E-Rechnungen, die Ihre Mandanten verstehen.

Software für Sie als Steuerberater, nicht für Ihre Mandanten. Jeder Mandant erhält eine eigene E-Mail-Adresse — das ist alles, was er von uns sieht. Eingehende XRechnung-, ZUGFeRD-, PDF- und Foto-Belege werden gegen §14 UStG geprüft, mit Kontierungsvorschlag (SKR03 / SKR04) versehen und als DATEV-importfähiges Monats-Bundle ausgeliefert. Sie behalten DATEV, Lexware oder sevDesk. Wir liefern den Belegfluss.

60 Tage kostenfrei testen Werkzeug ausprobieren

  • Keine Kreditkarte. Sofortiger Zugang.
  • Im Test enthalten: 5 Mandanten, 200 Belege, 3 Team-Mitglieder.
  • Zwei-Faktor und Brute-Force-Schutz von Tag 1.
  • DSGVO: alle Daten in Deutschland, keine Tracking-Cookies.
  • Hosting in DeutschlandHetzner Nürnberg. Datenbank und Belegarchiv auf deutschem Boden.
  • DSGVO-konformAlle Auftragsverarbeiter in der EU. AVV nach Art. 28 inklusive. Selbst-Service-Datenexport, keine Tracking-Cookies.
  • GoBD-konform implementiertHash-Chain-Audit-Log mit Bitcoin-Verankerung. Datenbank LUKS2-verschlüsselt im Ruhezustand. Verfahrensdokumentation nach Rn. 151 ff.
  • Zwei-Faktor und Brute-Force-SchutzOptionales TOTP. PBKDF2 nach NIST. Login-Sperre pro E-Mail und Edge-Rate-Limit pro IP.

Vollständige Sicherheits- und Compliance-Übersicht →

Sie tragen den Belegfluss-Support für Ihre Mandanten. Unbezahlt.

Seit dem 1. Januar 2025 müssen deutsche B2B-Unternehmen E-Rechnungen empfangen können. Die meisten Mandanten verstehen weder XRechnung noch ZUGFeRD und schicken Ihnen alles, was irgendwie nach Rechnung aussieht.

Mandanten verstehen das Format nicht

XRechnung und ZUGFeRD sind XML-Dateien, keine PDFs. Wer eine Rechnung per Mail bekommt, weiß oft nicht, was er damit tun soll, und leitet sie unsortiert oder gar nicht weiter.

Bestehende Portale sind eine Hürde

DATEV Unternehmen online und ähnliche Werkzeuge erfordern Schulung, Login, Klick-Pfade. Kleine Mandanten kapitulieren und schicken weiterhin PDFs per Mail an die Kanzlei.

Den Support tragen Sie

Jeden Monat erklären Sie dieselben Fragen, sortieren Dateien und beheben Format-Fehler. Diese Stunden tauchen auf keiner Rechnung an den Mandanten auf.

Drei Schritte. Keine Software-Installation beim Mandanten.

  1. 01

    Jeder Mandant bekommt eine eigene Adresse

    Zum Beispiel mueller-3a7f@mailbox.rechnungs-kontor.de. Keine Anmeldung, kein Login, keine App. Der Mandant leitet eingehende Rechnungen einfach an diese Adresse weiter. Alternativ steht jedem Mandanten ein persönlicher Hochladen-Link für den Browser zur Verfügung.

  2. 02

    Wir prüfen, normalisieren und archivieren

    XRechnung und ZUGFeRD werden strukturiert ausgelesen, reine PDFs und Fotos werden archiviert. Jede Datei erhält einen SHA-256-Hash und wird in einer revisionssicheren Hash-Chain festgehalten. Format-Fehler werden erkannt und gemeldet, bevor sie bei Ihnen landen.

  3. 03

    Sie erhalten ein sauberes monatliches Bundle

    Exportbereit für DATEV, Lexware oder sevDesk. Pro Mandant sortiert, mit klarem Stichtag und vollständigem Audit-Trail zur Übernahme in den Monatsabschluss. CSV mit deutscher Lokalisierung: UTF-8, Semikolon, Komma als Dezimaltrenner, Datumsformat TT.MM.JJJJ.

Was Sie sehen, wenn Rechnungen ankommen.

Eine ruhige Übersicht statt einer überfüllten Mailbox. Pro Mandant: empfangene Rechnungen, erkannte Felder, Format, Datum, Brutto. Filterbar nach Monat, Mandant oder Format. Jede Datei ist ein Klick vom Original entfernt.

  • Live-Übersicht aller eingegangenen Rechnungen
  • Drilldown pro Mandant mit vollständigem Audit-Trail
  • Monats-Export als CSV per Klick
  • Originaldatei jederzeit aus dem deutschen Archiv abrufbar

Geprüft, kontiert, einsatzbereit.

Vor der Übergabe an Sie passiert in jedem Beleg dasselbe: Vollständigkeitsprüfung nach §14 UStG, Kontierungsvorschlag nach SKR03 oder SKR04, Periodenzuordnung nach §13 UStG. Sie öffnen die Karte und sehen direkt, was fehlt oder was vorgeschlagen wurde.

§14 UStG Vollständigkeitsprüfung

Acht Pflichtangaben, Reverse-Charge-Wortlaut, Kleinbetragsregel und USt-Kategorien automatisch geprüft.

Jeder Beleg wird gegen die acht Pflichtangaben aus §14 Abs. 4 UStG geprüft: Lieferant, Empfänger, Rechnungsnummer, Steuernr/USt-IdNr, Datum, Leistungsdatum, Beträge je Steuersatz, Steuerbetrag. Reverse-Charge-Wortlaut nach §14a Abs. 5 UStG wird erkannt. Kleinbetragsrechnungen unter 250 € brutto folgen den reduzierten Pflichten nach §33 UStDV.

USt-Kategorien nach UNTDID 5305 / EN 16931 werden normalisiert (S, AA, Z, E, AE, K, G, O) und auf den richtigen Steuersatz gemappt. Lieferungen mit Steuerschuldumkehr (§13b UStG / §14a UStG) werden im DATEV-Buchungstext gesondert markiert, damit Sie sie beim Import sofort sehen.

Fehlende Pflichtangaben erscheinen als Hinweisbadge auf der Belegkarte, mit direktem Link zur einschlägigen Norm auf gesetze-im-internet.de.

Kontierungsvorschlag SKR03 / SKR04

Heuristik plus KI-Fallback, rund 85 % Treffer direkt, keine Autobuchung.

Wir schlagen das Konto vor, Sie entscheiden. Ein kuratierter Katalog typischer Lieferanten und Kategorien (Shell, Telekom, GitHub, DHL, Hotelketten, Müllabfuhr, ...) erkennt rund 85 % der Belege direkt. Für den Rest übernimmt eine Sprachmodell-Klassifikation gegen denselben Katalog, mit Begründung und niedriger Confidence-Anzeige.

Keine Autobuchung. Posture nach §33 StBerG: wir schlagen vor, die Kanzlei akzeptiert oder überschreibt. Jede Entscheidung wird mit Nutzer-ID und Zeitstempel im Audit-Log festgehalten.

Periodenzuordnung nach §13 UStG

Leistungsdatum statt Rechnungsdatum, DB-Trigger sperrt abgeschlossene Perioden, Späteingänge markiert.

Der USt-relevante Zeitpunkt ist das Leistungsdatum (§13 Abs. 1 Nr. 1 lit. a UStG), nicht das Rechnungs- oder Zahlungsdatum. Wir extrahieren beide Felder, sortieren jeden Beleg in den richtigen Monat und sperren den Monatsabschluss auf Datenbank-Ebene, sobald Sie ihn freigeben.

Versuche, einen abgeschlossenen Beleg nachträglich zu ändern oder zu löschen, werden vom Postgres-Trigger zurückgewiesen. Späteingänge bleiben erlaubt und werden gesondert markiert.

