Verordnung des Bundesministers für Finanzen über die technischen Einzelheiten für Sicherheitseinrichtungen in den Registrierkassen und andere, der Datensicherheit dienende Maßnahmen (Registrierkassensicherheitsverordnung, RKSV)
Abkürzung
RKSV
Präambel/Promulgationsklausel
Aufgrund der §§ 131b Abs. 5 Z 1, 3 und 4 und § 132a Abs. 8 der Bundesabgabenordnung – BAO, BGBl. Nr. 194/1961, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 118/2015, wird verordnet:
HauptstückAllgemeiner Teil
Anwendungsbereich
§ 1. Die Registrierkassensicherheitsverordnung regelt
die zur technischen Umsetzung der Manipulationssicherheit elektronischer Aufzeichnungssysteme erforderlichen technischen Merkmale
der Registrierkasse,
der Signaturerstellungseinheit,
der Kommunikation zwischen Registrierkasse und Signaturerstellungseinheit,
die zusätzlichen Anforderungen an den Beleg gemäß § 132a Abs. 8 der Bundesabgabenordnung BAO, BGBl. Nr. 164/1961,
Einzelheiten über die Erlassung von Feststellungsbescheiden betreffend geschlossene Gesamtsysteme und
den Zugriff der Behörden auf die dafür erforderlichen Daten für aufsichts- und abgabenrechtliche Zwecke.
Personenbezogene Bezeichnungen
§ 2. Alle in dieser Verordnung verwendeten personenbezogenen Bezeichnungen gelten gleichermaßen für Personen sowohl weiblichen als auch männlichen Geschlechts.
Abkürzungen und Begriffsbestimmungen
§ 3. Im Sinne dieser Verordnung ist oder sind:
AES-256: Verschlüsselungsverfahren nach dem Advanced Encryption Standard (AES FIPS 197 26/11/2001) mit einer Schlüssellänge von 256 Bit
Barcode: Standard „Code 128“, definiert in ISO/IEC 15417:2007
Barumsatz: Umsätze im Sinne § 131b Abs. 1 Z 3 BAO
Datenbank über Sicherheitseinrichtungen in Registrierkassen: Datenbank des Bundesministeriums für Finanzen, in der die in § 18 Abs. 2 genannten Daten betreffend die Sicherheitseinrichtungen in Registrierkassen und Kontrollen der Sicherheitseinrichtungen festgehalten werden
Datenerfassungsprotokoll (DEP): eine im Speicher der Registrierkasse oder in einem externen Speicher mitlaufende Ereignisprotokolldatei, die in Echtzeit jeweils mit Belegerstellung vollständig, fortlaufend chronologisch die Barumsätze mit Beleginhalten dokumentiert
Eingabestation: Einrichtung zur Erfassung von Barumsätzen, die mit einer Registrierkasse insbesondere zur Signierung und Dokumentation der Barumsätze verbunden ist
Elektronische Aufzeichnung: vollständige, fortlaufend chronologisch geordnete Dokumentation von Bargeschäften in elektronischer Form
Elektronische (kryptographische) Signatur: elektronische Daten, die anderen elektronischen Daten beigefügt oder mit diesen logisch verknüpft werden und die der Authentifizierung dienen im Sinne des § 2 Z 1 des Signaturgesetzes SigG, BGBl. I Nr. 190/1999
FinanzOnline: elektronisches Verfahren der Abgabenbehörde nach der FinanzOnline-Verordnung 2006, BGBl. II Nr. 97/2006, in der jeweils geltenden Fassung
Geschlossenes Gesamtsystem: elektronisches Aufzeichnungssystem, in welchem Warenwirtschafts-, Buchhaltungs- und Kassensysteme lückenlos miteinander verbunden sind und das mit mehr als 30 Registrierkassen verbunden ist
Global Location Number (GLN): von der Bundesanstalt Statistik Österreich unter der Bezeichnung „Sekundär ID“ vergebener Ordnungsbegriff
