Unternehmenspflichten praktisch: Dokumentation und Compliance-Management für Geschäftsführer

Unternehmenspflichten sind für Geschäftsführer und Geschäftsleitung im Mittelstand eine täglich aktuelle Herausforderung. Ob Dokumentationspflichten, Nachweisanforderungen oder interne Kontrollsysteme – wer diese verletzt, riskiert nicht nur Bußgelder, sondern persönliche Haftung. Dieser Beitrag fokussiert auf die praktische Umsetzung: Wie dokumentiert man Compliance richtig? Welche Prozesse sind erforderlich? Und welche Fehler führen zu Haftungsrisiken? Hinweis: Dieser Artikel bietet fachliche Orientierung und ersetzt keine individuelle Rechtsberatung.

Das Spannungsfeld: Unternehmenspflichten und persönliche Haftung

Eine häufige Konfusion: Viele Geschäftsführer denken, dass Unternehmenspflichten die Unternehmung treffen – die Haftung also bei der GmbH liegt. Das ist teilweise richtig, teilweise ein Trugschluss. Moderne Unternehmensgesetze regeln immer häufiger die persönliche Haftung von Geschäftsführern und Vorständen, wenn sie ihre Sorgfaltspflichten verletzen.

Konkrete Beispiele:

  • Bilanzfälschung: Die Geschäftsführung verantwortlich, dass die Bilanz wahrheitsgemäß ist. Fehler können zu Haftungsrisiken führen (§ 263 StGB, § 88 HGB).
  • Datenschutz (DSGVO): Geschäftsführer müssen sicherstellen, dass Kundendaten geschützt sind. Ein Datenleck durch fahrlässige Sicherheitsmaßnahmen kann zu Geldstrafen von bis zu 10 Millionen Euro führen (Art. 83 DSGVO), teilweise mit persönlicher Haftung der GL.
  • Arbeitsschutz: Unternehmer müssen Arbeitsschutzmaßnahmen implementieren und dokumentieren. Ein Arbeitsunfall, der auf Fahrlässigkeit zurückzuführen ist, kann zu Strafermittlungen führen.
  • Geldwäscheschutz: Unternehmen im Finanzsektor oder mit hohem Bargeldaufkommen müssen Geldwäsche-Checks durchführen. Versäumnisse führen zu Bußgeldern bis 1 Million Euro.
  • Umweltschutz: Haftung für Umweltschäden, auch persönliche Haftung von Geschäftsführern unter bestimmten Bedingungen.

Das Muster ist klar: Der Staat verlagert Compliance-Verantwortung auf die Geschäftsführung. Das heißt, wer diese Verantwortung nicht ernst nimmt, riskiert bedeutende persönliche Konsequenzen.

Kernpflichten des Geschäftsführers im Überblick

Welche Pflichten treffen den Geschäftsführer konkret? Eine Übersicht der wichtigsten Bereiche:

Finanzielle Sorgfalt

  • Bilanzierungspflicht: Jahresabschluss muss zeitgerecht, wahrheitsgetreu und vollständig erarbeitet werden (§ 159 AktG, § 42 GmbHG).
  • Nachweisführung: Alle Geschäftsvorfälle müssen dokumentiert sein (GoBD – Grundsätze der Ordnungsmäßigkeit der Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form).
  • Aufbewahrung: Alle Belege müssen 6–10 Jahre aufbewahrt werden, abhängig von Dokumenttyp (Rechnungen, Verträge, Lohnunterlagen etc.).
  • Transparenz: Besonders bei Kapitalgesellschaften: Geschäftsführer muss Anteilseigner, Aufsichtsrat, Belegschaft über finanzielle Situation informieren.

Personal und Arbeitsschutz

  • Arbeitsverträge: Müssen schriftlich vorliegen und wesentliche Bedingungen enthalten (§ 2 NachwV).
  • Arbeitsschutz: Betriebsstätte muss sicher sein (ArbStättV, ASR), Gefährdungsbeurteilung durchgeführt, Schulungen dokumentiert.
  • Sozialversicherung: Beiträge müssen korrekt berechnet und termingerecht abgeführt werden.
  • Betriebsverfassung: Betriebsrat hat Mitwirkungsrechte, die eingehalten werden müssen (BetrVG).

