Tech Due Diligence 2.0: Warum PE-Investoren jetzt AI-Readiness prüfen müssen
Von Jochen Maurer
Tech Due Diligence 2.0: Warum PE-Investoren jetzt AI-Readiness prüfen müssen
EQT hat ein Problem. Seit Anfang 2026 testet der schwedische PE-Riese gemeinsam mit Arma Partners das Käuferinteresse an thinkproject — dem europäischen Construction-SaaS-Anbieter mit über 3.000 Kunden, darunter Audi, EDF und Network Rail. Die angestrebte Bewertung: €1,5 Milliarden. Das Problem: In einer Welt, in der AI ganze Software-Kategorien auslöscht, stellt jeder potenzielle Käufer eine Frage, die vor zwei Jahren niemand gestellt hat:
“Wie AI-ready ist dieses Asset — wirklich?”
Das ist kein Einzelfall. Die durchschnittliche Haltedauer von PE-Portfolio-Companies ist auf 6,7 Jahre gestiegen — deutlich über dem 20-Jahres-Durchschnitt von 5,7 Jahren. Ein Rekord-Backlog an Exit-Kandidaten trifft auf Käufer, die plötzlich eine neue Due-Diligence-Dimension fordern. Wer die nicht bedienen kann, bleibt sitzen.
Ein aktuelles Beispiel aus dieser Woche: Volaris Group (Constellation Software) hat gerade zetVisions GmbH in Heidelberg übernommen — Legal Entity Management für DAX-Konzerne wie Volkswagen und Siemens. AI-Reife: Tier 4. Keine sichtbaren AI-Features. In der klassischen DD ein Red Flag. Aber Volaris denkt nicht in Exit-Multiples — sie denken in ewigem Free Cash Flow. Die Frage “Wie AI-ready?” hat für Permanent Capital eine fundamental andere Antwort als für einen PE-Fonds mit 5-Jahres-Horizont.
Dieser Artikel zeigt, warum die klassische Tech-DD nicht mehr reicht — und welche fünf Dimensionen jetzt über Exit oder Stuck entscheiden.
Warum die alte Tech-DD versagt
28% aller M&A-Deals 2025 waren AI-related. PE-Firmen akquirieren AI-enabled Companies in Rekordtempo und zu Premium-Bewertungen. Aber die meisten wenden dabei Frameworks aus der Industrieära auf Intelligence-Ära-Assets an.
Die klassische Tech-DD prüft: Code-Qualität, Architektur, Infrastruktur, Security, Skalierbarkeit. Das ist notwendig — aber nicht mehr hinreichend. Denn ein Target kann exzellenten Code haben und trotzdem ein AI-Desaster sein. Oder umgekehrt: mittelmäßigen Code, aber eine Datenarchitektur, die es zum AI-Gewinner macht.
| Alte DD-Frage | Neue DD-Frage |
|---|---|
| Wie ist die Code-Qualität? | Wie viel AI-generierter Code ist im Codebase — und wie ist dessen Qualität? |
| Ist die Architektur skalierbar? | Ist die Datenarchitektur AI-ready? |
| Hat das Team die richtigen Skills? | Hat das Team AI/ML-Kompetenz — oder nur “wir nutzen ChatGPT”? |
| Gibt es Security-Vulnerabilities? | Wie werden AI-Agents gesichert und überwacht? |
| Ist die Software DSGVO-compliant? | Ist die Software EU-AI-Act-compliant (ab August 2026)? |
Bain formuliert es direkt: AI Due Diligence ist eine “New Diligence Challenge” — wer AI-Risiken und -Opportunities nicht systematisch aufdeckt, kauft blind.
