GoBD-Export (Verfahrensdokumentation)
Bei einer Betriebsprüfung verlangt das Finanzamt typischerweise:
- Die Verfahrensdokumentation — Beschreibung, wie das System arbeitet, welche Kontrollen es gibt, wer Zugriff hat.
- Die Belege — Originale + extrahierte Felder + Buchungsdaten.
- Den Beweis, dass nichts nachträglich verändert wurde.
Craken liefert all das als gebundeltes ZIP über die GoBD-Export-Funktion in der Admin-Konsole.
Bundle-Aufbau
Die Verfahrensdokumentation selbst
Sie wird aus Templates pro Tenant erzeugt und enthält die in GoBD-IDW verlangten Class-A/B/C/D-Bereiche:
| Class | Bereich |
|---|---|
| A — Systembeschreibung | Architektur, Schnittstellen, Speicherorte |
| B — Datenflüsse | Eingang → Extraktion → Klassifikation → Buchung |
| C — Kontrollen & Berechtigungen | Wer darf was, Vier-Augen-Prinzip, Auto-Approval-Schwellen |
| D — Notfall- & Aufbewahrung | Backup-Strategie, Restore-Drill, Aufbewahrungsfristen |
Was Sie tun
Im Admin-Bereich Konfiguration → Audit → GoBD-Export:
Der Export ist ein Temporal-Scheduled-Workflow — Sie können einen festen Quartals- oder Jahres-Rhythmus einstellen, oder den Export ad-hoc nach Klick. Bei großen Mandanten dauert ein Quartals-Bundle typischerweise 2–5 Minuten.
Verifikation durch den Prüfer
Der Steuerprüfer (oder dessen Software, wie IDEA von der Audicon AG)
liest index.xml und navigiert von dort durch die Daten:
Die Prüfer-Software validiert dabei automatisch das XML-Schema und führt Stichprobenkontrollen — z. B. ob ein bestimmter Buchungs-Datensatz einen verifizierbaren Verlauf in immudb hat.
Eigenständiges Verify-CLI
Für Steuerprüfer, die nicht das volle Craken-System aufsetzen möchten,
plant Craken ein eigenständiges CLI kraken-verify-export, das nur
die audit-chain/-Inhalte liest und die kryptographische Verkettung
prüft.
Stand: in Vorbereitung (Backlog #213).
Aufbewahrungsfristen
| Dokumenttyp | Frist | Gesetzliche Grundlage |
|---|---|---|
| Buchungs-Belege (Rechnungen) | 10 Jahre | § 147 Abs. 3 AO |
| Verträge | 10 Jahre nach Beendigung | § 147 Abs. 3 AO |
| Korrespondenz (Mahnungen etc.) | 6 Jahre | § 147 Abs. 3 AO |
| Lieferanten-Stammdaten | 10 Jahre nach letztem Beleg | abgeleitet |
Object-Lock im MinIO ist auf die jeweilige Frist eingestellt; bis zum Ablauf kann selbst ein Administrator das Original nicht löschen.