Im zweiten Teil unserer Serie rund um die neue Kassensicherungsverordnung beschäftigen wir uns heute mit dem technischen Herzstück der neuen Regeln. Das Gesetz schreibt den Einsatz einer technischen Sicherheitseinrichtung (TSE) vor. Aber was hat es damit genau auf sich?
Die Finanzbehörden haben eine weiche Verlängerung der Frist zur Umsetzung der neuen Kassensicherungsverordnung (KassenSichV) in Aussicht gestellt. Denn eigentlich sollte das neue Kassengesetz bereits im Januar 2020 zur Anwendung kommen. Daran wird auch festgehalten. Allerdings werden die Finanzbehörden nicht beanstanden, wenn ein Unternehmen bis zum 30.09.2020 die Verordnung noch nicht umgesetzt hat.
Die Fristverlängerung hat einen einfachen Grund: Ein wesentliches technisches Element der Verordnung ist schlicht noch nicht verfügbar.
Die Aufgabe der technischen Sicherheitseinrichtung (TSE)
Die Kassensicherungsverordnung, deren Grundzüge wir kürzlich bereits erläutert haben, schreibt den Einsatz dieser technischen Sicherheitseinrichtung vor. Sie übernimmt gleich mehrere Aufgaben:
- Speicherung der Kassendaten
- Verschlüsselung der Daten
- Export der Daten
Die in der Kasse durchgeführten Buchungen werden an die TSE weitergereicht. Dort werden sie gespeichert. Mittels Verschlüsselung wird gewährleistet, dass die Buchungen nicht nachträglich manipuliert werden können. Damit das Finanzamt im Rahmen einer Prüfung auf die gespeicherten Informationen zugreifen kann, gehört eine einheitliche Exportschnittstelle dazu.
So ist die TSE aufgebaut
Was zunächst sehr einfach klingt, ist tatsächlich ein recht komplexes Zusammenspiel von verschiedenen Modulen. Über eine definierte Schnittstelle werden die Daten aus der Kasse auf einem Speichermedium abgelegt. An dieser Stelle lässt der Gesetzgeber offen, wo und wie die Hersteller die Speicherung vornehmen. Es können also klassische Massenspeicher wie SD-Karten zum Einsatz kommen. Möglich ist aber auch die Ablage in der Cloud.
Das zweite wesentliche Element innerhalb der TSE ist das Sicherheitsmodul. Zu den Anwendungsdaten aus der Kasse werden darin manipulationssicher fortlaufende Transaktionsnummern und Zeitstempel generiert. Um diese vor nachträglicher Bearbeitung zu schützen, werden die einzelnen Elemente elektronisch signiert und mit einem Prüfwert versehen.
Das dritte Element ist die einheitliche digitale Schnittstelle (EDS): Sie funktioniert in zwei Richtungen. Zum einen definiert sie, welche Daten, in welcher Form, aus der Kasse übergeben werden müssen. Zum anderen ist eine Exportschnittstelle festgelegt (Schnittstelle der Finanzverwaltung für Kassensysteme), die als Standard für die Weitergabe der Daten an die Finanzbehörden dient.
Problem: Zertifizierung
Um von den Finanzbehörden anerkannt zu werden, muss die TSE zertifiziert sein. Händler können also nicht irgendeine Lösung anschaffen, sondern nur solche, die über ein entsprechendes Prüfungsergebnis verfügen. Die Zertifizierung obliegt dem Bundesamt für Sicherheit in der Informationstechnik (BSI), das auch die Grundlagen für den technischen Aufbau in zwei Richtlinien beschrieben hat (BSI TR-03116 und BSI TR-03153).
Bei Redaktionsschluss hat noch kein Hersteller erfolgreich die notwendige Zertifizierung durchlaufen. Somit wurde die Zeit zur fristgerechten Umsetzung der Verordnung immer knapper.
Unterschiedliche Lösungsansätze
Gesetzgeber und BSI schreiben keinen exakten Weg vor, wie die TSE umgesetzt werden muss. Der Handel befindet sich somit in der misslichen Lage, auf das Erscheinen der TSE-Produkte zu warten, die kompatibel zum eingesetzten Kassensystem sind. Grundsätzlich gibt es zwei mögliche Formen für die TSE:
1. Hardwarebasierte TSE: Die Module der TSE sind auf einem physikalischen Baustein integriert. Das kann ein Erweiterungsmodul für die Kasse sein, eine Art SIM-Karte oder USB-Stick, die in das System integriert werden. Hersteller von Bon-Druckern haben ebenfalls Lösungen angekündigt, die in ihren Geräten verbaut sind. Möglich ist auch die Bereitstellung als zentrale Lösung für alle Kassen innerhalb einer Filiale.
2. Softwarebasierte TSE: Die Daten werden nicht auf einem Medium gespeichert, sondern in der Cloud. Natürlich muss auch eine solche Lösung zertifiziert sein. Vorteil ist hier, dass die Hardware der Kassensysteme nicht nachgerüstet werden muss. Die Daten stünden zentral, auch für das Finanzamt, zur Verfügung.
Diese Offenheit der Architektur einer TSE macht die Einführung für den Handel allerdings kompliziert. Denn den Unternehmen bleibt nichts anderes übrig, als in enger Fühlung mit dem Hersteller ihres Kassensystems zu bleiben, um dann zu entscheiden, welche Produkte und Ansätze in Frage kommen. Für große Filialisten kann so auch der September 2020 schon wieder knapp werden.
Das könnte Sie auch interessieren:
Adhoc-Kassenprüfungen und elektronische Aufzeichnungssysteme – neue Herausforderungen treiben den Handel um
Teil 1: Kassensicherungsverordnung – das kommt auf den Handel zu
Teil 3: Meldepflicht für Kassen nach dem neuen Kassengesetz
Teil 4: Kassengesetz – Keine Buchung ohne Beleg!
