Streit über Bonpflicht: Wozu der Bon? – Die technischen Vorgaben des Gesetzes
Die neuen Kassengesetze sollen verhindern, dass Gewerbetreibende Umsätze vor dem Finanzamt verstecken. Doch was heißt das technisch? Und wofür der Bon?
(Bild: YAKOBCHUK VIACHESLAV/Shutterstock.com)
Seit einigen Wochen sorgen neue Regelungen zur Absicherung von Registrierkassen, die am 1. Januar 2020 in Kraft getreten sind, für heftige Diskussionen. Sie sollen Steuerhinterziehung in enormem Umfang verhindern, aber eine darin enthaltene neue Pflicht zur Ausgabe von Kassenbons ("Bonpflicht") wird von verschiedenen Seiten teils heftig kritisiert. In einem Schwerpunkt widmet sich heise online den Regelungen und erklärt die Hintergründe sowie die technischen Gegebenheiten und Möglichkeiten. Zum Abschluss gibt es noch Antworten auf die häufigsten Fragen.
Die neuen Kassengesetze sind eins der größten IT-Projekte der Bundesregierung. Da in der öffentlichen Debatte jedoch fast ausschließlich von der Bonpflicht die Rede ist, gerät das oft in Vergessenheit. Dabei geht es um so viel mehr: Eine Infrastruktur von über zwei Millionen ungesicherten Kassen von hunderten verschiedener Hersteller auf einen aktuellen Stand der Technik und Sicherheit zu bringen.
Die Herausforderungen der Umstellung waren hoch. Zum einen gilt es, den grassierenden Steuerbetrug zu stoppen, der den Steuerzahler jedes Jahr 10 Milliarden Euro oder sogar wesentlich mehr kostet. Zum anderen sollte den Gewerbetreibenden in Deutschland erspart werden, einen Großteil der Registrierkassen ersetzen zu müssen. Die Anschaffungskosten können durchaus beachtlich sein: Insbesondere wenn die Kassenanlage wie bei Metzgereien direkt mit den Waagen verbunden sein müssen, kommen erhebliche Beträge zusammen: Der Betreiber einer Metzgerei sprach im Gespräch mit heise online von 30.000 Euro für die Ausstattung eines einzigen Ladenlokals. Solche Umstellungskosten sollen nun nur noch im groben Ausnahmefall anfallen. Wer über eine moderne und einfache PC-Kasse verfügt, kommt mit einem niedrigen dreistelligen Betrag für die Umstellung aus.
Herausforderung: Millionen Kassen absichern
Die Legacy-Hardware war hier ein Hauptproblem. Zwar sind PC-Kassen mit marktüblichen Betriebssystemen und Komponenten mittlerweile der Normalfall. Doch die Ausstattung der Geräte ist je nach Branche und Kaufdatum sehr verschieden. Teilweise kann in den Registrierkassen, die heute in einem Laden stehen, noch ein Windows XP oder Windows CE stecken, teilweise verfügen sie noch über altertümliche serielle Schnittstellen statt eines USB-Anschlusses.
Den wild gewachsenen Markt unterschiedlichster Techniken komplett zu ersetzen, hätte wohl das Aus für einen Großteil der Kassenbranche in Deutschland bedeutet. "Müssten die Kassen selbst sicherheitszertifiziert werden, würde sich die Zahl der Hersteller vermutlich um 80 bis 90 Prozent vermindern", schätzt Hubertus Grobbel, Manager beim Zulieferer Swissbit. Es geht um viele Firmen: SwissBit alleine hat mit mehr als 500 Unternehmen im Kassenmarkt zu tun, schätzungsweise sind deutlich mehr als 1000 Hersteller in Deutschland tätig. Genaue Zahlen über den unübersichtlichen Markt gibt es nicht. Deshalb kam es auch kaum in Betracht, die Kassensoftware direkt zu zertifizieren.
