Ein Audit-Trail protokolliert lückenlos jede Datenänderung im ERP-System: wer, was, wann, warum, von wo. Pflicht nach GoBD, 21 CFR Part 11, NIS-2 und vielen Branchenregulierungen.
Pflichtinhalte
User-ID
Zeitstempel (UTC, sekundengenau)
IP-Adresse
Geänderter Datensatz (Vorher/Nachher)
Aktion (Create, Read, Update, Delete)
Begründung (bei sensitiven Operationen)
Best Practices
Audit-Trail UNVERÄNDERBAR ablegen (Append-Only)
Mindestens 10 Jahre aufbewahren
Separate Tabelle/DB von Produktivsystem
Zugriff auf Audit-Trail logging-pflichtig
Praxis-Beispiel
Ein Pharma-Hersteller erfüllt die GMP-Anforderungen mit einem revisionssicheren Audit-Trail im ERP: jede Datenänderung wird mit Zeitstempel, User-ID, alter und neuer Wert protokolliert. Auditoren der Behörden können nachvollziehen, wer wann welche Stammdaten oder Buchungen geändert hat. Auch bei Compliance-Themen wie GoBD, ISO 27001 oder DSGVO ist Audit-Trail Pflicht. Moderne Cloud-ERPs (Microsoft Dynamics 365, SAP S/4HANA, NetSuite) bringen Audit-Logs sitewide im Standard mit.
Wie lange müssen Audit-Logs aufbewahrt werden? Steuerlich relevante Buchungs-Logs: 10 Jahre (HGB §257). DSGVO-relevante Datenzugriffe: oft 3-6 Jahre. GMP-Pharma: 30 Jahre für klinische Daten. Branchen-spezifisch unterschiedlich. Reicht der Standard-Audit-Trail eines ERP? Für die meisten Mittelständler ja. Bei stark regulierten Branchen (Pharma, Medizinprodukte) müssen oft Spezialfunktionen ergänzt werden — z. B. signierte Genehmigungen für Stammdaten-Änderungen.
Ein Pharmaunternehmen unter FDA-Aufsicht dokumentiert jede Veränderung in seinem ERP über einen lückenlosen Audit-Trail: Wer hat wann welche Daten verändert, von welchem Wert auf welchen, und mit welcher Begründung. Pflicht nach 21 CFR Part 11.
Das ERP-System (SAP, Oracle Fusion Cloud, Infor) protokolliert jede Buchung, jede Stammdatenänderung, jede Freigabe — revisionssicher und unveränderlich.
Compliance-Pflicht: GoBD, SOX, FDA Part 11, ISO 27001 — alle verlangen vollständige Audit-Trails.
Retention: typisch 10 Jahre archiviert, manche Branchen bis 30 Jahre.
