Webservice Beleg-Übermittlung

[FriNagy]

Hallo...

langsam wird es ernst, und wir müssen die erste Quartals-Sicherung anlegen:

(1) Die Daten des Datenerfassungsprotokolls sind zumindest vierteljährlich auf einem elektronischen externen Medium unveränderbar zu sichern. Diese Sicherung ist gemäß § 132 BAO aufzubewahren.

(2) Zu jedem Monatsende sind die Zwischenstände des Umsatzzählers zu ermitteln (Monatszähler) und als Barumsatz mit Betrag Null (0) und elektronischer Signatur der Signaturerstellungseinheit (Monatsbeleg) im Datenerfassungsprotokoll der Registrierkasse zu speichern.

(3) Mit Ablauf jedes Kalenderjahres ist der Monatsbeleg, der den Zählerstand zum Jahresende enthält (Jahresbeleg), auszudrucken, zu prüfen und gemäß § 132 BAO aufzubewahren. Bei der Prüfung des Jahresbeleges ist § 6 Abs. 4 sinngemäß anzuwenden.

meine Frage: sind diese Zwischenbelege an Finanzamt zu Melden oder wozu dient das webservice: "Übermittlung eines Beleges"

https://www.bmf.gv.at/egovernment/fon/fuer-softwarehersteller/BMF_Registrierkassen_Webservice.pdf

[ErichFreitag]

Mit "Übermittlung eines Belegs" senden sie den Startbeleg und die Jahresbelege verpflichtend. Alternativ freiwillig jeden anderen Beleg, den sie prüfen wollen.

[FriNagy]

Vielen Dank!

[gbarsan]

Meines Wissens ist der Webservice weder für Start noch Jahresbeleg verpflichtend da alternativ die App eingesetzt werden kann um die QR Codes auf den Ausdrücken zu prüfen (womit es zur Verpflichtung des Kunden wird).

Natürlich ist der Webservice handlicher und bequemer.

Bitte um Korrektur falls Ihr dies anders seht. Danke schön!

[Phoniexk]

@gbarsan: Startbeleg und Jahresbeleg müssen verpflichted geprüft werden, entweder mit Belegcheck-App oder FON-Webservice.

Herr @ErichFreitag meinte mit "verpflichtend" wohl, dass man mit "Übermittlung eines Belegs" damit die verpflichtende Prüfung durchführen kann.

[ErichFreitag]

Danke für die Ergänzung, @Phoniexk!

In der Tat: mit "Übermittlung eines Belegs" können Belege zur Prüfung über das Webservice übermittelt werden. Genauso wie die Prüfung mit der App funktioniert. Dazu kann grundsätzlich jeder beliebige Beleg übermittelt werden.

Verplichtend sind der Startbeleg und die Jahresbelege zu übermitteln - auf welchem Weg auch immer (es gäbe ja z.B. auch noch einen XML-File upload).

[FriNagy]

Hallo! Für die Datensicherung habe ich jetzt ein Mail Portal angelegt, (einfach beide json Dateien nach safe@atsafe.at mailen, am besten gezippt). Dort werden sie kostenlos abgelegt, und zus. lokal gesichert. Sollten die Daten angefordert werden, wird 16 Euro pro Jahr verrechnet.

[Phoniexk]

Da stellt sich erstmal schon die Frage was sind "beide json" Dateien. Für die "Erste" meinen Sie wohl RKSV Z3 mit der definierten Strukturvorgabe. Die "Zweite" soll vermutlich die zusätzlichen Beleginformationen ("Kassenjournal") enthalten, allerdings gibt es hier keinen vorgeschriebenen Struktur. Es müssen also nicht zwingend zwei JSON-Dateien sein, der Detailexport kann ein EXCEL, CSV, Textdatei, etc. sein.

Allerdings würde ich an diese Adresse einmal gar nichts schicken. Was bedeutet ein "Mail Portal"? Wie werden die Daten abgelegt, wie authenifiziert man sich, gilt es als zertifizierter Revisionssicherer Speicher (wie z.B. e-tresor der A-Trust), werden die Daten verschlüsselt archiviert, wer kann die Daten anfordern, wie lange werden Sie aufbewahrt/archiviert, haben Sie als Betreiber Zugriff auf die Daten? Wo werden die Daten lokal gesichert, bei Ihnen Zuhause am Privatrechner oder in Ihrem Unternehmen? Wird die Datensicherung verschlüsselt archiviert? Gibt es eine vertragliche Vereinbarung? Wie schnell bekommt man die Daten im Bedarfsfall ausgehändigt? Kann dem Prüfer Zugang gewährt werden? Wenn ihr Portal "beendet" wird, werden die Daten dann gelöscht und wird man informiert, usw.... mir würden da noch hunderte Fragen einfallen.

Entschuldigen Sie bitte, aber das klingt sehr nach einer "Schnellschussaktion" die alles andere als vertrauenswürdig klingt. Sie hatten sichtlich "Panik" weil Sie vor 3 Tagen bemerkt haben, dass man jetzt auch sichern muss und schnell etwas "zusammengeschustert".

Tut mir leid, aber bei ihrem Angebot würde ich sagen "Leute aufpassen im Internet und keine dubiosen und fragwürdigen Dienste in Anspruch nehmen".

[FriNagy]

Hallo!

zuerstmal vielen Dank für die Antwort...

die zwei json Dateien, meine ich die beide, die eben auch das Prüftool verlangt und wurde da in Forum oft diskutiert: dep-export.json Datei entspricht (RKSV-DEP Exportformat laut RKSV). crypto.json öffentliche Schlüssel, Zertifikate und AES-Schlüssel wird nur für die Prüfung gebraucht (optional wenn gewünscht)

Aber es ist gleich was Sie schicken, mein Mail-Server empfängt die Daten, es checkt ein und bei Bedarf schickt die Daten retour auf die gleiche Mail-Adresse.

