M&A Due Diligence auf Personen-Ebene: Was Legal sich anschauen muss
In M&A-Transaktionen gilt eine stille Arbeitsteilung: Legal Counsel prüft Vertragsstrukturen, die Financial-DD-Boutique arbeitet sich durch Quality-of-Earnings-Reports, Commercial DD validiert den Business Case. Diese drei Disziplinen sind prozessual ausgereift, methodisch dokumentiert und versicherungsseitig abgedeckt. Personenebene-DD hingegen bleibt in vielen Transaktionen ein Nebenschauplatz: ein LinkedIn-Check des CEO, eine Google-Suche zum CFO, ein höfliches Telefonat mit dem Vorgänger-Investor. Diese Lücke ist der Grund, warum Erwerber nach Closing regelmäßig feststellen, dass sie Risiken gekauft haben, die in keinem Datenraum dokumentiert waren: laufende Shareholder-Klagen gegen den CTO aus einem früheren Venture, adverse Medienberichte in Regionalpresse zur Key-Sales-Person, stille Beteiligungen des Target-CEO an einem direkten Wettbewerber.
Für M&A Legal Counsel und PE-Buyside-DD-Teams stellt sich damit eine klare Frage: Wie lässt sich Personenebene-DD auf dasselbe methodische Niveau heben wie Legal-, Financial- und Commercial-DD – rechtlich sauber, rollenbasiert, timeline-konform und im Ernstfall eskalationsfähig?
Warum Personenebene-DD die schwächste Stelle im Standard-Prozess ist
Virtuelle Datenräume enthalten strukturell nur das, was der Verkäufer einstellt. Arbeitsverträge der C-Level, Organigramm, D&O-Versicherungsnachweis, gelegentlich ein knappes CV. Was der VDR typischerweise nicht enthält, ist der Risikoraum jenseits der Anstellung: frühere Board-Mandate mit Insolvenzhintergrund, zivilrechtliche Auseinandersetzungen, regulatorische Sanktionen in anderen Jurisdiktionen, UBO-Beteiligungen an Vehikeln, die nicht in Target-Holding-Struktur sichtbar werden, Pressemeldungen mit Reputations-Relevanz.
Drei strukturelle Gründe erklären die Lücke. Erstens: Personenebene-DD ist rechtlich heikler – Datenschutz, Diskriminierungsverbote und Arbeitsrecht bremsen Erwerber, bevor die Recherche überhaupt begonnen hat. Zweitens: Es gibt keinen etablierten Industriestandard vergleichbar mit einem QoE-Report. Drittens: Die Kosten der Unterlassung werden erst post-Closing sichtbar, wenn Representation-&-Warranty-Carrier Rückfragen stellen oder der Retention-Plan des Key-Sales gegen eine Wettbewerbsklage aus Altanstellung kollidiert.
Was in einer sauberen Personen-DD geprüft wird
Eine tragfähige Personen-DD ist nicht eine beliebige Dossier-Recherche, sondern eine rollenbasierte Matrix. Jede kritische Rolle im Target hat einen anderen Risikovektor und damit einen anderen Prüfumfang. Die folgende Matrix hat sich in mittelgroßen bis großen Private-Equity- und Corporate-M&A-Transaktionen als Minimum etabliert:
Rolle | Primärer Risikovektor | Mindestprüfumfang |
|---|---|---|
Target-CEO | Reputations-, Litigation-, Shadow-Beteiligungs-Risiko | Handelsregisterhistorie aller Jurisdiktionen, adverse Medien mehrsprachig, Zivilprozessregister, UBO-Register, PEP-/Sanktions-Screening |
Target-CFO | Berufsrechtliche, steuerliche und bilanzielle Integrität | Wirtschaftsprüferkammer- bzw. Steuerberaterkammer-Registerprüfung, Insolvenzregister, Disziplinarmaßnahmen, frühere Beteiligungen an zahlungsgestörten Gesellschaften |
Target-CTO | IP-Ansprüche Dritter, Wettbewerbsverbote aus Vorbeschäftigung | Patentrecherchen, Gerichtsverfahren zu IP und Arbeitsrecht, Projekt-Historie mit Non-Compete-Kollisionen, Open-Source-Compliance-Historie |
