Was die TSE ist, warum sie Pflicht ist, und wie sie in der Praxis funktioniert.
Die Technische Sicherheitseinrichtung (TSE) ist eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) nach TR-03153 zertifizierte Komponente, die in Deutschland seit dem 1. Januar 2020 für alle elektronischen Kassen Pflicht ist. Sie signiert jeden Kassenvorgang kryptographisch (ECDSA P-256) und macht damit nachträgliche Manipulation am Kassenbeleg unmöglich.
Vor 2020 konnten elektronische Kassen relativ einfach nachträglich manipuliert werden – insbesondere durch sogenannte „Zapper"-Software. Schätzungen des Bundesrechnungshofs gingen von Steuerausfällen in zweistelliger Milliardenhöhe pro Jahr aus. Die TSE löst dieses Problem, indem sie für jeden einzelnen Kassenvorgang eine kryptographische Signatur erzeugt, die später von der Finanzverwaltung jederzeit überprüft werden kann.
Rechtsgrundlage ist die Kassensicherungsverordnung (KassenSichV), die zusammen mit § 146a Abgabenordnung (AO) den Einsatz einer TSE vorschreibt.
Eine TSE besteht aus drei Komponenten: einem Sicherheitsmodul, einem Speichermedium und einer einheitlichen Schnittstelle. Bei jedem Verkauf läuft folgender Ablauf:
Die Signatur wird zusammen mit Transaktionsnummer, Zeitstempel und einer Seriennummer in einem QR-Code auf dem Kassenbeleg gedruckt. Der Käufer oder Prüfer kann den Beleg jederzeit mit einem TSE-Belegprüfer kontrollieren – BISpicy stellt dafür ein kostenloses Tool bereit, das ohne Server-Upload im Browser läuft.
Es gibt zwei zertifizierte Bauformen:
| Merkmal | Cloud-TSE | Hardware-TSE |
|---|---|---|
| Form | Cloud-Service eines zertifizierten Anbieters (z.B. Fiskaly) | USB-Stick oder microSD-Karte am Kassengerät |
| Internet erforderlich | Ja (mit Offline-Buffer für kurze Ausfälle) | Nein – funktioniert offline |
| Lebensdauer | Solange das Abonnement läuft | Hardware altert (typisch 3–5 Jahre) |
| Mehrere Kassen | Ein Cloud-TSE-Account für mehrere Kassen | Pro Kasse eine eigene Hardware nötig |
| Manipulationssicher | Ja, BSI-zertifiziert | Ja, BSI-zertifiziert |
| Wartungsaufwand | Niedrig (Provider übernimmt) | Höher (Hardware-Tausch, Backup) |
BISpicy POS verwendet die Cloud-TSE von Fiskaly, BSI-zertifiziert nach TR-03153. Vorteil: keine zusätzliche Hardware, automatische Updates, zentrale Verwaltung mehrerer Kassen über das BIS-Cloud-Konto.
Mit der TSE-Pflicht kam auch die Belegausgabepflicht: Seit 2020 muss jedem Kunden bei einer Bargeldzahlung ein Beleg angeboten werden – egal ob er ihn annimmt oder nicht. Der Beleg darf elektronisch (per QR-Code, E-Mail) oder auf Papier ausgegeben werden. BISpicy POS unterstützt beide Varianten.
Jeder Kunde – und jeder Prüfer – kann über den QR-Code auf dem Beleg dessen Echtheit kontrollieren. Mit dem kostenlosen TSE-Belegprüfer von BISpicy geht das im Browser, ohne dass Daten an einen Server gesendet werden. Das Tool prüft die ECDSA-P-256-Signatur direkt mit der WebCrypto API und funktioniert für jeden TSE-konformen Beleg, nicht nur für BISpicy-Belege.
BISpicy POS hat die TSE vollständig integriert. Beim Setup wird ein Fiskaly-Cloud-TSE-Account angelegt; ab dann läuft die Signatur jedes Belegs automatisch im Hintergrund. Bei Internet-Ausfall puffert die App Belege im Offline-Buffer und signiert sie nach, sobald die Verbindung wieder steht (alles weiterhin manipulationssicher dank Belegnummern-Lückenkette). Die Cloud-TSE-Lizenz ist im Monatspreis enthalten – keine zusätzlichen Gebühren.
Stand: April 2026. Diese Erklärung ersetzt keine steuerliche Beratung. Verbindlich sind die einschlägigen Gesetzes- und Verordnungstexte sowie BSI-Schutzprofil PP-CSP.