KI-Due-Diligence in M&A-Transaktionen: Wenn das vermeintliche Tech-Asset zur regulatorischen Altlast wird

Dr. André Schmidt

02.02.2026 | Tech Law (IT- und Datenrecht)

Die naive Annahme, dass man sich bei KI-Software um die Compliance-Anforderungen später immer noch kümmern könne, hat sich als kostspieliger Irrtum erwiesen. In der aktuellen Transaktionspraxis erleben wir eine Verschiebung bei der Bewertung von Technologieunternehmen. Der Fokus verlagert sich von der reinen technischen Machbarkeit hin zur rechtlichen Resilienz der KI-Architektur.

Eine oberflächliche Prüfung greift zu kurz. Wer die regulatorischen Anforderungen des EU AI Acts missachtet, datenschutzrechtliche Grundsätze beim Training ignoriert oder komplexe Lizenzketten übersieht, erwirbt kein werthaltiges Asset. Stattdessen kauft man sich erhebliche Rückbau-Verpflichtungen und strategische Abhängigkeiten ein.

Die KI-spezifische Legal Due Diligence (AI Legal DD) ist eine zwingende Voraussetzung für die valide Kaufpreisermittlung. Nachfolgend analysieren wir die vier kritischsten Fallstricke, die in der Praxis regelmäßig zu einer Neubewertung oder gar zum Scheitern von Tech-Transaktionen führen.

 

1. Die Klassifizierungs-Falle nach dem AI Act: Der „Wolf im Schafspelz“

Das Herzstück der neuen Regulierung ist der risikobasierte Ansatz. Für den Transaktionserfolg ist die korrekte Einordnung des Zielsystems entscheidend.

Das Szenario: Die pauschale „Low Risk“-Einstufung

Verkäufer (Targets) neigen naturgemäß dazu, ihre KI-Systeme im Vorfeld einer Transaktion als „Systeme mit geringem Risiko“ oder reine „Transparenz-Fälle“ einzustufen. Dies geschieht oft nicht aus böser Absicht, sondern aufgrund der hohen Komplexität des AI Acts. Das Ziel ist klar: Den Verkaufsprozess nicht durch die umfangreichen Compliance-Anforderungen für Hochrisiko-Systeme zu belasten.

Die Gefahr: Regulatorischer Blindflug 

Erweist sich das System bei einer tiefgehenden Prüfung durch die Käuferseite objektiv als Hochrisiko-KI-System (z.B. im Bereich HR, kritische Infrastruktur oder Kreditwürdigkeitsprüfung), ist das Target zum Zeitpunkt des Closings nicht nachhaltig "marketable" innerhalb der EU. Es fehlen:

  • Eine durchgeführte Konformitätsbewertung.
  • Ein implementiertes Risikomanagement- und Qualitätsmanagementsystem.
  • Die erforderliche technische Dokumentation und das Logging.

Die Kosten für eine nachträgliche Herstellung der Konformität sind mitunter immens und verzögern die Post-Merger-Integration um Monate. Schlimmstenfalls entpuppt sich die Kernfunktion des Produkts als eine „verbotene Praktik“ nach Art. 5 AI Act. In diesem Fall ist das Produkt in der EU legal nicht marktfähig – der Asset-Wert tendiert gegen Null.

Die entscheidende DD-Frage

Auf welcher belastbaren technischen und juristischen Analyse basiert die vorgenommene Risikoklassifizierung, und liegt eine lückenlose Dokumentation vor, die einer behördlichen Prüfung standhalten würde?

 
2. Die datenschutzrechtliche „Sackgasse“: Machine Unlearning und das Recht auf Vergessenwerden

KI-Modelle sind datenhungrig. Doch die Herkunft dieser Daten („Data Provenance“) kann im M&A-Kontext zum Dealbreaker werden.

Das Szenario: „Vergiftete“ Trainingsdaten

Ein Startup hat sein Kernmodell über Jahre hinweg mit riesigen Mengen an personenbezogenen Daten trainiert. Bei der DD stellt sich heraus, dass die ursprünglichen Einwilligungen (Consents) nach der DSGVO rechtlich angreifbar waren, die Zweckbindung überschritten wurde oder die Einwilligungsgeber ihre Einwilligung inzwischen wirksam widerrufen haben.

Die Gefahr: Die Unumkehrbarkeit des Trainings

Das fundamentale Problem liegt in der Natur neuronaler Netze: Daten werden nicht wie in einer Datenbank gespeichert, sondern verändern die Gewichte (Weights) des Modells. Ein selektives „Herauslöschen“ einzelner personenbezogener Daten – das sogenannte Machine Unlearning – ist technologisch zwar ein Forschungsfeld, aber in der Praxis oft noch nicht zuverlässig möglich.

Wenn eine Datenschutzaufsichtsbehörde feststellt, dass die Trainingsbasis unrechtmäßig war, kann sie im Extremfall die Löschung des gesamten Modells anordnen. Es sind auch zivilrechtliche Unterlassungsansprüche der betroffenen Personen denkbar. Das immaterielle Anlagevermögen wird über Nacht vernichtet.

Die entscheidende DD-Frage

Kann die „Data Provenance“ für den gesamten Trainingsdatensatz lückenlos und DSGVO-konform nachgewiesen werden? Führt der notwendige Entzug einer Datenquelle aufgrund von Widerrufen technisch zum Kollaps der Modell-Performance?

 
3. Das „Wrapper-Risiko“: Fehlendes geistiges Eigentum und strategische Abhängigkeit

Nicht alles, was als "KI-Unternehmen" verkauft wird, besitzt tatsächlich eigene KI-Technologie.

