Cloud-Archivierung: GeBÜV-Konformität, WORM-Prinzip und Anbieterwahl

Definition8 min LesezeitAktualisiert 20. April 2026

Cloud-Archivierung ist revisionssicher wenn GeBÜV-Anforderungen erfüllt sind – unveränderlich, 10 Jahre abrufbar, exportierbar; Standard-Cloud-Ordner genügen ohne Konfiguration nicht. Für Schweizer KMU stellt sich damit eine zentrale Frage: Welche technischen und vertraglichen Voraussetzungen muss ein Cloud-Dienst erfüllen, damit die Belegablage einer Revision standhält? Diese Seite erklärt die Anforderungen gemäss GeBÜV Art. 9–10 und zeigt, welche Anbieter konform sind und wo typische Lücken entstehen.

Die wichtigsten Infos auf einen Blick

1.Revisionssichere Cloud-Archivierung erfordert technischen Lösch- und Änderungsschutz nach dem WORM-Prinzip (Write Once, Read Many).

2.Die GeBÜV verlangt in Art. 9–10, dass archivierte Belege während der gesamten Aufbewahrungsfrist von 10 Jahren unverändert und jederzeit lesbar bleiben.

3.Standard-Cloud-Dienste wie Dropbox oder Google Drive sind ohne Zusatzkonfiguration nicht GeBÜV-konform, da Dateien manuell gelöscht oder überschrieben werden können.

4.Der Vertrag mit dem Cloud-Anbieter muss die 10-jährige Datensicherung, Datenportabilität und den Speicherort Schweiz explizit regeln.

5.Eine formelle GeBÜV-Zertifizierung existiert in der Schweiz nicht, doch anerkannte Standards wie ISO 27001 oder ISAE 3402 erhöhen die Nachweissicherheit.

01.Was revisionssichere Cloud-Archivierung bedeutet

Revisionssicherheit bedeutet, dass ein archiviertes Dokument nachträglich weder verändert noch gelöscht werden kann und während der gesamten gesetzlichen Aufbewahrungsfrist von 10 Jahren (Art. 958f OR) jederzeit lesbar und reproduzierbar bleibt. Im Cloud-Kontext wird dieses Prinzip als WORM (Write Once, Read Many) bezeichnet: Ein Beleg wird einmal geschrieben und kann danach nur noch gelesen, aber nicht mehr überschrieben oder entfernt werden.

Unveränderlichkeit: Jeder archivierte Beleg muss in seinem Originalzustand erhalten bleiben. Nachträgliche Änderungen am Inhalt, an Metadaten oder am Dateinamen sind technisch ausgeschlossen.
10-jährige Abrufbarkeit: Die GeBÜV Art. 9 verlangt, dass Belege während der gesamten Aufbewahrungsfrist innert nützlicher Frist dargestellt und geprüft werden können. Ein Archiv, das nach Vertragsende Daten löscht, erfüllt diese Anforderung nicht.
Exportierbarkeit: Belege müssen in einem allgemein gebräuchlichen Format (z. B. PDF/A, TIFF) exportiert werden können. Proprietäre Formate, die nur mit der Software des Anbieters lesbar sind, genügen nicht.
Lösch- und Änderungsschutz: Das System muss technisch verhindern, dass Benutzer – auch Administratoren – Belege innerhalb der Schutzfrist löschen oder verändern können. Ein reiner Papierkorb-Schutz reicht nicht aus.
Zertifizierte Lösung empfohlen: Obwohl keine offizielle GeBÜV-Zertifizierung existiert, empfiehlt die Praxis Anbieter mit anerkannten Standards wie ISO 27001 oder ISAE 3402. Diese erleichtern den Nachweis gegenüber Revisoren erheblich.

Ein Beispiel verdeutlicht die Konsequenz: Ein KMU archiviert Spesenbelege in einem Cloud-Ordner ohne WORM-Schutz. Bei einer Revision stellt die Steuerbehörde fest, dass einzelne Belege nachträglich ersetzt wurden. Die Beweiskraft der gesamten Belegablage ist damit in Frage gestellt, und die Behörde kann eine Ermessensveranlagung vornehmen.

