Registrierkassensicherheitsverordnung

Die Registrierkassensicherheitsverordnung (RKSV) ist eine österreichische Rechtsvorschrift über zwingend vorgeschriebene technische Sicherheitseinrichtungen in Registrierkassen, mit Hilfe derer eine Manipulationssicherheit bei Barumsätzen erreicht werden soll.

Als Basis der Registrierkassensicherheitsverordnung gelten ab dem 1. Jänner 2016 in Österreich die Einzelaufzeichnungspflicht, die Registrierkassenpflicht und die Belegerteilungspflicht. Die Registrierkassensicherheitsverordnung selbst trat mit dem 1. April 2017 in Kraft.

Gesetzliche Grundlagen

Einzelaufzeichnungspflicht

Die generelle Einzelaufzeichnungspflicht (also die laufende und einzelne Aufzeichnung aller Einnahmen und Ausgaben) ist durch die §§ 131 und 132, insbesondere durch § 131 Abs. 4 Z. 2 der Bundesabgabenordnung (BAO) gegeben. Ausnahmen werden in der Barumsatzverordnung festgehalten.

Registrierkassenpflicht

Der § 131b der BAO schreibt für die Erfüllung der Einzelaufzeichnungspflicht die Verwendung einer „elektronischen Registrierkasse, eines Kassensystems oder einem sonstigen elektronischen Aufzeichnungssystem“ vor, sofern der Jahresumsatz mindestens 15.000 Euro beträgt und davon mindestens 7.500 Euro Barumsatz sind.[1] Zum Barumsatz zählen dabei auch Zahlungen mit Bankomat- oder Kreditkarten, mit anderen elektronischen Zahlungsmethoden wie Quick oder Mobiltelefon sowie die Bezahlung mit Gutscheinen, Bons oder Geschenkmünzen.

Die Registrierkassensicherheitsverordnung beschreibt Anforderungen, die eine Registrierkasse im Sinne dieser Verpflichtung erfüllen muss.

Belegerteilungspflicht

§ 132a BAO regelt die Belegerteilungspflicht. Jeder Unternehmer muss für jeden Barumsatz unabhängig vom Betrag einen Beleg ausstellen, und der Kunde ist dazu verpflichtet, diesen bis außerhalb der Geschäftsräumlichkeiten mitzunehmen.

Der Beleg muss dabei mindestens folgende Angaben enthalten:

  1. den Namen des Unternehmers
  2. eine fortlaufende Belegnummer
  3. das Datum der Belegausstellung
  4. die Menge und die „handelsübliche Bezeichnung“ der gelieferten Waren oder der Leistung
  5. den Zahlungsbetrag
  6. (ab 2017) die Kassenidentifikationsnummer, die Uhrzeit, die Aufsplittung des Betrages nach Steuersätzen und eine maschinenlesbare Signatur; diese werden nicht durch die BAO, sondern durch die Registrierkassensicherheitsverordnung vorgeschrieben.

Die Nummer 4 kann auch durch einen Verweis auf ein anderes Dokument erfüllt werden, wenn im Beleg auf dieses Dokument verwiesen wird.

Barumsatzverordnung

In der Barumsatzverordnung 2015 sind einzelne Ausnahmen und Erleichterungen zur Einzelaufzeichnungspflicht und der Registrierkassenpflicht definiert. Diese betreffen Umsätze, die von Haus zu Haus oder an öffentlichen Orten ohne Verbindung mit geschlossenen Räumen ausgeführt werden („Kalte Hände“), bestimmte Automaten und unter bestimmten Bedingungen auch Webshops.

Inhalt der Verordnung

Das Prinzip der Registrierkassensicherheitsverordnung ist eine Verkettung der Barumsätze mit Hilfe einer elektronischen Signatur. Das bedeutet, dass jeder Beleg eine Signatur trägt, in die nicht nur die Belegdaten selbst einfließen, sondern auch die Signatur des unmittelbar vorangegangenen Beleges. Damit wird eine lückenlose Kette aller Belege gebildet, und jede nachträgliche Manipulation eines Beleges in der Kette hätte nicht nur die Ungültigkeit seiner eigenen Signatur zur Folge, sondern auch sämtlicher Signaturen aller folgenden Belege.