Ihre Daten verlassen Deutschland nicht.

Die operative Datenbank (PostgreSQL) und das Rechnungsarchiv (S3-kompatibler Object Storage) laufen auf einer privaten Hetzner-Instanz im Rechenzentrum Nürnberg. Der Datenbankport ist nicht öffentlich erreichbar; der Zugriff erfolgt ausschließlich über einen verschlüsselten Cloudflare-Tunnel.

Keine Datenübertragung in die USA. Sämtliche eingesetzten Dienstleister sind in der EU registriert und entsprechend konfiguriert.

  • Hetzner Online GmbH Datenbank und Rechnungsarchiv Nürnberg, DE
  • Cloudflare Edge-Auslieferung, keine persistente Speicherung von Kundendaten Frankfurt, DE
  • Mailgun Eingehende Mandanten-Rechnungen parsen EU (Belgien)
  • Resend Versand von Bestätigungs-E-Mails EU (Irland)
  • Mistral AI Texterkennung (OCR) für gescannte und fotografierte Belege EU (Frankreich)

Sicherheit, die nicht im Marketing endet.

Alles, was in der Verfahrensdokumentation steht, ist im Code umgesetzt. Jede Aktion wird im Audit-Log verkettet protokolliert, jede Norm-Referenz ist nachprüfbar.

Authentifizierung

PBKDF2-SHA256, optionale TOTP-2FA, Brute-Force-Schutz in Anwendung und Edge.

Passwörter mit PBKDF2-SHA256 nach NIST-Mindestvorgaben gehasht. Optionale Zwei-Faktor-Authentifizierung nach RFC 6238 (TOTP, 6 Ziffern, 30 Sekunden) mit acht einmalig verwendbaren Notfallcodes. Vertraute Geräte 30 Tage, einzeln widerrufbar.

Brute-Force-Schutz auf zwei Ebenen: in der Anwendung (Sperre nach 5 Fehlversuchen je E-Mail) und am Cloudflare-Edge (Rate-Limit pro IP, ohne Anwendungs- beanspruchung).

Datenintegrität

SHA-256-adressierte Dateien, hash-verkettetes Audit-Log, DB-Trigger sperren abgeschlossene Perioden.

Jede Datei wird über ihren SHA-256-Hash adressiert. Jede Zeile im Audit-Log enthält einen Hash der vorigen Zeile, sodass nachträgliche Manipulationen erkennbar sind. Monatsabschlüsse werden auf Datenbank-Ebene gesperrt: BEFORE UPDATE/DELETE-Trigger weisen unzulässige Änderungen zurück.

Verfahrensdokumentation nach GoBD Rn. 151 ff. öffentlich unter /verfahrensdokumentation. IDW PS 880 Softwarebescheinigung in Vorbereitung.

Öffentlich nachprüfbare Integrität

Audit-Log-Hash-Kette täglich in der Bitcoin-Blockchain verankert. Ohne Vertrauen in uns nachprüfbar.

Der aktuelle Kettenkopf wird täglich um 03:00 UTC an OpenTimestamps übergeben. Das Protokoll bündelt eingereichte Hashes und veröffentlicht den Sammelhash etwa stündlich als OP_RETURN-Transaktion in der Bitcoin-Blockchain. Ab diesem Moment ist eine nachträgliche Manipulation der Audit-Kette bei jedem unabhängigen Bitcoin-Knoten der Welt nachweisbar.

Öffentliche Liste aller bisherigen Anker unter /integrity. Jede Quittung ist mit dem freien ots verify-Werkzeug eigenständig prüfbar; das bleibt auch nach unserer Geschäftsaufgabe gültig.

Verschlüsselung und Sicherung

Datenbank LUKS2-verschlüsselt im Ruhezustand, tägliche off-box-Backups (GPG AES-256) mit wöchentlichem automatisiertem Wiederherstellungstest.

