Die Unternehmenspflichten der Geschäftsführung im Mittelstand bilden ein dichtes Geflecht aus steuerlichen, handelsrechtlichen, arbeitsrechtlichen, sozialversicherungsrechtlichen und organisatorischen Anforderungen, deren konsequente Einhaltung weniger eine Frage von Rechtskenntnis als eine Frage strukturierter Prozesse ist. Wer als Geschäftsführer einer GmbH, einer UG oder einer mittelständischen AG agiert, übernimmt nicht nur die operative Leitung des Betriebs, sondern haftet im Fall grober Pflichtverletzung persönlich gegenüber Gesellschaft, Gläubigern und Finanzbehörden. Dieser Beitrag bündelt den Pflichtenkatalog auf einer übergeordneten Ebene und ordnet die einzelnen Pflichtenfelder nach Funktion, Rechtsquelle und typischem Eskalationsrisiko. Im Fokus stehen klassische, evergreene Pflichten der Geschäftsführung: Buchführung nach GoBD, Bilanzierung nach HGB, Lohnsteuer- und Sozialversicherungspflichten, Berichts- und Offenlegungspflichten sowie Organisations- und Compliance-Pflichten. Sektorspezifische und neu hinzukommende regulatorische Anforderungen, etwa aus dem Bereich Künstliche Intelligenz oder NIS2, werden in eigenen Fachbeiträgen vertieft. Ziel ist ein belastbares Strukturraster, anhand dessen Mittelständler ihren eigenen Pflichtenstand prüfen können.
Funktion und Struktur des Pflichtenkatalogs
Ein Pflichtenkatalog für die Geschäftsführung ist mehr als eine Liste einzelner Vorschriften. Er ordnet rechtliche Verpflichtungen den Verantwortungsbereichen zu, definiert Fristen, weist Zuständigkeiten zu und macht Nachweispflichten überprüfbar. In der Praxis empfiehlt sich eine Gliederung nach Rechtsgebieten, ergänzt um eine Spalte für Frequenz (monatlich, jährlich, anlassbezogen) und eine Spalte für Eskalationsstufen. So lässt sich ein Pflichtenregister sowohl im Tagesgeschäft nutzen als auch im Rahmen interner Audits, bei Wirtschaftsprüfung oder im Vorfeld einer Betriebsprüfung.
Zentrale Rechtsquellen sind GmbH-Gesetz, Aktiengesetz, Handelsgesetzbuch, Abgabenordnung, Einkommensteuergesetz, Umsatzsteuergesetz, Sozialgesetzbücher, Arbeitsschutzgesetz, Geschäftsgeheimnisgesetz, Geldwäschegesetz und die GoBD. Hinzu treten Spezialgesetze wie das Lieferkettensorgfaltspflichtengesetz für größere Unternehmen, branchenspezifische Anforderungen (etwa MaRisk im Finanzsektor) und die DSGVO mit ihren begleitenden nationalen Bestimmungen. Die Geschäftsführung trägt für die Einhaltung aller dieser Vorschriften die sogenannte Legalitätspflicht.
Die Legalitätspflicht der Geschäftsführung verlangt nicht nur, sich selbst gesetzestreu zu verhalten, sondern auch dafür zu sorgen, dass das Unternehmen als Ganzes rechtskonform handelt. Wer Pflichten an Mitarbeitende delegiert, bleibt für Auswahl, Anweisung und Überwachung verantwortlich.
Steuerrechtliche Pflichten und GoBD
Im Zentrum jeder Geschäftsführungspflicht stehen die steuerrechtlichen Anforderungen. Die Abgabenordnung verpflichtet das Unternehmen zur ordnungsgemäßen Buchführung. Konkretisiert wird dies durch die Grundsätze ordnungsmäßiger Buchführung und durch die GoBD, also die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form. Die GoBD verlangen, dass jeder Geschäftsvorfall vollständig, richtig, zeitgerecht, geordnet und unveränderbar erfasst wird. Das gilt auch für vor- und nachgelagerte Systeme wie Kassen, Warenwirtschaft oder Customer-Relationship-Management.
Aufzeichnungs- und Aufbewahrungspflichten
Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Lageberichte und Buchungsbelege sind nach Handelsrecht und Steuerrecht zehn Jahre aufzubewahren. Empfangene und abgesandte Handels- oder Geschäftsbriefe sind sechs Jahre aufzubewahren. Bei elektronischer Archivierung müssen Volltextsuche, maschinelle Auswertbarkeit, Unveränderbarkeit und Zugriffsmöglichkeit für die Finanzverwaltung gewährleistet sein. Wer Belege ausschließlich in der Cloud führt, muss die Erfüllung dieser Anforderungen vom Anbieter dokumentiert nachweisen können.
