Datensicherheit digitale Buchführung: Grundlage für Transparenz, Nachvollziehbarkeit und Revisionssicherheit

Datensicherheit in der digitalen Buchführung – warum sie unverzichtbar ist

Datensicherheit digitale Buchführung schützt deine Zahlen vor Verlust und Manipulation. So bleibt deine Buchführung vollständig, nachvollziehbar und revisionssicher.

Sie ist die zentrale Voraussetzung für die Ordnungsmäßigkeit elektronischer Daten, Prozessen und Systeme nach GoBD. Denn steuerrelevante Daten müssen so verarbeitet und gespeichert werden, dass sie vollständig, unverändert, nachvollziehbar und verfügbar bleiben.

Datensicherheit ist dabei weit mehr als Technik: Sie erfordert ein Zusammenspiel aus Daten, Verfahren und klar zugeordneten Verantwortlichkeiten. Ein System gilt nur dann als ordnungsmäßig, wenn die Sicherheit der Daten nachweisbar gewährleistet ist (Rn. 103 ff. GoBD).

„Der Steuerpflichtige hat sein DV-System gegen Verlust (z.B. Unauffindbarkeit, Vernichtung, Untergang, und Diebstahl) zu sichern und gegen unberechtigte Eingaben und Veränderungen (z.B. durch Zugangs- und Berechtigungskontrollen) zu schützen.“

Rn. 103 GoBD

Datensicherheit ist damit kein optionales Qualitätsmerkmal, sondern Pflichtbestandteil der Ordnungsmäßigkeit (§ 146 AO, Rn. 104 GoBD).

Sie verbindet kaufmännische Sorgfalt und steuerliche Nachweispflichten mit den Prinzipien von IT-Grundschutz nach BSI-Standard.

Hinweis zur Sprache:
Zur besseren Lesbarkeit verwendet dieser Beitrag das generische Maskulinum.
Alle personenbezogenen Bezeichnungen gelten gleichermaßen für alle Geschlechter.

---

Zentrale Begriffe der Datensicherheit

Datensicherheit: Schutz von Daten und Systemen

Datensicherheit bezeichnet den Schutz digitaler Daten und der für ihre Verarbeitung eingesetzten Systeme vor Verlust (z.B. Unauffindbarkeit, Vernichtung, Untergang oder Diebstahl), unberechtigten Eingaben, ungewollten Änderungen, unbefugtem Zugriff oder endgültiger Zerstörung (Rn. 103 GoBD).

Die GoBD stellen ausdrücklich klar, dass eine Buchführung formell dann nicht ordnungsmäßig ist, wenn steuerlich relevante Daten, Datensätze, elektronische Belege, Dokumente und sonstige elektronische Unterlagen nicht ausreichend geschützt und deshalb nicht mehr vollständig und unverändert vorgelegt werden können (Rn. 104 GoBD).

Im Falle einer Außenprüfung erhöht sich hierdurch das Risiko einer Hinzuschätzung der Besteuerungsgrundlagen (§ 162 AO).

Die technischen und organisatorischen Maßnahmen (TOMs) zur Datensicherheit müssen daher in der Verfahrensdokumentation vollständig und nachvollziehbar beschrieben werden (Rn. 106 GoBD).

Ihr Umfang richtet sich nach der Komplexität und Verschiedenartigkeit der Geschäftstätigkeit, also nach Geschäftmodell, Organisationsstruktur sowie nach Prozess- und Systemlandschaft.

💡Wichtig zu verstehen:

Datensicherheit ist nicht identisch mit Datenschutz.

• Datensicherheit schützt Daten an sich.
• Datenschutz schützt Menschen vor Missbrauch ihrer Daten.

---

Datenschutz: Schutz personenbezogener Informationen

Datenschutz bezieht sich auf den Schutz personenbezogener Daten. Dies sind Informationen, über die eine Person identifiziert werden kann, z.B. Vor- und Familienname, Adress- und Kontaktdaten, Rechnungs- und Vertragsinformationen oder Nutzungsdaten digitaler Dienste.

Datenschutz beantwortet die Frage: Wer darf was, wann, wie und zu welchem Zweck mit personenbezogenen Daten tun?

Rechtsgrundlagen sind vor allem:

• die Datenschutz-Grundverordnung (DSGVO)
• das Bundesdatenschutzgesetz (BDSG)

Datenschutz regelt die Zulässigkeit der Verarbeitung, ob und in welcher Form also Daten überhaupt verarbeitet, genutzt oder weitergegeben werden dürfen.

Datensicherheit regelt die Absicherung der Verarbeitung, d.h. wie diese Daten geschützt werden müssen.

