Zum Inhalt springen
Heptic
Compliance

RKSV (Österreich)

Definition

Die Registrierkassensicherheitsverordnung (RKSV) konkretisiert § 131b der Bundesabgabenordnung. Ziel ist, Manipulationen an Kassenaufzeichnungen technisch unmöglich zu machen. Jede Registrierkasse, die in Österreich unter die Registrierkassenpflicht fällt, muss die Anforderungen der RKSV erfüllen.

Die Verordnung regelt drei Bereiche. Den ersten Bereich bildet die Signatur. Jeder Beleg ist mit einer elektronischen Signatur über eine zertifizierte Signatur-Erstellungseinheit zu versehen. Der zweite Bereich ist das Datenerfassungsprotokoll. Alle Belege werden chronologisch und manipulationsgeschützt aufgezeichnet. Den dritten Bereich bildet die Schnittstelle zur Finanzverwaltung. Auf Verlangen muss das Protokoll im definierten Format elektronisch übergeben werden.

Die RKSV gilt unabhängig vom Kassensystem. Hardware-Kassen, Tablet-Kassen, Web-basierte POS und Cloud-Lösungen erfüllen die Verordnung über eine angeschlossene Signatur-Erstellungseinheit. Im Zusammenspiel mit der Belegerteilungspflicht nach § 132a BAO und der Aufbewahrungsfrist nach § 132 BAO bildet die RKSV das Rückgrat der abgabensicheren Kassenführung in Österreich.

Rechtsgrundlage

Die RKSV ist die Verordnung BGBl. II Nr. 410/2015 vom 11. Dezember 2015. Sie wurde mehrfach novelliert und ist über das Rechtsinformationssystem des Bundes (RIS) abrufbar. Die Ermächtigung zur Verordnungserlassung ergibt sich aus § 131b Abs. 5 BAO.

Ergänzend gelten § 131b BAO (Registrierkassenpflicht), § 132a BAO (Belegerteilung), § 132 BAO (Aufbewahrungspflicht von sieben Jahren) sowie die Anforderungen an Vertrauensdiensteanbieter nach der eIDAS-Verordnung (EU) 910/2014. Die Signatur-Zertifikate werden ausschließlich von qualifizierten Vertrauensdiensteanbietern ausgestellt, die bei der österreichischen Aufsichtsbehörde RTR-GmbH gelistet sind.

Verstöße werden nach § 51 Finanzstrafgesetz als Finanzordnungswidrigkeit verfolgt. Bei fehlender oder dauerhaft umgangener RKSV-Konformität kann das Finanzamt nach § 184 BAO eine Schätzung vornehmen. Zuständige Behörde ist das örtlich zuständige Finanzamt Österreich sowie das Bundesministerium für Finanzen (BMF.gv.at).

Praxis im Multi-Standort-Betrieb

In Ketten mit mehreren österreichischen Standorten braucht jede Registrierkasse ihre eigene Signatur-Erstellungseinheit und ein eigenes Datenerfassungsprotokoll. Cloud-Signaturlösungen sind hier oft die wirtschaftlichste Variante. Sie werden zentral verwaltet, die Zertifikate laufen automatisch weiter und der Ausfall einer einzelnen Karte legt nicht den Standort lahm.

Inbetriebnahme und Außerbetriebnahme jeder Kasse mit Signatur-Erstellungseinheit sind über FinanzOnline zu melden. Die Meldung umfasst Kassenidentifikationsnummer, Zertifikat der Signatur-Erstellungseinheit und Standort. Bei Eröffnung eines neuen Lokals ist diese Meldung Teil des Go-Live, nicht eine nachgelagerte Buchhaltungsaufgabe. Versäumte Meldungen sind eine eigenständige Ordnungswidrigkeit, auch wenn die Kasse technisch sauber arbeitet.

In Franchisesystemen liegt die Pflicht beim Franchisenehmer als Betreiber des Standorts. Der Franchisegeber kann die technische Infrastruktur stellen und die Meldungen administrativ unterstützen, die abgabenrechtliche Verantwortung bleibt vor Ort. Bei einer Außenprüfung wird der Datenexport vom konkreten Standort verlangt, nicht vom Konzern.

Saisonbetriebe können die Kasse außerhalb der Saison außer Betrieb nehmen. Die Außerbetriebnahme wird im DEP dokumentiert und über FinanzOnline gemeldet. Bei Wiederinbetriebnahme ist eine Startbeleg-Prüfung sinnvoll, bevor der erste reguläre Beleg an einen Gast geht.

Startbeleg, Monatsbeleg, Jahresbeleg

Die RKSV verlangt drei besondere Belege als Kontrollanker. Der Startbeleg wird einmalig bei Inbetriebnahme der Signatur-Erstellungseinheit ausgestellt und über die BMF-App geprüft. Der Monatsbeleg fasst die Umsätze eines Monats zusammen und wird am letzten Tag des Monats erstellt. Der Jahresbeleg ist gleichzeitig der Monatsbeleg für Dezember und ist bis spätestens 15. Februar des Folgejahres über die BMF-App zu prüfen.

Diese drei Belege sind keine Formalie. Bei einer Außenprüfung dienen sie als unabhängiger Kontrollanker zwischen den signierten Tagesumsätzen. Ein fehlender oder nicht geprüfter Jahresbeleg ist eine eigenständige Ordnungswidrigkeit. In Multi-Standort-Konzepten lohnt sich ein zentraler Reminder im operativen Kalender, der jeden Standort an die fristgerechte Jahresbeleg-Prüfung erinnert.

Aufzubewahren sind nach § 132 BAO sieben Jahre. Die signierten Belege, das Datenerfassungsprotokoll und die Monats- und Jahresbelege müssen lesbar bleiben, auch nach Anbieterwechsel oder Geschäftsverkauf. Ein Anbieterwechsel ohne sauberen Datenexport ist eine der häufigsten Quellen für nachträgliche Beanstandungen.

Vorbereitung auf eine RKSV-Außenprüfung

Eine Außenprüfung der Finanzverwaltung dauert in der Gastronomie oft mehrere Tage. Die RKSV-Aspekte sind dabei typisch früh dran, weil sie schnell prüfbar sind. Der Prüfer verlangt einen Export des Datenerfassungsprotokolls über einen definierten Zeitraum, prüft die fortlaufende Belegnummerierung und kontrolliert die elektronischen Signaturen über die offene Spezifikation.

Wer sich vorbereitet, plant einmal jährlich einen internen Probelauf. Exportiere das DEP, prüfe die Signaturkette und teste die Belegausgabe an jeder Kasse. Halte eine Liste aller Standorte, ihrer Kassenidentifikationsnummern und ihrer Signatur-Zertifikate zentral verfügbar. Dokumentiere Schulungen für Kassiermitarbeiter, sodass die Belegerteilung im Standort gelebte Praxis ist. Bei einer unangekündigten Prüfung musst du sofort liefern können. Wer diese Vorarbeit leistet, geht entspannt in jede Außenprüfung.

In Multi-Standort-Konzernen lohnt sich ein zentrales Compliance-Dashboard, das pro Standort den Status der Signatur-Erstellungseinheit, die letzte Jahresbeleg-Prüfung und das letzte DEP-Export-Datum zeigt. Auffälligkeiten lassen sich so vor der Prüfung beheben, nicht erst während der Prüfung. Heptic liefert dieses Dashboard als Teil der Standort-Reports, ohne dass eigene Excel-Listen gepflegt werden müssen.

Häufige Fehler

  • Signatur-Zertifikat läuft ab und wird nicht rechtzeitig erneuert. Belege ab Ablauf sind technisch nicht mehr signiert.
  • Ausfall der Signatur-Erstellungseinheit wird nicht im DEP vermerkt. Bei einer Prüfung fehlt der Nachweis für die ausgefallene Zeitspanne.
  • Inbetriebnahme einer neuen Kasse wird nicht über FinanzOnline gemeldet. Das ist eine eigenständige Ordnungswidrigkeit, unabhängig von der technischen Funktion.
  • Datenerfassungsprotokoll wird nicht regelmäßig exportiert. Beim Anbieterwechsel oder Geschäftsverkauf ist die Aufbewahrungspflicht von sieben Jahren in Gefahr.
  • Startbeleg- und Nullbeleg-Prüfung wird übersprungen. Bei einer Außenprüfung fehlen diese Kontrollnachweise.

So unterstützt Heptic

Heptic ist weder eine Registrierkasse noch ein Vertrauensdiensteanbieter. Die RKSV-Compliance bleibt in der Hoheit deines zertifizierten österreichischen Kassenpartners. Heptic Integrationen verbindet RKSV-konforme Kassensysteme mit Heptic. Die signierten Verkaufsdaten fließen täglich in Heptic Intelligence und werden dort für Wareneinsatz, Deckungsbeitrag pro Gericht und filialvergleichende Auswertungen verwendet. So entsteht aus deiner RKSV-Compliance gleichzeitig die Datenbasis für operative Steuerung. Du pflegst nicht zwei Systeme parallel, sondern nutzt saubere Belegdaten doppelt.

Rechtshinweis

Diese Information ersetzt keine Rechtsberatung. Sprich für individuelle Fälle mit deinem Steuerberater oder Anwalt in Österreich. Rechtsgrundlagen AT: Registrierkassensicherheitsverordnung (RKSV) BGBl. II Nr. 410/2015, § 131b, § 132a und § 132 Bundesabgabenordnung (BAO), eIDAS-Verordnung (EU) 910/2014. Zuständige Behörde: örtlich zuständiges Finanzamt Österreich, Bundesministerium für Finanzen (BMF.gv.at).

Häufige Fragen

Seit wann gilt die RKSV in Österreich?
Die RKSV ist am 11. Dezember 2015 als BGBl. II Nr. 410/2015 erlassen worden. Die Pflicht zur Signatur-Erstellungseinheit galt nach Übergangsfrist verbindlich ab 1. April 2017. Seitdem muss jede österreichische Registrierkasse signierte Belege erstellen und ein Datenerfassungsprotokoll führen.
Was ist eine Signatur-Erstellungseinheit?
Eine Signatur-Erstellungseinheit ist ein zertifiziertes Sicherheitsmodul, das jeden Beleg mit einer elektronischen Signatur versieht. Zulässig sind eine Smartcard, ein USB-Stick, ein HSM oder eine Cloud-basierte Signaturlösung eines Vertrauensdiensteanbieters. Die Zertifizierung erfolgt nach den Vorgaben der eIDAS-Verordnung und der RKSV.
Was ist das Datenerfassungsprotokoll?
Das Datenerfassungsprotokoll (DEP) ist eine fortlaufende, manipulationsgeschützte Aufzeichnung aller Geschäftsvorfälle einer Registrierkasse. Es enthält jeden signierten Beleg in chronologischer Reihenfolge und ist gemäß § 132 BAO sieben Jahre aufzubewahren. Bei einer Außenprüfung ist es jederzeit elektronisch zu übergeben.
Was passiert bei Ausfall der Signatur-Erstellungseinheit?
Du musst den Ausfall im Datenerfassungsprotokoll dokumentieren. Während des Ausfalls erstellte Belege sind als 'Sicherheitseinrichtung ausgefallen' zu kennzeichnen. Dauert der Ausfall länger als 48 Stunden, ist er über FinanzOnline zu melden. Nach Wiederherstellung sind die betroffenen Belege nachzuzeichnen.

Zuletzt aktualisiert: Mai 2026

Demo buchenHeptic Integrationen ansehen

Verwandte Begriffe

Heptic ausprobieren

Bereit für ein Betriebssystem statt Excel?

30 Minuten Demo. Wir zeigen dir Heptic an deinen Zahlen.

Demo buchenWeitere Begriffe

30 Minuten · Keine Sales-Show · 60 Tage Garantie