Zurück zu Wissen

StaRUG §1 — betrifft mich das als kleiner Betrieb überhaupt?

Claudia Raspl · cyrinox IT GmbH
·
Mai 2026
·
8 Min. Lesezeit

Kurz beantwortet

Ja. §1 StaRUG gilt seit 2021 für jeden Geschäftsführer einer GmbH oder UG — unabhängig von der Unternehmensgröße und auch dann, wenn der Betrieb wirtschaftlich gesund ist. Die Pflicht verlangt, fortlaufend über Entwicklungen zu wachen, die den Fortbestand gefährden können. Seit November 2025 konkretisiert der IDW S 16, wie das pragmatisch aussehen kann. Der Standard betont ausdrücklich: Auch kleine Unternehmen dürfen die Umsetzung an ihre Größe anpassen.

Wenn Sie das Wort „StaRUG“ zum ersten Mal hören, denken Sie vermutlich an Insolvenz, Sanierung, große Unternehmen in der Krise. Das liegt nahe — der vollständige Name lautet „Unternehmensstabilisierungs- und -restrukturierungsgesetz“, und er klingt nach genau dem: einem Werkzeug für den Ernstfall.

Aber §1 dieses Gesetzes hat eine ganz andere Stoßrichtung. Er sagt sinngemäß: Warten Sie gar nicht erst auf den Ernstfall. Schauen Sie hin, solange alles läuft.

Was §1 StaRUG tatsächlich verlangt

Der Paragraph ist kurz. Er verpflichtet Geschäftsleiter haftungsbeschränkter Gesellschaften zu drei Dingen:

Fortlaufend wachen über Entwicklungen, die den Fortbestand gefährden können.

Geeignete Gegenmaßnahmen ergreifen, wenn solche Entwicklungen erkannt werden.

Überwachungsorgane informieren — bei einer GmbH mit Beirat oder Aufsichtsrat; bei der typischen kleinen GmbH genügt die Dokumentation.

Das Entscheidende: „Fortlaufend“ bedeutet immer. In guten wie in schlechten Zeiten. Die Kanzlei Noerr stellt klar: §1 StaRUG ist als Dauerpflicht formuliert. Sie gilt für jede GmbH, jede UG, jede GmbH & Co. KG. Es gibt keine „Zu-klein-Schwelle“. GxG Legal formuliert es so: Der IDW S 16 betont ausdrücklich, dass das System skalierbar ist und gerade auch kleinere Unternehmen umfasst.

Warum ein Gesetz aus dem Insolvenzrecht für gesunde Betriebe relevant ist

Der Gedanke hinter §1 StaRUG ist im Grunde einfach: Krisen entstehen selten über Nacht. Sie kündigen sich an — durch schleichende Veränderungen, die einzeln harmlos wirken, in Kombination aber gefährlich werden. Ein Anbieter erhöht die Preise. Ein Mitarbeiter mit Schlüsselwissen geht in Rente. Ein Cloud-Dienst ändert seine Vertragsbedingungen. Die Auftragslage verschiebt sich.

Jede dieser Entwicklungen für sich ist beherrschbar. Aber nur, wenn Sie sie sehen. Und Sie sehen sie nur, wenn Sie einmal hingeschaut und aufgeschrieben haben, was Ihren Betrieb am Laufen hält — und wo die Verwundbarkeiten liegen.

Genau das verlangt §1 StaRUG. Und genau deshalb kommt er aus dem Insolvenzrecht: Der Gesetzgeber will verhindern, dass Unternehmen in eine Krise schlittern, die sich hätte erkennen lassen. Die Pflicht greift vorher — als Vorsorge, als Steuerungsinstrument.

Was Sie über Ihren eigenen Betrieb wissen sollten

Wenn Ihr Steuerberater die Krisenfrüherkennung anspricht, geht es meist um Liquiditätsplanung und Ertragsvorschau. Das ist der finanzielle Teil — und den deckt er ab. Aber der IDW S 16 verlangt ein Risikoinventar, das über Zahlen hinausgeht. Betriebliche Risiken gehören dazu. Und in einem Betrieb, der digital arbeitet, sind digitale Abhängigkeiten betriebliche Risiken.

