Compliance-Pflichten Mittelstand 2026: Der vollständige Guide

Bis März 2026 haben europäische Datenschutzbehörden kumuliert 6,11 Milliarden Euro DSGVO-Bußgelder verhängt (Börse Express, 2026). Gleichzeitig treten 2026 mit dem EU AI Act und der verschärften E-Rechnungspflicht zwei weitere Regelwerke in die heiße Phase. Für den Mittelstand bedeutet das: Compliance ist kein Thema mehr, das man auf nächstes Jahr schieben kann.

Was in diesem Guide anders ist als die meisten Compliance-Artikel: Hier stehen nicht sechs Gesetze nebeneinander. Hier sehen Sie die Wechselwirkungen. Die E-Rechnung triggert GoBD-Pflichten. DSGVO-Prüfungen schließen KI-Tool-Nutzung ein. NIS2 und AI Act erzwingen ein integriertes Risikomanagement. Und am Ende steht eine priorisierte Abarbeitungsreihenfolge — mit konkreten Kosten, ohne Fachanwalts-Prosa.

Compliance-Pflichten 2025–2028: Was auf den Mittelstand zukommt

Key Takeaways

• DSGVO-Bußgelder kumulieren bis März 2026 auf 6,11 Mrd. Euro; hessische Aufsicht meldet Verdopplung der Verfahren gegen Betriebe unter 250 MA (Hessischer Datenschutzbeauftragter, 2025)
• Buchungsbelege: Frist seit Januar 2025 auf 8 Jahre verkürzt (BEG IV) — wer das nicht weiß, archiviert noch nach altem Stand
• E-Rechnungsempfang ist seit Januar 2025 Pflicht; Versand folgt ab 2027 gestaffelt
• Ca. 30.000 deutsche Unternehmen fallen neu unter NIS2 — die meisten wissen es noch nicht
• EU AI Act Art. 4: KI-Schulungspflicht gilt ab August 2026 für jedes Unternehmen, das KI-Tools einsetzt

---

Warum Compliance 2026 für den Mittelstand existenziell wird

6,11 Milliarden Euro kumulierte DSGVO-Bußgelder bis März 2026 (Börse Express, 2026) — und der Fokus der Aufsichtsbehörden verschiebt sich spürbar in Richtung Mittelstand. Der Hessische Datenschutzbeauftragte meldet für 2025 eine Verdopplung der Verfahren gegen Unternehmen unter 250 Mitarbeitern (Hessischer Datenschutzbeauftragter, 2025). Wer glaubt, nur Konzerne werden geprüft, liegt falsch.

Baden-Württemberg hat 2025 Bußgelder zwischen 5.000 und 50.000 Euro gegen Mittelständler ausgesprochen, ausschließlich wegen fehlender Verarbeitungsverzeichnisse (Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg, 2025). Das sind keine spektakulären Datenpannen. Das sind Dokumentationslücken, die kein Betrieb als Risiko auf dem Radar hatte.

Die entscheidende Verschiebung in 2026: Aufsichtsbehörden prüfen nicht mehr reaktiv auf Beschwerden, sondern proaktiv nach Branchen und Betriebsgrößen. Digitalisierte Betriebe mit WhatsApp-Nutzung, KI-Tools und E-Rechnungs-Workflows stehen dabei oben auf der Liste — paradoxerweise geraten gerade die Betriebe ins Visier, die schon etwas tun, deren Dokumentation aber nicht mit der Praxis Schritt hält. Wer digitalisiert, ohne zu dokumentieren, ist angreifbarer als ein Betrieb, der noch gar nicht angefangen hat.

Dazu kommt die persönliche Haftung. Geschäftsführer einer GmbH haften bei Organisationsverschulden persönlich — auch wenn die GmbH das Bußgeld formal trägt. Wer als Geschäftsführer Compliance-Maßnahmen vorsätzlich unterlässt, sitzt am Ende des Tages nicht hinter dem Haftungsschild der GmbH.

