IT-Consulting für Nicht-Techies: Wie Sie verhindern, dass IT-Dienstleister Ihnen unnötige Hardware verkaufen

Als Geschäftsführer erhalten Sie einen Kostenvoranschlag von einem IT-Dienstleister. Er ist gefüllt mit Fachbegriffen wie „dedizierte Root-Server“, „Managed Kubernetes Cluster“ und „redundante SAN-Systeme“. Ihr erster Impuls? Sie nicken verständnisvoll, hoffen, dass der Preis gerechtfertigt ist, und vertrauen auf die Expertise des Anbieters. Schließlich sind Sie Unternehmer, kein Informatiker. Doch genau hier beginnt die kostspieligste Falle für den deutschen Mittelstand.

Man rät Ihnen, mehrere Angebote einzuholen und auf Zertifizierungen zu achten. Das sind gut gemeinte, aber oberflächliche Ratschläge. Sie helfen Ihnen nicht zu beurteilen, ob Sie einen Sportwagen kaufen, obwohl ein zuverlässiger Kombi für Ihre Geschäftsprozesse ausreichen würde. Die entscheidende Frage ist nicht „Was ist das günstigste Angebot?“, sondern „Welches unternehmerische Risiko gehe ich mit dieser Entscheidung ein und wie sichert sie meine Prozesse für die Zukunft ab?“ Die Technologie ist nur das Werkzeug, aber die Verantwortung für den korrekten Einsatz liegt bei Ihnen.

Dieser Artikel ist Ihr unabhängiger Auditor. Er übersetzt die komplexesten IT-Themen in klaren Business-Nutzen. Wir tauchen nicht tief in die Technik ein, sondern beleuchten die unternehmerische Perspektive dahinter. Sie lernen, die richtigen Fragen zu stellen, die über den Erfolg Ihrer Digitalisierung und die Sicherheit Ihrer persönlichen Haftung entscheiden. Wir werden zeigen, warum die Wahl zwischen einem eigenen Server und der Cloud eine strategische Entscheidung über Ihre Datensouveränität ist und wie ein falsch aufgesetzter Vertrag mit einem US-Softwareanbieter Sie persönlich haftbar machen kann.

Die folgende Struktur führt Sie durch die kritischsten Bereiche, in denen technische Entscheidungen direkt auf Ihre Verantwortung als Geschäftsführer treffen. Entdecken Sie, wie Sie die Kontrolle behalten und Ihre IT vom Kostentreiber zum strategischen Vorteil machen.

On-Premise vs. Cloud: Wann ist der eigene Server im Keller sicherer als die Cloud?

Die Diskussion „eigener Server oder Cloud“ wird oft fälschlicherweise als reine Kostenfrage geführt. Dabei ist es primär eine strategische Entscheidung über Kontrolle, Flexibilität und vor allem Datensouveränität. Dass die Cloud-Nutzung längst im Mainstream angekommen ist, ist unbestreitbar; laut aktueller Marktstudie nutzen bereits 89% der Unternehmen in Deutschland Cloud Computing. Doch die entscheidende Frage für Sie als Geschäftsführer ist nicht, *ob* Sie die Cloud nutzen, sondern *welche* und zu welchen Bedingungen.

Ein eigener Server im Haus („On-Premise“) bietet maximale physische Kontrolle. Sie wissen genau, wo Ihre Daten liegen. Dies kann für Unternehmen mit extrem sensiblen Produktionsdaten oder Forschungsgeheimnissen ein entscheidender Vorteil sein. Doch diese Kontrolle hat ihren Preis: hohe Anfangsinvestitionen, laufende Kosten für Strom und Wartung sowie die Notwendigkeit, eigenes Fachpersonal für Sicherheit und Betrieb vorzuhalten. Die Cloud lockt hingegen mit Skalierbarkeit und nutzungsbasierten Kosten, verlagert die Verantwortung für die Infrastruktur aber auf einen Drittanbieter.

Gerade für deutsche Unternehmen ist die Wahl des Anbieters essenziell, da die rechtlichen Rahmenbedingungen je nach Sitz des Rechenzentrums fundamental unterschiedlich sind. Der US CLOUD Act erlaubt US-Behörden beispielsweise den Zugriff auf Daten, selbst wenn diese in Europa gespeichert sind – ein erhebliches Compliance-Risiko. Deutsche Anbieter mit BSI C5-Zertifizierung bieten hier eine höhere rechtliche Sicherheit.

