2.5.1 Allgemeines
Rz. 47
§ 146a AO normiert besondere Ordnungsvorschriften für die Buchführung und für Aufzeichnungen mittels elektronischer Aufzeichnungssysteme. Auch wenn die Regelung in die AO bereits durch das Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen v. 22.12.2016 eingefügt wurde, so ist die Norm doch erst auf Kalenderjahre nach dem 31.12.2019 anzuwenden. Der Sinn und Zweck der Norm liegt darin, dass bei Verwendung eines elektronischen Systems eine größere Sicherheit gegeben sein soll, dass dieses nicht manipuliert werden kann.
Rz. 48
Gem. § 146a Abs. 1 S. 2 AO müssen das verwendete elektronische Aufzeichnungssystem und die Aufzeichnungen durch eine zertifizierte interne technische Sicherungseinrichtung geschützt sein. Diese zertifizierte technische Sicherungseinrichtung muss nach § 146a Abs. 1 S. 3 AO so ausgestaltet sein, dass sie aus einem Sicherheitsmodul, einem Speichermedium und einer digitalen Schnittstelle besteht. Das Sicherheitsmodul soll in diesem Zusammenhang sicherstellen, dass Kasseneingaben mit Beginn des Aufzeichnungsvorgangs protokolliert und später nicht mehr verändert werden können. Es stellt mithin die Vertrauenswürdigkeit und Integrität der Daten und der damit zusammenhängenden Informationen sicher.
Rz. 49
Auf dem Speichermedium sind nach § 146a Abs. 1 S. 4 AO die digitalen Aufzeichnungen zu sichern. Wie sich aus § 3 der KassenSichV ergibt, muss die Speicherung der laufenden Geschäftsvorfälle oder anderen Vorgänge im Sinne des § 146a Abs. 1 S. 1 AO (vgl. Rz. 42) vollständig, unverändert und manipulationssicher auf einem nichtflüchtigen Speichermedium erfolgen. Dabei müssen die gespeicherten Geschäftsvorfälle oder anderen Vorgänge so als Transaktionen verkettet werden, dass Lücken in den Aufzeichnungen erkennbar sind. Darüber hinaus müssen die digitalen Aufzeichnungen auch gem. § 146a Abs. 1 S. 3 AO gesichert und für die Prüfung zur Verfügung gehalten werden, sodass im Fall der Verschrottung oder des Verkaufs des elektronischen Aufzeichnungssystems die digitalen Aufzeichnungen für die Dauer der Aufbewahrungsfristen auf einem (anderen), den technischen Anforderungen entsprechenden Speichermedium gesichert und verfügbar gehalten werden müssen. Darüber hinaus ist nach § 3 Abs. 3 KassenSichV für den Fall, dass die gespeicherten digitalen Grundaufzeichnungen ganz oder teilweise von einem elektronischen Aufzeichnungssystem in ein externes elektronisches Aufbewahrungssystem übertragen werden, sicherzustellen, dass die Verkettung aller Transaktionen und die Anforderungen an die einheitliche digitale Schnittstelle erhalten bleiben.
Rz. 50
Die einheitliche digitale Schnittstelle ist gem. § 4 KassenSichV eine Datensatzbeschreibung für den standardisierten Datenexport aus dem Speichermedium, der Anbindung an das elektronische Aufzeichnungssystem und dem elektronischen Aufbewahrungssystem zur Übergabe an den mit der Kassen-Nachschau oder Außenprüfung betrauten Amtsträger der Finanzbehörde. Sie stellt eine einheitliche Strukturierung und Bezeichnung der aufzuzeichnenden Daten in Datenschema und Datenfelderbeschreibung für die Protokollierung und die Speicherung sicher.
Rz. 51
Nach § 6 der VO zur technischen Umsetzung erfolgt die Zertifizierung nach § 9 des BSI-Gesetzes. Diese Zertifizierung der Software bietet nach Ansicht des Gesetzgebers eine größere Sicherheit gegen Manipulationen. Darüber hinaus legt das Bundesamt für Sicherheit in der Informationstechnik (BSI) gem. § 5 KassenSichV im Benehmen mit dem BMF in Technischen Richtlinien und Schutzprofilen die technischen Einzelheiten und die Anforderungen an das Sicherheitsmodul, das Speichermedium und die einheitliche elektronische digitale Schnittstelle sowie die elektronische Aufbewahrung fest.
Rz. 52
Die Tathandlung des § 379 Abs. 1 S. 1 Nr. 5 AO liegt im Nichtschützen oder nicht richtigen Schützen des elektronischen Aufzeichnungssystems und der digitalen Aufzeichnungen durch eine zertifizierte technische Sicherheitseinrichtung. Dies dürfte der Fall sein, wenn
- das elektronische Aufzeichnungssystem nicht über ein Sicherheitsmodul verfügt,
- das elektronische Aufzeichnungssystem nicht über ein Speichermedium verfügt,
- das vorhandene Speichermedium die digitalen Aufzeichnungen über alle Prozesse nicht bzw. nicht vollständig in ihrer Integrität und Authentizität sichert,
- das Speichermedium nicht die zur (maschinellen) Auswertung der digitalen Aufzeichnungen erforderlichen Strukturinformationen sichert,
- die zur maschinellen Auswertung erforderlichen Daten innerhalb der Aufbewahrungsfrist ganz oder teilweise gelöscht werden,
- aus den gespeicherten Geschäftsvorfällen oder anderen Vorgängen deren Verkettung der Transaktionen nicht (mehr) erkennbar ist,
- das elektronische Aufzeichnungssystem nicht über eine (funktionstüchtige) digitale Schnittstelle verfügt,
- eine Zertifizierung der technischen Sicherheitseinrichtung fehlt,
- eine Neuzertifizierung nach Änderung der ursprünglich zertifizierten Sicherheitseinrichtung fehlt oder
- das Zertifikat erl...