Zapper (Software)

Zapper ist ein Begriff für Software, die in Buchführungssystemen, Warenwirtschaftssystemen und vor allem Registrierkassen, Taxametern und Geldspielautomaten gespeicherte Transaktions- und Umsatzdaten nachträglich verändert. Generell unterlaufen Zapper die Grundsätze ordnungsgemäßer Datensicherheit nach dem Stand der Technik. Jedes System von Hardware und Software, welches durch Zapper manipuliert werden kann, ist ein unsicheres System. Das betrifft insbesondere die Gefährdungen entgegen den Anforderungen gemäß ISO/IEC 27001 (Information technology – Security techniques – Information security management systems – Requirements).

Die Manipulation wird zur Umsatzverkürzung und damit zur Steuerhinterziehung und Hinterziehung von Sozialabgaben vorgenommen. Der Ausdruck Zapper wurde erstmals von Richard Ainsworth verwendet.^[1]

Hintergrund und Geschichte

In Branchen mit hohem Anteil von Barumsätzen werden vielfach Umsatzzahlen manipuliert. Das geschieht z. B. durch eine Veränderung von Daten in Registrierkassen. Der Bundesrechnungshof hat bereits in seinen Bemerkungen 2003 zur Haushalts- und Wirtschaftsführung des Bundes darauf hingewiesen, dass die (damals) neue Generation von Registrierkassen nicht den Anforderungen an eine ordnungsgemäße Buchführung entspreche.^[2] Sofern die Berichte der Registrierkassen lediglich Summenwerte (z. B. Gesamtumsätze pro Tag) beinhalten, sind diese Manipulationen relativ einfach vorzunehmen (z. B. durch Stornierungen). Die Finanzbehörden verlangen aus diesem Grund die Vorlage von Einzeltransaktionen in elektronischer Form (in Deutschland durch eine Anwendung der Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) auch auf Registrierkassen).^[3]

Da Manipulationen von Hand aufwendig sind und durch Analysemethoden (z. B. Ziffernanalysen wie den Benford- oder Chi-Quadrat-Test und durch Abweichungen von statistisch zu erwartenden Verteilungen) relativ leicht entdeckt werden können, wurde Software zur automatisierten Manipulation von Daten entwickelt.

Es sind verschiedene Fälle von Zapper-Software bekannt geworden. Dabei stammte die Software teilweise vom Hersteller der Registrierkassen bzw. deren Software, teilweise wurde sie von Dritten entwickelt. Der größte Fall in Deutschland betrifft Apothekensoftware.^[4] Ein Pressebericht^[5] spricht davon, dass alleine in der kanadischen Provinz Quebec 31 Zapper-Programme auf 13 verschiedenen Registrierkassentypen gefunden wurden. Die Problemstellungen, Lösungsansätze und vor allem die hohen Steuerausfälle – jedoch nur für die Umsatzsteuer – werden in dem auch in deutscher Sprache abrufbaren OECD-Bericht umfassend dargestellt.^[6]

Von Zapper-Software wird nur gesprochen, wenn komplexe Manipulationen eines Datenbestandes weitgehend automatisch vorgenommen werden und die Software temporär in das System geladen wird (z. B. von einem USB-Stick). Systeme, bei denen z. B. durch Parameteränderungen ein Zähler der Stornierungen im Ausdruck weggelassen wird oder ein Trainingsmodus für die reguläre Arbeit genutzt wird bzw. fest eingebaute Manipulationsfunktionen, gehören nicht in die Kategorie der Zapper-Software.

In der Rechtsprechung^[7] und Literatur^[8][9] wird vor allem der Begriff Manipulationssoftware verwendet. In Presseartikeln wurde auch verniedlichend von Schummelsoftware gesprochen.

Technik

Bei PC-gestützten Registrierkassen wird die verwendete Datenbank meistens direkt verändert, bei nicht-PC-basierten Systemen wird z. B. der Datenbestand einer PC-Auswertungssoftware manipuliert. Die Zapper-Software kann in das Produkt integriert, oder zur Tarnung davon getrennt sein. Sie ist teilweise auch als Spiel getarnt worden, bei dem in der höchsten Spielstufe plötzlich die Manipulationsfunktionen benutzbar sind.

