GoBD — Dokumentation (Selbstauskunft)

Hinweis: Diese Seite dokumentiert eine interne technische Selbstprüfung der im Quellcode von MintFolder AI implementierten Maßnahmen. Es handelt sich nicht um ein Testat, Gutachten oder eine Bescheinigung einer Wirtschaftsprüfungsgesellschaft, einer Datenschutzbehörde oder einer anderen fachkundigen Stelle. Die Dokumentation wurde mittels automatisierter Code-Analyse erstellt und dient der Transparenz gegenüber Kunden und Partnern.

System

MintFolder AI v1.3.0

Erstellungsdatum

Juni 2026

Geltungsbereich

Web, Bot, B2B — Alle Archivkanäle

Umsetzungsstatus

GoBD-Kontrollbereiche technisch dokumentiert (Selbstprüfung)

Rechtsgrundlage

BMF 28.11.2019, §§145-147 AO

📋 Technisch umgesetzte GoBD-Kontrollbereiche

✅

1. Unveränderbarkeit (Immutabilität)

SQLite-Integritäts-Trigger schützen Archiv-, Audit-, Finanz-, Vault- und DATEV-Datensätze. trg_archive_no_tamper_core, trg_archive_no_tamper_financial blockieren Änderungen. trg_archive_auto_lock sperrt bei INSERT. trg_archive_no_delete verhindert Löschung.
✅

2. Nachvollziehbarkeit (Audit Trail)

Tabelle archive_audit_trail + access_log protokollieren alle Änderungen und Zugriffe. 4 Audit-Trigger. Trail selbst ist unveränderbar und löschgeschützt.
✅

3. Vollständigkeit & Integrität

SHA-256 Document Hash in allen 6 Verarbeitungspipelines. verify_document_hash() für Integritätsprüfung. /api/gobd/verify-integrity für Massenprüfung.
✅

4. Aufbewahrungsfristen (§147 AO)

Automatisch nach Dokumenttyp: 6, 8 oder 10 Jahre (§ 147 Abs. 3 AO i.d.F. Bürokratieentlastungsgesetz IV — 8 Jahre für Buchungsbelege ab 01.01.2025). trg_archive_retention_guard blockiert vorzeitige Löschung.
✅

5. Herkunftsnachweis (Quellenprotokollierung)

archive_source in allen log_archive()-Aufrufen (Bot-Kanal: 6 Stellen in bot/handlers/; Web-/B2C-Kanal: separate SHA-256-Pipeline).
✅

6. Maschinelle Auswertbarkeit

37 strukturierte Archivfelder. JSON-Export (Z3). CSV- und XML-Export für Betriebsprüfung. Filterbare Audit-Trails.
✅

7. Zeitgerechte Erfassung

processed_at = datetime('now') bei INSERT. locked_at dokumentiert Sperrzeitpunkt. Echtzeit-Verarbeitung.
✅

8. Verfahrensdokumentation (Rz. 151-155)

Vollständige Dokumentation: Allgemeine Beschreibung, Anwenderdokumentation, Technische Systemdokumentation, Betriebsdokumentation, IKS.
✅

9. Internes Kontrollsystem — IKS (Rz. 100-103)

Zugangskontrollen (OAuth/API-Key), Zugriffsberechtigungen (5 Rollen), Erfassungskontrollen (8 Validierungen), Verarbeitungskontrollen (Hash + Auto-Lock).
✅

10. Datenzugriff Z1/Z2/Z3 (§147 Abs. 6 AO)

Z1: Lesezugriff über /api/gobd/audit-trail. Z2: Integritätsprüfung über /api/gobd/verify-integrity. Z3: Datenträgerüberlassung über /api/gobd/export-z3 (ZIP mit DATEV/Archivdaten).
✅

11. Berechtigungskonzept & Zugriffskontrolle

5 Rollen (owner/admin/editor/viewer/api-only). Funktionentrennung: Niemand kann gesperrte Einträge ändern. Zugriffsprotokollierung in access_log.
✅

12. Datensicherungskonzept

Stündliches DB-Backup (Restic → Hetzner Storage Box, verschlüsselt), Google Drive Echtzeit-Sync, Backup-Orchestrierung via backup.sh, Dead-Man-Switch via scripts/restic_heartbeat.sh (Telegram-Alert bei veraltetem Snapshot).
✅

13. Scan & Digitalisierung

Scanner-Modul mit Bildoptimierung, PDF-Konvertierung und OCR. Qualitätsprüfung durch KI-Analyse. Ergebnis im Audit-Trail protokolliert.
✅

14. Ordnung & Richtigkeit

KI-basierte Klassifizierung mit mehrstufiger Fallback-Kette. Confidence-Score + requires_review Flag. Systematische Kürzel-basierte Ordnung.
✅

15. Progressive & Retrograde Prüfbarkeit

Durchgängige Verknüpfung: Originaldatei → Archiveintrag (ID) → Drive-Pfad → Audit Trail.

📊 Technische Maßnahmen

SQLite-Integritäts-Trigger

145

Datenbank-Tabellen

747

Schema-Version

SHA-256

Hash-Algorithmus

Archivfelder

Hash-Pipelines

🔗

Cryptographic Anchoring

WORM

Externe Attestierung

Proof Chain

Verkettete Anker

✅ Umgesetzte Erweiterungen (Sprint 5–6) — Ausblick: XRechnung-CIUS

🔧

DATEV-Festschreibung (§ 146 Abs. 4 AO)

Unwiderrufliche Festschreibung gebuchter Belege vor DATEV-Übergabe ist umgesetzt (Sprint 5), sodass nach Festschreibung keine inhaltliche Änderung mehr möglich ist.
🔧

E-Rechnung — EN-16931-Validierung

Schematron-basierte Prüfung gegen EN 16931 ist umgesetzt (Sprint 6); die XRechnung-CIUS-/BR-DE-Validierung (KoSIT) wird beim Finalisieren zusätzlich ausgeführt und am Beleg vermerkt (warn-first, noch keine harte Sperre). Eingehende Rechnungen werden gemäß § 147 AO stets archiviert; nur ausgehende Dokumente werden bei EN 16931-Regelverstoß abgewiesen.
🔧

GDPdU / Z3-Export

Datenträgerüberlassung nach GDPdU-Beschreibungsstandard (index.xml + DTD + journal.csv) ist umgesetzt (Sprint 6) für die maschinelle Auswertung im Rahmen der Betriebsprüfung (Zugriffsart Z3).

📂 GoBD-Dokumentation

📋 Verfahrensdokumentation Rz. 151-155 · 10 Kapitel 🛡️ GoBD-Dokumentation 15 Anforderungen umgesetzt

🔌 GoBD API-Endpoints

GET /api/gobd/export-z3

Z3 Datenträgerüberlassung (ZIP: DATEV, Archivdaten, Metadaten)

GET /api/gobd/verify-integrity

Z2 Hash-Integritätsprüfung & Compliance-Checks

GET /api/gobd/audit-trail

Z1 Audit Trail Lesezugriff

Für ein rechtsverbindliches Testat wenden Sie sich an eine zugelassene Wirtschaftsprüfungsgesellschaft (z.B. nach IDW PS 880 für GoBD oder ISO 27001 für Informationssicherheit).

Interne Dokumentation · Kein Testat · Stand: 2026-06-09 · Version 2.2