Bei der Prüfung einer Restaurantkette lautet die erste Frage: „Wann, von wem und aus welchem Grund wurde dieser Datensatz geändert?" Wenn Sie nicht antworten können, gilt selbst die perfekteste Bilanz nicht als konform. Der digitale Audit-Trail beantwortet diese Frage.
Bei Gastrolie wird jede Datenänderung — eine Verkaufsbuchung, eine Korrektur der Arbeitsstunden, eine Rezeptkosten-Aktualisierung — als neue audit_log-Zeile angehängt. Der alte Wert wird nicht gelöscht; der neue Wert überschreibt ihn nicht. Die Zeitleiste wächst nur.
Zwei Grundsäulen
- Wer/Was/Wann/Warum: Benutzer-ID, Mutationstyp, Zeitstempel, Kurznotiz — auf jeder Zeile Pflicht.
- Immutable append-only: Log-Einträge können weder verändert noch gelöscht werden. Auf DB-Ebene mit PostgreSQL-Triggern durchgesetzt.
GoBD §146 schreibt dieses Modell für Finanzaufzeichnungen in Deutschland vor. Die DSGVO verlangt die Löschung personenbezogener Daten — wie löscht man personenbezogene Daten, ohne den Audit-Trail zu brechen? Die Antwort: Die Daten selbst werden anonymisiert (z.B. „Jan Schmidt" → „user_8374"), der Trail bleibt unverändert. Das ist der einzige Weg, beide Gesetze gemeinsam zu erfüllen.