Founder Vetting vor Series A: Der Due-Diligence-Leitfaden für VCs
Ein Term Sheet unterschreibt man in 48 Stunden. Eine Fehlbesetzung an der Spitze eines Portfolio-Unternehmens kostet den Fonds nicht nur den investierten Betrag, sondern die Reputation gegenüber den Limited Partners. Dennoch prüft ein signifikanter Teil europäischer Venture-Capital-Fonds Gründerteams bis heute weitgehend auf Basis von LinkedIn-Profilen, Referenzgesprächen im Netzwerk und der Annahme, dass renommierte Co-Investoren bereits ordentlich geprüft hätten. Das ist kein operatives Due-Diligence-Regime – das ist gegenseitiges Vertrauen unter institutionellen Investoren, mit allen Risiken, die diese Prämisse mit sich bringt.
Dieser Leitfaden richtet sich an General Partner, Investment Manager und Associates, die Founder Vetting von einer informellen Netzwerk-Übung in einen belastbaren, dokumentierten, DSGVO-konformen Prozess überführen wollen – vor dem Unterschreiben des Term Sheets, nicht danach.
Warum Founder Vetting auf die Investment-Committee-Agenda gehört
Die Venture-Branche hat in den letzten Jahren mehrere Fälle erlebt, in denen etablierte Fonds Kapital in Unternehmen allokiert haben, deren Gründer- oder C-Level-Historie bei einer strukturierten Personen-DD identifizierbare Warnsignale enthalten hätte. Theranos, FTX, Wirecard und mehrere europäische Einhörner der späten 2010er-Jahre haben eine klare Lektion hinterlassen: Pattern-Recognition von früheren Insolvenzen, Gesellschafterstreitigkeiten, regulatorischen Untersuchungen und adverse media ist selten ein einzelnes eindeutiges Signal, sondern ein Puzzle, das nur bei systematischer Recherche sichtbar wird.
HireRight hat bereits 2017 in einer globalen Studie dokumentiert, dass 77 % aller durchgeführten Background Checks mindestens eine nicht offengelegte Diskrepanz aufdecken – von Qualifikationen über Beschäftigungshistorie bis zu rechtlichen Vorfällen. PwC berichtet im Global Economic Crime Survey 2024, dass 46 % der europäischen Unternehmen innerhalb von 24 Monaten Opfer von Wirtschaftskriminalität wurden, wobei interne Akteure in einer signifikanten Minderheit der Fälle beteiligt waren. Diese Zahlen stammen aus dem Corporate-Kontext, übertragen sich jedoch direkt auf die Venture-Welt: Die Gründer, die heute 5 Mio. Euro Seed einsammeln, sind die Geschäftsleitungen von morgen.
Kienbaum beziffert die Kosten einer Fehlbesetzung in Führungspositionen mit dem 1,5- bis 3-fachen eines Jahresgehalts. Im Venture-Kontext ist diese Metrik verharmlosend: Die Fehlallokation trifft nicht das Gehaltsbudget, sondern die gesamte Investment-These, den Follow-on-Appetit der Co-Investoren und die Standing-Relationship des Fonds zu seinen LPs.
Der Unterschied zwischen klassischem Legal DD und Personen-DD
Klassische Legal Due Diligence in einer Series A prüft in der Regel vier Kategorien: Corporate Housekeeping (Cap Table, Satzung, Gesellschafterbeschlüsse), Material Contracts (Kunden-, Lieferanten-, Lizenzverträge), IP Ownership (Erfinderverträge, Domain-Registrierungen, Open-Source-Compliance) und gegebenenfalls Tax und Employment. Auf Fund-Ebene kommt KYC hinzu – also die Identifikation der wirtschaftlich Berechtigten des Fund-Vehikels selbst, getrieben durch Geldwäscherichtlinien und die Anforderungen der eigenen Depotbank.
