Bildnachweis: netfiles GmbH, (c) Silke Dicker.
Mergers & Acquisitions (M&A) gehen Hand in Hand mit Due Diligence-Prüfungen. Und bei einer Due Diligence kommt heute nahezu immer ein virtueller Datenraum (Virtual Data Room; VDR) zum Einsatz. Doch wie wählt man den geeigneten Datenraum aus, worauf ist zu achten? Diese Checkliste soll Unternehmen und Beratern als Richtschnur dienen, um den für ihr Projekt passenden Datenraum zu finden.
Während einer Due Diligence verlangen potenzielle Käufer beziehungsweise Kapitalgeber eine Vielzahl an Unterlagen, um die Chancen, Risiken, Stärken und Schwächen eines Unternehmens detailliert zu analysieren und zu bewerten. Hierfür haben sich über die Jahre virtuelle Datenräume bewährt. Nicht nur, dass mehrere Parteien parallel und von jedem Ort aus sicher auf Dokumente zugreifen können – Funktionen wie integrierte Kommunikationstools tragen auch zu einem deutlich effizienteren Due Diligence-Prozess bei. Um den für sie geeigneten Datenraum zu finden, können sich Unternehmen und Berater bei der Evaluierung an den folgenden Fragen orientieren.
1. Wie anwenderfreundlich ist der virtuelle Datenraum wirklich?
Je intuitiver der Datenraum, desto schneller und effizienter wird die Due Diligence verlaufen. Anwenderfreundlichkeit reicht vom einfachen Befüllen des Datenraums über unkompliziertes Vergeben von User-Rechten bis hin zur komfortablen Zusammenarbeit mittels Fragen und Antworten (Q&A). Häufig versprechen die Anbieter hier viel. Ob sie es auch halten, lässt sich über eine Onlinepräsentation oder noch besser über eine – idealerweise kostenfreie – Teststellung prüfen. Beim Testen empfiehlt es sich, auch gleich die Performance zu überprüfen und auf die Antwortzeiten beim Hochladen von Dokumenten oder Aufrufen von Listen zu achten.
2. Sind die Daten beim Übertragen und Speichern wirklich sicher?
Oberste Prämisse bei einer Due Diligence sind Sicherheit und Vertraulichkeit aller Informationen. Unternehmen sollten daher als Erstes prüfen, ob der virtuelle Datenraum über modernste Sicherheitstechnologien verfügt. So sollten Daten sowohl beim Übertragen als auch beim Speichern im VDR mit 256 Bit verschlüsselt werden.
3. Schützt der Anbieter den VDR zuverlässig vor Datenverlust?
Damit Daten auch bei einem Hardware- oder Softwareausfall verfügbar sind, ist redundante Datenhaltung an unterschiedlichen Standorten zwingend erforderlich. Führt der Anbieter regelmäßige, automatisierte Back-ups durch, sind Dateien auch dann nicht verloren, wenn ein Hardwaredefekt auftreten oder ein Rechenzentrum ausfallen sollte. Unternehmen sollten den Anbieter durchaus fragen, ob auch die Back-ups sicher gespeichert und regelmäßig auf Wiederherstellbarkeit geprüft werden – denn nur dann lassen sich die Daten im Ernstfall schnell und vollständig wieder bereitstellen.
4. Werden regelmäßig Sicherheitsüberprüfungen durchgeführt?
Mit zyklisch durchgeführten Security Checks und Penetrationstests können reale Cyberangriffe auf die IT-Infrastruktur simuliert und bei Bedarf rechtzeitig notwendige Sicherheitsmaßnahmen ergriffen werden. Einige Anbieter lassen solche Überprüfungen regelmäßig von externen Stellen durchführen und bieten damit das größtmögliche Maß an Sicherheit – zum Beispiel vor Denial of Service (DOS)-Angriffen.
5. Wo wird der Datenraum gehostet?
Die Datenschutz-Grundverordnung (DSGVO) sowie das Bundesdatenschutzgesetz (BDSG) regeln den Umgang mit personenbezogenen Daten. Mit einem Anbieter, der seine Lösung in Deutschland oder der EU hostet, konnten Unternehmen bisher einigermaßen sicher sein, dass die strengen deutschen und europäischen Datenschutzstandards eingehalten werden. Doch unter Donald Trump droht dem rechtssicheren Datentransfer zwischen der EU und den USA das Aus. Dann müssten US-Firmen auf behördliche Anfrage die Daten ihrer europäischen Kunden selbst dann herausgeben, wenn sie in europäischen Rechenzentren liegen. Idealerweise wählen Unternehmen daher einen VDR-Anbieter mit Firmensitz in Deutschland, der die Daten zudem in Rechenzentren in Deutschland oder der EU speichert.
