1. Überschrift und Einstieg
Ein Startup, das Compliance-Software verkauft und selbst gegen eine Open‑Source‑Lizenz verstoßen haben soll – ausgerechnet. Im Fall von Delve, einem Y‑Combinator‑Absolventen mit Millionenfinanzierung, geht es jedoch nicht um Peinlichkeit, sondern um einen massiven Vertrauensverlust. Die neuen Vorwürfe, Delve habe ein Open‑Source‑Tool des YC‑Kollegen Sim.ai als eigenes Produkt »Pathways« vermarktet, treffen eine Branche, die ohnehin unter Rechtfertigungsdruck steht: AI‑Compliance. Im Folgenden geht es nicht um Empörung, sondern darum, was dieser Fall über Open Source, VC‑Due‑Diligence und den europäischen Markt für Governance‑Tools verrät.
2. Die Nachricht in Kürze
Wie TechCrunch berichtet, steht Delve – ein auf Compliance spezialisiertes SaaS‑Unternehmen und Y‑Combinator‑Alumnus – erneut im Fokus eines anonymen Whistleblowers, der sich »DeepDelver« nennt. Delve hatte 2025 eine Series‑A‑Runde über rund 32 Millionen US‑Dollar unter Führung von Insight Partners eingesammelt.
Der neue Vorwurf: Delves No‑Code‑Tool »Pathways«, das potenziellen Kunden als eigene Technologie präsentiert wurde, sei in Wirklichkeit ein nur leicht veränderter Fork von SimStudio, der Open‑Source‑Agentenplattform des Startups Sim.ai. Auf Nachfrage habe Delve laut Whistleblower bestritten, dass Pathways auf SimStudio basiere, obwohl der Funktionsumfang und die Struktur starke Ähnlichkeiten aufwiesen.
Sim.ai‑Gründer und CEO Emir Karabeg bestätigte gegenüber TechCrunch, dass es keinerlei Lizenz‑ oder kommerzielle Vereinbarung mit Delve gebe, obwohl beide Firmen YC‑Absolventen sind und Sim.ai sogar zu den zahlenden Delve‑Kunden gehörte. Seit Bekanntwerden der Vorwürfe sind Hinweise auf Pathways und weitere Seiten von Delves Website verschwunden; Presseanfragen bleiben unbeantwortet.
Die Anschuldigungen kommen zu früheren Behauptungen hinzu, Delve habe Kundenzahlen geschönt und mit allzu wohlwollenden Auditoren gearbeitet – was das Unternehmen zurückweist.
3. Warum das wichtig ist
Oberflächlich betrachtet ist dies »nur« ein weiterer Startup‑Skandal. Dahinter verbergen sich jedoch drei strukturelle Probleme der aktuellen AI‑ und Compliance‑Welle.
Erstens: Glaubwürdigkeit. Compliance‑Anbieter sollen Unternehmen helfen nachzuweisen, dass sie sich an Regeln halten – von Datenschutz über Informationssicherheit bis hin zu AI‑Governance. Wenn ein solcher Anbieter selbst grundlegende Lizenzregeln wie die Apache‑Lizenz 2.0 missachtet oder missverständlich darstellt, stellt das die Verlässlichkeit jeder erzeugten Auswertung infrage. Für regulierte Branchen in der DACH‑Region – Banken, Versicherer, Gesundheitswesen – ist das nicht kosmetisch, sondern aufsichtsrechtlich relevant.
Zweitens steht der Vertrauensvertrag von Open Source auf dem Spiel. Permissive Lizenzen wie Apache erlauben explizit die kommerzielle Nutzung, forking und Integration – unter der Bedingung, dass Urheber genannt und Lizenzbedingungen eingehalten werden. Wenn ein gut finanzierter YC‑Startup angeblich den Code eines eigenen Kunden nimmt, die Herkunft verschleiert und als »proprietäres« Produkt verkauft, bestätigt das den Verdacht vieler Maintainer, dass Unternehmen OSS gern nehmen, aber ungern zurückgeben. Das kann dazu führen, dass weniger Projekte unter offenen Lizenzen veröffentlicht werden oder restriktivere Lizenzmodelle wählen.
Drittens zeigt der Fall, wie selektiv Venture Capital bei der Due Diligence sein kann. Wenn – wie behauptet – Delves Vorgehen bereits vor der Series A etabliert war, dann hat ein renommierter Fonds IP‑Risiken und fragwürdige Metriken übersehen oder akzeptiert. Gerade im Hype‑Segment »AI‑Compliance« ist die Versuchung groß, dem Narrativ zu glauben: exponentielles Wachstum, magische Automatisierung, alles »by design compliant« – und die unbequemen Fragen erst später zu stellen.
Kurzfristig verlieren Delve, seine Kunden und Mitarbeitenden. Mittelfristig leidet aber die gesamte Kategorie: Beschaffungsabteilungen werden zögerlicher, Pilotprojekte gestoppt, und Open‑Source‑Autoren werden sich zweimal überlegen, ob sie permissive Lizenzen wählen.
4. Das große Bild
Der Delve‑Skandal reiht sich ein in eine Serie von Konflikten an der Schnittstelle von AI‑Boom, Open Source und Governance.
Im AI‑Bereich wird bereits heftig über Trainingsdaten, Urheberrechte und die Nutzung lizenzierter Inhalte gestritten. Anbieter großer Sprachmodelle müssen sich zunehmend erklären, auf welcher rechtlichen Grundlage sie Daten verwenden. Auf Infrastrukturebene haben Fälle wie Elastic vs. AWS oder die Lizenzänderungen bei Redis gezeigt, wie schnell Maintainer die Spielregeln anziehen, wenn sie das Gefühl haben, von großen Playern ausgenutzt zu werden.
Delve ist ein Sonderfall, weil hier nicht »nur« ein Cloud‑Konzern OSS vereinnahmt, sondern ein Startup, das selbst sagt: »Wir sind die Compliance‑Schicht.« Genau diese Schicht bricht weg, wenn sich herausstellt, dass sie auf juristisch wackeligen oder ethisch fragwürdigen Fundamenten steht. Für viele Unternehmen verstärkt das den Eindruck, dass ein Teil der Regtech‑ und AI‑Governance‑Szene vor allem aus hübschen Dashboards mit sehr dünner Substanz besteht.
Hinzu kommt der YC‑ und Insight‑Effekt. Der Brand »Y Combinator« fungiert in Europa oft als Qualitätssiegel – besonders für technische Exzellenz. Wenn nun zwei YC‑Alumni in einem Verhältnis stehen, in dem der eine womöglich den Open‑Source‑Code des anderen ohne angemessene Anerkennung verwertet und gleichzeitig dessen Compliance‑Partner ist, kratzt das am Mythos des »YC‑Netzwerks«.
Dass Insight Partners seinen Blogpost zur Delve‑Finanzierung zeitweise vom Netz nahm, signalisiert ebenfalls etwas: Das Reputationsrisiko einer allzu offensiven Unterstützung scheint größer geworden zu sein als der Marketingnutzen. Andere Wachstumsfonds werden sich das genau anschauen – und bei AI‑Compliance‑Startups künftig tiefer bohren.
5. Der europäische / DACH‑Blick
Für europäische Unternehmen ist dieser Fall mehr als ein kurioser US‑Skandal. EU‑Regelwerke wie die Datenschutz‑Grundverordnung (DSGVO), der Digital Services Act (DSA), der Digital Markets Act (DMA) und die kommende EU‑AI‑Verordnung erhöhen den Druck auf nachvollziehbare Prozesse, Risikomanagement und technische wie organisatorische Maßnahmen. Entsprechend wächst der Markt für Compliance‑ und Governance‑Tools rasant – auch in Deutschland, Österreich und der Schweiz.
