GoBD-Kompatibilität von Dolibarr: technische Gap-Analyse und möglicher Compliance-Layer

Dolibarr anwenden
1

Hallo zusammen,

ich schaue mir gerade an, wie man eine bestehende Dolibarr-Installation technisch besser in Richtung deutscher GoBD-Anforderungen absichern kann.

Wichtig: Es geht nicht um eine rechtliche Zertifizierung und auch nicht um die Aussage, dass Dolibarr dadurch automatisch GoBD-konform wäre. Mir geht es um eine technische Gap-Analyse und um einen möglichen zusätzlichen Compliance-Layer für Auditierbarkeit, Unveränderbarkeit, Exportierbarkeit und Dokumentation.

Die Punkte, die ich aktuell prüfe:

  1. Append-only Audit-Logs für kritische Objekte
  • Rechnungen
  • Rechnungspositionen
  • Zahlungen
  • Banktransaktionen
  • Buchungssätze
  • Kunden und Lieferanten
  • Dokumente und Dateien
  • Steuerkonfiguration

Pro Audit-Eintrag wären mindestens sinnvoll:

  • Tabellenname
  • Datensatz-ID
  • Aktionstyp
  • Benutzer-ID
  • UTC-Zeitstempel
  • alter Wert
  • neuer Wert
  • Quellsystem
  • Request-ID
  • Begründung oder Kommentar

Normale Anwendungslogik dürfte solche Audit-Einträge nicht verändern oder löschen.

  1. Keine harten Löschungen bei geschäftskritischen Daten

Stattdessen wären Soft-Delete- oder Storno-Zustände nötig, z. B.:

  • deleted_at
  • deleted_by
  • deletion_reason
  • original_status
  • audit_reference

Geschäftskritische Daten sollten nicht still gelöscht werden.

  1. Unveränderbare finale Dokumente

Wenn ein Dokument final ist, sollte es archiviert und gegen Überschreiben geschützt werden:

  • PDF speichern
  • SHA256-Hash berechnen
  • Hash-Metadaten speichern
  • Version speichern
  • UTC-Zeitstempel speichern
  • Bezug zum Quellobjekt speichern

Beispiel:

documents/factures/2026/RE-2026-001_v1.pdf
documents/factures/2026/RE-2026-001_v1.sha256

  1. Rohdaten unverändert archivieren

Relevant wären z. B.:

  • OCR-Uploads
  • Eingangsrechnungen
  • Bank-CSV-Dateien
  • MT940-Dateien
  • CAMT-XML-Dateien
  • DATEV-Importe
  • rechtlich relevante API-Payloads

Dazu gehören Metadaten wie Originaldateiname, interner Dateiname, SHA256-Hash, Upload-Zeitpunkt, Quelle und Verarbeitungsstatus.

  1. Bankimporte auditierbar machen

Für jede importierte Banktransaktion wären sinnvoll:

  • Referenz auf die Original-Importdatei
  • Quell-Bankkonto
  • Importzeitpunkt in UTC
  • Transaktionshash
  • Matching-Ziel
  • Matching-Methode
  • Matching-Konfidenz
  • freigebender Benutzer
  • Freigabezeitpunkt in UTC

Automatisierung oder KI sollte nur Vorschläge erzeugen, aber keine finalen Buchungen oder Zuordnungen ohne menschliche Freigabe.

  1. KI nur als Vorschlagssystem

KI sollte keine Rechnungen, Buchungen, Zahlungen, Steuerdaten oder Bank-Matches finalisieren.

Jede KI-unterstützte Aktion sollte enthalten:

  • menschliche Freigabe
  • Audit-Eintrag
  • gespeicherter KI-Vorschlag
  • gespeicherte finale Benutzerentscheidung
  1. API-Schreiboperationen loggen

Bei API-Writes waeren relevant:

  • Endpoint
  • Methode
  • authentifizierter Benutzer oder Client
  • Request-ID
  • Payload-Hash
  • betroffenes Objekt
  • Response-Status
  • UTC-Zeitstempel

Secrets, Tokens, Passwörter oder Zugangsdaten dürfen dabei nicht im Klartext geloggt werden.

  1. Rollen härter trennen

Mindestens sinnvoll wären getrennte Rollen für:

  • technischer Admin
  • Buchhaltungsbenutzer
  • Auditor oder Read-only-Benutzer
  • API-Client
  • KI-Assistent

API- und KI-Benutzer sollten nur die minimal nötigen Rechte erhalten.

  1. Deterministische Exporte vorbereiten

Exportierbar und reproduzierbar sollten sein:

  • Buchungssätze
  • Rechnungen
  • Zahlungen
  • Banktransaktionen
  • Dokument-Metadaten
  • Audit-Logs
  • Hash-Manifeste
  • Rohimport-Metadaten

Formate: CSV, JSON und wo sinnvoll XML.

