HGB & AO — Handelsgesetzbuch und Abgabenordnung

Bei einer Betriebsprüfung verlangt das Finanzamt den maschinellen Datenzugriff auf die Buchführungsdaten der letzten zehn Jahre. Drei Systemwechsel haben seitdem stattgefunden, eine Datenmigration aus dem ältesten System ist nie passiert, die Verfahrensdokumentation endet 2019. Das Finanzamt verwirft die Buchführung als nicht GoBD-konform — und schätzt nach § 162 AO. Eine Schätzung kostet im Schnitt mehr als die ordentliche Aufbewahrung über zehn Jahre.

Das Handelsgesetzbuch (HGB) und die Abgabenordnung (AO) regeln gemeinsam mit den Grundsätzen ordnungsmäßiger Buchführung in elektronischer Form (GoBD) die Anforderungen an buchungsrelevante Daten. Sie bilden das Fundament jeder revisionssicheren IT-Architektur — und damit eine zentrale Pflichtenquelle für die Informationssicherheit.

Vollständiger Name: Handelsgesetzbuch (HGB) und Abgabenordnung (AO), konkretisiert durch das BMF-Schreiben „GoBD” (zuletzt aktualisiert 2019)
Geltungsbereich: Alle Kaufleute (HGB §§ 238 ff.) und alle Steuerpflichtigen mit Aufzeichnungs- oder Aufbewahrungspflichten (AO §§ 140 ff., 147)
Aufsichtsbehörde: Finanzämter (Betriebsprüfung), Wirtschaftsprüfer (Jahresabschlussprüfung), Handelsregister; bei Aktiengesellschaften zusätzlich BaFin im Rahmen des § 264a HGB
Bußgeld-Rahmen: Schätzungsbescheid nach § 162 AO bei Verlust der Beweiskraft; Steuerverkürzung kann strafbar sein (§ 370 AO); Bußgelder nach § 379 AO bis 25.000 € je Verstoß
Inkrafttreten: HGB seit 1897 (laufend novelliert), AO seit 1977; GoBD-Schreiben seit 2014, in der heute geltenden Fassung seit 2019

Wer ist betroffen?

Praktisch jede Organisation mit kaufmännischer Tätigkeit. Die Pflichten sind gestuft nach Größe und Rechtsform:

Kaufleute (§ 1 HGB) — gewerbliche Unternehmer ab einem bestimmten Umfang. Bilanzierungspflicht und volle Buchführungspflicht nach §§ 238 ff. HGB.
Kleingewerbetreibende und Freiberufler — Einnahmen-Überschuss-Rechnung nach § 4 Abs. 3 EStG; Aufbewahrungspflichten nach § 147 AO bestehen aber genauso.
Kapitalgesellschaften (AG, GmbH) — verschärfte Pflichten zur Lagebericht-Erstellung, zum internen Kontrollsystem (§ 91 Abs. 2 AktG, § 43 GmbHG) und zur Offenlegung.
Steuerpflichtige mit Aufzeichnungspflichten (AO §§ 140 ff.) — auch ohne Buchführungspflicht greifen Aufbewahrungspflichten für besteuerungsrelevante Unterlagen.

Bei elektronischer Buchführung erweitert sich der Pflichtenkatalog um die GoBD: Verfahrensdokumentation, Datenzugriff (Z1/Z2/Z3), maschinelle Auswertbarkeit und Unveränderbarkeit.

Was verlangt das Gesetz?

