GoBD 2025 verstanden: Aufbewahrung, Hash-Chain, Manipulationsschutz

Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern (GoBD) sind kein neues Thema — das aktuelle BMF-Schreiben vom 14.07.2025 hat aber wichtige Punkte zur digitalen Belegverarbeitung präzisiert. Wer KI in die Vorerfassung lässt, muss zeigen können, was die Maschine entschieden hat, wann und auf welcher Grundlage.

Unveränderbarkeit ist die Basis

Jeder buchungsrelevante Beleg muss ab dem Eingang gegen unbemerkte Änderung gesichert sein. In der Praxis heißt das: das Original wird hashbar abgelegt, jede Mutation als neuer Datensatz mit Bezug zum vorigen — eine Hash-Chain. Wer die Kette unterbricht, fällt im Prüfung-Bericht auf.

ISO-8601-Zeitstempel, nicht „heute Vormittag”

Die GoBD verlangen einen nachvollziehbaren Zeitstempel je Mutation. Der Standard ist ISO 8601 mit Zeitzone: `2026-05-15T09:42:17+02:00`. Lokal-Strings wie „15.05.2026 morgens” reichen nicht. Wichtig auch: der Zeitstempel kommt vom Server, nicht vom Client-Browser — sonst lässt er sich manipulieren.

10 Jahre Aufbewahrung — auch für KI-Entscheidungen

Belege werden 10 Jahre aufbewahrt (§ 147 AO). Was viele Kanzleien noch nicht umsetzen: die KI-Entscheidung selbst gehört zur Aufbewahrung. Welches Modell hat den Vorschlag erzeugt? Welche Konfidenz hatte er? Auf welche Fundstelle stützt er sich? Diese Metadaten müssen genauso lange greifbar bleiben wie der Beleg selbst.

Verfahrensdokumentation — der unterschätzte Hebel

Die Verfahrensdokumentation beschreibt, wie Belege in Ihrer Kanzlei verarbeitet werden — von Eingang bis Archiv. Bei einer Außenprüfung ist das oft der erste Blick des Prüfers. Eine gute Verfahrensdokumentation enthält:

• Eingangskanäle (E-Mail, Scan, WhatsApp, Portal) mit jeweiliger Verantwortlichkeit
• Verarbeitungsschritte inkl. eingesetzter Software und KI-Modelle
• Berechtigungskonzept (Wer darf was — auch lesen?)
• Sicherungs- und Wiederanlauf-Verfahren
• Aufbewahrungs- und Löschkonzept

Der Z3-Export für die Außenprüfung

Wenn der Prüfer kommt, möchte er die Daten typischerweise im Z3-Format (digitaler Datenträgerzugriff). Das ist eine strukturierte Ablage aller buchungsrelevanten Daten plus index.xml als Inhaltsverzeichnis. Eine moderne Pipeline erzeugt diesen Export auf Knopfdruck — manuelle Zusammenstellung am Prüfungstag ist kein realistischer Plan.

Compliance-Checkliste für Ihre Pipeline

• SHA-256-Hash über jedes Original-Beleg-PDF beim Eingang
• Hash-Chain über alle Mutationen (Status-Wechsel, Korrekturen, Freigaben)
• ISO-8601-Zeitstempel mit Zeitzone, server-seitig erzeugt
• Metadaten je KI-Entscheidung: Modell, Modell-Version, Konfidenz, Fundstelle
• Z3-Export auf Knopfdruck inkl. index.xml
• Verfahrensdokumentation aktuell gehalten (mindestens einmal jährlich Review)
• Aufbewahrung 10 Jahre — auch nach Vertragsende mit dem Software-Anbieter

buchungswerk.ai erfüllt diese Punkte standardmäßig: jede Mutation wird gehasht, jede KI-Entscheidung mit Fundstelle gespeichert (siehe Legal-RAG), Z3-Export ist eingebaut. Was Sie als Kanzlei tun: Ihre Verfahrensdokumentation um das Modul ergänzen — eine Vorlage finden Sie im Hilfe-Center.