Hinweise zum Antrag auf Fristverlängerung beim Einsatz einer Cloud-TSE

Vorab: Die nachfolgenden Hinweise sind gedacht für Unternehmen, die ein elektronisches Kassensystem mit Cloud-TSE verwenden oder planen eine solche Anschaffung vorzunehmen. Unternehmen, die eine offene Ladenkasse oder bereits jetzt ein elektronisches Kassensystem mit Hardware-TSE nutzen sind nicht betroffen.

Der DIHK hat gemeinsam mit anderen Verbänden einen Leitfaden erarbeitet, den Unternehmen zur Beantragung einer Fristverlängerung beim Einsatz einer Cloud-TSE gegenüber dem Finanzamt verwenden können. 

Unternehmen, die eine Cloud-TSE zur Absicherung ihrer Kassensysteme verwenden möchten, sollten auf Grund der eingetretenen Verzögerungen bei der Markteinführung von Cloud-TSE-Lösungen umgehend Kontakt mit ihrem Kassen-/TSE-Hersteller und ihrem Steuerberater aufnehmen und das weitere Vorgehen klären.

Bei der Entwicklung und Bereitstellung von Cloud-TSE-Lösungen ist es auf Grund verschärfter Anforderungen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) an die sog. „Anwenderumgebung“ zu Verzögerungen gekommen. Nach verschiedenen Krisengesprächen des DIHK u.a. mit dem Bundeswirtschaftsministerium (BMWi), BSI, Bundesinnenministerium (BMI, Aufsichtsbehörde des BSI) und den Cloud-TSE-Herstellern Bundesdruckerei/D-Trust, Berlin, sowie fiskaly, Wien, ist zu befürchten, dass bis Ablauf der Nichtbeanstandungsfristen der Bundesländer zum 31. März 2021 (Ausnahme: Bremen) keine zertifizierten Cloud-TSE-Lösungen zur Verfügung stehen werden.

Unternehmen, die ihre Kassen(systeme) mit einer Cloud-TSE absichern wollen, sollten daher umgehend Kontakt mit ihrem Cloud-TSE-Hersteller aufnehmen und die konkreten Details bzw. einen Zeitrahmen für die Implementierung abklären.

  • Um zu vermeiden, dass ihre Kassen ohne eine TSE-Absicherung nach dem 31. März 2021 nicht mehr eingesetzt werden dürfen, sollten Unternehmen in diesen Fällen einen Antrag auf Fristverlängerung gem. § 148 AO beim Finanzamt stellen.
    Hierfür hat der DIHK zusammen mit anderen Verbänden eine Praxishilfe für Unternehmen“ (nicht barrierefrei, PDF-Datei · 185 KB) mit weiteren Erläuterungen und Musterformulierungen erarbeitet.
    Da jedoch eine Fristverlängerung eine besondere Härte im konkreten Einzelfall voraussetzt, ist eine individuelle Sachverhaltsbeschreibung erforderlich, wobei die besonderen Umstände im Unternehmen detailliert beschrieben werden müssen. Hierzu ist regelmäßig die Einbindung des steuerlichen Beraters zu empfehlen.
  • Unternehmen, die angesichts der bestehenden Probleme mit der Cloud-TSE nunmehr auf eine Hardware-basierte TSE-Lösung ausweichen wollen, sollten zuvor die festgelegten Vertragsbedingungen mit dem Cloud-TSE-Hersteller abklären und ggf. Rücktrittsklauseln, Schadensersatz-/Ausfallzahlungen etc. prüfen.
    Zugleich sollte ebenfalls ein Antrag nach § 148 AO beim Finanzamt gestellt werden, um rückwirkend den Zeitraum zwischen Auslaufen der Nichtbeanstandungsregelung des Bundesministeriums der Finanzen (BMF) am 30.9.2020 und der tatsächlichen Inbetriebnahme der neuen Hardware-TSE abzusichern.

Hintergrund

Nach Maßgabe des sog. Kassengesetzes sind Unternehmen verpflichtet, ihre elektronischen Registrierkassen(systeme) ab dem 1.1.2020 mit einer zertifizierten technischen Sicherheitseinrichtung (TSE) auszurüsten. Da es jedoch bei der Erarbeitung der entsprechenden technischen Sicherheitsstandards (technische Richtlinien) durch das Bundesamt für Sicherheit in der Informationstechnik zu Verzögerungen kam und entsprechende Sicherheitsmodule nicht rechtzeitig am Markt verfügbar waren, hatte das Bundesministerium der Finanzen (BMF) eine Nichtbeanstandungsregelung bis zum 30. September 2020 getroffen.

