Aktueller Status zur Cloud-TSE

22 Wochen nach Ende der Nichtbeanstandungsregelung durch den Bund und 4 Wochen vor Ende der länderspezifischen Nichtbeanstandungsregelungen per 31.03.2021 

Zur Lage der KassenSichV und zur weiteren Timeline 

Betreiber elektronischer Kassen- und Aufzeichnungssysteme sind nach §146a AO bereits seit Januar 2020 verpflichtet, jede Kasse mit einer zertifizierten technischen Sicherheitseinrichtung (TSE) auszustatten. Im November 2019 hatte das BMF dann eine Übergangsfrist bis zum 30.09.2020 eingeräumt. Diese sogenannte Nichtbeanstandungsregelung wurde im weiteren Verlauf durch diverse Ausnahmenregelungen einzelner Bundesländer nochmals bis zum 31.03.2021 verlängert. Eine darüberhinausgehende Verschiebung bzw. weitere Nichtbeanstandung erscheint aus heutiger Sicht unwahrscheinlich, wodurch sich für die Vielzahl der betroffenen Unternehmen die folgenden Fragen stellen: 

Was sind die Konsequenzen nach dem 31.03.2021? 

Das Inverkehrbringen von Kassen ohne TSE ist auf Bundesebene bereits seit 30.9.2020 nicht mehr erlaubt. Bestimmungen einzelner Bundesländer, welche diese Regelung umgehen, laufen per 31.03.2021 aus. Kommt keine weitere Verlängerung dürfen Kassen nur mit zertifizierter TSE ausgeliefert werden. Der Strafrahmen für das Inverkehrbringen von nicht gesetzeskonformen Kassen beträgt bis zu 25.000 Euro pro Fall. 

Kassen ohne TSE, Kassen mit nicht zertifizierter TSE, oder Kassen mit TSE und mit abgelaufener Zertifizierung dürfen nicht mehr betrieben werden. Bei Nichtbeachtung kann bei einer Prüfung, oder bei einer Kassennachschau eine nicht ordnungsgemäße Kassenführung unterstellt werden. 

Ab dem 01.04.2021 muss jeder Beleg eine von einer zertifizierten TSE vergebenen, eindeutige Transaktionsnummer enthalten. Zur leichteren Prüfbarkeit ist es empfohlen, einen QR-Code auf den Beleg auszugeben. 

Als führender Compliance-as-a-Service Anbieter hat fiskaltrust die folgenden Maßnahmen ergriffen: 

Antrag nach §148a AO – Verlängerung der Nichtbeanstandungsregelung im Hinblick auf cloud-basierte TSE Lösungen über den 31. März 2021 hinaus

Der 31.032021 nähert sich unaufhaltsam und damit auch das voraussichtliche Ende einer vom Bundesministerium für Finanzen eingeräumten Nichtbeanstandung hinsichtlich der vorgeschriebenen Verwendung einer technischen Sicherheitseinrichtung (TSE). Für eine Vielzahl betroffener Unternehmen bedeutet dies, dass sie für die Implementierung einer TSE nicht mehr allzu viel Zeit haben und die Unsicherheit und Nervosität immer größer wird.

Hardware-basierte TSE Lösungen sind schon seit einer Weile auf dem Markt verfügbar und werden bereits zahlreich im täglichen Geschäft eingesetzt. Das ist für Unternehmen, mit übersichtlichen IT-Strukturen auch sicherlich ein praktikabler Lösungsansatz und konnte die anfänglichen Sorgen betreffend der Erfüllung der gesetzlichen Anforderungen nehmen. Aber dies war und ist eben kein Ansatz für alle Unternehmen. Viel zu groß ist der Unterscheid in der Aufstellung der Unternehmen. Rund 70 % unserer Kunden verlangen nach einer cloud-basierten TSE. Doch leider sind diese Lösungen noch nicht verfügbar und eine klare Aussage, wann dies sein wird, ist ebenfalls noch nicht vorhanden.

Neue Anforderungen des BSI machen den Cloud-TSE-Herstellern zu schaffen und sorgen für weitere Verzögerungen im Zertifizierungsprozess. Insbesondere die Anforderung zur Verwendung eines TPM-Moduls (Trusted Platform Module) wird dafür sorgen, dass frühestens in einigen Monaten mit der längerfristigen, also vierjährigen Zertifizierung einer auf allen Betriebssystemen laufenden und hardwareunabhängigen Cloud-TSE zu rechnen ist. Hinzu kommt, dass dieser spezielle Hardwarebauteil zu einer starken Hardwareabhängigkeit führt und somit eine Technologieoffenheit und die Einsatzbereitschaft einer Cloud-TSE einschränkt.

