Krimi: Der Bergtal-Tsunami

Was dieser Krimi zeigt

Warum jede Veränderung im Personalgerüst eine Veränderung in der Risikolandschaft ist – und Remote-Umzüge rechtlich neu bewertet werden müssen. Basierend auf DORA Art. 28.

Unternehmen	FlowChain Logistics, München
Branche	KI-Logistik – Predictive Supply Chain
Schaden	3 Millionen Euro in 4 Tagen
Regulierung	DORA Art. 28 – Sub-Outsourcing & grenzüberschreitende Risiken
Kern des Fehlers	Remote-Umzug ohne rechtliche Neubewertung, HR-Dienstleister ungeprüft
Lernpunkt	Jede Veränderung im Personalgerüst ist eine Veränderung in der Risikolandschaft

Prolog – 18 Monate vor dem Beben

Das Entwicklerteam von FlowChain Logistics verband sich wie jeden Morgen aus Osteuropa zum Daily Stand-Up. Kameras an, Kaffee dampfend.

Lead Developer Alexej fragte beiläufig in den Call:

„Wir überlegen alle, in die Schweiz umzuziehen. Ist unser Vertrag dafür kompatibel?“

Der HR-Leiter, etwas überrumpelt, nickte: „Ich kläre das mit unserem HR-Dienstleister. Wird schon passen.“ Ein Satz, der wie Routine klang – und der die Route in die Katastrophe markierte.

1 Der stille Boom

FlowChain war ein europäisches KI-Logistikwunder: Algorithmen, die Staus vorhersagen. Predictive ETA-Systeme. Supply-Chain-Automation in Echtzeit. Das Entwicklerteam war der Motor.

Doch das Team war nicht direkt angestellt. Der Zugang lief über einen Third-Party-HR-Dienstleister – ein übliches Setup, schnell, flexibel, effizient. DORA? Wurde abgehakt. Checkliste ausgefüllt. „Keine kritischen Risiken erkennbar.“

Doch niemand fragte:

Was, wenn unser Personal-Dienstleister selbst Sub-Outsourcing betreibt?

Welche Rechtsräume gelten bei einem Umzug? Welche Steuerketten verändern sich?

Welche extraterritorialen Risiken entstehen?

Art. 28 DORA hätte genau diese Fragen erzwungen.

2 Der unsichtbare Grenzübertritt

Das Team zog – geschlossen – in die Schweiz. Der HR-Dienstleister pflegte brav die neuen Adressen ein. Neue Wohnorte, neue Postleitzahlen, neue Telefonnummern.

Was er nicht änderte: Vertragsrecht. Steuerrecht. Sozialversicherungszuordnung. Risikoanalyse. DORA-Klassifizierung der Tätigkeit.

„Remote bleibt Remote.“

Ein fataler Irrtum. Die HR-Abteilung von FlowChain fragte nach Unterlagen – eine dünne E-Mail vom Dienstleister genügte: „Alles weiterhin konform.“ Keiner erkannte, dass nun zwei Länder über jenes Entwicklerteam wachten: Deutschland und die Schweiz. Ein systemisches Risiko – vollständig unsichtbar gemacht.

3 Der Kipppunkt

Zwei Jahre später. Ein Schreiben der Schweizer Behörden erreicht FlowChain. Es klingt noch höflich:

„Bitte um Klärung der Sozialabgaben und Steuerpflicht Ihres Remote-Teams.“

Der HR-Leiter schluckt. Schickt es weiter an den HR-Dienstleister. Der antwortet ausweichend: „Wir prüfen das. Wird schon kein Problem sein.“

Doch im juristischen Untergrund hat sich längst etwas zusammengezogen: Ein Streit über Wegzugsbesteuerung, über Scheinselbständigkeit, über falsche Zuordnung von Arbeitgeberpflichten. Diese Lunte brennt. Leise. Unaufhaltsam.

4 Tsunami im Bergtal

96 Stunden später ist das Chaos perfekt.

Die Schweizer AHV fordert Nachzahlungen

Die deutsche Rentenversicherung meldet Prüfbedarf

Juristen sehen Anzeichen von Scheinarbeitsverhältnissen

Medien beginnen zu fragen: „Hat FlowChain Schwarzarbeitsstrukturen?“

Kunden werden nervös – KI darf nicht wackeln

Der interne Audit fördert die harten Befunde:

Keine grenzüberschreitende Risikoanalyse (DORA Art. 28)

Kein getesteter Exit-Plan für den HR-Dienstleister

Kein IKT-Notfallplan für Personalengpässe

Keine korrekte Meldekette für kritische Veränderungen

Die Rechnung: 3 Millionen Euro Schaden in 4 Tagen. Verlorene Deals, externe Anwälte, Reputationsdellen. Die HR- und Compliance-Leitung treten zurück.

5 Die Wende

FlowChain reagierte – hart, schnell, professionell.

1	Grenz-Checks standardisieren	Jeder Remote-Umzug wird wie ein Incident behandelt. Rechtsräume analysiert, Risiken bewertet, Verträge neu kalibriert.
2	Internationale Audits	Sub-Outsourcing-Ketten erstmals transparent gemacht. Zugang, HR, Payroll, Datenräume – alles offengelegt.
3	Migrations-Dashboard	Echtzeit-Übersicht: Wer lebt wo? Welcher Rechtsraum gilt? Welche Änderungen sind kritisch und meldepflichtig?
4	Streitprävention	Interne Mediations- und Konfliktprozesse eingeführt. Regelmässige Gespräche mit Remote-Teams zu rechtlichen Veränderungen.
5	Automatisierte Alerts	Benachrichtigungen, wenn Teams umziehen, Sub-Provider wechseln oder rechtliche Risiken entstehen.

Ergebnis: Keine Strafen. Vollständige Neuordnung der HR-Supply-Chain. Der neue Vertrag mit einem spezialisierten HR-Dienstleister spart 400.000 € pro Jahr.

Epilog – DORA endet nicht an der Landesgrenze

Remote-Teams, Sub-Outsourcing, digitale Arbeit – alles verschiebt sich über Territorien hinweg. Ohne Risikoanalyse entsteht ein Systemfehler. Ohne Transparenz bleibt er unsichtbar.

FlowChain hatte kein technisches Problem. Es hatte ein Governance-Problem: die Annahme, dass Mobilität von Menschen nichts mit digitaler Resilienz zu tun hat. DORA denkt das anders.

Praxis-Impuls

Bei jeder Remote-Veränderung: „Welches Recht gilt wirklich – und wer trägt die Verantwortung?“ Ein Migrations-Dashboard spart mehr Geld, als jede HR-Digitalisierung je kostet. Und: Behandeln Sie jeden Teamumzug wie einen ICT-Change. Denn er ist einer.

NBK Legal ·

Die vorliegende Geschichte ersetzt keine Rechtsberatung.

Was hier schief lief – und wie Sie es vermeiden

Leitfaden Leitfaden DORA Sub-Outsourcing und grenzüberschreitende Risiken. Lesen → Self-Check Self-Check DORA Prüfen Sie Ihre DORA-Readiness. Lesen → Deep Dive Deep Dive: Lieferketten-Risiko Technische Tiefe zu Supply-Chain-Governance. Lesen →

← Krimi 2: Der stille Zeuge Krimi 4: Der Kapital-GAU →