Startseite » Blog DE » Due Diligence vs. Due Care: Was du wirklich wissen musst

Due Diligence vs. Due Care: Was du wirklich wissen musst

April 22, 2025 / Von

Wenn du Verantwortung für ein Unternehmen trägst – sei es als Geschäftsführer, IT-Leiter oder als strategische Führungskraft – dann hast du zwangsläufig mit Informations-, IT- und Cybersicherheit zu tun. Zwei Begriffe, die dabei immer wieder auftauchen, sind Due Diligence und Due Care. Sie klingen erstmal nach Juristen-Deutsch, sind aber in der Praxis absolut entscheidend.

Dieser Artikel erklärt dir auf einfache Weise, worum es geht, warum das Thema dich betrifft, und was passieren kann, wenn du diese zwei Dinge ignorierst. Außerdem erfährst du, wie Due Diligence und Due Care im Alltag konkret aussehen.

Due Diligence and Due Care

Was ist Due Diligence?

Stell dir vor, du kaufst ein anderes Unternehmen. Du willst wissen, ob da digitale Leichen im Keller liegen – veraltete Systeme, offene Sicherheitslücken oder DSGVO-Probleme. Genau darum geht es bei Due Diligence: Eine strukturierte und gründliche Überprüfung, bevor du eine Entscheidung triffst.

Im IT- und Sicherheitskontext bedeutet das z. B.:

  • Werden sensible Daten sicher gespeichert?

  • Gibt es veraltete Software oder nicht dokumentierte Shadow-IT?

  • Welche Drittanbieter haben Zugriff auf Systeme oder Daten?

  • Gibt es Richtlinien für IT-Sicherheit – und werden sie eingehalten?

Beispiel: Ein mittelständisches Unternehmen übernimmt einen Online-Shop. Die Prüfung zeigt: Das Shopsystem basiert noch auf PHP 5.6, es gibt keine Zwei-Faktor-Authentifizierung, und Admin-Zugänge wurden nie zurückgesetzt. Ohne diese Erkenntnisse hätte die Übernahme zum Sicherheits-GAU geführt – und zur Datenschutzmeldung an die Aufsichtsbehörde.

Dieses Beispiel zeigt, wie wichtig eine strukturierte Datenschutz Risikoanalyse und ein Cybersecurity Audit im Rahmen der Due Diligence sind.

Due Diligence and Due Care Comparsion

Was ist Due Care?

Due Care ist das Gegenstück im Alltag. Während Due Diligence eher der “Vorsorge-Check” vor einer Entscheidung ist, steht Due Care für die kontinuierliche Sorgfaltspflicht im laufenden Betrieb.

Das bedeutet konkret:

  • Du installierst regelmäßig Sicherheitsupdates.
  • Du schränkst Admin-Rechte auf das Nötigste ein.
  • Du schulst deine Mitarbeitenden im sicheren Umgang mit IT-Systemen.
  • Du testest, ob deine Backups wirklich funktionieren.
  • Du reagierst auf Vorfälle – nicht erst, wenn’s zu spät ist.

Kurz gesagt:

  • Due Diligence ist der Blick vor der Entscheidung.
  • Due Care ist das Handeln nach der Entscheidung – und zwar jeden Tag.

Ein gutes IT Sicherheitsmanagement basiert auf einem ausgewogenen Verhältnis zwischen beiden Prinzipien.

Was passiert, wenn du beides ignorierst?

Ohne Due Diligence: Du übernimmst ein Unternehmen oder führst neue Software ein, ohne genau hinzuschauen. Die Folge: Du holst dir veraltete Systeme, Sicherheitslücken oder DSGVO-Risiken ins Haus. Du bist haftbar – weil du es hättest wissen müssen.

Ohne Due Care: Du machst einmal alles richtig, aber lässt es dann schleifen. Systeme werden nicht aktualisiert, Schulungen versanden, ein Mitarbeiter klickt auf einen Phishing-Link – und zack, sind Kundendaten weg. Die DSGVO kennt hier kein Pardon.

Realitätsbeispiel: Marriott Hotels übernahm Starwood. Bei der Due Diligence wurden Sicherheitsprobleme nicht erkannt. Später stellte sich heraus: Millionen Kundendaten wurden über Jahre hinweg abgegriffen. Der Schaden? Über 100 Millionen Euro – plus massiver Reputationsverlust.

Due Diligence and Due Care Consequences

Welche rechtlichen Konsequenzen drohen?