Key Sales | Kundenabwanderungsrisiko, Wettbewerbsverbote, Kickback-Historie | Zivilgerichtliche Kundenstreitigkeiten, Austrittsvereinbarungen Vorbeschäftigung, Medienberichte zu Vertriebspraktiken |
Key Engineering | Code-Ownership-Konflikte, Open-Source-Lizenz-Risiken, Export-Kontrolle bei Dual-Use | Gerichtsverfahren zu Code-IP, Sanktionslisten bei Entwicklern mit Dual-Use-Berührung, akademische Publikationshistorie bei Forschungskooperationen |
Drei Prüffelder fallen in der Praxis regelmäßig durch die Standardraster. Erstens: Shareholder-Litigation aus früheren Ventures. Ein Target-CEO, gegen den aus einem früheren Exit noch eine Altgesellschafterklage läuft, bringt nicht nur das Risiko einer persönlichen Haftung mit, sondern auch ein Reputationsrisiko, das bei Closing-Ankündigung aktiv wird. Zweitens: Adverse Media in Lokal- und Regionalpresse. Internationale Datenbanken indexieren überregionale Berichte zuverlässig, lokale Wirtschaftszeitungen und Nischenmedien hingegen lückenhaft. Drittens: Undisclosed Beneficial Ownership in konkurrierenden oder lieferantenseitig verbundenen Strukturen. Eine 12-Prozent-Beteiligung des CFO an einem Lieferanten des Targets ist kein Straftatbestand, aber sie verschiebt die commercial-DD-Bewertung deutlich.
Was gilt in der Schweiz, Österreich und EU-weit?
Personenebene-DD ist datenschutzrechtlich hochreguliert. Die zulässige Prüftiefe variiert je Jurisdiktion. Entscheidend ist, dass der Erwerber die Rechtsgrundlage vor Beginn der Recherche sauber dokumentiert – nicht rückwirkend.
EU-weit: Art. 6 Abs. 1 lit. f DSGVO als Grundlage
Die Erhebung personenbezogener Daten im M&A-Kontext stützt sich in der Regel auf Art. 6 Abs. 1 lit. f DSGVO: berechtigtes Interesse des Erwerbers an einer sachgerechten Risikobewertung der Transaktion. Die Abwägung gegen die Interessen der geprüften Person gelingt, wenn drei Voraussetzungen erfüllt sind: begrenzter Personenkreis (nur Rollen mit Signifikanz für die Transaktion), begrenzter Datenumfang (kein „alles, was man finden kann") und begrenzte Speicherdauer (Löschung nach Abschluss der Transaktion oder nach Ablauf der R&W-Periode). Bei Sondervorschriften – insbesondere bei der Einholung besonderer Kategorien nach Art. 9 DSGVO wie Gesundheitsdaten oder Gewerkschaftszugehörigkeit – greift die Grundlage nicht.
Ebenfalls zu beachten: das deutsche AGG setzt Grenzen für die Auswertung. Selbst wenn ein Datenpunkt rechtmäßig erhoben wurde, darf er nicht für eine nachgelagerte diskriminierende Entscheidung genutzt werden. DD-Protokolle müssen also nicht nur Rechtsgrundlage, sondern auch Auswertungslogik dokumentieren, um einer späteren arbeitsrechtlichen Auseinandersetzung standzuhalten.
Schweiz: Revidiertes DSG und Berechtigtes Interesse
In der Schweiz gilt seit September 2023 das revidierte DSG. Die Rechtsgrundlage für personenbezogene DD stützt sich auf Art. 31 Abs. 2 DSG (überwiegende Interessen des Bearbeiters). Die Schwelle ist tendenziell erwerberfreundlicher als unter der DSGVO, weil das Schweizer Recht dem berechtigten Interesse des Erwerbers bei einer Unternehmensakquisition traditionell hohes Gewicht beimisst. Besonders sensibel: Daten aus Strafregistern unterliegen zusätzlichen Schranken des Schweizerischen Strafregistergesetzes (StReG). Eine pauschale Einsicht durch Erwerber ist nicht möglich; zulässig ist in der Regel nur die Vorlage eines durch die betroffene Person selbst beantragten Strafregisterauszugs.
