FAQ
Wir haben die folgenden Informationen mit äußerster Sorgfalt recherchiert und zusammengestellt. Trotzdem können wir keine Garantie für deren Richtigkeit übernehmen. Sämtliche Ausführungen stellen keine Steuer- oder Rechtsberatung dar und können eine solche auch nicht ersetzen. Ein Teil der folgenden Erklärungen wurde absichtlich (stark) vereinfacht dargestellt. Dies soll keinerlei (Ab)Wertung der Begriffe/Komponenten etc. darstellen, sondern lediglich dem Verständnis für die weniger versierten Leser dienen.
- Warum überhaupt jetzt eine TSE?
- Im Zuge der Digitalisierung kommen beim Verkauf von Waren und Dienstleistungen heutzutage in der Regel elektronische Kassensysteme oder Registrierkassen (elektronische Aufzeichnungssysteme) zum Einsatz. Hierdurch hat sich das technische Umfeld des Besteuerungsverfahrens stark verändert. So sind nachträgliche Manipulation an Aufzeichnungen elektronischer Kassensysteme (digitale Grundaufzeichnungen) ohne entsprechende Schutzmaßnahmen nur mit sehr hohem Aufwand feststellbar.
Das Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen hat daher zum Ziel, Manipulation an solchen Aufzeichnungen zu erschweren bzw. gar unmöglich zu machen. Der zentrale technische Baustein zur Umsetzung dieses Vorhabens ist die Einführung einer sogenannten technischen Sicherheitseinrichtung. - Was genau ist eine TSE (Theorie)?
- Wie die digitalen Grundaufzeichnungen in einem elektronischen Aufzeichnungssystem geschützt werden, ist im § 146a der Abgabenordnung definiert. Die detaillierten Vorgaben an die zertifizierte technische Sicherheitseinrichtung wurden vom Bundesamt für Sicherheit in der Informationstechnik (BSI) aufgestellt und sind in der technischen Richtlinie TR-03153 festgehalten. Das BSI schreibt vor, dass die TSE aus diesen drei Bestandteilen bestehen muss:
- Sicherheitsmodul
Das Sicherheitsmodul besteht aus den zwei Komponenten "SMA" (Secure Module Application) und "CSP" (Crypto Service Provider). Mit dem Sicherheitsmodul soll sichergestellt werden, dass alle Eingaben mit Beginn der Aufzeichnung vollständig protokolliert werden. Zudem sorgt das Sicherheitsmodul durch eine kryptographische Signatur dafür, dass die Aufzeichnungen im Kassensystem nachträglich nicht mehr unbemerkt geändert oder gelöscht werden können. - Speichermedium
Laut GoBD müssen alle digital getätigten Aufzeichnungen für eine Dauer von 10 Jahren gespeichert werden. Das Speichermedium der TSE soll garantieren, dass diese gesetzliche Aufbewahrungsfrist eingehalten wird. - einheitliche digitale Schnittstelle
Die digitale Schnittstelle definiert die Kommunikation mit der TSE. Zusätzlich stellt sie eine Exportschnittstelle zur Verfügung, mit deren Hilfe sich die TSE-Daten in einer einheitlichen Form (TAR-Export) auslesen lassen. Alle gespeicherten Aufzeichnungen sollen dank der einheitlichen digitalen Schnittstelle schnell und einfach zum Export zur Verfügung gestellt werden können (hauptsächlich für das Finanzamt).
- Sicherheitsmodul
- Brauche ich eine TSE?
- Ja! Ab dem 01.01.2020 gilt ein Verkaufs- und Bewerbungsverbot für Kassensysteme, die nicht mit einer TSE ausgerüstet sind, bzw. ausgerüstet werden können. Für Kassen, die nachgerüstet werden können, ist dies schnellstmöglich vorzunehmen. Es gibt hierfür keine Übergangsfristen. Ab 01.01.2020 muss jede benutzte Kasse durch eine zertifizierte Sicherheitseinrichtung geschützt sein. Diese stellt sicher, dass die Aufzeichnungen nicht nachträglich manipuliert worden sind. Diese Sicherheitseinrichtung wird in der Regel vom Kassenhersteller verbaut und ausgeliefert. Die genauen technischen Anforderungen sind in der Kassensicherungsverordnung (KassenSichV) definiert Außerdem muss jede verwendete TSE der zuständigen Finanzbehörde gemeldet werden.