Einen Vorteil für die Umstellung bietet der Kassenmarkt immerhin: Viele Kassen werden nicht einfach über den Tresen verkauft – stattdessen binden die Kassenhersteller ihre Kundschaft per Servicevertrag an sich. Denn Updates sind immer mal wieder notwendig, wenn sich die Steuergesetze in Deutschland ändern oder wenn neue Zahlungsmechanismen integriert werden sollen. Die Kassenhersteller versuchen auch, ihr Serviceangebot immer weiter auszubauen: Die Kassen werden an unterschiedliche Warenwirtschaftssysteme angebunden, Cloud-Services und Rabattsysteme direkt in die Kassensoftware integriert, teilweise können sogar die Abläufe in einer Restaurantküche mit Hilfe von Kassendaten optimiert werden. Ergebnis war ein kaum überschaubares Sammelsurium an unterschiedlichster Kassentechnik, die unmöglich auf Sicherheit und etwaige Manipulationssysteme überprüft werden kann.
Bundestag und Bundesregierung entschieden sich deshalb für ein System, das nicht direkt an der Kassen-Hardware und -Software ansetzt, sondern die Manipulation der Ein- und Ausgabe verhindern soll. Kernelement ist die sogenannte technische Sicherheitseinrichtung (TSE).
Dreigeteilte Sicherheit
Die TSE besteht aus drei Teilen: Zum einen wird durch ein Sicherheitsmodul gewährleistet, dass Kasseneingaben mit Beginn des Aufzeichnungsvorgangs protokolliert und später nicht mehr unerkannt verändert werden können. Das integrierte Speichermedium sorgt dafür, dass die Einzelaufzeichnungen für die Dauer der gesetzlichen Aufbewahrungsfrist an einer Stelle gespeichert werden. Der dritte unverzichtbare Bestandteil ist die einheitliche digitale Schnittstelle, die dafür sorgt, dass die Daten in einem nachvollziehbaren Format geschrieben werden und auch einfach digital auf ihre Integrität überprüft werden können.
Die TSE kommt in Form eines USB-Sticks oder einer SD-Karte, die wie ein gewöhnliches Speichermedium in die Kasse eingesteckt werden kann. Die Kassen brauchen selbstverständlich noch ein Software-Update und können dann meist wie gewohnt weiter betrieben werden.
Für die Manipulationssicherheit sorgen Software und Hardware. Die einzelnen Buchungen werden auf der Karte kryptografisch abgesichert, ein Löschen ist nicht mehr möglich. Für die notwendige Rechenpower sorgt ein im TSE enthaltenes Secure Element, das auch die Sicherheitszertifikate enthält. Auch ein von der Kasse unabhängiger Zeitgeber ist enthalten, um zu erschweren, dass manipulierte Buchungen erst nachträglich auf den Speicher geschrieben werden.
Die Sicherung beruht auf Public-Key-Verfahren. Die Hersteller der TSE-Module haben hierbei die Auswahl zwischen einer Reihe von Algorithmen, die vom Bundesamt für Sicherheit für die Verwendung freigegeben wurden. Wer eine TSE auf den Markt bringen will, muss seine Technik von der Bonner Behörde zertifizieren lassen.
Auf der einen Seite spart das Arbeit und hält die neuen Gesetze technologieoffen – die technischen Grundlagen in Gesprächen mit der Branche zu erarbeiten, dauerte weit über zwei Jahre. Auf der anderen Seite benötigt der Zertifizierungsprozess mehrere Monate Zeit. Obwohl das Gesetz bereits Ende 2016 durch den deutschen Bundestag ging, wurden die ersten TSE-Produkte erst im Dezember 2019 zertifiziert. Da die Ausstattung von über zwei Millionen Kassen nicht in wenigen Wochen zu schaffen ist, haben die Finanzbehörden eine Übergangzeit bis Ende September 2020 eingeräumt, in der das Fehlen einer TSE nicht beanstandet wird. Die Bonausgabepflicht gilt dennoch bereits ab Januar.
