Warum Datenschutz bei Kassensystemen mehr bedeutet als nur Compliance
Wer ein Kassensystem Datenschutz-konform betreiben will, steht 2026 vor einem komplexen Anforderungsgefüge: Die Datenschutz-Grundverordnung (DSGVO), die Kassensicherungsverordnung (KassenSichV) und die GoBD-Richtlinien greifen ineinander und definieren gemeinsam, wie ein Kassensystem Kundendaten erfassen, verarbeiten und speichern darf. Fehler in diesem Bereich sind keine Kavaliersdelikte, sie können empfindliche Bußgelder und Reputationsschäden nach sich ziehen. Dieser Artikel erklärt strukturiert, welche Anforderungen gelten, wo typische Fallstricke liegen und welche Anbieter die relevanten Standards zuverlässig erfüllen.
Wenn Sie aktuell verschiedene Kassensysteme unter Datenschutz- und Compliance-Gesichtspunkten bewerten, lohnt ein direkter Anbietervergleich auf Basis Ihrer Betriebsgröße und Branche.
Datenschutz und DSGVO bei Kassensystemen: Was gilt seit 2018 und darüber hinaus
Die DSGVO ist seit Mai 2018 verbindlich und betrifft jedes Unternehmen, das personenbezogene Daten verarbeitet und das tun Kassensysteme in vielen Szenarien. Sobald ein System Kundennamen, E-Mail-Adressen, Kaufhistorien oder Zahlungsdaten speichert, greift das europäische Datenschutzrecht unmittelbar. Das gilt für Treueprogramme im Einzelhandel ebenso wie für Reservierungssysteme in der Gastronomie oder Kundenstammdaten bei Dienstleistern.
Im Kontext von Kassensystemen sind vor allem folgende DSGVO-Grundsätze relevant: Zweckbindung bedeutet, dass Daten nur für den definierten Zweck ihrer Erhebung genutzt werden dürfen. Datensparsamkeit schreibt vor, dass nur die Informationen erhoben werden, die tatsächlich notwendig sind. Speicherbegrenzung legt fest, dass Daten nicht länger als erforderlich vorgehalten werden dürfen. Und das Prinzip der Integrität und Vertraulichkeit verlangt technische und organisatorische Schutzmaßnahmen.
Für Kassensystembetreiber hat dies konkrete Konsequenzen: Eine Kassensoftware, die automatisch Kundendaten anlegt und dauerhaft speichert, ohne eine ausdrückliche Einwilligung oder einen Vertrag als Rechtsgrundlage zu haben, verstößt gegen Art. 6 DSGVO. Gleichzeitig verlangt das Finanzrecht durch GoBD und KassenSichV eine revisionssichere Speicherung von Transaktionsdaten, was auf den ersten Blick mit dem Datenschutzgebot der Datensparsamkeit in Widerspruch zu stehen scheint, sich aber durch klare Zweckabgrenzung auflösen lässt.
Anforderungen an DSGVO-konforme Kassensysteme im Überblick
Ein rechtskonformes Kassensystem muss in 2026 mehrere technische und organisatorische Anforderungen gleichzeitig erfüllen. Die folgende Tabelle gibt einen strukturierten Überblick über die wichtigsten Pflichten und ihre Grundlagen:
| Anforderung | Rechtsgrundlage | Umsetzung im System |
|---|---|---|
| Technische Sicherheitseinrichtung (TSE) | KassenSichV § 1 | Zertifizierte TSE (Cloud oder Hardware) verpflichtend |
| Revisionssichere Speicherung | GoBD | Unveränderliche Protokollierung aller Transaktionen |
| Verarbeitungsverzeichnis | DSGVO Art. 30 | Dokumentation aller Verarbeitungstätigkeiten |
| Auftragsverarbeitungsvertrag (AVV) | DSGVO Art. 28 | Pflichtvertrag mit dem Kassensystem-Anbieter |
| Zugriffsrechte und Rollenkonzept | DSGVO Art. 32 | Differenzierte Nutzerrechte im System konfigurieren |
| Meldepflicht ans Finanzamt | KassenSichV / ELSTER (ab 2025) | Elektronische Übermittlung der Kassendaten |
| Datenlöschkonzept | DSGVO Art. 17 | Automatische oder manuelle Löschroutinen für Kundendaten |
Besonders die Kombination aus GoBD-Aufbewahrungspflicht (10 Jahre für steuerrelevante Belege) und dem DSGVO-Recht auf Löschung erfordert eine sorgfältige Trennung zwischen steuerrelevanten Transaktionsdaten und optionalen Kundenstammdaten. Für eine fundierte Einschätzung der Hardware- und Softwarekomponenten eines Kassensystems lohnt sich ein Blick auf die technischen Grundlagen moderner POS-Systeme.