Wichtig! Im Gegensatz zu den Verlautbarungen in vielen Veröffentlichungen hat sich an der Frist zur Ausrüstung der Kassen mit der TSE nichts geändert (auch nicht durch Corona), denn diese ist im Gesetz festgeschrieben. Das Bundesfinanzministerium hat lediglich geregelt, dass es bis zum 30.09.2020 nicht beanstandet wird, wenn ein Betrieb die Umrüstung noch nicht vollzogen hat. Diese Frist wurde durch die meisten Bundesländer nochmals individuell (i.d.R. bis zum 31.03.2021) verlängert. Das BMF hat dagegen in einem Schreiben vom August 2020 erneut betont, dass es für die Verwendung der elektronischen Kassensysteme keine längere Übergangsfrist als den 30.09.2020 geben wird - Was bedeutet die KassenSichV?
- Am 15. Dezember 2016 hat der Deutsche Bundestag das Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen verabschiedet. Erklärtes Ziel ist die Minimierung von Steuerhinterziehung. Dieses Gesetz wird auch Kassengesetz oder KassenG genannt. Die Kassensicherungsverordnung gilt auch für bargeldlose Kassen, die bargeldähnliche Zahlungsvorgänge abwickeln wie z.B. Geldkarten, virtuelle Konten oder Bonuspunktesysteme von Drittanbietern, sowie an Geldes statt angenommene Gutscheine, Gutscheinkarten, Bons, und dergleichen. Wenn über ein ERP-System bare Zahlungsvorgänge erfassbar sind, fällt der entsprechende Teil der Software unter die Anforderungen der KassenSichV. Wenn die Warenwirtschaft ein Kassenmodul hat, dann muss auch dieses an eine TSE angebunden werden. Fahrscheinautomaten, Fahrscheindrucker, elektronische Buchhaltungssysteme, Waren- und Dienstleistungsautomaten, Geldautomaten, Taxameter und Wegstreckenzähler sowie Geld- und Warenspielgeräte sind von der Kassensicherungsverordnung nicht erfasst. Die KassenSichV ist nicht gleichzusetzen mit einer Registrierkassenpflicht. Eine Registrierkassenpflicht gibt es in Deutschland nicht, das bedeutet, das auch nach dem 30.09.2020 weiterhin die "offene Ladenkasse" erlaubt ist.
- Muss nun jede Kasse zertifiziert werden?
- Nein! Zertifiziert werden nicht die Kassen. Lediglich die "Technische Sicherheitseinrichtung" (TSE) muß vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert sein. Jede Kasse muß mit einer zertifizierten TSE verbunden sein. Das bedeutet, mehrere Kassen (desselben Steuerpflichtigen) dürfen auch eine gemeinsame TSE nutzen, wobei hier besondere Dokumentationspflichten gelten. Allerdings benötigt jedes Kasse (nicht nur jede TSE) eine unikate Seriennummer, mit der sie beim zuständigen Finanamt anzumelden ist. Auch eine evtl. Außerbetriebsetzung oder ein Kassenwechsel ist anzuzeigen.
- Was heißt Belegausgabepflicht?
- Ebenfalls ab 01.01.2020 tritt eine Belegausgabepflicht in Kraft. Das bedeutet, daß zu jedem Geschäftsvorfall zwingend (und zeitnah) ein Beleg erstellt und dem Kunden ausgehändigt werden muß. Der Kunde dagegen ist nicht verpflichtet, diesen Beleg entgegen zu nehmen. Die Belegausgabe kann neben der Papierform auch in elektronischer Form erfolgen. Lediglich in bestimmten Ausnahmefällen kann ein Unternehmen von dieser Belegausgabepflicht befreit werden. Übrigens, reicht die Sichtbarmachung des Beleges an einem Bildschirm des Unternehmers (Terminal/Kassendisplay) nicht aus. Die TSE erstellt für jeden Beleg ein Sicherheitsmerkmal (eine Signatur), welches ebenfalls mit auf dem Beleg ausgegeben werden muß.
