Archiv 2016:
Sicherheitstechnische Anforderungen an Registrierkassen
Die Einführung der Registrierkassenpflicht hat gerade bei kleinen Unternehmen und „Selbständigen“ für große Aufregung gesorgt. Die Umstellung von Abläufen im Unternehmen ist allerdings noch nicht vorbei, da spätestens ab 1. April 2017 die Registrierkassen auch besondere Sicherheitsstandards erfüllen müssen. Das BMF hat die Details dazu in der Registrierkassensicherheitsverordnung (RKSV) und in dem „Erlass zur Einzelaufzeichnungs-, Registrierkassen- und Belegerteilungspflicht“ veröffentlicht wie auch häufige Fragen zur Sicherheitseinrichtung in Registrierkassen auf seiner Homepage zusammengefasst.
Bereits seit 1. Mai 2016 bzw. 1. Juli 2016 müssen der Registrierkassenpflicht unterliegende Unternehmer ihre Bareinnahmen mit Registrierkassen erfassen, welche den Vorgaben der Kassenrichtlinie 2012 entsprechen und auch der Belegerteilungspflicht nachkommen. Durch die sicherheitstechnischen Anforderungen soll Manipulation verhindert werden und die Bekämpfung von Schwarzumsätzen und Abgabenverkürzungen erreicht werden. Insbesondere die Unveränderbarkeit der Aufzeichnungen durch kryptographische Signatur jedes Barumsatzes und die Nachprüfbarkeit in Form der Erfassung der Signatur auf den einzelnen Belegen sollen Manipulation erschweren.
Technisch ausgedrückt verbirgt sich hinter dem für den Kunden auf dem Beleg sichtbaren QR-Code (QR steht für Quick Response) bzw. in einem entsprechenden Link die individuelle Signatur des jeweiligen Unternehmers, mit welcher die Barumsätze der Registrierkasse in chronologischer Reihenfolge verkettet werden. Der Kunde erkennt also am QR-Code, dass die Registrierkasse mit einer Sicherheitseinrichtung ausgestattet ist. Wird die chronologische Verkettung der Barumsätze unterbrochen, so ist dies nachvollziehbar und somit auch eine etwaige dahinterstehende Manipulation.
Die wichtigsten Bestandteile einer die sicherheitstechnischen Anforderungen erfüllenden Registrierkasse sind das Datenerfassungsprotokoll, die Signatur- bzw. Siegelerstellungseinheit (Signaturkarte), der Summenspeicher und der Verschlüsselungsalgorithmus (Advanced Encryption Standard (AES) 256). Jeder Barumsatz ist mit der Registrierkasse zu erfassen und wird im Datenerfassungsprotokoll (Kassenjournal) abgespeichert – dies gilt auch für Trainings- und Stornobuchungen. Das Datenerfassungsprotokoll ist schon jetzt zumindest vierteljährlich auf einem elektronischen externen Datenträger zu sichern und aufzubewahren. Ab 1. April 2017 muss es überdies jederzeit auf einen externen Datenträger exportiert werden können und z.B. auf Verlangen einem Organ der Abgabenbehörde bereitgestellt werden. Kernelement der Registrierkasse ist die Signaturkarte, die mit einem persönlichen Stempel des Unternehmers vergleichbar ist. Die Signaturkarte signiert mit Hilfe eines auf ihr gespeicherten, dem Unternehmer zugeordneten privaten Schlüssels, elektronisch Daten und bestätigt die Manipulationssicherheit der Registrierkasse. Der Umsatzzähler ist wie das Datenerfassungsprotokoll eindeutig der Registrierkasse zugeordnet und summiert alle nach Steuersätzen aufgeschlüsselten Beträge eines zu signierenden Belegs mit den Bruttowerten vorzeichengetreu auf. Dies umfasst auch freiwillig signierte Belege (z.B. Kassenentnahmen) und Stornobuchungen (Minusvorzeichen!), nicht aber Trainingsbuchungen.
