Paperless-ngx GoBD-konform machen: Rechtssicheres Archiv für Kärntner KMU
Ist Ihr Paperless-ngx-Archiv GoBD-konform? Ohne WORM-Speicher und Rechtekonzept drohen Probleme bei der Prüfung. Jetzt Kärnten-Beratung anfragen.
Rechnungen, Verträge und Belege landen per OCR (automatischer Texterkennung) volltextindiziert im digitalen Archiv – für IT-affine Unternehmer:innen in Kärnten ist Paperless-ngx die naheliegende Lösung gegen das Papierchaos. Doch sobald steuerlich relevante Dokumente im Spiel sind, klopft irgendwann die Betriebsprüfung an. Die ehrliche Antwort auf die Frage „Ist Paperless-ngx GoBD-konform?” lautet: aus dem Stand heraus nicht – aber mit den richtigen Kniffen wird es absolut rechtssicher.
Was Sie in diesem Artikel erfahren:
- Warum es keine „GoBD-Zertifizierung” für Software gibt
- Wo Paperless-ngx die Anforderungen erfüllt – und wo es standardmäßig scheitert
- Wie Sie mit Rechtekonzept und WORM-Speicher ein auditfestes Archiv bauen
- Warum die Verfahrensdokumentation genauso wichtig ist wie die Technik
Der GoBD-Mythos: Gibt es eine Software-Zertifizierung?
Ein weit verbreiteter Irrtum ist, dass Software eine „GoBD-Zertifizierung” besitzen kann. Die gibt es schlichtweg nicht – weder für Open-Source-Tools noch für teure kommerzielle Anbieter. Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form) bewerten nicht die Software allein, sondern immer den gesamten Prozess im Unternehmen – vom Posteingang bis zur Langzeitarchivierung.
Die Praxis zeigt jedoch: Genau dieser Prozessgedanke wird beim Einrichten eines Dokumentenmanagementsystems oft übersehen. Wer bereits Paperless-ngx im Einsatz hat, findet in unserem Beitrag Paperless-ngx richtig einrichten die technische Grundlage für Speicherpfade, Backups und Workflows – die Basis, auf der GoBD-Konformität erst aufbaut.
Wo Paperless-ngx überzeugt – und wo es an Grenzen stößt
Die GoBD stellt im Wesentlichen fünf Kernanforderungen an ein Dokumentenmanagement. Paperless-ngx erfüllt vier davon bereits solide:
| GoBD-Anforderung | Erfüllt? | Wie es umgesetzt wird |
|---|---|---|
| Zeitgerechtheit | Ja | Automatischer E-Mail-Import, Scanner-Anbindung und Mobile-Apps erfassen Belege sofort |
| Ordnung & Auffindbarkeit | Ja | OCR-Volltextsuche und Tag-System finden Dokumente in Sekunden |
| Vollständigkeit | Mensch/Prozess | Muss durch klare Abläufe im Betrieb sichergestellt werden |
| Nachvollziehbarkeit | Ja (ab v2.7) | Das Audit-Log dokumentiert, wer wann was verändert hat |
| Unveränderbarkeit | Nein (Standard) | Admins und Nutzer können Dokumente standardmäßig bearbeiten, Seiten löschen oder das Log manipulieren |
Genau der letzte Punkt setzt Kärntner Betriebe im Ernstfall dem größten Risiko aus: Ein System, das sich nachträglich manipulieren lässt, gilt bei einer Betriebsprüfung nicht als ordnungsgemäß – selbst wenn Zeitgerechtheit und Auffindbarkeit einwandfrei funktionieren.
Wenn Sie wissen möchten, wie ein rechtssicheres digitales Büro für Ihr Unternehmen konkret aussieht, helfen wir weiter: KI-Beratung & Digitalisierung in Kärnten
So machen Sie Paperless-ngx GoBD-konform
Um die geforderte Unveränderbarkeit zu erreichen und eine Betriebsprüfung entspannt zu überstehen, müssen Sie das System auf zwei Ebenen absichern.
1. Die Anwendungsebene – Rechte einschränken
Vergessen Sie den Standard-User, der alles darf. Nutzen Sie die feingranularen Gruppen- und Benutzerberechtigungen von Paperless-ngx konsequent. Normalen Benutzern – und Ihnen selbst im täglichen Arbeitsmodus – muss das Recht entzogen werden, Dokumente oder Protokolle zu löschen oder grundlegend zu verändern.