Die Datenbank liegt im Ruhezustand verschlüsselt (LUKS2 mit AES-XTS-512 auf einer dedizierten Hetzner-Cloud-Volume in Nürnberg). Tägliche Sicherungen werden vor dem Upload lokal mit GnuPG (AES-256) verschlüsselt und in einen separaten Bucket mit dedizierten Zugangsdaten geschrieben.

Wöchentlich automatisierter Wiederherstellungstest: die jüngste Sicherung wird entschlüsselt und in einer temporären Datenbank wiederhergestellt; die Audit-Log-Hash-Kette wird gegen den Live-Zustand verifiziert. Eine nicht wiederherstellbare Sicherung ist keine Sicherung.

Datenschutz und Datentransfer

Hetzner Nürnberg, kein öffentlicher Datenbankport, alle Auftragsverarbeiter in der EU.

Operative Datenbank und Rechnungsarchiv auf einer privaten Hetzner-Instanz in Nürnberg. Datenbankport nicht öffentlich erreichbar; Zugriff nur über verschlüsselten Cloudflare-Tunnel. Sämtliche Auftragsverarbeiter (Mailgun Belgien, Resend Irland, Mistral Paris, Stripe Dublin) in der EU.

Kein Datentransfer in die USA für Produktivdaten. Zahlungen über Stripe (PCI-DSS Level 1); Kartendaten erreichen unsere Systeme nie.

DSGVO und Auftragsverarbeitung

AVV nach Art. 28 unterzeichnungsfertig, ROPA und DPIA dokumentiert, Datenexport und Konto-Schliessung per Klick.

Der Auftragsverarbeitungsvertrag nach Art. 28 DSGVO liegt als unterzeichnungsfertiger PDF zum Download bereit, mit ausdrücklichen Regelungen für Geschäftsaufgabe und Insolvenz (Abschnitt 13). Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO sowie die Datenschutz-Folgenabschätzung nach Art. 35 für die KI-Komponenten sind intern dokumentiert und auf Anfrage einsehbar.

Selbstbedienungs-Endpunkte für Datenexport (Art. 15) und Konto-Schliessung (Art. 17) direkt in den Einstellungen. Datenschutzerklärung mit vollständiger Auftragsverarbeiter-Liste, Schrems-II-Posture und § 7 UWG-Konformität.

Mehrnutzer-Betrieb

Inhaber/Mitglied-Rollen, vier granulare Berechtigungsschalter, sichere Einladungs-Token.

Pro Kanzlei beliebige Mitarbeiter mit eigenem Konto. Zwei Rollen: Inhaber verwaltet Team und Abrechnung, Mitglied arbeitet operativ. Inhaber können je Mitglied granular freischalten, was erlaubt ist (Mandant anlegen, Periode abschließen, Export herunterladen, Kontierung akzeptieren).

Einladung per E-Mail mit 7 Tage gültigem Einmal-Token, 256 Bit Zufall. Letzten Inhaber zu entfernen ist systemweit blockiert. Berufsausübungsgesellschaft nach StBerG abgebildet.

Nachvollziehbarkeit

Sicherheits-Protokoll mit Filtern und CSV-Export aller sicherheitsrelevanten Aktionen.

Jede sicherheitsrelevante Aktion erscheint im Sicherheits-Protokoll der Kanzlei: Anmeldungen, Passwort- und 2FA-Änderungen, Einladungen, Rollen- und Berechtigungs-Änderungen, Periodenabschlüsse, Kontierungs-Annahmen und Überschreibungen.

Filter nach Aktion, Nutzer und Datum. CSV-Export auf einen Klick für die eigene Akte oder die Prüfer.

Service-Mails und Werbeverbot

Transaktional und Routine sauber getrennt, RFC 8058 One-Click-Unsubscribe, UWG-konform.

Service-kritische Nachrichten (Konto-Verifikation, Passwort-Änderung, Abrechnungs-Hinweise) werden gemäß Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Vertrages) auch dann zugestellt, wenn ein Empfänger sich von Routinemitteilungen abgemeldet hat. Diese Nachrichten sind keine Werbung im Sinne des § 2 Abs. 1 Nr. 7 UWG.