KassenSichV und Datenschutz: Wo sich beide Welten berühren
Die Kassensicherungsverordnung und die DSGVO verfolgen unterschiedliche Ziele, greifen aber im Betrieb eines Kassensystems direkt ineinander. Die KassenSichV schreibt vor, dass jede Transaktion mit einer zertifizierten Technischen Sicherheitseinrichtung (TSE) manipulationssicher protokolliert werden muss. Die TSE erzeugt dabei einen signierten Datensatz, der eine eindeutige Transaktionsnummer, einen Zeitstempel und eine kryptografische Signatur enthält.
Aus Datenschutzsicht stellt sich die Frage, welche personenbezogenen Daten in diesem Prozess verarbeitet werden. Solange die TSE ausschließlich anonyme Transaktionsdaten sichert, ist der Datenschutzbezug gering. Problematisch wird es, wenn Kundennamen oder Zahlungsdetails direkt in der TSE-Protokollierung landen. Verantwortliche sollten daher prüfen, ob ihr Kassensystem die TSE-Daten von den optionalen Kundendaten technisch trennt. Ab 2025 gilt zudem die Meldepflicht elektronischer Kassensysteme ans Finanzamt über ELSTER, was zusätzliche Anforderungen an die Datenübermittlung stellt. Mehr dazu erfahren Sie in unserem Beitrag zur Vorbereitung auf eine Kassenprüfung durch das Finanzamt.
Technische Sicherheitsmaßnahmen und Verschlüsselung
Ein Bereich, den viele Wettbewerbsartikel vernachlässigen: die konkrete technische Ebene des Datenschutzes. DSGVO Art. 32 fordert explizit die Pseudonymisierung und Verschlüsselung personenbezogener Daten sowie Maßnahmen zur dauerhaften Sicherstellung von Vertraulichkeit, Integrität und Verfügbarkeit der Systeme.
Für Kassensysteme bedeutet das in der Praxis: Datenübertragungen zwischen Kassensoftware und Server müssen über verschlüsselte Verbindungen (TLS 1.2 oder höher) erfolgen. Gespeicherte Kundendaten sollten verschlüsselt abgelegt werden, sodass sie bei einem Datenbankzugriff ohne den entsprechenden Schlüssel unlesbar bleiben. Zahlungsdaten unterliegen zusätzlich dem PCI-DSS-Standard, der eigene Anforderungen an Verschlüsselung und Tokenisierung stellt.
Hardware-seitig spielen Chip-Technologie und NFC-Lesegeräte mit aktuellen Sicherheitszertifizierungen eine wichtige Rolle. Veraltete Terminals ohne aktuelle Firmware-Updates stellen ein Sicherheitsrisiko dar und können bei einer Datenschutzprüfung als unzureichende technische Maßnahme gewertet werden. Einen vollständigen Überblick über die Funktionsweise moderner Kassensysteme finden Sie in unserem Technik-Ratgeber.
Datenschutz bei Cloud-Kassensystemen
Cloud-basierte Kassensysteme gewinnen im deutschen Markt zunehmend an Bedeutung, bringen aber spezifische Datenschutzfragen mit sich. Wer ein Cloud-Kassensystem nutzt, gibt personenbezogene Daten an einen externen Dienstleister weiter. Das begründet automatisch eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO.
Konkret relevant sind dabei folgende Fragen: Wo stehen die Server des Anbieters? Innerhalb der EU ist die Rechtslage klar. Server in den USA oder anderen Drittländern erfordern zusätzliche Garantien, etwa Standard-Datenschutzklauseln (SCCs). Welche Subunternehmer setzt der Anbieter ein, und sind diese ebenfalls DSGVO-konform? Wie lange werden Daten im System gespeichert, und existiert ein dokumentiertes Löschkonzept? Einen detaillierten Vergleich der Vor- und Nachteile von Cloud- gegenüber lokalen Lösungen bietet unser Artikel Kassensystem Cloud vs. Lokal.
Auftragsverarbeitung und Mitarbeitervereinbarungen
Der Auftragsverarbeitungsvertrag (AVV) ist kein optionales Dokument, sondern eine gesetzliche Pflicht nach Art. 28 DSGVO, sobald ein externer Anbieter Zugriff auf personenbezogene Daten hat. Seriöse Kassensystem-Anbieter stellen einen fertigen AVV bereit, den Betreiber vor Inbetriebnahme unterzeichnen müssen. Fehlt dieser Vertrag, haftet im Zweifelsfall der Betreiber, nicht der Softwareanbieter.
Intern sind Vereinbarungen zur Aufgabentrennung wichtig: Welcher Mitarbeiter darf Kundendaten einsehen? Wer hat Zugriff auf Tagesabschlüsse und Umsatzreports? Diese Fragen sollten in einer internen Richtlinie geregelt sein, die sowohl Zugriffsrechte als auch Verhaltensregeln im Umgang mit Kassendaten festlegt.
Schulung und Zugriffsrechte für Mitarbeiter
Selbst das technisch sicherste Kassensystem nützt wenig, wenn Mitarbeiter im Alltag fahrlässig mit Kundendaten umgehen. Die DSGVO verpflichtet Unternehmen, ihr Personal zu schulen und das Bewusstsein für Datenschutzrisiken zu schärfen. Das umfasst konkret: den richtigen Umgang mit Kundendaten an der Kasse, das Verhalten bei Datenpannen (Meldepflicht innerhalb von 72 Stunden an die Aufsichtsbehörde gemäß Art. 33 DSGVO) sowie die korrekte Reaktion auf Auskunftsersuchen von Kunden.
Technisch sollten Kassensysteme ein Rollenkonzept bieten, das Mitarbeitern nur die für ihre Tätigkeit notwendigen Zugriffsrechte gewährt. Kassierer benötigen in der Regel keine Einsicht in vollständige Kundenstammdaten oder Gesamtumsatzstatistiken. Die Trennung von Bediener-Login und Administrator-Zugang ist daher nicht nur eine Sicherheitsfrage, sondern auch eine datenschutzrechtliche Anforderung.
Rechte der Kunden auf Auskunft und Datenlöschung
Das Recht auf Auskunft (Art. 15 DSGVO) und das Recht auf Löschung (Art. 17 DSGVO) sind in der Praxis des Kassenbetriebs oft unterschätzt. Kunden können jederzeit verlangen zu erfahren, welche Daten über sie gespeichert sind und unter bestimmten Voraussetzungen die Löschung fordern.
Kassensysteme müssen daher eine Funktion bieten, mit der Betreiber Kundendatensätze vollständig abrufen und bei Bedarf löschen können. Dabei gilt die bereits erwähnte Abgrenzung: Steuerrelevante Transaktionsdaten müssen für zehn Jahre aufbewahrt werden und können nicht einfach gelöscht werden. Optionale Kundendaten wie E-Mail-Adressen für Newsletter oder Bonusprogramme hingegen unterliegen dem vollen DSGVO-Löschrecht. Systeme, die diese Kategorien nicht technisch trennen, setzen Betreiber einem erheblichen Haftungsrisiko aus.
