0345-78282673
KMGIT GmbH
Steuerberater

GoBD-konforme Archivierung 2026: Was Finanzämter heute konkret prüfen

Was GoBD-konforme digitale Archivierung 2026 wirklich erfordert — unveränderbare Speicherung, 10-Jahres-Frist, Verfahrensdokumentation, NAS-Architektur.

KMGIT Redaktion 6 Min. Lesezeit

Die “Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff” — kurz GoBD — sind kein Detail-Regelwerk für IT-Abteilungen. Sie sind die zentrale Prüfgrundlage des Finanzamts bei jeder Außenprüfung. Wer als Kanzlei oder KMU seinen Mandanten oder Steuerprüfern keine GoBD-konforme Archivierung nachweisen kann, riskiert Verwerfungen der Buchführung — mit allen steuerlichen Konsequenzen.

Wir haben die GoBD-Anforderungen in den letzten Jahren mehrfach bei Außenprüfungen unserer Kanzlei-Kunden in der Praxis erlebt. Was dabei geprüft wird, weicht teils deutlich von dem ab, was in Compliance-Broschüren als “GoBD-konform” angepriesen wird. Dieser Artikel fasst zusammen, worauf es 2026 tatsächlich ankommt.

Die fünf Kernanforderungen der GoBD

Das BMF-Schreiben zur GoBD (zuletzt aktualisiert 28.11.2019, weiterhin gültig) formuliert fünf Kernanforderungen, die jede digitale Archivierung erfüllen muss:

  1. Unveränderbarkeit — einmal archivierte Belege dürfen weder verändert noch ohne Protokoll gelöscht werden.
  2. Vollständigkeit — alle aufzeichnungs- und aufbewahrungspflichtigen Unterlagen müssen erfasst sein.
  3. Richtigkeit — die archivierten Daten müssen den ursprünglichen Geschäftsvorfall korrekt abbilden.
  4. Zeitgerechte Erfassung — Belege sind zeitnah (typischerweise innerhalb von 10 Tagen für Kassen- und 30 Tagen für sonstige Buchungen) zu erfassen.
  5. Ordnung und Nachprüfbarkeit — die Archivstruktur muss für einen sachverständigen Dritten in angemessener Zeit prüfbar sein.

Hinzu kommen die gesetzlichen Aufbewahrungsfristen:

  • 10 Jahre für Bücher, Aufzeichnungen, Inventare, Bilanzen, Lageberichte, Eröffnungsbilanz, Buchungsbelege (§ 147 Abs. 3 AO i.V.m. § 257 HGB).
  • 6 Jahre für empfangene Handels- und Geschäftsbriefe sowie sonstige Unterlagen für die Besteuerung.

Die Frist beginnt mit dem Schluss des Kalenderjahres, in dem die letzte Eintragung gemacht wurde oder der Beleg entstanden ist.

Was “unveränderbar” technisch bedeutet

Unveränderbarkeit ist der Punkt, an dem viele Archivierungslösungen scheitern. Eine Datei in einem normalen Windows-Dateisystem oder in einer Standard-Cloud (OneDrive, Dropbox, Google Drive) ist nicht unveränderbar — der Eigentümer kann sie jederzeit überschreiben oder löschen. Selbst wenn organisatorisch eine Verfahrensanweisung das verbietet, ist das aus GoBD-Sicht zu schwach.

Technisch unveränderbar heißt:

  • WORM-Storage (Write Once Read Many): Speichermedien oder Speicherbereiche, in denen ein einmal geschriebener Datenblock physisch oder logisch nicht überschrieben werden kann.
  • Versionierung mit Schreibschutz: Jede Änderung erzeugt eine neue Version; die alte Version bleibt im Archiv schreibgeschützt erhalten.
  • Hash-basierte Integritätsprüfung: Beim Schreiben wird ein Hash (z.B. SHA-256) berechnet und mit dem Beleg gespeichert. Bei jeder Prüfung kann verifiziert werden, dass die Datei nicht manipuliert wurde.

Für eine 8- bis 15-Plätze-Kanzlei bedeutet das in der Praxis meist eine Kombination aus einem NAS mit Snapshot-Funktion (z.B. ZFS-basierte Synology- oder QNAP-Geräte mit aktiviertem WORM-Modus) und einem zusätzlichen Offline-Backup auf LTO-Band oder verschlüsselter externer Festplatte.

Architektur-Vorschlag für eine kleinere Kanzlei

Eine bewährte Architektur, die wir bei mehreren Kanzleien in Sachsen-Anhalt umgesetzt haben:

[Arbeitsplätze]


[DATEV Online / DMS]  ───── Tagesarchiv (immutable WORM-Volume)


[NAS Hauptarchiv]    ─────  Snapshot alle 4 Stunden, 90 Tage Retention


[Sekundär-NAS]       ─────  Tägliche asynchrone Replikation


[Cloud-Backup]       ─────  Verschlüsseltes Offsite-Backup (DE-Rechenzentrum)


[Offline-Quartalsbackup] ── LTO-Band oder externe Platte, 10 Jahre

Diese Architektur erfüllt nicht nur GoBD, sondern auch die klassische 3-2-1-Regel für Backups, die wir im Beitrag zur Backup-Strategie und in der Vertikal-Übersicht Backup-Strategie für Steuerkanzleien ausführlich behandeln.

Das Hosting der Archivierungs-Infrastruktur können Sie selbst betreiben oder als Managed Service einkaufen — siehe Hosting. Die hier beschriebene Architektur ist Bestandteil unseres Vertikal-Angebots GoBD-konforme Archivierung für Steuerkanzleien.

Die Verfahrensdokumentation — am häufigsten vergessen

Der mit Abstand häufigste Mangel bei Außenprüfungen ist nicht die Technik, sondern die fehlende oder veraltete Verfahrensdokumentation. Die GoBD verlangen ausdrücklich, dass das eingesetzte DV-System “für einen sachverständigen Dritten in angemessener Zeit prüfbar” sein muss.

Eine GoBD-konforme Verfahrensdokumentation beschreibt:

  • Beleg-Erfassung: Wie kommen Belege ins System? Scan, E-Mail, manuell?
  • Buchung und Verarbeitung: Welche Software, welche Schnittstellen?
  • Archivierung: Auf welchem System, mit welchen Schutzmaßnahmen?
  • Berechtigungskonzept: Wer darf was?
  • Sicherungs- und Wiederherstellungskonzept: Wann wird gesichert, wie wird im Notfall wiederhergestellt?
  • Änderungshistorie: Wer hat wann was am System geändert?

Faustregel: Wenn ein neuer Mitarbeiter, der noch nie in der Kanzlei war, anhand der Verfahrensdokumentation nicht innerhalb von zwei Stunden verstehen kann, wie das Archiv funktioniert, ist die Dokumentation unzureichend.

Wir empfehlen, die Verfahrensdokumentation einmal jährlich zu reviewen — typischerweise im Rahmen der Jahresend-IT-Inventur — und nach jeder größeren Systemänderung (Migration, neues DMS, geänderter Scan-Workflow) zu aktualisieren.

Datenzugriff bei Außenprüfung

Bei einer Außenprüfung hat das Finanzamt nach § 147 Abs. 6 AO das Recht auf einen der drei Datenzugriffe:

  • Z1 — Unmittelbarer Datenzugriff: Prüfer arbeitet selbst am System.
  • Z2 — Mittelbarer Datenzugriff: Mandant führt Auswertungen nach Vorgabe durch.
  • Z3 — Datenträgerüberlassung: Daten werden auf einem Datenträger im GDPdU-Format übergeben.

Das DV-System muss diese Zugriffsformen technisch ermöglichen. Insbesondere der Export im IDEA-fähigen Format (GDPdU / GoBD-Datenstandard) ist heute Pflicht — alle gängigen DATEV-Module liefern das.

