Kanzlei
brochure image
Startups
brochure image
Karriere
brochure image
Logo
SUCHEN
/
/
/
/
/
/
Foto
01. Juni 2017

Due Diligence bei FinTech Startups - Worauf Gründer achten sollten

Von

Deal Breaker in Finanzierungsrunden

Nach Cookies und Avuba hat mit Cashboard ein weiteres prominentes FinTech-Startup Insolvenz angemeldet. Noch wird über die Gründe gemutmaßt. Allerdings scheint es so, als sei eine geplante Finanzierungsrunde geplatzt. Auch Avuba hatte Probleme, eine Finanzierung zu erhalten. Potentiellen Investoren seien der Gesellschafterkreis und die Verträge zu unübersichtlich gewesen (http://www.handelsblatt.com/finanzen/banken-versicherungen/finanz-start-up-avuba-das-naechste-fintech-steht-vor-dem-aus/14914270.html). Mit ähnlichen Problemen hatte auch schon Cookies zu kämpfen. Dort trug dem Vernehmen nach ein Gesellschafterstreit dazu bei, dass eine benötigte Finanzierungsrunde nicht zu Stande kam (http://www.handelsblatt.com/finanzen/banken-versicherungen/online-bezahlen-fintech-rettet-fintech/14879096.html). Die vorgenannten Beispiele zeigen, wie wichtig es ist, Konfliktpotential vor einer Finanzierungsrunde zu minimieren. Gerade bei FinTech-Startups gehört dazu, rechtliche Risiken schon vor einer Due Diligence zu identifizieren und durch geeignete Maßnahmen zu vermeiden. Nachfolgend sollen typische Problemkonstellationen aufgezeigt werden, die im Rahmen einer Due Diligence zu Tage treten und den erfolgreichen Abschluss einer Finanzierungsrunde gefährden können.

Achtung! Erlaubnispflichten und sonstige regulatorische Vorgaben

Zunächst sollten sich Gründer von FinTech-Startups bewusst sein, dass sie sich in einem hoch regulierten Umfeld bewegen. Eine generelle Privilegierung für Fintechs (z.B. in Form einer „regulatory sandbox“) gibt es derzeit in Deutschland nicht. Etwaige Erlaubnispflichten sind daher stets vor der Geschäftsaufnahme zu prüfen. In Abhängigkeit vom jeweiligen Geschäftsmodell können sich Erlaubnispflichten dabei aus dem Kreditwesengesetz (KWG), dem Zahlungsdiensteaufsichtsgesetz (ZAG) oder dem Kapitalanlagegesetzbuch (KAGB) ergeben. Je nach Komplexität oder Innovationsgrad kann eine eindeutige Beurteilung schwierig sein. Gerade in solchen Fällen sollte das Bestehen etwaiger Erlaubnispflichten mit den Aufsichtsbehörden abgeklärt werden. Im Regelfall sind die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und die Deutsche Bundesbank für entsprechende Anfragen zuständig.

Beachtet ein Startup bestehende Erlaubnispflichten oder sonstige regulatorische Vorgaben nicht, kann dies gravierende Folgen haben. Insbesondere können selbst fahrlässige Verstöße gegen Erlaubnispflichten zu einer Strafbarkeit und persönlichen Haftung der geschäftsführenden Gründer führen. Zudem besteht die Gefahr, dass die BaFin die weitere Geschäftstätigkeit untersagt und die Rückabwicklung der bislang getätigten Geschäfte anordnet. Die Einhaltung regulatorischer Vorgaben ist vor diesem Hintergrund auch ein wichtiger Prüfungspunkt im Rahmen einer Due Diligence vor Finanzierungsrunden und im Übrigen auch bei Kooperationen. In der Beratungspraxis kommt es mitunter vor, dass von Investitionen in FinTechs oder von Kooperationen mit diesen abgeraten werden muss, weil die regulatorischen Risiken zu groß sind. Gründer sollten daher von Beginn an sicherstellen, dass alle Erlaubnispflichten beachtet und regulatorische Vorgaben eingehalten werden.

Tipp

Selbst bei einer erlaubnisfreien Strukturierung des Geschäftsmodells kann es sich anbieten, eine Stellungnahme der BaFin oder der Deutschen Bundesbank einzuholen, um im Rahmen einer Due Diligence oder eines Exits etwaige Bedenken von Investoren oder Erwerbern ausräumen zu können und im Übrigen Haftungsrisiken zu reduzieren.

