Entwurf Änderung KassenG & AO
18. März 2016 13:11 Uhr | Dr. Ulrich Kampffmeyer | Permalink
Aus dem Bundesministerium der Finanzen gibt es wieder einen schönen Referentenentwurf, der zu einer Änderung von KassenG und AO führen soll. Und auch das BSI soll wieder mitmachen und zertifizieren
Der Referentenentwurf "eines Gesetzes zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen" vom 18.3.2016 hat es mal wieder in sich – gleich zu Anfang liest man Folgendes:
<Zitat> … Jedoch stellen die heute bestehenden technischen Möglichkeiten zur Manipulation von digitalen Grundaufzeichnungen, wie Kassenaufzeichnungen ein ernstzunehmendes Problem für den gleichmäßigen Steuervollzug dar. Auf Grund der fortschreitenden Technisierung ist es heutzutage möglich, dass digitale Grundaufzeichnungen, z. B. in elektronischen Registrierkassen, unerkannt gelöscht oder geändert werden können. </Zitat>
Es geht also darum, den möglichen Betrug bei Kassensystemen einzugrenzen, nachdem es erst kürzlich obligatorisch geworden war, auch die "elektronischen Kassenzetell" jeder einzlenen Kasse aufzubewahren und für die Steuerprüfung bereitzuhalten.
Drei Maßnahmen sind im Referentenentwurf vorgesehen:
(1) Technische Sicherheitseinrichtung in einem elektronischen Aufzeichnungssystem
(2) Einführung einer Kassen-Nachschau
(3) Sanktionierung von Verstößen
Bei (1) wird es dann interessant – sollen hier wieder "WORM"-Speicher in jede Kasse eingebaut werden. Oder sind die Speichersysteme für die Aufberwahrung gemeint, wo die Datena us den Kassen später landen? Dies alles wird sich klären, wenn das BSI Bundesamt für Sicherheit ind er Informationstechnik beginnt zu prüfen und zu zertifizieren. Nach dem Referentenentwurf wird es dann praktisch auch ein Zertifikat für GoBD-nahe Hardware, ein Nebensystem im Sinne der GoBD, dann geben. Bracuhen wir das? Was ist mit all den alten Kassen? Rückt da denn das BSI zu Vor-Ort-Prüfungen aus? Oder sind dann Kassen ohne BSI-Zertifikat gleich dem Außenprüfer suspekt? Und kommt dann mal für jede nicht zertifizierte Kasse die Sanktionierung zum Tragen? Und was machen die anderen europäischen Kassensystemhersteller – lassen die sich in Deutschland gängeln?
Fragen über Fragen …
Von den drei in Abschnitt C. aufgeführten Alternativen (1. Beibehaltung des Status Quo, 2. INSIKA-Konzept mit integrierter Sicherheitslösung für messwertverarbeitende Kassensysteme, 3. Zertifizierungsverfahren) der Vorschlag für die Umsetzung im Gesetz:
<Zitat> Nach Abwägung der zu erwartenden Folgen und Risiken der Regelungsalternativen wird die Alternative 3 mit diesem Entwurf rechtsförmlich umgesetzt. </Zitat>
Also kommt die Zertifizierung von Kassensystemen und Kassensystemsoftware (auch andere Systeme denkbar?) durch das BSI Bundesamt für Sicherheit in der Informationstechnik. Damit dürfte sich dann auch das Thema Zertifizierung von Software nach den GoBD durchsetzen.
Interessant wird es beim Abschnitt E.2:
<Zitat> E.2 Erfüllungsaufwand für die Wirtschaft
Für die Wirtschaft entsteht ein einmaliger Erfüllungsaufwand i. H. v. rd. 470 Mio. Euro für
die Neuanschaffung und Umstellung der Geräte und jährlich laufender Erfüllungsaufwand
i. H. v. rd. 106 Mio. Euro für die Kosten der Zertifizierung, Personalkosten für die Mitwirkung
bei der Kassennachschau sowie laufende Kosten für Wartung und Support. </Zitat>
Umstellungskosten 1/2 Milliarde plus 100 Millionen jedes Jahr … und bis wann muss umgestellt sein?
