Fiskalspeicher

Als Fiskalspeicher werden speziell gesicherte Speichereinheiten vor allem in Registrierkassen und Taxametern bezeichnet. In diesen Speichern sollen Umsatzdaten so abgelegt werden, dass sie nicht manipuliert werden können und von Finanzbehörden zu Prüfungszwecken (vor allem im Rahmen von Außenprüfungen) verwendet werden können. Fiskalspeicher sind in einer Reihe von Ländern gesetzlich vorgeschrieben.

Hintergrund und Geschichte

Mit dem Wechsel von der papierbasierten Buchführung auf elektronische Systeme in der zweiten Hälfte des 20. Jahrhunderts wurde es möglich, Daten relativ leicht und ohne Nachweismöglichkeit zu verändern. In vielen Anwendungsbereichen spielte und spielt das praktisch keine große Rolle. Elektronische Registrierkassen wurden allerdings verstärkt dazu verwendet, erfasste Umsätze nachträglich zu verkürzen.

Um die dadurch mögliche Hinterziehung von Steuern und Sozialabgaben einzudämmen, wurden Anfang der 1980er Jahre in Italien die ersten Fiskalspeichersysteme entwickelt und sind dort seitdem vorgeschrieben. Der Grundansatz wurde in anderen Ländern übernommen, in den meisten Fällen mit einer Reihe von Detailänderungen. So sind im Laufe der Zeit sehr uneinheitliche rechtliche, organisatorische und technische Lösungen entstanden.

Da Fiskalspeichersysteme einen hohen Entwicklungsaufwand bedingen, praktisch immer eine Zertifizierung erfordern und diese bei jeder oder zumindest jeder größeren Produktänderung erneuert werden muss, führen sie oft zu einer erheblichen Behinderung der Weiterentwicklung.[1]

Da es sich bei Fiskalspeicher-Systemen oft um rein nationale Lösungen handelt, die zumeist von lokalen Anbietern stammen, ist Dokumentation oft nur in der jeweiligen Landessprache verfügbar. Es existieren praktisch keine Darstellungen der internationalen Situation.

Technik

Im Laufe der Zeit wurden sehr unterschiedliche Systeme entwickelt. Sie lassen sich grob in folgende Kategorien einteilen:

Konventionelle Systeme

Entsprechend der in den 1980er Jahren verfügbaren Technik basieren diese Systeme vor allem auf einem mechanischen Schutz des Speichers verbunden mit Bauartanforderungen an das Gesamtsystem. Der eigentliche Fiskalspeicher bestand zu dieser Zeit aus EPROMs, die zusammen mit einem Mikroprozessor fest zu einem Modul verbunden wurden, z. B. mit Gießharz. Dadurch konnte der EPROM-Speicher nicht mehr gelöscht werden. Aufgrund der geringen Speicherkapazität werden nur Tagesumsatzsummen gespeichert. Um so ein System sicher zu machen, muss es gegen Eingriffe geschützt werden, da sonst die Umsätze vor dem Schreiben in den Fiskalspeicher manipuliert werden könnten. In der Folge muss die gesamte Registrierkasse verplombt und die Hard- und Software zertifiziert werden.

Fiskaldrucker

Die zunehmende Modularisierung von Registrierkassen, d. h. die Auftrennung in Tastatur, Bildschirm/Display, CPU-Einheit und Drucker widersprach dem ursprünglichen Konzept, alle Komponenten in einem Gehäuse zu integrieren. Dies wurde durch das Konzept des „Fiskaldruckers“ gelöst. Dabei ist das Fiskalspeichermodul im modularen Drucker eingebaut. Es hängt von der Systemarchitektur ab, ob die anderen Komponenten des Systems eine Zertifizierung benötigen oder nicht.

Konventionelle Systeme mit elektronischem Journal

Da die ursprünglich verwendeten, auf Papier gedruckten Journale (also die Aufzeichnung aller Buchungsdetails) in der Praxis kaum prüf- und auswertbar sind und die verfügbaren Speicherkapazitäten z. B. durch Flash-Speicher schnell wuchsen, wurden verstärkt Lösungen mit einer elektronischen Aufzeichnung des Journals entwickelt.

Kryptografie

Im weiteren Bemühen, die Systeme sicherer zu machen, wurden Daten in einigen Systemen kryptografisch gesichert. So kommt z. B. in der schwedischen Lösung eine Verschlüsselung zum Einsatz. Bisher wird dabei vor allem das Prinzip "Security through obscurity" angewandt – kryptografische Lösungen nach aktuellen Standards sind bisher sehr selten (z. B. in dem in Belgien geplanten Fiskalsystem, das für die Signaturerzeugung eine Smartcard mit klar definierter Schnittstelle einsetzt).

Online-Systeme

In einigen Ländern (z. B. Serbien) wurden die Systeme um eine Online-Übertragung von Daten direkt an die Finanzverwaltung ergänzt.

Länder mit Fiskalspeicher-Zwang

Beispielhafte Übersicht von Ländern mit gesetzlich vorgeschriebenem Fiskalspeicher[2][3][4][5]

  • Argentinien
  • Belgien (nur für Gastronomie, Einführung für 2013 geplant, dann Verschiebung auf 2015, endgültig Ende 2016 in Kraft)
  • Brasilien
  • Bulgarien
  • Griechenland
  • Deutschland (seit 2017, ab 2020 nach KassenSichV)
  • Italien
  • Kanada, Provinz Québec
  • Kroatien
  • Lettland
  • Litauen
  • Österreich (Registrierkassensicherheitsverordnung)
  • Polen
  • Rumänien
  • Russland
  • Schweden
  • Slowenien
  • Türkei
  • Venezuela

Praktischer Nutzen

Die Praxis zeigt, dass viele Fiskalspeicher-Systeme nicht besonders wirkungsvoll sind. Dabei sind seltener technische Angriffe das Problem, stattdessen werden Daten einfach nicht in der Registrierkasse mit dem Fiskalspeicher erfasst (sondern gar nicht bzw. in einer "nicht-fiskalisierten" Kasse).