Beide Konzepte sind nicht austauschbar, sondern gegenseitig notwendig:

• Datenschutz ohne Datensicherheit ist nicht umsetzbar.
• Datensicherheit ohne Datenschutz wäre rechtlich bedeutungslos.

💡Die Verantwortung für die Einhaltung beider Verpflichtungen liegt beim Unternehmer – unabhängig von Software, Dienstleistern oder Steuerberatungskanzlei (Rn. 21 GoBD).

---

GoBD: Ordnungsmäßigkeit durch Nachvollziehbarkeit und Unveränderbarkeit

Die GoBD definieren die grundsätzlichen Anforderungen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff.

BMF-Schreiben zur GoBD, zuletzt aktualisiert am 14. Juli 2025

Sie verlangen, dass steuerlich relevante Daten

• nachvollziehbar und nachprüfbar (Rn. 30 ff., 148 GoBD)
• vollständig, einzeln, richtig, zeitgerecht, geordnet unveränderbar verarbeitet (Rn. 36 ff. GoBD),
• aufbewahrt und wieder lesbar (Rn. 113 ff GoBD)

gemacht werden können.

Dazu gehört, dass nicht nur sämtliche Geschäftsvorfälle, sondern auch die für ihre Verarbeitung eingesetzten Verfahren und Systeme dokumentiert (Rn. 150ff. GoBD, kontrolliert (Rn. 100 ff. GoBD) und vor Verlust oder Manipulation geschützt (Rn. 103 ff. GoBD) und aufbewahrt (Rn. 113 ff. GoBD) werden.

Die GoBD legen die Kriterien fest, nach denen digitale Buchführungsprozesse als ordnungsmäßig und damit prüfungssicher zu beurteilen sind.

Die GoBD verpflichtet Unternehmer, „die Sicherheit der aufbewahrungspflichtigen Daten durch geeignete technische und organisatorische Maßnahmen dauerhaft zu gewährleisten“.

Rn. 110 GoBD

💡Fehlen klare Prozesse, Kontrollmechanismen oder die Verfahrensdokumentation, kann die Buchführung formell als fehlerhaft – mit dem Risiko von Zuschätzungen (§ 162 AO) – beurteilt werden.

---

Revisionssicherheit: Technischer Nachweis der Ordnungsmäßigkeit

Revisionssicherheit bedeutet, dass digitale Daten, Dokumente und Systeme vollständig, unverändert und während der gesamten Aufbewahrungsfrist verfügbar bleiben und bei Bedarf wieder lesbar gemacht werden können.

Die Revisionssicherheit umfasst:

• aufbewahrungspflichtige Daten und Dokumente (z. B. Rechnungen, Buchungsbelege, Vertragsunterlagen),
• als auch aufbewahrungswürdige Informationen (z. B. projektbezogene Kommunikationsverläufe oder Kalkulationsunterlagen),
• die eingesetzten Verfahren und Systeme sowie
• die Verfahrensdokumentation im Sinne der GoBD.

Ein revisionssicheres Archivsystem ermöglicht, dass ein sachkundiger Dritter die Entstehung, Verarbeitung und Archivierung eines Geschäftsvorfalls lückenlos nachvollziehen kann. Dazu gehören u.a.:

• Protokollierung aller Bearbeitungsschritte
• Verhinderung unbemerkter Manipulation
• Lesbarkeit unabhängig von künftigen Softwareständen

💡Revisionssicherheit ist der technische und organisatorische Nachweis der Ordnungsmäßigkeit einer digitalen Buchführung und zugleich zentraler Prüfungsmaßstab der Finanzbehörden.

---

Digitale Buchführung als Organisationssystem – nicht nur Software

Digitale Buchführung bedeutet nicht das Scannen von Belegen oder das Ablegen von PDFs, sondern die vollständig digital gesteuerte Verarbeitung von Geschäftsvorfällen – von der Entstehung eines Belegs bis zur Auswertung der Unternehmenszahlen.

Sie umfasst:

• digitale Belegerfassung
• standardisierte Verarbeitungs- und Freigabeprozesse
• definierte Zuständigkeiten
• systematische Schnittstellen
• protokollierte Änderungen
• unveränderbare Archivierung
• Verfahrensdokumentation und internes Kontrollsystem

Digitale Buchführung bildet ab, wie ein Unternehmen tatsächlich arbeitet – und macht dieses Verarbeiten prüfbar.

Wer sie beherrscht:

• erkennt Wertschöpfung frühzeitig,
• steuert Liquidität bewusst,
• und führt sein Unternehmen vorausschauend statt reaktiv.

💡Digitale Buchführung ist kein Verwaltungsaufwand, sondern das Fundament wertorientierter Unternehmensführung.

