Es ist immer dieselbe Szene. April, der Wirtschaftsprüfer sitzt am Besprechungstisch, hat die IT-Checkliste vor sich liegen und fragt beiläufig: „Wie sichern Sie eigentlich die Daten aus Ihrer Auftragsdatenbank?“ Der Geschäftsführer dreht sich zum kaufmännischen Leiter, der dreht sich zum Admin. Irgendjemand sagt: „Die läuft im Netzwerk. Backup macht der Server.“ Der Prüfer nickt, hakt ab, fährt fort.
Das war zehn Jahre lang der Standardablauf. 2026 nicht mehr.
Warum hat die Frage plötzlich Gewicht?
Weil der Wirtschaftsprüfer sie nicht mehr aus Höflichkeit stellt. Er stellt sie, weil er muss. Seit Jahresabschlussprüfungen, die nach dem 15. Dezember 2021 beginnen, gilt der überarbeitete ISA 315. Die IT-Prüfung ist damit kein Anhängsel der Abschlussprüfung mehr, sondern ein eigener Prüfungsschritt mit dokumentierten Risiken und Kontrollen. Der IDW PS 330 bleibt daneben in Kraft. Und seit Juli 2025 gibt es ein neues GoBD-Schreiben des Bundesfinanzministeriums, das die Anforderungen an die Verfahrensdokumentation präzisiert.
Die zweite Verschiebung kommt aus einer ganz anderen Ecke: der E-Rechnung. Seit dem 1. Januar 2025 muss jedes deutsche Unternehmen im B2B-Verkehr strukturierte E-Rechnungen empfangen und verarbeiten können. Bis Ende 2026 läuft die Übergangsphase für den Versand, ab 2027 wird es für Unternehmen mit mehr als 800.000 Euro Jahresumsatz ernst, ab 2028 für alle.
Beides zusammen verändert den Status der Auftragsdatenbank grundlegend.
Was hat E-Rechnung mit deiner Access-Datenbank zu tun?
Aus der Auftragsdatenbank entsteht am Ende die Rechnung. Bis 2024 war es dem Finanzamt weitgehend egal, wie diese Rechnung intern zustandegekommen ist – entscheidend war, dass die ausgedruckte Papierrechnung oder das PDF am Ende inhaltlich stimmt. Ab 2025 ist das anders. Die Rechnung ist jetzt ein strukturierter XML-Datensatz nach EN 16931, der maschinell verarbeitet wird. Der Weg von der Datenerfassung bis zum versendeten XML ist prüfungsrelevant.
Das heißt: Deine Auftragsdatenbank ist nicht mehr nur ein internes Werkzeug. Sie ist der Startpunkt einer dokumentationspflichtigen Prozesskette, an deren Ende ein Dokument steht, dessen Unveränderbarkeit und Nachvollziehbarkeit die GoBD verlangen.
Eine Access-Datenbank, in der vier Mitarbeiter gleichzeitig Aufträge erfassen, ändern und stornieren können, ohne dass jede Änderung protokolliert wird, ist genau da ein Problem.
Was genau schaut sich der Prüfer 2026 an?
Der Prüfer muss nach ISA 315 und IDW PS 330 bewerten, ob die sogenannten Individuellen Datenverarbeitungssysteme – kurz IDV – rechnungslegungsrelevant sind. Eine Auftragsdatenbank, aus der Umsätze ins Buchhaltungssystem fließen oder aus der Rechnungen erzeugt werden, ist rechnungslegungsrelevant. Punkt.
Für solche Systeme erwartet der Prüfer:
- eine Verfahrensdokumentation, die beschreibt, wie Daten entstehen, verarbeitet, geändert und archiviert werden
- ein Berechtigungskonzept – wer darf was, wer darf was nicht, und wie wird das technisch durchgesetzt
- ein Änderungsprotokoll, aus dem hervorgeht, wer wann welche Daten verändert hat
- ein Sicherungskonzept mit dokumentierten Wiederherstellungstests, nicht nur mit Backup-Läufen
- einen Nachweis der Unveränderbarkeit für alle Daten, die in steuerrelevante Belege einfließen
Definition: IDV-System Ein Individuelles Datenverarbeitungssystem ist eine Anwendung, die außerhalb der zentralen ERP- oder Buchhaltungssoftware betrieben wird und steuerrelevante Daten erzeugt, verarbeitet oder archiviert.
Eine Access-Datenbank mit Auftragsdaten erfüllt diese Definition fast immer. Der alte Standardsatz „die läuft ja schon seit 15 Jahren problemlos“ ist als Antwort auf die Prüferfrage nicht mehr brauchbar. Er ist jetzt die verkürzte Version von: „Wir haben keine Verfahrensdokumentation, kein dokumentiertes Berechtigungskonzept und keinen Nachweis, dass wir die Datenintegrität kontrollieren.“
Warum wird es 2026 für viele norddeutsche KMU konkret?
Aus meiner Praxis im norddeutschen Mittelstand: In fast jedem KMU mit 20 bis 200 Mitarbeitern, das ich in den letzten Jahren gesehen habe, steht irgendwo eine gewachsene Access-Anwendung. Oft sind es sogar mehrere. Aufträge, Projektverwaltung, Produktionssteuerung, Außendienst-Erfassung, Kalkulation. Typisches Bild: Eine Datenbank aus den frühen 2000er Jahren, die damals der heute längst ausgeschiedene Controller oder ein externer Entwickler gebaut hat. Seitdem gepflegt, erweitert, geflickt. Läuft.