Das Szenario: Die dünne Schicht über fremder IP

Viele vermeintliche KI-Lösungen entpuppen sich in der technischen Due Diligence als bloße „Wrapper“. Das bedeutet: Das Unternehmen hat kein eigenes Basismodell trainiert. Die Wertschöpfung besteht fast ausschließlich aus einer Anbindung an APIs von Drittanbietern (wie OpenAI, Anthropic oder Google) sowie einer spezifischen Benutzeroberfläche und einer Sammlung von System-Prompts.

Die Gefahr: Strategische Wertlosigkeit

In diesem Szenario erwirbt der Käufer kein nennenswertes geistiges Eigentum (IP) an den entscheidenden Modellgewichten oder der Architektur. Das Target ist vollständig von den Geschäftsbedingungen der API-Provider abhängig. Ändert der Anbieter seine Preise, schränkt die Nutzungsbedingungen ein oder stellt das spezifische Modell ein, bricht das Geschäftsmodell des Targets zusammen. Zudem ist die technische Eintrittsbarriere für Wettbewerber extrem niedrig. Man kauft faktisch eine spezialisierte Agentur, kein Technologieunternehmen.

Die entscheidende DD-Frage

Worin genau besteht die proprietäre, schutzfähige technische Eigenleistung? Besitzt das Target eigene Rechte an den Modellgewichten oder lediglich an der Prompt-Struktur und dem UI?

 
4. Die Lizenz-Falle: Von Copyleft bis zu „Behavioral Use Restrictions“

Die Nutzung von Open-Source-Komponenten im KI-Bereich ist Standard, aber die damit verbundenen Lizenzrisiken sind komplexer denn je.

Das Szenario: Ungeprüfte Integration von Hugging Face & Co.

Entwicklerteams integrieren unter Zeitdruck vor-trainierte Modelle, Datensätze oder Bibliotheken von Plattformen wie Hugging Face, ohne die teils hochkomplexen Lizenzketten im Detail zu prüfen.

Die Gefahr: Virale Effekte und neue Nutzungsverbote

Die Risiken sind vielfältig und können die Kommerzialisierung unmöglich machen:

  1. Copyleft-Effekt (z.B. AGPL): Wird eine Komponente unter einer strengen Copyleft-Lizenz verwendet, kann dies dazu führen, dass der gesamte eigene proprietäre Code, der damit interagiert, offengelegt und unter dieselbe freie Lizenz gestellt werden muss. Die kommerzielle Exklusivität geht verloren.
  2. Non-Commercial (NC) Klauseln: Viele leistungsfähige Modelle sind nur für die Forschung freigegeben. Die Integration in ein kommerzielles B2B-Produkt stellt eine Urheberrechtsverletzung dar.
  3. Behavioral Use Restrictions (z.B. RAIL-Lizenzen): Moderne KI-Lizenzen beinhalten ethische Nutzungseinschränkungen. Ein Verstoß dagegen (z.B. Einsatz in bestimmten Branchen) führt zum automatischen Erlöschen der Nutzungsrechte.

Die entscheidende DD-Frage

Liegt eine automatisierte, lückenlose „Software Bill of Materials“ (SBOM) für die gesamte KI-Pipeline vor, die nicht nur Standard-Lizenzen, sondern auch spezifische Nutzungsbeschränkungen der Modelle und Trainingsdaten erfasst?

 
Fazit: Rechtliche Integrität als Werttreiber im M&A

Eine spezialisierte KI-Due-Diligence ist im Jahr 2026 weit mehr als eine defensive Risiko-Inventur zur Vermeidung von Gewährleistungsansprüchen. Sie ist ein Katalysator für den Unternehmenswert.

  • Für Startups und Gründer: Eine saubere „Model Provenance“ und eine transparente, dokumentierte Lizenzstruktur sind starke Argumente für eine hohe Bewertung in Finanzierungsrunden oder beim Exit. Wer seine Hausaufgaben bei der KI-Compliance gemacht hat, signalisiert echte „Investment-Readiness“.
  • Für Investoren und Käufer: Die tiefergehende KI-Prüfung ist das entscheidende Werkzeug, um zwischen nachhaltiger Technologie und regulatorischen Altlasten zu unterscheiden. Sie sichert die Skalierbarkeit des Geschäftsmodells und schützt vor „toxischen“ Assets, die nach dem Closing immense Kosten verursachen.

 

Wir unterstützen Sie bei Ihrer KI-Transaktion

Unsere Kanzlei ist auf die Schnittstelle von Tech Law, M&A und KI-Regulierung spezialisiert. Wir führen für Käufer belastbare Due-Diligence-Prüfungen durch und bereiten Verkäufer (Vendor DD) optimal auf den Exit vor. 

27.01.2026

KI-Transkription von Meetings: Datenschutz, § 201 StGB und die Grenzen der Einwilligung

07.08.2025

KI-Verordnung: Gilt die KI-VO bei Open Source?

28.07.2025

KI-Assistent im Unternehmen: Vier Schritte zur rechtssicheren Einführung von M365 Copilot

20.10.2025

Rechtssicherheit durch KI-Policy: Leitplanken für den rechtskonformen Einsatz von KI-Tools im Unternehmen

27.06.2024

Die KI-Verordnung kommt – Risikoklassifizierung am Beispiel von KI-Systemen im Arbeitskontext

20.09.2023

Zoom trainiert KI nicht (mehr) mit Nutzerdaten – Wie Unternehmen ihre Daten vor ungewolltem KI-Training durch andere Tools schützen können