Saubere Vertragsdokumentation und Einhaltung verbraucherrechtlicher Vorgaben

Im Rahmen einer Finanzierungsrunde kann auch eine fehlende oder schlechte Vertragsdokumentation ein Deal Breaker sein. Gerade bei innovativen oder disruptiven FinTech-Geschäftsmodellen stellt eine fehlerhafte Vertragsdokumentation ein aus Sicht von Investoren schlecht einschätzbares Risiko dar. Insbesondere in den folgenden Fällen kann eine schlechte Vertragsdokumentation daher im Rahmen einer Due Diligence zu Problemen führen:

  • Die Verträge sind intransparent und lassen eine (aufsichts-) rechtliche Beurteilung (z.B. durch Investoren, Käufer, Aufsichtsbehörden oder Kooperationspartner) nicht zu
  • Verträge mit Kunden sind teilweise oder vollständig unwirksam
  • Die vertragliche Ausgestaltung verstößt gegen regulatorische Vorgaben

Aus unserer Beratungspraxis sind Beispiele bekannt, in denen wir von Kooperationen mit FinTechs aufgrund der Verträge abraten mussten oder die Vertragsdokumentation zuvor umfangreich angepasst werden musste, um rechtliche Anforderungen einzuhalten oder gravierende Fehler zu beheben.

Tipp

Im Rahmen von Finanzierungsrunden und gegenüber Kunden sorgen gut gestaltete Verträge für Klarheit und zeugen von einer gewissen Seriosität. Gleiches gilt im Verhältnis zu den Aufsichtsbehörden, die regelmäßig eine Übermittlung der Vertragsdokumentation im Rahmen von Anfragen und Stellungsnahmen verlangen.

Schließlich müssen in Abhängigkeit vom Geschäftsmodell und Vertriebsweg weitere Anforderungen eingehalten werden. Dies gilt insbesondere in Bezug auf Finanzdienstleistungen, die – wie bei FinTechs üblich – im elektronischen Geschäftsverkehr erbracht werden. Ähnlich wie im eCommerce können umfangreiche Informationspflichten zu erfüllen und Vorgaben an die Gestaltung der Website zu beachten sein. Mängel können unter anderem dazu führen, dass Verträge mit Kunden nicht wirksam abgeschlossen werden oder aber vom Kunden widerrufen werden können. Da sich dies auch auf die Ertragslage des Unternehmens auswirken kann, sind derartige Vorgaben unbedingt zu beachten und idealerweise vor einer Due Diligence umzusetzen.

Sicherung der IP-Rechte

Im Rahmen einer Due Diligence wird auch geprüft, ob das Unternehmen über die erforderlichen Rechte am IP (kurz für „intellectual property“) verfügt. Wie das „Tech“ in FinTech vermuten lässt, basieren die Geschäftsmodelle von FinTech-Unternehmen oftmals auf proprietären Technologien, Algorithmen oder Softwarelösungen. Es ist daher wichtig, dass das Fintech Inhaber der hieran bestehenden Rechte sowie der im Rahmen der Geschäftstätigkeit genutzten gewerblichen Schutzrechte (z.B. Marken) ist. Sollte dies nicht der Fall sein, kann das schnell zu Abschlägen bei der Unternehmensbewertung führen oder zu einem Deal Breaker werden. Zudem sollten Gründer beachten, dass sie im Rahmen einer Beteiligungsvereinbarung oder eines Unternehmenskaufvertrags in der Regel verschuldensunabhängige Garantien im Hinblick auf das von dem Unternehmen genutzte IP abgeben müssen. Vorsicht ist daher insbesondere geboten, wenn das vom Unternehmen genutzte IP von einzelnen Gründern, Freelancern oder externen Dienstleistern stammt und nicht wirksam auf das Fintech übertragen wurde. Auch hier gilt, dass nur eine saubere Vertragsdokumentation für Rechtsklarheit sorgen kann. Im Übrigen sollte das IP durch die Anmeldung gewerblicher Schutzrechte oder bspw. die Registrierung von entsprechenden Marken und Domains gesichert werden.

Vermeidung von Problemen bei Einsatz von Open-Source-Software

Ein etwas heikles Thema ist zudem die Einbindung oder Weiterentwicklung von Open-Source-Software (OSS). Hierbei sind zwingend die Voraussetzungen und der Umfang der in den jeweiligen OSS-Lizenzbedingungen geregelten Rechteeinräumung zu beachten. Es kann vorkommen, dass in den Lizenzbedingungen der OSS eine kommerzielle Nutzung ausgeschlossen ist. Sollte die Software des FinTech-Unternehmens auf einer solchen OSS basieren und dies im Rahmen einer Due Diligence auffallen, kann dies einen Deal Breaker darstellen, da das Geschäftsmodell somit auf einer wackeligen Basis steht. Dies gilt auch für den Fall, dass OSS-Lizenzbedingungen eine sog. Copyleft-Klausel enthalten. Dies bedeutet, dass aufgrund der Lizenzbedingungen eine Pflicht besteht, bestimmte Weiterentwicklungen des Quellcodes unter der Ursprungslizenz zu veröffentlichen. Der sogenannte „Copyleft-Effekt“ kann dabei unterschiedlich ausgestaltet sein, je nachdem, ob die OSS-Lizenzbedingungen lediglich eine beschränkte oder eine strenge Copyleft-Klausel vorsehen. Jedenfalls besteht aus Sicht eines potentiellen Investors oder Unternehmenskäufers in diesen Fällen das Risiko, dass das entwickelte IP nicht oder eingeschränkt genutzt werden kann bzw. auch Wettbewerbern zur Nutzung zu Verfügung steht. Solche Risiken gilt es im Vorfeld einer Due Diligence zu identifizieren und durch angemessene Maßnahmen zu minimieren bzw. auszuschließen.

