Compliance 2026/27: Welche Gesetze Sie jetzt auf dem Radar haben sollten

Am 1. Januar 2027 endet für deutsche Arbeitgeber endgültig eine jahrzehntelange Selbstverständlichkeit: der Papierzettel als Gehaltsabrechnung. Gleichzeitig greifen ab September 2026 die ersten Meldepflichten des Cyber Resilience Act, und ein EU-Rahmen für digitale Souveränität verschärft potenziell die Anforderungen an Cloud-Infrastrukturen. 

In diesem Artikel haben wir für Sie aktuell wichtige rechtliche Änderungen und Fristen in Sachen Compliance und Digitalisierung zusammengefasst. Inklusive Tipps, wie Sie jetzt ins Handeln kommen können.

TL;DR – das Wichtigste in Kürze:

• Cyber Resilience Act (CRA): Ab September 2026 greifen die ersten Meldepflichten für Hersteller und Anbieter digitaler Produkte, unabhängig von der Unternehmensgröße.

• EU Tech Sovereignty Package: Die EU verschärft den Druck Richtung digitale Souveränität. Für Unternehmen, die Cloud-Dienste außerhalb der EU für sensible Prozesse einsetzen, wächst das regulatorische Risiko.

• BVV §8 – digitale Entgeltunterlagen: Ab dem 01.01.2027 müssen Entgeltunterlagen vollständig digital, revisionssicher und maschinell auswertbar archiviert sein. Die Zugänglichmachung ist nachzuweisen.

Überblick: Was sich gleichzeitig ändert

Compliance-Pflichten kommen selten allein. Das ist kein Zufall: Die EU und der deutsche Gesetzgeber ziehen gerade an mehreren Stellen gleichzeitig an. Wer die Regelwerke isoliert betrachtet, verpasst den gemeinsamen Tenor: Digitale Prozesse müssen nachweisbar sicher, nachvollziehbar und souverän sein.

Drei Entwicklungen sind für IT-Verantwortliche, CISOs und HR-Entscheider im DACH-Raum besonders relevant: Der CRA, das Tech Sovereignty Package und die Pflicht, Entgeltunterlagen digital bereitzustellen. 

Cyber Resilience Act: Erste Pflichten greifen ab September 2026

Der Cyber Resilience Act (CRA) ist seit Dezember 2024 EU-weit in Kraft. Er verpflichtet alle Hersteller, Händler und Importeure von Produkten mit digitalen Elementen zu umfassenden Cybersicherheitsmaßnahmen. Konkret betroffen sind Software, Hardware und IoT-Geräte, die direkt oder indirekt eine Netzwerkverbindung herstellen können.

Wichtiges Detail: Der CRA kennt keine Ausnahmen bei der Unternehmensgröße. Wer digitale Produkte in der EU vertreibt, ist betroffen, ob Konzern oder Kleinstunternehmen.

Ab dem 11. September 2026 greifen hier die ersten Meldepflichten. Aktiv ausgenutzte Schwachstellen und sicherheitsrelevante Vorfälle müssen innerhalb enger Fristen gemeldet werden:

• Erstmeldung innerhalb von 24 Stunden

• Folgemeldung innerhalb von 72 Stunden

• Abschlussbericht spätestens 14 Tage nach Verfügbarkeit einer Abhilfemaßnahme

Wer noch keine internen Prozesse für Schwachstellenmanagement und Incident Response hat, muss diese jetzt aufbauen. Dabei sollten IT und Führungsebene zusammenarbeiten, denn im Ernstfall haftet die Geschäftsführung persönlich.

Ebenfalls wird unterschätzt, dass viele Unternehmen ihre eigene Betroffenheit noch nicht vollständig geklärt haben. Auch reine SaaS-Lösungen und Produkte mit eingebetteten Open-Source-Komponenten fallen beispielsweise unter den CRA, sobald sie sich mit Geräten oder Netzwerken verbinden. 

Hier empfiehlt sich als erster Schritt eine Software Bill of Materials (SBOM): eine strukturierte Übersicht aller verwendeten Softwarebestandteile, eigener Code, eingekaufte Bibliotheken und Drittkomponenten. Sie schafft Transparenz und ist im Ernstfall die Grundlage für schnelles Handeln.

Kurz gesagt: Ab September 2026 ist Stillstand mit Blick auf den CRA keine Option mehr. Wer jetzt die Betroffenheit klärt und Meldeprozesse aufbaut, gewinnt Handlungsspielraum und Glaubwürdigkeit als Partner in der Lieferkette.

EU Tech Sovereignty Package: Digitale Souveränität wird messbar

Parallel zum CRA verschärft die EU den Druck in Richtung digitale Souveränität. Im Sommer 2026 will die EU-Kommission ihr Tech Sovereignty Package (TSP) vorstellen. Kernstück ist der Cloud and AI Development Act (CADA). Er soll erstmals EU-weit definieren, was eine „souveräne Cloud" ist, und für bestimmte Bereiche des öffentlichen Sektors vorschreiben, dass sensible Gesundheits-, Justiz- und Finanzdaten ausschließlich dort verarbeitet werden dürfen.

