Cloud-TSEs: Ort des Aufzeichnungssystems und Ort der SMAERS
Cloud-TSEs: Ort des Aufzeichnungssystems und Ort der SMAERS
Im Wettbewerb um den Markt rund um die Absicherung der Kassen mit Technischen Sicherheitseinrichtungen haben sich zwei konträre Interpretationen der Rechtslage gebildet.
Der DFKA e.V., als neutraler Branchenverband, hat sich mit der Situation befasst und bereits das Bundesministerium für Finanzen (BMF), in dessen Verantwortungsbereich diese Entscheidung fällt, um Klärung der Sachlage gebeten. Ziel ist es Unstimmigkeiten und Unsicherheiten unter Anwendern, Herstellern und Händlern auszuräumen. Die Situation stellt sich wie folgt dar:
Beim Einsatz von Cloud-TSEs gibt es eine Anforderung1 des BSI, dass das Aufzeichnungssystem (also das Kassensystem) und die SMAERS2 in der gleichen Einsatzumgebung betrieben werden müssen. Daraus ergibt sich die Frage, wo sich das Aufzeichnungssystem im Sinne dieser Anforderungen befindet, falls dessen Komponenten auf verschiedene Orte verteilt sind. So ist das z.B. bei einer heute sehr gängigen Kassenlösung der Fall, die teilweise in der Verkaufsstelle und teilweise auf einem Server – ob in der Cloud, in einem eigenen oder fremden Rechenzentrum – implementiert ist.
Hierzu gibt es bisher keine belastbare Definition und im Markt werden unterschiedliche Auffassungen vertreten.
Bei der Frage, ob ein Gerät überhaupt an eine TSE anzubinden ist, wird vom BMF in den FAQs zur KassenSichV3 als Unterscheidungskriterium zwischen einem „Eingabegerät“ (keine direkte TSE-Anbindung) und einem „selbstständigen Aufzeichnungssystem“ (unmittelbare TSE-Anbindung erforderlich) die „Offline-Fähigkeit“ verwendet. Allerdings ist der Begriff der Offline-Fähigkeit nicht eindeutig definiert. Sobald die Funktionen einer Komponente „über die Funktionen z.B. einer Tastatur hinaus [gehen]“, nimmt das BMF offenbar eine Offline-Fähigkeit an. Damit wären in der Praxis so gut wie alle Kassensysteme offline-fähig, womit die SMAERS beim Anwender in der Verkaufsstelle betrieben werden müsste. Bei Hardware-TSEs ist das prinzipbedingt der Fall, bei Cloud-TSEs erfordert das einen größeren zusätzlichen Aufwand.
Es sind nun zwei grundsätzliche Sichtweise möglich: Eine offline-fähige Komponente gilt …
1. … als Aufzeichnungssystem im Sinne des Schutzprofils und braucht eine lokale SMAERS
oder
2. … nicht automatisch als Aufzeichnungssystem, sondern das BMF wendet andere Kriterien an, wie z.B. den Ort der dauerhaften Speicherung der Grundaufzeichnungen und daher reicht eine zentrale SMAERS.
Das Bundesministerium für Finanzen, dass sich mit der Problematik nun befasst, wird eine Entscheidung treffen müssen, die eine große Tragweite für die Kassenbranche und den Markt hat. Letztendlich geht es um den rechtssicheren Betrieb tausender Kassen und um die grundsätzliche Gleichbehandlung aller Markteilnehmer. Eine Entscheidung für die eine oder andere Interpretation hätte enorme Auswirkungen, die der DFKA e.V. in einem anliegenden Schaubild zusammengefasst hat.
1 Schutzprofil BSI-CC-PP-0105-V2-2020
2 Security Module Application for Electronic Record-keeping Systems (Teil-Komponente der TSE)
3 https://www.bundesfinanzministerium.de/Content/DE/FAQ/2020-02-18-steuergerechtigkeit-belegpflicht.html
Ort_des_Aufzeichnungssystems_und_Ort_der_SMAERS