Risikomanagement Pflicht für GmbH: Was das Gesetz wirklich verlangt

Welche Gesetze gelten, was konkret gefordert ist, und wie Mittelständler die Anforderungen pragmatisch erfüllen.

Ist Risikomanagement für eine GmbH gesetzlich vorgeschrieben?

Ja. Seit dem 1. Januar 2021 verpflichtet §1 StaRUG (Unternehmensstabilisierungs- und -restrukturierungsgesetz) alle Geschäftsleiter haftungsbeschränkter Unternehmen zur fortlaufenden Überwachung bestandsgefährdender Entwicklungen. Das betrifft jede GmbH, jede UG und jede GmbH & Co. KG.

Damit hat der Gesetzgeber die bisherigen KonTraG-Pflichten, die über §91 Abs. 2 AktG primär auf Aktiengesellschaften zielten, auf alle Kapitalgesellschaften ausgeweitet. GmbH-Geschäftsführer müssen fortlaufend bestandsgefährdende Entwicklungen überwachen und geeignete Gegenmaßnahmen ergreifen.

Parallel dazu verpflichtet §43 GmbHG Geschäftsführer unabhängig vom StaRUG zur Sorgfalt eines ordentlichen Geschäftsmannes. Ein angemessenes Risikomanagement gehört zu dieser Sorgfaltspflicht. Das ist in der Rechtsprechung mittlerweile unstrittig.

Was genau fordert das StaRUG von Geschäftsführern?

§1 StaRUG verlangt von Geschäftsleitern drei konkrete Pflichten:

Erstens: Die fortlaufende Überwachung von Entwicklungen, die den Fortbestand der juristischen Person gefährden können. Das Wort „fortlaufend" ist entscheidend. Eine einmalige Risikoanalyse reicht nicht. Es geht um einen kontinuierlichen Prozess.

Zweitens: Das Ergreifen geeigneter Gegenmaßnahmen. Hier geht das StaRUG bewusst über das alte KonTraG hinaus. Es reicht nicht mehr, Risiken nur zu erkennen – Geschäftsführer müssen auch aktiv gegensteuern.

Drittens: Die unverzügliche Information des zuständigen Überwachungsorgans (Beirat, Aufsichtsrat, Gesellschafterversammlung). Risiken dürfen nicht verschwiegen oder heruntergespielt werden.

Welche weiteren Gesetze verpflichten GmbHs zum Risikomanagement?

Das StaRUG steht nicht allein. Ein ganzes Bündel gesetzlicher Regelungen adressiert die Risikomanagement-Pflichten von Geschäftsführern:

§43 GmbHG – Sorgfaltspflicht. Die allgemeine Sorgfaltspflicht des Geschäftsführers umfasst die Pflicht, Risiken zu erkennen und angemessen darauf zu reagieren. Im Haftungsfall prüfen Gerichte, ob der GF die Sorgfalt eines ordentlichen Geschäftsmannes angewandt hat.

KonTraG / §91 AktG – Risikofrüherkennung. Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) forderte bereits 1998 ein Risikofrüherkennungssystem. Formal gilt §91 Abs. 2 AktG für Aktiengesellschaften, wird aber von der herrschenden Rechtslehre analog auf größere GmbHs angewandt.

NIS2 – IT-Sicherheit. Seit Dezember 2025 in Kraft. Betrifft Unternehmen ab 50 Mitarbeitern in 18 Sektoren und fordert systematisches IT-Risikomanagement mit persönlicher Geschäftsführerhaftung.

DSGVO – Datenschutz-Folgenabschätzung. Bei Verarbeitungsvorgängen mit hohem Risiko für die Rechte natürlicher Personen schreibt die DSGVO eine dokumentierte Datenschutz-Folgenabschätzung vor.

In Österreich kommt zusätzlich das URG (Unternehmensreorganisationsgesetz) hinzu, das bei Vorliegen bestimmter Kennzahlen eine Reorganisationsprüfung verlangt.

Ab welcher Unternehmensgröße brauche ich ein Risikomanagementsystem?

