Finanzen

Die vollständige Due-Diligence-Checkliste für Online-Unternehmenskäufer 2026: So schützen Sie Ihre Investition im DACH-Raum

By Keine Kommentare8 Mins Read

Die Due Diligence ist der wichtigste Schutz jedes Unternehmenskäufers. Sie ist das systematische Verfahren der Überprüfung, ob ein Unternehmen das ist, was es zu sein behauptet – und ob es zu den kommunizierten Konditionen eine lohnende Investition darstellt. Wer Due Diligence überspringt oder halbherzig betreibt, riskiert ernsthafte finanzielle Verluste.

Im Markt für Online-Unternehmenstransaktionen im DACH-Raum ist Due Diligence 2026 komplexer als je zuvor. KI-generierter Content, manipulierte Traffic-Daten, verschleppte rechtliche Probleme und nicht offenbarte Platform-Risiken sind reale Gefahren, die nur durch systematische Prüfung aufgedeckt werden können. Gleichzeitig haben sich Standards und Tools erheblich verbessert, was eine gründliche Prüfung effizienter ermöglicht.

Diese vollständige Checkliste deckt alle wesentlichen Due-Diligence-Bereiche ab, vom Geschäftsmodell-Verständnis über technische, finanzielle und operative Prüfung bis zu rechtlichen und steuerlichen Aspekten. Sie ist spezifisch auf die Anforderungen des DACH-Marktes und die geltenden rechtlichen Rahmenbedingungen 2026 ausgerichtet.

Die vollständige Due-Diligence-Checkliste für Online-Unternehmenskäufer 2026

Block 1: Geschäftsmodell-Verifikation und Eigentümerprüfung

Bevor Sie irgendeine Zahl analysieren, müssen Sie sicherstellen, dass Sie das Geschäftsmodell vollständig verstehen und dass der Verkäufer tatsächlich der rechtmäßige Eigentümer des angebotenen Assets ist.

  • Geschäftsmodell vollständig verstehen: Wie verdient das Unternehmen Geld? Welche Prozesse laufen täglich ab? Wie viel Zeit investiert der Eigentümer wöchentlich, aufgeschlüsselt nach Aufgaben? Welche technischen Kenntnisse sind für den Betrieb erforderlich?
  • Domain-Eigentumsnachweis: WhoIs-Abfrage über domaintools.com oder denic.de (für .de-Domains). Prüfen Sie die Domain-Historie auf häufige Eigentümerwechsel, die auf Probleme hinweisen könnten. Bei Datenschutz-aktivierten Domains: Hosting-Historie und IP-Wechsel als Indizien für Eigentümerwechsel prüfen.
  • Unternehmensregistrierung: Ist das Unternehmen korrekt beim Handelsregister (Deutschland) oder Firmenbuch (Österreich) registriert? Welche Unternehmensform liegt vor (GmbH, UG, Einzelunternehmen)? Gibt es Gesellschafter, und wie sind deren Rechte geregelt?
  • Wettbewerbsverbot: Bitten Sie den Verkäufer, ein Wettbewerbsverbot für 2 bis 3 Jahre nach dem Kauf zu unterzeichnen. Dieses schützt Sie davor, dass der Verkäufer unmittelbar nach dem Closing ein konkurrierendes Unternehmen aufbaut.
  • Verkäufer-Hintergrundcheck: LinkedIn-Profil, Branchenreputation, Referenzen aus früheren Transaktionen prüfen. Ein seriöser Verkäufer hat plausible Gründe für den Verkauf und ist bereit, diese transparent zu erläutern.

Due Diligence Online-Unternehmen

Block 2: Traffic-Verifikation und SEO-Analyse

Traffic ist das Fundament jedes inhaltsbasierten Online-Unternehmens. Manipulierter oder nicht nachhaltiger Traffic ist eines der häufigsten Probleme beim Online-Business-Kauf.