Das Konzept: AI Debt
Neben Technical Debt gibt es jetzt AI Debt — und die Zahlen sind alarmierend:
| Metrik | Wert | Quelle |
|---|---|---|
| AI-generierter Code: Issues pro PR | 10,83 vs. 6,45 (Human) — 1,7x mehr | arXiv: Debt Behind the AI Boom |
| Correctness Issues | 1,75x höher bei AI-Code | arXiv |
| Security Issues | 1,57x höher bei AI-Code | arXiv |
| Technical Debt nach AI-Adoption | +30-41% innerhalb von 90 Tagen | ByteIota |
| Static Analysis Warnings | 4,94x Anstieg | ByteIota |
| Tech-Entscheider mit moderatem-bis-schwerem Tech Debt | 75% bis 2026 | Forrester |
| GenAI-Pilots die scheitern | 95% | MIT NANDA Initiative |
Was AI Debt für die DD bedeutet: Wenn ein Target stolz verkündet “40% unseres neuen Codes ist AI-generiert”, dann ist die richtige Reaktion nicht Bewunderung — sondern die Frage: Wie hoch ist die Defect Density in diesem Code? Wer reviewt ihn? Wie misst ihr die Qualität?
Ein Target, das AI-generierten Code ohne Quality Gates einsetzt, akkumuliert stille Schulden. Die zeigen sich nicht in den Quartalszahlen — aber in der Post-Acquisition-Integration, wenn plötzlich 6 Monate Refactoring nötig sind.
Die fünf DD-Dimensionen für 2026
Dimension 1: Data Assets
Die wichtigste Frage in jeder AI-DD ist nicht “Habt ihr AI?” — sondern “Wie gut sind eure Daten?”
| Prüfpunkt | Was zu bewerten ist |
|---|---|
| Daten-Architektur | Wo leben die Daten? Welche Formate? Wie vernetzt sind die Systeme? |
| API-Zugänglichkeit | Welcher Anteil der operativen Daten ist strukturiert und via APIs zugänglich? |
| Daten-Exklusivität | Hat das Target proprietäre Daten, die Wettbewerber nicht haben? |
| Data Readiness Score | Ergebnis informiert direkt über Timeline und Kosten der Post-Acquisition AI-Roadmap |
RSM empfiehlt: Der “Data Readiness Score” eines Targets sollte genauso systematisch erhoben werden wie der EBITDA.
DACH-Beispiel: Celonis ist das Paradebeispiel für einen starken Data Asset — Process Mining erzeugt Daten-Netzwerkeffekte, die mit jedem Kunden wertvoller werden. Ein Target wie Celonis hat einen fundamental anderen AI-Readiness-Score als ein Target, dessen Daten in Excel-Sheets und lokalen Datenbanken verstreut sind.
Dimension 2: Model Quality & AI Debt
| Prüfpunkt | Was zu bewerten ist |
|---|---|
| AI-Code-Anteil | Wie viel Code ist AI-generiert? Wie wird Qualität gesichert? |
| Defect Density | Issues pro 1.000 Lines of Code — getrennt nach human/AI |
| Test Coverage | Benchmark 2026: >80% für AI-generierten Code |
| AI-Feature-Tiefe | Sind die “AI-Features” echte ML-Modelle oder LLM-Wrapper? |
| Model Governance | Wie werden Modelle versioniert, evaluiert, aktualisiert? |
Red Flag: Wenn ein Target “AI-Features” anpreist, aber auf Nachfrage herauskommt, dass es sich um simple OpenAI-API-Calls handelt — ohne eigene Daten, ohne Fine-Tuning, ohne Moat — dann ist das Marketing, kein Wettbewerbsvorteil. Jeder Konkurrent kann denselben API-Call machen.
Aktuelles Beispiel: Bei der zetVisions-Übernahme durch Volaris diese Woche ist genau das sichtbar: zetVisions hat keine öffentlichen AI-Features (Tier 4), aber eine tiefe SAP-Integration und regulatorische Verankerung als Moat. Das Management signalisiert AI als Zukunftsthema — “Wir sehen großes Potenzial im Volaris-Ökosystem, unsere Lösungen in Richtung AI weiterzuentwickeln.” Die DD-Frage ist: Wie schnell und wie teuer wird diese AI-Transformation? Und reichen die Data Assets (200+ DAX-Konzerne, Beteiligungsstrukturen) als Grundlage?
Dimension 3: AI Talent
| Prüfpunkt | Was zu bewerten ist |
|---|---|
| ML/AI-Headcount | Wie viele dedizierte AI/ML-Engineers? Anteil am Gesamtteam? |
| Retention Risk | AI-Talent ist der kompetitivste Arbeitsmarkt 2026 — wie hält das Target seine Leute? |
| Skill-Tiefe | ”Wir nutzen ChatGPT” ≠ AI-Kompetenz. Eigene Modelle? Eigenes Training? |
| Hiring Pipeline | Kann das Target AI-Talent nachrekrutieren? In DACH besonders schwierig (>100.000 offene IT-Stellen) |
Dimension 4: Regulatory Compliance
| Prüfpunkt | Was zu bewerten ist |
|---|---|
| EU AI Act Readiness | Ab 2. August 2026 gelten High-Risk-Anforderungen — ist das Target vorbereitet? |
| High-Risk-Klassifizierung | Fallen Produkte des Targets unter High-Risk? (HR-Software, Finanz-Scoring, kritische Infrastruktur) |
| Human Oversight | Art. 14 EU AI Act: Können Menschen die AI-Outputs verstehen, überstimmen, abschalten? |
| Audit-Trail | Art. 26: Werden AI-generierte Logs aufbewahrt? |
| Bußgeld-Exposition | Bis 35 Mio. EUR oder 7% des globalen Umsatzes |
Wie wir in AI Agents brauchen Aufsicht gezeigt haben: Die EU macht Human Oversight zur Pflicht. Ein Target ohne Compliance-Plan hat ab August 2026 ein materielles Risiko.
Diese Woche konkret: Die Investitionsprüfung bei PSI Software durch die Bundesregierung zeigt die andere Seite der Regulatory-Dimension. Warburg Pincus hat 81,7% gesichert, aber die AWV-Prüfung läuft seit Januar 2026. Wenn PSI Leitsystem-Software für Deutschlands Stromnetze liefert und an bundesgeförderten Cybersecurity-Projekten arbeitet — dann ist Regulatory Compliance nicht nur ein AI-Thema, sondern ein Souveränitäts-Thema.
Dimension 5: Agent Security & Identity (NEU)
Diese Dimension existierte vor 12 Monaten nicht. Heute ist sie kritisch:
| Prüfpunkt | Was zu bewerten ist |
|---|---|
| Agent-Inventar | Wie viele AI-Agents sind im Einsatz? Wer hat sie deployed? Wer überwacht sie? |
| Agent-Identity | Werden Agents als eigenständige Identitäten behandelt? (Nur 22% der Unternehmen tun das) |
| Non-Human-Identity-Ratio | Moderne Umgebungen: 50:1 Non-Human vs. Human Identities |
| Security Incidents | 88% der Unternehmen berichten von AI-Agent-Security-Vorfällen |
| Monitoring | Agent Drift Detection? Canary Questions? Escalation Procedures? |
| Data Leakage | 77% sensibler Daten fließen via Copy&Paste in GenAI-Tools |
Der Markt reagiert: Noma Security hat $100M Series B für AI-Agent-Sicherheit eingesammelt. Okta launcht “Okta for AI Agents” am 30. April 2026 — Agents werden wie menschliche Identitäten verwaltet, mit Access Reviews, Policy Enforcement und Audit Trails. Obsidian Security baut einen Agent-Defence-Layer für SaaS-Umgebungen.
DD-Implikation: Wenn ein Target 20 AI-Agents im Einsatz hat, aber auf die Frage “Wer überwacht die?” länger als 5 Sekunden braucht — gibt es kein Monitoring.
