Rund um die Kassensicherungsverordnung gibt es eine Menge komplexer Fachbegriffe. Wir erklären in unserem Glossar die Bedeutung von TSE, Fiskalspeicher & Co.
Die Abkürzung DSFinV‑K bedeutet “Digitale Schnittstelle der Finanzverwaltung für Kassensysteme”. Einfach gesagt handelt es sich dabei um einen einheitlichen Datenstandard für Kassensysteme.
Die DSFinV‑K wird angelehnt an die DFKA-Taxonomie-Kassendaten ein konkretes Set an Tabellen und Feldern beinhalten, die für Prüfungszwecke des Finanzamts zur Verfügung zu stellen sind. Damit wird ein Standard für Außenprüfungen und Kassen-Nachschauen etabliert.
Mit diesem einheitlichen Datenstandard wird Herstellern von Kassensystemen nun endlich eine Hilfestellung hinsichtlich der GoBD-und KassenSichV-Anforderungen gegeben.
Bei der Fiskalisierung von Registrierkassen handelt es sich um die manipulationssichere, elektronische Aufzeichnung und Archivierung von geschäftlichen Vorgängen bzw. Transaktionen. Ziel des Bundesministeriums für Finanzen ist es, die Grundaufzeichnungen von Unternehmen vor Manipulationen zu schützen und so Steuerhinterziehung zu vermeiden.
In vielen Ländern in Europa ist die Fiskalisierung von Registrierkassen bereits vorgeschrieben, in Deutschland muss die Kassensicherungsverordnung mit spätestens 31.12.2019 umgesetzt sein.
Alle Aufzeichnungssysteme müssen ab 1.1.2020 die Anforderungen der Kassensicherungsverordnung erfüllen.
Der Gesetzgeber schreibt vor, in welcher Form Daten zu speichern sind. Hardware kümmert sich darum, dass diese Vorgaben erfüllt werden und die Daten dementsprechend gespeichert werden. Beim Fiskalspeicher liegt der Fokus nur auf der Speicherung der Daten. Wie die Daten zustande kommen wird hier nicht berücksichtigt.
Im Gegensatz dazu sind die KassenSichV und INSIKA ein Verfahren, welches vorschreibt, wie die Daten zu verarbeiten (und auch zu speichern sind). Der Fokus liegt hierbei darauf, wie die Daten überhaupt entstehen.
Ein elektronisches Aufzeichnungssystem ist jedes Gerät oder Software, welches Daten zu einem Geschäftsfall elektronisch aufzeichnet. Zum Beispiel eine Registrierkasse, eine Software zur Rechnungslegung, ein ERP-System, etc. Aktuell sind für die KassenSichV nur jene Aufzeichnungssysteme relevant, welche Bargeschäfte protokollieren können. Also immer, wenn ein Geschäftsfall mit einer Barzahlung (Cash, EC-Karte, Gutscheine, etc) abgeschlossen werden kann, müssen alle Vorgänge nach den Anforderungen der KassenSichV aufgezeichnet werden.
Das elektronische Aufzeichnungssystem muss für jeden Geschäftsfall eine Transaktion starten, welche die folgenden Daten erfasst:
Bisher wurde die Unveränderbarkeit von Transaktionen in den GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) geregelt.
Diese ist aber weder Gesetz noch Verordnung, sondern lediglich eine Verwaltungsvorschrift des Finanzministeriums. Mit der neuen Regelung zur Kassensicherungsverordnung wird der Manipulationsschutz nun gesetzlich geregelt.
Das sogenannte INSIKA Verfahren verspricht, mittels kryptografischer Verfahren eine moderne Alternative zum klassischen Fiskalspeicher zu bieten. Doch das INSIKA Verfahren ist hardwarebasiert und benötigt sogenannte Smartcards welche mittels Kartenleser angeschlossen oder direkt in die Kasse integriert werden müssen.
Die auf dem INSIKA-Verfahren basierenden Kassensysteme leiden an häufigen Fehlerursachen wie abgesteckte Kartenlesegeräte oder defekte Smartcards. Die Zuverlässigkeit von INSIKA-basierten Aufzeichnungssystemen ist daher auch stark vom Umgang mit den Hardware-Komponenten abhängig. Zudem ist die Kompatibilität des INSIKA Verfahrens mit mobilen Kassensystemen die via Smartphone oder Tablet (iPad) funktionieren, eingeschränkt. Unabhängig davon kann eine Smartcard schnell verloren gehen.
Die Kassensicherungsverordnung (KassenSichV) regelt die technischen Anforderungen an elektronische Aufzeichnungs- und Sicherungssysteme, beispielsweise sind das computergestützte Kassensysteme und Registrierkassen. Von der KassenSichV sind auch betroffen: ERP-Systeme, Branchensoftware, Rechnungslegung-Systeme, etc.
Ausschlaggebend ist der Charakter der Geldleistung: Handelt es sich um ein Zug-um-Zug-Geschäft (z.B. Ware/Leistung wird sofort gegen Geld/Kreditkarte/Gutschein getauscht), so muss das aufzeichnende System die Anforderung der KassenSichV erfüllen.
Die Aufzeichnungssysteme müssen spätestens ab 1.1.2020 mit einer sogenannten technischen Sicherheitseinrichtung (TSE) ausgestattet sein. Diese kann in Form von Hardware und Chipkarte oder auch als Software für cloudbasierte Systeme umgesetzt sein. Die Verordnung dient dem Schutz vor Manipulation der digitalen Grundaufzeichnungen von Unternehmen. Wann immer Barumsätze (mittels Cash, EC-Karte, Kreditkarte, Gutscheine) erfasst werden (Zug-um-Zug-Geschäft), müssen diese Aufzeichnungen nach der KassenSichV gegen Manipulationen geschützt werden.
