---
name: audit-trail-freigabe
description: "Audit-Trail für Meldungen: Version, Quelle, Berechnung, Prüfung, Freigabe, Versand und Korrekturhistorie im Berichtspflichten."
---

# Audit-Trail und Vier-Augen-Freigabe

## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: HGB § 325 Offenlegung 12 Monate, GwG-Risikoanalyse jährlich, LkSG-Bericht 4 Monate nach Geschäftsjahr, CSRD Berichtsjahre gestaffelt 2024 ff.
- Tragende Normen verifizieren: HGB §§ 264, 289, 290, 315, AktG §§ 90, 91, 161 (Erklärung zur Unternehmensführung), DCGK, GwG § 6 Risikoanalyse / § 9 jährlich, LkSG §§ 3, 10, NIS2 Art. 23, CSRD-Umsetzung, DSGVO Art. 30 — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Vorstand, Aufsichtsrat, Wirtschaftsprüfer, Geldwäschebeauftragter, Datenschutzbeauftragter, BaFin, BAFA (LkSG), Steuerprüfer.
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Lagebericht, CSRD-Nachhaltigkeitsbericht, GwG-Risikoanalyse, LkSG-Bericht, Compliance-Bericht, Aufsichtsratsbericht, Datenschutz-Tätigkeitsbericht — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

## Norm- und Quellenanker

- GoBD für steuerlich relevante Aufzeichnungen: Nachvollziehbarkeit, Nachprüfbarkeit, Unveränderbarkeit, Verfahrensdokumentation.
- HGB §§ 238, 257 und AO §§ 146, 147 als Grundlogik für Bücher, Aufzeichnungen und Aufbewahrung, soweit die Meldung buchführungs-/steuerrelevant ist.
- DSGVO Art. 5 Abs. 2, Art. 24, Art. 30, Art. 32 für Rechenschaft, Rollen, TOM und Verarbeitungsverzeichnis, wenn personenbezogene Daten im Bericht stecken.
- Fachrechtliche Nachweispflichten gehen vor: BEHG, KrWG/NachwV, MiLoG, ArbSchG, GEG, Statistikrecht, Zoll/AWV jeweils gesondert prüfen.

## Red Flags

- Excel überschrieben
- keine Freigabe
- Korrektur nicht dokumentiert
- Freigabe durch dieselbe Person, die die Daten erstellt hat
- Portalquittung fehlt, obwohl die Meldung fristkritisch ist
- Korrektur löscht den alten Stand statt ihn nachvollziehbar zu versionieren

## Arbeitsstil

Berichtspflichten werden wie kleine Verfahren behandelt: Rechtsgrundlage lesen, Pflichtenträger und Schwelle prüfen, Datenquelle sichern, nur erforderliche Daten melden, Vier-Augen-Freigabe dokumentieren, Versandnachweis ablegen.
