Aktueller Stand zur Aufrüstung von Kassen mit einer cloud-basierten zertifizierten technischen Sicherheitseinrichtung (TSE)
Mit dem Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen („Kassengesetz“) wurden Unternehmen verpflichtet, ab dem 1. Januar 2020 ihre elektronischen Kassen(systeme) mit einer zertifizierten technischen Sicherheitseinrichtung (TSE) auszurüsten. Damit Unternehmen mit Blick auf ihre spezifischen betrieblichen Bedürfnisse die beste Lösung wählen können, sind sowohl hardware- als auch cloud-basierte TSE-Lösungen zulässig (Technologieoffenheit). Bereits seit Beginn des Jahres 2020 stehen hardware-basierte TSE-Lösungen zur Verfügung. Ein erstes cloud-basiertes TSE-Modul (Anbieter: Deutsche Fiskal mit Bundesdruckerei-Tochter D-TRUST) wurde am 30. September 2020 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert und ist seitdem erhältlich. Die Laufzeit ist jedoch befristet bis zum 31. Januar 2021, sodass im Anschluss eine Rezertifizierung erforderlich wird. Weitere cloud-basierte Module von anderen Herstellern befinden sich zurzeit im Zertifizierungsverfahren.
Neue Anforderungen an die Zertifizierung von Cloud-TSE-Lösungen
Nunmehr beabsichtigt das BSI für eine Zertifizierung von cloud-basierten TSE-Lösungen weitergehende Anforderungen an die betriebliche Anwenderumgebung zu stellen. Hiervon betroffen ist nicht nur die bereits zertifizierte Cloud-Lösung. Auch alle cloud-basierten TSEs sind betroffen, die sich im Zertifizierungsverfahren befinden bzw. künftig eine Zertifizierung anstreben.
Was bedeutet das für die Praxis?
Aktuell kann nicht eingeschätzt werden, welche konkreten Auswirkungen die neuen Anforderungen des BSI haben werden. Offen ist, ob und wann die Cloud-TSE-Anbieter diese umsetzen können und welche Konsequenzen dies für die Implementierbarkeit in den jeweiligen Kassen haben wird.
Dringende Empfehlung an die Unternehmen
Unternehmen, die bereits eine cloud-basierte TSE verwenden oder dies beabsichtigen, sollten sich unverzüglich an ihre Kassen(system)anbieter oder TSE-Hersteller wenden. Es sollte geklärt werden, ob weitergehende Umstellungsmaßnahmen ergriffen werden müssen und wann eine zertifizierte Cloud-Lösung implementiert werden kann.
Die IHK-Organisation hat sich gemeinsam mit den Spitzenverbänden der gewerblichen Wirtschaft in einem Verbändeschreiben vom 15.12.2020 an das BMF, das BSI sowie die Länderfinanzverwaltungen gewandt. Darin haben wir uns für eine praxistaugliche Lösung ausgesprochen, die die Belange der betroffenen Unternehmen ausreichend berücksichtigt.