Der Exit-Stau: Wenn AI-Readiness über den Exit entscheidet
Die fünf Dimensionen sind nicht nur akademisch. Sie entscheiden jetzt über konkrete Exits:
| Metrik | Wert |
|---|---|
| Durchschnittliche PE-Haltedauer | 6,7 Jahre (20-Jahres-Hoch) |
| PE-Exit-Backlog | Rekordniveau — massiver Überhang an Exit-Kandidaten |
| DACH-Region | Zweitstärkstes Momentum-Wachstum in Europa erwartet |
| Software/Tech | Höchste erwartete PE-M&A-Transaktionszahl aller Sektoren |
EQT/thinkproject ist exemplarisch: Construction-SaaS mit starkem Recurring Revenue und prominenten Enterprise-Kunden. Vor zwei Jahren wäre der Exit bei €1,5 Mrd. ein Selbstläufer gewesen. Heute muss jeder Bieter prüfen: Wie tief ist AI integriert? Ist thinkproject ein “AI enhances”-Gewinner (wie wir es in Fünf Szenarien eingeordnet haben) — oder ein Target, das noch eine teure AI-Transformation vor sich hat?
Permiras Gegenstrategie: Distressed als Opportunity
Während manche Exits stocken, sieht Permira eine Chance. Der €85-Milliarden-PE-Gigant kauft gezielt Distressed Software-Loans im europäischen Sekundärmarkt.
Ian Jackson, Head of Strategic Opportunities bei Permira Credit, formuliert die These: “Der Markt hat überreagiert.” Viele Software-Unternehmen werden keine Restrukturierung durchlaufen. Permira zielt auf Unternehmen, deren Produkte betriebskritisch, datenreich oder tief in Enterprise-Workflows integriert sind — genau die Kriterien, die wir in Software-Moats im AI-Zeitalter als Überlebensmerkmale identifiziert haben.
Die implizite DD-Frage: Permira kauft nicht blind Distressed — sie kaufen Software-Assets, die nach ihrem AI-Readiness-Assessment unterbewertet sind. Sie machen genau die DD, die dieser Artikel beschreibt.
Das AI-Readiness-Scoring: Ein Framework
Für PE-Investoren schlagen wir ein Vier-Stufen-Modell vor — dieselben Tiers, die wir auch in unseren wöchentlichen Deal-Analysen verwenden:
| Tier | Beschreibung | AI-Readiness | Exit-Implikation |
|---|---|---|---|
| Tier 1: AI-Immune | Tief reguliert, null Fehlertoleranz | AI irrelevant | Stabile Bewertung, kein AI-Risiko, kein AI-Upside |
| Tier 2: AI-Enhanced | Starke Daten-Moats, AI als Feature-Upgrade | Hoch | Premium-Bewertung, AI steigert den Wert |
| Tier 3: AI-Exposed | Seat-basiert, automatisierbare Workflows, schwache Daten | Niedrig | Bewertungsabschlag, längere Haltedauer, Transformationskosten |
| Tier 4: AI-Dead | Kernfunktion durch LLM ersetzbar, kein Moat | Irrelevant | Exit unwahrscheinlich, Write-down-Kandidat |
DACH-Einordnung:
- Tier 1: Haufe Group (Steuer/Arbeitsrecht), DATEV (regulatorische Tiefe)
- Tier 2: Celonis (Data Network Effects), thinkproject (Construction-Daten + Workflow-Embedding)
- Tier 3: Generische CRM/HR-Tools ohne proprietäre Daten, einfache Reporting-Software
- Tier 4: Standalone-Translation, Basic Content Curation, einfache Q&A-Plattformen
Aktuelles Beispiel aus KW15: Die aconso/Centric Germany-Akquisition zeigt einen spannenden Grenzfall: aconso hat Production-AI-Features (automatische Dokumentenklassifizierung, OCR) — das ist Tier 2-3. Aber mit 1.450+ Kunden und 1 Milliarde verwalteten HR-Dokumenten hat aconso einen Data Asset, der durch AI noch wertvoller werden kann. Die DD-Frage ist nicht “hat aconso AI?”, sondern “was ist der Data Asset wert, wenn man echte AI darauf baut?”
