Schutz vor Manipulationen an digitalen Grundaufzeichnungen

Überblick

Der Bundestag hat am 15. Dezember 2016 ein Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen (nicht barrierefrei, PDF-Datei · 226 KB) beschlossen. Damit sollen bisher bestehende technische Möglichkeiten zur Manipulation von digitalen Grundaufzeichnungen, wie z. B. bei elektronischen Kassen, verhindert werden. Die Zustimmung des Bundesrats erfolgte am 16. Dezember 2016.
Begleitend wurde auch ein Entwurf einer Technischen Verordnung zur Durchführung des Gesetzes zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen vorgestellt. Gesetz und Rechtsverordnung sollen digitale Grundaufzeichnungen vor einer Manipulation schützen, in dem die Unveränderbarkeit dieser Daten sichergestellt wird. Flankierend werden eine neue Prüfungsmöglichkeit für die Finanzämter geschaffen und die Bußgelder für Verstöße deutlich erhöht.
Eine grobe Übersicht zum geplanten Verfahren können Sie der Infografik (JPG-Datei · 1051 KB)entnehmen.
Im Detail sind folgende Maßnahmen vorgesehen:

Technische Sicherheitsmaßnahmen

Bereits bisher gilt, dass Aufzeichnungen einzeln, vollständig, richtig, zeitgerecht, geordnet und unveränderbar vorzunehmen sind. Neu ist, dass dies so ausdrücklich im Gesetz verankert wird. Damit wurde die Einzelaufzeichnungspflicht auch für die Nutzung elektronischer Aufzeichnungssysteme in die Abgabenordnung (AO) mit aufgenommen. Auch der Grundsatz, dass Kasseneinnahmen und Kassenausgaben täglich aufzuzeichnen sind, wird gesetzlich niedergelegt und eindeutiger gefasst. Die Pflicht zur Einzelaufzeichnung entfällt lediglich aus Zumutbarkeitsgründen bei Verkauf von Waren an eine Vielzahl von nicht bekannten Personen gegen Barzahlung. Wird jedoch ein elektronisches Aufzeichnungssystem verwendet, sind die Daten einzeln aufzuzeichnen (§ 146 Abs. 1 AO).
Die Daten müssen zudem auf einem Speichermedium gesichert und verfügbar gehalten werden. Ein neuer § 146a AO-E legt fest, dass alle elektronischen Aufzeichnungssysteme und die digitalen Aufzeichnungen durch eine zertifizierte technische Sicherheitseinrichtung zu schützen sind. Diese Sicherheitseinrichtung muss aus einem Sicherheitsmodul, einem Speichermedium und einer einheitlichen digitalen Schnittstelle bestehen. Angestrebt wird damit, dass künftig für digitale Grundaufzeichnungen eine direkte Nachprüfung der einzelnen Geschäftsvorfälle progressiv und retrograd erfolgen kann. Auch soll es ausgeschlossen sein, diese nachträglich manipulieren zu können.
Neu mit aufgenommen wurde eine verpflichtende Belegausgabe. Lediglich bei Unternehmen, die Waren an eine Vielzahl von nicht bekannten Personen verkaufen, kann von der generellen Erteilung einer Kassenquittung abgesehen werden. Auf Antrag erteilen die Finanzämter aus Gründen der Praktikabilität und Zumutbarkeit eine Befreiung von der Belegausgabepflicht; diese kann aber auch widerrufen werden (§ 146a Abs. 2 AO).
Ebenfalls neu ist eine Meldepflicht für die eingesetzten elektronischen Aufzeichnungssysteme und zertifizierten technischen Sicherheitseinrichtungen. Wer ein elektronisches Aufzeichnungssystem anschafft oder außer Betrieb nimmt hat dies innerhalb eines Monats mitzuteilen. Dabei sind der Name und die Steuernummer des Steuerpflichtigen, die Art der zertifizierten technischen Sicherheitseinrichtung und des verwendeten elektronischen Aufzeichnungssystems, deren Anzahl und Seriennummer, sowie das Datum der Anschaffung bzw. der Außerbetriebnahme mitzuteilen (§ 146 Abs. 4 AO). Bereits vorhandene Systeme sind bis zum 31. Januar 2020 zu melden.
nach oben

Technologieoffenes Konzept

Positiv ist, dass die technischen Maßnahmen technologieoffen ausgelegt sind. Das zunächst in Erwägung gezogene aufwändige und kostenintensive INSIKA-Konzept wird nicht umgesetzt. Vielmehr gibt es für die erforderlichen Sicherheitseinrichtungen in den Kassensystemen ein Zertifizierungsverfahren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird die technischen Anforderungen an die Sicherheitseinrichtung bestimmen und hierzu ein Zertifikat ausstellen (§ 146 Abs. 2 Satz 2 AO-E). Dadurch soll gewährleistet sein, dass den Erfordernissen der unterschiedlichen Wirtschaftsbereiche Rechnung getragen werden kann und zugleich technische Weiterentwicklungen einfließen können. Auch weiterhin wird es keine allgemeine Registrierkassenpflicht geben, sondern auch eine sog. offene Ladenkasse zulässig sein. Technische Details für die elektronischen Aufzeichnungssysteme und die zertifizierte Sicherheitseinrichtung werden in einer gesonderten Rechtsverordnung festgelegt.
nach oben

