Ein ECM-System ist ein integriertes Software- und Methoden-Rahmenwerk, das den gesamten Lebenszyklus aller unstrukturierten Inhalte eines Unternehmens steuert. Die AIIM-Definition — bis heute Branchenstandard und in deutscher Übersetzung von Kampffmeyer (PROJECT CONSULT) konsolidiert — kennt fünf Hauptkomponenten: Capture (Erfassung), Manage (Verwalten), Store (Speichern), Preserve (Bewahren) und Deliver (Bereitstellen).
In der Praxis haben wir die Grenze zwischen ECM und einem reinen DMS (Dokumentenmanagement-System) immer dort gezogen, wo der Compliance-Druck beginnt: Ein DMS verwaltet Dokumente, ein ECM verwaltet rechtssicher revisionierbare Geschäftsobjekte mit zugehörigen Prozessen. Gartner hat den Markt 2017 in „Content Services Platforms (CSP)" umgetauft. Im DACH-Mittelstand bleibt „ECM-System" jedoch der gesuchte und gekaufte Begriff — die Architektur dahinter folgt zunehmend dem CSP-Modell mit API-first-Diensten statt monolithischer Suiten.
Aus unserer Erfahrung sind drei Merkmale für ein praxistaugliches ECM nicht verhandelbar: Erstens eine GoBD-konforme, unveränderbare Speicherschicht laut BMF-Schreiben vom 14.07.2025. Zweitens Workflow-Engines, die ERP-Belegketten ohne Medienbruch abbilden. Drittens eine Berechtigungsmatrix, die DSGVO und NIS-2-UmsuCG gleichzeitig erfüllt.
Warum ECM 2026 für den Mittelstand entscheidend ist
Drei Regulierungen treffen 2026 gleichzeitig: NIS-2 (in Kraft seit 06.12.2025), GoBD-Update vom 14.07.2025 und eIDAS 2.0 mit EUDI-Wallet-Pflicht bis Ende 2026. Gleichzeitig nutzen laut Bitkom nur rund 11 Prozent der Mittelständler ein unternehmensweites ECM.
Drei regulatorische Bewegungen treffen 2026 zeitgleich auf den Mittelstand. Erstens ist das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) seit 06.12.2025 in Kraft. Rund 29.500 Unternehmen in 18 Sektoren müssen sich bis 06.03.2026 beim BSI registrieren — ohne Übergangsfrist. Für ECM bedeutet das: Aufbewahrungs- und Protokollierungsprozesse werden zur prüfpflichtigen Kontrolle.
Zweitens hat das Bundesfinanzministerium die GoBD mit BMF-Schreiben vom 14.07.2025 zum zweiten Mal geändert. Die strukturierte XML-Datei einer E-Rechnung gilt jetzt als Archiv-Original — die bildhafte PDF nicht mehr ausreichend. Wer seit 01.01.2025 E-Rechnungen empfängt (verpflichtend im inländischen B2B-Verkehr) und nur das PDF archiviert, archiviert das falsche Format.
Drittens trat eIDAS 2.0 (Verordnung (EU) 2024/1183) am 20.05.2024 in Kraft. Bis 31.12.2026 müssen alle EU-Mitgliedstaaten eine EUDI Wallet bereitstellen. Für ECM-Systeme heißt das konkret: qualifizierte elektronische Siegel und Signaturen werden zum Standardprüfpfad bei Verträgen — ein Hersteller, der das Wallet-Protokoll nicht unterstützt, scheidet 2026 aus dem Vergaberahmen aus.
Die Adoptionslücke ist gleichzeitig dramatisch. Laut Bitkom Digital Office Index nutzen nur etwa 11 Prozent der mittelständischen Unternehmen ein unternehmensweites digitales Dokumentenmanagement. Bei Großunternehmen sind es 81 Prozent. Wir haben in unseren Projekten 2024 und 2025 beobachtet, dass dieser Rückstand 2026 zur regulatorischen Klippe wird — wer jetzt nicht startet, läuft in eine BSI-Prüfung ohne saubere Audit-Spur.
