"Systeme sollten Anwender aktiv unterstützen, Fehler zu vermeiden"

Im Interview erklärt Point-of-Sale-Experte Markus Bernhart, worauf IT-Verantwortliche in puncto "Sicherheit" bei modernen Kassensystemen achten sollten und warum der Datenexport ein zentraler Prüfpunkt ist.

springerprofessional.de: Herr Bernhart, wie manipulationssicher sind die in Deutschland im Einsatz befindlichen Kassensysteme tatsächlich?

Markus Bernhart: Die regulatorischen Anforderungen in Deutschland sind in den vergangenen Jahren deutlich verschärft worden, insbesondere durch die Einführung der Technischen Sicherheitseinrichtung (TSE). Sie soll sicherstellen, dass Kassendaten nicht unbemerkt verändert werden können. In der Praxis zeigt sich jedoch, dass die Manipulationssicherheit stark von der konkreten Umsetzung abhängt. Prüfungen zeigen regelmäßig Mängel, etwa bei fehlerhaft integrierten TSEs, unvollständigen Daten oder Problemen beim Export der Kassendaten. Schwachstellen liegen dabei häufig in nachgelagerten Prozessen: Stornos oder nachträgliche Änderungen sind nicht immer vollständig protokolliert oder eindeutig zuordenbar. Auch Medienbrüche, etwa beim Export in Buchhaltungssysteme, können zu Inkonsistenzen führen. Solche Lücken entstehen meist im Zusammenspiel von Software, Schnittstellen und operativen Abläufen. Entscheidend ist daher weniger die formale Gesetzeskonformität als die tatsächliche Systemarchitektur und deren Betrieb. Systeme können die Anforderungen erfüllen und dennoch anfällig sein, wenn Daten nicht durchgehend abgesichert oder Prozesse nicht sauber umgesetzt sind. Gerade Schnittstellen zwischen Kasse, Warenwirtschaft und Buchhaltung stellen dabei ein potenzielles Risiko dar, wenn Daten nicht konsistent übertragen werden.

Welche Kriterien sollten IT-Verantwortliche bei der Auswahl und dem Betrieb prüfen?

IT-Verantwortliche sollten Kassensysteme vor allem unter dem Aspekt der Datenintegrität bewerten. Wichtig ist, dass alle Transaktionen vollständig, unveränderbar und nachvollziehbar aufgezeichnet werden. Dazu gehören eine durchgehende Signierung über die TSE sowie die Möglichkeit, Daten jederzeit vollständig und im vorgeschriebenen Format bereitzustellen. Gerade der Datenexport ist in der Praxis ein häufiger wiederkehrender Prüfpunkt. In Prüfungen scheitert die Auslesung nicht selten an fehlerhaften oder unvollständigen DSFinV-K-Datensätzen. Ebenso relevant ist die Prozesssicherheit: Änderungen, Stornos und Korrekturen müssen eindeutig protokolliert sein. Systeme sollten Anwender aktiv dabei unterstützen, Fehler zu vermeiden, etwa durch verpflichtende Eingaben oder automatisierte Prüfmechanismen. Im laufenden Betrieb kommt es darauf an, dass Updates, Zertifikate und gesetzliche Anpassungen zuverlässig umgesetzt werden, idealerweise automatisiert.

Welche Unterschiede bestehen zwischen lokal betriebenen und serverbasierten Systemen?

Der zentrale Unterschied liegt in der Datenhaltung und Verarbeitung. Bei lokal betriebenen Systemen werden Daten auf dem Gerät oder in einer lokalen Infrastruktur gespeichert. Datensicherung, Wartung und Integrität liegen damit in der Verantwortung des Betriebs. Häufige Fehler entstehen hier durch unregelmäßige Updates oder fehlende Backups. Serverbasierte Systeme verarbeiten und speichern Daten in einer zentralen Umgebung. Transaktionen werden dort in Echtzeit gesichert, signiert und archiviert. Dadurch lassen sich Sicherheitsmechanismen, Updates und Datensicherungen zentral steuern. Lokale Systeme können ebenfalls sicher betrieben werden, erfordern aber mehr Aufwand und klare Prozesse. In der Praxis entstehen Probleme häufig dort, wo Wartung, Updates oder TSE-Integration nicht konsequent umgesetzt werden. Cloud-basierte Kassensysteme reduzieren diese Abhängigkeit vom einzelnen Betrieb, erfordern jedoch Transparenz hinsichtlich Datenverarbeitung und Systemarchitektur.

Welche Punkte werden bei Betriebsprüfungen erfahrungsgemäß kritisch?

Im Fokus stehen Vollständigkeit, Nachvollziehbarkeit und Unveränderbarkeit der Kassendaten. Ein zentraler Prüfpunkt ist der Datenexport. Können Daten nicht vollständig oder nicht im vorgeschriebenen Format bereitgestellt werden, gilt die Kassenführung als formell mangelhaft. Ebenso kritisch sind fehlerhafte oder fehlende TSE-Anbindungen. Auch organisatorische Aspekte geraten zunehmend in den Fokus: verspätete Tagesabschlüsse, unklare Zuständigkeiten oder fehlende Verfahrensdokumentationen. Hinzu kommt, dass Prüfungen heute stärker datengetrieben erfolgen. Auffälligkeiten in Transaktionsmustern oder Unstimmigkeiten zwischen Kassendaten und Buchhaltung können gezielt analysiert werden. Kassendaten werden dabei nicht mehr nur stichprobenartig geprüft, sondern systematisch ausgewertet, etwa hinsichtlich ungewöhnlicher Buchungsmuster oder Stornoquoten. Für Unternehmen bedeutet das, dass neben formalen Anforderungen auch die Datenstruktur konsistent und plausibel sein muss. Fehler entstehen dabei häufig nicht aus Vorsatz, sondern aufgrund fehlender Struktur im Betriebsalltag.

Wie können KMU bei Kassensystemen ihre digitale Souveränität wahren?

Digitale Souveränität bedeutet, die Kontrolle über die eigenen Daten und Prozesse zu behalten. Für KMU ist entscheidend, dass Systeme transparent sind: Unternehmen sollten wissen, wo ihre Daten gespeichert werden, wie sie verarbeitet werden und wie sie exportiert werden können. Offene Schnittstellen und standardisierte Formate spielen dabei eine zentrale Rolle, insbesondere für die Weiterverarbeitung in Buchhaltung oder Steuerberatung. Gleichzeitig müssen Systeme zuverlässig im Alltag funktionieren. Automatisierte Prozesse helfen, gesetzliche Anforderungen einzuhalten und Fehler zu vermeiden. Das können etwa Prozesse für automatisierte Tagesabschlüsse, integrierte Prüfmechanismen oder Erinnerungen an Meldepflichten sein. Digitale Souveränität heißt daher nicht, alles selbst zu betreiben. Entscheidend ist, Systeme zu wählen, die Transparenz, Kontrolle und Sicherheit miteinander verbinden und den operativen Aufwand reduzieren. Unternehmen, die ihre Prozesse klar definieren und technisch unterstützen, reduzieren nicht nur Risiken, sondern schaffen auch die Grundlage für effizientere Abläufe.