Hinweis: Dieser Beitrag dient ausschließlich der allgemeinen Information und stellt keine Rechts- oder Steuerberatung dar. Alle Angaben ohne Gewähr. Für rechtlich verbindliche Auskünfte wenden Sie sich bitte an einen zugelassenen Steuerberater oder Rechtsanwalt.
Kurz & klar: Dropbox, Google Drive und OneDrive sind Synchronisationsdienste – keine GoBD-konforme Dokumentenablage. Wer Belege dort ablegt, erfüllt die gesetzlichen Anforderungen an Unveränderbarkeit, Vollständigkeit und Nachvollziehbarkeit nicht. Im Falle einer Betriebsprüfung kann das zur Verwerfung der Buchführung und zu Steuerzuschätzungen führen.
Inhaltsverzeichnis
Kennen Sie das?
Die Eingangsrechnung kommt per E-Mail. Sie laden das PDF herunter, ziehen es in den geteilten Dropbox-Ordner und fertig – Ablage erledigt. Der Lieferschein wird abfotografiert und landet in Google Drive. Die Lohnabrechnung vom Steuerberater kommt als Anhang und geht in OneDrive.
Praktisch. Übersichtlich. Und für viele kleine Betriebe seit Jahren bewährte Routine.
Das Problem: Diese Routine erfüllt die GoBD nicht. Nicht ansatzweise.
Das ist kein Kleingedrucktes. Das ist der Kern dessen, was das Finanzamt im Ernstfall prüft.
Warum das mehr als ein technisches Detail ist
Viele Unternehmer gehen davon aus, dass digitale Ablage automatisch GoBD-konforme Ablage bedeutet. Das ist verständlich – aber falsch.
Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form) stellen keine Anforderungen an den Speicherort allein. Sie stellen Anforderungen an das Verfahren.
Was genau verlangt die GoBD? Im Kern drei Dinge: Dokumente müssen unveränderbar gespeichert sein (kein nachträgliches Bearbeiten ohne Protokoll), vollständig und in der richtigen Reihenfolge abrufbar bleiben, und das verwendete System muss durch eine Verfahrensdokumentation beschrieben sein. Ohne diese Dokumentation gilt das Verfahren als nicht prüfbar – und eine nicht prüfbare Buchführung kann das Finanzamt verwerfen.
Das klingt abstrakt. Wird bei einer Betriebsprüfung aber sehr konkret.
Was Cloud-Ordner tatsächlich können – und was nicht
Dropbox, Google Drive und OneDrive sind hervorragende Werkzeuge. Für Dateiablage, Zusammenarbeit im Team, schnellen Zugriff von unterwegs. Genau dafür wurden sie gebaut.
Für GoBD-konforme Archivierung wurden sie ausdrücklich nicht gebaut.
Das Grundproblem: Jede Datei in diesen Diensten kann verändert werden.
Sie können ein PDF in Dropbox öffnen, bearbeiten und wieder speichern. Google Drive erlaubt es, Dateien zu überschreiben. OneDrive synchronisiert Änderungen automatisch – inklusive versehentlicher Löschungen. Keiner dieser Dienste protokolliert lückenlos, wer wann was an einem Dokument verändert hat.
Genau das aber ist die Kernforderung der GoBD (Tz. 14): Aufgezeichnete Daten dürfen nicht mehr verändert werden, ohne dass dies erkennbar wird. Ein Cloud-Ordner bietet diese Garantie technisch nicht.
Und dann sind da noch Fragen, die selten gestellt werden – bis sie plötzlich sehr relevant sind.
Zum Beispiel: Kann jemand nachvollziehen, ob wirklich alle Belege eines Monats archiviert wurden? Ein Cloud-Ordner ist ein Behälter ohne Kontrollmechanismus. Was hineingelegt wurde, ist drin. Was vergessen wurde, fehlt – und niemand merkt es. Eine GoBD-konforme Ablage muss Vollständigkeit sicherstellen (GoBD Tz. 64), nicht nur hoffen.
Oder: Wie schnell findet jemand anderes ein bestimmtes Dokument aus dem Jahr 2022? Der Prüfer hat begrenzte Zeit und kein Verständnis für selbst erfundene Dateinamen-Konventionen. Ein Ordnersystem mit Hunderten von PDFs ist kein Index.
