Du nutzt Paperless-ngx, deine Dokumente sind digitalisiert, und alles läuft wunderbar – bis dein Steuerberater fragt: „Ist das eigentlich GoBD-konform?“ Gute Frage. Und eine, die sich nicht mit einem einfachen Ja oder Nein beantworten lässt.
Die GoBD („Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“) regeln, wie du steuerlich relevante Dokumente digital aufbewahren musst. Und auch wenn Paperless-ngx nicht als zertifiziertes GoBD-System vermarktet wird – mit der richtigen Konfiguration und ein paar organisatorischen Maßnahmen kannst du es an die Anforderungen anpassen.
Wichtiger Hinweis: Dieser Artikel gibt eine praxisnahe Orientierung, ersetzt aber keine steuerrechtliche oder anderweitig professionelle Beratung. Sprich im Zweifel mit deinem Steuerberater, bevor du dein Archivsystem umstellst.
Das Wichtigste in Kürze
- Die GoBD fordern Unveränderbarkeit, Nachvollziehbarkeit, Vollständigkeit und Ordnung bei der digitalen Aufbewahrung steuerlich relevanter Dokumente.
- Paperless-ngx ist nicht automatisch GoBD-konform – aber mit den richtigen Einstellungen und Prozessen lässt es sich aus unserer Perspektive konform betreiben.
- Zentrale Maßnahmen: Löschrechte einschränken, Audit-Log aktiviert lassen, Papierkorb-Archiv konfigurieren und Logdateien dauerhaft aufbewahren.
- Eine Verfahrensdokumentation ist Pflicht – sie beschreibt, wie deine Belegablage funktioniert.
- Seit 2025 gilt für Buchungsbelege (Rechnungen, Quittungen, Kontoauszüge etc.) eine verkürzte Aufbewahrungsfrist von 8 Jahren (statt bisher 10). Wenn du auf Nummer sicher gehen möchtest, kannst du Paperless-ngx mit einer etablierten Buchhaltungssoftware wie lexoffice oder DATEV Unternehmen Online kombinieren.
Was fordert die GoBD?
Die GoBD klingen erstmal einschüchternd, lassen sich aber auf ein paar zentrale Prinzipien herunterbrechen:
Unveränderbarkeit: Steuerlich relevante Dokumente dürfen nach der Erfassung nicht unbemerkt verändert oder gelöscht werden. Änderungen müssen protokolliert sein – mit Datum, Uhrzeit und Benutzer. Es geht nicht darum, dass nie etwas gelöscht werden darf, sondern darum, dass jede Löschung nachvollziehbar ist.
Nachvollziehbarkeit: Jeder Geschäftsvorfall muss sich lückenlos verfolgen lassen – vom Beleg über die Buchung bis zum Jahresabschluss und umgekehrt. In der Praxis heißt das: Du musst jederzeit zeigen können, welches Dokument wann eingegangen ist und was damit passiert ist.
Vollständigkeit: Alle steuerlich relevanten Dokumente müssen erfasst und aufbewahrt werden. Lücken sind nicht erlaubt.
Ordnung: Dokumente müssen systematisch abgelegt und innerhalb angemessener Zeit auffindbar sein.
Zeitgerechtheit: Belege müssen zeitnah nach Eingang erfasst werden – nicht erst Monate später am Stück.
Wo steht Paperless-ngx?
Paperless-ngx bringt einige Funktionen mit, die für GoBD-Konformität hilfreich sind:
- Audit-Log: Seit Version 2.7 ist in Paperless-ngx standardmäßig ein Audit-Log aktiv, der alle Änderungen an Dokumenten protokolliert – wer hat wann was geändert. Das ist unter dem Reiter „Verlauf“ bei jedem Dokument einsehbar.
- OCR und Volltextsuche: Dokumente werden automatisch durchsuchbar gemacht und sind damit jederzeit auffindbar.
- Metadaten-System: Korrespondenten, Dokumenttypen und Tags sorgen für eine systematische Ordnung.
