Distressed Readiness — ISMS- und Compliance-Stabilität in Insolvenz und Sanierung.

Wenn ein Unternehmen in Insolvenz oder Restrukturierung gerät, steht alles unter Zeitdruck. Der Insolvenzverwalter braucht eine schnelle Bestandsaufnahme der ISMS-Reife — für die Fortführungsfähigkeit, den Investorenprozess oder die übertragende Sanierung. Wir liefern diese Bestandsaufnahme strukturiert und schnell, mit Blick auf die spezifischen Anforderungen der Sondersituation.

8 Minuten Lesezeit · Themen: Fortführungsverfahren, Investorenprozess, übertragende Sanierung
Inhalt
7 Abschnitte · 8 Minuten Lesezeit
  1. 01Was ist Distressed Readiness?1 min
  2. 02Typische Auslöser: Fortführung, Investorenprozess, Sanierung2 min
  3. 03Asset Deal oder Share Deal — warum es einen Unterschied macht1 min
  4. 04Was geprüft wird — der typische Untersuchungsumfang2 min
  5. 05Datenschutz im Insolvenzverfahren1 min
  6. 06Liefergegenstände und Berichts-Format1 min
  7. 07Häufig gestellte Fragen3 min

Was ist Distressed Readiness?

Distressed Readiness ist eine Variante der Governance-Due-Diligence für Unternehmen in Sondersituationen — in Insolvenz, Restrukturierung nach StaRUG oder vorinsolvenzlicher Krise. Sie unterscheidet sich von einer klassischen Due-Diligence in vier Dimensionen: Zeitdruck, knapper Untersuchungsumfang, Fokus auf Fortführungsfähigkeit und enge Abstimmung mit dem Insolvenzverwalter oder Sanierungsberater.

Was bewertet wird: die Reife des Informationssicherheits-Managementsystems (ISMS), der Status regulatorischer Pflichten (NIS-2, KRITIS, DSGVO), die Stabilität der IT-Strukturen und die Belastbarkeit der Compliance-Dokumentation. Aus diesen Bausteinen entsteht ein Bild der Verkaufs- und Fortführungs-Fähigkeit aus Compliance-Sicht.

Der Umfang wird mandatsspezifisch festgelegt: Wir liefern einen strukturierten Kurzbericht für Verwalter, Gläubigerausschuss oder Investor. Die konkrete Untersuchungstiefe stimmen wir im Scoping-Gespräch ab, das Honorar kalkulieren wir aufwandsbasiert auf dieser Grundlage.

Typische Auslöser: Fortführung, Investorenprozess, Sanierung

Drei Situationen erzeugen den klassischen Mandatsbedarf:

  1. Fortführungsverfahren in der Insolvenz. Der Insolvenzverwalter entscheidet, den Betrieb operativ weiterzuführen — entweder zum Zweck einer späteren Sanierung oder eines geordneten Verkaufs. Während der Fortführung muss die IT funktionieren, müssen Kunden-Verträge erfüllbar bleiben, müssen regulatorische Pflichten weiter eingehalten werden. Ein NIS-2-Betreiber bleibt auch in Insolvenz NIS-2-Pflichtig, ein Krankenhaus bleibt KRITIS-pflichtig. Der Verwalter braucht hier schnell Klarheit: Was ist intakt, was wackelt, was muss gestützt werden?
  2. Investorenprozess mit Datenraum. Wenn aus der Insolvenz heraus verkauft werden soll, sucht der Verwalter Bieter, stellt einen Datenraum bereit und führt einen strukturierten M&A-Prozess durch — oft unter erheblichem Zeitdruck. In diesem Datenraum sind ISMS- und Compliance-Dokumente regelmäßig die Bereiche mit den meisten Lücken. Eine vorbereitete Bestandsaufnahme erhöht die Datenraum-Qualität und verhindert spätere Wertabschläge.
  3. Übertragende Sanierung oder Asset Deal. Der häufigste Verkaufsweg aus der Insolvenz: Der Geschäftsbetrieb wird auf eine Auffanggesellschaft übertragen, die alte Insolvenzgesellschaft wird abgewickelt. ISMS-Bestandteile (Zertifikate, Verträge mit Dienstleistern, Auftragsverarbeitungs-Vereinbarungen) gehen dabei nicht automatisch mit über — das ist ein häufiger blinder Fleck.

Auch außerhalb der eigentlichen Insolvenz gibt es Anlässe: vorinsolvenzliche Restrukturierungen nach StaRUG, IDW-S6-Sanierungsgutachten mit Compliance-Fragen, Eigenverwaltungen mit operativ verbleibendem Management. Die Logik ist immer ähnlich — schnelle Bewertung unter Zeitdruck, mit klar kommunizierten Annahmen und Grenzen.

Asset Deal oder Share Deal — warum es einen Unterschied macht

In der Insolvenzpraxis dominieren Asset Deals: Der Käufer erwirbt nicht die juristische Hülle des insolventen Unternehmens, sondern einzelne Vermögensgegenstände — Maschinen, Marken, Mitarbeiter, Verträge, ausgewählte IT-Systeme. Die GmbH bleibt zurück und wird abgewickelt.

