Zapper (Software)

Zapper ist ein Begriff für Software, die in Buchführungssystemen, Warenwirtschaftssystemen und vor allem Registrierkassen, Taxametern und Geldspielautomaten gespeicherte Transaktions- und Umsatzdaten nachträglich verändert. Generell unterlaufen Zapper die Grundsätze ordnungsgemäßer Datensicherheit nach dem Stand der Technik. Jedes System von Hardware und Software, welches durch Zapper manipuliert werden kann, ist ein unsicheres System. Das betrifft insbesondere die Gefährdungen entgegen den Anforderungen gemäß ISO/IEC 27001 (Information technology – Security techniques – Information security management systems – Requirements).

Die Manipulation wird zur Umsatzverkürzung und damit zur Steuerhinterziehung und Hinterziehung von Sozialabgaben vorgenommen. Der Ausdruck Zapper wurde erstmals von Richard Ainsworth verwendet.[1]

Hintergrund und Geschichte

In Branchen mit hohem Anteil von Barumsätzen werden vielfach Umsatzzahlen manipuliert. Das geschieht z. B. durch eine Veränderung von Daten in Registrierkassen. Der Bundesrechnungshof hat bereits in seinen Bemerkungen 2003 zur Haushalts- und Wirtschaftsführung des Bundes darauf hingewiesen, dass die (damals) neue Generation von Registrierkassen nicht den Anforderungen an eine ordnungsgemäße Buchführung entspreche.[2] Sofern die Berichte der Registrierkassen lediglich Summenwerte (z. B. Gesamtumsätze pro Tag) beinhalten, sind diese Manipulationen relativ einfach vorzunehmen (z. B. durch Stornierungen). Die Finanzbehörden verlangen aus diesem Grund die Vorlage von Einzeltransaktionen in elektronischer Form (in Deutschland durch eine Anwendung der Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) auch auf Registrierkassen).[3]

Da Manipulationen von Hand aufwendig sind und durch Analysemethoden (z. B. Ziffernanalysen wie den Benford- oder Chi-Quadrat-Test und durch Abweichungen von statistisch zu erwartenden Verteilungen) relativ leicht entdeckt werden können, wurde Software zur automatisierten Manipulation von Daten entwickelt.

Es sind verschiedene Fälle von Zapper-Software bekannt geworden. Dabei stammte die Software teilweise vom Hersteller der Registrierkassen bzw. deren Software, teilweise wurde sie von Dritten entwickelt. Der größte Fall in Deutschland betrifft Apothekensoftware.[4] Ein Pressebericht[5] spricht davon, dass alleine in der kanadischen Provinz Quebec 31 Zapper-Programme auf 13 verschiedenen Registrierkassentypen gefunden wurden. Die Problemstellungen, Lösungsansätze und vor allem die hohen Steuerausfälle – jedoch nur für die Umsatzsteuer – werden in dem auch in deutscher Sprache abrufbaren OECD-Bericht umfassend dargestellt.[6]

Von Zapper-Software wird nur gesprochen, wenn komplexe Manipulationen eines Datenbestandes weitgehend automatisch vorgenommen werden und die Software temporär in das System geladen wird (z. B. von einem USB-Stick). Systeme, bei denen z. B. durch Parameteränderungen ein Zähler der Stornierungen im Ausdruck weggelassen wird oder ein Trainingsmodus für die reguläre Arbeit genutzt wird bzw. fest eingebaute Manipulationsfunktionen, gehören nicht in die Kategorie der Zapper-Software.

In der Rechtsprechung[7] und Literatur[8][9] wird vor allem der Begriff Manipulationssoftware verwendet. In Presseartikeln wurde auch verniedlichend von Schummelsoftware gesprochen.

Technik

Bei PC-gestützten Registrierkassen wird die verwendete Datenbank meistens direkt verändert, bei nicht-PC-basierten Systemen wird z. B. der Datenbestand einer PC-Auswertungssoftware manipuliert. Die Zapper-Software kann in das Produkt integriert, oder zur Tarnung davon getrennt sein. Sie ist teilweise auch als Spiel getarnt worden, bei dem in der höchsten Spielstufe plötzlich die Manipulationsfunktionen benutzbar sind.

Zwei in der Fachliteratur dokumentierte Beispiele:

  • Zapper bei einer PC-Kasse (offenes System):[10] In diesem System wird eine SQL-Datenbank verwendet. Mit einem separaten Programm kann diese Datenbank verändert werden. Das Programm ist auf den ersten Blick eine Software zur Analyse der Verkaufsdaten. Durch einen Mausklick auf einen angezeigten Mengenwert kann die Verkaufsstückzahl des entsprechenden Produktes auf einen frei bestimmbaren Wert reduziert werden. Dafür werden die Veränderungen der Verkaufsmengen über mehrere Transaktionen, die das entsprechende Produkt enthalten, verteilt. Während der Manipulation wird eine Übersicht der ursprünglichen und der veränderten Umsätze angezeigt. Aus der veränderten Datenbank erstellt die Kassensoftware dann später die Berichte und die bei einer Außenprüfung vorzulegenden Daten.
  • Zapper bei einem proprietären (geschlossenen) System:[11] In diesem System werden die Daten aus der Kasse täglich in eine Backoffice-Software übernommen. Der Zapper ist Bestandteil dieser Software und wird durch einen USB-Stick mit einer bestimmten Datei aktiviert. Durch einen Mausklick in einen bestimmten, nicht ersichtlichen Bereich wird die Zapperfunktion aufgerufen. Nach der Vorgabe eines zu verkürzenden Geldbetrags erfolgt eine automatische Anpassung der gespeicherten Transaktionen, um den Zielwert zu erreichen.

Maßnahmen zur Verhinderung und Aufdeckung von Manipulationen

Technische Sicherungen

Der Einsatz von Zapper-Software lässt sich durch technische Maßnahmen erschweren oder auch praktisch unmöglich machen. Dabei handelt es sich vor allem um Fiskalspeicher-Systeme oder neuere Verfahren wie INSIKA. Die Stadt Hamburg fördert sogar die Anschaffung und den Einbau von Geräten, die geeignet sind, im Taxameter erzeugte Daten unveränderbar zu sichern und auf externe Speichermedien zu übertragen.[12]

Überwachungsmaßnahmen

Wenn keine technischen Gegenmaßnahmen vorhanden sind, bleibt nur der Ansatz, Zapper durch die Analyse von Umsatzdaten im Rahmen von Außenprüfungen zu entdecken. Die übliche elektronische Betriebsprüfung muss dabei durch andere Kontrollen ergänzt werden, um die Verwendung eines Zappers zu erkennen. Das kann zum einen die stichprobenartige Kontrolle der Belege sein. Ein anderer Ansatz ist die Aufforderung zur Vorlage diverser Daten (Verkaufsdatei bestehend aus der Kassenzeile, den Einzeldaten und der Bewegungsdatei aus dem Warenwirtschaftssystem).

Einsatz von Sachverständigen

In konkreten Verdachtsfällen wird eine forensische Untersuchung erfolgen. Im Bedarfsfall schaltet die Steuerfahndung dafür Sachverständige ein.

Rechtliche Situation in Deutschland

Betroffene Strafrechtsnormen

Berufsrecht

  • Gewerbeuntersagung wegen Unzuverlässigkeit nach § 35 GewO
  • Widerruf der Taxenkonzession nach PBefG
  • Widerruf der Approbation bei Apothekern und Ärzten

Anwender

Da die Verwendung einer Zapper-Software eine Steuerhinterziehung vermuten lässt, muss jeder Anwender mit entsprechenden Prüfungsmaßnahmen rechnen. Durch die Verwendung eines Zappers ist die Ordnungsmäßigkeit der Buchführung gem. § 158 AO widerlegt und damit besteht die Möglichkeit zur Hinzuschätzung gem. § 162 AO. Auch der Entzug einer Gewerbeerlaubnis oder Konzession aufgrund steuerlicher Unzuverlässigkeit ist möglich.[14]

Entwickler, Vertreiber und Aufsteller

Die Entwicklung, der Vertrieb und die Installation von Zapper-Software erfüllt den Tatbestand der Beihilfe zur Steuerhinterziehung. Auch der Techniker, der vor Ort einen Zapper installiert, macht sich selbst der Beihilfe zur Steuerhinterziehung strafbar. Dabei ist zu beachten, dass diese Beihilfe nicht nur strafbar ist, sondern nach § 71 AO auch zu einer Mithaftung für die hinterzogenen Steuern und darauf entstehende Zinsen führt. So wurde in einem Beschluss des Finanzgerichts Rheinland-Pfalz am 7. Januar 2015, Az. 5 V 2068/14, ein entsprechender Bescheid gegen den Urheber einer Zapper-Software bestätigt.[15] Die Haftungssumme von 1,6 Millionen Euro entstand bei nur einen einzigen Abnehmer – einer Eisdiele. Eine Haftung für weitere Fälle und eine strafrechtliche Verfolgung sind dadurch nicht ausgeschlossen.

Steuerberater

Weiß ein Steuerberater oder der den konkreten Mandanten bearbeitende Sachbearbeiter im Steuerbüro, dass der Mandant einen Zapper benutzt, so darf er die so bearbeiteten Besteuerungsgrundlagen nicht mit seiner Autorität versehen und als Steuererklärung einreichen. Das löst die eigene Strafbarkeit gem. § 370 AO des Steuerberaters und/oder des Fachgehilfen aus, da ein Steuerhinterzieher nicht der Steuerschuldner sein muss. Zudem greift die steuerliche Haftung gem. § 71 AO ein, wenn der Mandant die Steuerschulden nicht zahlen kann oder will und eine Vollstreckung durch das Finanzamt z. B. wegen Insolvenz erfolglos bleibt.

Folgen

Steuerausfall

Es gibt für Deutschland keine Schätzungen, in welchem Umfang Steuerausfälle durch Manipulationssoftware eintreten. Eine Schätzung der Finanzbehörde von Québec geht von einer Steuerhinterziehung in Höhe von 425 Millionen Dollar nur in Restaurants und nur für die Provinz Québec (ca. 8 Millionen Einwohner) sowie noch einmal in vergleichbarer Höhe für die an den Staat Kanada abzuführenden Steuern aus[16] – anhand der Einwohnerzahl auf Deutschland übertragen würde das mehr als 6 Milliarden Euro entsprechen.

Da aufgrund des BMF-Schreibens vom 26. November 2010 Einzeltransaktionen zu archivieren sind, ist von einem steigenden Anteil der Steuerverkürzungen, die mittels Manipulationssoftware vorgenommen werden, auszugehen. Der Aufwand, per Betriebsprüfung und Steuerfahndung die Hinterziehung aufzudecken, die richtigen Steuern zu schätzen und die Beteiligten strafrechtlich zu verfolgen, wird daher ebenfalls steigen. Unter den Aspekten des Bürokratieabbaus und der Steuergerechtigkeit erscheint aus rechtspolitischer Sicht daher ein systematischer Manipulationsschutz durch Verfahren wie INSIKA als einzig praktikable Lösung.

Generalverdacht

Nach der Aufdeckung von Zapper-Software konzentrieren sich die Finanzbehörden bei Betriebsprüfungen regelmäßig auf alle Anwender der betroffenen Registrierkassen bzw. Softwarelösungen oder sogar auf ganze Branchen (wie z. B. seit dem Jahr 2010 auf Apotheken).[17]

Aufgedeckte Fälle

Auswahl von Fällen, über die nachprüfbar öffentlich berichtet wurde. Als Jahr ist jeweils das Jahr der Aufdeckung angegeben. Aufgrund der teilweise oberflächlichen Informationen ist nicht immer eindeutig klar, ob es sich um Zapper im engeren Sinn oder eine andere Art der Datenmanipulation handelt.