Was Paperless-ngx nicht von Haus aus bietet: einen technischen Schutz gegen das Löschen von Dokumenten. Jeder Benutzer mit entsprechenden Rechten kann Dokumente in den Papierkorb verschieben und endgültig löschen – und damit verschwindet auch der zugehörige Audit-Log-Eintrag. Genau hier musst du nachbessern.
So machst du Paperless-ngx GoBD-tauglicher
1. Löschrechte einschränken
Die wichtigste Maßnahme: Normale Benutzer sollten keine Dokumente löschen können. Arbeite im Alltag mit einem eingeschränkten Benutzerkonto und reserviere den Admin-Zugang für den Fall, dass tatsächlich etwas entfernt werden muss (z.B. ein versehentlich doppelt gescanntes Dokument).
Noch besser: Führe einen Tag „LÖSCHEN“ ein. Mitarbeitende markieren Dokumente, die sie für löschenswert halten, mit diesem Tag. Ein Administrator prüft regelmäßig die so markierten Dokumente und entscheidet, ob sie tatsächlich gelöscht werden. Das Vier-Augen-Prinzip sorgt dafür, dass nichts versehentlich (oder absichtlich) verschwindet.
In unseren gehosteten Paperless-ngx Instanzen kannst du dir diese Logik einfach nachbilden.
2. Papierkorb-Archiv einrichten
Konfiguriere die Umgebungsvariable PAPERLESS_EMPTY_TRASH_DIR, sodass gelöschte Dokumente nicht endgültig verschwinden, sondern in ein separates Verzeichnis auf dem Dateisystem verschoben werden. In Kombination mit regelmäßigen Backups hast du damit ein Sicherheitsnetz, das dokumentiert, was wann gelöscht wurde. Wenn die Backups dann noch append-only sind (gängige Backup-Tools haben typischerweise eine solche Option), sollte niemals eine Datei unbemerkt abhanden kommen können.
In unseren gehosteten Paperless-ngx Instanzen ist diese Option standardmäßig nicht aktiv. Du kannst sie aber durch unseren Support setzen lassen – dies bedeutet allerdings, dass die Originaldateien immer erhalten bleiben und kein „echtes“ Löschen mehr möglich ist!
3. Logdateien dauerhaft aufbewahren
Standardmäßig rotiert Paperless-ngx seine Logdateien – ältere Logs werden irgendwann überschrieben. Für die GoBD-Konformität solltest du das ändern:
PAPERLESS_LOGROTATE_MAX_BACKUPS=99999– so viele rotierte Logdateien behalten, dass praktisch keine verloren gehen (der Standardwert ist 20)PAPERLESS_LOGROTATE_MAX_SIZE=20971520– Logdateien werden erst bei 20 MiB rotiert (statt des Standardwerts von 1 MiB)
Zusätzlich solltest du die Logdateien in dein reguläres Backup einschließen, damit sie auch bei einem Systemausfall erhalten bleiben.
In unseren gehosteten Paperless-ngx Instanzen ist diese Option bereits so konfiguriert.
4. Audit-Log aktiviert lassen
Seit Version 2.7 ist der Audit-Log standardmäßig aktiv (PAPERLESS_AUDIT_LOG_ENABLED=true). Stelle sicher, dass diese Einstellung nicht versehentlich deaktiviert wurde. Der Audit-Log ist in der Datenbank persistiert, über die Benutzeroberfläche einsehbar und dein zentraler Nachweis dafür, dass Dokumente nicht unbemerkt verändert wurden.
In unseren gehosteten Paperless-ngx Instanzen ist diese Option bereits so konfiguriert.
5. Dedizierte Instanz für steuerliche Dokumente
Ein pragmatischer Tipp: Betreibe eine separate Paperless-ngx-Instanz ausschließlich für aufbewahrungspflichtige Dokumente. Private Dokumente und andere nicht-steuerliche Dokumente gehören nicht in dieses System. Wenn es zu einer Betriebsprüfung kommt, kannst du dem Prüfer Zugang zum gesamten System geben, ohne private Dinge offenlegen zu müssen.