6. Verfügt der Datenraumanbieter über externe Zertifizierungen?
Es empfiehlt sich, auf unabhängige Zertifizierungen zu achten: Ist der VDR-Vendor beispielsweise erfolgreich nach ISO/IEC 27001 zertifiziert, können sich Anwender auf ein wirksames internes Informationssicherheits-Managementsystem verlassen. Eine ISO 22301-Zertifizierung bestätigt, dass der Anbieter alle Maßnahmen ergriffen hat, um die Verfügbarkeit des virtuellen Datenraums aufrechtzuerhalten und auf Störungen schnell und angemessen zu reagieren. Einige wenige Anbieter können auch das BSI C5-Testat des Bundesamts für Sicherheit vorweisen, das die Sicherheit von Cloud-Diensten bestätigt, und mit dem SOC 2-Testat nachweisen, dass sie dem international anerkannten Standard SOC für Datensicherheit und Datenschutz genügen.
7. Sind alle notwendigen Funktionalitäten abgedeckt?
Erst nachdem alle Fragen zu Sicherheit und Anwenderfreundlichkeit zufriedenstellend geklärt wurden, sollte die Funktionalität des Datenraums unter die Lupe genommen werden. Hier gilt: je einfacher zu bedienen, desto besser. Die etablierten Datenraumanbieter unterscheiden sich ohnehin weniger in der Kernfunktionalität als in der Handhabung:
- Einrichten von Disclaimer, Zwei-Faktor-Authentifizierung, Kennwortrichtlinien und Passkey
- Vergeben von Zugriffsrechten auf Dokumentenebene wie Anzeigen, Download oder Editieren für einzelne User oder Benutzergruppen
- Befüllen des Datenraums per Drag and Drop sowie Hochladen kompletter Ordnerstrukturen in einem Schritt
- Zusätzliches Schützen von Informationen durch Wasserzeichen oder Schwärzen von Textstellen
- Frage-und-Antwort-Prozess für allgemeine oder einem Ordner beziehungsweise
Dokument zugeordnete Fragen (Q&A) - Abrufen von Aktivitätsberichten und Audit-Trails
Wenn der virtuelle Datenraum darüber hinaus die Option bietet, dass Administratoren alle Inhalte einfach in einem offenen Format exportieren und der Anbieter den VDR nach Projektende archiviert, sind die zentralen Funktionalitäten für die meisten M&A- und Finanzierungsprojekte abgedeckt.
8. Wie gut ist es um den Kundenservice bestellt?
Kommen Fragen auf, ist es wichtig, dass der Anbieter schnell und kompetent unterstützt. Bereits in der Angebots- und Testphase lässt sich erkennen, wie der Datenraumanbieter diesbezüglich aufgestellt ist. Besonders wichtig: dass Support- und Vertriebsmitarbeitende auch telefonisch gut erreichbar sind und sich der Anliegen von Administratoren wie Usern umgehend annehmen – denn nichts ist mühsamer als lange Wartezeiten in einem unpersönlichen Callcenter.
9. Ist die Preispolitik transparent?
Last, but not least: Kosten vergleichen! Manche Preismodelle basieren auf der Anzahl der User, andere auf dem Datenvolumen oder auf einer Kombination aus beidem. Im Vorfeld einer Due Diligence ist es jedoch meist schwierig, den genauen Projektumfang einzuschätzen. Wie viele Firmen und Mitarbeitende beteiligt sein werden, steht oft noch nicht fest und kann sich ändern. Das Datenvolumen – und somit der benötigte Speicherplatz – lässt sich in der Regel besser abschätzen. Zudem sollte jedes Angebot auf Laufzeiten, einmalige oder pauschale Einrichtungsgebühren und versteckte Zusatzkosten geprüft werden. Von Vorteil ist es, wenn Anbieter die Preise transparent auf ihrer Website kommunizieren. So müssen Interessenten nicht erst aufwendig ein Angebot einholen.
Fazit
Virtuelle Datenräume sind ein unverzichtbares Werkzeug bei Finanzierung und M&A. Doch VDR ist nicht gleich VDR. Daher gilt: Wer den virtuellen Datenraum sorgfältig und überlegt auswählt, gewährleistet nicht nur Datenschutz und Datensouveränität – sondern trägt auch dazu bei, den Due Diligence-Prozess zu beschleunigen und die Zusammenarbeit zu optimieren.
Über den Autor:
Thomas Krempl ist Geschäftsführer und Gründer der netfiles GmbH. Der studierte Informatiker war in mehreren großen IT-Firmen tätig, bevor er sich in den Anfangsjahren des Internets mit ersten eigenen Unternehmen selbstständig machte. 2001 gründete er mit netfiles einen der ersten Anbieter von virtuellen Datenräumen für die effiziente Durchführung von Due Diligence und den sicheren standortübergreifenden Datenaustausch.