Ist sicher sicher genug?
Verbände wie der Handelsverband Deutschland (HDE), aber auch die FDP dringen darauf, die Bonpflicht alsbald wieder zurückzustutzen. Ihr Hauptargument: Die Kassenbonpflicht bringe keinen Mehrwert, denn schon die Einführung der technischen Sicherheitseinrichtungen sorge dafür, dass nicht am Fiskus vorbei verkauft werden könne.
Dieser Diagnose schließen sich Fachleute aus dem Kassengewerbe nicht an, insbesondere nicht die Hersteller der technischen Sicherheitseinrichtungen. So erläutert Grobbel im Gespräch mit heise online: "Wenn der Bon mit der einmaligen digitalen Signatur erst erzeugt ist, ist er nicht mehr aus der Welt zu schaffen." Ihm pflichtet Udo Stanislaus vom Deutscher Fachverband für Kassen-und Abrechnungssystemtechnik (DFKA) zu: "Ohne den Bon kann man bei einer Kassennachschau nicht prüfen, ob die Kasse sauber ist."
Die Vergangenheit hat gezeigt, dass manche Hersteller und Gewerbetreibende durchaus erfinderisch sind, wenn es darum geht, Kontrollmechanismen zu umgehen. Zwar würde durch die TSE die Möglichkeit wegfallen, nachträglich einfach und spurlos Buchungen aus dem digitalen Kassenbuch zu tilgen. Doch auch ein kryptografisch gesicherter Speicher kann nicht dafür garantieren, dass auch wirklich jede Buchung korrekt auf diesen Speicher geschrieben wurde. Diesen Part des Prozesses hat weiterhin die unzertifizierte Kassensoftware und damit der Eigentümer unter voller Kontrolle.
Der alltägliche Betrug wäre also mit geringen Anpassungen weiter möglich. Statt Buchungen im Nachhinein zu löschen, würden sie erst gar nicht oder verfälscht auf den gesicherten Speicher geschrieben. Von der Manipulation müssten Kunden und selbst die Kassierer nichts mitbekommen: Die Anzeige der Kasse kann getrennt von der Speichereinheit gesteuert werden. Ob eine Kasse tatsächlich die Beiträge abspeichert, die vorher eingegeben wurden und auf dem Kassendisplay angezeigt werden, ist von außen nicht sicher nachzuvollziehen.
Bons mit Extra
An dieser Stelle kommt die Pflicht zur Bonausgabe ins Spiel, die im Gesetzgebungsverfahren durch den Bundesrat ergänzt worden war. Die Bonpflicht wirkt auf zwei Arten: Der erste Schutzwall gegen Steuerhinterziehung ist die soziale Kontrolle. Jeder Kunde kann einfach nachvollziehen, ob ein Bon angeboten wird oder nicht – Steuerhinterzieher hätten also schnell unangenehm viele Mitwisser, wenn sie weiterhin an der offiziellen Kasse vorbei kassieren.
Die Bonpflicht hat aber auch eine technische Komponente. Auf den Kassenzetteln müssen künftig nicht nur die gezahlten Beträge und Steuernummern korrekt aufgeführt werden, sondern jeder einzelne Kassenzettel enthält zudem die Seriennummer der verwendeten TSE-Einheit und dazu eine Prüfnummer. Diese Signatur wird direkt von der TSE erzeugt wird und soll kryptografisch die Richtigkeit der Angaben garantieren. Der Clou: Die Signatur bezieht sich nicht nur auf die Angaben auf dem einzelnen Kassenzettel, sondern deckt auch die Signier-Infrastruktur ab. Würde ein Steuerhinterzieher eine Buchung löschen oder umschreiben, stimmte diese Signatur nicht mehr mit der auf dem Bon überein – eine Manipulation flöge über einen simplen Abgleich schnell auf.
