Due Diligence kostet Zeit. Bei M&A-Transaktionen, Finanzierungsrunden oder Unternehmenskäufen landen schnell hunderte von Verträgen, Lizenzen und Gesellschaftsdokumenten im virtuellen Datenraum – und irgendwer muss sie alle lesen. AI due diligence legal beschreibt den Einsatz von KI-gestützten Werkzeugen, um genau diesen Prozess zu beschleunigen: nicht durch Abkürzen der rechtlichen Prüfung, sondern durch systematische Extraktion, Priorisierung und Strukturierung der relevanten Informationen.
Dieser Beitrag erklärt, was dabei technisch passiert, wo die Grenzen liegen, und wie Schweizer Legal Teams den Ansatz heute konkret einsetzen können – mit Blick auf das schweizerische Recht und die regulatorischen Entwicklungen von 2024/2025.
Was AI due diligence eigentlich bedeutet
Traditionell bedeutet Due Diligence: Anwältinnen und Anwälte lesen Dokument für Dokument, notieren Auffälligkeiten in Excel oder Word und erstellen am Ende einen Bericht. Das funktioniert – aber ein erfahrenes Team schafft manuell etwa 50 bis 100 Dokumente pro Stunde. KI-gestützte Systeme können über 3'000 Dokumente pro Stunde verarbeiten (He Wang & You Zhou, BCP Business & Management, Vol. 39, 2023).
Der Unterschied liegt weniger in der Qualität der Einzelanalyse als in der Kapazität für strukturierte Muster über grosse Dokumentenmengen hinweg. Was früher eine Woche dauerte, lässt sich heute in Stunden ersterfassen – vorausgesetzt, die richtigen Felder sind definiert und die Ergebnisse werden von Juristen validiert.
Typischer Ablauf eines KI-gestützten Verfahrens
Der technische Prozess folgt meist einem ähnlichen Muster: Zuerst werden Dokumente hochgeladen und, falls nötig, per OCR lesbar gemacht. Dann extrahiert das System relevante Klauseln und Inhalte nach vordefinierten Feldern – zum Beispiel Haftungscaps, Kündigungsfristen, Change-of-Control-Regelungen oder Datenschutzbestimmungen. Auffälligkeiten und Abweichungen werden markiert und nach Risiko priorisiert. Das Ergebnis ist eine strukturierte Tabelle, die sich als Grundlage für den rechtlichen Bericht eignet.
Kein Schritt davon ersetzt die juristische Einschätzung. Aber der Schritt von "Dokument liegt vor" bis "strukturierte Übersicht aller kritischen Klauseln" ist deutlich schneller.
Die realen Risiken, die nicht verschwinden
KI-Werkzeuge in der Due Diligence sind gut darin, Standardklauseln zu finden und Muster über viele Dokumente hinweg sichtbar zu machen. Sie haben aber messbare Schwächen, die in der Praxis dokumentiert sind.
Aus Schweizer Transaktionspraxis lässt sich ein wiederkehrendes Muster beobachten: Change-of-Control-Klauseln in GmbH-Gesellschafterverträgen sind häufig nicht in einem eigenständigen Abschnitt geregelt, sondern in den Zustimmungsvorbehalten (Ziff. X "Vorbehalte der Gesellschafterversammlung") eingebettet. Aktuelle Extraktionsmodelle neigen dazu, diese Passagen als Governance-Boilerplate zu klassifizieren und nicht als materiell relevante Übertragungsbeschränkung. Wer dieses Feld nicht explizit in seinen Extraktions-Prompt aufnimmt, erhält ein stilles Risiko – eines, das in der nachgelagerten Vertragsverhandlung schnell CHF 500'000 oder mehr kosten kann, wenn der Käufer die Zustimmungspflicht erst nach Signing entdeckt.
