Seit dem neuen Jahr wird mein Erklärartikel zu den Kassenbons in sozialen Medien eifrig geteilt. Dabei sind viele Fragen aufgetreten, die ich hier mal zusammenfasse.
Es gibt doch sichere Kassen, warum also noch Bons?
Nein, es gibt keine sicheren Kassen in Deutschland — zumindest nicht aus Sicht des Finanzamts. Es gibt in Deutschland mehrere Hundert verschiedene Kassenhersteller. Auf denen kann eine Vielzahl von Software installiert sein – mitunter sogar ein völlig veraltetes Windows. Und deshalb kann man auch verschiedene Programme ausführen oder die offiziellen Kassenprogramme mitunter sehr einfach umschreiben. Es wird sicher viele Abzeichen und Siegel geben, dass eine Kasse einen Funktionstest bestanden hat. Das hat aber wenig mit Sicherheit vor gezielter Manipulation zu tun.
Aber die neuen Gesetze schreiben doch sichere Kassen vor?
Jein, mit Betonung auf Nein. Vorgeschrieben ist ab 2020 ein so genanntes TSE — eine Technische Sicherheitseinrichtung — wenn man denn eine Registerkasse hat. Das TSE ist ein Speicher mit einem zusätzlichen Sicherheitselement. Im Prinzip ein USB-Stick oder eine SD-Karte mit einem Extra-Chip, die in die altbekannten Kassen eingesetzt werden. Was darauf einmal gespeichert ist, kann der Kassenbesitzer nicht mehr einfach herunterlöschen. Der bis dahin übliche Trick, einfach am Abend Buchungen aus dem elektronischen Kassenbuch zu löschen ist damit nicht mehr möglich. Stornos gehen immer noch — aber die müssen transparent gespeichert werden.
Also ist alles gut. Weshalb die Bons?
Kryptografie kann nicht zaubern. Selbst wenn man die besten Algorithmen verwendet und die sichersten Schlüssel — sie können nicht für sich selbst stehen. Mit installiertem TSE hat der Steuerfahnder eine Buchführung und eine Garantie vorliegen, dass diese tatsächlich so eingegeben wurde. Doch wer sagt ihm, dass die Eingabe stimmt? Hierzu sind die Bons gut, denn darauf ist eine Art digitalen Stempel enthalten.
Warum kann nicht nur dann ein Bon gedruckt werden, wenn ein Kunde das will?
Zunächst einmal: Gedruckt werden muss gar kein Bon — sie können auch elektronisch übermittelt werden. Bis auf den E-Bon von Rewe für Payback-Kunden ist mir aber keine massenfähige Lösung bekannt, die schon im breiten Einsatz wäre. Es gibt viele Ideen und Startups, aber noch wenig Umsetzungen. Ein Hersteller hat mir im Dezember eine begeisterte Pressemitteilung geschickt. Auf meine zweimalige Nachfrage, wo das tolle neue System denn im Einsatz sei, habe ich bis heute keine Antwort.
Zurück zum Thema: Warum soll denn ein Bon ausgedruckt werden, wenn der Kunde das gar nicht will?
Kernproblem ist: Der Staat will sicherstellen, dass ein Gewerbetreibender nicht einfach jeden Kauf löscht, der nicht mit einem Bon verbunden ist. Trotz der TSE wäre das weiterhin möglich. Denn wenn die Kasse keine Buchung schreibt, kann das TSE keine Manipulation verzeichnen. Und wie gesagt: Nichts hält den Kassenbesitzer wirklich davon ab, die Software zu manipulieren. Der Fantasie sind kaum Grenzen gesetzt. Alle Buchungen ohne Bon könnten ins Nichts geschrieben werden. Oder ein verkauftes Motorrad könnte als Weizenbrötchen im Speicher landen. Die Bundesregierung hat auch von der Einführung einer ähnlichen Sicherheitseinrichtung in Österreich gelernt, wo diese Lücke nicht ganz geschlossen wurde. Die Lösung ist: Ein Kassenbesitzer darf vorher nicht wissen ob ein Kunde einen Bon/E-Bon verlangen wird.
Der Bon sagt das doch auch nicht?
Nun: Der Bon erschwert den Betrug doch ganz erheblich. Zum einen sieht jeder Kunde, ob ein Bon aus der Kasse kommt. Der Steuerhinterzieher hat also plötzlich eine Vielzahl von Mitwissern. Und wenn das Finanzamt zur unangemeldeten Kassennachschau anrückt — diese Befugnisse des Finanzamts wurden auch grade sehr erweitert — können die auch mal eben ein Brötchen, eine Pizza oder eine Bohrmaschine kaufen und sehen, was die Kassierer machen.
Ist in den Kassen wirklich eine Blockchain?
