Einleitung: M&A-Markt 2026 – Wachstum mit neuen Risiken
Der deutsche M&A-Markt zeigt sich 2026 robust: Nach vorläufigen Zahlen der Bundesbank wurden im vergangenen Jahr Unternehmenstransaktionen im Gesamtwert von über 87 Milliarden Euro abgeschlossen – ein Plus von 12% gegenüber dem Vorjahr. Insbesondere mittelständische Unternehmen profitieren von der gestiegenen Nachfrage internationaler Investoren. Doch hinter den positiven Marktzahlen verbirgt sich ein wachsendes Risiko, das viele M&A-Berater noch unterschätzen: Datensouveränität.
Immer mehr Unternehmen halten den Entzug des Datenzugriffs durch US-Behörden für realistisch. Was vor fünf Jahren noch als theoretisches Szenario galt, ist heute zur konkreten Compliance-Anforderung in Due-Diligence-Prozessen geworden. Das Souveränitäts-Risiko kann weitreichende Konsequenzen haben für Bewertung, Haftung und Vertragsgestaltung.
In diesem Artikel erfahren Sie:
- Wie das Souveränitäts-Risiko entstand und warum es 2026 virulent ist
- Welche Branchen besonders betroffen sind
- Welche rechtlichen Rahmenbedingungen (CLOUD Act, Schrems II, DORA, NIS2) greifen
- Wie Sie Transaktionen mit souveränen Datenräumen absichern
- Konkrete Fallstudien aus Industrie, Finance und Healthcare
Historischer Kontext: Wie kam es zum Souveränitäts-Risiko?
2018: Der CLOUD Act – der Wendepunkt
Der Clarifying Lawful Overseas Use of Data (CLOUD) Act wurde im März 2018 in den USA verabschiedet. Er verpflichtet US-Technologieunternehmen, auf Anordnung US-amerikanischer Strafverfolgungsbehörden Daten herauszugeben – unabhängig davon, wo diese Daten physisch gespeichert sind.
Praktisch bedeutet das: Auch wenn Ihre Unternehmensdaten auf einem Server in Frankfurt liegen, können sie von US-Behörden angefordert werden, sofern der Cloud-Anbieter eine US-Konzernmutter hat (z.B. Microsoft, Google, Amazon, Dropbox).
2020: Schrems II – Das Ende des Privacy Shield
Im Juli 2020 kippte der Europäische Gerichtshof (EuGH) das Privacy-Shield-Abkommen in der Rechtssache Schrems II (C-311/18). Begründung: US-Überwachungsgesetze (insbesondere FISA Section 702) sind nicht mit EU-Datenschutzstandards vereinbar.
Die Folge: Standardvertragsklauseln allein reichen nicht mehr aus, um Datentransfers in die USA zu legitimieren. Unternehmen müssen zusätzliche Schutzmaßnahmen (z.B. Verschlüsselung, Zugriffsbeschränkungen) nachweisen.
2023-2026: DORA, NIS2 und der regulatorische Druck
Mit dem Digital Operational Resilience Act (DORA) und der NIS2-Richtlinie verschärft die EU ab 2025/2026 die Anforderungen an IT-Sicherheit und Lieferkettentransparenz. Beide Regularien fordern explizit:
- Dokumentation aller Drittanbieter-Risiken (inkl. Souveränitätsfragen)
- Nachweis von Kontrolle über kritische Daten
- Exit-Strategien für Cloud-Dienste
Für M&A-Transaktionen bedeutet das: Käufer prüfen heute systematisch, ob Zielunternehmen souverän über ihre Daten verfügen können – oder ob sie faktisch von US-Anbietern abhängig sind.
Das neue Risiko in M&A-Transaktionen
In klassischen Due-Diligence-Prozessen lag der Fokus auf IP-Rechten, Verträgen und Finanzdaten. Seit 2023 hat sich ein neuer Prüfungsschwerpunkt etabliert: Data Sovereignty Due Diligence.
Die Kernfragen:
- Wo liegen die Daten physisch?
- Wer hat rechtlich Zugriff (inkl. Drittstaaten-Behörden)?
- Welche Cloud-Anbieter sind im Einsatz – und wo ist deren Konzernzentrale?
