Skip to content
KundenreferenzPreiseSicherheitVergleichBlog

Europe

Americas

Oceania

Compliance8 min Lesezeit

Due Diligence: vollständige Checkliste für Unternehmen

Praxisleitfaden zur Due Diligence für Unternehmen: Definition, gesetzliche Pflichten in Deutschland, Checkliste nach Bereichen (rechtlich, finanziell, GwG, ESG) und Automatisierung.

Dr. Katrin Hoffmann, Expertin für regulatorische Compliance
Dr. Katrin Hoffmann, Expertin für regulatorische Compliance·
Illustration for Due Diligence: vollständige Checkliste für Unternehmen — Compliance

Diesen Artikel zusammenfassen mit

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Due Diligence — wörtlich übersetzt als „angemessene Sorgfalt" — bezeichnet den strukturierten Prozess der Prüfung und Verifikation, den ein Unternehmen vor dem Eingehen einer Geschäftsbeziehung, einer Übernahme oder einer strategischen Partnerschaft durchführt. In Deutschland ergeben sich diese Pflichten aus mehreren Rechtsgrundlagen: dem Geldwäschegesetz (GwG), dem Handelsgesetzbuch (HGB), den BaFin-Auslegungs- und Anwendungshinweisen sowie der Richtlinie (EU) 2015/849 (Fünfte Geldwäscherichtlinie).

Dieser Artikel richtet sich an Compliance-Beauftragte, Finanzvorstände und Unternehmensjuristen. Er dient ausschließlich der Information und stellt keine rechtliche, steuerliche oder regulatorische Beratung dar.

Was ist Due Diligence und warum ist sie in Deutschland Pflicht?

Due Diligence ist eine vorgelagerte strukturierte Prüfung, die die tatsächliche Situation eines Dritten vor einer bindenden Entscheidung verifiziert. Sie umfasst mindestens vier Bereiche: rechtlich, finanziell, steuerlich und operativ.

In Deutschland besteht eine gesetzliche Due-Diligence-Pflicht in mehreren konkreten Kontexten:

  • Geldwäschegesetz (GwG): Verpflichtete Unternehmen (Kreditinstitute, Versicherungen, Wirtschaftsprüfer, Steuerberater, Notare, Immobilienmakler etc.) müssen Sorgfaltspflichten gegenüber Vertragspartnern nach §§ 10–17 GwG erfüllen. Die BaFin und andere Aufsichtsbehörden überwachen die Einhaltung.
  • Lieferkettensorgfaltspflichtengesetz (LkSG): Seit Januar 2023 müssen Unternehmen ab 3.000 Mitarbeitern (ab 2024: ab 1.000 Mitarbeiter) menschenrechtliche und umweltbezogene Sorgfaltspflichten in ihrer Lieferkette einhalten, gestützt auf das LkSG vom 16. Juli 2021.
  • Corporate Sustainability Due Diligence Directive (CSDDD, 2024/1760/EU): Die im Mai 2024 verabschiedete EU-Richtlinie verpflichtet Unternehmen mit mehr als 1.000 Mitarbeitern und 450 Mio. Euro Umsatz zur Due Diligence in Bezug auf Menschenrechte und Umwelt entlang der gesamten Wertschöpfungskette.

Ab Januar 2026 verschärft die Sechste Geldwäscherichtlinie (AMLD6 / Richtlinie 2024/1640/EU) die Identifizierungspflichten für alle verpflichteten Unternehmen in der EU (Richtlinie (EU) 2024/1640, Art. 20).

Die 5 Arten der Due Diligence

Due Diligence ist kein einheitlicher Prozess. Der Umfang richtet sich nach dem jeweiligen Kontext: M&A-Transaktion, Neukundenaufnahme in regulierten Branchen, Lieferantenqualifizierung oder Investitionsbewertung.

Art Primärer Fokus Schlüsseldokumente
Rechtlich Unternehmensstruktur, Rechtsstreitigkeiten, IP, Verträge Handelsregisterauszug, Gesellschaftsvertrag, Transparenzregister
Finanziell Bonität, Rentabilität, Cashflows Jahresabschlüsse 3 Jahre, Wirtschaftsprüferberichte
Steuerlich Finanzamtkonformität, verdeckte Passiva Steuererklärungen 5 Jahre, Betriebsprüfungsberichte
Regulatorisch/GwG Sanktionen, PEP-Status, wirtschaftlich Berechtigte KYC-Dokumente, Vermögensherkunft, Screening-Ergebnis
ESG Menschenrechte, Umwelt, Antikorruption Nachhaltigkeitsbericht, ISO-Zertifikate, LkSG-Erklärung

Die vollständige Due-Diligence-Checkliste

Rechtliche und gesellschaftsrechtliche Due Diligence

Die rechtliche Due Diligence bestätigt die Rechtsfähigkeit und Governance der Zielgesellschaft. Sie ist unverzichtbar vor jeder Anteilsübernahme oder dem Abschluss eines Rahmenvertrags.