Bereits im Dezember 2020 haben die Spitzenverbände als Sprachrohr der betroffenen Unternehmen mit einem Schreiben an das Bundesministerium der Finanzen auf die Probleme hingewiesen und die Gründung einer Arbeitsgruppe mit Vertretern des BSI, sowie der entsprechenden Prüfstellen für Zertifikate, Anbietern von im Zertifizierungsverfahren befindlichen Cloud-TSEs, Kassenherstellern und Unternehmensvertretern gefordert. Auch die fiskaltrust gmbh unterstützt diesen Ansatz und bietet seine Mitarbeit in einer solchen Arbeitsgruppe an. Ergänzend hierzu hat die fiskaltrust gmbh nun einen Antrag nach §148a AO auf den Weg gebracht. Dieser Antrag, der bereits an alle Landesfinanzministerien versendet wurde, zielt auf eine weitere Nichtbeanstandung für die Gruppe der Kassenbetreiber über den 31.03.2021 hinaus ab, die unter § 146a Abs. 1 Satz 1 AO i.V.m. § 1 KassenSichV (BGBl. I 2017, 3515) fallen und die eine sog. cloud-basierte TSE verwenden wollen und/oder müssen.

Das Schreiben der fiskaltrust gmbh an die Landesfinanzministerien (exemplarisch an das Ministerium der Finanzen des Landes Nordrhein-Westfalen) finden Sie hier. Selbstverständlich werden wir Sie über die weiteren Entwicklungen und Reaktionen auf dem Laufenden halten. Schauen Sie daher regelmäßig auf unseren Blog-Post.

Swissbit Cloud TSE

fiskaltrust hat mit Swissbit einen starken Partner im gesamten Spektrum der technischen Sicherheitseinrichtungen (TSE). Swissbit ist einer der wenigen Anbieter die Stand heute (01.03.2021) bereits eine zertifizierte Cloud-TSE Variante anbieten, welche auch die Re-Zertifizierung per Ende Januar durchlaufen hat und somit jetzt unter einem strengem, vom BSI auferlegten und abgenommenen Umgebungsschutzkonzept (USK) rechtssicher betrieben werden kann, auch über den 31.03.2021 hinaus. Details zum USK können Sie dem SLA zur SwissbitCloud unter https://portal.fiskaltrust.de/AccountProfile/Download abrufen. Einige Besonderheiten daraus sind die verpflichtende Nutzung von Verschlüsselungstechnologie wie z.B. Bitlocker und auch die umfassenden Betriebssystemspezifischen Security Baselines welche beim Kassenbetreiber auf der Maschine umzusetzen sind, welche die fiskaltrust.Middleware und den Fiskal Cloud Connect (FCC) betreibt. Diese Anforderungen erzeugen Stand heute eine hohe, nahezu unüberwindbare, technische Einstiegshürde in das Thema Cloud-TSE, was zu folgenden Lösungsansätzen durch fiskaltrust geführt hat.

Ab der Version 1.3.16 der fiskaltrust.Middleware wird in einem [SignaturItem] der Zertifizierungsstatus der verwendeten TSE zurückgegeben, welcher auf den Beleg aufgedruckt werden soll. Bei der SwissbitCloud-TSE wird dieser Status die aufrechte Zertifizierungsnummer des BSI beinhalten und es wird eine Variante geben, welche zusätzlich den Hinweis „TSE Umgebungsschutzkonzept ausgesetzt“ beinhaltet. Durch diese Variante wird Transparenz zum Status hergestellt und die Chance eine zertifizierte Cloud-TSE auch ab dem 01.04.2021 rechtssicher betreiben zu können ist damit gegeben. Die endgültige Legitimation bedarf hier natürlich einer Freigabe durch die Politik.

Was bedeutet das für die bereits bestehenden Installationen, welche schon ausgerollt sind oder sich im Roll-Out befinden:

Alle bereits ausgerollten fiskaltrust.Middleware.SCU.SwissbitCloud mit der Version 1.3.13 oder kleiner nutzen den SwissbitCloud FCC v2, welcher nicht mehr zertifiziert ist und nur noch bis zum 31.03.2021 genutzt werden kann. Dies bedeutet, hier ist es notwendig, eine neue SwissbitCloud-TSE einzurichten, die bestehenden bereits ausgerollten Installationen können leider nicht ohne Neuinstallation aktualisiert werden.