---

Der Compliance-Kompass: 6 Rechtsgebiete, die jetzt zählen

Sechs Rechtsgebiete bestimmen den Compliance-Alltag im deutschen Mittelstand 2026. Sie sind nicht gleichwertig: Einige liefern sofort Bußgelder, andere erst in zwölf Monaten. Die richtige Reaktion ist nicht alles gleichzeitig angehen, sondern verstehen, welche Wechselwirkungen es gibt und was Priorität hat.

Rechtsgebiet	Stichtag	Bußgeld-Risiko	Dringlichkeit
DSGVO	seit 2018, aktiv	bis 4 % Umsatz	Hoch
GoBD / BEG IV	seit Jan 2025	Steuerprüfung	Hoch
E-Rechnung	seit Jan 2025	Verzug-Risiko	Hoch
NIS2	seit Okt 2024	bis 10 Mio. Euro	Mittel–Hoch
EU AI Act Art. 4	ab Aug 2026	in Vorbereitung	Mittel
Zeiterfassung	seit Sep 2022	Beweislast	Mittel

Zeiterfassungspflicht im Mittelstand: Was jetzt gerichtsfest sein muss

Die Wechselwirkung, die die meisten Betriebe unterschätzen: E-Rechnung, GoBD und DSGVO sind keine drei separaten Projekte. Sie teilen dieselbe Infrastruktur. Wer ein GoBD-konformes digitales Archiv aufbaut, hat damit gleichzeitig die revisionssichere E-Rechnungs-Archivierung gelöst. Wer das DSGVO-Verarbeitungsverzeichnis sauber führt, muss KI-Tool-Einsatz dort dokumentieren — sonst ist der nächste Prüfpunkt bereits offen.

---

DSGVO: Vom Papier-Datenschutz zur gelebten Praxis

71 % der deutschen Unternehmen haben die DSGVO bis 2024 vollständig umgesetzt, verglichen mit nur 7 % im Jahr 2018 (Bitkom, 2024). Aber 97 % bewerten den Datenschutz-Compliance-Aufwand als "hoch" oder "sehr hoch" (Bitkom, 2024). Der Gap zwischen "formell umgesetzt" und "gelebt" ist damit klar benannt.

Was heißt gelebte DSGVO-Praxis konkret? Drei Punkte fallen bei Prüfungen immer wieder auf.

Verarbeitungsverzeichnis nach Art. 30 DSGVO

Das Verarbeitungsverzeichnis ist die erste Frage jeder Behördenprüfung. Es dokumentiert, welche personenbezogenen Daten zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange verarbeitet werden. Fehlt es oder ist es veraltet, folgt sofort ein Bußgeld — wie die Fälle aus Baden-Württemberg 2025 zeigen. Kein Betrieb sollte ohne aktuelles Verzeichnis in ein Prüfgespräch gehen.

DSGVO im Mittelstand umsetzen: Verarbeitungsverzeichnis, DSB und TOMs Schritt für Schritt

DSB-Pflicht ab 20 Mitarbeitern

Ab 20 Personen, die regelmäßig personenbezogene Daten verarbeiten, ist ein Datenschutzbeauftragter Pflicht (§ 38 BDSG). Ein externer DSB kostet 3.000 bis 8.000 Euro pro Jahr. Das klingt viel. Die DSGVO-Bußgeldobergrenze für ein Unternehmen mit 50 Mio. Euro Jahresumsatz liegt bei 2 Mio. Euro (2 % des Umsatzes). Die Rechnung ist eindeutig.

Aus unserer Projektpraxis: In Erstgesprächen treffen wir regelmäßig auf Betriebe mit 40 bis 80 Mitarbeitern, die keinen DSB haben. Der Grund ist meistens nicht Unwissenheit, sondern Prokrastination — "Wir machen das nächstes Quartal." Bei einem Handelsunternehmen mit 65 Mitarbeitern, das wir 2025 begleitet haben, war das Verarbeitungsverzeichnis zuletzt 2019 aktualisiert worden: kein einziges der genutzten SaaS-Tools, kein CRM-System, kein KI-Assistent war eingetragen.

