VeriFactu Pflicht für Selbstständige im Jahr 2027: Fristen, Strafen und wie man sich vorbereitet

Wenn Sie ein Geschäft in Spanien haben und Rechnungen ausstellen, ist der 1. Juli 2027 ein Datum, das Sie kennen müssen.

An diesem Tag wird VeriFactu für Selbstständige verpflichtend. Für Unternehmen ist die Frist sechs Monate früher: der 1. Januar 2027. Wenn Ihre Rechnungssoftware an diesem Datum die technischen Anforderungen nicht erfüllt, sieht das Anti-Betrugs-Gesetz eine Strafe von 50.000 EUR pro Geschäftsjahr vor. Nicht als Höchstbetrag. Sondern als festen Mindestbetrag.

Und doch wissen Anfang 2026 die meisten Selbstständigen in Spanien nicht genau, was VeriFactu ist, was ihre Software tun muss, um die Anforderungen zu erfüllen, oder ob das Programm, das sie heute verwenden, rechtzeitig bereit sein wird.

Dieser Leitfaden beantwortet diese drei Fragen.

Was ist VeriFactu und warum gibt es das?

Die Steuerbehörde weiß seit Jahren, dass Steuerbetrug in Spanien nicht nur durch falsche Erklärungen geschieht. Er geschieht zum Teil auch, weil Rechnungsstellungsprogramme manipuliert werden können: Rechnungen löschen, Beträge ändern, zwei Versionen der Buchhaltung erstellen. Die Technologie erlaubte dies, und keine Vorschrift verhinderte es.

VeriFactu ist die regulatorische Antwort auf dieses Problem. Sein Name leitet sich von “Rechnungsüberprüfung” ab, und sein Ziel ist technisch: ausgestellte Rechnungen unveränderlich, nachvollziehbar und von der Steuerbehörde überprüfbar zu machen.

Es regelt nicht, wie viel Sie fakturieren oder wem. Es regelt, wie Ihre Software die Rechnungsdaten intern verwaltet.

Die rechtliche Grundlage ist in:

• Gesetz 11/2021 (Anti-Betrugs-Gesetz): legt die Strafen und die grundlegende Verpflichtung fest
• Königliches Dekret 1007/2023 (RRSIF-Verordnung): definiert die technischen Anforderungen
• Verordnung HAC/1177/2024: konkrete Spezifikationen für Hash, QR, XML und Datenschemata
• Königliches Gesetzesdekret 15/2025: verlängert die Fristen um ein Jahr (von 2026 auf 2027)

Die endgültigen Fristen

Das Königliche Gesetzesdekret 15/2025 verlängerte die ursprünglichen Fristen um zwölf Monate. Dies sind die aktuellen Fristen:

Gruppe	Frist
Softwareentwickler	29. Juli 2025 (bereits abgelaufen)
Unternehmen (Körperschaftsteuer)	1. Januar 2027
Selbstständige und sonstige Steuerpflichtige	1. Juli 2027

Softwareentwickler sollten ihre Produkte bereits seit Juli 2025 angepasst haben. Wenn das Programm, das Sie verwenden, nichts über VeriFactu kommuniziert hat, gibt es zwei Möglichkeiten: Entweder verzögern sie sich, oder sie werden es nicht tun.

Was Ihre Software tun muss, um die Anforderungen zu erfüllen

VeriFactu verpflichtet Sie nicht, alles in Echtzeit an das Finanzamt zu senden (obwohl Sie dies tun können, wenn Sie möchten). Es verpflichtet jedoch Ihre Software, vier technische Anforderungen in allen Rechnungsdatensätzen zu erfüllen:

1. SHA-256-Hashkette

Jede Rechnung generiert einen kryptografischen Code (Hash), der die Daten dieser Rechnung und den Hash der vorherigen Rechnung enthält. Es ist eine Kette: Wenn jemand eine Rechnung in der Mitte ändert oder löscht, stimmen die nachfolgenden Hashes nicht überein und es bleibt ein Nachweis der Manipulation erhalten.

Die acht Pflichtfelder, die in die Hash-Berechnung einfließen, umfassen: Rechnungsnummer, Datum, NIF des Ausstellers, Gesamtbetrag, IVA-Satz, Bemessungsgrundlage, Steuersatz und Steuerbetrag.