Viele der lautesten Anbieter stammen jedoch aus den USA. Wenn ausgerechnet ein prominenter YC‑Startup in den Verdacht gerät, bei Open‑Source‑Lizenzen unsauber zu arbeiten, werden deutsche CISOs, Datenschutzbeauftragte und Betriebsräte das als Argument gegen »US‑SaaS‑Cowboys« nutzen. Der ohnehin starke Vorbehalt gegenüber Black‑Box‑Lösungen aus Übersee dürfte zunehmen.
Die DACH‑Region ist traditionell besonders lizenz‑ und datenschutzsensibel. Öffentliche Hand und Konzerne haben umfangreiche Open‑Source‑Richtlinien, und viele schreiben in Ausschreibungen bereits heute SBOMs und Lizenznachweise vor. Ein Compliance‑Vendor, der hier patzt, disqualifiziert sich praktisch selbst.
Gleichzeitig eröffnet der Fall Chancen für europäische Alternativen: Berliner, Münchner oder Zürcher Startups, die von Beginn an auf Open‑Source‑Transparenz, europäische Rechtsrahmen und enge Kooperation mit Regulatoren setzen. Aber: Auch sie werden mit strengeren Fragen leben müssen – Herkunft des Codes, Governance‑Struktur, Unabhängigkeit von Auditoren.
6. Ausblick
Wie geht es weiter? Delve steht vor einer klassischen Vertrauenskrise: Ohne überzeugende Aufarbeitung und strukturelle Änderungen wird es schwer, neue Kunden zu gewinnen oder Bestandskunden zu halten.
In den nächsten 12 Monaten sind mehrere Entwicklungen wahrscheinlich:
- Kunden und Partner ziehen die Reißleine. Viele Unternehmen werden Engagements auslaufen lassen, Renewal‑Entscheidungen verschieben oder zumindest strenge Vertragsklauseln zu IP‑Gewährleistung und Audit‑Rechten verlangen.
- VCs verschärfen ihre Prüfprozesse. Fonds wie Insight, aber auch europäische Investoren, werden bei Regtech‑ und AI‑Startups detailliertere technische und rechtliche Reviews fahren. Open‑Source‑Compliance wird vom Randthema zum Kernpunkt der Due Diligence.
- Professionalisierung des Segments. Ernstzunehmende Anbieter werden unabhängige Audits ihrer Toolchains durchführen, vollständige SBOMs veröffentlichen und ihre Lizenzstrategie öffentlich darlegen. Das mag kurzfristig teuer sein, schafft aber Differenzierung gegenüber Wettbewerbern, die es mit Governance nicht so genau nehmen.
Offen bleibt, ob Sim.ai oder andere Betroffene rechtliche Schritte einleiten – oder ob der soziale Druck in der Tech‑Community als Sanktion ausreicht. Ebenfalls ungeklärt ist, in welchem Ausmaß Delve‑Kunden die angeblich problematische Komponente in regulatorischen Reports oder Zertifizierungen bereits genutzt haben.
Für den europäischen Markt stellt sich eine Grundsatzfrage: Nutzt man diesen Fall, um »AI‑Compliance aus Europa für Europa« zu stärken – oder wird er als weiteres Argument dienen, alles an die Big Four und etablierte Großkonzerne auszulagern, weil kleine Anbieter als zu riskant gelten?
7. Fazit
Delves angeblicher Verstoß gegen eine Open‑Source‑Lizenz ist mehr als ein Fehltritt eines einzelnen Startups. Er legt den wunden Punkt einer ganzen Branche offen: Viele AI‑ und Compliance‑Tools verlangen Vertrauen, ohne selbst eine belastbare Governance zu leben. Für europäische Unternehmen ist das ein Warnsignal, US‑SaaS in diesem Segment nicht mehr nach Logo, sondern nach Substanz zu bewerten. Für Gründer lautet die Lektion: Compliance ist kein Feature, sondern Teil der eigenen Lizenz zum Operieren. Bleibt nur die Frage, ob die Branche Delve als Ausreißer oder als Wendepunkt begreift.
