Zum Hauptinhalt springen

23. Januar 202610 min read

Compliance im Mittelstand 2025–2028: Was gilt

E-Rechnung, Zeiterfassung, DSGVO-Foto-Doku: Drei Pflichten treffen den Mittelstand bis 2028 gleichzeitig. Was wirklich gilt — und was nur Marketing ist.

Für B2B-Mittelständler gelten zwischen 2025 und 2028 drei Compliance-Pflichten gleichzeitig: E-Rechnungsempfang ist seit Januar 2025 gesetzlich verpflichtend, Zeiterfassung muss seit dem BAG-Beschluss September 2022 objektiv und manipulationssicher sein, und die DSGVO-konforme Foto-Dokumentation gilt seit 2018 — mit deutlich wachsender Aufsichtsbehörden-Aufmerksamkeit. Alle drei Pflichten verlangen dieselbe Infrastruktur: zentrale Eingangsadressen, manipulationssichere Erfassung und revisionssichere Archivierung. Wer sie in dieser Reihenfolge angeht — Zeiterfassung, E-Rechnungseingang, DSGVO-Foto-Doku — bewältigt sie ohne großes ERP-Projekt.

In den Erstgesprächen, die wir aktuell mit mittelständischen Inhabern führen, taucht eine Stimmung auf, die noch vor zwei Jahren selten war: „Wir wissen, dass wir was tun müssen. Wir wissen nur nicht, was zuerst." Die E-Rechnungspflicht ist da, die Zeiterfassungspflicht gilt seit dem BAG-Beschluss von 2022 unmittelbar, die DSGVO-Realität rund um WhatsApp auf der Baustelle wird in jeder zweiten Aufsichtsbehörden-Mitteilung deutlicher. Drei Themen, drei Software-Märkte, drei Anbieter pro Thema, die alle behaupten, die Antwort zu sein.

Dieser Beitrag sortiert das — nicht als juristische Beratung, sondern als das, was wir im Alltag bei Mittelständlern sehen, die nicht jedes Marketing-Versprechen ungeprüft mitmachen wollen.

Drei Pflichtstränge, die parallel laufen

Wer in den nächsten drei Jahren im B2B-Mittelstand tätig ist, hat es mit drei Themen zu tun, die nicht aufeinander gestimmt sind, aber denselben Mitarbeiterkreis beanspruchen:

Compliance-Pflichten im Mittelstand 2025–2028 bezeichnet das gleichzeitige Inkrafttreten dreier gesetzlicher Anforderungen: die Pflicht zur elektronischen Rechnung (E-Rechnung) nach § 27 UStG, die Pflicht zur objektiven und manipulationssicheren Arbeitszeiterfassung gemäß BAG-Beschluss 1 ABR 22/21, sowie die seit der DSGVO 2018 geltenden Anforderungen an datenschutzkonforme Belegdokumentation. Sie treffen Betriebe mit 10 bis 150 Mitarbeitern besonders hart, weil die nötigen organisatorischen Strukturen oft noch fehlen.

1. E-Rechnungspflicht (seit 2025, voll 2028)

Seit dem 1. Januar 2025 muss jeder B2B-Betrieb E-Rechnungen empfangen können. Der Versand wird stufenweise Pflicht: ab 1. Januar 2027 für Betriebe mit Vorjahresumsatz über 800.000 € (Quelle: § 27 Abs. 38 UStG, Wachstumschancengesetz, Stand 2024), ab 1. Januar 2028 für alle. Wer Versand erst in der zweiten Hälfte 2026 angeht, baut unter Druck.

Das Wachstumschancengesetz (§ 27 UStG) hat die stufenweise Einführung verbindlich geregelt. Was viele unterschätzen: Die Pflicht trifft nicht nur das Rechnungsprogramm, sondern den gesamten Eingangs- und Archivierungs-Prozess. Mehr dazu in E-Rechnungspflicht 2025: Was XRechnung und ZUGFeRD wirklich verlangen.

2. Zeiterfassungspflicht (gilt unmittelbar seit September 2022)

Seit dem BAG-Beschluss 1 ABR 22/21 vom 13. September 2022 ist die Pflicht zur objektiven, manipulationssicheren Zeiterfassung wirksam — unmittelbar, unabhängig von einer Tarifregelung. Die offene Frage betrifft Detailregelungen aus dem Referentenentwurf zur Novellierung des Arbeitszeitgesetzes, nicht das Ob.