Praxisbeispiel: ECM-ERP-Integration bei einem mittelständischen Unternehmen
Bei einem Küchenhersteller mit rund 320 Mitarbeitern haben wir 2024 dokumentiert, dass die ECM-Auswahl nach acht Wochen abgeschlossen war, die saubere Belegverknüpfung zwischen ECM und ERP jedoch weitere fünf Monate brauchte. Sieben Datenfelder waren regelmäßig die Bruchstelle.
Wir haben in unseren Projekten mit Mittelstand-Unternehmen aus der DACH-Region — über 400 Projekte in mehr als 30 Jahren — beobachtet: Sobald mehr als 250 Mitarbeiter im Geltungsbereich einer ECM-Einführung liegen, verschiebt sich das eigentliche Risiko vom ECM-Modul zur ECM-ERP-Integrationsschicht.
Im Küchenhersteller-Fall reißen sieben Datenfelder regelmäßig auf: Belegnummer, Buchungsperiode, Steuerkennzeichen, Kostenstelle, Kreditor/Debitor, Lieferschein-Referenz und Vertragsklassifikation. Aus unserer Erfahrung scheitert nicht die Erfassung — OCR und KI-gestütztes Capture funktionieren mittlerweile zuverlässig — sondern die Rückverknüpfung dieser Felder in beide Richtungen. ERP-seitig fehlt häufig die Versionierungslogik, ECM-seitig die Buchungslogik.
Das Ergebnis im genannten Projekt: Bearbeitungszeit pro Eingangsrechnung von durchschnittlich 11,5 Minuten auf 3,2 Minuten, Skonto-Ausnutzungsquote von 62 auf 91 Prozent, Audit-Vorbereitungszeit für die Jahresabschlussprüfung von vier auf eineinhalb Wochen. Die Investition in die Integrationsschicht war etwa doppelt so hoch wie die Lizenzkosten des ECM-Produkts. Bei einem Dreher-Auswahlprojekt gilt seit Jahren die Regel: Wer das Integrationsbudget kleiner als das Lizenzbudget plant, hat das Projekt noch nicht verstanden. Aus unserer Erfahrung lohnt sich zudem eine eigene Rolle „ECM-ERP-Integration-Owner" für die ersten zwölf Monate nach Go-Live — in unseren Projekten ist diese Rolle der zuverlässigste Hebel gegen schleichende Datenfeld-Divergenz zwischen den beiden Systemen.
Was die meisten ECM-Beratungen verschweigen
Drei Punkte tauchen in Top-10-Suchergebnissen zu „ECM-System" praktisch nie auf: die konkrete NIS-2-Wirkung seit 06.12.2025, die GoBD-Aktualisierung vom 14.07.2025 mit XML-Archivpflicht und die eIDAS-2.0-Wallet-Bereitschaft als Auswahlkriterium 2026.
1. NIS-2 macht ECM zur Compliance-Pflicht — nicht zur IT-Wahl
In den meistgelesenen ECM-Wiki-Artikeln im DACH-Raum steht nichts zur konkreten Wirkung des NIS2UmsuCG seit 06.12.2025. Das ist auffällig: NIS-2 verlangt explizit nachvollziehbare Aufbewahrung sicherheitsrelevanter Protokolle, lückenlose Zugriffslogs, dokumentierte Lösch- und Sperrprozesse. Ohne ECM ist das in einem 300-Mitarbeiter-Betrieb nicht prüfbar abbildbar. Wir haben in unseren Projekten 2025 und 2026 erlebt, dass NIS-2 das ECM-Budget aus der IT-Diskussion in die Geschäftsführungsentscheidung gehoben hat.
2. Die GoBD-Aktualisierung vom 14.07.2025 entwertet alte Archive
Die meisten Wiki-Quellen zitieren noch die GoBD-Fassung von 2019. Tatsächlich gilt seit der zweiten Änderung im BMF-Schreiben vom 14.07.2025: Bei E-Rechnungen ist die strukturierte XML-Datei das Archiv-Original. Bestehende ECM-Archive, die nur das PDF speichern, verlieren ihre Beweiskraft. Aus unserer Erfahrung haben weniger als 20 Prozent der mittelständischen ECM-Installationen 2025 diesen Punkt schon adressiert.