---

Datensicherheit ist Führungsaufgabe – nicht IT-Aufgabe

Viele kleine und mittlere Unternehmen betrachten Datensicherheit noch immer als Aufgabe für IT-Fachleute. Manche glauben auch, es sei die Aufgabe des Steuerberaters, sich um die Datensicherheit ihrer Buchführungsdaten zu kümmern.

Tatsächlich aber beschreibt Datensicherheit ein Vertrauenssystem, das die Ordnungsmäßigkeit der eigenen Buchführung erst ermöglicht.

„Werden Daten, Datensätze, elektronische Dokumente und elektronische Unterlagen nicht ausreichend geschützt und können deshalb nicht mehr vorgelegt werden, so ist die Buchführung formell nicht ordnungsmäßig.“

Rn. 104 GoBD

Dabei funktioniert das System als Zusammenspiel aus Technik und Organisation, damit Nachvollziehbarkeit und Nachprüfbarkeit der Geschäftsvorfälle (Einzelfall) und aller datenverarbeitenden Verfahren und Systeme im und zwischen Unternehmen gelingen.

Denn, wenn sich Daten und Informationen im Laufe Ihrer Bearbeitung verändern oder während ihrer Verarbeitung verloren gehen, können Ausgangsdaten und Informationen im Falle einer Überprüfung nicht mehr vorgelegt, ihre Verarbeitungsprozesse nicht mehr nachvollzogen und den zughörigen Auswertungen kein Glauben geschenkt werden.

Die Buchführung verliert ihre steuerliche Beweiskraft und ihre wirtschaftliche Aussagekraft.

Das Thema Datensicherheit verdient also in den Mittelpunkt fiskalischer und unternehmerischer Aufmerksamkeit gestellt zu werden.

Datensicherheit verbindet die Ordnungsmäßigkeit der Buchführung mit technischem Informationsschutz und organisatorischer Verantwortung.

---

Von Daten zur Information: Nachvollziehbarkeit sichern

Eine digitale Buchführung verarbeitet täglich unzählige eingehende Daten und Informationen aus Belegen, Kontoauszügen, Rechnungen, Zahlungsdaten und Vertragsdokumenten und produziert gleichermaßen viele ausgehende Daten und Informationen.

Je komplexer diese Systeme werden, desto größer ist die Gefahr, dass Nachvollziehbarkeit und Nachprüfbarkeit der Buchführung (Rn. 30 ff. GoBD), der Geschäftsvorfälle und die zu ihrer Verarbeitung eingesetzten Verfahren und Systeme (Rn. 145 ff. GoBD) verloren gehen.

Datensicherheit wirkt hier als Ordnungsprinzip:
Sie gewährleistet, dass jede Information

• einzeln,
• richtig,
• vollständig,
• geordnet,
• unveränderlich und
• zeitnah erfasst wird und
• inhaltlich und chronologisch nachvollziehbar sowie
• über die gesamte Aufbewahrungsfrist wiederherstellbar und also nachprüfbar bleibt.

Damit erfüllt sie die beiden Kernforderungen an eine ordnungsmäßige Buchführung:

• Grundsatz der Nachvollziehbarkeit und Nachprüfbarkeit (§ 145 Abs. 1 AO, § 238 Abs. 1 Satz 2 und Satz 3 HGB, Rn. 30-35 GoBD)
• Grundsatz der Wahrheit, Klarheit und fortlaufenden Aufzeichnungen (§ 146 Abs. 1 und Abs. 4 AO, § 239 Abs. 2 und Abs. 3 HGB, Rn. 36-60 GoBD)

---

Dreiklang der Sicherheit: Technik – Organisation – Dokumentation

Datensicherheit ruht auf drei gleichwertigen Säulen:

1. Technische Sicherheit:
   Gemeint ist der Schutz aller Vor-, Haupt- und Nebensysteme, der Netzwerke und Anwendungen gegen Verlust, Manipulation oder unbefugten Zugriff.
   Beispiele: Verschlüsselung, Zugriffsschutz, Protokollierung, Datensicherung, Integritätsprüfungen, vgl. Rn. 103 ff. und 107 ff. GoBD
2. Organisatorische Sicherheit:
   Sie betrifft die Regelung von Verantwortlichkeiten, Rollen und Zugriffsrechten. Dazu gehören Vertretungsregelungen, Vier-Augen-Prinzip und regelmäßige Rechte-Reviews, vgl. Rn. 100, 110 und 152 GoBD. Hier greifen interne Kontrollsysteme (IKS) und Sicherheitskontrollsysteme (SKS).
3. Dokumentarische Sicherheit:
   Alle technischen und organisatorischen Maßnahmen (TOMs) müssen lückenlos und nachvollziehbar in einer Verfahrensdokumentation (VerfDok) beschrieben werden, vgl. Rn. 150 und Rn. 151 ff. GoBD. Auch das Interne Kontrollsystem (IKS) ist hier darzulegen, das als wesentlicher Teil eines steuerlichen internen Kontrollsystems (SKS) dazu beiträgt, dass das Unternehmen seiner strategisch wichtigen steuerlichen Verantwortung gerecht wird, vgl. Rn. 102 GoBD.

