Spesenbelege in der Cloud aufbewahren: GeBÜV-Konformität und Verantwortung
Cloud-Aufbewahrung von Spesenbelegen ist GeBÜV-konform wenn Unveränderlichkeit, 10-jährige Abrufbarkeit und Exportierbarkeit sichergestellt sind – normale Cloud-Ordner genügen nicht. Viele KMU speichern Belege bereits digital, unterschätzen aber die konkreten technischen Anforderungen der Geschäftsbücherverordnung (GeBÜV). Diese Seite erklärt, welche Kriterien eine Cloud-Lösung erfüllen muss, welche verbreiteten Tools nicht ausreichen und wer bei Mängeln haftet.
01.Wann Cloud-Aufbewahrung GeBÜV-konform ist
Die Geschäftsbücherverordnung (GeBÜV) regelt in Art. 9 und 10, unter welchen Bedingungen geschäftsrelevante Unterlagen auf veränderbaren Datenträgern – also auch in der Cloud – aufbewahrt werden dürfen. Spesenbelege fallen als Buchungsbelege unter die Aufbewahrungspflicht gemäss Art. 958f OR. Damit eine Cloud-Lösung rechtskonform ist, müssen vier zentrale Anforderungen gleichzeitig erfüllt sein.
- Unveränderlichkeit (Integrität): Gespeicherte Belege dürfen nachträglich weder verändert noch gelöscht werden können. Die GeBÜV verlangt dafür entweder einen Write-Once-Speicher (WORM) oder einen lückenlosen Audit-Trail, der jede Änderung protokolliert und die Originalversion jederzeit rekonstruierbar macht.
- 10-jährige Verfügbarkeit: Die Belege müssen während der gesamten gesetzlichen Aufbewahrungsfrist von zehn Jahren ab Ende des Geschäftsjahres jederzeit abrufbar sein. Der Cloud-Anbieter muss vertraglich garantieren, dass die Daten über diesen Zeitraum verfügbar bleiben – auch bei Tarifänderungen oder Produktumstellungen.
- Exportierbarkeit: Die Revisionsstelle und die Steuerbehörden müssen Belege in einem gängigen Format (z.B. PDF, TIFF) exportieren und prüfen können. Proprietäre Formate, die nur innerhalb einer bestimmten Anwendung lesbar sind, genügen nicht.
- Schutz vor Datenverlust: Der Anbieter muss redundante Speicherung und regelmässige Backups gewährleisten. Ein einzelner Serverstandort ohne Replikation stellt ein unzulässiges Risiko dar. Idealerweise befinden sich die Rechenzentren in der Schweiz oder im EWR-Raum, um auch datenschutzrechtliche Anforderungen nach dem revidierten DSG zu erfüllen.
Erfüllt eine Cloud-Lösung alle vier Kriterien, steht sie einer lokalen Archivierung rechtlich gleich. Die Beweiskraft der digital gespeicherten Belege entspricht dann derjenigen von Papieroriginalen.
02.Was nicht ausreicht
Viele Unternehmen nutzen bereits Cloud-Dienste für die tägliche Zusammenarbeit und gehen davon aus, dass diese auch für die Belegarchivierung genügen. Das ist in den meisten Fällen ein Irrtum. Die gängigen Consumer- und Business-Cloud-Produkte sind für Kollaboration konzipiert – nicht für rechtsverbindliche Langzeitarchivierung.
Verbreitete Cloud-Lösungen und ihre GeBÜV-Konformität
Selbst SharePoint mit aktiviertem Retention Lock erfordert eine sorgfältige Konfiguration durch Fachpersonen. Wird die Retention Policy falsch eingerichtet oder nachträglich geändert, entfällt die Konformität. Für KMU ohne eigene IT-Abteilung ist dieser Weg in der Praxis oft zu aufwändig und fehleranfällig.
Spesenbelege GeBÜV-konform in der Cloud archivieren mit der Spesen App→ Spesenbelege erfassen, einreichen, prüfen und freigeben.