Datenschutz und IT-Sicherheit

  • Datenschutzerklärung: Website und Geschäftsprozesse müssen DSGVO-konform sein.
  • Datenschutz-Folgenabschätzung: Bei riskanten Datenverarbeitungen erforderlich (Art. 35 DSGVO).
  • Datenschutzbeauftragter: Ab bestimmter Größe oder bei sensiblen Tätigkeiten erforderlich.
  • Incident-Response: Ein Datenleck muss dokumentiert und ggfs. den Behörden und Betroffenen mitgeteilt werden.
  • Verträge mit Dienstleistern: Auftragsverarbeitungsverträge (AVV) müssen mit allen Anbietern bestehen, die auf Kundendaten zugreifen.

Compliance und Anti-Korruption

  • Geschenke und Bestechung: Geschenkannahmen müssen dokumentiert und angemessen sein (§ 299 StGB, § 333 StGB).
  • Interessenskonflikte: Geschäftführer muss Interessenskonflikte offenlegen (z.B. wenn ein Geschäftsführer auch mit einem Lieferanten verheiratet ist).
  • Compliance-Richtlinien: Mitarbeiter sollten geschult und an Verhaltensrichtlinien gebunden sein.

Die Dokumentationspflicht als Herzstück der Compliance

Viele Unternehmen vernachlässigen die Dokumentation ihrer Prozesse und Entscheidungen. Das ist gefährlich. Im Ernstfall (Prüfung durch Finanzbehörden, Arbeitsinspektoren, oder ein Rechtsstreit) ist Dokumentation oft das einzige, was den Geschäftsführer schützt.

Beispiel: Ein Geschäftsführer behauptet, dass ein Arbeitsunfall sofort dem Arbeitgeberunfallversicherungsverband gemeldet wurde. Aber die Dokumentation fehlt. Im Falle einer Anklage wegen fahrlässiger Körperverletzung wird es schwierig. Mit Dokumentation (E-Mail-Nachweis, Anmeldebescheinigung) ist der Nachweis erbracht.

Was sollte dokumentiert sein?

  • Geschäftsvorfälle: Alle Ein- und Ausgaben, Verträge, Rechnungen (GoBD-konform).
  • Entscheidungen: Minuten von Gesellschafter-, Aufsichtsrats- oder Geschäftsleitersitzungen.
  • Prozesse: Wer ist verantwortlich für was? Wie werden Qualität und Compliance kontrolliert?
  • Schulungen: Datenschutz-, Arbeitsschutz-, Compliance-Trainings für Mitarbeiter dokumentieren.
  • Risiken und Maßnahmen: Gefahrenbeurteilungen, Sicherheitsmaßnahmen, Notfallpläne.
  • Änderungen: Wenn Prozesse oder Richtlinien geändert werden, dokumentieren – mit Grund und Gültigkeitsdatum.

Digitale Dokumentation ist heute Standard. ERP-Systeme, Dokumentenmanagementsysteme, oder auch einfache Dateiablage (mit Versionskontrolle) ersparen Kopfschmerzen im Audit.

Risikomanagement und Risikoanalyse für die Geschäftsführung

Ein professioneller Ansatz zur Erfüllung von Unternehmenspflichten beginnt mit Risikoanalyse. Welche Bereiche sind für das Unternehmen besonders regulatorisch risikobehaftet?

Beispiel-Risikoanalyse für einen Mittelständler:

RisikobereichWahrscheinlichkeitPotenzial (€)Maßnahme
Lohnzahlungsansprüche (falsche Berechnung)Mittel50.000 €Externe Lohnbuchführung
Datenleck (IT-Sicherheit)Mittel1.000.000 €Firewall, Mitarbeiter-Training, Incident Plan
ArbeitsunfallGering500.000 €Arbeitsschutz-Schulung, Gefährdungsbeurteilung
BilanzfehlerGering200.000 €Externes Audit, klare Prozesse

Solch eine Matrix hilft, Ressourcen auf die höchsten Risiken zu konzentrieren. Nicht alles kann gleichzeitig adressiert werden – priorisieren ist klug.

Die Geschäftsführerhaftung und Versicherung

Geschäftsführer können persönlich haftbar gemacht werden, wenn sie ihre Pflichten grob fahrlässig verletzen. Eine Geschäftsführer- und Aufsichtsratshaftpflichtversicherung (D&O – Directors & Officers Insurance) schützt vor den schlimmsten Szenarien.

Wichtig: Eine Versicherung ersetzt nicht die Erfüllung der Pflichten, aber sie deckt Kosten für Rechtsverteidigung und Schadensersatz ab. Ohne Versicherung kann eine falsche Entscheidung zu privatem Bankrott führen.

