Inbetriebnahme der Sicherheitseinrichtung bei Registrierkassen nicht vergessen
Seit Einführung der Registrierkassenpflicht haben wir regelmäßig über Erleichterungen, Probleme und Verschärfungen im Zusammenhang mit diesem Thema berichtet (zuletzt siehe KI 10/16). Spätestens bis Ende März 2017 besteht wiederum Handlungsbedarf, da ab 1. April 2017 die Registrierkassen mit einer besonderen Sicherheitseinrichtung ausgestattet sein müssen, um Manipulationen zu verhindern. Dies soll insbesondere durch die kryptographische Signatur jedes Barumsatzes und durch die Nachprüfbarkeit in Form der Erfassung der Signatur auf den einzelnen Belegen gewährleistet werden.
Die Sicherheitseinrichtung jeder Registrierkasse muss bis spätestens Ende März 2017 mit folgenden 5 Schritten in Betrieb genommen werden. In Abhängigkeit von der Art der Registrierkassenlösung können diese Schritte auch automatisch durchgeführt werden.
- Beschaffung der Signaturkarte bei einem Vertrauensdiensteanbieter (derzeit A-Trust: https://www.a-trust.at/, e-commerce monitoring: http://www.a-cert.at/ oder PrimeSign: https://www.prime-sign.com/).
- Initialisierung der manipulationssicheren Registrierkasse.
- Erstellung des Startbelegs.
- Registrierung der beschafften Signaturkarte und manipulationssicheren Registrierkasse über FinanzOnline.
- Prüfung des Startbelegs mittels der Prüf-App "BMF Belegcheck".
Die Initialisierung der manipulationssicheren Registrierkasse als Schritt 2 erfolgt zumeist in Form eines Softwareupdates durch den Kassenhersteller oder -händler. Davon umfasst ist auch die Herstellung der Verbindung zwischen Registrierkasse und Signaturkarte. Da im Zuge der Initialisierung der manipulationssicheren Registrierkasse alle in der Registrierkasse gespeicherten Aufzeichnungen gelöscht werden, ist es wichtig, vor diesem Schritt die bis dahin aufgezeichneten Geschäftsfälle gesondert abzuspeichern.
Der obligatorische Startbeleg (Schritt 3) wird idealerweise in Form eines Nullbelegs (Geschäftsfall mit dem Betrag 0) unmittelbar nach der Initialisierung der manipulationssicheren Registrierkasse erstellt.
In Schritt 4 sind die Signaturkarten und Registrierkassen unabhängig voneinander über FinanzOnline zu registrieren. Dazu werden in FinanzOnline Eingabemasken und elektronische Übermittlungsmöglichkeiten zur Verfügung gestellt. Sehr einfach geht dies, wenn die Registrierkasse mit Internetzugang und entsprechenden Softwarekomponenten ausgestattet ist und das Unternehmen über einen eigenen FinanzOnline Zugang verfügt. Via Eingabemaske in FinanzOnline müssen pro Signaturkarte die Seriennummer des Signatur- bzw. Siegelzertifikats sowie der Name des Vertrauensdiensteanbieters angegeben werden. Pro Registrierkasse sind die angeforderten Informationen die Kassenidentifikationsnummer und der AES-Schlüssel (AES steht für Advanced Encryption Standard). Die frei zu vergebende Kassenidentifikationsnummer kennzeichnet eine Registrierkasse innerhalb eines Unternehmens – sie muss daher einzigartig sein. Der AES-Schlüssel kann vom Unternehmen frei gewählt werden bzw. wird er in vielen Fällen von der Registrierkasse selbst erzeugt. Er wird für die Anonymisierung des Umsatzzählers in der Registrierkasse benötigt, da damit beliebige Daten unlesbar und bei Bedarf wieder lesbar gemacht werden können.
In Schritt 5 wird bei der Startbelegprüfung mithilfe der BMF Belegcheck-App festgestellt, ob die Inbetriebnahme der Sicherheitseinrichtung der Registrierkasse ordnungsgemäß durchgeführt wurde. Vor der ersten Verwendung muss die BMF Belegcheck-App jedoch durch Eingabe des Authentifizierungscodes aus der FinanzOnline-Registrierung (der Registrierkasse) freigeschaltet werden. Die Prüfung des Startbelegs mittels App hat bis spätestens 31. März 2017 zu erfolgen. Bei Inbetriebnahme einer Registrierkasse ab dem 1. April 2017 darf zwischen der Registrierung über FinanzOnline und der Prüfung des Startbelegs nur eine Woche liegen. Der Startbeleg muss überdies – entsprechend BAO-Anforderungen – zumindest für 7 Jahre aufbewahrt werden.
Für den laufenden Betrieb der mit der Sicherheitseinrichtung versehenen Registrierkasse sind noch zwei Punkte zu beachten. Das Datenerfassungsprotokoll war schon bisher zumindest vierteljährlich auf einem elektronischen externen Datenträger zu sichern und für zumindest 7 Jahre aufzubewahren. Ab 1. April 2017 muss es überdies jederzeit auf einen externen Datenträger exportiert werden können und z.B. auf Verlangen einem Organ der Abgabenbehörde bereitgestellt werden. Im Datenerfassungsprotokoll wird jeder mit der Registrierkasse zu erfassende Barumsatz (auch Trainings- und Stornobuchungen) abgespeichert. Bei technischem oder faktischem Ausfall der Registrierkasse hat eine Meldung an die Finanz zu erfolgen. So müssen bei einem 48 Stunden übersteigenden Ausfall der Signaturkarte grundsätzlich Beginn und Ende des Ausfalls sowie eine allfällige Außerbetriebnahme (der Signaturkarte bzw. der Registrierkasse) binnen einer Woche über FinanzOnline gemeldet werden.