72-Stunden-Meldepflicht bei Datenpannen

Bei einer Datenpanne sind Sie verpflichtet, die Aufsichtsbehörde innerhalb von 72 Stunden zu informieren (Art. 33 DSGVO). Nicht nach einer Woche, nicht nach der Beratung mit dem Anwalt. 72 Stunden. Das setzt voraus, dass im Betrieb klar ist, was eine Datenpanne ist, wer sie erkennt und wer die Meldung macht. Ohne definierten Prozess schläft dieses Risiko still.

Citation Capsule: Nach Angaben des Hessischen Datenschutzbeauftragten hat sich die Anzahl der Prüfverfahren gegen Unternehmen unter 250 Mitarbeitern in 2025 verdoppelt. Die häufigsten Bußgeldauslöser: fehlendes Verarbeitungsverzeichnis und verspätete Datenpannenmeldungen. (Hessischer Datenschutzbeauftragter, 2025)

Fotodokumentation auf der Baustelle und WhatsApp: Das DSGVO-Risiko, das viele Betriebe unterschätzen

---

GoBD und Aufbewahrungspflichten: Was seit Januar 2025 neu gilt

Seit dem 1. Januar 2025 gilt für Buchungsbelege eine verkürzte Aufbewahrungsfrist von 8 statt bisher 10 Jahren. Geregelt im Bürokratieentlastungsgesetz IV (Bundesministerium der Finanzen, 2024). Handelsbücher und Jahresabschlüsse bleiben bei 10 Jahren, Handelsbriefe bei 6 Jahren. Wer das noch nicht weiß und Belege noch 10 Jahre aufbewahrt, verschwendet Archivkapazität und womöglich auch Lizenzkosten für das DMS.

Aufbewahrungspflichten für KMU: Was seit 2025 digital gilt

Was GoBD für digitale Prozesse bedeutet

Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern) gelten für jeden Betrieb, der digitale Buchführung betreibt. Drei Kernpflichten, die oft missverstanden werden:

Unveränderlichkeit. Ein Buchungsbeleg darf nach Erfassung nicht mehr überschrieben werden. Korrekturen sind als Korrekturen erkennbar zu machen. Eine Excel-Datei, in die jeder schreiben kann, erfüllt das grundsätzlich nicht.

Vollständigkeit und Nachvollziehbarkeit. Jeder Buchungsvorgang muss von der Entstehung bis zur Verarbeitung lückenlos nachvollziehbar sein. Das gilt auch für automatisch verarbeitete E-Rechnungen.

Ersetzendes Scannen. Wer Papierdokumente scannt und das Original vernichtet, muss die Verfahrensdokumentation nachweisen können. Ohne dokumentiertes Scan-Verfahren ist das Original weiter aufzubewahren — was den Sinn des Scannens ad absurdum führt.

Quelle: Das Bürokratieentlastungsgesetz IV (BEG IV) verkürzt seit 1. Januar 2025 die Aufbewahrungsfrist für Buchungsbelege von 10 auf 8 Jahre. Handelsbücher und Jahresabschlüsse bleiben bei 10 Jahren, Handelsbriefe bei 6 Jahren. (Bundesministerium der Finanzen, 2024)

---

E-Rechnungspflicht: Stufenplan bis 2028 und was KMU bis Ende 2026 erledigen müssen

Seit dem 1. Januar 2025 müssen alle deutschen B2B-Betriebe elektronische Rechnungen empfangen und verarbeiten können — geregelt im Wachstumschancengesetz (§ 27 UStG). Ab 2027 folgt gestaffelt die Versandpflicht. Wer den Empfang noch nicht geregelt hat, ist heute bereits im Verzug.

1. Jan 2025

   Empfangs-Pflicht

   Jeder B2B-Betrieb muss XRechnung und ZUGFeRD empfangen koennen.

2. Jan 2027

   Versand Stufe 1

   Pflicht fuer Betriebe mit Vorjahresumsatz ueber 800.000 EUR.

3. Jan 2028

   Versand fuer alle

   Pflicht zum Versand fuer alle inlaendischen B2B-Umsaetze.

1. Jan 2025

   Empfangs-Pflicht

   Jeder B2B-Betrieb muss XRechnung und ZUGFeRD empfangen koennen.

2. Jan 2027

   Versand Stufe 1

   Pflicht fuer Betriebe mit Vorjahresumsatz ueber 800.000 EUR.

3. Jan 2028

   Versand fuer alle

   Pflicht zum Versand fuer alle inlaendischen B2B-Umsaetze.

Was bis Ende 2026 erledigt sein muss

Drei Punkte, die jedes KMU bis Ende 2026 abgehakt haben sollte:

Zentraler E-Rechnungs-Eingang. Eine dedizierte, rollengebundene Eingangsadresse — nicht die persönliche E-Mail von Frau Müller in der Buchhaltung. Wenn diese Person krank wird oder kündigt, darf der Rechnungseingang nicht stillstehen. Das ist die billigste, wirksamste und am häufigsten übersehene Maßnahme.

Revisionssichere Archivierung. Die XML-Datei einer E-Rechnung muss 8 Jahre lang im Originalformat reproduzierbar bleiben (nach BEG IV: 8 Jahre für Buchungsbelege). Wer die Datei nach dem Import in das Buchhaltungsprogramm löscht, hat ein GoBD-Problem.

Versand-Pfad vorbereiten. Ab 2027 müssen Betriebe über 800.000 Euro Jahresumsatz auch E-Rechnungen versenden. Wer 2027 unter Druck baut, zahlt mehr und akzeptiert mehr Kompromisse. Wer 2026 in Ruhe prüft, hat die besseren Karten.

E-Rechnungspflicht 2025: XRechnung, ZUGFeRD und der Stufenplan bis 2028

Die Wechselwirkung mit GoBD ist direkt: Das GoBD-konforme Archiv, das Sie für die E-Rechnung aufbauen, ist dasselbe Archiv, das die übrigen Buchungsbelege aufnimmt. Ein Projekt, zwei Pflichten erfüllt.

Belegworkflow automatisieren: Wie Steuerkanzleien und KMU GoBD-Konformität mit Effizienz verbinden

---

NIS2 und Cybersicherheit: Welche Mittelständler betroffen sind und was zu tun ist

Rund 30.000 deutsche Unternehmen fallen seit Oktober 2024 neu unter die NIS2-Richtlinie, verglichen mit bisher 4.500 (Bundesamt für Sicherheit in der Informationstechnik, BSI, 2024). Die meisten wissen es noch nicht. NIS2 gilt nicht nur für Konzerne: Bereits ab 50 Mitarbeitern und 10 Mio. Euro Umsatz in bestimmten Sektoren greift die Pflicht.

Bin ich betroffen?

NIS2 erfasst zwei Kategorien: "wichtige" und "besonders wichtige" Einrichtungen. Für den Mittelstand relevant sind unter anderem diese Sektoren: verarbeitendes Gewerbe (Maschinenbau, Chemie, Lebensmittel), digitale Infrastruktur, Abfallwirtschaft, Post- und Kurierdienste, Forschung. Wenn Ihr Betrieb 50 oder mehr Mitarbeiter hat und einem dieser Sektoren angehört, prüfen Sie die BSI-Betroffenheitsliste.

Was NIS2 konkret verlangt

Vier Pflichten stehen im Vordergrund:

• Risikomanagement: Dokumentiertes Informationssicherheits-Managementsystem (ISMS) oder gleichwertiges
• Meldepflichten: Erhebliche Sicherheitsvorfälle binnen 24 Stunden an das BSI melden, vollständige Meldung binnen 72 Stunden
• Lieferkettensicherheit: Sicherheitsanforderungen an Zulieferer und Dienstleister prüfen und vertraglich verankern
• Geschäftsführer-Haftung: Geschäftsführer haften persönlich für NIS2-Compliance — ähnlich wie bei der DSGVO

NIS2 und DSGVO überlappen sich erheblich. Ein ISMS, das NIS2-Anforderungen erfüllt, deckt gleichzeitig Teile der DSGVO-Anforderungen an technische und organisatorische Maßnahmen (TOMs) ab. Wer beides als ein integriertes Projekt angeht, halbiert den Aufwand gegenüber zwei separaten Projekten. In der Praxis scheitert das jedoch häufig daran, dass NIS2 beim IT-Verantwortlichen landet und DSGVO beim DSB — und beide sprechen selten miteinander. Das Ergebnis: doppelte Dokumentation, doppelter Aufwand, trotzdem Lücken.

Citation Capsule: Das BSI schätzt, dass durch NIS2 rund 30.000 deutsche Unternehmen neu zur Umsetzung von Cybersicherheits-Maßnahmen verpflichtet sind — ein Anstieg von 4.500 auf 30.000 betroffene Einrichtungen. Viele Mittelständler sind betroffen, ohne es zu wissen. (BSI, 2024)

---

EU AI Act: Schulungspflichten ab August 2026 für KI-nutzende Unternehmen

Ab August 2026 gilt Art. 4 des EU AI Act vollständig: Alle Betreiber und Anbieter von KI-Systemen sind verpflichtet, dafür zu sorgen, dass ihre Mitarbeitenden über ausreichende KI-Kompetenz verfügen. Das gilt unabhängig von der Unternehmensgröße. Wer ChatGPT, Copilot oder branchenspezifische KI-Tools im Betrieb einsetzt, ist Betreiber im Sinne des AI Act.

Was Art. 4 konkret bedeutet

Der AI Act definiert KI-Kompetenz (AI Literacy) als das Wissen und die Fähigkeiten, KI-Systeme zweckgemäß einzusetzen und Risiken zu beurteilen. Das ist keine einmalige Schulung, sondern eine Daueraufgabe, die dokumentiert werden muss. Drei Handlungsfelder:

Bestandsaufnahme: Welche KI-Tools werden im Betrieb eingesetzt? Eigenentwicklungen, SaaS-Lösungen, eingebettete KI in bestehender Software (z.B. ERP mit KI-Modul) — alles fällt darunter. Ohne Inventar kein Überblick, ohne Überblick keine Compliance.

Risikoklassifizierung: Der AI Act unterscheidet zwischen minimalen, begrenzten, hohen und inakzeptablen Risiken. Hochrisiko-KI (z.B. KI in HR-Entscheidungen, Kreditvergabe, kritischer Infrastruktur) unterliegt deutlich strengeren Anforderungen als ein einfacher Chatbot.

Schulungsnachweis: Mitarbeitende, die KI-Systeme nutzen, müssen nachweislich geschult sein. Kein formelles Zertifikat ist vorgeschrieben, aber die Schulung muss dokumentiert und dem Risiko des eingesetzten Systems angemessen sein.

Aus unserer Projektpraxis: In Betrieben, die wir begleiten, zeigt sich ein wiederkehrendes Muster: Die Geschäftsführung hat KI-Tools genehmigt, aber keine Schulung organisiert. Bei einem Dienstleistungsunternehmen mit 35 Mitarbeitern nutzten 18 Personen ChatGPT regelmäßig für Kundenkommunikation — ohne AVV, ohne Eintrag im Verarbeitungsverzeichnis, ohne Schulung. Ab August 2026 ist genau das ein dokumentiertes Compliance-Risiko nach Art. 4 AI Act.

Die Wechselwirkung mit DSGVO ist unvermeidlich: Wer das DSGVO-Verarbeitungsverzeichnis aktualisiert, muss KI-Tool-Einsatz dort eintragen. Welche Daten werden an den KI-Anbieter übermittelt? Wo werden sie gespeichert? Gibt es eine Auftragsverarbeitungsvereinbarung (AVV)? Ohne diese Antworten ist das Verarbeitungsverzeichnis unvollständig.

KI-Tools und DSGVO im KMU: Was Betreiber wissen müssen

---

Compliance-Kosten im Griff: Automatisierung statt Berater-Stunden

Nur 22 % der KMU unter 50 Mio. Euro Jahresumsatz haben umfassende Compliance-Tools implementiert (PwC Deutschland, 2024). Der Hauptgrund ist selten Unwilligkeit, sondern die Annahme, dass Compliance ein teures Beratungs-Projekt sei. Das stimmt nur bedingt.

