Paperless-ngx rechtssicher archivieren: BAO und UGB für österreichische KMU
Ist Ihr Paperless-ngx-Archiv nach BAO und UGB rechtssicher? Wir richten Rechtekonzept und WORM-Speicher für Kärntner KMU ein. Jetzt Beratung anfragen!
Rechnungen, Verträge und Belege landen per OCR (automatischer Texterkennung) volltextindiziert im digitalen Archiv – für IT-affine Unternehmer:innen in Kärnten ist Paperless-ngx die naheliegende Lösung gegen das Papierchaos. Doch sobald steuerlich relevante Dokumente im Spiel sind, klopft irgendwann die Betriebsprüfung an. Die ehrliche Antwort auf die Frage „Ist Paperless-ngx rechtssicher archiviert?” lautet: aus dem Stand heraus nicht – aber mit den richtigen Kniffen erfüllt es die österreichischen Vorgaben aus BAO und UGB.
Was Sie in diesem Artikel erfahren:
- Welche Gesetze für die elektronische Archivierung in Österreich tatsächlich gelten – und warum „GoBD” dabei der falsche Suchbegriff ist
- Wo Paperless-ngx die Anforderungen erfüllt – und wo es standardmäßig scheitert
- Wie Sie mit Rechtekonzept und WORM-Speicher ein auditfestes Archiv bauen
- Warum die Verfahrensdokumentation genauso wichtig ist wie die Technik
Kein Software-Gütesiegel: Was BAO und UGB tatsächlich verlangen
Viele Kärntner Unternehmer:innen recherchieren zu diesem Thema mit dem Suchbegriff „GoBD” – doch das ist deutsches Recht und für einen Betrieb in Österreich rechtlich nicht bindend. Maßgeblich sind hierzulande zwei Gesetze: die Bundesabgabenordnung (BAO), genauer § 131 f. BAO für die Führung und § 132 BAO für die Aufbewahrung von Büchern und Aufzeichnungen, sowie § 190 ff. und § 212 UGB für die unternehmensrechtliche Buchführungs- und Aufbewahrungspflicht. Beide verlangen im Kern dasselbe: eine zeitgerechte, vollständige, nachvollziehbare und unveränderbare Aufzeichnung – unabhängig davon, ob auf Papier oder digital.
Auch hier gilt: Eine offizielle „BAO-Zertifizierung” für Software gibt es nicht – weder für Open-Source-Tools noch für teure kommerzielle Anbieter. BAO und UGB bewerten nicht die Software allein, sondern immer den gesamten Prozess im Unternehmen – vom Posteingang bis zur Langzeitarchivierung.
Die Praxis zeigt jedoch: Genau dieser Prozessgedanke wird beim Einrichten eines Dokumentenmanagementsystems oft übersehen. Wer bereits Paperless-ngx im Einsatz hat, findet in unserem Beitrag Paperless-ngx richtig einrichten die technische Grundlage für Speicherpfade, Backups und Workflows – die Basis, auf der die rechtssichere Archivierung erst aufbaut.
Wo Paperless-ngx überzeugt – und wo es an Grenzen stößt
BAO und UGB stellen im Wesentlichen fünf Kernanforderungen an ein Dokumentenmanagement. Paperless-ngx erfüllt vier davon bereits solide:
| Anforderung (BAO/UGB) | Erfüllt? | Wie es umgesetzt wird |
|---|---|---|
| Zeitgerechtheit | Ja | Automatischer E-Mail-Import, Scanner-Anbindung und Mobile-Apps erfassen Belege sofort |
| Ordnung & Auffindbarkeit | Ja | OCR-Volltextsuche und Tag-System finden Dokumente in Sekunden |
| Vollständigkeit | Mensch/Prozess | Muss durch klare Abläufe im Betrieb sichergestellt werden |
| Nachvollziehbarkeit | Ja (ab v2.7) | Das Audit-Log dokumentiert, wer wann was verändert hat |
| Unveränderbarkeit | Nein (Standard) | Admins und Nutzer können Dokumente standardmäßig bearbeiten, Seiten löschen oder das Log manipulieren |
Genau der letzte Punkt setzt Kärntner Betriebe im Ernstfall dem größten Risiko aus: Ein System, das sich nachträglich manipulieren lässt, gilt bei einer Betriebsprüfung nicht als ordnungsgemäß im Sinne des § 131 BAO – selbst wenn Zeitgerechtheit und Auffindbarkeit einwandfrei funktionieren.
Wenn Sie wissen möchten, wie ein rechtssicheres digitales Büro für Ihr Unternehmen konkret aussieht, helfen wir weiter: KI-Beratung & Digitalisierung in Kärnten
So archivieren Sie Paperless-ngx rechtssicher
Um die geforderte Unveränderbarkeit zu erreichen und eine Betriebsprüfung entspannt zu überstehen, müssen Sie das System auf zwei Ebenen absichern.