- Wurden Standardvertragsklauseln (SCCs) durch zusätzliche Maßnahmen ergänzt?
- Gibt es Exit-Optionen für kritische Systeme?
Besonders brisant: Viele Unternehmen nutzen für M&A-Transaktionen virtuelle Datenräume von Anbietern wie Intralinks, Ansarada oder Merrill DataSite – allesamt US-Konzerne oder mit US-Konzernmüttern. Das bedeutet: Die Due-Diligence-Daten selbst unterliegen bereits dem CLOUD Act.
Was Käufer jetzt anders prüfen: 4 Checkpunkte
Erfahrene M&A-Berater ergänzen ihre Prüfkataloge seit 2024 um folgende Punkte:
1. Cloud-Stack-Analyse
Vollständige Erfassung aller Cloud-Dienste (IaaS, PaaS, SaaS) mit Fokus auf:
- Herkunftsland des Anbieters
- Serverstandorte (physisch und rechtlich)
- Subunternehmer und deren Jurisdiktion
2. Datenraum-Souveränität
Prüfung des M&A-Datenraums selbst:
- Ist der Anbieter EU-souverän oder US-kontrolliert?
- Gibt es Audit-Logs für alle Zugriffe?
- Werden Daten verschlüsselt – und wer hält die Schlüssel?
3. Compliance-Nachweis (DORA, NIS2, DSGVO)
Dokumentation der getroffenen Schutzmaßnahmen nach Art. 46 DSGVO:
- Transfer Impact Assessment (TIA) für Drittlandstransfers
- Technische Maßnahmen (z.B. End-to-End-Verschlüsselung)
- Vertragliche Ergänzungen zu SCCs
4. Exit-Strategie
Nachweis, dass ein Anbieterwechsel ohne Datenverlust möglich ist:
- Exportfunktionen für alle Daten
- Keine Vendor-Lock-In-Mechanismen
- Dokumentierte Migrationspfade
Wer ist betroffen?
Viele M&A-Deals nutzen oft mindestens einen kritischen US-Cloud-Dienst ohne ausreichende Schutzmaßnahmen. Was genau ist betroffen?
- Finanzdienstleister: DORA-Compliance, vertrauliche Kundendaten
- Healthcare / Pharma: Patientendaten, Forschungsdaten (DSGVO Art. 9)
- Industrie / Maschinenbau: Konstruktionsdaten, Know-how, KRITIS (NIS2)
Branchenanalyse: Wer ist besonders betroffen?
Finanzdienstleister: DORA macht Ernst
Die Digital Operational Resilience Act (DORA) gilt seit Januar 2025 für alle Finanzinstitute in der EU. Artikel 28 DORA verlangt explizit:
- Vollständiges IKT-Drittparteien-Register
- Risikoanalyse für jeden Cloud-Anbieter
- Nachweis von Exit-Strategien
Industrie & Maschinenbau: NIS2 und Know-how-Schutz
Für KRITIS-Betreiber und besonders wichtige Einrichtungen gilt seit Oktober 2024 die verschärfte NIS2-Richtlinie. Sie fordert:
- Risikomanagement für Lieferketten
- Meldepflicht für Sicherheitsvorfälle (inkl. unerlaubter Datenzugriffe)
- Technische Maßnahmen gegen Drittstaaten-Zugriff
Kritischer Punkt für M&A: Konstruktionsdaten, CAD-Modelle und Fertigungs-Know-how sind oft das wertvollste Asset. Wenn diese Daten bei Autodesk (US), Siemens PLM (teilweise US-Cloud) oder Dassault (französisch, aber AWS-gehostet) liegen, entsteht ein Souveränitäts-Risiko.
Healthcare & Pharma: Forschungsdaten unter Schutz
Besonders sensibel: Gesundheitsdaten (Art. 9 DSGVO) und klinische Forschungsdaten. Die EU-Kommission hat 2025 klargestellt: Verarbeitung von Gesundheitsdaten durch US-Cloud-Anbieter ohne zusätzliche Schutzmaßnahmen verstößt gegen die DSGVO.
Rechtliche Details: CLOUD Act, Schrems II, DORA, NIS2 erklärt
CLOUD Act: Was US-Behörden dürfen
Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) erlaubt US-Strafverfolgungsbehörden den Zugriff auf Daten, die von US-Unternehmen kontrolliert werden – unabhängig vom Speicherort.
Das betrifft:
- Alle großen Cloud-Provider (AWS, Azure, Google Cloud)
- SaaS-Anbieter (Salesforce, Dropbox, Slack, Zoom)
- Spezialsoftware mit US-Konzernmutter (inkl. viele VDR-Anbieter)
Kritisch für M&A: US-Behörden müssen weder die EU-Kommission noch die betroffenen Unternehmen informieren. Der Zugriff kann unter Geheimhaltungsauflagen erfolgen („Gag Order“).
Schrems II: Warum SCCs nicht reichen
Das Schrems-II-Urteil (EuGH C-311/18) hat folgende Konsequenzen:
- Standardvertragsklauseln (SCCs) allein legitimieren keine Drittlandstransfers mehr
- Unternehmen müssen ein Transfer Impact Assessment (TIA) durchführen
- Es müssen zusätzliche technische Maßnahmen nachgewiesen werden (z.B. Verschlüsselung, Pseudonymisierung)
Praxistipp: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet Leitfäden für TIAs an.
DORA: Operative Resilienz für Finanzsektor
Die Digital Operational Resilience Act (DORA) gilt seit 17. Januar 2025 für:
- Banken, Versicherungen, Wertpapierfirmen
- Zahlungsdienstleister, Krypto-Dienstleister
- Alle IKT-Drittdienstleister für diese Branchen
Relevante Artikel für M&A:
- Art. 28 DORA: Register aller IKT-Drittanbieter (inkl. Souveränitätsrisiken)
- Art. 30 DORA: Exit-Strategien für kritische Cloud-Dienste
- Art. 31 DORA: Kontrollrechte gegenüber Cloud-Anbietern
Bei M&A-Transaktionen wird geprüft: Ist das Zielunternehmen DORA-compliant? Falls nein: Wer trägt die Kosten und Haftungsrisiken?
NIS2: Kritische Infrastrukturen im Fokus
Die NIS2-Richtlinie (Network and Information Security Directive) erweitert den Kreis der regulierten Unternehmen drastisch:
- Besonders wichtige Einrichtungen: Energie, Verkehr, Gesundheit, Banken, digitale Dienste
- Wichtige Einrichtungen: Post, Abfall, Chemie, Lebensmittel, produzierendes Gewerbe ab 250 Mitarbeitern
Relevanz für M&A: Unternehmen müssen nachweisen, dass sie die Kontrolle über ihre Daten behalten – auch bei Cloud-Nutzung. Das BSI bietet NIS2-Checklisten für betroffene Unternehmen an.
Eine Studie des Digitalverbands Bitkom (2025) zeigt:
- 67% der Geschäftsführer sehen Datensouveränität als kaufentscheidendes Kriterium bei B2B-Dienstleistern
- 54% würden Anbieter wechseln, wenn Souveränität nicht gewährleistet ist
- 83% erwarten, dass deutsche Unternehmen souveräne Lösungen einsetzen
Konsequenz für M&A: Ein Zielunternehmen, das öffentlich mit „Made in Germany“ wirbt, aber US-Cloud-Dienste nutzt, riskiert Vertrauensverlust bei Kunden und Partnern.
Regulatorische Risiken: Konkrete Beispiele
- 2023: Die französische Datenschutzbehörde CNIL verhängte € 90 Mio. Strafe gegen Google wegen unzulässiger Cookie-Praktiken
- 2024: Ein deutsches Krankenhaus musste Microsoft 365 deaktivieren, nachdem die Aufsichtsbehörde den Einsatz als DSGVO-widrig einstufte
- 2025: Erste DORA-Prüfungen der BaFin deckten bei 18% der Finanzinstitute kritische Lücken im IKT-Risikomanagement auf
Konsequenzen: Vertragsstrafen, Reputationsrisiken, Bußgelder
1. Vertragsstrafen & Gewährleistungen
In modernen M&A-Verträgen finden sich zunehmend Souveränitäts-Garantien:
- „Der Verkäufer garantiert, dass alle verarbeiteten Daten DSGVO-konform gespeichert sind“
- „Drittlandstransfers erfolgen nur mit dokumentiertem TIA und SCCs plus Zusatzmaßnahmen“
- „Für DORA-/NIS2-Verstöße haftet der Verkäufer bis zu € X“
2. Reputationsrisiken: Besonders kritisch: Vertrauensverlust bei B2B-Kunden.
3. Bußgelder & Sanktionen
Mögliche Strafen bei Verstößen:
- DSGVO (Art. 83): bis zu € 20 Mio. oder 4% des weltweiten Jahresumsatzes
- DORA (Art. 50): bis zu € 10 Mio. oder 2% des Jahresumsatzes für juristische Personen
- NIS2 (Art. 34): bis zu € 10 Mio. oder 2% des weltweiten Jahresumsatzes
Haftungskaskade bei M&A: Wird ein Verstoß nach Closing entdeckt, haftet zunächst der Käufer (als neue Geschäftsführung). Dieser kann dann auf Basis der Gewährleistungen gegen den Verkäufer regressieren – sofern vertraglich vereinbart.
Souveränität als Deal-Enabler
Die gute Nachricht: Souveränität kann auch ein Wettbewerbsvorteil sein. Unternehmen, die frühzeitig auf souveräne Lösungen setzen, profitieren bei M&A-Transaktionen:
Höhere Bewertung
Käufer zahlen Premiums von 5-12% für Unternehmen, die nachweislich DSGVO-, DORA- und NIS2-konform aufgestellt sind.
Schnellere Closing-Prozesse
Due-Diligence-Phasen verkürzen sich um durchschnittlich 3-5 Wochen, wenn alle Compliance-Nachweise vorliegen.
Breitere Käuferkreise
Insbesondere europäische Strategische Investoren und Family Offices bevorzugen Zielunternehmen mit souveränen IT-Strukturen.
Wettbewerbsvorteil im Markt
Unternehmen können sich als „Trusted European Partner“ positionieren – ein wachsendes Differenzierungsmerkmal gegenüber US-dominierten Wettbewerbern.
Vergleich: Souveräner vs. US-Datenraum
Die Wahl des virtuellen Datenraums entscheidet oft über Erfolg oder Scheitern einer Transaktion. Hier der direkte Vergleich:
| Kriterium | US-Datenraum | Souveräner Datenraum (z.B. docurex) |
|---|---|---|
| Rechtlicher Zugriff | CLOUD Act: US-Behörden können Zugriff erzwingen | Nur Deutscher Recht: Kein Drittstaaten-Zugriff |
| Serverstandort | Oft EU, aber Konzernmutter in USA | Deutschland: Hergestellt und gehostet in Deutschland |
| DSGVO-Konformität | SCCs erforderlich + TIA + Zusatzmaßnahmen | Nativ DSGVO-konform (kein Drittlandstransfer) |
| DORA-Konformität | Zusatzprüfungen erforderlich (Art. 28 DORA) | DORA-konform (Anbieter aus Deutschland) |
| NIS2-Konformität | Risiko in Lieferkette (Drittstaaten-Anbieter) | NIS2-konform |
| Verschlüsselung | Standardmäßig, Anbieter hält Schlüssel | Ende-zu-Ende, Kunde hält Schlüssel |
| Setup-Zeit | 2-5 Werktage | Sofort bis 24h |
| Migration (zu anderem Anbieter) | Oft proprietäre Formate, komplex | Standardformate, einfacher Export |
| Käufer-Akzeptanz (EU) | Zunehmend kritisch (v.a. bei DORA/NIS2) | Hoch („Trusted European Solution“) |
| Risiko bei M&A-Prüfung | Deal-Verzögerung oder Kaufpreisminderung möglich | Kein Souveränitäts-Risiko |
Fazit der Vergleichsanalyse
Für M&A-Deals gilt: Der Einsatz eines US-Datenraums erhöht das Transaktionsrisiko messbar. Die Kosten für einen souveränen Datenraum sind moderat – die Risiken eines US-Anbieters können dagegen Millionen Euro kosten (Kaufpreisminderung, Deal-Abbruch, Bußgelder).
Praxisleitfaden: Migration in 48 Stunden
Viele M&A-Berater zögern, während laufender Transaktionen den Datenraum zu wechseln. Unsere Erfahrung: Eine Migration ist in 48 Stunden realisierbar – ohne Datenverlust, ohne Verzögerung.
Schritt-für-Schritt-Anleitung
Tag 0: Vorbereitung (2-4 Stunden)
- Entscheidung treffen: Souveräner Datenraum notwendig? (Checkliste: DORA, NIS2, Käufer-Anforderung)
- Anbieter auswählen: z.B. docurex (deutscher Anbieter, ISO 27001, DSGVO-nativ)
- Account einrichten: Online-Registrierung (15 Minuten)
- Projektstruktur klonen: Ordnerstruktur aus altem VDR exportieren (CSV oder Screenshot)
Tag 1: Datenexport & -upload (8-16 Stunden)
- Backup erstellen: Kompletten Datenbestand aus altem VDR exportieren (ZIP oder Bulk-Download)
- Strukturierung: Ordnerstruktur im neuen VDR anlegen (docurex bietet Importfunktion)
- Upload: Dokumente hochladen (bei docurex: Drag & Drop oder API-basiert)
- Metadaten prüfen: Versionierung, Upload-Datum, Berechtigungen kontrollieren
Tag 2: Zugriffe & Go-Live (4-8 Stunden)
- Benutzer anlegen: Alle Käufer, Berater, Rechtsanwälte mit gleichen Berechtigungen wie im alten VDR
- Q&A-Modul: Offene Fragen aus altem VDR übertragen (Copy & Paste oder Import)
- Kommunikation: E-Mail an alle Stakeholder: „Neuer Datenraum ab sofort aktiv – Login-Daten anbei“
- Parallelbetrieb (optional): Alten VDR für 1-2 Wochen read-only lassen (Sicherheit)
Checkliste: Was muss migriert werden?
- ✅ Alle Dokumente (PDFs, Excel, Word, CAD, etc.)
- ✅ Ordnerstruktur (inkl. Unterordner-Hierarchie)
- ✅ Berechtigungen (wer darf was sehen?)
- ✅ Q&A-Fragen und Antworten
- ✅ Audit-Logs (soweit exportierbar – für Compliance-Nachweis)
- ✅ Wasserzeichen-Einstellungen
- ✅ Download-Sperren (falls aktiviert)
Typische Stolpersteine & Lösungen
| Stolperstein | Lösung |
|---|---|
| Alter VDR erlaubt keinen Bulk-Export | Support kontaktieren oder manueller Download (Skript-basiert möglich) |
| Sehr große Dateien (>5 GB) | docurex unterstützt große Dateien |
| Komplexe Berechtigungsstrukturen | Excel-basierte Zuordnung: User → Ordner → Rechte |
| Käufer akzeptieren neuen Anbieter nicht | Compliance-Nachweis bereitstellen (ISO 27001, DSGVO-Zertifikat, BSI-Empfehlung) |
| Zeit-Druck (Closing in 3 Tagen) | Express-Migration durch Anbieter-Support |
Häufige Einwände und Gegenargumente
Einwand 1: „Unser Käufer nutzt selbst US-Cloud-Dienste – warum sollten wir wechseln?“
Gegenargument: Die Haftung liegt beim Verkäufer für den Zeitraum vor Closing. Wenn im DD-Prozess Compliance-Lücken aufgedeckt werden, mindert das den Kaufpreis oder führt zu Gewährleistungsansprüchen. Selbst wenn der Käufer später US-Dienste nutzt – für die Transaktion selbst müssen Sie compliant sein.
Einwand 2: „Migration ist zu aufwendig – wir haben nur noch 4 Wochen bis Closing“
Gegenargument: Eine professionelle Migration dauert 48 Stunden. Die Alternative: Deal-Verzögerung (durchschnittlich 6-8 Wochen bei Compliance-Nachforderungen) oder Kaufpreisminderung (3-8%). 2 Tage investieren vs. Wochen Verzögerung + Millionen Verlust – die Rechnung ist eindeutig.
Einwand 3: „Souveräne Datenräume sind technisch schlechter als US-Anbieter“
Gegenargument: Moderne Datenräume (z.B. docurex) bieten dieselben Features:
- Drag & Drop Upload, Volltext-Suche, Q&A-Modul
- Granulare Berechtigungen, Audit-Logs, Wasserzeichen
- Mobile Apps (iOS, Android)
- API-Integration für Automatisierungen
Der Unterschied liegt nicht in der Technik, sondern in der rechtlichen Struktur: EU-Anbieter unterliegen nicht dem CLOUD Act.
Einwand 4: „DORA und NIS2 betreffen uns nicht“
Gegenargument: Selbst wenn Sie heute nicht betroffen sind – Ihr Käufer könnte es sein. Beispiel: Ein Maschinenbauer verkauft an einen Energiekonzern (NIS2-pflichtig). Der Käufer muss nachweisen, dass seine Lieferkette (inkl. Zielunternehmen) souverän ist. Wenn nicht: Deal scheitert oder Kaufpreis sinkt.
Einwand 5: „Wir haben Standardvertragsklauseln (SCCs) – das reicht doch“
Gegenargument: Seit Schrems II (2020) reichen SCCs nicht mehr aus. Sie müssen zusätzlich nachweisen:
- Transfer Impact Assessment (TIA) durchgeführt
- Technische Maßnahmen implementiert (z.B. Verschlüsselung)
- Regelmäßige Überprüfung der Schutzmaßnahmen
Die meisten Unternehmen können das nicht lückenlos dokumentieren. Souveräne Datenräume umgehen das Problem komplett – kein Drittlandstransfer, kein TIA nötig.
Einwand 6: „Unser Rechtsanwalt sagt, das ist alles übertrieben“
Gegenargument: Fragen Sie Ihren Anwalt:
- Haftet er persönlich, wenn die BaFin oder ein Landesdatenschutzbeauftragter ein Bußgeld verhängt?
- Kennt er die aktuellen DORA- und NIS2-Anforderungen (gültig seit 2025)?
- Hat er Erfahrung mit Post-Closing-Streitigkeiten bei Compliance-Lücken?
Empfehlung: Holen Sie eine Second Opinion von einem auf IT-Recht spezialisierten Anwalt ein (z.B. Mitglied der Gesellschaft für Datenschutz und Datensicherheit).
Zukunftsausblick: Wie entwickelt sich die regulatorische Landschaft?
2026-2027: Verschärfung der Durchsetzung
Die EU-Kommission hat angekündigt, die Durchsetzung von DORA und NIS2 ab 2026 zu intensivieren. Erwartete Entwicklungen:
- Mehr Prüfungen: BaFin, BSI und Landesdatenschutzbeauftragte erhöhen Audit-Frequenz
- Höhere Bußgelder: Erste DORA-Strafen werden 2026 erwartet (Abschreckungswirkung)
- Branchenstandards: Verbände (z.B. BVK, VGF) entwickeln Best-Practice-Leitfäden für M&A-Compliance
2027-2028: EU Data Act und Digital Markets Act greifen
Der EU Data Act (gilt ab September 2025) regelt Datenzugang und -portabilität. Konsequenzen für M&A:
- Käufer können verlangen, dass alle Daten in maschinenlesbaren Formaten exportierbar sind
- Cloud-Anbieter dürfen keine Vendor-Lock-In-Mechanismen einsetzen
- Unternehmen müssen nachweisen, dass sie jederzeit den Anbieter wechseln können
Der Digital Markets Act (DMA) zielt auf „Gatekeeper“ (Google, Amazon, Meta, Microsoft, Apple). M&A-Relevanz:
- Unternehmen, die stark von Gatekeeper-Diensten abhängig sind, gelten als Risiko-Asset
- Käufer fordern zunehmend Diversifizierung der IT-Lieferketten
2028-2030: Souveränität als Standard
Prognose: Bis 2030 wird Datensouveränität zum Standard-Kriterium in M&A-Transaktionen – vergleichbar mit Umwelt-Compliance oder Arbeitsschutz. Trends:
- ESG-Integration: Datensouveränität wird Teil von ESG-Ratings (Environmental, Social, Governance)
- Branchenspezifische Regulierung: Weitere Sektoren (z.B. Automobil, Chemie) werden KRITIS-ähnlichen Regeln unterworfen
- Internationale Fragmentierung: USA, China, EU entwickeln getrennte digitale Ökosysteme – Unternehmen müssen „multi-souverän“ aufgestellt sein
Empfehlung für M&A-Akteure
Verkäufer: Stellen Sie jetzt auf souveräne Infrastruktur um – nicht erst bei Verkaufsabsicht. Das erhöht Ihre Bewertung und beschleunigt Transaktionen.
