Zertifizierte technische Sicherheitseinrichtung für Registrierkassen

zertifizierte technische Sicherheitseinrichtung

Im Januar 2020 trat die Kassensicherungsverordnung in Kraft. Diese bescherte allen Händlern die Belegausgabe- und die Kassenmeldepflicht. Doch sie brachte noch eine weitere Pflicht hinzu: Die zertifizierte Technische Sicherheitseinrichtung, kurz TSE genannt. Sie soll die nachträgliche Manipulation von Kassendaten verhindern bzw. etwaige Veränderungen offenlegen. Darüber hinaus wird jede Transaktion in einem externen Journal gespeichert. Das Finanzamt kann dieses mit einer Prüfsoftware kontrollieren.

In diesem Beitrag erfährst du, wie die TSE funktioniert, wo du eine zertifizierte TSE bekommen kannst und welche TSE-Lösung für dein Unternehmen geeignet ist.

Wie funktioniert die zertifizierte Technische Sicherheitseinrichtung?

Sobald du oder deine Mitarbeitenden einen Umsatz tätigen und diesen in die Registrierkasse eingeben, wird dieser über eine einheitliche Schnittstelle gesendet und mehrfach gespeichert. Jeder Datensatz erhält eine eigene Nummer sowie eine Prüfziffer, die einzigartig sind und auf der Blockchain-Technologie beruhen: Nicht nur der aktuelle Datensatz wird berücksichtigt, sondern auch der vorhergehende. Auf diese Weise entsteht eine Prüfziffer, mit der der vorherige Datensatz nachvollzogen werden kann. Nachträgliche Änderungen können so aufgedeckt werden, wie z. B. das Löschen eines Datensatzes.

Die Speicherung des Datensatzes erfolgt mithilfe des Sicherheitsmoduls (Secure Module Application, kurz SMA) und dem Crypto Service Provider (CSP). Der CSP erstellt die einzigartige Prüfziffer und das Sicherheitsmodul verschlüsselt die Daten und speichert diese in dem externen Journal. Anschließend werden diese Daten ebenfalls auf einem Speichermedium gesichert. Dies können sowohl Hardware-Lösungen als auch Cloud-Lösungen sein. Bei den Hardware-Lösungen haben sich USB-Sticks und Micro-SDs aufgrund ihrer Einfachheit etabliert: Sie können jederzeit ausgetauscht und aufgrund ihrer Größe platzsparend archiviert werden.

Der gesamte Vorgang sieht vereinfacht dargestellt so aus:

 

  1. 1. Der Datensatz wird an die TSE gesendet.
  2. 2. Die TSE leitet ihn in das Sicherheitsmodul, wo er eine fortlaufende Transaktionsnummer erhält. Das Sicherheitsmodul verwahrt die Daten und sendet eine Anfrage an den CSP.
  3. 3. Der CSP erzeugt nun die elektronische Prüfziffer. Diese wird zusammen mit dem Signaturzähler zurück ans Sicherheitsmodul geschickt.
  4. 4. Das Sicherheitsmodul führt die erhaltenen Daten und den verwahrten Datensatz zusammen.
  5. 5. Nun werden die zusammengeführten Daten in dem exportierbaren Journal und auf dem Speichermedium gespeichert.

Die gespeicherten Daten können Prüfer vom Finanzamt jederzeit mithilfe der digitalen Schnittstelle einsehen und mit ihrer Prüfsoftware kontrollieren. Diese Schnittstelle wurde im Juli 2019 vom Finanzamt als sogenannte DSFinV-K 2.0 definiert. Jede Registrierkasse muss diese unterstützen.

Brauche ich eine TSE?

In Deutschland muss jeder, der eine elektronische Registrierkasse betreibt, den Richtlinien der Kassensicherungsverordnung (KassenSichV) entsprechen. Diese sieht in jeder Kasse einen Manipulationsschutz bzw. eine TSE vor.

Wenn du dagegen eine offene Ladenkasse verwendest, bist du von der Pflicht zur TSE ausgenommen. Allerdings gelten auch in diesem Fall alle anderen Verpflichtungen wie die Belegausgabepflicht und die Aufbewahrungspflicht.

Wie wird eine technische Sicherheitseinrichtung zertifiziert?

Die TSEs zertifiziert das Bundesamt für Sicherheit und Informationstechnik (BSI).

Es erließ zwei technische Richtlinien: 

 In diesen Richtlinien legte das BSI fest, wie eine TSE gestaltet sein muss, um ein Zertifikat erhalten zu können. Wenn ein TSE-Hersteller eine TSE-Lösung entwickelt hat, stellt er einen Antrag beim BSI, um diese Lösung überprüfen zu lassen. Diese Prüfung wird von einem akkreditierten Unternehmen durchgeführt. Zu den akkreditierten Unternehmen gehören z. B. die TÜV Informationstechnik GmbH und die Deutsches Forschungszentrum für Künstliche Intelligenz GmbH.

