ich hab gar nix gemacht

Von Felix Meyer business 8 Min. Lesezeit
ich hab gar nix gemacht

Stellen Sie sich vor, es ist Dienstagmorgen, 9:15 Uhr. In Ihrem Posteingang liegt eine E-Mail vom Finanzamt oder, noch schlimmer, Ihr IT-Leiter steht bleich in der Tür, weil die Server verschlüsselt sind. Ihre erste Reaktion, vielleicht sogar gegenüber den Behörden oder der Versicherung, ist ein reflexartiges Abstreiten jeglicher Verantwortung. Sie denken, wenn Sie behaupten, Sie hätten keine Änderungen vorgenommen oder keine riskanten Entscheidungen getroffen, wären Sie fein raus. Doch genau hier schnappt die Falle zu. Ich habe Unternehmer erlebt, die mit der Verteidigung Ich Hab Gar Nix Gemacht versucht haben, Bußgelder im fünfstelligen Bereich abzuwenden, nur um am Ende festzustellen, dass genau diese Untätigkeit rechtlich als grobe Fahrlässigkeit gewertet wurde. In der Welt der Compliance und der IT-Haftung gibt es keinen Schutz durch Passivität. Wer nichts macht, dokumentiert im Grunde nur sein eigenes Versagen bei der Aufsichtspflicht. Das kostet am Ende nicht nur Geld, sondern die Existenz, weil Versicherungen bei nachgewiesener Ignoranz von Standards schlicht die Zahlung verweigern.

Die gefährliche Annahme dass Untätigkeit vor Haftung schützt

Viele Geschäftsführer glauben immer noch, dass sie nur für das haftbar sind, was sie aktiv unterschreiben oder anordnen. Das ist ein Irrtum, der in der deutschen Rechtsprechung, insbesondere im Rahmen der Business Judgment Rule und der GoBD, gnadenlos bestraft wird. Wenn ein System ausfällt oder eine Steuerprüfung Unregelmäßigkeiten in der Kasse findet, ist die Aussage „Ich war das nicht, das System lief einfach so“ das schlechteste Argument überhaupt.

In meiner Praxis habe ich gesehen, wie ein mittelständischer Betrieb eine Nachzahlung von 40.000 Euro leisten musste, weil die Verfahrensdokumentation fehlte. Der Inhaber sagte dem Prüfer stolz: „Ich habe an der Software seit fünf Jahren nichts geändert.“ Genau das war das Problem. Er hatte die Software nicht an neue gesetzliche Anforderungen angepasst. Die Annahme, dass ein einmal eingerichteter Prozess ewig rechtssicher bleibt, ohne dass man ihn anfasst, führt direkt ins Verderben. Wer nichts tut, lässt seine Compliance verrotten. In Deutschland gilt die Garantenstellung des Geschäftsführers. Das bedeutet, man ist dafür verantwortlich, dass Schäden verhindert werden. Schweigen oder Nichtstun wird hier als Unterlassen gewertet. Das ist juristisch oft genauso schwerwiegend wie eine vorsätzliche Fehlentscheidung.

Warum Ich Hab Gar Nix Gemacht bei Cyber-Versicherungen zur Leistungsverweigerung führt

Ein klassisches Szenario aus der IT-Forensik: Ein Unternehmen wird Opfer einer Ransomware-Attacke. Der Inhaber ruft die Versicherung an und beteuert seine Unschuld mit den Worten: Ich Hab Gar Nix Gemacht, wir haben keine dubiosen Anhänge geöffnet. Die Versicherung schickt einen Gutachter. Dieser stellt fest, dass die Sicherheits-Patches für den VPN-Zugang seit acht Monaten nicht eingespielt wurden.

Hier bricht das Kartenhaus zusammen. Die Versicherung argumentiert völlig zurecht, dass der Versicherungsnehmer seine Obliegenheiten verletzt hat. In den Verträgen steht fast immer, dass die Systeme auf dem „Stand der Technik“ gehalten werden müssen. „Nichts gemacht zu haben“ bedeutet in diesem Kontext, dass man die Wartung vernachlässigt hat. Ich kenne einen Fall, bei dem ein Schaden von 250.000 Euro anstand. Die Versicherung zahlte keinen Cent, weil der Firmeninhaber dachte, solange die Hardware läuft, müsse man kein Geld in die Softwarepflege stecken. Er wollte Geld sparen, indem er die Wartungsverträge kündigte. Diese Ersparnis von vielleicht 200 Euro im Monat führte zu einem Viertelmillion-Loch, das er aus Privatvermögen stopfen musste.

Die Illusion der wartungsfreien IT

Es gibt keine IT-Systeme, die ohne menschliches Zutun sicher bleiben. Wer glaubt, eine Firewall einmal zu kaufen und dann fünf Jahre zu vergessen, handelt verantwortungslos. Die Angreifer rüsten täglich auf. Wenn Sie also sagen, Sie hätten nichts gemacht, geben Sie zu, dass Sie den Angreifern die Tür offen gelassen haben. Ein System ohne Updates ist wie ein Haus, bei dem man die Schlösser nie austauscht, obwohl bekannt ist, dass die alten Schlüssel massenhaft nachgemacht wurden.

Der Vorher-Nachher-Vergleich in der Praxis der Buchhaltung

Schauen wir uns an, wie sich die Herangehensweise eines erfahrenen Profis von der eines Amateurs unterscheidet, wenn es um die GoBD-Konformität geht.

Der falsche Ansatz (Der „Ich warte ab“-Weg): Ein Gastronom nutzt seit 2018 dasselbe Kassensystem. Er denkt sich, dass das Finanzamt schon zufrieden sein wird, solange er jeden Abend den Z-Bon ausdruckt. Er macht keine Updates, führt kein ordentliches Kassenbuch und ignoriert die TSE-Pflicht (Technische Sicherheitseinrichtung), weil sein Kassenaufsteller meinte, das könne man später mal machen. Als die Kassenprüfung kommt, sagt er dem Prüfer: „Ich hab an der Kasse gar nix gemacht, die läuft wie am ersten Tag.“ Der Prüfer stellt fest, dass die Daten nicht unveränderbar gespeichert wurden. Das Ergebnis: Die Buchführung wird verworfen, der Gewinn wird geschätzt. Die Nachzahlung beträgt 60.000 Euro plus Zinsen. Der Gastronom muss einen Kredit aufnehmen, um den Betrieb zu retten.

💡 Das könnte Sie interessieren: marktkauf prospekt zum blättern lauchhammer

Der richtige Ansatz (Der proaktive Weg): Ein anderer Gastronom im selben Viertel hat denselben Kassenaufsteller. Er liest jedoch die Fachnachrichten und merkt, dass sich die Gesetze ändern. Er beauftragt sofort das Update auf die TSE, auch wenn es 500 Euro kostet. Er lässt sich eine Verfahrensdokumentation erstellen und investiert drei Stunden im Monat, um seine Prozesse zu dokumentieren. Als der Prüfer kommt, legt er einen Ordner vor, der jede Änderung am System lückenlos zeigt. Der Prüfer sieht, dass der Inhaber seine Hausaufgaben gemacht hat. Selbst wenn kleine Fehler gefunden werden, bleibt die Buchführung bestehen. Die Prüfung endet ohne nennenswerte Nachzahlung. Die 500 Euro Investition haben 60.000 Euro Schaden verhindert.

Der Unterschied ist gewaltig. Im ersten Fall war das Nichtstun der teuerste Fehler der Geschäftsführung. Im zweiten Fall wurde durch aktive Arbeit Sicherheit erkauft.

Dokumentation ist keine Bürokratie sondern Ihre Lebensversicherung

Oft höre ich in Beratungen: „Ich habe keine Zeit für diesen Schreibkram, ich muss arbeiten.“ Das ist die klassische Sichtweise von Leuten, die noch nie vor einem Richter standen oder eine Steuerfahndung im Haus hatten. Dokumentation ist der einzige Beweis dafür, dass Sie Ihren Pflichten nachgekommen sind. Wenn Sie sagen „Ich habe alles richtig gemacht“, aber keinen Zettel haben, der das belegt, haben Sie rechtlich gesehen gar nichts gemacht.

Warum das Protokollieren von Fehlern besser ist als Schweigen

Es ist ein weit verbreiteter Irrtum, dass man Schwachstellen oder Fehler in der Dokumentation verschweigen sollte. Profis wissen: Eine ehrliche Dokumentation, die zeigt, dass man ein Problem erkannt und einen Plan zur Behebung hat, ist Gold wert. Wenn Sie ein Problem ignorieren, ist es Vorsatz. Wenn Sie es dokumentieren und priorisieren, ist es Management.

Ein Beispiel: Ein Server fällt aus. Wenn Sie einfach nur den Stecker ziehen und hoffen, dass niemand fragt, warum die Datenlücke da ist, haben Sie bei der nächsten Prüfung ein Erklärungsnotstand. Wenn Sie aber ein Ausfallprotokoll schreiben, das beschreibt, was passiert ist, welche Daten betroffen waren und wie Sie das System wiederhergestellt haben, sind Sie auf der sicheren Seite. Prüfer hassen Unklarheiten. Sie lieben Prozesse, selbst wenn diese Prozesse mal einen Fehler protokollieren.