Kurz gesagt: Es geht darum, wer Zugriff auf Ihre Daten hat und nach welchem Recht. Zwei Dinge sind dabei wichtig zu verstehen: Die Vorgaben richten sich explizit an den öffentlichen Sektor, nicht an private Unternehmen. Das Paket muss noch offiziell vorgestellt und dann noch von allen 27 EU-Mitgliedstaaten gebilligt werden. 

Die Richtung ist aber schon jetzt klar. KRITIS-Betreiber und auch Unternehmen, die als Lieferanten für öffentliche Auftraggeber, Gesundheitseinrichtungen oder Finanzdienstleister tätig sind, werden zunehmend mit einer Frage konfrontiert: Wo liegen Ihre Daten, und wer hat darauf wirklich Zugriff? 

Die Antwort „irgendwo in der Cloud" oder “auf einem europäischen Server” reicht da nicht mehr (und hat eigentlich auch noch nie gereicht). Denn: Wer glaubt, mit dem EU-Rechenzentrum eines US-Anbieters auf der sicheren Seite zu sein, unterschätzt den US CLOUD Act von 2018. Das Gesetz folgt dem Unternehmen, nicht dem Server. Es verpflichtet US-Unternehmen, Daten auf behördliche Anforderung herauszugeben, egal wo die Daten physisch liegen. Nur Unternehmen, die auf unabhängige, deutsche oder europäische Anbieter setzen, sind strukturell wirklich souverän aufgestellt.

Mehr zum TSP und was Souveränität technisch bedeutet, lesen Sie hier.

Digitale Entgeltunterlagen: Unterschätzte Pflicht

Während CRA und Tech Sovereignty viel Aufmerksamkeit bekommen, läuft im Hintergrund ein Compliance-Projekt, das für viele noch unter dem Radar fliegt und vor allem für HR-Abteilungen relevant ist. Dabei ist die Uhr schon angelaufen. 

Das BAG-Urteil vom Januar 2025

Am 28. Januar 2025 hat das Bundesarbeitsgericht (BAG, Az. 9 AZR 48/24) ein Grundsatzurteil gesprochen: Arbeitgeber dürfen Gehaltsabrechnungen ausschließlich digital bereitstellen. Eine Zustimmung der Mitarbeiter ist dafür nicht erforderlich. Ein generelles Recht auf Papierform existiert nicht mehr. Mitarbeiter können der digitalen Bereitstellung aktiv widersprechen, müssen das aber selbst tun. 

Das klingt nach einer technischen Feinheit, ist aber eine Weichenstellung. Jahrelang schützte eine rechtliche Grauzone Unternehmen davor, eine Entscheidung treffen zu müssen. Diese Grauzone existiert nicht mehr.

Die harte Deadline nach BVV §8 ab 1. Januar 2027

Ab dem 1. Januar 2027 greift § 8 der Beitragsverfahrensverordnung (BVV) verbindlich. Die BVV regelt, wie Entgeltunterlagen geführt und aufbewahrt werden müssen. Ab 2027 gilt: vollständig digital, revisionssicher und maschinell auswertbar, also euBP-konform (euBP steht für elektronisch unterstützte Betriebsprüfung).

In der Praxis bedeutet das, hybride Ablagestrukturen aus Papierordnern, E-Mail-Postfächern und lokalen Laufwerken sind dann nicht mehr zulässig. Der Prüfer erwartet, dass alle relevanten Unterlagen sofort auffindbar, eindeutig zugeordnet und digital bereitstellbar sind. Diese Deadline ist fix und gilt für alle Arbeitgeber, die der Betriebsprüfung unterliegen.

Wichtig: BVV §8 betrifft weit mehr als nur den monatlichen Lohnzettel. Digital geführt werden müssen auch alle begleitenden Unterlagen, die für eine korrekte Lohnabrechnung und Sozialversicherungsbeurteilung notwendig sind. Dazu zählen unter anderem 

• Krankenkassen-Mitgliedsbescheinigungen, 

• Anträge auf Befreiung von der Rentenversicherungspflicht bei geringfügiger Beschäftigung, 

• Erklärungen zur Nebenbeschäftigung,

• Arbeitszeitnachweise 

• sowie der Elternnachweis, der für die korrekte Berechnung der Pflegeversicherungsbeiträge benötigt wird. 

Wer also glaubt, allein damit compliant zu sein, dass er den Versand der Gehaltsabrechnung umgestellt hat, unterschätzt den Umfang der Anforderung. 

Das Nachweisproblem: Zustellung ist nicht gleich Zustellung

Der Knackpunkt, den viele unterschätzen: Die BVV fordert, dass der Arbeitgeber nachweisbar dokumentieren kann, dass eine Abrechnung dem Mitarbeiter zugänglich gemacht wurde. Mit Zeitstempel und für jeden einzelnen Mitarbeiter.