2. Verifizierbarer QR-Code

Alle ausgestellten Rechnungen müssen einen QR-Code enthalten, der auf die elektronische Geschäftsstelle der AEAT verweist, wo überprüft werden kann, ob diese Rechnung im System existiert. Jeder – der Kunde, ein Prüfer, Sie selbst – kann ihn scannen und seine Echtheit bestätigen.

3. Fortlaufende Nummerierung ohne Lücken

Die Rechnungsnummerierung muss fortlaufend und ohne Unterbrechungen erfolgen. Rechnung 2027-045 kann nicht gelöscht werden, um vorzugeben, sie hätte nie existiert. Wird eine Rechnung storniert, bleibt ein Stornierungsdatensatz in der Kette. Die Nummer verschwindet nicht.

4. Unveränderlichkeit

Ausgestellte Rechnungen können nicht bearbeitet oder gelöscht werden. Sie können nur storniert werden, wobei ein Stornierungsdatensatz ebenfalls Teil der Kette ist. Entwürfe sind bearbeitbar, aber sobald die Rechnung ausgestellt ist, ist sie unveränderlich.

Es gibt zwei Konformitätsmodi, beide legal:

VeriFactu-Modus (aktiver Versand): Die Software sendet die Rechnungsdaten in Echtzeit oder nahezu in Echtzeit an die AEAT. Rechnungen können den Hinweis “Rechnung verifizierbar in der elektronischen Geschäftsstelle der AEAT” enthalten. Die AEAT hat Ihre Daten, bevor das Finanzamt Sie überhaupt danach fragt.

Nicht-VeriFactu-Modus (lokale Speicherung): Die Software speichert alle Datensätze mit den technischen Garantien (Hash, QR, Sequenz), sendet sie aber nicht automatisch. Die AEAT kann sie jederzeit anfordern. Der Steuerpflichtige muss sie vollständig und überprüfbar liefern können.

Beide Modi erfüllen die Anforderungen. Der Unterschied ist operativ, nicht rechtlich.

Die Strafen, die niemand erleben möchte

Artikel 201a des Allgemeinen Steuergesetzes (eingeführt durch Gesetz 11/2021) legt das Sanktionsregime fest:

Verstoß	Strafe
Verwendung nicht zertifizierter Software	50.000 EUR pro Geschäftsjahr
Software, die doppelte Buchführung ermöglicht	150.000 EUR
Hersteller, der nicht konforme Software verkauft	150.000 EUR pro Geschäftsjahr
Änderung oder Zerstörung von Rechnungsdatensätzen	1.000–100.000 EUR

Was diese Zahlen besonders gravierend macht: Sie erfordern keine Betrugsabsicht. Wenn Ihre Software die technischen Anforderungen bis zur Frist nicht erfüllt, wird die Strafe angewendet. Es spielt keine Rolle, ob alle Ihre Rechnungen korrekt sind. Es spielt keine Rolle, ob Sie alle Ihre Steuern bezahlt haben. Die Nichteinhaltung ist objektiver Natur.

Es sind Ermäßigungen verfügbar: 30 % bei Einverständnis mit der Strafe, zusätzliche 25 % bei sofortiger Zahlung. Doch selbst bei Anwendung der maximalen Ermäßigungen sprechen wir von 26.250 EUR für die Grundstrafe. Für einen Selbstständigen, der 40.000 EUR pro Jahr fakturiert, ist das fast ein Quartal des Bruttoeinkommens.

Der aktuelle Stand der ERPs in Spanien

Anfang 2026 stellt sich die Situation der wichtigsten Rechnungsstellungsprogramme in Spanien hinsichtlich VeriFactu wie folgt dar:

Programm	Status
Holded	Als sozialer Mitarbeiter der AEAT zertifiziert
Sage	Angepasst
Contasimple	Angepasst
Quipu	Angepasst
Billin	Angepasst
Frihet	4 Phasen implementiert (Hash, QR, Sequenz, XML)
Anfix	In Bearbeitung
Excel / Word	Nicht konform. Wird auch nicht konform sein.