  • 1993: Einzelhandel, USA – erster dokumentierter Zapper[18]
  • 1998: Geldspielautomaten, Deutschland – in der Funktion offenbar ausgefeilte Lösung[19]
  • 2001: Taxibranche, Deutschland (Hamburg) – Software mit Manipulationsfunktionen seit 1993 im Einsatz[20]
  • 2001: Diskotheken, Deutschland – technisch wenig aufwendige Manipulation von Gesamtumsätzen (demnach eigentlich kein echter Zapper), mehrere Hundert Anwender[21]
  • 2005: Gastronomie, Schweden – Manipulation in der Auswertungssoftware, die der Kasse nachgeschaltet ist[22]
  • 2006: Gastronomie, USA – komplexe Manipulationssoftware[23]
  • 2008: Gastronomie, Kanada – Zapper vom Hersteller der Kassensoftware, dieser wurde ebenfalls verurteilt[24][25]
  • 2009: Gastronomie, Belgien – offenbar ausgefeilte automatische Manipulation[26]
  • 2010: Gastronomie, Niederlande – Manipulation von Daten einer PC-basierten Registrierkasse[27]
  • 2011: Gastronomie, Deutschland – genauere Details nicht bekannt[28]
  • 2011: Apotheken, Deutschland – sehr aufwendige Lösung, die auch Lagerdaten manipuliert, potenziell Tausende von Nutzern[4]
  • 2012: Gastronomie, Frankreich – Details nicht bekannt, potenziell Tausende von Nutzern[29]
  • 2012: Gastronomie, Österreich – Manipulation von Daten einer verbreiteten PC-basierten Registrierkasse, weitere Details nicht bekannt[10]
  • 2012: Gastronomie, Deutschland – Zapper als Computerspiel getarnt,[30] Lieferant der Zapper-Software wurde für hinterzogene Steuern in Haftung genommen[15]
  • 2013: Gastronomie, Belgien – Manipulationstechnik bisher nicht genau beschrieben[31]
  • 2013: Gastronomie, Frankreich – Manipulationssoftware auf USB-Sticks[32]
  • 2014: Eisdiele, Deutschland – Zapper als Spiel auf PC getarnt[33]
  • 2017: Gastronomie, Deutschland – größere Anzahl von Nutzern[34]
  • 2019: Gastronomie, Deutschland – etwa 1.000 Nutzer[35]

Steuerpolitik

NRW-Finanzminister Walter-Borjans hat den Manipulationen durch Zapper-Software den Kampf angesagt und verlangt gesetzliche Änderungen. Öffentlich angekündigt wurde das in einer Pressekonferenz am 3. April 2014.[30]

