Fiskalspeicher

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Als Fiskalspeicher werden speziell gesicherte Speichereinheiten vor allem in Registrierkassen und Taxametern bezeichnet. In diesen Speichern sollen Umsatzdaten so abgelegt werden, dass sie nicht manipuliert werden können und von Finanzbehörden zu Prüfungszwecken (vor allem im Rahmen von Außenprüfungen) verwendet werden können. Fiskalspeicher sind in einer Reihe von Ländern gesetzlich vorgeschrieben.

Hintergrund und Geschichte[Bearbeiten | Quelltext bearbeiten]

Mit dem Wechsel von der papierbasierten Buchführung auf elektronische Systeme in der zweiten Hälfte des 20. Jahrhunderts wurde es möglich, Daten relativ leicht und ohne Nachweismöglichkeit zu verändern. In vielen Anwendungsbereichen spielte und spielt das praktisch keine große Rolle. Elektronische Registrierkassen wurden allerdings verstärkt dazu verwendet, erfasste Umsätze nachträglich zu verkürzen.

Um die dadurch mögliche Hinterziehung von Steuern und Sozialabgaben einzudämmen, wurden Anfang der 1980er Jahre in Italien die ersten Fiskalspeichersysteme entwickelt und sind dort seitdem vorgeschrieben. Der Grundansatz wurde in anderen Ländern übernommen, in den meisten Fällen mit einer Reihe von Detailänderungen. So sind im Laufe der Zeit sehr uneinheitliche rechtliche, organisatorische und technische Lösungen entstanden.

Da Fiskalspeichersysteme einen hohen Entwicklungsaufwand bedingen, praktisch immer eine Zertifizierung erfordern und diese bei jeder oder zumindest jeder größeren Produktänderung erneuert werden muss, führen sie oft zu einer erheblichen Behinderung der Weiterentwicklung.[1]

Da es sich bei Fiskalspeicher-Systemen oft um rein nationale Lösungen handelt, die zumeist von lokalen Anbietern stammen, ist Dokumentation oft nur in der jeweiligen Landessprache verfügbar. Es existieren praktisch keine Darstellungen der internationalen Situation.

Technik[Bearbeiten | Quelltext bearbeiten]

Im Laufe der Zeit wurden sehr unterschiedliche Systeme entwickelt. Sie lassen sich grob in folgende Kategorien einteilen:

Konventionelle Systeme[Bearbeiten | Quelltext bearbeiten]

Entsprechend der in den 1980er-Jahren verfügbaren Technik basieren diese Systeme vor allem auf einem mechanischen Schutz des Speichers verbunden mit Bauartanforderungen an das Gesamtsystem. Der eigentliche Fiskalspeicher bestand zu dieser Zeit aus EPROMs, die zusammen mit einem Mikroprozessor fest zu einem Modul verbunden wurden, z.B. mit Gießharz. Dadurch konnte der EPROM-Speicher nicht mehr gelöscht werden. Aufgrund der geringen Speicherkapazität werden nur Tagesumsatzsummen gespeichert. Um so ein System sicher zu machen, muss es komplett gegen Eingriffe geschützt werden, da sonst die Umsätze vor dem Schreiben in den Fiskalspeicher manipuliert werden könnten. In der Folge muss die gesamte Registrierkasse verplombt und die Hard- und Software zertifiziert werden.

Fiskaldrucker[Bearbeiten | Quelltext bearbeiten]

Die zunehmende Modularisierung von Registrierkassen, d.h. die Auftrennung in Tastatur, Bildschirm/Display, CPU-Einheit und Drucker widersprach dem ursprünglichen Konzept, alle Komponenten in einem Gehäuse zu integrieren. Dies wurde durch das Konzept des „Fiskaldruckers“ gelöst. Dabei ist das Fiskalspeichermodul im modularen Drucker eingebaut. Es hängt von der Systemarchitektur ab, ob die anderen Komponenten des Systems eine Zertifizierung benötigen oder nicht.

Konventionelle Systeme mit elektronischem Journal[Bearbeiten | Quelltext bearbeiten]

Da die ursprünglich verwendeten, auf Papier gedruckten Journale (also die Aufzeichnung aller Buchungsdetails) in der Praxis kaum prüf- und auswertbar sind und die verfügbaren Speicherkapazitäten z.B. durch Flash-Speicher schnell wuchsen, wurden verstärkt Lösungen mit einer elektronischen Aufzeichnung des Journals entwickelt.

Kryptografie[Bearbeiten | Quelltext bearbeiten]

Im weiteren Bemühen, die Systeme sicherer zu machen, wurden Daten in einigen Systemen kryptografisch gesichert. So kommt z.B. in der schwedischen Lösung eine Verschlüsselung zum Einsatz. Bisher wird dabei vor allem das Prinzip "Security through obscurity" angewandt - kryptografische Lösungen nach aktuellen Standards sind bisher sehr selten (z.B. in dem in Belgien geplanten Fiskalsystem, das für die Signaturerzeugung eine Smartcard mit klar definierter Schnittstelle einsetzt).

Online-Systeme[Bearbeiten | Quelltext bearbeiten]

In einigen Ländern (z.B. Serbien) wurden die Systeme um eine Online-Übertragung von Daten direkt an die Finanzverwaltung ergänzt.

