Audit-Protokollierung

Unveraenderlicher Audit-Trail mit 10-Jahres-Aufbewahrung fuer Compliance und Rechtssicherheit

Das Audit-System in KlarKonform protokolliert alle dokumentenbezogenen Aktivitaeten revisionssicher. Der unveraenderliche Audit-Trail erfuellt die Anforderungen von DSGVO, HGB, AO und GoBD.

Rechtliche Anforderungen

Compliance-Framework

Vorschrift	Anforderung	Umsetzung
DSGVO Art. 5(2)	Rechenschaftspflicht	Vollstaendiger Audit-Trail
DSGVO Art. 32	Sicherheit der Verarbeitung	Unveraenderliche Protokolle
HGB 257	Handelsrechtliche Aufbewahrung	10 Jahre
AO 147	Steuerliche Aufbewahrungspflicht	6-10 Jahre
GoBD	Ordnungsmaessigkeit digitaler Unterlagen	Unveraenderlichkeit

Aufbewahrungsfristen

Dokument erstellt: 26.01.2025
        |
        v
Aufbewahrungsfrist: 10 Jahre (automatisch)
        |
        v
Fruehestes Loeschdatum: 26.01.2035

Automatische Retention: Jeder Audit-Log-Eintrag erhaelt automatisch ein retention_until-Datum von 10 Jahren ab Erstellung.

Audit-Log-Struktur

Erfasste Informationen

Jeder Audit-Log-Eintrag enthaelt folgende Informationen:

Identifikation:

Eindeutige Kennung des Eintrags
Referenz zum zugehoerigen Dokument
Mandanten-Zuordnung

Ereignis:

Art des Ereignisses (erstellt, unterschrieben, etc.)
Zeitstempel der Aktion

Akteur:

Typ (Benutzer, System oder Kunde)
Name und E-Mail-Adresse

Aenderungen:

Bei Updates: Vorher/Nachher-Werte der geaenderten Felder

Metadaten:

IP-Adresse des Akteurs
Browser/Client-Information
Server-Zeitstempel

Aufbewahrung:

Fruehestes Loeschdatum (10 Jahre nach Erstellung)

Ereignistypen

Vollstaendige Liste

Event-Typ	Beschreibung	Typischer Akteur
created	Dokument erstellt	User
updated	Dokument geaendert	User/System
sent	Zum Unterschreiben versendet	User/System
viewed	Von Unterzeichner angesehen	Customer/Supplier
signed	Unterschrift geleistet	Customer/Supplier
declined	Unterschrift abgelehnt	Customer/Supplier
completed	Alle Signaturen gesammelt	System
cancelled	Dokument abgebrochen	User
deleted	Dokument geloescht (soft)	User
resent	Signatur-Link erneut gesendet	User/System
downloaded	PDF heruntergeladen	User/Customer/Supplier

Ereignis-Flow

Dokumenten-Lebenszyklus mit Audit-Events:

+----------+     +--------+     +--------+     +-----------+
| created  |---->| sent   |---->| viewed |---->| signed    |
+----------+     +--------+     +--------+     +-----------+
                                                    |
                                              [wiederholt fuer
                                               jeden Unterzeichner]
                                                    |
                                                    v
                                              +-----------+
                                              | completed |
                                              +-----------+

Alternative Pfade:
+----------+                    +-----------+
| declined |                    | cancelled |
+----------+                    +-----------+

Akteurtypen

Verfuegbare Typen

Akteur-Typ	Beschreibung	Beispiel-Aktionen
user	Authentifizierter System-Benutzer	Erstellen, Versenden, Abbrechen
system	Automatisierte Prozesse	PDF-Generierung, Token-Erstellung
customer	Externer Kunde	Ansehen, Unterschreiben, Ablehnen
supplier	Externer Lieferant	Ansehen, Unterschreiben, Ablehnen
employee	Mitarbeiter (als Unterzeichner)	Unterschreiben
external_party	Sonstige Externe	Unterschreiben

Akteur-Identifikation

Bei jeder Aktion werden folgende Informationen zum Akteur erfasst:

Benutzer-Aktion:

Akteur-Typ: Benutzer
Name: Max Mustermann
E-Mail: max@firma.de

Kunden-Aktion:

Akteur-Typ: Kunde
Name: Hans Schmidt
E-Mail: hans@kunde.de

System-Aktion:

Akteur-Typ: System
Name und E-Mail: nicht zutreffend

Protokollierte Details

Aenderungen

Bei Updates werden Vorher/Nachher-Werte erfasst, z.B.:

Status: Entwurf -> Warten auf Signaturen
Felder vor und nach der Aenderung

Signatur-Ereignis

Bei jeder Signatur werden erfasst:

Ereignistyp (unterschrieben)
Unterzeichner-Name und E-Mail
Signatur-ID
IP-Adresse und Zeitstempel

Metadaten

Automatisch bei jeder Aktion erfasst:

Feld	Beschreibung	Beispiel
IP-Adresse	IP des Clients	203.0.113.42
Browser	Browser/Client	Mozilla/5.0...
Zeitstempel	Datum und Uhrzeit	26.01.2025, 10:30 Uhr

