Die öffentliche Aufmerksamkeit lag in den vergangenen Wochen auf der Rückkehr der sieben Prozent Mehrwertsteuer auf Speisen. Doch hinter dieser einen Schlagzeile bewegen sich seit Anfang des Jahres mehrere regulatorische Wellen gleichzeitig und sie treffen Gastronomie und Hotellerie an Stellen, an denen der Branchenmittelstand bisher kaum Vorkehrungen getroffen hat. Drei aktuelle Folgen aus dem Hospitality Pioneers Podcast machen sichtbar, wo der Druck zunimmt: bei den Gewerbeaufsichtsämtern, beim Finanzamt und auf Google Maps.
1. Behörden vor der Tür
Bis Ende 2025 war eine Arbeitsschutzkontrolle für die meisten Betriebe ein theoretisches Risiko. Die Quote der staatlichen Aufsichtsbehörden lag bei 0,5 Prozent – statistisch eine Prüfung alle 200 Jahre, bei einer durchschnittlichen Lebensdauer eines neu gegründeten Gastronomiebetriebs von drei Jahren ein Phantom. Seit dem 1. Januar 2026 ist die Quote auf fünf Prozent verzehnfacht. Amir Abbas Pourirani vom Compliance-Dienstleister Protabo ordnet das in seinem Deep Dive auf der INTERNORGA ein und warnt zugleich vor dem eigentlichen Risiko: dem X-Faktor. Ungeplante Kontrollen nach Unfällen, anonymen Hinweisen oder Mitarbeiterbeschwerden treffen Betriebe unabhängig von jeder Quote.
Drei höchstrichterliche Entscheidungen zeigen, wie weit die Folgen reichen können. Das Landgericht Düsseldorf bestätigte die Schließung eines voll besetzten Restaurants an einem Samstagabend nach anonymem Hinweis wegen lückenhafter Dokumentation. Der Bundesgerichtshof verurteilte einen Hotelbetreiber zu lebenslangen Rentenzahlungen, nachdem eine Reinigungskraft auf ungeschultem Boden ausgerutscht war. Und in einem dritten Fall stellten die Karlsruher Richter klar: Aufgaben dürfen delegiert werden, die Überwachungspflicht nicht. Die Branchenstatistik trägt die Schärfe dieser Urteile: 68.000 Unfälle in der Gastronomie pro Jahr, davon 19 tödlich, dazu 438 Unfallrenten. Die Haftung trifft den Unternehmer unabhängig von der Rechtsform persönlich.
2. Behörden am Tresen
Die zweite Welle läuft weniger sichtbar, aber mit ähnlich harten Konsequenzen. Seit 2025 ist die elektronische Meldepflicht für Kassensysteme vollständig wirksam. Was das in der Prüfpraxis bedeutet, beschreibt Kai Nasemann von Gastrodina: Eine Steuerprüfung beginnt heute nicht mehr mit einem Anschreiben, sondern unbemerkt. Finanzbeamte besuchen Betriebe inkognito, beobachten die Kassenführung, prüfen QR-Codes auf Belegen, gleichen die TSE-Signaturen ab. Auffälligkeiten führen zur Kassennachschau im laufenden Betrieb: Kassensturz, Anforderung der GoBD-Verfahrensdokumentation, Z3-Datenexport, Z1-Zugriff auf das Journal.
Wir verwandeln die Pflicht zur Datensammlung in einen echten Management-Vorteil.
Der entscheidende Punkt liegt nicht in der Technik, sondern in den Mustern. Eine Kasse, die jeden Abend auf den Cent stimmt, macht Prüfer skeptischer als kleine, plausible Differenzen. Generische Verfahrensdokumentationen aus dem Internet erfüllen die Anforderungen nicht. Werden die Mängel als systemisch eingestuft, eskaliert die Nachschau zur Außenprüfung mit intensiver Analyse der vergangenen drei Jahre und dem Risiko einer Hinzuschätzung, bei der die Behörde den Umsatz nach Branchendurchschnitten neu bemisst. Die Folge ist im schlechteren Fall existenzbedrohend.
