Wissen für Steuerkanzleien

GoBD-Compliance für Steuerkanzleien: Die praktische Checkliste 2026

GoBD ist keine abstrakte Compliance-Übung, sondern bestimmt jeden Tag, wie Sie Belege erfassen, Buchungen erstellen und Ihre Mandate archivieren. Diese Checkliste fasst die zehn praktischen Anforderungen zusammen, die jede Kanzlei nachweisen können muss — mit den passenden §-Verweisen aus AO und BMF-Schreiben.

Daniel Sangermann
Daniel Sangermann
CTO & Gründer · 29. April 2026 · 11 Min. Lesezeit

Was die GoBD fordert — Kurzfassung

Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) wurden zuletzt durch das BMF-Schreiben vom 28. November 2019 aktualisiert. Sie konkretisieren die Anforderungen aus §§ 145 bis 147 AO für digitale Buchführung und sind verbindlich für jede Kanzlei, die digital arbeitet — und das tun heute praktisch alle.

Die sechs Kernanforderungen lauten: Nachvollziehbarkeit, Vollständigkeit, Richtigkeit, zeitgerechte Buchungen, Ordnung und Unveränderbarkeit. Jede nachträgliche Änderung muss protokolliert sein, damit die Datenwahrheit über die Aufbewahrungsfrist hinweg überprüfbar bleibt. Verstöße führen im günstigen Fall zu Hinzuschätzungen nach § 162 AO; im schlechten Fall zur Verwerfung der Buchführung.

Quellen

  • AO §§ 145–147§§ 145, 146, 147 AO (Quelle)
  • BMF-Schreiben GoBDBMF-Schreiben vom 28.11.2019, IV A 4 - S 0316/19/10003 :001 (Quelle)

Die zehn praktischen GoBD-Pflichten

Statt der akademischen Definition: was muss eine Kanzlei im Alltag konkret tun? Diese zehn Punkte decken die häufigsten Prüfungsfeststellungen ab.

  • Verfahrensdokumentation pro Mandant — System, Datenflüsse, Kontrollen, Verantwortlichkeiten. Ohne sie keine GoBD-Konformität.
  • Zeitgerechte Buchung: Kasseneinnahmen täglich, alle anderen Geschäftsvorfälle innerhalb von zehn Tagen erfassen. Spätere Korrekturen sind protokollpflichtig.
  • Belege vor Buchung digitalisieren oder im Original archivieren — Doppelablage ohne klaren Status verletzt die Ordnungsanforderung.
  • Unveränderbarkeit der Buchungen: technische Sperre nach Festschreibung. WORM-Speicher oder vergleichbare Mechanismen.
  • Maschinelle Auswertbarkeit: Daten müssen so vorgehalten werden, dass die Finanzverwaltung im Rahmen der Außenprüfung lesend, sortierend und filternd zugreifen kann (Z3-Datenträgerüberlassung).
  • Aufbewahrungsfristen einhalten — siehe Abschnitt unten zu § 147 AO.
  • Audit-Trail über jede Datenänderung: wer, wann, was, warum. Der Trail selbst ist Teil der aufbewahrungspflichtigen Unterlagen.
  • Datensicherung mit Wiederherstellungstest. Eine Sicherung, die niemand je restored hat, gilt im Streitfall als nicht vorhanden.
  • Berechtigungskonzept: rollenbasierter Zugriff, dokumentiert, regelmäßig überprüft.
  • Prüfung auf vollständige Datenübernahme bei Systemwechseln. Ohne Migrations-Verfahrensdokumentation droht Rückwirkung.

Aufbewahrungsfristen nach § 147 AO

Die Frist beginnt mit Schluss des Kalenderjahres der letzten Eintragung. Digitale Wiedergabe ist zulässig, wenn sie GoBD-konform jederzeit lesbar und maschinell auswertbar ist — Papierausdruck reicht nicht.

