GoBD – Grundsätze ordnungsmäßiger Buchführung in digitaler Form
Definition: Die GoBD – Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff – sind ein Schreiben des Bundesfinanzministeriums, das die Anforderungen an digital geführte Buchhaltung und steuerrelevante IT-Systeme – allen voran ERP-Systeme – konkretisiert.
Die GoBD legen fest, wie Unternehmen ihre Bücher, Aufzeichnungen und Belege digital führen, archivieren und der Finanzverwaltung im Rahmen einer Außenprüfung zugänglich machen müssen. Sie gelten für alle steuerpflichtigen Unternehmen in Deutschland und sind damit ein zentraler Compliance-Faktor jedes ERP-Projekts.
Grundsätze und Anforderungen
Die GoBD basieren auf den klassischen Grundsätzen ordnungsmäßiger Buchführung: Nachvollziehbarkeit, Nachprüfbarkeit, Vollständigkeit, Richtigkeit, zeitgerechte Buchungen, Ordnung und Unveränderbarkeit. In der digitalen Welt werden diese Grundsätze technisch umgesetzt, etwa durch revisionssichere Speicherung, Audit-Trails und manipulationssichere Belegketten.
Besonders relevant ist der Grundsatz der Unveränderbarkeit (Rz. 107 ff. GoBD): Einmal gebuchte Belege dürfen nicht ohne Spurenhinterlassung geändert werden. ERP-Systeme setzen das durch Storno- und Korrekturbuchungen, gesperrte Buchungsperioden und unveränderliche Journale um.
Verfahrensdokumentation
Die GoBD verlangen eine aussagekräftige Verfahrensdokumentation, in der alle für die Buchführung relevanten Prozesse, Systeme und Kontrollen beschrieben sind. Dazu gehören mindestens: allgemeine Beschreibung, Anwenderdokumentation, technische Systembeschreibung und Betriebsdokumentation. Die Dokumentation muss aktuell gehalten und versioniert werden.
Im ERP-Kontext umfasst sie typischerweise Belegfluss, Buchungslogik, Schnittstellen zu Vor- und Folgesystemen, Berechtigungskonzept, Archivierungslösung sowie Notfall- und Backup-Strategie. Bei Außenprüfungen ist die Verfahrensdokumentation eine der ersten angefragten Unterlagen.
Datenzugriff durch die Finanzverwaltung
Die GoBD definieren drei Zugriffsarten: Z1 (unmittelbarer Lesezugriff durch den Prüfer auf das System), Z2 (mittelbarer Zugriff über vorbereitete Auswertungen) und Z3 (Datenträgerüberlassung in einem auswertbaren Format). ERP-Systeme müssen diese Zugriffsformen technisch unterstützen, oft über GDPdU-/GoBD-Exporte mit standardisierter Beschreibungsdatei.
Praktisch wichtig sind Konsistenz zwischen Buchführung und Belegen, eindeutige Belegnummern, lückenlose Periodenabschlüsse und die Möglichkeit, einzelne Geschäftsvorfälle vom Beleg bis zum Jahresabschluss durchgängig zurückzuverfolgen (Belegfunktion).
Aufbewahrung und Migration
Steuerrelevante Daten und Belege sind in der Regel zehn Jahre, Handelsbriefe sechs Jahre aufzubewahren – maschinell auswertbar und im Originalformat. Bei einem Systemwechsel müssen entweder Daten in das neue System migriert oder Altsysteme bzw. Archivlösungen für die Restdauer betriebsbereit gehalten werden.
Internes Kontrollsystem und Funktionstrennung
Die GoBD setzen ein wirksames internes Kontrollsystem (IKS) voraus. Im ERP umfasst das mindestens: ein durchdachtes Rollenkonzept mit Funktionstrennung (z. B. Buchung vs. Zahlungsfreigabe), zugriffsgeschützte Buchungsperioden, Vier-Augen-Prinzip für kritische Transaktionen, Plausibilitätsprüfungen und automatisierte Workflow-Genehmigungen.
Daneben sind regelmäßige Datenqualitätskontrollen, dokumentierte Korrekturprozesse und revisionssichere Protokolle für Stammdatenänderungen Pflicht. Bewährt sind monatliche Abschlussroutinen mit Periodensperre, jährliche Berechtigungsreviews und stichprobenartige Belegprüfungen durch die interne Revision.
GoBD-Konformität von Vor- und Nebensystemen
Nicht nur das ERP selbst, auch alle vor- und nachgelagerten Systeme – Kassensysteme, Webshops, Reisekostentools, mobile Apps, Lieferanten-Portale – müssen GoBD-konform sein, sofern sie steuerrelevante Daten erfassen oder verarbeiten. Wesentlich sind hier durchgängige Belegketten, eindeutige Schnittstellenprotokolle und unveränderbare Datenübergaben.
In der Praxis fragt die Außenprüfung gezielt nach diesen Schnittstellen, ihrer Dokumentation und nachvollziehbarer Übergabeprotokolle. Wer hier saubere Verfahrensbeschreibungen, technische Logs und automatisierte Reconciliations vorweisen kann, reduziert Prüfungsrisiken erheblich.
Nein, die GoBD sind ein BMF-Schreiben und damit eine Verwaltungsanweisung der Finanzverwaltung. Sie konkretisieren jedoch gesetzliche Vorgaben aus AO, HGB und UStG. Verstöße können zu formellen Buchführungsmängeln und im Extremfall zu Schätzungen führen.
Reicht ein zertifiziertes ERP-System für GoBD-Konformität aus?
Nein. Eine reine Softwarezertifizierung ist nicht ausreichend, da auch die organisatorische Einbettung – Prozesse, Berechtigungen, Verfahrensdokumentation, Schulung – stimmen muss. Wichtige Anbieter lassen ihre Systeme dennoch durch Wirtschaftsprüfer testieren, was als Indiz für die technische GoBD-Tauglichkeit dient.
Praxis-Relevanz und Implementierungs-Aufwand hängen stark von der bestehenden System-Landschaft und den abzubildenden Geschäftsprozessen ab.
Was ist der Unterschied zwischen GoBD und DSGVO ?
Die GoBD regeln steuerliche Pflichten zur Buchführung und Datenaufbewahrung, die DSGVO regelt den Schutz personenbezogener Daten. Beide sind parallel zu erfüllen und können in Konflikt geraten – insbesondere bei der Frage, wann Daten gelöscht werden dürfen oder müssen.
Bei US-Cloud-Anbietern bleibt nach dem Schrems-II-Urteil eine rechtliche Restunsicherheit, weshalb für sensible Daten EU-Hosting empfohlen wird.
