B2B Software Deals KW22/2026: Main holt Maschinenbau-CPQ, Elvaston nach Bern, DPE löst Adiuva ab, House of Gaia gibt ESG einen Konsolidator
Von Jochen Maurer
B2B Software Deals KW22/2026: Maschinenbau-CPQ, Public-Sector-Schweiz, KRITIS-MSSP — der Mid-Market zieht die Tiefe-Ebene durch
KW22 ist die Woche ohne Headline-Deal — und das ist die eigentliche Geschichte. Während SAP nach der Sapphire-Show vier Wochen Ruhe braucht, läuft die operative DACH/Benelux-Konsolidierung in der zweiten Reihe auf voller Drehzahl. Vier Akquisitionen, eine Fusion und ein Seed-Investment zeichnen das Bild eines Marktes, der die Lehre aus der SaaSpocalypse umsetzt: Tiefe schlägt Bewertung. Wer 2026 noch Kapital zieht, tut das mit Vertikal-Tiefe, Public-Sector-Anker oder Privacy-Anker — nicht mit Horizontal-Geschwindigkeit.
Main Capital Partners und sein zehn Monate altes Norweger-Asset Xait machen am 27. Mai den ersten Add-on-Schritt und schlucken die SAE Applications for Digitalization GmbH aus dem niederbayerischen Weng — ein 25 Jahre altes CPQ- und Variantenmanagement-Haus, das in der SAP-S/4HANA-Welt um Siemens Teamcenter, NX und Maschinenbau-Konfigurationen herum gewachsen ist. Elvaston Capital Management wiederum lässt seine Düsseldorfer Plattform CONVOTIS am 26./27. Mai die Schweizer GLAUX GROUP AG übernehmen — rückwirkend zum 1. Januar 2026, mit rund 200 Mitarbeitenden und einer Spezialisierung auf E-Government, Justiz und Sozialwesen, in einem Markt, in dem deutsche Hersteller traditionell keinen Fuß bekommen. Deutsche Private Equity (DPE) übernimmt von Adiuva Capital die Mehrheit am Mainzer Sicherheits-Systemhaus NTA-Gruppe (~360 FTE, 9 Standorte in Deutschland und Luxemburg, >60 Mio. € Umsatz, KRITIS-Fokus) und positioniert die nächste Sponsor-to-Sponsor-Plattform für die Managed-Services-These. In München fusionieren Code Gaia und Planted unter dem Holding-Dach House of Gaia und kündigen die erste ESG-Software-Buy-and-Build-Plattform im DACH-Mittelstand an. Und in Berlin holt sich NENNA.AI Zürcher Groundshift-Geld für genau die Privacy-Schicht, die SAPs Joule-Politik und der EU AI Act gerade zur regulatorischen Pflicht machen.
Das verbindende Muster: Wo der Walled Garden zu eng wird, wandert das Geld in die Vertikal-Tiefe. Main zieht Maschinenbau-CPQ in eine Document-Collaboration-Suite. Elvaston kauft sich Bern-Kompetenz, die deutsche Anbieter mit ihren ELSTER- und VPSA-Köpfen nicht haben. DPE macht aus einem 25 Jahre alten Sicherheits-Systemhaus eine MSSP-Plattform für KRITIS-Pflicht. House of Gaia räumt einen ESG-Markt auf, der nach der CSRD-Verschiebung in 2025/26 unter Konsolidierungsdruck steht. NENNA.AI verkauft die Tatsache, dass kein deutscher Mittelständler GPT-4 oder Claude jemals direkt auf Personaldaten loslassen darf.
Deal 1: Xait acquires SAE GmbH — Main Capitals erster DACH-Add-on, Maschinenbau-CPQ als Plattform-Tiefe
| Detail | Wert |
|---|---|
| Ankündigung | 27. Mai 2026 |
| Deal-Typ | Mehrheitsübernahme (Add-on) |
| Käufer | Xait AS (Stavanger, Norwegen) — backed by Main Capital Partners seit Juli 2025 |
| Ziel | SAE Applications for Digitalization GmbH (Weng, Niederbayern) — CPQ + Variantenmanagement |
| Verkäufer | Bisherige Gesellschafter (Gründerkreis) |
| Kaufpreis | nicht offengelegt |
| Gegründet | 1998 / 2000 |
| Mitarbeiter | ~50 (Schätzung aus LinkedIn) |
| Produkt | CPQ-Plattform + Variantenmanagement-Suite, Schnittstellen zu SAP S/4HANA, Siemens Teamcenter & NX |
| Vertical-Fokus | Maschinenbau, Anlagenbau, Fahrzeugbau, Werkzeugmaschinen |
| Reichweite | Kunden in über 100 Ländern |
| Quellen | PE Hub, Shashi.co Analysis, Startbase KW22, SAE Portal |
Hintergrund
Main Capital hat Xait im Juli 2025 übernommen — eine norwegische Document-Collaboration- und Bid-Management-Plattform, die im Norden und in UK gut verankert war, aber in Kontinentaleuropa unter dem Radar lief. Genau zehn Monate später kommt der erste Add-on, und er ist strategisch präzise gewählt: SAE ist kein Document-Tool, sondern ein Engineering-CPQ. Die beiden Welten gehören zusammen — Document Generation (Angebote, Pflichtenhefte, Bedienungsanleitungen) ist der natürliche Output einer Konfigurations-Plattform. Wer einen Maschinenkonfigurator hat, muss am Ende ein 200-seitiges Angebot mit korrekten Stücklisten, Preisstaffelungen und Compliance-Texten generieren. Das ist Xait. Aber bisher hat Xait genau dort aufgehört, wo die Konfiguration anfängt.
SAE bringt drei Dinge ins Main-Capital-Portfolio, die Xait alleine nicht hatte:
-
SAP-S/4HANA-Vorintegration. SAEs Architektur ist seit 25 Jahren auf SAP-Variantenkonfiguration (VC) und LO-VC aufgebaut. Das ist eine Welt, in der CPQ-Wettbewerber wie Tacton (Schweden), Configit (Dänemark) und SAP CPQ selbst dominieren, in der amerikanische Anbieter wie Salesforce CPQ (Steelbrick) und PROS Smart CPQ aber praktisch keine Rolle spielen. SAE hat hier eine seltene Position: groß genug, um relevant zu sein, klein genug, um vom Plattform-Sponsor übernommen zu werden.
-
Siemens-Teamcenter- und NX-Schnittstellen. Die Verbindung von Engineering-PLM (Teamcenter) zu CPQ ist eine der schwierigsten und teuersten Integrationen im Maschinenbau-Stack. SAE hat diese Schnittstelle als Off-the-Shelf-Produkt — was den Verkaufsweg in Mid-Market-Maschinenbau dramatisch verkürzt.
-
DACH-Vertriebsorganisation. Xait hatte vor diesem Deal keinen DACH-Vertrieb. Mit SAE kauft Main 25 Jahre Kundenbeziehungen in einer Region, die für ein PE-Asset mit Plattform-Ambition unverzichtbar ist.
