Die Ein­füh­rung der Regis­trier­kas­sen­pflicht hat gerade bei kleinen Unter­neh­men und „Selb­stän­di­gen“ für große Auf­re­gung gesorgt. Die Umstel­lung von Abläufen im Unter­neh­men ist aller­dings noch nicht vorbei, da spä­tes­tens ab 1. April 2017 die Regis­trier­kas­sen auch beson­de­re Sicher­heits­stan­dards erfüllen müssen. Das BMF hat die Details dazu in der Regis­trier­kas­sen­si­cher­heits­ver­ord­nung (RKSV) und in dem „Erlass zur Einzelaufzeichnungs‑, Regis­trier­kas­sen- und Bele­ger­tei­lungs­pflicht“ ver­öf­fent­licht wie auch häufige Fragen zur Sicher­heits­ein­rich­tung in Regis­trier­kas­sen auf seiner Homepage zusammengefasst.

Bereits seit 1. Mai 2016 bzw. 1. Juli 2016 müssen der Regis­trier­kas­sen­pflicht unter­lie­gen­de Unter­neh­mer ihre Bar­ein­nah­men mit Regis­trier­kas­sen erfassen, welche den Vorgaben der Kas­sen­richt­li­nie 2012 ent­spre­chen und auch der Bele­ger­tei­lungs­pflicht nach­kom­men. Durch die sicher­heits­tech­ni­schen Anfor­de­run­gen soll Mani­pu­la­ti­on ver­hin­dert werden und die Bekämp­fung von Schwarz­um­sät­zen und Abga­ben­ver­kür­zun­gen erreicht werden. Ins­be­son­de­re die Unver­än­der­bar­keit der Auf­zeich­nun­gen durch kryp­to­gra­phi­sche Signatur jedes Bar­um­sat­zes und die Nach­prüf­bar­keit in Form der Erfas­sung der Signatur auf den ein­zel­nen Belegen sollen Mani­pu­la­ti­on erschweren.

Tech­nisch aus­ge­drückt verbirgt sich hinter dem für den Kunden auf dem Beleg sicht­ba­ren QR-Code (QR steht für Quick Response) bzw. in einem ent­spre­chen­den Link die indi­vi­du­el­le Signatur des jewei­li­gen Unter­neh­mers, mit welcher die Bar­um­sät­ze der Regis­trier­kas­se in chro­no­lo­gi­scher Rei­hen­fol­ge ver­ket­tet werden. Der Kunde erkennt also am QR-Code, dass die Regis­trier­kas­se mit einer Sicher­heits­ein­rich­tung aus­ge­stat­tet ist. Wird die chro­no­lo­gi­sche Ver­ket­tung der Bar­um­sät­ze unter­bro­chen, so ist dies nach­voll­zieh­bar und somit auch eine etwaige dahin­ter­ste­hen­de Manipulation.

Die wich­tigs­ten Bestand­tei­le einer die sicher­heits­tech­ni­schen Anfor­de­run­gen erfül­len­den Regis­trier­kas­se sind das Daten­er­fas­sungs­pro­to­koll, die Signatur- bzw. Sie­gel­er­stel­lungs­ein­heit (Signa­tur­kar­te), der Sum­men­spei­cher und der Ver­schlüs­se­lungs­al­go­rith­mus (Advanced Encryp­ti­on Standard (AES) 256). Jeder Bar­um­satz ist mit der Regis­trier­kas­se zu erfassen und wird im Daten­er­fas­sungs­pro­to­koll (Kas­sen­jour­nal) abge­spei­chert – dies gilt auch für Trai­nings- und Stor­no­bu­chun­gen. Das Daten­er­fas­sungs­pro­to­koll ist schon jetzt zumin­dest vier­tel­jähr­lich auf einem elek­tro­ni­schen externen Daten­trä­ger zu sichern und auf­zu­be­wah­ren. Ab 1. April 2017 muss es überdies jeder­zeit auf einen externen Daten­trä­ger expor­tiert werden können und z.B. auf Ver­lan­gen einem Organ der Abga­ben­be­hör­de bereit­ge­stellt werden. Kern­ele­ment der Regis­trier­kas­se ist die Signa­tur­kar­te, die mit einem per­sön­li­chen Stempel des Unter­neh­mers ver­gleich­bar ist. Die Signa­tur­kar­te signiert mit Hilfe eines auf ihr gespei­cher­ten, dem Unter­neh­mer zuge­ord­ne­ten privaten Schlüs­sels, elek­tro­nisch Daten und bestä­tigt die Mani­pu­la­ti­ons­si­cher­heit der Regis­trier­kas­se. Der Umsatz­zäh­ler ist wie das Daten­er­fas­sungs­pro­to­koll ein­deu­tig der Regis­trier­kas­se zuge­ord­net und summiert alle nach Steu­er­sät­zen auf­ge­schlüs­sel­ten Beträge eines zu signie­ren­den Belegs mit den Brut­to­wer­ten vor­zei­chen­ge­treu auf. Dies umfasst auch frei­wil­lig signier­te Belege (z.B. Kas­sen­ent­nah­men) und Stor­no­bu­chun­gen (Minus­vor­zei­chen!), nicht aber Trainingsbuchungen.