Literatur

Einzelnachweise

  1. Richard T. Ainsworth: Zappers: Tax Fraud, Technology and Terrorist Funding. Boston University School of Law, 20. Februar 2008, abgerufen am 19. November 2012.
  2. Bemerkungen 2003. (PDF; 2,1 MB) Bundesrechnungshof, S. 197–198, abgerufen am 1. Mai 2019.
  3. BMF-Schreiben vom 26. November 2010. (Nicht mehr online verfügbar.) Bundesministerium der Finanzen, 26. November 2010, archiviert vom Original am 25. August 2012; abgerufen am 19. November 2012.
  4. a b Finanzprüfer suchen Manipulation in Apotheken-EDV. (Nicht mehr online verfügbar.) In: apotheke adhoc. 9. September 2011, archiviert vom Original am 19. November 2012; abgerufen am 19. November 2012.
  5. With Software, Till Tampering Is Hard to Find. In: The New York Times. 29. August 2008, abgerufen am 3. März 2013.
  6. Electronic Sales Suppression: A threat to tax revenues. OECD
  7. FG Düsseldorf vom 20. März 2008, 16 K 4689/06 E, U, F, EFG 2008, 2012
  8. Andreas Wähnert, Manipulationssoftware - Kann Manipulation dauerhaft unsichtbar bleiben?, StBp 2013, 102
  9. Hermann Pump, Rechtsfolgen bei Verwendung von Manipulationssoftware (Zappersoftware), DStZ 2013, 299.
  10. a b Erich Huber: Steueraufsicht und Betriebsprüfung in der Zeit der Kassenandroiden und ohne INSIKA – Grundgedanken, Ziele, Risiken und zweitbeste Lösungen – Teil III und IV. In: Die steuerliche Betriebsprüfung. 01 bis 02, 2013, S. 10–12, 35–36.
  11. Erich Huber: Über Registrierkassen, Phantom-ware, Zapping und Fiskallösungen aus Deutschland und Österreich – Teil II. In: Die steuerliche Betriebsprüfung. Nr. 07, 2009, S. 191–195.
  12. Förderung für Taxameter in Hamburg. (Nicht mehr online verfügbar.) Stadt Hamburg, Verkehrsgewerbeaufsicht, archiviert vom Original am 22. Februar 2013; abgerufen am 31. Januar 2013.
  13. Arno Becker: Beweismittelunterdrückung gemäß § 274 Abs. 1 Nummern 1 und 2 StGB – Teil I bis III. In: Die steuerliche Betriebsprüfung. 02 bis 04, 2008.
  14. Urteil VG Berlin, 11 L 352.11. 10. August 2011, abgerufen am 1. März 2013.
  15. a b Steuerhinterziehung im Fall des Verkaufs und der Verwendung von Kassenmanipulationssoftware. (Nicht mehr online verfügbar.) FG RP, 7. Januar 2015, archiviert vom Original am 6. März 2016; abgerufen am 28. Januar 2015.
  16. Quebec’s Sales Recording Module (SRM): Fighting the Zapper, Phantomware, and Tax Fraud with Technology. (PDF; 522 kB) In: Canadian Tax Journal. 2009, S. 718, Fußnote 4, abgerufen am 3. Februar 2013.
  17. Apotheker als Hochrisikoklasse. (Nicht mehr online verfügbar.) In: apotheke adhoc. 27. Januar 2011, archiviert vom Original am 9. März 2014; abgerufen am 20. Februar 2013.
  18. Connecticut Store Owner Sentenced in Tax Fraud. In: The New York Times. 21. Oktober 1993, abgerufen am 19. November 2012.
  19. Unschuldiger Kassenzettel. In: Der Spiegel. Nr. 17, 1998 (online).
  20. Urteil FG Hamburg 6. Senat, 6 K 90/08. 18. November 2009, abgerufen am 10. Januar 2013.
  21. DISCOS: Tanz mit dem Fiskus. In: Focus. 3. Dezember 2001, abgerufen am 19. November 2012.
  22. Richard T. Ainsworth: Zappers: Technology-assisted Tax Fraud. (PDF; 311 kB) (Nicht mehr online verfügbar.) 9. Juni 2008, archiviert vom Original am 19. November 2012; abgerufen am 19. November 2012.
  23. Superseding indictment returned against La Shish owner. (PDF; 76 kB) (Nicht mehr online verfügbar.) U.S. Department of Justice, 30. Mai 2007, archiviert vom Original am 30. Mai 2010; abgerufen am 21. November 2012.
  24. Sushi restaurants accused of tax fraud. (Nicht mehr online verfügbar.) In: canada.com. 11. Dezember 2008, archiviert vom Original am 14. März 2009; abgerufen am 19. Februar 2013.
  25. Richmond software firm fined $100,000 for tax evasion software. (Nicht mehr online verfügbar.) In: richmondREVIEW.com. 23. Juli 2012, archiviert vom Original am 19. August 2013; abgerufen am 19. Februar 2013.
  26. Double comptabilité dans des restaurants. In: La Libre Belgique. Abgerufen am 20. November 2012.
  27. Aanhoudingen vanwege grootschalige belastingfraude met kassa’s. (Nicht mehr online verfügbar.) Niederländische Regierung (Rijksoverheid), 13. April 2010, ehemals im Original; abgerufen am 19. November 2012.@1@2Vorlage:Toter Link/www.rijksoverheid.nl (Seite nicht mehr abrufbar, Suche in Webarchiven Info: Der Link wurde automatisch als defekt markiert. Bitte prüfe den Link gemäß Anleitung und entferne dann diesen Hinweis.
  28. Manipulierte Kassen in Hannovers Gastronomie. In: Hannoversche Allgemeine Zeitung. 20. November 2011, abgerufen am 19. November 2012.
  29. Arnaque juteuse grâce aux caisses miraculeuses. In: Le Parisien. 6. Oktober 2012, abgerufen am 19. November 2012.
  30. a b Pressekonferenz „Wenn die Kasse klüngelt“. (PDF) (Nicht mehr online verfügbar.) Finanzministerium NRW, 3. April 2014, archiviert vom Original am 8. April 2014; abgerufen am 15. Mai 2014.
  31. Marktleider voor kassasystemen helpt horecazaken om te frauderen. In: Het Laatste Nieuws. 27. März 2013, abgerufen am 27. März 2013.
  32. Esprit, Kili et 64 : le procès met leurs comptes à jour. In: La République des Pyrénées. 23. September 2014, abgerufen am 8. Oktober 2014.
  33. vgl. Beschluss des Finanzgerichts Rheinland-Pfalz am 7. Januar 2015, Az. 5 V 2068/14.
  34. Haftbefehle wegen Kassen-Manipulation. In: Saarbrücker Zeitung. 12. Juni 2017, abgerufen am 20. Juni 2017.
  35. Asia-Restaurants prellen den Staat offenbar um Hunderte Millionen Euro. In: SPIEGEL Online. 16. März 2019, abgerufen am 1. Mai 2010.