Aus Sicht der Informationssicherheit sind drei Pflichtenkomplexe relevant — Aufbewahrung, Ordnungsmäßigkeit, Datenzugriff:

§ 257 HGB / § 147 AO — Aufbewahrungspflichten — Handelsbücher, Inventare, Bilanzen, Jahresabschlüsse, Lageberichte, Eröffnungsbilanzen, Buchungsbelege: zehn Jahre. Handelsbriefe und sonstige Unterlagen: sechs Jahre. Beginn jeweils mit Schluss des Kalenderjahres.
§ 239 HGB / § 146 AO — Ordnungsmäßigkeit — vollständig, richtig, zeitgerecht, geordnet. Aufzeichnungen dürfen nicht in einer Weise verändert werden, dass der ursprüngliche Inhalt nicht mehr feststellbar ist.
§ 147 Abs. 6 AO — Datenzugriff — drei Zugriffsformen: unmittelbarer Lesezugriff (Z1), mittelbarer Zugriff über das System (Z2), Datenträgerüberlassung in einem maschinell auswertbaren Format (Z3). Die Finanzbehörde wählt die Form.
GoBD — Verfahrensdokumentation — Beschreibung des Buchführungssystems und der Geschäftsprozesse; Nachweis des internen Kontrollsystems; Darlegung der Datensicherheit; Beschreibung der eingesetzten Hard- und Software.
GoBD — Unveränderbarkeit — technische oder organisatorische Maßnahmen, die nachträgliche Änderungen ausschließen oder zumindest revisionsfest protokollieren. WORM-Speicher, kryptografische Signaturen, lückenlose Logs sind etablierte Verfahren.
§ 91 Abs. 2 AktG — Internes Kontrollsystem — der Vorstand muss geeignete Maßnahmen treffen, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Das schließt IT-Risiken ein und überschneidet sich mit dem KonTraG.

In der Praxis

Aufbewahrungsklassen früh festlegen. Eine Klassifizierung „Geschäftsdaten allgemein” hilft im Ernstfall nicht. Praxisbewährt: konkrete Klassen (Buchungsbelege, Handelsbriefe, Verträge, Personalunterlagen, Lohnabrechnungen) mit Aufbewahrungsfrist, Speicherort, technischem Schutzverfahren und Löschungs- oder Sperrkonzept. Die Klassifizierung ist die Schnittstelle zwischen IT, Steuerabteilung und Datenschutz.

Verfahrensdokumentation nicht als Einmal-Projekt anlegen. Jede ERP-Migration, jede neue Schnittstelle, jeder neue Cloud-Dienst gehört in die Verfahrensdokumentation. Praxisbewährt: ein lebendes Dokument im Wiki oder GRC-Tool, das pro System einen Steckbrief führt, mit Verantwortlichen, Schnittstellen, Berechtigungskonzept und einer kurzen Risikoeinschätzung.

Migrationspfad über zehn Jahre planen. Das größte Risiko liegt im System-Lebenszyklus: ERPs werden in vier bis acht Jahren ausgetauscht, die Aufbewahrungsfrist läuft aber zehn Jahre. Wer keine Datenmigrationsstrategie und keinen Lese-Archivzugriff für Altsysteme plant, fällt bei der nächsten Betriebsprüfung auf.

Mapping zu ISO 27001

Die HGB-/AO-Anforderungen zur revisionssicheren Aufbewahrung lassen sich gut über das ISO-27001-Annex-A abbilden, vor allem im Bereich Aufbewahrung, Backup und Logging.

Direkt relevante Kontrollen:

A.5.10 — Akzeptable Nutzung von Informationen und anderen damit verbundenen Werten: Nutzungsregeln für buchungsrelevante Daten.
A.5.13 — Kennzeichnung von Informationen: Klassifizierung als Aufbewahrungsklasse.
A.5.33 — Schutz von Aufzeichnungen: der zentrale Brückenpunkt; explizit auf gesetzliche Aufbewahrungspflichten gerichtet.
A.5.36 — Einhaltung von Richtlinien: regelmäßige Compliance-Prüfung der Aufbewahrungs- und Lösch-Konzepte.
A.5.37 — Dokumentierte Betriebsabläufe: Verfahrensdokumentation als Bestandteil der Betriebsdokumentation.
A.6.3 — Informationssicherheitsbewusstsein: Schulung zu Aufbewahrungs- und Lösch-Pflichten.
A.8.4 — Zugriff auf Quellcode: Schutz der Verarbeitungsroutinen, die buchungsrelevante Daten erzeugen.
A.8.10 — Löschung von Informationen: geordnete Löschung nach Fristablauf.
A.8.13 — Datensicherung: Backup als technische Voraussetzung der Aufbewahrungspflicht.
A.8.14 — Redundanz von informationsverarbeitenden Einrichtungen: Verfügbarkeit über die Aufbewahrungsfrist.
A.8.15 — Protokollierung: revisionssichere Logs als Nachweis der Unveränderbarkeit.
A.8.16 — Überwachung von Aktivitäten: Erkennung unzulässiger Manipulationen.
A.8.24 — Verwendung von Kryptografie: kryptografische Signaturen für Unveränderbarkeit.
A.8.34 — Schutz von Informationssystemen während der Auditprüfung: Vorbereitung auf Datenzugriff im Rahmen der Betriebsprüfung.