Was in diesem Standard-Raster fehlt: die operative Prüfung der Personen, die anschließend das Geld verwalten. Personen-DD deckt ab, was Legal DD strukturell nicht abdecken kann:
Identitätsverifikation: Existiert die Person unter dem angegebenen Namen, Geburtsdatum und Wohnsitz überhaupt? Bei internationalen Gründerteams mit Wohnsitzwechseln zwischen DACH, UK und Offshore-Jurisdiktionen ist das keine triviale Frage.
Qualifikationsverifikation: Sind die behaupteten Universitätsabschlüsse, Arbeitgeber und Funktionen verifiziert oder basieren sie ausschließlich auf Selbstauskunft im Pitch Deck?
Insolvenz- und Restrukturierungshistorie: War die Person in den letzten zehn Jahren Geschäftsführer einer insolvenzreifen oder insolvenzeröffneten Gesellschaft? Gibt es persönliche Verbraucherinsolvenzen, Eidesstattliche Versicherungen, vollstreckbare Titel?
Sanktionslisten und politisch exponierte Personen: Steht die Person oder ein naher Verwandter auf EU-, OFAC-, UK HMT- oder SECO-Sanktionslisten? Ist die Person nach den jeweiligen Geldwäschevorschriften als PEP klassifiziert?
Adverse Media: Gibt es Berichterstattung in Lokal-, Fach- oder Wirtschaftspresse, die auf Betrug, Fehlverhalten, strafrechtliche Ermittlungen oder zivilrechtliche Prozesse hinweist?
Litigation-Historie: Wurde die Person als Beklagte in wesentlichen zivil-, handels- oder arbeitsrechtlichen Verfahren geführt?
Konflikt-Beteiligungen: Hält die Person direkt oder mittelbar Anteile an Wettbewerbern, Kunden, Lieferanten oder angeblich unabhängigen Beratern des Zielunternehmens?
Erst diese sieben Dimensionen zusammen ergeben ein verwertbares Personen-Profil. Jede einzelne für sich – zum Beispiel die isolierte Prüfung eines Sanktions-Hits – liefert wenig Aussagekraft, wenn sie nicht in den Gesamtkontext eingeordnet wird.
Die Hierarchie der Prüftiefe: Was, wann, warum
Venture-Fonds arbeiten mit knappen Deal-Timelines. Ein unstrukturierter Ansatz, der jeden Gründer gleich tief prüft, ist in der Praxis nicht durchhaltbar und wirtschaftlich auch nicht geboten. Eine pragmatische Hierarchie sieht wie folgt aus:
Investment-Phase | Prüftiefe | Fokus |
|---|---|---|
Pre-Seed / Angel-Runde | Basis | Identität, Qualifikation, Sanktionen, Insolvenz |
Seed | Standard | Zusätzlich: Adverse Media, Litigation, Shareholdings |
Series A | Vertieft | Alle sieben Dimensionen, erweitert auf Co-Founder, CTO, CFO |
Series B und darüber | Institutionell | Vollständige C-Level-Abdeckung, Board-Kandidaten, Key Employees |
Ab Series A ist der Einsatz ausreichend, dass eine oberflächliche Prüfung nicht mehr als Sorgfalt gegenüber den LPs durchgeht. Spätestens ab diesem Punkt sollte Personen-DD ein dokumentierter, wiederholbarer Prozess sein, kein Bauchgefühl des Investment Directors.
Der 72-Stunden-Workflow für Pre-Closing-DD
Founder Vetting scheitert in der Praxis regelmäßig nicht an der Frage, ob es sinnvoll ist, sondern daran, dass es in der 72-Stunden-Phase zwischen Term Sheet und Closing zeitlich nicht realisiert werden kann. Das liegt nicht an der Komplexität der Prüfung selbst, sondern an organisatorischer Fragmentierung: Drei Kanzleien, zwei Datenanbieter, manuelle Konsolidierung in Excel.
Ein tragfähiger 72-Stunden-Workflow sieht strukturell anders aus:
Stunde 0 bis 4 – Einwilligung und Daten-Einholung: Der Fonds lässt den oder die Gründer eine DSGVO-konforme Einwilligungserklärung unterzeichnen, die den Umfang der Prüfung, die zu konsultierenden Quellen und die Speicherfristen klar ausweist. Parallel werden Personalausweis, Wohnsitznachweis, Lebenslauf und Zeugnisse hochgeladen.
Stunde 4 bis 24 – Automatisierte Datenbank-Checks: Identität, Sanktionslisten (EU Consolidated List, OFAC SDN, UK HMT, SECO), PEP-Status, Insolvenzregister-Abfragen (D: Insolvenzbekanntmachungen gem. § 9 InsO; CH: SHAB; AT: Ediktsdatei), Handelsregister-Auszüge in allen relevanten Jurisdiktionen, Adverse-Media-Screening über Moody's, LexisNexis oder vergleichbare Quellen.
Stunde 24 bis 48 – Manuelle Prüfung und Eskalation: Jeder Treffer aus der automatisierten Phase wird manuell verifiziert. False Positives bei Namensgleichheiten werden eliminiert. Echte Treffer werden zu einem qualifizierten Bericht verdichtet, der zwischen Fakten, Kontext und Risikoeinschätzung trennt.
Stunde 48 bis 72 – Investment-Committee-Vorlage: Der fertige Bericht geht in das IC-Paket, inklusive einer klaren Handlungsempfehlung (grün: kein Befund; gelb: Befunde mit Klärungsbedarf; rot: materielle Red Flags mit IC-Entscheidungsbedarf).
Dieser Workflow ist realistisch, wenn Datenquellen in einer einheitlichen Plattform konsolidiert sind und die Einwilligung digital eingeholt wird. Er ist nicht realistisch, wenn jede Datenquelle einzeln abgefragt und das Ergebnis manuell in ein Word-Dokument kopiert wird.
Rechtliche Basis: Warum Personen-DD DSGVO-konform ist
Die zentrale Rechtsfrage für europäische VCs lautet: Unter welcher Rechtsgrundlage verarbeitet ein Fonds personenbezogene Daten über Gründer vor Abschluss des Investments? Die Antwort liefert Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse. Der Fonds hat ein legitimes, qualifiziertes Interesse am Schutz des investierten LP-Kapitals, das in einer Güterabwägung regelmäßig die Datenschutzinteressen der betroffenen Person überwiegt, sofern die Prüfung verhältnismäßig und zweckgebunden ausgestaltet ist.
Praktisch heißt das: Eine umfassende Prüfung der oben genannten sieben Dimensionen im Vorfeld eines Series-A-Investments ist rechtlich zulässig, wenn (1) der Gründer transparent über die Prüfung informiert wird, (2) die Datenquellen seriös und verhältnismäßig sind, (3) die Daten nach Abschluss nicht länger als notwendig gespeichert werden und (4) der Gründer seine Betroffenenrechte (Auskunft, Berichtigung, Löschung) tatsächlich ausüben kann. Ergänzend empfiehlt sich eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO als Belt-and-Suspenders-Lösung, gerade bei sensiblen Daten wie Gesundheitsauskünften oder Justizregister-Auszügen.
Artikel 9 DSGVO (besondere Kategorien personenbezogener Daten) ist zu beachten, sobald Daten über strafrechtliche Verurteilungen verarbeitet werden. Hier gilt Art. 10 DSGVO: Die Verarbeitung ist nur unter behördlicher Aufsicht oder auf Basis spezieller Rechtsgrundlagen zulässig. In der Praxis bedeutet das: Keine direkte Abfrage von Strafregistern durch den Fonds, wohl aber die Auswertung öffentlich verfügbarer Urteile und Medienberichte.
