TSE-Einrichtung
In diesem Kapitel beschreiben wir die Grundlagen und die Einrichtung einer Technische Sicherheitseinrichtung (TSE).
Was ist eine Technische Sicherheitseinrichtung
Als Technische Sicherheitseinrichtung (TSE) wird ein Sicherheitsmodul in elektronischen Registrierkassen bezeichnet, das der lückenlosen und unveränderbaren Aufzeichnung aller Kassenvorgänge dient. Es handelt sich dabei um eine Hardware, die je nach Bauart an die Kasse angeschlossen oder eingesteckt wird.
Der Begriff stammt aus der deutschen Kassensicherungsverordnung (KassenSichV), welche die vollständige, unveränderte und manipulationssichere Speicherung von Geschäftsvorfällen und einiger weiterer Vorgänge verlangt. Zusammen mit der durch § 146a Abs. 2 Abgabenordnung (AO) vorgegebenen generellen Belegausgabepflicht soll die Steuerhinterziehung in Deutschland bei Bargeschäften eingedämmt werden. Seit dem 1. Januar 2020 ist für jedes Kassensystem in Deutschland eine TSE Pflicht.
Technische Sicherheitseinrichtungen müssen von einer Prüfstelle zertifiziert worden sein, die vom Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) dafür akkreditiert wurden. Einer der akkreditiert Hersteller ist die Firma SwissBit. Wir unterstützen in unserer Software aktuell ausschließlich TSE Module in Form eines USB-Stick oder einer Micro-SD Karte oder SD Karte (mit USB Adapter) von SwissBit. An jeder Kasse muss ein eigenes TSE Modul - also eines je Kasse - dauerhaft angeschlossen sein. Das wechseln eines TSE Moduls zeitweise an verschiedene Kassen ist nicht zulässig. Die Verwendungsdauer eines TSE Moduls ist auf fünf Jahre begrenzt. Nach Ablauf der 5 Jahre ist das TSE Modul gegen ein neues zu ersetzen. Das ausgetauschte TSE Modul muss 10 Jahre aufbewahrt werden und auf Verlangen eines Prüfers zum Auslesen ausgehändigt werden können.
.
Anmerkungen zur Verwendung einer TSE mit Faktura.CASH
Anmerkungen zur Verwendung einer Technische Sicherheitseinrichtung (TSE) in Verbindung mit Faktura.Cash Kassensoftware
[1] Jedes Kassengerät mit installierter Faktura.Cash Kassensoftware benötigt eine eigene Technische Sicherheits-Einheit (kurz TSE-Einheit). Unterstützt werden TSE-Geräte der Fa. SWISSBIT. [2] Die Verwendung einer TSE-Einheit in Deutschland nach dem 30. September 2020 (in Niedersachsen nach dem 30.August 2020) offiziell Pflicht. [3] Eine Verlängerung der Nicht-Beanstandungsfrist ist je Bundesland separat geregelt und die dafür notwendigen Anforderungen sind dem jeweiligen Erlass des Bundeslandes zu entnehmen. [4] Eine Nutzung von Faktura.Cash ist ab dem 30.September 2020 nach erstmaliger Verwendung und Einrichtung einer TSE-Einheit nicht mehr möglich. Bei einem Ausfall einer TSE-Einheit ist kurzfristig für Ersatz zu sorgen und der Ausfall der TSE-Einheit ist je nach Bundesland und Regelung zu melden. [5] Um Digitale Signaturen in Faktura.Cash speichern zu können wird Faktura.Cash Version 2.0.0136 oder höher benötigt. [6] Das Anmelde- und Verwendungsverfahren der TSE-Einheit wurde vereinfacht und angepasst, eine Eingabe von Signaturen wird nicht benötigt, die Eingabe von PIN, PUK und Initialisierungs-PIN sowie den Laufwerksbuchstaben unter welchem die SWISSBIT-TSE- Einheit erreichbar ist, ist Pflicht. Eingabemöglichkeiten sind ab Faktura.Cash Version 2.0.0200 und Aufwärts möglich. Ein Update auf Faktura.Cash Version 2.0.0200 oder neuer ist Pflicht um eine Funktionalität mit SWISSBIT-TSE-Einheiten zu gewährleisten. [7] Faktura.Cash Versionen vor 2.0.0136 sind nicht für das speichern von Digitalen Signaturen vorbereitet, Faktura.Cash Versionen vor 2.0.0200 benötigen eine aus der SWISSBIT- TSE-Einheit ausgelesene Signatur, welche im System hinterlegt werden muss. [8] Alternative TSE-Anbieter abseits SWISSBIT sind aktuell nicht vorhanden. Eine Unterstützung von Fiskaltrust.TSE ist bedingt der Signatur-Eingabe mit Faktura.Cash 2.0.0136 zwar möglich, benötigt aber den Erwerb einer Lizenz der Drittanbieter Software „RKSV-Light“ der Fa. ITG-Consulting und garantiert keine vollständige Kompatibilität da die Kommunikation ausschließlich über diese Drittanbieter-Software geschieht. Faktura.Cash Versionen nach 2.0.0136 unterstützen ausschließlich SWISSBIT-TSE-Einheiten. Ein Support für die Verwendung von Fiskaltrust.TSE ist nicht vorgesehen. [9] Für die Ausgabe der TSE-Daten auf dem Kassenbeleg ist der „Faktura.Cash Druckmanager III“ in Version 3.0.0400 oder neuer benötigt. Diese liegt dem Softwareupdate Faktura.Cash 2.0.0200 und neuer bei. [10] Die Versionsnummer des verwendeten „Faktura.Cash Druckmanager III“ kann durch Doppelklick der Anwendung „Druck.exe“ welche sich im Unterverzeichnis „Bin“ der Faktura.Cash Installation befindet eingesehen werden.