Wenn du deine Sorgfaltspflichten – ob im Rahmen von Due Diligence oder Due Care – vernachlässigst, kann das nicht nur operative, sondern auch rechtliche Folgen haben:

  • DSGVO-Verstöße: Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes – je nachdem, was höher ist. Vor allem wenn nachweisbar ist, dass Risiken bekannt waren, aber nicht gehandelt wurde.
  • Haftung der Geschäftsführung: In Deutschland kann die Geschäftsleitung persönlich haftbar gemacht werden (§ 43 GmbHG, § 93 AktG). Wer leichtfertig oder grob fahrlässig handelt – z. B. bei unterlassener Sicherheitsprüfung –, haftet ggf. mit Privatvermögen.
  • Vertragsstrafen und Schadensersatz: Wenn durch Sicherheitsversäumnisse Kunden oder Partner zu Schaden kommen, drohen Regressforderungen. Auch Versicherungen können Leistungen verweigern, wenn grundlegende Sorgfaltspflichten verletzt wurden.
  • Arbeitsrechtliche Folgen: Bei Vorfällen durch Mitarbeitende ohne ausreichende Schulung kann es zu Streitigkeiten oder Kündigungsschutzklagen kommen, wenn keine dokumentierte Awareness-Kampagne existiert.

Kurzum: Fehlende Sorgfalt ist nicht nur ein Risiko für deine IT – sie ist ein Risiko für dich persönlich. Und das kann teuer werden.

Due Diligence und Due Care bei der Anwendung von Sicherheitsprozessen in Unternehmen

Wenn es um Sicherheitsprozesse in einem Unternehmen geht, spielen Due Diligence und Due Care eine besonders wichtige Rolle. Beide Prinzipien sind nicht nur theoretische Konzepte, sondern essentielle Bausteine für eine effektive IT- und Cybersicherheitsstrategie. Sie helfen dabei, Risiken zu minimieren, das Vertrauen der Kunden zu erhalten und rechtliche Verpflichtungen zu erfüllen. Aber was bedeutet das konkret bei der Anwendung von Sicherheitsprozessen? Schauen wir uns das an.

Due Diligence: Der proaktive Sicherheits-Check

Due Diligence ist in diesem Kontext der gründliche Vorsorge-Check. Vor der Implementierung von Sicherheitsprozessen musst du sicherstellen, dass alle relevanten Aspekte in Bezug auf die Sicherheit deines Unternehmens berücksichtigt wurden. Dies ist der erste Schritt, um mögliche Sicherheitslücken und Risiken zu identifizieren, bevor sie zu einem Problem werden.

Hier sind einige konkrete Beispiele, was Due Diligence bei der Implementierung von Sicherheitsprozessen umfasst:

  1. Risikomanagement und Sicherheitsbewertung
    Bevor neue Sicherheitsmaßnahmen oder -prozesse eingeführt werden, musst du eine umfassende Risikobewertung durchführen. Welche Bedrohungen könnten dein Unternehmen gefährden? Welche Daten sind besonders schützenswert? Die Antworten auf diese Fragen helfen dabei, die richtigen Sicherheitsmaßnahmen zu wählen.
  2. Auswahl geeigneter Sicherheitslösungen
    Due Diligence bedeutet, dass du sicherstellst, dass die Sicherheitslösungen, die du auswählst, auch wirklich zum Unternehmen passen. Es reicht nicht, einfach die neueste Technologie zu kaufen – sie muss auch den spezifischen Anforderungen deines Unternehmens gerecht werden. Dazu gehört auch, regelmäßige Sicherheits-Audits durchzuführen und bestehende Systeme auf Schwachstellen zu überprüfen.
  3. Compliance-Prüfung
    Die Sicherheitsprozesse müssen immer im Einklang mit gesetzlichen Anforderungen wie der DSGVO(Datenschutz-Grundverordnung) oder anderen branchenspezifischen Vorschriften stehen. Due Diligence beinhaltet, dass du sicherstellst, dass alle Compliance-Vorgaben erfüllt werden, bevor du Sicherheitsprozesse implementierst.
  4. Lieferantensicherheit prüfen
    Wenn du mit Drittanbietern zusammenarbeitest oder Cloud-Dienste nutzt, muss Due Diligence auch die Sicherheitsstandards dieser Partner prüfen. Es hilft, potenzielle Risiken durch unsichere Dritte zu minimieren und sicherzustellen, dass deine Daten auch außerhalb deiner eigenen Infrastruktur gut geschützt sind.

Due Care: Die kontinuierliche Sorgfaltspflicht in der Umsetzung

Due Care bedeutet im Sicherheitskontext die kontinuierliche Sorgfaltspflicht nach der Implementierung der Sicherheitsprozesse. Du hast die richtigen Maßnahmen getroffen, aber jetzt geht es darum, diese auch regelmäßig zu überwachen, zu pflegen und auf dem neuesten Stand zu halten. Sicherheitsprozesse sind keine einmalige Sache – sie erfordern kontinuierliche Aufmerksamkeit und Anpassung.