Erklärungs- und Zahlungspflichten
Lohnsteueranmeldung, Umsatzsteuervoranmeldung, Körperschaftsteuer- und Gewerbesteuererklärung, zusammenfassende Meldungen für innergemeinschaftliche Lieferungen sowie statistische Meldungen wie Intrastat bilden den Pflichtenkalender im Steuerbereich. Verspätungs- und Säumniszuschläge entstehen verschuldensunabhängig. Eine wiederholte verspätete Abgabe kann zudem den Vorwurf der Steuerhinterziehung durch Unterlassen begründen. Mittelständler unterschätzen regelmäßig die Bedeutung sauberer Verfahrensdokumentationen, in denen das gesamte steuerlich relevante IT-Gefüge beschrieben wird.
Handelsrechtliche Pflichten und Bilanzierung
Das Handelsgesetzbuch verpflichtet Kaufleute zur Aufstellung eines Jahresabschlusses. Für Kapitalgesellschaften kommen Lagebericht und Offenlegung beim Bundesanzeiger hinzu, abgestuft nach Größenklassen (Kleinstkapitalgesellschaft, klein, mittelgroß, groß). Größenklassen entscheiden über Umfang von Anhang, Lagebericht, Prüfungspflicht und Offenlegung. Wer Schwellenwerte überschreitet, wird in der Regel nach zwei aufeinanderfolgenden Geschäftsjahren in die nächste Klasse eingestuft.
Zentrale Bestandteile der handelsrechtlichen Pflichten sind ferner die Inventur, die Bewertung von Vermögensgegenständen und Schulden nach dem Vorsichtsprinzip, das Aktivierungs- und Passivierungswahlrecht bei bestimmten Posten sowie die Behandlung von Rückstellungen. Die Geschäftsführung trägt die Verantwortung dafür, dass Jahresabschluss und Lagebericht ein den tatsächlichen Verhältnissen entsprechendes Bild der Vermögens-, Finanz- und Ertragslage des Unternehmens vermitteln.
Arbeitgeberpflichten und Sozialversicherung
Die Geschäftsführung ist Arbeitgeberin im sozialversicherungsrechtlichen Sinn. Sie hat die Lohnabrechnung korrekt zu führen, Beiträge zur Renten-, Kranken-, Pflege-, Arbeitslosen- und Unfallversicherung pünktlich zu zahlen und Meldungen an die Sozialversicherungsträger zu erstatten. Die nicht rechtzeitige Abführung von Arbeitnehmeranteilen ist nach Strafgesetzbuch strafbar und führt regelmäßig zur persönlichen Haftung der Geschäftsführung gegenüber Sozialversicherungsträgern.
Hinzu treten Pflichten aus dem Arbeitsschutzgesetz (Gefährdungsbeurteilung, Unterweisungen, Bestellung von Fachkräften für Arbeitssicherheit und Betriebsärzten), dem Arbeitszeitgesetz (Aufzeichnung der Arbeitszeit), dem Mutterschutzgesetz, dem Bundesurlaubsgesetz, dem Allgemeinen Gleichbehandlungsgesetz und tarifvertraglichen Bestimmungen. Mit der jüngeren Rechtsprechung zur Arbeitszeiterfassung ist die systematische Erfassung der täglichen Arbeitszeit als Pflicht jeder Arbeitgeberin etabliert. Wer hier nur auf Vertrauensarbeitszeit setzt, ohne Aufzeichnung sicherzustellen, läuft in ein bußgeldrelevantes Risiko.
Berichtspflichten, Offenlegung und Transparenz
Mit zunehmender Größe wachsen die Berichtspflichten. Kapitalgesellschaften haben den Jahresabschluss beim Unternehmensregister einzureichen. Bei kapitalmarktorientierten Unternehmen kommt die Zwischenberichterstattung hinzu. Im Bereich der Nachhaltigkeitsberichterstattung führt die Corporate Sustainability Reporting Directive perspektivisch auch viele große Mittelständler in eine berichtspflichtige Lage, wobei die genaue Reichweite sektor- und größenabhängig ist. Hinzu treten Transparenzpflichten nach dem Geldwäschegesetz, namentlich die Eintragung wirtschaftlich Berechtigter im Transparenzregister.
Die Verletzung von Transparenz- und Offenlegungspflichten ist regelmäßig bußgeldbewehrt. Das Bundesamt für Justiz verhängt Ordnungsgelder im sechsstelligen Bereich nicht selten in mehreren Stufen, wenn Jahresabschlüsse trotz Mahnung nicht offengelegt werden. Mittelständler, die offen kommunizieren und ihre Berichte zeitnah einreichen, vermeiden nicht nur Bußgelder, sondern verbessern auch ihr Standing bei Banken, Lieferanten und Versicherungen.
Compliance-, Organisations- und Risikomanagementpflichten
Aus § 43 GmbHG und § 93 AktG leitet sich die Sorgfaltspflicht der Geschäftsführung ab. Hieraus folgt eine Organisationspflicht: Das Unternehmen muss so strukturiert sein, dass Rechtsverstöße erkannt, verhindert und gegebenenfalls sanktioniert werden können. Konkrete Bausteine sind ein dokumentiertes internes Kontrollsystem, ein Risikomanagement, klare Vertretungsregelungen, ein Compliance-Management nach IDW PS 980 oder ISO 37301, ein Hinweisgebersystem nach Hinweisgeberschutzgesetz sowie regelmäßige Schulungen.
Beim Thema Informationssicherheit etabliert sich der Standard ISO 27001 als Referenz auch für Mittelständler. Wer Auftragsverarbeiter im Sinne der DSGVO einsetzt, muss Auftragsverarbeitungsverträge abschließen, technisch-organisatorische Maßnahmen prüfen und Datenpannen innerhalb von 72 Stunden an die Aufsichtsbehörde melden. Im Bereich Geldwäscheprävention bestehen je nach Unternehmensgegenstand Pflichten zur Bestellung eines Geldwäschebeauftragten, zur Kundenidentifikation und zur Verdachtsmeldung.
Tabellarischer Überblick zentraler Pflichten
Die folgende Tabelle fasst zentrale Pflichten der Geschäftsführung nach Rechtsgebiet, Frequenz und typischer Sanktion bei Verstoß zusammen. Die Übersicht ersetzt keine individuelle Prüfung, dient aber als Ausgangspunkt für ein Pflichtenregister.
| Pflichtenbereich | Beispielhafte Einzelpflicht | Frequenz | Typische Sanktion bei Verstoß |
|---|---|---|---|
| Steuer (GoBD) | Vollständige, unveränderbare Erfassung aller Geschäftsvorfälle | laufend | Schätzung, Zuschätzung, Bußgeld |
| Steuer (USt) | Umsatzsteuervoranmeldung | monatlich oder quartalsweise | Verspätungszuschlag, Säumniszuschlag |
| Handelsrecht | Jahresabschluss und Offenlegung | jährlich | Ordnungsgeld bis 25.000 Euro je Stufe |
| Sozialversicherung | Pünktliche Abführung Arbeitnehmeranteile | monatlich | Strafbarkeit, persönliche Haftung |
| Arbeitsschutz | Gefährdungsbeurteilung dokumentieren | anlassbezogen, regelmäßig | Bußgeld, Haftung bei Unfall |
| Datenschutz | Verarbeitungsverzeichnis pflegen | laufend | Bußgeld bis vier Prozent Jahresumsatz |
| Geldwäsche | Eintrag im Transparenzregister | anlassbezogen | Bußgeld, Veröffentlichung im Register |
| Compliance | Hinweisgebersystem bereitstellen (ab 50 Beschäftigte) | laufend | Bußgeld, Reputationsschaden |
Aufbau eines Pflichtenmanagement-Systems im Mittelstand
Ein wirksames Pflichtenmanagement folgt einem überschaubaren Vorgehensmuster. Zunächst wird der Pflichtenkatalog aus den anwendbaren Rechtsquellen abgeleitet. Anschließend werden den einzelnen Pflichten Prozesse, Tools und Verantwortliche zugeordnet. Im dritten Schritt entsteht ein Pflichtenkalender, der Termine, Fristen und Eskalationspfade definiert. Den Abschluss bilden Kontrolle und Dokumentation: stichprobenartige Prüfungen, jährliche Reviews, Auditprotokolle. Wichtig ist, dass die Geschäftsführung sich nicht auf einzelne Personen verlässt, sondern Vertretungsregelungen, schriftliche Verfahrensanweisungen und eine zentrale Dokumentenablage etabliert.
Schritt für Schritt zur Pflichtenmatrix
- Rechtsgrundlagen sichten und Pflichten auflisten, gegliedert nach Steuer, Handel, Arbeit, Soziales, Datenschutz, Compliance, branchenspezifischen Anforderungen.
- Pflichten in Einzelaktivitäten überführen und mit Frequenz, Frist und verantwortlicher Rolle versehen.
- Schnittstellen zu Steuerberatung, Wirtschaftsprüfung, externer Rechtsberatung und externen Beauftragten (Datenschutz, Geldwäsche, Sicherheit) klären.
- Pflichten in ein Tool überführen: Tabellenkalkulation, Compliance-Software oder eine speziell konfigurierte Aufgabenverwaltung.
- Reviews planen, etwa quartalsweise mit den Funktionsverantwortlichen und jährlich mit der Geschäftsführung.
- Audit-Trail dokumentieren: erledigte Tätigkeiten, Belege, Schulungsnachweise, Protokolle.
Typische Stolperfallen in der Praxis
Erfahrungsgemäß sind es nicht die seltenen Sonderpflichten, an denen Mittelständler scheitern, sondern die Alltagspflichten, die im Tagesgeschäft untergehen. Häufige Schwachstellen sind eine fehlende Verfahrensdokumentation nach GoBD, unklare Vertretungsregelungen bei Lohnsteuer- und Umsatzsteuervoranmeldungen, eine unsystematische Arbeitszeiterfassung, eine veraltete Gefährdungsbeurteilung, fehlende Auftragsverarbeitungsverträge bei IT-Dienstleistern und unterlassene Eintragungen im Transparenzregister. Auch das Hinweisgebersystem wird in vielen Unternehmen formal eingerichtet, aber nicht in Schulungen und Onboarding-Prozesse eingebunden.
Eine weitere typische Schwachstelle liegt im Bereich der Beauftragten. Ein Datenschutzbeauftragter ist oft nominell benannt, aber nicht hinreichend in die Prozesse eingebunden. Ein Geldwäschebeauftragter ist häufig bei der Geschäftsführung selbst angesiedelt, ohne dass die geforderte Unabhängigkeit dokumentiert wäre. Diese Konstellationen halten in der Regel keiner Prüfung stand und können in der Krise persönliche Haftungsrisiken erzeugen.
Persönliche Haftung der Geschäftsführung
Die persönliche Haftung der Geschäftsführung greift in mehreren Konstellationen. Bei nicht abgeführten Lohnsteuern und Sozialversicherungsbeiträgen besteht eine ausdrücklich geregelte persönliche Haftung. Bei Insolvenzverschleppung oder Zahlungen nach Insolvenzreife haftet die Geschäftsführung gegenüber der Gesellschaft. Bei Verletzung von Sorgfaltspflichten kann die Gesellschaft Schadensersatz geltend machen, insbesondere wenn fehlende Compliance-Strukturen den Schaden ermöglicht haben. Eine D-and-O-Versicherung schützt vor wirtschaftlichen Folgen, ersetzt aber kein funktionierendes Pflichtenmanagement.
Dokumentation und Nachweisführung
Die nüchterne Realität jeder Pflichtenprüfung lautet: Was nicht dokumentiert ist, gilt im Zweifel als nicht erledigt. Das Prinzip greift in Betriebsprüfungen, in arbeitsgerichtlichen Verfahren, in datenschutzrechtlichen Aufsichtsverfahren und in zivilrechtlichen Haftungsprozessen gleichermaßen. Aus diesem Grund verlangt ein belastbarer Pflichtenkatalog, dass jede Pflicht mit einer eindeutigen Nachweisquelle hinterlegt ist. Das kann ein Protokoll sein, ein Auditbericht, eine Schulungsbescheinigung, ein automatisch erzeugter Systemlog oder eine unterschriebene Bestätigung der zuständigen Person.
Praktisch bewährt hat sich ein zweistufiger Aufbau: Eine zentrale Dokumentenablage bündelt alle nachweisrelevanten Dokumente und ist über klare Ablagestrukturen revisionssicher organisiert. Daneben pflegen die Funktionsverantwortlichen ihre eigenen Detailunterlagen. Die zentrale Ablage muss nicht zwingend ein dediziertes Compliance-Tool sein. Auch eine konsequent geführte Dokumentenverwaltung mit Versionierung, Berechtigungskonzept und Aufbewahrungsrichtlinie erfüllt die meisten Anforderungen. Wichtig ist, dass Aufbewahrungsfristen den jeweiligen Pflichtenkategorien zugeordnet sind, damit nichts vorzeitig gelöscht wird.
Strukturierung der Nachweisarchitektur
- Ein Verzeichnis der Pflichten mit Verweis auf den jeweiligen Nachweisort.
- Eine technische Plattform mit Versionierung und Audit-Trail.
