Startup CEO Background Check: Was Top-Fonds bei Portfolio-Companies erwarten

Im Seed-Stadium gilt das Karpathy-Prinzip: „You bet on the founder." In der Series A wechselt die Logik — jetzt gilt: „You stress-test the founder." Was bis vor wenigen Jahren erst ab der Series B zur Pflichtübung wurde, rückt 2026 schrittweise nach vorne. Das systematische Gründer-Screening ist kein Misstrauensvotum, sondern institutionelle Sorgfalt — und ein Lackmustest für die Professionalisierung der europäischen VC-Landschaft.

Warum das Screening später als in Private Equity greift — und jetzt nach vorne wandert

Der zeitliche Versatz hat eine strukturelle Logik. Im Seed-Stadium ist der Gründer das Investment-Objekt. Ein systematischer Background-Check zu einem Zeitpunkt, an dem das Team aus zwei Personen und einem Prototyp besteht, wirkt disproportional. Ab der Series A ändert sich das Kalkül: Der CEO führt ein Team von 30 bis 50 Personen, verantwortet Kapital im mittleren einstelligen Millionenbereich, und die Transaktionskosten eines Fehlgriffs — Abschreibung, Management-Restrukturierung, Down-Round — rechtfertigen den Aufwand.

Beobachtbar ist aber eine Verlagerung: Fonds wie Sequoia Capital, Benchmark, Andreessen Horowitz (a16z) und Accel beginnen, systematische Integrity-Checks bereits in der Seed-Phase einzusetzen. Der Grund ist empirisch: Die Fundpool-Ökonomie skaliert nicht linear. Ein einziger Betrugsfall im Portfolio kostet mehr als 300 saubere Seed-Screenings zusammen. Europäische Top-Fonds wie Atomico, Index Ventures, Creandum, Lakestar, Earlybird, HV Capital und Cherry Ventures folgen dieser Logik zunehmend — mit europäischen Eigenheiten, die wir gleich betrachten.

Was Top-Fonds konkret prüfen

Ein systematisches pre-Series-A Founder-DD geht deutlich über CV-Verifikation und Identitäts-Check hinaus. Die Beobachtung aus Portfolio-Gesprächen mit institutionellen VCs der letzten 18 Monate zeigt ein Standardset von 20 Datenpunkten, die zum institutionellen Minimum geworden sind.

1. Identitätsverifikation via eID oder zertifizierter Video-Ident.

2. Akademische Abschlüsse direkt bei der Ausstellungs-Institution verifiziert.

3. CV-Zeitlinien-Konsistenz: keine unerklärten Lücken, keine überlappenden Vollzeit-Mandate.

4. Vorherige Arbeitgeber-Referenzen, strukturiert auch zu Austrittsgründen.

5. Organstellungs-Historie: alle bisherigen Geschäftsführer-, Vorstands- und Aufsichtsratsmandate.

6. Exit-Patterns früherer Gründungen: Liquidation, Asset-Sale, Insolvenz, Squeeze-out, positive Exits — mit qualitativer Einordnung.

7. Vorgänger-Unternehmen-Auflösungen: Details zu etwaigen Insolvenzanfechtungen, § 64 GmbHG-Verfahren, Art. 754 OR-Klagen.

8. Cap-Table-Konflikte: laufende oder vergangene Gesellschafterstreitigkeiten, Vesting-Disputes, Gesellschafterausschluss-Verfahren.

9. Sanktionslisten-Screening: EU, OFAC, UN, SECO, OFSI.

10. PEP-Status: inklusive Angehörige ersten Grades und enger Geschäftspartner.

11. Adverse Media in Landes- und Branchenmedien der letzten zehn Jahre.

12. Social-Media-Screening: öffentlich zugängliche Profile auf reputationsrelevante Signale, strukturiert und ohne Bewertung privater Lebensführung.