Eine solche Prüfung dauert in der Regel zwischen sechs und neun Monaten. Aus diesem Grund wurden noch nicht alle TSE-Lösungen der Hersteller geprüft und die Nichtbeanstandungsregel für Kassen ohne vorhandene TSE wurde bis zum 31. März 2021 verlängert. Sobald die Prüfung abgeschlossen ist und das Ergebnis positiv ausfällt, erhält die entsprechende TSE-Lösung vom BSI die Zertifizierung. Das Zertifikat bestätigt, dass die TSE den festgesetzten Richtlinien entspricht und damit gesetzeskonform ist. Eine solche TSE kannst du bedenkenlos für die nächsten fünf Jahre verwenden – danach muss das BSI sie erneut zertifizieren.

Entspricht eine vorgelegte TSE dagegen nicht den Richtlinien, erhält sie das Zertifikat nicht. Achte darauf, dass du jederzeit eine Finanzamt-konforme TSE verwendest, um keine Strafen zu erhalten. Bei einer unangekündigten Kassenschau drohen bis zu 25.000 Euro an Nachzahlungen, wenn dein Betrieb nicht die gesetzlichen Anforderungen erfüllen kann.

Wo erhalte ich eine zertifizierte Technische Sicherheitseinrichtung?

Seit dem 1. Januar 2020 hat sich viel getan: Inzwischen kannst du bei zahlreichen Kassensystemanbietern eine TSE beziehen. Einige TSEs befinden sich noch im Zertifizierungsprozess – in einem solchen Fall findest du entsprechende Informationen auf der Webseite der Anbieter.

Im Gegensatz zur Situation im Jahr 2020 stehen inzwischen mehrere TSE-Lösungen zur Verfügung, die bereits ihr Zertifikat erhalten haben. Diese kannst du also schon jetzt bedenkenlos einsetzen. Bei allen anderen gilt die Frist bis zum 31. März 2021 für alle Bundesländer, ausgenommen davon ist Bremen. Diese Frist gilt allerdings nur, wenn du bereits eine TSE bei einem Hersteller oder Anbieter deiner Wahl verbindlich bestellt hast. Ist dies nicht der Fall und möchtest du deine Registrierkasse mit einer TSE ausstatten, musst du einen Anbieter wählen, dessen TSE bereits ihr Zertifikat erhalten hat.

Dadurch verringern sich zwar deine Auswahlmöglichkeiten in Bezug auf die möglichen Hersteller und Anbieter, allerdings ist dieser Weg – neben einer offenen Ladenkasse ohne TSE-Pflicht – die einzige Möglichkeit, eine Registrierkasse in Deutschland zu betreiben ohne hohe Steuernachzahlungen befürchten zu müssen. 

Die Varianten der zertifizierten Technischen Sicherheitseinrichtung

Die TSE gibt es in zwei grundlegenden Varianten: als Hardware- oder als Cloud-Lösung. Bei der Hardwarelösung stehen dir wiederum zwei Varianten zur Verfügung, nämlich interne und externe Speichermedien. Abhängig davon, wie dein Unternehmen aufgebaut ist, kann sich für dich eher eine Hardware- oder eine Cloud-Lösung lohnen.

Die TSE als Hardware Lösung

Als externe Hardware-Lösungen stehen USB-Sticks und Micro-SD-Karten bereit. Bei der internen Lösung handelt es sich um ein Speichermedium, das in deine Kasse oder TSE integriert wird. Eine weitere Lösung wäre ein LAN-Hub, bei dem du mehrere Kassen mit einer TSE verbindest und dadurch Geld sparen kannst. Allerdings kann diese Lösung zu längeren Wartezeiten beim Kassieren führen, weshalb sich diese Variante nicht durchgesetzt hat. Gängiger sind USB-Sticks oder Micro-SD-Karten.

Wie jede andere TSE müssen die Hardware-Lösungen vom BSI zertifiziert werden. Aus diesem Grund enthalten sie eine funktionsfähige TSE inklusive dem Sicherheitsmodul und dem CSP. Mit einem USB- oder SD-Steckplatz verbindet man sie direkt mit der Kasse. Derart können sie auch ohne Internet Prüfziffern für die Datensätze deiner Kassen erstellen und eignen sich besonders für Orte mit langsamer Internetverbindung oder häufigen Netzausfällen. Dennoch kann die Hardware-TSE auch einmal ausfallen: In einem solchen Fall werden die Datensätze gekennzeichnet, die nicht signiert werden konnte. Sobald die TSE wieder funktioniert, signiert sie die Datensätze nachträglich und speichert sie ordnungsgemäß ab.

