Mandanten verstehen das Format nicht
XRechnung und ZUGFeRD sind XML-Dateien, keine PDFs. Wer eine Rechnung per Mail bekommt, weiß oft nicht, was er damit tun soll, und leitet sie unsortiert oder gar nicht weiter.
Software für Sie als Steuerberater, nicht für Ihre Mandanten. Jeder Mandant erhält eine eigene E-Mail-Adresse — das ist alles, was er von uns sieht. Eingehende XRechnung-, ZUGFeRD-, PDF- und Foto-Belege werden gegen §14 UStG geprüft, mit Kontierungsvorschlag (SKR03 / SKR04) versehen und als DATEV-importfähiges Monats-Bundle ausgeliefert. Sie behalten DATEV, Lexware oder sevDesk. Wir liefern den Belegfluss.
Seit dem 1. Januar 2025 müssen deutsche B2B-Unternehmen E-Rechnungen empfangen können. Die meisten Mandanten verstehen weder XRechnung noch ZUGFeRD und schicken Ihnen alles, was irgendwie nach Rechnung aussieht.
XRechnung und ZUGFeRD sind XML-Dateien, keine PDFs. Wer eine Rechnung per Mail bekommt, weiß oft nicht, was er damit tun soll, und leitet sie unsortiert oder gar nicht weiter.
DATEV Unternehmen online und ähnliche Werkzeuge erfordern Schulung, Login, Klick-Pfade. Kleine Mandanten kapitulieren und schicken weiterhin PDFs per Mail an die Kanzlei.
Jeden Monat erklären Sie dieselben Fragen, sortieren Dateien und beheben Format-Fehler. Diese Stunden tauchen auf keiner Rechnung an den Mandanten auf.
Zum Beispiel mueller-3a7f@mailbox.rechnungs-kontor.de.
Keine Anmeldung, kein Login, keine App. Der Mandant leitet
eingehende Rechnungen einfach an diese Adresse weiter.
Alternativ steht jedem Mandanten ein persönlicher
Hochladen-Link für den Browser zur Verfügung.
XRechnung und ZUGFeRD werden strukturiert ausgelesen, reine PDFs und Fotos werden archiviert. Jede Datei erhält einen SHA-256-Hash und wird in einer revisionssicheren Hash-Chain festgehalten. Format-Fehler werden erkannt und gemeldet, bevor sie bei Ihnen landen.
Exportbereit für DATEV, Lexware oder sevDesk. Pro Mandant sortiert, mit klarem Stichtag und vollständigem Audit-Trail zur Übernahme in den Monatsabschluss. CSV mit deutscher Lokalisierung: UTF-8, Semikolon, Komma als Dezimaltrenner, Datumsformat TT.MM.JJJJ.
Eine ruhige Übersicht statt einer überfüllten Mailbox. Pro Mandant: empfangene Rechnungen, erkannte Felder, Format, Datum, Brutto. Filterbar nach Monat, Mandant oder Format. Jede Datei ist ein Klick vom Original entfernt.
Vor der Übergabe an Sie passiert in jedem Beleg dasselbe: Vollständigkeitsprüfung nach §14 UStG, Kontierungsvorschlag nach SKR03 oder SKR04, Periodenzuordnung nach §13 UStG. Sie öffnen die Karte und sehen direkt, was fehlt oder was vorgeschlagen wurde.
Jeder Beleg wird gegen die acht Pflichtangaben aus §14 Abs. 4 UStG geprüft: Lieferant, Empfänger, Rechnungsnummer, Steuernr/USt-IdNr, Datum, Leistungsdatum, Beträge je Steuersatz, Steuerbetrag. Reverse-Charge-Wortlaut nach §14a Abs. 5 UStG wird erkannt. Kleinbetragsrechnungen unter 250 € brutto folgen den reduzierten Pflichten nach §33 UStDV.
USt-Kategorien nach UNTDID 5305 / EN 16931 werden normalisiert (S, AA, Z, E, AE, K, G, O) und auf den richtigen Steuersatz gemappt. Lieferungen mit Steuerschuldumkehr (§13b UStG / §14a UStG) werden im DATEV-Buchungstext gesondert markiert, damit Sie sie beim Import sofort sehen.
Fehlende Pflichtangaben erscheinen als Hinweisbadge auf der Belegkarte, mit direktem Link zur einschlägigen Norm auf gesetze-im-internet.de.
Wir schlagen das Konto vor, Sie entscheiden. Ein kuratierter Katalog typischer Lieferanten und Kategorien (Shell, Telekom, GitHub, DHL, Hotelketten, Müllabfuhr, ...) erkennt rund 85 % der Belege direkt. Für den Rest übernimmt eine Sprachmodell-Klassifikation gegen denselben Katalog, mit Begründung und niedriger Confidence-Anzeige.