Zwei in der Fachliteratur dokumentierte Beispiele:

• Zapper bei einer PC-Kasse (offenes System):^[10] In diesem System wird eine SQL-Datenbank verwendet. Mit einem separaten Programm kann diese Datenbank verändert werden. Das Programm ist auf den ersten Blick eine Software zur Analyse der Verkaufsdaten. Durch einen Mausklick auf einen angezeigten Mengenwert kann die Verkaufsstückzahl des entsprechenden Produktes auf einen frei bestimmbaren Wert reduziert werden. Dafür werden die Veränderungen der Verkaufsmengen über mehrere Transaktionen, die das entsprechende Produkt enthalten, verteilt. Während der Manipulation wird eine Übersicht der ursprünglichen und der veränderten Umsätze angezeigt. Aus der veränderten Datenbank erstellt die Kassensoftware dann später die Berichte und die bei einer Außenprüfung vorzulegenden Daten.

• Zapper bei einem proprietären (geschlossenen) System:^[11] In diesem System werden die Daten aus der Kasse täglich in eine Backoffice-Software übernommen. Der Zapper ist Bestandteil dieser Software und wird durch einen USB-Stick mit einer bestimmten Datei aktiviert. Durch einen Mausklick in einen bestimmten, nicht ersichtlichen Bereich wird die Zapperfunktion aufgerufen. Nach der Vorgabe eines zu verkürzenden Geldbetrags erfolgt eine automatische Anpassung der gespeicherten Transaktionen, um den Zielwert zu erreichen.

Maßnahmen zur Verhinderung und Aufdeckung von Manipulationen

Technische Sicherungen

Der Einsatz von Zapper-Software lässt sich durch technische Maßnahmen erschweren oder auch praktisch unmöglich machen. Dabei handelt es sich vor allem um Fiskalspeicher-Systeme oder neuere Verfahren wie INSIKA. Die Stadt Hamburg fördert sogar die Anschaffung und den Einbau von Geräten, die geeignet sind, im Taxameter erzeugte Daten unveränderbar zu sichern und auf externe Speichermedien zu übertragen.^[12]

Überwachungsmaßnahmen

Wenn keine technischen Gegenmaßnahmen vorhanden sind, bleibt nur der Ansatz, Zapper durch die Analyse von Umsatzdaten im Rahmen von Außenprüfungen zu entdecken. Die übliche elektronische Betriebsprüfung muss dabei durch andere Kontrollen ergänzt werden, um die Verwendung eines Zappers zu erkennen. Das kann zum einen die stichprobenartige Kontrolle der Belege sein. Ein anderer Ansatz ist die Aufforderung zur Vorlage diverser Daten (Verkaufsdatei bestehend aus der Kassenzeile, den Einzeldaten und der Bewegungsdatei aus dem Warenwirtschaftssystem).

Einsatz von Sachverständigen

In konkreten Verdachtsfällen wird eine forensische Untersuchung erfolgen. Im Bedarfsfall schaltet die Steuerfahndung dafür Sachverständige ein.

Rechtliche Situation in Deutschland

Betroffene Strafrechtsnormen

• Steuerhinterziehung gem. § 370 AO
• Vorenthaltung von Sozialversicherungsbeiträgen
• Beweismittelunterdrückung gem. § 274 StGB^[13]
• Fälschung technischer Aufzeichnungen

Berufsrecht

• Gewerbeuntersagung wegen Unzuverlässigkeit nach § 35 GewO
• Widerruf der Taxenkonzession nach PBefG
• Widerruf der Approbation bei Apothekern und Ärzten

