Scopes & Berechtigungen
Lese- und Schreibrechte für KI-Agenten
Scopes bestimmen, was ein KI-Agent mit Ihrer Buchhaltung tun darf — und was nicht. Ein reiner Lese-Schlüssel darf jede Zahl abfragen, aber niemals eine Buchung schreiben; erst ein Schlüssel mit Schreibrecht (write) legt Buchungen an, storniert sie oder stellt Rechnungen. Nach dem Prinzip minimaler Rechte geben Sie jedem Agenten genau so viel Zugriff, wie seine Aufgabe verlangt. So bleibt selbst ein autonom laufender Agent ungefährlich, wenn Sie ihn nur zum Auslesen der Saldenliste angebunden haben.
Zwei Scopes, ein klares Prinzip
read und write — mehr Berechtigungsstufen gibt es nicht.
Jeder API-Schlüssel und jede MCP-Anbindung trägt genau einen von zwei Berechtigungsumfängen: read oder write. Der Scope ist fest an den Schlüssel gebunden und wird serverseitig geprüft — er lässt sich nicht per Aufruf-Parameter erweitern. Ein Agent kann also ausschließlich das ausführen, wofür sein Schlüssel freigeschaltet ist.
Das Leserecht (read) umfasst alle abfragenden Aufrufe: Stammdaten, Kontenrahmen, Saldenliste, Buchungsjournal, offene Posten, Rechnungen und Bankumsätze. Das Schreibrecht (write) schließt das Leserecht ein und erlaubt zusätzlich die verändernden Aufrufe — eine neue Buchung anlegen, eine bestehende Buchung stornieren und Ausgangsrechnungen erstellen.
Das Prinzip minimaler Rechte (least privilege) heißt konkret: Vergeben Sie standardmäßig read und heben Sie nur dort auf write an, wo der Agent tatsächlich buchen soll. Ein Auswertungs-Agent, der monatlich die BWA liest, braucht niemals write — und kann mit read schlicht keinen Schaden am Buchungsbestand anrichten.
Was ein Lese-Schlüssel kann — und niemals kann
Darf: fragen
Saldenliste, Buchungsjournal, offene Posten, BWA, Kontenrahmen und Stammdaten abrufen — beliebig oft, ohne etwas zu verändern.
Darf nie: buchen
Ein read-Schlüssel weist jeden schreibenden Aufruf ab. Selbst wenn Ihr Agent eine Buchung formuliert, antwortet die API mit einer Ablehnung, statt sie auszuführen.
Ideal für Auswertungen
BWA per KI abrufen, Salden prüfen, offene Posten überwachen — alles ohne jedes Risiko, dass der Agent versehentlich den Bestand ändert.
Ihr Agent, Ihre Kontrolle
Ob Claude, ChatGPT oder Cursor: Der Agent ist Ihr Werkzeug, nicht Teil unserer Software. Der Lese-Scope begrenzt, was dieses Werkzeug in Ihren Büchern überhaupt anrichten kann.
Wofür Sie write brauchen
Sobald sich der Datenbestand ändert, ist Schreibrecht nötig.
- Eingangsrechnungen automatisch verbuchen lassen — als Soll/Haben-Buchung im Journal.
- Fehlbuchungen per Storno korrigieren, GoBD-konform und ohne Löschen.
- Ausgangsrechnungen aus Prompt-Vorgaben erstellen und verbuchen.
- Bankumsätze zuordnen und als Zahlung auf offene Posten buchen.
- Kurz: Bei jeder Änderung am Bestand ist write nötig — bei jeder reinen Abfrage nicht.
Die 14 MCP-Werkzeuge nach Scope
Zehn Werkzeuge lesen, vier schreiben — dieselbe Scope-Logik wie in der REST-API.
10 lesende Werkzeuge (read)
Firma/Stammdaten, Kontenrahmen (SKR), Saldenliste, Buchungsjournal, offene Debitoren, offene Kreditoren, Ausgangsrechnungen, Eingangsrechnungen, Bankumsätze und BWA. Alle mit einem read-Schlüssel nutzbar.
4 schreibende Werkzeuge (write)
Buchung anlegen, Buchung stornieren, Ausgangsrechnung erstellen und Zahlung verbuchen. Diese vier verlangen zwingend einen write-Scope; ein read-Schlüssel weist sie ab.
Ein Schlüssel, eine Firma, ein Scope
Jeder Schlüssel beginnt mit dem Präfix jab_live_ und ist genau einer Gesellschaft zugeordnet. Die Firma leitet sich aus dem Schlüssel selbst ab — es gibt keinen Firmen-Parameter, den ein Agent setzen (oder verwechseln) könnte. Ein Schlüssel kann deshalb niemals in den Büchern einer anderen Mandantin landen.
Kombiniert mit dem Scope entsteht eine klare Matrix: read für Firma A, write für Firma A, read für Firma B und so fort. Praktisch heißt das etwa: Ihr monatlicher Reporting-Agent in ChatGPT erhält einen read-Schlüssel für Firma A, während die nächtliche Rechnungs-Automatisierung einen separaten write-Schlüssel für dieselbe Firma bekommt. Wir empfehlen, jedem Agenten und jeder Automatisierung einen eigenen Schlüssel zu geben — so widerrufen Sie im Ernstfall genau einen, ohne die übrigen Anbindungen zu stören.
Rechte in der Praxis vergeben
Zwei getrennte MCP-Anbindungen — eine nur lesend, eine schreibend. Das npm-Paket @jahresabschluss/buchhaltung-mcp ist noch nicht veröffentlicht; die gehostete URL-Variante ist derzeit der verlässliche Weg.
# Nur-Lese-Anbindung: der Agent darf abfragen, aber nie buchen claude mcp add --transport http buchhaltung-read \ "$MCP_URL" --header "Authorization: Bearer jab_live_…" # read-Schlüssel # Schreib-Anbindung: write-Scope für Buchung, Storno, Rechnung claude mcp add --transport http buchhaltung-write \ "$MCP_URL" --header "Authorization: Bearer jab_live_…" # write-Schlüssel # Den Scope legen Sie beim Erstellen des Schlüssels fest — # er ist danach fest an den Schlüssel gebunden, nicht am Aufruf wählbar.
GoBD: Schreiben heißt nicht Löschen
Der write-Scope öffnet keine Hintertür an den Ordnungsmäßigkeitsregeln vorbei. Alle schreibenden Aufrufe laufen durch denselben Buchungskern wie die manuelle Erfassung in der Software — der Scope entscheidet nur, ob ein Agent diesen Kern überhaupt aufrufen darf.
Das bedeutet: Buchungen sind append-only und werden nach der Festschreibung nicht mehr verändert. Eine Korrektur erfolgt ausschließlich per Storno- oder Gegenbuchung, nie durch Löschen. Jede Buchung muss Soll = Haben erfüllen, sonst weist die API sie zurück. Ein Agent mit write kann also viel erledigen, aber die GoBD-konforme Historie nicht umschreiben — egal, mit welchem Prompt er angesteuert wird.
Häufige Fragen
Kann ein reiner Lese-Schlüssel aus Versehen buchen?
Nein. Der read-Scope ist serverseitig fest an den Schlüssel gebunden. Formuliert Ihr Agent trotzdem eine Buchung, weist die API den Aufruf ab, statt ihn auszuführen — es gibt keinen Parameter, mit dem sich das Leserecht zur Laufzeit auf Schreiben erweitern ließe.
Kann ich über einen write-Schlüssel den Jahresabschluss oder die E-Bilanz erstellen?
Nein. Die API ist reine Buchhaltung. Sie können damit Buchungen, Salden und Rechnungen vorbereiten — daraus entsteht die Datenbasis, aus der später in der App der Jahresabschluss und die E-Bilanz werden. Der Abschluss selbst und die Übermittlung ans Finanzamt passieren nicht über die API und auch nicht über einen KI-Agenten.
Welche der 14 MCP-Werkzeuge verlangen write?
Vier: Buchung anlegen, Buchung stornieren, Ausgangsrechnung erstellen und Zahlung verbuchen. Die übrigen zehn sind lesend und laufen mit einem read-Schlüssel — von der Saldenliste über das Buchungsjournal bis zur BWA.
Kann ein Agent mit write Buchungen löschen?
Nein. Auch mit Schreibrecht bleibt die Buchhaltung append-only. Korrekturen laufen per Storno- oder Gegenbuchung; festgeschriebene Buchungen werden nie gelöscht oder überschrieben. So bleibt die Historie GoBD-konform nachvollziehbar, egal welcher Agent den Schlüssel nutzt.
Sollte jeder Agent einen eigenen Schlüssel bekommen?
Ja. Vergeben Sie pro Agent oder Automatisierung einen eigenen jab_live_-Schlüssel mit dem passenden Scope. Dann widerrufen Sie im Zweifel genau diesen einen Zugang — die anderen Anbindungen, etwa Ihr Reporting in ChatGPT, laufen ungestört weiter. Und weil jeder Schlüssel an genau eine Firma gebunden ist, kann ein write-Schlüssel für Firma A nie in den Büchern von Firma B buchen.