Seit dem Vierten Bürokratieentlastungsgesetz wurden die Fristen für Buchungsbelege verkürzt. Andere Unterlagen-Kategorien sind unverändert. Aufpassen: Ablauf der zivilrechtlichen Verjährung kann längere Aufbewahrung rechtfertigen — pauschale Frühlöschung nach Ablauf der Steuerfrist ist riskant.

  • Bücher, Aufzeichnungen, Inventare, Jahresabschlüsse, Eröffnungsbilanzen, Lageberichte, Handels- und Geschäftsbriefe (empfangen): 10 Jahre
  • Buchungsbelege (seit 2025): 8 Jahre (vorher 10 Jahre)
  • Sonstige Unterlagen mit steuerlicher Bedeutung: 6 Jahre
  • Die Verfahrensdokumentation selbst: für die Dauer der Aufbewahrungspflicht der zugrundeliegenden Unterlagen

Quellen

  • § 147 AO§ 147 Abs. 3 AO (Quelle)
  • Viertes BürokratieentlastungsgesetzBGBl. I 2024 S. 322 (BEG IV)

Die Verfahrensdokumentation — der häufigste Prüfungsmangel

Bei rund 70 Prozent der Außenprüfungen, in denen GoBD-Mängel festgestellt werden, fehlt entweder die Verfahrensdokumentation oder sie ist veraltet. Sie muss System, Datenflüsse, Kontrollen und organisatorische Maßnahmen pro Mandant beschreiben — nicht abstrakt, sondern konkret genug, dass ein außenstehender Prüfer den Buchführungsprozess in der Kanzlei rekonstruieren kann.

Kernbestandteile: allgemeine Beschreibung, Anwendungs- und Datenbeschreibung, Beschreibung der Programme und Schnittstellen, Auflistung der eingesetzten Hard- und Software, Mandatsbezogene Besonderheiten, Notfallkonzept und Kontrollmaßnahmen. Kanzleisoftware wie DATEV, Agenda oder Lexware liefert Bausteine, die Mandatsspezifik bleibt aber Aufgabe der Kanzlei. Eine PrimeBalance-Verfahrensdokumentation pro Mandant wird automatisch generiert und mit jeder Konfigurationsänderung versioniert — ein typischer Punkt, an dem sich der Mehraufwand der Workflow-Automatisierung gegenüber reinem Belegtransfer rechnet.

Audit-Trails und Unveränderbarkeit in der Praxis

Die GoBD verlangt nicht, dass Buchungen unveränderlich erstellt werden — sie verlangt, dass jede Änderung nachvollziehbar protokolliert ist. In der Praxis bedeutet das: ein technisches Sperrverfahren nach Festschreibung (Monatsabschluss), ein Korrekturbuchungsmechanismus mit Bezug zur Originalbuchung, und ein Audit-Log, das wer-wann-was-warum für jede Änderung enthält.

Das Log selbst ist aufbewahrungspflichtig. Wer Audit-Trails nur 30 Tage rollend speichert (häufig die Default-Konfiguration vieler Cloud-Tools), verletzt § 147 AO. Ein revisionssicherer Speicher mit zehn Jahren Vorhaltedauer ist Mindeststandard. PrimeBalance protokolliert jede Agenten-Aktion mit Zeitstempel, Versionsverlauf und unveränderlicher Hash-Verkettung — der Trail ist Teil der gleichen Verfahrensdokumentation wie die Buchung selbst.

Datenzugriff der Finanzverwaltung — Z1, Z2, Z3

Bei Außenprüfungen unterscheidet § 147 Abs. 6 AO drei Zugriffsarten:

Z1 (unmittelbarer Zugriff) — der Prüfer sitzt in der Kanzlei und arbeitet selbst mit dem System. Berechtigungen und Lesefunktionen müssen vorbereitet sein.

Z2 (mittelbarer Zugriff) — der Prüfer benennt Auswertungen, die Kanzlei führt sie aus. Voraussetzung: das System unterstützt die geforderten Filter, Sortierungen und Exporte.