Was viele Betriebe übersehen: Das Arbeitsgericht Emden hat seit 2020 mehrfach Stundennachweise auf Excel-Basis als ungeeignet zurückgewiesen (Az. 2 Ca 94/19, 20.02.2020, und Az. 2 Ca 144/20, 24.09.2020; ein älteres, in Marketingmaterial vereinzelt zitiertes Az. 2 Ca 94/14 ist nicht öffentlich dokumentiert und lässt sich weder bei dejure.org noch über das Niedersächsische Justizportal verifizieren). Eine geteilte Excel im SharePoint reicht in den meisten Fällen nicht. Was stattdessen leisten muss, beschreibt Zeiterfassungspflicht im Mittelstand im Detail.

3. DSGVO-Realität auf der Baustelle (seit 2018, mit wachsender Aufsicht)

Die DSGVO gilt seit 2018, aber erst in den letzten Jahren rücken die alltäglichen Verstöße in den Fokus der Aufsichtsbehörden: dienstliche Foto-Doku über private WhatsApp-Konten, Belegversand über E-Mail-Accounts einzelner Personen, Kunden-Fotos in WhatsApp-Gruppen mit Subunternehmern. Die rechtliche Lage ist seit Schrems II nicht ruhiger geworden.

Was eine saubere Foto-Doku stattdessen leisten muss, ist Thema in Baustellen-Fotos in WhatsApp: Warum das ein DSGVO-Problem ist.

Was die drei Pflichten gemeinsam haben

Auf den ersten Blick wirken sie unverbunden. In der Praxis verlangen sie strukturell dasselbe:

  • Eine zentrale, beobachtete Stelle statt verteilter Einzel-Konten. Eine Rechnungs-Eingangs-Adresse, ein Zeiterfassungs-System, ein Foto-Ablage-System — jeweils nicht „die Adresse von Frau Müller" und „das Tablet vom Vorarbeiter".
  • Manipulationssicherheit mit Nachvollzug. Änderungen müssen möglich sein, aber als Änderungen erkennbar bleiben. Eine Excel, in die beliebig überschrieben werden kann, scheitert hier in allen drei Themen gleichzeitig.
  • Revisionssicheres Archiv mit Aufbewahrungsfristen. Zehn Jahre für E-Rechnungen, mehrere Jahre für Zeiterfassungs-Daten, Zweck-gebunden für Foto-Daten. Ein Netzlaufwerk mit Ordnern nach Jahren reicht für keines davon.
  • Zugänglichkeit für die Betroffenen. Mitarbeiter müssen ihre Zeit-Daten einsehen, Kunden müssen Auskunft erhalten können, Behörden müssen prüfen können. Wer Daten nicht auffinden kann, scheitert nicht an der Technik, sondern an der Organisation.

Wer diese vier Gemeinsamkeiten ernst nimmt, baut nicht drei Lösungen für drei Themen, sondern eine Infrastruktur, die diese vier Dinge leistet. Die thematischen Front-Ends sehen dann unterschiedlich aus, die Substanz darunter ist dieselbe.

Vier Stellen, an denen Mittelständler systematisch unterschätzen

Aus der Arbeit mit Inhabern in der Größenordnung 10 bis 150 Mitarbeiter sehen wir vier Muster, die fast überall auftreten:

1. „Unser Buchhaltungsprogramm / Lohnsystem kann das"

Stimmt häufig — aber meistens nur für den engen Pflichtteil. Das Buchhaltungsprogramm kann E-Rechnungen importieren, aber nicht zuordnen, wenn der Eingangskanal unklar ist. Das Lohnsystem kann Zeiterfassung empfangen, aber nicht den passenden Workflow erzwingen. Die Pflicht ist Software, der Workflow drumherum ist Organisation.

2. Die Annahme- und Erfassungsstellen sind nicht geklärt

E-Rechnung: an welche Adresse? Zeiterfassung: in welchem System für welche Mitarbeiterart? Foto-Doku: in welcher App, zugeordnet zu welchem Auftrag? In allen drei Themen ist die erste, billigste und am häufigsten übersehene Maßnahme, diese Stellen zentral zu benennen und mit Verantwortlichkeit zu versehen. Sie kostet nichts und löst kein Software-Bedürfnis aus. Sie ist trotzdem in fast jedem Erstgespräch unsere erste Empfehlung.

3. Archivierung wird mit Speicherung verwechselt

Eine Datei auf einem Netzlaufwerk ist gespeichert, nicht archiviert. Revisionssicher heißt: unveränderbar im Originalzustand, mit Nachvollzug von Zugriffen, mit klarer Aufbewahrungsdauer und mit definierter Lösch-Routine. Wer das auf „Wir legen alles im DMS ab" reduziert, hat in der Regel ein DMS, das eines dieser Kriterien nicht erfüllt.

