Seit Ein­füh­rung der Regis­trier­kas­sen­pflicht haben wir regel­mä­ßig über Erleich­te­run­gen, Probleme und Ver­schär­fun­gen im Zusam­men­hang mit diesem Thema berich­tet (zuletzt siehe KI 10/16). Spä­tes­tens bis Ende März 2017 besteht wiederum Hand­lungs­be­darf, da ab 1. April 2017 die Regis­trier­kas­sen mit einer beson­de­ren Sicher­heits­ein­rich­tung aus­ge­stat­tet sein müssen, um Mani­pu­la­tio­nen zu ver­hin­dern. Dies soll ins­be­son­de­re durch die kryp­to­gra­phi­sche Signatur jedes Bar­um­sat­zes und durch die Nach­prüf­bar­keit in Form der Erfas­sung der Signatur auf den ein­zel­nen Belegen gewähr­leis­tet werden.

Die Sicher­heits­ein­rich­tung jeder Regis­trier­kas­se muss bis spä­tes­tens Ende März 2017 mit fol­gen­den 5 Schrit­ten in Betrieb genommen werden. In Abhän­gig­keit von der Art der Regis­trier­kas­sen­lö­sung können diese Schritte auch auto­ma­tisch durch­ge­führt werden.

1. Beschaf­fung der Signa­tur­kar­te bei einem Ver­trau­ens­diens­te­an­bie­ter (derzeit A‑Trust: https://www.a‑trust.at/, e‑commerce moni­to­ring: http://www.a‑cert.at/ oder Pri­me­Sign: https://www.prime-sign.com/).
2. Initia­li­sie­rung der mani­pu­la­ti­ons­si­che­ren Registrierkasse.
3. Erstel­lung des Startbelegs.
4. Regis­trie­rung der beschaff­ten Signa­tur­kar­te und mani­pu­la­ti­ons­si­che­ren Regis­trier­kas­se über FinanzOnline.
5. Prüfung des Start­be­legs mittels der Prüf-App “BMF Belegcheck”.

Die Initia­li­sie­rung der mani­pu­la­ti­ons­si­che­ren Regis­trier­kas­se als Schritt 2 erfolgt zumeist in Form eines Soft­ware­up­dates durch den Kas­sen­her­stel­ler oder ‑händler. Davon umfasst ist auch die Her­stel­lung der Ver­bin­dung zwischen Regis­trier­kas­se und Signa­tur­kar­te. Da im Zuge der Initia­li­sie­rung der mani­pu­la­ti­ons­si­che­ren Regis­trier­kas­se alle in der Regis­trier­kas­se gespei­cher­ten Auf­zeich­nun­gen gelöscht werden, ist es wichtig, vor diesem Schritt die bis dahin auf­ge­zeich­ne­ten Geschäfts­fäl­le geson­dert abzuspeichern.

Der obli­ga­to­ri­sche Start­be­leg (Schritt 3) wird idea­ler­wei­se in Form eines Null­be­legs (Geschäfts­fall mit dem Betrag 0) unmit­tel­bar nach der Initia­li­sie­rung der mani­pu­la­ti­ons­si­che­ren Regis­trier­kas­se erstellt.

In Schritt 4 sind die Signa­tur­kar­ten und Regis­trier­kas­sen unab­hän­gig von­ein­an­der über Finan­zOn­line zu regis­trie­ren. Dazu werden in Finan­zOn­line Ein­ga­be­mas­ken und elek­tro­ni­sche Über­mitt­lungs­mög­lich­kei­ten zur Ver­fü­gung gestellt. Sehr einfach geht dies, wenn die Regis­trier­kas­se mit Inter­net­zu­gang und ent­spre­chen­den Soft­ware­kom­po­nen­ten aus­ge­stat­tet ist und das Unter­neh­men über einen eigenen Finan­zOn­line Zugang verfügt. Via Ein­ga­be­mas­ke in Finan­zOn­line müssen pro Signa­tur­kar­te die Seri­en­num­mer des Signatur- bzw. Sie­gel­zer­ti­fi­kats sowie der Name des Ver­trau­ens­diens­te­an­bie­ters ange­ge­ben werden. Pro Regis­trier­kas­se sind die ange­for­der­ten Infor­ma­tio­nen die Kas­sen­iden­ti­fi­ka­ti­ons­num­mer und der AES-Schlüs­sel (AES steht für Advanced Encryp­ti­on Standard). Die frei zu ver­ge­ben­de Kas­sen­iden­ti­fi­ka­ti­ons­num­mer kenn­zeich­net eine Regis­trier­kas­se inner­halb eines Unter­neh­mens – sie muss daher ein­zig­ar­tig sein. Der AES-Schlüs­sel kann vom Unter­neh­men frei gewählt werden bzw. wird er in vielen Fällen von der Regis­trier­kas­se selbst erzeugt. Er wird für die Anony­mi­sie­rung des Umsatz­zäh­lers in der Regis­trier­kas­se benötigt, da damit belie­bi­ge Daten unlesbar und bei Bedarf wieder lesbar gemacht werden können.

In Schritt 5 wird bei der Start­be­leg­prü­fung mithilfe der BMF Beleg­check-App fest­ge­stellt, ob die Inbe­trieb­nah­me der Sicher­heits­ein­rich­tung der Regis­trier­kas­se ord­nungs­ge­mäß durch­ge­führt wurde. Vor der ersten Ver­wen­dung muss die BMF Beleg­check-App jedoch durch Eingabe des Authen­ti­fi­zie­rungs­codes aus der Finan­zOn­line-Regis­trie­rung (der Regis­trier­kas­se) frei­ge­schal­tet werden. Die Prüfung des Start­be­legs mittels App hat bis spä­tes­tens 31. März 2017 zu erfolgen. Bei Inbe­trieb­nah­me einer Regis­trier­kas­se ab dem 1. April 2017 darf zwischen der Regis­trie­rung über Finan­zOn­line und der Prüfung des Start­be­legs nur eine Woche liegen. Der Start­be­leg muss überdies – ent­spre­chend BAO-Anfor­de­run­gen – zumin­dest für 7 Jahre auf­be­wahrt werden.

Für den lau­fen­den Betrieb der mit der Sicher­heits­ein­rich­tung ver­se­he­nen Regis­trier­kas­se sind noch zwei Punkte zu beachten. Das Daten­er­fas­sungs­pro­to­koll war schon bisher zumin­dest vier­tel­jähr­lich auf einem elek­tro­ni­schen externen Daten­trä­ger zu sichern und für zumin­dest 7 Jahre auf­zu­be­wah­ren. Ab 1. April 2017 muss es überdies jeder­zeit auf einen externen Daten­trä­ger expor­tiert werden können und z.B. auf Ver­lan­gen einem Organ der Abga­ben­be­hör­de bereit­ge­stellt werden. Im Daten­er­fas­sungs­pro­to­koll wird jeder mit der Regis­trier­kas­se zu erfas­sen­de Bar­um­satz (auch Trai­nings- und Stor­no­bu­chun­gen) abge­spei­chert. Bei tech­ni­schem oder fak­ti­schem Ausfall der Regis­trier­kas­se hat eine Meldung an die Finanz zu erfolgen. So müssen bei einem 48 Stunden über­stei­gen­den Ausfall der Signa­tur­kar­te grund­sätz­lich Beginn und Ende des Ausfalls sowie eine all­fäl­li­ge Außer­be­trieb­nah­me (der Signa­tur­kar­te bzw. der Regis­trier­kas­se) binnen einer Woche über Finan­zOn­line gemeldet werden.

Bild: © Eisen­hans — Fotolia