Das Zusammenspiel dieser drei Ebenen schafft die nötige Klarheit über die eingesetzten Verfahren und Systeme und fördert das Vertrauen aller Beteiligten in die Steuerehrlichkeit des Unternehmens als Grundvoraussetzung für Revisionssicherheit.

---

Verantwortung trägt der Unternehmer (GoBD Rn. 21)

Für die Ordnungsmäßigkeit elektronischer Bücher und sonst erforderlicher elektronischer Aufzeichnungen – einschließlich der eingesetzten Verfahren und Systeme sowie deren Änderungen und Kontrolle – ist allein der Unternehmer verantwortlich (Rn. 21 Satz 1 GoBD).

Diese Verantwortung umfasst auch die Verfahrensdokumentation (Rn. 150 ff. GoBD) sowie das darin darzustellende Interne Kontrollsystem (Rn. 102 GoBD). Sie kann nicht übertragen werden.

Technische oder organisatorische Aufgaben können jedoch auf Dritte – etwa Buchführungshelfer, Steuerberater oder IT-Dienstleister – ausgelagert werden (Rn. 21 Satz 2 GoBD).

Die Verantwortung für die Überwachung und die Dokumentation der arbeitsteiligen Verfahren in der Verfahrensdokumentation verbleiben stets beim Unternehmer.

💡Praxis-Hinweis:

Eine „gelebte“ Verfahrensdokumentation erfüllt ihren Zweck, wenn sie allgemein verständlich, prozessorientiert und transparent alle eingesetzten Verfahren, Systeme sowie inner- und außerbetriebliche Abläufe der Daten- und Informationsverarbeitung darstellt.

Sie ist damit nicht nur Nachweis steuerlicher Ordnungsmäßigkeit, sondern zugleich Ausdruck verantwortungsvoller Unternehmensführung.

Datensicherheit ist somit kein technisches Randthema, sondern ein zentraler Bestandteil unternehmerischer Sorgfaltspflicht – gleichrangig mit Buchführungs-, Aufbewahrungs- und Offenlegungspflichten.

Wer Datensicherheit ernst nimmt, schützt nicht nur Daten, sondern fördert Vertrauen, Reputation und Unternehmenswert.

---

Rechtlicher Rahmen: GoBD – BMF und BSI im Zusammenspiel

Um zu verstehen, wie weitreichend diese unternehmerische Verantwortung tatsächlich ist, lohnt ein Blick auf die rechtlichen Grundlagen:

• Die GoBD in der Fassung vom 14. Juli 2025 formulieren den Grundsatz der Sicherheit der Daten, Systeme und Verfahren erstmals mit klarem Bezug auf technische und organisatorische Maßnahmen.
• Das BMF-Schreiben zur E-Rechnung vom 15. Oktober 2025 konkretisiert, wie elektronische Belege in diesen Sicherheitsrahmen einzubetten sind.
• Der BSI-Grundschutz 2025 liefert die methodischen Leitplanken, um diese Anforderungen in der Praxis umzusetzen.
• Das BMF-Schreiben vom 17. Februar 2025 gibt wichtige und aktualisierte Hinweise auf wesentliche Rechte und Mitwirkungspflichten des Steuerpflichtigen bei einer Außenprüfung (§ 5 Abs. 2 Satz 2 BpO 2000).

Gemeinsam bilden sie das rechtliche und technische Fundament deiner digitalen Buchführung, die nicht nur GoBD-konform, sondern auch revisionssicher ist.

---

GoBD: Anforderungen an Datenintegrität, Nachvollziehbarkeit und Unveränderbarkeit

Die GoBD in der Fassung vom 14. Juli 2025 formulieren in Rn. 103 GoBD die Anforderung der „Sicherheit der Daten, Systeme und Verfahren“.

Danach ist das DV-System des Steuerpflichtigen so zu gestalten, dass die aufbewahrungspflichtigen Daten gegen Verlust, unberechtigte Eingaben und Veränderungen geschützt sind (Rn. 104 GoBD).