Anwender

Da die Verwendung einer Zapper-Software eine Steuerhinterziehung vermuten lässt, muss jeder Anwender mit entsprechenden Prüfungsmaßnahmen rechnen. Durch die Verwendung eines Zappers ist die Ordnungsmäßigkeit der Buchführung gem. § 158 AO widerlegt und damit besteht die Möglichkeit zur Hinzuschätzung gem. § 162 AO. Auch der Entzug einer Gewerbeerlaubnis oder Konzession aufgrund steuerlicher Unzuverlässigkeit ist möglich.^[14]

Entwickler, Vertreiber und Aufsteller

Die Entwicklung, der Vertrieb und die Installation von Zapper-Software erfüllt den Tatbestand der Beihilfe zur Steuerhinterziehung. Auch der Techniker, der vor Ort einen Zapper installiert, macht sich selbst der Beihilfe zur Steuerhinterziehung strafbar. Dabei ist zu beachten, dass diese Beihilfe nicht nur strafbar ist, sondern nach § 71 AO auch zu einer Mithaftung für die hinterzogenen Steuern und darauf entstehende Zinsen führt. So wurde in einem Beschluss des Finanzgerichts Rheinland-Pfalz am 7. Januar 2015, Az. 5 V 2068/14, ein entsprechender Bescheid gegen den Urheber einer Zapper-Software bestätigt.^[15] Die Haftungssumme von 1,6 Millionen Euro entstand bei nur einen einzigen Abnehmer – einer Eisdiele. Eine Haftung für weitere Fälle und eine strafrechtliche Verfolgung sind dadurch nicht ausgeschlossen.

Steuerberater

Weiß ein Steuerberater oder der den konkreten Mandanten bearbeitende Sachbearbeiter im Steuerbüro, dass der Mandant einen Zapper benutzt, so darf er die so bearbeiteten Besteuerungsgrundlagen nicht mit seiner Autorität versehen und als Steuererklärung einreichen. Das löst die eigene Strafbarkeit gem. § 370 AO des Steuerberaters und/oder des Fachgehilfen aus, da ein Steuerhinterzieher nicht der Steuerschuldner sein muss. Zudem greift die steuerliche Haftung gem. § 71 AO ein, wenn der Mandant die Steuerschulden nicht zahlen kann oder will und eine Vollstreckung durch das Finanzamt z. B. wegen Insolvenz erfolglos bleibt.

Folgen

Steuerausfall

Es gibt für Deutschland keine Schätzungen, in welchem Umfang Steuerausfälle durch Manipulationssoftware eintreten. Eine Schätzung der Finanzbehörde von Québec geht von einer Steuerhinterziehung in Höhe von 425 Millionen Dollar nur in Restaurants und nur für die Provinz Québec (ca. 8 Millionen Einwohner) sowie noch einmal in vergleichbarer Höhe für die an den Staat Kanada abzuführenden Steuern aus^[16] – anhand der Einwohnerzahl auf Deutschland übertragen würde das mehr als 6 Milliarden Euro entsprechen.

Da aufgrund des BMF-Schreibens vom 26. November 2010 Einzeltransaktionen zu archivieren sind, ist von einem steigenden Anteil der Steuerverkürzungen, die mittels Manipulationssoftware vorgenommen werden, auszugehen. Der Aufwand, per Betriebsprüfung und Steuerfahndung die Hinterziehung aufzudecken, die richtigen Steuern zu schätzen und die Beteiligten strafrechtlich zu verfolgen, wird daher ebenfalls steigen. Unter den Aspekten des Bürokratieabbaus und der Steuergerechtigkeit erscheint aus rechtspolitischer Sicht daher ein systematischer Manipulationsschutz durch Verfahren wie INSIKA als einzig praktikable Lösung.

Generalverdacht

Nach der Aufdeckung von Zapper-Software konzentrieren sich die Finanzbehörden bei Betriebsprüfungen regelmäßig auf alle Anwender der betroffenen Registrierkassen bzw. Softwarelösungen oder sogar auf ganze Branchen (wie z. B. seit dem Jahr 2010 auf Apotheken).^[17]

Aufgedeckte Fälle

Auswahl von Fällen, über die nachprüfbar öffentlich berichtet wurde. Als Jahr ist jeweils das Jahr der Aufdeckung angegeben. Aufgrund der teilweise oberflächlichen Informationen ist nicht immer eindeutig klar, ob es sich um Zapper im engeren Sinn oder eine andere Art der Datenmanipulation handelt.