Länder mit Fiskalspeicher-Zwang[Bearbeiten | Quelltext bearbeiten]

Beispielhafte Übersicht von Ländern mit gesetzlich vorgeschriebenem Fiskalspeicher[2][3][4][5]

  • Argentinien
  • Belgien (nur für Gastronomie, Einführung für 2013 geplant, dann Verschiebung auf 2015)
  • Brasilien
  • Bulgarien
  • Griechenland
  • Italien
  • Kanada, Provinz Québec
  • Lettland
  • Litauen
  • Polen
  • Rumänien
  • Russland
  • Schweden
  • Slowenien (ab 2016)
  • Türkei
  • Venezuela

Praktischer Nutzen[Bearbeiten | Quelltext bearbeiten]

Die Praxis zeigt, dass viele Fiskalspeicher-Systeme nicht besonders wirkungsvoll sind. Dabei sind seltener technische Angriffe das Problem, stattdessen werden Daten einfach nicht in der Registrierkasse mit dem Fiskalspeicher erfasst (sondern gar nicht bzw. in einer "nicht-fiskalisierten" Kasse).

Dieser Pressebericht[6] zeigt exemplarisch, dass ein Fiskalspeicher-System ohne laufende Kontrollen weitgehend wirkungslos sein kann:

„Mit 80 Steuerinspektoren rückte die Staatsmacht am frühen Morgen im mondänen italienischen Ski-Ort Cortina d'Ampezzo ein. […] In den Geschäften, Hotels und Restaurants, in denen am Tag vor Silvester ein Steuerfahnder neben der Kasse saß, ging der Umsatz steil in die Höhe. Restaurants nahmen das Doppelte vom Vortag ein und das Dreifache vom Vor-Silvestertag 2010. Bei Luxusboutiquen vervierfachte sich der Absatz sogar.“

Die erforderlichen Kontrollen sind je nach gewähltem technischen Ansatz unterschiedlich einfach und unterschiedlich wirkungsvoll. Idealerweise erfordert eine Kontrolle keinen Zugriff auf das System, sondern kann anhand von Belegen erfolgen. Diese müssen dann natürlich fälschungssicher sein, was sich nur durch kryptografische Verfahren erreichen lässt.

Alternativen[Bearbeiten | Quelltext bearbeiten]

INSIKA[Bearbeiten | Quelltext bearbeiten]

Das in Deutschland entwickelte, aber bisher nicht gesetzlich eingeführte INSIKA-System verfolgt die gleichen Ziele wie ein Fiskalspeicher, jedoch mit anderen konzeptionellen und technischen Ansätzen. Im Gegensatz zu einem Fiskalspeicher-System bestehen kaum technische Auflagen, trotzdem wird ein mindestens gleichwertiges Sicherheitsniveau erreicht. Voraussetzung ist die Integration eines Smartcard-Lesers. Laufende Kosten entstehen nicht. Die erforderlichen Kontrollen sind aufgrund der Signaturen auf den Belegen leichter möglich als bei konventionellen Fiskalspeicher-Systemen.

efsta-Verfahren[Bearbeiten | Quelltext bearbeiten]

Von der österreichischen European Fiscal Standards Association (efsta) wurde ein Verfahren entwickelt, das die sofortige elektronische Übermittlung der entstehenden Fiskaldaten in verschlüsselter und signierter Form an einen vertrauenswürdigen, unabhängigen Dritten vorsieht. Technische Voraussetzungen sind eine lokale Softwareinstallation auf der PC-Kasse sowie eine Interverbindung. Auf nicht-PC-basierten Systemen ist efsta nicht ohne weiteres nutzbar. Es entstehende laufende Kosten für Internetverbindung und die efsta-Dienstleistung. Die Sicherheit des Verfahrens wurde von Experten bestätigt.[7] Im Gegensatz zu konventionellen (hardwarebasierten) Fiskalspeichersystemen ist auch eine ortsunabhängige Kontrolle der so gesicherten Daten möglich.

Datenanalyse[Bearbeiten | Quelltext bearbeiten]

In Ländern, in denen technische Auflagen für Registrierkassen politisch nicht gewollt oder durchsetzbar sind, behelfen sich die Finanzbehörden oft damit, die Aufzeichnung von Einzeltransaktionen und den Zugriff auf diese Daten zu verlangen. Die rechtlichen Grundlagen dafür bestehen in den meisten Fällen bereits (in Deutschland sind sie in der Abgabenordnung verankert und in den GoBS und den GDPdU konkretisiert), sie müssen nur auf Registrierkassen angewendet werden (in Deutschland durch das BMF-Schreiben vom 26. November 2010[8]). Durch die Analyse der Einzeltransaktionen lassen sich Manipulationen in vielen Fällen aufdecken, was allerdings mit sehr hohem Prüfungsaufwand verbunden ist. Durch Zapper-Software vorgenommene Manipulationen lassen sich so allerdings nur schwer erkennen.

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Dr. Norbert Zisky, Jens Reckendorf: Whitepaper: Fiskalsysteme – Anforderungen und Lösungen. Juni 2014, abgerufen am 1. Juli 2014.
  2. Richard T. Ainsworth: Electronic Tax Fraud - Are There 'Sales Zappers' in Japan? Boston University School of Law, 2008, S. 16, abgerufen am 20. November 2012.
  3. Geregistreerde-Kassa. Finanzministerium Belgien, abgerufen am 20. November 2012.
  4. Cash register legislation becomes effective 1 January 2010. Finanzministerium Schweden, abgerufen am 20. November 2012.
  5. Sales Recording Module (SRM). Finanzministerium Québec, 16. November 2011, abgerufen am 21. November 2012.
  6. Im Land der steinreichen Armen. Spiegel Online, 7. Januar 2012, abgerufen am 21. November 2012.
  7. Beurteilung des efsta (European Fiscal Standards Association) – Verfahrens aus Informationssicherheitssicht (Datensicherheit und Datenschutz). University of Applied Sciences Upper Austria Fakultät für Informatik, Kommunikation und Medien Campus Hagenberg, 3. Juli 2013, abgerufen am 5. Februar 2014.
  8. BMF-Schreiben vom 26. November 2010. Bundesfinanzministerium, abgerufen am 22. November 2012.