Datenschutzrechtliche Anforderungen bei Umsetzung der neuen Kassensicherungsverordnung

Dr. Carlo Piltz

Seit dem 01.01.2020 gilt die Kassensicherungsverordnung (KassenSichV) (PDF), bei der es sich um eine Verordnung des Finanzministeriums handelt, welche die Pflichten zur ordnungsgemäßen Buchführung aus § 146a AO konkretisiert. Ziel dieser Verordnung ist die Verhinderung von Manipulationen von Registrierkassen und die Erleichterung der Datenübermittlung und Erfüllung der Nachweispflichten gegenüber dem Finanzamt. Im Grunde überträgt die KassenSichV die bereits bestehenden gesetzlichen Nachweispflichten auf eine digitale Ebene.

Daher ändern sich durch die KassenSichV auch nur die technischen, nicht aber die inhaltlichen Anforderungen zur Aufbewahrung von steuerrechtlich relevanten Unterlagen, wie etwa Kassenbelegen.

§ 2 KassenSichV definiert, welche Daten einer Transaktion elektronisch zu speichern sind. Hierbei handelt es sich um

  • den Zeitpunkt des Vorgangbeginns,
  • eine eindeutige und fortlaufende Transaktionsnummer,
  • die Art des Vorgangs,
  • die Daten des Vorgangs,
  • die Zahlungsart,
  • den Zeitpunkt der Vorgangsbeendigung oder des Vorgangsabbruchs,
  • einen Prüfwert sowie
  • die Seriennummer des elektronischen Aufzeichnungssystems oder die Seriennummer des Sicherheitsmoduls.

Daneben müssen zukünftig alle genutzten Kassen über eine technische Sicherheitseinrichtung (TSE) verfügen. Bei dieser TSE handelt es sich um eine auf einer Blockchain basierende Methode, um die Transaktionen der Kasse sicher zu speichern und gleichzeitig mit einer Signatur zu versehen, sodass Daten nicht mehr manipuliert werden können. Die Daten des Steuerpflichtigen, wie Adresse, Steuernummer etc., werden fest in der Kasse hinterlegt, wodurch eine automatisierte lückenlose Erfassung von Geschäftsvorfällen gewährleistet wird. Die Seriennummer einer eingesetzten Kasse muss durch den Betreiber beim Finanzamt angemeldet werden.

Mit Implementierung der TSE benötigen Kassen oder Kassensysteme selbst keine Zertifizierung o.Ä. mehr; allein die TSE selbst muss zertifiziert sein. Die genaue technische Ausgestaltung der TSE kann je nach Hersteller einer Kasse aber variieren. Die neuen Vorgaben gelten verpflichtend ab dem 30.09.2020. Ab diesem Zeitpunkt müssen alle Kassen über die sogenannte TSE-Schnittstelle verfügen und den Vorgaben der KassenSichV entsprechen.

Für die Dauer der steuerrechtlichen Aufbewahrungsfristen von in der Regel zehn Jahren (§ 147 AO) muss ein Export der durch die TSE abgesicherten Daten sowie ein DSFinV-K-Export (digitale Schnittstelle der Finanzverwaltung für Kassensysteme) sichergestellt sein. Dies kann entweder lokal oder mittels eines externen Dienstleisters stattfinden. Sofern externe Dienstleister eingesetzt werden, so erfolgt deren Einsatz – so wie bei anderen Cloudspeicherdiensten auch – in der Funktion eines Auftragsverarbeiters im Sinne des Art. 28 DSGVO, dessen Vorgaben hierbei zu beachten sind. Verantwortlicher für die Datenverarbeitung bleibt der steuerpflichtige Betreiber der Kasse. Dieser sollte daher insbesondere Augenmerk auf den Abschluss einer Auftragsverarbeitungsvereinbarung (Art. 28 Abs. 3 DSGVO) und die Sicherstellung von geeigneten technischen und organisatorischen Sicherheitsmaßnahmen des eingesetzten Dienstleisters (Art. 32 DSGVO) legen.

Allerdings lassen sich auch mögliche Kollisionen zwischen datenschutzrechtlichen Bestimmungen und den neuen technischen Anforderungen erkennen.

Zwar werden eindeutig und unmittelbar personenbezogene Daten von Kunden nicht zwingend gespeichert. Eine Personenbeziehbarkeit kann aber in bestimmten Konstellationen, zum Beispiel unter Zusammenführung der Transaktionsnummer und von EC- oder Kreditkartenzahlungsdaten, mittelbar möglich sein. Kassenbetreiber sollten daher die Möglichkeit einer Pseudonymisierung von Kundendaten in Erwägung ziehen, da die gegebenenfalls gespeicherten personenbezogenen EC-Karten-Daten für den Verarbeitungszweck zur Erfüllung der gesetzlichen Vorgaben der KassenSichV nicht unbedingt erforderlich sind. Lediglich die Speicherung der Zahlungsart wird gesetzlich gefordert, nicht aber die Erfassung oder Identifizierbarkeit der zahlenden Person.

Zudem dürfen nach den Vorgaben der DSGVO Daten nicht ewig gespeichert werden. Eine grundsätzliche Löschmöglichkeit muss durch Verantwortliche gewährleistet werden. Blockchain-Systeme allerdings sind so manipulationssicher, weil sie technisch keine komplette Löschmöglichkeit von Daten vorsehen. Dieses Konzept widerspricht dem Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO. Als Lösung wäre denkbar, den Schlüssel für eine Entschlüsselung der gespeicherten Journal-Daten in der Blockchain nach zehn Jahren zu erneuern und den alten Schlüssel zu löschen, sodass keine Möglichkeit mehr bestünde, die Alt-Daten auszulesen. Ob dieser Ansatz in der Praxis allerdings umsetzbar ist, ist derzeit fraglich.

[Februar 2020]