Und dann gibt es ja noch E3:
<Zitat> Im Bundesamt für Sicherheit in der Informationstechnik entsteht ein Personalmehrbedarf
von zwei Stellen im höheren Dienst und Sachkosten i. H. v. 500 000 Euro jährlich. </Zitat>
Ich wusste garnicht, dass die so gut bezahlt sind. Aber nur 2 Leute? Wer prüft denn vor Ort? Guckt jetzt der Außenprüfer erstmal nach dem Zertifikat der Kasse (und dann nach dem Zertifikat der Software)?
Kritik am Kassengesetz-Entwurf
Es mehrt sich die Kritik am KassenG, besonders in Bezug auf die fragwürdige Vorlage, dass das BSI Kassen zertifizieren soll (BMF Referentenentwurf "Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen" vom 18.3.2016. http://bit.ly/1R2UN61). Eigentlich muss man dann jede Kase vor Ort prüfen oder vorab eichen lassen. Die anderen beiden Optionen – Nachprüfung und finanzielle Sanktion – sind realistisch, aber offenbar nicht gewollt. Der Fiskus will an den Prüfungen mitverdienen und öffnet damit auch zugleich Tür-und-Tor für andere GoBD-Zertifikate, die eigentlich "nichts wert" sein sollten.
Ergänzungen am 26.3.2016:
Beiträge von
Stefan Groß, PSP, in seiner Analyse:
https://www.psp.eu/media/in-public/PSP-Beitrag_Kassenmanipulation_21032016.pdf
Gerhard Schmidt, Elektronische-Steuerpruefung.de, in seinem Editorial http://elektronische-steuerpruefung.de/kommentare/ed1603.htm und in seinem Artikel http://elektronische-steuerpruefung.de/rechtsgrund/schmidt-kommentar-referentenentwurf-kassengesetz.htm
Ulrich Kampffmeyer, PROJECT CONSULT, in seinem Beitrag vom 18.3.2016, hier http://www.project-consult.de/ecm/news/2016/entwurf_%C3%A4nderung_kasseng_ao und hier http://elektronische-steuerpruefung.de/rechtsgrund/kampffmeyer-kommentar-referentenentwurf-kassengesetz.htm
Diskussion in Social-Media-Gruppen und Blogs
XING-Gruppen https://www.xing.com/communities/posts/koennen-software-zertifikate-ein-wirksames-mittel-sein-die-manipulation-von-kassensystemen-zu-verhindern-1011079022 oder https://www.xing.com/communities/posts/entwurf-aenderung-kasseng-und-ao-1011044903 sowie andere Meinungen zum Thema Zertifizierung hier https://www.xing.com/communities/posts/kritik-am-referentenentwurf-zum-kasseng-und-zur-aenderung-der-ao-mehrt-sich-1011079304?comment=34100278
Facebook https://www.facebook.com/groups/PROJECT.CONSULT.Fans/permalink/1060864233987099/
Google+ https://plus.google.com/101228520899023825344/posts/HqqUW8eVA9S
Linkedin http://www.linkedin.com/hp/update/6118459332377010176
zum KassenG hier auf PROJECT CONSULT http://www.project-consult.de/ecm/news/2016/entwurf_%C3%A4nderung_kasseng_ao#comment-2840
zu GoBD-Zertifizierungen hier auf PROJECT CONSULT http://www.project-consult.de/ecm/in_der_diskussion/gobd_hat_sage_den_schuss_nicht_geh%C3%B6rt
Fokus Gesetz, Zertifizierung oder Technik?
In meinem Beitrag bin ich vorrangig auf das eigentliche Gesetz und das Problem mit der Zertifizierung an sich eingegangen. Andere Kritiker beziehen sich auf die technischen Ausführungen zu den Vorgaben selbst.
So stellt Carsten Böttcher auf XING (https://www.xing.com/communities/posts/kritik-am-referentenentwurf-zum-kasseng-und-zur-aenderung-der-ao-mehrt-sich-1011079304?comment=34100278) heraus, dass nicht Kassensysteme und schon gar nicht jede einzelne Kasse geprüft werden muss, son dern eine "technische Sicherheitseinrichtung", die er als externes System (und nicht als Bestandteil der Kasse) sieht. Carsten Böttcher schreibt "Nur dieses externe System wird zertifiziert. Dieser nicht manipulierbare Daten-Logger wird dann an jede Kasse angeschlossen und zeichnet redundant die Geschäftsvorfälle auf bzw. wird mit den Geschäftsvorfällen beliefert. Wenn der Prüfer kommt liest er den Daten-Logger und die Kassendaten aus, vergleicht sie und stellt bei Abweichungen fest ob manipuliert wurde." Womit wir bei der Diskussion um den unveränderbaren, nur einmal beschreibbaren Speicher wären. Carsten Böttcher sieht die Zertifizierung dieser externen Sicherheitslösung als nicht sehr aufwändig an. Hier wäre dann aber vorauszusetzen, dass jede Kasse (unabhängig von Alter und Schnittstellen) dieses externe Modul erhält und der Außenprüfer, wie schon angedeutet, als erstes nachsehen muss, ob das Modul bei jeder Kasse da ist und ob es richtig aufgezeichnet hat. Im Übrigen meint auch Böttcher "Und es wird Leute geben, die diesen nicht manipulierbaren Daten-Logger hacken weil wieder irgend jemand einen veralteten Java Compiler benutzt hat."
