Warum „GoBD" oft vorschnell zum K.O.-Kriterium wird – und wie weit Business Central, SharePoint und Azure Blob Storage wirklich tragen.
„Revisionssicher." Ein Wort – und viele Diskussionen sind beendet.
In Projekten rund um Business Central erleben wir das immer wieder: Kaum fällt der Begriff GoBD, wird die Entscheidung implizit vorweggenommen: „Dann brauchen wir ein DMS."
Was folgt, ist ein bekanntes Muster: Auswahl eines DMS-Anbieters, zusätzliche Systemlandschaft, komplexe Implementierung – nicht selten sechsstellige Budgetbedarfe. Dabei wird die eigentliche Frage selten gestellt:
Ist ein DMS wirklich die einzige – oder überhaupt die richtige – Antwort auf GoBD-konforme Archivierung mit Business Central und SharePoint?
Dieser Artikel zeigt, warum Revisionssicherheit kein Produktfeature ist, wie weit man mit dem bestehenden Microsoft-Stack kommt und wo die technischen Hebel wirklich liegen.
GoBD ist kein Produkt – sondern ein System
Ein zentraler Denkfehler liegt in der Annahme, dass GoBD-Konformität an ein bestimmtes System gebunden ist.
GoBD-Konformität ist keine Produkteigenschaft.
Sie ergibt sich aus dem Zusammenspiel von Prozessen, Systemkonfiguration, Zugriffskonzepten und der Verfahrensdokumentation. Weder ein DMS noch SharePoint oder Azure sind „automatisch" GoBD-konform. Und umgekehrt gilt: Eine revisionssichere Archivierung ohne DMS ist möglich – vorausgesetzt, die Bausteine stimmen.
Das klingt erstmal wie eine Behauptung. Deshalb schauen wir uns an, was dafür nötig ist – und was davon oft schon vorhanden ist.
Das unterschätzte Problem: Prozesse, nicht Software
Ein DMS soll es richten. In der Praxis wirkt es eher wie ein Brennglas.
Denn: Unklare Zuständigkeiten bleiben unklar – auch mit DMS. Fehlende Freigaberegeln müssen trotzdem definiert werden. Fachliche Lücken werden sichtbar – und teuer.
Ein DMS automatisiert Prozesse, aber es definiert sie nicht.
Das führt dazu, dass viele Projekte unnötig komplex werden, weil versucht wird, die zusätzliche Applikation mit weiteren permanenten Schnittstellen, um ungeklärte Abläufe herum zu bauen. Die Investition steigt, der Nutzen bleibt hinter den Erwartungen – nicht, weil das DMS schlecht ist, sondern weil die Grundlage fehlt.
Was heute oft schon vorhanden ist
Viele Unternehmen arbeiten bereits mit Microsoft Dynamics 365 Business Central, Microsoft 365 (inkl. SharePoint Online) und häufig auch Azure-Diensten. Und genau hier liegt ein oft unterschätztes Potenzial für eine GoBD-konforme Archivierung mit Business Central und SharePoint bzw. Azure Blob Storage.
Business Central + Power Automate
Business Central bringt in Kombination mit Power Automate bereits eine Reihe relevanter Funktionen mit: Genehmigungsworkflows, rollenbasierte Freigaben und die Integration in operative Prozesse. Für viele KMU-Szenarien ist das bereits ein tragfähiger erster Schritt.
Strukturierte Ablage mit Erweiterungen
Der Standard reicht allerdings nicht für alles. Hier kommen Erweiterungen ins Spiel:
Beyond Cloud Connector ermöglicht die automatisierte, strukturierte Ablage von Belegen aus Business Central auf SharePoint oder Azure Blob Storage. Dokumente werden direkt aus BC heraus am richtigen Ort abgelegt – konsistent, nachvollziehbar und ohne manuellen Aufwand.
Beyond File Manager geht über die Funktionen des Beyond Cloud Connector hinaus und bietet eine bidirektionale Verbindung zwischen permanentem Speicher und Business Central. Inhalte können also nicht nur aus BC heraus abgelegt, sondern auch aus SharePoint oder Azure Blob Storage zurück in BC referenziert werden.
Damit lassen sich zentrale Anforderungen bereits abbilden: konsistente Ablagestrukturen, nachvollziehbare Dokumentverknüpfung, Transparenz für Anwender – und vor allem: eine solide Grundlage für spätere Erweiterungen, auch in Richtung DMS.
SharePoint vs. Azure Blob Storage – der oft übersehene Unterschied
In vielen Diskussionen zur GoBD-konformen Archivierung wird ausschließlich über SharePoint gesprochen. Dabei lohnt sich ein genauerer Blick – denn die Kombination beider Technologien ist oft die eigentlich spannende Architektur.
SharePoint Online: Stark in Prozessen
SharePoint ist stark in Arbeitsprozesse integriert: Dokumentenmanagement im Alltag, Versionierung und Zusammenarbeit – das funktioniert hervorragend. Aber der Fokus liegt auf Kollaboration, nicht primär auf langfristige, unveränderbare Archivierung.
Azure Blob Storage: Stark in Archivierung
Hier wird es richtig interessant. Azure Blob Storage bietet mit Immutable Storage (WORM-Prinzip – Write Once, Read Many) die Möglichkeit, Daten technisch gegen Veränderung zu schützen.
Das bedeutet konkret: Dateien können nach dem Speichern nicht mehr überschrieben werden. Löschung ist innerhalb definierter Fristen ausgeschlossen. Für archivierungsnahe Szenarien ist das ein technisch starker Baustein in Richtung Unveränderbarkeit und Revisionssicherheit.
Die Kombination macht den Unterschied
Nicht das eine System ersetzt das andere:
- SharePoint eignet sich für Zusammenarbeit und operative Prozesse.
- Azure Blob Storage eignet sich für technisch abgesicherte Langzeitarchivierung.
In Kombination entsteht eine Architektur, die operativ funktioniert, regulatorische Anforderungen adressiert – und deutlich weniger Budget und Komplexität erfordert als ein zusätzliches DMS. Kein weiteres System, keine weitere Schnittstelle, kein weiterer Anbieter.
Technische Bausteine für GoBD-konforme Archivierung im Detail
Entscheidend ist nicht das System – sondern die richtige Konfiguration. Wer GoBD-konforme Archivierung mit Business Central und SharePoint umsetzen will, muss folgende Bausteine sauber aufsetzen:
1. Aufbewahrungsrichtlinien (Retention Policies)
Das Herzstück der Revisionssicherheit. Es muss sichergestellt sein, dass Dokumente vor Ablauf der gesetzlichen Frist (meist 10 Jahre) nicht gelöscht werden können.
So geht's: Im Microsoft Purview Compliance Portal eine Aufbewahrungsrichtlinie für die betreffenden SharePoint-Websites erstellen. Die Richtlinie so konfigurieren, dass Benutzer Dateien zwar bearbeiten, aber innerhalb der Haltefrist nicht endgültig löschen können. Gelöschte Objekte landen in der „Preservation Hold Library" und bleiben für Admins und Auditoren verfügbar. Die Frist bspw. auf 10 Jahre ab Erstellungs- oder letztem Änderungsdatum einstellen.
2. Versionierung & Unveränderbarkeit
Jede Änderung an einem Dokument muss nachvollziehbar sein.
So geht's: Für die relevanten Dokumentbibliotheken die Versionierung aktivieren (Standard bei SharePoint, aber prüfen: mindestens 500 Versionen sind ratsam). Über Berechtigungsstufen verhindern, dass Nutzer den Versionsverlauf löschen können.
3. Berechtigungskonzept (Access Control)
Die GoBD fordert Schutz vor unberechtigtem Zugriff und Manipulation.
So geht's: SharePoint-Gruppen erstellen (Besucher, Mitwirkende, Administratoren) und restriktiv zuweisen. Keine „Vollzugriff"-Berechtigung für Standarduser – nur wenige Admins sollten das Recht haben, Strukturen zu ändern. Externes Teilen und anonyme Links für Archiv-Bibliotheken deaktivieren.
4. Protokollierung (Audit Log)
Jeder Zugriff und jede Änderung müssen nachvollziehbar sein.
So geht's: Im Microsoft 365 Admin Center sicherstellen, dass die globale Audit-Protokollierung (Unified Audit Log) eingeschaltet ist. Testen, ob über das Compliance-Center ein Bericht gezogen werden kann, der zeigt: Wer hat wann welches Dokument angesehen oder geändert?
5. Beyond Cloud Connector konfigurieren
Der Beyond Cloud Connector bildet die Brücke zwischen Business Central und der Ablage.
So geht's: Das Metadaten-Mapping so konfigurieren, dass wichtige BC-Felder (Belegnummer, Datum, Kreditor) als Spalten in SharePoint befüllt werden. Das erfüllt die GoBD-Anforderung der „Indizierung" – das schnelle und gezielte Wiederfinden von Belegen.
6. Optional: Azure Blob Storage mit WORM
Für Unternehmen, die eine zusätzliche Absicherungsebene benötigen, kann Azure Blob Storage mit Immutable Storage Policies ergänzt werden. Damit werden archivierte Belege technisch gegen jede Veränderung geschützt – sogar durch Administratoren.
Der meistunterschätzte Faktor: Verfahrensdokumentation
Technik allein reicht nicht. Die GoBD fordert explizit eine Verfahrensdokumentation, die beschreibt:
- wie Belege entstehen
- wie sie verarbeitet werden
- wie sie gespeichert werden
- wer verantwortlich ist
Ohne diese Dokumentation gilt selbst das beste System als nicht konform. Das ist kein IT-Thema, sondern ein Organisations-Thema – und übrigens auch in DMS-Projekten ein eigenes Arbeitspaket für die Projektgruppe.
Konkret für euer Setup dokumentieren: Wie Dokumente in Business Central entstehen, wie der Beyond Cloud Connector sie nach SharePoint überträgt, wie SharePoint (und ggf. Azure Blob Storage) sie schützt. Wer für die IT-Administration verantwortlich ist und wer für die sachliche Prüfung.
Wichtiger Hinweis: Für eine finale Absicherung sollte diese Konfiguration einmal von einem Steuerberater oder IT-Auditor geprüft werden. Die GoBD betrachtet immer das Gesamtsystem: Mensch + Prozess + Software. Die besten Erfahrungen haben diejenigen KMUs gemacht, die ihren Steuerberater von Beginn an ins Projektteam integriert haben.
Ein pragmatischer Ansatz: Schritt für Schritt
Statt direkt in ein DMS-Projekt zu starten, kann ein sinnvoller Weg so aussehen:
Schritt 1 – Prozesse definieren: Freigaben, Verantwortlichkeiten und Abläufe klären. Das ist die Grundlage, die jede Lösung braucht – ob DMS oder nicht.
Schritt 2 – Bestehende Systeme nutzen: Business Central und Microsoft 365 als Basis. Genehmigungsworkflows über Power Automate einrichten.
Schritt 3 – Strukturierte Ablage aufbauen: SharePoint als operative Ablage einrichten, Beyond Cloud Connector für die automatisierte Belegablage aus BC konfigurieren.
Schritt 4 – Technische Absicherung ergänzen: Retention Policies in Microsoft Purview aktivieren, Audit Logs einschalten, Berechtigungskonzept umsetzen. Bei Bedarf Azure Blob Storage mit Immutable Storage ergänzen.
Schritt 5 – Verfahrensdokumentation erstellen: Alles aufschreiben: Prozesse, Systeme, Verantwortlichkeiten, Konfigurationen.
Erst dann stellt sich die eigentliche Frage: Brauchen wir wirklich ein DMS – oder sind wir bereits ausreichend aufgestellt?
Fazit
„Revisionssicher" sollte kein Gesprächs-Killer sein. Sondern der Startpunkt für die richtigen Fragen:
- Wie arbeiten wir heute?
- Noch wichtiger: Wie wollen wir zukünftig arbeiten?
- Was müssen wir formal wirklich erfüllen?
- Wie kommen wir zu pragmatischen Lösungen?
- Und welche Systeme brauchen wir dafür wirklich?
Ein DMS kann sinnvoll sein. Aber nicht immer sofort. Und nicht immer zwingend. Oft liegt der größere Hebel bereits im bestehenden Setup – in einer GoBD-konformen Archivierung mit Business Central und SharePoint, technisch abgesichert durch Azure Blob Storage und sauber dokumentiert durch eine belastbare Verfahrensdokumentation.
Man muss den Hebel nur nutzen.