13. Litigation-Profil: Zivil- und, soweit zulässig, Strafverfahren.

14. Bonität-Signale: Wirtschaftsauskünfte, keine Privatinsolvenz in den letzten zehn Jahren.

15. Konkurrenz-Beteiligungen: aktive oder historische Anteile an Wettbewerbern.

16. IP-Risiken: potenzielle IP-Konflikte mit früheren Arbeitgebern.

17. Investoren-Referenzen: Feedback früherer Investoren, strukturiert erhoben.

18. Co-Founder-Beziehungen: dokumentierte Konflikte, Exits aus dem Gründerteam.

19. Advisory-Mandate: potenzielle Interessenkonflikte aus Beiräten und Advisorships.

20. Regulatorischer Status: einschlägige branchenspezifische Zulassungs- oder Ausschlussverfahren.

Was europäische Fonds anders machen als US-Fonds

Die atlantische Differenz in der Gründer-DD ist strukturell und kulturell zugleich. Drei Unterschiede prägen die europäische Praxis.

Erstens, Second-Time-Founder-Due-Diligence ist in Europa tiefer. Während US-Fonds den erfolgreichen Serial Entrepreneur oft als Selbstempfehlung behandeln, verlangen europäische Fonds — allen voran Index Ventures und Atomico — auch bei etablierten Gründern die strukturierte Prüfung früherer Gesellschaftsverhältnisse. Der Grund ist regulatorisch: In vielen europäischen Jurisdiktionen sind haftungsrelevante Details früherer Mandate öffentlich zugänglich, aber nur bei aktiver Abfrage. Das schafft eine Sorgfaltsobliegenheit, die in den USA durch geringere Transparenz anders aussieht.

Zweitens, weniger Gewicht auf Stanford-Network-Proxies. US-Fonds kompensieren fehlende Background-Daten zumindest teilweise durch soziale Zertifizierung: Stanford-Abschluss, Y-Combinator-Batch, bekannter Advisor. Europäische Fonds arbeiten mit weniger homogener Eliten-Infrastruktur und brauchen deshalb stärker belastbare Datenpunkte. Das führt zu einem früheren und strukturierten Screening — und macht europäische Gründer auf die Prüfung besser vorbereitet.

Drittens, höhere DSGVO-Sensibilität. Was in Delaware-basierten Fonds durch Disclosure-Standards standardmäßig abgedeckt ist, erfordert in Europa eine explizite Einwilligungsarchitektur. Das verändert nicht die Tiefe der DD, aber ihre Operationalisierung: Gründer müssen als eigenständige Datensubjekte behandelt werden, nicht als Attribute ihres Unternehmens.

DSGVO-Grenzen: Was ein VC darf — und was nicht

Die DSGVO setzt dem Founder-Screening einen klaren Rahmen. Die Unterscheidung zwischen einwilligungsfreier und einwilligungspflichtiger Datenverarbeitung ist in der Praxis nicht trivial.

Für regelbasierte Standard-Checks — Handelsregister-Abfragen, Sanktionslisten-Screening, öffentlich zugängliche Adverse-Media-Recherche, PEP-Status — greift Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Der Investor hat ein nachvollziehbares und dokumentierbares Interesse an der Integritätsprüfung potenzieller Portfolio-CEOs, und die entsprechenden Datenquellen sind öffentlich oder halb-öffentlich. Wichtig: Das berechtigte Interesse muss dokumentiert und gegen die Interessen des Gründers abgewogen werden (Legitimate-Interest-Assessment, LIA).

Für besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO — Gesundheitsdaten, politische Ansichten, religiöse Überzeugungen, sexuelle Orientierung, Gewerkschaftszugehörigkeit — reicht das berechtigte Interesse nicht aus. Hier ist eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO erforderlich. In der Praxis relevant ist das vor allem beim Social-Media-Screening: Sobald politische oder weltanschauliche Inhalte ausgewertet werden, greift die strenge Einwilligungspflicht.