- Welche Daten müssen zwingend auf dem Bon ausgegeben werden?
- Neben den bisher bereits notwendigen Daten müssen i.V. mit dem Einsatz einer TSE folgende Daten zusätzlich auf dem Bon ausgegeben werden:
- der Startzeitpunkt der Transaktion (z.B. Zeitpunkt des ersten bonierten Artikels)
- der Endzeitpunkt der Transaktion (Buchung des Bons)
- die Transaktionsnummer der TSE
- die Signaturnummer der TSE
- die Seriennummer der TSE (in Octet-Darstellung)
- die von der TSE erzeugte Signatur (in Base64-Codierung)
- der verwendete Signatur-Algorithmus der TSE
- das von der TSE verwendete Zeitformat (i.d.R. UnixTime)
- der PublicKey der TSE (in Base64-Codierung)
Nachtrag vom 15.04.22:- Mit einer Novelle der KassenSichV ist es nun erlaubt, bei Druck des QR-Codes auf die zusätzlichen verbalen Angaben auf dem Bon zu verzichten.
- Die Version 2.3 der DSFinV-K stellt nun auch klar, daß die Ausgabe der Signatur in Base64 erfolgen muß.
- Beim Zeitformat gibt es immer wieder Unklarheiten. Gefordert wird ein Format, welches eindeutig und lesbar ist, aber nicht die Angabe der lokalen Zeit. Wir empfehlen eine Schreibweise nach ISO 8601, z.B. "yyyy-mm-ddThh-mm-ss+01:00" oder "yyyy-mm-ddThh-mm-ssZ". Beide Formate werden von unserer Software direkt unterstützt.
- Was ist die Kassennachschau?
- Die Kassennachschau wurde bereits ab 01.01.2018 als neues Prüfinstrument für die Finanzverwaltung eingeführt (§ 146b AO). Sie bietet dem Finanzamt die Möglichkeit, unangemeldet zu überprüfen, ob alle Geschäftsvorfälle korrekt im Kassensystem verbucht werden. Die Kassennachschau ist keine Außenprüfung. Bei der Kassennachschau kann der Prüfer das System vor Ort in Augenschein nehmen und Testkäufe tätigen. Es ist davon auszugehen, daß der Prüfer in jedem Fall die von der TSE erzeugten Signaturen prüfen wird. Ohne QR-Code ist das aber nicht praktikabel (dann müßte der Prüfer alle Daten des Bons und zusätzich den PublicKey der TSE manuell erfassen). Somit wird der Prüfer dann ggf. einen umfangreicheren Export (TAR-Export oder DSFinV-K-Export) verlangen.
- Welche Strafen drohen?
- Bei Verstößen gegen die KassenSichV drohen Bußgelder bis zu 25.000 Euro. Strafbar nach der neuen Gesetzeslage macht sich, wer ordnungswidrig handelt, vorsätzlich oder leichtfertig falsche Belege ausstellt oder Belege gegen Entgelt in den Verkehr bringt; wer buchungs- oder aufzeichnungspflichtige Geschäftsvorfälle oder Betriebsvorgänge nicht oder in tatsächlicher Hinsicht unrichtig aufzeichnet oder aufzeichnen lässt, verbucht oder verbuchen lässt; wer ein Kassensystem nicht oder nicht richtig verwendet oder schützt; wer nach §146a Absatz 1 Satz 5 der Abgabenordnung ein System oder eine dort genannte Software bewirbt oder in den Verkehr bringt, die es ermöglicht, Steuern zu verkürzen oder nicht gerechtfertigte Steuervorteile zu erlangen.
- Wie hoch ist die Lebendauer einer TSE?
- Die Lebendauer bzw. Nutzbarkeitsdauer einer TSE wird von drei Fakoren begrenzt:
- Jede TSE verfügt über ein Zertifikat, welches ab Herstellungsdatum maximal fünf Jahre gültig sein darf. Mit Ablauf des Zertifikates kann die TSE keine Signaturen mehr erzeugen und ist damit unbrauchbar (die auf der TSE gespeicherten Daten bleiben aber weiterhin gültig und können noch exportiert werden).