Schließlich: Wo liegen die Daten eigentlich? Google Drive speichert auf US-amerikanischen Servern, OneDrive ebenso. Das ist keine Grundsatzkritik – aber wer Buchführungsunterlagen dort ablegt, muss im Falle einer Prüfung nachweisen können, dass er darauf vollständig und zeitnah zugreifen kann. Diese Anforderung lässt sich mit Standard-Cloudlösungen kaum verlässlich dokumentieren.
Die häufigsten Missverständnisse – direkt angesprochen
„Ich habe eine gute Ordnerstruktur.“ Eine durchdachte Struktur ist hilfreich. Aber Ordnerstruktur ist kein Ersatz für Unveränderbarkeit. Das Finanzamt prüft nicht, ob Ihre Ablage übersichtlich ist – es prüft, ob sie manipulationssicher ist.
„Mein Steuerberater hat nichts gesagt.“ Das stimmt häufig. Steuerberater sind für die Buchführung zuständig, nicht für das DMS-System, das ihre Mandanten im Hintergrund betreiben. Die Wahl des Archivierungssystems liegt beim Unternehmer. Das stellt auch Artikel 1 dieser Serie klar: GoBD-Konformität ist keine Aufgabe, die man vollständig delegieren kann.
„Dropbox hat doch auch eine Versionierung.“ Ja – aber Versionierung und Revisionssicherheit sind unterschiedliche Konzepte. Versionierung bedeutet, dass frühere Versionen einer Datei abrufbar sind. Revisionssicherheit bedeutet, dass das Original unveränderbar gesichert ist und jede Änderung protokolliert wird. Dropbox kann Ersteres. Letzteres nicht.
„Wir haben das seit Jahren so gemacht und es war nie ein Problem.“ Eine Betriebsprüfung ist kein jährliches Ereignis. Sie kommt unangekündigt oder wird durch äußere Faktoren ausgelöst. Seit 2018 haben Finanzbehörden das Recht auf Kassennachschau (§ 146b AO) – und können ohne Voranmeldung erscheinen. Wer dann ein nicht GoBD-konformes System betreibt, verliert sofort die Richtigkeitsvermutung nach § 158 AO.
„Das gilt doch nur für große Unternehmen.“ Die GoBD gelten für jeden buchführungspflichtigen Unternehmer in Deutschland. Eine GmbH mit drei Mitarbeitern ist genauso verpflichtet wie ein Konzern. Die Anforderungen sind teilweise vereinfacht – die Grundpflichten zur Unveränderbarkeit und Nachvollziehbarkeit nicht.
Was GoBD-konforme Ablage konkret bedeutet
Eine GoBD-konforme Dokumentenablage braucht drei Dinge:
1. Ein revisionssicheres Archivsystem. Das ist ein System, das einmal archivierte Dokumente technisch unveränderbar speichert – etwa durch WORM-Speicher (Write Once, Read Many). Änderungen an Metadaten sind protokolliert. Kein Dokument kann lautlos gelöscht werden.
2. Eine Verfahrensdokumentation. Das Finanzamt muss verstehen können, wie Dokumente in Ihrem Betrieb entstehen, verarbeitet und archiviert werden. Dieses Dokument beschreibt Ihr System – nicht als Selbstzweck, sondern weil es der Prüfer verlangen darf (GoBD Tz. 151–155).
3. Aufbewahrungsfristen einhalten. Buchungsbelege – Eingangsrechnungen, Kontoauszüge, Kassenbelege – müssen seit dem 1. Januar 2025 acht Jahre aufbewahrt werden (geändert durch das BEG IV, BGBl. 2024 I Nr. 323). Handelsbücher, Jahresabschlüsse und Verfahrensdokumentation weiterhin zehn Jahre.
Was bedeutet das praktisch für einen Handwerksbetrieb oder eine kleine GmbH ohne IT-Abteilung?
Es bedeutet: Sie brauchen ein System, das diese drei Anforderungen abbildet – ohne dass Sie selbst IT-Experte sein müssen. Cloud-Ordner sind es nicht. Buchhaltungssoftware allein ist es meist auch nicht. Was es braucht, ist ein Dokumentenmanagementsystem (DMS), das auf GoBD-Konformität ausgelegt ist.
Der erste Schritt ist eine ehrliche Bestandsaufnahme: Wo landen Ihre Belege heute? Wer hat Zugriff? Können Dateien verändert werden? Gibt es einen Index? Gibt es eine Verfahrensdokumentation?
