Datenschutz & IT-Sicherheit im M&A-Verfahren — Prüfrahmen für Datenwert, Risiken und Deal-Folgen

Wann sind Daten im M&A-Verfahren wirklich ein Asset?

Daten sind erst dann ein belastbares Asset, wenn vier Voraussetzungen zusammenkommen: wirtschaftliche Nutzbarkeit, rechtliche Verwertbarkeit, Datenqualität und technischer Schutz. Fehlt eine dieser Voraussetzungen, ist der Datenbestand kein unbereinigter Werttreiber, sondern ein Prüf- und Risikofeld im Deal.

Ein Datenbestand kann wirtschaftlich vielversprechend wirken, aber rechtlich nur eingeschränkt nutzbar sein — etwa weil Kundendaten ohne tragfähige Rechtsgrundlage für Marketing oder Profiling erhoben wurden. Ebenso kann ein rechtlich sauberer Datenbestand wirtschaftlich wenig hergeben, wenn Qualität, Struktur oder Aktualität fehlen. Und selbst bei wirtschaftlichem Potenzial und rechtlicher Nutzbarkeit können IT-Sicherheitsdefizite den Wert beeinträchtigen — durch Betriebsrisiken, Incident-Folgen oder mangelnde Nachweisfähigkeit im Exit.

Für PE-Investoren empfiehlt sich deshalb ein strukturierter Vier-Kriterien-Test als Einstieg in die Prüfung:

Kriterium	Prüffrage	Risikoindikator
Wirtschaftliche Nutzbarkeit	Welcher konkrete Use Case stützt den Investment Case?	Datenmenge wird als Wert behauptet, aber kein Use Case belegt
Rechtliche Verwertbarkeit	Sind Zwecke, Rechtsgrundlagen und Informationspflichten tragfähig dokumentiert?	Unklare Nutzung für Marketing, Profiling oder Datenkombination
Datenqualität	Sind Daten aktuell, vollständig, strukturiert und herkunftsbezogen dokumentiert?	Dubletten, veraltete Daten, unklare Datenherkunft
Technischer Schutz	Sind Zugriff, Protokollierung, Backup und Incident-Prozesse nachvollziehbar?	Unklare Berechtigungen, fehlendes Logging, schwache Backup-Nachweise

Dieser Test ersetzt keine vollständige Due Diligence. Er hilft aber, früh zu erkennen, ob ein behaupteter Datenwert fundiert ist — oder ob der Investment Case auf Annahmen beruht, die einer näheren Prüfung nicht standhalten.

Entscheidend ist: Datenmenge allein ist kein Wertnachweis. Ein Daten-Premium lässt sich nur dann nachvollziehbar ansetzen, wenn der Investor belegen kann, wie der Datenbestand Umsatz, Marge, Kundenbindung, Risikosteuerung oder Skalierung konkret beeinflusst.

Share Deal oder Asset Deal — was bedeutet die Transaktionsstruktur für den Datenschutz?

Die Transaktionsstruktur entscheidet darüber, ob personenbezogene Daten beim Target verbleiben oder an den Erwerber übergehen — und damit über den gesamten datenschutzrechtlichen Prüfrahmen der Due Diligence.

PE-Investoren erwerben typischerweise Beteiligungen an privaten Zielgesellschaften — der Share Deal ist der Regelfall. Beim Share Deal erwirbt der Investor Anteile an der Zielgesellschaft („Target“). Der Unternehmenskaufvertrag wird in diesem Kontext üblicherweise als Share Purchase Agreement („SPA“) bezeichnet. Die Gesellschaft bleibt bestehen, ihre Verträge, Systeme und Datenbestände verbleiben grundsätzlich bei ihr. Datenschutzrechtlich bleibt das Target Verantwortlicher. Der Prüffokus liegt auf der kontrollierten Offenlegung im Datenraum und der Frage, ob die Zielgesellschaft die Daten nach Closing weiter für die geplanten Zwecke nutzen darf.

Beim Asset Deal — seltener, aber datenschutzrechtlich anspruchsvoller — werden einzelne Vermögenswerte, Betriebsteile oder Vertragspositionen übertragen. Soweit personenbezogene Daten mitübergehen, findet eine tatsächliche Datenübermittlung an den Erwerber statt. Rechtsgrundlage, neue Verantwortlichkeit und spätere Nutzung müssen hier gesondert geprüft werden. Die Hürden sind deutlich höher als beim Share Deal.

