Wirecard, Cum-Ex & Co.: Was Personen-Due-Diligence verhindert hätte

Systematische Personen-Due-Diligence bei Schlüsselpersonal — Werdegangs-Verifikation, Register- und Verfahrensprüfung, Adverse-Media-Screening und kontinuierliches Monitoring — macht dokumentierte Warnsignale sichtbar, bevor aus ihnen Milliardenschäden werden. Die Fälle Wirecard und Cum-Ex zeigen dasselbe Muster: Belastbare öffentliche Hinweise lagen Jahre vor dem Schaden vor, wurden aber von keiner Stelle systematisch erhoben, bewertet und an die Aufsichtsgremien berichtet. Für Aufsichtsräte und Compliance-Verantwortliche folgt daraus eine konkrete Pflichtenlage aus § 93 und § 111 AktG — bei Instituten zusätzlich aus § 25c KWG.

Dieser Beitrag arbeitet ausschließlich mit belegten Fakten aus rechtskräftigen Urteilen, amtlichen Entscheidungen und dem Abschlussbericht des Wirecard-Untersuchungsausschusses. Keine Spekulation, keine nachträgliche Besserwisserei — sondern die nüchterne Frage: Welche dokumentierten Signale hätte ein systematischer Prüfprozess erfasst, und welche Pflichten ergeben sich daraus heute für Dein Gremium?

Was ist im Fall Wirecard belegt — und was nicht?

Wirecard ist seit Juni 2020 insolvent. Der Deutsche Bundestag setzte am 1. Oktober 2020 einen Untersuchungsausschuss ein; dessen Abschlussbericht (Drucksache 19/30900) umfasst mehr als 2.000 Seiten und beruht auf 32 Sitzungen mit über 100 befragten Zeugen und Auskunftspersonen — darunter der Financial-Times-Journalist Dan McCrum sowie die Leerverkäufer Matthew Earl und Fahmi Quadir, deren kritische Analysen Jahre vor der Insolvenz öffentlich vorlagen (Deutscher Bundestag (2021)).

Die belegten Kernbefunde:

• Der Untersuchungsausschuss spricht von einem kollektiv ausgeführten Bilanzbetrug: Rund ein Drittel der Bilanz war erfunden, über 20 Milliarden Euro Börsenwert wurden vernichtet (Deutscher Bundestag (2021)).

• Die Abschlussprüferaufsicht APAS stellte mit Entscheidung vom 31. März 2023 Berufspflichtverletzungen bei der Prüfung der Wirecard-Abschlüsse 2016 bis 2018 fest. Sie verhängte gegen EY eine Geldbuße von 500.000 Euro und ein zweijähriges Verbot, neue gesetzliche Abschlussprüfungen bei Unternehmen von öffentlichem Interesse durchzuführen; fünf Prüfer erhielten Einzelgeldbußen zwischen 23.000 und 300.000 Euro (APAS (2023)).

• Der Strafprozess gegen Ex-CEO Markus Braun läuft seit Dezember 2022 vor dem Landgericht München I; die Anklage beziffert den Betrugsschaden der kreditgebenden Banken auf gut drei Milliarden Euro. Braun bestreitet die Vorwürfe — bis zu einem rechtskräftigen Urteil gilt die Unschuldsvermutung. Der frühere Vorstand Jan Marsalek ist bis heute untergetaucht (LTO (2025)).

Ebenso wichtig ist, was nicht belegt ist: dass ein einzelnes Prüfinstrument den Skandal sicher verhindert hätte. Wer das behauptet, erliegt dem Rückschaufehler. Belegt ist etwas anderes — und das genügt für die Compliance-Analyse vollständig: Die kritischen Informationen existierten öffentlich, aber es gab keinen Prozess, der sie systematisch erhoben, bewertet und zu den Entscheidungsträgern getragen hätte.

Cum-Ex: Wie eine einzelne Schlüsselperson zum Milliardenrisiko wurde

Bei Cum-Ex ist die strafrechtliche Bewertung abschließend geklärt. Der Bundesgerichtshof entschied im bundesweit ersten Cum-Ex-Strafverfahren mit Urteil vom 28. Juli 2021 (Az. 1 StR 519/20), dass die Geltendmachung tatsächlich nicht einbehaltener Kapitalertragsteuer auf Grundlage solcher Geschäfte den Straftatbestand der Steuerhinterziehung nach § 370 AO erfüllt. Im selben Verfahren bestätigte er die Einziehung von 14 Millionen Euro beim angeklagten Börsenhändler und von rund 176 Millionen Euro bei der beteiligten Privatbank (Bundesgerichtshof (2021)).

Für die Personen-Perspektive ist der Fall Hanno Berger instruktiv. Das Landgericht Bonn verurteilte den Steueranwalt am 13. Dezember 2022 wegen Steuerhinterziehung zu acht Jahren Haft und ordnete die Einziehung von rund 13,6 Millionen Euro an; das Gericht sah ihn als „Ideengeber, Initiator und Berater“ — als Schlüsselfigur bei Planung und Umsetzung der Cum-Ex-Transaktionen, obwohl er die Steuererklärungen nie selbst unterzeichnete. Der BGH verwarf die Revision am 20. September 2023 (Az. 1 StR 187/23); das Urteil ist rechtskräftig (LTO (2023)).

Die Compliance-Lehre daraus ist präzise: Schlüsselpersonal endet nicht an der Gehaltsabrechnung. Externe Berater mit Gestaltungsmacht über Steuer-, Treasury- oder Bilanzpositionen gehören in denselben Prüf- und Monitoring-Scope wie interne Führungskräfte. Die Institute, die den Gestaltungen folgten, trugen am Ende Einziehungen in dreistelliger Millionenhöhe — der Reputationsschaden kommt hinzu.

Welche Warnsignale hätte systematische Personen-Due-Diligence erfasst?

Vier Mechanismen, jeweils gegen die dokumentierte Faktenlage gespiegelt:

1. Adverse-Media-Screening: Kritische Berichterstattung und Short-Seller-Analysen zu Wirecard lagen Jahre vor der Insolvenz öffentlich vor — der Untersuchungsausschuss befragte ihre Urheber später als Zeugen. Ein systematisches Adverse-Media-Screening auf Unternehmen und Schlüsselpersonen hätte diese Signale nicht erst „entdecken“ müssen; es hätte sie strukturiert erfasst, bewertet und mit Wiedervorlage in die Gremien getragen.

2. Verfahrens- und Register-Monitoring: Ermittlungsverfahren, Organfunktionen und Insolvenzen sind aktenkundig und werden öffentlich berichtet. Wer Schlüsselberater und Treasury-Funktionen nur einmalig beim Onboarding prüft, sieht spätere Verfahren nie. Kontinuierliches Monitoring schließt genau diese Lücke — im Fall Cum-Ex hätte es den Befund nach Bekanntwerden der ersten Ermittlungen auf den Tisch gebracht.

3. Unabhängige Verifikation statt Vertrauenskette: Der Wirecard-Befund zeigt eine Kette delegierten Vertrauens: Markt, Kreditgeber und Aufsicht verließen sich auf Testate — die APAS stellte später Berufspflichtverletzungen der Prüfer fest. Personen-Due-Diligence ersetzt Selbstauskünfte und Drittsiegel durch eigene Quellenprüfung: Identität, Werdegang, Qualifikationen, Organfunktionen, Registerdaten.

4. Strukturierte Berichtslinie ins Gremium: Ein Warnsignal, das den Aufsichtsrat nie erreicht, existiert für die Governance nicht. Systematische Prüfprozesse erzwingen Dokumentation, Bewertung und Eskalation — und schaffen damit genau die Informationsgrundlage, die § 93 Abs. 1 AktG für Organentscheidungen voraussetzt.

Einmalprüfung oder kontinuierliches Monitoring — was leistet was?

Beide Fallstudien laufen auf dieselbe Strukturfrage hinaus. Der praktische Unterschied in drei Dimensionen:

• Erfassungszeitpunkt: Die Einmalprüfung bildet den Stichtag des Onboardings ab — was danach geschieht, bleibt unsichtbar. Kontinuierliches Monitoring beobachtet definierte Quellen laufend und meldet Veränderungen anlassbezogen.

• Typische Treffer: Die Einmalprüfung findet Lücken im Werdegang, nicht verifizierbare Qualifikationen und bestehende Register- oder Listeneinträge. Monitoring findet das, was später entsteht: neue Ermittlungsverfahren, Insolvenzen, kritische Berichterstattung — genau die Signalkategorie, die in den Fällen Wirecard und Cum-Ex den Unterschied gemacht hätte.

• Governance-Wert: Die Einmalprüfung dokumentiert Sorgfalt bei der Bestellung. Monitoring dokumentiert fortlaufende Überwachung — und nur diese Kombination trägt die Überwachungspflicht des § 111 Abs. 1 AktG über die gesamte Amtszeit.

Kurz: Die beiden Stufen konkurrieren nicht, sie bauen aufeinander auf. Wer nur beim Onboarding prüft, hat am Tag zwei der Bestellung wieder einen blinden Fleck.

Was folgt rechtlich für Vorstand und Aufsichtsrat?

Die Pflichtenlage ist klarer, als viele Gremien sie leben:

• § 111 Abs. 1 AktG: „Der Aufsichtsrat hat die Geschäftsführung zu überwachen.“ Das umfasst die sorgfältige Auswahl der Vorstandsmitglieder ebenso wie deren laufende Überwachung — und setzt voraus, dass der Aufsichtsrat sich die dafür nötigen Informationen aktiv verschafft, statt auf Zulieferung zu warten.

• § 93 Abs. 1 AktG: Vorstandsmitglieder haben die „Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters“ anzuwenden. Die Business Judgment Rule (§ 93 Abs. 1 Satz 2 AktG) schützt unternehmerische Entscheidungen nur, wenn sie auf Grundlage angemessener Information getroffen wurden; über § 116 Satz 1 AktG gilt der Maßstab sinngemäß für den Aufsichtsrat. Bei behaupteter Pflichtverletzung greift zudem die Beweislastregel des § 93 Abs. 2 Satz 2 AktG: Wer Prüfungen nicht dokumentiert, kann sich im Streitfall kaum entlasten.

• FISG: Als Reaktion auf den Fall Wirecard beschloss der Bundestag im Mai 2021 das Finanzmarktintegritätsstärkungsgesetz — unter anderem mit externer Prüferrotation, schärferer Trennung von Prüfung und Beratung, erweiterter Prüferhaftung und mehr Befugnissen für die BaFin (Deutscher Bundestag (2021)). § 107 Abs. 4 Satz 1 AktG verpflichtet den Aufsichtsrat von Unternehmen von öffentlichem Interesse seither zur Einrichtung eines Prüfungsausschusses.

• § 25c Abs. 1 KWG: Geschäftsleiter von Instituten müssen fachlich geeignet und zuverlässig sein und der Wahrnehmung ihrer Aufgaben ausreichend Zeit widmen. Wie Du diese Anforderungen prüfst und gegenüber der Aufsicht dokumentierst, zeigt unser Beitrag zur Fit-and-Proper- und Zuverlässigkeitsprüfung nach § 25c KWG.

• Schweiz — Gewähr für einwandfreie Geschäftstätigkeit: Für Banken verlangt Art. 3 Abs. 2 Bst. c BankG, dass die mit der Verwaltung und Geschäftsführung betrauten Personen Gewähr für eine einwandfreie Geschäftstätigkeit bieten. Die FINMA beurteilt diese Anforderung beim Antritt einer gewährsrelevanten Funktion und führt dafür eine eigene Datenbank zur Gewährsbeurteilung. Funktional ist das das Schweizer Pendant zur Fit-and-Proper-Prüfung — mit derselben Konsequenz: Ohne dokumentierte Personenprüfung keine belastbare Bewilligungsposition.

Welche Lehren ziehst Du konkret? Sieben Punkte für die Praxis

1. Schlüsselfunktionen definieren — nicht nur das C-Level. Vorstands- und Aufsichtsratskandidaten, Generalbevollmächtigte, die Leitung von Treasury, Steuern und Rechnungswesen — und ausdrücklich auch externe Berater mit Gestaltungsmacht. Der Fall Berger zeigt: Die folgenreichste Schlüsselperson kann außerhalb der Organisation sitzen.

2. Onboarding-Prüfung als dokumentierter Standard. Identität, Werdegang und Qualifikationen, Organfunktionen und Registerdaten, Sanktions- und PEP-Listen, Adverse Media — vor Bestellung beziehungsweise Mandatierung, nicht danach.

3. Kontinuierliches Monitoring statt Einmalprüfung. Risikoprofile ändern sich: Ermittlungsverfahren, Insolvenzen und kritische Berichterstattung entstehen typischerweise nach dem Onboarding. Periodische Re-Checks plus anlassbezogene Prüfungen sind der Maßstab — wie das als Frühwarnsystem funktioniert, beschreibt unser Beitrag zur Anti-Fraud-Intelligence mit Sanktions-, PEP- und Adverse-Media-Daten.

4. Unabhängigkeit der Informationsquelle sichern. Selbstauskünfte und Testate Dritter sind Ausgangspunkt, nicht Ergebnis. Eigene Prüfung gegen Primärquellen ist der Kern jeder Due Diligence — Wirecard ist die Fallstudie dafür, was delegiertes Vertrauen kostet.

5. Eskalationsweg ins Gremium festlegen. Wer bewertet einen Treffer, wer entscheidet über Konsequenzen, wer informiert Aufsichtsrat oder Prüfungsausschuss? Ohne definierte Berichtslinie versickern Signale auf Arbeitsebene.

6. Audit-feste Dokumentation führen. Jede Prüfung mit Zeitstempel, Quelle und Bewertung — angesichts der Beweislastregel des § 93 Abs. 2 Satz 2 AktG im Eigeninteresse jedes Organmitglieds.

7. Verhältnismäßigkeit und Datenschutz wahren. Prüftiefe nach Risiko der Position staffeln, Rechtsgrundlagen sauber wählen, Transparenz- und Betroffenenrechte achten — die rechtssichere Umsetzung zeigt unser DSGVO-Leitfaden für Background Checks.

Wie setzt Du das praktisch um?

Der Unterschied zwischen „wir googeln Kandidaten“ und Personen-Due-Diligence ist der Prozess: definierter Scope, geprüfte Quellen, dokumentierte Bewertung, feste Wiedervorlage. Bei Transaktionen gilt dasselbe auf Seiten der Zielgesellschaft — was Legal-Teams dort auf Personen-Ebene prüfen, haben wir im Beitrag zur M&A Due Diligence auf Personen-Ebene zusammengefasst. Entscheidend ist in allen Konstellationen der Zeitpunkt: Die Prüfung gehört vor die Bestellung, die Mandatierung oder das Closing — nicht in den Nachgang, wenn die Presse schneller war als die Compliance.

Die hier beschriebenen Prüfungen automatisiert Indicium: DSGVO-konform, EU/Schweizer Hosting, audit-fester Trail, Reports in 8–30 Minuten. Kostenlose 30-Minuten-Demo buchen — oder direkt die transparenten Preise ansehen.