Kostenspanne

Spannweite je Position. Akzent markiert den typischen Wert.

• Externer DSB (DSGVO)

  3.000 – 8.000

• GoBD-konformes DMS

  1.500 – 6.000

• NIS2 ISMS Grundschutz

  5.000 – 20.000

• AI-Act-Schulung Team

  500 – 3.000

Typische Compliance-Kosten fuer Mittelstaendler nach Ansatz.

Wo Automatisierung wirklich hilft

Drei Bereiche, in denen ein gut gebauter Workflow Berater-Stunden ersetzt:

Verarbeitungsverzeichnis laufend halten. Statt einmal im Jahr manuell zu aktualisieren: ein schlanker Prozess, der neue Tools und Verarbeitungen automatisch zur Dokumentation vorschlägt. Keine Raketenwissenschaft, aber ohne Prozess passiert es nie rechtzeitig.

E-Rechnungs-Eingang und GoBD-Archivierung. Ein automatisierter Workflow, der eingehende ZUGFeRD-Dateien entpackt, gegen Stammdaten prüft und revisionssicher archiviert, ersetzt manuelle Prüfarbeit und schließt gleichzeitig die GoBD-Lücke.

Meldepflichten-Tracking. Ob DSGVO-Datenpanne oder NIS2-Vorfall: Ein einfaches Ticket-System mit 72-Stunden-Timer und definiertem Eskalationspfad ist keine Software-Großinvestition. Es ist ein Nachmittag Konfigurationsarbeit.

Prozess-Automatisierung im Mittelstand: Wie schlanke Workflows Compliance-Aufwand dauerhaft reduzieren

Was Automatisierung nicht löst: die strategische Bewertung von Risiken. Welche KI-Tools sind Hochrisiko? Ist Ihr Betrieb wirklich NIS2-pflichtig? Diese Fragen brauchen Urteilsvermögen — und das kostet Zeit, unabhängig vom Tool.

---

Checkliste: 20 Must-dos für Mittelständler bis Ende 2026

Eine Abarbeitungsreihenfolge nach Risiko, nicht nach Alphabet. Die ersten fünf Punkte haben den höchsten Sofort-Impact.

Priorität 1 — Sofort (Q3 2026)	Priorität 2 — Q4 2026	Priorität 3 — Ende 2026
Verarbeitungsverzeichnis aktualisieren	GoBD-Verfahrensdoku prüfen	AI-Act-Schulungskonzept
Datenpannen-Prozess definieren	Aufbewahrungsfristen anpassen	E-Rechnungs-Versand vorbereiten
DSB-Pflicht prüfen (ab 20 MA)	NIS2-Betroffenheit klären	NIS2: ISMS-Grundgerüst
E-Rechnungs-Eingang testen	DSB über KI-Nutzung informieren	Incident-Response-Plan
KI-Inventar + AVV erstellen	Zeiterfassung auf Gerichtsfestigkeit	Compliance-Verantwortlichen benennen

20-Punkte-Compliance-Checkliste 2026 — priorisiert nach Sofort-Haftungsrisiko, nicht nach Alphabet. Faustregel: Wer die ersten fünf Punkte abgehakt hat, ist bei einer Prüfung nicht das erste Ziel — Behörden greifen dort an, wo keine Grundstrukturen erkennbar sind. Die Punkte 11–20 adressieren spezifische Risiken (NIS2, Hochrisiko-KI, TOMs, Lieferkette) je nach Betroffenheit.

Priorität 1: Sofort (Q3 2026)

1. DSGVO-Verarbeitungsverzeichnis prüfen und aktualisieren — KI-Tools, E-Rechnungs-Verarbeitung, neue Dienstleister eintragen
2. Datenpannen-Prozess definieren — Wer erkennt eine Panne? Wer meldet? Wo ist die 72-Stunden-Frist dokumentiert?
3. DSB-Pflicht prüfen — Haben Sie ab 20 MA mit regelmäßiger Datenverarbeitung einen DSB bestellt?
4. E-Rechnungs-Eingang testen — Können Sie heute eine XRechnung empfangen, verarbeiten und revisionssicher archivieren?
5. KI-Inventar erstellen — Welche KI-Tools werden im Betrieb genutzt? AVV mit jedem Anbieter vorhanden?

