Verfahrens- und Prozessdokumentation der Hotelsoftware Casona (SaaS)

Version: 1.2.1 — Stand: Juni 2026
Anbieter: Casona GmbH & Co. KG, Stadthausbrücke 8, 20355 Hamburg
Kontakt: support@casona.com

GoBD-konform • Kombiniertes Verfahren & Prozesse

Inhaltsverzeichnis

  1. Zweck, Geltungsbereich & Zielgruppen
  2. Begriffe & Abkürzungen
  3. Rollen & Verantwortlichkeiten
  4. Systemübersicht
  5. Datenarten & Datenflüsse
  6. Geschäftsprozesse
  7. Verfahrensbeschreibung nach GoBD
  8. Datenschutz & Informationssicherheit
  9. Benutzer- & Rechteverwaltung
  10. Schnittstellen & Integrationen
  11. Datenaufbewahrung, Archivierung & Löschung
  12. Backups & Wiederherstellung (BC/DR)
  13. Change-, Release- & Konfigurationsmanagement
  14. Protokollierung, Überwachung & Audit-Trail
  15. Berichtswesen & Prüf-Paket
  16. Bereitstellung für Prüfer:innen
  17. Qualitätssicherung & interne Kontrollen
  18. Sicherheits- & Incident-Management
  19. E-Rechnung & Belegwesen
  20. Kassensystem-Anbindung (optional)
  21. Mandanten-Onboarding & -Offboarding
  22. Dokumentenlenkung & Versionierung
  23. Zusätzliche GoBD-nahe Anwender- & Betriebsregeln
  24. Anhang A: Rechtsgrundlagen & Normenstellen

1. Zweck, Geltungsbereich & Zielgruppen

Zweck: Diese Dokumentation beschreibt die organisatorischen und technischen Prozesse sowie das Verfahren der elektronischen Erfassung, Verarbeitung, Aufbewahrung und Bereitstellung steuerlich relevanter Daten in Casona. Sie dient als Verfahrens- und Prozessdokumentation gemäß GoBD und unterstützt Kund:innen, Steuerberater:innen und Prüfer:innen bei der Nachvollziehbarkeit.

Geltungsbereich: Alle produktiven Komponenten von Casona (SaaS), inkl. Web-Frontend, Backend, Datenbank, Storage, Monitoring sowie angebundene Schnittstellen (z. B. Payment, Buchhaltung, Channel-Manager). Optional: verbundene POS-/Kassensysteme.

Zielgruppen: Kund:innen (Hotelbetriebe), interne Fachbereiche (Entwicklung, Betrieb, Support), externe Prüfer:innen.

Bezugsvorschriften: GoBD (BMF-Schreiben 28.11.2019, anwendbar ab 01.01.2020), AO §§ 146/147, DSGVO/AVV, ggf. KassenSichV/TSE (bei Kassenanbindung), DSFinV-K (aktuelle Version), EN 16931 (E-Rechnung), handels- und steuerrechtliche Aufbewahrungsfristen, ggf. PCI DSS (Zahlungskarten).

2. Begriffe & Abkürzungen

  • GoBD: Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung.
  • Z1/Z2/Z3: Zugriffsarten der Finanzverwaltung nach GoBD: Z1 unmittelbarer Zugriff (Read-only), Z2 mittelbarer Zugriff (Auswertungen durch den/die Steuerpflichtige:n), Z3 Datenträgerüberlassung (IDEA-kompatibel).
  • GoBD-Export (Z3/IDEA-DLS), DSFinV-K: Verfahren/Formate zur Datenbereitstellung für Betriebsprüfungen.
  • DSFinV-K 2.3: Digitale Schnittstelle der Finanzverwaltung für Kassensysteme (aktuelle Version, siehe Abschnitt 20).
  • TSE: Technische Sicherheitseinrichtung (bei elektronischen Aufzeichnungssystemen).
  • PMS: Property Management System (Hotelverwaltung).
  • AVV: Auftragsverarbeitungsvertrag (Art. 28 DSGVO).
  • RBAC: Role-Based Access Control.
  • RPO/RTO: Recovery Point/Time Objective.
  • SoA: Statement of Applicability (Informationssicherheit).