Keine Autobuchung. Posture nach §33 StBerG: wir schlagen vor, die Kanzlei akzeptiert oder überschreibt. Jede Entscheidung wird mit Nutzer-ID und Zeitstempel im Audit-Log festgehalten.
Der USt-relevante Zeitpunkt ist das Leistungsdatum (§13 Abs. 1 Nr. 1 lit. a UStG), nicht das Rechnungs- oder Zahlungsdatum. Wir extrahieren beide Felder, sortieren jeden Beleg in den richtigen Monat und sperren den Monatsabschluss auf Datenbank-Ebene, sobald Sie ihn freigeben.
Versuche, einen abgeschlossenen Beleg nachträglich zu ändern oder zu löschen, werden vom Postgres-Trigger zurückgewiesen. Späteingänge bleiben erlaubt und werden gesondert markiert.
Die operative Datenbank (PostgreSQL) und das Rechnungsarchiv (S3-kompatibler Object Storage) laufen auf einer privaten Hetzner-Instanz im Rechenzentrum Nürnberg. Der Datenbankport ist nicht öffentlich erreichbar; der Zugriff erfolgt ausschließlich über einen verschlüsselten Cloudflare-Tunnel.
Keine Datenübertragung in die USA. Sämtliche eingesetzten Dienstleister sind in der EU registriert und entsprechend konfiguriert.
Alles, was in der Verfahrensdokumentation steht, ist im Code umgesetzt. Jede Aktion wird im Audit-Log verkettet protokolliert, jede Norm-Referenz ist nachprüfbar.
Passwörter mit PBKDF2-SHA256 nach NIST-Mindestvorgaben gehasht. Optionale Zwei-Faktor-Authentifizierung nach RFC 6238 (TOTP, 6 Ziffern, 30 Sekunden) mit acht einmalig verwendbaren Notfallcodes. Vertraute Geräte 30 Tage, einzeln widerrufbar.
Brute-Force-Schutz auf zwei Ebenen: in der Anwendung (Sperre nach 5 Fehlversuchen je E-Mail) und am Cloudflare-Edge (Rate-Limit pro IP, ohne Anwendungs- beanspruchung).
Jede Datei wird über ihren SHA-256-Hash adressiert. Jede Zeile im Audit-Log enthält einen Hash der vorigen Zeile, sodass nachträgliche Manipulationen erkennbar sind. Monatsabschlüsse werden auf Datenbank-Ebene gesperrt: BEFORE UPDATE/DELETE-Trigger weisen unzulässige Änderungen zurück.
Verfahrensdokumentation nach GoBD Rn. 151 ff. öffentlich unter /verfahrensdokumentation. IDW PS 880 Softwarebescheinigung in Vorbereitung.
Der aktuelle Kettenkopf wird täglich um 03:00 UTC an OpenTimestamps übergeben. Das Protokoll bündelt eingereichte Hashes und veröffentlicht den Sammelhash etwa stündlich als OP_RETURN-Transaktion in der Bitcoin-Blockchain. Ab diesem Moment ist eine nachträgliche Manipulation der Audit-Kette bei jedem unabhängigen Bitcoin-Knoten der Welt nachweisbar.
Öffentliche Liste aller bisherigen Anker unter
/integrity. Jede Quittung ist
mit dem freien ots verify-Werkzeug
eigenständig prüfbar; das bleibt auch nach unserer
Geschäftsaufgabe gültig.
Die Datenbank liegt im Ruhezustand verschlüsselt (LUKS2 mit AES-XTS-512 auf einer dedizierten Hetzner-Cloud-Volume in Nürnberg). Tägliche Sicherungen werden vor dem Upload lokal mit GnuPG (AES-256) verschlüsselt und in einen separaten Bucket mit dedizierten Zugangsdaten geschrieben.
Wöchentlich automatisierter Wiederherstellungstest: die jüngste Sicherung wird entschlüsselt und in einer temporären Datenbank wiederhergestellt; die Audit-Log-Hash-Kette wird gegen den Live-Zustand verifiziert. Eine nicht wiederherstellbare Sicherung ist keine Sicherung.
Operative Datenbank und Rechnungsarchiv auf einer privaten Hetzner-Instanz in Nürnberg. Datenbankport nicht öffentlich erreichbar; Zugriff nur über verschlüsselten Cloudflare-Tunnel. Sämtliche Auftragsverarbeiter (Mailgun Belgien, Resend Irland, Mistral Paris, Stripe Dublin) in der EU.
Kein Datentransfer in die USA für Produktivdaten. Zahlungen über Stripe (PCI-DSS Level 1); Kartendaten erreichen unsere Systeme nie.
Der Auftragsverarbeitungsvertrag nach Art. 28 DSGVO liegt als unterzeichnungsfertiger PDF zum Download bereit, mit ausdrücklichen Regelungen für Geschäftsaufgabe und Insolvenz (Abschnitt 13). Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO sowie die Datenschutz-Folgenabschätzung nach Art. 35 für die KI-Komponenten sind intern dokumentiert und auf Anfrage einsehbar.
Selbstbedienungs-Endpunkte für Datenexport (Art. 15) und Konto-Schliessung (Art. 17) direkt in den Einstellungen. Datenschutzerklärung mit vollständiger Auftragsverarbeiter-Liste, Schrems-II-Posture und § 7 UWG-Konformität.
Pro Kanzlei beliebige Mitarbeiter mit eigenem Konto. Zwei Rollen: Inhaber verwaltet Team und Abrechnung, Mitglied arbeitet operativ. Inhaber können je Mitglied granular freischalten, was erlaubt ist (Mandant anlegen, Periode abschließen, Export herunterladen, Kontierung akzeptieren).
Einladung per E-Mail mit 7 Tage gültigem Einmal-Token, 256 Bit Zufall. Letzten Inhaber zu entfernen ist systemweit blockiert. Berufsausübungsgesellschaft nach StBerG abgebildet.
Jede sicherheitsrelevante Aktion erscheint im Sicherheits-Protokoll der Kanzlei: Anmeldungen, Passwort- und 2FA-Änderungen, Einladungen, Rollen- und Berechtigungs-Änderungen, Periodenabschlüsse, Kontierungs-Annahmen und Überschreibungen.
Filter nach Aktion, Nutzer und Datum. CSV-Export auf einen Klick für die eigene Akte oder die Prüfer.
Service-kritische Nachrichten (Konto-Verifikation, Passwort-Änderung, Abrechnungs-Hinweise) werden gemäß Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Vertrages) auch dann zugestellt, wenn ein Empfänger sich von Routinemitteilungen abgemeldet hat. Diese Nachrichten sind keine Werbung im Sinne des § 2 Abs. 1 Nr. 7 UWG.
Routine-Bestätigungen lassen sich pro Mandant und je Empfänger getrennt deaktivieren. RFC 8058 One-Click-Unsubscribe in jeder Routinemail.
Rechnungs-Kontor ist die Schicht zwischen Mandanten-Posteingang und Ihrer bestehenden Buchhaltung. Sie behalten DATEV, Lexware Office, sevDesk, Agenda oder STOTAX. Wir liefern monatlich einen sauberen, importfähigen Belegstapel im DATEV-Format 7.00, plus revisionssichere Originale und die Vorsteuer-Aufstellung im UStVA-Format.
Mandanten leiten Rechnungen an ihre persönliche
@mailbox.rechnungs-kontor.de-Adresse weiter
oder nutzen den Hochladen-Link. Keine Anmeldung, kein neuer Account,
keine Schulung.
Auch Smartphone-Fotos und HEIC-Aufnahmen: Bilder über 1,5 MB werden serverseitig auf 1800 px Längskante herunterskaliert, bevor sie OCR durchlaufen.
XRechnung, ZUGFeRD, PDF, Smartphone-Foto, Quittung, Kassenzettel, Bewirtungsbeleg: wir lesen aus, prüfen gegen §14 UStG, archivieren revisionssicher mit SHA-256-Hash-Chain, ordnen nach Leistungsdatum (§13 UStG) und schlagen das Konto vor (SKR03 oder SKR04).
Auch Kleinbetragsrechnungen (§33 UStDV, ≤250 € brutto), verblasste Thermoausdrucke und schief fotografierte Belege werden über Pixtral-Vision ausgewertet, statt als "Erkennung fehlgeschlagen" zurückzukommen.
Ein Klick erzeugt das Übergabe-Paket als ZIP: DATEV-Format 7.00 EXTF Buchungsstapel (Windows-1252, Semikolon, CRLF, 31-Feld-Metadaten-Header, 125 Spalten pro Buchungszeile gemäß Spec, validiert gegen das offizielle DATEV-Format-Prüfprogramm), Vorsteuer-Aufstellung mit UStVA-Kennziffern 66 / 61 / 67, Original-Belege im Unterordner, SHA-256-Manifest jedes Files.
Belegdatum, Leistungsdatum, Fälligkeit, Steuersatz, Auftragsnummer, Lieferanten-USt-IdNr und Skonto-Bedingungen werden automatisch in die zugehörigen DATEV-Felder geschrieben, wenn sie auf dem Beleg erkannt werden. KOST1/KOST2-Standards lassen sich pro Mandant hinterlegen. Importierbar in DATEV Rechnungswesen, Lexware Office, sevDesk, Agenda, STOTAX, ADDISON, Simba und jede weitere Software, die das DATEV-Format als Standard liest.
Rechnungs-Kontor ist eine Vorstufe zu Ihrer Buchhaltungs-Software, kein Ersatz. Diese Übersicht zeigt die fünf Punkte, in denen sich unsere Belegfluss-Vorstufe von vollständigen Buchhaltungs-Plattformen unterscheidet. Sachlich, mit Quellen, ohne Abwertung der Mitbewerber. Stand: Mai 2026.
| Merkmal | Rechnungs-Kontor | DATEV Unternehmen online |
Lexware Office |
|---|---|---|---|
| Mandant kommt ohne eigenes Software-Konto aus | ✓E-Mail-Weiterleitung an persönliche Adresse oder ein Hochladen-Link, ohne Anmeldung | ○Mandanten-Anmeldung in DATEV SmartLogin erforderlich | ○Eigenes Lexware-Konto erforderlich |
| §14 UStG-Pflichtangaben werden bereits beim Eingang geprüft | ✓Sofortige Warnung mit Paragrafen-Zitat, bevor der Beleg archiviert wird | ○Prüfung erfolgt erst beim Buchen in DATEV Rechnungswesen | ○Prüfung erfolgt erst beim Buchen in Lexware Office |
| Audit-Log öffentlich nachprüfbar (Bitcoin-Verankerung) | ✓Tägliche Verankerung in der Bitcoin-Blockchain über OpenTimestamps, einsehbar unter /integrity | ○Internes Audit-Log, kein öffentlich verifizierbarer Nachweis | ○Internes Audit-Log, kein öffentlich verifizierbarer Nachweis |
| Monatliches Übergabe-Paket inkl. Originale und Manifest | ✓DATEV-Format-CSV + Vorsteuer-Aufstellung + Original-Belege + SHA-256-Manifest in einem ZIP | ○Daten verbleiben primär im DATEV-Ökosystem; Bundle-Export ist kein Standard-Anwendungsfall | ○DATEV-CSV-Export verfügbar, Originale separat herunterzuladen |
| Steuerkanzlei ist Vertragspartner, der Mandant zahlt nichts an uns | ✓Eine Rechnung an die Kanzlei, transparent pro aktivem Mandant | ○Mandant ist DATEV-Vertragsnehmer und Rechnungsempfänger | ○Endkunde / KMU ist Lexware-Vertragsnehmer und Rechnungsempfänger |
DATEV®, Unternehmen online®, Lexware® und Lexware Office® sind Marken der jeweiligen Inhaber. Angaben basieren auf den jeweils öffentlich verfügbaren Produkt- und Preisseiten sowie den Bedingungswerken der Anbieter. Bei abweichendem aktuellem Stand bitten wir um kurze Mitteilung an kontakt@rechnungs-kontor.de, wir korrigieren umgehend.
Bewegen Sie die Regler, um den geschätzten Zeitwert pro Monat mit unserem Preis zu vergleichen. Die Annahmen sind Ihre, die Rechnung ist transparent.
Wie viele Mandanten würden Sie über Rechnungs-Kontor laufen lassen? Einzelkanzleien betreuen typischerweise 150 bis 250 Mandanten, Sozietäten meist 300 bis 600; ein schrittweiser Rollout ist üblich.
Zeit, die Sie heute pro Mandant für Sortieren, Nachfassen und Aufbereiten der weitergeleiteten Belege aufwenden.
Bei BStBK-Berufsstatistik 2025 liegen typische Stundensätze von SMB-Steuerkanzleien zwischen 80 € und 150 €.
Beispielrechnung. 40 aktive Mandanten: 49 € + 360 € = 409 € netto pro Monat, brutto 486,71 € (mit 19 % USt.).
Alle Funktionen freigeschaltet. Keine Kreditkarte. Im Test enthalten sind 5 Mandanten, 200 Belege (kumuliert) und 3 Team-Mitglieder. Sobald Sie abonnieren, entfallen die Mengenbeschränkungen sofort, bestehende Daten und Konfiguration bleiben unverändert.
Konto anlegen, eine eigene Eingangs-Adresse für einen ersten Mandanten erzeugen, an diesen weitergeben und den Belegfluss 60 Tage lang prüfen. Keine Kreditkarte, keine Einrichtungsgebühr, kein Verkaufsgespräch.