Eine cloudbasierte Umsetzung der technischen Sicherheitseinrichtung ist vom BMF vorgesehen.
Wirklich zukunftssicher ist nur eine Softwarelösung über die Cloud, welche die benötigte (TSE) ganz ohne zusätzliche Hardware ermöglicht. Nur so können Unternehmer auf externe Speichermedien, Smartcards und Kartenlesegeräte verzichten und bleiben flexibel und zukunftsfit.
Basis der KassenSichV ist der technische Manipulationsschutz:
Um herausfinden zu können, ob an einer Kasse nachträgliche Manipulationen der Umsätze stattgefunden haben, müssen diese manipulationssicher aufbewahrt werden und überprüfbar sein.
Die Überprüfung erfolgt mittels Journal, das exportiert werden kann und vom Finanzamt mit einer Software auf Änderungen und Lücken geprüft werden kann.
Dabei wird jede Buchung mit einer elektronischen Signatur versehen, welche nach dem Prinzip der Blockchain funktioniert. Die TSE zeichnet jeden relevanten Vorgang im Aufzeichnungssystem auf. Die aufgezeichneten Daten werden kryptographisch signiert. Dank dieser Signaturen kann zu jedem Zeitpunkt festgestellt werden, dass die vorhandenen Daten nicht verändert wurden.
Die Anforderungen an die Komponenten SMAERS (Security Module Application for Electronic Record Keeping System) und CSP (Cryptographic Service Provider) werden durch Schutzprofile vorgegeben. Die Erfüllung der Vorgaben für jede Komponente werden im Zuge einer Zertifizierung sichergestellt.
Die Einhaltung der Schutzprofile bei den Komponenten werden durch einen Evaluator (ein vom BSI akkreditiertes Unternehmen) geprüft. Anschließend wird der Evaluationsbericht zur Überprüfung an das BSI weitergereicht. Ist die TSE korrekt nach den geltenden Vorgaben umgesetzt, wird diese zertifiziert. Das BSI stellt die Zertifizierung aus. Diese muss alle fünf Jahre erneuert werden.
Die TSE stellt die Schnittstellen zur Aufzeichnung von Transaktionen sowie den Export der abgesicherten Daten bereit. Mit den Komponenten SMAERS und CSP werden die Daten kryptografisch signiert und somit gegen spätere Manipulation abgesichert. Ein aufsteigender Signatur-Zähler sowie ein Transaktions-Zähler verhindert hier auch das “Verschwinden” mancher Aufzeichnungen, da diese Lücken automatisiert erkannt werden können.
SMAERS (Security Module Application for Electronic Record Keeping Systems): Das Sicherheitsmodul bereitet die abzusichernden Daten innerhalb einer Transaktion auf und kommuniziert direkt mit dem CSP, um die abzusichernden Daten zu signieren.
CSP (Cryptographic Service Provider): Das Speichermedium erzeugt die Signaturen der abzusichernden Daten.
Die Anforderungen an die Module wurde vom BSI (Bundesamt für Sicherheit in der Informationstechnik) entwickelt und in Richtlinien und Schutzprofilen veröffentlicht.
Eine Komponente der TSE (technische Sicherheitseinrichtung) ist die SMAERS (Security Module Application for Electronic Record Keeping System) Komponente. Es ist ein Sicherheitsmodul, das die abzusichernden Daten innerhalb einer Transaktion aufbereitet. Dieses Modul muss in das Kassensystem des Steuerpflichtigen integriert werden.
Die SMAERS Komponente muss am Aufzeichnungssystem, dem ERS (Electronic Record Keeping System), betrieben werden. Die Daten stammen von Aufzeichnungssystemen und deren Eingabegeräten wie beispielsweise einer Tastatur oder einer App auf einem Tablet. Im Signaturprozess sprechen SMAERS und CSP miteinander. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) zertifiziert die Komponenten wie die SMAERS nach bestimmten Schutzprofilen.
Eine Sicherheits-Komponente der TSE ist der CSP (Cryptographic Service Provider). Hierbei handelt es sich um die Signatur-Einheit, welche mit kryptographischen Verfahren die abzusichernden Daten entsprechend verarbeitet. Damit werden unerkannte Manipulationen verhindert. Im Signaturprozess sprechen SMAERS und CSP über gesicherte Kanäle miteinander.
Hochleistungs-Signatureinheiten werden über das Schutzprofil der CSP‑L definiert. Hierbei handelt es sich um spezialisierte Server-Systeme in hochsicheren Rechenzentren.
Im Gegensatz zum CSP‑L ist ein CSP meist ein Chip, welcher nicht effizient im Netzverbund betrieben werden kann. Ein CSP Chip ist vorwiegend für einzelne Kassen geeignet. Die netzwerkfähige Variante des CSP‑L wurde entwickelt, damit es durch Clustering skalierbar ist, einen höheren Datendurchsatz ermöglicht und höhere Ausfallsicherheit gewährleistet.
Beide Varianten sind durch Schutzprofile des BSI (Bundesamt für Sicherheit in der Informationstechnik) definiert.
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) spezifiziert in Schutzprofilen, welche technischen Anforderungen zu erfüllen sind, um das Ziel der KassenSichV zu erreichen. In den Schutzprofilen werden Sicherheitsziele und Anforderungen nach Sicherheitsfunktionen der Komponenten beschrieben. Jedoch erfolgt die produktspezifische Konkretisierung durch den Hersteller.
Copyright fiskaly GmbH 2019