GoBD-Archivierung: Warum PDF allein nicht reicht und wie Sie 10 Jahre konform archivieren
GoBD-Archivierung: Warum PDF allein nicht reicht und wie Sie 10 Jahre konform archivieren
Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form) verlangen revisionssichere Archivierung aller steuerrelevanten Dokumente für mindestens 10 Jahre. CERTISCAN erfüllt alle 8 GoBD-Kriterien automatisch – mit SHA-256-Hashwerten, WORM-Speicher und lückenlosem Audit-Trail. Ein simples PDF in einem Windows-Ordner genügt nicht, wie jährlich tausende Betriebsprüfungen zeigen.
Was sind die GoBD?
Die GoBD wurden vom Bundesministerium der Finanzen (BMF) am 28.11.2019 in aktualisierter Fassung veröffentlicht (BMF-Schreiben IV A 4 - S 0316/19/10003 :001). Sie definieren die Anforderungen an die elektronische Buchführung und Aufbewahrung von steuerrelevanten Dokumenten.
Die GoBD gelten für alle Steuerpflichtigen – vom Freiberufler bis zum Konzern. Sie sind keine Empfehlung, sondern verbindliche Verwaltungsanweisung.
Die 8 GoBD-Kriterien
Die GoBD definieren acht zentrale Anforderungen an die Archivierung:
| Nr. | Kriterium | Bedeutung | PDF im Ordner | CERTISCAN |
|---|---|---|---|---|
| 1 | Nachvollziehbarkeit | Jede Buchung muss nachvollziehbar sein | Teilweise | Ja (Audit-Trail) |
| 2 | Vollständigkeit | Alle Belege müssen vorhanden sein | Manuell | Automatisch |
| 3 | Richtigkeit | Inhalt muss korrekt abgebildet sein | Ja | Ja + Validierung |
| 4 | Zeitgerechte Erfassung | Belege müssen zeitnah erfasst werden | Manuell | Sofort bei Eingang |
| 5 | Ordnung | Systematische Ablage, auffindbar | Manuell | Automatische Kategorisierung |
| 6 | Unveränderbarkeit | Kein Löschen oder Ändern nach Speicherung | Nein | Ja (WORM + SHA-256) |
| 7 | Verfügbarkeit | Jederzeit lesbar während Aufbewahrungsfrist | Abhängig von Hardware | Ja (Cloud, 99,9% SLA) |
| 8 | Maschinelle Auswertbarkeit | Daten müssen maschinell auswertbar sein | Nein (PDF ist Bild) | Ja (strukturierte Daten) |
Warum PDF allein nicht reicht
Problem 1: Keine Unveränderbarkeit
Ein PDF in einem Windows-Ordner oder auf einem Netzlaufwerk kann jederzeit:
- Gelöscht werden (auch versehentlich)
- Überschrieben werden (z.B. durch gleichnamige Datei)
- Verschoben werden (Zuordnung geht verloren)
- Bearbeitet werden (mit PDF-Editoren)
Ohne technischen Schutz gegen Veränderungen ist das GoBD-Kriterium der Unveränderbarkeit nicht erfüllt.
Problem 2: Kein Audit-Trail
Wer hat wann auf die Datei zugegriffen? Wurde sie verändert? Wann wurde sie archiviert? Ein normales Dateisystem protokolliert bestenfalls das letzte Änderungsdatum – das reicht für eine Betriebsprüfung nicht aus.
Problem 3: Keine maschinelle Auswertbarkeit
Ein PDF ist im Kern ein Bildformat – die Inhalte sind nicht strukturiert. Der Betriebsprüfer muss in der Lage sein, Daten maschinell auszuwerten (z.B. Sortierung nach Rechnungsdatum, Summierung nach Steuersatz). Mit PDFs ist das nur nach aufwändiger OCR-Erkennung möglich.
Problem 4: Keine garantierte Verfügbarkeit
Was passiert, wenn die Festplatte ausfällt? Wenn der Mitarbeiter, der die Ordnerstruktur kannte, das Unternehmen verlässt? Wenn das Backup nicht funktioniert hat? Die GoBD verlangen Verfügbarkeit über 10 Jahre – ein lokales Dateisystem kann das nicht garantieren.
So archiviert CERTISCAN GoBD-konform
SHA-256-Hashwerte
Bei der Archivierung berechnet CERTISCAN für jedes Dokument einen SHA-256-Hashwert. Dieser 256-Bit-Hash ist wie ein digitaler Fingerabdruck:
- Eindeutig: Jede Datei hat einen einzigartigen Hash
- Sensitiv: Die kleinste Änderung erzeugt einen völlig anderen Hash
- Nicht umkehrbar: Aus dem Hash kann die Datei nicht rekonstruiert werden
- Dokumentiert: Der Hash wird im WORM-Audit-Trail gespeichert
WORM-Audit-Trail
CERTISCAN speichert alle Aktionen in einem WORM-Audit-Trail (Write Once, Read Many). Dieser Trail ist eine Hash-Chain – jeder Eintrag enthält den Hash des vorherigen Eintrags, sodass nachträgliche Manipulationen sofort erkennbar wären.
Im Audit-Log können Sie jeden einzelnen Zugriff nachvollziehen:
- Wer hat das Dokument wann hochgeladen?
- Wer hat wann darauf zugegriffen?
- Welche automatischen Verarbeitungen wurden durchgeführt?
- Wann wurde der SHA-256-Hash berechnet?
Automatische Kategorisierung
CERTISCAN kategorisiert archivierte Dokumente automatisch:
| Dokumenttyp | Aufbewahrungsfrist | Automatisch erkannt |
|---|---|---|
| Eingangsrechnungen | 10 Jahre | Ja (E-Rechnungs-Import) |
| Ausgangsrechnungen | 10 Jahre | Ja (E-Rechnungs-Erstellung) |
| Lieferscheine | 6 Jahre | Ja |
| Verträge | 10 Jahre | Ja |
| Prüfprotokolle | 10 Jahre | Ja (Hygiene-/Inspektionsmodul) |
Die Verfahrensdokumentation
Die GoBD verlangen eine Verfahrensdokumentation, die beschreibt, wie Ihr Archivierungssystem funktioniert. CERTISCAN stellt eine vorgefertigte Verfahrensdokumentation bereit, die Sie nur noch mit Ihren unternehmensspezifischen Angaben ergänzen müssen.
Die Dokumentation umfasst:
- Beschreibung des Archivierungssystems
- Zugriffsberechtigungen und Rollenkonzept
- Beschreibung der Hash-Chain und des WORM-Speichers
- Backup- und Wiederherstellungsprozesse
- Aufbewahrungsfristen und Löschkonzept
Integration mit E-Rechnung und Zeiterfassung
Die GoBD-Archivierung in CERTISCAN ist kein isoliertes Feature, sondern in die gesamte Plattform integriert:
- E-Rechnungen: Jede empfangene und versendete E-Rechnung wird automatisch archiviert
- Zeiterfassung: Arbeitszeitdaten und Lohnabrechnungen werden revisionssicher gespeichert
- DATEV-Export: Archivierte Belege können mit einem Klick an den Steuerberater exportiert werden
- Prüfprotokolle: Reinigungs- und Inspektionsnachweise werden automatisch archiviert
Was passiert bei einer Betriebsprüfung?
Bei einer Betriebsprüfung muss der Prüfer Zugang zu allen steuerrelevanten Daten erhalten. Mit CERTISCAN sind Sie vorbereitet:
| Prüfer-Anforderung | CERTISCAN-Lösung |
|---|---|
| Zugriff auf alle Rechnungen | Filterbare Übersicht, Export |
| Maschinelle Auswertbarkeit | Strukturierte Daten, CSV/DATEV-Export |
| Nachweis der Unveränderbarkeit | SHA-256-Hashwerte + WORM-Audit-Trail |
| Verfahrensdokumentation | Vorgefertigte Vorlage |
| Stichproben-Prüfung | Sofortige Suche nach Rechnungsnummer, Datum, Betrag |
Häufige Fehler bei der GoBD-Archivierung
Fehler 1: E-Mails löschen
Wenn Sie eine Rechnung per E-Mail erhalten, ist die E-Mail selbst ein steuerrelevantes Dokument. Sie darf nicht gelöscht werden, solange die Aufbewahrungsfrist läuft. CERTISCAN archiviert beim IMAP-Import auch die Quell-E-Mail.