Kassen-Nachschau als eigenständiges Verfahren zur zeitnahen Prüfung

Zugleich wird die Steuerkontrolle im Bereich der digitalen Grundaufzeichnungen verstärkt . Aufbauend auf den positiven Erfahrungen zur Umsatzsteuer bzw. zur Lohnsteuer wird es künftig auch eine sog. Kassen-Nachschau geben (§ 146b AO). Diese ist als eigenständiges Verfahren zur zeitnahen Prüfung
  • der Ordnungsmäßigkeit der Kassenaufzeichnungen und
  • der ordnungsgemäßen Übernahme der Kassenaufzeichnungen in die Buchführung
konzipiert.
Neben computergestützten Kassensystemen sollen auch Registrierkassen und offene Ladenkassen überprüft werden. Die Kassen-Nachschau wird unangekündigt erfolgen. In formeller Hinsicht handelt es sich um keine Außenprüfung i. S. d. § 193 AO. Werden dabei jedoch Mängel festgestellt, kann ohne vorherige Prüfungsanordnung zu einer Außenprüfung übergegangen werden.
Lediglich soweit sich digitale Unterlagen des Steuerpflichtigen bei einem Dritten, z. B. dessen Steuerberater befinden, wird eine Außenprüfung mit angemessener Frist angekündigt (§ 147 Abs. 6 AO).
Dem Kassenprüfer sind die Aufzeichnungen, Bücher und die für die Kassenführung relevanten sonstigen Organisationsunterlagen vorzulegen und zweckdienliche Auskünfte zu erteilen. Elektronische Daten sind über die digitale Schnittstelle zu übermitteln oder auf einem maschinell auswertbaren Datenträger zur Verfügung zu stellen. In zeitlicher Hinsicht wurde im Finanzausschuss neu mit aufgenommen, dass eine Kassennachschau erstmals bereits ab dem Jahr 2018 vorgenommen werden kann.
nach oben

Sanktionierung und neue Steuergefährdungstatbestände

Um die Umsetzung in der Praxis auch rechtlich abzusichern, wurden neue Steuergefährdungstatbestände geregelt (§ 379 Abs. 1 Satz 1 Nr. 4-5 AO).
Ordnungswidrig handelt, wer
  • ein nicht den Anforderungen des § 146a Abs. 1 Satz 1 AO entsprechendes System verwendet,
  • die Daten nicht oder nicht richtig schützt, indem er ein System ohne die nach § 146a Abs. 1 Satz 2 AO erforderliche Sicherheitseinrichtung nutzt oder
  • entgegen § 146a Abs. 1 Satz 5 AO gewerbsmäßig ein dort genanntes System oder eine dort genannte Software bewirbt oder in den Verkehr bringt.
nach oben

Bußgeld auch für Anbieter

Damit wird ein Bußgeld nicht nur gegen den Nutzer eines nicht den Regeln entsprechenden Kassensystems möglich sein, sondern auch für Anbieter bzw. Verkäufer derartiger Systeme bzw. Manipulationssoftware. Zugleich wird die Höhe der Bußgelder angehoben, sodass Verstöße mit bis zu 25.000 Euro Geldbuße geahndet werden können. Ein Bußgeld ist unabhängig davon, ob ein steuerlicher Schaden entstanden ist, möglich (§ 379 Abs. 4 AO).
nach oben

Rechtsverordnung mit technischen Detailregelungen

Das BMF wird durch § 146 Abs. 2 AO ermächtigt eine Rechtsverordnung zu erlassen, in welcher technische Detailregelungen festgelegt werden. Dazu gehört insbesondere,
  • welche elektronischen Aufzeichnungssysteme betroffen sind,
  • wann und in welcher Form eine Protokollierung der digitalen Grundaufzeichnung zu erfolgen hat,
  • wie diese digitalen Grundaufzeichnungen zu speichern sind,
  • technische Anforderungen, die an eine digitale Schnittstelle bestehen,
  • welche Anforderungen die zertifizierte technische Sicherheitseinrichtung erfüllen muss.

Verordnungsentwurf liegt schon vor

Dazu hat das BMF bereits den Entwurf einer Technischen Verordnung zur Durchführung des Gesetzes zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen bekannt gegeben. Dieser Arbeitstitel wird sich aber voraussichtlich noch ändern. Die Gesetzesbegründung verweist hierzu auf eine „Verordnung zur Bestimmung der technischen Anforderungen an elektronische Aufzeichnungs- und Sicherungssysteme im Geschäftsverkehr (KassensicherungsVerordnung – KassenSichV). Diese gilt für elektronische oder computergestützte Kassensysteme oder Registrierkassen; nicht aber für elektronische Buchhaltungsprogramme. Bundesweit werden etwa 2,1 Millionen Geräte betroffen sein. Für ca. 80 Prozent wird eine Um- bzw. Nachrüstung technisch möglich sein, für ca. 20 % Altgeräte wird nur eine Neuanschaffung in Betracht kommen.
Das Sicherheitsmodul dient der effizienten und sicheren Aufzeichnung der Geschäftsvorfälle und anderen Vorgänge, z. B. durch kryptographische Operationen oder Applikationen. Technische Basis für die Grundaufzeichnungen ist, dass jede Transaktion den Zeitpunkt des Vorgangsbeginns, eine eindeutige fortlaufende Transaktionsnummer, die Art und die Daten des Vorgangs, den Zeitpunkt der Vorgangsbeendigung bzw. eines Abbruchs des Vorgangs sowie einen Prüfwert enthält. Damit werden die Vertrauenswürdigkeit und die Integrität von Daten und den damit verbundenen Informationen sichergestellt.
Das BMF wird zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) in Richtlinien und Schutzprofilen die technischen Einzelheiten an das Sicherheitsmodul, das Speichermedium und die einheitliche elektronische digitale Schnittstelle sowie die elektronische Aufbewahrung festlegen. Diese Technischen Richtlinien und Schutzprofile werden eine verbindliche Wirkung für die Hersteller der technischen Sicherheitseinrichtung entfalten.

Zustimmung des Bundestags notwendig

Zunächst war vorgesehen, dass diese Rechtsverordnung lediglich der Zustimmung des Bundesrats bedarf. Im Finanzausschuss des Bundestages wurde jedoch ein Passus eingefügt, nach der die Regierung verpflichtet ist, die Zustimmung des Deutschen Bundestags einzuholen (§ 146a Abs. 3 AO).
nach oben

Inkrafttreten der Neuregelungen

Das Gesetz soll am Tag nach der Verkündung in Kraft treten. Es wird aber erstmals für Kalenderjahre anzuwenden sein, die nach dem 31. Dezember 2019 beginnen. Dies stellt eine Änderung gegenüber dem Referentenentwurf dar. Die neuen Regeln werden für die Zeit nach dem Kalenderjahr 2019 gelten; bisher war eine erstmalige Anwendung für Wirtschaftsjahre, die nach dem 31. Dezember 2018 beginnen, vorgesehen. Damit bleibt ein Jahr mehr Zeit für die Anschaffung bzw. Implementierung der neuen Systeme.
Neu ist auch, dass es für aktuellere Registrierkassen eine zusätzliche Übergangsregelung bis 2022 gibt. Betroffen sind Registrierkassen, die nach dem 25. November 2010 und vor dem 1. Januar 2020 angeschafft worden sind und die den Anforderungen des BMF-Schreibens vom 26. November 2010 (BStBl 2010 I S. 1342) entsprechen, aber bauartbedingt nicht nach- bzw. aufrüstbar sind. Solche Registrierkassen können noch bis zum 31. Dezember 2022 weiter betrieben werden.
In Teilen wird das Gesetz aber auch sofort seine Wirkung entfalten. Befinden sich die Buchhaltungsunterlagen bei einem Dritten, muss dieser Dritte den Finanzbehörden Einsicht in die für den Steuerpflichtigen gespeicherten Daten gewähren oder auf einem maschinell verwertbaren Datenträger zur Verfügung stellen (§ 147 Abs. 6 Satz 3 AO-E). Diese Regelung wird unmittelbar nach Gesetzesverkündung gelten. Die dazugehörige Rechtsverordnung wird am Tag nach der Verkündung in Kraft treten.
nach oben

Position der IHK-Organisation

Mehrfach hatte die IHK-Organisation im Laufe des Jahres zu den Gesetzentwürfen Stellung genommen und sich gegen den verpflichtenden Einsatz von teuren Manipulationsschutzmaßnahmen ausgesprochen. Die IHK lehnte stets die verpflichtende Einführung von Manipulationsschutzmaßnahmen ab. Kassenbetrug ist kriminell und muss konsequent bekämpft werden – jedoch mit Mitteln, die gezielt wirken und nicht über das Ziel hinausschießen. Es ist abzulehnen, flächendeckend für viele Unternehmen teure und aufwändige Nachrüstungen von Kassen einzuführen. Die gravierendste Form des Kassenbetruges – die Nichterfassung von Umsätzen – wird durch Manipulationsschutzsysteme nicht verhindert.
Schon heute können Finanzbehörden die Fälle mit höherem „Betrugsrisiko“ identifizieren und z. B. durch Kassenprüfungen gezielt kontrollieren. Eine größere Kontrolldichte, gezielte Vor-Ort-Überprüfungen und härtere Sanktionen dürften Manipulationen effektiver verhindern als die verpflichtende, flächendeckende Einführung von teuren Manipulationsschutzsystemen.
Die IHK wird alle betroffenen Unternehmen über den weiteren Verlauf und mögliche Auswirkungen informieren. nach oben
Quellen: DIHK, Bundestag, Haufe