Die GoBD ist ein Schreiben des Bundesfinanzministerium und legt die Plichten der Unternehmen für ihre Bücher, sowie alle Daten, die der Nachvollziehbarkeit der Geschäftsbeziehungen dienen, fest. Die Grundlagen sind:

• Aufzeichnungspflichten von Geschäftsvorfällen werden durch verschiedene Einzelnormen festgelegt: HGB, GmbHG, AktienG, Gewerbeordnung usw.
• Die Daten müssen zur Erfüllung der Aufzeichnungspflichten ausreichen, müssen aber nicht für jeden Zweck dupliziert gespeichert werden.
• Es werden keine Vorgaben zur technischen Umsetzung gemacht, da sich die Technik schnell wandelt. Stattdessen gilt das Analogie-Prinzip: Durch kryptografische und andere technische Verfahren sollen Eigenschaften erreicht werden, die dieselben Eigenschaften wie deren Pendants in der natürlichen Welt besitzen. (z.B. der Vergleich mit einem abgeschlossenen Schrank)
• Elektronische Aufzeichnungen müssen vollständig, richtig, zeitgerecht und geordnet vorgenommen werden
• Jede Buchung oder Aufzeichnung muss im Zusammenhang mit einem Beleg stehen
• Es muss die Garantie der Unverlierbarkeit des Geschäftsvorfalls gewährleistet werden
• Der Einsatz von System-Funktionen oder Manipulationsprogrammen, die die Unveränderlichkeit angreifen können, sind verboten
• Werden aufbewahrungspflichtige Dokumente einmal in einem DMS abgelegt, dürfen sie aus diesem nicht mehr gelöscht werden. Die Aufbewahrung in Form von Papier reicht dann nicht mehr aus.
• Maschinenverarbeitbare Daten wie z.B. PDF/A-3 Dateien dürfen nicht derart umgewandelt werden, dass die Metadaten verloren gehen (z.B. bei Konvertierung in JPEG)
• Wird eine OCR durchgeführt, müssen die erkannten Daten ebenfalls mit aufbewahrt werden
• Für digital erzeugte Dokumente muss die Version im Ursprungsformat (z.B. Word-Dokument, Datenbank-Datensatz) ebenfalls aufbewahrt werden
• Das verwendete Datenverarbeitungssystem muss so dokumentiert sein, dass Dritte eine Prüfung der Daten durchführen können
• Bei der Migration muss entweder das Alt-System aufgehoben werden oder die Daten so migriert werden, dass alle Informationen erhalten bleiben
• Das Bundesfinanzministerium gibt keine verbindliche Auskunft darüber, ob ein IT-System den GoDB-Anforderungen entspricht. „Zertifikate“ Dritter haben keine Bindungswirkung und sind nur ein Indikator für ordnungsgemäß umgesetzte GoBD

Ein Knackpunkt sind die Vorgaben bei Migration auf neue Systeme: Was, wenn die Dokumente momentan bei einem Cloud-Anbieter wie z.B. Datev liegen und ein Systemwechsel bevorsteht? Da der Cloud-Anbieter die Daten aufbewahrt, ist man auf das Wohlwollen des Cloud-Anbieters angewiesen, ob dieser die über die Jahre angefallenen Daten zur Migration zur Verfügung stellt (inklusive revisionssicher abgelegter Dokumente), oder ob dieser die restlichen 10 Jahre Aufbewahrungspflicht horrende Gebühren verlangt.