Papierarchiv revisionssicher und im eigenen Haus: Mit Paperless-ngx ein GoBD-taugliches DMS ohne Cloud-Abo aufbauen

Am Ende dieses Beitrags haben Sie einen klaren, wiederholbaren Bauplan: ein Dokumentenarchiv, das auf Ihrer eigenen Hardware läuft, eingehende Belege per Texterkennung durchsuchbar macht und jede Änderung protokolliert. Kein monatliches Cloud-Abo, keine Datenhaltung auf fremden Servern, sondern ein System, das die Anforderungen der GoBD an Unveränderbarkeit und Nachvollziehbarkeit erfüllen kann. Das richtet sich an Geschäftsführer und IT-Verantwortliche in kleineren Betrieben, die ihr Papier- und PDF-Chaos in den Griff bekommen wollen, ohne sich an einen Anbieter zu binden.

Das Werkzeug dafür heißt Paperless-ngx. Es ist freie, quelloffene Software unter der GNU General Public License v3 und ein von der Community getriebener Fork des eingestellten Projekts paperless-ng. Lizenzkosten fallen keine an. Was Sie investieren, ist etwas Hardware, etwas Strom und ein paar Stunden sauberer Einrichtung. Genau diese Einrichtung beschreibe ich hier als Prozess, den Sie Schritt für Schritt abarbeiten können, statt als loses Sammelsurium von Tipps.

Ich gehe das bewusst als Coach an. Sie sollen am Ende nicht nur wissen, welcher Knopf wo sitzt, sondern verstehen, warum jeder Schritt zählt. Denn die Frage, die ein Geschäftsführer wirklich umtreibt, ist nicht technisch. Sie lautet: Halten meine Unterlagen einer Prüfung stand, und behalte ich die Kontrolle über meine eigenen Daten? Auf genau diese Frage zahlt jeder der folgenden Schritte ein.

Ein Hinweis vorweg, der den ganzen Beitrag trägt: Ich mache keine Rechtsberatung. Welche Belege Sie mit welcher Frist aufbewahren müssen und ob Ihre konkrete Umsetzung im Prüfungsfall trägt, klären Sie mit Ihrem Steuerberater. Was ich liefere, ist der technische und organisatorische Bauplan, mit dem Ihr Berater dann arbeiten kann.

Warum dieser Weg

In meinen Bestandsaufnahmen bei Betrieben dieser Größe sehe ich immer wieder dasselbe Muster. Rechnungen liegen in einem Mailpostfach, Verträge in einem Ordner auf dem Server, Belege in einem Aktenschrank, und niemand findet im Ernstfall das eine Dokument, nach dem der Prüfer fragt. Die Ablage ist gewachsen, nicht geplant. Sie funktioniert, solange niemand sucht.

Gleichzeitig wandern viele in ein Cloud-DMS mit monatlicher Gebühr und merken erst später, dass damit zwei Dinge passiert sind. Erstens liegen ihre gesamten Geschäftsunterlagen auf fremden Servern. Zweitens läuft eine Kostenposition, die sich über die Aufbewahrungsfristen von acht bis zehn Jahren summiert. Wer kündigt, steht vor der Frage, wie er sein Archiv wieder herausbekommt. Genau diese Abhängigkeit will ich Ihnen ersparen.

Paperless-ngx löst beides. Die Texterkennung macht jedes eingescannte Blatt durchsuchbar, die Daten bleiben physisch bei Ihnen, und es entstehen keine laufenden Lizenzkosten. Für Sie als Entscheider heißt das konkret: planbare Kosten statt monatlicher Gebühr, Datensouveränität statt fremder Serverraum, und im Streitfall ein Archiv, das Ihnen gehört. Das ist kein technisches Detail, das ist eine Frage von Kontrolle und Haftung.

Wichtig ist aber die ehrliche Einordnung. Paperless-ngx ist kein Knopf, den Sie drücken und dann GoBD-konform sind. Manche Anbieter verkaufen genau dieses Versprechen. Das ist zu viel versprochen. Die Software liefert die Bausteine für Unveränderbarkeit und Nachvollziehbarkeit. Ob daraus ein revisionssicheres Archiv wird, entscheiden Ihre Konfiguration und Ihre Verfahrensdokumentation. Diese Ehrlichkeit ist kein Verkaufshindernis, sondern der Punkt, an dem sich solide Beratung von Marketing unterscheidet.

Ein zweiter Einwand, der oft kommt: Ist quelloffene Software nicht ein Risiko, weil niemand dafür haftet? In der Praxis ist es eher umgekehrt. Sie sehen den Quellcode, die Entwicklung läuft offen, und Sicherheitslücken werden sichtbar dokumentiert und geschlossen, wie die Version 2.20.15 zeigt. Bei einem geschlossenen Cloud-Dienst wissen Sie oft gar nicht, was unter der Haube passiert oder wann zuletzt nachgebessert wurde. Offenheit ist hier ein Sicherheitsvorteil, kein Mangel.