Wer diese Fragen nicht mit Ja beantworten kann, hat Handlungsbedarf.
Häufige Fragen
Ist Dropbox grundsätzlich verboten für Geschäftsdokumente?
Nein, verboten ist Dropbox nicht. Sie dürfen Dropbox für die tägliche Arbeit nutzen – Entwürfe, Präsentationen, Projektdateien. Für die steuerrelevante Ablage von Buchführungsunterlagen ist Dropbox jedoch nicht geeignet, weil die technischen Anforderungen der GoBD an Unveränderbarkeit und Protokollierung dort nicht erfüllt werden.
Was passiert bei einer Betriebsprüfung, wenn meine Ablage nicht GoBD-konform ist?
Das Finanzamt verliert dann die Grundlage, Ihrer Buchführung zu vertrauen. Die Richtigkeitsvermutung nach § 158 AO entfällt. Das Finanzamt darf die Buchführung verwerfen und die Besteuerungsgrundlagen schätzen (§ 162 AO). Hinzu kommen Nachzahlungszinsen und im Einzelfall ein Steuerstrafverfahren nach § 370 AO.
Reicht es, wenn mein Steuerberater die Belege hat?
Nein. Ihr Steuerberater verwaltet Ihre Buchführung, aber nicht Ihr Archiv. Sie als Unternehmer sind für die ordnungsmäßige Aufbewahrung Ihrer steuerrelevanten Unterlagen verantwortlich – nicht Ihr Steuerberater. Wenn der Prüfer kommt, fragt er Sie nach dem System, nicht den Steuerberater.
Gilt das auch für elektronisch empfangene Dokumente wie E-Rechnungen?
Ja – und hier wird es besonders kritisch. Elektronisch empfangene Belege, also E-Rechnungen oder per E-Mail erhaltene PDFs, müssen im elektronischen Originalformat aufbewahrt werden. Ein Ausdruck auf Papier oder ein Scan davon genügt nicht (GoBD Tz. 119). Wer diese Dokumente in einem Cloud-Ordner ablegt, ohne Revisionssicherheit, erfüllt diese Anforderung nicht.
Wie lange müssen Belege aufbewahrt werden?
Seit dem 1. Januar 2025 gilt für Buchungsbelege eine Aufbewahrungsfrist von acht Jahren, geändert durch das BEG IV. Die Frist beginnt mit dem Schluss des Kalenderjahres, in dem der Beleg entstanden ist. Handelsbücher, Jahresabschlüsse und Verfahrensdokumentation unterliegen weiterhin der zehnjährigen Frist. Bei laufenden Betriebsprüfungen oder nicht bestandskräftigen Steuerbescheiden verlängern sich die Fristen automatisch.
Was ist der Unterschied zwischen Revisionssicherheit und Versionierung?
Versionierung bedeutet, dass ein Cloud-Dienst frühere Dateiversionen speichert und abrufbar macht. Revisionssicherheit bedeutet, dass das Original nach der Archivierung technisch unveränderbar ist und jede Änderung – auch Metadatenänderungen – vollständig protokolliert wird. Nur Letzteres erfüllt die GoBD. Dropbox, Google Drive und OneDrive bieten Versionierung, aber keine Revisionssicherheit im GoBD-Sinne.
Muss ich für GoBD-Konformität viel Geld ausgeben?
Die Kosten hängen vom System ab. Entscheidend ist nicht der Preis, sondern ob das System die GoBD-Anforderungen technisch und dokumentarisch erfüllt. Wer heute in ein geeignetes System investiert, schützt sich vor Zuschätzungen, die ein Vielfaches der Systemkosten betragen können. Die Frage ist also weniger „Was kostet GoBD-Konformität?“ als „Was kostet GoBD-Nichtkonformität?“
Was das bedeutet
Cloud-Ordner sind gute Werkzeuge. Nur eben nicht für diesen Zweck.
Die GoBD verlangen kein kompliziertes System. Sie verlangen ein nachvollziehbares, manipulationssicheres und dokumentiertes Verfahren. Das ist eine andere Anforderung – und eine, die sich mit den richtigen Werkzeugen auch ohne IT-Abteilung erfüllen lässt.
Wer heute nicht weiß, ob seine Ablage GoBD-konform ist, sollte das herausfinden – bevor es der Prüfer tut.