Zu beschaffende Unterlagen:

  • Handelsregisterauszug (nicht älter als 4 Wochen) beim Handelsregister online
  • Aktueller Gesellschaftsvertrag oder Satzung sowie Gesellschafterbeschlüsse
  • Protokolle der letzten drei Gesellschafterversammlungen und Gesellschaftervereinbarungen
  • Transparenzregister: Prüfung der Eintragung wirtschaftlich Berechtigter (Personen mit mehr als 25 % wirtschaftlichem Eigentum oder Kontroll) gemäß § 3 GwG
  • Übersicht über laufende und drohende Rechtsstreitigkeiten sowie bestehende Sicherheiten
  • Marken, Patente, Lizenzverträge und Domainrechte

Das Transparenzregister ist seit 2020 als Vollregister für alle deutschen Gesellschaften verpflichtend. Nicht-Eintragung oder fehlerhafte Eintragung kann Bußgelder bis zu 150.000 Euro nach sich ziehen (§ 56 Abs. 1 GwG).

Compliance-Praktiker in deutschen Fachforen weisen regelmäßig auf das am häufigsten übersehene Risiko hin: Change-of-Control-Klauseln in Kundenverträgen, die bei einer Übernahme automatisch ausgelöst werden und zu einer Kündigung oder Neuverhandlung wichtiger Vertragsverhältnisse führen können.

Finanzielle und steuerliche Due Diligence

Die finanzielle Due Diligence validiert die vorgeschlagene Bewertung und deckt verdeckte Verbindlichkeiten auf. Die Mindestprüfungsperiode beträgt drei Geschäftsjahre.

Prioritäre Prüfpunkte:

  • Bereinigtes EBITDA und Analyse des freien Cashflows (FCF)
  • Steuerliche Compliance beim Bundeszentralamt für Steuern (BZSt) und den Länderfinanzbehörden: Körperschaftsteuer, Gewerbesteuer, Umsatzsteuer und lohnsteuerliche Pflichten
  • Laufende oder abgeschlossene Betriebsprüfungen sowie Einspruchs- und Klageverfahren
  • Verbindlichkeiten und Sicherheiten laut Grundbuch und Handelsregister
  • Pensionsverpflichtungen nach HGB § 249 oder IAS 19

Beim Bundesanzeiger veröffentlichte Jahresabschlüsse erscheinen bis zu 12 Monate nach Geschäftsjahresende — fordern Sie stets aktuelle Managementberichte direkt beim Verkäufer an.

GwG-Due-Diligence für verpflichtete Unternehmen

Für GwG-Verpflichtete ist das Kundensorgfaltspflichtprogramm eine gesetzliche Anforderung. Die BaFin-Auslegungs- und Anwendungshinweise 2024 konkretisieren die Erwartungen je Branche.

Drei Stufen der Sorgfaltspflichten:

  1. Vereinfachte Sorgfaltspflichten: für Kunden mit geringem Risiko (§ 14 GwG). Aufbewahrungsfrist der Unterlagen: mindestens 5 Jahre nach Beendigung der Geschäftsbeziehung.
  2. Allgemeine Sorgfaltspflichten: Standardanforderung für die meisten Geschäftsbeziehungen. Formelle Identifizierung des wirtschaftlich Berechtigten und Verständnis des Zwecks der Beziehung (§ 10 GwG).
  3. Verstärkte Sorgfaltspflichten (Enhanced Due Diligence): verpflichtend bei Politisch exponierten Personen (PEP), Kunden aus Hochrisiko-Drittstaaten und ungewöhnlichen Transaktionen (§ 15 GwG).

Die BaFin stellte in ihrem Jahresbericht 2024 fest, dass rund 40 % der geprüften Institute bei der Aktualisierung ihrer Kundenrisikoklassifizierungen Schwachstellen aufweisen (BaFin Jahresbericht 2024).

Automatisierte Dokumentenprüfung reduziert die KYC-Verarbeitungszeit im Vergleich zur manuellen Bearbeitung um 60 bis 80 %. CheckFile automatisiert die Echtheitsprüfung von Ausweisdokumenten, Handelsregisterauszügen und Adressnachweisen gemäß den BaFin-Anforderungen.

Weitere Informationen zu AML-Pflichten finden Sie in unserem Leitfaden zur Geldwäscheprävention.

