Wer Dokumente digitalisiert, will mehr als „weniger Papier“. Unternehmen brauchen ein System, das Belege schnell auffindbar macht, Prozesse beschleunigt und im Ernstfall – etwa bei einer Betriebsprüfung – belastbar bleibt. Genau an dieser Stelle fällt häufig das Wort „revisionssicher“. Gemeint ist damit in der Regel eine Archivierung, die den GoBD standhält: nachvollziehbar, vollständig, verfügbar – und vor allem so abgesichert, dass steuerrelevante Unterlagen nicht unbemerkt verändert werden können.
Paperless-ngx ist dafür eine hervorragende Arbeitsplattform. Aber: Paperless-ngx ist allein noch kein revisionssicheres Archiv. Revisionssicherheit entsteht erst aus dem Zusammenspiel von Software, Storage-Architektur, Rollen/Berechtigungen und sauber dokumentierten Abläufen. Paperless Enterprise von Paperless-Hosting.de setzt genau dort an: mit einer dedizierten Paperless-ngx Umgebung plus einem unveränderbaren Archiv.
Was GoBD-Revisionssicherheit in der Praxis bedeutet
Die GoBD sind kein „Produkt-Siegel“, sondern beschreiben Grundsätze, die Ihre elektronische Buchführung und die Aufbewahrung steuerrelevanter Unterlagen erfüllen müssen. Dazu zählen u. a. Nachvollziehbarkeit und Nachprüfbarkeit, Vollständigkeit, Ordnung, Verfügbarkeit und Unveränderbarkeit.
Für die Archivierung lässt sich das auf drei praktische Prüf-Fragen herunterbrechen:
Erstens: Ist erkennbar, wer wann was getan hat (z. B. Änderungen, Korrekturen, Löschungen)?
Zweitens: Sind Originale gegen Manipulation abgesichert, sodass niemand „still“ überschreiben oder entfernen kann?
Drittens: Können Sie den Prozess erklären – vom Dokumenteneingang bis zur Archivierung (Stichwort Verfahrensdokumentation)?
Gerade Punkt zwei wird oft unterschätzt: Selbst wenn ein DMS Änderungen protokolliert, bleibt ohne passende Archivspeicherung immer eine technische Angriffsfläche.
Warum Paperless-ngx „von Haus aus“ nicht revisionssicher ist
Paperless-ngx kann bereits wichtige Grundlagen für Nachvollziehbarkeit liefern. Seit Version 2.7 gibt es z. B. eine Dokumenten-Historie / Audit Log, die Änderungen am Dokument protokolliert.
Trotzdem ist Paperless-ngx allein typischerweise nicht revisionssicher im GoBD-Sinn – aus drei Gründen, die in echten Unternehmens-Setups entscheidend sind:
1) Löschbarkeit gehört zum Standardverhalten
Paperless-ngx arbeitet mit einem Papierkorb („Trash“). Dokumente werden beim Löschen zunächst verschoben und können später automatisch oder manuell endgültig entfernt werden. Das ist funktional sinnvoll, aber ohne zusätzliche Regeln und Sperren ein Compliance-Risiko bei steuerrelevanten Belegen.
2) Protokollierung ersetzt keine Unveränderbarkeit
Ein Audit Log hilft bei Nachvollziehbarkeit. Er verhindert aber nicht, dass Daten, je nach Hosting-/Admin-Rechten, außerhalb der Anwendung manipuliert werden könnten. Für Revisionssicherheit ist daher die Speicher-Schicht zentral.
3) Ohne „WORM“ bleibt der Archivbestand veränderbar
Revisionssichere Archivierung setzt in der Praxis häufig auf unveränderbare Speicherung (WORM: Write Once, Read Many). Genau das ist in typischen Self-Hosted- oder Standard-Cloud-Setups ohne Object-Lock/Retention nicht automatisch gegeben.
Wie Paperless Enterprise Revisionssicherheit ermöglichen kann
Paperless Enterprise ist explizit darauf ausgelegt, veränderbare Arbeitsdaten und unveränderbare Archivdaten konsequent zu trennen und so die technische Grundlage für GoBD-konforme Archivierung zu schaffen (unter der Voraussetzung, dass Sie als Unternehmen die organisatorischen Anforderungen ebenfalls umsetzen).
Dedizierte Single-Tenant-Architektur: isoliert statt „shared“
Paperless Enterprise stellt pro Kunde eine vollständig isolierte Paperless-ngx Umgebung bereit, inklusive dediziertem Server in Deutschland und ohne gemeinsam genutzte Docker-Hosts, Netzwerke oder Speicher. Das reduziert Komplexität bei Abgrenzung, Berechtigungen und Nachweisführung und ist in regulierten Umfeldern oft ein echter Vorteil.
Unveränderbares Archiv mit Object Lock im Compliance Modus
Der Kern der Revisionssicherheit ist das separate Archiv auf Object Storage mit Object Lock im Compliance Modus. In diesem Modus können geschützte Objektversionen nicht überschrieben oder gelöscht werden – auch nicht durch Administratoren – bis die Speicherzeit abläuft.
Das ist genau der technische Mechanismus, der „Unveränderbarkeit“ nicht nur als Prozess-Regel, sondern als System-Eigenschaft abbildet.
Einweg-Synchronisierung: Arbeitsbereich darf sich ändern, Archiv bleibt stabil
Paperless Enterprise stellt eine Einweg-Synchronisierung der Originaldokumente ins Archiv bereit, ohne dass Löschungen oder Überschreiben aus dem Arbeitsbereich ins Archiv „durchgereicht“ werden. Praktisch heißt das: Sie können in Paperless-ngx arbeiten (taggen, organisieren, Prozesse abbilden), während das Original revisionssicher im Archiv liegt und nicht gelöscht oder geändert werden kann.
Nachvollziehbare Dokumentarbeit mit Paperless-ngx Funktionen
Paperless-ngx bringt Funktionen wie Dokument-Historie/Audit-Log mit, die Änderungen sichtbar machen.
In Kombination mit einem unveränderbaren Archiv ergibt das ein stimmiges Bild: Arbeiten und optimieren im DMS, Originale manipulationsgeschützt im Archiv.
Sichere Dokumentenzuführung und Betrieb
Für Unternehmen ist wichtig, dass Dokumente zuverlässig ins System gelangen, z. B. per Scanner oder als Netzlaufwerk. Paperless Enterprise bietet dafür SFTP-, FTPS- und WebDAV-Schnittstellen. Zusätzlich werden u. a. TLS-verschlüsselte Übertragung, tägliche zeitgestempelte Backups und Restore aus Backup-Snapshots sichergestellt, sowie Einsicht/Download von Archiv und Backups über den Kontobereich.
Organisatorische Anforderungen: Ohne Prozess keine Revisionssicherheit
So gut die Technik ist: GoBD-Revisionssicherheit ist immer auch ein Organisations-Thema. Sie brauchen insbesondere eine Verfahrensdokumentation und klare Rollen-/Prozessregeln (z. B. wer scannen darf, wer korrigiert, wie Ausnahmen behandelt werden). Die GoBD fordern genau diese Nachvollziehbarkeit der Verfahren und Kontrollen.
Paperless Enterprise liefert hierfür AVV, TOM-Dokumentation und eine Rahmen-Verfahrensdokumentation als Basis zur Vervollständigung – die finale Ausgestaltung bleibt aber bei euch als Unternehmen.
Paperless Enterprise Tarife: S, M, L – passend zum Dokumentenvolumen
Paperless Enterprise gibt es in drei Stufen (S, M, L), bei denen Server- und Archivleistung mitwachsen. Damit lässt sich das Setup an Teamgröße und Dokumentenaufkommen anpassen – ohne dass sich am revisionssicheren Grundprinzip (Trennung + unveränderbares Archiv) etwas ändert.
Fazit: Paperless-ngx als Arbeits-DMS – und ein echtes revisionssicheres Archiv dahinter
Wenn Sie Paperless-ngx im Unternehmen einsetzen möchten, aber GoBD-Revisionssicherheit brauchen, ist die wichtigste Designentscheidung: Wo liegen die Originale – und sind sie wirklich unveränderbar gespeichert? Genau dafür ist Paperless Enterprise konzipiert: Single-Tenant-Betrieb plus ein unveränderbares Archiv mit Object Lock (Compliance Mode), ergänzt um klare Datentrennung, Backups und Unternehmensfeatures wie SFTP/FTPS/WebDAV.
Wenn Sie dann noch die organisatorischen Anforderungen sauber umsetzen (Verfahrensdokumentation, Rollen, Prozesse), entsteht ein Dokumentenmanagement, das nicht nur im Alltag effizient ist, sondern auch in der Prüfungssituation trägt.
Wenn Sie Paperless Enterprise für Ihr Unternehmen evaluieren möchten, starten Sie mit einer unverbindlichen Anfrage oder wählen direkt den passenden Tarif – und klären Sie parallel, welche organisatorischen GoBD-Bausteine Sie intern abbilden wollen.
FAQ
Ist Paperless-ngx revisionssicher?
Paperless-ngx bietet Funktionen wie Dokumenten-Historie/Audit-Log, ist aber ohne unveränderbare Archivspeicherung und passende Betriebs-/Rechtearchitektur nicht „revisionssicher“ im GoBD-Sinn.
Was bedeutet „unveränderbares Archiv“ bei Paperless Enterprise?
Die Originaldokumente werden in ein separates Archiv auf Object Storage synchronisiert, das per Object Lock im Compliance Mode vor Überschreiben und Löschen geschützt ist. Dokumente im Archiv können weder gelöscht, noch verändert werden.
Reicht Technik allein für GoBD-Konformität?
Nein. Sie benötigen zusätzlich organisatorische Maßnahmen wie Verfahrensdokumentation sowie Rollen- und Prozessdefinition, damit die Abläufe nachvollziehbar und prüfbar sind. Paperless Enterprise liefert hierfür eine Rahmen-Verfahrensdokumentation als Basis zur Vervollständigung.
