WISO E-Rechnung: Praxisleitfaden für XRechnung & ZUGFeRD

Warum jetzt strukturierte Rechnungen kommen – und was Sie konkret tun müssen

Sie öffnen Ihr E-Mail-Postfach und finden statt der gewohnten PDF-Rechnung eine XML-Datei oder eine Rechnung mit kryptischen Anhängen – eine E‑Rechnung im strukturierten Format. Ihr Lieferant teilt mit, dass ab sofort nur noch E-Rechnungen versendet werden. Gleichzeitig stellen Sie fest, dass Ihre eigenen Kunden zunehmend strukturierte Formate erwarten – und klassische PDFs ablehnen oder verzögert akzeptieren.

Seit dem 1. Januar 2025 ist der Vorrang von Papier und sonstigen Formaten im B2B-Bereich entfallen. Das bedeutet: Sie müssen E-Rechnungen empfangen und verarbeiten können. Wer weiterhin nur unstrukturierte Formate versendet, riskiert längere Zahlungsziele, höhere Rückläuferquoten und manuelle Nacharbeit beim Empfänger – was die eigene Liquidität belastet.

Dieser Leitfaden zeigt Ihnen, wie Sie E-Rechnungsfähigkeit systematisch aufbauen: von der Formatwahl über Datenqualität und Validierung bis hin zu Governance, Integrationen und einem 90-Tage-Fahrplan. Der Fokus liegt auf einer praxisnahen Perspektive, die sowohl Compliance-Anforderungen als auch technische Umsetzbarkeit berücksichtigt. WISO E-Rechnung dient dabei als konkretes Anwendungsbeispiel – die Prinzipien lassen sich jedoch auf jede Software übertragen.

Was eine E-Rechnung ausmacht – und wie WISO sie umsetzt

Eine E-Rechnung ist kein digitalisiertes Papier, sondern ein strukturierter, maschinenlesbarer Datensatz. Sie enthält alle Pflichtangaben nach § 14 UStG in einem definierten elektronischen Format, das automatisch ausgelesen, validiert und weiterverarbeitet werden kann. Das unterscheidet sie fundamental von einem eingescannten PDF: Während PDF für Menschen lesbar ist, muss es manuell erfasst oder per OCR ausgelesen werden – mit entsprechenden Fehlerquoten und Aufwand.

In Deutschland haben sich zwei Formate etabliert, die beide die europäischen Anforderungen erfüllen: XRechnung und ZUGFeRD. Beide sind im WISO E-Rechnung-Modul implementiert und können je nach Anforderung des Empfängers gewählt werden.

XRechnung: strukturiert und automatisierbar

Die XRechnung besteht aus einem reinen XML-Datensatz, der maschinell ausgelesen werden kann. Für Menschen ist sie ohne spezielle Viewer-Software schwer lesbar. Der Fokus liegt auf Datenqualität und Automatisierung. XRechnung wird häufig in der öffentlichen Verwaltung gefordert, da hier standardisierte Prozesse und hohe Automatisierungsgrade im Vordergrund stehen.

ZUGFeRD: PDF mit eingebettetem XML

ZUGFeRD kombiniert ein menschenlesbares PDF-Dokument mit einem eingebetteten XML-Datensatz. Das PDF kann an Ihr Firmendesign angepasst werden und bietet alle gewohnten Formatierungsmöglichkeiten. Gleichzeitig stehen die strukturierten Daten im XML-Teil für die automatische Weiterverarbeitung zur Verfügung. Dieses hybride Format ist besonders im B2B-Umfeld beliebt, da es sowohl manuelle Prüfungen als auch maschinelle Verarbeitung ermöglicht.

Gesetzlicher Rahmen: § 14 UStG, GoBD und Wachstumschancengesetz

Die rechtlichen Anforderungen an Rechnungen sind in § 14 UStG definiert. Dazu gehören Pflichtangaben wie Name und Anschrift, Steuernummer oder USt-ID, Rechnungsdatum, fortlaufende Rechnungsnummer, Angaben zu Leistung und Lieferung, Datum der Leistungserbringung, Nettobetrag, Steuersatz, Steuerbetrag und Bruttobetrag. Eine E-Rechnung muss all diese Angaben in strukturierter Form enthalten – und zwar so, dass sie maschinell validierbar sind.

Darüber hinaus gelten die GoBD (Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form). Sie fordern Unveränderbarkeit, Vollständigkeit, Ordnung, Nachvollziehbarkeit und Prüfbarkeit sowie eine sichere Aufbewahrung über zehn Jahre. Das bedeutet: E-Rechnungen müssen revisionssicher archiviert werden, Zugriffe und Änderungen müssen protokolliert sein, und das gesamte Verfahren muss dokumentiert und nachvollziehbar sein.