  1. Zeitbehandlung

Intern sollte alles mit UTC und ISO-8601-Zeitstempeln laufen, z. B.:

2026-05-22T18:44:00Z

  1. Backup und Restore dokumentieren

Die Verfahrensdokumentation sollte mindestens beschreiben:

  • Datenbank-Speicherung
  • Datei-Speicherunggodb
  • Backup-Strategie
  • Restore-Testverfahren
  • Aufbewahrungsannahmen
  • wie Audit-Logs nach Restore erhalten bleiben
  1. Verfahrensdokumentation

Geplant wäre ein Entwurf mit:

  • Systemübersicht
  • verwendete Dolibarr-Module
  • Datenflüsse
  • Rechnungsprozess
  • Bankimportprozess
  • OCR- und Importprozess
  • KI-unterstützte Workflows
  • Benutzerrollen
  • Audit-Trail
  • Archivstrategie
  • Exportprozess
  • Backup- und Restore-Prozess

Meine Fragen an die Runde:

  1. Welche Dolibarr-Tabellen, Hooks oder Module wären aus eurer Sicht die richtigen Ansatzpunkte für so einen technischen GoBD-Layer?
  2. Gibt es bestehende Dolibarr-Module oder etablierte Setups für revisionssichere Dokumentablage, Audit-Logs oder DATEV/Export-Dokumentation?
  3. Wie wird in produktiven Dolibarr-Installationen typischerweise verhindert, dass finale Rechnungen oder relevante Dokumente überschrieben oder gelöscht werden?
  4. Gibt es Empfehlungen, ob solche Audit- und Archivfunktionen besser innerhalb von Dolibarr, über Hooks, über ein externes Archivsystem oder über eine Kombination umgesetzt werden sollten?
  5. Hat jemand bereits eine Verfahrensdokumentation fuer Dolibarr im deutschen Kontext erstellt und kann sagen, welche technischen Nachweise besonders wichtig waren?

Ich freue mich über Hinweise, Erfahrungen und Korrekturen. Mir geht es zuerst um eine saubere Gap-Analyse, bevor irgendeine Implementierung gebaut wird.

Diskussion:

1 „Gefällt mir“
2

Hallo,

an dieser Stelle von mir kurz folgende Hinweise:

  • Es gibt ein Audit Modul von Günter Lukas im Dolistore, dass Änderungen in der Dolibarr-Datenbank systematisch erfasst und dokumentiert.
  • Bloxera wird in Kürze ein Modul veröffentlichen, dass das Dolibarr-interne Dokumentenmanagementsystem (DMS/ECM) um Datei-Versionierung und Revisionssicherheit mit digitalen Zeitstempeln von offiziellen Time Stamp Authorities ergänzt. Damit können die funktionalen GoBD-Anforderungen in Bezug auf ‘Handelsbriefe’ (also Belege wie Angebote, Rechnungen etc.) erfüllt werden.
  • Das ist abgestimmt auf unsere Module zur Erstellung elektronischer Rechnungen (Modul XRechnung Export) und zum Import eingehender E-Rechnungen (Modul E-Rechnung Import), die eine automatische Konformitätsprüfung durchführen und deren Prüfprotokolle ebenfalls revisionssicher abgelegt werden, was u.a. für die Berechtigung zum Vorsteuerabzug relevant ist.
  • Auch DATEV-Exporte (Modul AccountingExport DATEV-Format) können hier mit integriert werden.

Aber der beschriebene grundsätzliche Ansatz ist durchaus auch interessant, daher besten Dank für die Initiative!

Viele Grüße

Joachim

2 „Gefällt mir“
3

Danke für die Hinweise. Ich werde mir die Module genauer anschauen und bewerten, welchen Beitrag sie zur GoBD-Konformität leisten können.

Besonders spannend wäre aus meiner Sicht noch eine rechtliche bzw. praktische Einschätzung zum Thema direkter Datenbankzugriff:

Wie wird das in der Praxis bewertet, wenn ein Datenbank-Administrator theoretisch Daten manipulieren könnte?

Das betrifft ja nicht nur Dolibarr, sondern eigentlich viele Open-Source- und auch proprietäre ERP-Systeme.

Mich würde interessieren, welche Erfahrungen ihr damit im GoBD-/Steuerberater-/Prüfungsumfeld gemacht habt und welche technischen oder organisatorischen Maßnahmen sich bewährt haben.

4

Hallo zusammen,

danke für die saubere Gap Analyse weiter oben. Die deckt die formalen Softwarepunkte und Architekturpunkte schon sehr gut ab. Aus produktiven Setups würde ich noch drei Praxispunkte ergänzen, die in Prüfungen erfahrungsgemäß oft den Unterschied machen:

Verfahrensdokumentation als lebendes Dokument mit Versionsnummer, Verantwortlichem und jährlichem Review Termin. Das liefert die Software nicht „mit“, ist aber häufig einer der ersten Prüfungsansatzpunkte.

Belegarchivierung inklusive Mail Body, nicht nur PDF Anhang. Gerade Eingangsrechnungen per Mail werden oft nur als Anhang gespeichert, während die eigentliche E Mail im Postfach des Sachbearbeiters verbleibt.

Restore Test mit Protokoll, nicht nur Backup Lauf. Ein Backup, dessen Rücksicherung nie getestet wurde, ist im Prüfungsfall regelmäßig schwer belastbar.

Für Dolibarr würde ich deshalb nicht nur auf Hooks, Tabellen und Exportformate schauen, sondern zusätzlich auf den Betriebsnachweis: Wer darf was ändern, wie werden finale Dokumente gegen Überschreiben geschützt, wie wird exportiert, wie wird wiederhergestellt, und wo ist das alles dokumentiert?

Bei konkreten Detailfragen zu Setup, Z3 Export Mapping, Verfahrensdokumentation oder revisionssicherer Belegablage können wir das gerne separat per PN vertiefen, falls es den Rahmen des Threads sprengt.

Viele Grüße
Patrick
Basix IT GmbH, Hamburg