Die folgende Tabelle fasst die wichtigsten unternehmerischen Unterschiede zusammen und hilft Ihnen, die Diskussion von einer technischen auf eine strategische Ebene zu heben.

Ransomware-Schutz: Warum die Cyber-Versicherung nicht zahlt, wenn Sie keine 2-Faktor-Authentifizierung haben

Stellen Sie sich vor, Ihr Unternehmen wird Opfer eines Ransomware-Angriffs. Alle Ihre Daten sind verschlüsselt. Sie denken: „Kein Problem, wir haben ja eine Cyber-Versicherung.“ Doch dann teilt Ihnen der Versicherer mit, dass er nicht zahlt. Der Grund: Sie hatten keine Zwei-Faktor-Authentifizierung (2FA) für Ihre kritischen Systeme aktiviert und haben damit grob fahrlässig gehandelt. Dieses Szenario ist keine Seltenheit, sondern die bittere Realität für viele Geschäftsführer.

Cyber-Versicherungen sind keine Allheilmittel, sondern Verträge mit strengen Auflagen. Sie verlangen von Unternehmen die Einhaltung von Mindeststandards bei der IT-Sicherheit. Die 2FA ist dabei die absolute Basis. Sie funktioniert wie ein zweites, digitales Schloss: Neben dem Passwort (dem ersten Faktor, also etwas, das man *weiß*) wird ein zweiter Code benötigt, der z.B. auf Ihr Handy gesendet wird (der zweite Faktor, etwas, das man *besitzt*). Selbst wenn ein Hacker Ihr Passwort stiehlt, kann er sich ohne diesen zweiten Code nicht anmelden.

Für Sie als Geschäftsführer bedeutet das: Die Implementierung von 2FA ist keine technische Spielerei, sondern eine unternehmerische Sorgfaltspflicht. Es ist die digitale Entsprechung der Pflicht, die Bürotür nachts abzuschließen. Das Ignorieren dieser Maßnahme wird von Versicherungen und Gerichten zunehmend als Organisationsverschulden gewertet. Die Kosten für die Implementierung sind marginal im Vergleich zum potenziellen Schaden durch einen nicht versicherten Totalausfall.

Moderne Sicherheit ist wie eine mittelalterliche Festung aufgebaut – sie besteht aus mehreren Verteidigungsringen. Die 2FA ist dabei der innere Burggraben direkt vor dem Thronsaal. Sie ist nicht die einzige Maßnahme, aber ohne sie sind alle anderen Mauern nutzlos.

Die Frage für Ihr nächstes Gespräch mit Ihrem IT-Verantwortlichen sollte daher nicht lauten, *ob* Sie 2FA brauchen, sondern: „Sind alle unsere externen Zugänge – vom E-Mail-Konto bis zum VPN – lückenlos mit Zwei-Faktor-Authentifizierung geschützt, um unsere Versicherungsdeckung nicht zu gefährden?“

ERP-Einführung ohne Chaos: Wie Sie das Lastenheft schreiben, damit die Software zu Ihren Prozessen passt

Die Einführung einer neuen Unternehmenssoftware (ERP) ist einer der riskantesten Eingriffe in das Nervensystem einer Firma. Zu oft läuft es so ab: Der IT-Dienstleister präsentiert eine Standardsoftware, und das Unternehmen versucht krampfhaft, seine über Jahre gewachsenen, erfolgreichen Prozesse in das starre Korsett der Software zu pressen. Das Ergebnis: Chaos, Frustration und explodierende Kosten. Der Fehler liegt am Anfang: Es wurde kein sauberes Lastenheft aus Business-Sicht geschrieben.

Ein Lastenheft ist nicht eine Liste technischer Wünsche. Es ist die exakte Beschreibung Ihrer Geschäftsprozesse und der Anforderungen, die sich daraus ergeben. Es ist Ihre „Bauanleitung“ für den IT-Dienstleister. Je präziser diese Anleitung ist, desto passgenauer wird die Lösung sein. Das entscheidende Prinzip lautet: Prozess-Souveränität. Die Technologie muss dem Prozess folgen, nicht umgekehrt. Ein gutes Lastenheft entsteht nicht am Schreibtisch der IT-Abteilung, sondern in einem Workshop mit allen Abteilungsleitern.