Das Wachstumschancengesetz hat die Rahmenbedingungen für elektronische Rechnungen weiter präzisiert und den Weg für eine flächendeckende Einführung geebnet. E-Rechnungen werden zum neuen Standard im B2B- und B2G-Bereich.

WISO E-Rechnung Zielarchitektur: Desktop versus Cloud

Die Wahl zwischen WISO MeinBüro Desktop und WISO MeinBüro Web hat fundamentale Auswirkungen auf Ihre Zielarchitektur, Datenflüsse, Betrieb und Skalierung. Beide Varianten unterstützen die Erstellung und Verarbeitung von E-Rechnungen, unterscheiden sich jedoch erheblich in der technischen Umsetzung und den Integrationsmöglichkeiten.

WISO Desktop: Lokale Installation und dateibasierte Integration

In der Desktop-Variante läuft WISO MeinBüro lokal auf Windows-Rechnern. Die Datenbank liegt ebenfalls lokal. E-Rechnungen werden als Dateien exportiert und über definierte Ordner, E-Mail-Clients oder manuelle Uploads in Portale versendet. Der typische Datenfluss für Ausgangsrechnungen sieht wie folgt aus:

• WISO MeinBüro Desktop (Faktura) exportiert XRechnung oder ZUGFeRD in lokalen Ordner
• Überwachter Ordner leitet weiter an E-Mail-Client oder SFTP-Upload
• Parallele Ablage im DMS oder Archiv via File-Watcher oder manuellem Import

Für Eingangsrechnungen gilt:

• Eingang per E-Mail oder Download aus Portal in lokalen Ordner
• Manuelle oder halbautomatische Validierung
• Import in WISO MeinBüro Desktop mit Erfassung, Kontierung, Freigabe
• Export für FiBu oder Steuerberater über DATEV-Schnittstelle oder CSV

In der Desktop-Variante ist WISO MeinBüro das führende System für Stammdaten (Kunden, Lieferanten, Artikel) und Belege. Änderungen an Stammdaten müssen in WISO erfolgen. Schnittstellen zu ERP-Systemen erfordern manuelle Export-Import-Prozesse oder skriptbasierte Automation.

WISO Cloud: Zentrale Plattform und API-Integration

In der Cloud-Variante läuft WISO MeinBüro als SaaS-Anwendung. Daten werden zentral in Rechenzentren gespeichert. E-Rechnungen können direkt aus der Webanwendung versendet, per API abgerufen oder über Webhooks automatisch an Zielsysteme weitergeleitet werden. Der typische Datenfluss für Ausgangsrechnungen:

• WISO MeinBüro Web (Faktura) erstellt E-Rechnung
• Versand per integriertem E-Mail-Dienst oder API-Export
• Webhook-Trigger bei Rechnungsfreigabe übergibt automatisch an externes DMS oder ERP via REST-API
• Parallele Archivierung in Cloud-DMS via Connector

Für Eingangsrechnungen:

• Eingang per zentralem E-Mail-Postfach mit Weiterleitung an WISO-Inbox
• Automatische Validierung in WISO MeinBüro Web mit Workflow-Freigabe
• API-Export an ERP oder FiBu für automatische Buchung

In hybriden Landschaften muss klar definiert werden, welches System die führende Datenquelle ist. Empfehlung: ERP als Master für Stammdaten, WISO als Faktura-Tool mit regelmäßigem Stammdaten-Sync. Alternativ: WISO als führendes System, wenn kein umfassendes ERP vorhanden ist.

Komponentenliste und Datenflussdiagramm

Eine vollständige Zielarchitektur für WISO E-Rechnung umfasst folgende Komponenten:

• WISO MeinBüro (Desktop oder Web): Faktura, Rechnungserstellung, Stammdatenverwaltung
• Validierungs-Tool: KoSIT-Prüftool (lokal), Online-Validatoren, integrierte Validierung in WISO (Cloud)
• E-Mail-System: Outlook (Desktop), zentrale Postfächer (Cloud), SPF/DKIM/DMARC-Konfiguration
• DMS/Archiv: DATEV Unternehmen Online, DocuWare, SharePoint, lokale Netzlaufwerke
• ERP/FiBu: DATEV, SAP, Lexware, individuelle Lösungen
• Schnittstellen-Layer: File-Watcher (Desktop), REST-APIs (Cloud), Webhooks, SFTP, DATEV-Schnittstelle
• Monitoring/Logging: Windows-Eventlog (Desktop), Cloud-Logging, SIEM-Integration

Datenflussdiagramm (vereinfacht):

Ausgang (O2C): Faktura (WISO) – Validierung – Freigabe – Export/Versand (E-Mail/API) – Archiv (DMS) – Reporting

Eingang (P2P): Eingang (E-Mail/Portal) – Validierung – Import (WISO) – Freigabe/Kontierung – Export (DATEV/ERP) – Archiv (DMS) – Zahlung (Banking)

WISO E-Rechnung Schnittstellen: Export, Import und Fehlerhandling

Die Qualität Ihrer E-Rechnungsintegration hängt maßgeblich von den verfügbaren Schnittstellen ab. WISO MeinBüro bietet verschiedene Export- und Import-Optionen – die Auswahl sollte sich nach Ihrem Automatisierungsgrad, Ihrer Systemlandschaft und Ihren Volumina richten. Falls Sie die Auswahl der passenden E‑Rechnungssoftware systematisch vergleichen möchten, lohnt sich ein Blick auf Kriterien wie Schnittstellen, Validierung und Archivierung.

Export-Optionen (Ausgangsrechnungen)

WISO Desktop bietet:

• Datei-Export: XRechnung (XML), ZUGFeRD (PDF mit embedded XML) in definierten Ordner. Dateinamenskonvention konfigurierbar.
• E-Mail-Versand: Direkt aus WISO via Outlook-Integration. E-Mail-Vorlage mit Betreff, Text und Anhang wird automatisch befüllt. Einschränkung: Kein Batch-Versand, keine Retry-Logik bei Fehlschlag.
• DATEV-Export: Strukturierte Rechnungsdaten als DATEV-ASCII oder DATEV-XML für Übergabe an DATEV Unternehmen Online oder DATEV Rechnungswesen. Export umfasst Belegnummer, Datum, Betrag, Steuerschlüssel, Kontierung.
• CSV-Export: Einfache tabellarische Exportoption für Weiterverarbeitung in Excel oder älteren Systemen. Feldtrennzeichen, Datumsformat, Kodierung konfigurierbar.

WISO Cloud bietet:

• REST-API: Abruf von Rechnungsdaten via HTTP-GET-Requests. Authentifizierung via OAuth 2.0. Endpunkte beispielhaft: GET /api/v1/invoices, GET /api/v1/invoices/{id}, GET /api/v1/invoices/{id}/xml. Rückgabewerte: JSON (Metadaten) oder XML/PDF (Rechnung). Rate-Limits: typischerweise 100 Requests/Minute. Fehler-Codes: 200 (OK), 401 (Unauthorized), 404 (Not Found), 429 (Rate Limit Exceeded), 500 (Server Error).
• Webhooks: Event-basierte Benachrichtigung bei definierten Ereignissen (z. B. Rechnung freigegeben, Rechnung versendet). WISO sendet HTTP-POST an konfigurierte Webhook-URL. Payload: JSON mit Event-Typ, Rechnungs-ID, Zeitstempel. Retry-Logik: 3 Versuche mit exponentiellem Backoff. Empfehlung: Webhook-Empfänger muss idempotent sein und innerhalb 5 Sekunden mit HTTP 200 antworten.
• E-Mail-Versand: Integrierter E-Mail-Dienst (kein lokaler Client erforderlich). TLS-Verschlüsselung, SPF/DKIM-Authentifizierung. Batch-Versand möglich. Status-Tracking: versendet, zugestellt, Bounce.

Import-Optionen (Eingangsrechnungen)

WISO Desktop bietet:

• Datei-Import: XRechnung, ZUGFeRD, PDF (mit OCR-Erkennung, falls Modul lizenziert). Import aus definiertem Ordner. Validierung beim Import: Schema-Prüfung, Pflichtfelder, Dublettencheck anhand Rechnungsnummer plus Lieferant.
• E-Mail-Import: Automatisches Abholen aus Outlook-Postfach. Regelbasierte Filterung (z. B. nur E-Mails mit Betreff "Rechnung" und Anhang .xml oder .pdf). Import-Status: erfolgreich, fehlgeschlagen (mit Fehlercode), in Quarantäne (bei Validierungsfehlern). Für einen konsistenten Prozess hilft ein standardisiertes Anschreiben zur Rechnung per E‑Mail, damit Betreff, Anhänge und Metadaten zuverlässig erkannt werden.
• Manuelle Erfassung: Drag & Drop von Dateien in WISO-Oberfläche. Manuelle Zuordnung zu Lieferant, Kontierung, Projekt.