  • Hardware-TSE
    Die Hersteller von Hardware-basierten TSE-Modulen konnten seit Frühjahr 2020 sukzessive ihre Produkte auf den Markt bringen, so dass eine flächendeckende Marktabdeckung mit Hardware-basierten TSE-Modulen bis zum Auslaufen der Nichtbeanstandungsregelung sichergestellt wurde.
  • Cloud-TSE
    Da zu diesem Zeitpunkt jedoch noch keine zertifizierten Cloud-TSE-Lösungen verfügbar waren, hatten die Finanzverwaltungen der Bundesländer (Ausnahme: Bremen) ihrerseits eine weitergehende Fristverlängerung für beabsichtigte Cloud-TSE-Aufrüstungen bis zum 31. März 2021 per Allgemeinverfügungen bewilligt.
    Eine erste Software-basierte Lösung (sog. Cloud-TSE) des Herstellerkonsortiums Bundesdruckerei/D-Trust wurde im Herbst 2020 vom BSI zertifiziert, wobei das Zertifikat bis zum 31.1.2021 befristet war. Weitere Anbieter (fiskaly, Wien, und A-Trust, Wien) befinden sich zurzeit im Zertifizierungsverfahren.

In den noch laufenden Zertifizierungsverfahren (bzw. dem Re-Zertifizierungsverfahren Bundesdruckerei/D-Trust) hatte das BSI jedoch weitergehende Anforderungen an die sog. Anwenderumgebung gestellt. Nach Auffassung des BSI sei es zusätzlich erforderlich, nicht nur die Cloud-TSE selbst, sondern auch die Anwenderumgebung (d.h. das Kassensystem des Unternehmens) vor Manipulationen zu schützen. Dies könne durch Implementierung eines Trusted Platform Modul 2.0 (TPM) in das Kassensystem oder aber durch eine Software-Lösung erfolgen. Diese setzt jedoch eine invasive Neukonfiguration der bestehenden und im (Re)Zertifizierungsprozess befindlichen Cloud-TSE-Lösungen der Hersteller voraus, welche voraussichtlich nicht bis zum Ablauf der länderspezifischen Fristverlängerungen (31. März 2021) umgesetzt werden kann.

Bereits mit Schreiben vom 15. Dezember 2020 hatte der DIHK gemeinsam mit den anderen Spitzenverbänden der deutschen gewerblichen Wirtschaft das BMF und die Landesfinanzverwaltungen über diese Entwicklungen informiert. In diesem Zusammenhang wurde insbesondere darauf hingewiesen, dass durch die neuen Anforderungen weitere Verzögerungen bei der Herstellung von Cloud-TSE-Lösungen ausgelöst würden und somit die Nichtbeanstandungsfrist 31. März 2021 nicht gehalten werden könne.

Auf Grund der unklaren Sachlage hat der DIHK am 25. Januar 2021 erneut gemeinsam mit den anderen Verbänden gegenüber dem BMF, dem BMWi und den Finanzverwaltungen der Länder interveniert und um Klärung gebeten.

Update:
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nunmehr eine weitere Cloud-basierte TSE-Lösung (Fa. Swissbit) zertifiziert. Mit Blick auf ggf. erforderliche Antragstellungen gem. § 148 AO wurde die Praxishilfe entsprechend überarbeitet. Unternehmen sollten dringend mit ihrem Cloud-TSE-/Kassenhersteller Kontakt aufnehmen und ggf. eine Antragstellung gem.
§ 148 AO mit ihrem Steuerberater abklären!

Unternehmen, die - anstelle einer Hardware-TSE - eine Cloud-TSE zur Absicherung ihrer elektronischen Kassen(systeme) verwenden möchten, können nunmehr auf drei Cloud-TSE-Lösungen zurückgreifen (Deutsche Fiskal/D-Trust und Swissbit). Zwei weitere Anbieter befinden sich noch im Zertifizierungsverfahren (A-Trust und fiskaly).

Wichtiger Hinweis: 
Es ist erforderlich, dass die zertifizierte Cloud-TSE in einer besonders geschützten „Anwenderumgebung“ betrieben wird. Wie diese konkret ausgestaltet sein muss, sollten Unternehmen dringend mit ihrem Cloud-TSE-Hersteller abklären. Dabei sollte insbesondere geprüft werden, ob zum Betrieb dieser Cloud-TSE noch weitergehende Maßnahmen im Unternehmen selbst (z.B. Aufrüstung der Kassenhardware mit TPM 2.0-Modulen) erforderlich sind.

Sollten Unternehmen nicht in der Lage sein, bis Ablauf der von den Landesfinanzverwaltungen (Ausnahme: Bremen) gesetzten Nichtbeanstandungsfrist 31. März 2021
  •  eine zertifizierte Cloud-TSE zu implementieren und
  • die erforderlichen Maßnahmen zum Schutz der Anwenderumgebung umzusetzen,
 sollte dringend mit dem steuerlichen Berater über eine Antragstellung nach § 148 AO beraten werden.