Wichtigste Punkte:

Revisionssicherheit erfordert technischen WORM-Schutz, nicht bloss organisatorische Massnahmen.

Belege müssen 10 Jahre lang unveränderlich, abrufbar und in einem gängigen Format exportierbar sein.

Ohne nachweisbaren Löschschutz kann die Beweiskraft der gesamten Belegablage bei einer Revision entfallen.

02.Technische Anforderungen

Die GeBÜV Art. 9–10 definiert die technischen Mindestanforderungen an die Aufbewahrung geschäftsrelevanter Unterlagen auf veränderbaren Datenträgern – und Cloud-Speicher zählen dazu. Ein konformes System muss mehrere technische Schichten kombinieren, um die Integrität der Belege über die gesamte Aufbewahrungsfrist sicherzustellen.

Anforderung	Beschreibung	Zweck
Versionsschutz (Immutability)	Gespeicherte Dateien können innerhalb der definierten Schutzfrist nicht überschrieben oder gelöscht werden.	Verhindert nachträgliche Manipulation von Belegen.
Audit-Log (Protokollierung)	Jeder Zugriff, jede Aktion und jeder Systemvorgang wird lückenlos und unveränderbar protokolliert.	Ermöglicht die Nachvollziehbarkeit bei Revisionen.
Backup an separatem Standort	Eine vollständige Kopie der Daten wird an einem geografisch getrennten Standort aufbewahrt.	Schützt vor Datenverlust durch Standortausfälle oder Katastrophen.
Keine manuelle Löschung	Weder Endbenutzer noch Administratoren können Belege innerhalb der Schutzfrist manuell entfernen.	Schliesst menschliche Fehler und absichtliche Manipulation aus.
Integritätsprüfung (Checksummen)	Beim Speichern wird ein Hash-Wert erzeugt, der bei jedem Abruf automatisch geprüft wird.	Erkennt unbemerkte Datenveränderungen oder Speicherfehler.

Technische Mindestanforderungen gemäss GeBÜV

Besonders kritisch ist die Unterscheidung zwischen logischem und physischem Löschschutz. Ein System, das Dateien lediglich aus der Benutzeroberfläche ausblendet, sie aber auf Datenbankebene weiterhin löschbar hält, erfüllt die GeBÜV-Anforderungen nicht. Der Schutz muss auf Storage-Ebene greifen, beispielsweise durch Immutable Blob Storage oder vergleichbare Technologien.

Wichtigste Punkte:

Versionsschutz, Audit-Log, separates Backup und Löschsperre bilden die vier technischen Grundpfeiler.

Der Löschschutz muss auf Storage-Ebene greifen – ein blosses Ausblenden in der Benutzeroberfläche genügt nicht.

Checksummen stellen sicher, dass Belege über 10 Jahre hinweg unverändert bleiben.

Spesenbelege revisionssicher in der Cloud archivieren mit der Spesen App→ Spesenbelege erfassen, einreichen, prüfen und freigeben.

Mehr erfahren →

03.Konformer vs. nicht-konformer Anbieter

Nicht jeder Cloud-Dienst eignet sich für die revisionssichere Belegablage. Entscheidend ist, ob der Anbieter die oben beschriebenen technischen Anforderungen nativ oder über konfigurierbare Module erfüllt. Die folgende Übersicht zeigt gängige Lösungen und deren Konformitätsstatus.