Aus diesem Grundsatz ergeben sich sieben zentrale Anforderungen an Datensicherheit, die zugleich die Kernprinzipien ordnungsmäßiger elektronischer Buchführung darstellen:

1. Integrität
   Aufbewahrungspflichtige Daten müssen unverändert und vollständig erhalten bleiben. Jede Veränderung ist zu protokollieren, um die Integrität des Datenbestands nachweisen zu können (Rn. 36 ff., 44 ff., 53 ff., 103 GoBD)
2. Vollständigkeit
   Alle Geschäftsvorfälle und Belege sind lückenlos, richtig und zeitgerecht zu erfassen. Eine Teilaufzeichnung oder nachträgliche Ergänzung ohne Protokollierung widerspricht der Ordnungsmäßigkeit (Rn. 36 ff., 103 GoBD).
3. Verfügbarkeit
   Elektronisch aufbewahrte Daten müssen während der gesamten Aufbewahrungsfrist jederzeit les- und maschinell auswertbar sein. Das schließt auch die Wiederherstellbarkeit aus Sicherungskopien ein (Rn. 107 ff., 110, 113 ff. GoBD).
4. Nachvollziehbarkeit
   Bearbeitungs- und Änderungsverläufe müssen vollständig erkennbar bleiben. Jede Änderung ist dokumentationspflichtig und muss den ursprünglichen Zustand erkennbar lassen (Rn. 30 ff., 36 ff. GoBD)
5. Unveränderbarkeit
   Nachträgliche Änderungen dürfen nur unter Erhalt des Ursprungsdatensatzes erfolgen. Überschreiben oder Löschen ohne Protokollierung ist unzulässig (Rn. 107 ff. GoBD).
6. Schutz
   Der Zugriff auf steuerlich relevante Daten ist technisch und organisatorisch abzusichern. Dazu gehören Rechteverwaltung, Authentifizierung, Verschlüsselung und physischer Zugriffsschutz (Rn. 100, 103, 152 GoBD).
7. Dokumentation
   Alle eingesetzten Verfahren, Systeme und Kontrollen sind nachvollziehbar in der Verfahrensdokumentation zu beschreiben. Sie bildet den Nachweis über die Umsetzung der Datensicherheitsanforderungen (Rn. 100, 150 ff. GoBD).

Diese Anforderungen gelten unabhängig von den eingesetzten Verfahren und Systemen, also unabhängig von der eingesetzten Technik und der jeweils gewählten Aufbau- und Ablauforganisation eines Unternehmens.

Verstöße gegen die Integrität der Daten, fehlende Nachvollziehbarkeit der Verfahren oder unsauber dokumentierte Systeme führen dazu, dass die Buchführung formell nicht ordnungsmäßig ist (Rn. 104 GoBD).

---

BMF-Schreiben zur E-Rechnung: Authentizität, Integrität und Lesbarkeit

Das aktualisierte BMF-Schreiben zur E-Rechnung konkretisiert Begriff und Wesen einer elektronischen Rechnung. Es beschreibt

• Art, Umfang und Format
• Ausstellung, Übermittlung, Empfang und GoBD-konforme Verarbeitung (§ 14 f. UStG)
• Voraussetzung für den Vorsteuerabzug
• Rechtsfolgen bei Regelverstößen und
• Besonderheiten bei der Aufbewahrung und Archivierung.

Es definiert die drei Prüfgrundsätze Authentizität, Integrität und Lesbarkeit (vgl. Art. 233 MwStSystRL) als Mindeststandard für den elektronischen Belegverkehr.

Diese drei Eigenschaften sind jederzeit sicherzustellen:

• Authentizität der Herkunft – zweifelsfreie Zuordnung zum Aussteller. Nachweis: eindeutige Absender-Identifikation, PEPPOL/EDI, Signaturen oder interne Prüfverfahren.
• Integrität des Inhalts – Unverfälschtheit während des gesamten Lebenszyklus. Nachweis: Hash-Werte, Prüfsummen, Protokolle, unveränderbare Archivierung.
• Lesbarkeit – maschinell und visuell über die gesamte Aufbewahrungsfrist. Nachweis: zugelassene Formate (z. B. XML + PDF) und geeignete Anzeigeprogramme.

Damit E-Rechnungen steuerlich anerkannt werden, fordert das BMF:

• Verifizierung der Authentizität durch einen verlässlichen Prüfpfad zwischen Rechnung und zugrundeliegender Lieferung/Leistung (alternativ Signatur oder EDI),
• technische Sicherung der Integrität (z. B. Hash-Werte, Signaturen, Prüfsummen),
• nachvollziehbare Prüf- und Freigabeverfahren vor der Buchung,
• revisionssichere Archivierung inkl. Änderungs-/Löschprotokollen,
• vollständige Abbildung des Belegflusses in der Verfahrensdokumentation (GoBD Rn. 150 ff.) inkl. Darstellung des IKS/SKS.

