GZ: IV A 4 – S 0316-a/20/10003 :005 / DOK: 2022/0646306
Die Bundessteuerberaterkammer bedankt sich für o. g. Entwurf und nimmt die Gelegenheit zur Stellungnahme gern wahr:
Es ist zwar grundsätzlich zu begrüßen, dass mit der Änderung des AEAO zu § 146a AO Rechtssicherheit für die Anwender geschaffen werden soll. Aus Sicht der BStBK sind die angestrebten Änderungen jedoch in rechtlicher und tatsächlicher Hinsicht als problematisch einzustufen.
Die avisierten Regelungen im AEAO werden nach unserer Einschätzung aufgrund der Verwendung vieler unbestimmter Rechtsbegriffe in der Praxis für Rechtsunsicherheit sorgen und insbesondere bei Anbietern cloudbasierter technischer Sicherheitseinrichtungen und deren Kunden zu Verwerfungen führen. Es ist fraglich, ob die Klarstellungen des AEAO tatsächlich zu einer Verbesserung des Umgebungsschutzkonzepts beitragen können oder ob dadurch nicht vielmehr ein Verstoß gegen das Gebot der Technologieneutralität manifestiert wird. Aus Sicht der BStBK sollte dringend vermieden werden, dass die u. a. aufgrund der Corona-Pandemie und des Ukraine-Krieges ohnehin angespannte wirtschaftliche Lage vieler Unternehmen durch etwaigen weiteren Investitionsbedarf in Kassensysteme noch weiter verschärft wird. Die Anpassungen des AEAO sollten daher in wesentlichen Punkten ergänzt und nachjustiert werden.
Unserer Einschätzung liegen insbesondere folgende Erwägungen zugrunde:
1. Ziffer 3.2.11 – Physische Einsatzumgebung
Der Entwurf sieht in 3.2.11 vor, dass die Sicherheitsmodulanwendung (SMA) in der physischen Einsatzumgebung des elektronischen Aufzeichnungssystems (EAS) zu betreiben ist.
Die physische Einsatzumgebung erstreckt sich auf den gesamten zusammenhängenden Bereich in dem das EAS steht und für den der Betreiber des EAS unmittelbar verantwortlich ist.
Was es bedeutet, dass die SMA in der physischen Einsatzumgebung des EAS zu betreiben ist, bleibt auf Basis dieser Ausführungen in 3.2.11 AEAO-E für die Praxis schleierhaft. 3.2.11 Satz 2 AEAO-E stellt lediglich eine wörtliche Wiederholung der in dem FAQ des Bundesamts für Sicherheit in der Informationstechnik (BSI) aufgeführten Definition der „physischen Einsatzumgebung“ dar. Der Begriff „physische Einsatzumgebung“ bedarf jedoch einer genaueren Definition. Es bedarf dringend weiterer Ausführungen, um Missverständnisse bzw. fehlerhafte Interpretationen in der Praxis zu vermeiden. Es muss präzise definiert werden, was unter „gesamten zusammenhängenden Bereich“, „Betreiber“ sowie „steht“ zu verstehen ist. Ferner sollte der AEAO erläuternde Beispiele aufgreifen. In 3.2.11 AEAO-E sollte zudem klargestellt werden, ob die Abkürzung für die Sicherheitsmodulanwendung (SMA) als Synonym für den bisher verwendeten Begriff der „SMAERS“-Komponente zu verstehen ist.
Die Anforderungen an ein Umgebungsschutzkonzept müssen dabei technologieoffen ausgestaltet sein. Der Entwurf lässt indessen derzeit Interpretationen zu, die cloudbasierte TSE-Lösungen, bei denen die SMA regelmäßig in der Cloud liegen wird, als unzulässig erscheinen lassen.
2. Ziffer 3.2.12 AEAO-E – Ort
Ort eines elektronischen Aufzeichnungssystems ist nach 3.2.12 AEAO-E der jeweilige Teil des elektronischen Aufzeichnungssystems, an dem die abzusichernden Geschäftsvorfälle inhaltlich, unabhängig von ihrer Formatierung oder Codierung, erstmalig vollständig vorliegen. Mit dem Tatbestandsmerkmal „Ort“ wird ein zusätzliches Kriterium eingeführt, welches sich weder aus den gesetzlichen Grundlagen noch aus den technischen Vorgaben des BSI ableiten lässt. Das Anknüpfen für die Sicherheitsanforderungen an einen physischen Ort ist jedoch mit Blick auf verteilte Systeme nicht praktikabel und vor dem Hintergrund einer technologieoffenen Ausgestaltung der Voraussetzungen nicht zielführend und zeitgemäß.
Das Abstellen auf einen physischen Ort für die Absicherung der Geschäftsvorfälle schafft zudem keine Rechtssicherheit und löst insbesondere nicht das zugrunde liegende Problem, dass die Bestandteile der Geschäftsvorfälle bzw. Grundaufzeichnungen nicht hinreichend definiert sind. Um die Frage der „Vollständigkeit“ der Geschäftsvorfälle nach 3.2.12 AEAO[1]E beantworten zu können, muss klar sein, ob die Signaturdaten der TSE, die gemäß den gesetzlichen Vorgaben bei jedem Geschäftsvorfall erstellt werden müssen und die Pflichtbestandteil des Belegs sind, auch Bestandteil der Grundaufzeichnung bzw. des Geschäftsvorfalls sind.
