Third-Party Due Diligence neu gedacht: Warum risikobasierte Ansätze immer wichtiger werden

Viele Unternehmen betrachteten die Due Diligence von Drittparteien lange Zeit vor allem als Pflichtaufgabe: Formulare ausfüllen, Standardprüfungen durchführen und ein Compliance-Häkchen setzen, bevor neue Geschäftsbeziehungen eingegangen werden. Doch dieses Vorgehen reicht heute nicht mehr aus – und lässt sich in vielen Fällen kaum noch rechtfertigen.

Wie die Due Diligence Checkliste 2026 zeigt, verändert sich das regulatorische Umfeld weltweit deutlich. Aufsichtsbehörden wollen nicht mehr nur wissen, ob eine Prüfung durchgeführt wurde. Entscheidend ist vielmehr, ob sie risikobasiert, verhältnismäßig und kontinuierlich erfolgt.

Genau darin liegt der Unterschied zwischen reiner Prozesserfüllung und modernem Risikomanagement.

Die Grenzen standardisierter Due Diligence

Herkömmliche Due Diligence Modelle neigen dazu, bei allen externen Parteien die gleichen Prüfungen durchzuführen. Jeder Anbieter erhält denselben Fragebogen. Jedes Onboarding folgt demselben Arbeitsablauf. Eine Überwachung, sofern sie überhaupt stattfindet, erfolgt eher in regelmäßigen Abständen als kontinuierlich.

Das Problem ist, dass Risiken nicht einheitlich sind.

Das Rahmenwerk für 2026 verdeutlicht, wie stark das Risiko je nach folgenden Faktoren variiert:

• Geografische Lage
• Branche
• Art der Transaktion
• Eigentümerstrukturen
• Beteiligung von PEPs
• ESG-Sensitivität
• Sanktionsrisiko

Ein lokaler Lieferant in einer Region mit geringem Risiko weist nicht dasselbe Profil auf wie ein Vertriebspartner, der in einer sanktionssensiblen Region tätig ist, oder ein Partner, der in einem Hochrisikosektor wie Infrastruktur, öffentliches Beschaffungswesen oder Verteidigung tätig ist.

Beide gleichermaßen zu prüfen, ist im besten Fall ineffizient – im schlimmsten Fall fahrlässig.

Aufsichtsbehörden erwarten zunehmend von Unternehmen, dass sie nachweisen, dass ihr Maß an Sorgfaltspflicht dem Risikoniveau entspricht.

MEHR DAZU: Due Diligence 2026: Warum klassische Checklisten nicht mehr ausreichen

Risikomanagement neu gedacht

Ein risikobasierter Ansatz beginnt nicht mit Formularen, sondern mit einer Risikobewertung.

Die Checkliste skizziert einen strukturierten Prozess: Ermittlung der Geschäftsorte, Feststellung, ob ausländische Gesetze gelten, Identifizierung von Branchenrisiken, Bewertung der Beteiligung von PEPs, Analyse negativer Medienberichte und Ermittlung der wirtschaftlichen Eigentümer.

Erst nach dieser ersten Bewertung entscheidet das Unternehmen, ob eine vereinfachte, erweiterte oder spezialisierte Sorgfaltsprüfung erforderlich ist.

Dieses mehrstufige Modell spiegelt die regulatorischen Erwartungen in verschiedenen Rechtsordnungen wider. Im Vereinigten Königreich müssen Unternehmen, die sich auf die Einrede „angemessener Verfahren“ im Rahmen der Anti-Korruptionsgesetze berufen wollen, nachweisen, dass ihre Kontrollen dem Risiko angemessen sind. In der EU verlangen die Sorgfaltspflichten im Bereich Nachhaltigkeit von Unternehmen, dass sie schwerwiegende Auswirkungen in ihren Wertschöpfungsketten identifizieren und priorisieren.

Der rote Faden ist die Verhältnismäßigkeit.

Bei der risikobasierten Sorgfaltspflicht geht es nicht darum, möglichst viele Prüfungen durchzuführen. Es geht darum, die richtigen Prüfungen durchzuführen.

Integration von ESG, Finanzkriminalität und Governance-Risiken

Ein weiteres prägendes Merkmal des Jahres 2026 ist die Integration.

In der Vergangenheit arbeiteten die Teams für Finanzkriminalität, ESG und Beschaffung oft getrennt voneinander. Heute verschwimmen diese Grenzen zunehmend.

Die Checkliste zeigt, dass die regulatorischen Erwartungen hinsichtlich der Abstimmung von ESG- und Antikorruptions-Risikobewertungen steigen. Brasiliens Antikorruptionsstrategie fordert ausdrücklich, dass Menschenrechts- und Umweltfragen in Korruptionsrisikobewertungen einbezogen werden. Singapurs Leitlinien zum Umweltrisikomanagement wiederum integrieren Nachhaltigkeitsaspekte in die Prozesse der finanziellen Due Diligence.