Auch Joachim Tuchel geht auf den technischen Teil der Verordnung ein (http://www.project-consult.de/ecm/news/2016/entwurf_%C3%A4nderung_kasseng_ao#comment-2846): "So ist offenbar manipulationssicher, wenn die einzelnen Umsätze in Form einer verketteten Liste verwaltet werden (also jeder Umsatz enthält einen Verweis auf seinen Nachfolger). Jeder Informatiker lernt irgendwann in der zweiten Woche seines Grundstudiums, welche Operationen in einer verketteten Liste durchzuführen sind, und wie." Die Manipulationsmöglichkeit wird – wie in jedem "sicheren" technischen System – nur erschwert, nicht verhindert. Auch er sieht das Sicherheitssystem als externes System (und nicht als integrierter Bestandteil des Kassensystems, was sicherer sein könnte): "Was die technische Verordnung meines Erachtens beschreibt, ist ein kleines Gerät, welches alle Umsätze aufzeichnet und dabei einzeln und vor allem fortlaufend durchnummeriert und eine Signatur berechnet und ebenfalls abspeichert. Dabei ist noch nicht einmal so richtig klar geregelt, ob nur der einzelne Umsatz eine Signatur erhält, oder auch zum Beispie die Liste der Tagesumsätze." Auch hier würde sich das Zertifizieren selbst auf die externe "Black Box" beschränken … und natürlich auf die Schnittstelle zu den unterschiedlichen Fabrikaten von Kassensystemen.
Und hier muss man sich spätestens wieder mit der Vielfalt und der Vielzahl der Systeme auseinandersetzen. Es wird schon aus wettbewerbsgründen nicht die "eine" Blackbox geben. Die Kassen-Hersteller werden die ihr "genehme Box favorisieren. Grosse Märkte mit vielen kassen werden Spezialisten brauchen, die die kleinen "Black Boxes" ständig checken und funktionsfähig halten. Man wird Hunderttausende dieser Boxen brauchen – ein lukratives Geschäft für Anbieter solcher Systeme. Die zwei Mitarbeiter im BSI werden sich letztlich doch mit einem Zoo von Lösungen auseinandersetzen müssen. Und auch mit der Frage, welche Transaktionen mit der Kasse getätigt werden können, ohne dass die Daten an die Schnittstelle übergeben werden. 😉
Das BSI hat nicht genug Aufgaben?
Das BMF macht mir langsam Angst. Natürlich kann ein Unternehmer, der Bareinnahmen tätigt, seine Kasse manipulieren, und vermutlich passiert das durchaus mal.
Aber ist das hier wirklich noch angemessen? Wie wäre es, das Militär auch für die Überprüfung der Rechtmäßigkeit von Bargeschäften im Inneren einzusetzen?
Mal ganz ehrlich: bin ich ein schlitzohriger Unternehmer, der entdeckt hat, wie schön ein Euro ist, der mir ganz und gar gehört im Vergleich zu einem, von dem sich der Fiskus immer ein paar Krümel wegknipst, finde ich ganz bestimmt sehr viel einfachere Wege zur Steuerhinterziehung. Der beste und steuerfreieste Umsatz ist der, der nie in irgendeiner Kasse erfasst wurde. Da kann die Kasse noch so sicher gegen Manipulationen sein – solamge es in der anderen Gesäßtasche den Altersvorsorge-Geldbeutel für die Einnahmen ziwschen den Kassenvorgängen gibt, wird es das Problem nicht angegebener Bareinnahmen geben.
