technische Sicherheitsmaßnahmen zum Schutz vor Manipulationen an Kassensystemen

Der Bundestag hat am 15.12.2016 ein Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen beschlossen. Damit sollen bisher bestehende technische Möglichkeiten zur Manipulation von digitalen Grundaufzeichnungen, wie z. B. bei elektronischen Kassen, verhindert werden. Zuvor kam es im Finanzausschuss noch zu einigen Änderungen gegenüber dem ursprünglichen Gesetzentwurf. Die Zustimmung des Bundesrats erfolgte am 16.12.2016. Am 3.4.2017 hat das BMF die dazu vorgesehene Rechtsverordnung erstellt (siehe Kap. 4 "Rechtsverordnung mit technische Detailregelungen").

In der Praxis der steuerlichen Außenprüfungen bereiten insbesondere

  • nicht dokumentierte Stornierungen,
  • nicht erkennbare Änderungen mittels elektronischer Programme oder
  • der Einsatz von Manipulationssoftware, z. B. Phantomware, Zapper

zunehmend Probleme. Zugleich fehlen aber aktuell gesetzliche Regelungen, welche die Unveränderbarkeit (Integrität) und Herkunft (Authentizität) der Daten sowie auch die Vollständigkeit von digitalen Grundaufzeichnungen gewährleisten.

 

Dies soll sich mit dem Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen, das beschlossen wurde, ändern. Begleitend wurde auch ein Entwurf einer Technischen Verordnung zur Durchführung des Gesetzes zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen vorgestellt. Gesetz und Rechtsverordnung sollen digitale Grundaufzeichnungen vor einer Manipulation schützen, in dem die Unveränderbarkeit dieser Daten sichergestellt wird. Flankierend werden eine neue Prüfungsmöglichkeit für die Finanzämter geschaffen und die Bußgelder für Verstöße deutlich erhöht. 

Im Detail kommt es zu  folgenden Änderungen:

Technische Sicherheitsmaßnahmen

Bereits bisher gilt, dass Aufzeichnungen einzeln, vollständig, richtig, zeitgerecht, geordnet und unveränderbar vorzunehmen sind. Neu ist, dass dies so nun ausdrücklich im Gesetz verankert ist. Damit wurde die Einzelaufzeichnungspflicht auch für die Nutzung elektronischer Aufzeichnungssysteme in die Abgabenordnung (AO) mit aufgenommen. Auch der Grundsatz, dass Kasseneinnahmen und Kassenausgaben täglich aufzuzeichnen sind, wurde gesetzlich niedergelegt und eindeutiger gefasst. Die Pflicht zur Einzelaufzeichnung entfällt lediglich aus Zumutbarkeitsgründen bei Verkauf von Waren an eine Vielzahl von nicht bekannten Personen gegen Barzahlung. Wird jedoch ein elektronisches Aufzeichnungssystem verwendet, sind die Daten einzeln aufzuzeichnen (§ 146 Abs. 1 AO).

Die Daten müssen zudem auf einem Speichermedium gesichert und verfügbar gehalten werden. Ein neuer § 146a AO-E legt fest, dass alle elektronischen Aufzeichnungssysteme und die digitalen Aufzeichnungen durch eine zertifizierte technische Sicherheitseinrichtung zu schützen sind. Diese Sicherheitseinrichtung muss aus einem Sicherheitsmodul, einem Speichermedium und einer einheitlichen digitalen Schnittstelle bestehen. Angestrebt wird damit, dass künftig für digitale Grundaufzeichnungen eine direkte Nachprüfung der einzelnen Geschäftsvorfälle progressiv und retrograd erfolgen kann. Auch soll es ausgeschlossen sein, diese nachträglich manipulieren zu können.

Neu mit aufgenommen wurde eine verpflichtende Belegausgabe. Lediglich bei Unternehmen, die Waren an eine Vielzahl von nicht bekannten Personen verkaufen, kann von der generellen Erteilung einer Kassenquittung abgesehen werden. Auf Antrag erteilen die Finanzämter aus Gründen der Praktikabilität und Zumutbarkeit eine Befreiung von der Belegausgabepflicht; diese kann aber auch widerrufen werden (§ 146a Abs. 2 AO).

Ebenfalls neu ist eine Meldepflicht für die eingesetzten elektronischen Aufzeichnungssysteme und zertifizierten technischen Sicherheitseinrichtungen. Wer ein elektronisches Aufzeichnungssystem anschafft oder außer Betrieb nimmt hat dies innerhalb eines Monats mitzuteilen. Dabei sind der Name und die Steuernummer des Steuerpflichtigen, die Art der zertifizierten technischen Sicherheitseinrichtung und des verwendeten elektronischen Aufzeichnungssystems, deren Anzahl und Seriennummer, sowie das Datum der Anschaffung bzw. der Außerbetriebnahme mitzuteilen (§ 146 Abs. 4 AO). Bereits vorhandene Systeme sind bis zum 31.1.2020 zu melden.

Technologieoffenes Konzept

Positiv ist, dass die technischen Maßnahmen technologieoffen ausgelegt sind. Das zunächst in Erwägung gezogene aufwändige und kostenintensive INSIKA-Konzept wird nicht umgesetzt. Vielmehr gibt es für die erforderlichen Sicherheitseinrichtungen in den Kassensystemen ein Zertifizierungsverfahren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird die technischen Anforderungen an die Sicherheitseinrichtung bestimmen und hierzu ein Zertifikat ausstellen (§ 146 Abs. 2 Satz 2 AO-E). Dadurch soll gewährleistet sein, dass den Erfordernissen der unterschiedlichen Wirtschaftsbereiche Rechnung getragen werden kann und zugleich technische Weiterentwicklungen einfließen können. Auch weiterhin wird es keine allgemeine Registrierkassenpflicht geben, sondern auch eine sog. offene Ladenkasse zulässig sein.

Technische Details für die elektronischen Aufzeichnungssysteme und die zertifizierte Sicherheitseinrichtung werden in einer gesonderten Rechtsverordnung festgelegt (siehe Kap. 4).

Quelle: Haufe / Steuern


Zurück zur Übersicht