Validatoren

Jede Prüfung ist ein offen dokumentierter, deterministischer Algorithmus. Gleiche Eingabe → gleiches Ergebnis. Keine Sprachmodelle, keine Wahrscheinlichkeiten, keine Halluzinationen.

Warum das wichtig ist: Wenn ein Steuerprüfer Sie fragt, warum ein Datensatz als auffällig markiert wurde, können Sie es ihm exakt erklären — bis zur Prüfziffer-Formel. Ein KI-System kann das nicht.

IBAN — ISO 13616 / mod97

DACH-Länder DE, AT, CH und LI. Wir prüfen Länderkennung, erwartete Länge je Land und die mod97-Prüfsumme nach ISO 13616. Eingaben werden vor der Prüfung normalisiert (Leerzeichen entfernt, Großbuchstaben).

DE — 22 Stellen (DE + 2 Prüf + 8 BLZ + 10 Konto)
AT — 20 Stellen (AT + 2 Prüf + 5 BLZ + 11 Konto)
CH — 21 Stellen (CH + 2 Prüf + 5 Bank + 12 Konto)
LI — 21 Stellen (LI + 2 Prüf + 5 Bank + 12 Konto)

Quelle: ISO 13616-1:2007 (International Bank Account Number). Die mod97-Prüfung lehnt jede IBAN mit falscher Prüfsumme ab — unabhängig davon, ob die BLZ existiert.

Steuer-ID — § 139b AO / Elster-Prüfziffer

Deutsche Steuerliche Identifikationsnummer. Geprüft werden:

Genau 11 Ziffern
Erste Ziffer 1–9 (keine führende Null)
Nicht alle Ziffern identisch
Genau eine Ziffer erscheint zwei- oder dreimal in den ersten 10 Stellen — laut amtlicher Spezifikation
Elster-Prüfziffer auf der 11. Stelle

Quelle: § 139b Abgabenordnung; Algorithmus-Spezifikation des Bundeszentralamts für Steuern (BZSt).

USt-IdNr — DACH-Umsatzsteuer-Identifikation

Umsatzsteuer-Identifikationsnummer für DE, AT, CH und LI. Jedes Land verwendet sein eigenes amtliches Prüfziffernverfahren. Wir normalisieren Eingaben (Leerzeichen, Bindestriche, Punkte, MWST/TVA/IVA-Suffix), bestimmen das Land aus dem Präfix und prüfen offline — kein BZSt-, BMF- oder VIES-Aufruf.

DE — DE + 9 Ziffern; ISO 7064 MOD 11,10 über die ersten 8 Ziffern (§ 27a UStG-Anhang).
AT — ATU + 8 Ziffern; BMF-Quersummenverfahren mit Verdopplung der gerade-indizierten Stellen.
CH — CHE + 9 Ziffern; MOD 11 mit Gewichten 5,4,3,2,7,6,5,4 (BFS-Spezifikation).
LI — Liechtensteinische Unternehmen erhalten unter dem Zollvertrag Schweizer CHE-Nummern; sie werden mit demselben Algorithmus geprüft.

Quellen: Bundeszentralamt für Steuern (BZSt) — Aufbau der USt-IdNr; Bundesministerium für Finanzen (BMF Österreich) — UID-Algorithmus; Bundesamt für Statistik (BFS Schweiz) — Unternehmens-Identifikationsnummer.

Postleitzahlen DACH

Bereichsbasierte Validierung mit optionaler Verschärfung anhand der IBAN-Länderkennung. Ohne Länder-Hint nutzen wir den breiten 4-stelligen Bereich 1000–9999 als Fallback, damit eine fehlende IBAN keine Folgefehler erzeugt.

DE — 01067 bis 99998 (5-stellig)
AT — 1010 bis 9999
CH — 1000 bis 9999
LI — 9485 bis 9498 (nur 14 PLZ existieren tatsächlich)

Quellen: Universal Postal Union, Deutsche Post AG, Österreichische Post, Die Post (Schweiz), Liechtensteinische Post.

Währung und Zahlenformat

DACH-Buchhaltungsdaten kommen in drei Konventionen vor; wir erkennen sie anhand des Trennzeichens, nicht anhand des Währungssymbols.

1.234,56 — deutsch (DE/AT): Punkt Tausender, Komma Dezimal
1,234.56 — international (UK/US): Komma Tausender, Punkt Dezimal
1'234.55 — Schweizer Apostroph (CH/LI): Apostroph Tausender, Punkt Dezimal

Erkannte Währungsmarker: € / EUR, CHF / SFr / Fr., $ / USD, £ / GBP. Die Marker beeinflussen den Currency-Hint, nicht das Format-Erkennungsergebnis.

DSGVO-Pflichtfelder

Prüfung auf Vorhandensein und plausible Befüllung der nach DSGVO und HGB geforderten Pflichtfelder: Vollständige Lieferantenanschrift, USt-ID-Nr. (USt 1 TG-Format), Datum, Rechnungs- oder Belegnummer. Strukturelle Prüfung — keine inhaltliche Auslegung.

GoBD — Ordnungsmäßigkeit

Formale Prüfung der GoBD-Anforderungen an digitale Belege: Unveränderbarkeit (Hash-Signatur je Datensatz), zeitnahe Erfassung (Belegdatum vs. Erfassungsdatum), vollständige Belegidentifikation. Die Prüfung ersetzt keine Verfahrensdokumentation.

§ 203 StGB — Tax-Secrecy-Risiken

Heuristische Erkennung von Datenfeldern, die unter die Berufsgeheimhaltung fallen (Steuerberater, Wirtschaftsprüfer, Rechtsanwälte) und in einem ungeschützten Datentransfer sichtbar wären. Erkannt werden u. a. Mandanten-IDs, Honorarbeträge in Verbindung mit Klarnamen, Besteuerungs- und Lohnabrechnungsfelder.

Was wir nicht tun

Keine Sprachmodelle (LLMs) für Prüfentscheidungen — weder lokal noch in der Cloud.
Kein Pattern-Matching durch trainierte Modelle. Alle Regeln sind Code, der inspiziert werden kann.
Keine Heuristiken im Stil „sieht ähnlich aus wie“. Ein Datensatz ist gültig oder ungültig nach deterministischen Kriterien.

Quelltext

Die Validatoren liegen offen unter services/auditor/validators/ in unserem internen Repository. Auf Anfrage stellen wir einen Read-Only-Zugang für Auditoren bereit. Schreiben Sie an hallo@aisthetix.de.

Stand: Mai 2026 · Aisthetix · hallo@aisthetix.de