Für Strafbarkeitsdaten nach Art. 10 DSGVO gelten nationale Sonderregeln. In Deutschland ist die Verarbeitung grundsätzlich nur unter strengen Voraussetzungen zulässig; der einschlägige Maßstab ergibt sich aus § 26 BDSG für Beschäftigungsverhältnisse und ist für Gründer-Screenings nur eingeschränkt übertragbar. In der Schweiz greift Art. 31 DSG (revidiert 2023) mit vergleichbaren Einschränkungen.

Wie Gründer sich schützen — und was als fair gilt

Gründer befinden sich in der DD-Phase in einer Informationsasymmetrie, die sich durch ein paar Grundregeln reduzieren lässt. Was als fair und marktüblich akzeptiert wird, folgt einem klaren Muster:

• Anlassbezogene, dokumentierte DD ist fair. Ein Standard-Set öffentlich zugänglicher Datenpunkte, strukturiert erhoben, mit klarer Informationspflicht gegenüber dem Gründer — das ist institutionelle Sorgfalt.

• Einwilligungspflichtige Tiefenprüfungen sind fair, wenn sie transparent angekündigt und mit klarer Zweckbindung versehen werden.

• Social-Media-Screening privater Profile ohne Einwilligung ist übergriffig und nicht marktüblich. Öffentliche berufliche Profile (LinkedIn, Xing, öffentliche Twitter/X-Accounts) sind zulässig.

• Fragebögen zu Gesundheit, Familienplanung oder politischen Ansichten sind nicht nur DSGVO-widrig, sondern ein Warnsignal über den Fonds selbst. Seriöse Investoren arbeiten nicht mit solchen Praktiken.

• Einseitige Weiterverarbeitung ohne Zweckbegrenzung — etwa das Teilen von DD-Ergebnissen mit anderen Fonds im Portfolio — ist nicht zulässig und kein Marktstandard.

Das wichtigste Gegenmittel ist Transparenz. Gründer, die selbst proaktiv einen dokumentierten Integrity-Report mitbringen, verkürzen die DD-Phase signifikant und positionieren sich als institutionell verlässlicher Partner. Tools wie Indicium unterstützen diesen Founder-Initiated-Flow explizit.

Post-Closing: Wenn die Portfolio-Company reguliert wird

Ein oft übersehener Aspekt: Die Screening-Pflicht hört nicht am Term Sheet auf. Sobald eine Portfolio-Company in einen regulierten Sektor skaliert — Zahlungsdienste, Banking, Krypto-Custody, Gesundheitsdaten, kritische Infrastruktur — greifen branchenspezifische Fit-and-Proper-Regime, die dokumentierte Integritätsprüfungen zwingend verlangen. Die BaFin verlangt bei E-Money-Lizenzen, Zahlungsinstituts-Lizenzen und KWG-regulierten Tätigkeiten eine strukturierte Eignungsprüfung der Geschäftsleitung. Wer dann keinen Audit Trail vorlegen kann, verliert Monate im Lizenzierungsprozess.

Was gilt in der Schweiz, Österreich und EU-weit?

Schweiz: FINMA bei FinTech-Portfolios

Die FINMA hat mit der FinTech-Bewilligung nach Art. 1b BankG ein niedrigschwelliges Regime geschaffen, das dennoch Gewähr-für-einwandfreie-Geschäftstätigkeit voraussetzt. Für Schweizer VCs mit FinTech-Portfolio — insbesondere Lakestar und auf Schweizer Seite etablierte Fonds — ist die Integrity-Prüfung der Gründer auch Teil der regulatorischen Vorbereitung. Das revidierte Schweizer Datenschutzgesetz (DSG, in Kraft seit 1. September 2023) harmonisiert die Rahmenbedingungen weitgehend mit der DSGVO, ohne sie vollständig nachzuzeichnen. Art. 31 DSG regelt die Verarbeitung besonders schützenswerter Personendaten, Art. 19 DSG die Informationspflichten gegenüber dem Betroffenen.