Noch nicht ausgerollte fiskaltrust.Middleware Instanzen, oder neu angelegte Konfigurationen erhalten automatisch die aktuelle Version 1.3.14 und können damit auch sofort ausgerollt werden. Sobald wir die neuere Version 1.3.16 oder höher zur Verfügung gestellt haben, ist es notwendig, vor dem 31.03.2021 die bestehenden Installationen auf diese aktuellere Version zu bringen. Dies erfordert keinen lokalen Eingriff beim Kassenbetreiber. Als Kassenhändler können sie einfach die „Update-Funktion“ im Portal nutzen und dadurch alle ihre verbundenen Kassenbetreiber auf einen Schlag rekonfigurieren. Beim nächsten Neustart, der beim Kassenbetreiber installierten fiskaltrust.Middleware Instanz, wird die Aktualisierung der Komponenten dann automatisch durchgeführt.

Wie im Blog-Post Anfang Januar 2021 beschrieben bietet fiskaltrust die SwissbitCloud-TSE auch in Verbindung mit dem beliebten TSE-as-a-Service Angebot im Rahmen des fiskaltrust.Sorglos Bundles mit TSE-as-a-Service an. Explizit möchten wir hier nochmal darauf hinweisen, dass zusätzlich zu der Fair-Use-Policy die Einschränkung besteht , dass nur eine Kassenseriennummer pro Standort genutzt werden kann, wenn zur SwissbitCloud-TSE im Rahmen des fiskaltrust.Sorglos mit TSE-as-a-Service Angebots optiert wird. Dies ist keine technische Einschränkung. Diese Einschränkung basiert leider auf dem wirtschaftlichen Agreement zwischen fiskaltrust und Swissbit und bedeutet, wenn sie mehrere Kassenseriennummern (und damit mehrere fiskaltrust.Middleware.Queues) verwalten möchten, müssen dazu auch mehrere Standorte angelegt werden und entsprechend mehrere fiskaltrust.Sorglos Bundles mit TSE-as-a-Service zugeordnet werden.

fiskaly Cloud TSE

fiskaltrust und fiskaly verbindet eine bereits seit über einem Jahr bestehende Partnerschaft und beruht auf einer technisch ausgereiften Konzeption zur Umsetzung der der Cloud-TSE-Vorgaben. Allerdings ist auch hier der aktuelle Status jener, dass eine Zertifizierung durch das BSI noch nicht erfolgt ist. Da unser Konzept im Bereich der TSE-as-a-Service und der zugehörigen Fair-Use-Policy auch auf die fiskaly Cloud-TSE abgestimmt ist, vertrauen wir darauf, dass die technisch exzellente fiskaly Cloud-TSE in naher Zukunft verfügbar sein wird und wagen daher folgenden Vorstoß:

Mit der Version 1.3.16 der fiskaltrust.Middleware wird auch die fiskaly Cloud-TSE in mit den fiskaly-Client-Komponenten v1 zur Verfügung gestellt. Diese Komponenten, welche in Zertifizierung sind, gelten als Cloud-TSE in Zertifizierung und müssen nach erfolgreicher Zertifizierung außer Betrieb genommen werden und aktualisiert werden. Somit möchten wir hier auch den Weg einschlagen und mit einem Hinweis in einem [SignaturItem] der Zertifizierungsstatus der verwendeten TSE zurück zugegeben. Für die Version 1.3.16 der fiskaltrust.Middleware wird der Hinweis „Nicht zertifizierte TSE“ zusätzlich zur Zertifizierungsnummer bei fiskaly ergänzt. Wenn hier kein deutliches Signal der Politik kommt, kann diese Vorgehensweise nach dem 31.03.2021 allerdings ernste Konsequenzen für den In-Verkehr-Bringer haben, wie eingangs beschrieben.

Was bedeutet das für alle die sich dann für ein Roll-Out mit dieser Variante entschließen: Als erstes eine sehr leichtgewichtige Installation der fiskaltrust.Middleware, was zu wenig Inbetriebnahmehürden führt und daher sehr attraktiv ist.