Hardware-Sicherheitsmodul (HSM): Signaturerstellungseinheit, die zur Erstellung (qualifizierter) elektronischer Signaturen verwendet wird und vor allem bei serverbasierten Lösungen zum Einsatz kommt
Homepage des Bundesministeriums für Finanzen (BMF): www.bmf.gv.at
Kassenidentifikationsnummer: über FinanzOnline gemeldetes Kennzeichen einer Registrierkasse, das auch die Unterscheidung verschiedener Registrierkassen mit gleicher Signaturerstellungseinheit ermöglicht
Maschinenlesbarer Code: Eingangswert für OCR-, Barcode- oder QR-Code-Repräsentation
Monatszähler: Summenspeicher in der Registrierkasse, der die Zwischenstände des Umsatzzählers zum Monatsende festhält
Object Identifier (OID): weltweit eindeutiger Bezeichner nach ISO/IEC 9834-1 und A 2642, der benutzt wird, um ein Informationsobjekt zu benennen. In dieser Verordnung wird der OID verwendet, um die Verwendung des Signaturzertifikates nach § 5 Abs. 1 Z 8 SigG in der jeweils geltenden Fassung, auf den Zweck 'Österreichische Finanzverwaltung Registrierkasseninhaber' einzuschränken
Optical Character Recognition (OCR): Standard OCR-A, definiert in ISO 1073-1:1976
Ordnungsbegriff des Unternehmers: ein der Abgabenbehörde bekannter Schlüssel zur Identifizierung des Unternehmers (Steuernummer, UID-Nummer, GLN)
QR-Code: zweidimensionales Symbol nach Standard JIS X 0510/2004
Registrierkasse (auch elektronische Registrierkasse): verallgemeinerte Form jedes elektronischen Datenverarbeitungssystems, das elektronische Aufzeichnungen zur Losungsermittlung und Dokumentation von einzelnen Barumsätzen erstellt, insbesondere elektronische Registrierkassen jeglicher Bauart, serverbasierte Aufzeichnungssysteme (auch zur Abwicklung von Online-Geschäften), Waagen mit Kassenfunktionen und Taxameter. Eine Registrierkasse kann mit Eingabestationen verbunden sein
Seriennummer des Signaturzertifikates: eine durch den Zertifizierungsdiensteanbieter ausgegebene, im Zertifikat enthaltene, eindeutige Kennung des Zertifikates zum erleichterten Auffinden des Zertifikates im Verzeichnis des ZDA
Sichere Signaturerstellungseinheit: konfigurierte Software oder Hardware, die zur Verarbeitung der Signaturerstellungsdaten verwendet wird und die den Sicherheitsanforderungen des SigG sowie den dazu erlassenen Verordnungen entspricht (§ 2 Z 5 SigG)
Signaturprüfdaten: Daten wie Codes oder öffentliche Signaturschlüssel, die zur Überprüfung einer elektronischen Signatur verwendet werden (§ 2 Z 6 SigG)
Signaturwert: im Rahmen der Signaturerstellung ermittelter elektronischer Wert der Signatur
Startbeleg: erster Beleg, der unter Verwendung einer Kassenidentifikationsnummer erstellt wird und die vollständige Verkettung aller unter dieser Kassenidentifikationsnummer erzeugten und gespeicherten Belege sicherstellt
Summenspeicher: Speicher in der Registrierkasse, die Zwischen- oder einen aktuellen Endstand aufsummierter Beträge wiedergeben
Trust-List (vertrauenswürdige Liste gemäß der Entscheidung der Kommission 2009/767/EG über Maßnahmen zur Erleichterung der Nutzung elektronischer Verfahren über einheitliche Ansprechpartner gemäß der Richtlinie 2006/123/EG über Dienstleistungen im Binnenmarkt, ABl. Nr. L 274 vom 20.10.2009 S. 36): nach den Verpflichtungen aus Artikel 2 der Entscheidung 2009/767/EG von allen Mitgliedstaaten zu führende Liste der ZDAs für qualifizierte Zertifikate
