Compliance-Pflichten für den Mittelstand 2025–2028: Was wirklich gilt

In den Erstgesprächen, die wir aktuell mit mittelständischen Inhabern führen, taucht eine Stimmung auf, die noch vor zwei Jahren selten war: „Wir wissen, dass wir was tun müssen. Wir wissen nur nicht, was zuerst." Die E-Rechnungspflicht ist da, die Zeiterfassungspflicht gilt seit dem BAG-Beschluss von 2022 unmittelbar, die DSGVO-Realität rund um WhatsApp auf der Baustelle wird in jeder zweiten Aufsichtsbehörden-Mitteilung deutlicher. Drei Themen, drei Software-Märkte, drei Anbieter pro Thema, die alle behaupten, die Antwort zu sein.

Dieser Beitrag sortiert das — nicht als juristische Beratung, sondern als das, was wir im Alltag bei Mittelständlern sehen, die nicht jedes Marketing-Versprechen ungeprüft mitmachen wollen.

Drei Pflichtstränge, die parallel laufen

Wer in den nächsten drei Jahren im B2B-Mittelstand tätig ist, hat es mit drei Themen zu tun, die nicht aufeinander gestimmt sind, aber denselben Mitarbeiterkreis beanspruchen:

1. E-Rechnungspflicht (seit 2025, voll 2028)

Seit dem 1. Januar 2025 muss jeder B2B-Betrieb E-Rechnungen empfangen können. Der Versand wird stufenweise Pflicht: ab 1. Januar 2027 für Betriebe mit Vorjahresumsatz über 800.000 €, ab 1. Januar 2028 für alle. Wer Versand erst in der zweiten Hälfte 2026 angeht, baut unter Druck.

Was viele unterschätzen: Die Pflicht trifft nicht nur das Rechnungsprogramm, sondern den gesamten Eingangs- und Archivierungs-Prozess. Mehr dazu in E-Rechnungspflicht 2025: Was XRechnung und ZUGFeRD wirklich verlangen.

2. Zeiterfassungspflicht (gilt unmittelbar seit September 2022)

Seit dem BAG-Beschluss vom 13. September 2022 (1 ABR 22/21) ist die Pflicht zur objektiven, manipulationssicheren Zeiterfassung wirksam — unmittelbar, unabhängig von einer Tarifregelung. Die offene Frage betrifft Detailregelungen aus dem Referentenentwurf zur Novellierung des Arbeitszeitgesetzes, nicht das Ob.

Was viele Betriebe übersehen: Das Arbeitsgericht Emden hat seit 2020 mehrfach Stundennachweise auf Excel-Basis als ungeeignet zurückgewiesen. Eine geteilte Excel im SharePoint reicht in den meisten Fällen nicht. Was stattdessen leisten muss, beschreibt Zeiterfassungspflicht im Mittelstand im Detail.

3. DSGVO-Realität auf der Baustelle (seit 2018, mit wachsender Aufsicht)

Die DSGVO gilt seit 2018, aber erst in den letzten Jahren rücken die alltäglichen Verstöße in den Fokus der Aufsichtsbehörden: dienstliche Foto-Doku über private WhatsApp-Konten, Belegversand über E-Mail-Accounts einzelner Personen, Kunden-Fotos in WhatsApp-Gruppen mit Subunternehmern. Die rechtliche Lage ist seit Schrems II nicht ruhiger geworden.

Was eine saubere Foto-Doku stattdessen leisten muss, ist Thema in Baustellen-Fotos in WhatsApp: Warum das ein DSGVO-Problem ist.

Was die drei Pflichten gemeinsam haben

Auf den ersten Blick wirken sie unverbunden. In der Praxis verlangen sie strukturell dasselbe:

• Eine zentrale, beobachtete Stelle statt verteilter Einzel-Konten. Eine Rechnungs-Eingangs-Adresse, ein Zeiterfassungs-System, ein Foto-Ablage-System — jeweils nicht „die Adresse von Frau Müller" und „das Tablet vom Vorarbeiter".
• Manipulationssicherheit mit Nachvollzug. Änderungen müssen möglich sein, aber als Änderungen erkennbar bleiben. Eine Excel, in die beliebig überschrieben werden kann, scheitert hier in allen drei Themen gleichzeitig.
• Revisionssicheres Archiv mit Aufbewahrungsfristen. Zehn Jahre für E-Rechnungen, mehrere Jahre für Zeiterfassungs-Daten, Zweck-gebunden für Foto-Daten. Ein Netzlaufwerk mit Ordnern nach Jahren reicht für keines davon.
• Zugänglichkeit für die Betroffenen. Mitarbeiter müssen ihre Zeit-Daten einsehen, Kunden müssen Auskunft erhalten können, Behörden müssen prüfen können. Wer Daten nicht auffinden kann, scheitert nicht an der Technik, sondern an der Organisation.