Was das konkret heißt? Ein paar Fragen, die sich die wenigsten Geschäftsführer je gestellt haben:

Welche Programme stützen Ihre wichtigsten Abläufe? Buchhaltung, Auftragsabwicklung, Kundenverwaltung, E-Mail, Kalender — das sind oft fünf bis fünfzehn verschiedene Anwendungen. Wissen Sie, welche davon für welchen Ablauf entscheidend ist?

Wo liegen Ihre Daten — tatsächlich? In der Cloud? Auf dem Server? Auf dem Laptop eines Mitarbeiters? Werden sie zwischen Geräten synchronisiert, und wenn ja, wohin? Viele Betriebe haben Daten, die gleichzeitig bei Microsoft, bei einem Branchensoftware-Anbieter und auf einer lokalen Festplatte liegen — ohne dass jemand diesen Überblick hat.

Wer versteht Ihre Systeme? In vielen kleinen Betrieben gibt es eine oder zwei Personen, die „sich mit der IT auskennen“. Was passiert, wenn diese Personen ausfallen — durch Krankheit, Kündigung, Ruhestand? Das ist kein IT-Risiko. Das ist ein Betriebsrisiko.

Was passiert, wenn ein Dienst ausfällt — jenseits von Hackern? Backups schützen gegen Datenverlust. Aber was, wenn die Software einfach teurer wird, der Anbieter den Dienst einstellt oder ein Update die Schnittstelle zu Ihrem Warenwirtschaftssystem zerstört? Das sind Alltagsszenarien, die häufiger eintreten als ein Cyberangriff.

Wie abhängig sind Sie von einzelnen Anbietern? Könnte Ihr Betrieb morgen auf eine andere Buchhaltungssoftware wechseln? Haben Sie Zugriff auf Ihre Daten in einem brauchbaren Format? Oder sind über Jahre Abläufe, Konfigurationen und Wissen in ein System gewandert, das Sie im Ernstfall nur mit großem Aufwand verlassen könnten?

Diese Fragen klingen vielleicht technisch. Aber die Antworten sind betriebswirtschaftlich — sie betreffen die Handlungsfähigkeit Ihres Unternehmens.

Kein Bußgeld — aber ein Schutz, der im Ernstfall zählt

Es gibt kein Bußgeld für das Fehlen eines Krisenfrüherkennungssystems. Niemand schickt eine Behörde vorbei, die prüft, ob Sie eins haben. Das unterscheidet §1 StaRUG von der DSGVO oder NIS-2.

Die Konsequenz kommt erst, wenn etwas passiert. Wenn Ihr Unternehmen in eine Schieflage gerät — durch einen Großkundenausfall, einen langen IT-Stillstand, eine Insolvenz eines Zulieferers — und ein Insolvenzverwalter, ein Gläubiger oder Ihr D&O-Versicherer fragt: „Haben Sie Ihre Risiken gekannt? Haben Sie vorgesorgt?“ — dann zählt, was dokumentiert ist.

Die Business Judgment Rule schützt unternehmerische Entscheidungen — auch solche, die im Nachhinein falsch waren. Aber nur, wenn sie auf angemessener Informationsgrundlage getroffen wurden. Ein Geschäftsführer, der seine Risiken kannte, sie dokumentiert und eine begründete Abwägung getroffen hat, steht anders da als einer, der sagt: „Das wusste ich alles nicht.“ Die Wirtschaftsprüfungsgesellschaft dhpg erläutert die Pflichten im Detail.

Warum der Aufwand sich fast immer lohnt

Das klingt nach Pflicht und Bürokratie. In der Praxis ist es meist das Gegenteil. Wenn ein Geschäftsführer zum ersten Mal schwarz auf weiß sieht, welche zwölf Programme sein Betrieb nutzt, wer dafür zuständig ist und wo die Abhängigkeiten liegen, passiert fast immer dasselbe: Er trifft bessere Entscheidungen.

Er erkennt, dass drei Abteilungen verschiedene Tools für denselben Zweck bezahlen. Er sieht, dass ein Vertrag seit Jahren auf Autopilot läuft, obwohl der Dienst kaum noch genutzt wird. Er versteht, warum die letzte Software-Umstellung so chaotisch lief — weil vorher niemand wusste, was wovon abhängt.

