IT-Sicherheit und Steuerrecht

Das Gesetz zum Schutz vor Manipulation an digitalen Grundaufzeichnungen1BGBl. Jahrgang 2016 Teil I Nr. 65, S. 3152 ff; abrufbar unter ...continue verfolgt das Ziel, Steuerhinterziehung mittels bisher leicht möglichen Manipulationen an Aufzeichnungen elektronischer Kassensysteme zu unterbinden. Dies soll erreicht werden, indem die Grunddaten, die von besagten elektronischen Kassensystemen aufgezeichnet werden, manipulationssicher erfasst und gespeichert werden.3BT-Drs. 18/9535, S. 1.

Dazu wurde ein neuer § 146a AO geschaffen, in dem zertifizierte elektronische Kassensysteme definiert werden (Abs. 1). Diese enthalten eine technische Sicherheitseinrichtung, die aus einem Sicherheitsmodul, einem Speichermedium und einer einheitlichen digitalen Schnittstelle zusammengesetzt sind. Die genauen Anforderungen sollen mittels Rechtsverordnung von Bundesministerium für Wirtschaft (BMWi) und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) konkretisiert werden (Abs. 3). Es ist bereits absehbar, dass die digitale Schnittstelle zur Standardisierung der Daten führen soll und die Daten auf dem Speichermedium vollständig und dauerhaft speicherbar sein müssen, damit sie bei Bedarf verfügbar sind.2Giebichstein/Thomas, CB 2016, 195, 197.

Es wird ausdrücklich kein bestimmtes Verfahren gewählt, wie es früher einmal erwogen wurde, sondern ein technologieoffenes Verfahren verwendet, um die Kosten für die betroffenen Unternehmen möglichst gering zu halten.4BT-Drs. 18/9535, S. 1. Zudem ist es nicht verpflichtend, überhaupt ein elektronisches Kassensystem zu verwenden. Besonders kleinere Unternehmen könnten aus Kostengründen auf offene Ladenkassen zurückgreifen. In diesem Fall besteht die Möglichkeit zur Manipulation auch weiterhin.5Giebichstein/Thomas, CB 2016, 195, 199.

Die Zertifizierung der Kassensysteme wird vom BSI vorgenommen werden und muss vom Hersteller nach jeder Änderung des elektronischen Kassensystems, also auch nach jedem Software-Update, neu beantragt werden. Es wird befürchtet, dass dieses Erfordernis zulasten der IT-Sicherheit der Unternehmen gehen wird, nachdem Kassen oft mit der gesamten IT-Infrastruktur des Unternehmens verbunden sind. Sollten Sicherheitsupdates der Kassen wegen des Zertifizierungserfordernisses hinausgezögert werden, schafft dies eine Angriffsmöglichkeit auf das Unternehmen.6Giebichstein/Thomas, CB 2016, 195, 199.

Sollte ein bereits zertifiziertes elektronisches Kassensystem nicht mehr den Anforderungen entsprechen, so erlischt die Zertifizierung. Dies ist beispielsweise der Fall, wenn eine ausnutzbare Sicherheitslücke bekannt wird.7Giebichstein/Thomas, CB 2016, 195, 198.

Zudem wurde in § 146a Abs. 2 AO eine Belegausgabepflicht eingeführt. Diese greift, sobald ein nach Abs. 1 aufzeichnungspflichtiges Geschäft vollzogen wird. Befreiungen von dieser Pflicht durch die Finanzbehörden sind nach § 148 AO möglich.

Zur Überprüfung der mit § 146a AO neu eingeführten zertifizierten elektronischen Kassensysteme wurde ein neuer § 146b AO eingefügt. Dieser sieht eine Kassen-Nachschau vor, bei der die richtige Funktionsweise der Kassensysteme überprüft werden soll. Die Überprüfung findet vor Ort und ohne vorherige Ankündigung statt. Der Prüfer ist befugt, die Vorlage der relevanten Unterlagen sowie die Erteilung von Auskünften zu verlangen. Er kann zudem die Übermittlung von Daten über die einheitliche digitale Schnittstelle verlangen sowie die Zurverfügungstellung der Aufzeichnungen der digitalen Schnittstelle.

Daneben können auch unabhängig von den zertifizierten elektronischen Kassensystemen die Aufzeichnungen und Buchungen von Kassenein- und -ausnahmen überprüft werden. Dies ist vor allem im Hinblick auf die fehlende Verpflichtung zur Verwendung von zertifizierten elektronischen Kassensystemen von Bedeutung.

Sollten sich im Rahmen dieser Kassen-Nachschau Unregelmäßigkeiten ergeben kann der Prüfer sofort, also ohne vorherige Prüfungsanordnung, eine Außenprüfung (§ 193 AO) einleiten. Kassen-Nachschau und Außenprüfung verfolgen damit beide das Ziel, Manipulationen aufzudecken, sind jedoch voneinander getrennte Kontrollmechanismen.8Giebichstein/Thomas, CB 2016, 195, 198.

Zur Durchsetzung der Verwendung von zertifizierten elektronischen Kassensystems wurden in § 379 Abs. 1 S. 1 Nr. 4-6 AO neue Ordnungswidrigkeitentatbestände eingeführt. Geahndet wird dabei sowohl, die zertifizierten elektronischen Kassensysteme nicht oder nicht richtig zu verwenden bzw. das System nicht oder nicht richtig zu schützen, als auch das Bewerben und Inverkehrbringen von Umgehungssoft- und -hardware. Kurzum alle Umgehungsversuche. Diese Ordnungswidrigkeiten sind mit Bußgeldern bis zu 25 000 € belegt und nicht von einem entstandenen steuerlichen Schaden abhängig.9Giebichstein/Thomas, CB 2016, 195, 198.

Die §§ 146a (zertifiziertes elektronisches Kassensystem) und 379 (Sanktionierung) AO sind erst ab 2020 anzuwenden. § 146b (Kassen-Nachschau) ist ab 2018 anzuwenden, allerdings bis 2020 ohne die Kontrolle des zertifizierten elektronischen Kassensystems. Für die Anschaffung der Kassensysteme gilt eine Übergangsvorschrift bis 2023.

Referenzen   [ + ]

1. BGBl. Jahrgang 2016 Teil I Nr. 65, S. 3152 ff; abrufbar unter http://www.bundesfinanzministerium.de/Content/DE/Downloads/Gesetze/2016-12-28-G-z-Schutz-v-Manipulationen-an-digitalen-Grundaufzeichnungen.pdf;jsessionid=D1A59A0CC39538ED910F7A40D72933F1?__blob=publicationFile&v=3 (zuletzt abgerufen am 07.07.2017).
2. Giebichstein/Thomas, CB 2016, 195, 197.
3. BT-Drs. 18/9535, S. 1.
4. BT-Drs. 18/9535, S. 1.
5. Giebichstein/Thomas, CB 2016, 195, 199.
6. Giebichstein/Thomas, CB 2016, 195, 199.
7. Giebichstein/Thomas, CB 2016, 195, 198.
8. Giebichstein/Thomas, CB 2016, 195, 198.
9. Giebichstein/Thomas, CB 2016, 195, 198.