- Jede TSE kann insgesamt nur eine maximale Anzahl an Signaturen erzeugen. Bei den aktuellen SwissBit-TSE liegt dieser Wert bei 20 Millionen. Zu beachten ist, daß jeder Selbsttest (mindestens alle 25 Stunden) und jedes "Stellen der Uhrzeit" (mindestens alle 30 Minuten) ebenfalls eine Signatur verbraucht.
- die TSE hat nur ein endliches Speichervolumen. Bei den aktuellen SwissBit-TSE liegt dieser Wert bei etwa 7 GB. Wenn die TSE voll ist, kann sie ebenfalls keine Signaturen mehr erzeugen und speichern. Dabei muß beachtet werden, daß neben den Transaktionen auch für Log-Messages und Audit-Messages Speicherplatz verbraucht wird. Allerdings können die Daten der TSE exportiert (TAR-Export) und extern aufbewahrt werden (10 Jahre Aufbewahrungspflicht). Damit kann der Speicherplatz dann wieder freigegeben werden.
- Dürfen die Daten der TSE auch wieder gelöscht werden?
- Ja. Wenn die Daten exportiert worden sind (TAR-Export), können und dürfen sie auf der TSE gelöscht werden. Die exportierten Daten sind in diesem Fall für zehn Jahre sicher extern aufzubewahren.
- Meldepflicht der Kassen und TSE beim Finanzamt
- Wer elektronische Kassen oder Aufzeichnungssysteme einsetzt, muß dem Finanzamt ab dem 01.01.2020 auf dem amtlich vorgeschriebenen Vordruck jede Anschaffung oder Außerbetriebnahme melden, sowie für vor 2020 angeschaffte Kassensysteme diese Meldung bis zum 31.01.2020 nachgeholt haben. Die Finanzverwaltung hat jedoch bis heute noch keinen Vordruck veröffentlicht, womit auch die Meldepflicht derzeit noch nicht greift. Stattdessen will der Fiskus für die Meldungen auf ein elektronisches Meldeverfahren setzen, das aber noch in Arbeit ist. Bis dieses verfügbar ist, sind die Betriebe von der Meldepflicht befreit. Wie lange es bis zur Verfügbarkeit des neuen Meldeverfahrens noch dauern wird und wieviel Zeit den Betrieben dann für eine Meldung bleibt, hat das Bundesfinanzministerium bisher nicht mitgeteilt.
- Darf eine Kasse auch ohne TSE benutzt werden?
- Fällt die TSE aus, sind Ausfallzeiten und -grund zu dokumentieren (das kann auch automatisiert durch das Kassensystem erfolgen). Der Ausfall der TSE muß auch auf dem Beleg ersichtlich sein. Betrifft der Ausfall nur die TSE, kann das Kassensystem bis zur Beseitigung des Ausfallgrundes weiterhin genutzt werden. Der Unternehmer muss jedoch unverzüglich die Ausfallursache beheben oder Maßnahmen zu deren Beseitigung treffen. Die Belegausgabepflicht bleibt auch während des Ausfalls bestehen und entfällt lediglich bei einem vollständigen Ausfall des Kassensystems oder bei Ausfall der Druck- oder Übertragungseinheit. Fällt nur die Druck- oder Übertragungseinheit für den Beleg aus, muss das Kassensystem incl. TSE weiterhin genutzt werden.
- Was macht die TSE bei einer Transaktion
- Bei jeder Aktion, z.B. Transaktionsende, Uhrzeit stellen usw. vergibt die TSE einen unikaten, streng monoton aufsteigenden Zählwert, den Signaturzähler. Zudem vergibt die TSE für jede Transaktion ebenso einen weiteren, streng monoton aufsteigenden Zählwert, die Transaktionsnummer. Wenn eine Transaktion eröffnet wird, schreibt die TSE darüber einen Logeintrag, der u.a. den Startzeitpunkt, die Client-ID und den Signaturzähler enthält. Wenn die Transaktion später beendet wird, prüft die TSE zuerst, ob derselbe Client diese auch geöffnet hat. Dann wird darüber ebenfalls wieder ein Logeintrag geschrieben, der aus den angelieferten Daten (z.B. die Bonsummen), sowie dem Endezeitpunkt, der Client-ID, dem Signaturzähler und der Trankationsnummer besteht. Über diesen Logeintrag wird mit Hilfe einer Hashfunktion eine Prüfsumme gebildet. Aus dieser Prüfsumme wird mit Hilfe einer krytographischen Funktion eine Signatur gebildet. Diese Signatur wird zusammen mit dem Endezeitpunkt der Transaktion an den Client zurückgemeldet. Der Signaturzähler ist ein weiterer bestimmender Faktor für die Lebenszeit der TSE, denn aktuelle TSE verfügen über maximal ca. 20 Millionen Signaturen.