Dieser Pressebericht[6] zeigt exemplarisch, dass ein Fiskalspeicher-System ohne laufende Kontrollen weitgehend wirkungslos sein kann:

„Mit 80 Steuerinspektoren rückte die Staatsmacht am frühen Morgen im mondänen italienischen Ski-Ort Cortina d’Ampezzo ein. […] In den Geschäften, Hotels und Restaurants, in denen am Tag vor Silvester ein Steuerfahnder neben der Kasse saß, ging der Umsatz steil in die Höhe. Restaurants nahmen das Doppelte vom Vortag ein und das Dreifache vom Vor-Silvestertag 2010. Bei Luxusboutiquen vervierfachte sich der Absatz sogar.“

Die erforderlichen Kontrollen sind je nach gewähltem technischen Ansatz unterschiedlich einfach und unterschiedlich wirkungsvoll. Idealerweise erfordert eine Kontrolle keinen Zugriff auf das System, sondern kann anhand von Belegen erfolgen. Diese müssen dann natürlich fälschungssicher sein, was sich nur durch kryptografische Verfahren erreichen lässt.

Alternativen

INSIKA

Das in Deutschland entwickelte, aber bisher nicht gesetzlich eingeführte INSIKA-System verfolgt die gleichen Ziele wie ein Fiskalspeicher, jedoch mit anderen konzeptionellen und technischen Ansätzen. Im Gegensatz zu einem Fiskalspeicher-System bestehen kaum technische Auflagen, trotzdem wird ein mindestens gleichwertiges Sicherheitsniveau erreicht. Voraussetzung ist die Integration eines Smartcard-Lesers. Laufende Kosten entstehen nicht. Die erforderlichen Kontrollen sind aufgrund der Signaturen auf den Belegen leichter möglich als bei konventionellen Fiskalspeicher-Systemen.

EFSTA-Verfahren

Von der österreichischen European Fiscal Standards Association (EFSTA) wurde ein Verfahren entwickelt, das die sofortige elektronische Übermittlung der entstehenden Fiskaldaten in verschlüsselter und signierter Form an einen vertrauenswürdigen, unabhängigen Dritten vorsieht. Technische Voraussetzungen sind eine lokale Softwareinstallation auf der PC-Kasse sowie eine Interverbindung. Auf nicht-PC-basierten Systemen ist efsta nicht ohne weiteres nutzbar. Es entstehende laufende Kosten für Internetverbindung und die efsta-Dienstleistung. Die Sicherheit des Verfahrens wurde von Experten bestätigt.[7] Im Gegensatz zu konventionellen (hardwarebasierten) Fiskalspeichersystemen ist auch eine ortsunabhängige Kontrolle der so gesicherten Daten möglich.

Datenanalyse

In Ländern, in denen technische Auflagen für Registrierkassen politisch nicht gewollt oder durchsetzbar sind, behelfen sich die Finanzbehörden oft damit, die Aufzeichnung von Einzeltransaktionen und den Zugriff auf diese Daten zu verlangen. Die rechtlichen Grundlagen dafür bestehen in den meisten Fällen bereits (in Deutschland sind sie in der Abgabenordnung verankert und in den GoBS und den GDPdU konkretisiert), sie müssen nur auf Registrierkassen angewendet werden (in Deutschland durch das BMF-Schreiben vom 26. November 2010[8]). Durch die Analyse der Einzeltransaktionen lassen sich Manipulationen in vielen Fällen aufdecken, was allerdings mit sehr hohem Prüfungsaufwand verbunden ist. Durch Zapper-Software vorgenommene Manipulationen lassen sich so allerdings nur schwer erkennen.

Einzelnachweise

  1. Dr. Norbert Zisky, Jens Reckendorf: Whitepaper: Fiskalsysteme – Anforderungen und Lösungen. (PDF) Juni 2014, abgerufen am 10. September 2018.
  2. Richard T. Ainsworth: Electronic Tax Fraud – Are There 'Sales Zappers' in Japan? Boston University School of Law, 2008, S. 16, abgerufen am 20. November 2012.
  3. Het Geregistreerd Kassasysteem (GKS). Finanzministerium Belgien, abgerufen am 10. September 2018 (niederländisch).
  4. Cash register legislation becomes effective 1 January 2010. (Nicht mehr online verfügbar.) Finanzministerium Schweden, ehemals im Original; abgerufen am 20. November 2012.@1@2Vorlage:Toter Link/www.skatteverket.se (Seite nicht mehr abrufbar. Suche in Webarchiven.)
  5. Mandatory Billing. (PDF) Finanzministerium Québec, Oktober 2017, abgerufen am 10. September 2018 (englisch).
  6. Hans-Jürgen Schlamp: Im Land der steinreichen Armen. In: Spiegel Online. 7. Januar 2012, abgerufen am 21. November 2012.
  7. Beurteilung des efsta (European Fiscal Standards Association) – Verfahrens aus Informationssicherheitssicht (Datensicherheit und Datenschutz). (PDF) University of Applied Sciences Upper Austria Fakultät für Informatik, Kommunikation und Medien Campus Hagenberg, 3. Juli 2013, abgerufen am 10. September 2018.
  8. BMF-Schreiben vom 26. November 2010. (Nicht mehr online verfügbar.) Bundesfinanzministerium, archiviert vom Original am 25. August 2012; abgerufen am 22. November 2012.  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.bundesfinanzministerium.de