Österreich: DSG 2018 und GewO-Relevanz
In Österreich greifen die DSGVO und das nationale DSG 2018 parallel. Die Rechtsprechung der Datenschutzbehörde ist tendenziell strenger als in Deutschland. Besonders relevant: Bei Targets mit Gewerbeberechtigungen (GewO) muss der Erwerber zusätzlich prüfen, ob der Geschäftsführer die persönliche Zuverlässigkeit nach § 87 GewO auch nach Closing erfüllt. Zweifel an der Zuverlässigkeit können die Gewerbeberechtigung gefährden – ein strukturelles Deal-Risiko, das typische Financial-DD-Reports nicht abbilden.
Cross-Border: CH-Target, DE-Erwerber und umgekehrt
Bei Cross-Border-Konstellationen entsteht ein doppelter Anwendungsbereich. Ein deutscher Erwerber, der eine Schweizer Zielgesellschaft prüft, muss sowohl DSGVO (für die Datenverarbeitung in Deutschland) als auch das DSG (für die Erhebung in der Schweiz) beachten. Der übliche Ausweg: Abschluss einer Auftragsverarbeitungsvereinbarung zwischen Erwerber und DD-Dienstleister plus Standardvertragsklauseln für den Datentransfer. Die Schweiz verfügt über einen Angemessenheitsbeschluss der Europäischen Kommission, sodass der Transfer Schweiz → EU erleichtert ist.
Post-Closing-Implikationen: R&W-Insurance und Escrow
Die Qualität der Personenebene-DD wirkt direkt auf die Struktur der Representation & Warranty Insurance. Insurance-Underwriter verlangen zunehmend explizite Bestätigungen, dass Key-Person-Screenings durchgeführt wurden. Fehlen diese, entstehen Exclusions: Schäden aus Litigation gegen Key Persons, die bei saubererer DD entdeckbar gewesen wären, fallen aus der Deckung heraus. In der Folge erhöht sich entweder der R&W-Escrow-Anteil – der oft bei 0,5 bis 1 Prozent des Deal-Volumens liegt – oder die Prämie wird spürbar teurer. Bei einem Deal-Volumen von 80 Mio. Euro bedeutet eine Escrow-Verschiebung von 0,5 auf 1 Prozent bereits 400.000 Euro zusätzlich gebundenes Eigenkapital.
Gleichzeitig werden Retention-Packages für Key Persons typischerweise mit Milestone-Vesting über 24 bis 36 Monate strukturiert. Wenn eine Personen-DD nach Closing Auffälligkeiten zutage fördert, die Grundlage für eine fristlose Kündigung böten, ist die Vesting-Struktur der bessere Schutz als ein Schadensersatzanspruch. Voraussetzung: die Auffälligkeit lag zum Zeitpunkt der Signing-Entscheidung nicht bereits vor.
DD-Workflow-Template: 30-Tage-Timeline nach Rolle
Ein belastbares Personen-DD-Setup lässt sich in drei Phasen abbilden. Die Timeline orientiert sich an einem typischen Mid-Market-Prozess mit sechs bis acht Wochen zwischen Signing und Closing.
Tag 1 bis 3 – Screening-Setup: Rollen-Matrix definieren, Rechtsgrundlage dokumentieren, Auftragsverarbeitungsverträge mit DD-Dienstleister schließen, Scope gegenüber Verkäufer offenlegen (sofern nicht strategisch kontraindiziert).
Tag 4 bis 10 – Automatisierter Erstscreen: Parallele Prüfung aller Key-Rollen auf PEP, Sanktionen, Adverse Media, Handelsregister, Insolvenzregister, Zivilprozessregister. Typische Turnaround-Zeit bei automatisierten Plattformen: 72 Stunden.
Tag 11 bis 20 – Manuelle Vertiefung bei Auffälligkeiten: Jede Auffälligkeit aus dem Erstscreen wird durch erfahrenen Analyst verifiziert. Dokumentation mit Quellen, Datum, Signifikanz-Bewertung. Abstimmung mit Lead Counsel zur Einordnung.