3. Rollen & Verantwortlichkeiten

RolleIntern/ExternVerantwortlichkeiten
GeschäftsführunginternFreigabe dieser Dokumentation, Ressourcen, Compliance-Strategie
Leitung Technik (CTO)internArchitektur, Betrieb, Sicherheitsvorgaben, Change- und Release-Management
Produktverantwortung (PO)internProzessdefinitionen, Funktionsfreigaben, Release-Notes
Datenschutzkoordination / Datenschutzverantwortliche Stelleintern/externDSGVO-Compliance, AVV/TOMs, Löschkonzepte, Koordination von Betroffenenanfragen und Datenschutzvorfällen
IT-Sicherheit (CISO/ISO)internInformationssicherheits-Management, Risikoanalysen, SoA
Betrieb/DevOpsinternHosting, Backups, Monitoring, Störungs- und Notfallmanagement
SupportinternTickets, Änderungs-/Stornoprozesse nach Berechtigung, Kundendokumentation
Kund:in (Hotel)externOrdnungsgemäße Anwendung, Benutzerverwaltung, Beleg- und Prozesshoheit
Steuerberatung/PrüfungexternPrüfung, Auswertung bereitgestellter Datenexporte

4. Systemübersicht (High-Level)

  • Bereitstellung: Multimandantenfähiges SaaS (Hetzner Online GmbH), isolierte Mandantendaten.
  • Frontend: Web (HTML5/JS, SvelteKit) & API (REST/JSON), TLS 1.2+.
  • Backend: Ruby on Rails-Anwendung, PostgreSQL-Datenbank, objektbasiertes Dokumenten-Storage (Rechnungs-PDFs, Logs, Exporte).
  • Konfiguration: IaC (z. B. Terraform/Ansible), CI/CD, getrennte Umgebungen (Dev/Stage/Prod).
  • Mandantentrennung: Logische Trennung per Mandanten-ID; kein Cross-Tenant-Zugriff.
  • Protokollierung: Zentralisierte Logs (Anwendungs-, Audit- und Admin-Logs), revisionssichere Speicherung relevanter Ereignisse.
  • Schnittstellen: Payment, Buchhaltung (DATEV/Export), Channel-Manager/OTA, Kassensystem/POS, Kurtaxen-Abrechnung, Bankkonten, Schließsysteme, Mailing

Architekturskizze: Mandant → Web-App/API → App-Server → DB (Mandantentabellen) → Storage (Rechnungen/Anhänge) → Backup → Monitoring/Alerting.

5. Datenarten & Datenflüsse

Primärdaten: Gästedaten, Reservierungen, Leistungen, Preise, Steuern, Zahlungen, Rechnungen, Korrekturen/Stornos, Benutzerstammdaten, Rechte.

Belegobjekte: Angebot, Buchungsbestätigung, Meldeschein (landesrechtlich), Rechnung, Gutschrift, Zahlungsbeleg, Tagesabschluss/Night-Audit-Berichte.

Datenflüsse (vereinfacht):

  1. Erfassung (Buchung/Leistung/Preis)
  2. Freigabe/Night-Audit
  3. Rechnungserstellung (+ fortlaufende Rechnungsnummer)
  4. Zahlung (In-App oder extern)
  5. Export (Steuerberater/GoBD)
  6. Archivierung/Aufbewahrung

6. Geschäftsprozesse (Prozessbeschreibung)

6.1 Aufnahme & Verwaltung von Reservierungen
  • Kanäle: Direkt, Telefon, OTA/Channel-Manager, Gruppen.
  • Pflichtdaten: Gastname, An-/Abreise, Zimmer/Rate, Steuersatz, Leistungen.
  • Änderungen: Versioniert (Audit-Log), Kommentarfelder für Begründungen.
  • No-Show/Abbruch: Kennzeichnung & Gebührenregel gem. Tarif.
6.2 Check-in/Check-out
  • Identitätsprüfung gem. Hotelvorgaben; Meldeschein (Landesrecht) ablegen.
  • Finale Leistungszusammenstellung beim Check-out, Preis-/Steuerprüfung.
6.3 Rechnungserstellung
  • Fortlaufende, mandantenspezifische Rechnungsnummernkreise; Datums-/Zeitstempel.
  • Steuerlogik (Land/Ort, Beherbergungsabgabe), Netto/Brutto, Umsatzsteuerschlüssel.
  • Unveränderbarkeit: Nach Freigabe schreibgeschützt; Korrekturen ausschließlich via Storno/Gutschrift.
  • Ausgabe: PDF/A (optional mit Signatur-/Prüfsummeninfos) und ZUGFeRD-XML-Daten; Versand per E-Mail (protokolliert).
6.4 Korrekturen, Storno, Gutschrift
  • Kein Überschreiben freigegebener Belege.
  • Korrektur nur über Storno (Begründungspflicht, Referenz auf Ursprung) oder Gutschrift (Negativrechnung).
  • Audit-Trail enthält: Benutzer, Zeitpunkt, Grund, referenzierte Belege.
6.5 Zahlungen & Kassenbezug (optional)
  • Elektronische Zahlungen über Stripe (PCI-Umleitung/Tokenisierung); keine Primärspeicherung von PAN/CVV im PMS. SAQ-Pflichten liegen beim:bei der Kund:in abhängig von Integration & Volumen; PMS bleibt außerhalb des CHD-Scopes.
  • Bar-/POS-Zahlungen (falls bestellt): TSE-/DSFinV-K-konformer Export/Belegkette über fiskaly GmbH.
  • Zahlungsabgleich: Automatisierte Zuordnung Zahlung ↔ Rechnung über finAPI GmbH; Differenzenliste.
6.6 Night-Audit/Tagesabschluss
  • Automatisierter Tageswechsel: Abgrenzung, Steuersummen, Umsatztotal, House-Use/No-Show-Protokolle.
  • Berichte: Tagesjournal, Steuerreport, An-/Abreisen, Debitorenliste, Zahlungsmittelberichte.
  • Tageswechsel ohne Systemsperre: Der neue Tag beginnt automatisch; Abgrenzung erfolgt über Belegs-/Buchungsdatum. Nachträgliche Änderungen an freigegebenen Belegen nur via Storno/Gutschrift; alle Vorgänge werden auditierbar protokolliert.
6.7 Datenexporte (Steuerberater/Prüfung)
  • Z3/IDEA-Export gemäß Digitaler Schnittstelle (DLS) inkl. Struktur-/Stammdaten, Bewegungsdaten, Primärbeleg-Referenzen, Feldkatalog.
  • Z2 (mittelbarer Zugriff): Aufbereitete Standardauswertungen (Journal, Debitoren, Stornojournal, Steuersummen) auf Anforderung der Prüfer:in.
  • Z1 (unmittelbarer Zugriff): Zeitlich befristete Read-only-Prüferrolle auf Mandantendaten (keine Schreibrechte), inkl. Berichtsmodul.
  • DATEV/FiBu-Export (Sachkonten, Debitoren, OPOS) on-demand.

7. Verfahrensbeschreibung nach GoBD

7.1 Nachvollziehbarkeit & Nachprüfbarkeit
  • Vollständiger Audit-Trail je Objekt (Erstellung, Änderung, Freigabe, Storno, Export).
  • Ereignisprotokolle revisionssicher (Write-Once-Read-Many-Storage/Objektversionierung).
  • Dokumentierte Prozesse (diese Verfahrensdokumentation, Arbeitsanweisungen, Release-Notes).
7.2 Vollständigkeit, Richtigkeit, Zeitgerechtigkeit
  • Pflichtfelder/Validierungen im UI und API; Systemzeit via NTP synchronisiert; Zeitzonen-Handling dokumentiert.
  • Import-/Schnittstellenprüfungen mit Fehlerjournal und Wiederanlauf.
  • Zeitgerechte Erfassung: Interner Zielwert: Tagesgeschäft bis T+1 gebucht/freigegeben.
7.3 Unveränderbarkeit & Protokollierung
  • Schreibschutz veröffentlichter Belege; Änderungen nur via Nachfolgevorgang.
  • Versionierung: Vor-/Nach-Bild pro Datensatzänderung (wer/was/wann).
7.4 Aufbewahrung & Lesbarmachung
  • Aufbewahrungsfristen: Standard 10 Jahre (sofern Kund:in keine abweichenden Vorgaben setzt), siehe Abschnitt 11.
  • Lesbarkeit: Export in offenen Formaten (CSV/JSON/XML) plus Belege als PDF/A; Dokumentation der Datenstrukturen.
  • Mandantenwechsel/Vertragsende: Datenbereitstellung als Exportpaket inkl. Prüfsummen.
7.5 Datenzugriff der Finanzverwaltung (Z1/Z2/Z3)
  • Z1: Unmittelbarer Zugriff per Read-only-Rolle; Protokollierung aller Zugriffe.
  • Z2: Mittelbarer Zugriff über vordefinierte Auswertungen/Filter; Generierung durch Casona oder den/die Verantwortliche:n.
  • Z3: Datenträgerüberlassung als IDEA-kompatibles Paket (DLS-konforme Dateien, Feldkatalog, Prüfsummen-Manifest, Versionsstand).

8. Datenschutz & Informationssicherheit

8.1 DSGVO & AVV
  • Rollen: Kund:in = Verantwortliche:r; Casona = Auftragsverarbeiter.
  • AV-Vertrag inkl. Unterauftragsverarbeiterliste (Anlage UA-1) mit Versionsstand/Datum (z. B. Hosting, Mailing, Payment, Bankanbindung). Änderungen werden versioniert und bekanntgegeben.
  • Betroffenenrechte: Export, Berichtigung, Löschung, Einschränkung; Prozesse und Fristen dokumentiert.
  • Privacy by Design/Default: Datenminimierung, Pseudonymisierung wo möglich.
8.2 Technische und organisatorische Maßnahmen (TOMs)
  • Zugang/Zutritt: Rechenzentrums-Sicherheitsstandards (Hetzner Online GmbH, ISO/IEC 27001:2022-zertifiziert), MFA verpflichtend für Admin-Zugänge.
  • Zugriffssteuerung: RBAC, geringstes Privileg, mandantenbezogene Berechtigungen, regelmäßige Re-Zertifizierung.
  • Kryptographie: TLS 1.2+ in Transit; Verschlüsselung At-Rest (DB-/Volume-/Object-Encryption); Managed-Keys (KMS/HSM).
  • Schwachstellenmanagement: Regelmäßige Scans, Patching-Zyklen, Pen-Tests (mind. jährlich).
  • Protokollierung/Monitoring: Zentrales Log-Management, Alarmierung, Schutz vor Manipulation.
  • Lieferkette: Sicherheitsbewertung Unterauftragsverarbeiter, vertragliche Mindeststandards.
  • Datensicherung: 3-2-1-Strategie, verschlüsselte Backups, Restore-Tests.
8.3 PCI-DSS
  • Card-Data-Flow: Tokenisierung über Stripe Inc.; keine Speicherung sensibler Authentifizierungsdaten im PMS. PCI-SAQ je nach Integrationstyp & Volumen; PMS verbleibt außerhalb des CHD-Scopes.

9. Benutzer- & Rechteverwaltung

  • Identitäten: Einzelzugänge (E-Mail/IdP-Login).
  • MFA: verpflichtend für Admin- und buchhaltungsnahe Rollen (z. B. Rechnungsfreigabe, Exporte); für übrige Endnutzer empfohlen.
  • Rollenprofile (Beispiele): Rezeption, Housekeeping, Revenue, Buchhaltung, Management, Admin (kundenseitig).
  • Passwortrichtlinie: Länge, Komplexität, Rotations-/Sperrregeln; SSO/IdP-Integration.
  • Sitzungen: Timeout, parallele Logins begrenzt.
  • Protokollierung: Login-Erfolg/Fehlschlag, Rollenänderungen, kritische Aktionen.

10. Schnittstellen & Integrationen

BereichArtBeispieleSicherheit
BuchhaltungExport/APIDATEV-CSV, DATEV-XMLHTTPS
ZahlungAPIStripe (SCA/PSD2; SAQ je nach Integration; keine PAN/CVV im PMS)Redirect/Hosted Fields, signierte Webhooks
OTA/Channel-ManagerAPIWuBookOAuth2/API-Key, Raten-/Inventarsync
POS/KasseExport/APIfiskalyDSFinV-K, TSE-Belegverknüpfung
KurtaxeAPI/ExportAVS, cardXperts, FeratelStrukturierte XML/PDF-A-3
SchließsystemeAPISeamHTTPS, signierte Webhooks

Fehlerbehandlung: Retry-Strategien, Dead-Letter-Queues, Incident-Tickets.