WISO Cloud bietet:

• REST-API: Upload von Rechnungen via HTTP-POST. Endpunkt beispielhaft: POST /api/v1/invoices/upload. Authentifizierung via OAuth 2.0. Payload: Multipart/form-data mit Datei (XML/PDF) und optionalen Metadaten (Lieferant-ID, Kostenstelle). Rückgabe: Rechnungs-ID, Validierungsergebnis (success/warnings/errors), Import-Status. Fehler-Codes: 201 (Created), 400 (Bad Request – Validierungsfehler), 401 (Unauthorized), 413 (Payload Too Large), 422 (Unprocessable Entity – fachlicher Fehler), 500 (Server Error).
• E-Mail-Inbox: Zentrale Inbox in WISO Cloud. Weiterleitung von zentralem Postfach via E-Mail-Regel. Automatische Validierung, OCR-Erkennung (falls aktiviert), Workflow-Zuweisung.
• Portal-Upload: Webformular für manuelle Uploads. Drag & Drop, Fortschrittsanzeige, sofortige Validierung.

Authentifizierung und Autorisierung

WISO Desktop: Lokale Benutzer- und Rechteverwaltung. Passwortschutz, optional Windows-Authentifizierung. Keine Multi-Faktor-Authentifizierung in Standard-Version. Empfehlung: Windows-Benutzerkonten mit MFA kombinieren.

WISO Cloud: OAuth 2.0 für API-Zugriff. MFA-Pflicht für Admin-Rollen (TOTP via Authenticator-App). RBAC (Role-Based Access Control) mit vordefinierten Rollen (Admin, Buchhalter, Leser) und Custom-Rollen (falls Enterprise-Lizenz). API-Keys mit definierten Scopes (z. B. invoices:read, invoices:write, masterdata:write). Key-Rotation empfohlen (quartalsweise).

Idempotenz und Retry-Logik

Bei API-Integrationen ist Idempotenz entscheidend, um Duplikate zu vermeiden. Beispiel: Ein API-Call zum Erstellen einer Rechnung schlägt mit HTTP 500 fehl, wird aber serverseitig bereits verarbeitet. Ein Retry würde eine Duplikat-Rechnung erzeugen. Lösung: Idempotency-Key (z. B. UUID) im HTTP-Header mitgeben. WISO Cloud unterstützt Idempotency-Keys bei POST/PUT-Requests. Der Server speichert den Key für 24h und ignoriert wiederholte Requests mit gleichem Key.

Retry-Strategie für API-Calls:

• Transiente Fehler (500, 502, 503, 504, 429): Automatischer Retry mit exponentiellem Backoff (1s, 2s, 4s, 8s, 16s). Maximal 5 Versuche.
• Client-Fehler (400, 401, 404, 422): Kein Retry. Fehler loggen, Alert an Verantwortliche, manuelle Klärung.
• Timeout: Timeout nach 30s. Retry wie transiente Fehler.

Datenformate und Mapping

Die WISO-API liefert Rechnungsdaten als JSON (Metadaten) und XML/PDF (Rechnung). Mapping zwischen WISO-Feldern und EN16931-Business-Terms:

Empfehlung: Dokumentieren Sie Ihr Mapping in einer zentralen Tabelle und aktualisieren Sie diese bei Schema-Änderungen.

Operative Runbooks: Monitoring, Alerting, Retry und Wartungsfenster

Eine E-Rechnungslösung ist nur dann betriebssicher, wenn Sie Fehler frühzeitig erkennen, automatisch behandeln und bei Bedarf eskalieren können. Operative Runbooks definieren, wie Sie WISO E-Rechnung überwachen, Alarme definieren und auf Incidents reagieren.

Monitoring-Strategie: Was muss überwacht werden?

Überwachen Sie folgende Metriken in Echtzeit:

• Rechnungsvolumen: Anzahl erstellter/versendeter Rechnungen (heute/diese Woche/diesen Monat), Anzahl empfangener Rechnungen, Abweichungen vom Durchschnitt (z. B. größer 20 Prozent = Alert)
• Validierungsfehler: Anzahl fehlgeschlagener Validierungen (nach Fehlercode gruppiert), Top-5-Fehlerquellen (z. B. fehlende IBAN, fehlende Bestellnummer), Fehlerquote (fehlgeschlagene Validierungen / Gesamtvolumen)
• Versandfehler: Anzahl fehlgeschlagener E-Mail-Versendungen (SMTP-Fehler, Bounce), API-Fehler (HTTP 4xx/5xx), Timeout-Fehler
• Klärfälle: Anzahl offener Klärfälle (nach Alter), durchschnittliche Bearbeitungszeit, SLA-Erfüllung (z. B. 95 Prozent aller Klärfälle innerhalb 48h bearbeitet)
• Zahlungseingänge: Offene Posten (nach Fälligkeit), Mahnquote, durchschnittliche Zahlungsdauer (Days Sales Outstanding, DSO)
• Systemverfügbarkeit: Uptime WISO Cloud (via Status-Page), API-Verfügbarkeit, Antwortzeiten (p50, p95, p99)

Monitoring-Tools und Integration

WISO Desktop: Logging in Windows-Eventlog. Integration mit zentralem Monitoring (z. B. PRTG, Nagios) via WMI oder Log-Forwarding. Custom-Skripte (PowerShell) für KPI-Extraktion aus WISO-Datenbank.