  • Google Analytics 4 Read-Only-Zugang: Fordern Sie Nur-Lese-Zugang zu GA4 für mindestens 24 Monate an. Prüfen Sie: Gesamttraffic-Entwicklung (Trend steigend, stagnierend, fallend?), Traffic-Quellen (Anteil organisch, direkt, Social, Paid, Referral), Seitenverteilung (konzentriert auf wenige Seiten = Klumpenrisiko), Nutzerengagement (durchschnittliche Sitzungsdauer, Bounce Rate, Seiten pro Sitzung).
  • Google Search Console Read-Only-Zugang: Prüfen Sie Klicks und Impressionen nach Keyword für 12+ Monate, Performance-Verlauf auf einzelne Google Core Updates mappen (Rückgänge nach Updates = Risikosignal), manuelle Maßnahmen und Sicherheitsprobleme (sollten keine vorhanden sein).
  • Drittanbieter-Gegencheck: Vergleichen Sie die vorgelegten GA4-Daten mit unabhängigen Schätzungen aus Ahrefs, SEMrush oder Sistrix. Erhebliche Abweichungen nach oben (GA4 zeigt viel mehr als externe Tools) können auf Bot-Traffic oder Tracking-Fehler hinweisen.
  • Backlink-Qualitätsprüfung: Exportieren Sie das vollständige Backlink-Profil aus Ahrefs. Achten Sie auf toxische Links aus Spam-Netzwerken, abrupte Backlink-Sprünge (können auf Black-Hat-Linkbuilding hinweisen) und Qualität der verweisenden Domains (Domain Rating, Relevanz).
  • KI-Content-Prüfung: Testen Sie eine repräsentative Stichprobe (10 bis 20 Artikel) mit GPTZero, Originality.ai oder Winston AI auf KI-generierten Content. Hohe KI-Content-Anteile sind ein erhebliches SEO-Risiko in 2026.

Block 3: Finanzielle Verifikation

Finanzielle Due Diligence ist der kritischste Block – und der, in dem die meisten Käufer zu viel Vertrauen in nicht verifizierte Aussagen des Verkäufers setzen.

  • Einnahmen-Primärquellen: Fordern Sie direkte API-Zugänge oder exportierte Reports aus allen Monetarisierungsplattformen (Google AdSense, Amazon PartnerNet, AWIN, Stripe, PayPal, Shopify, Amazon Seller Central etc.) für 24 Monate. Screenshots allein sind keine ausreichende Grundlage.
  • Gewinn-und-Verlust-Rechnung: Analysieren Sie monatliche GuV für 24+ Monate. Prüfen Sie: Bruttoeinnahmen, Kosten der verkauften Waren (COGS), Betriebskosten nach Kategorie, EBITDA, Seller’s Discretionary Earnings (SDE). Suchen Sie nach ungewöhnlichen Einmaleffekten, Kostenspitzen und versteckten Kosten.
  • Working-Capital-Analyse: Wie viel Kapital ist dauerhaft im Umlaufvermögen gebunden (Lagerbestand, Forderungen)? Wie sind die Zahlungskonditionen mit Lieferanten und Kunden? Wie hoch ist der monatliche Working-Capital-Bedarf?
  • Saisonalitätsanalyse: Plotieren Sie die monatlichen Einnahmen über 24 Monate und identifizieren Sie Saisonmuster. Berechnen Sie den Durchschnitt ausschließlich auf Basis der letzten 12 Monate, nicht auf Basis von Spitzenmonaten.
  • Steuer-Compliance: Bitten Sie um Einsicht in die Steuererklärungen der letzten 3 Jahre (zumindest als zusammenfassende Darstellung). Prüfen Sie, ob die deklarierten Einnahmen mit den präsentierten Plattformdaten plausibel übereinstimmen.

Block 4: Technische und operative Prüfung

  • Technischer Website-Audit: Core Web Vitals (LCP, INP, CLS), Sicherheitszertifikat (HTTPS), fehlende Weiterleitungen und 404-Fehler, Mobile-First-Kompatibilität, Hosting-Stabilität (Uptime-Monitoring der letzten 12 Monate anfragen).
  • Softwarelizenzen und Assets: Vollständige Liste aller eingesetzten Tools und Dienste mit Lizenzstatus, monatlichen Kosten und Übertragbarkeit. Premium-Plugins oder -Tools, die auf den Verkäufer lizenziert sind, müssen neu lizenziert werden – Kosten einkalkulieren.
  • Content-Eigentumsrechte: Wer hält die Urheberrechte an allen Inhalten (Texte, Bilder, Videos)? Sind Ghostwriter-Verträge vorhanden mit eindeutiger Work-for-hire-Klausel? Sind Bildlizenzen (Stock-Photos) übertragbar oder müssen neue erworben werden?
  • E-Mail-Liste: Größe und Engagement-Kennzahlen (Öffnungsrate, Klickrate), DSGVO-konforme Erhebung aller Subscriber (Double-Opt-in, dokumentierte Einwilligung), Übertragbarkeit des E-Mail-Accounts auf den neuen Eigentümer (Plattformrichtlinien prüfen).
  • SOPs und Betriebsdokumentation: Existieren schriftliche Standard Operating Procedures für alle Kernprozesse? Sind diese aktuell und vollständig? Kann das Unternehmen auf dieser Basis ohne den Verkäufer operieren?