In GoBD Rn. 100–107 wird gefordert, Datensicherungs- und Wiederherstellungsverfahren zu dokumentieren, regelmäßig zu testen und auf Wirksamkeit zu prüfen.

Damit wird Datensicherheit zur Pflichtaufgabe der Ordnungsmäßigkeit und zur Grundlage jeder modernen, revisionsfähigen Buchführung.

💡Praxis-Hinweis:

Ein reines PDF erfüllt nicht mehr die gesetzlichen Anforderungen an eine E-Rechnung. Nutze die Zeit, die dir noch bleibt, deine Buchführungsprozesse an den Empfang und die Verarbeitung einer E-Rechnung anzupassen!

---

BSI-Grundschutz: technische Umsetzung der Datensicherheit

Der BSI-Grundschutz ergänzt die steuerlichen Anforderungen der GoBD um praxisorientierte Maßnahmen der IT-Sicherheit.

Er beschreibt, wie die in GoBD Rn. 103 ff. geforderten technischen und organisatorischen Maßnahmen (TOM) in der betrieblichen Praxis umzusetzen sind.

Besonders relevant für kleine und mittlere Unternehmen sind die Module

• OPS.1.1.1 Allgemeiner IT-Betrieb
• OPS.1.1.5 Protokollierung
• CON.3 Datensicherungskonzept (Backups + Restore inkl. Tests)

Sie fordern u. a.:

• klare Rollen- und Rechtekonzepte zur Zugriffsteuerung und Verantwortlichkeitsabgrenzung,
• starke Authentifizierungs- und Verschlüsselungsverfahren,
• regelmäßige, versionierte Backups nach der 3-2-1-Regel (drei Kopien, zwei Medien, ein externes Backup),
• Wiederherstellungstests und eine Protokollierung der Ergebnisse,
• Schulungen und Sensibilisierung aller Mitarbeitenden für Informationssicherheit und Datenschutz.

Damit konkretisiert der BSI-Grundschutz die GoBD-Anforderungen an Datensicherheit in ihrer technischen Dimension und bildet zugleich den Referenzrahmen zu Art. 32 DSGVO.

Unternehmen, die ihre Maßnahmen am Grundschutz ausrichten, erfüllen damit konsistent die Anforderungen aus GoBD, DSGVO und dem BMF-Schreiben zur E-Rechnung und schaffen so die Basis für eine digitale Buchführung, die rechtlich belastbar, technisch robust und revisionssicher ist.

---

BMF-Schreiben zur Außenprüfung: Sicherer Datenzugriff nach § 147 Abs. 6 AO

Das aktualisierte Schreiben zur Außenprüfung stärkt die Bedeutung der Datensicherheit.

Es verpflichtet Unternehmen, elektronische Daten passwort- oder hardwareverschlüsselt zu übermitteln und bei unverschlüsselter Kommunikation ausdrücklich zuzustimmen (§ 87a Abs. 1 S. 3 AO).

Empfohlen werden geschützte Archivformate oder hardwareverschlüsselte Datenträger.

Diese Vorgaben verdeutlichen:

Datensicherheit endet nicht beim Speichern, sondern umfasst auch die Übertragung und Bereitstellung steuerlich relevanter Daten im Rahmen der Außenprüfung.

Damit wird der Schutz des Steuergeheimnisses (§ 30 AO) und der personenbezogenen Daten zu einem integralen Bestandteil der GoBD-Konformität.

Denn die Außenprüfung prüft nicht nur Zahlen, sondern zunehmend auch die IT-Sicherheitsarchitektur und Nachvollziehbarkeit digitaler Prozesse.

Unternehmen müssen deshalb nachweisen können, dass ihre Systeme den sicheren Datenzugriff nach § 147 Abs. 6 AO technisch und organisatorisch ermöglichen, ohne dabei Datenschutz oder Datenintegrität zu gefährden.

---

Fazit: Der rechtliche Rahmen steht – entscheidend ist die gelebte Praxis

GoBD, die BMF-Schreiben zu E-Rechnung und Außenprüfung sowie der BSI-Grundschutz bilden zusammen ein kohärentes Regelwerk:

• Die GoBD definieren den ordnungsrechtlichen Rahmen,
• Die BMF–Schreiben konkretisieren die Anwendung bei der Verarbeitung und Prüfung elektronischer Belege
• BSI–Grundschutz beschreibt die technische Umsetzung der Datensicherheitsanforderungen.