11. Datenaufbewahrung, Archivierung & Löschung

  • Standard-Aufbewahrung (steuerrelevant): Daten & Belege 10 Jahre (GoBD/AO).
  • 6-Jahres-Fristen: z. B. empfangene Handelsbriefe und sonstige Geschäftsunterlagen, sofern nicht steuerlich 10 Jahre gefordert.
  • Protokolle: Audit-Trail (beleg-/buchungsrelevant) 10 Jahre; Sicherheits-/Systemlogs mind. 12 Monate (davon ≥ 3 Monate sofort abrufbar).
  • Archivierung: Warm/Cold-Storage, Objektversionierung, Prüfsummen; Wiederauffindbarkeit über Metadaten.
  • Löschung/Anonymisierung: Nach Fristende, Vertragsende oder auf Anweisung der Verantwortlichen; protokollierte Durchführung (Ticket/Change-ID).
Unterlagen/DatentypBeispieleFrist
Steuerlich relevante BelegeRechnungen, Gutschriften, Kassenbelege, Journale10 Jahre
GeschäftsunterlagenEmpfangene/abgesandte Handelsbriefe, Verträge6 Jahre
Audit-Trail (revisionsrelevant)Beleg-/Buchungsänderungen, Freigaben10 Jahre
Sicherheits-/SystemlogsAuth-/Admin-Logs, technische Events≥ 12 Monate (operativ)

12. Backups & Wiederherstellung (BC/DR)

  • Strategie: Täglich Voll-/inkrementell; RPO: 5 Min. via WAL/Point-in-Time-Recovery; RTO: 1 Std.
  • Georedundanz: Mind. 2 EU-Regionen (Standard: Deutschland).
  • Tests: Quartalsweise Restore-Tests (Stichproben + Vollwiederherstellung).
  • Notfallplan: Verantwortlichkeiten, Kommunikationsmatrix, Status-Seite, Eskalationsstufen.

13. Change-, Release- & Konfigurationsmanagement

  • Änderungsarten: Standard/Normal/Notfall-Changes; CAB-Freigaben (bei Risiko/Compliance-Impact).
  • Versionierung: Git; semantische Versionen; Release-Notes mit Benutzer-/Datenfluss-Impact.
  • Deployments: Blue/Green oder Rolling; Migrationsskripte idempotent; automatisierte Rollbacks.
  • Konfiguration: Code-/Secrets-Trennung; Parametrisierung je Mandant/Umgebung.
  • Dokumentation: Ticket-Referenzen, Testnachweise, Freigabeprotokolle.

14. Protokollierung, Überwachung & Audit-Trail

  • Anwendungslog: Requests, Geschäftsereignisse, Fehlerzustände.
  • Audit-Log (revisionsrelevant): Objekt-ID, Aktion, Vor-/Nach-Werte (wo zulässig), Benutzer, Zeit, Korrelation (Session/Request-ID).
  • Admin-Log: Berechtigungsänderungen, Datenexporte, Supportzugriffe, Konfig-Änderungen.
  • Aufbewahrung Logs: Audit-Trail 10 Jahre; Sicherheits-/Systemlogs mind. 12 Monate (≥ 3 Monate „hot“). Fristen siehe Abschnitt 11.
  • Zugriff: Nur berechtigte Personen; Auswertung über SIEM/Reportings.
  • Exportierbarkeit: Audit-Logs je Mandant als CSV/JSON downloadbar.

15. Berichtswesen & Prüf-Paket

Standardberichte: Tagesjournal, Steuersummen, Debitoren, Leistungsumsätze, Zahlungsarten, Stornojournal, No-Show, House-Use.

Prüf-Paket (on-demand): Datenexport gem. GoBD (Z3/IDEA-DLS) inkl. Feldkatalog/Datendictionary, Beleg-PDF/A, Prüfsummenliste & Manifest (Hash je Datei), Software-Versionsstand sowie ein Auszug dieser Dokumentation.

16. Bereitstellung für Prüfer:innen

  • Zugriff: Read-only-Benutzer (Z1) auf Mandant; zeitlich begrenzter Link zu Exportpaket(en) (Z3); Z2-Auswertungen auf Abruf.
  • Nachvollziehbarkeit: Export mit Checksummen/Manifest; Hash-Werte pro Datei; Protokoll über Erstellung/Übergabe.
  • Unterstützung: Ansprechpartner Robert Siegmund, E-Mail robert@casona.com.

17. Qualitätssicherung & interne Kontrollen

  • Vier-Augen-Prinzip für steuerrelevante Stammdaten (Steuersätze, Nummernkreise).
  • Periodische Kontrollen: Monats-Abstimmung Zahlungen ↔ Rechnungen; Offene-Posten; Stichproben Audit-Log.
  • Rezertifizierung Berechtigungen: mind. jährlich.
  • Ticket-Lebenszyklus: Erfassung → Triage → Umsetzung → Review → Abschluss; Verknüpfung mit Changes.

18. Sicherheits- & Incident-Management

  • Erkennung: Monitoring/Alerts, IDS/WAF, Anomalieerkennung.
  • Reaktion: Incident-Runbooks; Erstbewertung ≤ 60 Minuten; Forensik-Sicherung; Kundenkommunikation per E-Mail.
  • Meldepflichten: DSGVO-Meldungen nach Art. 33/34 DSGVO werden durch die Geschäftsführung bzw. die Datenschutzkoordination koordiniert und dokumentiert.
  • Lessons Learned: Post-Mortem, Korrekturmaßnahmen (CAPA), Nachverfolgung.

19. E-Rechnung & Belegwesen

  • Formate: XRechnung/EN 16931, ZUGFeRD 2.x (hybrid PDF/A-3 + XML).
  • Signaturen/Integrität: Validierung, Archivierung mit Metadaten.
  • Nummernkreise: Fortlaufend/mandantenbezogen; Kollisionen durch Transaktionssperren ausgeschlossen.
  • Pfad zur B2B-E-Rechnung in DE (Kurzüberblick): ab 01.01.2025 Pflicht zum Empfang/Verarbeiten strukturierter E-Rechnungen; Ausstellung stufenweise mit Übergangsregeln bis voraussichtlich 2027/2028. Casona unterstützt die Erstellung/Übermittlung EN-16931-konformer Rechnungen und die Annahme eingehender E-Rechnungen via Schnittstellen/Import.

20. Kassensystem-Anbindung (optional)

  • DSFinV-K (aktuell v2.3): Bei POS-Integration erfolgt Belegerzeugung/TSE-Signatur im jeweiligen Kassensystem; Exporte entsprechen DSFinV-K v2.3. Das PMS speichert Verknüpfungen (Transaktions-ID, Zeitstempel) für die Betriebsprüfung.
  • Datenabgleich: Automatisierte Übergabe von Restaurant-Umsätzen an PMS-Buchung.
  • Kassenarchiv & Zuständigkeit: Exporte/Archiv obliegen dem Kassenanbieter; PMS hält Referenzen und Nachweise vor.
  • Melde-/Registrierungspflichten: Etwaige gesetzliche Meldepflichten/Registrierungen von Kassen/TSE liegen bei der/dem Verantwortlichen (Kund:in). Casona stellt dafür Nachweis- und ID-Felder sowie Exportbelege bereit.

21. Mandanten-Onboarding & -Offboarding

  • Onboarding: AVV-Abschluss, Stammdatenimport (Zimmer, Raten), Nummernkreise, Rollen, optional Schulung.
  • Datenübernahmen: Migrationsplan, Mappingtabellen, Testmigration + Abnahme.
  • Offboarding: Export aller Mandantendaten (Belege, Stammdaten) manuell durch den Kunden, Lösch-/Anonymisierungsprotokoll, Sperrfristen beachten.