Transparenz über die eigene digitale Grundlage ist ein Steuerungsinstrument. Dass es gleichzeitig die Pflicht zur Krisenfrüherkennung erfüllt, ist ein willkommener Nebeneffekt — kein bürokratischer Aufwand.

Wie fängt man an?

Der IDW S 16 erlaubt ausdrücklich, die Ausgestaltung an Größe und Komplexität des Unternehmens anzupassen. Für einen Betrieb mit 15 Mitarbeitern heißt das: kein Enterprise-Framework, keine Monte-Carlo-Simulation. Sondern ein Anfang.

Risikoüberwachung funktioniert nur, wenn man irgendwann anfängt, die Grundlage zu schaffen. Und die Grundlage ist verblüffend einfach: einmal aufschreiben, was den Betrieb am Laufen hält. Welche Abläufe sind kritisch? Welche Software stützt sie? Wo liegen die Daten? Wer kennt sich aus? Was passiert bei einem Ausfall?

Wenn das einmal dokumentiert ist — verständlich, lesbar, auf vielleicht zehn Seiten — haben Sie drei Dinge gleichzeitig: ein Steuerungsinstrument für Ihre eigenen Entscheidungen, eine Grundlage für den Notfall, und einen Nachweis Ihrer Sorgfaltspflicht. Das ist weder Compliance noch Papiertiger. Das ist Klarheit über Ihren eigenen Betrieb.

Und danach können Sie die Dinge fortlaufend im Blick behalten — weil Sie jetzt wissen, worauf Sie achten müssen. Genau das meint §1 StaRUG mit „fortlaufend wachen“. Einmal die Grundlage schaffen, dann regelmäßig aktualisieren.

Häufige Fragen

Gilt StaRUG §1 auch für kleine GmbHs mit weniger als 20 Mitarbeitern?

Ja. §1 StaRUG gilt seit dem 1. Januar 2021 für jeden Geschäftsführer einer haftungsbeschränkten Gesellschaft — jede GmbH, jede UG, jede GmbH & Co. KG. Es gibt keine Mindestgröße. Der IDW S 16 betont ausdrücklich, dass bei kleineren Unternehmen die überschaubaren Verhältnisse es erlauben, den Überwachungsgeboten auch ohne größere organisatorische Vorkehrungen gerecht zu werden.

Was passiert, wenn ich als GmbH-Geschäftsführer kein Frühwarnsystem habe?

Es gibt kein Bußgeld und keine behördliche Prüfung. Die Konsequenz liegt im Haftungsfall: Gerichte, D&O-Versicherer und Insolvenzverwalter orientieren sich zunehmend am IDW S 16 als Maßstab. Wer keine dokumentierte Risikoüberwachung vorweisen kann, hat es schwer, sich auf die Business Judgment Rule zu berufen — die schützt Entscheidungen nur dann, wenn sie auf angemessener Informationsgrundlage getroffen wurden.

Gehören digitale Abhängigkeiten zum Risikoinventar nach IDW S 16?

Der IDW S 16 verlangt, dass alle relevanten Unternehmensbereiche erfasst werden — und zwar auch in ihren Wechselwirkungen. Welche Software welchen Geschäftsprozess stützt, wo Daten liegen, ob Systemwissen an einzelnen Personen hängt — das sind betriebliche Risiken, die ins Inventar gehören. Diese Ebene wird oft übersehen, weil sie weder der Steuerberater (sieht Zahlen) noch der IT-Dienstleister (sieht Technik) abdeckt.

Dieser Artikel dient der allgemeinen Orientierung und stellt keine rechtliche Beratung dar. Die Einordnung Ihrer konkreten Situation obliegt Ihrer Rechtsanwältin oder Ihrem Rechtsanwalt.

Die Grundlage schaffen — mit überschaubarem Aufwand

Wir kommen zu Ihnen, schauen uns an, was Ihren Betrieb am Laufen hält, und dokumentieren die kritischen Abläufe, die digitale Grundlage und die Abhängigkeiten. Das Ergebnis ist ein lesbares Dokument — Ihr Steuerungsinstrument und gleichzeitig Ihr Sorgfaltspflicht-Nachweis.

In einem kurzen Gespräch klären wir, wie komplex Ihre Landschaft ist und welcher Umfang für Ihren Betrieb passt. Unverbindlich.

Gespräch vereinbaren