Umsatzzähler: Summenspeicher in der Registrierkasse, der die Barumsätze der Registrierkasse laufend aufsummiert
Verifikation: Überprüfung signierter Daten auf Integrität und Authentizität, dass die Daten nach der Signaturerstellung von der korrekten Signaturerstellungseinheit signiert und nicht verändert wurden
Zahlungsbeleg (Beleg): Bestätigung mit bestimmten formalen Inhalten, die in Papierform oder in elektronischer Form den wesentlichen Inhalt des Rechtsgeschäftes zwischen den Geschäftspartnern dokumentiert und bei Bezahlung übergeben bzw. elektronisch übermittelt wird
Zertifikat: eine elektronische Bescheinigung, mit der Signaturprüfdaten einer bestimmten Person zugeordnet werden und deren Identität bestätigt wird im Sinne des § 2 Z 8 SigG
Zertifizierungsdiensteanbieter (ZDA): Organisation, die Zertifikate ausstellt oder anderweitige Dienste im Zusammenhang mit elektronischen Signaturen bereitstellt im Sinne der Richtlinie 1999/93/EG über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen, ABl. Nr. L 13 vom 19.01.2000 S. 12.
Abkürzung
RKSV
AbschnittAnforderungen an die Registrierkasse
Allgemeine Anforderungen
§ 5. (1) Jede Registrierkasse muss über ein Datenerfassungsprotokoll und einen Drucker zur Erstellung oder eine Vorrichtung zur elektronischen Übermittlung von Zahlungsbelegen verfügen.
(Anm.: Abs. 2 bis 6 treten mit 1.4.2017 in Kraft)
Inbetriebnahme der Sicherheitseinrichtung für die Registrierkasse
§ 6. (1) Die Inbetriebnahme der Sicherheitseinrichtung für die Registrierkasse besteht aus der Einrichtung des Datenerfassungsprotokolls (§ 7) und der Ablage der Kassenidentifikationsnummer als Bestandteil der zu signierenden Daten des ersten Barumsatzes mit Betrag Null (0) (Startbeleg) im Datenerfassungsprotokoll.
(2) Vor dem 1. Jänner 2017 kann die Inbetriebnahme der Sicherheitseinrichtung im Sinne Abs. 1 bereits vor der Registrierung (§ 16) vorgenommen werden. Die Registrierung muss bis zum 1. Jänner 2017 erfolgt sein.
(3) Wird eine Registrierung nach dem 31. Dezember 2016 vorgenommen, so hat die Inbetriebnahme binnen einer Woche nach Registrierung der Signaturerstellungseinheit (§ 16) zu erfolgen.
(4) Der Unternehmer hat vor Inbetriebnahme die Erstellung der Signatur (§ 9 Abs. 3) und die Verschlüsselung des Umsatzzählers (§ 9 Abs. 2 Z 5) unter Zuhilfenahme des Startbeleges zu überprüfen. Entspricht die Erstellung der Signatur bzw. die Verschlüsselung des Umsatzzählers nicht den Erfordernissen des § 9, so ist die Registrierkasse unmittelbar als Registrierkasse mit ausgefallener Signaturerstellungseinheit im Sinne des § 17 Abs. 4 zu behandeln. Das Prüfergebnis ist zu protokollieren und mit dem ausgedruckten Startbeleg gemäß § 132 BAO aufzubewahren.
Abkürzung
RKSV
Datenerfassungsprotokoll
§ 7. (1) Jede Registrierkasse hat ein Datenerfassungsprotokoll zu führen, in dem jeder einzelne Barumsatz zu erfassen und abzuspeichern ist. Für jeden Barumsatz sind zumindest die Belegdaten gemäß § 132a Abs. 3 BAO festzuhalten.