🔗 Weiterlesen: lencioni 5 dysfunctions of a team

Die Kosten der Ignoranz bei der DSGVO und dem Datenschutz

Im Bereich Datenschutz ist das Wegschauen besonders teuer. Seit die DSGVO in Kraft getreten ist, sind die Bußgelder keine Bagatellen mehr. Viele Kleinunternehmer denken, sie seien zu unbedeutend, um erwischt zu werden. Das Problem sind oft gar nicht die Behörden, sondern unzufriedene Kunden oder ehemalige Mitarbeiter, die eine Meldung machen.

Wer hier behauptet, keine Daten zu verarbeiten oder nichts geändert zu haben, obwohl er Google Analytics auf der Webseite nutzt, landet sofort auf der Abschussliste. Es ist ein technischer Fakt, dass Webseiten ohne regelmäßige Anpassung an die aktuelle Rechtsprechung (Stichwort: Cookie-Banner und Einwilligung) innerhalb weniger Monate rechtswidrig werden. Hier nichts zu tun, ist eine Einladung für Abmahnanwälte. Eine Abmahnung kostet schnell 1.500 Euro. Ein ordentliches Consent-Tool kostet 10 Euro im Monat. Wer hier spart, zahlt am Ende den 150-fachen Preis. Das ist kein kluges Business, das ist Glücksspiel.

Was es wirklich braucht um sicher zu stehen

Lassen wir die Träumereien beiseite. Es gibt keine Abkürzung zur Rechtssicherheit und zur technischen Stabilität. Erfolg in diesen Bereichen bedeutet harte, langweilige Routinearbeit. Wenn Sie nicht bereit sind, sich mindestens einmal im Quartal ernsthaft mit Ihren betrieblichen Prozessen und Ihrer IT-Sicherheit auseinanderzusetzen, dann ist Ihr Unternehmen ein Kartenhaus im Wind.

  • Investieren Sie in Experten, statt in Hoffnung. Ein Steuerberater oder IT-Sicherheitsberater, der Ihnen sagt, was Sie falsch machen, ist billiger als ein Anwalt, der versucht, Sie aus dem Dreck zu ziehen, wenn es zu spät ist.
  • Akzeptieren Sie, dass Software altert. Nichts auf Ihrem Computer ist für die Ewigkeit gemacht. Budgets für Updates und neue Hardware müssen fest eingeplant sein, nicht erst, wenn etwas kaputtgeht.
  • Schaffen Sie eine Kultur der Verantwortlichkeit. Hören Sie auf, Entschuldigungen zu akzeptieren, die mit Untätigkeit zu tun haben. „Das wusste ich nicht“ ist in einer Führungsposition keine gültige Antwort. Es ist Ihre Aufgabe, es zu wissen.

Dieser Weg ist anstrengend. Er erfordert Disziplin und kostet Geld, das man lieber in Marketing oder neue Produkte stecken würde. Aber es ist der einzige Weg, der nachts ruhig schlafen lässt. Die Leute, die behaupten, man könne das alles ignorieren, sind meistens die Ersten, die verschwinden, wenn der Insolvenzverwalter anklopft. Sie haben die Wahl: Entweder Sie nehmen das Heft jetzt in die Hand, oder Sie lassen sich später von den Konsequenzen Ihres Nichtstuns überrollen. Es gibt keine dritte Option.

FM

Felix Meyer

Mit Erfahrung in Newsrooms und Content-Teams erstellt Felix Meyer verständliche, gut recherchierte Beiträge.

Ähnliche Artikel

Warum der Hype um Bricks and Minifigs die wahre Krise des modernen Spielzeugmarkts verschleiert

Warum der Hype um Bricks and Minifigs die wahre Krise des modernen Spielzeugmarkts verschleiert
Warum eine Staatsanleihe dein Portfolio rettet wenn die Märkte verrückt spielen

Warum eine Staatsanleihe dein Portfolio rettet wenn die Märkte verrückt spielen
Warum die meisten beim ersten Contact mit dem B2B-Vertrieb scheitern und wie Sie fünfstellige Lehrgelder vermeiden

Warum die meisten beim ersten Contact mit dem B2B-Vertrieb scheitern und wie Sie fünfstellige Lehrgelder vermeiden
Das Versprechen von Vonovia und die Sehnsucht nach Heimat

Das Versprechen von Vonovia und die Sehnsucht nach Heimat