Bei server.camp kannst du hierfür einfach mehrere managed Paperless-ngx-Instanzen einrichten.
Zwischenfazit: Ein Knackpunkt bleibt ...
Mit den bisherigen Maßnahmen lässt sich vieles abdecken – aber der Knackpunkt bleibt die Unveränderbarkeit. Wer Paperless-ngx selbst betreibt, hat immer auch Zugriff auf das darunterliegende Dateisystem. Das bedeutet: Dokumente, Metadaten und sogar die Audit-Logs lassen sich direkt auf der Festplatte manipulieren – am Paperless-ngx-Interface vorbei. Kein Audit-Log der Welt hilft, wenn jemand mit Zugriff auf den Server – z.B. der Sysadmin – die Logdateien selbst manipulieren kann.
Bei einem externen Hosting-Anbieter gilt die Problematik grundsätzlich auch, ist aber weniger präsent: zwar haben wir als die „Sysadmins“ auch vollen Zugriff auf die Dateisysteme unserer Server und könnten Daten unserer Kunden verändern. Hier stellt sich aber natürlich die Frage nach dem „warum?“. Zudem loggen wir alle administrativen Tätigkeiten auf unseren Servern. Aber man sieht: das ist kein Paperless-ngx-spezifisches Problem, sondern betrifft jedes System, das auf einem regulären Dateisystem läuft.
Das Ziel wäre also, die Unveränderbarkeit nicht nur organisatorisch (durch Prozesse und Rechte), sondern auch technisch sicherzustellen – sodass selbst ein Administrator die archivierten Daten nicht manipulieren kann.
WORM-Speicher: die technische Lösung für Unveränderbarkeit
Wer die GoBD-Anforderung an Unveränderbarkeit auf technischer Ebene lösen will, stößt früher oder später auf WORM-Speicher (Write Once, Read Many). Das Prinzip: Einmal geschriebene Daten können nicht mehr verändert oder gelöscht werden – zumindest nicht innerhalb einer festgelegten Aufbewahrungsfrist.
Konkret funktioniert das so: Du konfigurierst einen WORM-fähigen Speicher (z.B. einen S3-kompatiblen Object Store mit Object Lock) als Ziel für deine Paperless-ngx-Daten. Einmal geschriebene Dokumente und Metadaten sind dann für die definierte Frist unveränderlich – selbst ein Administrator kann sie nicht löschen. Das ist technisch gesehen die sauberste Lösung für die GoBD-Anforderung der Unveränderbarkeit.
Die Integration des WORM-Speichers in Paperless-ngx ist allerdings nicht trivial. Denn Paperless-ngx ist nicht für den Betrieb mit einem WORM-Speicher vorgesehen. Bei server.camp arbeiten wir aktuell an einer Lösung für dieses Problem. Wenn dich das interessiert, kannst du dich auf die Warteliste setzen lassen – wir melden uns dann, sobald es Neuigkeiten gibt.
Für die meisten Freelancer und kleinen Unternehmen ist die Kombination aus eingeschränkten Löschrechten, Audit-Log, Papierkorb-Archiv und regelmäßigen Backups (wie oben beschrieben) der pragmatischere Weg und allemal besser als der Aktenordner zu Hause oder im Büro.
Die Verfahrensdokumentation
Hier kommen viele ins Stolpern: Die GoBD verlangen eine Verfahrensdokumentation. Das klingt nach einem 50-seitigen Bürokratie-Monster, ist in der Praxis aber deutlich überschaubarer – besonders für Freelancer und kleine Unternehmen.
Die Verfahrensdokumentation beschreibt, wie dein Belegablage-Prozess funktioniert. Sie besteht im Kern aus vier Teilen:
Allgemeine Beschreibung: Was wird archiviert? Welche Dokumentarten gibt es? Wer ist verantwortlich?
Anwenderdokumentation: Wie sieht der Prozess von Eingang bis Archivierung aus? Beispiel: „Eingehende Post wird täglich gescannt und über das Consume-Verzeichnis in Paperless-ngx importiert. Die automatische Klassifizierung wird manuell geprüft und bei Bedarf korrigiert. Originale werden mit ASN-Label versehen und im Archivordner abgelegt.“
Technische Systemdokumentation: Welche Software und Hardware kommen zum Einsatz? Welcher Scanner? Welche Paperless-ngx-Version? Wo liegen die Backups?
Betriebsdokumentation: Wie wird das System gesichert? Wie oft werden Backups erstellt? Wer hat Zugriff?
Für Selbstständige und Freelancer reicht ein einfaches Dokument mit wenigen Seiten. Die Bundessteuerberaterkammer stellt eine Muster-Verfahrensdokumentation zum ersetzenden Scannen (PDF) bereit, die du als Vorlage nutzen und an deinen Workflow anpassen kannst.
Aufbewahrungsfristen im Überblick
Nicht alle Dokumente müssen gleich lang aufbewahrt werden. Hier die wichtigsten Fristen:
8 Jahre (seit 2025 verkürzt von 10 Jahren durch das Vierte Bürokratieentlastungsgesetz): Buchungsbelege wie Rechnungen, Quittungen, Kontoauszüge und Buchungsanweisungen.
10 Jahre: Jahresabschlüsse, Bilanzen, Bücher, Inventare, Lageberichte.
6 Jahre: Handels- und Geschäftsbriefe (sofern sie nicht gleichzeitig Buchungsbelege sind), Angebote, Auftragsbestätigungen.
Sonderfall Lieferscheine: Lieferscheine, die gleichzeitig als Buchungsbeleg dienen (z.B. weil sie eine Rechnung ersetzen), fallen unter die 8-Jahres-Frist. Reine Lieferscheine ohne Belegfunktion haben seit dem Zweiten Bürokratieentlastungsgesetz keine Aufbewahrungspflicht mehr.
Achtung bei Verträgen: Die Aufbewahrungsfrist beginnt erst nach Vertragsende. Ein Mietvertrag, der 2024 endete, muss als Handelsbrief bis Ende 2030 aufbewahrt werden (6 Jahre). Hat der Vertrag gleichzeitig Belegfunktion, gilt die 8-Jahres-Frist.
Die Fristen beginnen jeweils mit dem Schluss des Kalenderjahres, in dem das Dokument entstanden ist bzw. der Vorgang abgeschlossen wurde.
Tipp: Lege in Paperless-ngx Tags für die Aufbewahrungsfristen an (z.B. „Aufbewahrung-8J“ und „Aufbewahrung-10J“). So kannst du regelmäßig filtern (z.B. Tag = „Aufbewahrung-10J“ und Erstelldatum älter als 10 Jahre), welche Dokumente ihre Frist überschritten haben und vernichtet werden dürfen.
Paperless-ngx mit Buchhaltungssoftware kombinieren
Ein häufiges Missverständnis: Paperless-ngx muss nicht deine gesamte GoBD-konforme Archivierung alleine stemmen. In der Praxis nutzen viele Selbstständige und kleine Unternehmen Paperless-ngx als Eingangstor und Organisationstool – und übergeben die steuerlich relevanten Belege zusätzlich an eine Buchhaltungssoftware mit eigener Archivfunktion.
DATEV Unternehmen Online ist hier der Klassiker: Dein Steuerberater arbeitet ohnehin damit, und die Plattform bietet eine GoBD-konforme Belegablage mit revisionssicherer Archivierung. Du kannst Belege in Paperless-ngx scannen, klassifizieren und organisieren – und sie parallel (z.B. per Export oder API) an DATEV übergeben. Die GoBD-konforme Langzeitarchivierung übernimmt dann DATEV, während Paperless-ngx dir im Alltag die schnelle Suche und Übersicht bietet.
lexoffice verfolgt einen ähnlichen Ansatz: Hochgeladene Belege werden revisionssicher gespeichert und sind direkt mit den zugehörigen Buchungen verknüpft. Gerade für Freelancer und Kleinunternehmer, die ihre Buchhaltung selbst machen, ist das eine pragmatische Kombination – Paperless-ngx für die gesamte Dokumentenablage, lexoffice für alles, was steuerlich relevant ist.