• 1993: Einzelhandel, USA – erster dokumentierter Zapper^[18]
• 1998: Geldspielautomaten, Deutschland – in der Funktion offenbar ausgefeilte Lösung^[19]
• 2001: Taxibranche, Deutschland (Hamburg) – Software mit Manipulationsfunktionen seit 1993 im Einsatz^[20]
• 2001: Diskotheken, Deutschland – technisch wenig aufwendige Manipulation von Gesamtumsätzen (demnach eigentlich kein echter Zapper), mehrere Hundert Anwender^[21]
• 2005: Gastronomie, Schweden – Manipulation in der Auswertungssoftware, die der Kasse nachgeschaltet ist^[22]
• 2006: Gastronomie, USA – komplexe Manipulationssoftware^[23]
• 2008: Gastronomie, Kanada – Zapper vom Hersteller der Kassensoftware, dieser wurde ebenfalls verurteilt^[24][25]
• 2009: Gastronomie, Belgien – offenbar ausgefeilte automatische Manipulation^[26]
• 2010: Gastronomie, Niederlande – Manipulation von Daten einer PC-basierten Registrierkasse^[27]
• 2011: Gastronomie, Deutschland – genauere Details nicht bekannt^[28]
• 2011: Apotheken, Deutschland – sehr aufwendige Lösung, die auch Lagerdaten manipuliert, potenziell Tausende von Nutzern^[4]
• 2012: Gastronomie, Frankreich – Details nicht bekannt, potenziell Tausende von Nutzern^[29]
• 2012: Gastronomie, Österreich – Manipulation von Daten einer verbreiteten PC-basierten Registrierkasse, weitere Details nicht bekannt^[10]
• 2012: Gastronomie, Deutschland – Zapper als Computerspiel getarnt,^[30] Lieferant der Zapper-Software wurde für hinterzogene Steuern in Haftung genommen^[15]
• 2013: Gastronomie, Belgien – Manipulationstechnik bisher nicht genau beschrieben^[31]
• 2013: Gastronomie, Frankreich – Manipulationssoftware auf USB-Sticks^[32]
• 2014: Eisdiele, Deutschland – Zapper als Spiel auf PC getarnt^[33]
• 2017: Gastronomie, Deutschland – größere Anzahl von Nutzern^[34]
• 2019: Gastronomie, Deutschland – etwa 1.000 Nutzer^[35]

Steuerpolitik

NRW-Finanzminister Walter-Borjans hat den Manipulationen durch Zapper-Software den Kampf angesagt und verlangt gesetzliche Änderungen. Öffentlich angekündigt wurde das in einer Pressekonferenz am 3. April 2014.^[30]

Literatur

• Erich Huber: Über Registrierkassen, Phantom-ware, Zapping und Fiskallösungen aus Deutschland und Österreich. In: Die steuerliche Betriebsprüfung. 06 bis 12, 2009.
• Erich Huber: ÖStZ Spezial – Registrierkassen und Kassensysteme im Steuerrecht. LexisNexis Österreich, 2012.
• Daniel Schönwitz: Zapper, Schlepper, Bauernfänger. In: impulse. Nr. 11, 2012.
• Fiese Tricks mit umsatzsenkenden Mitteln. In: Financial Times Deutschland. 7. November 2012, archiviert vom Original am 15. Juni 2013; abgerufen am 19. November 2012.
• Richard T. Ainsworth: Zappers - What’s Coming New Fraud & New Enforcement. (PDF; 1,2 MB) Southeastern Association of Tax Administrators, 23. Juli 2012, abgerufen am 5. Dezember 2012.
• Umsatzverkürzung mittels elektronischer Kassensysteme: Eine Bedrohung für die Steuereinnahmen. (PDF; 3,1 MB) OECD, 18. Februar 2013, abgerufen am 27. Juni 2013.