4. Die Eingangsprüfung fällt weg, wenn alles maschinell läuft

In allen drei Themen liegt der Effizienzgewinn in der Automatisierung. Genau dort liegt aber auch das neue Risiko: Eine maschinell verarbeitete E-Rechnung wird nicht mehr von einem Menschen gelesen, eine automatisch erfasste Stunde nicht mehr von einem Vorarbeiter gegengezeichnet, eine zentral abgelegte Foto-Doku nicht mehr von der Bauleitung sortiert. Die Sicherheits-Schicht, die manche Mitarbeiter unbewusst übernommen haben, verschwindet. Wer das nicht durch Plausibilitäts-Checks ersetzt, hat schnellere Prozesse mit größeren Lücken.

Was eine pragmatische Antwort beinhaltet

In Erstberatungen empfehlen wir ein Setup, das die drei Themen nicht als drei Software-Projekte behandelt, sondern als Erweiterung der vorhandenen Infrastruktur. Konkret heißt das vier Bausteine:

  • Zentrale Eingangsadressen mit klarer Verantwortlichkeit. Für E-Rechnungen, für Zeiterfassungs-Daten, für Foto-Doku. Jeweils nicht persönlich, sondern rolle-gebunden. Krankheitsfall, Kündigung, Urlaub stören den Prozess dann nicht.
  • Ein revisionssicheres Archiv pro Datenart. Das kann ein vorhandenes DMS sein, ein eigener Dienst oder ein zugeschnittener Bereich in einer bestehenden Web-App. Wichtig ist nicht das Tool, sondern dass der Originalzustand reproduzierbar bleibt.
  • Eine schlanke Erfassungs-Schicht, die zum jeweiligen Mitarbeiter passt. Für die Baustelle ein mobile-first Interface, fürs Büro ein Browser-Login, für Lohnbuchhaltung eine saubere Schnittstelle. Ein einziges Frontend für alle erzeugt Reibung, an der Lösungen scheitern.
  • Plausibilitäts- und Eingangs-Prüfung mit Augenmaß. Stichproben bei E-Rechnungs-Eingang, Korrektur-Workflow bei Zeitfehlern, Tagging und Suche in der Foto-Doku. Vieles davon lässt sich automatisieren, ohne dafür eine große Software-Plattform zu brauchen. Wo wir solche Workflows konkret bauen, zeigt unsere Arbeit an Prozess-Automatisierung mit AI.

Was eine pragmatische Antwort nicht beinhaltet: ein neues ERP, eine zentrale Compliance-Suite oder eine 200-Seiten-Dokumentation. Wer das aktuelle Compliance-Bündel zum Anlass nimmt, die gesamte IT-Landschaft neu zu denken, schießt mit Kanonen auf Spatzen — es sei denn, das war ohnehin geplant. Wer dabei auch einordnen möchte, wo KI-gestützte Ansätze in der eigenen Infrastruktur sinnvoll wären, findet dazu einen Einstieg über unsere KI-Strategie & Beratung.

In welcher Reihenfolge mittelständische Betriebe das angehen sollten

Drei Faustregeln, die wir Inhabern in den letzten Monaten häufiger geraten haben:

  1. Zeiterfassung zuerst, weil sie gerichtlich am stärksten getestet ist. Die Pflicht ist seit September 2022 unmittelbar, die Beweislast bei Streit verschiebt sich zu Ungunsten des Arbeitgebers, die Detail-Regelungen aus dem ArbZG-Entwurf werden den Druck eher erhöhen als senken.
  2. E-Rechnungs-Eingang als Nächstes. Empfangen müssen Sie seit 2025. Eine zentrale Eingangsadresse mit dokumentierter Verantwortlichkeit ist in einem Nachmittag eingerichtet, schließt die häufigste Lücke und gibt Ihnen zwei Jahre Zeit, den Versand-Pfad sauber zu bauen.
  3. DSGVO/WhatsApp-Foto-Doku, wenn Sie regelmäßig auf Baustellen, in Kundenobjekten oder mit sensiblen Daten arbeiten. Hier ist das Risiko nicht ein konkreter Stichtag, sondern ein konkreter Schadensfall. Wer das Thema bis dahin offen lässt, baut unter Druck.

Diese Reihenfolge ist nicht dogmatisch. Wenn in Ihrem Betrieb gerade ein Rechnungs-Streit oder eine Lohnabrechnungs-Prüfung läuft, kann die Priorität anders aussehen. Aber als Default für mittelständische Betriebe, die nichts Akutes brennen haben, hat sich das in unseren Erstgesprächen als belastbar erwiesen.

  1. Sep 2022

    Zeiterfassungspflicht

    BAG-Beschluss 1 ABR 22/21 wirkt unmittelbar.

  2. Jan 2025

    E-Rechnung empfangen

    Jeder B2B-Betrieb muss XRechnung und ZUGFeRD annehmen koennen.

  3. Jan 2027

    E-Rechnung versenden

    Pflicht fuer Betriebe mit Vorjahresumsatz ueber 800.000 EUR.