Sobald eine final zertifizierte Variante der fiskaly Cloud-TSE vorliegt, wird es jedoch zwingend notwendig sein, die fiskaltrust.Middleware umfassend zu aktualisieren. Der Zeitrahmen für diese umfassende Aktualisierung kann leider im Moment nicht abgeschätzt werden. Diese nötige Aktualisierung wird dann die Komponenten des fiskaly-Client-Komponenten v2 enthalten, welche nicht kompatibel sind mit jenen der v1. Das bedeutet im Klartext, dass hier eine neue Cloud-TSE erstellt werden und dann in die fiskaltrust.Middleware Konfiguration eingebracht werden muss. Die Automatisierbarkeit dieses Vorgangs können wir heute noch nicht abschätzen, weshalb aktuell von einem manuellen Vorgang auszugehen ist. Diese veränderte fiskaltrust.Middleware Konfiguration kann dann bei den Kassenbetreibern sehr leichtgewichtig ausgerollt werden und die neue Cloud-TSE mit neuer TSE-Seriennummer kann dann mittels dem üblichen Inbetriebnahmebeleg in Betrieb genommen werden. Zu beachten ist hier, dass dies nur unmittelbar nach einem Kassenabschluss passieren kann und das Vor-Ort-Bediener der jeweiligen Kasse entsprechend darauf vorzubereiten sind.

TSE-Tausch mit der fiskaltrust.Middleware

Um für alle Eventualitäten gerüstet zu sein, unterstützt die fiskaltrust.Middleware ab der Version 1.3.16 den Tausch der verwendeten TSE, ohne dass dazu eine neue Queue angelegt werden muss. Diese Änderung ist nötig, da dieser Tausch beim Wechsel von einer nicht-zertifizierten auf eine zertifizierte TSE nach unserem aktuellen Wissensstand nötig wird.

Selbstverständlich möchten wir unseren Partnern eine möglichst einfache Implementierung des Prozesses ermöglichen und dabei gleichzeitig sicherstellen, dass die rechtlichen Bestimmungen vollständig eingehalten werden. Daher ist der TSE-Wechsel ausschließlich zum Tagesende möglich und unterstützt die bekannten fiskaltrust-Features zur automatischen An- und Abmeldung von Kassen und TSEs. Der genaue Ablauf wird in der Middleware- und Rollout-Dokumentation ergänzt, sobald die neue Middleware-Version verfügbar ist.

Mitglied in der Arbeitsgruppe Fiskalisierung im TeleTrust

Um aktiv an der Weiterentwicklung beziehungsweise bei der Umsetzung mitzuwirken, haben wir uns Anfang 2021 dazu entschlossen, der neu gegründeten Arbeitsgruppe der TeleTrust zum Thema Fiskalisierung beizutreten. Ziel dieser Arbeitsgruppe ist es, eine branchenübergreifende Handlungsempfehlung zum sicheren Betrieb von cloudbasierten Technischen Sicherheitseinrichtungen (TSE) zu schaffen, sowie die Erarbeitung eines Konzeptes für mobile TSE-Lösungen die vor allem im mobilen Bereich (Android, iOS) immer gefragter werden. Durch die Kompetenzen die wir in den letzten Jahren im Bereich der sicheren Fiskalisierung in der Cloud aufbauen konnten, können wir als Mitglied dieser Arbeitsgruppe die zukünftigen Lösungen im Bereich Cloud mitgestalten und dabei unterstützen eine marktkonforme Umsetzung zu ermöglichen.

Empfehlungen für den Kassenhändler

Nachfolgend möchten wir einige Optionen aufführen, die sie als Kassenhändler ihren Kunden anbieten können. Wir möchten an dieser Stelle aber darauf aufmerksam machen, dass die genannten Optionen aufgrund der aktuellen Rechtssituation Risiken beinhalten können.

Ausrollen einer Hardware-TSE

Diese Option erzeugt Rechtssicherheit und Investitionsschutz und kann sofort durchgeführt werden. Dieses Szenario ist anwendbar wenn der KassenBetreiber die Möglichkeit hat Hardware-TSEs vor Ort pro Niederlassung bzw. in einem Rechenzentrum zu betreiben. Dazu muss der KassenBetreiber eine der zertifizierten Harware-TSEs installieren und in Betrieb nehmen. Als KassenHändler müssen Sie diese Konfiguration zusammenstellen und bei Ihrem Kunden ausrollen. Wir empfehlen dazu das Produkt „fiskaltrust.Sorglos mit TSE“ aus dem Shop für Ihre Kunden zu bestellen.

