisnahen Lernformaten und strategischer Expertise unterstützt sie regulierte Unternehmen dabei, Sicherheitsanforderungen effizient umzusetzen und nachhaltige digitale Resilienz aufzubauen. In ihrem Beitrag warnt sie vor KI-Cyberangriffen und rät Startups und kleinen Unternehmen Cybersicherheit frühzeitig strategisch zu verankern.

„Wir konzentrieren uns jetzt erst mal auf Produkt, Teamaufbau und Sales – Cybersicherheit machen wir dann später.“ Ein Satz, den ich so oder ähnlich häufig von Gründer:innen höre – und der einige Unternehmen schon Multi-Millionen gekostet hat.

Identität stehlen

Cyberkriminelle haben seit KI ihr Repertoire erweitert und finden Milliarden von bereits geleakten Datasets, mit denen sie arbeiten können. Das Ergebnis sind nicht nur technische Attacken, die es in die Headlines internationaler Medien schaffen. Viel schmerzhafter ist es für Unternehmen, wenn es Angreifer zwischen Arbeitsprozesse schaffen, E-Mails und Nachrichten zwischen Team-Mitgliedern, Geschäftspartnern und mit Kunden manipulieren. Anweisungen versenden, die zweifellos echt aussehen und dann mit ganzen Sammlungen an sensiblen Daten verschwinden. Die Identität des CxO stehlen oder Entführungen von Führungskräften vortäuschen, um dem Unternehmen zu schaden.

Neben dem Zeitverlust, der Budget-Verschwendung und den Aufräum-Kosten, kommt dann auch noch der Vertrauensverlust am Markt hinzu, gegenüber Kunden und Investoren. Dinge, auf die Gründer:innen oft erst kommen, wenn es bereits zu spät ist.

„Gesunder Menschenverstand“ oder „Hausverstand“ existiert nicht in der Cybersicherheit!

Aufgrund der oft vernachlässigten digitalen Bildung in Schulen und da viele Arbeitgeber immer noch nicht in effektive Trainings investieren, kommen in jedem Unternehmen Menschen mit ganz unterschiedlichen digitalen Fähigkeiten zusammen. Das gilt für Startup-Teams, Kunden und Investoren gleichermaßen. Hinzu kommen volle ToDo-Listen, Stress-Situationen und die eigene Scham.

Angreifer lieben gestresste, beschämte Arbeitstiere!

Ob jemand in so einem Umfeld eine gefälschte KI-Mail erkennt, die im schlimmsten Fall noch aus dem echten Postfach eines gehackten Geschäftspartners kommt, ist nur noch Glücksfall.

Trotzdem gibt es Teams, die tägliche Angriffe auf allen Ebenen erfolgreich abwehren – weil sie eine holistische Cybersicherheits-Strategie implementiert haben. Diese besteht je nach Geschäftsmodell und Branche aus einem präzisen Projektmanagement und zwischen 60 und 90 Einzelmaßnahmen. Zweck ist in erster Linie der umfassende Schutz der eigenen Arbeit. Gleichzeitig erfüllt das Unternehmen damit Anforderungen von Kunden sowie regulatorische Vorgaben, von denen Gründer:innen oft nicht einmal wissen.

Erste Basis-Maßnahmen sind auch für Startups mit kleinem Budget machbar!

Jede/ r hat heutzutage Angst, gehackt zu werden, Geld zu verlieren und seine eigenen sensiblen Informationen öffentlich im Internet zu finden. Das sehe ich nicht nur an den Fragen, die ich über meine „Social Media“-Kanäle bekomme. Dabei können schon 30-Minuten-Team-Meetings einen enormen Unterschied machen. Offen über Angriffsszenarien und Ängste sprechen, gleichzeitig die aktuellen Sicherheits-Maßnahmen ins Gedächtnis rufen, erhöhen die Aufmerksamkeit für Cyber-Themen sofort!

Auch um Ruhe reinzubringen. Denn wer sowieso immer gleich springt, wenn eine neue Aufgabe um die Ecke kommt, wird wahrscheinlich auch die Aufgaben von Hackern erfüllen. Klare Arbeitsprozesse, 4-Augen-Prinzip und die allgemeine Erlaubnis im Team, Dinge kritisch zu durchdenken, noch zweimal nachzufragen, oder einfach mal kurz durchzuatmen, hat schon so einige teure Fehler verhindert.

Verantwortlichkeiten in ruhigen Zeiten klären

Den größten Hebel haben dabei Gründer und Entscheider. „Founder Mode“ bedeutet oft auch, vieles selbst zu machen. IT Systeme und Sicherheits-Lösungen sind mittlerweile aber so komplex, dass sich das Investment in einen seriösen IT-Dienstleister lohnt. Viele bieten auch eine Hotline für Notfälle an.