Anbieter / Lösung	GeBÜV-konform?	Begründung
Microsoft Azure Immutable Blob Storage	Ja	WORM-Policies auf Container-Ebene; zeitbasierte Aufbewahrungsrichtlinien; Audit-Log integriert.
Abacus (DMS-Modul)	Ja	Schweizer Lösung mit integriertem Archiv; Versionierung und Löschschutz ab Werk; Rechenzentren in der Schweiz.
SAP Document Management	Ja	Revisionssichere Archivierung über zertifizierte Archivschnittstelle (ArchiveLink); konfigurierbare Aufbewahrungsfristen.
Dropbox Business	Nein (ohne Zusatz)	Dateien können jederzeit gelöscht oder überschrieben werden; kein WORM-Schutz; Versionierung dient der Wiederherstellung, nicht der Unveränderlichkeit.
Google Drive / Workspace	Nein (ohne Zusatz)	Keine Immutability-Funktion; Administratoren können Dateien endgültig löschen; kein Audit-Log auf Dateiebene im Standardpaket.
OneDrive for Business	Nein (ohne Zusatz)	Ähnlich wie Dropbox: Versionierung vorhanden, aber kein Löschschutz; erst in Kombination mit Microsoft Purview Compliance teilweise konform.

Vergleich: Konforme und nicht-konforme Cloud-Lösungen

Wichtig: Die Einstufung als nicht-konform bedeutet nicht, dass diese Dienste grundsätzlich ungeeignet sind. Dropbox oder Google Drive können als Zwischenspeicher für den Belegeingang dienen, sofern die Belege anschliessend in ein revisionssicheres Archivsystem überführt werden. Die Kombination aus Erfassungstool und konformem Archiv ist in der Praxis weit verbreitet.

Wichtigste Punkte:

Azure Immutable Storage, Abacus und SAP erfüllen die GeBÜV-Anforderungen nativ oder über konfigurierbare Module.

Dropbox, Google Drive und OneDrive sind ohne Zusatzkonfiguration nicht revisionssicher.

Standard-Cloud-Speicher können als Zwischenspeicher dienen, wenn Belege danach in ein konformes Archiv überführt werden.

04.Vertragsregelungen

Technische Konformität allein reicht nicht aus. Der Vertrag mit dem Cloud-Anbieter muss sicherstellen, dass die revisionssichere Archivierung über die gesamte gesetzliche Aufbewahrungsfrist gewährleistet bleibt – auch bei Anbieterwechsel, Insolvenz oder Vertragsänderungen.

10-jährige Datensicherung: Der Vertrag muss explizit festhalten, dass die archivierten Daten mindestens 10 Jahre ab dem Ende des Geschäftsjahres aufbewahrt werden. Verträge mit kürzerer Laufzeit benötigen eine verbindliche Verlängerungsklausel oder eine Regelung zur Datenübergabe bei Vertragsende.
Datenportabilität: Der Anbieter muss garantieren, dass sämtliche Belege jederzeit in einem standardisierten Format (z. B. PDF/A, CSV für Metadaten) exportiert werden können. Eine Abhängigkeit von proprietären Formaten widerspricht der GeBÜV Art. 10.
Schweizer Datenspeicherung (DSG): Das revidierte Datenschutzgesetz (DSG) verlangt, dass Personendaten nur in Länder mit angemessenem Datenschutzniveau übermittelt werden. Spesenbelege enthalten regelmässig Personendaten (Name, Reiseziel, Kreditkartendaten). Ein Rechenzentrumsstandort in der Schweiz eliminiert dieses Risiko vollständig.
Insolvenzschutz: Der Vertrag sollte regeln, was bei einer Insolvenz des Anbieters mit den archivierten Daten geschieht. Idealerweise wird ein Escrow-Mechanismus vereinbart, der den Zugriff auf die Daten auch im Konkursfall sicherstellt.
Service Level Agreement (SLA): Die Verfügbarkeit des Archivs muss vertraglich definiert sein. Eine Verfügbarkeit von mindestens 99.5 % sowie maximale Wiederherstellungszeiten (RTO) sind branchenüblich und sollten schriftlich festgehalten werden.