2. Die Systemebene – WORM-Speicher (Write Once Read Many)
Selbst wenn im Frontend nichts löschbar ist: Ein Administrator könnte Dateien direkt auf dem Server oder in der Datenbank manipulieren. Die Lösung ist ein WORM-Speicher (Write Once Read Many – einmal geschrieben, beliebig oft lesbar, aber nicht mehr veränderbar):
- Paperless-ngx an einen S3-kompatiblen Objektspeicher anbinden, z. B. via MinIO mit Object Lock im Compliance-Mode
- Einmal geschriebene PDF-Dateien und regelmäßige Datenbank-Dumps sind so innerhalb der gesetzlichen Aufbewahrungsfrist von niemandem löschbar – nicht einmal vom Admin
- Wer keinen eigenen Objektspeicher betreiben möchte, kann eine bestehende NAS-Backup-Struktur erweitern – wie in unserem Beitrag zum Synology NAS Backup für KMU beschrieben
Diese zweite Ebene ist auch ein Sicherheitsthema, nicht nur ein Compliance-Thema. Wer sein digitales Archiv ohnehin gegen Manipulation absichert, sollte das Gesamtkonzept im Rahmen einer IT-Sicherheitsstrategie für Kärntner Unternehmen betrachten.
Die Verfahrensdokumentation – die Pflicht, die oft vergessen wird
Die beste technische Absicherung nützt wenig, wenn sie nicht dokumentiert ist. Für die GoBD-Konformität ist eine Verfahrensdokumentation zwingend erforderlich – sie beschreibt den digitalen Workflow in vier Teilen:
- Allgemeine Beschreibung: Welche Dokumente werden erfasst, wer ist zuständig?
- Anwenderdokumentation: Schritt-für-Schritt-Anleitung, z. B. wie Belege über den Scanner erfasst und die OCR-Klassifizierung geprüft wird
- Technische Systemdokumentation: Welche Hardware und Software-Versionen kommen zum Einsatz, wo liegen die Backups?
- Betriebsdokumentation: Wie läuft Wartung und Update-Steuerung, wie sieht das Backup-Konzept aus?
Bei kleineren Kärntner Betrieben oder Freelancern muss das kein hunderte Seiten langes Dokument sein – es muss aber die Realität des Büros lückenlos abbilden. Genau hier setzt eine saubere Einrichtung an: Wer Speicherpfade, Kategorien und Workflows bereits nach den Best Practices für Paperless-ngx strukturiert hat, schreibt die Verfahrensdokumentation fast von selbst.
Wichtiger Hinweis: Dieser Artikel stellt keine Rechts- oder Steuerberatung dar. Bevor Sie Ihre Buchhaltung vollständig digitalisieren, halten Sie kurz Rücksprache mit Ihrem Steuerberater, um Ihr individuelles Setup abzusegnen.
GoBD ist nicht DSGVO: Was für Unternehmen in Kärnten zählt
Ein Missverständnis taucht in der Beratungspraxis immer wieder auf: GoBD und DSGVO werden gleichgesetzt. Dabei regeln beide etwas grundlegend anderes – und ein Archiv muss in der Regel beide Anforderungen gleichzeitig erfüllen:
| GoBD (D) / § 131 BAO (AT) | DSGVO | |
|---|---|---|
| Regelt | Unveränderbare, nachvollziehbare Aufbewahrung von Buchführung | Schutz personenbezogener Daten (Namen, Adressen, IBANs) |
| Zielgruppe der Prüfung | Finanzamt bei der Betriebsprüfung | Datenschutzbehörde |
| Typisches Risiko | Beanstandung, Schätzung der Besteuerungsgrundlage | Bußgeld bis zu 20 Mio. € oder 4 % des Jahresumsatzes |
In der Praxis entsteht daraus ein scheinbarer Widerspruch: Die GoBD verlangt jahrelange, unveränderbare Aufbewahrung – die DSGVO verlangt die Löschung nicht mehr benötigter personenbezogener Daten. Aufgelöst wird das über Art. 17 Abs. 3 lit. b DSGVO: Daten, für die eine gesetzliche Aufbewahrungspflicht besteht, sind von der Löschpflicht ausdrücklich ausgenommen. Eine Rechnung darf also so lange unverändert liegen bleiben, wie das Steuerrecht es verlangt.