Eine Standard-E-Mail genügt dafür nicht. Wer eine Gehaltsabrechnung als PDF-Anhang verschickt, hat eine Zustellungsbestätigung des eigenen Mailservers; er kann aber nicht nachweisen, ob die E-Mail im Postfach des Empfängers angekommen ist, ob sie im Spam gelandet ist oder ob der Anhang geöffnet wurde. Vor einem Arbeitsgericht ist das kein Nachweis.

Das BAG hat das im selben Urteil klargestellt: Entscheidend ist die nachweisbare Zugänglichmachung, nicht der Versand. Der Unterschied ist juristisch erheblich.

Das Blue-Collar-Problem: Erreichen Sie wirklich alle?

Für Unternehmen in Fertigung, Produktion, Logistik und Handel kommt eine weitere Hürde hinzu. In der Fertigung haben 50 bis 80 Prozent der Belegschaft weder Firmen-PC noch Firmen-E-Mail. Klassische HR-Self-Service-Portale setzen aber beides voraus. Entsprechend liegt die Nutzungsrate solcher Portale in diesem Segment typischerweise unter 20 Prozent.

Das ist kein Usability-Problem, das sich mit einem besseren Onboarding lösen lässt. Es ist ein strukturelles Problem: Diese Mitarbeiter sind über den klassischen digitalen Kanal schlicht nicht erreichbar. Wer nur ein Portal hat, hat eine Lösung für die Büroetage, aber nicht für den gesamten Betrieb.

Der Zeitplan: Warum jetzt handeln

Bis 2027 scheint es zwar noch weit hin zu sein. Schaut man genauer hin, stimmt das aber rechnerisch nicht. Klassischerweise brauchen die einzelnen Phasen nämlich etwas Vorlauf:

• Betriebsratsvereinbarung: 3 bis 6 Monate

• System-Integration (z. B. in SAP): 1 bis 3 Monate

• Pilotphase und Rollout: 2 bis 4 Monate

Das ergibt eine typische Gesamtzeit für das Projekt von 9 bis 16 Monaten. Wer im Sommer 2026 noch nicht gestartet hat, schafft die Deadline wahrscheinlich nicht mehr. Hinzu kommt: Jeder Monat, in dem der Papierversand weiterläuft, verursacht Kosten. Allein Porto, Druck und Kuvertierung schlagen je nach Aufwand mit 3 bis 5 Euro pro Abrechnung zu Buche. Bei 500 Mitarbeitern summiert sich das auf 18.000 bis 30.000 Euro pro Jahr.

Wie eine zukunftssichere Umsetzung aussieht

Um solche Compliance-Anforderungen wie sie derzeit aus CRA, TSP und BVV §8 kommen, unter einen Hut zu bringen, sollten Softwarelösungen drei Kriterien erfüllen:

1. Rechtssicherer Nachweis: Es reicht nicht, Dokumente einfach nur sicher zu senden. Die Lösung muss auch die Zugänglichmachung (z. B. per Zeitstempel) gerichtsfest dokumentieren.

2. Souveräne Infrastruktur: Angesichts des TSP und des US CLOUD Acts sollten sensible Daten wie Entgeltunterlagen verschlüsselt bei europäischen Anbietern auf europäischen Servern liegen.

3. Inklusive Erreichbarkeit: Besonders für Mitarbeiter in der Produktion (Blue Collar) muss der Zugang hürdenfrei (ohne VPN/App-Zwang) und DSGVO-konform über Privatgeräte möglich sein.

Unternehmen wie die Solothurner Spitäler oder REINER® setzen hier zum Beispiel schon auf die Infrastruktur von FTAPI. Die Solothurner Spitäler AG mit 4.500 Mitarbeitern hat den Aufwand für den Versand der Gehaltsabrechnungen im HR-Team von einem halben Vormittag auf 15 Minuten pro Monat reduziert. REINER® GmbH & Co. KG mit 300 Mitarbeitern war einen Monat nach der Entscheidung produktiv und konnte den Prozess um 70 Prozent beschleunigen, inklusive automatischem Papier-Fallback via ePost.

Fazit: Compliance ist keine Einzeldisziplin mehr

CRA, digitale Souveränität, BVV §8: Die drei Regelwerke kommen nicht zufällig gleichzeitig. Sie sind vielmehr Ausdruck desselben Trends: Digitale Prozesse müssen nachweisbar sicher, strukturiert und souverän sein. Wer das als isolierte Compliance-Aufgaben betrachtet, muss mit Mehraufwand rechnen. Wer es als Infrastrukturentscheidung begreift, verschafft sich einen Vorsprung.

Besonders das Thema digitale Entgeltunterlagen duldet keinen weiteren Aufschub. Die Deadline ist fix, das Zeitfenster für eine saubere Implementierung schließt sich. Eine sichere, nachvollziehbare Zustellung und Archivierung aller entgeltrelevanten Unterlagen, ob im Büro oder in der Produktion, ist Pflicht.

Dieser Artikel stellt keine Rechtsberatung dar. Alle Inhalte wurden mit größtmöglicher Sorgfalt erstellt, erheben jedoch keinen Anspruch auf Vollständigkeit oder rechtliche Verbindlichkeit.