Was bei Cloud-Lösungen zu beachten ist

Cloud-Archivierung ist GoBD-konform, sofern sie die genannten Anforderungen erfüllt. Zu beachten ist zusätzlich:

  • Standort: Aus DSGVO-Sicht ist ein Standort in der EU (idealerweise Deutschland) wegen § 203 StGB Mandantengeheimnis fast immer notwendig.
  • Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO mit dem Cloud-Anbieter.
  • Exit-Strategie: Wie kommen Sie an Ihre Daten, wenn der Anbieter insolvent ist oder Sie den Vertrag kündigen? Bei DATEV ist das vertraglich geregelt — bei kleineren Anbietern oft nicht.
  • Verschlüsselung: Sowohl auf der Übertragungsstrecke (TLS 1.3) als auch im Speicher (AES-256 mit clientseitiger Schlüsselverwaltung).

Häufige Fragen aus der Praxis

Müssen wir E-Mails aufbewahren? Ja, sofern sie steuerlich relevant sind. Eine E-Mail mit einem Rechnungs-Anhang oder eine Bestellbestätigung ist 10 Jahre aufzubewahren — die reine Versanddiskussion meist nur 6 Jahre. Die Trennung schaffen Sie nur mit einem strukturierten E-Mail-Archivierungssystem.

Reicht ein PDF/A-Scan? Für die meisten Belegtypen ja. PDF/A-3 ist der für GoBD empfohlene Standard. Achten Sie auf OCR-Erfassung, damit Volltextsuche möglich ist.

Was, wenn unser Archivierungs-System fünf Jahre nach Aufnahme insolvent geht? Dann müssen Sie die Daten in ein anderes System migrieren — und das migrierte Archiv erfüllt nur dann GoBD, wenn die Integrität nachweisbar erhalten ist. Hier hilft die regelmäßige Hash-Prüfung.

Beratung anfragen

Eine GoBD-konforme Archivierung lässt sich mit überschaubarem Aufwand auch für kleinere Kanzleien umsetzen — wenn die Architektur von Anfang an stimmt. Wir konzipieren, installieren und dokumentieren Archivierungs-Infrastruktur regelmäßig für Steuerkanzleien in Halle (Saale), Merseburg und Leipzig. Sprechen Sie uns an, wenn Sie einen GoBD-Check für Ihre bestehende Lösung oder einen Vorschlag für eine Neuinstallation brauchen.

Verwandte Vertikal-Inhalte: DATEV-Migration · IT-Outsourcing für Steuerkanzleien · Backup-Strategie.

#GoBD #Archivierung #Steuerkanzlei #Aufbewahrungsfristen

Weiter lesen

Weiterführende Artikel

Steuerberater

Mandantengeheimnis und IT-Dienstleister: § 203 StGB in der täglichen Praxis

Was § 203 StGB für externe IT-Dienstleister in Steuerkanzleien bedeutet — Verschwiegenheitspflicht, AVV, Subunternehmer und praktische Zugriffskonzepte.

Artikel lesen Steuerberater

Microsoft 365 für Steuerkanzleien: Lizenz, AVV und DSGVO nach Schrems II

Welcher Microsoft-365-Plan für Steuerkanzleien sinnvoll ist, was im AVV mit Microsoft Irland steht und welche DSGVO-Konstellation nach Schrems II noch trägt.

Artikel lesen Steuerberater

DATEV-Migration Schritt für Schritt: Realistischer Fahrplan für kleinere Kanzleien

Wie eine DATEV-Online-Migration in 3 bis 4 Wochen abläuft: Phasen, GoBD-Aspekte, Risiken und die typischen Stolpersteine kleinerer Kanzleien.

Artikel lesen

Sie haben Fragen?

Persönliche Beratung statt Hotline-Wartemusik.

Rufen Sie uns an oder schreiben Sie kurz — wir melden uns innerhalb eines Arbeitstages mit einer konkreten Einschätzung.

Seit 2008 im Saalekreis · DATEV-erprobt · §203-AVV-Standard.

Beratung anfragen IT-Lösungen für Steuerberater

Können wir Ihnen helfen?

Der IT-Dienstleister für Steuerberater

Anrufen Kontakt