ESG- und Nachhaltigkeits-Due-Diligence

Die CSDDD ergänzt das LkSG und verpflichtet zur umfassenden Prüfung der gesamten Wertschöpfungskette.

Checkliste:

  • Analyse von Menschenrechtsrisiken in der Lieferkette (Zwangsarbeit, Kinderarbeit) — dokumentierter LkSG-Risikobericht
  • Bewertung des CO₂-Fußabdrucks (Scope 1, 2 und 3 gemäß GHG Protocol und dem Deutschen Nachhaltigkeitskodex (DNK))
  • Antikorruptionsprogramm dokumentiert gemäß ISO 37001 und den OECD-Leitsätzen für multinationale Unternehmen
  • DSGVO-Konformität: Verzeichnis der Verarbeitungstätigkeiten, Auftragsverarbeitungsverträge und Datenschutz-Folgeabschätzungen (DSFA)
  • Überprüfung branchenspezifischer Zertifizierungen (ISO 14001, SA8000 etc.)

Due Diligence nach Transaktionstyp

Kontext Due-Diligence-Niveau Empfohlener Zeitrahmen Beteiligte Spezialisten
Neukunde (GwG-Verpflichteter) Allgemein bis verstärkt 2-5 Werktage Compliance, Vertrieb
KMU-Übernahme Umfassend 4-8 Wochen Rechtsanwälte, Steuerberater, WP
Strategischer Lieferant Standard 1-2 Wochen Einkauf, Recht, Compliance
Minderheitsbeteiligung Umfassend 3-6 Wochen M&A-Berater, Finanzen
Standard-Lieferantenregistrierung Vereinfacht 24-48 Stunden Einkauf, Compliance

Typische Fehlerquellen in der Due-Diligence-Praxis

Compliance-Experten in deutschen Fachforen benennen regelmäßig dieselben Schwachstellen, die Due-Diligence-Prozesse scheitern lassen. Diese Erkenntnisse aus der Praxis sind wertvoller als jede Checkliste allein.

Fehler 1: Verlass auf veraltete Handelsregisterauszüge. Handelsregisterauszüge können bis zu 12 Monate alt sein, bevor Änderungen (neue Gesellschafter, Geschäftsführerwechsel, Satzungsänderungen) vollständig eingetragen sind. Fordern Sie stets einen aktuellen Auszug sowie einen Blick in den Bundesanzeiger nach ungewöhnlichen Bekanntmachungen an.

Fehler 2: Unvollständige Prüfung des Transparenzregisters. Das Transparenzregister enthält seit 2022 keine Rückfallmöglichkeit mehr auf andere öffentliche Register. Inkongruenzen zwischen dem Transparenzregistereintrag und dem tatsächlich ermittelten wirtschaftlich Berechtigten müssen aktiv nachverfolgt und dokumentiert werden — die BaFin wertet dies als Kernpflicht im Rahmen des GwG-Prüfprogramms.

Fehler 3: Unterschätzung von Steuerrisiken in Organschaftsstrukturen. Ertrags- und umsatzsteuerliche Organschaften sind steuerlich vorteilhaft, können aber zu umfangreichen gesamtschuldnerischen Haftungsrisiken führen. Die Prüfung der steuerlichen Organschaft (Ergebnisabführungsvertrag, Mindestlaufzeit 5 Jahre) gehört zur steuerlichen Due Diligence bei deutschen Konzerntransaktionen.

Fehler 4: Fehlende DSGVO-Risikobewertung beim Datentransfer im Transaktionsprozess. Die Due Diligence selbst erzeugt Datenschutzpflichten: Das Teilen personenbezogener Mitarbeiterdaten, Kundenlisten oder Leistungsbeurteilungen im Rahmen einer M&A-Prüfung erfordert eine Rechtsgrundlage nach Art. 6 DSGVO sowie häufig ein Verarbeitungsverzeichnis. Ohne Vertraulichkeitsvereinbarung (NDA) und Datenverarbeitungsvertrag riskieren die beteiligten Unternehmen Bußgelder nach Art. 83 DSGVO.

Wie Sie Ihre dokumentbasierte Due Diligence automatisieren

Die häufigste Frage in deutschen Compliance-Fachforen lautet: Wie führen wir eine gründliche Due Diligence durch, ohne wochenlang ein dediziertes Team zu binden?

Die Antwort liegt in der Kombination aus sicheren virtuellen Datenräumen und automatisierten Dokumentenprüflösungen. CheckFile automatisiert die Echtheitsprüfung von Dokumenten (Betrugserkennung, intelligente OCR, dokumentenübergreifende Konsistenzprüfungen) und integriert sich über API in bestehende Workflows.