Block 5: DSGVO und rechtliche Compliance – DACH-spezifisch

Im DACH-Raum ist die rechtliche Due Diligence besonders wichtig, da die DSGVO streng ausgelegt wird und Verstöße erhebliche Bußgelder nach sich ziehen können. Zudem gibt es im deutschsprachigen Raum eine ausgeprägte Abmahnkultur, die Online-Unternehmer regelmäßig trifft.

  • DSGVO-Compliance-Check: Existiert eine aktuelle, vollständige Datenschutzerklärung nach Art. 13/14 DSGVO? Ist ein rechtskonformes Cookie-Consent-Management (CMP wie Usercentrics, Cookiebot) implementiert? Sind alle Auftragsverarbeitungsverträge (AVV) mit Dienstleistern (Hosting, E-Mail-Dienst, Analytics, Zahlungsabwickler) abgeschlossen? Ist ein Verarbeitungsverzeichnis nach Art. 30 DSGVO vorhanden?
  • Impressumspflicht: Ist ein vollständiges Impressum nach Telemediengesetz (TMG, Deutschland) oder E-Commerce-Gesetz (ECG, Österreich) vorhanden? Sind alle Angaben korrekt und aktuell?
  • Abmahn-Recherche: Suchen Sie den Unternehmensnamen und die Domain in Abmahnregister-Datenbanken. Fragen Sie den Verkäufer explizit nach laufenden oder vergangenen Abmahnverfahren und lassen Sie sich dies im Kaufvertrag als Garantie zusichern.
  • Markenrechtliche Prüfung: Ist der Unternehmens- oder Domain-Name markenrechtlich geschützt? Verletzt die Domain Markenrechte Dritter? Recherchieren Sie im DPMA (Deutschland), ÖPA (Österreich) und EUIPO (EU) sowie über Google Markenrecherche.
  • Domain-Transfer-Rechtliches: Können alle Domain-Endungen uneingeschränkt übertragen werden? Für .de-Domains gilt kein eingeschränkter Transfer. Bei länderspezifischen TLDs (z.B. .at, .ch) können besondere Anforderungen gelten.

Block 6: Finales Closing-Protokoll

Wenn alle Due-Diligence-Blöcke erfolgreich abgeschlossen sind und Sie sich zum Kauf entschlossen haben, gibt es abschließende Schritte vor dem offiziellen Closing.

  • Live-Einnahmen-Verifikation: Führen Sie kurz vor dem Closing eine Live-Überprüfung der Einnahmen durch (Screen-Share mit dem Verkäufer durch die Monetarisierungsplattformen), um sicherzustellen, dass keine wesentlichen Veränderungen in den letzten Wochen eingetreten sind.
  • Asset-Transfer-Liste: Erstellen Sie eine vollständige Liste aller zu übertragenden Assets und stellen Sie sicher, dass diese im Kaufvertrag aufgeführt sind: Domain(s), Website-Dateien, Datenbank, E-Mail-Liste, Social-Media-Accounts, Affiliate-Accounts, Tools und Softwarelizenzen sowie alle IP-Rechte.
  • Zahlungsabwicklung über Treuhand: Nutzen Sie für die Zahlung immer einen gesicherten Escrow-Service oder ein Notaranderkonto. Übertragen Sie keine Zahlungen direkt und außerhalb eines gesicherten Systems.
  • Übergabephase sichern: Vereinbaren Sie vertraglich eine Übergabephase von mindestens 30, besser 60 Tagen, in der der Verkäufer für Fragen und Einweisung verfügbar ist. Definieren Sie, wie Verfügbarkeit, Kommunikationskanäle und Vergütung geregelt sind.

