Neues zur „Cloud-Kasse“: Erste Lösung zertifiziert

image description

Dr. Axel-Michael Wagner

Rechtsanwalt
image description

Stefan Groß

Steuerberater und Certified Information Systems Auditor (CISA)
Nichtbeanstandungsregel läuft für Cloud-basierte TSE bis spätestens 31.03.2021 ab

Seit dem 1.10.2020 muss jedes in Deutschland betriebene Kassensystem zu jedem Kassenvorgang Datensätze in standardisiertem Format generieren, die dann durch eine BSI-zertifizierte technische Sicherheitseinrichtung (TSE) signiert, mit einem Zeitstempel versehen und abgespeichert werden. Die so durch Protokolldaten angereicherten und damit „abgesicherten“ Verlaufsdaten des Kassensystems können dann bei einer Kassennachschau oder bei steuerlichen Betriebsprüfungen insbesondere unter Verwendung einer normierten Datenschnittstelle (DSFinV-K) nachgeprüft werden, um Datenlücken und andere Inkonsistenzen aufzuspüren. Parallel werden die von der TSE angereicherten Daten an das Kassensystem „zurückgespiegelt“ und einige Ausgaben der TSE (insbesondere die Signatur) sind auf dem vom Kassensystem ausgegebenen Beleg (Bon) aufzuführen. Die TSE wird vom eigentlichen Kassensystem über eine API-Schnittstelle („Application Programming Interface“) angesprochen. Für cloudbasierte Systeme gilt eine Nichtbeanstandungsregel bis längstens 31.03.2021, wenn der Einbau einer Cloud-basierten TSE vorgesehen, eine solche jedoch nachweislich noch nicht verfügbar ist, auch diese Schonfrist scheint abzulaufen.

Erste Cloud-basierte TSE zertifiziert

Das BSI hat nun erstmals eine Cloud-basierte TSE zertifiziert (Anbieter: Deutsche Fiskal / D-TRUST). Weitere werden folgen. Bei einer TSE in der Cloud werden die vom Kassensystem lokal generierten Vorgangsdaten über eine gesicherte Verbindung an einen Server des Anbieters in der Cloud übertragen, der dann die TSE-Funktionalität online bereitstellt (als „software as a service“-Dienst, SaaS) und üblicherweise die dort generierten Daten auch gleich archiviert und für den Datenzugriff der Finanzverwaltung gemäß DSFinV-K bereithält. Eine solche Cloud-basierte TSE kann die Datenströme mehrerer Kassensysteme simultan absichern und aufzeichnen. Aufseiten des Kassensystems vor Ort ist dann (lediglich) eine zertifizierte „Sicherheitsmodulanwendung“ („security module application for electronic record-keeping systems“ – SMAERS) notwendig, die den „vertrauenswürdigen“ Endpunkt des Datenstroms auf der Client-Seite bildet. Auf der Server-Seite kommt in der Cloud die TSE als „fernverbundenes Hardware-Sicherheitsmodul“ zur Anwendung, um einen TSE-Dienst zur Verfügung stellen zu können („cryptographic service provider“ – CSP). Während auf der Client-Seite die Zertifizierungsanforderungen so gering sind, dass die Sicherheitsmodulanwendung auch vollständig in Software-Form implementiert werden kann, muss auf der Server-Seite eine hardware-basierte Sicherheitskomponente eingebunden werden.

Cloud-Kassen als Rundum-Sorglos-Paket?

Eine solche Cloud-basierte Lösung vereinfacht den Implementations- und Pflegeaufwand aufseiten des Betreibers des Kassensystems erheblich. Allerdings muss die Kassensystem-Software vor Ort die SMAERS-Komponente einbinden, um über diesen client-seitigen Endpunkt der gesicherten „Datenstrecke“ die Vorgangsdaten an den SaaS-Dienst senden zu können. Die Gesetzmäßigkeit des TSE-Dienstes wird dann (alleine) vom TSE-Anbieter sichergestellt, d. h. dieser ist zentral dafür verantwortlich, dass die TSE den jeweils aktuellen Vorgaben gemäß funktioniert und die archivierten Daten sowie deren Bereitstellung im Rahmen steuerlicher Prüfungen den jeweils aktuellen Anforderungen entsprechen. Das klingt für den Betreiber des Kassensystems, soweit dieses über die genannte SMAERS-Komponente verfügt, nach einem „Rundum-Sorglos-Paket“: Wenn der Kassennachschau- oder Betriebsprüfer erscheint, ist der TSE-Anbieter dafür verantwortlich, diesem den gewünschten Zugriff auf die Daten zur Verfügung zu stellen. Ganz so einfach ist es aber nicht. Nach § 146a AO muss schon das „Aufzeichnungssystem“ (also das Kassensystem selbst, das dann in einem weiteren Schritt durch die TSE abgesichert wird) so gestaltet sein, dass „jeder aufzeichnungspflichtige Geschäftsvorfall und andere Vorgang einzeln, vollständig, richtig, zeitgerecht und geordnet aufzeichnet“ wird.