Priorität 2: Q4 2026

6. GoBD-Verfahrensdokumentation prüfen — Ist das ersetzendes Scannen dokumentiert? Ist das Archiv unveränderlich?
7. Aufbewahrungsfristen anpassen — Buchungsbelege auf 8 Jahre, Handelsbücher 10 Jahre, Handelsbriefe 6 Jahre
8. NIS2-Betroffenheit prüfen — Sektor, Mitarbeiterzahl, Umsatz gegen BSI-Kriterienliste halten
9. DSB über KI-Tool-Nutzung informieren — Bestehende AVVs auf KI-Funktionen prüfen
10. Zeiterfassungs-System auf Gerichtsfestigkeit prüfen — Objektiv, manipulationssicher, zugänglich?

Zeiterfassung: Warum Stundenzettel auf Papier nicht mehr reichen

Priorität 3: Bis Ende 2026

11. AI-Act-Schulungskonzept erstellen — Wer nutzt welche KI-Tools? Schulungsformat und Dokumentation festlegen
12. E-Rechnungs-Versand-Pfad vorbereiten — Welches Format, welche Software, bis wann?
13. NIS2: Risikobewertung und ISMS-Grundgerüst (falls betroffen)
14. Lieferkettenanforderungen kommunizieren (falls NIS2-pflichtig)
15. Datenschutz-Folgenabschätzung für Hochrisiko-KI (falls AI Act Hochrisiko-Kategorie betroffen)
16. Technische und organisatorische Maßnahmen (TOMs) aktualisieren — Passend zu aktueller Systemlandschaft
17. Belegworkflow auf GoBD-Konformität prüfen — Papierdoku, ersetzendes Scannen, digitale Eingangsrechnungen
18. Incident-Response-Plan erstellen — Für DSGVO-Datenpannen und NIS2-Sicherheitsvorfälle
19. Mitarbeiter-Schulung Datenschutz und KI — Dokumentiert, mindestens einmal jährlich
20. Compliance-Verantwortlichen benennen — Intern oder extern, aber mit klarer Rolle und Befugnis

Aus unserer Projektpraxis: In unserer Arbeit mit Mittelständlern aus dem verarbeitenden Gewerbe und dem Dienstleistungsbereich zeigt sich: Betriebe, die Punkte 1 bis 5 sauber abgehakt haben, sind in der Mehrzahl der Fälle bei einer Prüfung nicht das erste Ziel. Bei einem Fertigungsbetrieb mit 90 Mitarbeitern, der 2025 eine Behördenanfrage erhielt, konnte das Verarbeitungsverzeichnis innerhalb von zwei Stunden vorgelegt werden — die Prüfung war damit bereits entschärft. (Erfahrungswert aus Kundenprojekten — keine repräsentative Studie)

---

Interne Links zu den Spokes und weiterführenden Ressourcen

Dieser Pillar-Artikel gibt den Überblick. Für jeden Bereich gibt es einen eigenen Spoke-Artikel mit der konkreten Umsetzung:

DSGVO und Datenschutz

• DSGVO im Mittelstand: Umsetzung Schritt für Schritt — Verarbeitungsverzeichnis, DSB-Pflicht, TOMs praktisch erklärt
• Fotodokumentation Baustelle und WhatsApp: Das DSGVO-Problem — Warum private WhatsApp-Nutzung für Betriebsfotos ein Haftungsrisiko ist

GoBD und Archivierung

• Aufbewahrungspflichten digital: Was KMU seit 2025 wissen müssen — BEG IV, ersetzendes Scannen, GoBD-konforme Archivlösungen
• Belegworkflow Steuerkanzlei automatisieren — Wie automatisierte Workflows GoBD-Konformität und Effizienz verbinden

E-Rechnung

• E-Rechnungspflicht 2025: XRechnung und ZUGFeRD erklärt — Formate, Stufenplan, pragmatische Umsetzungspfade