.
Was wird auf der TSE gespeichert
Wurde die Technische Sicherheitseinrichtung eingerichtet und initialisiert wird für jeden kommenden Geschäftsvorfall (Barzahlung, EC-Zahlung, Gemischtzahlung, Storno Bar, Storno Unbar, Kundenkartenaufladung, Barentnahme, Bareinlage) im System vermerkt, dass ein Datensatz in der TSE protokolliert werden muss. Das Ergebnis des Schreibvorgangs auf der TSE und das Ergebnis der TSE im Journal des jeweiligen Auftrags festgehalten. Sind TSE-Daten für den Vorgang vorhanden, werden diese auf dem Bon unter den Fußzeilen in Textform ausgegeben. Geschäftsvorfälle dürfen nur mit einer angeschlossenen, aktivierten und gültigen TSE ausgeführt werden.
.
Einrichten der TSE in der Faktura.Cash Kassensoftware
Starten Sie zunächst die Kassenoberfläche. Nun navigieren sie zu den "TSE-Einstellungen".
Navigieren sie zu:
Klicken Sie also innerhalb der Kassenoberfläche auf "Einstellungen" (1) und dann auf "TSE-Einstellungen" (2).
In diesem Dialog kann nun die an diese Kasse angeschlossene Technische Sicherheitseinrichtung (TSE) konfiguriert werden. Dieser Vorgang muss auf jedem verwendeten Kassensystem mit TSE separat durchgeführt werden. Ein Wechsel der TSE zwischen zwei Kassensystem sollte vermieden werden. Das Entfernen und Wiederanschließen der TSE löscht die eindeutige Kennung zwischen Kassensoftware und der TSE. Wurde also die TSE einmal von der Kasse getrennt (abgezogen), ist nach dem Wiederanschließen der TSE ein Neustart der Kassensoftware notwendig.
Schreibvorgänge auf der TSE sind bei Entfernen und Wiederanschließen der TSE erst wieder möglich, wenn die Kassensoftware neugestartet wurde.
.
Digitale Signatur – Parameter
Auf der TSE werden alle Kassiervorgänge unveränderlich gespeichert. Jeder Schreibvorgang enthält die eindeutige Kassenbezeichnung und identifiziert jeden Datensatz mit dem dazugehörigen Kassensystem.
Um die Verwendung einer SWISSBIT-TSE-Einheit zu aktivieren, muss die Option „Digitales signieren von Belegen aktivieren“ aktiviert werden. Dies ist in Deutschland nach dem 30. September 2020 Pflicht (Datum kann je nach Bundesland abweichen). Unterstützt sind TSE-Einheiten der Fa. SWISSBIT, sowohl als USB-Variante als auch als SD-Kartenvariante mit dazu kompatiblem Kartenlesegerät (USB). Eine Unterstützung für „TSE over LAN/Ethernet“ ist nur in Verbindung einer Netzlaufwerk-Verbindung möglich (z.B. PartnerTech TSE-LAN). Eine TSE-Cloud-Unterstützung ist nicht vorgesehen. Geben Sie nun nachfolgend die benötigten Parameter in dem Dialog „Digitale Signatur – Parameter“ ein.
.
TSE PIN
Dieser PIN autorisiert den Kassenbesitzer Ereignisse mit der TSE durchzuführen. Geben sie hier die mit der TSE erhalten PIN ein. Eine Änderung der PIN gegen eine eigene PIN ist über Faktura.Cash nicht möglich.