Strategische Einschätzung
Produkt-Strategie: Klassisches Main-Capital-Add-on-Schema — geographisches Plus (DACH), Vertical-Plus (Maschinenbau), Stack-Plus (Engineering-PLM). Das ist die Variante, die Main seit 22 Jahren über 55 Software-Portfolios spielt. Was diesen Deal interessanter macht als das durchschnittliche Mid-Market-Add-on: SAE und Xait haben komplementäre Funktionen, nicht überlappende. Die übliche Add-on-Mathematik (“Cost Synergies durch FTE-Konsolidierung”) spielt hier keine Rolle — beide Teams werden in voller Größe gebraucht. Was zählt, ist die Cross-Sell-Mechanik: Xait-Kunden mit Konfigurationsbedarf bekommen SAE-Module, SAE-Kunden mit Angebotsdokumenten-Bedarf bekommen Xait. Wenn diese Mechanik bei 30% Cross-Penetration in 24 Monaten ankommt, ist die Bewertung des Deals gerechtfertigt.
Tech-Stack & Integration:
Infrastructure & Platform
- SAE läuft historisch als On-Premise- bzw. private-Cloud-Lösung in vielen Maschinenbau-Kundeninstallationen. Xait ist Multi-Tenant-SaaS. Die erste Plattform-Frage wird sein, ob SAE eine vollständige Multi-Tenant-Re-Architektur durchläuft (12-24 Monate, hoher Tech-Debt-Schnitt) oder als Single-Tenant-Premium-Variante in der Suite verbleibt. Aus Erfahrung mit ähnlichen Konstellationen: Main Capital fährt bei diesen Entscheidungen meistens den pragmatischen Weg — Hybrid-Modell mit langsamer Migration, kein Big-Bang.
- Hosting-Konsolidierung wird auf Azure laufen (Xait ist Azure-nativ), nicht auf AWS. Das hat Vertriebs-Konsequenzen für SAE-Kunden im SAP-Umfeld: SAP BTP läuft auf Azure und AWS, aber die meisten SAP-S/4HANA-Kunden präferieren heute Azure als Public Cloud — passt.
Data & Integration
- Die SAP-VC-Schnittstelle von SAE muss in eine Suite-Architektur überführt werden, die auch ohne S/4HANA funktioniert. Xait verkauft heute primär in Branchen ohne ERP-Komplexität (Energie, Defense, Engineering Services). Eine geschickte Modularisierung der SAP-Anbindung ist Pflicht, damit Xait-Bestandskunden nicht plötzlich eine SAP-Lizenz brauchen.
- Master Data: Im Maschinenbau-Konfigurator liegen die Stammdaten meistens in SAP MM/PP und in Teamcenter parallel. SAE hat Konflikt-Auflösungs-Logik dafür entwickelt — das ist genau die Art von Domain-Wissen, die ein PE-Plattform-Sponsor nicht in 18 Monaten nachbauen kann.
Product & Licensing
- Lizenzmodell-Harmonisierung wird die zweite große Frage: SAE verkauft historisch Named-User-Lizenzen mit On-Premise-Wartung; Xait fährt Subscription. Der Wechsel von Maschinenbau-Mittelstandskunden in Subscription-Modelle ist heute zwar machbar (CFO-Akzeptanz ist da), aber die Conversion ist nicht trivial, weil bestehende On-Premise-Lizenzen oft als Asset abgeschrieben sind. Erwartung: 36-Monats-Migration, mit aktivem Abwehrkampf gegen Wettbewerber wie Tacton.
AI-Strategie & Exit-Impact:
AI-Reife: Tier 3 (Early/Platform-dependent) für Xait+SAE im aktuellen Zustand. Beide haben Copilot-Features auf LLM-Wrapper-Basis (Angebots-Generierung bei Xait, Konfigurations-Vorschläge bei SAE), aber keine eigenständige ML-Pipeline. SAE hat historisch regelbasierte Constraint-Solver — das ist robuste Engineering, aber nicht das, was 2026 ein PE-Bewertungsmultiple treibt.
SaaSpocalypse-Test: CPQ ist eine der Funktionen, die agentic AI am schnellsten ersetzen wird. Wenn ein Salesforce- oder Microsoft-Agent in 2027/28 in der Lage ist, eine Maschinenkonfiguration zu generieren und ein PDF-Angebot direkt aus dem CRM zu erzeugen, ist der Per-Seat-Wert von SAE-Lizenzen massiv unter Druck. Was für das kombinierte Asset spricht: Die SAP-VC-Tiefe und die Engineering-PLM-Integration sind nicht trivial — ein Agent muss die Stücklisten, Compliance-Regeln und Preis-Konditionen kennen, um wirklich operativ zu sein. Das ist Vertikal-Wissen, das im Mid-Market-Maschinenbau heute nirgends als Public-API-Layer verfügbar ist. Main Capital hat hier ein 24-Monats-Fenster, in dem das kombinierte Asset Premium-Wert hat — danach muss eine eigene Agent-Layer entstehen, sonst verliert der Stack gegen Salesforce.
Bewertungs-Impact: Mid-Market-CPQ in DACH wird heute bei 4–7x ARR gehandelt (Quelle: Software Equity Group Mid-Market Multiples Q1 2026, eigene DD-Erfahrung). Bei geschätzten 8–12 Mio. € SAE-Umsatz entspricht das einer Bewertung von 30–80 Mio. €. Main wird hier eher im unteren Bereich gezahlt haben — die Add-on-Logik erlaubt das. Der Exit-Hebel sitzt im Cross-Sell zu Xaits Bid-Management-Suite und in der späteren Re-Bewertung des kombinierten Assets als “DACH Engineering CPQ Platform” — wenn Main das in 36 Monaten an einen strategischen Käufer (Siemens, PTC, Dassault) verkauft, sind 10–14x ARR realistisch.
Meine Perspektive 🎯
“Home Turf” — ERP/SAP, Maschinenbau, Multi-Tenant SaaS, PIM/CPQ-Architekturen.
Ich kenne den DACH-CPQ-Markt aus eigenen DDs. SAE war auf meiner Watchlist seit mindestens drei Jahren — das Unternehmen ist immer wieder als Akquisitionsziel diskutiert worden, weil die SAP-VC-Tiefe selten geworden ist. Tacton hat das vor einer Dekade ähnlich aufgebaut, ist heute aber primär durch Schwedisch-AB-Skandinavien-Bewertung getrieben. SAE wäre für Tacton, Configit oder einen US-Käufer (PROS, Conga) der naheliegende DACH-Eintritt gewesen. Dass jetzt ein norwegisches Document-Collaboration-Asset mit niederländischem PE-Sponsor zuschlägt, ist clever — und teurer für die strategischen Käufer, die später nachziehen müssen.