Der Mailserver ist gehostet in D, auf ein zweiten dedicated Server werden dann die Mails (3..15 min) abgerufen und dort gesichert (eine Bestätigung wird zurückgemailt), am Abend wird dann zusätzlich lokal kopiert.

Unsere Kunden die ich betreue, (einige Raiffeisen Lagerhäuser in Tirol, oder die Fa. Felder KG aber auch kleinere, wie die Fa. Rueckenwind) nützen diese Service was relativ einfach zu integrieren ist. (mit blat.exe ein Mail zu senden)

Bezüglich Revisionssichere Speicher und Daten-Verschlüsselung? werden die irgendwo velangt? RKSV schreibt lediglich vor:

3.2.1.4. Sicherung des DEP Das vollständige DEP ist zumindest vierteljährlich auf einem elektronischen, externen Medium unveränderbar zu sichern. Als geeignete Medien gelten beispielsweise schreibgeschützte (abgeschlossene) externe Festplatten, USB-Sticks und Speicher externer Server, die vor unberechtigten Datenzugriffen geschützt sind.

Sie haben allerdings Recht! es ist ziemliche „Schnellschussaktion” und in eine Woche schafft man leider (noch) nicht alles und es ist noch vieles zu machen, wie „Vertrag”, SMS, Check-in mit Prüfung,Statusabfrage usw. aber es funktioniert bereits.

Wollte nur aufmerksam machen, zeigen was möglich ist, und vielleicht will doch jemand auch mithelfen oder mit gegenseitigen Fairness nützen.

mfg F.Nagy

[Phoniexk]

die zwei json Dateien, meine ich die beide, die eben auch das Prüftool verlangt und wurde da in Forum oft diskutiert

Genau diese Dateien verlangt das Prüftool, aber nicht die RKSV. Verlangt wird bei einer Prüfung das Datenerfassungsprotokoll, die crypto.json wird nicht benötigt. Wozu auch, das Finanzamt hat diese Informationen durch die Registrierung ja ohnehin und wird auch nur die im FON hinterlegen Daten verwenden. Gesichert werden muss das vollständige DEP: d.h. RKSV-DEP nach Z3 sowie auch die detalierten Beleginhalte (Menge & handelsübliche Bezeichnung). Zusätzlich gibt es ja auch noch die Kassenrichtlinien mit weiteren Forderungen.

In der von Ihnen zitierten Stelle des Erlasses wird "unveränderbar" und "Schutz vor unberechtigten Datenzugriff" gefordert. Bezüglich revisionssicheren (unveränderbaren) Speicher gab es hier eine ausführliche Diskussion: https://github.com/a-sit-plus/at-registrierkassen-mustercode/issues/305

Wenn Sie vollen Zugriff auf alle gesicherten Dateien haben ist "Schutz vor unberechtigten Datenzugriff" nicht erfüllt. Außerdem gibt es ja auch noch Datenschutzgesetze (Änderungen im Mai 2018) die beachtet werden müssen. Gerade wenn sie alle empfangenen Daten akzeptieren, können auch personenbezogene Daten enthalten sein und die sollten/müssen geschützt sein ;)

Ich finde Ihre Grundidee ja prinzipiell lobenswert, aber bei der Ausführung hängt es leider etwas.

[FriNagy]

Hallo!

also ich rede nur von RKSV-DEP, die Bewegungs-Daten würden sowieso die Grenzen von Mail sprengen, (aber die werden bereits seit Jahren vor Ort gesichert)

das crypto.json ist optional (nur wenn Datenprüfung erwünscht)

zu #305 das DEP ist durch die Verkettung revisionssicher...

wie auch immer ...

[Phoniexk]

Dann versehe ich nicht wieso sie eine eigene Sicherung für das RKSV-DEP benötigen. Durch die RKSV ergibt sich dann bei Ihnen ja nur zusätzlich eine Datei für die bestehende Sicherung, nämlich das RKSV DEP :) wenn Sie so und so täglich (oder öfters sichern) sichern, braucht ma vorher nur das RKSV Dep erstellen und mitsichern.

Naja wie im Link ebenfalls erläutert, kann man zB das ganze letzte Monat löschen und manipulierte Daten einfügen, ohne dass es jemanden auffallen würde. Die Verkettung lässt sich damit sehr wohl umgehen, die sichert nur Änderungen in der Mitte bzw. Anfang ab, aber das Ende nicht

Aber ist ja auch egal :)

Die

L

[Ralf-Friedl]

Natürlich könnte man alle Belege des gesamten Jahres löschen und eine neue Reihe von korrekt verketteten Umsätzen erstellen. Der Beleg zum Monatsende muss nämlich nur erstellt, aber nicht übermittelt werden. Jedoch kann so gut wie jede Leistung auch für gewerbliche Zwecke benutzt werden, und wenn auch nur ein einziger Kunde den Kassenzettel aufhebt und dieser geprüft wird, dann fällt die Manipulation auf.

Diese Angebote zur externen Sicherung von DEPs kann ich auch nicht nachvollziehen. Ein "externes Medium" ist auch ein USB-Stick für ein paar Euro, oder was auch immer man bereits verwendet, um seine anderen Daten zu sichern. Das finde ich besser als die kompletten Umsatzdaten an jemanden zu schicken, den ich nicht kenne. Denn auch wenn der Umsatzzähler verschlüsselt ist, der Umsatz der einzelnen Belege ist immer im Klartext enthalten. Die Aufbewahrungsfrist nach § 132 BAO beträgt sieben Jahre, was ist, wenn der Anbieter in dieser Zeit irgendwann diesen Dienst nicht mehr anbietet?