Das Problem sind doch nicht die Kassen, die manipuliert werden können. Das Problem sind die Menschen mit kreativeer/krimineller Energie, die ihre hart verdienten Einnahmen ungern teilen mögen. Wie sonst ließe sich erklären, dass es die moderne Gesellschaft noch gibt, obwohl man nun Jahrhunderte lang völlig manipulationsoffenen Systemen wie einem Abacus und Papier gearbeitet hat? Wie konnte das Abendland so lange bestehen?
Bei den GoBD hatte das BMF in 2014 noch Augenmaß bewiesen, indem es den Unsinn von Zertifikaten klar formulierte und deren Schutzwirkung verneinte. Nun aber soll das BSI jede Kasse zertifizieren? Der Staat und Industrie (w/s)ollen hier ein neuerliches Bürokratiemonster finanzieren, dessen gemeinsame Kosten gleich zu Beginn auf eine halbe Milliarde Euro geschätzt werden? Geht es noch?
Dabei bleibt es auch mit einer BSI-zertifizierten Kasse mit Krypto-Fantasteron-Demanipulations-Hyperdrive immer noch genauso einfach: samstags ist der Fliesenleger einfach 19% billiger durch Barzahlungsrabatt, jede dritte Butterbrezel ist Ausschuß und aus einem Kilo Kaffebohnen kann man immer noch kaum mehr als 5 Tassen Espresso machen, weil man liefert seinen Kunden ja Qualität. Das bekommt auch eine BSI-zertifizierte, manipulationssichere Kasse nicht in den Griff, weil es auch hier – wie bei den GoBD – auf den Gesamtprozess ankommt. Wer schummelt, betrügt den Staat, das Gemeinwesen. Und wer seine Schummeleien in einem intransparenten Prozess (zweiter Geldbeutel) verstecken kann, kommt mit der Sache durch, weil es keiner herausfinden kann.
Um auf die Sache mit der Bundweswehr zurückzukommen: deren Sturmgewehr schiesst daneben, und das BMF versucht hier offenbar, dem nicht nachzustehen, in dem es auf ein vorhandenes und reales Problem mit ziemlich blödsinnigen Massnahmen zielt, die garantiert kostenintensiv und wirkungsfrei sind. Böse Zungen mögen hier nun rufen: das passt ins Gesamtbild einer Zeit, die sich nicht mit Pickerln in der Windschutzscheibe zufrieden gibt, einen Wegfall der KFZ-Steuer durch eine Verrechnung mit der KFZ-Maut viel fulminanter gestaltet und mit einem bunten Körbchen von ähnlichen Schildbürgerstreichen ein wenig Farbe in die Realität zu bringen versucht.
Die Technische Verordnung
Über Sinn und Unsinn der gesamten Verordnung lässt sich – wie meinem letzten Kommentar zu entnehmen, trefflich streiten. Zumal es weiterhin keine Pflicht zur Nutzung einer Registrierkasse geben wird. Wer also schummeln will, muss Wege finden, glaubhaft darzulegen, warum eine Registrierkasse in eigenen Geschäft keine geeignete oder zumutbare Einrichtung ist.
Interessante Details finden sich ja auch in der technischen Verordnung.
So ist offenbar manipulationssicher, wenn die einzelnen Umsätze in Form einer verketteten Liste verwaltet werden (also jeder Umsatz enthält einen Verweis auf seinen Nachfolger). Jeder Informatiker lernt irgendwann in der zweiten Woche seines Grundstudiums, welche Operationen in einer verketteten Liste durchzuführen sind, und wie. Ich kann mich gar nicht erinnern, dass dabei das Umhängen eines Eintrages in dieser verketteten Liste eine Schwierigkeit darstellen würde. Nur, wenn die Anzahl Register begrenzt ist (was in heutiger Hardware selbst in einem Gerät aus dem Kaugummiautomaten nicht der Fall ist), muss man etwas Intelligenz walten lassen.
Was die technische Verordnung meines Erachtens beschreibt, ist ein kleines Gerät, welches alle Umsätze aufzeichnet und dabei einzeln und vor allem fortlaufend durchnummeriert und eine Signatur berechnet und ebenfalls abspeichert. Dabei ist noch nicht einmal so richtig klar geregelt, ob nur der einzelne Umsatz eine Signatur erhält, oder auch zum Beispie die Liste der Tagesumsätze.
