[DE] Kassensicherheitsverordnung

Haftungsausschluss

Wir sind keine Anwaltskanzlei und auch kein Steuerberater und bieten keine Rechtsberatung an. Die bereitgestellten Informationen und Dokumente dienen nur zu Informationszwecken und stellen keine rechtsverbindliche Auskunft oder Rechtsberatung dar. Auch bieten die von uns bereitgestellten Informationen lediglich einen allgemeinen Überblick und gehen nicht auf individuelle Einzelfälle ein. Sämtliche von uns zur Verfügung gestellten oder zusammengetragenen Informationen werden ohne Gewährleistung zur Verfügung gestellt. Bei juristischen oder steuerrechtlichen Fragen wenden Sie sich bitte an Ihren Rechtsanwalt oder Steuerberater.

Was ist eine Technische Sicherheitseinrichtung (TSE)?

Eine Technische Sicherheitseinrichtung (TSE) wird im Rahmen der Kassensicherheitsverordnung (KassenSichV) als Manipulationsschutz eingesetzt. Dabei werden aufzeichnungspflichtige Geschäftsvorfalle signiert um eine nachträgliche Manipulation zu verhindern.

Wir arbeiten mit Fiskaltrust, dem führenden Anbieter für Fiskalisierungslösungen in Österreich, Deutschland und Frankreich, zusammen. Fiskaltrust ist seinerseits Partner von Audicon, dem Hersteller der Prüfsoftware für die deutschen Finanzbehörden. Dadurch wird eine rechtskonforme Erfüllung der KassenSichV mit den unzähligen Berichtsanforderungen sichergestellt.

Benötigt meine Hotelsoftware eine TSE?

Ja, wenn Sie mit der Hotelsoftware aufzeichnungspflichtige Daten erfassen, dann müssen diese mittels einer TSE abgesichert werden.

“Kassenfunktion haben elektronische Aufzeichnungssysteme dann, wenn diese der Erfassung und Abwicklung von zumindest teilweise baren Zahlungsvorgängen dienen können. Dies gilt auch für vergleichbare elektronische, vor Ort genutzte Zahlungsformen (Elektronisches Geld wie z. B. Geldkarte, virtuelle Konten oder Bonuspunktesysteme von Drittanbietern) sowie an Geldes statt angenommener Gutscheine, Guthabenkarten, Bons und dergleichen.” Quelle: 1.2 Abs. 1 AEAO zu § 146a AO

Sofern Sie das Modul zur Erfassung von (zumindest teilweise baren) Zahlungen in der Hotelsoftware aktiviert haben, müssen alle aufzeichnungspflichtigen Vorgänge mit einer TSE abgesichert werden.

Warum benötige ich eine Cloud-TSE?

Web-Anwendungen (oder auch App-Kassen) sind zwingend auf die Verwendung einer Cloud-TSE angewiesen, da kein Zugriff auf lokal installierte Hardware möglich ist und meist ein geräteunabhängiges Arbeiten der Kunden gewünscht wird.

Um das ganze noch komplizierter zu machen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Februar die Anforderungen an die Zertifizierung von cloud-basierten TSEs verschärft. Trotz dieser kurzfristigen Änderung wurden die Fristen seitens der Finanzämter leider nicht verlängert.

Müssen wirklich so viele Informationen auf dem Beleg aufgedruckt werden?

Ja, einzig der QR-Code ist optional, vereinfacht aber eine etwaige Prüfung durch das Finanzamt und wird deshalb empfohlen.

Viele Branchenverbände fordern jedoch eine Vereinfachung des Belegs, da dieser momentan viele Informationen mehrfach (in maschinenlesbarem und in für Menschen lesbarem Format) enthält.

Muss ich den Beleg wirklich ausdrucken?

Für jeden Geschäftsvorfall gilt eine Belegausgabepflicht, diese kann jedoch auch in elektronische Form (z.B. per E-Mail als PDF-Datei). Bei einer elektronischen Übermittlung kann der Papierausdruck also entfallen. Für die elektronische Übermittlung ist jedoch die vorherige Zustimmung des Gastes notwendig.

Warum ist der Umgebungsschutz bei der Swissbit Cloud TSE technisch unmöglich?

Die Gründe hierfür sind vielfältig, das Hauptproblem ist die Tatsache, dass zwingend eine TPM (Trusted Platform Module) - vereinfacht gesprochen - ein spezieller Hardwarebauteil, benötigt wird. Dadurch ist der Betrieb auf Cloud-Servern nicht möglich, sondern man benötigt Server mit ganz bestimmten Hardwareanforderungen.

Diese müssen zwingend in der gleichen Betriebsumgebung (in der Regel - gleiches Rechenzentrum) stehen wie die Cloud-Server auf denen die Anwendung läuft. Das ist bei vielen Anbietern schon mal nicht möglich, da die Cloud-Server häufig getrennt von Bare-Metal-Servern betrieben werden. Für die Buchführung ist auch zwingend ein Serverstandort in Deutschland vorgeschrieben, dadurch wird die Auswahlmöglichkeit der möglichen Anbieter noch kleiner. Für viele Cloud-Software-Anbieter wäre hier ein kompletter Umzug der Anwendung notwendig. Dieser wäre mit massiven Kosten und evtl. Komplikationen mit anderen Anforderungen verbunden.

Sämtliche Peripherie-Komponenten (Netzwerkkarte, Maus, Tastatur, KVM-Konsole, ...) müssen einzeln geprüft wird. Einzeln bedeutet hier wirklich das einzelne Gerät und nicht das Modell. Dadurch scheidet die Möglichkeit ienen Server zu mieten aus, sondern man muss einen eigenen Server in einem fremdem Rechenzentrum betreiben ("Co-Location"). Die Co-Location-Server befinden sich aber (fast) immer in physisch getrennten Rechenzentren von den Cloud-Servern.

Um alle Peripherie-Komponenten zu überprüfen muss man aber die Server selbst vor Ort physisch installieren. Das ist in Corona-Zeiten mit Quarantäne bei Grenzübertritten, aber nicht ohne weiteres möglich. Auch bei einem Ausfall, welcher einen physischen Austausch von Komponenten erfordert, würde der Ausfall mehrere Tage dauern, weil unser Techniker nach Einreise womöglich erstmal in Quarantäne müsste.

Um auch im Falle eines Hardware-Defekts auf andere Hardware ausweichen zu können müssten alle physischen Server mehrfach vorgehalten werden. Durch die Vorschrift der gleichen Betriebsumgebung wäre das aber bei einem Rechenzentrumsbrand (wie kürzlich bei OVH in Straßburg) aber mit einem längeren Totalausfall der TSE (und möglicherweise sogar einem erheblichen Datenverlust) verbunden.

Weiters wird gefordert, dass das Betriebssystem jede Nacht (sobald die Patches zur Verfügung stehen) automatisch aktualisiert werden, und bei Bedarf automatisch neugestartet, werden muss. Da aber auch BIOS/UEFI-Kennwörter vorgeschrieben sind - müsste sich jede Nacht ein Mitarbeiter um 2 oder 3 Uhr in der Früh mit allen Servern einzeln verbinden um das Kennwort neu einzugeben. Bis die Kennwörter manuell eingegeben wurden, kommt es somit jede Nacht zu einem Ausfall aller TSEs.

Darüber hinaus gibt es noch diverse andere Anforderungen die nicht oder nur schwer umzuestezen sind.

Selbst wenn man es schaffen wrüde die Anforderungen umzusetzen, würden die Kosten für den Betrieb der SMAERS-Komponente (sichers Kommunikationsmodul der Cloud-TSE) die Kosten der Hotelsoftware selbst übersteigen. Eine Verwendung der Swissbit Cloud TSE ist somit zum gegenwärtigen Zeitpunkt technisch und wirtschaftlich unmöglich.

Last updated