(Anm.: Abs. 2 bis 5 treten mit 1.4.2017 in Kraft)
HauptstückBeschaffung und Registrierung der Signaturerstellungseinheit; Kontrolle
Beschaffung der Signaturerstellungseinheit
§ 15. (1) Unternehmer, die der Registrierkassenpflicht nach § 131b BAO unterliegen, haben die erforderliche Anzahl von Signaturerstellungseinheiten bei einem im EU-/EWR-Raum oder in der Schweiz niedergelassenen Zertifizierungsdienstanbieter, der qualifizierte Signaturzertifikate anbietet, zu erwerben. Die Kosten für die Beschaffung der Signaturerstellungseinheit trägt der Unternehmer.
(2) Der Unternehmer hat zur Erlangung des Signaturzertifikates einen der Abgabenbehörde bekannten, dem Unternehmer zugeordneten Ordnungsbegriff und als Wert des OID „Österreichische Finanzverwaltung Registrierkasseninhaber“ (Z 16 der Anlage) nach Maßgabe des § 5 Abs. 1 Z 8 SigG in seinem Signaturzertifikat eintragen zu lassen.
(3) Der Zertifizierungsdiensteanbieter vergibt für jede Signaturerstellungseinheit ein Signaturzertifikat, das folgende Angaben beinhaltet:
Typ und Wert des der Signaturerstellungseinheit zugeordneten Ordnungsbegriffs des Unternehmers,
Seriennummer des Signaturzertifikates und
Beginn und Ende der Gültigkeit des Zertifikats.
Registrierung der Signaturerstellungseinheit
§ 16. (1) Der Unternehmer oder sein bevollmächtigter Parteienvertreter hat über FinanzOnline den Erwerb seiner Signaturerstellungseinheiten zu melden. Dabei sind die Seriennummer des Signaturzertifikates, die Art der Signaturerstellungseinheit und die Kassenidentifikationsnummern der mit der Signaturerstellungseinheit zu verbindenden Registrierkassen bekannt zu geben. Zusätzlich hat der Unternehmer den frei wählbaren Benutzerschlüssel für die Entschlüsselung (Z 8 der Anlage) der mit dem Verschlüsselungsalgorithmus AES 256 verschlüsselten Daten im maschinenlesbaren Code über FinanzOnline bekannt zu geben. Ist dem Unternehmer die Meldung über FinanzOnline mangels technischer Voraussetzungen unzumutbar, hat die Meldung unter Verwendung des amtlichen Vordrucks zu erfolgen.
(2) Erst nach Prüfung, ob für jede gemeldete Signaturerstellungseinheit unter der angegebenen Seriennummer des Signaturzertifikates und dem gültigen Ordnungsbegriff des Unternehmers der ZDA in der öffentlichen Trust-List und das Signaturzertifikat im Verzeichnis des ZDA vorhanden sind, werden diese Daten an die Datenbank über Sicherheitseinrichtungen in Registrierkassen (§ 18) übergeben.
Abkürzung
RKSV
Bekanntgabe der Außerbetriebnahme der Sicherheitseinrichtung für die Registrierkasse
§ 17. (Anm.: Abs. 1 bis 4 treten mit 1.4.2017 in Kraft)
(5) Bei jedem Ausfall einer Registrierkasse sind die Barumsätze auf anderen Registrierkassen zu erfassen. Sollte dies nicht möglich sein, sind die Barumsätze händisch zu erfassen und Zweitschriften der Belege aufzubewahren. Nach der Fehlerbehebung sind die Einzelumsätze anhand der aufbewahrten Zweitschriften nach zu erfassen und die Zweitschriften dieser Zahlungsbelege aufzubewahren (§ 132 BAO).
(Anm.: Abs. 6 bis 8 treten mit 1.4.2017 in Kraft)
Datenbank über Sicherheitseinrichtungen für die Registrierkassen
§ 18. (1) Der Bundesminister für Finanzen führt zur internen Dokumentation über die einem Unternehmer zugeordneten Signaturerstellungseinheiten eine Datenbank über Sicherheitseinrichtungen für die Registrierkassen.