Diese sorgfältige Vorarbeit zahlt sich nicht nur in einem reibungslosen Projektverlauf aus, sondern auch finanziell, wie das Bundesministerium für Wirtschaft und Klimaschutz bestätigt. In der Dokumentation zum Förderprogramm „Digital Jetzt“ wird betont:

Ein präzise formuliertes Lastenheft ist die Grundlage für Förderanträge bei Programmen wie ‚go-digital‘ oder ‚Digital Jetzt‘ und kann die Investitionskosten signifikant senken.

– Bundesministerium für Wirtschaft und Klimaschutz, Förderprogramm Digital Jetzt

Ein unzureichendes Lastenheft führt fast immer dazu, dass der Anbieter Ihnen eine überdimensionierte Lösung verkauft, die viele teure, aber für Sie nutzlose Funktionen enthält. Mit einem klaren Anforderungskatalog hingegen verwandeln Sie das Verkaufsgespräch in eine Lösungsdiskussion auf Augenhöhe.

Auftragsverarbeitung (AVV): Welche Verträge Sie mit US-Softwareanbietern zwingend brauchen

Sie nutzen Microsoft 365 für E-Mails, Google Analytics auf Ihrer Webseite oder ein amerikanisches CRM-System? Herzlichen Glückwunsch, Sie haben soeben die komplexe Welt der internationalen Datenverarbeitung betreten. Und als Geschäftsführer sind Sie persönlich dafür verantwortlich, dass dies rechtskonform geschieht. Das zentrale Dokument dafür ist der Auftragsverarbeitungsvertrag (AVV), ergänzt durch sogenannte Standardvertragsklauseln (SCCs) bei Anbietern außerhalb der EU.

Ein AVV ist kein optionales Add-on. Sobald ein externer Dienstleister potenziell Zugriff auf personenbezogene Daten (Mitarbeiter-, Kunden-, Lieferantendaten) hat, ist dieser Vertrag gesetzlich nach der DSGVO zwingend vorgeschrieben. Ein fehlender oder mangelhafter AVV ist keine triviale Nachlässigkeit, sondern ein direkter Verstoß, der zu empfindlichen Bußgeldern führen kann. Es ist eine der häufigsten und am einfachsten zu identifizierenden Haftungsfallen für Geschäftsführer.

Besonders kritisch wird es bei Anbietern aus den USA. Seit dem „Schrems II“-Urteil des Europäischen Gerichtshofs reicht ein einfacher AVV nicht mehr aus. Aufgrund von US-Gesetzen wie dem CLOUD Act müssen zusätzliche Schutzmaßnahmen nachgewiesen werden. In der Praxis bedeutet das, dass Sie sicherstellen müssen, dass Ihr Vertrag mit Microsoft, Google & Co. Klauseln enthält, die den Umgang mit Anfragen von US-Behörden regeln. Ignorieren Sie diese Anforderung, verarbeiten Sie Daten möglicherweise illegal.

Die Verantwortung dafür lässt sich nicht an den IT-Dienstleister delegieren. Es ist Ihre Aufgabe als Geschäftsführer, die Existenz und die Korrektheit dieser Verträge zu prüfen. Die entscheidende Frage an Ihren IT-Partner oder Datenschutzbeauftragten lautet daher: „Können Sie mir für jeden Cloud-Dienst, den wir nutzen, einen gültigen AVV vorlegen und mir bestätigen, dass für Nicht-EU-Anbieter die notwendigen zusätzlichen Schutzmaßnahmen gemäß Schrems II dokumentiert sind?“

Wenn der Server brennt: Haben Sie einen Notfallplan, um in 4 Stunden wieder arbeitsfähig zu sein?

Ein Feuer im Serverraum, ein Wasserschaden oder ein erfolgreicher Ransomware-Angriff – der Totalausfall Ihrer IT ist kein hypothetisches Risiko, sondern eine Frage der Zeit. Die kritische Frage für Sie als Geschäftsführer ist nicht, *ob* es passiert, sondern *wie schnell* Ihr Unternehmen wieder handlungsfähig ist. Ein IT-Notfallplan (Disaster Recovery Plan) ist Ihre Police für das unternehmerische Überleben. Das Ziel: Innerhalb einer vordefinierten Zeit, z.B. vier Stunden, müssen die kritischsten Geschäftsprozesse wieder laufen.

Viele Unternehmen glauben, ein Backup sei ein Notfallplan. Das ist ein gefährlicher Irrtum. Ein Backup ist nur eine Kopie von Daten. Ein Notfallplan hingegen ist ein detailliertes Drehbuch, das präzise festlegt: Wer macht was, wann und in welcher Reihenfolge? Er beantwortet Fragen wie: Wer entscheidet, dass der Notfall ausgerufen wird? Wer informiert Kunden und Mitarbeiter? Wo sind die Zugangsdaten für die Cloud-Backups dokumentiert, wenn das lokale Netzwerk nicht mehr erreichbar ist? Wer hat die Telefonnummer des externen Spezialisten?

Ein solcher Plan darf nicht nur in der Schublade liegen. Er muss regelmäßig getestet werden. Eine der effektivsten und einfachsten Methoden ist ein sogenannter „Tabletop-Test“. Versammeln Sie Ihr Management-Team und spielen Sie ein Szenario wie „Alle Server sind ausgefallen“ durch. Sie werden schnell feststellen, wo die Lücken in Ihrer Organisation sind. Dieser Test erfordert keine technischen Kenntnisse, sondern nur gesunden Menschenverstand und deckt organisatorische Schwächen schonungslos auf.

Die Abwesenheit eines getesteten Notfallplans kann im Schadensfall als grobes Organisationsverschulden gewertet werden. Dies gefährdet nicht nur die Existenz Ihres Unternehmens, sondern kann auch den Schutz Ihrer D&O-Versicherung (Directors and Officers-Versicherung) untergraben und zu einer persönlichen Haftung führen.

Compliance als Haftungsschutz: Wie Sie als Geschäftsführer die persönliche Haftung bei Regelverstößen vermeiden

Der Begriff „Compliance“ klingt für viele Mittelständler nach bürokratischem Aufwand für Großkonzerne. Das ist ein fataler Trugschluss. Für einen Geschäftsführer ist die Einhaltung von IT-Compliance-Regeln (wie DSGVO, GoBD) kein „Nice-to-have“, sondern ein fundamentaler Baustein zur Vermeidung der persönlichen Haftung. Jeder Euro, den Sie in saubere Prozesse und deren Dokumentation investieren, ist eine Investition in den Schutz Ihres Privatvermögens.

Das deutsche Recht ist hier unmissverständlich. Insbesondere das Gesetz über Ordnungswidrigkeiten (OWiG) enthält mit § 130 eine „Bombe“ für Geschäftsführer: Wenn in Ihrem Unternehmen eine Straftat oder Ordnungswidrigkeit begangen wird (z.B. ein DSGVO-Verstoß), die durch angemessene Aufsichtsmaßnahmen hätte verhindert werden können, können Sie persönlich zur Rechenschaft gezogen werden. Das bedeutet: Ein Datenleck aufgrund eines fehlenden AVV ist nicht nur ein Problem des Unternehmens, es wird zu Ihrem persönlichen Problem.

Dr. Thomas Schwenke, einer der führenden IT-Rechtsanwälte in Deutschland, bringt die Gefahr auf den Punkt, wenn er die Verbindung zwischen technischen Versäumnissen und rechtlichen Konsequenzen erklärt:

Ein Datenleck wegen eines fehlenden AVV ist ein DSGVO-Verstoß, der über § 130 OWiG zur persönlichen Haftung des Geschäftsführers führen kann.

– Dr. Thomas Schwenke, IT-Recht für Geschäftsführer

Die Einrichtung eines IT-Compliance-Management-Systems ist daher keine Kür, sondern Pflicht. Dazu gehört die klare Regelung von Verantwortlichkeiten, die regelmäßige Schulung von Mitarbeitern und vor allem die lückenlose Dokumentation aller Maßnahmen. Diese Dokumentation ist Ihr wichtigster Verbündeter. Im Falle einer Prüfung durch eine Behörde oder im Streitfall mit einem Kunden müssen Sie nachweisen können, dass Sie Ihrer Organisations- und Aufsichtspflicht nachgekommen sind. Ohne Dokumentation gilt im Zweifel: Es wurde nicht gemacht.

Make or Buy Entscheidung: Wann ist Outsourcing billiger als das eigene Personal?

Die Frage, ob man IT-Aufgaben an einen externen Dienstleister vergibt („Buy“) oder eigenes Personal dafür einstellt („Make“), wird meistens auf einen simplen Kostenvergleich reduziert. Doch diese Betrachtung ist zu kurzsichtig. Angesichts des massiven IT-Fachkräftemangels in Deutschland ist es für viele mittelständische Unternehmen oft gar nicht mehr möglich, hochspezialisierte Rollen wie einen Cybersecurity-Experten oder einen Cloud-Architekten zu finden und zu halten. Die Entscheidung wird somit von einer reinen Kostenfrage zu einer strategischen Risikoabwägung.