Jetzt wird es technisch und interessant: Signiere ich einen Umsatz, ist der Verweis auf den Nachfolger ebenfalls Teil der Signatur. Das macht Manipulationen natürlich ein bisschen schwieriger, denn wie kann ich einen Verweis auf etwas kryptographisch bearbeiten, das es noch nicht gibt? Ein Umsatz kann also erst signiert werden, wenn sein Nachfolger bereits angelegt wurde oder seine ID schonmal festgelegt wurde (was bei fortlaufender Nummerierung nicht allzu schwer ist). Ist aber nur die ID des Nachfolgers in der Signatuer enthalten, nicht aber sein Inhalt, ist das ziemlich wertlos, denn was hinter der ID steckt, ist ja in der Signatur nicht gesichert…
Den Teil mit dem Einmalpasswort, das fortlaufend sein muss, habe ich zugegebener Massen nicht verstanden. Vermutlich steckt hier das magische Quantum Genialität, die das ganze manipulationssicherer macht.
... und wieder eine deutschnationale Sonderbehandlung
Das Problem, dass steuerlich relevante Daten in Registrierkassen in Handel und Restaurationsbetrieben existieren können, ist kein deutsches, sondern ein globales. Dennoch beharrt die Bundesrepublik mal wieder auf einer deutschnationalen Sonderbehandlung. Deutsche Steuern werden weggeschmissen, weil mal wieder das Rad deutschnational erneut erfunden werden soll (was bei De-Mail, nPA, qualSig, ZugFERD, e-Invoicing (qualSig rein, qualSig raus), EU-Dienstleistungsrichtlinie Artikel 8, schon häufig in die Hose ging u nd den deutschen Steuerzahler und die Wirtschaft verfassungswidrig nutzlose Aufwände aufbürdet (Verhältnismäßigkeitsgebot)). Anstatt bei der UN oder der WTO globlae Lösungen für globale Probleme zu suchen, ist bei BMF offenbar erste Priorität die Geheimdeinste mit sinnlsoer Arbeit zu versorgen. Das BSI, aus der Abteilung 6 des BND gegründet wurde und einen Vize-Präsidenten hat, der erst von wenigen Jahren als Spion vom BND zum BSI ging, wird nun in der Finanzverwaltung eingesetzt. Was haben nicht kontrollierbare Spione in der Steuerverwaltung zu suchen. Hier wird die Trennung missachtet, die die Allierten uns nach dem Kriege aufgegeben haben, dass Geheimdienst und Politzei kalr getrennt sein müssen, um solche Entartung ewie das Reichssicherheitshauptamt oder die gesetzlose NSA/CIA auf deutschem Boden nicht wieder erstehen zu lassen. DIe Steuerbürger sollten sich dagegen werden, dass der Staat Spione schickt, die in ihren Kassen schnüffeln sollen und vielleicht unerkannte Backdoors einbauen. Die Zertifizierung durch das BSI ist ein nicht akzeptierbares Sicherheitsrisiko, dass es für manchen eher geraten sein lässt, Belege auf Papier zu führen statt elektronisch. Der Bundestag hat es ja auch gesagt, dass er diese unkontrollierbaren Menschen fern von Law and Order nicht gerne in seine Infrastruktur kucken lässt.
Was die Globalsierung anbetrifft, ist den voreglegten Papieren nicht der geringste Hinweis zu entnehmen, dass man sich Lösungen anderer Länder angesehen hätte. So schafft man auch keinen gemeinsamen digitalen Markt sondern will eine Welt von über 200 Nationalbastlern. Beispiele von Aktivitäten in anderen Ländern:
Slowenien: http://www.vlada.si/en/media_room/government_press_releases/press_release/article/certified_cash_registers_to_reduce_unreported_taxes_52901/
Israel: http://www.revenue.ie/en/tax/vat/leaflets/cash-registers.html
Kanada, USA: http://www.royal.com/cashreg/110dx_Instruction_Manual_Eng_June_08.pdf
Das einzige, was in die GroKo in der Digitalisierung eint, ist der feste Welle sie deutschnational zu verhindern. Sei es durch Leistungsschutzrecht, Störerhaftung, Gestpao-Vorratsdatenspeicherung von Unschuldigen und vielen anderen esoterischen Hemmnissen, die es im Ausland nicht gibt. Gut ist das nicht. Deutschland wird durch die Regierung auf Entwicklungsland-Nieveau heruntergedrückt. Schade, wir waren einst eine stolze Industrienation.