Vorteil dieser Lösung: Statt alle Daten aus der Kasse abzuziehen und damit mitunter ein Geschäft über Stunden lahmzulegen, können die Steuerkontrolleure eine Routine-Kassenschau in unter einer Minute erledigen. Dazu muss nur ein Bon mit dem Speicher abgeglichen werden. Die Kassenhersteller wollen diese Zeitspanne sogar weiter reduzieren, indem sie die Prüfsumme in Form eines QR-Codes auf die Quittung drucken.
Diese Prüfsumme unterscheidet die deutsche Lösung auch von den Kassengesetzen in vielen Nachbarländern. Dort müssen Steuerfahnder in der Regel auf eine große Zahl von Quittungen zugreifen, um etwaige Betrüger zu entlarven. Deshalb sind Kunden in Italien oder Frankreich verpflichtet, die Bons aus dem Geschäft mitzunehmen. Die Kunden in Deutschland hingegen können die Bons im Geschäft liegen lassen. Dies ist auch sinnvoll, weil das oft noch gebräuchliche Thermopapier nicht im normalen Altpapier entsorgt werden sollte.
Der Nachteil: In den Geschäften bleiben säckeweise Kassenzettel zurück. Dies sorgt nicht nur für ein Problem bei der Abfallbeseitigung und Ressourcenverschwendung. Bei den Bürgern verfestigt sich zudem der Eindruck, dass es sich bei der Bonpflicht um einen sinnlosen Akt der ausufernden Bürokratie handelt, die auf Papier setzt, während alle Welt schon selbstverständlich auf elektronische Zahlungsmittel setzt oder direkt per Smartphone bezahlt.
Dass in einem Bon auch moderne Krypto-Technik steckt, sieht man ihm nicht an. Zwar sieht das Gesetz ausdrücklich auch vor, dass ein Bon nicht auf Papier, sondern auch elektronisch übertragen werden kann. Doch realistisch werden solche Angebote noch einige Zeit benötigen – falls sie sich überhaupt durchsetzen (siehe nächster Teil dieser Artikelserie).
Prinzipiell wären auch andere technische Lösungen möglich gewesen. Die Bundesregierung schreckte aber davor zurück, bei jedem Gewerbebetrieb staatliche Blackboxen zu installieren oder jeden Umsatz in Echtzeit an Datenbanken unter Ägide der Finanzämter melden zu lassen.
Kassen in der Cloud
Für die Kassenhersteller ist das neue Gesetz eine Gelegenheit, ihr Geschäft neu aufzustellen. So waren es die Ausrüster satt, dass sie als Komplizen für Steuerbetrug angesehen wurden und dass korrekt funktionierende manipulationsgeschützte Systeme mit Umsatzeinbußen bestraft werden. Zum anderen sind viele Gewerbetreibende gezwungen, allzu angejahrte Kassen auszutauschen, die mangels ausreichendem Speicher oder wegen fehlender Treiber nicht mehr für ein Update geeignet sind.
Hier treten auch die Hersteller auf den Markt, die den Nachfolger der PC-Kasse etabliert haben: Die so genannte iPad-Kasse. Diese Kassensysteme sind vor allem bei kleinen Gewerbetrieben beliebt. Sie verlagern den Kassierprozess in die Cloud und bieten unkomplizierte Anbindung an viele Zahlungsdienste an. Der Anschaffungspreis ist niedrig, die Installation unkompliziert – dafür werden aber monatliche Kosten fällig.
Einer der Anbieter ist die Berliner Firma Orderbird, die sich auf Kassenanlagen für die Gastronomie spezialisiert hat und nach eigenen Angaben inzwischen mehr als 10.000 Kunden hat. Das Unternehmen wirbt mit der einfachen Integration von Zahlungssystemen, die Kellner können Bestellungen ihrer Kunden einfach per Pad oder Smartphone aufnehmen. Auch die Einbindung eines Bondruckers per Bluetooth ist kein Problem.