Sie fragen sich an dieser Stelle vermutlich, ob das nicht einen Server-Admin im Haus voraussetzt. Tut es nicht. Bevor Sie loslegen, brauchen Sie wenig: einen kleinen Linux-Host im eigenen Haus, eine Stunde Ruhe für die Installation und die Bereitschaft, vorher kurz mit dem Steuerberater zu sprechen. Die Schritte unten sind so aufgebaut, dass auch ein technisch versierter Mitarbeiter ohne Spezialwissen sie abarbeiten kann. Genau in dieser Reihenfolge gehen wir vor.

Phase 1: Rahmen klären und Fundament legen

Technik kommt zuletzt, nicht zuerst. Wer mit der Installation beginnt, ohne die Anforderungen zu kennen, baut am Bedarf vorbei und räumt später mit doppeltem Aufwand auf. Die ersten vier Schritte legen deshalb das Fundament: Sie definieren, was das Archiv leisten muss, und stellen die technische Basis bereit. Erst danach geht es an die Inhalte.

1. 1Rechtlichen Rahmen mit dem Steuerberater abstecken: Halten Sie fest, welche Belegarten mit welcher Frist aufbewahrt werden müssen. Nach Paragraf 147 AO gelten gestaffelte Fristen. Buchungsbelege sind acht Jahre aufzubewahren, seit das Vierte Bürokratieentlastungsgesetz die frühere Zehn-Jahres-Frist zum 1. Januar 2025 verkürzt hat. Jahresabschlüsse und Bilanzen bleiben bei zehn Jahren, sonstige Unterlagen wie Handels- und Geschäftsbriefe bei sechs Jahren. Diese Anforderungen definieren das System, nicht umgekehrt. Der Nutzen für Sie: Sie wissen vorher, was Ihr Archiv können muss, statt es später teuer umzubauen, und Ihr Steuerberater kennt von Anfang an das Verfahren, das er im Zweifel mitvertritt.
2. 2E-Rechnungs-Pflicht berücksichtigen: Seit dem 1. Januar 2025 muss jedes inländische Unternehmen E-Rechnungen empfangen können, unabhängig von seiner Größe. Laut Bundesfinanzministerium ist dabei zumindest der strukturierte Teil einer E-Rechnung unversehrt in seiner ursprünglichen Form aufzubewahren. Ausdrucken und Abheften reicht ausdrücklich nicht. Gängige Formate sind XRechnung und ZUGFeRD ab Version 2.0.1 ohne die Profile MINIMUM und BASIC-WL. Der Nutzen: Sie planen von Anfang an ein, dass das XML-Original erhalten bleibt und nicht durch ein erzeugtes PDF ersetzt wird, und vermeiden so einen formalen Mangel, der bei der nächsten Prüfung auffällt.
3. 3Server und Hardware bereitstellen: Sie brauchen einen Linux-Host im eigenen Haus, etwa einen kleinen Mini-PC, ein NAS oder eine virtuelle Maschine. Als Größenordnung gelten rund 2 GB RAM als Minimum, 4 GB sind besser, und für höhere Dokumentvolumina mit parallelem OCR sind 4 CPU-Kerne und 8 GB RAM sinnvoll. Diese Werte sind eine belastbare Größenordnung aus der Praxis, keine offizielle Hardware-Matrix, also lieber etwas großzügiger dimensionieren. Dazu genug Plattenplatz für die Originale plus das PDF/A-Archiv. Installieren Sie Docker und Docker Compose. Der Nutzen: eine stabile Basis, die mit Ihrem Dokumentvolumen mitwächst, statt im ersten Stoßbetrieb in die Knie zu gehen.
4. 4Paperless-ngx per Docker Compose installieren: Nutzen Sie das offizielle Installationsskript oder die docker-compose-Vorlage. Eine produktive Installation besteht typischerweise aus fünf Diensten: dem Webserver (Paperless-ngx selbst), einem Broker (Redis als Vermittler für Hintergrundaufgaben), der Datenbank (PostgreSQL), gotenberg für die Umwandlung von Office-Dateien nach PDF und tika für die Volltextextraktion. PostgreSQL ist im produktiven Mehrbenutzerbetrieb gegenüber der einfachen SQLite-Variante klar zu bevorzugen, weil es gleichzeitige Zugriffe sauber verkraftet. Setzen Sie ausdrücklich die stabile Version 2.20.15 ein, nicht die v3-Beta. Der Nutzen: ein produktionsreifer Stand, auf den Sie Ihr Archiv mit ruhigem Gewissen aufsetzen, statt einer Bastellösung.

