Was enthält der QR-Code auf RKSV-Belegen?

Der QR-Code enthält die Kassenidentifikation, Datum/Uhrzeit, Beträge nach Steuersätzen (20%, 13%, 10%, 0%), den verschlüsselten Umsatzzähler und die digitale Signatur. Format: _R1-AT0_ gefolgt von den Datenfeldern.

Welche Verschlüsselung verwendet die RKSV?

Die RKSV 2017 schreibt AES-256 Verschlüsselung für den Umsatzzähler vor. Die Signatur erfolgt über ECDSA mit SHA-256. Die Signaturerstellungseinheit muss von A-Trust zertifiziert sein.

Was ist ein Nullbeleg und wann brauche ich ihn?

Ein Nullbeleg (Startbeleg) ist der erste signierte Beleg mit €0 Umsatz. Er wird bei Inbetriebnahme der Kasse, bei Jahreswechsel (Monatsbeleg) und nach Ausfall der Signatureinheit benötigt.

Wie kann ich die Signatur eines Belegs prüfen?

Mit der kostenlosen BMF Belegcheck-App können Sie den QR-Code scannen und die Signatur prüfen. Die App zeigt an, ob der Beleg korrekt signiert ist und die Signaturkette intakt ist.

Was ist die Signaturkette und warum ist sie wichtig?

Jeder Beleg enthält einen Hash des vorherigen Belegs. Dadurch entsteht eine Kette, die nachträgliche Manipulation erkennbar macht. Fehlt ein Beleg, ist die Kette gebrochen und dies fällt bei Prüfungen sofort auf.

Was ist das DEP (Datenerfassungsprotokoll)?

Das DEP ist das revisionssichere Protokoll aller Kassenumsätze. Es enthält alle Belege, Stornos, Signaturketten und muss 7 Jahre aufbewahrt werden. Bei Betriebsprüfungen muss es exportierbar sein.

RKSV Kassensystem & Signatur

RKSV Signatur & QR-Code Details

💬

Hallo, ich bin Sophie! 👋 Die Registrierkassensicherheitsverordnung (RKSV) 2017 definiert strenge technische Anforderungen an die digitale Signatur und den QR-Code auf Kassenbelegen. Diese Seite erklärt die technischen Details für fortgeschrittene Anwender und Entwickler.

🔐

Technische Tiefe: Diese Dokumentation richtet sich an technisch interessierte Anwender und Entwickler. Für die grundlegenden RKSV-Pflichten siehe Registrierkasse (RKSV).

Auf einen Blick: Technische Spezifikationen

Komponente	Spezifikation	Standard
Verschlüsselung	AES-256-CBC	BMF-AV Nr. 49/2016
Signatur-Algorithmus	ECDSA mit SHA-256	RKSV §5
Zertifizierungsstelle	A-Trust	Einziger zugelassener Anbieter
QR-Code Version	R1-AT0	RKSV §9
Aufbewahrung	7 Jahre (revisionssicher)	BAO §132

Der QR-Code im Detail

Jeder RKSV-konforme Beleg muss einen maschinenlesbaren QR-Code enthalten, der alle relevanten Daten verschlüsselt und signiert enthält.

QR-Code Format (RKSV §9)

Der QR-Code enthält einen String im folgenden Format:


_R1-AT0_[Kassen-ID]_[Beleg-Nr]_[Datum/Zeit]_[Betrag20%]_[Betrag13%]_[Betrag10%]_[Betrag0%]_[EncUmsatz]_[ZertSerial]_[SigPrev]_[Signatur]

Feldübersicht

Feld	Beschreibung	Beispiel
Präfix	Algorithmus-Kennung	`_R1-AT0_`
Kassen-ID	Eindeutige Kassenidentifikation	`KASSE001`
Beleg-Nr	Fortlaufende Belegnummer	`0001234`
Datum/Zeit	Belegzeitpunkt (DD.MM.YYYY HH:MM:SS)	`10.01.2026 14:35:22`
Betrag20 %	Umsatz Normalsteuersatz	`15,80`
Betrag13 %	Umsatz ermäßigt	`0,00`
Betrag10 %	Umsatz stark ermäßigt	`6,70`
Betrag0 %	Umsatz steuerfrei	`0,00`
EncUmsatz	Verschlüsselter Umsatzzähler (Base64)	`A1B2C3D4...`
ZertSerial	Zertifikats-Seriennummer	`1234567890`
SigPrev	Hash des Vorbelegs (Base64)	`X9Y8Z7...`
Signatur	ECDSA-Signatur (Base64)	`M1N2O3P4...`

Beispiel QR-Code Inhalt


_R1-AT0_KASSE001_0001234_10.01.2026 14:35:22_15,80_0,00_6,70_0,00_
A1B2C3D4E5F6G7H8_1234567890_X9Y8Z7W6V5U4_M1N2O3P4Q5R6S7T8

💡

Sophie’s Tipp: Die Beträge im QR-Code sind immer Brutto-Beträge in Euro mit Komma als Dezimalzeichen. Die USt ist bereits enthalten.

Verschlüsselung: AES-256-CBC

Die RKSV schreibt die Verschlüsselung des Umsatzzählers vor, um Manipulation zu verhindern:

Technische Details

Parameter	Wert	Erklärung
Algorithmus	AES-256-CBC	Advanced Encryption Standard, 256-bit
Schlüssellänge	256 Bit (32 Byte)	Höchste AES-Sicherheitsstufe
IV-Länge	128 Bit (16 Byte)	Initialisierungsvektor
Padding	PKCS7	Standard-Padding
Output	Base64-kodiert	Für QR-Code-Kompatibilität

Warum AES-256-CBC?

🔒

Die BMF-AV Nr. 49/2016 spezifiziert “AES-256 Verschlüsselung” ohne zwingenden Cipher-Modus. AES-256-CBC mit HMAC-SHA256 (Encrypt-then-MAC) bietet:

256-bit Authentifizierung (stärker als GCM’s 128-bit Tag)
Keine Entschlüsselung in Produktion - CBC Padding Oracle nicht relevant
BMF-Validierung akzeptiert CBC-verschlüsselte Signaturen

Der Umsatzzähler

Der Umsatzzähler ist ein kumulativer Wert aller Umsätze seit Inbetriebnahme:


Beleg #0001: Umsatz €15,80 → Zähler: €15,80
Beleg #0002: Umsatz €22,50 → Zähler: €38,30
Beleg #0003: Storno -€5,00 → Zähler: €33,30
Beleg #0004: Umsatz €10,00 → Zähler: €43,30
...

Dieser Zähler wird mit dem AES-256-Schlüssel verschlüsselt und im QR-Code als Base64 eingebettet.

Die Signaturkette (Chain of Trust)

Die Signaturkette ist das Herzstück der RKSV-Sicherheit:

Funktionsweise

Erster Beleg (Nullbeleg)

Der Startbeleg hat keinen Vorbeleg. Als SigPrev wird ein definierter Startwert verwendet.


Beleg #0000 (Nullbeleg)
├── SigPrev: "START" (oder leerer String)
├── Daten: €0,00 in allen Steuersätzen
└── Signatur: HMAC-SHA256(Daten + "START", MasterKey)

Folgebelege

Jeder Folgebeleg enthält den Hash des Vorbelegs:


Beleg #0001
├── SigPrev: Hash(Signatur von Beleg #0000)
├── Daten: Kassenbelegnummer, Beträge, Zeitstempel
└── Signatur: HMAC-SHA256(Daten + SigPrev, MasterKey)

Kettenintegrität

Durch die Verkettung ist jede Manipulation erkennbar:


[Beleg 0] → [Beleg 1] → [Beleg 2] → [Beleg 3] → ...
     ↑           ↑           ↑           ↑
   Start      Hash(0)     Hash(1)     Hash(2)

🚨

Kritisch: Wird ein Beleg in der Kette gelöscht oder manipuliert, stimmt der Hash nicht mehr und die Kette ist gebrochen. Dies wird bei jeder Prüfung sofort erkannt!

Prüfung der Signaturkette

Bei einer Betriebsprüfung wird die gesamte Kette validiert:

Prüfung	Erwartet	Bei Fehler
Lückenlose Belegnummern	0001, 0002, 0003…	Manipulation vermutet
Hash-Verkettung	Jeder `SigPrev` = Hash(Vorgänger)	Kette gebrochen
Signaturvalidierung	Gültige A-Trust-Signatur	Ungültiger Beleg
Zeitstempel-Plausibilität	Chronologisch aufsteigend	Manipulation vermutet

Der Nullbeleg (Startbeleg)

Der Nullbeleg ist der erste signierte Beleg einer Registrierkasse:

Wann ist ein Nullbeleg erforderlich?

Anlass	Pflicht	Frist
Inbetriebnahme	Ja	Innerhalb 1 Woche bei FinanzOnline® melden
Jahreswechsel	Ja (Monatsbeleg)	Erster Beleg im neuen Jahr
Ausfall Signatureinheit	Ja	Nach Reparatur/Ersatz
Softwareupdate	Nein (wenn Kette intakt)	-

Inhalt des Nullbelegs


Nullbeleg (Startbeleg)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Kassen-ID:     KASSE001
Beleg-Nr:      KASSE001-NULL-20260101
Zeitstempel:   01.01.2026 00:00:00
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Betrag 20%:    €0,00
Betrag 13%:    €0,00
Betrag 10%:    €0,00
Betrag 0%:     €0,00
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Umsatzzähler:  €0,00 (Zurückgesetzt)
Vorgänger:     START (Kette beginnt)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 [QR-CODE mit vollständiger Signatur]
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

💡

Sophie’s Tipp: Der Nullbeleg muss innerhalb einer Woche bei FinanzOnline registriert werden (RKSV §7). Viele Kassensysteme machen dies automatisch.

BMF Belegcheck-App

Das Bundesministerium für Finanzen stellt eine kostenlose App zur Belegprüfung bereit:

Funktionen der App

Funktion	Beschreibung
QR-Code Scan	Scannt den QR-Code auf dem Beleg
Signaturprüfung	Validiert die digitale Signatur
Kettenprüfung	Prüft Verlinkung zum Vorbeleg
Zeitstempel-Check	Überprüft Plausibilität
Ergebnisanzeige	Zeigt an ob Beleg korrekt

Download

iOS: App Store → “BMF Belegcheck”
Android: Google Play → “BMF Belegcheck”

📱

Für Kunden: Jeder Kunde kann mit der BMF-App prüfen, ob ein Beleg korrekt signiert ist. Bei Verdacht auf Manipulation kann das Finanzamt informiert werden.

Prüfergebnis

Die App zeigt eines von drei Ergebnissen:

Status	Bedeutung	Symbol
Gültig	Signatur korrekt, Beleg in Ordnung	✅
Ungültig	Signatur fehlerhaft oder manipuliert	❌
Nicht prüfbar	QR-Code beschädigt oder unlesbar	⚠️

Datenerfassungsprotokoll (DEP)

Das DEP ist das revisionssichere Protokoll aller Kassenumsätze:

Inhalte des DEP

Daten	Aufbewahrung	Format
Alle Einzelumsätze	7 Jahre	JSON/XML
Stornierungen	7 Jahre	Mit Begründung
Nullbelege	7 Jahre	Start/Monats/Jahresbelege
Signaturketten	7 Jahre	Vollständige Kette
Kassenabschlüsse	7 Jahre	Tagesabschlüsse

Export-Format (BMF-AV Nr. 49/2016)

Bei Betriebsprüfungen muss das DEP in einem standardisierten Format exportiert werden:


{
  "Belege-Gruppe": [
    {
      "Signaturzertifikat": "...",
      "Zertifizierungsstellen": ["A-Trust"],
      "Belege-kompakt": [
        {
          "Kassen-ID": "KASSE001",
          "Beleg-Nr": "0001234",
          "Zeitstempel": "2026-01-10T14:35:22",
          "Summe-Brutto": 22.50,
          "Satz-Normal": 15.80,
          "Satz-Ermaessigt-1": 0.00,
          "Satz-Ermaessigt-2": 6.70,
          "Satz-Null": 0.00,
          "Sig-Voriger": "X9Y8Z7...",
          "Signatur": "M1N2O3..."
        }
      ]
    }
  ]
}