Nein, nicht wirklich. Aber etwas verwandtes. Auf jedem Bon muss nicht nur die Seriennummer des TSE vermerkt sein, sondern auch eine kryptografische Signatur. Darin ist nicht nur festgehalten, was auf dem Bon steht — sondern auch eine Art kryptografischer Fingerabdruck des ganzen Kassenbuchs. Wenn das Finanzamt dann diese Signatur mit den elektronischen Aufzeichnungen vergleicht, muss jede Manipulation auffallen.
Auf meinen Bons ist aber keine tolle Signatur zu sehen. Wieso?
Auf meinen Bons leider auch noch nicht. Grundproblem: Die TSEs wurden grade erst vor Kurzem vom BSI zertifiziert und werden nun produziert. Erst wenn die neuen Speicher montiert sind, werden nach und nach die Signaturen auf den Kassenzetteln zu sehen sein. Die Bonpflicht gilt dennoch bereits. Die Finanzämter verfolgen es lediglich bis September nicht, wenn die TSEs und damit die Signaturen fehlen.
Aber das System ist doch ganz leicht zu umgehen!?
Nein.
Muss ein Kunde den Bon mitnehmen wie in Italien?
Nein. Dank der Signatur ist es unnötig, viele Belege von Kunden einzusammeln, wenn eine Kassenprüfung ansteht.
Aber ich hab eine ganz tolle Idee! Was wäre, wenn…?
Ich habe mir in den letzten Wochen bestimmt 50 solcher Ideen angehört. Keine hatte auch nur ansatzweise mit den Sicherheitsmechanismen auseinandergesetzt. Wer sie nachlesen will, kann sich zum Beispiel durch diese 111 Seiten vom Bundeszentralamt für Steuern wühlen. Das ist nur eins von vier wesentlichen Dokumenten, aber es hat einen unbestreitbaren Vorteil: Der untere Teil des Bons wird hierin tatsächlich „Bonpo“ genannt.
Aber es soll doch nicht mal Bußgelder geben, wenn man keine Bons ausgibt. Warum sollte ich überhaupt mitmachen?
Natürlich kann man weiterhin einfach in die offene Kassenlade Geld einnehmen und nichts in die Kasse eintippen. Die Entdeckungswahrscheinlichkeit ist halt sehr viel höher. Ob die neue Gesetzeslage erfolgreich sein wird, hängt auch wesentlich davon ab, wie effektiv die Steuerfahndung kontrolliert. Hier haben die Landesregierungen die Zügel in der Hand. Ich vermute, dass die Gesetzgebung in den kommenden Jahren nachgebessert wird. Etwa wäre eine Erleichterung denkbar, dass Mini-Beträge nicht mehr in jedem Fall gebont werden müssen. Oder auch eine Bußgeldvorschrift, um die Bonpflicht durchzusetzen.
Warum werden die Kleinen kontrolliert und nicht die Cum-Ex-Betrüger, die so viel mehr Schaden verursachen?
Nun, das wissen wir nicht, es ist aber sehr unwahrscheinlich. Zur neuen Gesetzgebung wurden Schätzungen angeführt, die alleine durch Registrierkassenbetrug von einem jährlichen Schaden von fünf bis zehn Milliarden Euro ausgehen. Es gibt auch wesentlich höhere Schätzungen. Vor kurzem haben Richter in Osnabrück errechnet, das ein Betrüger-Duo ohne technische Ausbildung oder die Unterstützung einer kriminellen Organisation alleine einen Schaden von einer Milliarde Euro angerichtet hat. Und das war bei weitem kein Einzelfall. Die meisten Betrüger von damals dürften aber nicht erwischt werden, da die Kassen bisher viel zu einfach zu manipulieren waren.
Warum zwingt der Staat Gewerbetreibenden so viel Thermopapier auf? Das ist Sondermüll!
Nun: Soweit ich weiß, gibt es keinerlei Verpflichtung, Thermopapier zu verwenden. Realistisch betrachtet wird der Thermopapier-Verbrauch aber zunehmen. Immerhin: Ab diesem Jahr gelten auch neue Umweltvorschriften, so dass das Thermopapier zumindest deutlich weniger schädlich sein soll. Wer will, kann sich auch bei Spezialhändlern mit „Ökobons“ eindecken. Wenn ihr jedoch wütende Protestplakate beim Bäcker seht: Fragt doch mal, warum sie überhaupt eine Registrierkasse da stehen haben. Denn bis heute besteht in Deutschland keine allgemeine Pflicht, eine solche Computerkasse zu haben. Und ohne Computerkasse gibt es auch keine Bonpflicht. Man muss dann halt ein altmodisches Kassenbuch führen, das weder an die Warenwirtschaft angeschlossen ist, noch verhindert, dass sich ein Kassierer heimlich an den Firmenumsätzen bedient.