1. Die Anwendungsebene – Rechte einschränken
Vergessen Sie den Standard-User, der alles darf. Nutzen Sie die feingranularen Gruppen- und Benutzerberechtigungen von Paperless-ngx konsequent. Normalen Benutzern – und Ihnen selbst im täglichen Arbeitsmodus – muss das Recht entzogen werden, Dokumente oder Protokolle zu löschen oder grundlegend zu verändern.
2. Die Systemebene – WORM-Speicher (Write Once Read Many)
Selbst wenn im Frontend nichts löschbar ist: Ein Administrator könnte Dateien direkt auf dem Server oder in der Datenbank manipulieren. Die Lösung ist ein WORM-Speicher (Write Once Read Many – einmal geschrieben, beliebig oft lesbar, aber nicht mehr veränderbar):
- Paperless-ngx an einen S3-kompatiblen Objektspeicher anbinden, z. B. via MinIO mit Object Lock im Compliance-Mode
- Einmal geschriebene PDF-Dateien und regelmäßige Datenbank-Dumps sind so innerhalb der gesetzlichen Aufbewahrungsfrist von niemandem löschbar – nicht einmal vom Admin
- Wer keinen eigenen Objektspeicher betreiben möchte, kann eine bestehende NAS-Backup-Struktur erweitern – wie in unserem Beitrag zum Synology NAS Backup für KMU beschrieben
Diese zweite Ebene ist auch ein Sicherheitsthema, nicht nur ein Compliance-Thema. Wer sein digitales Archiv ohnehin gegen Manipulation absichert, sollte das Gesamtkonzept im Rahmen einer IT-Sicherheitsstrategie für Kärntner Unternehmen betrachten.
Die Verfahrensdokumentation – die Pflicht, die oft vergessen wird
Die beste technische Absicherung nützt wenig, wenn sie nicht dokumentiert ist. Auch wenn die BAO den Begriff „Verfahrensdokumentation” nicht wörtlich verwendet, erwarten österreichische Betriebsprüfer:innen in der Praxis eine vergleichbare Nachvollziehbarkeit des digitalen Ablaufs – üblicherweise in vier Teilen:
- Allgemeine Beschreibung: Welche Dokumente werden erfasst, wer ist zuständig?
- Anwenderdokumentation: Schritt-für-Schritt-Anleitung, z. B. wie Belege über den Scanner erfasst und die OCR-Klassifizierung geprüft wird
- Technische Systemdokumentation: Welche Hardware und Software-Versionen kommen zum Einsatz, wo liegen die Backups?
- Betriebsdokumentation: Wie läuft Wartung und Update-Steuerung, wie sieht das Backup-Konzept aus?
Bei kleineren Kärntner Betrieben oder Freelancern muss das kein hunderte Seiten langes Dokument sein – es muss aber die Realität des Büros lückenlos abbilden. Genau hier setzt eine saubere Einrichtung an: Wer Speicherpfade, Kategorien und Workflows bereits nach den Best Practices für Paperless-ngx strukturiert hat, schreibt die Verfahrensdokumentation fast von selbst.
Wichtiger Hinweis: Dieser Artikel stellt keine Rechts- oder Steuerberatung dar. Bevor Sie Ihre Buchhaltung vollständig digitalisieren, halten Sie kurz Rücksprache mit Ihrem Steuerberater, um Ihr individuelles Setup abzusegnen.
BAO/UGB ist nicht DSGVO: Was für Unternehmen in Kärnten zählt
Ein Missverständnis taucht in der Beratungspraxis immer wieder auf: die steuer- und unternehmensrechtliche Aufbewahrungspflicht wird mit der DSGVO gleichgesetzt. Dabei regeln beide etwas grundlegend anderes – und ein Archiv muss in der Regel beide Anforderungen gleichzeitig erfüllen:
| § 131 f. BAO / § 190 ff. UGB | DSGVO | |
|---|---|---|
| Regelt | Unveränderbare, nachvollziehbare Aufbewahrung von Buchführung | Schutz personenbezogener Daten (Namen, Adressen, IBANs) |
| Zielgruppe der Prüfung | Finanzamt bei der Betriebsprüfung | Datenschutzbehörde |
| Typisches Risiko | Beanstandung, Schätzung der Besteuerungsgrundlage | Bußgeld bis zu 20 Mio. € oder 4 % des Jahresumsatzes |
In der Praxis entsteht daraus ein scheinbarer Widerspruch: BAO und UGB verlangen jahrelange, unveränderbare Aufbewahrung (grundsätzlich 7 Jahre nach § 132 BAO bzw. § 212 UGB) – die DSGVO verlangt die Löschung nicht mehr benötigter personenbezogener Daten. Aufgelöst wird das über Art. 17 Abs. 3 lit. b DSGVO: Daten, für die eine gesetzliche Aufbewahrungspflicht besteht, sind von der Löschpflicht ausdrücklich ausgenommen. Eine Rechnung darf also so lange unverändert liegen bleiben, wie das Steuer- und Unternehmensrecht es verlangt.