Ein hohes Gut: Datenschutz und Datensicherheit

FinTech-Startups sollte bewusst sein, dass Datenschutz und Datensicherheit im Finanzbereich einen hohen Stellenwert haben. Dies wird bereits am Bankgeheimnis deutlich und zeigt sich zudem in der behördlichen Aufsicht dieser Bereiche. Spätestens nach der öffentlichen Darstellung der Sicherheitsmängel von N26, einem FinTech mit Banklizenz, beim letztjährigen Hackerkongress 33C3 (https://www.heise.de/newsticker/meldung/33C3-Schwere-Sicherheitsmaengel-beim-Bank-Startup-N26-aufgedeckt-3582313.html) hat sich gezeigt, dass die Einhaltung von datenschutzrechtlichen Vorgaben und Implementierung von branchenüblichen Sicherheitsstandards auch für FinTech-Unternehmen zur Regel werden muss. Die Nutzung und Verarbeitung von Daten stellt nicht nur eine große Chance, sondern auch ein Risiko dar, das sich in Form von Bußgeldern, Schadensersatz- und Unterlassungsansprüchen, v. a. aber in Reputations- und Vertrauensverlusten realisieren kann. Mittlerweile dürften neben den Kunden daher auch Investoren, Kooperationspartner und potentielle Erwerber sensibilisiert sein.

In der Praxis zeigen sich Defizite im Bereich Datenschutz und Datensicherheit insbesondere bei Kooperationen. Zum Teil werden dort die datenschutzrechtlichen Verantwortlichkeiten sowie einzuhaltende Datensicherheitsstandards gar nicht oder nur unzureichend geklärt. So ist bei der Einschaltung von Dienstleistern (z.B. bei Nutzung von SaaS-Produkten) und bei Tätigwerden des FinTechs als Dienstleister regelmäßig der Abschluss einer Auftragsdatenverarbeitungs-Vereinbarung erforderlich. Praktisch werden solche Vereinbarungen häufig vergessen oder aber nicht mit der erforderlichen Sorgfalt erstellt.

Zudem ist zu beachten, dass die Erhebung, Speicherung sowie Verarbeitung von personenbezogenen Daten nur bei Vorliegen einer gesetzlichen Erlaubnis oder datenschutzrechtlichen Einwilligung des Betroffenen zulässig ist. Es sollte sichergestellt werden, dass die erforderlichen datenschutzrechtlichen Einwilligungen auch rechtswirksam eingeholt und die Nutzer des Produkts bzw. der Dienstleistung in einer Datenschutzerklärung vollständig, zutreffend sowie transparent aufklärt werden. Auch dies kann Prüfungspunkt im Rahmen einer Due Diligence sein.

Fazit

Im FinTech-Bereich gibt es derzeit viele Klippen zu umschiffen. Dies gilt insbesondere vor dem Hintergrund der dynamischen Rahmenbedingungen sowie der vielen Unklarheiten. Fintech-Gründer sollten die typischen Stolpersteine im Blick haben und spätestens vor einer Due Diligence im Rahmen einer Finanzierungsrunde, einer Kooperation oder eines Exits Maßnahmen ergreifen. Andernfalls besteht das Risiko, dass Verhandlungen bei gravierenden Defiziten scheitern oder nur schlechte Konditionen erzielt werden können. Im Regelfall lassen sich kritische Punkte allerdings gerade in frühen Unternehmensphasen noch sehr gut und mit verhältnismäßig wenig Aufwand beheben. In späteren Unternehmensphasen sowie im Falle einer Regulierung (z.B. Beantragung einer Erlaubnis nach dem KWG oder ZAG) ist dies hingegen nur mit erhöhtem Aufwand möglich.

Du hast Interess an detaillierten Informationen oder Fragen zu den Themen FinTech, InsurTech sowie Kooperationen und Unternehmensfinanzierungen (z.B. Venture Capital)?

  Kontaktiere gerne unseren Experten: hier klicken.

Das #StartupBriefing ist eine regelmäßige Publikation zu rechtlichen Themen, die vor allem für Gründer, Startups und junge Unternehmen relevant sind.

Mehr #StartupBriefings: hier klicken.