Prüffrage	Share Deal	Asset Deal	Bedeutung für die DD
Erwerbsgegenstand	Gesellschaftsanteile	Einzelne Assets oder Betriebsteile	Bestimmt den datenschutzrechtlichen Ausgangspunkt
Datenbestand	Verbleibt grundsätzlich bei der Zielgesellschaft	Kann auf den Erwerber übergehen	Entscheidet über Übertragung und Verantwortlichkeit
Prüffokus	Offenlegung und Nutzbarkeit nach Closing	Rechtsgrundlage, Übertragung, spätere Nutzung	Legt SPA-Regelungen und Post-Closing-Maßnahmen fest

Die Unterscheidung bestimmt, welche Datenschutzfragen im Datenraum, in der Legal DD, im SPA und im Post-Closing-Plan adressiert werden müssen. Wer die Transaktionsstruktur nicht früh klärt, riskiert, dass Datenschutzrisiken erst spät im Prozess sichtbar werden — wenn Bewertung und Vertragsstruktur bereits stehen.

Unabhängig von der Transaktionsstruktur stellt sich bereits vor Signing eine praktische Frage: Welche Daten darf der Investor im Datenraum überhaupt sehen?

Datenraum vor Signing: Welche Daten darf der Investor sehen?

Der Datenraum dient der informierten Kaufentscheidung — nicht der maximalen Transparenz. Personenbezogene Daten dürfen dort nur offengelegt werden, wenn sie für die Prüfung tatsächlich erforderlich sind.

Die Grundregel lautet: aggregieren, anonymisieren oder schwärzen. Ein Investor braucht regelmäßig keine vollständigen Kundenlisten, keine Personalakten und keine individuellen Beschäftigtendaten. Belastbare Aussagen über Kundenstruktur, Umsatzverteilung, Vertragslaufzeiten, Fluktuation oder Vergütungsbandbreiten lassen sich in aller Regel auch ohne Personenbezug darstellen.

Wann Ausnahmen in Betracht kommen

Bei Key Accounts, Schlüsselpersonen oder kritischen Lieferanten kann eine personenbezogene Offenlegung erforderlich sein. Voraussetzungen dafür sind:

• Dokumentierte Interessenabwägung, die den konkreten Informationsbedarf begründet
• Enge Zugriffsbeschränkungen im Datenraum, idealerweise rollenbasiert
• Nachvollziehbare Begründung, warum eine anonymisierte Darstellung nicht genügt
• Fortgeschrittener Verhandlungsstand, der die Offenlegung verhältnismäßig macht

Besonders sensible Bereiche im Datenraum

Nicht alle Daten im Datenraum sind gleich risikobehaftet. Besondere Vorsicht gilt bei:

• Beschäftigtendaten: Gehalt, Gesundheitsdaten, Leistungsbeurteilungen oder Abmahnungen gehören nur in eng begründeten Ausnahmefällen in den Datenraum. Aggregierte Angaben zu Vergütungsbandbreiten und Fluktuation genügen in der Regel.
• IT-Sicherheitsunterlagen: Dokumente mit Schwachstellenbezug können im Datenraum selbst ein Sicherheitsrisiko erzeugen. Gestufter Zugang und Protokollierung sind hier Pflicht.
• Marketing- und Profiling-Daten: Nur vorgeprüfte Auszüge bereitstellen, nicht die gesamte Datenbasis.

Für den Investor bedeutet das eine Doppelrolle: Einerseits braucht er genug Information für eine fundierte Kaufentscheidung. Andererseits sollte er ein Interesse daran haben, dass der Datenraum sauber strukturiert ist — denn ein schlecht kontrollierter Datenraum ist selbst ein Red Flag für die Datenschutz- und Governance-Reife des Targets.

Datenwert berechnen: Vom Bruttowert zum realisierbaren Wert

Wie viel ist ein Datenbestand im Deal wirklich wert? Die Antwort hängt nicht von der Datenmenge ab, sondern vom konkreten Nutzungskontext — und von den Risiken, die diesen Nutzen einschränken.

Für den Erwerber ist maßgeblich, welche zusätzlichen Zahlungsströme, Effizienzgewinne oder Risikoreduktionen nach Closing realistisch aus dem Datenbestand abgeleitet werden können.