Für den Unter­neh­mer sind zur Inbe­trieb­nah­me der Sicher­heits­ein­rich­tung in seiner Regis­trier­kas­se grund­sätz­lich folgende Schritte notwendig:

• Beschaf­fung der Signa­tur­kar­te bei einem Ver­trau­ens­diens­te­an­bie­ter (derzeit A‑Trust oder Global Trust),
• Initia­li­sie­rung der mani­pu­la­ti­ons­si­che­ren Registrierkasse,
• Erstel­lung des Start­be­legs,
• Regis­trie­rung der beschaff­ten Signa­tur­kar­te und mani­pu­la­ti­ons­si­che­ren Regis­trier­kas­se über Finan­zOn­line und
• Prüfung des Start­be­legs mittels der Prüf-App „BMF Beleg­check”. Die App muss vor der ersten Ver­wen­dung durch Eingabe des Authen­ti­fi­zie­rungs­codes aus der Finan­zOn­line-Regis­trie­rung (der Regis­trier­kas­se) frei­ge­schal­tet werden.

Die Initia­li­sie­rung der Regis­trier­kas­se erfolgt zumeist über ein Soft­ware­up­date, im Zuge dessen auch die Ver­bin­dung zwischen Regis­trier­kas­se und Signa­tur­kar­te her­ge­stellt wird. Da bei der Initia­li­sie­rung der mani­pu­la­ti­ons­si­che­ren Regis­trier­kas­se alle in der Regis­trier­kas­se gespei­cher­ten Auf­zeich­nun­gen gelöscht werden, müssen zuvor auf­ge­zeich­ne­te Geschäfts­fäl­le geson­dert abge­spei­chert werden. Mithilfe der BMF-Beleg­check-App kann der Start­be­leg über­prüft werden und sicher­ge­stellt werden, dass die Regis­trie­rung erfolg­reich war. Diese Prüfung hat bis spä­tes­tens 31. März 2017 zu erfolgen – bei Inbe­trieb­nah­me einer Regis­trier­kas­se ab dem 1. April 2017 darf zwischen Regis­trie­rung über Finan­zOn­line und der Prüfung des Start­be­legs nur noch eine Woche liegen. Während des lau­fen­den Betriebs der Regis­trier­kas­se sind jeweils Monats- und Jah­res­be­le­ge zu erstel­len und elek­tro­nisch zu signie­ren – dabei handelt es sich um zu signie­ren­de Kon­troll­be­le­ge mit dem Betrag Null (0 €). Der Monats­be­leg für Dezember ist gleich­zei­tig der Jah­res­be­leg (es gilt übrigens auch bei abwei­chen­dem Wirt­schafts­jahr das Kalen­der­jahr). Der Beleg muss zusätz­lich aus­ge­druckt, auf­be­wahrt und mit der App geprüft werden.

Da nur eine funk­tio­nie­ren­de Regis­trier­kas­se als Mani­pu­la­ti­ons­schutz dient, müssen bei tech­ni­schem bzw. fak­ti­schem Ausfall (z.B. durch Dieb­stahl) der Regis­trier­kas­se Maß­nah­men ergrif­fen werden bzw. Mel­dun­gen an die Finanz erfolgen. Grund­sätz­lich gilt hier, dass bei einem 48 Stunden über­stei­gen­den Ausfall der Signa­tur­kar­te Beginn und Ende des Ausfalls sowie eine all­fäl­li­ge Außer­be­trieb­nah­me (der Signa­tur­kar­te bzw. der Regis­trier­kas­se) binnen einer Woche über Finan­zOn­line gemeldet werden müssen. Kurz­fris­ti­ge Lösungs­mög­lich­kei­ten sind die Erfas­sung der Geschäfts­fäl­le auf einer anderen Regis­trier­kas­se oder die manuelle Bele­ger­stel­lung. Wichtig ist bei der manu­el­len Bele­ger­stel­lung, dass vor der Ver­wen­dung der repa­rier­ten Regis­trier­kas­se sämt­li­che Geschäfts­vor­fäl­le im Aus­falls­zeit­raum nach­er­fasst werden müssen. Es genügt dann aller­dings die Bezug­nah­me auf die Beleg­num­mer des hän­di­schen Belegs. Die hän­di­schen Auf­zeich­nun­gen sind überdies auf­zu­be­wah­ren. Diese Maß­nah­men sind nicht not­wen­dig, wenn die Regis­trier­kas­se geplant – bei­spiels­wei­se saisonal – für einen längeren Zeitraum außer Betrieb genommen wird. Es muss dann aller­dings ein signier­ter Schluss­be­leg erstellt, aus­ge­druckt und auf­be­wahrt werden. Ebenso ist das Daten­er­fas­sungs­pro­to­koll ent­spre­chend aus­zu­le­sen und aufzubewahren.

Die mit der Umrüs­tung auf das Sicher­heits­sys­tem ver­bun­de­nen Kosten werden laut Info des BMF für eine „einfache“ Regis­trier­kas­se auf vor­aus­sicht­lich 400 bis 1.000 € geschätzt, wobei Regis­trier­kas­sen basie­rend auf Smart­pho­ne- und Cloud­lö­sung güns­ti­ger sein können. Neben einer Prämie von 200 € für Anschaffung/Umrüstung sind auch die Anschaf­fungs­kos­ten als Betriebs­aus­ga­ben steu­er­lich abzugsfähig.

Bild: © ki33 — Fotolia