3. Ziffer 7.1.1 AEAO-E – Ausfall/Störung der TSE
Nach 7.1.1 AEAO-E sind Ausfallzeiten und -grund einer zertifizierten technischen Sicherheitseinrichtung zu dokumentieren. Die Dokumentation kann auch automatisiert durch das elektronische Aufzeichnungssystem erfolgen. Aus Sicht der BStBK bedarf es einer Definition der Anforderungen an die Dokumentation der Ausfallzeiten und des Ausfallgrundes. Wann entsteht etwa eine relevante Zeitspanne für eine Ausfallzeit? Reicht eine Sekunde, eine Minute oder eine Viertelstunde aus, um eine Ausfallzeit zu begründen? Zudem müssen aus Gründen der Rechtssicherheit die relevanten Ausfallgründe und die Anforderungen an den Umfang der Dokumentation definiert werden.
4. Ziffer 7.1.2 AEAO-E
7.1.2 Satz 5 AEAO-E sieht für den isolierten Ausfall der TSE vor, dass auf dem Beleg neben einem Hinweis auf den Ausfall der TSE auch der Zeitpunkt der letzten erfolgreichen Signatur enthalten sein muss. Letztere Anforderung stellt eine Verschärfung dar, die derzeit von der Kassensoftware in vielen Fällen nicht abgebildet werden kann. Die erforderlichen Updates der Kassensoftware bei bestehenden Systemen ist jedoch aufwendig und verursacht nicht unerhebliche Kosten bei den Unternehmen. Das Merkmal „Zeitpunkt der letzten erfolgreichen Signatur“ sollte auf bereits bestehende Systeme daher nicht anwendbar sein.
5. Ziffer 7.1.3 AEAO-E
Gemäß Ziffer 7.1.3 Satz 2 AEAO-E wird bei einer gehäuften Anzahl und/oder Dauer von Störungen im Hinblick auf die stabile und störungsfreie Absicherung die verwendete TSE als ungeeignet eingestuft und ist daher auszutauschen. Um Rechtsunsicherheit zu vermeiden und ggf. unnötige Investitionen bei den Unternehmen auszulösen, müssen die Begriffe „gehäufte Anzahl und/oder Dauer von Störungen“ dringend präzisiert werden. Aus Sicht der BStBK sollten zur Veranschaulichung und Orientierung zudem Beispiele in den AEAO aufgenommen werden.
6. Ziffer 7.3 AEAO-E – Notfallbetrieb
Mit Inkrafttreten der Regelung in II. Ziffer 7.3 AEAO-E wird es für die Zulässigkeit des Notfallbetriebs von verteilten Systemen ab dem 1. Januar 2026 erforderlich, zusätzlich eine lokale zertifizierte hardwarebasierte TSE vorzuhalten. Diese lokale Absicherung des Notfallbetriebs ist vor dem Hintergrund des Grundsatzes der Technologieoffenheit kritisch zu sehen, da sie mit cloudbasierten Lösungen regelmäßig nicht vereinbar sein wird. Jedenfalls aber werden bei den Unternehmen durch die nachträglichen Änderungen der Voraussetzungen des Betriebs von Kassensystemen Investitionen und damit erhebliche Kosten ausgelöst.
Im Zeitraum vom 1. Januar 2024 bis zum 31. Dezember 2025 darf der Notfallbetrieb ohne Absicherung durch eine lokale zertifizierte TSE nur unter den Voraussetzungen der Ziffer 7.3.2 AEAO-E erfolgen. Nach Nr. 5 der Regelung darf der Notfallbetrieb nur die Ausnahme darstellen. Vor dem Hintergrund der Ausführungen zu 7.1.1, 7.1.2 und 7.1.3 AEAO-E ist fraglich, was unter Ausnahme zu verstehen ist. Auch hier bedarf es aus Gründen der Rechtssicherheit einer klaren Definition der Schwelle von der Ausnahme zum Regelfall. Dabei sollte die Praktikabilität der Regelung im Vordergrund stehen.
Aus Sicht der BStBK sollten die Regelungen zum Notfallbetrieb unter Berücksichtigung der Folgewirkungen grundsätzlich überdacht werden.
7. Redaktionelle Anmerkungen
Darüber hinaus bitten wir um Überprüfung des Verweises in dem Klammerzusatz zu 1.3 Abs. 1 Satz 2 AEAO-E, der auf die Ziffer 3.2.11 Satz 3 verweist. Der AEAO-E sieht in Ziffer 3.2.11 jedoch keinen Satz 3 vor, so dass der Verweis ins Leere führt.
Auch der Verweis in dem Klammerzusatz zu 7.4.4 AEAO-E geht fehl, da keine Nr. 7 in Ziffer 7.3.2 AEAO-E vorhanden ist.