Routine-Bestätigungen lassen sich pro Mandant und je Empfänger getrennt deaktivieren. RFC 8058 One-Click-Unsubscribe in jeder Routinemail.

Wir ersetzen Ihre Kanzleisoftware nicht. Wir liefern den Belegfluss.

Rechnungs-Kontor ist die Schicht zwischen Mandanten-Posteingang und Ihrer bestehenden Buchhaltung. Sie behalten DATEV, Lexware Office, sevDesk, Agenda oder STOTAX. Wir liefern monatlich einen sauberen, importfähigen Belegstapel im DATEV-Format 7.00, plus revisionssichere Originale und die Vorsteuer-Aufstellung im UStVA-Format.

Eingang

E-Mail-Weiterleitung oder Hochladen-Link. Keine Anmeldung, keine Schulung.

Mandanten leiten Rechnungen an ihre persönliche @mailbox.rechnungs-kontor.de-Adresse weiter oder nutzen den Hochladen-Link. Keine Anmeldung, kein neuer Account, keine Schulung.

Auch Smartphone-Fotos und HEIC-Aufnahmen: Bilder über 1,5 MB werden serverseitig auf 1800 px Längskante herunterskaliert, bevor sie OCR durchlaufen.

Aufbereitung

XRechnung, ZUGFeRD, PDF, Foto: ausgelesen, §14 UStG-geprüft, kontiert.

XRechnung, ZUGFeRD, PDF, Smartphone-Foto, Quittung, Kassenzettel, Bewirtungsbeleg: wir lesen aus, prüfen gegen §14 UStG, archivieren revisionssicher mit SHA-256-Hash-Chain, ordnen nach Leistungsdatum (§13 UStG) und schlagen das Konto vor (SKR03 oder SKR04).

Auch Kleinbetragsrechnungen (§33 UStDV, ≤250 € brutto), verblasste Thermoausdrucke und schief fotografierte Belege werden über Pixtral-Vision ausgewertet, statt als "Erkennung fehlgeschlagen" zurückzukommen.

Übergabe

DATEV-Format-CSV, Vorsteuer-Aufstellung und Originale in einem ZIP.

Ein Klick erzeugt das Übergabe-Paket als ZIP: DATEV-Format 7.00 EXTF Buchungsstapel (Windows-1252, Semikolon, CRLF, 31-Feld-Metadaten-Header, 125 Spalten pro Buchungszeile gemäß Spec, validiert gegen das offizielle DATEV-Format-Prüfprogramm), Vorsteuer-Aufstellung mit UStVA-Kennziffern 66 / 61 / 67, Original-Belege im Unterordner, SHA-256-Manifest jedes Files.

Belegdatum, Leistungsdatum, Fälligkeit, Steuersatz, Auftragsnummer, Lieferanten-USt-IdNr und Skonto-Bedingungen werden automatisch in die zugehörigen DATEV-Felder geschrieben, wenn sie auf dem Beleg erkannt werden. KOST1/KOST2-Standards lassen sich pro Mandant hinterlegen. Importierbar in DATEV Rechnungswesen, Lexware Office, sevDesk, Agenda, STOTAX, ADDISON, Simba und jede weitere Software, die das DATEV-Format als Standard liest.

Fünf Merkmale, in denen wir andere Wege gehen.

Rechnungs-Kontor ist eine Vorstufe zu Ihrer Buchhaltungs-Software, kein Ersatz. Diese Übersicht zeigt die fünf Punkte, in denen sich unsere Belegfluss-Vorstufe von vollständigen Buchhaltungs-Plattformen unterscheidet. Sachlich, mit Quellen, ohne Abwertung der Mitbewerber. Stand: Mai 2026.

Merkmal Rechnungs-Kontor DATEV
Unternehmen online
Lexware Office
Mandant kommt ohne eigenes Software-Konto aus E-Mail-Weiterleitung an persönliche Adresse oder ein Hochladen-Link, ohne Anmeldung Mandanten-Anmeldung in DATEV SmartLogin erforderlich Eigenes Lexware-Konto erforderlich
§14 UStG-Pflichtangaben werden bereits beim Eingang geprüft Sofortige Warnung mit Paragrafen-Zitat, bevor der Beleg archiviert wird Prüfung erfolgt erst beim Buchen in DATEV Rechnungswesen Prüfung erfolgt erst beim Buchen in Lexware Office
Audit-Log öffentlich nachprüfbar (Bitcoin-Verankerung) Tägliche Verankerung in der Bitcoin-Blockchain über OpenTimestamps, einsehbar unter /integrity Internes Audit-Log, kein öffentlich verifizierbarer Nachweis Internes Audit-Log, kein öffentlich verifizierbarer Nachweis
Monatliches Übergabe-Paket inkl. Originale und Manifest DATEV-Format-CSV + Vorsteuer-Aufstellung + Original-Belege + SHA-256-Manifest in einem ZIP Daten verbleiben primär im DATEV-Ökosystem; Bundle-Export ist kein Standard-Anwendungsfall DATEV-CSV-Export verfügbar, Originale separat herunterzuladen
Steuerkanzlei ist Vertragspartner, der Mandant zahlt nichts an uns Eine Rechnung an die Kanzlei, transparent pro aktivem Mandant Mandant ist DATEV-Vertragsnehmer und Rechnungsempfänger Endkunde / KMU ist Lexware-Vertragsnehmer und Rechnungsempfänger

DATEV®, Unternehmen online®, Lexware® und Lexware Office® sind Marken der jeweiligen Inhaber. Angaben basieren auf den jeweils öffentlich verfügbaren Produkt- und Preisseiten sowie den Bedingungswerken der Anbieter. Bei abweichendem aktuellem Stand bitten wir um kurze Mitteilung an kontakt@rechnungs-kontor.de, wir korrigieren umgehend.

Ihre Zahlen, unsere Preise.

Bewegen Sie die Regler, um den geschätzten Zeitwert pro Monat mit unserem Preis zu vergleichen. Die Annahmen sind Ihre, die Rechnung ist transparent.

Wie viele Mandanten würden Sie über Rechnungs-Kontor laufen lassen? Einzelkanzleien betreuen typischerweise 150 bis 250 Mandanten, Sozietäten meist 300 bis 600; ein schrittweiser Rollout ist üblich.

Zeit, die Sie heute pro Mandant für Sortieren, Nachfassen und Aufbereiten der weitergeleiteten Belege aufwenden.

Bei BStBK-Berufsstatistik 2025 liegen typische Stundensätze von SMB-Steuerkanzleien zwischen 80 € und 150 €.

Faire Preise, keine Überraschungen.

Alle Preise netto, zuzüglich gesetzlicher Umsatzsteuer (USt., 19 %).

49 €netto
pro Monat
pro Kanzlei (Grundgebühr), zzgl. USt.
+ 9 €netto
pro Monat
pro aktivem Mandant, zzgl. USt.
  • Keine Vertragslaufzeit, monatlich kündbar
  • Keine Einrichtungsgebühr
  • Archivierte Mandanten werden nicht mehr berechnet, Daten bleiben für die gesetzliche Aufbewahrungsfrist erhalten
  • Beliebig viele Team-Mitglieder im Abonnement enthalten
  • Zahlung per Kreditkarte über Stripe (PCI-DSS Level 1)

Beispielrechnung. 40 aktive Mandanten: 49 € + 360 € = 409 € netto pro Monat, brutto 486,71 € (mit 19 % USt.).

60 Tage kostenfrei testen

Alle Funktionen freigeschaltet. Keine Kreditkarte. Im Test enthalten sind 5 Mandanten, 200 Belege (kumuliert) und 3 Team-Mitglieder. Sobald Sie abonnieren, entfallen die Mengenbeschränkungen sofort, bestehende Daten und Konfiguration bleiben unverändert.

Konto anlegen

Probieren Sie es mit einem echten Mandanten.

Kostenfrei loslegen Anmelden