Mehr erfahren →03.Wer verantwortlich ist
Die Aufbewahrungspflicht gemäss Art. 958f OR trifft das buchführungspflichtige Unternehmen. Wer einen Cloud-Anbieter nutzt, delegiert die technische Speicherung – nicht die rechtliche Verantwortung. Bei einer Steuerrevision oder einem Rechtsstreit muss das Unternehmen die Belege vorlegen können. Kann es das nicht, trägt es die Konsequenzen, unabhängig davon, ob der Cloud-Anbieter einen Fehler verursacht hat.
- Vertragsklauseln prüfen: Der Vertrag mit dem Cloud-Anbieter sollte explizit die Aufbewahrungsdauer, die Unveränderlichkeit der Daten, die Verfügbarkeitsgarantie (SLA) und das Recht auf vollständigen Datenexport regeln. Fehlen diese Klauseln, besteht ein erhebliches Compliance-Risiko.
- Anbieter-Konkurs: Geht der Cloud-Anbieter in Konkurs, können gespeicherte Daten Teil der Konkursmasse werden oder unzugänglich werden. Das Unternehmen muss deshalb regelmässig lokale Sicherungskopien erstellen oder einen Escrow-Vertrag abschliessen, der den Datenzugang im Konkursfall sicherstellt.
- Anbieterwechsel: Beim Wechsel des Cloud-Anbieters muss die lückenlose Aufbewahrungskette gewahrt bleiben. Belege aus dem alten System müssen entweder vollständig migriert oder im bisherigen System bis zum Ablauf der 10-Jahres-Frist weiter zugänglich gehalten werden.
Ein konkretes Beispiel: Ein KMU mit 15 Mitarbeitenden nutzt seit 2020 einen Cloud-Dienst für Spesenbelege. 2026 stellt der Anbieter sein Produkt ein. Ohne vorherigen Datenexport fehlen dem Unternehmen sämtliche Belege der Geschäftsjahre 2020 bis 2025 – und damit sechs Jahre an Nachweisen, die bei einer Revision vorgelegt werden müssten.
04.Spesen-Apps mit Cloud-Archivierung
Spezialisierte Spesen-Apps lösen das Archivierungsproblem für KMU am effizientesten, weil sie die GeBÜV-konforme Speicherung direkt in den Erfassungsprozess integrieren. Der Beleg wird beim Fotografieren automatisch in ein revisionssicheres Archiv überführt – mit Zeitstempel, Hash-Wert und Löschschutz. Ein separates Dokumentenmanagement- oder Archivsystem entfällt.
Vergleich: Eigene Cloud-Lösung vs. Spesen-App mit Archivierung
Für KMU mit bis zu 50 Mitarbeitenden ist eine Spesen-App mit integrierter Archivierung in der Regel die wirtschaftlichste und sicherste Lösung. Sie vermeidet Konfigurationsfehler, reduziert den administrativen Aufwand und stellt sicher, dass jeder erfasste Beleg automatisch die gesetzlichen Anforderungen erfüllt. Bei der Auswahl sollte darauf geachtet werden, dass der Anbieter die Daten in Schweizer Rechenzentren speichert und einen vollständigen Datenexport ermöglicht.
05.Häufige Fehler
Fehler 1: Spesenbelege nur in Dropbox oder Google Drive ablegen
Consumer-Cloud-Dienste bieten keinen Löschschutz und keinen revisionssicheren Audit-Trail. Bei einer Steuerrevision werden so gespeicherte Belege nicht als ordnungsgemäss aufbewahrt anerkannt. Nutzen Sie stattdessen eine Lösung mit WORM-Speicher oder integriertem Löschschutz.
Fehler 2: Keine vertragliche Regelung der Aufbewahrungsdauer mit dem Cloud-Anbieter
Ohne explizite Vertragsklausel kann der Anbieter Daten nach Vertragsende löschen – auch wenn die 10-Jahres-Frist noch läuft. Prüfen Sie vor Vertragsabschluss, ob die Aufbewahrungsdauer, der Datenexport und die Verfügbarkeitsgarantie schriftlich geregelt sind.
