Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums der Finanzen vom 21. März 2019 übermittelt. Die Drucksache enthält zusätzlich – in kleinerer Schrifttype – den Fragetext. Deutscher Bundestag Drucksache 19/8684 19. Wahlperiode 22.03.2019 Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Katja Hessel, Christian Dürr, Grigorios Aggelidis, weiterer Abgeordneter und der Fraktion der FDP – Drucksache 19/7974 – Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen V o r b e m e r k u n g d e r F r a g e s t e l l e r Durch das Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen sind elektronische Aufzeichnungssysteme grundsätzlich ab dem 1. Januar 2020 durch eine zertifizierte technische Sicherheitseinrichtung (TSE) zu schützen. Weiter wurde geregelt, dass die elektronischen Grundaufzeichnungen einzeln, vollständig, richtig, zeitgerecht, geordnet und unveränderbar aufzuzeichnen sind (Einzelaufzeichnungspflicht) und auf einem Speichermedium gesichert und verfügbar gehalten werden müssen. Mit der Verordnung zur Bestimmung der technischen Anforderungen an elektronische Aufzeichnungs- und Sicherungssysteme im Geschäftsverkehr (Kassensicherungsverordnung – KassenSichV) werden die Anforderungen des § 146a der Abgabenordung (AO) präzisiert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in Technischen Richtlinien und Schutzprofilen die Anforderungen an das Sicherheitsmodul , das Speichermedium, die einheitliche digitale Schnittstelle sowie die organisatorischen Anforderungen zur Vergabe der Seriennummer des elektronischen Aufzeichnungssystems festgelegt. Anwendungszeitpunkt Fraglich erscheint aus Sicht der Fragesteller, ob der vorgesehene Anwendungszeitpunkt zum Einsatz einer TSE am 1. Januar 2020 eingehalten werden kann. Das Problem besteht hauptsächlich darin, dass derzeit am Markt noch keine technischen Sicherheitsmodule angeboten werden, weder zertifiziert noch unzertifiziert . Die für die TSE erforderliche interne Zeitquelle kann erst durch einen neuen Java-Card-Standard abgebildet werden, der erst in diesem Jahr verfügbar sein soll. Kassenhersteller können in der Folge nicht mit der Entwicklung nötiger Anpassungen der Kassensoftware beginnen, die für die Einbindung des Sicherheitsmoduls erforderlich ist. Das BSI hat am 25. Juli 2018 das „Projekt 380 – Zertifizierung eines Sicherheitsmoduls für Registrierkassen und weitere Aufzeichnungssysteme (Zersika)“ ausgeschrieben. Auftragsgegenstand ist die praktische Erprobung des neuarti- Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/8684 – 2 – Deutscher Bundestag – 19. Wahlperiode gen Konzeptes für die Zertifizierung eines Sicherheitsmoduls für Registrierkassen und weitere Aufzeichnungssysteme sowie die Mitwirkung bei der Optimierung des Konzeptes. Zunächst ist ein Zertifizierungsverfahren für eine bestehende Implementierung eines Sicherheitsmoduls für Registrierkassenanwendungen nach den vom BSI vorgegebenen Schutzprofilen BSI-CC-PP-x-y „Cryptographic Service Provider “ (CSP) oder BSI-CC-PP-x-y „Cryptographic Service Provider Light“ (CSP light) sowie BSI-CC-PP-x-y „Security Module Application for Electronic Record -keeping Systems“ (SMAERS) nach CC zu durchlaufen. Anschließend ist zudem ein Zertifizierungsverfahren für ein Gesamtsystem einer technischen Sicherheitseinrichtung , bestehend aus Sicherheitsmodul, der zugehörigen Registrierkassenanwendung , einer digitalen Schnittstelle zur Einbindung in ein Aufzeichnungssystem sowie ein Speichermedium, nach der Technischen Richtlinie BSI TR-03153 „Technische Sicherheitseinrichtung für elektronische Aufzeichnungssysteme “ (funktionale Anforderungen) durchzuführen. Die Laufzeit des Vertrages beträgt 15 Monate (vgl. https://ausschreibungendeutschland .de/462419_Projekt_380_-_Zertifizierung_eines_Sicherheitsmoduls_ fuer_Registrierkassen_und_weitere_2018_Bonn). Ausweislich der Begründung des Gesetzes zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen hat das BSI geschätzt, dass etwa fünf Unternehmen die TSE herstellen könnten (vgl. Gesetzesbegründung Ziffer V.4 zum Erfüllungsaufwand für die Wirtschaft S. 16; Bundestagsdrucksache 18/9535). Veröffentlichung des noch ausstehenden Anwendungserlasses durch das Bundesministerium der Finanzen (BMF) Ausdrücklich wurde in der Gesetzesbegründung zu § 146a AO ausgeführt, dass die Regelungen §§ 148 und 158 AO unberührt bleiben. In den Beratungen des Bundestagsfinanzausschusses haben die Koalitionsfraktionen der CDU, CSU und SPD darauf ausdrücklich hingewiesen (Bundestagsdrucksache 18/10667, S. 21). „Danach könnten Steuerpflichtige auch weiterhin einen Antrag zur Bewilligung von Erleichterungen stellen, z. B. zum Absehen von der Verwendung einer zertifizierten technischen Sicherheitseinrichtung. Dies könnte insbesondere dann der Fall sein, wenn geschlossene Warenwirtschaftssysteme verwendet würden, bei denen Manipulationen an digitalen Grundaufzeichnungen mit an Sicherheit grenzender Wahrscheinlichkeit ausgeschlossen seien, und die Besteuerung durch die Erleichterung nicht beeinträchtigt werde. Die Entscheidung über einen Antrag nach § 148 AO liege im pflichtgemäßen Ermessen der zuständigen Finanzbehörde. Das Bundesministerium der Finanzen werde gebeten, in Abstimmung mit den obersten Finanzbehörden der Länder den bundeseinheitlichen Anwendungserlass zu § 148 AO entsprechend zu überarbeiten.“ Im Hinblick auf den Anwendungszeitpunkt 1. Januar 2020 benötigen die Unternehmen Planungssicherheit, ob diese ggf. mit Aussicht auf Erfolg einen Antrag auf Bewilligung von Erleichterungen in Form einer Befreiung von der Nutzung einer zertifizierten technischen Sicherheitseinrichtung oder von der Belegausgabepflicht gemäß § 148 AO stellen können. Aufzeichnung von Transaktionen (§ 2 KassenSichV) Für jeden aufzeichnungspflichtigen Geschäftsvorfall oder anderen Vorgang im Sinne § 146a Absatz 1 Satz 1 AO muss von dem eingesetzten elektronischen Aufzeichnungssystem unmittelbar, d. h. zeitgleich, eine neue Transaktion gestartet werden. Die Transaktion dient der Zusammenführung von Daten in einem einheitlichen Prozess, wodurch die protokollierten einzelnen digitalen Grundaufzeichnungen nachfolgend nicht mehr manipuliert werden können. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 3 – Drucksache 19/8684 Gemäß § 2 KassenSichV muss die Transaktion 1. den Zeitpunkt des Vorgangbeginns, 2. eine eindeutige und fortlaufende Transaktionsnummer, 3. die Art des Vorgangs, 4. die Daten des Vorgangs, 5. die Zahlungsart, 6. den Zeitpunkt der Vorgangsbeendigung oder des Vorgangsabbruchs, 7. einen Prüfwert sowie 8. die Seriennummer des elektronischen Aufzeichnungssystems oder die Seriennummer des Sicherheitsmoduls enthalten. Ausweislich der TR-03153 erfolgt die Protokollierung eines aufzuzeichnenden Vorgangs mit der TSE in mehreren Phasen und Absicherungsschritten. In der Regel bestehen diese Phasen aus Beginn der Transaktion (StartTransaction), Aktualisierung der Transaktion (UpdateTransaction) und Beendigung der Transaktion (FinishTransaction). Eine Aktualisierung der Transaktion ist dann erforderlich, wenn nach dem Start und vor Beendigung der Transaktion neue Anwendungsdaten entstehen. Ausweislich der Begründung von § 2 KassenSichV sind andere Vorgänge solche , die unmittelbar durch Betätigung der Kasse erfolgen (z. B. Tastendruck, Scanvorgang eines Barcodes), unabhängig davon, ob sich daraus ein Geschäftsvorfall entwickelt. Das heißt durch jede Betätigung der Kasse erfolgt eine Protokollierung . In der Praxis sind Prozesse vorhanden, in denen im Rahmen der Erfassung eines Geschäftsvorfalls unterschiedliche elektronische Aufzeichnungssysteme – beim sog. Durchbedienen „reine“ Waagen und Waagen mit Kassenfunktion – mit divergierenden Anforderungen eingebunden sind. Arbeiten an einer Neufassung der KassenSichV Ausweislich der Protokollerklärung des Bundesministeriums der Finanzen im Zuge des Verordnungsgebungsverfahrens (vgl. Beschlussempfehlung und Bericht des Finanzausschusses vom 31. Mai 2017, Bundestagsdrucksache 18/12581, S. 6) soll der Anwendungsbereich der Kassensicherungsverordnung auf betrugsanfällige kassenähnliche Systeme ausgedehnt werden. Das Bundesministerium der Finanzen hatte angestrebt, diese Arbeiten im ersten Halbjahr 2018 abzuschließen. Bürokratiekosten Im Rahmen der Abschätzung der Bürokratiekosten wurde angenommen, dass der Preis einer zertifizierten technischen Sicherheitseinrichtung etwa 10 Euro pro Einheit betragen wird (vgl. Gesetzesbegründung Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen Ziffer V.4 zum Erfüllungsaufwand für die Wirtschaft S. 16; Bundestagsdrucksache 18/9535). 1. Wann ist mit dem Abschluss des neuartigen Zertifizierungsverfahrens zu rechnen? Die Erprobung des Zertifizierungsverfahrens im Projekt „Zertifizierung eines Sicherheitsmoduls für Registrierkassen und weitere Aufzeichnungssysteme“ (ZERSIKA) läuft planmäßig. Aufgrund der positiven Ergebnisse im Projekt ZERSIKA entstehen derzeit auch Kriterien, unter denen eine vorläufige befristete Freigabe einer in Zertifizierung befindlichen Technischen Sicherheitseinrichtung möglich ist. Diese Freigabekriterien gelten für alle Hersteller. Für die im Projekt Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/8684 – 4 – Deutscher Bundestag – 19. Wahlperiode ZERSIKA begleitete Zertifizierung sieht der Projektplan eine Freigabe im zweiten Quartal und einen Abschluss der Zertifizierung im vierten Quartal dieses Jahres vor. 2. Wurden beim BSI weitere Anträge zur Zertifizierung von Sicherheitsmodulen für Registrierkassen und weitere Aufzeichnungssysteme gestellt? Wenn ja, wurde mit den Verfahren bereits begonnen, oder werden diese erst nach Abschluss des Zersika-Projektes durchgeführt? Es gibt weitere Zertifizierungsverfahren. Jeder Hersteller kann die Zertifizierung einer technischen Sicherheitseinrichtung beantragen, unabhängig davon, ob die Zertifizierung der technischen Sicherheitseinrichtung im ZERSIKA Projekt abgeschlossen ist. Mögliche Optimierungen, die sich aus dem ZERSIKA-Projekt ergeben, beispielsweise die zur Antwort zu Frage 1 genannte vorläufige, befristete Freigabe, werden auch den Herstellern von technischen Sicherheitseinrichtungen in ihren jeweiligen Zertifizierungsverfahren ermöglicht. 3. Kann nach Ansicht der Bundesregierung unter Berücksichtigung des noch erforderlichen Entwicklungsbedarfs der Kassenhersteller für die Anpassungen der Kassensoftware, und der sich anschließenden „Ausrollung“ in den Markt, der Termin 1. Januar 2020 realistisch absehbar gehalten werden? Die Bundesregierung geht derzeit davon aus, dass die zertifizierten technischen Sicherheitseinrichtungen rechtzeitig in den Verkehr und flächendeckend in Einsatz gebracht werden können. Das Projekt ZERSIKA hat im Übrigen zum Ziel, mögliche Optimierungen im Zertifizierungsverfahren zu identifizieren, sodass der gesetzlich vorgegebene Einführungstermin auch bei unvorhergesehenen Herausforderungen im Zertifizierungsverfahren gehalten werden kann. 4. Aus welchen Gründen wird eine Zertifizierung nach BSI-CC-PP-x-y „Cryptographic Service Provider Light“ (CSP light) alternativ ermöglicht? Bei der Zertifizierung nach CSP Light werden die kryptographischen Verfahren mit einer wesentlich geringeren Prüftiefe evaluiert. Der Einsatz eines solchen Kryptomoduls wäre möglich, wenn die Komponente in einem gesicherten Einsatzbereich betrieben wird und geeignete organisatorische Sicherheitsmaßnahmen getroffen werden, z. B. durch ein Audit nach BSI-Grundschutz. 5. Soll für spätere Zertifizierungsverfahren auch diese Alternative (siehe Frage 4) bestehen? Wenn nicht, welche Konsequenzen sind damit auch im Hinblick auf die Sicherheitseinrichtungen verbunden, die im Rahmen von Zersika zertifiziert wurden? Bislang ist keine zeitlich begrenzte Möglichkeit einer Zertifizierung nach BSI- CC-PP-x-y „Cryptographic Service Provider Light“ (CSP light) vorgesehen. Aufgrund der vorherigen Ausführungen sowie des Umstands, dass bisher noch kein Hersteller eine Zertifizierung nach dem Schutzprofil CSP Light beantragt hat, können keine Ausführungen zur zweiten Teilfrage erfolgen. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 5 – Drucksache 19/8684 6. Ist im Rahmen des Zersika-Projektes eine Erprobung der TSE hinsichtlich von Prozessen, Schnittstellen und Funktionalitäten im Gesamtablauf Kasse – zertifizierte technische Sicherheitseinrichtung sowie hinsichtlich Exporte für Prüfungszwecke auf Praxis- und Massentauglichkeit sowie auf mögliche Fehlerquellen vorgesehen? Das Projekt ZERSIKA begleitet die Zertifizierung eines Herstellers mit dem Ziel, das Zertifizierungsverfahren zu erproben und zu optimieren. Das Projekt nimmt keinen Einfluss auf die Produktgestaltung oder -erprobung durch den Hersteller. 7. Wann ist mit der Veröffentlichung des Anwendungserlasses zu § 148 AO zu rechnen? Im Rahmen der Erörterung der obersten Finanzbehörden des Bundes und der Länder des Entwurfs des Anwendungserlasses zu § 146a AO sind u. a. Aspekte der Anwendung des § 148 AO intensiv diskutiert worden. Mangels derzeit ersichtlicher Kriterien für die Bewilligung von Erleichterungen im Einzelfall oder für bestimmte Gruppen hinsichtlich der sich aus den §§ 140 ff. AO ergebenden Pflichten , ist gegenwärtig noch nicht absehbar, ob und wann mit einem Anwendungserlass zu § 148 AO zu rechnen ist. 8. Mit wie vielen Updates jeder Transaktion ist durchschnittlich vor dem Abschluss einer Transaktion zu rechnen? Um nachträgliche Manipulationen an den digitalen Aufzeichnungen wirksam zu verhindern, müssen die Integrität, Authentizität sowie die Vollständigkeit der aufgezeichneten prüfungsrelevanten Daten sichergestellt werden. Zudem muss diese Absicherung der Daten zeitnah erfolgen. Hieraus ergeben sich die Anforderungen an den Ablauf der Protokollierung. Üblicherweise wird eine Transaktion aus dem Beginn und dem Ende bestehen. Die Anzahl notwendiger „Updates“ ist hierbei stark von Art und Länge des jeweiligen Vorgangs abhängig. So sind „Updates“ bei einfachen Kassiervorgängen in der Regel nicht notwendig, während bei Bestellvorgängen, wie etwa wiederkehrende Bestellungen während eines Restaurantbesuchs, in der Regel „Updates“ erforderlich sein werden. 9. Welche Datenvolumina werden dadurch erzeugt, und wie wirkt sich die vermehrte komplexe Kommunikation zwischen der TSE und mindestens einem elektronischen Aufzeichnungssystem auf die Anforderungen an die Leistungsfähigkeit von elektronischen Aufzeichnungssystemen und auf die Verarbeitungsdauer und damit auf die Dauer des Bedienvorgangs aus? Damit nachträgliche Manipulationen an digitalen Aufzeichnungen elektronischer Aufzeichnungssysteme erkannt werden können, müssen die für die Steuerprüfung relevanten Daten mit der zertifizierten technischen Sicherheitseinrichtung geschützt werden. Diese Daten müssen daher an die zertifizierte technische Sicherheitseinrichtung übermittelt werden. Das Datenvolumen ist im Wesentlichen durch die Daten der Transaktion selbst bestimmt. Zusätzliche Datenvolumina beschränken sich folglich auf Protokolldaten des jeweils verwendeten Kommunikationsprotokolls der jeweils verwendeten Einbindungsschnittstelle. Die Sicherung durch die zertifizierte technische Sicherheitseinrichtung nimmt nur wenige Bytes in Anspruch. Bei einer geeigneten An- Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/8684 – 6 – Deutscher Bundestag – 19. Wahlperiode bindung der zertifizierten technischen Sicherheitseinrichtung an das Aufzeichnungssystem ergeben sich daher keine relevanten Auswirkungen auf die Gesamtdauer des Bedienvorgangs. 10. Wie wird sichergestellt, dass bei Nutzung unterschiedlicher Arten von elektronischen Aufzeichnungssystemen im Verbund wie im Rahmen des sog. Durchbedienens, z. B. durch das Update-Erfordernis keine faktische Erweiterung des Anwendungsbereiches von § 1 KassenSichV auf andere elektronische Aufzeichnungssysteme erfolgt? Die Frage, inwieweit sich ein Durchbedienen zwischen elektronischen Aufzeichnungssystemen i. S. d. § 1 Satz 1 KassenSichV und anderen elektronischen Aufzeichnungssystemen auf die technische Abwicklung auswirkt, ist gegenwärtig Teil der Abstimmung des Entwurfs des Anwendungserlasses zu § 146a AO zwischen den obersten Finanzbehörden des Bundes und der Länder. Das Ergebnis der Abstimmung bleibt abzuwarten. 11. Wie wird sichergestellt, dass Geschäftsprozesse, welche sich seit Jahrzehnten bewährt haben, auch in Zukunft zur Anwendung kommen können? Die Vorgaben des § 146a AO und der KassenSichV beziehen sich nur auf die technische Abwicklung und die steuerliche Absicherung des Kassiervorgangs. Auf die Geschäftsprozesse in den Betrieben haben die Vorschriften keine Auswirkung . 12. Wann ist mit der Veröffentlichung eines Referentenentwurfs der Neufassung der KassenSichV zu rechnen? Eine Änderung der KassenSichV erfordert nach § 146a Absatz 3 Satz 1 AO das Einvernehmen mit dem Bundesministerium des Innern, für Bau und Heimat sowie dem Bundesministerium für Wirtschaft und Energie. Derzeit erfolgt die Herstellung des Einvernehmens zwischen den betroffenen Ressorts. 13. Gab es im Rahmen der Erstellung der Technischen Richtlinien oder des Zersika-Projektes Erkenntnisse, die einen Nachbesserungsbedarf über die Erweiterung des Anwendungsbereiches hinaus erforderlich machen? Im Rahmen der Erstellung der Technischen Richtlinien oder des Projektes ZERSIKA gab es keine Erkenntnisse, die einen Nachbesserungsbedarf über die Erweiterung des Anwendungsbereiches hinaus erforderlich machen. 14. Kann die in der Vorbemerkung genannte Kostenschätzung von 10 Euro Bürokratiekosten aufgrund der bisherigen Erfahrungen u. a. im Rahmen des Zersika-Projektes aufrechterhalten werden, oder ist absehbar, dass sich die Kosten für eine zertifizierte technische Sicherheitseinrichtung erhöhen werden ? Wenn ja, mit welchen Kosten ist nunmehr zu rechnen? Der Bundesregierung liegen derzeit keine Erkenntnisse vor, die eine geänderte Kostenschätzung zur Folge hätten. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 7 – Drucksache 19/8684 15. Ist aus heutiger Bewertung bzw. Auslegung der Richtlinien und Ausschreibungen denkbar bzw. geplant, dass eine Sicherheitseinrichtung zertifiziert werden könnte, die filialisierte Handelsunternehmen zentral („cloudbasiert “), das heißt ohne TSE-Hardware-Module in einer Filiale/an der Kasse betreiben? Ja, eine zentralisierte bzw. „cloud-basierte“ technische Sicherheitseinrichtung sehen die technischen Spezifikationen und Schutzprofile explizit vor. Vorabfassung - w ird durch die lektorierte Version ersetzt. Satz: Satzweiss.com Print, Web, Software GmbH, Mainzer Straße 116, 66121 Saarbrücken, www.satzweiss.com Druck: Printsystem GmbH, Schafwäsche 1-3, 71296 Heimsheim, www.printsystem.de Vertrieb: Bundesanzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de ISSN 0722-8333