Wer diese vier Gemeinsamkeiten ernst nimmt, baut nicht drei Lösungen für drei Themen, sondern eine Infrastruktur, die diese vier Dinge leistet. Die thematischen Front-Ends sehen dann unterschiedlich aus, die Substanz darunter ist dieselbe.

Vier Stellen, an denen Mittelständler systematisch unterschätzen

Aus der Arbeit mit Inhabern in der Größenordnung 10 bis 150 Mitarbeiter sehen wir vier Muster, die fast überall auftreten:

1. „Unser Buchhaltungsprogramm / Lohnsystem kann das"

Stimmt häufig — aber meistens nur für den engen Pflichtteil. Das Buchhaltungsprogramm kann E-Rechnungen importieren, aber nicht zuordnen, wenn der Eingangskanal unklar ist. Das Lohnsystem kann Zeiterfassung empfangen, aber nicht den passenden Workflow erzwingen. Die Pflicht ist Software, der Workflow drumherum ist Organisation.

2. Die Annahme- und Erfassungsstellen sind nicht geklärt

E-Rechnung: an welche Adresse? Zeiterfassung: in welchem System für welche Mitarbeiterart? Foto-Doku: in welcher App, zugeordnet zu welchem Auftrag? In allen drei Themen ist die erste, billigste und am häufigsten übersehene Maßnahme, diese Stellen zentral zu benennen und mit Verantwortlichkeit zu versehen. Sie kostet nichts und löst kein Software-Bedürfnis aus. Sie ist trotzdem in fast jedem Erstgespräch unsere erste Empfehlung.

3. Archivierung wird mit Speicherung verwechselt

Eine Datei auf einem Netzlaufwerk ist gespeichert, nicht archiviert. Revisionssicher heißt: unveränderbar im Originalzustand, mit Nachvollzug von Zugriffen, mit klarer Aufbewahrungsdauer und mit definierter Lösch-Routine. Wer das auf „Wir legen alles im DMS ab" reduziert, hat in der Regel ein DMS, das eines dieser Kriterien nicht erfüllt.

4. Die Eingangsprüfung fällt weg, wenn alles maschinell läuft

In allen drei Themen liegt der Effizienzgewinn in der Automatisierung. Genau dort liegt aber auch das neue Risiko: Eine maschinell verarbeitete E-Rechnung wird nicht mehr von einem Menschen gelesen, eine automatisch erfasste Stunde nicht mehr von einem Vorarbeiter gegengezeichnet, eine zentral abgelegte Foto-Doku nicht mehr von der Bauleitung sortiert. Die Sicherheits-Schicht, die manche Mitarbeiter unbewusst übernommen haben, verschwindet. Wer das nicht durch Plausibilitäts-Checks ersetzt, hat schnellere Prozesse mit größeren Lücken.

Was eine pragmatische Antwort beinhaltet

In Erstberatungen empfehlen wir ein Setup, das die drei Themen nicht als drei Software-Projekte behandelt, sondern als Erweiterung der vorhandenen Infrastruktur. Konkret heißt das vier Bausteine:

• Zentrale Eingangsadressen mit klarer Verantwortlichkeit. Für E-Rechnungen, für Zeiterfassungs-Daten, für Foto-Doku. Jeweils nicht persönlich, sondern rolle-gebunden. Krankheitsfall, Kündigung, Urlaub stören den Prozess dann nicht.
• Ein revisionssicheres Archiv pro Datenart. Das kann ein vorhandenes DMS sein, ein eigener Dienst oder ein zugeschnittener Bereich in einer bestehenden Web-App. Wichtig ist nicht das Tool, sondern dass der Originalzustand reproduzierbar bleibt.
• Eine schlanke Erfassungs-Schicht, die zum jeweiligen Mitarbeiter passt. Für die Baustelle ein mobile-first Interface, fürs Büro ein Browser-Login, für Lohnbuchhaltung eine saubere Schnittstelle. Ein einziges Frontend für alle erzeugt Reibung, an der Lösungen scheitern.
• Plausibilitäts- und Eingangs-Prüfung mit Augenmaß. Stichproben bei E-Rechnungs-Eingang, Korrektur-Workflow bei Zeitfehlern, Tagging und Suche in der Foto-Doku. Vieles davon lässt sich automatisieren, ohne dafür eine große Software-Plattform zu brauchen. Wo wir solche Workflows konkret bauen, zeigt unsere Arbeit an Prozess-Automatisierung mit AI.