Ein weiteres Praxisproblem in Schweizer VDRs: Viele Verträge in grenzüberschreitenden Transaktionen liegen gemischt vor – deutsche und französische Versionen desselben Rahmenvertrags, teils handschriftlich unterzeichnete kantonale Notariatsdokumente als eingescannte PDFs ohne Texterkennung. Solche Dokumente produzieren bei der KI-Extraktion entweder leere Felder oder fehlerhafte Ergebnisse, ohne dass das System von sich aus einen Warnhinweis ausgibt. Eine kurze manuelle Vorkontrolle der Dokumentqualität vor dem Upload gehört deshalb in jeden seriösen Workflow.
Wo KI an ihre Grenzen stösst
Ungewöhnliche Formulierungen: Was im Training nicht oder selten gesehen wurde, wird leichter übersehen.
Kontextuelle Bewertung: Ob ein Haftungsausschluss nach Art. 100 OR materiell relevant ist oder ob Art. 199 OR eine Gewährleistungsklausel legitimiert, hängt vom Gesamtbild der Transaktion ab – das kann ein Modell nicht ohne Kontext einschätzen.
"Weiche" Faktoren: Managementqualität, Marktreputation oder kulturelle Besonderheiten bei grenzüberschreitenden Deals bleiben ausserhalb des Analyserahmens.
Handschriftlich unterzeichnete oder schlecht gescannte Dokumente: Kantonal beurkundete Verträge (etwa bei Grundstücksübertragungen in Zürich oder Zug) liegen oft als handschriftlich unterzeichnete PDFs ohne durchsuchbaren Text vor und erfordern manuelle OCR-Aufbereitung vor dem KI-Einsatz.
Das bedeutet nicht, dass KI-gestützte Due Diligence unsicher ist. Es bedeutet, dass sie einen qualifizierten menschlichen Blick braucht, der die Ergebnisse einordnet.
Schweizer Rechtsrahmen: Was Verwaltungsräte und Anwälte wissen müssen
In der Schweiz trägt der Verwaltungsrat nach Art. 717 OR eine Sorgfaltspflicht gegenüber der Gesellschaft, die auch die Prüfung von KI-generierten Due-Diligence-Berichten umfasst. Ein Verwaltungsrat, der einen Bericht kommentarlos abnickt, ohne die zugrunde liegenden Prüfschritte zu kennen, setzt sich unter Art. 754 OR einer Verantwortlichkeit aus, wenn sich später herausstellt, dass ein materielles Risiko übersehen wurde. Das ist keine theoretische Warnung: Bei M&A-Transaktionen ab CHF 10 Millionen sind VR-Protokolle, die den Due-Diligence-Prozess dokumentieren, regelmässig Gegenstand späterer Streitigkeiten.
Für Datenschutzfragen ist seit dem 1. September 2023 das revidierte Datenschutzgesetz (revDSG) anwendbar. Art. 5 revDSG definiert die massgeblichen Grundsätze der Datenbearbeitung. Wer im Rahmen einer Due Diligence Personendaten von Mitarbeitenden des Zielunternehmens verarbeitet – etwa in Lohnunterlagen, HR-Verträgen oder Aktionärslisten – muss sicherstellen, dass die Bearbeitung auf einer genügenden Rechtsgrundlage beruht und die Datensicherheit nach Art. 8 revDSG gewährleistet ist. Bei Verletzungen der Datensicherheit greift die Meldepflicht nach Art. 24 revDSG. Das gilt auch dann, wenn die Bearbeitung an einen KI-Dienstleister ausgelagert wird – die Verantwortung bleibt beim verantwortlichen Unternehmen.
Für grenzüberschreitende Transaktionen mit EU-Bezug kommt zusätzlich Art. 28 DSGVO ins Spiel, der eine schriftliche Auftragsverarbeitungsvereinbarung mit dem KI-Anbieter voraussetzt. Schweizer Kanzleien, die für EU-regulierte Gegenparteien arbeiten, müssen diesen Aspekt aktiv adressieren.
Schliesslich ist auf den EU AI Act hinzuweisen, der seit Anfang 2025 schrittweise in Kraft tritt. Art. 6 EU AI Act klassifiziert KI-Systeme, die zur Bewertung natürlicher Personen in rechtlichen Kontexten eingesetzt werden, potenziell als hochriskant. Schweizer Kanzleien, die mit EU-regulierten Gegenparteien oder in EU-regulierten Märkten tätig sind, sollten prüfen, ob ihre KI-gestützten Due-Diligence-Tools unter diese Klassifizierung fallen. FINMA hat im Rahmen ihres Rundschreibens 2018/3 zu Outsourcing zudem klargestellt, dass die Auslagerung von Aktivitäten an Cloud-basierte KI-Anbieter den Anforderungen an Datensicherheit und Revisionsfähigkeit genügen muss.
Wie der AI Data Room von CASUS den Prozess strukturiert
CASUS, eine Schweizer Legal-AI-Plattform, bietet mit dem AI Data Room einen Workflow für die parallele Analyse vieler Dokumente. Die Grundidee: Wer eine Due Diligence durchführt, definiert selbst, welche Informationen aus welchen Dokumenten extrahiert werden sollen – jede Tabellenspalte basiert auf einem eigenen Prompt.
Das Ergebnis ist eine tabellarische Übersicht, die sich direkt in Excel weiterverarbeiten lässt. Typische Felder bei M&A-Prüfungen sind etwa Haftungscaps, SLA-Regelungen, IP-Ownership, Kündigungsfristen und Datenschutzklauseln – jeweils pro Dokument in einer eigenen Spalte.
Was der AI Data Room konkret leistet
Hochladen von dutzenden oder hunderten Dokumenten in einem Durchgang
Extraktion nach benutzerdefinierten Feldern und Klauselthemen
Markierung von Auffälligkeiten, zum Beispiel Haftung ohne Cap oder Kündigungsfristen über 12 Monate
Risikopriorisierung über alle Dokumente hinweg
Datenschutz-Use-Case: Erkennung personenbezogener Daten wie Namen, E-Mail-Adressen und Bankdaten, mit Unterstützung bei der Anonymisierung nach revDSG
Wichtig: Das System extrahiert, was vorgegeben wird. Eine vollständige automatische Erfassung aller möglichen Klauseln ohne Definition der relevanten Felder ist nicht das Versprechen.
Konkreter Workflow: Wie ein Zürcher M&A-Team 340 Verträge in 6 Stunden prüft
Eine auf Unternehmenstransaktionen spezialisierte Boutique-Kanzlei in Zürich stand vor einer typischen Herausforderung: 340 Lieferanten- und Kundenverträge eines Zielunternehmens mussten auf Change-of-Control-Klauseln, Haftungscaps und Datenschutzregelungen geprüft werden. Die manuelle Ersterfassung durch zwei Junior Associates hätte nach Erfahrungswert vier Arbeitstage in Anspruch genommen.
Mit dem CASUS AI Data Room wurden die 340 Dokumente in einem Durchgang hochgeladen. Das Team definierte sechs Extraktionsfelder: Change-of-Control-Klauseln (mit explizitem Hinweis auf Zustimmungsvorbehalte in GmbH-Verträgen), Haftungscap (Betrag und Bezugsgrösse), Kündigungsfrist, IP-Ownership, Datenschutzklausel (Ja/Nein/unvollständig) und Laufzeit. Das Ergebnis: eine vollständige Extraktionstabelle nach sechs Stunden, die direkt als Grundlage für den Due-Diligence-Bericht diente. Achtzehn Verträge wurden als "hohe Priorität" markiert – davon vier wegen fehlender Haftungscaps und drei wegen unklarer Change-of-Control-Regelungen in Zustimmungsvorbehalten. Diese 18 Verträge gingen zur vertieften manuellen Prüfung an die Senior Associates. Der Rest wurde in der Tabellenübersicht dokumentiert und als "kein unmittelbarer Handlungsbedarf" klassifiziert.
Die Zeitersparnis war messbar: statt vier Tagen Ersterfassung vergingen sechs Stunden bis zur priorisierten Übersicht. Der Aufwand für die manuelle Tiefenprüfung der 18 markierten Verträge blieb unverändert – das ist der Teil, den KI nicht ersetzt.
