„Was lange währt, wird endlich gut” heißt es im Volksmund, aber trifft dieser Spruch auch auf das neueste Kapitel im Abenteurerroman „Registrierkasse“, der Registrierkassensicherheitsverordnung, zu? Heute stelle ich die RKSV, ihre Bestandteile und die dafür nötigen Änderungen an ProSaldo.NET und Kassa2go vor.
Gastkommentar von Markus Wetzlmayr, BSc, Wirtschaftsinformatiker und Entwickler bei haude electronica. Er arbeitet seit 2016 an der Umsetzung der Registrierkassen-Sicherheitsverordnung in ProSaldo.net. Die RKSV war Inhalt seiner Bachelorarbeit.
Registrierkassen anno dazumal
Registrierkassen in Unternehmen sind keine neue Erscheinung. Sie existieren in ihrer mechanischen Urform bereits seit dem 19. Jahrhundert und sind heutzutage kaum noch aus Betrieben mit Barumsatz wegzudenken. Durch die generelle Pflicht zum Einsatz von Registrierkassen in österreichischen Unternehmen, die gewisse Umsatzgrenzen überschreiten, und die damit einhergehende, lang anhaltende öffentliche Diskussion über das Für und Wider dieser Pflicht rückt die Registrierkasse nun verstärkt in den Fokus der breiteren Öffentlichkeit.
Registrierkassenpflicht ab 1.4.2017
Veröffentlicht wurde die Erstversion der Registrierkassenpflicht bereits im Dezember 2015 und war für den Einsatz ab 1.1.2017 angedacht. Die Umsetzungspflicht verschob sich aufgrund diverser unklarer und ungeklärter Details und Lücken in der Verordnung jedoch zwischenzeitlich auf den 1.4.2017. Ab dem ersten April wird es also wirklich ernst und die Registrierkassenpflicht muss nun eingesetzt werden. Doch worum geht es bei dieser Verordnung denn eigentlich?
Im Grunde sind die Änderungen rein technischer Natur und betreffen den Anwender nur in wenigen Punkten. Durch diverse kryptographische Funktionen und Abläufe soll eine Manipulation des Barumsatzes im Unternehmen verhindert, beziehungsweise stark erschwert werden. Lediglich eine erweiterte Kassenverwaltung muss vom Anwender gepflegt werden. Dazu gehören
- das An- und Abmelden von Kassen und Signaturerstellungseinheiten beim Finanzamt,
- die periodische Belegprüfung und
- das Melden von Kassen- oder Signaturerstellungseinheitenausfällen.
Verschlüsselter Umsatz auf Kassenbons
Als zentrale Kernstücke der technischen Seite der RKSV kann man den AES-verschlüsselten Umsatzzähler und die digital signierten Belegdaten sehen, welche als QR-Code auf jedem Bon aus der Registrierkasse abgedruckt werden müssen. Der Umsatzzähler stellt einen mitlaufenden Umsatzwert dar, der sämtliche umsatzsteuerrelevanten Bargeldbewegungen erfasst, die mittels der eingesetzten Registrierkasse geschehen. Da dieser Zähler auf jedem Bon abgedruckt wird, ist es nötig, ihn zu verschlüsseln, um diese Daten vor unbefugten Personen oder Institutionen zu schützen.
Um die Integrität der Bondaten zu gewährleisten, werden Signaturerstellungseinheiten von einem der drei zugelassenen Vertrauensdienstanbietern – Globaltrust, A-Trust oder PrimeSign – verwendet. Dadurch werden die Daten auf dem Bon durch eine vertrauenswürdige dritte Partei sozusagen bestätigt. Damit Bons nicht einfach so verschwinden können und somit der Steuerhinterziehung erst wieder Tür und Tor geöffnet werden würden, werden die einzelnen Belege zusätzlich „verkettet“. Würde nun ein Beleg plötzlich „verschwinden“, so würde bei einer Prüfung sofort auffallen, dass die Kette unterbrochen wurde und etwas nicht mit rechten Dingen zugeht.
Rechnung neu: jetzt mit QR-Code
Im Normalfall geht natürlich alles reibungslos von statten und der Kunde erhält nach einem Bareinkauf dank Belegerteilungs- und Annahmepflicht einen neuen Kassenbon, auf dem der neue QR-Code abgedruckt wurde. Dieser QR-Code ist eigentlich relativ uninteressant, sowohl für den Unternehmer, als auch für den Kunden. Dennoch möchte ich hier noch kurz die Bestandteile des Codes erklären:
Mit einem QR-Scanner – die es beispielsweise für alle gängigen Smartphones gibt – kann man die Codes leicht entziffern und erhält etwas in der Art von
Das geübte Auge liest aus diesem Code dann folgendes:
_R1-: steht für die verwendeten Algorithmen (in diesem Fall ES256, sowie SHA-256)
AT2: kennzeichnet den Signaturanbieter Globaltrust
haude-registrierkasse-67: ist die Identifikationsnummer der Kasse im Unternehmen
9464: ist die Bonnummer, gefolgt vom Bondatum.
Im Anschluss kommt die Betragsgruppierung mit fünf möglichen Umsatzsteuerbeträgen: 20 %, 10 %, 13 %, 0 % und 19 %. In dem obigen Beispiel beinhaltet der Bon also 3,65 € Umsatz inklusive 20 % USt, sowie 12,99 € inkl. 10 % USt und keinerlei Umsätze mit den anderen Steuersätzen.
Nach dieser Betragsgruppe folgt der AES-verschlüsselte Umsatzzähler. Dieser kann lediglich vom Finanzamt und dem Kasseninhaber entschlüsselt werden, da nur diese im Besitz des Schlüssels sind. Für den Kasseninhaber macht dies übrigens wenig Sinn, denn dieser Umsatzzähler kann kaum als betriebliche Kennzahl verwendet werden. Er gibt weder Aufschluss über den aktuellen Kassenstand, noch über die Steuerlast oder das Betriebsergebnis.
Der nächste Wert stellt die Seriennummer des verwendeten Zertifikats/Signaturerstellungseinheit dar.
Die letzten beiden Teile des QR-Codes sind der Verkettungswert und der Signaturwert des eigentlichen Bons. Diese werden mithilfe der eingesetzten Signaturerstellungseinheit kreiert und garantieren, dass Bons nicht ohne massiven Aufwand unauffällig verschwinden können.
Durch die Umsetzung dieser Kriterien kann die neue Kassa2go nun also RKSV-konform betrieben werden und der erfolgreichen Betriebsprüfung steht – zumindest aus Kassensicht – nichts mehr im Wege.