Probleme bei der Zertifizierung von cloud-basierten zertifizierten technischen Sicherheitseinrichtung (TSE) drohen
www.andrea-koechling.de
Share >

Probleme bei der Zertifizierung von cloud-basierten zertifizierten technischen Sicherheitseinrichtung (TSE) drohen

Aufgrund von neuen Anforderungen des BSI (Bundesamt für Sicherheit in der Informationstechnik) könnten Nutzern von cloud-basierten TSE-Lösungen für Kassensysteme bald Probleme drohen.

Die Grundlagen zu drohenden Problemen bei TSE-Kassensystemen

Das Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen („Kassengesetz“) vom 22. Dezember 2016 (BGBl. I S. 3152) sieht seit dem 1. Januar 2020 vor, dass zertifizierte technische Sicherheitseinrichtungen (TSE) in elektronische Aufzeichnungssysteme im Sinne des § 146a AO implementiert werden müssen. Die Vorgabe gilt für alle elektronischen und computergestützten Kassensysteme oder Registrierkassen, die als elektronische Aufzeichnungssysteme fungieren.

Die Zertifizierung

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist für die Zertifizierung der TSE zuständig.

Der Hersteller einer TSE muss nachweisen, dass die TSE die Interoperabilitätsanforderungen der Technischen Richtlinien einhält. Der Nachweis ist durch eine Konformitätszertifizierung nach der Testspezifikation der TR-03153 zu erbringen.

Weiterhin muss der Hersteller einer TSE nachweisen, dass die Sicherheitsanforderungen eingehalten werden. Der Nachweis ist durch Sicherheitszertifizierungen nach Common Critieria nachzuweisen.

Die Zertifikate für eine TSE sind üblicherweise auf fünf Jahre befristet. Besonderheit in diesem Fall: Die ersten Zertifikate für hardware-basierte TSE-Lösungen hat das BSI erst am 20. Dezember 2019 vergeben.

Das zeitliche Problem

Durch die späte Zertifizierung im Dezember 2019 war eine flächendeckende Implementierung in sämtliche Kassensysteme nicht möglich.

Mit einem BMF-Schreiben vom 18. August 2020 („Nichtbeanstandungsregelung bei Verwendung elektronischer Aufzeichnungssysteme im Sinne des § 146a AO ohne zertifizierte technische Sicherheitseinrichtung nach dem 31. Dezember 2019 und Anwendungserlass zur Abgabenordnung zu § 148“) wurde mitgeteilt, dass nicht beanstandet wird, wenn die elektronischen Aufzeichnungssysteme längstens bis zum 30. September 2020 noch nicht über eine zertifizierte technische Sicherheitseinrichtung verfügen.

Wichtig dabei: Es handelt sich nicht um eine Frist, sondern lediglich um eine Nichtbeanstandungsregelung.

Im Juli 2020 hatten die Bundesländer – mit Ausnahme von Bremen – mit Ländererlassen beschlossen, einen zeitlichen Aufschub bis maximal zum 31. März 2021 zu gewähren, wenn bestimmte Voraussetzungen vorliegen. Die einzelnen länderspezifischen Anforderungen und Erlasse können hier eingesehen werden. Durch dieses Vorgehen wurde vermieden, dass die einzelnen Unternehmen Anträge auf Verlängerung der Nichtbeanstandung nach § 148 AO stellen müssen. Das BMF weist in dem Schreiben ausdrücklich darauf hin, dass die Nichtbeanstandungsregelung vom 6. November 2019 weiterhin gültig und zu beachten sei.

Tatsache ist, dass die Länder sich in einer, für mich ungewohnten Weise, den Anordnungen des BMF widersetzt haben.

Hardware-basierte und cloud–basierte TSE–Lösungen

Bereits seit Ende des Jahres 2019 stehen hardware-basierte TSE-Lösungen zur Verfügung. Haben die Hersteller zugestimmt, so werden sie auf der Seite des BSI veröffentlicht.

Aufgrund der vom Gesetzgeber gewünschten Technologieoffenheit sind sowohl hardware-basierte als auch cloud-basierte TSE-Lösungen zulässig.