Z3 (Datenträgerüberlassung) — strukturierte Exportdaten werden auf einem Datenträger oder per sicherem Transfer übergeben. Format: in der Regel CSV oder GDPdU-Beschreibungsdatei mit zugehörigen Daten. Die Beschreibungsdatei ist Pflicht; ein bloßer CSV-Dump ist nicht ausreichend.

Kanzleisoftware sollte alle drei Modi unterstützen. PrimeBalance exportiert in DATEV-Formaten (KNE, ASCII), in CSV mit GDPdU-Beschreibungsdatei und stellt für Z1/Z2 dedizierte Lesemodi bereit.

Die häufigsten Mängel — und wie sie zu vermeiden sind

Aus der Erfahrung mit Betriebsprüfungen lassen sich fünf wiederkehrende Problemfelder identifizieren. Jeder einzelne kann zu Hinzuschätzungen führen.

  • Verfahrensdokumentation veraltet (>1 Jahr) oder generisch — Lösung: jährliche Überprüfung, mandatsspezifische Anpassung bei Konfigurationsänderungen
  • Buchungen ohne Beleg-Verknüpfung — Lösung: Beleg-Hash-Anker bei jeder Buchung, technisch erzwungen
  • Audit-Log lückenhaft (Start-/Stopp-Zeiten, Wartungsfenster, Backup-Restores nicht erfasst) — Lösung: System-Audit-Log mit Buchungs-Audit-Log zusammenführen
  • E-Mail-basierter Belegtransport ohne Verschlüsselung — Lösung: TLS-Pflicht plus signierte Inhalte; bei sensiblen Daten Ende-zu-Ende-Verschlüsselung
  • Cloud-Daten außerhalb der EU oder ohne Auftragsverarbeitungsvertrag — Lösung: DSGVO-Audit der Hosting-Region (PrimeBalance: Frankfurt am Main, Google Cloud europe-west3) und schriftliche AVV mit allen Subverarbeitern

GoBD und KI — was 2026 zusätzlich gilt

KI-gestützte Buchhaltung ändert nichts an den GoBD-Pflichten — aber sie verschiebt, wo sie technisch verankert sein müssen. Drei Punkte sind 2026 besonders relevant: Erstens, jede KI-Aktion ist eine "Verarbeitung" im Sinne der Verfahrensdokumentation und muss dort beschrieben sein. Zweitens, die Trainingsdaten und Modellversionen, mit denen Vorschläge erzeugt werden, gehören in die Dokumentation. Drittens, die berufsrechtliche Verantwortung verbleibt beim Steuerberater (StBerG) — der KI-Vorschlag ersetzt nicht die Prüfung, sondern unterstützt sie. Freigabe-Gates vor jeder finalen Buchung und Übermittlung sind kein nice-to-have, sondern Voraussetzung für GoBD-Konformität.

Konkret: 60-Minuten-Quick-Check für Ihre Kanzlei

Wenn Sie heute prüfen wollen, ob Ihre Kanzlei GoBD-konform aufgestellt ist, beantworten Sie folgende sechs Fragen:

  • Existiert für jeden aktiven Mandanten eine Verfahrensdokumentation, die jünger als 12 Monate ist? Wenn nein: kritisch.
  • Können Sie für eine beliebige Buchung der letzten zwei Jahre die zugehörige Beleg-Datei plus den Audit-Trail aufrufen? Wenn nein: kritisch.
  • Wenn Sie eine Buchung im Vorjahr ändern wollen, wird das technisch unterbunden bzw. erzeugt eine Korrekturbuchung mit Bezug zur Originalbuchung? Wenn nein: hoch.
  • Werden Backups regelmäßig wiederhergestellt und der Restore protokolliert? Wenn nein: hoch.
  • Haben Sie eine schriftliche AVV mit jedem Cloud-Anbieter (Belegerfassung, Buchhaltungssoftware, Hosting)? Wenn nein: kritisch (DSGVO + GoBD).
  • Können Sie auf Anforderung der Finanzverwaltung Z3-Datenträger inklusive Beschreibungsdatei innerhalb von 5 Werktagen liefern? Wenn nein: hoch.

Verwandte Themen