Phase 2: Erfassung und Unveränderbarkeit konfigurieren

Jetzt wird aus der Installation ein revisionssicheres Archiv. Die nächsten drei Schritte sorgen dafür, dass Belege durchsuchbar werden und dass sich nachträglich nichts unbemerkt ändern oder verschwinden lässt. Das ist der Kern dessen, was die GoBD unter Unveränderbarkeit verstehen, und der Teil, den die meisten unterschätzen.

1. 1Deutsche OCR und PDF/A-Archivierung aktivieren: Setzen Sie in der Konfiguration PAPERLESS_OCR_LANGUAGE=deu, damit das deutsche Sprachpaket der Open-Source-Engine Tesseract greift. Tesseract erkennt über 100 Sprachen und macht jeden Scan zu durchsuchbarem Text. Paperless-ngx legt jedes Dokument zusätzlich im langzeitstabilen PDF/A-Format neben der unveränderten Originaldatei ab. Damit decken Sie zwei Dinge zugleich ab: die Volltextsuche für den Alltag und die bildliche Übereinstimmung, die Paragraf 147 Absatz 2 AO für lesbar gemachte Wiedergaben verlangt. Der Nutzen: Sie finden jeden Beleg in Sekunden statt nach Minuten Wühlen, und Sie behalten zugleich ein archivtaugliches Format, das in zehn Jahren noch lesbar ist.
2. 2Audit-Log und Papierkorb bewusst setzen: Stellen Sie sicher, dass PAPERLESS_AUDIT_LOG_ENABLED auf true steht. Dieses Änderungsprotokoll ist seit Version 2.7 standardmäßig aktiv und damit auch in der 2.20er-Linie die Basis für die Nachvollziehbarkeit. Es protokolliert jede Änderung mit Benutzer, Datum und Uhrzeit. Gelöschte Dokumente landen zunächst im Papierkorb. Wie lange sie dort bleiben, steuert PAPERLESS_EMPTY_TRASH_DELAY, standardmäßig 30 Tage. Setzen Sie diesen Wert bewusst und richten Sie ein dediziertes Löschverzeichnis als Sicherheitsnetz ein. Der Nutzen: Jeder Eingriff ist dokumentiert, und nichts ist mit einem Klick unwiederbringlich weg. Im Prüfungsfall ist das Protokoll Ihr Nachweis, dass am Bestand nicht heimlich geschraubt wurde.
3. 3Löschrechte einschränken und das Vier-Augen-Prinzip einziehen: Normale Benutzer dürfen keine Dokumente endgültig löschen. Vergeben Sie Berechtigungen so, dass nur ein Administrator oder eine zweite Instanz endgültig entfernen kann. In der Praxis arbeitet man dafür mit einem LÖSCHEN-Tag statt mit direktem Löschen, das ein Verantwortlicher dann prüft, bevor er es ausführt. Das setzt die organisatorische Seite der Unveränderbarkeit um, die die GoBD ausdrücklich neben der softwareseitigen anerkennen. Der Nutzen: Ein versehentlicher oder unbefugter Löschvorgang wird zur Ausnahme, die jemand bewusst freigeben muss. Sie sehen im Ernstfall sofort, wer wann was wollte. Das ist Ihr Haftungsnachweis, nicht bloß Komfort.

Phase 3: Absichern, dokumentieren und im Betrieb halten

Ein Archiv ist erst dann etwas wert, wenn es einen Festplattenausfall überlebt und wenn ein sachverständiger Dritter nachvollziehen kann, wie es funktioniert. Die letzten beiden Schritte sichern den Bestand und halten das System über Jahre sauber. Sie sind unspektakulär und genau deshalb die, die am häufigsten liegenbleiben.

1. 1Backup- und Wiederherstellungskonzept einrichten: Sichern Sie regelmäßig und versioniert die Datenbank, die Originaldateien und die Konfiguration, etwa über den mitgelieferten document_exporter oder ein Volume-Backup. Die Aufbewahrung muss die gesamte gesetzliche Frist von acht bis zehn Jahren überdauern, und es braucht mindestens ein Offsite- oder Offline-Backup, das auch einen Brand oder einen Verschlüsselungstrojaner übersteht. Entscheidend ist der Teil, den die meisten vergessen: Testen Sie die Wiederherstellung. Ein Backup, das nie zurückgespielt wurde, ist eine Vermutung, kein Sicherheitsnetz. Der Nutzen: Datenverlust über die lange Frist hinweg wird zum kalkulierbaren Restrisiko statt zum existenziellen GoBD-Verstoß. Glück ist keine dokumentierte Maßnahme.
2. 2Verfahrensdokumentation erstellen und Updates pflegen: Dokumentieren Sie verbindlich, wie Belege erfasst, verarbeitet, indexiert, archiviert, gelöscht und gesichert werden, inklusive Zuständigkeiten und Schnittstellen etwa zu DATEV oder lexoffice. Eine Verfahrensdokumentation ist nach GoBD verpflichtend, keine freiwillige Zugabe, und sie muss für einen sachverständigen Dritten nachvollziehbar sein. Sie besteht aus vier Bausteinen: allgemeine Beschreibung, Anwender-, technische System- und Betriebsdokumentation. Parallel dazu spielen Sie Sicherheitsupdates wie 2.20.15 zeitnah ein, sichern den Zugriff per HTTPS und Reverse-Proxy ab und legen vor jedem Update ein Backup an. Der Nutzen: Ihr Archiv bleibt im Prüfungsfall verteidigungsfähig und im Alltag sicher, und niemand muss im Notfall raten, wie das System eigentlich gedacht war.