Arbeitszeitrecht

• Zeiterfassungspflicht: Stundenzettel auf Papier reicht nicht — BAG-Beschluss, gerichtsfeste Anforderungen, Lösungen für die Praxis

Compliance-Überblick

• Compliance im Mittelstand 2025–2028: Was gilt — Drei gleichzeitige Pflichten und die richtige Abarbeitungsreihenfolge

Umsetzung und Automatisierung

• Prozess-Automatisierung im Mittelstand — Wie Workflows Compliance-Aufwand dauerhaft reduzieren

---

Fazit

Compliance 2026 ist für den deutschen Mittelstand kein abstraktes Risiko mehr. Die Bußgeldzahlen sind real, die Behörden sind aktiv, und die Gesetze — DSGVO, GoBD, E-Rechnung, NIS2, AI Act — greifen ineinander. Wer das als sechs separate Projekte behandelt, vervielfacht den Aufwand und übersieht die Wechselwirkungen.

Die richtige Antwort ist keine Compliance-Suite und kein ERP-Projekt. Sie ist eine priorisierte Abarbeitungsreihenfolge: Verarbeitungsverzeichnis und Datenpannen-Prozess sofort, E-Rechnungs-Eingang und GoBD-Archiv als Einheit, NIS2-Betroffenheit klären, AI-Act-Schulungskonzept bis August 2026. Wer die ersten fünf Punkte der Checkliste bis Ende Q3 2026 abhakt, hat das größte Haftungsrisiko aus dem Weg geräumt.

Die meisten Compliance-Lücken entstehen nicht aus Unwilligkeit, sondern aus einem Organisationsproblem: Niemand ist klar verantwortlich, kein Prozess ist definiert, kein Termin ist gesetzt. Das ist die billigste und wirksamste Stelle anzufangen.

Häufige Fragen zu Compliance-Pflichten im Mittelstand

Welche Compliance-Pflichten hat ein KMU mit 30 Mitarbeitern in Deutschland 2026? Mindestens: DSGVO-Verarbeitungsverzeichnis (Art. 30), Datenschutzbeauftragter (ab 20 MA mit regelmäßiger Verarbeitung), GoBD-konforme digitale Archivierung, E-Rechnungsempfang seit Januar 2025, Aufbewahrungsfristen nach BEG IV sowie je nach Branche NIS2-Pflichten und AI-Act-Schulungsanforderungen ab August 2026.

Was ist das teuerste Compliance-Versäumnis für Mittelständler? Fehlendes Verarbeitungsverzeichnis und verspätete Datenpannenmeldung (72-Stunden-Frist) sind laut Aufsichtsbehörden die häufigsten Bußgeldauslöser 2025/2026. Bußgelder bis 2 % des Jahresumsatzes sind möglich. Bei einem Unternehmen mit 50 Mio. Euro Umsatz sind das bis zu 1 Mio. Euro.

Muss ich als GmbH-Geschäftsführer persönlich für Compliance-Verstöße haften? Ja. Geschäftsführer haften persönlich für Organisationsverschulden. Bei vorsätzlicher Unterlassung von Compliance-Maßnahmen ist eine persönliche Haftung neben der GmbH möglich. Das gilt für DSGVO, NIS2 und GoBD gleichermaßen.

Was ändert sich 2026 an den Aufbewahrungsfristen? Seit 1. Januar 2025 gilt für Buchungsbelege eine verkürzte Frist von 8 statt 10 Jahren (Bürokratieentlastungsgesetz IV). Handelsbriefe bleiben bei 6 Jahren, Handelsbücher weiterhin bei 10 Jahren. Wer das nicht weiß, archiviert nach veraltetem Stand.

Gilt der EU AI Act auch für kleine Unternehmen? Ja. Art. 4 des AI Act verpflichtet alle Betreiber und Anbieter von KI-Systemen zur Sicherstellung ausreichender KI-Kompetenz bei Mitarbeitenden — unabhängig von der Unternehmensgröße. Wer ChatGPT, Copilot oder ähnliche Tools einsetzt, ist Betreiber. Ab August 2026 gelten auch die Hochrisiko-KI-Pflichten vollständig.