Dipl.-Finw. (FH) Wilhelm Krudewig
- Aufzeichnungen auf Papier oder mittels elektronischer Aufzeichnungssysteme müssen unveränderbar sein.
- Jede Änderung muss für einen sachverständigen Dritten nachvollziehbar sein.
- Technische Manipulationen von digitalen Grundaufzeichnungen wie Kassendaten, sind im Rahmen von Maßnahmen der Außenprüfung immer schwerer oder nur mit hohem Aufwand feststellbar.
Die bisher bestehenden gesetzlichen Regelungen boten keine ausreichenden Möglichkeiten, um Manipulationen von digitalen Grundaufzeichnungen, insbesondere Kassendaten, ohne großen Aufwand durch die Außenprüfungsdienste vor Ort aufzudecken.
Aus diesem Grund wurde das Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen verabschiedet. Danach wird in § 146a AO Folgendes geregelt:
- für aufzeichnungspflichtige Geschäftsvorfälle oder
- für andere Vorgänge, die mithilfe eines elektronischen Aufzeichnungssystems erfasst werden,
- ist ein elektronisches Aufzeichnungssystem zu verwenden,
- das jeden aufzeichnungspflichtigen Geschäftsvorfall und jeden anderen Vorgang einzeln, vollständig, richtig, zeitgerecht und geordnet aufzeichnet.
Das Gesetz sieht vor, dass für Wirtschaftsjahre, die nach dem 31.12.2019 beginnen (also ab dem 1.1.2020, wenn das Wirtschaftsjahr mit dem Kalenderjahr übereinstimmt) die elektronischen Aufzeichnungssysteme und Aufzeichnungen durch eine zertifizierte technische Sicherheitseinrichtung zu schützen sind. Diese zertifizierte technische Sicherheitseinrichtung muss aus
- einem Sicherheitsmodul,
- einem Speichermedium und
- einer digitalen Schnittstelle
bestehen. Die digitalen Aufzeichnungen sind auf einem Speichermedium zu sichern sowie für eine Kassennachschau und Außenprüfungen verfügbar zu halten. Es ist verboten, elektronische Aufzeichnungssysteme, Software für elektronische Aufzeichnungssysteme und technische Sicherheitseinrichtungen gewerbsmäßig zu bewerben oder in den Verkehr zu bringen, die diesen Anforderungen nicht entsprechen. Das BMF wird ermächtigt, durch Rechtsverordnung die elektronischen Aufzeichnungssysteme, die über eine zertifizierte Sicherheitseinrichtung verfügen müssen, und die Anforderungen an
- das Sicherheitsmodul,
- das Speichermedium,
- den Beleg,
- die elektronische Archivierung der Aufzeichnungen,
- die digitale Schnittstelle,
- die Protokollierung von digitalen Grundaufzeichnungen zur Sicherstellung der Integrität und Authentizität sowie der Vollständigkeit der elektronischen Aufzeichnung,
- die elektronischen Aufzeichnungssysteme und
- die Anforderungen an die Zertifizierung der technischen Sicherheitseinrichtung zu bestimmen.
Von der Ermächtigung wurde Gebrauch gemacht. Die "Verordnung zur Bestimmung der technischen Anforderungen an elektronische Aufzeichnungs- uns Sicherungssysteme im Geschäftsverkehr (Kassensicherungsverordnung – KassenSichV)" vom 26.9.2017 regelt nunmehr, was im Einzelnen zu beachten ist. Nach § 2 KassenSichV muss für jeden Geschäftsvorfall oder anderen Vorgang eine neue Transaktion gestartet werden. Die Transaktion hat Folgendes zu enthalten:
- den Zeitpunkt des Vorgangsbeginns,
- eine eindeutige und fortlaufende Transaktionsnummer,
- die Art des Vorgangs,
- die Zahlungsart,
- den Zeitpunkt der Vorgangsbeendigung oder des Vorgangsabbruchs,
- einen Prüfwert sowie
- die Seriennummer des elektronischen Aufzeichnungssystems oder die Seriennummer des Sicherheitsmoduls.
8.1 Registrierkassensysteme müssen manipulationssicher sein
Kassensysteme sind mit Software ausgestattet. Ob elektronische Kassen manipulierbar sind, hängt somit davon ab, ob die Software (nachträgliche) Veränderungen zulässt, die nicht nachvollziehbar sind. Die KassenSichV lässt es nicht zu, dass unkontrollierbare (nachträgliche) Eingriffe vorgenommen werden. Beliefert ein Unternehmer (Programmierer) seine Kunden mit offensichtlich manipulierbaren Kassensystemen, läuft er Gefahr für die hinterzogenen Steuern seiner Kunden haften zu müssen Die Kassensysteme können auf unterschiedliche Weise manipuliert werden, z. B. hinsichtlich
- Anzahl und Höhe der Umsätze,
- Stornos,
- Herabsetzung des Tagesumsatzes,
- Missbrauchs des Trainingsspeichers in der Gastronomie.
8.2 Integrierte Sicherheitslösung für messwertverarbeitende Kassensysteme (INSIKA)
INSIKA basiert auf einer digitalen Signatur, die durch ein Trustcenter erzeugt wird. Dafür müssen an die Kassensysteme Smartcards angeschlossen werden – also interne oder externe Kartenlesegeräte. Bei jedem Bezahlvorgang erstellt die Chipkarte dann mithilfe eines speziellen Schlüssels eine Signatur. Diese Signatur wird als 2D-Code auf dem Kassenbon abgedruckt und gleichzeitig auf der Karte gespeichert. Auf diese Weise lassen sich die eingegebenen Daten später nicht mehr manipulieren.
Neuanschaffungen von Kassensystemen und Veränderungen
Es ist erforderlich, dass Kassensysteme so konzipiert sind, dass sie nicht manipuliert werden können. Wer sich eine neue Registrierkasse zulegt, sollte unbedingt darauf achten, dass diese Registrierkasse die Anforderungen erfüllt, die es erfüllen muss. Die Umstellung musste spätestens zum 1.1.2020 erfolgen. Auch wenn eine nicht manipulierbar...