Das StaRUG gilt für alle Kapitalgesellschaften – ohne Mindestgröße. Eine Einpersonen-GmbH ist genauso betroffen wie ein mittelständischer Betrieb mit 500 Mitarbeitern oder ein Konzern.

Was sich unterscheidet, ist der Umfang des Systems. Die Rechtsprechung verlangt Angemessenheit – das System muss zur Größe, Komplexität und Risikolage des Unternehmens passen. Für einen Handwerksbetrieb mit 10 Mitarbeitern reicht ein schlankerer Ansatz als für einen Produktionsbetrieb mit internationalen Lieferketten.

Was passiert wenn meine GmbH kein Risikomanagementsystem hat?

Die Konsequenzen treffen den Geschäftsführer persönlich. §43 GmbHG begründet die persönliche Haftung mit dem Privatvermögen. Durch die Beweislastumkehr muss nicht der Kläger beweisen, dass der GF fahrlässig gehandelt hat – der GF muss beweisen, dass er sorgfältig war. Ohne dokumentiertes Risikomanagement ist dieser Beweis praktisch nicht zu führen.

Die konkreten Konsequenzen sind erheblich: Schadensersatzforderungen durch Gesellschafter, wenn ein Schaden eintritt, der durch Risikomanagement hätte verhindert werden können. Die D&O-Versicherung kann die Leistung verweigern, wenn der GF seine gesetzlichen Pflichten nachweislich nicht erfüllt hat. Und Banken vergeben schlechtere Konditionen oder kündigen im Extremfall Kreditlinien, wenn kein nachweisliches Risikomanagement besteht.

Mehr zur Haftungsproblematik lesen Sie in unserem Artikel Geschäftsführerhaftung: Warum fehlendes Risikomanagement Sie persönlich treffen kann.

Was ist ein Risikofrüherkennungssystem nach StaRUG?

Ein Risikofrüherkennungssystem, wie es das StaRUG und der Prüfungsstandard IDW PS 340 beschreiben, umfasst mehrere Komponenten:

Die systematische Identifikation aller wesentlichen Risiken, die den Fortbestand des Unternehmens gefährden können. Das geht über offensichtliche Risiken hinaus und umfasst auch strategische, operative und finanzielle Risiken.

Die Analyse und Bewertung jedes Risikos nach Eintrittswahrscheinlichkeit und potenziellem Schadensausmaß. Eine qualitative Einschätzung (hoch/mittel/niedrig) ist der Einstieg, perspektivisch sollten wesentliche Risiken in Euro quantifiziert werden.

Die Risikoaggregation ist ein besonders wichtiger Aspekt. Bestandsgefährdende Entwicklungen entstehen selten aus einem einzelnen Risiko, sondern aus der Kombination mehrerer Einzelrisiken. Das System muss diese Wechselwirkungen berücksichtigen und die aggregierte Risikolage dem Risikodeckungspotenzial – also Eigenkapital und verfügbarer Liquidität – gegenüberstellen.

Und schließlich das regelmäßige Monitoring mit lückenloser Dokumentation. Das System muss leben, nicht in einer Schublade verstauben.

Muss das Risikomanagementsystem geprüft werden?

Bei Aktiengesellschaften: Ja. Der Abschlussprüfer ist nach §317 Abs. 4 HGB verpflichtet, das Risikofrüherkennungssystem im Rahmen der Jahresabschlussprüfung zu prüfen.

Bei GmbHs: Es gibt keine explizite Pflichtprüfung des Risikomanagementsystems. Allerdings haben Steuerberater und Wirtschaftsprüfer nach §102 StaRUG eine Hinweispflicht. Wenn sie bei der Erstellung des Jahresabschlusses auf bestandsgefährdende Tatsachen stoßen, müssen sie den Geschäftsführer darauf hinweisen.

Wie erfülle ich die StaRUG-Pflichten pragmatisch als Mittelständler?