3. eIDAS-2.0-Bereitschaft ist 2026 ein hartes Auswahlkriterium
Kein Top-10-Ergebnis im DACH-Raum nennt eIDAS-2.0-Wallet-Akzeptanz als ECM-Auswahlkriterium. Mit Verordnung (EU) 2024/1183 und der EUDI-Wallet-Pflicht bis Ende 2026 wird genau das jedoch zum Vergabe-Hygienefaktor. In der Praxis haben wir gesehen, dass Hersteller ohne dokumentierte Wallet-Roadmap aus dem Auswahlverfahren herausfliegen.
Unsere Einordnung
ECM 2026 ist im Mittelstand kein Software-Kauf, sondern eine kombinierte Compliance- und Integrationsentscheidung. Wer die NIS-2-, GoBD- und eIDAS-2.0-Achse nicht im Lastenheft abbildet, wählt das falsche Produkt.
Wie wir ECM-Auswahl methodisch angehen
Wir starten nicht beim Hersteller, sondern beim Belegfluss. Geschäftsobjekte, Compliance-Anforderungen und Aufbewahrungsfristen werden zuerst kartiert. Erst danach entstehen Lastenheft und Shortlist — methodisch dokumentiert mit unserem SCOReX®-Bewertungsrahmen für die Anbieterauswahl.
Eine ECM-Auswahl im Mittelstand beginnt nicht beim Hersteller, sondern beim Belegfluss. Wir analysieren zuerst alle eingehenden und ausgehenden Dokumentenarten, die zugehörigen Geschäftsobjekte im ERP, die Compliance-Anforderungen (GoBD, DSGVO, NIS-2, branchenspezifisch) und die Aufbewahrungsfristen. Erst dann entstehen Lastenheft und Anbieter-Shortlist.
In über 400 Projekten haben wir gelernt, dass ein Feature-Vergleich zwischen ECM-Herstellern allein wenig Erkenntnis bringt. Entscheidend sind zehn Kriterien jenseits der Feature-Liste: Belegvolumen-Skalierung, Mandantenfähigkeit, ERP-Konnektoren, Migrationspfad aus Altbestand, eIDAS-2.0-Wallet-Bereitschaft, NIS-2-Protokollierungsfähigkeit, Cloud-Souveränität (BSI C5:2025), Total Cost of Ownership über sieben Jahre, Exit-Strategie und Hersteller-Roadmap.
Die ECM-Auswahl gewichten wir methodisch nach Geschäftszielen — nicht nach Anbieterprospekt. Das Ergebnis: Projektlaufzeit bis zu 35 Prozent kürzer, Prozesseffizienz nach Einführung bis zu 40 Prozent höher. Bei einem Dreher-Auswahlprojekt sind die Anbieter dann zweite Wahl — die Klärung der Geschäftsziele und der Integrationsanforderungen ist erste Wahl. In der Praxis haben wir gelernt, dass diese Reihenfolge auch die Verhandlungsposition gegenüber dem Hersteller deutlich verbessert.
Häufige Fehler bei ECM-Einführungen
Fünf Fehlermuster aus unserer Projektpraxis: ECM als reines IT-Projekt definieren, Migration zu spät planen, weiterhin nur das PDF archivieren, KI-Capture ohne Vier-Augen-Prinzip einsetzen, Cloud-Sourcing ohne Souveränitätsnachweis.
Fehler 1 — ECM als IT-Projekt definieren. Wer ECM ohne Process-Owner aus Buchhaltung, Vertrieb, Personal und Recht startet, baut ein Archiv, das niemand füllt. ECM ist ein Organisationsprojekt mit IT-Anteil — nicht umgekehrt.