- Was ist eine Signatur
- Wie kann sichergestellt werden, daß eine von der TSE erstellte Transaktion nicht nachträglich manipuliert werden kann. Dies wird mit Hilfe von Signaturen erreicht. Eine Signatur ist eng verwandt mit den uns allen bekannten Zertifikaten, die z.B. zur Prüfung der Vertraulichkeit einer Website genutzt werden. Beides beruht auf der asymmetrischen Verschlüsselung. Bei der Signaturerstellung geht es zwar nicht um Geheimnisse, aber doch um Vertraulichkeit, deshalb wird die asymmetrische Verschlüsselung hier in umgekehrter Richtung verwendet. Die TSE besitzt einen privaten Schlüssel, den niemand kennt. Mit Hilfe dieses Schlüssels kann die TSE die Messages signieren. Aus kryptographischer Sicht entsteht dabei aus dem Geheimnis (Hash) der Klartext (Signatur). Dieser Klartext (die Signatur) kann nun durch jeden (mit dem PublicKey) wieder verschlüsselt und mit dem Hash verglichen (verifiziert) werden, aber niemand außerhalb der TSE kann den Klartext (die Signatur) erzeugen.
- Wie wird eine Signatur verifiziert
- Nachdem wir nun mit etwas Mühe Transaktionen und somit Signaturen erzeugt haben, wäre es doch schön, wenn man diese auch prüfen könnte (schon in der Schule forderte der Mathe-Lehrer immer ein Prüfung der Lösung). Doch genau dafür bieten das SDK bzw. die Firmware keine Lösung an. Die Signatur wird ja über den Hash (die Prüfsumme) der Transaktion, genaugenommen der Transaktions-Message, gebildet. Dieser Hash wird aber nirgends gespeichert bzw. ausgegeben. Wie bei jeder Hashfunktion läßt sich aus dem Hash der Message auch nicht auf die Message selbst schließen. Das bedeutet, man kann die Signatur nur verifizieren, wenn man die orginale Transaktions-Message nachbaut. Anschließend muß man von dieser den Hash erzeugen, den man dann mit der durch den PublicKey "verschlüsselten" Signatur vergleichen kann. Um die Messages nachzubauen, kann man die Logs der TSE bzw. den Tar-Export nutzen. Beides wird von unserer TSE-Middleware unterstützt.
- Was ist das TSE-SDK?
- Der Name Software-Developement-Kit (SDK) sagt schon aus, daß es sich hier um nichts handelt, was für den Anwender gedacht ist. Vielmehr ist es eine Art Treibersoftware, mit deren Hilfe die TSE in die jeweilige Kassenlösung integriert werden soll/kann. Im Gegensatz zu einer Treibersoftware kann das SDK aber nicht einfach "installiert" werden, sondern muß direkt in die Programmierung der Kassensoftware eingebaut werden. Ein SDK wird i.d.R. in Form von Headerdateien und Bibliotheken zur Verfügung gestellt. Nur diejenigen Plattformen, für die das SDK entsprechende Unterstützung anbietet, können direkt genutzt werden. Beim SwissBit-SDK sind das Linux (32 und 64 Bit), Windows (32 und 64 Bit), sowie i.V. mit Java auch Android. Während Windows mittlerweile ausschließlich auf x86-PC's zu Hause ist, existiert mit "ARM" eine weitere wichtige Architektur, die vor allem für Embedded-Geräte (Router, IoT) zum Einsatz kommt. Der kleine Mini-PC "RasPi" basiert auf einer solchen ARM-Architektur (ARM64 v8). Seine Beliebtheit verdankt er nicht zuletzt der Portierung von Debian-Linux auf dieses kleine Kerlchen. Zum Glück ist im Swissbit-SDK eine Bibliothek für ARM enthalten, wenn auch nur für die 32Bit-Plattform.
