Einführung des § 146 a AO durch das Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen vom 22.12.2016

BMF, 17.6.2019, IV A 4 - S 0316 - a/18/10001

Anwendungserlass zu § 146a AO

Durch das Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen vom 22.12.2016 (BGBl S. 3152) ist § 146a AO eingeführt worden (Ordnungsvorschrift für die Buchführung und Aufzeichnung mittels elektronischer Aufzeichnungssysteme).

Der Anwendungserlass zur Abgabenordnung zu § 146a AO wird wie folgt gefasst:

Unter Bezugnahme auf das Ergebnis der Erörterungen mit den obersten Finanzbehörden der Länder wird im Anwendungserlass zur Abgabenordnung vom 31.1.2014 (BStBl 2014 I S. 290), der zuletzt durch das BMF-Schreiben vom 5.4.2019 (BStBl 2019 I S. 446) geändert worden ist, mit sofortiger Wirkung die Regelung zu § 146a AO wie folgt gefasst:

„AEAO zu § 146a – Ordnungsvorschriften für die Buchführung und für Aufzeichnungen mittels elektronischer Aufzeichnungssysteme; Verordnungsermächtigung:

1. Allgemeines und Begriffsdefinition

1.1 elektronische Aufzeichnungssysteme

Zur Definition elektronischer Aufzeichnungssysteme vgl. AEAO zu § 146 Nr. 2.1.4.

1.2 elektronische oder computergestützte Kassensysteme oder Registrierkassen

Die in § 1 Satz 1 KassenSichV genannten „elektronischen oder computergestützten Kassensysteme oder Registrierkassen” sind für den Verkauf von Waren oder die Erbringung von Dienstleistungen und deren Abrechnung spezialisierte elektronische Aufzeichnungssysteme, die „Kassenfunktion” haben.

Kassenfunktion haben elektronische Aufzeichnungssysteme dann, wenn diese der Erfassung und Abwicklung von zumindest teilweise baren Zahlungsvorgängen dienen können. Dies gilt auch für vergleichbare elektronische, vor Ort genutzte Zahlungsformen (Elektronisches Geld wie z.B. Geldkarte, virtuelle Konten oder Bonuspunktesysteme von Drittanbietern) sowie an Geldes statt angenommener Gutscheine, Guthabenkarten, Bons und dergleichen.

Eine Aufbewahrungsmöglichkeit des verwalteten Bargeldbestandes (z.B. Kassenlade) ist nicht erforderlich.

Sofern ein elektronisches Aufzeichnungssystem mit Kassenfunktion die Erfordernisse der „Mindestanforderungen an das Risikomanagement – MaRisk” und der „Bankaufsichtlichen Anforderungen an die IT” (BAIT) der Bundesanstalt für Finanzdienstleistungsaufsicht in der jeweils geltenden Fassung erfüllt und von einem Kreditinstitut i.S. des § 1 Absatz 1 KWG betrieben wird, unterliegt dieses nicht den Anforderungen des § 146a AO.

1.3 Schutz durch eine zertifizierte technische Sicherheitseinrichtung (§ 146a Abs. 1 Satz 2 AO)

Grundsätzlich ist jedes eingesetzte elektronische Aufzeichnungssystem i.S. des § 146a AO i. V. m. § 1 Satz 1 KassenSichV sowie die damit zur führenden digitalen Aufzeichnungen durch eine zertifizierte technische Sicherheitseinrichtung zu schützen. Werden mehrere einzelne elektronische Aufzeichnungssysteme (z.B. Verbundwaagen, Bestellsysteme ohne Abrechnungsteil, App-Systeme) mit einem Kassensystem im Sinne von § 146a AO i.V.m. § 1 Satz 1 KassenSichV verbunden, dann wird es nicht beanstandet, wenn die damit zu führenden digitalen Aufzeichnungen mit einer zertifizierten technischen Sicherheitseinrichtung geschützt werden, die alle im Verbund befindlichen elektronischen Aufzeichnungssysteme gemeinsam nutzen.

Ein elektronisches Aufzeichnungssystem oder eine Gruppe elektronischer Aufzeichnungssysteme muss bei störungsfreier Verwendung genau einer zertifizierten technischen Sicherheitseinrichtung zugeordnet sein.

1.4 Schutzziele

Die Regelungen des § 146a AO sollen für digitale Grundaufzeichnungen, die mittels elektronischem Aufzeichnungssystem i.S. des § 146a AO i.V.m. § 1 Satz 1 KassenSichV geführt werden, folgendes sicherstellen:

• deren Integrität,
• deren Authentizität
• und deren Vollständigkeit.

1.5 zertifizierte technische Sicherheitseinrichtung

Die Architektur der zertifizierten technischen Sicherheitseinrichtung wird durch § 146a AO i.V.m. der KassenSichV, die Architektur der einzelnen Bestandteile wird durch die technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik (BSI) festgelegt (insbesondere BSI TR-03153 „Technische Sicherheitseinrichtung für elektronische Aufzeichnungssysteme, Version 1.0.1”, BMF-Schreiben vom 28.2.2019, BStBl 2019 I S. 206, BSI TR-03151 „Secure Element API (SE API), Version 1.0.1”, BMF-Schreiben vom 28.2.2019, BStBl 2019 I S. 206, und BSI TR-03116 „Kryptographische Vorgaben für Projekte der Bundesregierung Teil 5 – Anwendungen der Secure Element API, Stand 2019”, BMF-Schreiben vom 28.2.2019, BStBl 2019 I S. 206). Alle nachfolgenden Ausführungen dienen dem Verständnis der Funktionsweise.

1.6 Vorgang

Der Begriff des Vorgangs i.S.d. KassenSichV ist nachfolgend als ein zusammengehörender Aufzeichnungsprozess zu verstehen, der bei Nutzung oder Konfiguration eines elektronischen Aufzeichnungssystems eine Protokollierung durch die zertifizierte technische Sicherheitseinrichtung auslösen muss (vgl. § 2 KassenSichV). Ein Vorgang kann einen oder mehrere Geschäftsvorfälle sowie andere Vorgänge umfassen (vgl. AEAO zu § 146a, Nr. 1.7 und Nr. 1.8). Aus Gründen der besseren...