Meine Perspektive 🎯
-
Die DD hat sich in 18 Monaten fundamental verändert. Wer 2024 noch mit einem Standard-Tech-DD-Framework arbeiten konnte, fliegt 2026 blind. Die fünf neuen Dimensionen — Data Assets, AI Debt, AI Talent, Regulatory, Agent Security — sind nicht optional. Sie sind der Unterschied zwischen einem Exit bei €1,5 Mrd. und einem, der auf unbestimmte Zeit verschoben wird.
-
AI Debt ist das neue Technical Debt — nur schlimmer. Technical Debt akkumuliert sich über Jahre und ist sichtbar. AI Debt akkumuliert sich in 90 Tagen und ist unsichtbar. Wenn ein Target 40% AI-generierten Code hat und die Defect Density nicht kennt, hat es ein Problem, das es nicht einmal sieht. Die 1,7x-Issues-Rate aus der arXiv-Studie ist ein Durchschnittswert — bei schlecht gemanagtem AI-Code ist es deutlich schlimmer.
-
Permiras Strategie ist die smarteste Reaktion auf den SaaSpocalypse-Sell-Off. Während alle anderen in Panik Software-Assets abstoßen, kauft Permira gezielt diejenigen, die ihre eigene DD als unterbewertet identifiziert. Das ist die Essenz von Tech DD 2.0: Nicht “hat die Firma AI?” fragen, sondern “ist die Firma so AI-exponiert, wie der Markt denkt — oder hat sie Moats, die der Markt übersieht?”
-
Agent Security ist die DD-Dimension, die 2024 nicht existierte und 2026 nicht ignoriert werden kann. 88% der Unternehmen berichten von AI-Agent-Security-Vorfällen. Nur 22% behandeln Agents als eigenständige Identitäten. In einer Welt, in der Non-Human-Identities Human-Identities 50:1 übertreffen, ist die Frage “Wie sichert ihr eure Agents?” genauso fundamental wie “Wie sichert ihr eure Kundendaten?”
-
Der EU AI Act wird ab August 2026 zum Dealbreaker. Non-Compliance ist kein Risiko, das man in der Post-Acquisition fixt. Es ist ein Risiko, das den Deal verhindert. Bußgelder von 35 Mio. EUR oder 7% des Umsatzes machen aus einem attraktiven Target ein toxisches Asset — wenn die Compliance nicht vor dem Exit steht.
Fazit: Die DD-Checkliste 2026
Fünf Fragen, die jede Software-DD jetzt beantworten muss:
- Data Assets: Hat das Target proprietäre Daten, die durch AI wertvoller werden — oder Daten, die jeder hat?
- AI Debt: Wie viel AI-generierter Code ist im Codebase, und wie hoch ist die Defect Density?
- AI Talent: Hat das Team echte ML-Kompetenz — oder nur API-Wrapper-Skills?
- Regulatory: Ist das Target ab August 2026 EU-AI-Act-compliant — oder steht eine teure Nachbesserung an?
- Agent Security: Wie viele AI-Agents sind im Einsatz — und wer überwacht sie?
Die Antworten auf diese Fragen trennen 2026 die Exits von den Stuck Deals. Und die Permiras dieser Welt von denen, die den Ausverkauf erleiden.
Quellen und weiterführende Links
- Bloomberg: EQT Weighs Sale of Thinkproject
- Bloomberg: Permira Looks to Buy Beaten Up Software Loans
- PE Wire: Permira Targets Distressed Software Loans
- Daily Upside: PE Carries Record Backlog into 2026
- Bain: New Diligence Challenge
- RSM: AI Due Diligence Assessment
- Opagio: AI DD for PE
- arXiv: Debt Behind the AI Boom
- ByteIota: AI Technical Debt 30-41% Increase
- Okta: Showcase 2026 — AI Agent Identity
- Noma Security: AI Agent Security Platform
- Gravitee: 88% AI Agent Security Failures
- Roland Berger: European PE Outlook 2026
- Goodwin: What’s Next for Global PE in 2026
- Playbook: B2B Software Deals KW15/2026