.
TSE PUK
Um eine Wiederfreischaltung einer durch Fehleingaben gesperrten PIN ist der hier angegebene PUK notwendig. Sollte durch Fehleingaben die PIN und damit der Zugriff auf die TSE gesperrt sein, weißt eine korrekte PUK die TSEt an, die PIN Eingabe wieder zu erlauben. Eine Änderung des PUK ist über Faktura.Cash nicht möglich. Geben sie hier die mit der TSE erhalten PUK ein. Eine Änderung der PUK gegen eine eigene PUK ist über Faktura.Cash nicht möglich. Eine gesperrte PIN wird nur entsperrt, nicht jedoch durch den hinterlegten PIN neugesetzt.
.
Initialisierungs PIN
Wurde die TSE-Einheit noch nicht verwendet, muss diese zunächst Aktiviert / Initialisiert werden. Für diese Zwecke wird die Initialisierungs PIN benötigt. Auch die in der TSE-Einheit integrierte Uhr muss regelmäßig, spätestens alle 24 Stunden neu gestellt werden. Mit aktivierter Option „Digitales Signieren von Belegen aktivieren“ geschieht dies in Faktura.Cash bei jedem Start der Anwendung einmalig automatisch. Das stellen der Uhrzeit innerhalb der TSE-Einheit ist auch notwendig, um ein Schreiben auf dieser zu ermöglichen. Der Initialisierungs PIN ist für diese beiden Vorgänge notwendig.
Das Ändern des hinterlegten Initialisierungs PIN ist über Faktura.Cash nicht vorgesehen und nicht möglich.
.
TSE-Laufwerk
Da sowohl TSE-Einheiten auf USB als auch SD und Netzwerk-Basis unterstützt werden, muss das dem TSE-Gerät zugeordnete Laufwerk angegeben werden um eine Kommunikation zu gewährleisten. Geben Sie hier den Laufwerksbuchstaben, gefolgt von einem Doppelpunkt und einem Querstrich („\“) an. Sollte sich das zugeordnete Laufwerk ändern (z.B. von E:\ nach F:\) muss die Einstellung in diesem Parameter vorgenommen werden. TSE-LAN-Einheiten (TSE-Einheiten über Netzwerk) werden nur dann unterstützt, wenn die TSE-LAN-Einheit eine Ausgabe als Netzlaufwerk unterstützt. Eine Kommunikation über IP, Port und API-Schlüssel ist nicht unterstützt.
Achtung! - Der TSE ist kein Speicherstick im gewöhnlichen Sinne. Sie sollten auf dem TSE keinerlei Datensicherungen oder andere Dateien ablegen, da der TSE nur über sehr begrenzten Speicherkapazität verfügt. Ist der TSE voll, kommt es schnell zu Betriebsstörungen in der Kassensoftware.
Belassen sie den TSE dauerhat in dem USB Port in dem sie ihn in Betrieb gesetzt haben. Stecken sie den TSE nicht in einen anderen USP Anschluss um, da sich sonst möglicherweise der Laufwerksbuchstabe ändert und dann der TSE nicht mehr korrekt arbeitet.
.
Export-Verzeichnis
Um die mit der TSE-Einheit gesammelten Daten exportieren zu können, muss ein gültiges Verzeichnis hinterlegt werden, in welchem die Exporte abgelegt werden. Geben Sie hierzu den vollständigen, absoluten Pfad ohne Angabe eines Dateinamen an. Innerhalb des Dialogs „Digitale Signatur – Parameter“ können diverse Administrative Funktionen durchgeführt werden. Diese sind für die Verwendung der TSE-Einheit bei Ersteinrichtung sowie der Diagnose und dem Export bei einer Datenprüfung notwendig.
.
TSE aktivieren
Die Funktion "TSE aktivieren" (3) ist nur dann notwendig, wenn die TSE-Einheit bisher noch nicht verwendet wurde. Klicken Sie nach der Eingabe der Einstellungen auf diese Schaltfläche um die TSE einmalig einzurichten. Wird diese Funktion nach der erfolgten Initialisierung ausgeführt wird der Zustand der TSE geprüft und eine Mitteilung eingeblendet.
Die TSE-Einheit bietet drei Funktionszustände an: * Uninitialisiert - Die TSE-Einheit wurde bisher noch nicht verwendet und wird nun mit den zuvor eingegebenen Parametern initialisiert. * Initialisiert - Die TSE-Einheit ist bereit für die Verwendung mit Faktura.Cash. * Außer Betrieb (Decommissioned) - Die TSE wurde entweder deaktiviert oder das in der TSE-Einheit hinterlegte Sicherheitszertifikat ist nicht mehr gültig bzw. abgelaufen. Die TSE kann in diesem Zustand mit Faktura.Cash nicht verwendet werden. Die TSE in den Zustand „Außer Betrieb“ zu setzen ist durch Faktura.Cash nicht möglich.
.
Verbindung prüfen
Wird diese Schaltfläche getätigt wird mit den in den zuvor eigegebenen Parametern eine Kommunikation zwischen Faktura.Cash und der TSE-Einheit eingeleitet und eine Ersteinrichtung nach „Initialisierung“ wird vorgenommen.
.
Selbsttest
Die Funktion „Selbsttest“ arbeitet ähnlich wie die Funktion „Verbindung prüfen“, zusätzlich jedoch wird auch eine Zeitgeberaktualisierung durchgeführt und geprüft, ob mit den hinterlegten Zugangsdaten ein Schreibvorgang auf der TSE-Einheit möglich ist.
.
TSE Datenexport
Die Funktion "TSE Datenexport" ist bei einer Kassennachschau durch Dritte (Finanzbehörden, Steuerbehörde, Kassenprüfer) notwendig und Pflicht. Hierbei werden die in der TSE gespeicherten Kassierdaten ausgelesen und in dem als "Export-Verzeichnis" angegebenen Verzeichnis als TAR-Datei gespeichert. Diese Datei ist dann direkt vom Prüfer verwendbar.
Der Datenexport aus der Technischen Sicherheitseinrichtung (TSE) umfasst alle auf der TSE gespeicherten Kassierdaten. Die Exportdatei wird im von den Finanzbehörden geforderten TAR Format gespeichert. Der Speichertort an dem diese Datei abgelegt wird können sie im TSE Dialog in der Zeile "Export-Verzeichnis" angeben. Sie müssen in dem Feld einen für die Kasse erreichbaren Pfad bzw. ein Verzeichnis angeben. Am Ende der Angabe steht ein Backslash "\".
Klicken sie für einen Export auf die Schaltfläche "TSE Datenexport" (6). Damit wird der Export im angegebenen Verzeichnis gestartet. Am Schluss wird dann eine Meldung ausgegeben. Die Datei befindet sich nun im angegebenen Verzeichnis. Der Export ist damit abgeschlossen. Navigieren sie bei Bedarf mit dem Windows® Explorer zu diesem Verzeichnis. Sie können die Datei nun auf ein beliebiges anderes Verzeichnis oder Laufwerk kopieren.
ACHTUNG! - Bei einem Ausfall oder einem Verlust der TSE ist der Ausfall unverzüglich zu melden und für Ersatz zu sorgen.
.
TSE Konfigurationsdatei
Auf der TSE-Einheit (dem USB Laufwerk - in unserem Beispiel hier ist es das Laufwerk mit dem Buchstaben "G") befindet sich nach der Inbetriebnahme der TSE-Einheit eine Konfigurationsdatei. Es handelt sich um eine Textdatei die sie mit jedem Texteditor (z.B. Windows Notepad) öffnen und ansehen können. Die Datei hat den Dateinamen "Client.cfg" und befindet sich direkt im Grundverzeichnis der TSE-Einheit die als USB Laufwerk auf ihrem Kassenterminal zu finden sein muss.
So finden sie die TSE Einheit auf ihrer Kasse
Der Swissbit TSE ist als USB Laufwerk in ihrem Windows® Explorer zu finden.
Wenn sie den Inhalt des Swissbit TSE anzeigen finden sie einige Dateien darauf.
Ändern sie keine Dateien auf dem Swissbit TSE manuell ab. Der Swissbit TSE könnte nach einer manuellen Änderung unbrauchbar werden.
Beispiel einer Konfigurationsdatei:
In der TSE Konfigurationsdatei können sie den Laufwerksbuchstaben zum TSE (1) einsehen. Die Zeile "Code" enthält die Client-ID (2). Sie ist die eindeutige Kennung des Kassengerätes.
ACHTUNG! - Ändern sie diese Datei nicht manuell ab. Sie wird von der Kassensoftware konfigurieret und könnte nach einer manuellen Änderung unbrauchbar werden.
.
Downloads zum Thema TSE
* TSE Datenexport Anleitung zu älteren Versionen der Software (PDF Datei) * Swissbit® TSE Zertifizierung nach BSI-K-TR-0362-2019 (PDF Datei) * Hersteller Webseite der Firma SwissBit * Webseite zum Swissbit® TSE Zertifikat des Bundesamt für Sicherheit in der Informationstechnik (BSI) (Link)
.