Drei Bewertungsansätze und eine praktische Näherung

• Ertragsorientierter Ansatz: Leitet den Datenwert aus den künftig erwarteten Zahlungsüberschüssen ab, abgezinst auf den Bewertungszeitpunkt. Beispiel: 200.000 Euro jährlicher Zusatzertrag über fünf Jahre bei 5 % Diskontierungszins ergibt nicht 1.000.000 Euro, sondern einen Barwert von rund 866.000 Euro.
• Kostenorientierter Ansatz: Fragt, welcher Aufwand nötig wäre, um einen vergleichbaren Datenbestand neu aufzubauen — Erhebung, Bereinigung, Infrastruktur, Qualitätssicherung. Begrenzte Aussagekraft: Ein teuer aufgebauter Datenbestand kann wirtschaftlich wenig wert sein, wenn er veraltet oder rechtlich nicht nutzbar ist.
• Marktorientierter Ansatz: Vergleicht Preise für ähnliche Datenbestände oder Nutzungsrechte am Markt. Scheitert in der Praxis häufig an fehlender Vergleichbarkeit und intransparenten Märkten.
• Erlös-pro-Nutzer-Ansatz: Eine praktische Näherung für datengetriebene Geschäftsmodelle. Ausgangspunkt ist der durchschnittliche Erlös pro Nutzer und Jahr — bei Meta liegt dieser Wert beispielsweise bei rund 57 Dollar. Multipliziert mit der Nutzerbasis und der erwarteten Nutzungsdauer ergibt sich ein rechnerischer Bruttowert. Diese Näherung berücksichtigt allerdings weder Kosten, Abzinsung und Datenqualität noch rechtliche Nutzungsbeschränkungen und ist daher im M&A-Verfahren nur ein erster Indikator, kein belastbarer Bewertungsmaßstab.

Vom Bruttowert zum risikoadjustierten Wert

Alle drei Ansätze liefern zunächst nur einen wirtschaftlichen Bruttowert. Der realisierbare Datenwert muss anschließend bereinigt werden um:

• Rechtliche Nutzungsbeschränkungen und Zweckbindungsprobleme
• Fehlende oder unzureichende Einwilligungen
• Datenqualitätsmängel wie Dubletten, veraltete Bestände oder unklare Herkunft
• Integrationskosten und Vendor-Abhängigkeiten
• IT-Sicherheitsrisiken und Remediation-Aufwand

Pauschale Abschläge oder feste Bewertungsregeln sind dabei nicht sachgerecht — die Bewertung muss transaktionsspezifisch aus den konkreten DD-Befunden abgeleitet werden.

Ein Daten-Premium ist nur tragfähig, wenn der konkrete Use Case wirtschaftlich belegt und rechtlich zulässig nutzbar ist. Ohne diesen Nachweis bleibt der Datenbestand ein Due-Diligence-Thema, kein Aufpreisargument.

Legal Usability — welche Daten darf der Investor nach Closing nutzen?

Ein behaupteter Wert von Kundendaten, Marketing- oder CRM-Daten ist nur tragfähig, wenn die geplante Nutzung nach Closing rechtlich abgesichert ist. Die Datenschutz-Due-Diligence muss deshalb über formale DSGVO-Compliance hinausgehen und prüfen, welche konkreten Grenzen sich auf den Datenwert auswirken.

Rechtsgrundlage und Rechtmäßigkeit

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Art. 6 DSGVO. Wurden Daten ohne tragfähige Grundlage erhoben oder verarbeitet, kann der Erwerber sie nicht ohne Weiteres weiter nutzen. Der angenommene wirtschaftliche Wert — etwa für Werbung, Kundenanalyse oder Cross-Selling — ist dann nur eingeschränkt realisierbar.

Zweckbindung

Personenbezogene Daten dürfen nach Art. 5 Abs. 1 lit. b DSGVO nur für die Zwecke verarbeitet werden, für die sie erhoben wurden. Daten, die ursprünglich zur Vertragsdurchführung erhoben wurden, dürfen nicht automatisch für personalisierte Werbung, KI-Training oder die Integration in ein neues Geschäftsmodell genutzt werden. Weicht die geplante Nutzung durch den Erwerber vom ursprünglichen Erhebungszweck ab, kann das den Datenwert erheblich mindern.

Einwilligung

Stützt sich die Verarbeitung auf Einwilligungen, müssen diese wirksam, informiert, freiwillig, widerrufbar und dokumentiert sein. Fehlen Nachweise oder decken die Einwilligungen die geplante Nutzung nicht ab, ist der Datenbestand für den Erwerber eingeschränkt verwertbar. Das betrifft insbesondere Geschäftsmodelle, bei denen der Wert aus Profilbildung, Werbung oder Weiterverwendung von Kundendaten entsteht.

Besondere Datenkategorien

Gesundheitsdaten, biometrische Daten oder andere besondere Kategorien nach Art. 9 DSGVO unterliegen einem grundsätzlichen Verarbeitungsverbot mit engen Ausnahmen. Gerade im Versicherungs- oder Gesundheitsbereich kann der wirtschaftliche Wert stark von der Frage abhängen, ob die konkrete Nutzung überhaupt zulässig ist.

Altkundendaten und Aufbewahrungsdaten

Altkundendaten, die nur noch aus gesetzlichen Aufbewahrungspflichten gespeichert werden, dürfen nicht ohne Weiteres für Marketing oder Reaktivierung eingesetzt werden. Aktiv nutzbare Kundendaten und reine Aufbewahrungsdaten müssen klar getrennt werden — fehlt diese Trennung, ist die gesamte Kundendatenbank als Asset fragwürdig.

Risiken bei fehlender Legal Usability

Fehlt die rechtliche Nutzbarkeit, drohen konkrete finanzielle Folgen:

• Bußgelder nach Art. 83 DSGVO, die je nach Verstoß erheblich ausfallen können
• Verarbeitungsverbote durch Aufsichtsbehörden nach Art. 58 DSGVO, die geplante Use Cases vollständig blockieren können
• Schadensersatzansprüche Betroffener nach Art. 82 DSGVO, die bei großen Datenbeständen wirtschaftlich relevant werden
• Reputationsschäden, die sich auf Kundenbeziehungen und Exit-Fähigkeit auswirken

Fehlt die rechtliche Nutzbarkeit, ist der Datenbestand im M&A-Kontext nicht wertsteigernd, sondern ein Bewertungs- und Haftungsrisiko. Neben der rechtlichen Nutzbarkeit entscheidet ein zweiter Faktor über den realisierbaren Datenwert: die technische Absicherung.

IT-Sicherheit in der Due Diligence: Security-Befunde als Deal-Risiko

IT-Sicherheitsmängel gefährden nicht nur den Betrieb, sondern den Datenwert selbst — und damit den Investment Case. Fehlendes Logging erschwert die Aufklärung von Vorfällen, unklare Berechtigungen erhöhen das Risiko unzulässiger Zugriffe, und nicht getestete Backups gefährden die Betriebsfähigkeit nach Closing.

NIST CSF 2.0 als Management-Raster

Als kompakter Prüfrahmen eignet sich das NIST Cybersecurity Framework 2.0 mit sechs Funktionen. Statt einer technischen Tiefenprüfung strukturiert es Security-Befunde entlang einer Management-Logik:

• Govern: Sind Rollen, Risikostrategie und Verantwortlichkeiten für IT-Sicherheit definiert? Fehlt eine klare Governance, lassen sich Security-Befunde im Deal kaum einordnen.
• Identify: Sind Daten, Systeme, Assets, Dienstleister und deren Risiken bekannt und dokumentiert? Ohne diese Grundlage kann der Investor nicht bewerten, was er erwirbt.
• Protect: Funktionieren Zugriffskontrollen, Authentifizierung und Datenschutzmaßnahmen? Unklare Berechtigungen oder fehlende Verschlüsselung wirken sich direkt auf Haftung und Remediation-Kosten aus.
• Detect: Gibt es Monitoring, Logging und Angriffserkennung? Wer Angriffe nicht erkennt, kann sie nicht melden — und verletzt potenziell Meldepflichten nach Art. 33 DSGVO.
• Respond: Bestehen Incident-Prozesse, Eskalationswege und Kommunikationspläne? Fehlende Incident Response ist ein direktes Haftungsrisiko bei meldepflichtigen Datenpannen.
• Recover: Sind Backup, Restore und Wiederanlauf getestet? Backups, die nie geprüft wurden, sind im Ernstfall wertlos — ein Risiko, das die Betriebsfähigkeit nach Closing unmittelbar betrifft.

Security-Befunde in Deal-Logik übersetzen

Security-Befunde sollten nicht isoliert als technische Defizite behandelt werden. Die entscheidende Frage lautet immer: Was bedeutet der Befund für den Deal? Konkret:

• Datenwert: Mindert der Befund die Nutzbarkeit oder Monetarisierbarkeit des Datenbestands?
• Betrieb: Gefährdet der Befund die Betriebsfähigkeit nach Closing?
• Haftung: Entsteht ein Bußgeld-, Schadensersatz- oder Meldepflichtrisiko?
• Exit Readiness: Beeinträchtigt der Befund die spätere Veräußerungsfähigkeit?

Je stärker der Wert des Targets vom Datenbestand abhängt, desto unmittelbarer wirken Security-Mängel auf Kaufpreis und Vertragsgestaltung.

Red Flags erkennen und in Bewertung, SPA und 100-Tage-Plan übersetzen

Ein Due-Diligence-Befund ist nur verwertbar, wenn er eine konkrete Deal-Folge hat. Die zentrale Regel lautet: Keine Red Flag ohne Evidenz — und keine Red Flag ohne Transaktionsfolge.

Entscheidend ist nicht jede formale Abweichung. Entscheidend ist, ob der Befund den Investment Case, die Bewertung, die Integrationsfähigkeit, die Haftungssituation oder die Exit Readiness berührt. Typische Red Flags und ihre möglichen Deal-Folgen:

• Kundendatenbank als wesentliches Asset ohne nachweisbare Nutzungsgrundlage: Kaufpreis hinterfragen, Garantie oder Closing-Nachweis prüfen.
• Marketingdaten ohne dokumentierte Rechtsgrundlage: Kein Daten-Premium ansetzen, Garantie oder Freistellung im SPA verhandeln.
• Altkundendaten ohne Trennung von aktiven Kundendaten: Remediation als Post-Closing-Maßnahme aufsetzen.
• Beschäftigtendaten ohne Erforderlichkeitsprüfung im Datenraum: Datenraum nachsteuern, Governance-Reife des Targets hinterfragen.
• Besondere Kategorien oder Bankdaten ohne klare Rechtsgrundlage: Nutzungsbeschränkung oder Closing Condition prüfen.
• Unzureichende Schutzmaßnahmen bei Datenübermittlung: Security-Mindestmaßnahmen und Remediation-Plan prüfen, insbesondere beim Asset Deal.
• Incident- oder Schwachstellenhistorie ohne belegbare Nachweise: Security-DD vertiefen, Remediation-Budget oder Holdback prüfen.
• Fehlendes Dateninventar oder unklare Data Owner: DD-Vertiefung und 100-Tage-Maßnahme einplanen.

Der 100-Tage-Plan nach Closing

Die Befunde, die nicht vor Closing abschließend geklärt werden können, gehören in einen strukturierten 100-Tage-Plan mit klaren Verantwortlichkeiten, Budget und Meilensteinen:

• Tage 0–30: Data Asset Map finalisieren, Data Owner benennen, Zugriffsrechte prüfen, Offenlegungsentscheidungen aus dem Datenraum dokumentieren
• Tage 31–60: Legal-Usability-Prüfung abschließen, aktive Kundendaten von Aufbewahrungsdaten trennen, Vendor- und Processor-Landschaft prüfen, Einwilligungen und Informationspflichten verifizieren
• Tage 61–100: Berechtigungskonzepte umsetzen, Logging- und Backup-Nachweise sicherstellen, Incident- und Restore-Prozesse testen, Löschroutinen implementieren

Der 100-Tage-Plan ist kein Nice-to-have, sondern die Brücke zwischen DD-Befunden und Wertrealisierung. Ohne ihn bleiben Risiken zwar bekannt, aber wirtschaftlich und operativ unadressiert — und damit ein Hindernis für Integration, Skalierung und Exit.

Fazit: Daten als Werttreiber im M&A — nur mit belastbarer Prüfung

Daten können im M&A-Verfahren ein erheblicher Werttreiber sein. Für PE-Investoren entsteht dieser Wert aber nur, wenn der Vier-Kriterien-Test standgehalten hat: wirtschaftliche Nutzbarkeit, rechtliche Verwertbarkeit, Datenqualität und technischer Schutz.