Erfüllt ein Unternehmen die sieben GoBD-Anforderungen an Datensicherheit und dokumentiert seine Verfahren und Systeme nachvollziehbar in einer aktuellen Verfahrensdokumentation (Rn. 150 ff. GoBD),
implementiert es damit zugleich ein wirksames Internes Kontroll- und Sicherheitskontrollsystem (IKS/SKS).

So entsteht eine digitale Buchführung, die

• rechtlich ordnungsmäßig,
• technisch belastbar und
• prüfungsfest ist und die zugleich
• Vertrauen, Transparenz und Datensouveränität stärkt.

---

Das Sicherheitsdreieck in der Praxis: Technik, Organisation und Dokumentation

Im nächsten Abschnitt erläutern wir nun das Sicherheitsdreieck aus Technik, Organisation und Dokumentation – also jene praktische Struktur, mit der sich die rechtlichen Anforderungen in deinem Unternehmen wirksam umsetzen lassen.

---

Warum diese 3 Ebenen untrennbar sind

Datensicherheit entsteht nicht durch Software, sondern durch Systematik. Erst wenn Technik, Organisation und Dokumentation ineinandergreifen, wird die digitale Buchführung wirklich GoBD-konform.

Dieses Zusammenspiel bezeichnet die GoBD (Rn. 103 ff.) als „geeignete technische und organisatorische Maßnahmen“ – kurz: TOM.

Das BMF-Schreiben zu Außenprüfung, GoBD, E-Rechnung und der BSI-Grundschutz konkretisieren, wie diese Maßnahmen in der Praxis umzusetzen sind.

Die drei Ebenen sind untrennbar:

• Technik schafft Schutz und Nachvollziehbarkeit,
• Organisation sorgt für Verantwortung und Kontrolle,
• Dokumentation garantiert Nachweis und Prüfungsfähigkeit.

Nur wenn alle drei wirken, entsteht ein System, das den GoBD-Grundsatz – Sicherheit der Daten, Systeme und Verfahren – erfüllt und in einer Außenprüfung Bestand hat.

---

Technische Ebene – Schutz, Integrität, Wiederherstellung

Die technische Ebene betrifft alle Maßnahmen, die den Verlust, die Veränderung oder den unbefugten Zugriff auf steuerlich relevante Daten verhindern.

Nach GoBD (Rn. 103 ff.) ist das DV-System so auszugestalten, dass Daten gegen Verlust und Manipulation geschützt sind.

Zentrale technische Maßnahmen:

• Zugriffsschutz und Rechteverwaltung: Einrichtung individueller Benutzerkonten, differenzierte Rollen- und Berechtigungssysteme (vgl. BSI INF.1 und ORP.4).
• Authentifizierung und Verschlüsselung: Nutzung starker Passwörter, Zwei-Faktor-Authentifizierung, Transport- und Datenträgerverschlüsselung.
• Integritätsprüfung: Einsatz von Hash-Werten oder Prüfsummen, um Manipulationen zu erkennen.
• Datensicherung: Regelmäßige, versionierte Backups nach der 3-2-1-Regel; Speicherung an getrennten Orten.
• Wiederherstellungstests: Prüfung der Backup-Integrität und Dokumentation der Ergebnisse (GoBD Rn 110).
• Protokollierung und Audit-Trail: Nachweis, wer, wann, was verändert hat (GoBD Rn. 107).

💡 Praxis-Tipp:
Technische Maßnahmen sollten in einer eigenen TOM-Anlage der Verfahrensdokumentation beschrieben werden. Sie bildet die Brücke zwischen IT-Sicherheit (BSI) und steuerlicher Ordnungsmäßigkeit (GoBD).

---

Organisatorische Ebene – Rollen, Freigaben, Kontrollwege

Technische Sicherheit bleibt wirkungslos, wenn organisatorische Verantwortung fehlt. Die GoBD fordern in Rn. 100 und 152 klare Zuständigkeiten und Kontrollen, die regelmäßig überprüft werden.

Wesentliche organisatorische Maßnahmen:

• Verantwortlichkeitsmatrix: Wer darf welche Daten erfassen, ändern, löschen oder freigeben?
• Vier-Augen-Prinzip: Für alle buchführungsrelevanten Änderungen – insbesondere bei Korrekturen, Stornos oder Freigaben.
• Rollen- und Rechtekonzept: Abbildung im IKS/SKS; regelmäßige Rechte-Reviews.
• Vertretungsregelungen: Sicherstellung der Kontinuität bei Abwesenheiten.
• IKS/SKS-Struktur: Integration von Kontrollpunkten in Geschäftsprozesse (z. B. Belegfreigabe, Zahlungslauf, Datenexport).
• Sensibilisierung: Schulungen für Mitarbeitende zu GoBD, Datenschutz und IT-Sicherheit.