A-Trust Signaturerstellungseinheit

A-Trust ist der einzige zugelassene Anbieter für RKSV-Signaturen in Österreich:

Varianten

Hardware-SEU

Hardware-Signatur (SEU)

Physische Signaturerstellungseinheit:

Merkmal	Details
Form	USB-Stick oder Smart Card
Schlüsselspeicher	Lokal im Gerät
Sicherheit	Höchste (physisch geschützt)
Kosten	ca. €50-100 einmalig + ca. €50/Jahr
Offline-Fähig	Ja

Merkmal	Details
Form	API-basiert (Cloud)
Schlüsselspeicher	A-Trust Rechenzentrum
Sicherheit	Hoch (HSM-geschützt)
Kosten	ca. €0,01-0,05 pro Signatur
Offline-Fähig	Nein (Internet erforderlich)

Merkmal	Details
Normal	Cloud-Signatur (günstiger)
Bei Ausfall	Lokale Signatur als Backup
Sicherheit	Hoch
Kosten	Variabel

Registrierung bei FinanzOnline

Die Signaturerstellungseinheit muss bei FinanzOnline registriert werden:

Signaturzertifikat erwerben

Bei A-Trust ein Signaturzertifikat für Registrierkassen erwerben.

Kasse bei FinanzOnline anmelden

Registrierkasse und Signaturerstellungseinheit über FinanzOnline anmelden.

Startbeleg erstellen

Nullbeleg (€0,00) mit der neuen Signatureinheit erstellen.

Startbeleg übermitteln

Startbeleg innerhalb einer Woche bei FinanzOnline registrieren.

Wann ist RKSV relevant? (Entscheidungshilfe)

🧾

Kurzcheck: RKSV ist relevant, wenn Sie Barumsätze haben. Reine Rechnungsgeschäfte (Überweisungen) sind nicht betroffen.

Schnelltest

Frage	JA	NEIN
Akzeptierst Sie Bargeld?	→ Weiter	→ Keine RKSV
Akzeptierst Sie Kartenzahlung vor Ort?	→ Weiter	→ Weiter
Barumsatz > €15.000/Jahr?	→ RKSV-Pflicht	→ Weiter
Gesamtumsatz > €7.500/Jahr?	→ Prüfen	→ Keine RKSV

Typische Fälle

Geschäftsmodell	RKSV-Pflicht?	Begründung
Online-Shop (nur Überweisung)	NEIN	Kein Barumsatz
Berater (nur Rechnung)	NEIN	Kein Barumsatz
Cafe/Restaurant	Meist JA	Hoher Barumsatz
Friseur	Oft JA	Viele Barzahlungen
Marktstand < €15.000	NEIN	Unter Grenze
Marktstand > €15.000	Kalte-Hände prüfen	Ausnahme möglich

Gesetzliche Grundlagen

Gesetz/Verordnung	Paragraph	Inhalt
RKSV 2017	§5	Signaturerstellungseinheit
RKSV 2017	§7	Startbeleg-Registrierung
RKSV 2017	§9	QR-Code Format
BMF-AV Nr. 49/2016	§ 4	Technische Umsetzung
BAO	§131a	Registrierkassenpflicht
BAO	§132	7-Jahre Aufbewahrung

Offizielle Quellen

⚠️

Rechtlicher Hinweis: Diese technische Dokumentation dient der Information und ersetzt keine individuelle Beratung. Bei Implementierungsfragen wende Sie an Ihren Kassensystemanbieter oder Steuerberater. Stand: Jänner 2026.

Weiterführende Themen

Wann brauchen Sie eine Registrierkasse?

Registrierkasse Grundlagen

Datenerfassungsprotokoll exportieren

DEP Export

7-Jahre Aufbewahrungspflicht

BAO §132 Aufbewahrung

20%, 13%, 10%, 0% - Wann welcher Satz?

UStG Steuersätze

Technische Fragen zur RKSV? Fragen Sie mich im Sophie AI Chat - ich erkläre auch komplexe Zusammenhänge verständlich!