Ein konkretes Szenario: Ein KMU schliesst einen 3-Jahres-Vertrag mit einem Cloud-Archiv-Anbieter ab. Nach Vertragsende wechselt es den Anbieter, ohne die archivierten Belege zu migrieren. Sieben Jahre später verlangt die Steuerbehörde Einsicht in Spesenbelege aus dem betreffenden Zeitraum. Ohne Datenportabilitätsklausel und ohne Zugriff auf das alte Archiv fehlt der Nachweis – mit potenziell erheblichen steuerlichen Konsequenzen.

Wichtigste Punkte:

Die 10-jährige Aufbewahrungsfrist muss vertraglich abgesichert sein, nicht nur technisch.

Datenportabilität in Standardformaten ist Pflicht, um Anbieterabhängigkeit zu vermeiden.

Spesenbelege enthalten Personendaten – ein Schweizer Rechenzentrumsstandort vereinfacht die DSG-Konformität erheblich.

Spesenbelege revisionssicher in der Cloud archivieren

Starte jetzt mit der Spesen App und der Spesen App Cloud – die smarte Lösung für Unternehmen. Spesenbelege erfassen, einreichen, prüfen und freigeben. Alles digital, alles im Griff.

Mehr erfahren →

05.Häufige Fehler

Fehler 1: Standard-Cloud-Ordner als Archiv verwenden

Viele KMU speichern Spesenbelege in gewöhnlichen Dropbox- oder Google-Drive-Ordnern und gehen davon aus, dass dies als Archivierung genügt. Ohne WORM-Schutz und Audit-Log erfüllen diese Ordner die GeBÜV-Anforderungen nicht. Die Belege müssen in ein System mit technischem Löschschutz überführt werden.

Fehler 2: Vertragslaufzeit kürzer als Aufbewahrungsfrist

Ein Cloud-Vertrag über 3 oder 5 Jahre deckt die gesetzliche 10-Jahres-Frist nicht ab. Wird der Vertrag nicht verlängert oder fehlt eine Datenübergabeklausel, gehen archivierte Belege bei Vertragsende verloren. Bereits bei Vertragsabschluss muss die gesamte Aufbewahrungsfrist berücksichtigt werden.

Fehler 3: Kein separates Backup an einem zweiten Standort

Ein einzelner Rechenzentrumsstandort bietet keinen ausreichenden Schutz gegen Datenverlust durch Brand, Überschwemmung oder technische Ausfälle. Die GeBÜV verlangt, dass die Reproduzierbarkeit der Daten jederzeit gewährleistet ist. Ein georedundantes Backup ist daher zwingend.

Fehler 4: Fehlende Datenportabilität prüfen

Manche Anbieter speichern Belege in proprietären Formaten, die nur mit der eigenen Software lesbar sind. Bei einem Anbieterwechsel können die Daten dann nicht migriert werden. Vor Vertragsabschluss sollte ein Testexport in PDF/A oder einem vergleichbaren Standardformat durchgeführt werden.

Fehler 5: Audit-Log nicht aktiviert oder nicht geschützt

Einige Cloud-Lösungen bieten Protokollierungsfunktionen an, die jedoch manuell aktiviert werden müssen. Wird das Audit-Log nicht eingeschaltet oder ist es selbst löschbar, fehlt bei einer Revision der Nachweis über die Integrität der Belegablage. Das Log muss automatisch und unveränderbar geführt werden.

06.Häufige Fragen

Brauche ich eine GeBÜV-Zertifizierung vom Cloud-Anbieter?

Eine offizielle GeBÜV-Zertifizierung existiert in der Schweiz nicht. Es gibt keine staatliche Stelle, die Cloud-Anbieter auf GeBÜV-Konformität prüft und zertifiziert. Anbieter mit anerkannten Standards wie ISO 27001 oder ISAE 3402 bieten jedoch eine solide Grundlage für den Nachweis gegenüber Revisoren. Entscheidend ist, dass die technischen Anforderungen (WORM, Audit-Log, Backup) nachweislich erfüllt sind.

Darf ich Spesenbelege in einer Cloud ausserhalb der Schweiz archivieren?

Grundsätzlich ja, sofern das Zielland ein angemessenes Datenschutzniveau bietet (z. B. EU/EWR-Staaten gemäss DSG-Länderliste). Spesenbelege enthalten jedoch regelmässig Personendaten wie Namen und Reiseziele. Ein Schweizer Rechenzentrumsstandort vermeidet Abklärungen zur Datenübermittlung und vereinfacht die Compliance erheblich.

Reicht die Versionierung von Dropbox oder Google Drive als Revisionssicherheit?

Nein. Die Versionierung dieser Dienste dient der Wiederherstellung versehentlich geänderter Dateien, nicht der Unveränderlichkeit. Benutzer und Administratoren können Versionen und Dateien jederzeit endgültig löschen. Revisionssicherheit erfordert einen technischen Löschschutz auf Storage-Ebene, den diese Dienste im Standardpaket nicht bieten.

Was passiert mit meinen archivierten Belegen, wenn der Cloud-Anbieter insolvent wird?

Ohne vertragliche Regelung besteht das Risiko, dass die Daten im Konkursverfahren nicht mehr zugänglich sind. Empfehlenswert ist eine Escrow-Vereinbarung, die den Datenzugriff auch bei Insolvenz sicherstellt. Zusätzlich sollten regelmässige lokale Exporte als Sicherheitskopie erstellt werden.

Wie stelle ich sicher, dass mein Cloud-Archiv nach 10 Jahren noch lesbar ist?

Verwenden Sie ausschliesslich standardisierte Langzeitformate wie PDF/A für Belege und CSV oder XML für Metadaten. Proprietäre Formate können nach 10 Jahren möglicherweise nicht mehr geöffnet werden. Prüfen Sie zudem vertraglich, dass der Anbieter Formatmigrationen durchführt, falls ein Format während der Aufbewahrungsfrist veraltet.

Die wichtigsten Punkte zusammengefasst:

1.Revisionssichere Cloud-Archivierung erfordert technischen WORM-Schutz (Write Once, Read Many), der nachträgliche Änderungen und Löschungen auf Storage-Ebene verhindert.

2.Die GeBÜV Art. 9–10 verlangt Unveränderlichkeit, 10-jährige Abrufbarkeit, Exportierbarkeit in Standardformaten und lückenlose Protokollierung aller Zugriffe.

3.Standard-Cloud-Dienste wie Dropbox, Google Drive oder OneDrive sind ohne Zusatzkonfiguration nicht GeBÜV-konform und dürfen nur als Zwischenspeicher dienen.

4.Konforme Lösungen wie Azure Immutable Blob Storage, Abacus oder SAP bieten WORM-Policies, Audit-Logs und konfigurierbare Aufbewahrungsfristen nativ an.

5.Der Vertrag mit dem Cloud-Anbieter muss die 10-jährige Datensicherung, Datenportabilität, Insolvenzschutz und den Rechenzentrumsstandort explizit regeln.

6.Spesenbelege enthalten Personendaten – ein Schweizer Rechenzentrumsstandort vereinfacht die Einhaltung des DSG erheblich.

7.Eine offizielle GeBÜV-Zertifizierung existiert nicht; anerkannte Standards wie ISO 27001 oder ISAE 3402 dienen als Nachweis gegenüber Revisoren.

8.Regelmässige lokale Exporte und georedundante Backups schützen vor Datenverlust bei Anbieterinsolvenz oder technischen Ausfällen.

07.Weiterführende Artikel

Aufbewahrungspflicht für Spesenbelege (2026)Übersicht & Leitfaden

Spesenbelege müssen 10 Jahre aufbewahrt werden – digitale Kopien sind zulässig, wenn sie revisionssicher gespeichert und jederzeit lesbar sind.

Digitale Belege aufbewahren nach GeBÜV (2026)Leitfaden

GeBÜV-konforme digitale Aufbewahrung erfordert unveränderliche, 10-jährig abrufbare Speicherung – die Verantwortung bleibt auch bei Cloud-Nutzung beim Unternehmen.