Tag 21 bis 25 – Eskalation und Entscheidungsvorlage: Strukturierte Entscheidungsmatrix für den Deal-Lead: Welche Findings sind informativ, welche preis-relevant, welche potenziell Deal-Break? Schriftliche Stellungnahmen der geprüften Personen zu schwerwiegenden Findings einholen.
Tag 26 bis 30 – Dokumentation für R&W-Carrier: Vollständige DD-Dokumentation zur Unterlegung der R&W-Versicherung, Einbindung in Disclosure Schedules, Abstimmung mit SPA-Gewährleistungskatalog.
Eskalationsmuster bei Auffälligkeiten
Nicht jede Auffälligkeit ist ein Deal-Break, aber jede Auffälligkeit braucht einen dokumentierten Eskalationspfad. Drei Stufen haben sich bewährt:
Stufe 1 – Informativ: historische Sachverhalte ohne laufende Rechtsfolgen, öffentlich bekannte Vorfälle ohne Relevanz für Integrität oder Compliance. Dokumentation im DD-Report, keine weitere Handlung.
Stufe 2 – Preis-relevant: Laufende Zivilverfahren mit begrenztem Haftungsvolumen, historische regulatorische Maßnahmen mit potenzieller Wiederholungsgefahr, Reputationsrisiken mit begrenzter Reichweite. Handlung: Preis-Adjustment oder spezifische Gewährleistung im SPA, ggf. erweiterter Retention-Escrow.
Stufe 3 – Deal-Break-Kandidat: Laufende Strafverfahren, Sanktionslisten-Treffer, systematische Reputationsschäden, UBO-Konflikte mit Wettbewerbern oder Lieferanten. Entscheidung durch Lead Counsel zusammen mit Deal-Lead und ggf. Investment-Committee. Mindest-Dokumentation: schriftliches Votum zum Gesamtrisiko.
Wichtig ist die Trennung von Feststellung und Bewertung. Der DD-Dienstleister liefert Befund und Quelle, die rechtliche Einordnung obliegt dem Lead Counsel, die strategische Bewertung dem Deal-Lead. Diese Rollen sollten nicht vermischt werden – weder aus Haftungsgründen noch aus Governance-Gründen.
Warum Plattform-Lösungen den Prozess verändern
Der entscheidende Engpass der klassischen Personen-DD war bisher die Laufzeit. Ein erfahrener Analyst kann pro Rolle und Jurisdiktion typischerweise zwei bis vier Arbeitstage investieren, bis ein belastbares Dossier vorliegt. Bei sechs Key-Rollen in zwei Jurisdiktionen summiert sich das auf drei bis vier Wochen – oft länger als die exklusive DD-Phase selbst. Background-Check-Plattformen wie Indicium verschieben diese Arithmetik durch parallelisierte Prüfung: ein simultaner Screen aller Key-Rollen gegen alle relevanten Quellen – UBO-Register, PEP-Listen, Sanktions-Listen, Adverse Media, Insolvenz- und Zivilprozessregister – liefert das Erstbild innerhalb von 72 Stunden. Manuelle Vertiefung erfolgt nur bei Auffälligkeiten, nicht pauschal.
Für M&A-Counsel bedeutet das konkret: Die Personen-DD kann in dieselbe Drei-Wochen-Timeline integriert werden, die auch Financial- und Commercial-DD abbildet – ohne den Prozess zu verlängern oder andere Arbeitsstränge zu blockieren. Die Dokumentation ist DSGVO- und DSG-konform strukturiert, die Quellenangaben sind audit-ready und entsprechen den Anforderungen der R&W-Carrier.
Für jede Transaktion, bei der Key Persons zum zentralen Werttreiber zählen – und das ist in praktisch jeder Mid-Market- und Lower-Large-Cap-Transaktion der Fall –, gehört die systematische Personen-DD damit auf dieselbe Prozessebene wie Legal-, Financial- und Commercial-DD. Nicht als Zusatzoption, sondern als integrierter Pflichtschritt.
Wenn Sie die Personen-DD Ihrer nächsten Transaktion strukturell absichern wollen, sprechen Sie mit uns. Buche eine Demo und wir zeigen Ihnen, wie die Matrix in Ihrem konkreten Deal-Setup umsetzbar ist.
Weiterlesen — verwandte Artikel
Nabil El Berr