Jede Registrierkasse muss über eine sogenannte „Sicherheitseinrichtung“ mit einer Signaturerstellungseinheit verfügen. Weiters muss sie ein Datenerfassungsprotokoll führen, in dem jeder einzelne Barumsatz erfasst und abgespeichert wird, sowie einen Umsatzzähler, der sämtliche Bareinnahmen laufend aufsummiert. Das Datenerfassungsprotokoll muss regelmäßig auf einen Datenträger gesichert und auf Nachfrage dem Finanzamt zur Verfügung gestellt werden.

Jeder einzelne Beleg der Registrierkasse muss elektronisch signiert sein. Der Signaturwert muss zusammen mit den Daten, die in die Signaturerstellung eingeflossen sind, als QR-Code oder in anderer maschinenlesbarer Form auf dem Beleg aufgedruckt werden.

Registrierkassen müssen eine eindeutige Identifikationsnummer tragen, die auf allen Belegen aufgedruckt sein muss und auch in die Signatur einfließt. Jede einzelne Registrierkasse muss über FinanzOnline oder beim zuständigen Finanzamt angemeldet werden, auch ein Ausfall der Kasse oder der Signaturerstellungseinheit muss gemeldet werden.

Geschlossene Gesamtsysteme, also elektronische Aufzeichnungssysteme, in dem Warenwirtschafts-, Buchhaltungs- und Kassensysteme lückenlos miteinander verbunden sind, können ab einem Umfang von 30 Registrierkassen auf Kosten des Unternehmers einer sachverständigen Begutachtung auf Erfüllung der Manipulationssicherheit unterzogen werden. Fällt das Gutachten positiv aus, kann auf eine externe Signaturerstellungseinheit verzichtet werden.

Die Registrierkassensicherheitsverordnung tritt größtenteils mit 1. April 2017 in Kraft. Die Verpflichtung für die Führung und Bereitstellung eines Datenerfassungsprotokolls sowie die Regelung für den Ausfall einer Registrierkasse gelten bereits ab 1. Jänner 2016. Ab 1. Juli 2016 können Registrierkassen beim Finanzamt bzw. über FinanzOnline angemeldet werden, und auch die Begutachtung geschlossener Systeme ist ab diesem Datum möglich.

Maschinenlesbarer Code

Die Signatur besteht aus einer Kette von Daten, die mit Unterstrichen getrennt sind. Die einzelnen Felder sind außer dem Umsatzzähler in Klartext und können einfach mit den am Beleg gedruckten Daten verglichen werden. Die Registrierkassennummer ist eine von Unternehmen gewählte Kennung, die nur innerhalb der Firma eindeutig ist. Die Nummer wird nicht, wie z. B. in Ungarn landesweit eindeutig vergeben. Die Identifikation des Unternehmens erfolgt über die Zertifikat-Seriennummer. Der aktuelle Stand des Umsatzzählers wird mit einem frei gewählten, aber der Finanz gemeldeten Schlüssel mit AES-256/ICM verschlüsselt.[2]

  • Algorithmuskennzeichen R1 – Kennung für s.g. "Geschlossenes Gesamtsystem" (AT0) oder des jeweiligen Vertrauensdiensteanbieter (AT1 – A-Trust, AT2 – e-commerce monitoring oder AT3 – PrimeSign)[3]
  • Registrierkassennummer
  • Belegnummer
  • Belegdatum-Uhrzeit im Format JJJJ-MM-TT’T’hh:mm:ss
  • Betrag zum Normalsteuersatz (20 %)
  • Betrag zum ermäßigten Steuersatz 1 (10 %)
  • Betrag zum ermäßigten Steuersatz 2 (13 %)
  • Betrag steuerfrei (0 %)
  • Betrag zu besonderem Steuersatz (19 %)
  • Stand des Umsatzzählers verschlüsselt bzw. U1RP bei Stornobeleg
  • Zertifikat-Seriennummer
  • Signatur des vorigen Beleges
  • Signatur bzw. Ersatztext bei Ausfall der Signaturerstellungseinheit

