TSE (Technische Sicherheitseinrichtung) bei Kassensystemen
Seit 2020 muss jedes elektronische Kassensystem in Deutschland mit einer technischen Sicherheitseinrichtung (TSE) ausgestattet sein. Die TSE ist ein gesetzlich vorgeschriebenes Sicherheitsmodul, das Kassendaten manipulationssicher aufzeichnet und speichert. Rechtsgrundlage sind die Kassensicherungsverordnung (KassenSichV) sowie § 146a der Abgabenordnung. Ziel ist es, nachträgliche Änderungen an Kassendaten zu verhindern und Steuerhinterziehung einzudämmen.
Eine TSE vergibt für jeden einzelnen Kassiervorgang eine digitale Signatur, einen Zeitstempel sowie eine fortlaufende Transaktionsnummer. Alle Daten werden unveränderbar gespeichert und können im Prüfungsfall exportiert und ausgewertet werden.
Wie funktioniert eine TSE im Kassenalltag?
Bei jedem Verkauf übermittelt das Kassensystem die Belegdaten an die technische Sicherheitseinrichtung. Diese erzeugt eine eindeutige Transaktionsnummer, ergänzt einen Zeitstempel und signiert den Vorgang kryptografisch. Erst danach wird der Bezahlvorgang abgeschlossen und der Datensatz dauerhaft gespeichert.
Bestimmte Informationen aus der TSE müssen auf dem Kassenbon erscheinen, darunter:
- Seriennummer der TSE
- Fortlaufende Transaktionsnummer
- Zeitstempel
- Prüfwert (digitale Signatur)
Damit ist jederzeit nachvollziehbar, dass ein Beleg echt ist und nicht nachträglich verändert wurde.
Aufbau und Komponenten einer TSE
Eine technische Sicherheitseinrichtung besteht aus drei zentralen Bestandteilen:
Speichermedium
Das Speichermedium bewahrt alle aufzeichnungspflichtigen Kassenvorgänge, Signaturen und Transaktionsdaten sicher auf. Je nach TSE-Art erfolgt dies lokal auf einem physischen Datenträger oder auf externen Servern.
Digitale Schnittstelle (DSFinV-K)
Die digitale Schnittstelle der Finanzverwaltung für Kassensysteme legt ein einheitliches Datenformat fest. Sie stellt sicher, dass Kassendaten im Prüfungsfall standardisiert exportiert und vom Finanzamt maschinell ausgewertet werden können.
Sicherheitsmodul
Das Sicherheitsmodul ist der Kern der TSE. Es signiert jede Transaktion kryptografisch und macht Manipulationen sofort erkennbar. Dieses Modul wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert.
TSE-Arten im Vergleich
Am Markt existieren zwei grundlegende Arten von technischen Sicherheitseinrichtungen:
Hardware-TSE
Dabei handelt es sich um physische Datenträger wie USB-Sticks oder SD-Karten, die direkt an der Kasse oder am Bondrucker angeschlossen sind. Sie funktionieren unabhängig vom Internet, verfügen jedoch über begrenzten Speicher und erfordern Wartung oder Austausch vor Ort.
Typische Eigenschaften:
- Kein Internet erforderlich
- Begrenzter Speicherplatz
- Wartung und Austausch meist manuell
Software- oder Cloud-TSE
Diese Variante arbeitet vollständig digital über zertifizierte Server im Internet. Kassendaten werden online übertragen, signiert und gespeichert. Wartung, Zertifikatswechsel und Updates übernimmt der Anbieter zentral.
Typische Eigenschaften:
- Keine zusätzliche Hardware
- Wartung und Updates durch den Anbieter
- Nahezu unbegrenzter Speicher
- Stabile Internetverbindung erforderlich
Wer ist zur Nutzung einer TSE verpflichtet?
Grundsätzlich muss jedes elektronische Aufzeichnungssystem mit einer TSE ausgestattet sein. Dazu zählen unter anderem:
- Kassensoftware als App oder Browserlösung
- Elektronische Registrierkassen
- Kassen mit integrierter Waage
- ERP- oder Handwerker-Software mit Kassenfunktion
- Taxameter und Wegstreckenzähler
Nicht unter die TSE-Pflicht fallen offene Ladenkassen ohne elektronische Aufzeichnung sowie Betriebe, die ausschließlich bargeldlose Zahlungen ohne Kassensystem abwickeln. Auch bestimmte Automaten und Systeme wie Fahrscheinautomaten, Geldautomaten oder reine Buchhaltungssoftware ohne Kassenfunktion sind ausgenommen.
Zertifizierung, Laufzeit und Austausch der TSE
Jede technische Sicherheitseinrichtung muss vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert werden. Die maximale Laufzeit eines TSE-Zertifikats beträgt acht Jahre. Nach fünf Jahren erfolgt jedoch eine erneute Überprüfung, weshalb viele Hersteller ihre TSE bereits nach diesem Zeitraum rezertifizieren.
Läuft das Zertifikat ab, muss die TSE ausgetauscht werden. Bei Hardware-TSEs geschieht dies manuell, bei Cloud-TSEs automatisch durch den Anbieter. Wichtig ist: Jede neue oder ausgetauschte TSE muss unverzüglich beim Finanzamt gemeldet werden. Die Meldepflicht gilt unabhängig davon, ob es sich um eine Hardware- oder Softwarelösung handelt.
Häufige Fragen und Antworten
Hier findet man die häufigseten Fragen und Antworten zu diesem Thema:
Ja, jedes elektronische Aufzeichnungssystem muss mit einer TSE ausgestattet sein. Ausgenommen sind nur offene Ladenkassen ohne elektronische Aufzeichnung sowie Systeme, die nicht als Kassensystem im Sinne der Kassensicherungsverordnung gelten.
Der Einsatz einer fehlenden oder abgelaufenen TSE gilt als Verstoß gegen die Kassensicherungsverordnung. Dies kann zu Bußgeldern, Hinzuschätzungen durch das Finanzamt und Problemen bei Betriebsprüfungen führen.
Ein TSE-Zertifikat ist zwar bis zu acht Jahre gültig, wird jedoch nach fünf Jahren erneut überprüft. Läuft das Zertifikat ab, muss die TSE ersetzt werden; bei Cloud-TSEs erfolgt dies in der Regel automatisch durch den Anbieter, bei Hardware-TSEs manuell.