(2) Diese enthält folgende Daten:
Name der Unternehmer
Ordnungsbegriff der Unternehmer
Art der Sicherheitseinrichtung
Seriennummern der Signaturzertifikate
Identifikationsnummern der Registrierkassen
Anzahl der an die Sicherheitseinrichtungen angeschlossenen Registrierkassen
Benutzerschlüssel für die Entschlüsselung der mit dem Verschlüsselungsalgorithmus AES 256 verschlüsselten Daten
Datum der Registrierung
Beginn und Ende von Ausfällen oder Außerbetriebnahmen der Sicherheitseinrichtungen
Betroffene Komponenten von Ausfällen oder Außerbetriebnahmen der Sicherheitseinrichtungen
Grund des Ausfalles oder der Außerbetriebnahme der Sicherheitseinrichtungen
Daten aus Kontrollen.
(3) Der Bundesminister für Finanzen ist datenschutzrechtlicher Auftraggeber im Sinne des § 4 Z 4 des Datenschutzgesetzes 2000 – DSG 2000, BGBl. I Nr. 165/1999, für die Datenbank über Sicherheitseinrichtungen für die Registrierkassen. Er hat dessen Einrichtung und Betrieb zu gewährleisten. Die Bundesrechenzentrum Gesellschaft mit beschränkter Haftung (BRZ GmbH) ist für die Datenbank über Sicherheitseinrichtungen für die Registrierkassen gesetzliche Dienstleisterin im Sinne der § 4 Z 5 und § 10 Abs. 2 DSG 2000.
Abkürzung
RKSV
Kontrolle und Prüfung der Datensicherheit für die Registrierkassen
§ 19. (Anm.: Abs. 1 tritt mit 1.4.2017 in Kraft)
(2) Auf Verlangen der Organe der Abgabenbehörde hat der Unternehmer das Datenerfassungsprotokoll für einen vom Organ der Abgabenbehörde vorgegebenen Zeitraum auf einen externen Datenträger zu exportieren und zu übergeben. Der Datenträger ist vom Unternehmer bereitzustellen.
Sachverständige Begutachtung geschlossener Gesamtsysteme
§ 21. (1) Im Rahmen der Begutachtung geschlossener Gesamtsysteme sind insbesondere folgende Überprüfungen vorzunehmen:
das Vorliegen eines geschlossenen Gesamtsystems,
das Vorliegen der technischen und organisatorischen Voraussetzungen für die Manipulationssicherheit des geschlossenen Gesamtsystems.
(2) Im Gutachten sind insbesondere alle für den Betrieb der Sicherheitseinrichtung des geschlossenen Gesamtsystems gemäß § 20 Abs. 1 erforderlichen Softwarekomponenten anzugeben und Prüfberichte für diese Komponenten anzuschließen. Die Softwarekomponenten sind mit der mathematischen Hashfunktion Secure Hash Algorithm (SHA-256) mit einem Startwert, der Null (0000 0000 0000 0000) entspricht, für eine spätere Verifikation zu signieren. Aus den Prüfberichten muss nachvollziehbar hervorgehen, wie die einzelnen Komponenten geprüft wurden. Die Manipulationssicherheit und sicherheitstechnische Gleichwertigkeit mit einer Signaturerstellungseinheit sind zu bestätigen. Dem Gutachten sind ein Organigramm mit allen Hard- und Softwarekomponenten und Datenspeicher des geschlossenen Gesamtsystems sowie ein Überblick über die automatisch ablaufenden Verarbeitungsprozesse anzuschließen.