Einsetzen einer zertifizierten Swissbit-Cloud-TSE

Diese Option erzeugt keine Rechtssicherheit jedoch Investitionsschutz und kann sofort umgesetzt werden. Falls der KassenBetreiber keine Möglichkeit hat eine Hardware TSE einzusetzen, kann er die bereits zertifizierte Swissbit-Cloud-TSE einsetzen. Die Voraussetzung für dieses Roll-Out ist, dass der Umgebungsschutz nicht wie vorgeschrieben umgesetzt ist. Eine weitere Voraussetzung ist eine Entscheidung auf politischer Ebene: Der technisch nicht umsetzbare Umgebungsschutz muss ausgesetzt werden. In diesem Fall wäre die Rechtssicherheit mit einer entsprechenden Anmerkung in Bezug auf die fehlende Umsetzung des Umgebungsschutzes erfüllt. Mit dem Produkt „fiskaltrust.Sorglos mit TSE“ kann auch der Investitionsschutz erhalten werden, sofern nur eine Queue/Kassenseriennummer pro Standort verwendet wird – also eine 1:1 Beziehung Swissbit-Cloud-TSE zu Kasse.

Ausrollen mit der noch nicht zertifizierten fiskaly-Cloud-TSE

Diese Option erzeugt keine Rechtssicherheit jedoch Investitionsschutz und kann sofort umgesetzt werden. Falls der KassenBetreiber keine Möglichkeit hat eine Hardware TSE einzusetzen, kann er die aktuell noch nicht zertifizierte fiskaly-Cloud-TSE einsetzen. Es bestehen hier keine weiteren Voraussetzungen für das RollOut. Jedoch ist auch hier eine politische Entscheidung abzuwarten bzw. wird diese vorausgesetzt: Das der Einsatz dieser nicht zertifizierten TSE nach dem 31. 03. 2021 gebilligt wird. Zur Minimierung der Rechtsunsicherheit wird auf jedem Beleg die Anmerkung erfolgen, dass aktuell eine noch nicht zertifizierte TSE im Einsatz ist. Mit dem Produkt „fiskaltrust.Sorglos mit TSE“ wird der Investitionsschutz erhalten , sofern die Umrüstkosten bei einer Zertifizierung bereits berücksichtigt werden können. Bitte beachten / bewerten Sie als KassenHändler, welche zusätzlichen Aufwände bei einer Änderung der Fiskaly-Cloud-TSE in einem erneuten Roll-Out zu erwarten sind.

KassenBetreiber stellt einen Antrag nach §148a AO 

Falls KassenBetreiber keine der oben genannten Optionen in Anspruch nehmen können bzw. möchten, kann gemeinsam mit dem Steuerberater des KassenBetreibers ein Antrag nach §148a AO gestellt werden. Diese Option erzeugt Rechtssicherheit und Investitionsschutz. Der Zeitrahmen hierbei ist allerdings ungewiss, da auf eine Entscheidung des zuständigen Finanzamtes gewartet werden muss. Am Ende dieses Artikels finden Sie ein Beispiel des Antrags von fiskaltrust.

Auf das Ergebnis des Antrags zum §148a AO der fiskaltrust warten

Diese Option erzeugt Rechtssicherheit und Investitionsschutz. Der Zeitrahmen ist bei dieser Option ungewiss, da auf eine Entscheidung der einzelnen Landesfinanzministerien gewartet werden muss. fiskaltrust hat bei den Landesfinanzministerien einen Antrag nach §148a AO eingebracht. Dieser Antrag zielt auf eine weitere Nichtbeanstandung für die Gruppe der KassenBetreiber ab, welche eine cloud-basierte TSE verwenden wollen und/oder müssen, über den 31.03.2021 hinaus.

Eine politische Entscheidung abwarten.

Diese ist die einfachste Option und wird wahrscheinlich mittelfristig zu einem Resultat führen. Natürlich ist hier das Problem des Zeitrahmens gegeben. Erfolgt eine politische Entscheidung zum Thema „Cloud-TSE“ noch im März 2021 kann es sein, dass der Roll-Out kurzfristig stattfinden muss. Das Abwarten bringt auch eine bessere Entscheidungsgrundlage, da mehr Informationen zur Verfügung stehen.