Auch wichtig: Bestimmte Regelverletzungen sind nicht versichert (z.B. vorsätzliche Pflichtverletzungen). Die Dokumentation von due-diligence-Prozessen (dass die GL versucht hat, Risiken zu minimieren) hilft bei Versicherungsansprüchen.

Praxisfall: Mittelständisches Unternehmen mit Compliance-Audit

Ein 50-köpfiges Dienstleistungsunternehmen wurde von einer Prüferin des Finanzamts besucht. Ziel war Umsatzsteuer und Lohnsteuer zu prüfen. Während des Audits stellte sich heraus:

  • Rechnungen wurden nicht korrekt archiviert – einige lagen auf dem privaten Handy des Geschäftsführers
  • Ein Mitarbeiter war 18 Monate ohne schriftlichen Arbeitsvertrag angestellt (Verstoß gegen NachwV)
  • Datenschutzerklärung auf der Website war 3 Jahre alt und DSGVO-nicht-konform
  • Keine Dokumentation von Arbeitsschutz-Unterweisungen

Folgen: Nachzahlung von Steuern und Sozialabgaben (10.000 €), Bußgelder für Datenschutzverstoß (5.000 €), Bußgelder für Arbeitsschutz (2.000 €). Total: ca. 17.000 € + potenzielle Verwaltungsstrafen. Hätte der Geschäftsführer vorbeugende Maßnahmen getroffen (digitale Archivierung, schriftliche Arbeitsverträge, Datenschutz-Update), wäre das vermeidbar gewesen. Das Unternehmen musste danach sein Compliance-System überarbeiten und eine verantwortliche Person (Office Manager) für die Dokumentation designieren. Die Investition (ca. 8.000 € im ersten Jahr) war klein im Vergleich zu Bußgeldern und Reputationsschaden.

Externe Kontrollen und Audits: Worauf Geschäftsführer vorbereitet sein sollten

Früher oder später kommt eine externe Prüfung: Finanzamt, Berufsgenossenschaft, Datenschutz-Aufsichtsbehörde oder ein Wirtschaftsprüfer. Diese Prüfungen sind oft unangekündigt und können stressig sein. Unternehmen mit gutem Compliance-System haben weniger Angst davor.

Typische externe Prüfungen im Mittelstand:

  • Betriebsprüfung (Finanzamt): Prüft Steuererklärungen, Buchhaltung und Lohnsteuer. Dauer: Tage bis Wochen. Ein professioneller Accounting-Prozess mit klarer Dokumentation verkürzt die Prüfung und vermeidet Nachzahlungen.
  • Arbeitsschutz-Inspektion: Kommt unangekündigt und prüft Gefährdungsbeurteilungen, Schulungen, Unfallprotokolle. Klare Dokumentation ist hier Gold wert.
  • Datenschutz-Audit: Behörde kontrolliert DSGVO-Compliance. Ein aktualisiertes Datenschutz-Verzeichnis, Auftragsverarbeitungsverträge und ein Incident-Plan ersparen Bußgelder.
  • Qualitäts- oder Branchen-Audits: Für bestimmte Branchen (Medizin, Finanz, Lebensmittel) sind regelmäßige Audits verpflichtend.

Vorbereitung ist der Schlüssel: Ein Unternehmen, das seine Compliance-Dokumente griffbereit hat, beantwortet Fragen schneller und glaubwürdiger. Wer improvisiert oder Unterlagen suchen muss, weckt Misstrauen.

Schritt-für-Schritt: Compliance-System aufbauen

Wie startet ein Unternehmen mit Compliance-Management?

  1. Risikoanalyse: Welche regulatorischen Risiken treffen das Unternehmen? Einbeziehen: Branchenspezifika, Größe des Unternehmens, geografische Präsenz (inländisch/EU/international).
  2. Dokumentation: Klare Prozessdokumentation für alle kritischen Bereiche (Finanzen, Personal, Datenschutz). Diese Dokumentation muss aktuell, verständlich und regelmäßig überprüft sein.
  3. Verantwortung: Eine Person (Geschäftsführer oder Compliance-Manager) ist für Überwachung zuständig. Stellvertretung klären.
  4. Schulung: Mitarbeiter verstehen, warum Compliance wichtig ist (nicht nur obligatorisch). Jährliche Auffrischungstrainings helfen, die Motivation hoch zu halten.
  5. Reporting: Regelmäßig (monatlich oder quartalsweise) an die Geschäftsführung berichten, ob Standards eingehalten werden. Ein Audit-Bericht zeigt Compliance-Gaps auf.
  6. Continuous Improvement: Wenn Gaps identifiziert werden, beheben und dokumentieren. Dies ist nicht einmalig, sondern ein ständiger Prozess.