Käufer: Integrieren Sie Souveränitäts-Checks in Ihre Standard-DD-Checklisten. Fordern Sie TIAs, DORA-/NIS2-Nachweise und Exit-Strategien.
M&A-Berater: Bilden Sie sich weiter in DSGVO, DORA, NIS2. Empfehlen Sie souveräne Datenräume proaktiv – das schützt Ihre Mandanten und minimiert Ihr eigenes Haftungsrisiko.
Checkliste für M&A-Berater
Nutzen Sie diese Checkliste bei jeder Transaktion:
Phase 1: Vorbereitung (vor DD-Start)
- ☐ Ist das Zielunternehmen KRITIS oder NIS2-pflichtig?
- ☐ Unterliegt der Käufer DORA (Finanzsektor)?
- ☐ Welche Cloud-Anbieter nutzt das Zielunternehmen? (Liste erstellen)
- ☐ Liegt der Datenraum bei einem US- oder EU-Anbieter?
- ☐ Gibt es bereits ein Transfer Impact Assessment (TIA)?
Phase 2: Due Diligence
- ☐ Alle Cloud-Verträge prüfen (insb. Datenschutzklauseln, SCCs)
- ☐ Serverstandorte dokumentieren (physisch und rechtlich)
- ☐ Verschlüsselungs-Setup prüfen (wer hält die Schlüssel?)
- ☐ Audit-Logs der letzten 12 Monate anfordern (Zugriffe durch Dritte?)
- ☐ DSGVO-Dokumentation prüfen (Verzeichnis von Verarbeitungstätigkeiten, Art. 30)
- ☐ DORA-/NIS2-Compliance nachweisen lassen (falls anwendbar)
Phase 3: Bewertung & Verhandlung
- ☐ Souveränitäts-Risiko quantifizieren (Kosten für Migration, Bußgeld-Risiko)
- ☐ Kaufpreisanpassung kalkulieren (3-8% bei hohem Risiko)
- ☐ Gewährleistungsklauseln formulieren (Haftung für DSGVO-/DORA-Verstöße)
- ☐ Nachbesserungspflichten definieren (z.B. Migration innerhalb 6 Monate)
Phase 4: Closing & Post-Closing
- ☐ Migration zu souveränem Datenraum (falls noch nicht erfolgt)
- ☐ Compliance-Nachweis an Aufsichtsbehörden (BaFin, BSI) übermitteln
- ☐ IT-Systeme des Zielunternehmens auf EU-Souveränität umstellen (12-18 Monate)
- ☐ Monitoring: Regelmäßige Überprüfung der Cloud-Anbieter (jährlich)
docurex: Die souveräne Datenraum-Lösung
docurex ist ein deutscher Anbieter von virtuellen Datenräumen – entwickelt für M&A-Transaktionen, die höchste Compliance-Anforderungen erfüllen müssen.
Warum docurex?
| Feature | Vorteil für M&A |
|---|---|
| 100% EU-souverän | Server in Deutschland, deutsche GmbH, kein CLOUD Act |
| DSGVO-nativ | Kein Drittlandstransfer, keine SCCs nötig, kein TIA erforderlich |
| DORA-konform | Erfüllt Art. 28-31 DORA (IKT-Risikomanagement) |
| NIS2-konform | EU-Lieferkette, keine Drittstaaten-Abhängigkeit |
| ISO 27001 zertifiziert | Unabhängig geprüfte Informationssicherheit |
| Ende-zu-Ende-Verschlüsselung | Ja |
| Granulare Berechtigungen | Ordner-, Datei- und Nutzer-spezifische Zugriffsrechte |
| Q&A-Modul | Strukturierte Kommunikation zwischen Käufer und Verkäufer |
| Audit-Logs | Lückenlose Dokumentation aller Zugriffe (DSGVO Art. 30) |
| API-Integration | Automatisierung von Uploads, Berechtigungen, Reports |
| Wasserzeichen | Schutz vor unbefugter Weitergabe (User-spezifisch) |
| Deutscher Support | Telefon, E-Mail – persönlicher Berater |
