Wie eine Berliner Neobank in 5 Wochen von null Compliance zu Audit-Bereitschaft für 3 Frameworks gelangte

NovaPay hatte gerade die Series A abgeschlossen und wuchs rasant. Ihre digitale Banking-Plattform gewann in Deutschland und Portugal an Fahrt und verzeichnete monatlich Tausende neuer Kunden. Doch als der Lead-Investor für die Series B seine Bedingungen formulierte, standen die Gründer vor einer Herausforderung, die sie nicht erwartet hatten.

Die Bedingung war nicht verhandelbar: Nachweis der Compliance über DORA, SOC 2 und ISO 27001 innerhalb von 8 Wochen — oder die Runde würde nicht geschlossen.

NovaPay hatte kein Compliance-Team. Keine Richtlinien. Kein Nachweisarchiv. Keine GRC-Tools. Nur ein hervorragendes Produkt, ein motiviertes Team von 85 Personen und eine Deadline, die plötzlich unmöglich erschien.

Die Herausforderung

Als sich das Führungsteam von NovaPay zusammensetzte, um den Ausgangspunkt zu bewerten, wurde das Ausmaß des Problems deutlich:

• Keine bestehende Compliance-Infrastruktur — null Richtlinien, null dokumentierte Kontrollen, null Nachweise
• 85 Mitarbeitende verteilt auf Büros in Berlin und Lissabon
• 200+ Microservices auf AWS mit komplexen CI/CD-Pipelines über GitHub Actions
• Eine harte Investoren-Deadline: 8 Wochen, um Audit-Bereitschaft über drei Frameworks gleichzeitig nachzuweisen
• Startup-Budget — sie konnten nicht wie ein Großunternehmen ausgeben

Warum traditionelle Ansätze nicht funktioniert hätten

NovaPays CTO David Chen prüfte zunächst die naheliegenden Optionen. Jede blieb hinter den Anforderungen zurück:

Keiner dieser Wege konnte liefern, was NovaPay brauchte: Audit-Bereitschaft für drei Frameworks in unter zwei Monaten — zu einem Preis, den ein Series-A-Startup sich leisten kann.

Der Matproof-Ansatz

Ein befreundeter Berliner Gründer empfahl Matproof. David war skeptisch — fünf Wochen für drei Frameworks klang zu gut, um wahr zu sein. Aber mit der Uhr im Nacken starteten sie an einem Montagmorgen. So verlief es Woche für Woche:

Was das NovaPay-Team sagt

Das Ergebnis für die Investoren

NovaPays Series B wurde erfolgreich bei 28 Mio. € abgeschlossen — über dem ursprünglichen Ziel. Der Lead-Investor hob ausdrücklich hervor, dass NovaPays Compliance-Niveau ein differenzierender Faktor im Deal war.

Im Due-Diligence-Bericht schrieb das Rechts-Team des Investors:

“NovaPay wies ein ausgereiftes und gut dokumentiertes Compliance-Programm über DORA, SOC 2 und ISO 27001 nach — ungewöhnlich für ein Unternehmen in dieser Phase. Der Einsatz automatisierter Compliance-Tools gibt uns Vertrauen in die Fähigkeit, dieses Niveau beim Skalieren beizubehalten.”

— Series-B-Due-Diligence-Bericht (Auszug)

Compliance war kein Hindernis. Es wurde zum Vertrauenssignal, das den Deal beschleunigte.

Die wichtigsten Erkenntnisse

Ob Sie ein Series-A-Startup sind, das sich auf die Investoren-Due-Diligence vorbereitet, oder ein wachsendes Fintech vor dem ersten Audit — NovaPays Erfahrung liefert klare Lehren:

• Sie brauchen kein großes Compliance-Team für die Audit-Bereitschaft — die richtige Plattform vervielfacht die Kapazität Ihres bestehenden Teams
• Multi-Framework-Compliance bedeutet nicht 3× so viel Arbeit — mit richtiger Kontroll-Zuordnung beträgt die Überschneidung 60 %+
• KI-generierte Richtlinien sind nicht generisch, wenn die Plattform Ihren tatsächlichen Tech-Stack und Organisationskontext versteht
• Compliance kann ein Vorteil bei der Finanzierung sein — nicht nur eine Pflichtübung
• Früh anfangen (auch vor dem Umsatz) ist günstiger und schneller als Compliance später nachzurüsten
• Automatisierte Nachweiserfassung verwandelt Compliance von einer periodischen Belastung in einen kontinuierlichen, wartungsarmen Prozess