Hardware-Lösungen bieten dir also viele Vorteile, jedoch besitzen sie auch Nachteile. Einer davon sind ihre Kosten: Die Anschaffung liegt in der Regel zwischen 250 Euro und 300 Euro. Wenn du viele Registrierkassen besitzt und jede eine eigene TSE erhält, können sich die Kosten auf mehrere 1.000 Euro belaufen. Aus diesem Grund eignen sich die Sticks oder Karten besonders für kleinere Unternehmen mit wenigen Kassen. Von internen Lösungen, d. h. in die Registrierkassen eingebaute TSE, wird allgemein eher abgeraten.

Vorteile der externen Speichermedien

Zu den Anschaffungskosten kommen fortlaufende Kosten: Bei internen Lösungen, die in die Registrierkasse eingebaut sind, muss eine neue Registrierkasse gekauft werden, wenn der Speicher aufgebraucht ist. Die externen Speichermedien müssen alle fünf Jahre neu gekauft werden, da die Zertifikate jeweils nur für fünf Jahre gültig sind. Ist deren Speicher voll, kannst du die Daten auf ein weiteres Speichermedium übertragen und dieses aufbewahren. Der Speicher der externen TSE wird hierdurch freigegeben.

Die externe Speicherung ist ohnehin vorteilhaft, weil du deine Kassendaten sonst nur einmal besitzt. Sollten dein Stick oder deine Karte defekt werden und du die Daten nicht mehr retten können, verletzt du u. a. die Aufbewahrungspflicht. Erstelle deshalb regelmäßig Backups deiner Daten und archiviere sie an einem sicheren Ort.

Im Gegensatz zur Cloud-Lösung gehört dir die TSE, wenn du sie als Hardware-Lösung erworben hast. Dies verpflichtet dich allerdings auch selbst dazu, Aktualisierungen oder etwaige Neuanschaffungen bei Gesetzesänderungen vorzunehmen. Im Falle von Problemen kannst du dich jedoch jederzeit an den Hersteller wenden. Falls dieser das Problem nicht lösen kann, musst du jedoch eine neue TSE anschaffen. Hierfür solltest du jederzeit etwas Geld zurücklegen.

Die TSE als Cloud-Lösung

Die TSE als Cloud-Lösung ist flexibler und bei mehreren Kassen günstiger. Die Datensätze deiner Kasse werden verschlüsselt in der Cloud gesichert. Allerdings besitzt du die TSE und die Cloud bei dieser Variante nicht. Deshalb solltest du deinen TSE-Anbieter sorgfältig auswählen und darauf achten, dass dieser gesetzeskonform agiert und die Cloud-TSE zertifiziert wurde.

Die Daten sollten u. a. nach den Richtlinien der Datenschutz-Grundverordnung (DSGVO) und den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) abgespeichert werden.

Wie bei der Hardware-Lösung können die Prüfer deine Daten mithilfe der digitalen Schnittstelle auslesen, um diese zu überprüfen.

Die Cloud-TSE benötigt eine stabile Internetverbindung

Auch die Cloud-Lösung birgt Nachteile: So solltest du jederzeit über eine stabile Internetverbindung verfügen. Zwar bieten zahlreiche Anbieter inzwischen einen Offline-Modus an, der die Datensätze bei einer Störung kennzeichnet und nachträglich signiert. Allerdings ist die Offline-Funktion bei den meisten Lösungen als Ausnahmefall anzusehen, die du nicht rund um die Uhr verwenden solltest. Um Updates auf dein System spielen zu können, benötigst du ebenfalls eine Internetverbindung.

Sollte einmal nicht die Internetverbindung ausfallen, sondern die TSE, so musst du den Anbieter darüber informieren. In diesem Fall steht er in der Pflicht, das Problem zu beheben.

Im Gegensatz zu den Hardware-Lösungen fallen für dich in einem solchen Fall keine Kosten an. Dafür bezahlst du für die Cloud-TSE einen monatlichen oder jährlichen Betrag. Darin sind häufig bereits ein Kassensystem, der Support und alle zukünftigen Aktualisierungen enthalten. Die Kosten schwanken: Du solltest durchschnittlich mit 20 bis 30 Euro je nach Anbieter rechnen. Dafür läuft deine TSE niemals ab und deine Kasse ist jederzeit auf dem aktuellen Stand.

Sieh dich in unserer Kassensystem-Suchmaschine um, um dein passendes System zu finden.

Kassensysteme der Zukunft