3. Gäste online
Während Aufsichtsbehörden und Finanzamt Druck von oben aufbauen, kommt eine dritte Welle aus einer anderen Richtung, nämlich von den Gästen selbst. Laut Tim Burghardt von Better Reply wird die Wirkung jedoch noch immer unterschätzt. 91 Prozent der Erstbesucher prüfen Bewertungen vor dem Besuch, im Hotelsegment werden im Schnitt sechs bis zwölf Rezensionen pro Buchung gelesen. 88 Prozent der Gäste erwarten eine Reaktion auf ihre Bewertung. Die meisten bekommen keine.
Burghardt vergleicht das mit einem Gast, der den Kellner ruft, ignoriert wird und geht. Im Restaurant undenkbar, online Alltag. Die wirtschaftlichen Folgen sind in einer Harvard-Studie quantifiziert: Eine Verbesserung um einen Stern in der Durchschnittsbewertung erhöht den Umsatz um fünf bis neun Prozent. Bei einem Betrieb mit 500.000 Euro Jahresumsatz entspricht das 25.000 bis 45.000 Euro – die Größenordnung eines Vollzeitgehalts. Hinzu kommt der Algorithmus: Google bestätigte 2021 offiziell, dass Antworten auf Bewertungen das Ranking auf Google Maps verbessern. Wer schweigt, verliert nicht nur die Diskussion, sondern auch die Sichtbarkeit.
Drei Wellen, ein Prinzip
So unterschiedlich Arbeitsschutzgesetz, Kassensicherungsverordnung und Bewertungsrecht in der juristischen Substanz sind – im operativen Alltag verlangen sie dasselbe: dokumentierte Sorgfalt und reaktive Routinen. Wer Gefährdungsbeurteilungen führt, Kassendaten in den Griff bekommt und auf Bewertungen antwortet, erfüllt nicht drei voneinander getrennte Pflichten, sondern baut eine einzige unternehmerische Disziplin auf. Der Mittelstand der Branche ist hier traditionell schlechter aufgestellt als die Ketten, weil ihm die Compliance-Strukturen fehlen. 2026 wird das Jahr, in dem dieser Strukturvorsprung der Großen messbar wird.
Die gute Nachricht steht am Ende: Alle drei Bereiche lassen sich mit überschaubarem Aufwand absichern – wenn die Geschäftsführung sie als zusammenhängendes Thema versteht und nicht als drei Einzelprojekte. Die schlechte: Wer wartet, bis die erste der drei Wellen ihn erreicht, hat die anderen beiden meist auch nicht im Griff.
Wenn Bürokratie zum Dashboard wird
Genau hier setzen spezialisierte Compliance-Lösungen an. Hintergrund ist DPCat (Data Processing Catalogue), ein neuer offener Standard für Datenschutz-Dokumentation. Er beschreibt, wie sich Verarbeitungsverzeichnisse (im Fachjargon ROPA, Record of Processing Activities), technische Maßnahmen und Informationen zu Auftragsverarbeitern einheitlich und maschinenlesbar strukturieren lassen – damit sie nicht in Excel-Listen versanden, sondern systemübergreifend nutzbar werden. Eine Software wie der PRO-DSGVO Guide greift diese Logik auf und es wird deutlich, dass der entscheidende Vorteil tiefer liegt als im reinen Abarbeiten von Pflichten.
Die eigentliche Stärke liegt in der intelligenten und strukturierten Datenerfassung. Anstatt Dokumente nur abzulegen, vernetzt das System die Informationen miteinander: Jede einzelne Verarbeitungstätigkeit wird mit den verantwortlichen Arbeitsbereichen, den eingesetzten Produkten – vom Kassensystem bis zu künftigen KI-Assistenten – und den externen Dienstleistern verknüpft. So entsteht eine digitale Landkarte, die den realen Datenfluss im Unternehmen abbildet.
Eberhard Fiedler, Geschäftsführer des Softwareherstellers, fasst den Ansatz zusammen: „Die meisten Gastronomen und Hoteliers sind im Tagesgeschäft gefangen und empfinden die Dokumentationspflichten als unproduktive Last. Unser Ziel war es, diesen Spieß umzudrehen. Wir verwandeln die Pflicht zur Datensammlung in einen echten Management-Vorteil. Anstatt Informationen in Ordnern zu vergraben, machen wir sie auf einem Dashboard sichtbar und nutzbar. So wird aus einem notwendigen Übel ein Werkzeug, mit dem man sein Unternehmen besser und sicherer steuern kann.“
Für die Geschäftsführung bedeutet das eine völlig neue Transparenz. Auf Knopfdruck wird ersichtlich, welche Daten das Kassensystem verarbeitet oder welche Abteilungen einen bestimmten Cloud-Dienstleister nutzen. Der Aufwand verschiebt sich damit weg von der reinen Informationssuche, hin zur strategischen Steuerung. Für inhabergeführte Betriebe ist das der Unterschied zwischen gefährlichem Halbwissen und einem nachweisbaren Gesamtüberblick – und damit zwischen Erklärungsnot und souveräner Kontrolle bei der nächsten Prüfung.
Sechs Handlungsempfehlungen für die nächsten Wochen
- Gefährdungsbeurteilungen aktualisieren oder erstmals erstellen. Jeder Arbeitsbereich braucht eine spezifische Beurteilung, jährliche Aktualisierung ist Pflicht. Wo interne Fachkompetenz fehlt, lohnt externe Unterstützung. Branchenspezialisierte Anbieter stellen digitale Plattformen bereit, die Unterweisungen, Termine und Nachweise zentral dokumentieren.
- Delegation schriftlich regeln. Wer Arbeitsschutzaufgaben an Mitarbeiter überträgt, muss deren Fachkompetenz dokumentieren und die Überwachung sicherstellen. Der Bundesgerichtshof hat klargestellt: Die Überwachungspflicht bleibt bei der Geschäftsführung.
- Kassenmeldung verifizieren und Datenexport im Team üben. Die elektronische Meldung muss aktuell sein, jeder Hardware-Wechsel zeitnah nachgemeldet. Systeme wie POSSUM Kassensysteme bringen die dafür nötigen Exportformate (DSFinV-K, Z3) und die DATEV-Anbindung direkt mit – ohne zusätzliche Drittlösung. Der Z3-Datenexport sollte mehreren Mitarbeitern geläufig sein, im Prüfungsfall zählt Geschwindigkeit. Korrektheit und Vollständigkeit der DSFinV-K-Exporte lassen sich durch externe Dienstleister vorab testen.
- GoBD-Verfahrensdokumentation maßschneidern lassen. Generische Vorlagen aus dem Internet erfüllen die Anforderungen nicht. Die Dokumentation muss die individuelle Unternehmensstruktur, alle Hard- und Softwarekomponenten, die organisatorischen Abläufe und den vollständigen Belegfluss bis zur Vernichtung nach zehn Jahren abbilden.
- Antwortroutine für Online-Bewertungen einführen. Klare Zuständigkeit, definierte Reaktionszeit, persönlicher Ton statt Textbaustein. Auf jede Bewertung gehört eine Antwort, die konkret auf den Inhalt eingeht und zur Rückkehr einlädt. KI-gestützte Tools können die Grundarbeit übernehmen, bei negativen Bewertungen bleibt menschliche Kontrolle nötig.
- Bewertungen systematisch auswerten. Was in zehn Bewertungen pro Monat als Einzelmeinung erscheint, ist in hundert oft ein Muster. Sauberkeit, Service, Preis-Leistungs-Verhältnis, Wartezeiten – wer Bewertungen kategorisiert auswertet, erkennt operative Schwachstellen früher als jede Mystery-Shopping-Studie sie liefert.