WISO Cloud: Integriertes Dashboard mit Echtzeit-KPIs. Export via API für Integration in externe Tools (z. B. Grafana, Power BI). Webhook-basierte Alerts (z. B. bei Validierungsfehler größer Schwellenwert). Integration mit SIEM-Systemen (z. B. Splunk, Azure Sentinel) via API oder Log-Forwarding.

Alerting-Regeln: Wann wird wer informiert?

Definieren Sie klare Alerting-Regeln mit definierten Schwellenwerten und Eskalationsstufen:

• Kritisch (Severity 1): WISO Cloud nicht erreichbar (Uptime kleiner 95 Prozent in letzten 15 Min), API liefert größer 50 Prozent Fehler (HTTP 5xx), Zahlungsverkehr gestört. Benachrichtigung: SMS an IT-Leitung plus Operations-Team, sofortige Reaktion erforderlich.
• Hoch (Severity 2): Validierungsfehlerquote größer 10 Prozent, Versandfehler größer 5 Prozent, offene Klärfälle größer 48h ohne Bearbeitung. Benachrichtigung: E-Mail an Accounting Operations plus IT-Owner, Reaktion innerhalb 4h.
• Mittel (Severity 3): Validierungsfehlerquote größer 5 Prozent, Rechnungsvolumen weicht größer 20 Prozent vom Durchschnitt ab. Benachrichtigung: E-Mail an Team-Lead, Reaktion innerhalb 1 Arbeitstag.
• Niedrig (Severity 4): Einzelne Validierungsfehler, Warnungen. Benachrichtigung: Logging, wöchentliche Review.

Retry und Dead-Letter-Queue

Für fehlgeschlagene Rechnungen (z. B. Versandfehler, API-Timeout) sollten Sie eine Retry-Logik mit anschließender Dead-Letter-Queue implementieren:

• Retry: 3 automatische Versuche mit exponentiellem Backoff (5s, 25s, 125s). Nach 3 Fehlversuchen: Verschiebung in DLQ.
• Dead-Letter-Queue: Separates Postfach/Ordner/Tabelle für fehlgeschlagene Rechnungen. Tägliche manuelle Review durch Operations-Team. Dokumentation: Fehlercode, Zeitpunkt, Anzahl Versuche, Fehlermeldung. Maßnahmen: Korrektur der Daten (z. B. fehlende IBAN nachtragen), manuelle Neuversendung, Eskalation an Lieferanten/Kunden.

Backout und Rollback-Strategie

Bei fehlerhaften Updates oder System-Änderungen muss eine Rollback-Strategie definiert sein:

• WISO Desktop: Vor jedem Update: Backup der Datenbank (z. B. via WISO-eigene Backup-Funktion oder manuelle Kopie der .db-Datei). Aufbewahrung: mindestens 3 Generationen. Rollback: Installation der Vorgängerversion plus Restore des Backups. Zeitaufwand: ca. 30 Min.
• WISO Cloud: Rollback durch Anbieter (kein direkter Kundenzugriff). SLA: Rollback innerhalb 2h bei kritischen Fehlern. Empfehlung: Vor großen Releases (z. B. Jahreswechsel) Export aller Daten via API zur Sicherheit.

Wartungsfenster und Change-Management

Planen Sie regelmäßige Wartungsfenster für Updates, Patches und Tests:

• WISO Desktop: Quartalsweise Updates (z. B. jeden ersten Sonntag im Quartal, 18:00–22:00 Uhr). Kommunikation an alle Anwendenden 1 Woche vorher. Testphase: 1 Woche in Test-Umgebung (parallel installierte WISO-Instanz mit Kopie der Produktionsdaten).
• WISO Cloud: Wartungsfenster durch Anbieter kommuniziert (in der Regel nachts, 02:00–05:00 Uhr). Einsicht via Status-Page. Bei kritischen Änderungen: Opt-in für Early-Access-Programm (Test neuer Features vor Rollout).

Change-Requests (z. B. neue Schnittstelle, Anpassung Validierungsregeln) sollten formalisiert werden: Change-Ticket mit Beschreibung, Begründung, Auswirkungsanalyse, Freigabe durch Change Advisory Board, Dokumentation in Changelog.

Security und Compliance konkret: MFA, RBAC, Log-Retention, AVV und Verschlüsselung

Security und Compliance sind nicht optional, sondern gesetzlich gefordert (GoBD, DSGVO) und geschäftskritisch (Schutz vor Datenverlust, Betrug, Reputationsschäden). Konkrete Maßnahmen für WISO E-Rechnung:

Multi-Faktor-Authentifizierung

WISO Desktop: Keine native MFA-Unterstützung. Empfehlung: Windows-Benutzerkonten mit MFA absichern (z. B. Windows Hello, Smartcard, Azure AD mit Conditional Access). WISO-Zugriff nur für authentifizierte Windows-Benutzer.

