In der Praxis höre ich immer wieder dieselben Fragen: Reicht die Kombination aus ELSTER und einem Mandantenportal, um echten Audit‑ bzw. Prüfungsschutz zu gewährleisten? Welche technischen und organisatorischen Maßnahmen sind wirklich nötig, damit Betriebsprüfer die Unterlagen akzeptieren? Aus meiner Erfahrung als Beraterin und Betriebswirtin lässt sich sagen: Ja, ein digitaler Steuerworkflow kann prüfungssicher sein — aber nur wenn man bewusst gestaltet, dokumentiert und technisch richtig absichert. In diesem Beitrag beschreibe ich, worauf es konkret ankommt und wie Sie die Einführung praktisch umsetzen.
Was meint „audit‑ oder prüfungssicher“ konkret?
Prüfungssicherheit bedeutet für mich nicht nur, dass Daten verfügbar sind, sondern dass ihre Herkunft, Unveränderbarkeit, Vollständigkeit und Lesbarkeit nachgewiesen werden können. Gesetzliche Anforderungen wie GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form) und steuerrechtliche Aufbewahrungspflichten sind der Maßstab. Entscheidend sind:
- Nachvollziehbarkeit der Buchungen und Änderungen
- Sichere Langzeitaufbewahrung und Revisionsfähigkeit
- Eindeutige Verantwortlichkeiten und Protokollierung
- Schutz vor Manipulation (Integrität, Authentizität)
Welche Rolle spielen ELSTER und das Mandantenportal?
ELSTER ist das offizielle Übertragungsmedium für Steuererklärungen und -anmeldungen in Deutschland. Es sorgt für sichere Übermittlung an das Finanzamt, bietet aber keine vollumfängliche Dokumentenablage oder Manipulationssicherheit für alle relevanten Belege. Das Mandantenportal (z. B. DATEV Unternehmen online, Lexoffice Mandantenportal, Steuerberaterportale wie smartsteuer oder spezifische Kanzleiportale) dient als Austausch- und Ablageplattform zwischen Mandant und Steuerberater.
Gemeinsam bilden beide Komponenten die Basis eines digitalen Workflows: ELSTER für die Übermittlung, das Mandantenportal für Sammlung, Freigabe und Kommunikation. Damit daraus echter Prüfungsschutz wird, müssen aber zusätzliche Anforderungen erfüllt werden.
Technische und organisatorische Mindestanforderungen
Aus meiner Sicht sollten folgende Elemente zwingend umgesetzt werden:
- Integritäts- und Authentizitätssicherung: Verwendung von qualifizierten Zeitstempeln oder digitalen Signaturen bei kritischen Dokumenten; Hash‑Verfahren zur Integritätsprüfung.
- Revisionssichere Protokollierung: Jede Aktion (Upload, Freigabe, Änderung) muss mit Benutzer, Zeitstempel und Aktion protokolliert und unveränderbar gesichert werden.
- Versionierung: Originalbelege und Änderungen müssen versioniert und aufbewahrt werden — ein geänderter Beleg darf nicht das Original überschreiben.
- Zugriffs‑ und Rechtemanagement: Rollenbasiertes Berechtigungssystem; Mandant versus Steuerberater versus Dritte klar trennbar.
- Verschlüsselung: Transportverschlüsselung (TLS) und Verschlüsselung ruhender Daten, idealerweise mit Schlüsselverwaltung der Organisation.
- Aufbewahrungsfristen: Automatisierte Archivierung mit Einhaltung gesetzlicher Fristen (i. d. R. 10 Jahre für steuerrelevante Unterlagen).
- Dokumentierte Prozesse: Verfahrensdokumentation (GoBD-konform) mit Beschreibung des Workflows, Verantwortlichkeiten und Kontrollen.