- Wie funktioniert die TSE wirklich?
- Neben der theoretischen Erklärung der TSE interessiert uns vor allem die wirkliche Funktionsweise einer solchen "Technischen Sicherheitseinrichtung". Wenn man sich die TSE betrachtet, so stellt man fest, daß es sich um einen USB-Datenspeicher (SD-Card) mit eigener Intelligenz (Firmware) handelt. Das bedeutet, die TSE benötigt in jedem Fall eine vollwertige USB-Schnittstelle. Unter Windows verhält sich die TSE wie ein USB-Laufwerk, unter Linux kann die TSE mit Hilfe des Kernelmoduls "usb-storage" in den Verzeichnisbaum gemountet werden. Danach können über den Laufwerksbuchstaben (Windows) bzw. den Mountpoint (Linux) alle Funktionen genutzt werden. Für den Anwender stellt sich die TSE wie ein Verzeichnis dar, darin enthalten sind Tar-Dateien. Allerdings ist es keine gute und zielführende Idee, diese Dateien direkt lesen oder schreiben zu wollen. Das wird nämlich durch die Firmware verhindert. In den Tar-Dateien werden die von der Kasse angelieferten (Transaktions-Logs), sowie die von der TSE selbst erzeugten (Message- und AuditLogs) Daten gespeichert. Wenn kein externer Datenspeicher zur Verfügung steht, müssen diese für mindestens 10 Jahre in der TSE aufbewahrt werden. Der Datenspeicher ist einer der Faktoren, der die Lebenszeit der TSE begrenzenzt. Wenn der Speicher voll ist, kann die TSE keine neuen Transaktionen mehr anlegen. Damit das nicht passiert, können die Daten der TSE exportiert und anschließend in der TSE gelöscht werden. Die exportierten Daten müssen dann allerdings extern 10 Jahre aufbewahrt werden. Die Firmware der TSE hat (stark vereinfacht ausgedrückt) zwei Funktionen, sie sorgt für die Kryptographie (Signaturerstellung) und sie stellt die Export-Schnittstelle bereit, auf die das SDK zugreift. Jede TSE verfügt über ein unikates Zertifikat, welches laut willkürlicher Festlegung durch das BSI maximal fünf Jahre gültig sein darf. Das ist der nächste Faktor, der die Nutzungszeit der TSE begrenzt. Sobald das Zertifikat abgelaufen ist, kann die TSE keine Signaturen mehr erstellen. Zum Glück funktioniert der Export der auf der TSE gespeicherten Daten auch bei abgleaufenem Zertifikat noch.
- Was ist der DSFinV-K Export?
- DSFinV-K heißt Digitale Schnittstelle der Finanzverwaltung für Kassensysteme. Das ist die Taxonomie, nach der die Transaktionsdaten der Kassen und Aufzeichnungssysteme einheitlich exportiert werden müssen. Diese Vereinheitlichung ermöglicht den Finanzbehörden eine tiefergehende und strukturiertere Prüfung der Kassenvorgänge als dies in der Vergangenheit der Fall war. Das bedeutet, daß das Finanzamt nicht nur die manipulationsfreie Nutzung der Registrierkasse überprüfen kann, sondern, durch die im DSFinV-K Format vorliegenden Daten auch die korrekte Verbuchung von Geschäftsvorfällen, wie z.B. Trinkgeld, überprüfen kann. Insofern geht die Kassensicherungsverordnung weit über die bisherige Absicherung von Bargeldumsätzen hinaus. Der Steuerpflichtige muss einen solchen DSFinV-K Export jederzeit für eine Prüfung durch die Finanzbehörde zur Verfügung stellen. Der DSFinV-K Export knüpft an den GoBD Export an, ist jedoch einheitlich strukturiert und deutlich umfangreicher. Der GoBD Export reicht also ab dem 30.09.2020 nicht mehr aus, um die steuerlichen Anforderungen zu erfüllen.