Hier sind einige wesentliche Aspekte, wie Due Care in der praktischen Anwendung aussieht:

  1. Regelmäßige Sicherheitsupdates und Patches
    Sicherheitslücken in Software werden ständig entdeckt. Um dein Unternehmen zu schützen, musst du sicherstellen, dass alle Systeme regelmäßig mit den neuesten Sicherheitsupdates und Patches versorgt werden. Das bedeutet, dass du einen Prozess etablierst, der diese Updates automatisch überprüft und zeitnah implementiert.
  2. Überwachung und Incident Response
    Due Care beinhaltet auch die kontinuierliche Überwachung deiner IT-Systeme. Cyberangriffe oder Sicherheitsvorfälle passieren oft dann, wenn sie am wenigsten erwartet werden. Eine ständige Überwachung hilft dir, Bedrohungen frühzeitig zu erkennen. Zudem ist es wichtig, einen klaren Reaktionsplan für Sicherheitsvorfälle zu haben, um schnell und effektiv handeln zu können.
  3. Mitarbeiterschulungen und Awareness
    Deine Mitarbeiter sind oft das schwächste Glied in der Sicherheitskette. Ein wichtiger Aspekt von Due Care ist es, sicherzustellen, dass alle Mitarbeiter regelmäßig geschult werden. Sie sollten nicht nur wissen, wie sie mit IT-Systemen sicher umgehen, sondern auch, wie sie Phishing-Versuche oder andere Social-Engineering-Angriffe erkennen können.
  4. Datensicherung und Recovery-Tests
    Eine wichtige Sicherheitsmaßnahme ist das regelmäßige Erstellen von Backups. Doch was nützt ein Backup, wenn du nicht sicherstellen kannst, dass es im Ernstfall auch wirklich funktioniert? Due Care erfordert, dass du regelmäßig Backups testest und sicherstellst, dass die Wiederherstellung von Daten im Notfall schnell und zuverlässig erfolgt.
  5. Kontinuierliche Risikobewertung
    Die Bedrohungslage verändert sich ständig. Was heute sicher ist, kann morgen schon nicht mehr ausreichen. Due Care bedeutet, dass du regelmäßig deine Risikobewertung überprüfst und gegebenenfalls Anpassungen an den Sicherheitsprozessen vornimmst, um neuen Bedrohungen entgegenzuwirken.

Warum ist das wichtig für Unternehmen?

Die Anwendung von Due Diligence und Due Care in Sicherheitsprozessen ist nicht nur ein Mittel zur Risikominderung, sondern auch ein strategischer Vorteil für dein Unternehmen. Wenn du diese Prinzipien konsequent umsetzt, kannst du:

  • Kosten durch Sicherheitsvorfälle minimieren: Sicherheitslücken, die nicht frühzeitig erkannt werden, können zu teuren Datenpannen und Reputationsverlust führen. Durch Due Diligence und Due Care kannst du viele dieser Vorfälle verhindern.
  • Rechtlichen Problemen und Strafen aus dem Weg gehen: Die Nichteinhaltung von Sicherheitsvorgaben oder Datenschutzgesetzen kann schwerwiegende rechtliche Konsequenzen haben. Durch regelmäßige Due Diligence und Due Care stellst du sicher, dass du gesetzliche Anforderungen erfüllst und Risiken minimierst.
  • Das Vertrauen von Kunden und Partnern sichern: Ein Unternehmen, das nachweislich Sicherheitsprozesse regelmäßig prüft und pflegt, genießt das Vertrauen von Kunden und Partnern. Dies ist besonders wichtig, wenn es um den Umgang mit sensiblen Daten geht.

Die Anwendung von Due Diligence und Due Care in den Sicherheitsprozessen eines Unternehmens ist keine einmalige Aufgabe, sondern ein kontinuierlicher, fortlaufender Prozess. Due Diligence sorgt dafür, dass du proaktiv Sicherheitslücken erkennst und entsprechende Maßnahmen ergreifst, während Due Care dafür sorgt, dass du diese Maßnahmen aufrechterhältst und ständig anpasst, um die Sicherheit deines Unternehmens langfristig zu gewährleisten.

Ohne diese beiden Prinzipien riskierst du nicht nur die Sicherheit deiner IT-Systeme, sondern auch rechtliche und finanzielle Konsequenzen. Ein gutes Sicherheitsmanagement basiert auf einem ausgewogenen Verhältnis zwischen Due Diligence und Due Care – für eine nachhaltige, sichere Zukunft deines Unternehmens.

Related Posts

Nach oben scrollen
WordPress Cookie Plugin von Real Cookie Banner