Beispiel: _R1-AT0_DEMO-CASH-BOX524_366596_2015-12-17T11:23:44_0,00_0,00_3,64_-2,60_1,79_VFJB_47be737cb1f6d1f1_ZvNxJw6a1A4= _J7YC28zquHfHzMpx02TqElbXOTSgXQu5JAA9Xu1Xzzu5p8eUYT+sgmyhzRps5nYyEp5Yh8ATIa9130zmuiACHw==

Dieser Code kann entweder als QR-Code oder als OCR-Code angedruckt werden. Bei Darstellung als OCR-Code (lt. RKSV "OCR-fähige Zeichenkette"), muss eine BASE32-Darstellung der Binärdaten des maschinenlesbaren Codes erzeugt werden. Kann der Drucker auch keine OCR-Schriftart, ist auch der Andruck einer URL möglich, die zum maschinenlesbaren Code führt. Diese Adresse muss aber den Hash-Wert der Signatur enthalten.

Steuersätze

Die o.a. Steuersätze gelten nach der aktuellen Fassung des UStG 1994.

Zitat §10:

(1) Die Steuer beträgt für jeden steuerpflichtigen Umsatz 20 % der Bemessungsgrundlage (§§ 4 und 5).
(2) Die Steuer ermäßigt sich auf 10 % für...
(3) Ist der Steuersatz nach Abs. 2 nicht anzuwenden, ermäßigt sich die Steuer auf 13 % für...
(4) Die Steuer ermäßigt sich auf 19 % für die in den Gebieten Jungholz und Mittelberg bewirkten Umsätze im Sinne des § 1 Abs. 1 Z 1 und 2 durch Unternehmer, die...

Position der Wirtschaftskammer

Die Wirtschaftskammer sprach in einer Stellungnahme zum Entwurf der Verordnung von „massivem Mehraufwand“, „unverhältnismäßig hohen Kosten“ und einer „deutlich zu knapp bemessenen Frist“ und forderte Änderungen im Detail, ohne dabei die Registrierkassenpflicht als solches in Frage zu stellen.[4]

Die Signaturerstellungseinheiten, die ab 2017 für jede Registrierkasse notwendig werden, benötigen zwingend ein Zertifikat für eine qualifizierte Signatur nach Signaturgesetz. In Österreich existieren zum Zeitpunkt, da das Gesetz beschlossen wurde, lediglich zwei aktive Anbieter[5]. Die Wirtschaftskammer hält dabei den größten Anteil der A-Trust, dem wesentlich größeren der beiden.[6] Aktuell werden Signaturzertifikate für die RKSV von drei der österreichischen Vertrauensdiensteanbieter angeboten.[7][3]

Einzelnachweise

  1. Beatrix Pausz: Nur kleine Vereinsfeste sind von Belegspflicht befreit. DerStandard.at, 6. Dezember 2015, abgerufen am 23. Dezember 2015.
  2. Festlegungen des BMF Zu Detailfragen der Registrierkassensicherheitsverordnung (RKSV) [1]
  3. a b BMF - Sicherheitseinrichtung in Registrierkassen. Abgerufen am 20. Juni 2019.
  4. Aktuelle Infos zur Registrierkassensicherheitsverordnung - WKO.at (Memento vom 22. Dezember 2015 im Internet Archive)
  5. Rundfunk- und Telekom Regulierungs-GmbH: Liste der Zertifizierungsdiensteanbieter
  6. derStandard.at: A-Trust setzt auf Handy-Signatur und E-Tresor
  7. RTR - Liste der Vertrauensdiensteanbieter. Abgerufen am 20. Juni 2019.