WISO Cloud: MFA-Pflicht für alle Admin-Rollen (aktivierbar in Benutzereinstellungen). Unterstützte Verfahren: TOTP (Authenticator-App wie Google Authenticator, Microsoft Authenticator), SMS (nicht empfohlen, da anfällig für SIM-Swapping). MFA-Reset nur durch Admin mit Vier-Augen-Prinzip (zwei Admins müssen Reset bestätigen).

RBAC-Matrix (Role-Based Access Control)

Definieren Sie klare Rollen mit minimalen Rechten:

Log-Retention und DSGVO

Protokolle (Audit-Trail) müssen 10 Jahre aufbewahrt werden (GoBD). Gleichzeitig fordert die DSGVO die Löschung personenbezogener Daten nach Ende des Zwecks. Konflikt? Nein – denn steuerrechtliche Aufbewahrungspflichten gehen vor (Art. 17 Abs. 3 lit. b DSGVO). Logs mit Personenbezug (z. B. Nutzer-IDs) dürfen und müssen aufbewahrt werden, solange die Aufbewahrungspflicht besteht. Nach 10 Jahren: automatische Löschung oder Anonymisierung (z. B. Nutzer-ID durch Hash ersetzen).

Technische Umsetzung:

• WISO Desktop: Logs im Windows-Eventlog (Standard-Retention: 30 Tage). Export in zentrales Log-Management (z. B. via NXLog) mit 10-Jahres-Aufbewahrung.
• WISO Cloud: Logs in Cloud-Logging-System (z. B. Application Insights). Automatische Archivierung nach 90 Tagen in kostengünstigeren Cold Storage. Aufbewahrung: 10 Jahre. Zugriff: nur für autorisierte Rollen (Audit-Log für Logzugriffe).

Verschlüsselung: Transport und Ruhe

Transport:

• TLS 1.2 oder höher für alle HTTPS-Verbindungen (API, Webzugriff)
• E-Mail-Versand: STARTTLS (opportunistisch) oder dedizierte TLS-Verbindung (bevorzugt)
• SFTP (SSH File Transfer Protocol) für dateibasierte Integrationen – kein FTP

Ruhe (at rest):

• WISO Desktop: Datenbank-Verschlüsselung via Windows BitLocker (Full Disk Encryption) oder SQL Server Transparent Data Encryption (TDE). Backup-Verschlüsselung (z. B. 7-Zip mit AES-256-Passwort).
• WISO Cloud: Verschlüsselung at rest durch Anbieter (AES-256). Schlüsselmanagement durch Anbieter (HSM-basiert). Kunden-seitige Verschlüsselung (Bring Your Own Key, BYOK) in Standard-Version nicht verfügbar – bei Bedarf Enterprise-Lizenz prüfen.

AVV-Checkliste (Auftragsverarbeitungsvertrag)

Falls Sie WISO Cloud nutzen, ist der Anbieter Auftragsverarbeiter im Sinne der DSGVO. Prüfen Sie den AVV (sollte im Lizenzvertrag enthalten sein) auf folgende Punkte:

• Gegenstand und Dauer der Verarbeitung klar definiert?
• Art und Zweck der Verarbeitung beschrieben?
• Kategorien personenbezogener Daten aufgelistet (z. B. Kundennamen, Adressen, Bankdaten)?
• Kategorien betroffener Personen aufgelistet (z. B. Kunden, Lieferanten, Mitarbeitende)?
• Rechte und Pflichten des Verantwortlichen (Ihres Unternehmens) definiert?
• Technische und organisatorische Maßnahmen (TOMs) dokumentiert (z. B. Verschlüsselung, Zugriffskontrolle, Backups)?
• Unterauftragnehmer benannt (z. B. Rechenzentrum, Cloud-Provider)?
• Datenlokation (EU/EWR) garantiert?
• Unterstützung bei Betroffenenanfragen (Auskunft, Löschung) zugesichert?
• Meldepflicht bei Datenschutzverletzungen definiert (z. B. innerhalb 24h)?
• Löschung/Rückgabe der Daten nach Vertragsende geregelt?

Verschlüsselungsschlüssel-Verantwortung

Bei WISO Desktop: Sie sind verantwortlich für Schlüsselmanagement (z. B. BitLocker-Recovery-Keys sicher verwahren, Passwörter für verschlüsselte Backups dokumentieren). Best Practice: Schlüssel in Hardware Security Module (HSM) oder Passwort-Manager (z. B. KeePass, 1Password) mit Mehr-Augen-Prinzip (mindestens zwei Personen kennen Master-Passwort).