Bis zur nächsten Prüfung läuft sie weiter. Der Unterschied: 2026 ist das Risiko nicht mehr abstrakt. Wenn der Prüfer nach ISA 315 ein wesentliches IT-Risiko identifiziert und keine ausreichenden Kontrollen findet, steht das im Prüfungsbericht. Im schlimmsten Fall mit einer Einschränkung des Bestätigungsvermerks.
Zusätzlich kommen die Betriebsprüfer. Die Finanzverwaltung hat mit dem neuen GoBD-Schreiben und dem IDW-Prüfungshinweis 9.860.4 klargestellt: Fehlende Verfahrensdokumentation kann zur Verwerfung der Buchführung führen. Die Hinzuschätzung ist dann keine Drohung mehr, sondern die Konsequenz.
Eine Access-Datenbank ohne Dokumentation ist 2026 kein IT-Problem mehr. Sie ist ein bilanzielles.
Was hilft – und was nicht?
Der erste Reflex ist oft: „Dann tauschen wir Access halt aus.“ Das ist falsch, teuer und geht schief. Eine Access-Anwendung komplett durch eine Web-Neuentwicklung zu ersetzen, kostet realistisch 6 bis 18 Monate und das Drei- bis Fünffache an Codezeilen. In der Zeit fährt das Unternehmen zweigleisig. Das ist der sicherste Weg, bei der nächsten Prüfung nicht nur eine undokumentierte Altanwendung zu haben, sondern zwei halbfertige Systeme.
Der zweite Reflex ist genauso falsch: „Wir schreiben eine Dokumentation, dann ist Ruhe.“ Eine Verfahrensdokumentation, die nicht zu den tatsächlichen Prozessen passt, ist vor dem Prüfer schlechter als keine. Sie beweist aktiv, dass das Unternehmen die Anforderungen nicht verstanden hat.
Was tatsächlich funktioniert, ist ein nüchterner dreistufiger Weg:
- Bestandsaufnahme der Access-Anwendung. Welche Daten sind tatsächlich rechnungslegungsrelevant? Welche Berechtigungen existieren heute? Wo liegen die Datendateien, wer hat Netzwerkzugriff? Gibt es ein Änderungsprotokoll auf Tabellenebene oder nicht?
- Absicherung in der bestehenden Struktur. In 80 Prozent der Fälle lässt sich die Access-Anwendung so nachrüsten, dass sie die Prüfungsanforderungen erfüllt: Backend auf SQL Server migrieren, Audit-Trails einbauen, Berechtigungen sauber modellieren, Verfahrensdokumentation aus dem realen Stand ableiten. Das ist überschaubarer Aufwand und bringt sofort Prüfungssicherheit.
- Entscheidung über die Zukunft. Erst wenn die Anwendung dokumentiert und prüfungsfest ist, lohnt die Diskussion, ob sie in fünf Jahren noch gebraucht wird oder ob ein Nachfolger sinnvoll ist. Dann auf Basis von Fakten, nicht aus Panik vor dem nächsten Prüfer.
Dieser Weg kostet in einem typischen KMU-Setup einen mittleren vierstelligen bis niedrigen fünfstelligen Betrag. Eine verworfene Buchführung oder ein eingeschränkter Bestätigungsvermerk kostet mehr.
Wo dieser Ansatz an Grenzen stößt
Ehrlich gesagt: Nicht jede Access-Anwendung ist zu retten. Wenn das Datenmodell so verbaut ist, dass jede Auftragsänderung drei weitere Tabellen inkonsistent lässt, hilft auch kein Audit-Trail mehr. In solchen Fällen ist der Nachbau der richtige Weg – aber eben als bewusste Entscheidung, nicht als Panikreaktion auf den Prüfer. Auch die Frage, ob Access mittelfristig bleibt oder durch eine Web-Anwendung ersetzt wird, hängt stark davon ab, wie das Unternehmen in fünf Jahren arbeiten will. Das ist keine Entscheidung, die in zwei Wochen fällt.
Was du jetzt tun kannst
Wenn in deinem Unternehmen eine oder mehrere Access-Datenbanken produktiv laufen und der nächste Wirtschaftsprüfer-Termin im Kalender steht, lohnt sich ein kurzer Check: Welche deiner Anwendungen sind rechnungslegungsrelevant, welche Prüfungsanforderungen erfüllst du bereits, wo sind die realistischen Lücken?
Genau dafür gibt es den Access-Datenbank-Schnellcheck. In einem strukturierten Gespräch gehen wir deine Situation durch, und du weißt anschließend, was bei der nächsten Prüfung auf dich zukommt – und welche Schritte in welcher Reihenfolge sinnvoll sind.
Quellen und weiterführende Informationen
- Institut der Wirtschaftsprüfer: IDW PS 330 (Abschlussprüfung bei Einsatz von Informationstechnologie) — idw.de/idw/verlautbarungen/idw-ps-330/43192
- International Auditing and Assurance Standards Board: ISA 315 (Revised 2019), verpflichtend für Abschlussprüfungen ab 15.12.2021 — iaasb.org/publications/isa-315-revised-2019
- BMF-Schreiben vom 14. Juli 2025 zur zweiten Änderung der GoBD (BStBl I S. 1502) — bundesfinanzministerium.de — GoBD-Schreiben 14.07.2025 (PDF)
- Bundesfinanzministerium: FAQ zur E-Rechnung (E-Rechnungspflicht seit 01.01.2025, gestaffelte Versandpflicht bis 01.01.2028) — bundesfinanzministerium.de — FAQ E-Rechnung
- BMF-Schreiben vom 15. Oktober 2025 zur Einführung der obligatorischen E-Rechnung (Präzisierung zur Validierung und zu Format-/Inhaltsfehlern) — bundesfinanzministerium.de — E-Rechnung-Schreiben 15.10.2025 (PDF)