Für die ISMS-Sicht hat das erhebliche Konsequenzen:

  • Zertifikate (ISO 27001, TISAX) sind in der Regel an die Rechtsperson gebunden und gehen nicht mit über
  • Verträge mit IT-Dienstleistern und Auftragsverarbeitern müssen neu geschlossen werden
  • Datenschutz-Vereinbarungen mit Kunden sind nicht automatisch übertragbar
  • Mitarbeiter wechseln rechtlich nach §613a BGB, das Sicherheits-Wissen geht aber nur dann mit über, wenn die richtigen Personen wechseln
  • Lizenzen für Sicherheits-Software können erlöschen oder kostenpflichtig migriert werden müssen

Im Share Deal ist die Lage anders: Die Gesellschaft bleibt rechtlich identisch, nur der Eigentümer wechselt. Zertifikate, Verträge und Lizenzen laufen weiter. Share Deals sind aus der Insolvenz heraus seltener, aber bei StaRUG-Verfahren und vorinsolvenzlichen Restrukturierungen häufig. Eine Distressed Readiness muss diese Unterscheidung früh aufgreifen, weil sie den gesamten Untersuchungsumfang beeinflusst.

Was geprüft wird — der typische Untersuchungsumfang

Eine Distressed Readiness deckt typischerweise sechs Themenblöcke ab:

  1. ISMS-Reifegrad. Existiert ein dokumentiertes Managementsystem? Welche Norm-Orientierung (ISO 27001, BSI IT-Grundschutz)? Wie aktuell ist die Dokumentation? Wer ist Informationssicherheitsbeauftragter?
  2. Regulatorische Betroffenheit. Ist das Unternehmen NIS-2-pflichtig? KRITIS-Betreiber? TISAX-relevant? DORA-betroffen? Welche Pflichten laufen aktuell, welche Meldungen wurden eingereicht?
  3. Status laufender Zertifizierungen. Welche Zertifikate sind aktuell? Wann steht das nächste Überwachungs-Audit an? Drohen Aussetzungen wegen der wirtschaftlichen Lage?
  4. IT-Verträge und Lieferanten-Risiken. Welche IT-Dienstleister sind unverzichtbar? Bestehen aktuelle Auftragsverarbeitungs-Vereinbarungen? Gibt es Kündigungsrechte bei Insolvenz, die akut werden könnten?
  5. Vorfälle und offene Mängel. Gab es in den letzten 24 Monaten meldepflichtige Vorfälle? Welche Findings aus Audits sind noch offen? Welche Maßnahmenpläne laufen?
  6. Datenschutz-Continuity. Sind Verarbeitungsverzeichnis, Löschkonzept und DSFA aktuell? Was passiert mit personenbezogenen Daten bei einem Asset Deal?

Der Umfang wird in der Regel an die Situation angepasst — manche Themen sind in der Sondersituation kritisch, andere unerheblich. Die Schärfung des Scopes erfolgt im ersten Gespräch mit Verwalter oder Sanierer.

Datenschutz im Insolvenzverfahren

Mit Eröffnung des Insolvenzverfahrens wird der Insolvenzverwalter datenschutzrechtlich zum Verantwortlichen nach Art. 4 Nr. 7 DSGVO. Diese Rolle bringt eigene Pflichten mit, die der Verwalter neben dem reinen Insolvenzrecht erfüllen muss:

  • Betroffenenrechte (Auskunft, Löschung, Datenübertragbarkeit) müssen weiterhin bedient werden
  • Verarbeitungsverzeichnis und Löschkonzept müssen ggf. aktualisiert werden
  • Auftragsverarbeitungs-Vereinbarungen sind ggf. neu zu schließen
  • Bei einem Asset Deal stellt sich die Frage der Rechtsgrundlage für die Übertragung personenbezogener Daten an den Erwerber

In der Praxis ist dieser Themen-Block oft unterschätzt. Verwalter konzentrieren sich verständlicherweise zunächst auf Massesicherung, Gläubigerinteressen und Investorenprozess — die laufenden DSGVO-Pflichten werden dabei manchmal Nebensache, obwohl Verstöße Bußgeld-fähig bleiben. Eine Distressed Readiness adressiert diesen Bereich explizit und mit klaren Handlungsempfehlungen.

Liefergegenstände und Berichts-Format

Eine Distressed Readiness liefert in der Regel drei Dokumente:

  1. Strukturierter Kurzbericht (15–25 Seiten). Executive Summary in Verwalter-Sprache, Top-Findings tabellarisch, Bewertung der Fortführungsfähigkeit aus Compliance-Sicht, Empfehlungen für den Investorenprozess.
  2. Findings-Liste mit Priorisierung. Jede Lücke mit Bewertung der Dringlichkeit (akut, kurzfristig, im Investorenprozess), Auswirkung (operativ, regulatorisch, Verkaufswert) und Aufwandsschätzung für die Behebung.
  3. Datenraum-Checkliste. Welche Compliance-Dokumente sollten im Investoren-Datenraum bereitgestellt werden — und in welcher Qualität. Diese Liste ist häufig der pragmatisch wertvollste Teil des Mandats.

Der Bericht ist explizit kein ISO-Audit-Report — er ist in der Sprache des Insolvenzverfahrens geschrieben, mit Bezügen zu Fortführungsentscheidung, Investorenprozess und Verkaufsprozess. Die Methodik ist ISO/BSI-orientiert, die Übersetzung erfolgt in die Sondersituations-Logik.

Häufig gestellte Fragen

Sechs Fragen, die in fast jedem Distressed-Readiness-Erstgespräch vorkommen. Klicken Sie eine Frage an, um die Antwort zu sehen.

Wie schnell können Sie ein Distressed-Readiness-Mandat aufnehmen?

In der Regel innerhalb einer Woche nach Auftragsklärung. Bei akuten Fällen (laufender Investorenprozess, kurzfristiger Verkaufsstichtag) auch schneller. Der erste Schritt ist immer ein 30-minütiges Scoping-Gespräch mit dem Verwalter oder Sanierer, in dem wir den relevanten Untersuchungsumfang festlegen.

Sind Sie als Berater im Insolvenzverfahren überhaupt zulässig?

Ja — der Insolvenzverwalter kann externe Berater zur Erfüllung seiner Aufgaben hinzuziehen. Die Vergütung erfolgt aus der Masse, soweit es um Tätigkeiten geht, die der Massesicherung, Fortführung oder Verwertung dienen. Bei Eigenverwaltungen und StaRUG-Verfahren ist die Beauftragung durch das Management üblich, mit Zustimmung des Sachwalters.

Was kostet eine Distressed Readiness?

Die Preisstellung erfolgt mandatsspezifisch und aufwandsbasiert. Wir kalkulieren erst nach dem Scoping-Gespräch, weil der Aufwand stark von Untersuchungstiefe, Scope und Struktur des Falls abhängt. Im Engagement-Letter werden Leistungsumfang, ausgenommene Themen und die Haftungs-Obergrenze klar definiert.

Können Sie auch den Datenraum für den Investorenprozess vorbereiten?

Den Compliance-Teil davon: ja. Wir liefern eine Datenraum-Checkliste mit den erforderlichen Dokumenten, prüfen vorhandene Dokumente auf Vollständigkeit und Qualität und können bei Bedarf fehlende Dokumente aufbereiten. Den Datenraum selbst (Tool, Zugriffsverwaltung) führt typischerweise der M&A-Berater oder die Kanzlei.

Was passiert, wenn wir während des Mandats schwerwiegende Mängel finden?

Wir kommunizieren akute Mängel sofort — nicht erst im Abschlussbericht. Bei meldepflichtigen Themen (etwa NIS-2-Meldungen, KRITIS-Nachweismängel, Datenschutz-Verstöße) informieren wir den Verwalter unverzüglich, damit Meldepflichten gegenüber BSI oder Aufsichtsbehörden eingehalten werden können. Das ist Teil unseres Engagement-Letters.

Unterscheidet sich die Bewertung bei einer Eigenverwaltung?

Inhaltlich nur teilweise. Die regulatorischen Pflichten bleiben dieselben. Was sich ändert: Ansprechpartner ist primär das operative Management (Geschäftsführer bleibt im Amt), der Sachwalter überwacht. Die Kommunikation ist daher in zwei Richtungen zu organisieren — und der Bericht hat oft eine erweiterte Adressaten-Logik.

Unser Ansatz

Wie wir mit Verwaltern und Sanierern zusammenarbeiten.

Wir arbeiten primär mit Insolvenzverwaltern, Sachwaltern und Sanierungsberatern — und übersetzen ISMS- und Compliance-Themen in die Sprache des Verfahrens. Unser Vorgehen ist auf Geschwindigkeit ausgelegt: Erstgespräch, Scoping, Untersuchungs-Sprint, strukturierter Kurzbericht. Typische Mandatsdauer zwischen einer und drei Wochen.

Wir verstehen die Logik des Insolvenzverfahrens — Massesicherung, Investorenprozess, Gläubigerausschuss — und liefern Befunde in Verwalter-tauglicher Form. Der Bericht ist kein ISO-Audit, sondern eine Entscheidungsgrundlage. Auf Wunsch begleiten wir auch die Datenraum-Vorbereitung und die Investoren-Kommunikation in Compliance-Fragen.

Erstgespräch zur Distressed Readiness.

30 Minuten. Wir klären den Sachverhalt, definieren den passenden Untersuchungsumfang und geben eine konkrete Indikation zu Aufwand und Zeitplan.

Erstgespräch buchen Methodik kennenlernen →
Verwandte Themen

Was nach der Sondersituation kommt.

Distressed Readiness ist häufig der Einstieg in größere Beratungsmandate:

Red-Flag Review Das Pendant für klassische M&A-Prozesse außerhalb der Insolvenz Post-Closing Roadmap Wenn der Erwerber das Unternehmen übernimmt und stabilisieren muss Informationssicherheits-Managementsystem Wenn das Unternehmen nach Sanierung ein ISMS aufbauen muss