Als erster Anbieter erhielt die Deutsche Fiskal mit Bundesdruckerei-Tochter D-TRUST am 30. September 2020 vom BSI das Zertifikat für ihr cloud-basiertes TSE-Modul. Allerdings beträgt die Laufzeit nicht wie o.g. fünf Jahre, sondern nur vier Monate!  Das Zertifikat ist demnach bis zum 31. Januar 2021 befristet. Im Anschluss ist eine Rezertifizierung erforderlich. Weitere cloud-basierte Module von anderen Herstellern, wie zum Beispiel der Firma Fiskaly, befinden sich zurzeit im Zertifizierungsverfahren.

Neue Anforderungen des BSI an cloud-basierte TSE-Module

Aus einem internen Arbeitspapier des BSI aus dem November 2020 geht nun hervor, dass das Bundesamt neue Anforderungen an die Zertifizierung von cloud-basierten TSE stellt. Davon betroffen ist nicht nur die bereits zertifizierte cloud-basierte TSE der Deutschen Fiskal/Bundesdruckerei D-TRUST. Betroffen wären auch sämtliche sich bereits in Zertifizierung befindlichen cloud-basierten TSE- Module sowie zukünftige Anträge auf deren Zertifizierung. 

Was bedeutet das für den Unternehmer? 

Die Unsicherheiten zum Thema Kasse reißen nicht ab und es bleiben erneut viele Fragen offen.

Derzeit kann niemand einschätzen, wie sich das Bundesfinanzministerium dazu positioniert. Es ist also völlig offen, ob es für Unternehmen, die eine cloud-basierte TSE verwenden beziehungsweise bestellt haben, eventuell eine weitere Nichtbeanstandungsregelung (vielleicht bis zum 30. September 2021?) geben wird.

Des Weiteren ist nicht absehbar, ob und wann die Cloud-TSE- Anbieter die neuen Anforderungen umsetzen können und welche Konsequenzen dies für die Implementierbarkeit in den jeweiligen Kassen hat.

Genauso unsicher ist es, ob vielleicht das bereits bestehende Zertifikat der cloud-basierten TSE der Deutschen Fiskal/Bundesdruckerei D-TRUST durch das BSI verlängert wird.

Hilfestellung

Verschiedene Verbände (DIHK, HDE, BDI, BGA und ZDH) haben sich bereits im Dezember 2020 an das BMF, das BSI sowie die Länderfinanzverwaltungen gewandt. Gemeinsam haben sie sich für eine praxistaugliche Lösung ausgesprochen, die die Belange der betroffenen Unternehmen ausreichend berücksichtigt.

Von besonderer Bedeutung ist es aber auch, dass sich die Unternehmen mit ihren Steuerberater:innen austauschen und sich an ihre Kassen(system)anbieter:innen oder TSE-Hersteller:innen wenden. Mit ihnen sollten sie unbedingt das weitere technische Vorgehen absprechen.

Fazit zu drohenden Problemen bei TSE-Kassensystemen 

Wer gehofft hatte, dass mit dem Ablauf des 31. März 2021 das Thema Kasse erledigt sei, wird enttäuscht sein.

Aus meiner Sicht wird uns das Thema Kasse noch lange beschäftigen, vor allem dann, wenn von der Möglichkeit der Kassen-Nachschau wieder vermehrt Gebrauch gemacht wird. Seit dem 01. Januar 2018 können Kassen-Nachschauen gem. § 146b AO durchgeführt werden.

Laut Anwendungserlass zu § 146b AO (BMF-Schreiben vom 29.05.2018, Tz 5) ist dem/der Prüfer:in die Einsichtnahme in die (digitalen) Kassenaufzeichnungen und -buchungen sowie die für die Kassenführung erheblichen sonstigen Organisationsunterlagen durch den/die Unternehmer:in zu gewähren. Auf Anforderung der Prüferin beziehungsweise des Prüfers ist die Verfahrensdokumentation zum eingesetzten Aufzeichnungssystem einschließlich der Informationen zur zertifizierten technischen Sicherheitseinrichtung vorzulegen… und das umfasst auch das Zertifikat der TSE.

Zur Autorin:

Andrea Köchling ist Diplom-Finanzwirtin (FH) und Betriebsprüferin der Finanzverwaltung Hamburg. Sie ist bundesweit als Referentin zu den Themen Kassenführung, Umsatzsteuer und Verfahrensdokumentation tätig.

Der Beitrag ist nicht in dienstlicher Eigenschaft geschrieben worden.

 

 

 

 

 

Keinen Blogbeitrag mehr verpassen - hier registrieren...