Was ich in der DD geprüft hätte: (a) die tatsächliche SAP-S/4HANA-Adoption bei SAE-Bestandskunden (viele leben noch auf SAP ECC, die VC-Migration nach S/4HANA ist ein Schmerz, den nicht jeder Kunde zahlt); (b) die Customer-Concentration im deutschen Maschinenbau (ein BMW- oder Siemens-Anker bei 20%+ ARR wäre ein asymmetrisches Risiko); (c) die Tech-Debt der SAE-Codebasis, speziell die Browser-UI-Schicht — 25 Jahre alte Codebasen haben oft eine WinForms/.NET-Vergangenheit, die nicht trivial in Web umzubauen ist.
AI-Perspektive: Tier 3, mit klarem Tier-2-Pfad in 18 Monaten. Wenn Main es schafft, die regelbasierte Konfigurationslogik von SAE mit einem LLM-Constraint-Solver zu erweitern (z.B. “Kunde beschreibt seine Anforderung in Natural Language → System schlägt Konfiguration vor”), ist das ein echtes Tier-2-Produkt. Das ist machbar, aber nicht trivial — die typische Maschinenbau-Konfiguration hat 5.000+ Regeln, die in eine LLM-Pipeline injiziert werden müssen, ohne dass das Modell halluziniert. Hier liegt das eigentliche Tech-Risiko des Deals.
Smart oder riskant? Smart, mit klarem 24-Monats-Window. Wenn Main bis Mitte 2028 die Cross-Sell-Mechanik und die AI-Layer aufgebaut hat, ist das ein 12x-MOIC-Asset. Wenn nicht, ist es ein klassischer SaaS-Mid-Market-Sponsor-to-Sponsor-Exit bei 2,5–3,5x. Das Delta ist die Execution-Frage.
Deal 2: CONVOTIS Schweiz übernimmt GLAUX Group — Elvaston kauft Bern-Kompetenz rückwirkend
| Detail | Wert |
|---|---|
| Ankündigung | 26./27. Mai 2026 |
| Deal-Typ | Übernahme + Integration in Tochtergesellschaft |
| Käufer | CONVOTIS Schweiz AG, Tochter der CONVOTIS Group (Düsseldorf) — backed by Elvaston seit Januar 2020 |
| Ziel | GLAUX GROUP AG (Bern, Schweiz) — Individual- und Standardsoftware für öffentliche Verwaltung, Justiz, Sozialwesen |
| Verkäufer | bisherige Gesellschafter um Ueli Aregger (CEO GLAUX) |
| Kaufpreis | nicht offengelegt |
| Mitarbeiter GLAUX | ~200 |
| CONVOTIS-Konzern | ~192 FTE in 2026, >3.500 Kunden europaweit |
| Wirksam | rückwirkend zum 1. Januar 2026 |
| Strategie-Kontext | Folge-Akquisition nach SAP-Sparten-Verkauf der CONVOTIS Group an Aricoma (Januar 2026) — Mittel werden in Cloud, AI, Sovereign-Cloud und Cybersecurity reinvestiert |
| Quellen | Inside-IT, Netzwoche, CONVOTIS PR, Computerworld |
Hintergrund
Elvaston hat CONVOTIS Anfang 2020 als IT-Services-Plattform übernommen und seitdem in der klassischen Buy-and-Build-Logik aufgebaut. Spannender ist die strategische Rotation, die mit diesem Deal sichtbar wird: Im Januar 2026 hat CONVOTIS seine SAP-Geschäftseinheit an den tschechischen IT-Konzern Aricoma verkauft. Damit hat sich die Gruppe vom klassischen SAP-Beratungshaus hin zu einer “Digital Transformation / AI / Sovereign Cloud / Cybersecurity”-Plattform repositioniert. GLAUX ist der erste sichtbare Re-Invest dieser Kapital-Rotation.
GLAUX ist im DACH-Mittelstand wenig bekannt, aber in der Schweiz eine relevante Größe: Spezialist für Verwaltungs-, Justiz- und Sozial-Software, mit den 200 FTE in einem Markt, in dem die deutschen E-Government-Anbieter (Materna, Governikus, Mach AG) traditionell keinen Fuß bekommen — weil Schweizer Kantone andere Schnittstellen, andere Datenschutz-Regeln und andere Vergabe-Logiken haben. Wer Bern-Kompetenz im öffentlichen Sektor will, muss kaufen.
Die rückwirkende Einbringung zum 1. Januar 2026 ist juristisch und steuerlich interessant: Sie deutet darauf hin, dass die Verhandlungen bereits Q4/2025 abgeschlossen waren und der formelle Signing/Closing-Akt nur die finale juristische Konstruktion abbildet. Das spart der CONVOTIS-Gruppe in der 2026er-Bilanz fünf Monate Konsolidierungseffekt.
Strategische Einschätzung
Produkt-Strategie: CONVOTIS folgt mit dem Deal einem zweistufigen Move:
- Carve-out der SAP-Sparte (Januar 2026) — verkauft ein margengetriebenes, aber wachstumsschwaches Asset, das in der SAP-Welt zunehmend von Indern und Eastern-European-Nearshoring-Anbietern unter Preisdruck steht.
- Re-Invest in Sovereign-Cloud-Public-Sector (Mai 2026) — kauft ein Asset, das (a) margengetriebener ist (Public Sector zahlt für Compliance-Tiefe), (b) verteidigungsfähiger ist (Bern-Schnittstellen, ELSTER-Pendants, gerichtsspezifische Workflows) und (c) regulatorisch wachsen muss (Schweizer Datenschutzgesetz, NIS2-Pendants, KRITIS-Pflichten).
Das ist eine intelligente Sponsor-Rotation, die zeigt, wie Elvaston seine Plattform nach sieben Jahren Halten neu positioniert. Erwartung: Die Plattform wird in 18–30 Monaten an einen größeren Sponsor (Hg, Cinven) oder einen strategischen Käufer (Aricoma selbst, Atos, OBT) verkauft.
Tech-Stack & Integration:
Application & Architecture
- GLAUX-Software liegt vermutlich in einer .NET/Java-Welt mit lokalen kantonalen Anpassungen. Die Integration in CONVOTIS’ Plattform wird vorsichtig laufen, weil Kanton-Software keine zentrale Multi-Tenant-Re-Architektur verträgt — jeder Kanton hat seine eigenen Workflows und Vorgaben.
- Sovereign-Cloud-Anker: CONVOTIS baut aktuell eine Sovereign-Cloud-Plattform auf (auf Basis von OpenStack oder STACKIT-ähnlichen Konstrukten), die GLAUX-Workloads aus der traditionellen Inhouse-Hosting-Welt der Kantone überführen kann. Das ist der eigentliche Hebel — GLAUX-Bestandskunden brauchen bis 2027/28 eine Sovereign-Cloud-Option, weil das neue Schweizer Datenschutzgesetz (revDSG) und der EU AI Act sie sonst regulatorisch erdrücken.