Red Flags, die häufig übersehen werden
Die offensichtlichen Warnsignale – ein aktiver Sanktionshit, eine laufende strafrechtliche Ermittlung, eine kürzlich eröffnete Privatinsolvenz – werden selbst bei oberflächlicher Prüfung gefunden. Die gefährlicheren Signale sind jene, die in einer Flüchtigkeitsprüfung durchrutschen:
Historische Firmenauflösungen: Ein Gründer, der vor sechs Jahren als Geschäftsführer einer GmbH fungierte, die wegen Zahlungsunfähigkeit gelöscht wurde, taucht im aktuellen Handelsregisterauszug nicht mehr auf. Ein vollständiger Personen-Scan durch historische Register-Daten zeigt den Vorgang – ein Snapshot-basierter Check nicht.
Gesellschafterstreitigkeiten: Zivilverfahren zwischen Mitgründern früherer Unternehmen, öffentlich dokumentiert in Urteilsdatenbanken, liefern wertvolle Hinweise auf Konfliktverhalten, Governance-Fähigkeit und Integrität – lange bevor dieselben Muster im neuen Unternehmen auftreten.
Adverse Media aus Lokalpresse: Nationale Wirtschaftspresse berichtet über prominente Gründer. Was sie nicht abdeckt: die Lokalzeitung einer Kleinstadt, in der ein Gründer vor acht Jahren wegen Baumängeln an einem Privatobjekt verklagt wurde, oder das Fachblatt, das über interne Streitigkeiten in einer früheren Branchenvereinigung berichtet hat.
Offshore-Beteiligungen: Direkte oder mittelbare Beteiligungen über Vehicles in Jersey, BVI oder Delaware werden in einem rein deutschen Handelsregister-Auszug nicht sichtbar. Internationale Register-Aggregate und Leaks-Datenbanken schließen diese Lücke.
Ehepartner und nahe Verwandte: PEP-Status, Sanktionen und Adverse Media erstrecken sich in den meisten Compliance-Regimen auch auf enge Familienangehörige und wirtschaftlich verbundene Personen. Die isolierte Prüfung des Gründers selbst reicht nicht.
Was gilt in der Schweiz, Österreich und EU-weit?
Venture-Capital ist grenzüberschreitend, Due Diligence folgt aber nationalen Rechtsordnungen. Die Grundlinie ist die DSGVO, aber drei Jurisdiktionen lohnen eine gesonderte Betrachtung.
Deutschland
Das Bundesdatenschutzgesetz (BDSG) präzisiert die DSGVO für den deutschen Kontext. Für Venture-Fonds relevant sind insbesondere § 26 BDSG (soweit Beschäftigungsverhältnisse tangiert werden) und § 31 BDSG zu Wirtschaftsauskunfteien. Insolvenzrechtlich greifen die Insolvenzbekanntmachungen nach § 9 InsO, die öffentlich über insolvenzbekanntmachungen.de recherchierbar sind. Handelsregister-Daten sind über das zentrale Registerportal der Länder zugänglich. Für geldwäscherechtliche Zwecke gilt das Geldwäschegesetz (GwG), insbesondere § 10 GwG (allgemeine Sorgfaltspflichten) und § 11 GwG (Identifizierung).
Schweiz
Die Schweiz ist formal kein EU-Mitglied, aber das revidierte Datenschutzgesetz (revDSG) ist seit September 2023 weitgehend DSGVO-äquivalent. Für Venture-Prüfungen relevant sind das Schweizerische Handelsamtsblatt (SHAB) als zentrale Quelle für Handelsregister- und Insolvenzbekanntmachungen, das Betreibungsregister auf kantonaler Ebene (Auskunft gegen Rechtsgrund) sowie die Sanktionslisten des Staatssekretariats für Wirtschaft (SECO). Für regulierte Finanz-Startups spielt die FINMA zusätzlich eine Rolle – insbesondere Art. 3 BankG zu Gewähr für einwandfreie Geschäftstätigkeit, der bei Banken- und FinTech-Lizenzen Fit-and-Proper-Prüfungen für Leitungspersonen erzwingt.
