Zum Inhalt springen
Heptic
Compliance

TSE (Technische Sicherheitseinrichtung)

Definition

Die TSE (Technische Sicherheitseinrichtung) signiert jeden Kassenvorgang mit einer eindeutigen Transaktionsnummer und einem Zeitstempel. Diese Signatur lässt sich vom Finanzamt prüfen und macht nachträgliche Änderungen am Datenbestand erkennbar. Ohne TSE darf in Deutschland keine elektronische Kasse betrieben werden.

Eine TSE besteht aus drei Komponenten. Erstens einem Sicherheitsmodul, das die Signatur erzeugt. Zweitens einem Speichermedium für die signierten Daten. Drittens einer einheitlichen digitalen Schnittstelle für die Finanzverwaltung. Die Zertifizierung übernimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die rechtliche Grundlage ist § 146a der Abgabenordnung in Verbindung mit der Kassensicherungsverordnung.

Die TSE schützt den Fiskus vor klassischen Manipulationsformen wie nachträglicher Stornierung, Zapper-Software oder Phantomware. Sie schützt aber auch den Betreiber. Bei einer Steuerprüfung ist eine durchgehende TSE-Signaturkette das stärkste Argument für die Ordnungsmäßigkeit deiner Buchführung. Fehlt sie, kann das Finanzamt die Bücher verwerfen und die Umsätze schätzen. Diese Schätzung fällt regelmäßig deutlich höher aus als der tatsächliche Umsatz.

Wie eine TSE-Signatur entsteht

Bei jedem Kassiervorgang sendet das Kassensystem den Verkaufsdatensatz an die TSE. Diese fügt eine fortlaufende Transaktionsnummer, einen exakten Zeitstempel aus einer gesicherten Zeitquelle und einen kryptografischen Hash hinzu. Der Hash basiert auf dem aktuellen Datensatz und auf der Signatur des vorhergehenden Vorgangs. So entsteht eine Signaturkette, in der nachträgliche Änderungen einzelner Datensätze sofort auffallen. Die TSE speichert die signierten Daten im eigenen Speicher und gibt sie parallel an das Kassensystem zurück.

Diese Architektur erklärt, warum eine Manipulation praktisch unmöglich ist. Wer einen einzelnen Verkauf nachträglich löscht oder ändert, bricht die Signaturkette. Bei einer DSFinV-K-Prüfung erkennt das Finanzamt den Bruch sofort. Korrekturen sind nur als sichtbare Storno-Buchung mit eigener Signatur zulässig.

Anforderungen im Detail

  • Zertifizierung durch das BSI. Nur TSE-Module, die nach Technischer Richtlinie TR-03153 zertifiziert sind, sind zulässig. Die Liste der zertifizierten Produkte führt das BSI öffentlich.
  • Meldung beim Finanzamt. Seit 1. Januar 2025 müssen Inbetriebnahme, Wechsel und Außerbetriebnahme einer Kasse mit TSE elektronisch an das Finanzamt gemeldet werden. Frist: ein Monat nach Anschaffung.
  • Belegausgabepflicht. Jeder Kassiervorgang muss einen Beleg erzeugen, der die TSE-Signatur enthält. Der Beleg kann gedruckt oder digital übergeben werden.
  • Unveränderbare Speicherung. Alle signierten Buchungen sind zehn Jahre aufzubewahren und müssen jederzeit lesbar sein. Ein Anbieterwechsel entbindet nicht von dieser Pflicht.
  • Schnittstelle für Kassen-Nachschau. Bei einer unangekündigten Prüfung muss der Datenbestand sofort an das Finanzamt übergeben werden können. Das Format ist die DSFinV-K.

Verantwortlichkeiten in Multi-Standort-Konzepten

In Ketten und Franchisesystemen ist die TSE-Verantwortung oft unklar verteilt. Wichtig zu wissen ist, dass die Pflicht beim Betreiber liegt, nicht beim Kassenanbieter. Der Anbieter liefert die Technik und meist auch die Cloud-TSE als Dienst. Die Pflicht zur Meldung beim Finanzamt, zur Dokumentation von Ausfällen und zur Aufbewahrung der Daten bleibt aber beim Betrieb. In Franchise-Konzepten gilt das pro Franchisenehmer. Eine zentrale Lösung des Franchisegebers entbindet den einzelnen Standort nicht. Verträge sollten daher klar regeln, wer welche Pflicht operativ übernimmt und wie der Zugriff bei einer Prüfung sichergestellt ist.

Praxisbeispiel

Eine Burger-Kette mit 14 Standorten in Nordrhein-Westfalen betreibt ein Cloud-Kassensystem mit Cloud-TSE. Jede Bestellung am POS löst automatisch eine Signatur in der TSE des Anbieters aus. Die Daten werden parallel im Kassensystem und im TSE-Speicher abgelegt.

Bei einer Kassen-Nachschau im Standort Köln verlangt das Finanzamt einen DSFinV-K-Export der letzten 90 Tage. Die Filialleiterin exportiert die Datei in unter zehn Minuten aus dem Backend des Kassenanbieters. Der Prüfer findet einen Tag mit einem TSE-Ausfall von 47 Minuten. Da der Ausfall dokumentiert und die Verkäufe nachgemeldet wurden, gibt es keine Beanstandung.

Hätte die Kette den Ausfall nicht dokumentiert, hätte das Finanzamt eine Schätzung für den fehlenden Zeitraum ansetzen können.