Größere Unternehmen nutzen spezialisierte Compliance-Management-Systeme (Software-Lösungen zur Risikoverwaltung, Audit und Dokumentation). Mittelständler können pragmatisch mit strukturierter digitaler Ordnerablage (etwa OneDrive, SharePoint), regelmäßigen Checklisten und einer verantwortlichen Person beginnen. Das ist nicht glamourös, aber oft ausreichend. Der Schlüssel ist Konsequenz und Dokumentation – nicht die Technologie.

Branchenspezifische Besonderheiten bei Unternehmenspflichten

Abhängig von der Branche gibt es zusätzliche, spezifische Pflichten, die Geschäftsführer nicht ignorieren können:

  • Finanzdienstleister (Banken, Versicherungen): Umfassende regulatorische Anforderungen unter BaFin-Aufsicht, Geldwäsche-Compliance (GwG), Kundengeldkonten-Verwaltung. Verstöße führen zu Lizenzentzug.
  • Gesundheitsbranche (Arztpraxen, Pflegeeinrichtungen): Striktes Datenschutz (Patient-Verschweigenheit), Hygienestandards (RKI-Vorgaben), Abfall-Management, Infektionsschutz.
  • Lebensmittelbranche: HACCP-Prinzipien (Hazard Analysis), Hygiene-Dokumentation (EU-VO 852/2004), Allergen-Kennzeichnung, Rückverfolgbarkeit.
  • Bau- und Handwerksbetriebe: Berufsgenossenschaft-Mitgliedschaft, Arbeitsschutz-Unterweisungen (Maschinenschutz, Höhensicherung), Unfallverhütungsvorschriften.
  • E-Commerce und Digitalunternehmen: AGB, Widerrufsrecht (14 Tage), Datenschutz, Impressum-Pflicht, Cookie-Compliance (ePrivacy).

Geschäftsführer sollten ihre Branche genau kennen und wissen, welche Behörden für Compliance zuständig sind. Ein Compliance-Handbuch, das branchenspezifische Anforderungen abdeckt, ist wertvoll.

Häufige Fehler bei Unternehmenspflichten

  • Silo-Denken: Finanzen, Personal, IT-Sicherheit werden getrennt betrieben. Besserer Ansatz: Integriertes Risikomanagement.
  • Zu viel Komplexität: Manche Unternehmen bauen massive Compliance-Systeme auf – overkill für ihre Größe. Schlank anfangen, dann wachsen.
  • Keine kontinuierliche Schulung: Mitarbeiter vergessen, warum etwas wichtig ist. Jährliche Auffrischung hilft.
  • Falsche Priorisierung: Fokus auf unwichtige Dinge, während kritische Risiken ignoriert werden.
  • Keine unabhängige Kontrolle: Die Geschäftsführung kontrolliert sich selbst – blind für eigene Fehler. Ein externer Audit oder ein interner Auditor hilft.
  • Geschwindigkeit über Qualität: Compliance-Prozesse zu schnell durchziehen, ohne sie richtig zu verstehen und zu dokumentieren, führt zu Problemen im Audit.

Checkliste: Unternehmenspflichten erfüllen

  • ☐ Risikoanalyse für regulatorische Bereiche durchgeführt
  • ☐ Dokumentation: Buchhaltung, Verträge, Entscheidungen GoBD-konform archiviert
  • ☐ Arbeitsverträge: Alle Mitarbeiter haben schriftliche Verträge
  • ☐ Arbeitsschutz: Gefährdungsbeurteilung durchgeführt, Unterweisungen dokumentiert
  • ☐ Datenschutz: Datenschutzerklärung, Auftragsverarbeitungsverträge, Incident-Plan vorhanden
  • ☐ Finanzielle Kontrolle: Vier-Augen-Prinzip bei großen Ausgaben, regelmäßige Abstimmung
  • ☐ Versicherung: D&O-Versicherung vorhanden
  • ☐ Schulung: Mitarbeiter und Geschäftsleitung regelmäßig geschult
  • ☐ Verantwortung: Eine Person ist für Compliance-Monitoring zuständig
  • ☐ Audit: Jährlich externe Prüfung oder interner Selbstaudit
  • ☐ Notfallplan: Ein Plan für Krisen (z.B. Datenleck, Arbeitsunfall) vorhanden und aktualisiert

FAQ: Unternehmenspflichten und Geschäftsführer-Haftung

Verwandte Themen

Weitere Beiträge: