GoBD-konforme Archivierung: Software allein genügt nicht
Warum Archivierungsprozesse entscheidend sind
Viele Unternehmen denken, dass eine zertifizierte Archivierungssoftware automatisch GoBD-Konformität bedeutet. Doch die GoBD fordern nicht nur technische Eigenschaften, sondern vollständige, nachvollziehbare Prozesse. Wie Belege erfasst werden, wie Freigaben und Genehmigungen laufen, wie gespeichert und gesichert wird – all das unterscheidet sich stark von Betrieb zu Betrieb.
GoBD-Anforderungen im Überblick
GoBD verlangen, dass elektronische Unterlagen und Bücher:
- Vollständig
- Richtig
- Zeitgerecht
- Unveränderbar
- Nachvollziehbar
aufbewahrt werden – und dass alle darin involvierten organisatorischen und technischen Prozesse dokumentiert, mit Kontrollen versehen und eingehalten werden.
IDW RS FAIT 3 als Prüfungsrahmen
Der Standard IDW RS FAIT 3 („Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren“) liefert einen Prüfungsrahmen, der über die Software hinausgeht: Er prüft, ob Verfahrensdokumentation vorhanden ist, ob das interne Kontrollsystem wirksam ist, ob Verantwortlichkeiten klar festgelegt sind und ob Nachweise existieren und ordnungsgemäß archiviert werden, zum Beispiel über Workflow‑Schritte oder Prüfungen.
Beispiele aus der Praxis
- Ersetzendes Scannen: Papierbelege werden gescannt, digital gespeichert und das Original vernichtet. Hier muss gesichert sein, dass der Scan vollständig, unveränderbar und prüfungssicher ist – mit technischer Ausstattung, Verfahren und Dokumentation gemäß BSI TR‑Normen (BSI TR 03138).
- E‑Rechnung: Elektronische Rechnungen müssen über den gesamten Aufbewahrungszeitraum lesbar, nachvollziehbar und revisionssicher archiviert werden.
- Workflow‑Systeme: Freigabe‑ und Genehmigungsprozesse müssen so dokumentiert sein, dass jederzeit erkennbar ist, wer wann was gemacht hat. Die Verfahrensdokumentation muss enthalten, wie Schnittstellen funktionieren, wie Protokolle geführt werden, wie Zugriffe gesichert sind.
In all diesen Fällen reicht die bloße Nutzung einer „GoBD‑zertifizierten Software“ nicht aus. Nur durch die korrekte Prozessgestaltung entsteht wirkliche GoBD‑Konformität.
Prüfung und Prüfverfahren
Eine Prüfung nach IDW RS FAIT 3 umfasst typischerweise:
- Dokumentation der eingesetzten Digitalisierungs‑ und Archivierungssysteme (Applikation, Schnittstellen, Datenbanken, Betriebssysteme)
- Prozess‑Walkthroughs und Befragung der verantwortlichen Mitarbeiter
- Prüfung der Funktionstüchtigkeit und Wirksamkeit des internen Kontrollsystems im Alltag
- Prüfung der Verfahrensdokumentation, der Nachvollziehbarkeit und Prüfbarkeit der digitalen Dokumente
Regulatorische Rahmen und Normen
Relevante Vorschriften und Standards sind unter anderem:
- GoBD/§§ 238‑258, 145‑147 HGB/AO
- IDW RS FAIT 1-5
- BSI TR‑03138 (Ersetzendes Scannen, RESISCAN)
- BSI TR‑03125 (Erhalt kryptographisch signierter Dokumente)
- weitere Normen, zum Beispiel ISO 27001, Datenschutzvorgaben etc.
Fazit
GoBD konforme Archivierung ist kein reines Softwarethema, sondern ein Zusammenspiel aus Technologie, Verfahrensdokumentation und organisatorischen Abläufen und Kontrollen. Nur wer Prozesse klar definiert, technische und organisatorische Kontrollen wirksam implementiert, und sich gegebenenfalls prüfen lässt (zum Beispiel nach IDW RS FAIT 3), kann echte Konformität nachweisen – über das bloße Vorhandensein einer Softwarelizenz hinaus.
RWTkompakt Ausgabe Oktober 2025