Datensicherheit im Schweizer Kontext
Gerade bei M&A-Transaktionen ist Datensicherheit nicht verhandelbar. CASUS hostet ausschliesslich in der Schweiz und der EU, überträgt keine Daten in die USA, bietet Zero Data Retention und verzichtet auf Human Review (mit Opt-out-Option für das Abuse Monitoring). Für Schweizer Kanzleien und Inhouse-Teams, die mit hochsensiblen Transaktionsdaten arbeiten, ist das ein relevanter Unterschied zu US-basierten Alternativen – und eine Voraussetzung für die Einhaltung von Art. 8 revDSG sowie FINMA-Outsourcing-Anforderungen. Mehr dazu unter /security.
Wann KI-gestützte Due Diligence nicht die richtige Wahl ist
Nicht jede Transaktion profitiert gleichermassen vom KI-Einsatz. Eine ehrliche Einschätzung:
Szenario | KI-Einsatz sinnvoll? | Begründung |
|---|---|---|
Asset Deal unter CHF 2 Mio., 10–20 Dokumente | Eher nein | Setup-Aufwand übersteigt den Zeitgewinn |
Einzel-Dokument-Review (ein Vertrag) | Nein | Risk & Quality Review ist das richtige Tool |
Transaktionen mit vielen handschriftlich unterzeichneten kantonalen Notariatsdokumenten | Bedingt | OCR-Vorbereitung nötig; Extraktionsqualität eingeschränkt |
Gemischte Sprachversionen (DE/FR) ohne einheitliche Struktur | Bedingt | Extraktion pro Sprachversion separat definieren |
50+ Standardverträge gleichen Typs | Ja | Idealer Use-Case; Muster über viele Dokumente erkennbar |
Compliance-Screening über bestehenden Vertragsbestand | Ja | Gezielte Suche nach revDSG-Klauseln oder GDPR-Lücken |
M&A ab 100 Dokumenten, gemischte Vertragstypen | Ja | Grösster Effizienzgewinn; Priorisierung der Tiefenprüfung |
Diese Tabelle ist kein Absoluturteil. Aber sie hilft, realistische Erwartungen zu setzen – und verhindert, dass KI-Tools als universelle Lösung eingesetzt werden, wo manuelle Sorgfalt schneller zum Ziel führt.
Praktische Anwendung für Schweizer Legal Teams
M&A und Unternehmenskauf
Die häufigste Anwendung ist die Vertragsprüfung im Rahmen von Share Purchase Agreements (SPAs) oder Asset Deals. Im Rahmen von Art. 717 OR trägt der Verwaltungsrat die Sorgfaltspflicht auch für die Qualität des Due-Diligence-Prozesses – das schliesst die Überprüfung der verwendeten Werkzeuge und die Validierung von KI-generierten Ergebnissen ein. Statt jeden Lieferantenvertrag einzeln zu lesen, kann ein Team die gesamte Vertragsbasis hochladen, die relevanten Klauseln definieren und eine Übersicht aller kritischen Punkte erhalten. Abweichungen vom Standard – etwa fehlende Haftungscaps oder Change-of-Control-Lücken – werden direkt markiert.
Für den anschliessenden Einzelreview auffälliger Verträge eignet sich der Risk & Quality Review von CASUS: Er analysiert ein einzelnes Dokument aus Partei-Perspektive, priorisiert Findings nach Schweregrad und liefert konkrete Verbesserungsvorschläge, die sich direkt in Word übernehmen lassen.
Compliance-Screening über grosse Vertragsbestände
Nicht nur bei Transaktionen – auch bei laufenden Compliance-Prüfungen kann der AI Data Room eingesetzt werden. Wer prüfen will, ob ein Vertragsbestand den Anforderungen des revDSG (insbesondere Art. 5, Art. 19 und Art. 30 zur Auftragsbearbeitung) entspricht, kann das System gezielt nach Datenschutzklauseln, Verarbeitungsverträgen und Informationspflichten suchen lassen. Das ist effizienter als eine manuelle Durchsicht – und liefert eine dokumentierte Grundlage für die Compliance-Einschätzung.