  4. Jan 2028

    Versand fuer alle

    Pflicht zum E-Rechnungs-Versand fuer alle inlaendischen B2B-Umsaetze.

Compliance-Stichtage fuer den Mittelstand 2025 bis 2028.

Kostenspanne

Spannweite je Position. Akzent markiert den typischen Wert.

  • Kleinbetrieb (bis 20 MA)

    5003.000

  • Mittelstand (20-100 MA)

    3.00015.000

  • Großes KMU (100+ MA)

    15.00060.000

Typische Implementierungskosten fuer Compliance-Massnahmen nach Betriebsgroesse.

Wo Standard reicht und wo Eigenentwicklung lohnt

Eine sinnvolle Annahme: In zwei der drei Themen reicht Standardsoftware in den meisten Fällen. Das Buchhaltungsprogramm mit E-Rechnungs-Modul, eine geprüfte Zeiterfassungs-App, eine etablierte Baustellen-Doku-App. Was in der Regel nicht ausreicht, ist die Verbindung dieser Tools zu Ihren bestehenden Systemen: DATEV-Lohnarten, ERP-spezifische Felder, eigene Bauakten-Logik, Standorte mit unterschiedlichen Regeln.

Genau dort liegt der Hebel, an dem eine schlanke Custom-Schicht Sinn ergibt. Nicht als Ersatz der Standard-Tools, sondern als Connector zwischen ihnen. Wo das Standard-Tool funktioniert und wo es anfängt, im Weg zu stehen, beschreibt Handwerkersoftware vs. eigene Web-App ausführlich.

Was wir Inhabern in der Erstberatung sagen

Drei Sätze, die wir in den letzten Monaten oft wiederholt haben:

  • Compliance ist kein Software-Problem, sondern ein Organisations-Problem mit Software-Anteil. Die billigste, wirksamste Maßnahme ist fast immer organisatorisch: eine zentrale Adresse, eine klare Rolle, ein dokumentierter Prozess. Software löst es nicht, sie unterstützt es.
  • Bauen Sie keine Compliance-Suite. Es gibt Anbieter, die genau das verkaufen. Für mittelständische Betriebe ist die Antwort fast immer kleiner: drei punktuelle Erweiterungen statt eine zentrale Plattform.
  • Beginnen Sie früh, bevor der Stichtag drückt. Wer 2027 hektisch den E-Rechnungs-Versand baut, verhandelt schlechter mit Anbietern, akzeptiert mehr Kompromisse und zahlt mehr. Wer 2026 ruhig die Reihenfolge oben durcharbeitet, fährt entspannter.

Fazit

Mittelständische B2B-Betriebe stehen zwischen 2025 und 2028 vor drei gleichzeitigen Compliance-Pflichten: E-Rechnungsempfang (seit Januar 2025 verpflichtend), manipulationssichere Zeiterfassung (seit BAG-Beschluss September 2022 unmittelbar wirksam) und DSGVO-konforme Foto-Dokumentation (seit 2018, mit wachsendem Vollzugsdruck). Alle drei Anforderungen haben denselben organisatorischen Kern: zentrale Eingangsadressen, manipulationssichere Erfassung und revisionssicheres Archiv. Wer diese Infrastruktur einmal aufbaut, löst alle drei Themen mit weniger Aufwand als drei separate Software-Projekte es erfordern würden. Die empfohlene Reihenfolge — Zeiterfassung, E-Rechnungseingang, dann DSGVO-Foto-Doku — priorisiert nach rechtlichem Risiko und Implementierungsaufwand, nicht nach Stichtag. Ein ERP-Projekt oder eine Compliance-Suite ist für die meisten Betriebe in dieser Größenordnung weder nötig noch sinnvoll.

Wenn Sie die drei Pflichten als 1-Pager-Checkliste mit ins nächste Vorstandsmeeting nehmen möchten: Hier kostenlos anfordern — wir schicken sie Ihnen direkt im Posteingang.

Wenn Sie gerade prüfen, an welcher Stelle die Compliance-Themen in Ihrem Betrieb am dringendsten sind: Schreiben Sie uns kurz. Wir schauen mit Ihnen ehrlich auf das, was Sie heute schon haben, und sagen, welcher Pfad in Ihrer Größenordnung Sinn ergibt — und welcher nicht.

TeilenLinkedInE-Mail

Newsletter

Solche Notizen direkt im Posteingang.

Alle zwei bis vier Wochen ein kurzer Brief mit dem, was uns gerade beschäftigt — plus einer Hilfe, die Sie sonst nirgendwo bekommen.

§Verwandte Beiträge

Weitere Beiträge.

§Weiterdenken

Frage, die der Beitrag bei Ihnen ausgelöst hat?

Schreiben Sie sie kurz auf. Wir melden uns mit einer ehrlichen Einschätzung zurück.