Security & Compliance
- ISAE-3402-Reports, ISO 27001, FINMA-Vorgaben, kantonale eGov-Standards — das ist die Compliance-Welt, in der GLAUX zu Hause ist und in der CONVOTIS bisher nur am Rand operierte. Hier liegt der eigentliche Cross-Sell: CONVOTIS kann GLAUX-Bestandskunden Cybersecurity-Services (SOC, SIEM, Pen-Tests) verkaufen, die GLAUX selbst nicht im Portfolio hatte.
AI-Strategie & Exit-Impact:
AI-Reife: Tier 4 (No visible AI) für GLAUX im aktuellen Zustand, mit klarem Tier-3-Pfad durch CONVOTIS-Integration. Public-Sector-Software in der Schweiz ist heute fast vollständig ohne sichtbare AI-Strategie — das ist kein Versäumnis, sondern eine bewusste Vorsicht, weil die regulatorischen Rahmenbedingungen für AI im öffentlichen Sektor noch im Fluss sind.
SaaSpocalypse-Test: Public-Sector-Software ist strukturell resilient gegen die Seat-Compression-These. Kantonale Verwaltungen werden in der Vorhersehbarkeit auch in 2030 noch Sachbearbeiter haben, die mit einer Workflow-Software arbeiten — Agent-Substitution greift hier deutlich langsamer als im Privatsektor. Das macht den Deal aus PE-Sicht konservativ verteidigungsfähig: Auch wenn die Bewertungsmultiple in 2027/28 für Tier-3-AI-Software einbrechen, bleibt der Public-Sector-Cashflow stabil.
Bewertungs-Impact: Schweizer Public-Sector-Software wird heute bei 1,5–2,5x Revenue gehandelt (Mid-Market-Schweiz, regulierte Branche, niedrige Wachstumsraten, hohe Renewal). Bei geschätzten 25–35 Mio. CHF GLAUX-Umsatz entspricht das einer Bewertung im Bereich 40–80 Mio. CHF. Elvaston wird hier konservativ gekauft haben.
Meine Perspektive 🎯
“Home Turf” — Public-Sector-IT-Konsolidierung, Sovereign Cloud, Multi-Tenant-Compliance.
Was an dem Deal interessant ist: Es ist nicht der spektakulärste Move in KW22, aber strategisch wahrscheinlich der saubererste. Elvaston hat verstanden, dass die SAP-Welt für Mid-Market-IT-Services strukturell unter Druck steht (Aricoma war der richtige Käufer für dieses Asset — die zahlen für Nearshoring-Synergien, die ein DACH-Sponsor nicht hat). Und Elvaston hat verstanden, dass Schweizer Public Sector eine der wenigen Nischen ist, die in den nächsten 36 Monaten regulatorisch wachsen muss — nicht weil sie cool ist, sondern weil sie muss.
Was ich in der DD geprüft hätte: (a) den FTE-Auslastungsgrad bei GLAUX (Schweizer Personalkosten sind hoch, die Marge hängt an Billable-Hours-Quoten); (b) die tatsächliche Sovereign-Cloud-Pipeline (wieviele Bestandskunden wollen ihre Workloads in CONVOTIS’ Cloud schieben?); (c) die Schnittstellen-Kompatibilität von GLAUX zu zentralen Schweizer eGov-Plattformen (eOperations Schweiz, eUmzug, etc.).
AI-Perspektive: Tier 4 → Tier 3 in 18 Monaten. Wenn CONVOTIS es schafft, NENNA.AI-ähnliche Privacy-Layer (siehe Deal 5) auf GLAUX-Workflows zu legen, hat die Plattform ein scharfes Differenzierungs-Argument gegen Materna, Mach AG und die anderen deutschen Anbieter, die in den Schweizer Markt schielen. Aber dafür braucht es eine eigenständige AI-Roadmap, die ich in der CONVOTIS-Kommunikation heute nicht sehe — das wäre Phase 2 nach der Integration.
Smart oder riskant? Smart und unspektakulär. Genau die Art von Deal, der in fünf Jahren als “schon damals genau richtig gemacht” bewertet wird, aber 2026 keine Schlagzeilen erzeugt.
Deal 3: DPE übernimmt NTA-Gruppe von Adiuva — Sponsor-to-Sponsor für eine MSSP-mit-KRITIS-Anker
| Detail | Wert |
|---|---|
| Ankündigung | 27. Mai 2026 (Signing) — Closing vorbehaltlich kartellrechtlicher Freigaben |
| Deal-Typ | Mehrheits-Akquisition (Sponsor-to-Sponsor) + Management-Beteiligung |
| Käufer | DPE Deutsche Private Equity (München) |
| Ziel | NTA-Gruppe (Mainz) — Sicherheits-, Kommunikations- und IT-Infrastruktur-Lösungen |
| Verkäufer | Adiuva Capital (im Portfolio seit 2022) |
| Kaufpreis | nicht offengelegt |
| Mitarbeiter | ~360 an 9 Standorten in Deutschland und Luxemburg |
| Umsatz | >60 Mio. € (2025/26) |
| Kundensegment | Mittelstand, öffentliche Hand, Gesundheitswesen, KRITIS-Betreiber |
| Produktportfolio | Brand- und Einbruchmeldetechnik, Videoüberwachung, Zutrittskontrolle, Alarm- und Notfallmanagement, Collaboration, Cloud Services, IT- und Netzwerk-Infrastruktur |
| Quellen | FYB Yearbook, DPE News, Adiuva Portfolio, Startbase KW22 |
Hintergrund
Adiuva Capital hat NTA 2022 übernommen und seitdem zur 9-Standorte-Gruppe mit 360 FTE und >60 Mio. € Umsatz ausgebaut. Vier Jahre Haltedauer ist für einen DACH-Mid-Market-Sponsor wie Adiuva eine typische Größe — und der Verkauf an einen größeren Sponsor (DPE verwaltet >1,5 Mrd. €) folgt dem klassischen Sponsor-to-Sponsor-Pattern. Die Multiple-Logik wird bei diesem Deal interessant, weil NTA kein klassisches Software-Asset ist, sondern ein hybrides Sicherheits-Systemhaus mit Cloud-, MSP- und IT-Hardware-Schichten.
Was die NTA-These spannend macht: Mit der NIS2-Richtlinie (Umsetzungsfrist Deutschland Oktober 2024, faktische Compliance-Welle 2025/26) sind plötzlich rund 30.000 deutsche Unternehmen verpflichtet, Cybersecurity-Standards zu erfüllen, die sie bisher nicht hatten. Der DPE-Hebel: Aus dem klassischen Sicherheits-Systemhaus eine Managed-Security-Services-Plattform (MSSP) mit SOC-as-a-Service, SIEM, Pen-Test-Pipeline und 24/7-Incident-Response bauen.