Fehler 2 — Migration zu spät planen. Die Übernahme historischer Belege aus File-Servern, Mail-Postfächern und Vorgängersystemen ist in der Praxis 30 bis 50 Prozent des Aufwands. Wir empfehlen, die Migration parallel zur Anbieterauswahl zu spezifizieren — nicht erst nach Vertragsabschluss.
Fehler 3 — Nur das PDF archivieren. Seit GoBD-Update 14.07.2025 ist die XML-Datei der E-Rechnung das Original. Wer beim PDF bleibt, archiviert die falsche Datei.
Fehler 4 — KI-Capture ohne Vier-Augen-Prinzip. Bitkom KI-Studie 2026 und der EU AI Act Implementation Timeline verlangen dokumentierte menschliche Kontrolle bei Hochrisiko-Anwendungen.
Fehler 5 — Cloud ohne Souveränitätsprüfung. Ein ECM in einer US-Cloud ohne BSI C5:2025-Testat oder gleichwertigen Nachweis übersteht keine ernsthafte NIS-2-Auditfrage. In der Praxis haben wir die Sourcing-Entscheidung schon mehrfach im laufenden Projekt korrigiert.
Häufig gestellte Fragen
Was ist der Unterschied zwischen ECM und DMS?
Ein DMS (Dokumentenmanagement-System) verwaltet Dokumente; ein ECM-System verwaltet zusätzlich Workflows, Records, Archivierung und Collaboration entlang des gesamten Inhaltslebenszyklus. Praktisch gesagt: Wenn nur die Ablage zählt, reicht ein DMS. Sobald Aufbewahrungsfristen, Genehmigungsprozesse und ERP-Integration eine Rolle spielen, brauchen Sie ein ECM. Im DACH-Mittelstand verschwimmt die Grenze in der Vermarktung — im Lastenheft trennen wir sie klar nach Compliance- und Prozessanforderungen.
Brauchen wir ECM, wenn unser ERP-System bereits Belege speichert?
In den meisten ERP-Systemen ist die Belegablage funktional, aber GoBD-Tiefe, Volltextsuche, Archivlaufzeit und Audit-Trail sind oft nicht ausreichend. Wir haben in unseren Projekten beobachtet, dass spätestens bei 100.000 Eingangsbelegen pro Jahr oder bei NIS-2-Pflicht ein dediziertes ECM die wirtschaftlichere Lösung ist — die ERP-eigene Ablage stößt dann an Performance- und Compliance-Grenzen, insbesondere bei Aufbewahrungsfristen über zehn Jahre.
Cloud-ECM oder On-Premise — was passt 2026 zum Mittelstand?
Beides ist möglich, beide Modelle haben 2026 valide Anwendungsfälle. Entscheidend ist die Sourcing-Logik: BSI C5:2025-Testat, NIS-2-Auditfähigkeit, Datenstandort, Exit-Strategie. Aus unserer Erfahrung wählen rund zwei Drittel der DACH-Mittelständler 2026 hybride Modelle — kritische Belegklassen on-prem oder in einer souveränen Cloud, kollaborative Inhalte in einer Public Cloud mit Datenraum-Garantien. Die Architekturentscheidung folgt dem Compliance-Profil, nicht dem Trendthema.
Nächste Schritte
Wenn Sie eine ECM-Einführung oder eine ECM-Ablösung 2026 planen, ist der wichtigste erste Schritt nicht die Anbieteranfrage — sondern eine sauber dokumentierte Beleg- und Prozessanalyse, abgeglichen mit Ihren Compliance-Pflichten aus NIS-2, GoBD-Update 14.07.2025 und eIDAS 2.0. Mehr zu unserer Methodik finden Sie auf der Seite unabhängige ERP-Beratung sowie im Überblick zu unseren Digitalisierungs-Dienstleistungen.
30 Minuten mit Dr. Dreher
Strukturierte Standortbestimmung Ihrer ECM- und Compliance-Landschaft, drei priorisierte Handlungsfelder und eine klare Empfehlung, ob ein Vorprojekt sinnvoll ist — herstellerunabhängig.