Hardware-TSE oder Cloud-TSE

Bei mehreren Standorten ist die Entscheidung zwischen Hardware- und Cloud-TSE strategisch. Hardware-TSE als USB-Stick oder SD-Karte ist günstig in der Anschaffung, muss aber pro Kasse einzeln gepflegt werden. Bei einem Defekt steht die Kasse still, bis Ersatz vor Ort ist. Die Zertifikate haben eine begrenzte Laufzeit von typisch fünf Jahren. Danach ist ein physischer Tausch nötig.

Cloud-TSE läuft beim Anbieter und signiert Buchungen über eine Schnittstelle. Vorteil: zentrale Wartung, automatische Zertifikatsverlängerung und keine Hardware-Logistik. Nachteil: bei einem Internet-Ausfall steht die Kasse, sofern keine Offline-Fallback-Logik konfiguriert ist. Gute Cloud-TSE-Lösungen puffern offline und signieren nach Wiederherstellung nach. Für Ketten mit 5+ Standorten ist Cloud-TSE meist günstiger und wartungsärmer.

Häufige Fehler

  • TSE-Zertifikat läuft ab und niemand erneuert es rechtzeitig. Buchungen ab Ablauf sind unzulässig.
  • TSE-Ausfall wird nicht dokumentiert. Bei einer späteren Prüfung fehlen Belege für die betroffene Zeitspanne.
  • Beim Standortwechsel werden Altdaten beim alten Kassenanbieter gelassen. Die Aufbewahrungspflicht von zehn Jahren bleibt beim Betreiber.
  • DSFinV-K-Exportformat wurde nie getestet. Im Prüfungsfall lässt sich die Datei nicht spontan erzeugen (siehe GoBD-konforme Inventur).
  • Meldung der Kassen seit 1. Januar 2025 wird mit der TSE-Installation verwechselt. Beides sind getrennte Pflichten.

So unterstützt Heptic

Heptic ist selbst keine Kasse und keine TSE. Heptic Integrationen verbindet dein bestehendes Kassensystem mit Heptic, sodass alle TSE-signierten Buchungen automatisch in Heptic Intelligence einfließen. So nutzt du deine Compliance-Daten gleichzeitig für Auswertungen wie Stundenumsatz, Deckungsbeitrag und Tagesabschluss. Die TSE selbst bleibt beim zertifizierten Kassenanbieter.

Was die TSE nicht leistet

Die TSE sichert nur den Kassendatenbestand. Sie ist keine Buchhaltung, keine Inventur und keine Warenwirtschaft. Wer die TSE installiert hat, ist nicht automatisch GoBD-konform aufgestellt. Lagerbewegungen, Inventurdifferenzen und Bestellprozesse fallen unter die normalen GoBD-Regeln, nicht unter die TSE. Auch die Belegausgabepflicht ist eine eigene Pflicht, die zwar von der TSE flankiert wird, aber organisatorisch sichergestellt werden muss. Wer beim Aufbau einer Multi-Standort-Architektur nur an die TSE denkt, lässt regelmäßig wichtige Bereiche ungesichert.

Häufige Fragen

Diese Information ersetzt keine Rechtsberatung. Sprich für individuelle Fälle mit deinem Steuerberater oder Anwalt. Für Österreich gilt nicht die TSE, sondern die RKSV (eigener Glossar-Eintrag folgt). Rechtsgrundlagen DE: § 146a AO, Kassensicherungsverordnung, BSI TR-03153.

Häufige Fragen

Ist eine TSE für jede Gastronomie Pflicht?
Ja. In Deutschland ist seit dem 1. Januar 2020 jede elektronische Kasse mit einer zertifizierten TSE auszustatten. Grundlage ist § 146a der Abgabenordnung und die Kassensicherungsverordnung. Eine Übergangsfrist endete am 31. März 2021. Offene Ladenkassen ohne elektronische Aufzeichnung sind weiterhin erlaubt.
Wie unterscheiden sich Hardware-TSE und Cloud-TSE?
Eine Hardware-TSE ist ein physisches Modul im Kassensystem, meist als USB-Stick oder SD-Karte. Eine Cloud-TSE läuft als Dienst beim Anbieter und signiert Buchungen per Schnittstelle. Beide Varianten sind vom BSI zertifiziert. Cloud-TSE ist bei mehreren Standorten meist günstiger und einfacher zu warten.
Was passiert ohne funktionierende TSE?
Verkäufe dürfen nicht aufgezeichnet werden. Bei einem Ausfall musst du den Vorfall dokumentieren, die zuständige Behörde informieren und die Verkäufe nachträglich melden. Wer ohne TSE bucht oder Manipulationen vornimmt, riskiert Steuerstrafverfahren und Schätzungen durch das Finanzamt.
Wie lange sind TSE-Daten aufzubewahren?
Zehn Jahre. Die signierten Aufzeichnungen müssen über die gesamte gesetzliche Aufbewahrungsfrist nach § 147 AO unveränderbar lesbar bleiben. Auch nach einem Anbieterwechsel oder Geschäftsverkauf muss der Zugriff sichergestellt sein.

Zuletzt aktualisiert: Mai 2026

Demo buchenHeptic Integrationen ansehen

Verwandte Begriffe

Heptic ausprobieren

Bereit für ein Betriebssystem statt Excel?

30 Minuten Demo. Wir zeigen dir Heptic an deinen Zahlen.

Demo buchenWeitere Begriffe

30 Minuten · Keine Sales-Show · 60 Tage Garantie