Mit dem Thema „Kassensicherungsverordnung“ sind TSE-Hersteller, Kassenhersteller, Unternehmen sowie deren Berater spätestens seit deren Inkrafttreten zum 1.1.2020 vor immense Herausforderungen gestellt worden. Aktuell bestehende, je nach Bundesland unterschiedlich ausfallende Anwendungsbestimmungen sorgen dafür, dass dieses Thema die Buchführungsverantwortlichen weiterhin begleiten und vor große Anstrengungen stellen wird. Insbesondere der Einsatz cloud-basierter Sicherheitseinrichtungen (TSE) ist (und bleibt vorerst) mit Unwägbarkeiten hinsichtlich der steuerlichen Anerkennung behaftet. Soweit noch nicht geschehen, ist betroffenen Unternehmen dringend zu raten, beim zuständigen Finanzamt einen Antrag auf Fristverlängerung nach § 148 AO zu stellen.

Praxis-Info!

Hintergrund

Bereits seit dem 1.1.2020 ist das Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen nach § 146a AO – auch bekannt durch die sog. Kassensicherungsverordnung (KSichV) und belegt mit dem Schlagwort „Bonpflicht“ – in Kraft. Am 31.3.2021 ist auch die letzte Nichtbeanstandungsfrist abgelaufen. Seither muss jedes elektronische Aufzeichnungssystem in Deutschland über eine zertifizierte technische Sicherheitseinrichtung (TSE) verfügen (vgl. grundlegend BMF-Schreiben vom 6.11.2019, zuletzt siehe Bayerisches Landesamt für Steuern, Information vom 15.4.2021: Besondere Ordnungsvorschriften für die Buchführung und für Aufzeichnungen mittels elektronischer Aufzeichnungssysteme).

Zu den elektronischen Aufzeichnungssystemen zählen alle elektronischen oder computergestützten Kassensysteme sowie Registrierkassen. Ist diese Kasse auch nur in der Lage, Barzahlungen zu verarbeiten, so unterliegt das Unternehmen der KSichV, und die Kasse muss durch eine zertifizierte TSE geschützt sein, selbst wenn das Unternehmen tatsächlich keine Barzahlungen vereinnahmt.

Jede Transaktion der Kasse wird durch diese TSE signiert, mit einem aufsteigenden Signatur- und Transaktionszähler sowie einem Zeitstempel versehen; bei Beendigung des Zahlvorgangs wird ein Prüfwert erzeugt. Alle Daten werden an die Kasse zurückgegeben und auf dem Beleg angebracht, welcher dem Kunden ausgehändigt werden muss. Die dabei entstehende Verkettung der Transaktionen macht Lücken in den Aufzeichnungen erkennbar und die Manipulation dadurch unmöglich.

Doch wer denkt, das Thema wäre nun erledigt, wird bitter enttäuscht. Laut DFKA-Umfrage (Deutscher Fachverband für Kassen- und Abrechnungssystemtechnik e.V.) sind ca. 25% der Kassen noch nicht an eine TSE angeschlossen. Trotz intensiver Bemühungen und Aufklärungsarbeit der Kassenhersteller fühlt sich so mancher Unternehmer durch die Art seiner Umsätze nicht verpflichtet; an manchem ging das Thema schlichtweg vorbei. Auch finanzielle Gründe spielen eine Rolle, und der eine oder andere darf zu den „KSichV-Verweigerern“ gezählt werden. Dazu kommt, dass Unternehmen, die ihre Kasse durch eine Cloud-TSE schützen lassen, noch immer keine zertifizierte TSE-Lösung nachweisen können. In einigen Fällen lassen sich die Versäumnisse auch auf Unschärfen in Dokumentation und Veröffentlichung zurückführen.

Lösung

Das oben genannte BMF-Schreiben vom 17.6.2019 erläutert deutlich den Anwendungsbereich und die betroffenen Geschäftsvorfälle, lässt jedoch die Behandlung von Zahlvorgängen per Kreditkarte unerwähnt. In der Praxis hat sich gezeigt, dass Finanzämter Unternehmen von der Pflicht zur Anwendung der KSichV befreien, wenn diese angeben, ausschließlich Zahlungen per Kreditkarte einzunehmen.

Darüber hinaus sind aufgrund der vom Gesetzgeber gewünschten Technologieoffenheit hardware- und cloud-basierte TSE-Lösungen zulässig. Für viele Unternehmen kommt der Betrieb einer Hardwarelösung nicht infrage: Eine Kasse, die auf einem iPad oder Android-Tablet betrieben wird, kann nicht mit einer Hardware-TSE in Form eines USB-Sticks abgesichert werden. Selbst wenn der hardwareseitige Betrieb einer USB-TSE möglich wäre, sind diese Funktionen bei vielen Unternehmen aus IT-Sicherheitsgründen deaktiviert, um zu verhindern, dass USB-Sticks mit Schadsoftware in den PC und das vorhandene Netzwerk eingebracht werden.