- Klare Aufbewahrungsfristen je Pflichtenkategorie, abgeleitet aus Steuer-, Handels-, Sozialversicherungs- und Datenschutzrecht.
- Eine jährliche Inventur der Dokumentenbestände mit Stichproben.
- Regelungen für ausscheidende Beschäftigte, insbesondere für Funktionsträger mit Einzelnachweisen.
Schnittstellen zu externen Beratern
Mittelständische Geschäftsführungen stützen sich regelmäßig auf externe Partner. Steuerberatung, Wirtschaftsprüfung, Rechtsanwaltskanzleien, Datenschutzbeauftragte, Arbeitssicherheit und Geldwäschebeauftragte bringen Spezialwissen ein, das im Unternehmen nicht permanent vorgehalten werden kann. Entscheidend ist eine klare Aufgabenabgrenzung. Wer Aufgaben extern vergibt, bleibt für deren Ergebnis verantwortlich. Verträge sollten Leistungsumfang, Reportingpflichten, Reaktionszeiten und Erreichbarkeit eindeutig regeln. Eine einmal jährliche Begegnung mit der Steuerberatung reicht nicht aus, wenn unterjährig Pflichten mit kurzen Fristen erfüllt werden müssen.
Gut funktionierende Schnittstellen zeichnen sich durch wiederkehrende Routinen aus: ein monatlicher Termin mit der Steuerberatung zur Voranmeldung, ein quartalsweiser Termin mit dem Datenschutzbeauftragten zur Status- und Risikobewertung, ein halbjährlicher Termin mit der Wirtschaftsprüfung zu Vorbereitungen des Abschlusses und ein anlassbezogener Austausch mit der Rechtsberatung bei größeren Vertrags- oder Personalfragen. Diese Routinen lassen sich in den Pflichtenkalender integrieren und schaffen eine vorhersehbare Taktung.
FAQ
Welche Unternehmenspflichten betreffen jede Geschäftsführung im Mittelstand?
Mindestens die ordnungsgemäße Buchführung nach GoBD, der Jahresabschluss nach HGB, Lohnsteuer- und Sozialversicherungspflichten, Datenschutzpflichten nach DSGVO sowie Organisationspflichten zur Verhinderung von Rechtsverstößen. Hinzu treten branchenspezifische Pflichten.
Wie unterscheidet sich der Pflichtenkatalog nach Größenklasse?
Mit jeder höheren Größenklasse nach HGB wachsen Prüfungs-, Berichts- und Offenlegungspflichten. Hinzu kommen Schwellen wie 50 Beschäftigte für das Hinweisgebersystem oder bestimmte Schwellen bei Lieferketten- und Nachhaltigkeitsberichterstattung.
Kann die Geschäftsführung Pflichten an Mitarbeitende delegieren?
Ja, in weitem Umfang. Die Delegation befreit aber nicht von der Pflicht zur sorgfältigen Auswahl, klaren Anweisung und regelmäßigen Überwachung der delegierten Aufgaben.
Welche Rolle spielt das interne Kontrollsystem?
Ein internes Kontrollsystem ist Teil der Organisationspflicht und schützt vor Pflichtverletzungen. Es bündelt Prozesse, Verantwortlichkeiten und Kontrollen so, dass Verstöße frühzeitig sichtbar werden.
Wann wird ein Compliance-Management-System empfohlen?
Spätestens bei mehreren Standorten, ausländischen Tochtergesellschaften, regulierten Märkten oder einer Risikoexposition durch öffentliche Aufträge, Subventionen oder Exportgeschäfte. Standards wie IDW PS 980 oder ISO 37301 bieten eine bewährte Struktur.
Wie hoch sind typische Bußgelder bei Verstößen?
Die Bandbreite ist groß. Verspätete Offenlegung führt regelmäßig zu Ordnungsgeldern im Bereich von 2.500 bis 25.000 Euro pro Stufe. DSGVO-Bußgelder können bis zu vier Prozent des weltweiten Jahresumsatzes erreichen. Strafrechtliche Folgen sind bei Nichtabführung von Sozialversicherungsbeiträgen oder bei Insolvenzdelikten möglich.
Hinweis: Dieser Beitrag gibt ausschließlich die redaktionellen Ansichten der Redaktion von rechtimunternehmen.de wieder. Er stellt keine Rechtsberatung dar und ersetzt nicht die Beratung durch eine qualifizierte Rechtsanwältin oder einen qualifizierten Rechtsanwalt. Für rechtlich verbindliche Auskünfte zu Ihrem konkreten Fall wenden Sie sich bitte an einen zugelassenen Rechtsbeistand.