Zusammenspiel mit anderen CASUS-Modulen
Die Stärke des Ansatzes liegt im Zusammenspiel. Der AI Data Room liefert die Übersicht über viele Dokumente. Für vertiefte Fragen zu einem einzelnen Vertrag oder einer rechtlichen Einschätzung – zum Beispiel ob eine Klausel nach Art. 18 OR so ausgelegt werden kann, wie der Käufer sie versteht – steht der AI Chat mit Legal Research zur Verfügung: quellenbasiert, strukturiert, nachvollziehbar, mit Zugriff auf über 660'000 Entscheide von Schweizer Gerichten aller Kantone und des Bundesgerichts. Und wer vor der finalen Versendung eines Dokuments sichergehen will, kann den Proofread-Workflow nutzen, der Sprache, Konsistenz und formale Fehler prüft – einschliesslich Schweizer Schreibkonventionen (ss statt ß) und korrekter Cross-References.
Mensch und KI: die hybride Prüfung als Standard
Die Frage, ob KI den Anwalt ersetzt, stellt sich in der Transaktionspraxis nicht ernsthaft. Was sich stellt: Wer weiterhin ohne KI-Unterstützung prüft, gibt Kapazität aus, die anderswo besser eingesetzt wäre. Und wer ausschliesslich auf KI-Output vertraut, riskiert genau die Fehler, die im Praxisbeispiel oben beschrieben sind.
Der hybride Ansatz ist kein Kompromiss. KI übernimmt die Ersterfassung, Extraktion und Priorisierung. Juristen prüfen die Ergebnisse, bewerten Materialität im Kontext der Transaktion und treffen die rechtlichen Urteile – einschliesslich der Frage, welche Befunde dem Verwaltungsrat nach Art. 717 OR zu kommunizieren sind.
Ein Schweizer M&A-Partner hat diesen Ansatz treffend formuliert: "KI sagt mir, wo ich hinschauen soll. Was ich dann sehe, muss ich immer noch selbst verstehen."
CASUS ausprobieren
Wer AI-gestützte Due Diligence in der Praxis testen möchte, kann CASUS ohne Verpflichtung unter app.getcasus.com/signup starten. Die Plattform läuft direkt in Microsoft Word und als Web-App – kein separates Tool, kein langer Onboarding-Prozess. Alle Daten bleiben in der Schweiz oder der EU. Mehr zum Datenschutz- und Sicherheitsansatz unter /security und zu CASUS allgemein unter /about.
FAQ
Was ist AI due diligence legal?
AI due diligence legal bezeichnet den Einsatz von KI-Werkzeugen zur Unterstützung der rechtlichen Prüfung im Rahmen von Unternehmenstransaktionen, Finanzierungsrunden oder Compliance-Prüfungen. KI übernimmt die Extraktion, Strukturierung und Priorisierung von Informationen aus grossen Dokumentenmengen, während die rechtliche Beurteilung durch Juristen erfolgt. In der Schweiz trägt der Verwaltungsrat nach Art. 717 OR weiterhin die Sorgfaltspflicht für den Gesamtprozess.
Wie viele Dokumente kann ein KI-System bei der Due Diligence verarbeiten?
KI-gestützte Systeme können laut einer Studie aus dem Jahr 2023 (He Wang & You Zhou, BCP Business & Management, Vol. 39) über 3'000 Dokumente pro Stunde verarbeiten, verglichen mit 50 bis 100 Dokumenten pro Stunde bei manueller Prüfung. In der Praxis – etwa beim oben beschriebenen Workflow einer Zürcher M&A-Kanzlei mit 340 Verträgen – bedeutet das eine Reduzierung der Ersterfassungszeit von vier Tagen auf sechs Stunden.
Welche Klauseln werden bei der AI Due Diligence typischerweise geprüft?
Typische Prüffelder sind Haftungscaps (inkl. Bezugsgrösse nach OR), Kündigungsfristen, Change-of-Control-Regelungen, IP-Ownership, SLA-Bedingungen und Datenschutzklauseln nach revDSG. Bei GmbH-Transaktionen sollten explizit auch Zustimmungsvorbehalte als eigenes Extraktionsfeld definiert werden, da Change-of-Control-Beschränkungen dort häufig eingebettet sind und von Standardmodellen übersehen werden.
Kann KI bei der Due Diligence alle Risiken erkennen?
Nein. KI-Systeme können ungewöhnlich oder untypisch formulierte Klauseln übersehen. Sie können keine kontextuellen oder "weichen" Faktoren wie Marktreputation oder Managementqualität bewerten. Handschriftlich unterzeichnete oder schlecht gescannte Dokumente – wie sie bei kantonal beurkundeten Schweizer Verträgen vorkommen – erfordern zudem manuelle OCR-Aufbereitung. Eine menschliche Validierung der Ergebnisse ist in jedem Fall erforderlich.
Wie sicher ist der Einsatz von KI bei vertraulichen Transaktionsdaten?
Das hängt von der Plattform ab. CASUS hostet ausschliesslich in der Schweiz und der EU, überträgt keine Daten in die USA, hat Zero Data Retention und kein Human Review. Das entspricht den Anforderungen von Art. 8 revDSG an die Datensicherheit und ist kompatibel mit den FINMA-Outsourcing-Anforderungen (Rundschreiben 2018/3). Für US-basierte Plattformen sind zusätzliche vertragliche Absicherungen nach Art. 28 DSGVO und revDSG Art. 30 zu prüfen. Mehr dazu unter /security.
Wann sollte ich keine KI-gestützte Due Diligence einsetzen?
Bei Asset Deals unter CHF 2 Millionen mit weniger als 20 Dokumenten übersteigt der Setup-Aufwand den Zeitgewinn. Gleiches gilt für Einzel-Dokument-Reviews (dort ist der Risk & Quality Review das richtige Tool) und für Transaktionen, bei denen der überwiegende Teil der Dokumente handschriftlich unterzeichnete kantonale Notariatsurkunden ohne OCR-Text sind. Bei gemischten Sprachversionen (Deutsch/Französisch) ist eine sprachspezifische Felderdefinition nötig, da die Extraktion sonst unvollständig bleibt.
Was bedeutet der EU AI Act für Schweizer Kanzleien, die KI in der Due Diligence einsetzen?
Der EU AI Act, der seit Anfang 2025 schrittweise in Kraft tritt, klassifiziert in Art. 6 KI-Systeme, die zur Bewertung natürlicher Personen in rechtlich relevanten Kontexten eingesetzt werden, potenziell als hochriskant. Schweizer Kanzleien, die für EU-regulierte Gegenparteien tätig sind oder in EU-regulierten Märkten operieren, sollten mit ihren KI-Anbietern klären, ob und wie diese Klassifizierung auf die eingesetzten Tools zutrifft. CASUS ist als Schweizer Plattform nicht direkt EU-AI-Act-reguliert, dokumentiert aber Extraktions- und Analyseprozesse so, dass sie für Revisionen nachvollziehbar sind.
Was ist der Unterschied zwischen AI Data Room und einem herkömmlichen virtuellen Datenraum?
Ein klassischer virtueller Datenraum (VDR) dient der sicheren Ablage und dem Zugriff auf Dokumente. Der AI Data Room von CASUS ist ein Analyse-Workflow: Er extrahiert Informationen aus den Dokumenten, strukturiert sie tabellarisch und markiert Auffälligkeiten nach Risikoprioritierung. Er ersetzt keinen VDR, sondern verarbeitet dessen Inhalte analytisch weiter.
Gilt AI due diligence auch ausserhalb von M&A?
Ja. Der Ansatz wird auch bei Compliance-Prüfungen über grosse Vertragsbestände nach revDSG, Datenschutz-Audits, Lieferantenvertragsprüfungen und regulatorischen Screenings eingesetzt. Der AI Data Room eignet sich für jeden Anwendungsfall, bei dem strukturierte Informationen aus vielen Dokumenten parallel extrahiert werden sollen.