Um eine fundierte „Make or Buy“-Entscheidung zu treffen, müssen Sie die Total Cost of Ownership (TCO) beider Optionen ehrlich bewerten. Die „Make“-Kosten umfassen weit mehr als nur das Bruttogehalt. Bedenken Sie:

• Rekrutierungskosten: Gebühren für Headhunter, Zeitaufwand für Interviews.
• Lohnnebenkosten und Arbeitsplatz: Sozialabgaben, Bürofläche, Hardware.
• Einarbeitungszeit: Ein neuer Mitarbeiter ist selten ab dem ersten Tag zu 100% produktiv.
• Weiterbildung: Die IT-Welt verändert sich rasant; kontinuierliche Schulungen sind Pflicht.
• Fehlbesetzungsrisiko: Die Kosten für eine falsche Personalentscheidung sind enorm.

Auf der anderen Seite stehen die „Buy“-Kosten, also die Beauftragung eines Managed Service Providers. Hier zahlen Sie für garantierte Verfügbarkeit, Zugriff auf ein ganzes Team von Spezialisten und die Skalierbarkeit der Dienstleistung. Die Herausforderung liegt hier in der Auswahl des richtigen Partners und im Vendor-Management, also der Steuerung und Kontrolle des Dienstleisters. Gerade in Deutschland ist es wichtig, auf anerkannte Standards wie eine Zertifizierung nach dem BSI C5 Kriterienkatalog (Cloud Computing Compliance Criteria Catalogue) zu achten, der als De-facto-Standard für sichere Cloud-Dienste gilt.

Für hochspezialisierte und sich schnell ändernde Bereiche wie Cybersecurity oder Cloud-Management ist Outsourcing für die meisten KMU nicht nur billiger, sondern oft die einzig realistische Option, um ein professionelles Niveau zu erreichen und die damit verbundenen Compliance-Anforderungen zu erfüllen.

Compliance als Haftungsschutz: Wie Sie als Geschäftsführer die persönliche Haftung bei Regelverstößen vermeiden

Wir haben gesehen, dass jede IT-Entscheidung – von der Cloud-Wahl über den Ransomware-Schutz bis zur ERP-Einführung – direkte rechtliche und finanzielle Konsequenzen für Sie als Geschäftsführer hat. Am Ende des Tages geht es darum, ein System zu etablieren, das Sie vor dem Vorwurf des Organisationsverschuldens schützt. Ihre Aufgabe ist es nicht, Server zu konfigurieren, sondern eine Organisation zu schaffen, in der Regeln eingehalten und Risiken systematisch gemanagt werden.

Die Summe aller besprochenen Punkte – von gültigen AV-Verträgen über einen getesteten Notfallplan bis hin zur GoBD-konformen E-Mail-Archivierung – bildet Ihr IT-Compliance-Framework. Dieses Framework ist Ihr Schutzschild. Es beweist, dass Sie Ihrer unternehmerischen Sorgfaltspflicht nachgekommen sind. Ohne dieses Schild stehen Sie bei einem IT-Sicherheitsvorfall, einer Betriebsprüfung oder einem Datenschutz-Audit im Regen – und riskieren Ihr privates Vermögen.

Der IT-Dienstleister ist dabei ein wichtiger Partner, aber er ist nicht der Verantwortliche. Die Verantwortung bleibt immer bei Ihnen. Ein guter Partner versteht das und wird Ihnen nicht nur technische Lösungen verkaufen, sondern Sie aktiv dabei unterstützen, Ihre Compliance-Pflichten zu erfüllen, indem er Ihnen die notwendige Dokumentation proaktiv zur Verfügung stellt. Ein schlechter Partner weicht diesen Fragen aus und redet lieber über Hardware. Die folgende Übersicht verdeutlicht die direkten Konsequenzen von IT-Fehlentscheidungen.

Diese Zusammenstellung gängiger IT-Risiken zeigt, wie schnell ein technisches Versäumnis zu einem juristischen Problem mit persönlichen Haftungsfolgen wird.

Der erste Schritt zur Risikominimierung besteht darin, eine unabhängige Bestandsaufnahme Ihrer aktuellen IT-Situation durchzuführen. Analysieren Sie, wo Ihr Unternehmen steht und welche der hier genannten Haftungsfallen für Sie am relevantesten sind. Nur wer die Risiken kennt, kann sie gezielt managen.