Das Rechtekonzept aus dem vorigen Abschnitt zahlt ohnehin auf beide Ziele ein: Wer den Zugriff auf Dokumente konsequent einschränkt, erfüllt gleichzeitig die GoBD-Unveränderbarkeit und das DSGVO-Prinzip der Datenminimierung. Wird der WORM-Speicher bei einem externen Anbieter statt im eigenen Haus betrieben, braucht es zusätzlich einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO – unser DSGVO-Leitfaden für KMU in Kärnten zeigt, worauf dabei zu achten ist.
Für österreichische KMU in Kärnten gilt anstelle der GoBD formal § 131 der Bundesabgabenordnung (BAO) – mit denselben Grundprinzipien: Nachvollziehbarkeit, Vollständigkeit und Unveränderbarkeit der elektronischen Aufbewahrung. Wer sein Paperless-ngx-System nach den GoBD-Kriterien absichert, erfüllt damit in der Praxis auch die österreichischen Vorgaben – ein Grund, warum sich der Begriff GoBD auch hierzulande als informeller Qualitätsmaßstab etabliert hat.
Wer den selbst gehosteten Weg scheut, findet mit unserer Plattform papierlos.at für die papierlose Buchhaltung eine cloud-basierte Alternative mit österreichischen Servern – ebenfalls auf die heimische Buchhaltungspraxis zugeschnitten.
Fazit: Open Source schlägt teure Lizenzgebühren
Paperless-ngx ist eine mächtige, kosteneffiziente Alternative zu teuren Enterprise-Systemen. Mit den richtigen Anpassungen bei den Benutzerrechten, einem unveränderbaren WORM-Speicher im Hintergrund und einer sauber aufgesetzten Verfahrensdokumentation steht dem GoBD-konformen Einsatz in Ihrem Kärntner Unternehmen nichts im Weg.
Dieser Leitfaden richtet sich an Geschäftsführer:innen, Office-Verantwortliche und IT-affine Selbstständige in Kärnten, die ihr digitales Archiv rechtssicher betreiben wollen, ohne auf Open Source zu verzichten. Suchen Sie Unterstützung bei der rechtssicheren Einrichtung, dem Rechte-Audit oder der Verfahrensdokumentation? Nehmen Sie jetzt Kontakt auf – wir analysieren Ihre Situation und zeigen den nächsten Schritt.
Häufige Fragen
Gibt es eine offizielle GoBD-Zertifizierung für Software wie Paperless-ngx?
Nein, eine solche Zertifizierung existiert nicht – weder für Open-Source-Tools noch für teure Enterprise-Lösungen. Die GoBD bewertet immer den gesamten Prozess im Unternehmen, nicht die Software allein. Basic4web prüft für Kärntner Betriebe, ob Technik und Ablauf zusammenpassen.
Ist Paperless-ngx im Standard-Setup GoBD-konform?
Nein. Ohne Anpassung können Administratoren und Nutzer Dokumente bearbeiten, Seiten löschen oder das Protokoll manipulieren – das verletzt die Pflicht zur Unveränderbarkeit. Erst mit eingeschränkten Benutzerrechten und einem WORM-Speicher im Hintergrund wird das System auditfest.
Was kostet die GoBD-konforme Absicherung eines bestehenden Paperless-ngx-Systems?
Das hängt vom vorhandenen Setup ab – ein Rechte-Audit und die Anbindung eines Objektspeichers sind bei den meisten KMU in wenigen Werktagen umsetzbar. Basic4web erstellt vorab ein Fixpreis-Angebot, damit Sie keine Überraschungen erleben.
Gilt die GoBD auch für Unternehmen in Österreich bzw. Kärnten?
Die GoBD selbst ist deutsches Recht. In Österreich regelt § 131 der Bundesabgabenordnung (BAO) die elektronische Aufbewahrung mit vergleichbaren Anforderungen an Nachvollziehbarkeit und Unveränderbarkeit. Wer sein System nach GoBD-Prinzipien absichert, erfüllt damit auch die österreichischen Vorgaben.
Thomas Kohlweiss
Dipl.-Ing. Ing. · Basic4web Kärnten
IT-Experte für KMU – Internet, IT-Sicherheit, KI & Smart Home. 20+ Jahre Erfahrung.