Wesentlich günstiger ist es allerdings, diese Notfälle zu verhindern. Denn nach meiner Erfahrung brauchen selbst schnelle kleine Unternehmen sechs bis zwölf Monate, um eine funktionierende Cybersicherheits-Strategie mit allen Maßnahmen aufzubauen. Neben den technischen Upgrades, müssen dabei auch die organisatorischen Strukturen sitzen.

Wo klar ist, wer was wann macht und auch, wer sich um die Cybersecurity Maßnahmen kümmert, Aufräum-Aktionen, Updates und Backups organisiert, geht weniger schief. Bei kleinen Unternehmen muss die Person nicht einmal einen IT-Hintergrund mitbringen. Es beginnt mit Interesse am Thema, Projektmanagement-Skills und der Bereitschaft, das Team regelmäßig mit aktuellen Informationen zu versorgen.

Konflikte eingehen, um sichere Lösungen zu finden

Und auch darum, Konfliktsituationen smart zu lösen. Zum Beispiel beim Thema „Zugriff und Zutritt„: Nicht jeder sollte Zugriff auf alles haben. Dabei geht es nicht darum, Team-Mitglieder zu degradieren, sondern eine saubere Segmentierung zu schaffen. Am stärksten trenne ich hier zwischen Marketing und Kern-Business.

Alles, was sowieso für die Öffentlichkeit und mit verschiedenen Partnern produziert wird, findet bei mir selbst sogar in einer anderen Firma statt. Für Kunden richten wir technische Lösungen und Prozesse ein, die kreatives Marketing erlauben, Kunden-Kommunikation klar strukturiert und gleichzeitig das eigentliche Geschäftsmodell und die damit verbundenen Daten auf einem hohen Level schützt. Wer mit besonders sensiblen Informationen arbeitet, seine Patente aus Forschung und Entwicklung schützen will oder an einer einzigartigen Datenbasis für KI-Modelle arbeitet, kann über Segmentierung kosteneffizient Datenintegrität dort gewährleisten, wo sie wirklich notwendig ist.

Solche Konzepte stehen und fallen mit sicheren Login-Lösungen und der Bereitschaft aller Nutzer, diese auch zu nutzen. Die Aktivierung von 2 Faktor- oder Multi-Faktor-Authentifizierung führt dabei immer wieder zu Diskussionen.

Passwörter reichen schon lange nicht mehr aus, um Accounts zu schützen. Häufig bekommen Nutzer nur über die Abfrage des 2. Faktors mit, dass gerade ein Angreifer versucht, in ihren Account zu kommen.

Keine Schatten-IT, keine Schatten-KI

Wesentlich einfacher wird es, wenn alle im Team wirklich nur die Accounts nutzen, die sie wirklich für ihre tägliche Arbeit brauchen – und die sichere Funktion dieser über regelmäßige Tests oder technisches Tracking sicherstellen. So lässt sich auch vermeiden, dass das eigene Unternehmen zehn Tage offline und per E-Mail nicht erreichbar ist. Wie es zuletzt einer Wiener Geschäftsinhaberin passiert ist.

Auch aus wirtschaftlichen Gründen, kaufen Unternehmen kaum noch komplette Enterprise-Lizenzen für alle Mitarbeiter. Und auch bei Startups lohnt es sich, Lizenzen mindestens einmal im Jahr auszumisten und den jeweiligen Support zu bitten, vorhandene Daten EU DSGVO-konform zu löschen. Denn Accounts die ordentlich gelöscht wurden, können auch nicht zu Datenlecks führen.

Das gleiche gilt für alle KI Tools. Wer ein klares Prüfschema verfolgt, sich nicht vom Hype treiben lässt, unkontrolliertes Vibe Coding verhindert und auch hier ungenutzte Accounts wieder ordnungsgemäß löscht, kann von KI Effizienz profitieren, ohne seine eigene Arbeit oder gleich das ganze Unternehmen zu zerstören.

Toll dass du so interessiert bist!
Hinterlasse uns bitte ein Feedback über den Button am linken Bildschirmrand.
Und klicke hier um die ganze Welt von der brutkasten zu entdecken.

brutkasten Newsletter

Aktuelle Nachrichten zu Startups, den neuesten Innovationen und politischen Entscheidungen zur Digitalisierung direkt in dein Postfach. Wähle aus unserer breiten Palette an Newslettern den passenden für dich.

Montag, Mittwoch und Freitag