Die gesetzlichen Anforderungen klingen umfangreicher als sie in der Praxis sein müssen. Ein pragmatischer Ansatz in vier Schritten reicht für die meisten mittelständischen Unternehmen:

Schritt 1: Wesentliche Risiken identifizieren. Erfassen Sie die Risiken, die Ihr Unternehmen tatsächlich gefährden können – branchenspezifisch und unternehmensindividuell. Für ein typisches KMU lässt sich die Risikolandschaft mit 15 bis 30 Einzelrisiken abbilden.

Schritt 2: Quantitative Bewertung. Bewerten Sie jedes Risiko nach Eintrittswahrscheinlichkeit und Schadensausmaß. Eine Risikomatrix nach ISO 31000 ist der anerkannte Standard, den auch Banken und Wirtschaftsprüfer akzeptieren.

Schritt 3: Maßnahmen definieren. Für jedes wesentliche Risiko legen Sie eine Steuerungsstrategie nach der 4T-Methode fest: Terminate (Vermeiden), Treat (Mindern), Transfer (Übertragen, z.B. Versicherung) oder Tolerate (bewusst Akzeptieren). Jede Entscheidung wird dokumentiert.

Schritt 4: Quartalsweise Überprüfung. Aktualisieren Sie Ihre Risikolage mindestens quartalsweise. Neue Risiken aufnehmen, bestehende neu bewerten, Maßnahmen auf Wirksamkeit prüfen. Das Ergebnis dokumentieren und dem Überwachungsorgan berichten.

Kann ich das Risikomanagement mit Excel umsetzen oder brauche ich Software?

Excel reicht zum Einstieg. Viele Unternehmen starten mit einer Tabelle, in der Risiken, Bewertungen und Maßnahmen erfasst werden. Für den Anfang ist das völlig ausreichend und besser als nichts.

Die Grenzen von Excel werden allerdings schnell sichtbar: Keine automatischen Alerts, wenn Schwellenwerte überschritten werden. Keine Versionskontrolle, also kein Nachweis wer wann was geändert hat. Keine Möglichkeit zur Risikoaggregation, um Kombinationseffekte zu erkennen. Und eine hohe Fehleranfälligkeit bei manueller Pflege.

Für Unternehmen ab circa 50 Mitarbeitern empfiehlt sich der Umstieg auf spezialisierte Software, die den gesamten Prozess abbildet – von der Identifikation über die Bewertung bis zum automatisierten Reporting.

Entscheidend ist aber nicht das Werkzeug, sondern das Ergebnis: Ihre Risiken müssen dokumentiert, bewertet und regelmäßig aktualisiert sein. Ob in Excel oder in einer Software: Hauptsache, es passiert.

Was kostet ein Risikomanagementsystem für den Mittelstand?

Die Bandbreite ist groß, aber jeder Ansatz ist günstiger als ein Haftungsfall:

Excel-basiert: Primär interner Aufwand. Rechnen Sie mit etwa 2-5 Tagen pro Jahr für Pflege und Aktualisierung. Keine direkten Softwarekosten, aber begrenzte Skalierbarkeit.

Spezialisierte Software: Ab etwa 100 Euro pro Monat für Cloud-Lösungen, die den ISO 31000-Prozess abbilden. Vorteile: automatische Dokumentation, Reporting auf Knopfdruck, Erinnerungen für Reviews.

Beraterunterstützung: Zwischen 5.000 und 30.000 Euro einmalig für die Konzeption und initiale Umsetzung. Kann sinnvoll sein, wenn intern kein Risikomanagement-Know-how vorhanden ist.

KI-gestützte Lösungen: Moderne Plattformen wie riskki ermöglichen einen Einstieg ab 0 Euro mit der kostenlosen Stufe – inklusive KI-gestützter Risikoidentifikation und Basisanalyse. Vollständiges Enterprise Risk Management ist ab 99 Euro pro Monat verfügbar.

Dieser Beitrag dient der allgemeinen Information und ersetzt keine rechtliche oder betriebswirtschaftliche Beratung im Einzelfall. Die dargestellten Informationen basieren auf dem Stand März 2026. Bei Fragen zur Ausgestaltung Ihres Risikomanagementsystems stehen wir Ihnen gerne zur Verfügung.