Diese Konvergenz erfordert von Unternehmen, über starre Prüfkriterien hinauszugehen.

Ein Dritter, der in Umweltverstöße verwickelt ist, kann Reputations- und Haftungsrisiken mit sich bringen. Ein Lieferant, der in Regionen tätig ist, in denen das Risiko von Zwangsarbeit besteht, kann aufgrund neuer Menschenrechtsgesetze rechtliche Risiken verursachen. Ein KI-Anbieter, der keine Transparenz über seine Datenquellen bietet, könnte im Rahmen von KI-Governance-Rahmenwerken eine behördliche Überprüfung auslösen.

Risiken sind miteinander verknüpft.

Ein modernes risikobasiertes Rahmenwerk berücksichtigt, dass Finanzkriminalität, ESG-Risiken und Führungsversagen selten allein auftreten.

Verbesserte Sorgfaltspflicht in der Praxis

Wenn ein erhöhtes Risiko festgestellt wird, ist eine verbesserte Sorgfaltspflicht unerlässlich.

Dies geht über eine einfache Identitätsprüfung oder oberflächliche Websuchen hinaus. Es erfordert eine strukturierte Überprüfung in folgenden Bereichen:

• Sanktionslisten
• Behördliche Beobachtungslisten
• Datenbanken zu politisch exponierten Personen
• Compliance-bezogene Listen
• Unternehmens- und wirtschaftlichen Eigentumsdaten
• Gerichtsverfahren
• Weltweite negative Medienberichterstattung

Die Fähigkeit, negative Nachrichten effizient zu filtern, Muster zu erkennen und historische Vorwürfe zu verstehen, wird dabei zu einem entscheidenden Faktor. Durchsetzungsmaßnahmen der letzten Jahre zeigen, dass das Versäumnis, Warnsignale zu erkennen – insbesondere wenn darüber öffentlich berichtet wurde – die Position eines Unternehmens erheblich schwächen kann.

In diesem Umfeld sind Datenabdeckung und ausgereifte Suchfunktionen keine Option mehr, sie sind unverzichtbar. Kontinuierliche Überwachung: Das fehlende Puzzlestück

Die häufigste Schwachstelle herkömmlicher Due Diligence Programme liegt darin, dass eine kontinuierliche Überwachung fehlt.

Die Checkliste weist darauf hin, dass nach der Prüfung bei der Kundenaufnahme regelmäßige Kontrollen und automatisierte Überwachungen erfolgen müssen. Das Risikoprofil eines Dritten kann sich schnell verändern – etwa durch neue Sanktionslisten, Gerichtsverfahren, ESG-Kontroversen oder Managementversäumnisse.

Ohne ständige Überwachung kann ein Unternehmen lange nach der ersten Überprüfung einem Risiko ausgesetzt bleiben.

Ein risikobasiertes Modell setzt daher auf automatisierte Batch-Prüfungen, regelmäßige Aktualisierungen der Sanktionsprüfungen sowie eine fortlaufende Beobachtung negativer Medienberichte. Es versteht Due Diligence als einen fortlaufenden Prozess und nicht als ein einmaliges Ereignis.

Risikobasierte Due Diligence in großem Umfang ermöglichen

Die Einführung eines risikobasierten Rahmens für Hunderte oder Tausende von Drittparteien erfordert mehr als nur die Aktualisierung von Richtlinien. Es erfordert eine entsprechende Infrastruktur.

Unternehmen müssen in der Lage sein:

• Unternehmen in großer Zahl zu überprüfen
• Einheitliche Arbeitsabläufe anzuwenden
• Entscheidungsprozesse zu dokumentieren
• Hochwertige globale Daten zu integrieren
• Negative Medienberichte effizient zu identifizieren
• Prüfbare Berichte zu erstellen

Lösungen wie Nexis Diligence+ wurden entwickelt, um strukturierte Drittparteienüberprüfungen und optimierte Due Diligence-Workflows zu unterstützen. Die Möglichkeit, Unternehmen in großen Mengen hochzuladen, ESG-Kriterien und negative Medienberichte fortlaufend zu überwachen sowie auf geführte Untersuchungsprozesse zuzugreifen, steigert die Konsistenz und Nachvollziehbarkeit.

Für Unternehmen, die Compliance in interne Analyseumgebungen integrieren, liefert Nexis Data+ lizenzierte, globale Nachrichten, Unternehmens- und regulatorische Informationen über eine API – und schafft so die Grundlage für Risikobewertungsmodelle und kontinuierliche Überwachung.

Gleichzeitig beschleunigt Nexis+ AI die Recherche und Zusammenfassung, indem es auf vertrauenswürdige, autorisierte Daten zurückgreift. Dies hilft Analysten, sich auf wesentliche Themen zu fokussieren, anstatt Dokumente manuell zu sichten.

Technologie ersetzt zwar kein Urteilsvermögen, ermöglicht jedoch Verhältnismäßigkeit, Dokumentation und Effizienz in komplexen regulatorischen Umgebungen.