Der Vorteil dieser Aufteilung: Du musst dich bei Paperless-ngx weniger um die revisionssichere Archivierung sorgen, weil die Buchhaltungssoftware diesen Teil übernimmt. Paperless-ngx bleibt trotzdem wertvoll als zentrales DMS für alle Dokumente – nicht nur die steuerlichen. lexoffice und DATEV Unternehmen online können eingehende Dokumente per E-Mail empfangen, die du per Workflow aus Paperless-ngx verschickst.
Wichtig: Wenn eingehende Dokumente über Paperless-ngx erfasst und anschließend an DATEV oder lexoffice weitergeleitet werden, muss dieser Zwischenschritt in deiner Verfahrensdokumentation beschrieben sein. Der Prüfer muss nachvollziehen können, wie ein Beleg über Paperless-ngx in die Buchhaltungssoftware gelangt ist und wie du die Kriterien von oben (z.B. Vollständigkeit) sicherstellst.
Fazit: Ist Paperless-ngx jetzt GoBD-konform oder nicht?
Die ehrliche Antwort: Paperless-ngx ist kein zertifiziertes GoBD-System – aber eine solche echte Zertifizierung gibt es für kein System. Die GoBD sind keine Software-Prüfung, sondern Anforderungen an deinen Prozess. Das heißt: Es kommt darauf an, wie du das System einrichtest und betreibst.
Mit den beschriebenen Maßnahmen – eingeschränkte Löschrechte, Audit-Log, Papierkorb-Archiv, dauerhafte Logs und einer sauberen Verfahrensdokumentation – kannst du Paperless-ngx so betreiben, dass es aus unserer Perspektive den GoBD-Anforderungen standhält. In der Praxis haben Betriebsprüfer bereits Paperless-ngx-Installationen als konform akzeptiert, wenn diese Voraussetzungen erfüllt waren.
Ob das in deinem konkreten Fall ausreicht, solltest du mit deinem Steuerberater besprechen. Die gute Nachricht: Die meisten Steuerberater freuen sich, wenn ihre Mandanten überhaupt ein DMS nutzen – denn die Alternative (Schuhkarton / Ordner mit Belegen) ist definitiv nicht GoBD-konform.
Wenn du auf Nummer sicher gehen willst, kombiniere Paperless-ngx mit einer Buchhaltungssoftware wie DATEV oder lexoffice, die eine anerkannte GoBD-konforme Archivierung mitbringt. So nutzt du Paperless-ngx als komfortables DMS für den Alltag – und die revisionssichere Langzeitarchivierung übernimmt ein System, das dafür gebaut wurde.
Managed GoBD-konformes Paperless-ngx
Wie schon erwähnt arbeiten wir aktuell an einer Möglichkeit unveränderlichen WORM-Speicher mit Paperless-ngx kompatibel zu machen. Um per Mail benachrichtigt zu werden, sobald wir Paperless-ngx garantiert GoBD-konform gehostet anbieten, kannst du dich hier auf die Warteliste setzen. Wir melden uns dann bei dir, sobald wir bereit sind.
Bei server.camp haben wir uns zum Ziel gesetzt, gute Open-Source-Anwendungen breiter zugänglich zu machen und z.B. für einen stabilen & sicheren Betrieb und guten Support zu sorgen. Wir bieten auch das Hosting von Paperless-ngx (neben zahlreichen anderen Tools) EU-hosted und DSGVO-konform an. Probier's gerne mal aus – du kannst jede Anwendung 30 Tage lang kostenlos testen!