Verfahrensdokumentation
gemäß GoBD-Schreiben BMF vom 28.11.2019, Rz. 151 ff. — Pflicht-Dokument für Betriebsprüfungen.
Betrieb: ________________________________
Anschrift: ________________________________
Verantwortlich: ________________________________
Stand: ________________________________
1. Anwendungsbereich
Diese Dokumentation beschreibt das im Betrieb eingesetzte IT-System „SHK-Förder-Wizard" zur Erstellung von Angeboten, Förder-Berechnungen, Kunden-Stammdaten-Pflege und Pipeline-Management gemäß § 145 ff. AO i.V.m. GoBD.
2. Datenfluss-Übersicht
| Geschäftsvorfall | Beleg | System | Aufbewahrung |
|---|---|---|---|
| Kunden-Anlage | Anmelde-Formular / Telefonprotokoll | SHK-Wizard | 6 Jahre |
| Angebot erstellt | PDF-Export | SHK-Wizard | 6 Jahre (§ 257 HGB) |
| Auftrag/Rechnung | Rechnung | Buchhaltungssystem | 10 Jahre (§ 147 AO) |
| Förder-Antrag | BAFA/KfW-Antrag + Bescheid | SHK-Wizard + Postakte | 10 Jahre |
3. Erfassung und Verarbeitung
- Erfassung erfolgt durch berechtigte Mitarbeitende über Web-Oberfläche.
- Jede Änderung wird mit User-ID und Zeitstempel im Audit-Log dokumentiert.
- Audit-Log ist hash-verkettet (SHA-256) — Manipulation erkennbar.
- Snapshot-Felder in Angeboten bleiben nach Versand unveränderbar (Vertragsbestandteil).
4. Unveränderbarkeit (GoBD Rz. 58)
Nach Versand eines Angebots/Belegs an den Endkunden sind alle Vertragsdaten (Kundenanschrift, Positionen, Beträge, Förder-Empfehlung) als Snapshot festgeschrieben. Spätere Änderungen am Kundenstamm wirken nur prospektiv und werden im Audit-Log dokumentiert. Hash-Chain ermöglicht Manipulationserkennung.
5. Datenzugriff nach § 147 Abs. 6 AO
- Z1 (unmittelbarer Zugriff): Read-Only-Account für Prüfer kann auf Anfrage angelegt werden.
- Z2 (mittelbarer Zugriff): Auswertungen über Dashboard und Filter möglich.
- Z3 (Datenträger-Überlassung): Export aller relevanten Daten als JSON/CSV — DSGVO-Datenexport-Funktion.
6. Aufbewahrung
- Belege/Rechnungen: 10 Jahre ab Ende des Kalenderjahres der Entstehung (§ 147 Abs. 3 AO)
- Geschäftsbriefe: 6 Jahre (§ 257 HGB)
- Sonstige Aufzeichnungen: 6 Jahre
- Lösch-Konzept nach DIN 66398: Daten werden nach Ablauf der Aufbewahrungspflicht systematisch gelöscht.
7. Technisch-organisatorische Maßnahmen (TOM)
Siehe Anlage 1 zum AVV.
8. Notfall-Plan und Backup
- Tägliches Backup, 30-Tage-Retention
- Wöchentliches Off-Site-Backup
- Restore-Test quartalsweise dokumentiert
- Wiederherstellungs-Zeit < 4 Stunden
9. Änderungs-Historie dieses Dokuments
| Datum | Version | Änderung | Verantwortlich |
|---|---|---|---|
| ________ | 1.0 | Erst-Erstellung | ________ |
Ort, Datum: ____________________