Die Kassensicherungsverordnung (KassenSichV) tritt mit dem 1. Januar 2020 in Kraft und mehr als drei Millionen Point of Sales (PoS) werden davon betroffen sein. Ab diesem Zeitpunkt müssen Registrierkassen in Deutschland mit einer zertifizierten technischen Sicherheitseinrichtung (TSE) ausgestattet sein.
Eine TSE dient dazu, der nachträglichen Manipulation der Grundaufzeichnungen und in weiterer Folge potentieller Steuerhinterziehung, einen Riegel vorzuschieben.
Durch die Anforderungen an die Zertifizierung einer TSE muss das Aufzeichnungssystem nur an eine TSE angepasst werden. Eine Zertifizierung des Aufzeichnungssystemes selbst ist nicht erforderlich.
Obwohl die KassenSichV vorsieht, dass bestehende Registrierkassen und Kassensysteme bis spätestens 31. Dezember 2019 um- bzw. aufgerüstet werden müssen, gibt es zum heutigen Zeitpunkt keine Lösung auf dem Markt, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert wurde. Durch Verzögerungen und Änderungen der Anforderungen, welche durch technische Richtlinien sowie Schutzprofile durch das BSI definiert werden, ist mit einer vollständig zertifizierten TSE in diesem Jahr nicht mehr zu rechnen. Die Folge: Das BSI wird daher für TSE-Hersteller eine vorläufige Freigabe aussprechen, um die Aufzeichnungssysteme rechtzeitig mit den Sicherheitseinrichtungen ausliefern zu können. Aus gut informierten Kreisen ist auch zu hören, dass Ende September 2019 eine Übergangsfrist verlautbart wird. In dieser Zeit gilt Straffreiheit falls man noch nicht ausreichend abgesichert ist. Dennoch müssen die Steuerpflichtigen zum 1. Januar zumindest nachweisen können, sich um die Umsetzung der KassenSichV gekümmert zu haben; kurzum müssen sie ihren Kassenhersteller mit der Installation einer TSE beauftragt haben.
Grundsätzlich kann sich der Händler entscheiden, ob er eine Cloud-Lösung, oder eine Hardwarelösung zur Umsetzung der KassenSichV verwenden möchte. Beide haben gemeinsam, dass aktuell lediglich eine vorläufige Freigabe der TSE und der Secure Module Application (SMA) durch das BSI möglich ist. Eine vollständige Zertifizierung ist derzeit nicht möglich, da die Spezifikationen für den Crypto Service Provider (CSP) gerade überarbeitet werden. Die vorläufige Freigabe durch das BSI ist auf ein Jahr befristet und kann um ein weiteres verlängert werden. In diesem Zeitraum muss die Adaption sowie die Zertifizierung der CSP erfolgen. Ebenso müssen TSE und SMA erneut zertifiziert werden.
Bei einer reinen Hardware-Lösung besteht daher das Risiko, dass die gesamte Hardware innerhalb dieser zwei Jahre getauscht werden muss. Ist eine TSE einmal vollständig zertifiziert (zwischen 2020 und 2021), so gilt die Zertifizierung für fünf Jahre; danach muss die TSE erneut zertifiziert werden. Sind in der Zwischenzeit Adaptionen notwendig, so müssen bestehende Hardware-TSEs nach fünf Jahren gewechselt werden. Es ist also bereits absehbar, dass Hardware-TSEs hohe Kosten im Field Management verursachen werden.
Davon ist eine cloud-TSE nicht betroffen, da die Umsetzung sowie Zertifizierung nur die Komponenten in der fiskaly-cloud betreffen, nicht jedoch die Komponenten beim endgültig Steuerpflichtigen vor Ort. Im schlimmsten Fall, sofern sich etwas an den Schnittstellen ändern sollte, ist ein Software-Update erforderlich.
Schnittstellenbeschreibungen zur Anbindung von cloudbasierten Systemen sind bereits im Internet verfügbar. So bietet der TSE-Hersteller fiskaly auf der Website kassensichv.io bereits eine ausführliche Schnittstellenbeschreibung sowie ein Testsystem an. Zur einfachen Anbindung stellt fiskaly Open Source Software Development Kits (SDK) für verschiedene Plattformen und Sprachen auf github.com/fiskaly zur Verfügung. Die SDKs stellen eine einfache Integration der zertifizierten SMA-Komponente direkt an den Eingabegeräten zur Verfügung. Zusätzlich sind auch Kompensationsmechanismen für Netzwerkausfälle oder ähnliche Störungen enthalten.