Eine interne Benchmark-Analyse auf Basis von 150 über CheckFile verarbeiteten Due-Diligence-Akten ergab eine durchschnittliche Zeitersparnis von 72 % bei Dokumentensammlung und -prüfung im Vergleich zum manuellen Standardprozess.

Für einen vollständigen Überblick über Dokumentationsanforderungen in Compliance-Programmen lesen Sie unseren Leitfaden zur dokumentarischen Konformität. Informationen zu den Sicherheitsstandards von CheckFile finden Sie auf unserer Sicherheitsseite.

Häufig gestellte Fragen

Was ist der Unterschied zwischen Due Diligence und Wirtschaftsprüfung?

Die Due Diligence ist eine vorgelagerte Prüfung vor einer Entscheidung (Übernahme, Vertrag), die vom Käufer oder Investor durchgeführt wird. Eine Wirtschaftsprüfung ist eine periodische, unabhängige Prüfung des Jahresabschlusses durch einen Wirtschaftsprüfer. Beide ergänzen sich: ein aktueller Bestätigungsvermerk erleichtert die finanzielle Due Diligence, ersetzt sie aber nicht.

Ist Due Diligence für alle deutschen Unternehmen Pflicht?

Nicht universell. Für GwG-Verpflichtete ist das Kundensorgfaltspflichtprogramm eine gesetzliche Anforderung. Für Unternehmen mit mehr als 1.000 Mitarbeitern gilt das LkSG. Alle Unternehmen haben auf Basis des BGB eine allgemeine Sorgfaltspflicht, die bei bedeutenden Verträgen faktisch eine Due Diligence erfordert.

Wie lange dauert eine Due Diligence in Deutschland?

KMU-Übernahmen durchlaufen die Due Diligence typischerweise in 4 bis 8 Wochen. Komplexe Transaktionen können bis zu 12 Wochen dauern. GwG-Kundensorgfaltspflichten bei neuen Geschäftsbeziehungen sollten innerhalb von 2 bis 5 Werktagen abgeschlossen sein; verstärkte Sorgfaltspflichten benötigen 5 bis 10 Werktage.

Wie lange müssen Due-Diligence-Unterlagen aufbewahrt werden?

Nach dem GwG sind Identifizierungsunterlagen und Belege mindestens 5 Jahre nach Ende der Geschäftsbeziehung aufzubewahren (§ 8 GwG). Für handels- und steuerrechtliche Unterlagen gilt eine Aufbewahrungspflicht von 10 Jahren nach HGB § 257 bzw. Abgabenordnung § 147. Bei Übernahmetransaktionen empfehlen sich längere Aufbewahrungsfristen entsprechend der gesetzlichen Verjährungsfristen.

Welche Bußgelder drohen bei Verstößen gegen GwG-Sorgfaltspflichten?

GwG-Verstöße können mit Bußgeldern bis zu 5 Millionen Euro oder 10 % des Jahresumsatzes für Kreditinstitute belegt werden (§ 56 GwG). Bei schweren, systematischen oder wiederholten Verstößen kann die BaFin auch die Geschäftsführung persönlich belangen und öffentliche Bekanntmachungen auf ihrer Website vornehmen.

Dieser Artikel dient ausschließlich der Information und stellt keine rechtliche, steuerliche oder regulatorische Beratung dar. Für Ihre konkrete Situation wenden Sie sich bitte an einen qualifizierten Rechts-, Steuer- oder Compliance-Berater. CheckFile unterstützt Compliance-Teams bei der Automatisierung der Dokumentenprüfung — informieren Sie sich über unsere Preise oder kontaktieren Sie uns.

Thema vertiefen

Entdecken Sie unsere Praxisleitfäden und Ressourcen zur Dokumenten-Compliance.

Verwandte Artikel

Compliance9 min

Third-Party Risk Management (TPRM): Leitfaden 2026

Vollständiger Leitfaden zum Third-Party Risk Management (TPRM): DORA-Pflichten, BaFin-Anforderungen, Lieferantenbewertung, kontinuierliches Monitoring und GwG-Compliance in Deutschland 2026.

Lesen
Compliance11 min

Compliance-Risikobewertung: Leitfaden für deutsche Unternehmen 2026

Wie Sie regulatorische Risiken identifizieren, bewerten und minimieren. Praxisleitfaden zum Compliance-Risikomanagement nach BaFin-Anforderungen und GwG § 5.

Lesen
Compliance8 min

GRC: Governance, Risikomanagement und Compliance — Leitfaden 2026

Was ist Governance Risk Management Compliance (GRC)? Die drei Säulen, BaFin-Anforderungen in Deutschland und wie Sie ein effektives GRC-Framework aufbauen.

Lesen