Österreich
Österreich setzt die DSGVO über das Datenschutzgesetz (DSG) um. Das zentrale Insolvenzregister ist die Ediktsdatei (edikte.justiz.gv.at), die Firmenbuch-Daten werden über das Firmenbuch beim jeweiligen Landesgericht beziehungsweise kommerzielle Aggregatoren abgerufen. Für Asset Manager und Venture-Fonds greift das Alternative Investmentfonds Manager-Gesetz (AIFMG), das für Leitungsorgane und qualifizierte Beteiligte ebenfalls Zuverlässigkeits- und Fachkundeprüfungen vorsieht.
EU-weit
Auf EU-Ebene bildet die DSGVO den Rahmen, ergänzt durch die Geldwäscherichtlinien (derzeit 5. und 6. GwRL, perspektivisch die AMLR/AMLD6-Reform mit zentraler EU-Aufsichtsbehörde AMLA). Für alternative Investmentfonds gilt die AIFMD (Alternative Investment Fund Managers Directive), die in Deutschland durch das KAGB, in Österreich durch das AIFMG und in der Schweiz durch das KAG umgesetzt ist. Die AIFMD verlangt von Fondsmanagern geeignete Prozesse zur Bewertung und Überwachung der Personen, die wesentlichen Einfluss auf die Portfoliounternehmen haben – eine Vorschrift, die von europäischen VCs bislang stiefmütterlich behandelt wird.
US-Praxis vs. europäische Realität
Top-tier US-Fonds der Kategorie Sequoia, Benchmark oder Founders Fund arbeiten seit Jahren mit dedizierten Compliance-Partnern (Kroll, Control Risks, K2 Integrity), die vor signifikanten Investments standardisierte Integrity Due Diligence durchführen. Der zugrunde liegende Workflow ist dort Teil der Playbook-Struktur, nicht eine ad-hoc-Entscheidung des einzelnen Partners.
In Europa ist das Bild deutlich heterogener. Einige der größten deutschsprachigen Fonds verfügen über entsprechende Prozesse, die überwiegende Mehrheit der Series-A-Tickets unter 20 Mio. Euro läuft aber ohne standardisiertes Founder Vetting durch. Der Grund ist selten ideologisch, sondern strukturell: Die Kosten einer vollständigen K2-Integrity-Untersuchung (typisch 15.000 bis 40.000 Euro pro Person) sind für einen 5-Mio.-Seed nicht proportional. Genau diese Lücke – institutionelle Qualität zu einem Preis, der proportional zum Dealvolumen skaliert – ist der Auftrag automatisierter, DSGVO-nativer Background-Check-Plattformen.
Fazit: Vom Bauchgefühl zum dokumentierten Prozess
Founder Vetting ist keine Frage des Vertrauens gegenüber Gründern, sondern der Sorgfalt gegenüber den Limited Partners. Ein europäischer Series-A-Fonds, der Tickets über 5 Mio. Euro schreibt und Gründerteams ausschließlich auf Netzwerk-Referenzen vetten lässt, wird bei der nächsten LP-Due-Diligence zunehmend schwer zu verteidigende Fragen beantworten müssen – spätestens, wenn AMLA und verschärfte AIFMD-Auslegung greifen.
Die Lösung liegt nicht in mehr Aufwand pro Deal, sondern in strukturell anderer Werkzeuge: DSGVO-native Plattformen, die Moody's- und LexisNexis-Datenquellen in einen konsolidierten 72-Stunden-Workflow bringen, die Einwilligung digital einholen und den Prüfbericht in einer auditfähigen Form an das Investment Committee liefern. Indicium Technologies liefert genau diese Infrastruktur – für Venture-Fonds, die ihre Personen-Due-Diligence auf ein institutionelles Niveau heben, ohne an ihrer Deal-Velocity zu verlieren.
Buche eine Demo und sieh dir den Workflow an einem anonymisierten Beispiel aus der Praxis an.
Weiterlesen — verwandte Artikel
Nabil El Berr