Audit-Trail ansehen

In der Dokumentenansicht

Dokument: DOC-2025-00001

Aktivitaeten (neueste zuerst):
+------------------------------------------------------------------+
| 26.01.2025 14:30 | completed   | System                          |
|                  | Alle Signaturen gesammelt                     |
+------------------------------------------------------------------+
| 26.01.2025 14:30 | signed      | Lisa Schmidt (lisa@firma.de)    |
|                  | Signatur: SIG-X9Y8Z7                          |
|                  | IP: 198.51.100.23                             |
+------------------------------------------------------------------+
| 26.01.2025 14:15 | viewed      | Lisa Schmidt (lisa@firma.de)    |
|                  | Dokument angesehen                            |
+------------------------------------------------------------------+
| 26.01.2025 11:00 | signed      | Max Mustermann (max@kunde.de)   |
|                  | Signatur: SIG-A1B2C3                          |
|                  | IP: 203.0.113.42                              |
+------------------------------------------------------------------+
| 26.01.2025 10:30 | viewed      | Max Mustermann (max@kunde.de)   |
|                  | Dokument angesehen                            |
+------------------------------------------------------------------+
| 26.01.2025 10:00 | sent        | Admin (admin@firma.de)          |
|                  | An 2 Unterzeichner versendet                  |
+------------------------------------------------------------------+
| 26.01.2025 09:45 | created     | Admin (admin@firma.de)          |
|                  | Dokument aus Vorlage erstellt                 |
+------------------------------------------------------------------+

Filter und Suche

Filter	Optionen
Nach Ereignistyp	created, signed, etc.
Nach Akteur	Bestimmter Benutzer/Kunde
Nach Zeitraum	Von-Bis Datum

Unveraenderlichkeit

Garantien

Aspekt	Umsetzung
Kein Update	Audit-Logs haben kein `updated_at` Feld
Kein Delete	Kein Loeschendpunkt vorhanden
Append-Only	Nur neue Eintraege werden hinzugefuegt
Hash-Kette	Optional: Verkettung durch Hashes

GoBD-Konformitaet: Die Unveraenderlichkeit des Audit-Trails ist essentiell fuer die Anerkennung digitaler Dokumente durch Finanzaemter.

Reporting

Audit-Bericht generieren

Fuer jeden Zeitraum kann ein Audit-Bericht erstellt werden:

AUDIT-BERICHT
Zeitraum: 01.01.2025 - 31.01.2025

Zusammenfassung:
+------------------------+-------+
| Ereignistyp            | Anzahl|
+------------------------+-------+
| Dokumente erstellt     |    23 |
| Signaturen erhalten    |    45 |
| Dokumente abgeschlossen|    18 |
| Abgebrochene Vorgaenge |     2 |
+------------------------+-------+

Details:
[... Detaillierte Auflistung ...]

Export-Formate

Format	Verwendung
PDF	Archivierung, Behoerden
CSV	Weiterverarbeitung, Analyse
JSON	API-Integration

DSGVO-Aspekte

Personenbezogene Daten im Audit-Log

Datum	DSGVO-Grundlage	Aufbewahrung
Name	Art. 6(1)(f) Berechtigtes Interesse	Wie Dokument
E-Mail	Art. 6(1)(f) Berechtigtes Interesse	Wie Dokument
IP-Adresse	Art. 6(1)(f) Berechtigtes Interesse	Wie Dokument

Betroffenenrechte

Recht	Umsetzung
Auskunft (Art. 15)	Audit-Logs sind Teil der Auskunft
Loeschung (Art. 17)	Erst nach Ablauf der Aufbewahrungsfrist
Einschraenkung (Art. 18)	Zugriffseinschraenkung moeglich

Aufbewahrungspflicht vs. Loeschrecht: Die gesetzlichen Aufbewahrungspflichten (HGB, AO) gehen dem DSGVO-Loeschrecht vor. Audit-Logs werden erst nach 10 Jahren loeschfaehig.

Technische Implementierung

Automatische Protokollierung

Das System protokolliert automatisch bei:

Dokument erstellen    -> logEvent(EVENT_CREATED)
Dokument aktualisieren -> logEvent(EVENT_UPDATED)
Zum Signieren senden  -> logEvent(EVENT_SENT)
Signatur-Seite oeffnen -> logEvent(EVENT_VIEWED)
Signatur abgeben      -> logEvent(EVENT_SIGNED)
Signatur ablehnen     -> logEvent(EVENT_DECLINED)
Workflow abschliessen -> logEvent(EVENT_COMPLETED)
Dokument abbrechen    -> logEvent(EVENT_CANCELLED)
Dokument loeschen     -> logEvent(EVENT_DELETED)
Link erneut senden    -> logEvent(EVENT_RESENT)
PDF herunterladen     -> logEvent(EVENT_DOWNLOADED)

Retention-Management

Batch-Job (Nachtlauf):

1. Finde Audit-Logs mit retention_until < heute
        |
        v
2. Pruefe zugehoeriges Dokument:
   - Gibt es aktive Rechtsstreite?
   - Laeuft noch eine Pruefung?
        |
        v
3. Falls freigegeben: Physisch loeschen
        |
        v
4. Protokolliere Loeschung (Meta-Audit)

Audit-Logs einsehen

Die Audit-Logs koennen Sie direkt in der Dokumentenansicht einsehen:

Oeffnen Sie das gewuenschte Dokument
Scrollen Sie zum Abschnitt "Aktivitaeten"
Alle protokollierten Ereignisse werden chronologisch angezeigt

Checkliste: Audit-Compliance

Systemebene

Alle Ereignistypen werden protokolliert
Unveraenderlichkeit gewaehrleistet (kein UPDATE/DELETE)
Zeitstempel in UTC/ISO 8601
Akteur wird korrekt identifiziert
IP-Adressen werden erfasst
Retention-Datum automatisch gesetzt

Organisationsebene

Audit-Berichte werden regelmaessig geprueft
Zugriffsrechte auf Audit-Logs eingeschraenkt
Backup der Audit-Logs vorhanden
Verfahrensdokumentation erstellt
Aufbewahrungskonzept dokumentiert

Signatur-Workflow

Haeufige Fragen (FAQ)

Audit-Protokollierung

On this page