22. Dokumentenlenkung & Versionierung

  • Dieses Dokument ist versioniert; Änderungen werden im Änderungsprotokoll erfasst.
  • Gültigkeit: Veröffentlichung auf www.casona.com; jeweils aktuelle Fassung maßgeblich.
  • Review-Zyklus: Mind. jährlich oder anlassbezogen (rechtliche/technische Änderungen).
VersionDatumAutorÄnderung
0.901.01.2015Robert SiegmundErsterstellung
1.004.09.2015Robert SiegmundWeiterer Kurkarten-Anbieter
1.101.01.2020Robert SiegmundTSE-Schnittstelle
1.201.01.2025Robert SiegmundSchließsystem-Schnittstelle, E-Rechnung, Z1/Z2/Z3, DSFinV-K 2.3, Fristentabelle

23. Zusätzliche GoBD-nahe Anwender- & Betriebsregeln (Best Practices)

23.1 Anwenderregeln Rechnungen & Kasse
  • Datumsregeln: Keine zukünftigen Rechnungs-/Belegdaten zulässig; System verhindert oder warnt mit Protokolleintrag.
  • Zahlungsartwechsel: Löst Versionierung (Audit-Log) aus; ursprünglicher Vorgang bleibt nachvollziehbar.
  • Barzahlung: Markiert Beleg sofort als „Bezahlt“ mit Rechnungsdatum; Kassenjournal wird aktualisiert.
  • Reprint/Kopie: Erneuter Druck/Versand eines bereits freigegebenen Beleges ist als „KOPIE“ zu kennzeichnen.
  • Korrekturen: Ausschließlich via Storno/Gutschrift mit Begründung; nie durch Überschreiben.
23.2 Nummernkreise & Schulung
  • Fortlaufende Nummernkreise je Mandant/Mandantenteil (Rechnung, Gutschrift, Korrektur).
  • Dup-Check & Warnungen: System prüft auf Doppelvergabe; Konflikte werden blockiert oder erfordern Admin-Freigabe.
  • Schulungspflicht: Verantwortliche Personen müssen Nummernkreis-Regeln kennen (Onboarding-Checkliste).
23.3 Administrativer Betrieb & Ticketing
  • Verantwortlichkeiten Kundenseite: Benutzeranlage/-pflege, Rollenvergabe, Pflege steuerrelevanter Stammdaten.
  • Aktualität: Betrieb ausschließlich auf aktuellen Produktversionen; sicherheitsrelevante Updates haben Priorität.
  • Ticketprozess: Meldewege für Fehler/Anforderungen (E-Mail), Klassifikation, SLA, Rückmeldung/Release-Hinweise.
  • Supportzugriff: Nur temporär, explizit freigegeben, minimal-privilegiert, voll protokolliert.
23.4 Backup & Wiederherstellung – kund:innenseitige Hinweise (SaaS)
  • Self-Service-Exporte regelmäßig ziehen (Berichte/CSV), besonders vor Jahreswechseln.
  • Wiederherstellungstests: Anbieter führt regelmäßig Tests durch.
  • Keine lokalen Allein-Backups nötig; dennoch: Exportpakete für Steuerberatung versioniert ablegen.
23.5 Change- & Datenänderungsmanagement (Stammdaten)
  • Import/Export-Prozesse (CSV): Validierungsregeln, Pflichtfelder, Abbruch bei Inkonsistenzen mit Fehlerjournal.
  • Änderungsprotokoll für steuerrelevante Stammdaten (Steuersätze, Nummernkreise, Artikel/Leistungen).
  • Vier-Augen-Prinzip bei kritischen Änderungen; Test/Abnahme in Staging vor Produktivsetzung (sofern möglich).

Anhang A: Rechtsgrundlagen & Normenstellen

  • GoBD: BMF-Schreiben vom 28.11.2019 (anwendbar ab 01.01.2020), inkl. Regelungen zu Z1/Z2/Z3, Unveränderbarkeit, Aufbewahrung, Zeitgerechtheit.
  • AO §§ 146/147: Ordnungsvorschriften für die Buchführung und Aufbewahrung.
  • KassenSichV/TSE und DSFinV-K (aktuell v2.3) für elektronische Aufzeichnungssysteme.
  • EN 16931: Europäische Norm für die elektronische Rechnungsstellung; Formate u. a. XRechnung, ZUGFeRD 2.x.
  • E-Rechnung DE (B2B): Pflicht zum Empfang/Verarbeiten ab 01.01.2025; stufenweise Einführung der Ausstellung mit Übergangsregeln (bis 2027/2028).
  • DSGVO/AVV: Art. 28 (Auftragsverarbeitung), Art. 5 (Grundsätze), Art. 32 (Sicherheit).
  • PCI DSS: Anforderungen bei Verarbeitung von Kartendaten (Tokenisierung/Outsourcing).