Was eine pragmatische Antwort nicht beinhaltet: ein neues ERP, eine zentrale Compliance-Suite oder eine 200-Seiten-Dokumentation. Wer das aktuelle Compliance-Bündel zum Anlass nimmt, die gesamte IT-Landschaft neu zu denken, schießt mit Kanonen auf Spatzen — es sei denn, das war ohnehin geplant.

In welcher Reihenfolge mittelständische Betriebe das angehen sollten

Drei Faustregeln, die wir Inhabern in den letzten Monaten häufiger geraten haben:

1. Zeiterfassung zuerst, weil sie gerichtlich am stärksten getestet ist. Die Pflicht ist seit September 2022 unmittelbar, die Beweislast bei Streit verschiebt sich zu Ungunsten des Arbeitgebers, die Detail-Regelungen aus dem ArbZG-Entwurf werden den Druck eher erhöhen als senken.
2. E-Rechnungs-Eingang als Nächstes. Empfangen müssen Sie seit 2025. Eine zentrale Eingangsadresse mit dokumentierter Verantwortlichkeit ist in einem Nachmittag eingerichtet, schließt die häufigste Lücke und gibt Ihnen zwei Jahre Zeit, den Versand-Pfad sauber zu bauen.
3. DSGVO/WhatsApp-Foto-Doku, wenn Sie regelmäßig auf Baustellen, in Kundenobjekten oder mit sensiblen Daten arbeiten. Hier ist das Risiko nicht ein konkreter Stichtag, sondern ein konkreter Schadensfall. Wer das Thema bis dahin offen lässt, baut unter Druck.

Diese Reihenfolge ist nicht dogmatisch. Wenn in Ihrem Betrieb gerade ein Rechnungs-Streit oder eine Lohnabrechnungs-Prüfung läuft, kann die Priorität anders aussehen. Aber als Default für mittelständische Betriebe, die nichts Akutes brennen haben, hat sich das in unseren Erstgesprächen als belastbar erwiesen.

Wo Standard reicht und wo Eigenentwicklung lohnt

Eine sinnvolle Annahme: In zwei der drei Themen reicht Standardsoftware in den meisten Fällen. Das Buchhaltungsprogramm mit E-Rechnungs-Modul, eine geprüfte Zeiterfassungs-App, eine etablierte Baustellen-Doku-App. Was in der Regel nicht ausreicht, ist die Verbindung dieser Tools zu Ihren bestehenden Systemen: DATEV-Lohnarten, ERP-spezifische Felder, eigene Bauakten-Logik, Standorte mit unterschiedlichen Regeln.

Genau dort liegt der Hebel, an dem eine schlanke Custom-Schicht Sinn ergibt. Nicht als Ersatz der Standard-Tools, sondern als Connector zwischen ihnen. Wo das Standard-Tool funktioniert und wo es anfängt, im Weg zu stehen, beschreibt Handwerkersoftware vs. eigene Web-App ausführlich.

Was wir Inhabern in der Erstberatung sagen

Drei Sätze, die wir in den letzten Monaten oft wiederholt haben:

• Compliance ist kein Software-Problem, sondern ein Organisations-Problem mit Software-Anteil. Die billigste, wirksamste Maßnahme ist fast immer organisatorisch: eine zentrale Adresse, eine klare Rolle, ein dokumentierter Prozess. Software löst es nicht, sie unterstützt es.
• Bauen Sie keine Compliance-Suite. Es gibt Anbieter, die genau das verkaufen. Für mittelständische Betriebe ist die Antwort fast immer kleiner: drei punktuelle Erweiterungen statt eine zentrale Plattform.
• Beginnen Sie früh, bevor der Stichtag drückt. Wer 2027 hektisch den E-Rechnungs-Versand baut, verhandelt schlechter mit Anbietern, akzeptiert mehr Kompromisse und zahlt mehr. Wer 2026 ruhig die Reihenfolge oben durcharbeitet, fährt entspannter.

Wenn Sie gerade prüfen, an welcher Stelle die Compliance-Themen in Ihrem Betrieb am dringendsten sind: Schreiben Sie uns kurz. Wir schauen mit Ihnen ehrlich auf das, was Sie heute schon haben, und sagen, welcher Pfad in Ihrer Größenordnung Sinn ergibt — und welcher nicht.