§ 21. Sachverständige Begutachtung geschlossener Gesamtsysteme

(1) Im Rahmen der Begutachtung geschlossener Gesamtsysteme sind insbesondere folgende Überprüfungen vorzunehmen:

1. das Vorliegen eines geschlossenen Gesamtsystems,

2. das Vorliegen der technischen und organisatorischen Voraussetzungen für die Manipulationssicherheit des geschlossenen Gesamtsystems.

(2) Im Gutachten sind insbesondere alle für den Betrieb der Sicherheitseinrichtung des geschlossenen Gesamtsystems gemäß § 20 Abs. 1 erforderlichen Softwarekomponenten anzugeben und Prüfberichte für diese Komponenten anzuschließen. Die Softwarekomponenten sind mit der mathematischen Hashfunktion Secure Hash Algorithm (SHA-256) mit einem Startwert, der Null (0000 0000 0000 0000) entspricht, für eine spätere Verifikation zu signieren. Aus den Prüfberichten muss nachvollziehbar hervorgehen, wie die einzelnen Komponenten geprüft wurden. Die Manipulationssicherheit und sicherheitstechnische Gleichwertigkeit mit einer Signatur- bzw. Siegelerstellungseinheit sind zu bestätigen. Dem Gutachten sind ein Organigramm mit allen Hard- und Softwarekomponenten und Datenspeicher des geschlossenen Gesamtsystems sowie ein Überblick über die automatisch ablaufenden Verarbeitungsprozesse anzuschließen.

(3) Das Gutachten hat darüber hinaus Angaben darüber zu enthalten, welche organisatorischen Maßnahmen zur laufenden Überprüfung der Manipulationssicherheit vorgesehen sind. Dabei ist insbesondere darzulegen, welche betrieblichen Funktionen in der Organisationsstruktur des Unternehmens mit welchen Zugriffs- und Eingriffsrechten, die Veränderungen am Gesamtsystem herbeiführen können, ausgestattet sind, dass die Zugriffe protokolliert werden und durch welche Maßnahmen die Manipulationssicherheit des geschlossenen Systems laufend kontrolliert wird. Zudem ist darzulegen, wie im Falle eines Ausfalles des Systems die Einzelaufzeichnungspflicht, die Sicherung der Kassenumsätze und die Belegerteilung rechtskonform gewährleistet werden (Ausfallplan).

(4) Im Gutachten ist zu beurteilen, ob das geschlossene Gesamtsystem den Anforderungen des § 20 Abs. 1 und 2 entspricht und ob die technischen und organisatorischen Sicherungsmaßnahmen des Abs. 2 und 3 erfüllt werden.

(5) Verwenden mehrere Unternehmer, die durch ein vertikales Vertriebsbindungssystem oder durch ein Waren- oder Dienstleistungsfranchising wirtschaftlich verbunden oder die Teil eines Konzerns im Sinne des § 244 UGB sind, gemeinsam ein geschlossenes Gesamtsystem mit insgesamt mehr als 30 Registrierkassen und beurteilt das Gutachten die Manipulationssicherheit dieses Systems für diese Unternehmer, so kann dieses Gutachten von mehreren Unternehmern ihrem Antrag auf Erlassung eines Feststellungsbescheides zugrunde gelegt werden. Für alle Verwender des geschlossenen Gesamtsystems ist Abs. 3 sinngemäß anzuwenden. Lieferungen und sonstige Leistungen, die außerhalb des geschlossenen Gesamtsystems im betreffenden Betrieb erfolgen, sind von der Wirksamkeit des Feststellungsbescheides nicht umfasst.

(6) Mit der Erstellung solcher Gutachten dürfen nur gerichtlich beeidete Sachverständige beauftragt werden. Die Vollständigkeit der sicherheitsrelevanten Überprüfungen im Gutachten ist durch eine Bestätigungsstelle gemäß Art. 30 eIDAS-VO zu bescheinigen.

(7) Die Kosten für die Erstellung der Gutachten trägt der Unternehmer.

Dieses Dokument entstammt dem Rechtsinformationssystem des Bundes.