Bei WISO Cloud: Anbieter verantwortlich. Sie haben keinen Zugriff auf Verschlüsselungsschlüssel. Risiko: Vendor-Lock-in. Maßnahme: Regelmäßige Daten-Exports via API zur Sicherheit (z. B. monatlich vollständiger Export aller Rechnungen und Stammdaten in strukturiertem Format).

Migrations- und Rolloutplan: 90-Tage-Fahrplan mit Abnahmekriterien und KPIs

Die Einführung von WISO E-Rechnung ist kein einmaliges Projekt, sondern ein strukturierter Veränderungsprozess. Der folgende 90-Tage-Fahrplan bietet einen praxiserprobten Ablauf mit klaren Abnahmekriterien für jede Phase.

Phase 1 (Tag 1–30): Assessment und Stabilisierung

Ziel: Bestandsaufnahme, Anforderungen klären, Risiken identifizieren, zentrale Eingangskanäle etablieren.

Aktivitäten:

• Bestandsaufnahme: Welche Systeme sind im Einsatz (ERP, DMS, E-Mail)? Wie viele Rechnungen werden monatlich erstellt/empfangen? Welche Formate nutzen Ihre größten Kunden/Lieferanten?
• Anforderungsworkshop mit Finance, IT, Einkauf, Vertrieb: Welche Formate müssen unterstützt werden? Welche Schnittstellen sind erforderlich? Welche SLAs gelten?
• Risikobewertung: Wo sind die größten Risiken (z. B. Schattenpostfächer, fehlende Stammdaten, manuelle Prozesse)?
• Zentralisierung Eingangskanäle: Einrichtung zentrales Postfach (rechnungseingang@…), Weiterleitung aller dezentralen Postfächer, Kommunikation an Lieferanten
• WISO-Setup: Installation (Desktop) oder Onboarding (Cloud), Grundkonfiguration (Unternehmensdaten, Steuernummern, Bankdaten), erste Testrechnungen (XRechnung und ZUGFeRD)

Abnahmekriterien Phase 1:

• Anforderungsdokumentation liegt vor (unterschrieben von Stakeholdern)
• Zentrales Postfach ist eingerichtet und alle bisherigen Postfächer leiten weiter
• WISO ist installiert/konfiguriert und mindestens 5 Testrechnungen wurden erfolgreich erstellt und validiert (XRechnung und ZUGFeRD)
• Risikoliste liegt vor mit Priorisierung und Maßnahmenplan

Phase 2 (Tag 31–60): Standardisierung und Integration

Ziel: Stammdaten bereinigen, Schnittstellen aufbauen, Workflows definieren, erste Piloten mit ausgewählten Kunden/Lieferanten.

Aktivitäten:

• Stammdaten-Cleanup: Export aller Kunden-/Lieferantendaten aus WISO, Abgleich mit CRM/ERP, Bereinigung (fehlende PLZ, IBAN, E-Mail), Reimport
• Schnittstellenaufbau: DATEV-Schnittstelle konfigurieren, DMS-Anbindung einrichten (File-Watcher oder API), API-Integration testen (falls Cloud)
• Workflow-Definition: O2C-Prozess dokumentieren (wer erstellt, wer prüft, wer gibt frei, wer versendet), P2P-Prozess dokumentieren (wer erfasst, wer kontiert, wer gibt frei), Schwellenwerte definieren (z. B. Rechnungen größer 5.000 Euro = Vier-Augen-Prinzip)
• Validierung implementieren: KoSIT-Prüftool integrieren (Desktop) oder Cloud-Validierung aktivieren, Fehlerbehandlung definieren (wer wird informiert, wie wird korrigiert)
• Pilotphase: 5–10 ausgewählte Kunden (O2C) und 5–10 Lieferanten (P2P) über WISO E-Rechnung abwickeln, Feedback einholen, Prozess optimieren

Abnahmekriterien Phase 2:

• Stammdaten-Qualität größer gleich 95 Prozent (95 Prozent aller Kunden/Lieferanten haben vollständige Pflichtfelder)
• Schnittstellen sind produktiv (DATEV, DMS) und mindestens 10 Rechnungen wurden erfolgreich übertragen
• Workflow-Dokumentation liegt vor (inkl. RACI-Matrix, Freigaberegeln, Eskalationspfade)
• Pilotphase erfolgreich abgeschlossen (mindestens 50 Rechnungen erstellt/empfangen, Validierungsfehlerquote kleiner 5 Prozent, Feedback von Pilotteilnehmern eingeholt)

Phase 3 (Tag 61–90): Skalierung und Automatisierung

Ziel: Rollout auf alle Kunden/Lieferanten, Automatisierung maximieren, Monitoring etablieren, Schulungen durchführen.