FAQ – Häufig gestellte Fragen

1. Wie lange dauert eine vollständige Due Diligence für ein Online-Unternehmen?

Eine professionelle Due Diligence für ein Online-Unternehmen mit einem Kaufpreis zwischen 50.000 und 300.000 EUR dauert typischerweise 3 bis 6 Wochen. Technischer Audit: 3 bis 5 Tage. Finanzielle Verifikation durch Steuerberater: 1 bis 2 Wochen. Rechtliche Prüfung durch Anwalt: 1 Woche. Operative Prüfung (Gespräche mit Verkäufer, Lieferanten, Freelancern): 1 bis 2 Wochen. Sparen Sie nicht an Zeit und Budget für die Due Diligence – sie ist die wichtigste Investition des gesamten Kaufprozesses.

2. Kann ich Due Diligence als Erstkäufer selbst durchführen?

Für kleinere Transaktionen unter 30.000 EUR können erfahrene Käufer viele Prüfschritte selbst durchführen, wenn sie über ausreichend digitales und kaufmännisches Know-how verfügen. Ab 50.000 EUR Kaufpreis empfehlen wir dringend, mindestens einen erfahrenen Steuerberater für die finanzielle Prüfung und einen Rechtsanwalt für die rechtliche Prüfung hinzuzuziehen. Die Kosten (typisch 2.000 bis 8.000 EUR für professionelle Unterstützung) sind gut investiert – ein übersehenes Problem kann das Zehnfache kosten.

3. Was tue ich, wenn ich in der Due Diligence ein erhebliches Problem entdecke?

Zunächst ruhig bleiben und das Problem vollständig analysieren. Dann stehen drei Optionen zur Verfügung: das Problem als Preissenkungsargument nutzen und einen niedrigeren Kaufpreis verhandeln, den Verkäufer bitten, das Problem vor dem Closing zu beheben, oder von der Transaktion zurückzutreten, wenn das Problem nicht behebbar oder zu gravierend ist. Denken Sie daran: Keine Transaktion ist besser als eine schlechte Transaktion. Der Rücktritt von einem problematischen Kauf ist oft die beste Entscheidung.

4. Wie prüfe ich, ob Traffic-Zahlen manipuliert wurden?

Die wichtigsten Signale für manipulierten Traffic sind: plötzliche, nicht erklärbare Traffic-Spitzen, die nicht mit Content-Events korrelieren; ungewöhnlich niedrige Engagement-Metriken (Bounce Rate nahe 100 Prozent, sehr kurze Sitzungsdauer bei hohem Traffic); Traffic aus Ländern, die nicht zur Zielgruppe des Unternehmens passen; Referral-Traffic von verdächtigen oder unbekannten Quellen; und eine starke Diskrepanz zwischen GA4-Zahlen und Schätzungen aus Dritttools wie Ahrefs oder SEMrush.

5. Welche DSGVO-Risiken sind beim Kauf eines Online-Unternehmens besonders relevant?

Die kritischsten DSGVO-Risiken beim Online-Unternehmenskauf im DACH-Raum sind: nicht rechtskonforme Erhebung der E-Mail-Liste (fehlende Double-Opt-in-Bestätigung macht die Liste praktisch wertlos und riskant), fehlende Auftragsverarbeitungsverträge mit US-Dienstleistern (besonders kritisch nach dem Post-Schrems-II-Rahmen), unvollständige oder veraltete Datenschutzerklärung sowie der Transfer von Kundendaten ohne ausreichende Rechtsgrundlage. Lassen Sie alle DSGVO-relevanten Aspekte von einem auf Datenschutz spezialisierten Anwalt prüfen, bevor Sie die Transaktion abschließen.

Share.

Related Posts

Leave A Reply

Powered by
Notwendige Cookies ermöglichen essentielle Webseiten-Funktionen wie sichere Logins und Anpassungen der Einwilligungspräferenzen. Sie speichern keine persönlichen Daten.
Keine
Funktionale Cookies unterstützen Funktionen wie das Teilen von Inhalten in sozialen Medien, das Sammeln von Feedback und die Nutzung von Drittanbieter-Tools.
Keine
Analytische Cookies verfolgen Besucherinteraktionen und liefern Einblicke in Metriken wie Besucherzahl, Absprungrate und Verkehrsquellen.
Keine
Werbe-Cookies liefern personalisierte Werbung basierend auf Ihren vorherigen Besuchen und analysieren die Effektivität von Werbekampagnen.
Keine
Powered by
Exit mobile version