Strategische Einschätzung
Produkt-Strategie: Der DPE-Hebel ist klar — Service-Transformation. Die DPE-Pressemeldung benennt explizit “Ausbau des Service-, Wartungs- und Managed-Services-Angebots, Erweiterung des Leistungsportfolios und Fortsetzung der Buy-and-Build-Strategie” als Wertschöpfungsachsen. Übersetzt: Heute verkauft NTA primär Hardware (Kameras, Brandmelder, Switches) plus Installations-Dienstleistungen. Morgen soll NTA primär Recurring-Services (Managed Detection & Response, Sovereign Cloud, Backup-as-a-Service) verkaufen. Diese Rotation von One-Off-Projektumsatz zu Recurring-MSSP-Umsatz ist exakt der Werthebel, der die Bewertungs-Multiple verdoppeln kann — von 6–8x EBITDA (klassisches Systemhaus) auf 12–16x EBITDA (Managed Security Services).
Tech-Stack & Integration:
Security & Compliance
- KRITIS-Zulassung: NTA hat Kunden bei Energieversorgern, Wasserwerken und Krankenhäusern. Das ist die regulatorisch verteidigte Nische, in der NIS2 und IT-Sicherheitsgesetz 2.0 zwingen, dass externe Service-Provider zertifiziert sind. Das schützt NTA vor billiger Konkurrenz und gibt DPE Pricing Power.
- SOC-Aufbau: Aus 360 klassischen Systemhaus-FTE ein 24/7-SOC zu bauen, ist nicht trivial — das braucht 30–50 dedizierte Security-Analysten mit SOC-Erfahrung, die im deutschen Markt knapp sind. Erwartung: DPE wird mindestens einen MSSP-Add-on machen, um diese Capability einzukaufen statt aufzubauen.
Infrastructure & Platform
- Die 9 Standorte sind ein klarer Konsolidierungs-Hebel. Operativ wird DPE vermutlich die Backoffice-Funktionen (Buchhaltung, HR, Vertriebs-Controlling) auf einer zentralen Plattform konsolidieren — typischer Mid-Market-PE-Move, der 10–15% Margen-Verbesserung in 18 Monaten bringt.
- Luxemburg-Standort ist strategisch interessant: Gibt der Plattform einen Anker für Benelux-Expansion. Das könnte für die Buy-and-Build-These die nächste geographische Achse sein.
AI-Strategie & Exit-Impact:
AI-Reife: Tier 4 (No visible AI) im aktuellen Zustand. NTA ist ein klassisches Systemhaus ohne sichtbare AI-Strategie. Das ist im Sicherheits-Markt allerdings nicht ungewöhnlich — die echten AI-driven MSSP-Player (Arctic Wolf, SentinelOne, CrowdStrike) sind US-zentriert und in DACH primär als Software-Lieferanten aktiv.
SaaSpocalypse-Test: MSSP-Geschäfte sind strukturell resilient gegen agentic AI — im Gegenteil, AI-Agent-Threats werden die Nachfrage nach professioneller Security-Überwachung erhöhen. Das macht NTA aus DPE-Sicht ein gutes Counter-SaaSpocalypse-Asset.
Bewertungs-Impact: MSSP-Assets in DACH werden bei 10–14x EBITDA gehandelt (Quelle: Carlsquare Mid-Market Multiples). Klassische IT-Systemhäuser liegen bei 6–8x EBITDA. Wenn DPE die Service-Transformation in 36 Monaten hinbekommt, ist eine Bewertungs-Verdopplung realistisch — von vermutlich ~50–80 Mio. € Entry auf 150–200 Mio. € Exit.
Meine Perspektive 🎯
“Home Turf” — Multi-Tenant SaaS-Angrenzung (MSSP-Plattformen), KRITIS-Compliance, Post-Merger-Integration.
Ich habe in den letzten Jahren mehrere DDs bei MSSP-Assets in DACH gemacht. Die typische Falle: Die Verkäufer-Pitches malen alle die “Recurring-Services-Transformation” als bereits laufenden Prozess, aber wenn man in die GAAP-Reports schaut, sind 70–80% des Umsatzes immer noch One-Off-Projektumsatz mit niedrigen Margen. Bei NTA wäre meine erste DD-Frage: Wie groß ist heute der echte ARR-Anteil im Umsatz, und wie schnell wächst er? Wenn ARR <20% liegt und mit <30% YoY wächst, ist die DPE-Werthebel-These deutlich schwerer.
Was an dem Deal aus Käufer-Sicht stimmt: DPE hat eine sehr gute Mid-Market-Mannschaft und kennt das KRITIS-Segment aus früheren Investments (u.a. SmartScale, Bachmann-Gruppe). Die Integrations-Kompetenz ist da. Was aus Verkäufer-Sicht stimmt: Adiuva hat in vier Jahren eine 9-Standorte-Plattform zusammengekauft — das ist eine echte Buy-and-Build-Story, die in Mid-Market-DACH selten geworden ist.
AI-Perspektive: Tier 4 mit klarem Tier-2-Pfad. MSSP-Plattformen sind 2026/27 das Segment, in dem AI-Strategie zwingend werden muss. SentinelOne hat eine eigene LLM-Pipeline (Purple AI), CrowdStrike hat Charlotte AI, Microsoft Defender hat Security Copilot. Wenn DPE in 24 Monaten keine AI-Differenzierung anbietet (z.B. AI-getriebene Anomalie-Erkennung in NTAs SOC), wird die Plattform gegen die US-Wettbewerber im Mid-Market verlieren. Hier liegt der eigentliche Tech-Risk des Deals.
Smart oder riskant? Smart, aber execution-abhängig. Die Service-Transformation muss in 24 Monaten messbar laufen — sonst ist es ein 2,5x-MOIC-Asset statt 4,5x.
Deal 4: Code Gaia + Planted fusionieren unter House of Gaia — ESG-Software bekommt seinen Konsolidator
| Detail | Wert |
|---|---|
| Ankündigung | 27. Mai 2026 |
| Deal-Typ | Fusion unter neuer Holding (“House of Gaia”) |
| Beteiligte | Code Gaia GmbH (München, gegr. 2020, ~55 FTE) + Planted (München, gegr. 2020) |
| Investoren Code Gaia | EMH Partners, xdeck, Munich Startup |
| Kaufpreis | nicht offengelegt (Aktien-Fusion) |
| Combined Customers | >630 SME-Kunden in Europa |
| Combined FTE | >50 an 5 Standorten |
| Profitabilität | ”profitable Kerngeschäft” laut Pressemeldung |
| Leadership | Markus Adler (CEO, operative Führung Code Gaia), Niklas Schönstein (Produkt-Strategie), Wilhelm Hammes (Head of M&A für die Holding) |
| Strategie | Buy-and-Build-Plattform für ESG-Software-SMB-Markt, gezielte Add-on-Akquisitionen in den nächsten 24 Monaten |
| Quellen | Haufe Sustainability, deutsche-startups.de, Startbase KW22, Code Gaia |
Hintergrund
ESG-Software ist eines der Segmente, in denen die SaaSpocalypse besonders hart durchschlägt — mit zusätzlichem regulatorischen Reibungsverlust. Die EU-Kommission hat im Februar 2026 im Rahmen der Omnibus-Initiative angekündigt, die CSRD-Berichtspflicht für viele KMU zu verschieben oder zu lockern (Stichwort “Stop-the-Clock-Initiative”). Das hat den ESG-Software-Markt in Schockstarre versetzt: Plötzlich rechnen Hunderte Mittelständler nicht mehr mit Berichtspflicht 2025/26, sondern frühestens 2028. Die ESG-Software-Anbieter (Vertical SaaS-Startups, die seit 2021 große Pre-Seed/Seed-Runden gezogen haben) sehen ihre TAM-These plötzlich auf 30–50% der ursprünglichen Annahmen schrumpfen.
In diesem Umfeld macht die Code-Gaia/Planted-Fusion strategisch Sinn: Statt einzeln um Kunden zu kämpfen, bündeln zwei der drei bekanntesten DACH-ESG-Anbieter ihre Vertriebs- und Engineering-Kraft. Die explizit angekündigte Buy-and-Build-Strategie ist die ehrlichere Interpretation: Code Gaia und Planted werden in den nächsten 24 Monaten weitere ESG-Anbieter aufkaufen — Verde, Tanso, ClimateChoice, Plan A, sirplus und die rund 30 weiteren DACH-ESG-Startups stehen plötzlich auf der M&A-Liste.
Strategische Einschätzung
Produkt-Strategie: Klassische Konsolidierungs-These in einem schrumpfenden TAM. Die Fusion ist nicht die Antwort auf Wachstum, sondern auf Margenrettung. Code Gaia bringt die Software-Plattform (ESG-Reporting, CO2-Bilanzierung, EHS-Management). Planted bringt die Compliance-Akzeptanz von Reforestations- und Klimaschutz-Projekten — also die Möglichkeit, gleichzeitig die Berichtspflicht und die Kompensations-Logik abzudecken. Das ist ein interessantes Cross-Sell-Modell: ESG-Software-Kunden zahlen monatlich für SaaS und kaufen zusätzlich Kompensations-Zertifikate, die als zweite Recurring-Schicht laufen.
Was die Holding-Struktur (House of Gaia) zeigt: Die Gründer planen weitere Add-ons unter dem Holding-Dach, ohne dass Code Gaia oder Planted ihre Markenidentität aufgeben müssen. Das ist die niederländische Schule (Visma, Total Specific Solutions, Constellation) — Mehr-Marken-Buy-and-Build statt Single-Brand-Konsolidierung.
Tech-Stack & Integration:
Data & Integration
- ESG-Datenmodelle sind extrem heterogen: GHG-Protocol-Daten, CSRD-Datenpunkte, ESRS-Standards, branchenspezifische Frameworks (SASB, TCFD). Wenn House of Gaia weitere Anbieter aufkauft, ist die Schema-Harmonisierung der eigentliche Tech-Aufwand. Code Gaia hat hier laut eigener Pressemeldung bereits eine “AI-gestützte Datenaggregation” — das wäre der natürliche Plattform-Layer für die Add-on-Logik.
- API-Integration zu ERP-Systemen (SAP, Microsoft Dynamics, Sage) ist die zweite Pflichtkomponente. ESG-Software ohne ERP-Anbindung erzwingt manuelle Dateneingabe — und das ist 2026 kein bezahlbarer Pitch mehr.
Product & Licensing
- Multi-Brand-Strategie unter House of Gaia bedeutet, dass Vertrags- und Lizenz-Logiken nicht konsolidiert werden — Code Gaia bleibt Code Gaia, Planted bleibt Planted. Das schont die Bestandskunden-Beziehungen, erhöht aber die operative Komplexität (zwei Sales-Teams, zwei Vertragswerke, zwei Pricing-Modelle).
AI-Strategie & Exit-Impact:
AI-Reife: Tier 3 (Early/Platform-dependent) für die kombinierte Plattform. Code Gaia hat laut Marketing “AI-gestützte ESG-Datensammlung und Reporting” — das ist heute primär LLM-basierte Extraktion aus Lieferantendokumenten und PDFs. Das ist nützlich, aber keine eigenständige ML-Pipeline. Die echten Tier-2-Player im ESG-Space (Sweep, Watershed, Persefoni) haben deutlich ambitioniertere AI-Roadmaps, die auf eigenen Datenmodellen für Emissions-Berechnung basieren.
SaaSpocalypse-Test: ESG-Software ist doppelt exponiert — durch Seat Compression (ein AI-Agent könnte den jährlichen ESG-Report aus ERP-Daten direkt generieren) und durch TAM-Schrumpfung (CSRD-Verschiebung). Das ist die Kombination, die im Februar 2026 in der SaaSpocalypse-Welle besonders hart abgestraft wurde — und die Code-Gaia/Planted-Fusion zum logischen Schritt macht. Wer nicht konsolidiert, wird verschwinden.
Bewertungs-Impact: ESG-Software-Multiples liegen heute bei 4–7x ARR (Quelle: Crunchbase, eigene Beobachtung) — deutlich unter den 12–18x, die 2021/22 gezahlt wurden. Code Gaia hatte ein noch nicht öffentlich validiertes ARR im niedrigen 7-stelligen Bereich; Planted vermutlich ähnlich. Die Fusion erzeugt eine kombinierte Plattform im 5–8 Mio. € ARR-Bereich, bewertet vermutlich bei 25–50 Mio. € — eine deutliche Korrektur gegenüber den Vor-SaaSpocalypse-Bewertungen.
Meine Perspektive 🎯
“Neues Terrain” — ESG-Software ist außerhalb meiner Kern-DD-Expertise.
Was mich an dem Deal interessiert: Es ist die erste sichtbare Konsolidierungs-Ankündigung im DACH-ESG-Software-Markt nach der Februar-2026-Bewertungskorrektur. Die Geschwindigkeit, mit der hier reagiert wird, ist bemerkenswert — drei Monate nach der SaaSpocalypse einigen sich zwei Vertriebs-Konkurrenten auf eine Fusion. Das deutet darauf hin, dass die Gründer (Adler, Schönstein, Hammes) gesehen haben, was im Januar/Februar 2026 in den Bewertungs-Tabellen ihrer Investoren passiert ist, und schnell handeln, bevor das nächste Quartal ihre Cap-Tables in eine Down-Round zwingt.
Was ich nicht beurteilen kann ohne tiefere ESG-Kenntnisse: Die Frage, ob Planteds Kompensations-Geschäft (Reforestation, Klimaschutz-Projekte) langfristig regulatorisch verteidigbar ist. Der EU hat die Anforderungen an Carbon-Offset-Zertifikate in den letzten 24 Monaten mehrfach verschärft — die Greenwashing-Vorwürfe gegen Voluntary-Carbon-Market-Anbieter sind ein latentes Reputationsrisiko, das ich in einer DD mit einem Branchenexperten gegenchecken müsste.
AI-Perspektive: Tier 3, mit unklarem Tier-2-Pfad. Die House-of-Gaia-Strategie braucht eine klare AI-Roadmap, die deutlich über LLM-Wrapper hinausgeht — sonst wird die Konsolidierungs-These von Watershed oder Sweep (mit ihren ML-Pipelines) übergerollt. Was mich interessieren würde: Hat House of Gaia einen Chief AI Officer oder einen ML-Research-Lead? Wenn nicht, ist die AI-Strategie eher defensiv positioniert.
Was ich lernen wollen würde: Wie verteilen sich die 630 Bestandskunden auf Branchen? Wie hoch ist der ARR-pro-Kunde-Mittelwert? Wenn House of Gaia primär kleine SMB-Kunden mit <5.000 € ARR betreut, ist die Plattform-These schwer skalierbar — die Akquisitionskosten würden den LTV auffressen.
Smart oder riskant? Strategisch richtig, taktisch riskant. Konsolidieren ist die einzige rationale Antwort auf das aktuelle ESG-Marktumfeld — aber wenn der Buy-and-Build-Funnel nicht in 6 Monaten erste Add-ons produziert, wird die Pressemeldung als Marketing-Move entlarvt.
Deal 5: NENNA.AI / Groundshift — Berliner Privacy-Layer wird zur europäischen AI-Compliance-Wette
| Detail | Wert |
|---|---|
| Ankündigung | 27.-29. Mai 2026 (Groundshift-Investment als Portfolio-Erweiterung) |
| Deal-Typ | Investment / Portfolio-Aufnahme durch Groundshift (Zürich) |
| Empfänger | NENNA.AI (Berlin, gegr. 2023) — AI-Privacy-Layer für Enterprise-Generative-AI |
| Lead-Investor (Vor-Runde Jan 2026) | IBB Ventures + dfv Venture (>1 Mio. € Seed) |
| Neue Beteiligung | Groundshift (Zürich) — B2B-FinTech-fokussierter Series-A-VC |
| Bisherige Auszeichnungen | ATHENE Award (it-sa 2025), AI Everything Award (Gitex Europe), “Best German Legal Tech Startup 2025” (German Legal Tech Summit) |
| Customer-Profil | >50 B2B-Kunden in den letzten 3 Monaten — Manufacturing, Legal & Tax, Media, E-Commerce |
| Produkt | Privacy-Masking-Layer, der Enterprise-Daten vor LLM-Versand maskiert und nach Antwort wieder demaskiert |
| Unterstützte LLMs | ChatGPT (OpenAI), Claude (Anthropic), Gemini (Google), Mistral, Llama |
| Regulatorischer Anker | DSGVO, EU AI Act, BaFin, gesundheitsrechtliche Sondernormen |
| Quellen | NENNA.AI Blog, Startbase KW22, BitMI, Invest-in.Berlin, IBB Ventures Portfolio |
Hintergrund
NENNA.AI ist eines der wenigen DACH-Startups, die exakt den Markt bedienen, den der EU AI Act seit August 2024 aufmacht: Enterprise-Generative-AI-Nutzung ohne Datenabfluss an US-Hyperscaler. Die technische Mechanik ist klassisch: NENNA.AI sitzt als Reverse-Proxy zwischen der Anwendung und dem LLM. Sensible Daten (Namen, IBANs, Patienten-IDs, Vertragsdetails) werden vor dem API-Call durch Platzhalter ersetzt; die LLM-Antwort wird zurück-transformiert. Das Modell verarbeitet die Daten nie im Klartext.
Was den Markt 2026 für NENNA.AI öffnet, sind drei parallele Bewegungen:
- SAP Joule API-Politik (KW19/2026) — SAP sperrt Drittanbieter-AI-Agents aus, außer sie laufen auf NemoClaw oder Joule. Mittelständler, die Claude oder GPT-4 produktiv auf SAP-Daten einsetzen wollen, brauchen eine Privacy-Layer-Architektur, die DSGVO-konform und SAP-kompatibel ist.
- EU AI Act Hochrisiko-Klassifizierung — viele B2B-Anwendungsfälle (HR, Recruiting, Bonität, Versicherung) sind Hochrisiko-Anwendungen und benötigen technisch dokumentierte Datenschutz-Maßnahmen.
- Sovereign-AI-These — Schwarz-Gruppe (STACKIT), DATEV, Aleph Alpha treiben die “Europäische AI-Souveränität” als regulatorische Pflicht-These. NENNA.AI passt in dieses Narrativ als horizontale Compliance-Schicht.
Die Groundshift-Beteiligung ist strategisch interessant, weil Groundshift primär in B2B-FinTechs investiert. Das deutet darauf hin, dass NENNA.AI gerade in Versicherungen, Banken und Asset Managern eine Pipeline aufbaut — dem Segment, in dem der DSGVO-Druck und die Wirtschaftlichkeit am höchsten ist.
Strategische Einschätzung
Produkt-Strategie: NENNA.AI verkauft Compliance-Ermöglichung, nicht AI-Innovation. Das ist eine andere Verkaufsmechanik als bei klassischen GenAI-Startups: Der Buyer ist nicht der Chief Innovation Officer, sondern der Chief Privacy Officer oder Chief Information Security Officer. Das ist ein Segment, das traditionell langsamer entscheidet, aber wenn es entscheidet, bleibt es lang.
Die Buy-Thesis aus VC-Sicht: NENNA.AI sitzt auf einer regulatorischen Welle, die in den nächsten 24 Monaten exponentiell wächst. Wenn das Unternehmen 50 B2B-Kunden in 3 Monaten gewinnt (laut Pressemeldung), ist die Geschwindigkeit der Vertriebs-Mechanik bemerkenswert. Was bisher fehlt: Eine echte Plattform-Logik, die NENNA.AI zur “Schweiz” zwischen LLM-Hersteller und Enterprise-Kunden macht. Wenn das Unternehmen es schafft, die Privacy-Layer als de-facto-Standard zu etablieren (so wie Snyk für Open-Source-Sicherheit), ist die Bewertungs-Range bei der nächsten Runde im 50–80 Mio. €-Bereich.
Tech-Stack & Integration:
Security & Compliance
- Die technische Differenzierung von NENNA.AI gegenüber generischen Privacy-Proxies (etwa Open-Source-Tools wie Garak, OpenDP) liegt in der Reversibilität: Das System muss nicht nur maskieren, sondern die LLM-Antwort wieder in die richtigen Daten-Kontexte zurückführen. Das ist nicht-trivial — vor allem bei langen Kontexten und komplexen Workflows (Code-Generierung, Vertrags-Review, Recruitment-Screening).
- Zertifizierungs-Anforderungen: BaFin, GBA, IDD, MaRisk, DORA. Das ist ein Compliance-Audit-Aufwand, der für ein 3-Jahre-altes Startup nicht trivial ist — aber genau der Aufwand, der die Markteintrittsbarriere für Wettbewerber erhöht.