Typische Audit-Befunde

Verfahrensdokumentation veraltet oder nicht vorhanden — der häufigste Beanstandungsgrund. Die Dokumentation endet beim letzten ERP-Wechsel oder beschreibt einen längst abgelösten Prozess.
Keine Datenmigration aus Altsystemen — Daten in abgelösten Systemen sind technisch nicht mehr lesbar, der Z3-Export ist nicht möglich.
Unveränderbarkeit nicht belegt — die Buchführung läuft auf einem Standard-Datenbanksystem ohne WORM-Eigenschaften und ohne lückenlose Audit-Logs.
Cloud-Aufbewahrung nicht angezeigt — Verlagerung der Buchhaltung in eine US-Cloud ohne Anzeige nach § 146 Abs. 2a/2b AO.
Aufbewahrungsklassen fehlen — pauschale „Lebenszeit”-Aufbewahrung kollidiert mit DSGVO-Löschpflichten; pauschale „1-Jahr”-Löschung verletzt HGB-Aufbewahrungspflichten.
Z1-Zugriff nicht trainiert — die IT kann der Prüferin im Außenprüfungstermin keinen Lesezugriff einrichten, weil das nie operativ getestet wurde.

Quellen

HGB-Volltext (gesetze-im-internet.de) — amtliche Fassung des Handelsgesetzbuchs
AO-Volltext (gesetze-im-internet.de) — amtliche Fassung der Abgabenordnung
BMF-Schreiben „GoBD” — Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form
IDW PS 880 — Prüfung von Softwareprodukten zur Buchführung
Bundesfinanzhof — Rechtsprechung zu § 158 AO — Beweiskraft der Buchführung und Schätzungsbefugnis

Häufig gestellte Fragen

Welche Aufbewahrungsfristen gelten?

Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse und Buchungsbelege sind nach § 257 HGB zehn Jahre aufzubewahren. Empfangene und Kopien gesendeter Handelsbriefe sechs Jahre. § 147 AO sieht parallel die gleichen Fristen vor und erfasst zusätzlich elektronische Aufzeichnungen, die für die Besteuerung relevant sind. Die Frist beginnt mit dem Schluss des Kalenderjahres, in dem die Aufzeichnung entstanden ist.

Was bedeutet Revisionssicherheit konkret?

Aufzeichnungen müssen vollständig, geordnet, unveränderbar, jederzeit verfügbar und maschinell auswertbar gespeichert werden — über die gesamte Aufbewahrungsfrist. Revisionssicherheit umfasst technische Maßnahmen (WORM-Speicher oder kryptografische Hashing-Verfahren), organisatorische Regelungen (Verfahrensdokumentation, Berechtigungskonzept) und einen lückenlosen Migrationspfad bei Systemwechseln.

Was ist die Verfahrensdokumentation nach GoBD?

Eine schriftliche Beschreibung der eingesetzten Buchführungssysteme und Prozesse, die einem sachverständigen Dritten in angemessener Zeit ein Verständnis des Verfahrens ermöglicht (Tz. 151 ff. GoBD). Sie umfasst Allgemeine Beschreibung, Anwender-, technische und Betriebsdokumentation sowie ein internes Kontrollsystem. Fehlt sie oder ist sie veraltet, verliert die Buchführung ihre Beweiskraft.