Österreich: FMA für Portfolio-Finance-Töchter

Die FMA prüft bei österreichischen Finanz-Portfolio-Töchtern sowohl die Eigentümerstruktur als auch die Geschäftsleitung. Die Inhaberkontrolle nach § 20 BWG und § 11a WAG verlangt strukturierte Hintergrundprüfungen der massgeblichen Gesellschafter — einschließlich der VC-Fonds mit Beteiligungen über 10 Prozent. Das österreichische Datenschutzgesetz (DSG 2018) ergänzt die DSGVO mit spezifischen Regelungen zu Persönlichkeitsrechten. Das VbVG schafft zusätzlich eine Verbandsverantwortlichkeit, die Organauswahl-Sorgfalt auf Ebene der Gesellschaft einfordert.

EU-weit: DSGVO, AMLR, AI Act

Die DSGVO gibt den einheitlichen Rahmen. Die AMLR — anwendbar ab Juli 2027 — erweitert die KYC-Pflichten auch für die Verpflichteten im weiteren Sinne und betrifft Teile des VC-Ökosystems unmittelbar. Der EU AI Act trifft VCs an einem unerwarteten Punkt: Wenn KI-basierte Personality-Scoring-Tools für Gründer-Assessments eingesetzt werden — ein wachsender Trend in der US-Szene — werden die VCs zu Deployer von Hochrisiko-KI-Systemen im Sinne von Anhang III des AI Act. Das bedeutet Dokumentationspflichten, Transparenzerklärungen gegenüber den bewerteten Gründern und eine Konformitätsbewertung. Wer heute ein Talent-Screening-Tool einführt, ohne diese Pflichten zu durchdenken, riskiert in 2027 Bußgelder von bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes.

Indicium: Invite-Based Workflow, 48-Stunden-Turnaround, Privacy by Design

Indicium operationalisiert Gründer-Screenings mit drei Designprinzipien, die europäische VC-Anforderungen direkt adressieren.

Erstens, der Invite-Based Workflow: Der Fonds lädt den Gründer ein, der Gründer initiiert die Prüfung eigenständig und erteilt die erforderlichen Einwilligungen nach Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a DSGVO strukturiert und nachvollziehbar. Kein heimliches Screening, kein unklares Rechtsgrundlagen-Gemisch — sondern ein klarer, dokumentierter Prozess, der auch im spätesten Streitfall belastbar ist.

Zweitens, 48-Stunden-Turnaround: Der Standard-Report liegt zwei Arbeitstage nach Freigabe durch den Gründer vor. Das verkürzt DD-Zyklen, die typischerweise drei bis fünf Wochen dauern, um entscheidende Tage und unterstützt wettbewerbsintensive Deal-Flow-Situationen.

Drittens, Privacy Preserving by Design: Serverstandort in Deutschland und der Schweiz, Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO, integrierte Einwilligungsverwaltung mit granularer Zweckbegrenzung, technische und organisatorische Maßnahmen nach Art. 32 DSGVO, automatisiertes Löschkonzept nach Art. 17 DSGVO. Der Gründer behält die Datenhoheit und kann seinen Report auch gegenüber Folge-Investoren wiederverwenden — ein Effizienzgewinn für das gesamte europäische VC-Ökosystem.

Startup-CEO-Background-Checks sind 2026 kein Misstrauensvotum, sondern institutioneller Standard. Die Frage ist nicht mehr ob, sondern wie. Wer als VC heute einen strukturierten, DSGVO-konformen Prozess etabliert, gewinnt Vertrauen bei Gründern, Zeit bei der DD und Rechtssicherheit gegenüber LPs.

Buche eine Demo und sieh dir an, wie Indicium Gründer-Screenings in 48 Stunden DSGVO-konform liefert — ohne Transparenz- oder Vertrauensverlust gegenüber dem Target.

Weiterlesen — verwandte Artikel

• Due Diligence bei Personen für Investoren

• Founder Vetting vor Series A

• Portfolio Company Fit-and-Proper: VC-Haftung

• Sanktionslisten-Screening für Unternehmen

• Sanktionslisten EU UN OFAC