Für den Unternehmer sind zur Inbetriebnahme der Sicherheitseinrichtung in seiner Registrierkasse grundsätzlich folgende Schritte notwendig:
- Beschaffung der Signaturkarte bei einem Vertrauensdiensteanbieter (derzeit A-Trust oder Global Trust),
- Initialisierung der manipulationssicheren Registrierkasse,
- Erstellung des Startbelegs,
- Registrierung der beschafften Signaturkarte und manipulationssicheren Registrierkasse über FinanzOnline und
- Prüfung des Startbelegs mittels der Prüf-App „BMF Belegcheck”. Die App muss vor der ersten Verwendung durch Eingabe des Authentifizierungscodes aus der FinanzOnline-Registrierung (der Registrierkasse) freigeschaltet werden.
Die Initialisierung der Registrierkasse erfolgt zumeist über ein Softwareupdate, im Zuge dessen auch die Verbindung zwischen Registrierkasse und Signaturkarte hergestellt wird. Da bei der Initialisierung der manipulationssicheren Registrierkasse alle in der Registrierkasse gespeicherten Aufzeichnungen gelöscht werden, müssen zuvor aufgezeichnete Geschäftsfälle gesondert abgespeichert werden. Mithilfe der BMF-Belegcheck-App kann der Startbeleg überprüft werden und sichergestellt werden, dass die Registrierung erfolgreich war. Diese Prüfung hat bis spätestens 31. März 2017 zu erfolgen – bei Inbetriebnahme einer Registrierkasse ab dem 1. April 2017 darf zwischen Registrierung über FinanzOnline und der Prüfung des Startbelegs nur noch eine Woche liegen. Während des laufenden Betriebs der Registrierkasse sind jeweils Monats- und Jahresbelege zu erstellen und elektronisch zu signieren – dabei handelt es sich um zu signierende Kontrollbelege mit dem Betrag Null (0 €). Der Monatsbeleg für Dezember ist gleichzeitig der Jahresbeleg (es gilt übrigens auch bei abweichendem Wirtschaftsjahr das Kalenderjahr). Der Beleg muss zusätzlich ausgedruckt, aufbewahrt und mit der App geprüft werden.
Da nur eine funktionierende Registrierkasse als Manipulationsschutz dient, müssen bei technischem bzw. faktischem Ausfall (z.B. durch Diebstahl) der Registrierkasse Maßnahmen ergriffen werden bzw. Meldungen an die Finanz erfolgen. Grundsätzlich gilt hier, dass bei einem 48 Stunden übersteigenden Ausfall der Signaturkarte Beginn und Ende des Ausfalls sowie eine allfällige Außerbetriebnahme (der Signaturkarte bzw. der Registrierkasse) binnen einer Woche über FinanzOnline gemeldet werden müssen. Kurzfristige Lösungsmöglichkeiten sind die Erfassung der Geschäftsfälle auf einer anderen Registrierkasse oder die manuelle Belegerstellung. Wichtig ist bei der manuellen Belegerstellung, dass vor der Verwendung der reparierten Registrierkasse sämtliche Geschäftsvorfälle im Ausfallszeitraum nacherfasst werden müssen. Es genügt dann allerdings die Bezugnahme auf die Belegnummer des händischen Belegs. Die händischen Aufzeichnungen sind überdies aufzubewahren. Diese Maßnahmen sind nicht notwendig, wenn die Registrierkasse geplant – beispielsweise saisonal – für einen längeren Zeitraum außer Betrieb genommen wird. Es muss dann allerdings ein signierter Schlussbeleg erstellt, ausgedruckt und aufbewahrt werden. Ebenso ist das Datenerfassungsprotokoll entsprechend auszulesen und aufzubewahren.
Die mit der Umrüstung auf das Sicherheitssystem verbundenen Kosten werden laut Info des BMF für eine „einfache“ Registrierkasse auf voraussichtlich 400 bis 1.000 € geschätzt, wobei Registrierkassen basierend auf Smartphone- und Cloudlösung günstiger sein können. Neben einer Prämie von 200 € für Anschaffung/Umrüstung sind auch die Anschaffungskosten als Betriebsausgaben steuerlich abzugsfähig.