M Teste auch
unsere App

Technische Sicherheitseinrichtung (TSE)

Eine Technische Sicherheitseinrichtung stellt sicher, dass nachträgliche Manipulationen, wie die Änderung oder Löschung von digitalen Aufzeichnungen in Kassensystemen nicht möglich sind. Gleichzeitig sorgt die TSE für eine lückenlose und fehlerfreie Datenübertragung der digitalen Grundaufzeichnungen (Kassenvorgänge).

Wieso brauche ich eine TSE?

Immer wieder treten Manipulationen an digitalen Kassen in Erscheinung. Z. B. durch Änderung steuerrelevanter Daten in den elektronischen Aufzeichnungssystemen. Die Folge sind Steuerhinterziehung und Schwarzgeld. Da all das für das Finanzamt nur schwer nachvollziehbar ist, wurde bereits im Dezember 2016 die Kassensicherungsverordnung (KassenSichV) erlassen. Sie trat im Januar 2020 in Kraft und enthält neue gesetzliche Anforderungen für alle Unternehmen in Deutschland, die elektronische Registrierkassen verwenden. Egal, ob Handel, Dienstleistung oder Gastronomie. Im Kassengesetz ist festgelegt, dass alle Transaktionen deines Unternehmens elektronisch signiert und alle elektronischen Kassensysteme mit einer zertifizierten Technischen Sicherheitseinrichtung (TSE) ausgestattet werden müssen. Die zertifizierte TSE gibt dir die Möglichkeit deine elektronische Kasse rechtskonform vor Manipulation abzusichern. Im Rahmen der Kassensicherungsverordnung wurden des Weiteren die Neuerungen der Belegausgabepflicht und der Kassenmeldepflicht eingeführt.

Funktionsweise der Technischen Sicherheitseinrichtung

Die TSE stellt sicher, dass jede Buchung in deiner Kasse mit einer unverwechselbaren, elektronischen Signatur versehen wird. Zur Erstellung dieser Signatur wird die sogenannte Blockchain-Technologie verwendet. Bei dieser Methode werden Teile des vorherigen Verkaufsbelegs mit dem aktuellen Beleg kombiniert, um so einen langen Zahlencode zu erzeugen. In Folge dessen entstehen miteinander verbundene Codes, die eine Kette bilden. Daran lässt sich später nachvollziehen, ob ein Beleg direkt im Anschluss an einen anderen erstellt oder, ob einer der Belege im Nachhinein geändert wurde. Die erstellten Signaturen werden in einem Journal im Speicher der TSE gespeichert, sodass das Finanzamt diese jederzeit überprüfen kann. Eine Prüfsoftware hilft beim Erkennen von manipulierten Einträgen und bei der Ausgabe der exakten Daten zum veränderten Beleg.

Wenn ein Kassenvorgang z. B. im Zuge der Bongenerierung startet, sendet die Kasse ein Startsignal an die TSE und überträgt alle wichtigen Daten an sie. Die Technische Sicherheitseinrichtung wiederum übernimmt anschließend die Sicherung der aufgezeichneten Kassendaten in einem einheitlichen Format. Dabei erzeugt die TSE  aus den übermittelten Daten eine verschlüsselte Signatur und sendet diese abschließend zurück an die Kasse. Die Signatur setzt sich aus 100-150 Zeichen zusammen und wird gemeinsam mit der TSE-Seriennummer sowie weiteren Daten (Datum und der Uhrzeit) auf den Beleg gedruckt.

Aufbau einer zertifzierten TSE

Für die oben beschriebene Funktionsweise einer TSE sind die folgenden grundlegenden Komponenten notwendig.

  • Speichermedium: Das Speichermedium gewährleistet die zentrale Speicherung aller aufgezeichneten Daten und der zugehörigen Protokolldaten auf einem zentralen Speicher – der Cloud. Dadurch wird die Einhaltung der gesetzlichen Aufbewahrungsfrist laut GoBD von 10 Jahren garantiert.
  • Sicherheitsmodul: Aufgabe des Moduls ist die technische Sicherung bzw. Signierung aller aufzuzeichnenden Vorgänge. Dafür erzeugt es entsprechende Protokolldaten zu den übertragenen Anwendungsdaten. Das Sicherheitsmodul legt neben einer eindeutigen fortlaufenden Transaktionsnummer auch die Zeitpunkte der Absicherung und den Prüfwert manipulationssicher fest. Außerdem stellt es die Protokollierung der Systemfunktion und Ereignisse der TSE sicher. Dank des Moduls können die Aufzeichnungen im Kassensystem im Nachhinein nicht mehr unbeachtet geändert oder gelöscht werden.
  • Einheitliche digitale Schnittstelle: Die einheitliche digitale Schnittstelle, kurz EDS, besteht aus einer Einbindungs- und einer Exportschnittstelle. Die Einbindungsschnittstelle fungiert als Bindeglied zum elektronischen oder computergestützten (digitalen) Aufzeichnungssystem, sprich der Kasse, und ermöglicht die Integration der Technischen Sicherheitseinrichtung in eben diese. Die Exportschnittstelle (DSFinV-K) stellt den ordnungsgemäßen und reibungslosen Export der gespeicherten und abgesicherten Daten aus der TSE an das Finanzamt sicher.

Zertifizierung der Technischen Sicherheitseinrichtung

Nur eine Kasse, die über eine zertifizierte Technische Sicherheitseinrichtung verfügt, erfüllt die gesetzlichen Bestimmungen und kann einer Prüfung des Finanzamts standhalten!

Zertifizierungspflicht

Für die Technische Sicherheitseinrichtung besteht eine Zertifizierungspflicht. Die Zertifizierung obliegt dabei dem Bundesamt für Sicherheit in der Informationstechnik (BSI), das darüber hinaus spezifische Anforderungen für TSE-Herstellfirmen festlegt. Mit Hilfe sogenannter technischer Richtlinien werden verpflichtende Anforderungen an Technische Sicherheitseinrichtungen gestellt, die dem Schutz der digitalen Grundaufzeichnungen von elektronischen Aufzeichnungssystemen nach § 146a (1) der Abgabenordnung dienen.

Technische Richtlinien

Sie dienen der Verbreitung von angemessenen IT-Sicherheitsstandards und richten sich an alle, die sich mit dem Aufbau oder der Absicherung von IT-Systemen beschäftigen. Entspricht die Technische Sicherheitseinrichtung den Vorgaben der Technischen Richtlinien (TR-03153 – Technische Sicherheitseinrichtungen elektronischer Aufzeichnungssysteme, TR-03151 – Secure Element API sowie TR-03116 – Kryptographische Vorgaben für Projekte der Bundesregierung), wird dies durch ein TR-Zertifikat testiert. Das Sicherheitsmodul der TSE wird gemäß den Common Criteria (CC) zur IT-Sicherheit bewertet und zertifiziert.

Ablauf der Zertifizierung

Hat eine Firma eine TSE-Lösung entwickelt, so muss sie zunächst beim BSI einen Antrag auf Evaluierung stellen. Daraufhin wird die Lösung von einem akkreditierten Unternehmen begutachtet und getestet. Zu diesen akkreditierten Firmen gehören u. a. die TÜV Informationstechnik GmbH und die Deutsches Forschungszentrum für Künstliche Intelligenz GmbH. Eine Evaluierung dauert in der Regel zwischen 6 und 9 Monaten. Folgt auf die Prüfung ein positives Urteil, so wird die TSE vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert. Im Zuge dessen wird garantiert, dass die Technische Sicherheitseinrichtung gemäß den gesetzlichen Anforderungen der Kassensicherungsverordnung realisiert wurde. Eine Zertifizierung ist anschließend für 5 Jahre gültig.

Technische Umsetzung der TSE

Das BSI hat festgelegt, dass jede:r Kassenbesitzer:in beim Sicherheitsmodul und Speichermedium die Wahl zwischen einer physikalischen oder einer virtuellen Identität hat. Das heißt die technische Umsetzung kann grundsätzlich auf unterschiedliche Arten erfolgen, z. B. lokal, sprich als Hardware (via USB-Sticks/(Micro-)SD-Karten) oder fernverbunden als „Cloud“-Lösung. Voraussetzung dafür ist, dass alle notwendigen Sicherheits- und Kompatibilitätsanforderungen erfüllt sind und im Rahmen der Zertifizierung nachgewiesen werden können.

Cloud TSE

Die TSE als Cloud-Variante kommt bei Kassensystemen zum Einsatz, die über eine Internetverbindung verfügen. Dementsprechend ist für diese Form der TSE keine zusätzliche Hardware notwendig, die vor Ort installiert werden muss. Alle Daten aus deinem Kassensystem werden über das Internet auf einen Server hochgeladen und in der Cloud gespeichert und archiviert. Damit stehen dir die gespeicherten Daten ortsunabhängig und jederzeit auf verschiedenen Geräten zur Verfügung. Und nicht nur das, sie entsprechen auch stets den Vorgaben der KassenSichV.

Herkömmliche Speichermedien müssen regelmäßig ausgetauscht und die vollen Medien an einem sicheren Ort aufbewahrt werden. Doch nicht bei einer Cloud-Lösung: Hier gibt es kein Speicherlimit, denn alle Daten werden sicher und in vollem Umfang auf Servern gespeichert.

Eine Cloud-TSE ist dank regelmäßiger Updatemöglichkeit nicht an ein Ablaufdatum gebunden. Kassensysteme aus der Cloud können einfach und schnell mit allen erforderlichen Updates versorgt werden.

Alles was du benötigst ist eine konstante Internetverbindung, um deine Belege zu signieren. Sollte es dennoch einmal zu einem Ausfall kommen besteht akuter Handlungsbedarf, um auch weiterhin den Vorgaben nach § 146a AO zu entsprechen. Belege ohne Signatur erhalten eine entsprechende Kennzeichnung, sodass sie zu einem späteren Zeitpunkt, d. h. wenn die Kasse wieder online ist, ordnungsgemäß signiert werden können. Sollte es zum Ausfall der TSE an sich kommen, werden die Belege ebenfalls gekennzeichnet. In diesem Fall ist der Clouddienst für den Vorfall zuständig.

Die TSE als Cloud-Variante empfiehlt sich vor allem für Unternehmen, die mehr als ein Kassensystem benutzen. Solltest du mehrere elektronische Registrierkassen verwenden, wird nicht für jede Kasse eine separate TSE benötigt. Du kannst ganz einfach mit all deinen Kassen auf die TSE in der Cloud zugreifen.

Vorteile einer cloudbasierten TSE-Lösung

Die Vorteile der Nutzung unserer Technischen Sicherheitseinrichtung sind:

  • Einfache und intuitive Handhabung
  • Ortsunabhängige Nutzung
  • Staatlich geprüft
  • Konformes Kassensystem unabhängig von Hardware, die kaputt gehen kann oder ausgetauscht werden muss
  • Einfache Zertifikatsgenerierung
  • Automatische Signierung und Archivierung der Bons
  • Schnelle und unkomplizierte Zahlungsabwicklung