Was jedoch dem iPad fehlt, ist ein Kartenslot oder eine USB-Schnittstelle, mit der problemlos eine handelsübliche TSE-Einheit wie bei PC-Kassen eingebunden werden kann. Da zudem das Kassenbuch in der Cloud geführt wird, ist für solche Kassensysteme ein anderer Weg notwendig: Die so genannte "Cloud-TSE".
Umstellung mit einem Klick
"Wir werden unseren Kunden die Fiskalisierung mit einem Klick anbieten", verspricht Frank Schlesinger, CTO bei Orderbird, im Gespräch mit heise online. Statt direkt im Laden die gesicherten Speicher zu integrieren, wird die Technische Sicherheits-Einrichtung ins Rechenzentrum verlegt. Ein technisch aufwändiger Prozess.
So musste Orderbird in seine App eine Secure Module Application (SMA) integrieren, die auf gesicherten Kanälen mit dem Crypto Service Provider-Modul im Rechenzentrum (CSP) kommuniziert. Prinzipiell sei die App bereits einsatzbereit und bei 50 Kunden im Testbetrieb, sagt Schlesinger. Was aber noch aussteht, ist das offizielle OK aus Bonn.
Die gesicherte Cloud-Kommunikation zu planen und zu realisieren, war zu viel Aufwand für einen Kassenhersteller alleine. Deshalb kooperiert Orderbird mit dem Wiener Spezialisten Fiskaly, der bereits Technik für die österreichische Registrierkassensicherheitsverordnung entwickelt hatte, die 2017 in Kraft getreten ist. Für den deutschen Markt hat Fiskaly inzwischen ein angepasstes Konzept entwickelt, das auf Hardware-Sicherheitsmodule (HSM) des Spezial-Herstellers Ultimatico setzt, die im Rechenzentrum die Rolle der TSE-Module übernehmen. "Ein HSM kann mehrere Tausend Kassen absichern und verwalten", erläutert Firmenchef Johannes Ferner.
(Bild: Fiskaly)
Prinzipiell sind die wesentlichen technischen Fragen schon gelöst, die Zertifizierung durch das BSI steht aber noch aus. So kann die von Fiskaly eingereichte Technik einen Signaturdurchlauf in 20 Millisekunden erledigen, um den Zeitnachteil durch die Übertragung an das Rechenzentrum wettzumachen. Alles in allem soll die Verzögerung unter einer Zehntelsekunde bleiben und damit marktübliche TSE in Form von USB-Sticks hinter sich lassen.
Probleme bereiten aber noch technische Details. So will Fiskaly mit seinem Angebot die ganze Bandbreite von Kunden abdecken, nicht nur Kleinunternehmen mit iPad-Kassen. Noch nicht völlig gelöst ist die Frage, wie konkret man Kassensysteme regelkonform absichern kann, die per Remote Desktop-Protokoll auf einem Server laufen. Bis solche Fragen bis ins Kleinste geklärt sind, lässt die endgültige Zertifizierung auf sich warten. "Wir sind optimistisch, dass die Zertifizierung im zweiten Quartal abgeschlossen werden kann", versichert Ferner.
Dabei hat er einen Millionenmarkt im Blick. Denn nicht nur die bisherigen Nutzer von iPad-Kassen sollen für die Kasse aus dem Rechenzentrum gewonnen werden, sondern auch die Großabnehmer: "In Österreich sind viele Händler mittlerweile auf eine Cloud-Technik umgestiegen – große Retailer sind zu 99 Prozent in der Cloud", erklärt der Firmenchef.
[Update 29.01.2020 – 07:35 Uhr] Die Signatur auf dem Kassenbon deckt auch die Signier-Infrastruktur ab. Eine anderslautende Formulierung wurde korrigiert. (mho)