GoBD und Verfahrensdokumentation sind Pflicht

Hinzu kommen die Vorgaben der GoBD zur „Aufbewahrung von Unterlagen zu Geschäftsvorfällen und von solchen Unterlagen, die zum Verständnis und zur Überprüfung der für die Besteuerung gesetzlich vorgeschriebenen Aufzeichnungen von Bedeutung sind“. Mit anderen Worten: Zwar muss das Kassensystem selbst nicht „zertifiziert“ werden in dem Sinne, in dem die TSE technisch vom BSI zu zertifizieren ist. Gleichwohl ist eine steuerliche Verfahrensdokumentation, die den Weg der Kassen-Vorgangsdaten von deren ursprünglicher Entstehung bis hin zum revisionssicheren Archiv umfasst, unumgänglich. Nicht nur anhand der „Ergebnisdaten“ im Archiv, sondern auch anhand der Verfahrensdokumentation muss die Finanzverwaltung nachvollziehen können, dass die Anforderungen der GoBD an die digitale Aufzeichnung von Geschäftsvorfällen gewahrt sind. Hier spielt zwar eine eigene Verfahrensdokumentation des Cloud-TSE-Anbieters zu den Vorgängen in dessen Sphäre – die dann Teil der Verfahrensdokumentation des Kassensystem-Betreibers wird – eine große Rolle, aber auch die Vorgänge bis zum Leistungsübergabepunkt an den Cloud-TSE-Anbieter und die Übernahme der von dort zurückgemeldeten Daten in den ausgedruckten oder elektronischen (Kunden-) Beleg sind zu dokumentieren. In der Dokumentation ist auch zu beschreiben, wie die Kassenvorgänge bei einem Ausfall bzw. bei Nichterreichbarkeit der Cloud-TSE temporär lokal abgewickelt werden und dennoch im Nachschau- bzw. Prüfungsfall vollständige Archivdaten sichergestellt werden. Dies kann einen nicht unerheblichen Dokumentationsaufwand aufseiten des Betreibers des Kassensystems erfordern, der zwar durch die Verwendung eines Cloud-Dienstleister meist „schlanker“ ausfallen wird, aber dennoch im Grundsatz auch bei dieser Lösung unumgänglich ist.

Auf den Einzelfall kommt es an

Schließlich kann es aus verschiedenen Gründen auch die Notwendigkeit geben, vom beschriebenen Standard-Prozedere abzuweichen. So kann sich der Betreiber der Kassensysteme entschließen, die Daten nicht vom Cloud-TSE-Anbieter archivieren zu lassen und von dort der Finanzverwaltung im Rahmen einer Nachschau bzw. Prüfung zur Verfügung zu stellen, sondern hierfür eigene Systeme einzusetzen. Die Vorgangsdaten würden also, vereinfacht gesagt, als fortlaufender Strom beim Cloud-TSE-Anbieter nur signiert und zeitgestempelt, aber dort nicht weiter aufbewahrt. Ein Grund hierfür kann der Wunsch sein, aus Geheimhaltungsgründen nicht die gesamte „Kassenhistorie“ bei einem Dritten zu speichern, könnten doch aus diesen Daten verschiedenste wettbewerbsrelevante Erkenntnisse gewonnen werden. In diesem Fall muss der Betreiber des Kassensystems die Einhaltung der für die Archivierung der Daten und für den späteren Datenzugriff der Finanzverwaltung geltenden Vorgaben – die sich wiederum vornehmlich aus den GoBD ergeben – selbst sicherstellen und diese Vorgänge entsprechend selbst dokumentieren. Die drei in § 146a AO genannten Komponenten der TSE liegen dann bei unterschiedlichen Verantwortlichen, nämlich das „Sicherheitsmodul“ beim Cloud-TSE-Anbieter und das „Speichermedium“ (für die Aufzeichnungen des Sicherheitsmoduls) und die einheitliche digitale Schnittstelle (zum Auslesen der Daten im Speichermedium) beim Betreiber des Kassensystems. Ob diese Konstellation rechtlich zulässig ist, ist bislang noch nicht geklärt.

Unsere Prüfungs- und Beratungsleistungen zum Thema Cloud-Kassen

  • Begutachtung von Cloud-Kassensystemen im Hinblick auf die Einhaltung steuerrechtlicher Vorgaben

  • Prüfung der GoBD-Konformität beim Einsatz von cloudbasierten Kassensystemen

  • Prüfung bzw. Begleitung bei der Erstellung einer Verfahrensdokumentation

Hashtags: 

#cloudkassen #TSEzertifiziert #Verfahrensdokumentation #deutschefiskal #Dtrust #bundesdruckerei #GoBD