Das Rechtekonzept aus dem vorigen Abschnitt zahlt ohnehin auf beide Ziele ein: Wer den Zugriff auf Dokumente konsequent einschränkt, erfüllt gleichzeitig die geforderte Unveränderbarkeit und das DSGVO-Prinzip der Datenminimierung. Wird der WORM-Speicher bei einem externen Anbieter statt im eigenen Haus betrieben, braucht es zusätzlich einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO – unser DSGVO-Leitfaden für KMU in Kärnten zeigt, worauf dabei zu achten ist.
Zum Vergleich für Leser:innen mit deutschsprachiger Literatur im Blick: In Deutschland regelt die GoBD dieselben Grundprinzipien – Nachvollziehbarkeit, Vollständigkeit und Unveränderbarkeit der elektronischen Aufbewahrung. Rechtlich bindend ist sie für österreichische Betriebe aber nicht; maßgeblich bleiben § 131 f. BAO und § 190 ff. UGB.
Wer den selbst gehosteten Weg scheut, findet mit unserer Plattform papierlos.at für die papierlose Buchhaltung eine cloud-basierte Alternative mit österreichischen Servern – ebenfalls auf die heimische Buchhaltungspraxis zugeschnitten.
Fazit: Open Source schlägt teure Lizenzgebühren
Paperless-ngx ist eine mächtige, kosteneffiziente Alternative zu teuren Enterprise-Systemen. Mit den richtigen Anpassungen bei den Benutzerrechten, einem unveränderbaren WORM-Speicher im Hintergrund und einer sauber aufgesetzten Verfahrensdokumentation steht dem rechtssicheren Einsatz nach BAO und UGB in Ihrem Kärntner Unternehmen nichts im Weg.
Dieser Leitfaden richtet sich an Geschäftsführer:innen, Office-Verantwortliche und IT-affine Selbstständige in Kärnten, die ihr digitales Archiv rechtssicher betreiben wollen, ohne auf Open Source zu verzichten. Suchen Sie Unterstützung bei der rechtssicheren Einrichtung, dem Rechte-Audit oder der Verfahrensdokumentation? Nehmen Sie jetzt Kontakt auf – wir analysieren Ihre Situation und zeigen den nächsten Schritt.
Häufige Fragen
Gibt es eine offizielle BAO- oder UGB-Zertifizierung für Software wie Paperless-ngx?
Nein, eine solche Zertifizierung existiert nicht – weder für Open-Source-Tools noch für teure Enterprise-Lösungen. Die BAO und das UGB bewerten immer den gesamten Prozess im Unternehmen, nicht die Software allein. Basic4web prüft für Kärntner Betriebe, ob Technik und Ablauf zusammenpassen.
Ist Paperless-ngx im Standard-Setup rechtssicher im Sinne der BAO?
Nein. Ohne Anpassung können Administratoren und Nutzer Dokumente bearbeiten, Seiten löschen oder das Protokoll manipulieren – das verletzt die in § 131 BAO geforderte Unveränderbarkeit. Erst mit eingeschränkten Benutzerrechten und einem WORM-Speicher im Hintergrund wird das System auditfest.
Was kostet die rechtssichere Absicherung eines bestehenden Paperless-ngx-Systems?
Das hängt vom vorhandenen Setup ab – ein Rechte-Audit und die Anbindung eines Objektspeichers sind bei den meisten KMU in wenigen Werktagen umsetzbar. Basic4web erstellt vorab ein Fixpreis-Angebot, damit Sie keine Überraschungen erleben.
Was hat die deutsche GoBD mit meinem österreichischen Unternehmen zu tun?
Rechtlich nichts – die GoBD ist deutsches Recht und für Kärntner Betriebe nicht bindend. Für Sie gelten stattdessen § 131 f. BAO und § 190 ff. UGB mit vergleichbaren Grundsätzen zu Nachvollziehbarkeit und Unveränderbarkeit. Wer online nach 'GoBD' sucht, landet oft nur deshalb dort, weil es zum Thema mehr deutschsprachige Literatur gibt als zur österreichischen Rechtslage.
Thomas Kohlweiss
Dipl.-Ing. Ing. · Basic4web Kärnten
IT-Experte für KMU – Internet, IT-Sicherheit, KI & Smart Home. 20+ Jahre Erfahrung.