Häufige Datenschutzfehler bei Kassensystemen
In der Praxis treten immer wieder dieselben Versäumnisse auf, die bei einer Datenschutzprüfung oder einem Beschwerdefall problematisch werden:
- Kein Auftragsverarbeitungsvertrag mit dem Kassensystem-Anbieter abgeschlossen
- Kundendaten werden ohne klare Rechtsgrundlage dauerhaft im System gespeichert
- Mitarbeiter erhalten Admin-Rechte, obwohl sie diese für ihre Tätigkeit nicht benötigen
- Keine dokumentierte Datenschutzschulung für das Kassenpersonal nachweisbar
- Cloud-Kassensystem mit Servern außerhalb der EU ohne geeignete Schutzmaßnahmen
- Fehlende Trennung zwischen steuerrelevanten und freiwilligen Kundendaten
- Veraltete Firmware auf Kassenhardware ohne regelmäßige Update-Prozesse
Bußgelder und Konsequenzen bei DSGVO-Verstößen
Die finanziellen Risiken bei Datenschutzverstößen im Kassenbetrieb sind erheblich. Die DSGVO sieht bei schwerwiegenden Verstößen Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist. Auch für kleine und mittelständische Betriebe sind Bußgelder im fünf- bis sechsstelligen Bereich durch die deutschen Datenschutzaufsichtsbehörden dokumentiert.
Neben Bußgeldern drohen Schadensersatzansprüche betroffener Personen sowie Abmahnungen durch Wettbewerber. Reputationsschäden durch öffentlich bekannte Datenpannen können in der Gastronomie oder im Einzelhandel das Kundenvertrauen nachhaltig beschädigen. Es empfiehlt sich daher, Datenschutz nicht als einmalige Einrichtungsaufgabe zu verstehen, sondern als dauerhaften Bestandteil des Systembetriebs.
Beliebte Kassensysteme im Vergleich: Datenschutz und Compliance
Die folgenden Anbieter decken den deutschen Markt ab und erfüllen grundsätzlich die Anforderungen an DSGVO-Konformität und KassenSichV-Compliance. Die Unterschiede liegen in der Tiefe der Datenschutzfunktionen, der Server-Infrastruktur und dem Umfang der mitgelieferten Vertragsdokumentation.
- Tillhub (ab 29,80 Euro/Monat inkl. TSE)
Tillhub ist DSGVO-konform und bietet Server-Infrastruktur in Deutschland. Der AVV ist im Vertrag inbegriffen. Das Rollenkonzept erlaubt granulare Zugriffsrechte. Geeignet für Einzelhandel, Gastronomie, Dienstleister und Vereine. - ready2order (ab 34,90 Euro/Monat, TSE 14,90 Euro)
Österreichischer Anbieter mit EU-konformer Datenhaltung. Bietet standardisierten AVV und dokumentiertes Löschkonzept. Die TSE ist als separates Modul buchbar. Stark in der Gastronomie positioniert. - Lightspeed (Basic 79 Euro, Core 139 Euro, Pro 249 Euro/Monat)
Kanadischer Anbieter mit europäischer Datenhaltung. Für Unternehmen mit Multi-Store-Anforderungen geeignet. Der AVV ist verfügbar, sollte jedoch aktiv angefordert werden. Starke Verschlüsselung und PCI-DSS-Konformität. - LocaFox (Small 49 Euro, Medium 79 Euro, Large 129 Euro/Monat)
Deutsches Unternehmen mit Server-Standort in Deutschland. DSGVO-Konformität ist Teil des Produktversprechens. Besonders geeignet für Einzelhandel und Filialbetriebe mit Omnichannel-Anforderungen. - REA (Basis 49,90 Euro, Business 59,90 Euro, Exklusiv 84,90 Euro/Monat)
Langjährig etablierter Anbieter für Gastronomie und Handel. GoBD-konform und TSE-zertifiziert. Datenschutzdokumentation sollte vor Vertragsabschluss vollständig geprüft werden. - SIDES (Preis auf Anfrage)
Speziallösung für Lieferdienste, Ghost Kitchens und Franchise. Verarbeitet besonders sensible Lieferdaten. AVV und Datenschutzdokumentation sollten vor Implementierung sorgfältig geprüft werden. - Smartkasse24 (Basic 29,90 Euro, Plus 49,90 Euro/Monat)
Kostenguenstige Einstiegslösung für kleine Gastronomiebetriebe. Erfüllt die gesetzlichen Mindestanforderungen. Datenschutzfunktionen sind weniger umfangreich als bei Premium-Anbietern – geeignet für Betriebe mit minimalem Kundendatenvolumen.
Fazit
Kassensystem Datenschutz ist keine einmalige Einrichtungsaufgabe, sondern ein kontinuierlicher Betriebsprozess. Wer DSGVO-Konformität, KassenSichV-Anforderungen, GoBD-konforme Datenhaltung und technische Sicherheitsmaßnahmen konsequent umsetzt, schützt sein Unternehmen vor Bußgeldern, Haftungsrisiken und Reputationsschäden. Entscheidend ist die Wahl eines Anbieters, der nicht nur die gesetzlichen Mindestanforderungen erfüllt, sondern Datenschutz technisch und vertraglich tief in sein Produkt integriert hat. Wenn Sie die Gesamtkosten verschiedener Systeme vergleichen möchten, gibt Ihnen unser Artikel zu den tatsächlichen Kosten von Kassensystemen eine fundierte Grundlage für Ihre Entscheidung.
Vergleichen Sie jetzt die Anbieter direkt nach Datenschutzkriterien und Ihren branchenspezifischen Anforderungen, um die für Ihren Betrieb passende Lösung zu finden.
Häufig gestellte Fragen zum Datenschutz bei Kassensystemen
Ja, sobald Ihr Kassensystem-Anbieter Zugriff auf personenbezogene Daten Ihrer Kunden oder Mitarbeiter hat, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO gesetzlich vorgeschrieben. Die meisten seriösen Anbieter stellen diesen Vertrag automatisch bereit oder auf Anfrage zur Verfügung. Fehlt der AVV, tragen Sie als Betreiber das volle Haftungsrisiko.
Ja, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Steuerrelevante Transaktionsdaten müssen nach GoBD zehn Jahre aufbewahrt werden und können nicht gelöscht werden. Freiwillig erhobene Kundendaten wie E-Mail-Adressen oder Kaufhistorien für Bonusprogramme hingegen müssen auf Antrag des Kunden nach Art. 17 DSGVO gelöscht werden. Ein gutes Kassensystem ermöglicht diese Trennung technisch.
Die KassenSichV regelt die manipulationssichere Protokollierung von Transaktionen über eine zertifizierte TSE. Datenschutzrelevant wird sie, wenn personenbezogene Daten in den TSE-Protokollen enthalten sind. Betreiber sollten sicherstellen, dass ihr Kassensystem TSE-Daten und Kundendaten technisch trennt, um beiden Rechtsbereichen gleichzeitig gerecht zu werden.
Bei schwerwiegenden Verstößen gegen die DSGVO können Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes verhängt werden. Auch für kleinere Betriebe sind realistische Bußgelder im fünfstelligen Bereich durch deutsche Aufsichtsbehörden dokumentiert. Hinzu kommen mögliche Schadensersatzansprüche betroffener Personen.
Ja, wenn der Anbieter Server innerhalb der EU betreibt oder geeignete Schutzmaßnahmen für Drittlandtransfers vorlegt, einen AVV bereitstellt und die technischen Anforderungen der DSGVO Art. 32 erfüllt. Besonders bei Anbietern mit Muttergesellschaften außerhalb der EU sollte die Datenschutzdokumentation sorgfältig geprüft werden.