Aktivitäten:

• Rollout-Kommunikation: E-Mail-Kampagne an alle Kunden (O2C): "Ab [Datum] versenden wir E-Rechnungen – so empfangen Sie diese", E-Mail an alle Lieferanten (P2P): "Bitte senden Sie Rechnungen zukünftig an rechnungseingang@… im Format XRechnung oder ZUGFeRD"
• Batch-Migration: Export aller historischen Rechnungen (letztes Quartal) und Import in Archiv/DMS, Dublettencheck, Validierung
• Automatisierung: Dunkelverarbeitung für Standardfälle (z. B. Rechnungen kleiner 500 Euro ohne Bestellreferenz werden automatisch kontiert und freigegeben), Matching mit Bestellungen (P2P), automatischer Zahlungslauf bei fälligen Rechnungen
• Monitoring-Dashboard: KPI-Dashboard einrichten (Rechnungsvolumen, Fehlerquoten, offene Posten, SLA-Erfüllung), Alerting-Regeln konfigurieren, wöchentliche Review-Meetings
• Schulungen: Halbtagsschulung für alle Anwendenden (Accounting, Einkauf, Vertrieb), Schulungsunterlagen (Handbuch, FAQ, Video-Tutorials), Train-the-Trainer für Key-User
• Go-Live: Offizieller Starttermin (z. B. Monatserster), Kommunikation intern und extern, Bereitschaftsdienst für erste Woche (erweiterte Supportzeiten)

Abnahmekriterien Phase 3:

• Rollout abgeschlossen: größer gleich 80 Prozent aller Kunden empfangen E-Rechnungen, größer gleich 80 Prozent aller Lieferanten senden E-Rechnungen
• Automatisierungsgrad (P2P): größer gleich 60 Prozent aller Eingangsrechnungen werden ohne manuelle Erfassung verarbeitet (automatisches Matching plus Kontierung)
• Monitoring produktiv: Dashboard ist live, Alerts funktionieren, erste wöchentliche Review durchgeführt
• Schulungen abgeschlossen: größer gleich 90 Prozent aller Anwendenden haben Schulung absolviert, Feedback-Score größer gleich 4/5
• KPIs erreicht: Validierungsfehlerquote kleiner 3 Prozent, durchschnittliche Bearbeitungszeit (Eingang bis Buchung) kleiner 48h, SLA-Erfüllung größer gleich 95 Prozent

KPIs und SLAs: Was messen, was steuern?

Definieren Sie klare KPIs und SLAs für die laufende Steuerung:

Fazit: WISO E-Rechnung als Enabler für Effizienz und Compliance

Die Einführung von WISO E-Rechnung ist weit mehr als eine technische Umstellung – sie ist ein strategischer Hebel für Effizienz, Liquidität und Compliance. Mit strukturierten Prozessen, klaren Verantwortlichkeiten, robusten Integrationen und kontinuierlichem Monitoring schaffen Sie die Grundlage für einen zukunftssicheren Rechnungsprozess. Wenn Sie dabei Unterstützung benötigen, kann eine E‑Rechnungsberatung helfen, Architektur, Prozesse und Compliance-Anforderungen sauber zusammenzubringen.

Die wichtigsten Erfolgsfaktoren:

• Klare Zielarchitektur: Desktop oder Cloud, dateibasiert oder API-basiert – entscheiden Sie bewusst und dokumentieren Sie Ihre Architektur.
• Stammdatenqualität: Ohne saubere Stammdaten scheitert jede E-Rechnungslösung. Investieren Sie in Datenqualität und Governance.
• Schnittstellen und Automatisierung: Nutzen Sie APIs, Webhooks und Validierungstools, um manuelle Arbeit zu minimieren und Fehlerquoten zu senken.
• Security und Compliance: MFA, RBAC, Verschlüsselung, Log-Retention und AVV sind Pflicht.
• Operatives Monitoring: Ohne Transparenz keine Steuerung. Etablieren Sie ein Monitoring-Dashboard, definieren Sie Alerts und reagieren Sie proaktiv auf Abweichungen.
• Strukturierter Rollout: 90 Tage von Assessment bis Go-Live, mit klaren Abnahmekriterien für jede Phase.

Mit diesem Leitfaden haben Sie alle Werkzeuge, um WISO E-Rechnung erfolgreich einzuführen – unabhängig davon, ob Sie als CFO Compliance sicherstellen oder als IT-Leiter technische Exzellenz anstreben. Die strukturierte Umsetzung sichert nicht nur die Einhaltung gesetzlicher Vorgaben, sondern schafft messbare Effizienzgewinne und verbessert die Zusammenarbeit mit Kunden und Lieferanten nachhaltig.