Künstliche Intelligenz und Datenschutz/-sicherheit bei der Due Diligence

PrintMailRate-it

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​veröffentlicht am 4. Juni​​​ 2025 | Lesedauer ca. 4 Minuten


Künstliche Intelligenz (KI) verändert die Durchfü​hrung von Due-Diligence-Prüfungen. Automatisierte Analysen großer Datenmengen ermöglichen schnellere Risikobewertungen, bessere Entscheidungsgrundlagen für Käufer und eine Standardisierung komplexer Prüfprozesse. Dies steht im Spannungsverhältnis insbesondere zur Datenschutz-Grundverordnung (DSGVO) sowie zur Verordnung über Künstliche Intelligenz („AI Act“). Hinzu kommen Fragen der Datensicherheit, Vertraulichkeit und regulatorischer Haftung.



KI-gestützte Due Diligence – Technologischer Hintergrund ​

KI-Anwendungen im Due-Diligence-Kontext umfassen insbesondere die folgenden technologischen Verfahren, Modelle und Anwendungen: 

  • Natural Language Processing (NLP) zur Analyse großer Mengen an Verträgen: KI-gestützte Textanalyseverfahren wie NLP ermöglichen es, umfangreiche Vertragswerke systematisch zu durchsuchen, Klauseln zu kategorisieren und potenzielle Risiken (z. B. Change-of-Control-Klauseln oder unübliche Haftungsregelungen) automatisiert zu identifizieren.
  •  Named Entity Recognition (NER) zur Extraktion personenbezogener Daten: Durch den Einsatz von NER-Technologie können Namen, Adressen, Telefonnummern und andere identifizierende Informationen in großen Textdatenmengen automatisiert erkannt und strukturiert verarbeitet werden – ein zentraler Anwendungsfall für die Vorbereitung datenschutzrechtlicher Prüfungen.
  •  Machine Learning (ML) zur Prognose von Compliance- oder Reputationsrisiken: ML-Modelle werden eingesetzt, um Muster in internen Daten zu erkennen, die auf potenzielle Risiken hinweisen, etwa Auffälligkeiten im Compliance-Reporting, ungewöhnliche Zahlungsströme oder Trends in der Mitarbeiterfluktuation.
  •  Anomalieerkennung zur Identifikation untypischer Transaktionen im Finanz- oder Buchhaltungsbereich: Mithilfe statistischer Verfahren können KI-Systeme Unregelmäßigkeiten oder Anomalien in den Finanzdaten des Zielunternehmens aufdecken, die möglicherweise auf Bilanzrisiken, Betrug oder Steuervermeidung hindeuten.
  •  Automatisierte Datenklassifikation zur DSGVO-Risikoerkennung: KI-gestützte Tools werden eingesetzt, um unstrukturierte Daten automatisch auf potenziell schützenswerte Inhalte zu prüfen und sensible personenbezogene Daten zu identifizieren, um datenschutzrechtliche Risiken frühzeitig zu erkennen.

 

Datenschutzrechtliche Einordnung

Anwendbarkeit der DSGVO​

Auch im Vorfeld einer Unternehmenstransaktion, also vor Vertragsschluss, greift die DSGVO vollumfänglich, wenn personenbezogene Daten verarbeitet werden. Relevante Daten können u.a. sein: 

  • Mitarbeiterdaten (Gehälter, Krankheitszeiten, Kündigungen, Compliance-Verstöße)
  • Kundendaten (Kundendatenbanken, CRM-Informationen, Nutzungsverhalten)
  • Lieferantendaten (Vertragsbeziehungen, Ansprechpartner)
  • Daten aus internen Untersuchungen, etwa Whistleblowing-Protokolle


Rechtsgrundlagen im Due-Diligence-Kontext

  • Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse des Käufers: Der Erwerber eines Unternehmens kann sich auf ein berechtigtes Interesse berufen, um personenbezogene Daten im Rahmen der Due Diligence zu verarbeiten. Allerdings muss eine sorgfältige Abwägung zwischen dem Interesse des Erwerbers und den Grundrechten der betroffenen Personen erfolgen und dokumentiert werden
  •  Art. 6 Abs. 1 lit. b DSGVO – Verarbeitung zur Vertragsanbahnung: Diese Vorschrift kann ausnahmsweise als Rechtsgrundlage herangezogen werden, wenn die betroffenen Datenverarbeitungen unmittelbar im Zusammenhang mit einem geplanten Vertragsverhältnis stehen – z. B. bei der Prüfung von Lieferantenverträgen oder Kundenbeziehungen. Eine Anwendung auf Beschäftigtendaten ist jedoch regelmäßig ausgeschlossen.
  •  Art. 6 Abs. 1 lit. c DSGVO – Erfüllung rechtlicher Verpflichtungen: Soweit Datenverarbeitungen im Rahmen gesetzlicher Prüfpflichten erfolgen – etwa zur Erfüllung geldwäscherechtlicher Vorschriften oder steuerlicher Sorgfaltspflichten – kann sich der Käufer auf diese Rechtsgrundlage stützen.
  •  Art. 9 und 10 DSGVO – Verarbeitung besonderer Kategorien personenbezogener Daten bzw. Daten zu Straftaten: Sobald Informationen über Gesundheit, Gewerkschaftszugehörigkeit oder strafrechtlich relevante Sachverhalte in die Analyse einbezogen werden, müssen die besonderen Voraussetzungen dieser Artikel beachtet werden, etwa die ausdrückliche Einwilligung oder ein zwingendes öffentliches Interesse.

 

Verantwortlichkeit​

Das Zielunternehmen bleibt grundsätzlich für die ursprüngliche Datenverarbeitung Verantwortlicher, insbesondere bei der Bereitstellung von Daten. Der Erwerber ist für die eigene Verarbeitung im Rahmen der Prüfung verantwortlich. Bei Einschaltung Dritter – insbesondere KI-Anbieter – muss sorgfältig geprüft werden, ob es sich um Auftragsverarbeitung oder eine Verarbeitung in eigener Verantwortung handelt.

 

Risiken durch automatisierte Verarbeitung

Black-Box-Risiken und automatisierte Entscheidungen nach Art. 22 DSGVO​

Wenn KI-Systeme automatisierte Bewertungen oder sogar Entscheidungen treffen (etwa Risikobewertungen von Abteilungen, Kündigungswahrscheinlichkeiten von Mitarbeitenden), kann dies unter Art. 22 DSGVO fallen. Solche Prozesse sind grundsätzlich nur erlaubt, wenn: (i) sie notwendig zur Vertragserfüllung sind, (ii) gesetzlich erlaubt sind oder (iii) eine ausdrückliche Einwilligung vorliegt. Zudem müssen Transparenzpflichten erfüllt werden – oft ein Problem bei nicht nachvollziehbaren („Black-Box“) Algorithmen.

 

Datenschutz-Folgenabschätzung (DSFA)​

Wenn der Einsatz von KI-Systemen mit einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen verbunden ist, ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO zwingend durchzuführen.

 

Kriterien für eine DSFA, die im KI-Due-Diligence-Kontext oft erfüllt sind: 

  • Systematische Überwachung (z. B. Analyse von Mitarbeiterkommunikation)
  • ​Große Datenmengen
  • Innovative Technologien
  • Profilbildung

 

Die DSFA dient dabei nicht nur der Risikoanalyse, sondern auch der Dokumentation datenschutzrechtlicher Verantwortlichkeit. Eine unterlassene DSFA kann Bußgelder zur Folge haben.

 

Datensicherheit und Schutzmaßnahmen ​

Gemäß Art. 32 DSGVO sind angemessene technische und organisatorische Maßnahmen (TOMs) zur Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu ergreifen. Im KI-basierten Due-Diligence-Kontext gehören dazu insbesondere:

  • Zero Knowledge oder Ende-zu-Ende-Verschlüsselung: Daten, die in Cloud-Systemen verarbeitet werden, sollten nach dem Stand der Technik verschlüsselt sein – idealerweise so, dass auch der Dienstleister keinen Zugriff auf Klartextdaten hat.
  • Pseudonymisierung oder Anonymisierung sensibler Daten: Personenbezüge sollten – sofern möglich – entfernt oder verschleiert werden, bevor Daten der automatisierten Analyse durch externe Systeme zugeführt werden.
  • Rollenbasiertes Zugriffsmanagement: Nur befugte Personen sollten Zugriff auf bestimmte Daten erhalten – insbesondere bei besonders sensiblen Informationen (z. B. HR- oder Compliance-Daten).
  • Lückenlose Protokollierung und Auditfähigkeit: Der Zugriff auf Daten, insbesondere innerhalb virtueller Datenräume oder KI-Analysetools, sollte vollständig nachvollziehbar protokolliert und regelmäßig auditiert werden.
  • Data Leakage Prevention (DLP): Technologische Maßnahmen zur Verhinderung unerlaubter Datenabflüsse – z. B. durch Kopierschutz, Wasserzeichen oder automatische Sperrung bei Regelverstößen – sind insbesondere bei der Arbeit mit Drittsystemen empfehlenswert.

 

Schnittstelle zum AI Act: Regulierung von KI ​

Der AI Act bringt eine risikobasierte Kategorisierung von KI-Systemen mit sich. Im Rahmen der Due Diligence können insbesondere folgende Aspekte relevant sein: 

  • Einstufung als Hochrisiko-KI-Systeme: KI-Systeme, die zur Bewertung von Beschäftigten oder zur Beurteilung der wirtschaftlichen Leistungsfähigkeit verwendet werden, können nach dem AI Act als Hochrisiko-Anwendungen eingestuft werden. In diesem Fall gelten besondere Anforderungen an Qualitätssicherung, Transparenz, menschliche Kontrolle und technische Robustheit.
  • Transparenzanforderungen: Der Einsatz von KI-Systemen muss für betroffene Personen erkennbar und nachvollziehbar sein. Dies betrifft nicht nur die Offenlegung der Systemnutzung, sondern auch die Möglichkeit zur Nachvollziehbarkeit der Ergebnisse („Explainability“).
  • Datenqualität und Trainingsdaten: Es müssen Anforderungen an die Qualität, Repräsentativität und Relevanz der Daten erfüllt werden, auf denen ein KI-Modell trainiert wurde – was bei der Übernahme fremder KI-Systeme (etwa durch den Käufer) relevant wird.
  • Verpflichtung zur menschlichen Aufsicht: Der AI Act verpflichtet insbesondere beim Einsatz in risikobehafteten Kontexten zur Sicherstellung, dass Entscheidungen durch Menschen nachvollzogen, korrigiert oder verhindert werden können.

 

Fazit​

Die Integration von KI in den Due-Diligence-Prozess ist zweifellos ein Fortschritt, birgt jedoch juristische Herausforderungen. Neben der Einhaltung der DSGVO rücken mit dem AI Act neue regulatorische Anforderungen in den Fokus. Unternehmen, Berater und Investoren sind gut beraten, technische und rechtliche Expertise frühzeitig zusammenzuführen, um nicht nur rechtssicher, sondern auch ethisch verantwortungsvoll zu handeln.

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu