Prüfung & Audit — Übersicht
GoBD verlangt von Buchhaltungs-Systemen: Unveränderbarkeit, Nachvollziehbarkeit und Vollständigkeit. Craken liefert diese Eigenschaften über drei zusammenwirkende Bausteine:
| Baustein | Was es speichert | Eigenschaft |
|---|---|---|
| MinIO | Original-Dateien | Object-Lock COMPLIANCE — physisch nicht löschbar bis Retention-Ablauf |
| PostgreSQL | Stand der Beleg-Felder, Buchung, Lieferanten-Stamm | Mutable, aber jede Änderung erzeugt einen Audit-Eintrag in immudb |
| immudb | Audit-Kette (jede relevante Aktion) | Merkle-verkettet — jede Änderung im Verlauf ist verifizierbar |
Detailseiten
- Audit-Kette (immudb) — wie die Kette aufgebaut ist und wie man Einzelnachweise extrahiert.
- USt-IdNr.-Verlauf — die VIES-Spur pro Beleg (was wann mit welchem Ergebnis geprüft wurde).
- GoBD-Export (Verfahrensdokumentation) — das gebundelte Export-Format für Steuerprüfer, inkl. Verfahrensdokumentation und Hash-Anker.
Schreibrichtung: einmal rein, nie wieder raus
change_reason ist Pflichtfeld bei jeder Korrektur — sonst wird die
Änderung zurückgewiesen. Damit steht im Audit nicht nur was geändert
wurde, sondern auch warum.
Wer darf was lesen?
Authentik (OIDC-Provider hinter Traefik forward-auth) entscheidet, wer
zugreifen darf. Pro Mandant gibt es eine tenant_<slug>_admin-Rolle
plus eine globale kraken-admin-Rolle. Mehr in
ADR-0063 Multi-Tenancy.
DSGVO Art. 28 verlangt, dass operative Zugriffe (DB-Admin, Logs) nachweisbar protokolliert werden — Craken loggt diese in Loki, anonymisiert nach PII-Mustern (siehe Backlog-Item #117).