Viele der betroffenen Unternehmen haben sich bereits frühzeitig für eine Cloud-Lösung entschieden. Dies war vom BSI (Bundesamt für Sicherheit in der Informationstechnik) erlaubt worden, welches den Einsatz dieser Cloud-TSEs ausdrücklich für zulässig erklärte, auch wenn sich das Produkt noch in Zertifizierung befand. Zu einer Zeit, als Kassenhersteller und Unternehmen Entscheidungen treffen mussten, war noch nicht abzusehen, welche TSE-Hersteller letztendlich eine Zertifizierung erlangen würden: Für eine vollständig zertifizierte Cloud-TSE müssen vier Teilzertifizierungen nachgewiesen werden:

• 27001 (IT Sicherheitsmanagement),
• CSP-L (Signaturen und Kryptographie-Elemente),
• SMAERS (Verbindungseinheit zum CSP) und
• TR 03153 (Einhaltung der Technischen Richtlinie).

Die ersten Zertifikate für hardware-basierte TSE-Lösungen hat das BSI erst am 20.12.2019 vergeben. Diese spät erfolgte Zertifizierung verhinderte eine flächendeckende Implementierung in alle Kassensysteme. Bereits mit BMF-Schreiben vom 6.11.2019 war die Nichtbeanstandungsregelung bis 30.9.2020 veröffentlicht worden, die im Anschluss bis zum 31.3.2021 verlängert wurde.

Fast acht Monate nach Inkrafttreten der KSichV hat das BSI am 28.7.2020 das Schutzprofil SMAERS 1.0 (BSI-CC-PP-0105-V2-2020) veröffentlicht. Darin wird unter den möglichen Bedrohungen erstmals der Anwender bzw. der Kassenhersteller als potenzieller Angreifer der Cloud-TSE angesehen. Weitere vier Monate später hat das BSI dann im November 2020 das ergänzende Dokument zum sog. Umgebungsschutz herausgegeben. Daraus geht hervor, dass die Sicherheitsanforderungen an die Anwenderumgebung je nach Hersteller der TSE unterschiedlich und gegebenenfalls durch das Unternehmen umzusetzen sind, was weitgehende Eingriffe in die Hardware des Steuerpflichtigen notwendig machen würde.

Sämtliche Investitionen und Entwicklungen der Cloud-TSE-Hersteller fanden unter grundlegend anderen Voraussetzungen statt; wieder mussten ressourcen- und zeitintensiv neue Lösungskonzepte zum Umgebungsschutz durch die TSE-Hersteller erarbeitet, eingereicht und mit dem BSI abgestimmt werden. Unterstützt wurden diese allen voran durch die IGZTK (die Interessengemeinschaft cloud-basierter Kassenhersteller) und deren Aufklärungsarbeit gegenüber Behörden, dem BMF und dem BSI. Es bestehen nun grundsätzlich zwei Möglichkeiten, den Umgebungsschutz der TSE zu gewährleisten:

• Entweder werden die Sicherheitsanforderungen an den Steuerpflichtigen ausgelagert,
• oder der TSE-Hersteller stellt sicher, dass jegliche Voraussetzungen an den sicheren Betrieb und die Einsatzumgebung der TSE bereits als erfüllt gelten und die internen Bereiche der TSE vor dem Zugriff von Angreifern geschützt sind.

Ende Mai 2021 wurde schließlich die erste echte Cloud-TSE des Herstellers fiskaly mit der maximalen Zertifikatslaufzeit von acht Jahren bis 2029 vom BSI zertifiziert. Der Umgebungsschutz wird in vollem Umfang bei fiskaly umgesetzt und erfordert keinerlei Anpassungen an der Hardware des Steuerpflichtigen. Mit einer vollständigen Implementierung der zertifizierten Version 2 und einem flächendeckenden Rollout durch die Kassenhersteller wird aber nicht vor Ende September 2021 gerechnet.

Unternehmen, deren Kassenhersteller sich frühzeitig für einen cloud-basierten TSE-Hersteller entschieden haben, der nun die erste Lösung vorsieht, stehen vor teilweise nicht realisierbaren technischen und finanziellen Herausforderungen und sehen sich somit gezwungen, die erneute Evaluierung anderer technischer Lösungen und Anbieter einzuleiten.

Somit war, obwohl von vielen Unternehmen teilweise schon seit Januar 2020 eingesetzt und Milliarden von Transaktionen bereits ausgeführt wurden, die gewählte Cloud-TSE zur Deadline, dem 1.4.2021, nicht zertifiziert, die Kasse nicht geschützt und nicht rechtssicher. Obwohl seitens des BMF klar der Auftrag bestand, auch noch nicht zertifizierte Cloud-TSEs auszurollen, können diesen Unternehmen empfindliche Schätzungen sowie die Einleitung von Ordnungswidrigkeitsverfahren drohen.

Betroffenen Unternehmen wird daher dringend geraten, beim zuständigen Finanzamt einen Antrag auf Fristverlängerung nach § 148 AO zu stellen, in dem substantiiert dargelegt (d.h. fundiert belegt) wird, aus welchem Grund die Implementierung einer zertifizierten TSE noch nicht möglich und eine unbillige sachliche Härte gegeben ist.

Ulrike Saal, M.Sc., Projekt- und Produktmanagerin, Midoco GmbH, Hilden.

BC 8/2021 

becklink440712