Die Transaktionsstruktur bestimmt den datenschutzrechtlichen Rahmen. Der Datenraum muss kontrolliert und zweckbezogen gestaltet sein. Der Datenwert muss risikoadjustiert berechnet werden — nicht brutto, sondern bereinigt um rechtliche, qualitative und technische Einschränkungen. Legal Usability und IT-Sicherheit sind keine nachgelagerten Compliance-Themen, sondern unmittelbar kaufpreisrelevant.

Und: Jeder DD-Befund braucht eine Deal-Folge. Wer Red Flags nur dokumentiert, aber nicht in Bewertung, SPA, Closing Conditions oder den 100-Tage-Plan übersetzt, lässt Risiken offen — mit Folgen für Haftung, Integration und Exit-Fähigkeit.

Häufig gestellte Fragen

Können Datenschutzverstöße den Kaufpreis nachträglich beeinflussen?

Ja, Datenschutzverstöße können den realisierbaren Wert eines Datenbestands erheblich mindern. Bußgelder nach Art. 83 DSGVO, Verarbeitungsverbote durch Aufsichtsbehörden und Schadensersatzansprüche Betroffener nach Art. 82 DSGVO sind konkrete finanzielle Risiken. Hinzu kommen Remediation-Kosten und Reputationsschäden. Im SPA lassen sich solche Risiken durch Garantien, Freistellungen oder Holdback-Regelungen adressieren — vorausgesetzt, sie werden in der Due Diligence erkannt.

Welche Rolle spielt Data Governance im M&A-Prozess?

Data Governance ist die Voraussetzung dafür, dass Datenwert und Datenrisiken im Deal überhaupt fundiert beurteilt werden können. Ohne Dateninventar, ohne klare Data Owner und ohne Klassifikation kann der Investor nicht einschätzen, welche Daten wertrelevant sind und wer sie verantwortet. Je früher Data Governance, Datenschutz und IT-Sicherheit in den M&A-Prozess eingebunden werden, desto besser lässt sich zwischen echtem Wertpotenzial, verhandelbarem Risiko und zwingendem Sanierungsbedarf unterscheiden.

Wie sollten Beschäftigtendaten im Datenraum behandelt werden?

Beschäftigtendaten gehören zu den sensibelsten Informationen im Datenraum und erfordern eine besonders restriktive Offenlegung. Gehalt, Gesundheitsdaten, Leistungsbeurteilungen oder Abmahnungen dürfen nur in eng begründeten Ausnahmefällen offengelegt werden. In der Regel genügen aggregierte Angaben zu Vergütungsbandbreiten, Fluktuation und Personalstruktur. Ist eine individuelle Offenlegung bei Schlüsselpersonen erforderlich, braucht es eine dokumentierte Interessenabwägung und enge Zugriffsbeschränkungen.

Was gehört in einen 100-Tage-Plan nach Closing?

Der 100-Tage-Plan überführt DD-Befunde in konkrete Maßnahmen mit Owner, Budget und Meilensteinen. In den ersten 30 Tagen stehen Data Asset Map, Data Owner und Zugriffsrechte im Vordergrund. Bis Tag 60 folgen Legal-Usability-Prüfung, Kundendaten-Trennung und Vendor-/Processor-Review. Bis Tag 100 werden Berechtigungskonzepte, Logging, Backup-Tests und Incident-Response-Prozesse umgesetzt. Ohne diesen Plan bleiben Risiken bekannt, aber operativ unadressiert.

Kann ein Investor den Datenwert nachträglich im SPA absichern, wenn die DD-Zeit nicht ausreicht?

Ja — gerade bei knappen DD-Zeitfenstern sind vertragliche Absicherungen im SPA ein zentrales Instrument. Typische Mechanismen sind Garantien des Verkäufers zur Rechtmäßigkeit der Datenverarbeitung, Freistellungen für bekannte oder unbekannte Datenschutzrisiken, Holdback-Regelungen, die einen Teil des Kaufpreises bis zur Klärung offener Befunde zurückhalten, und Closing Conditions, die bestimmte Nachweise vor Vollzug verlangen. Entscheidend ist, dass die DD-Befunde präzise genug dokumentiert sind, um daraus konkrete SPA-Regelungen abzuleiten.