💡 Praxis-Tipp:
Die organisatorische Sicherheit ist Chefsache.
Nach GoBD Rn. 21 bleibt die Verantwortung für Ordnungsmäßigkeit immer beim Unternehmer – auch bei Outsourcing an Steuerberater oder IT-Dienstleister. Alle delegierten Aufgaben müssen in der Verfahrensdokumentation nachvollziehbar beschrieben werden.

---

Dokumentarische Ebene – Nachweis der gelebten Ordnungsmäßigkeit

Die GoBD (Rn. 150 ff.) verlangen eine Verfahrensdokumentation, die Aufbau, Abläufe und Kontrollen vollständig beschreibt. Sie dient als Nachweis, dass technische und organisatorische Maßnahmen tatsächlich umgesetzt und wirksam sind.

Zentrale Dokumentationsinhalte:

• Beschreibung der eingesetzten Systeme (Haupt-, Vor- und Nebensysteme).
• Darstellung der Prozesskette vom Belegeingang bis zur Archivierung.
• Nachweis der Verantwortlichkeiten und Kontrollpunkte (IKS/SKS).
• Dokumentation von Änderungen, Versionierungen und Systemupdates.
• Aufbewahrung der Protokolle, Prüfergebnisse und Wiederherstellungstests.
• Angabe der externen Dienstleister und ihrer Aufgaben (z. B. Cloudanbieter, Rechenzentrum).

💡 Praxis-Tipp:

Eine gute Verfahrensdokumentation ist nicht retrospektiv, sondern operativ: Sie begleitet den Prozess und spiegelt die tatsächliche Arbeitsweise wider. Je besser sie gepflegt ist, desto kürzer und reibungsloser verlaufen spätere Außenprüfungen (GoBD Rn. 145 ff.).

---

Wenn alles zusammenwirkt: das gelebte Sicherheitsdreieck

Das Sicherheitsdreieck ist kein Schema, sondern ein Funktionszusammenhang:

• Technik stellt sicher, dass Daten unverändert bleiben,
• Organisation legt fest, wer sie verarbeitet,
• Dokumentation beweist, dass beides funktioniert.

Diese drei Ebenen bilden gemeinsam den operativen Nachweis der GoBD-Konformität.
Fehlt eine davon, verliert das System seine Ordnungsmäßigkeit:

• Ohne Technik keine Integrität,
• ohne Organisation keine Verantwortlichkeit,
• ohne Dokumentation kein Nachweis.

---

💡 Fazit:

Ein gelebtes Sicherheitsdreieck schafft Vertrauen – intern, extern und gegenüber der Finanzverwaltung.
Es ist die Brücke zwischen rechtlicher Pflicht und praktischer Umsetzung und damit der entscheidende Faktor für eine prüfungsfeste digitale Buchführung.

---

Datensicherheit stärkt Vertrauen, Steuerehrlichkeit und Unternehmenswert

Du siehst, Datensicherheit ist weit mehr als ein technisches Konzept.

Sie ist Ausdruck von Verantwortung – gegenüber dem Finanzamt, gegenüber der eigenen Datensouveränität und letztlich gegenüber dem eigenen Unternehmen.

Wer die Ordnungsmäßigkeit seiner digitalen Buchführung in den Griff bekommt, stärkt nicht nur die Beweiskraft seiner Zahlen, sondern auch das Vertrauen, das digitale Geschäftsprozesse tragen muss.

Die aktualisierten BMF-Schreiben zu GoBD, E-Rechnung und Außenprüfung sowie der BSI-Grundschutz liefern dafür die rechtlichen und technischen Leitplanken. Doch entscheidend ist, wie sie im Alltag tatsächlich umgesetzt werden – durch klare Zuständigkeiten, dokumentierte Verfahren und überprüfbare Kontrollen.

Das Sicherheitsdreieck aus Technik, Organisation und Dokumentation schafft dabei die operative Struktur, um Datensicherheit dauerhaft zu leben. Es verbindet Ordnung mit Effizienz und sorgt dafür, dass deine digitale Buchführung kein unkalkulierbares Risiko bleibt, sondern ein strategischer Wettbewerbsvorteil wird.

---

🧭 Ausblick:
Im nächsten Beitrag zeigen wir, wie du aus deiner Verfahrensdokumentation ein lebendes Steuerungsinstrument machst. Es folgt also dein nächster Schritt von einer dokumentierten Ordnung hin zu der aktiven Unternehmenssteuerung mit einer prozessorientierten Verfahrensdokumentation (VerfDok), einem wirksamen Internen Kontrollsystem (IKS) und einem darauf aufbauenden Steuerkontrollsystem (SKS) als Ausdruck einer verantwortungsbewußten Unternehmensführung.