(3) Das Gutachten hat darüber hinaus Angaben darüber zu enthalten, welche organisatorischen Maßnahmen zur laufenden Überprüfung der Manipulationssicherheit vorgesehen sind. Dabei ist insbesondere darzulegen, welche betrieblichen Funktionen in der Organisationsstruktur des Unternehmens mit welchen Zugriffs- und Eingriffsrechten, die Veränderungen am Gesamtsystem herbeiführen können, ausgestattet sind, dass die Zugriffe protokolliert werden und durch welche Maßnahmen die Manipulationssicherheit des geschlossenen Systems laufend kontrolliert wird. Zudem ist darzulegen, wie im Falle eines Ausfalles des Systems die Einzelaufzeichnungspflicht, die Sicherung der Kassenumsätze und die Belegerteilung rechtskonform gewährleistet werden (Ausfallplan).
(4) Im Gutachten ist zu beurteilen, ob das geschlossene Gesamtsystem den Anforderungen des § 20 Abs. 1 und 2 entspricht und ob die technischen und organisatorischen Sicherungsmaßnahmen des Abs. 2 und 3 erfüllt werden.
(5) Verwenden mehrere Unternehmer, die durch ein vertikales Vertriebsbindungssystem oder durch ein Waren- oder Dienstleistungsfranchising wirtschaftlich verbunden oder die Teil eines Konzerns im Sinne des § 244 UGB sind, gemeinsam ein geschlossenes Gesamtsystem mit insgesamt mehr als 30 Registrierkassen und beurteilt das Gutachten die Manipulationssicherheit dieses Systems für diese Unternehmer, so kann dieses Gutachten von mehreren Unternehmern ihrem Antrag auf Erlassung eines Feststellungsbescheides zugrunde gelegt werden. Für alle Verwender des geschlossenen Gesamtsystems ist Abs. 3 sinngemäß anzuwenden. Lieferungen und sonstige Leistungen, die außerhalb des geschlossenen Gesamtsystems im betreffenden Betrieb erfolgen, sind von der Wirksamkeit des Feststellungsbescheides nicht umfasst.
(6) Mit der Erstellung solcher Gutachten dürfen nur gerichtlich beeidete Sachverständige beauftragt werden. Die Vollständigkeit der sicherheitsrelevanten Überprüfungen im Gutachten ist durch eine Bestätigungsstelle gemäß § 19 SigG zu bescheinigen.
(7) Die Kosten für die Erstellung der Gutachten trägt der Unternehmer.
Feststellungsbescheid
§ 22. (1) Im Feststellungsbescheid der Abgabenbehörde gemäß § 131b Abs. 4 BAO sind die dem Gutachten zugrunde liegenden Softwarekomponenten der Sicherheitseinrichtung gemäß § 20 Abs. 1 mit Hilfe der Softwaresignatur (§ 21 Abs. 2) zu identifizieren.
(2) Mit Feststellungsbescheid bestätigte geschlossene Gesamtsysteme werden in der Datenbank über Sicherheitseinrichtungen (§ 18) registriert.
(3) Kann die Manipulationssicherheit des geschlossenen Gesamtsystems durch das Finanzamt nicht bestätigt werden, ist dem Unternehmer eine einmalige Nachfrist von einem Monat für die Nachholung der die Manipulationssicherheit gewährleistenden Maßnahmen unter Beibringung eines diese Maßnahmen bestätigenden Gutachtens einzuräumen. Das Finanzamt hat diesfalls unter Zugrundelegung des vorliegenden Sachverhaltes zu entscheiden.
(4) Wird die Manipulationssicherheit des geschlossenen Gesamtsystems mit rechtskräftigem Bescheid des Finanzamtes nicht bestätigt, hat der Unternehmer innerhalb von drei Monaten ab Eintritt der Rechtskraft die Manipulationssicherheit unter Verwendung einer Signaturerstellungseinheit (§ 131b Abs. 2 BAO) herbeizuführen, andernfalls mit Ablauf dieser Frist die Verpflichtungen nach § 131b Abs. 2 BAO als nicht erfüllt gelten.