Typische Schwachstellen — und wie man sie schließt
Ich beobachte oft dieselben Fehler in Projekten: Unklare Prozesse, fehlende Protokolle, unverschlüsselte Ablage oder mangelnde Versionierung. Praktische Gegenmaßnahmen:
- Führen Sie eine Verfahrensdokumentation, die genau beschreibt, wie Belege erfasst, geprüft, freigegeben und archiviert werden.
- Nutzen Sie Systeme mit unveränderbarer Protokollierung (Append‑Only Logs oder Blockchain‑ähnliche Hashketten) für kritische Aktionen.
- Sorgen Sie für Trennung von Systemrollen (Mandant kann z. B. Belege hochladen, Steuerberater bearbeitet Buchungen, Administrator verwaltet Zugriffsrechte).
- Implementieren Sie digitale Signaturen / Zeitstempel bei Dokumenten, die später selten verändert werden (Jahresabschlüsse, Verträge).
Technische Optionen und Tools
Je nach Unternehmensgröße und Budget bieten sich unterschiedliche Lösungen an:
- DATEV Unternehmen online + DATEV Herkules/Archiv: Starke Integration mit Steuerberaterkanzleien, revisionssichere Archivfunktionen.
- Cloud‑Buchhaltungslösungen wie lexoffice, sevDesk oder Sage: Gut für KMU, Achten Sie auf Export‑/Archivfunktionen und Signaturoptionen.
- Spezielle Archivsysteme (z. B. ELO, DocuWare): Bieten erweiterte Compliance‑Funktionen und externe Langzeitarchivierung.
- Mandantenportale von Kanzleisoftware: Direkte Schnittstellen zu ELSTER, sichere Uploads, Benutzerverwaltung.
Praktische Implementierung — mein Vorgehensvorschlag
Ich empfehle ein pragmatisches, schrittweises Vorgehen:
- Analyse: Bestandsaufnahme der aktuell genutzten Systeme, Schnittstellen und Papierprozesse.
- Konzept: Erstellen der Verfahrensdokumentation, Festlegen von Rollen, Freigabewegen und Aufbewahrungsregeln.
- Technische Auswahl: Entscheidung für Mandantenportal + Archiv + Signatur/Time‑Stamp‑Lösung.
- Prototyp: Pilot mit einem Geschäftsbereich; prüfen, ob Protokollierung, Versionierung und Exporte funktionieren.
- Rollout: Schulung von Mandanten und Mitarbeitern, aktives Change Management.
- Kontrolle: Regelmäßige interne Audits und Tests, z. B. Export und Prüfung durch Dritte (Stichproben).
Prüfungsfragen seitens des Finanzamts — was erwarten Prüfer?
| Frage Prüfer | Was Sie vorzeigen sollten |
|---|---|
| Wie sind Belege entstanden? | Prozessbeschreibung, Herkunftsnachweise (Uploads, E‑Mails, Scans) |
| Können Belege verändert worden sein? | Versionierung, Integritätsnachweis (Hashes, Zeitstempel) |
| Wer hatte Zugriff? | Protokolle mit Benutzer, Rollen, Zeitstempeln |
| Wie lange sind Daten verfügbar? | Archivnachweis, Aufbewahrungsfristen, Exportmöglichkeiten |
Praktische Checkliste für die Einführung
- Verfahrensdokumentation schreiben und genehmigen
- Mandantenportal mit Protokoll‑ und Versionierungsfunktion wählen
- Transport‑ und Ruhedaten verschlüsseln
- Digitale Signaturen oder qualifizierte Zeitstempel für kritische Dokumente nutzen
- Zugriffsrechte strikt regeln und dokumentieren
- Regelmäßige Testexports und interne Audits durchführen
- Schulung für Mitarbeiter und Mandanten einplanen
Wenn Sie möchten, kann ich Ihren aktuellen Workflow kurz durchsehen und konkret benennen, welche Lücken für Prüfungsrisiken bestehen und welche Maßnahmen priorisiert werden sollten — inklusive einer pragmatischen Roadmap zur Umsetzung. Sprechen Sie mich einfach an.