Fehler 3: Verantwortung auf den Cloud-Anbieter abwälzen
Die gesetzliche Aufbewahrungspflicht liegt beim Unternehmen, nicht beim Dienstleister. Geht der Anbieter in Konkurs oder löscht Daten versehentlich, haftet das Unternehmen gegenüber der Steuerbehörde. Erstellen Sie regelmässig lokale Sicherungskopien als Absicherung.
Fehler 4: Belege in proprietären Formaten speichern
Werden Belege in einem Format gespeichert, das nur innerhalb einer bestimmten Software lesbar ist, fehlt die geforderte Exportierbarkeit gemäss GeBÜV. Speichern Sie Belege immer zusätzlich als PDF oder TIFF, damit die Revisionsstelle sie unabhängig prüfen kann.
Fehler 5: Beim Anbieterwechsel die Aufbewahrungskette unterbrechen
Werden Belege beim Wechsel des Cloud-Anbieters nicht vollständig migriert, entstehen Lücken in der Dokumentation. Stellen Sie sicher, dass alle Belege entweder ins neue System überführt oder im alten System bis zum Ablauf der Aufbewahrungsfrist zugänglich bleiben.
06.Häufige Fragen
Ist iCloud oder OneDrive GeBÜV-konform für Spesenbelege?
Nein, weder iCloud noch OneDrive in der Standardkonfiguration erfüllen die GeBÜV-Anforderungen. Beide Dienste erlauben das nachträgliche Löschen und Verändern von Dateien und bieten keinen revisionssicheren Audit-Trail. Für die Aufbewahrung von Spesenbelegen benötigen Sie eine Lösung mit Löschschutz und lückenloser Protokollierung.
Müssen Cloud-gespeicherte Spesenbelege in der Schweiz gehostet werden?
Die GeBÜV schreibt keinen Schweizer Serverstandort vor. Allerdings verlangt das revidierte Datenschutzgesetz (DSG), dass bei einer Übermittlung ins Ausland ein angemessenes Datenschutzniveau gewährleistet ist. Für KMU ist ein Schweizer Rechenzentrum die einfachste Lösung, um sowohl GeBÜV als auch DSG zu erfüllen.
Kann ich Spesenbelege nach dem Scan in die Cloud das Papieroriginal vernichten?
Ja, sofern der Scan-Prozess die Anforderungen der GeBÜV erfüllt: Der digitale Beleg muss vollständig, unverändert und in einem gängigen Format gespeichert sein. Die Cloud-Lösung muss die Unveränderlichkeit garantieren. Erst wenn diese Bedingungen erfüllt sind, darf das Papieroriginal vernichtet werden.
Wie weise ich bei einer Revision nach, dass meine Cloud-Belege unverändert sind?
Der Nachweis erfolgt über den Audit-Trail der Cloud-Lösung, der jeden Zugriff und jede Aktion protokolliert. Zusätzlich können Hash-Werte (digitale Fingerabdrücke) belegen, dass eine Datei seit der Ersterfassung nicht verändert wurde. Die Revisionsstelle prüft diese Protokolle im Rahmen der ordentlichen Revision.
Was passiert, wenn mein Cloud-Anbieter den Dienst einstellt?
Sie müssen alle Belege vor der Abschaltung vollständig exportieren und in eine andere konforme Lösung überführen. Seriöse Anbieter gewähren eine Übergangsfrist von mindestens 90 Tagen. Prüfen Sie diese Frist bereits bei Vertragsabschluss und erstellen Sie regelmässig lokale Backups als zusätzliche Absicherung.
Genügt eine verschlüsselte ZIP-Datei auf einem Cloud-Speicher?
Nein. Eine ZIP-Datei kann jederzeit gelöscht, überschrieben oder entschlüsselt und verändert werden. Es fehlt der Löschschutz, der Audit-Trail und die jederzeitige Abrufbarkeit einzelner Belege. Die GeBÜV verlangt, dass jeder Beleg einzeln und ohne technische Hürden zugänglich ist.