Due Diligence 2026: Warum Checklisten nicht mehr ausreichen

Vor fünf Jahren bedeutete Due Diligence vor allem eines: die Bekämpfung von Bestechung und Korruption. Gegenparteien wurden geprüft, Sanktionslisten und PEPs abgeglichen und die Ergebnisse dokumentiert. Im Jahr 2026 reicht dieser Ansatz nicht mehr aus.

Aufsichtsbehörden weltweit erwarten heute deutlich mehr. Neben Finanzkriminalität rücken ESG-Risiken, KI-Governance, komplexe Sanktionsregime und grenzüberschreitende Durchsetzung stärker in den Fokus. Von Europa über den Nahen Osten bis nach Lateinamerika wird von Unternehmen ein umfassendes und kontinuierliches Risikoverständnis entlang der gesamten Drittparteienbeziehungen verlangt.

Wer weiterhin auf klassische, checklistenbasierte Due-Diligence-Prozesse setzt, geht ein wachsendes Risiko ein – oft ohne es zu bemerken.

Wie sich Due Diligence verändert hat

1. ESG wird verbindlich

Menschenrechte, Umweltaspekte und Governance-Risiken sind längst mehr als freiwillige Nachhaltigkeitsthemen. In vielen Märkten werden sie zu verbindlichen Anforderungen. Unternehmen müssen heute:

• ESG-Risiken entlang der gesamten Wertschöpfungskette identifizieren und bewerten
• Risiken über direkte Zulieferer hinaus analysieren
• Kontinuierliches Monitoring nachweisen statt punktueller Prüfungen

Damit erweitert sich der Umfang der Due Diligence grundlegend.

2. Künstliche Intelligenz bringt neue Risiken

Künstliche Intelligenz ist heute fester Bestandteil vieler Compliance- und Entscheidungsprozesse – oft über Drittanbieter integriert. Gleichzeitig fehlt vielen Unternehmen die notwendige Transparenz: Woher stammen die Trainingsdaten? Wie wird mit Verzerrungen oder Fehlern umgegangen? Und wer trägt letztlich die Verantwortung für KI-gestützte Entscheidungen?

Regulierungsbehörden reagieren bereits darauf. KI-Anbieter werden zunehmend wie klassische Drittparteien bewertet und müssen entsprechend geprüft werden. Gleichzeitig entstehen neue Anforderungen an die Nachvollziehbarkeit von Entscheidungen und die Qualität der zugrunde liegenden Daten. Unternehmen müssen sicherstellen, dass KI-Systeme transparent, überprüfbar und regulatorisch konform eingesetzt werden.

3. Compliance wird global

Die Zusammenarbeit zwischen Aufsichtsbehörden ist heute Standard. Ein Verstoß in einem Land kann schnell Ermittlungen in mehreren Jurisdiktionen nach sich ziehen – mit erheblichen finanziellen und reputativen Folgen. Für international tätige Unternehmen bedeutet das: Due Diligence muss unterschiedliche und teilweise widersprüchliche regulatorische Anforderungen gleichzeitig berücksichtigen.

Warum klassische Checklisten nicht mehr funktionieren

Viele Unternehmen arbeiten noch mit Ansätzen, die für ein deutlich einfacheres Risikoumfeld entwickelt wurden. Typische Schwächen:

• Alle Drittparteien werden gleich behandelt
• Fokus liegt ausschließlich auf Finanzkriminalität
• Prüfungen erfolgen nur beim Onboarding
• Datenquellen sind fragmentiert oder unvollständig

Die Folge: blinde Flecken, die oft erst bei Audits oder öffentlichen Vorfällen sichtbar werden. 

Viele Due-Diligence-Checklisten basieren zudem auf statischen Abfragen und bilden die tatsächliche Risikodynamik nicht ab. Risiken entstehen heute jedoch nicht mehr punktuell, sondern entwickeln sich kontinuierlich – etwa durch neue regulatorische Anforderungen, geopolitische Veränderungen oder mediale Berichterstattung. Ohne laufende Aktualisierung und verlässliche Datenquellen bleiben solche Ansätze reaktiv. Unternehmen erfahren erst von Risiken, wenn diese bereits eingetreten sind.

Wie moderne Due Diligence aussieht

Um den heutigen Anforderungen gerecht zu werden, braucht es einen anderen Ansatz. Moderne Due Diligence ist risikobasiert, integriert und kontinuierlich.

In der Praxis bedeutet das, dass Unternehmen verstärkt auf datenbasierte Entscheidungsgrundlagen setzen. Dazu gehören beispielsweise kontinuierliche Medienanalysen, die Einbindung externer Datenquellen sowie automatisierte Risikoindikatoren. Ziel ist es, Risiken nicht nur zu dokumentieren, sondern aktiv zu steuern – und frühzeitig auf Veränderungen reagieren zu können.

Unternehmen priorisieren gezielt die kritischsten Risiken, betrachten Finanz-, ESG- und Technologierisiken gemeinsam und behalten auch grenzüberschreitende Entwicklungen im Blick. Statt einmaliger Prüfungen setzen sie auf laufendes Monitoring. Dieser Ansatz reduziert nicht nur regulatorische Risiken, sondern stärkt auch das Vertrauen von Aufsichtsbehörden, Partnern und anderen Stakeholdern.