Fehler 2: Papier scannen ohne Verfahrensdokumentation
Das Scannen von Papierbelegen ist erlaubt – aber nur mit einer dokumentierten Vorgehensweise. Ohne Verfahrensdokumentation riskieren Sie, dass der Betriebsprüfer die gescannten Belege nicht anerkennt.
Fehler 3: Backups als Archivierung betrachten
Ein Backup ist kein Archiv. Backups werden regelmäßig überschrieben und sind nicht revisionssicher. GoBD-Archivierung erfordert einen WORM-Speicher, bei dem Daten nicht gelöscht oder verändert werden können.
Fazit: Archivierung ist kein Nice-to-have
GoBD-konforme Archivierung ist gesetzliche Pflicht – und bei einer Betriebsprüfung das Erste, was geprüft wird. Mit CERTISCAN erfüllen Sie alle 8 GoBD-Kriterien automatisch: SHA-256-Hashwerte, WORM-Audit-Trail, automatische Kategorisierung und 10 Jahre revisionssichere Speicherung. Kein manueller Aufwand, keine Lücken.
Häufig gestellte Fragen
Warum reicht ein PDF im Ordner nicht für die GoBD?
Die GoBD verlangen Revisionssicherheit – das bedeutet, dass Dokumente nach der Speicherung nicht mehr verändert werden dürfen. Ein PDF in einem normalen Dateisystem kann jederzeit gelöscht, umbenannt oder überschrieben werden, ohne dass dies nachvollziehbar ist. Es fehlen Hashwerte, Zeitstempel und ein Audit-Trail.
Was bedeutet SHA-256-Hash bei der Archivierung?
SHA-256 ist ein kryptographischer Algorithmus, der aus einer Datei einen eindeutigen 256-Bit-Hashwert berechnet. Jede noch so kleine Änderung an der Datei würde einen völlig anderen Hashwert erzeugen. CERTISCAN berechnet beim Archivieren einen SHA-256-Hash und speichert ihn im WORM-Audit-Trail – so ist jede Manipulation nachweisbar.
Wie lange müssen Rechnungen aufbewahrt werden?
Gemäß §147 Abgabenordnung (AO) müssen Rechnungen, Buchungsbelege und Jahresabschlüsse 10 Jahre aufbewahrt werden. Die Frist beginnt am Ende des Kalenderjahres, in dem die Rechnung erstellt wurde. Eine Rechnung vom 15.03.2026 muss also bis zum 31.12.2036 archiviert sein.
Muss ich Papierrechnungen auch digital archivieren?
Wenn Sie eine Papierrechnung erhalten und diese digitalisieren (scannen), muss das digitale Abbild GoBD-konform archiviert werden. Das Papieroriginal dürfen Sie danach vernichten, sofern das digitale Dokument die GoBD-Anforderungen erfüllt (Verfahrensdokumentation, Zeitstempel, Unveränderbarkeit).
Was kostet GoBD-konforme Archivierung mit CERTISCAN?
Die GoBD-konforme Archivierung ist in jedem CERTISCAN-Tarif enthalten – auch im Starter-Tarif ab 29 EUR/Monat. Beim E-Rechnungsmodul werden alle ein- und ausgehenden Rechnungen automatisch archiviert, inklusive SHA-256-Hash, WORM-Speicher und Audit-Trail.
Ist Ihr Unternehmen konform?
Testen Sie CERTISCAN 14 Tage kostenlos und bringen Sie Ihre Compliance auf den neuesten Stand.