Data & Integration
- Multi-LLM-Strategie: NENNA.AI ist agnostisch gegenüber dem Endmodell — das ist gut für die Kundenakzeptanz, schwer für die Margenkontrolle. Wenn OpenAI, Anthropic und Google in 2027/28 eigene Privacy-Modi (Enterprise-Confidential-Compute) anbieten, kann NENNA.AIs Differenzierung kannibalisiert werden.
Application & Architecture
- Latenz-Overhead: Jeder Privacy-Layer fügt 50–200ms Latenz hinzu. In synchronen Use Cases (Chat-Interfaces) ist das spürbar. NENNA.AI muss in der Roadmap an Edge-Inferenz-Architekturen arbeiten, um die Latenz unter die Wahrnehmungsschwelle zu bringen.
AI-Strategie & Exit-Impact:
AI-Reife: Tier 2 (Ambitious & Shipping) — NENNA.AI hat Production-Privacy-Features, dokumentierte Customer-Impact-Metriken (50+ B2B-Kunden in 3 Monaten) und arbeitet in einem regulatorischen Anker-Segment, das schwer zu disrumpieren ist.
SaaSpocalypse-Test: NENNA.AI ist direkt resilient gegen die Seat-Compression-These, weil das Geschäftsmodell nicht per Seat skaliert, sondern per Datenvolumen. Je mehr Mitarbeiter AI nutzen, desto mehr Privacy-Calls laufen durch NENNA. Das ist die Inversion der seat-compression-Mechanik — wo agentic AI das Per-Seat-Pricing zerstört, treibt es das Per-Call-Pricing.
Bewertungs-Impact: NENNA.AI ist in der Frühphase, in der Bewertungs-Multiples deutlich höher als bei Mid-Market-SaaS liegen (15–30x ARR für AI-native Compliance-Player). Die kommende Series A wird vermutlich im 8–15 Mio. € Bereich liegen, mit Pre-Money-Bewertung 40–70 Mio. €. Wenn Groundshift hier Lead ist, ist das eine vertretbare Bewertung für die regulatorische Pole-Position.
Meine Perspektive 🎯
“Home Turf” — AI Due Diligence, EU AI Act-Compliance, Sovereign-AI-Architekturen für PE-backed Mid-Market.
NENNA.AI ist das DACH-Startup, das ich in den letzten 18 Monaten am häufigsten in DD-Gesprächen genannt höre — meistens als Antwort auf die Frage “Wie kann unser Portfolio-Unternehmen GenAI einsetzen, ohne dass der DPO sechs Monate lang nein sagt?” Die Lösung ist technisch nicht originell (Privacy-Proxy-Konzepte gibt es seit 5 Jahren), aber NENNA hat die Compliance-Dokumentation, die ISO-Zertifizierungen und die Vertriebs-Mechanik so gebaut, dass Mittelständler in DACH es als Pflicht-Tool sehen.
Was ich in einer Investment-DD prüfen würde: (a) die echte Customer-Retention nach 12 Monaten — Privacy-Proxies haben oft Probleme mit Anwendungsfällen, die der ursprüngliche Vertriebs-Pitch nicht abbildet (z.B. Bild-Generierung, Audio-Transkription), und Kunden migrieren dann zu nativen Enterprise-LLM-Modi; (b) die Wettbewerbs-Position gegenüber Microsoft Purview, Google Sensitive Data Protection und Microsoft Defender for Cloud Apps — alle haben Privacy-Features eingebaut, die NENNAs USP über die Zeit erodieren können; (c) die Internationalisierungs-Mechanik — Privacy-Compliance ist hochlokalisiert (DSGVO ist nicht CCPA, ist nicht KVKK in der Türkei), und ein 3-Jahre-altes Startup wird Mühe haben, in 5+ Jurisdiktionen gleichzeitig zu zertifizieren.
AI-Perspektive: Tier 2, mit klarem Tier-1-Pfad bei sauberer Series A. Wenn NENNA.AI in den nächsten 12 Monaten eine eigene ML-Pipeline für Privacy-Preserving-Computing entwickelt (z.B. Federated Learning für Sektorspezifika), wird das Unternehmen zur europäischen Pole-Position für regulatorische AI-Compliance. Das ist die Story, die einen 2027/28-Strategic-Exit an SAP, Schwarz Digits oder Microsoft Deutschland realistisch macht.
Was an dem Deal interessant ist: Groundshift ist kein deutscher VC. Dass ein Zürcher B2B-FinTech-VC in eine Berliner AI-Privacy-Plattform investiert, deutet darauf hin, dass die Pipeline-Konzentration im Schweizer Banken-Versicherungs-Markt liegt — also genau das Segment, das (a) zahlt und (b) regulatorisch kaum eine Wahl hat. Das ist eine bessere Indikation für Product-Market-Fit als 50 SMB-Kunden in 3 Monaten.
Smart oder riskant? Smart, aber Window-getrieben. NENNA.AI muss in 18 Monaten zur Compliance-Plattform werden — sonst wird die Funktionalität von Microsoft, Google oder OpenAI/Anthropic selbst commoditisiert. Die Frage ist nicht ob, sondern wann.
Querverbindungen zwischen den Deals — was die KW22-Bewegungen über den Markt verraten
Tiefe statt Geschwindigkeit. Alle fünf Deals folgen demselben Muster: Vertikal-Tiefe (SAE in Maschinenbau, GLAUX in Public Sector Schweiz, NTA in KRITIS), regulatorische Verteidigung (NENNA.AI in EU AI Act, GLAUX in Schweizer Datenschutz, NTA in NIS2) oder Konsolidierungs-Antwort auf TAM-Schrumpfung (House of Gaia). Niemand kauft 2026 noch horizontale Plattform-Geschwindigkeit auf.
Sponsor-Rotation wird sichtbar. Adiuva verkauft NTA an DPE, EMH Partners trägt die Code-Gaia/Planted-Fusion mit, Main Capital nutzt den Xait-Plattform-Halt für den DACH-Eintritt. Die DACH-Mid-Market-PE-Logik funktioniert wieder — nach 18 Monaten Stillstand laufen Sponsor-to-Sponsor-Deals und Sponsor-getriebene Buy-and-Build wieder. Die SaaSpocalypse hat die Bewertungen korrigiert, nicht die Aktivität.
Compliance ist die neue Pricing Power. Drei der fünf Deals (GLAUX, NTA, NENNA.AI) haben Compliance als zentrales Verkaufsargument — Schweizer revDSG, NIS2, EU AI Act, KRITIS. Das ist die Welle, auf der DACH-Mid-Market-Software in den nächsten 24 Monaten wachsen kann, ohne dass agentic AI das Geschäftsmodell zerstört. Wer in Compliance-Tiefe investiert, kauft sich gegen die Seat-Compression-These ab.
Was fehlt: Eine echte Mega-Akquisition aus dem Mittelstand-ERP-Sektor (Sage, DATEV, Visma, Unit4). Die warten weiter ab, weil die Bewertungsmultiplikatoren noch nicht stabilisiert sind. Aber das wird kommen — vermutlich im Juni/Juli.