Wenn Ihre Rechnungssoftware nicht in dieser Liste erscheint oder keine offizielle Mitteilung über ihre Anpassung veröffentlicht hat, ist der nächste Schritt, sie direkt zu fragen: Wann erfüllen sie die VeriFactu-Anforderungen? Ist die AEAT-Sandbox in Betrieb? Welche Zertifizierung haben sie?

Wenn die Antwort vage ist, haben Sie Zeit, die Software vor Juli 2027 zu wechseln. Aber diese Zeit ist nicht unendlich.

Was zu tun ist, wenn Sie Excel oder Word für die Rechnungsstellung verwenden

Das ist klar: Excel und Word erfüllen die VeriFactu-Anforderungen nicht und werden dies auch niemals tun. Sie können keine Hashketten generieren, keine überprüfbaren QR-Codes einfügen und keine fortlaufende Nummerierung garantieren.

Wenn Sie Rechnungen aus einer Tabellenkalkulation oder einem Textdokument ausstellen, müssen Sie vor Ablauf der Frist zu einem Rechnungsstellungsprogramm wechseln. Nicht als Optimierung. Sondern als gesetzliche Verpflichtung.

Die gute Nachricht ist, dass zertifizierte Programme existieren, zugänglich sind und kostenlose Pläne haben, die die Bedürfnisse eines beginnenden Selbstständigen abdecken.

Wie Frihet die Compliance verwaltet

Frihet hat die vier Phasen der VeriFactu-Compliance implementiert. Der Benutzer muss nichts tun: Das System verwaltet alles automatisch bei jeder ausgestellten Rechnung.

Phase 0 — Unveränderlichkeit: Ausgestellte Rechnungen können nicht gelöscht oder bearbeitet werden. Sie können nur storniert werden, wobei der Stornierungsdatensatz in der Kette verbleibt. Entwürfe sind bis zur Ausstellung bearbeitbar.

Phase 1 — SHA-256-Hashkette: Jede Rechnung generiert automatisch ihren kryptografischen Hash mit den acht Pflichtfeldern der Verordnung HAC/1177/2024 plus dem Hash der vorherigen Rechnung. Die Kette ist fortlaufend und überprüfbar.

Phase 2 — QR und Nummerierung: Alle Rechnungen enthalten einen in der AEAT-Geschäftsstelle verifizierbaren QR-Code. Die Nummernkreise sind auf dem Server atomar: Es gibt keine Lücken, keine Duplikate, keine Möglichkeit der Interferenz.

Phase 3 — XML und AEAT-Versand: Generierung von XML gemäß den offiziellen XSD-Schemata. SOAP-Versand mit XAdES-Signatur. Registrierungen (RegistroAlta) und Stornierungen (RegistroAnulacion) gemäß Spezifikation.

Das Ergebnis für den Benutzer ist einfach: Sie stellen Ihre Rechnung aus, und sie erfüllt bereits die VeriFactu-Anforderungen. Der Hash wird auf dem Server berechnet, der QR-Code erscheint im PDF, die Reihenfolge wird ohne Eingriff beibehalten. Es gibt keine Konfiguration vorzunehmen, kein Modul zu aktivieren, kein Zertifikat zu verwalten, wenn Sie den Versandmodus über Frihet als sozialen Mitarbeiter verwenden.

Checkliste, um vor 2027 bereit zu sein

Wenn Sie selbstständig sind oder ein KMU verwalten und sicherstellen möchten, dass Sie abgesichert sind:

Die Kurzfassung

VeriFactu ist verpflichtend. Die Fristen sind real: Januar 2027 für Unternehmen, Juli 2027 für Selbstständige. Die Strafe bei Nichteinhaltung beträgt 50.000 EUR pro Geschäftsjahr, ohne dass ein Betrug vorliegen muss.

Ihre Software muss vier Anforderungen erfüllen: SHA-256-Hashkette, in der AEAT verifizierbarer QR-Code, fortlaufende Nummerierung ohne Lücken und Unveränderlichkeit der ausgestellten Rechnungen.

Wenn Ihr Rechnungsstellungsprogramm diese bereits erfüllt, sind Sie abgesichert. Wenn nicht, haben Sie Zeit zum Wechseln. Aber diese Zeit wird mit jedem Monat knapper.

Frihet erfüllt sie. Wenn Sie dies überprüfen möchten, stellen Sie eine Testrechnung aus und überprüfen Sie den QR-Code. Es funktioniert.