Häufige Fallstricke

Die meisten Probleme entstehen nicht bei der Installation, sondern bei den Annahmen drumherum. Genau hier trennt sich ein sauber laufendes Archiv von einem, das im Prüfungsfall auseinanderfällt. Hier die Stolpersteine, die ich am häufigsten sehe, jeweils mit dem Gegenmittel.

• Die Annahme, das System sei zertifiziert. Eine echte GoBD-Zertifizierung existiert für kein Dokumentensystem, auch nicht für Paperless-ngx. Konformität entsteht erst durch Ihre Konfiguration und Ihre Verfahrensdokumentation. Gegenmittel: Behandeln Sie GoBD-Tauglichkeit als Ihre Aufgabe, nicht als Produktmerkmal, und lassen Sie sich von keinem Anbieter ein Siegel verkaufen, das es nicht gibt.
• E-Rechnungen nur als Ausdruck oder Scan ablegen. Der strukturierte XML-Teil einer XRechnung oder ZUGFeRD-Rechnung muss unversehrt im Originalformat erhalten bleiben. Gegenmittel: Importieren Sie die Original-Datei und lassen Sie das PDF/A daneben entstehen, statt das Original durch einen Ausdruck zu ersetzen.
• Endgültiges Löschen durch normale Nutzer zulassen. Das verletzt die Unveränderbarkeit direkt. Gegenmittel: Löschrechte einschränken, Papierkorb und Backups als Nachweisnetz nutzen.
• Die Verfahrensdokumentation vergessen. Ohne sie ist Ihr Archiv im Prüfungsfall angreifbar, selbst wenn die Technik sauber läuft. Gegenmittel: Schreiben Sie sie parallel zur Einrichtung, nicht irgendwann später, wenn niemand mehr die Details erinnert.
• Die v3-Beta produktiv einsetzen. Sie enthält Breaking Changes und ist nicht stabil. Gegenmittel: Auf 2.20.x bleiben, bis v3 als Stable freigegeben und in einer Testumgebung geprüft ist.
• Backups nur lokal und unversioniert halten. Ein einzelner Defekt oder ein Trojaner kann dann den gesamten Bestand kosten. Gegenmittel: versionierte Backups, eine Offsite-Kopie und ein getesteter Restore.
• Aufbewahrungsfristen pauschal verkürzen. Buchungsbelege sind jetzt acht Jahre aufzubewahren, Jahresabschlüsse aber weiterhin zehn. Gegenmittel: Fristen je Belegart sauber trennen, am besten mit dem Steuerberater abgestimmt.

Mein Fazit

Paperless-ngx ist kein Versprechen, sondern ein Werkzeug. Es löst das Auffinde-Problem, es hält Ihre Daten im Haus, und es liefert mit Audit-Log, Papierkorb und PDF/A genau die Bausteine, die die GoBD an Unveränderbarkeit und Nachvollziehbarkeit stellen. Den entscheidenden Unterschied machen aber nicht die Bausteine, sondern wie Sie sie zusammensetzen.

Wer die neun Schritte sauber abarbeitet, hat am Ende ein durchsuchbares, abgesichertes Archiv ohne laufendes Abo und ohne fremde Datenhaltung. Wer die Verfahrensdokumentation und die getesteten Backups weglässt, hat ein bequemes Suchwerkzeug, aber kein revisionssicheres Archiv. Der Aufwand steckt nicht in der Software, er steckt in der Disziplin drumherum.

Genau das ist die ehrliche Botschaft, mit der ich Sie aus diesem Beitrag entlasse: Die Technik ist kostenlos, die Sorgfalt nicht. Wenn Sie diese Sorgfalt einmal investieren, haben Sie danach ein Archiv, das Ihnen gehört, das Sie in Sekunden durchsuchen und das einer Prüfung standhält. Das ist die Ruhe, die ein gut gebautes System gibt.