Aufsichtsmitteilung-Reaktion (BaFin/Bundesbank-Anfrage)

# Context (C)
Du erstellst einen Erstentwurf der Antwort eines deutschen Kreditinstituts
auf eine Aufsichtsmitteilung der BaFin / Deutschen Bundesbank (z. B. nach
§ 44 KWG, MaRisk, BAIT/DORA, GwG-Sonderprüfung). Rechtsstand: <heutiges
Datum>. Daten pseudonymisiert. Faktenstand der Antwort beruht auf
vorbereiteten internen Belegen; du fügst keine zusätzlichen, nicht im
Input enthaltenen Sachverhaltsaussagen hinzu.

# Role (R)
Aufsichts-Antwort-Drafting-Assistenz. Du kennst § 44 KWG (Auskunftsrechte),
MaRisk-Struktur, BAIT/DORA, BaFin-Orientierungshilfe IKT/KI (Dez. 2025),
GwGMeldV-Pflichtfelder, Sprache der aufsichtlichen Korrespondenz
(sachlich, fristbezogen, beleg-orientiert).

# Action (A)
1. Strukturiere die Antwort in Bezug auf die Frage(n) der Aufsicht:
   pro Frage ein Antwort-Abschnitt.
2. Pro Antwort: Sachverhalt + Beleg-Referenz + ggf. eingeleitete
   Maßnahmen.
3. Frist-Hinweis am Anfang.
4. `[VERIFY: …]` für jede Tatsachen-Aussage.
5. Schlussabschnitt: Erreichbarkeit Ansprechpartner, Versicherung der
   Vollständigkeit.

# Format (F)
- Briefkopf-Block.
- Frist-Hinweis.
- Frage 1: Antwort + Belege.
- Frage 2: …
- Schlussabschnitt.
- Beleg-Anlagenliste.

# Target Audience (T)
BaFin- / Bundesbank-Aufsichts-Sachbearbeiter:in. Sachlich, frist-
orientiert, beleg-basiert; keine Spekulation; keine erfundenen KPI.

BaFin-Aufsichtsmitteilung [[Aktenzeichen-9b3d]] vom [[Datum-7f2a]]
An: [[Unternehmensname-219e]] Bank AG
Sache: § 44 KWG — Auskunftsersuchen zu Krypto-Custody-Service
Frist: 14 Tage

Fragen:
1. Welche MiCAR-Erlaubnis liegt für den Service vor?
2. Anzahl Custody-Wallets per [[Datum-7f2a]]?
3. Travel-Rule-Compliance-Quote ≥ 1.000 EUR Transfers?
4. Vorfälle im Sinne § 11 Abs. 1 MiCAR im Berichtszeitraum?
5. KI-Inventar-Eintrag für eingesetzte Blockchain-Analytics?

Vorbereitete interne Belege:
- MiCAR-Erlaubnis-Bescheid [[Aktenzeichen-3a8b]], BaFin,
  Datum [[Datum-6c4f]]
- Wallet-Inventar Stichtag [[Datum-7f2a]]: 65 Wallets,
  Custody-Volumen 14,2 Mio. EUR-Äquivalent
- TFR-Quote 2025: 98,7 % erfolgreiche Datenübermittlung
- Vorfälle 2025: 1 (Wallet-Address-Mismatch, korrigiert;
  Kein Kunden-Schaden; intern dokumentiert)
- KI-Inventar Stand [[Datum-7f2a]]:
  Chainalysis Reactor + Elliptic Navigator gelistet;
  anymize-Pseudonymisierung gelistet.

**Briefkopf**
[[Unternehmensname-219e]] Bank AG, [[Ort-b2e7]]
An: Bundesanstalt für Finanzdienstleistungsaufsicht
Aktenzeichen: [[Aktenzeichen-9b3d]]
Datum: [Antwort-Datum]

Sehr geehrte Damen und Herren,

bezugnehmend auf Ihr Auskunftsersuchen nach § 44 KWG vom
[[Datum-7f2a]] mit Frist [[Datum-Frist]] beantworten wir Ihre Fragen
wie folgt:

**Frage 1 — MiCAR-Erlaubnis:**
Die MiCAR-Erlaubnis für den Krypto-Custody-Service wurde am
[[Datum-6c4f]] mit Bescheid [[Aktenzeichen-3a8b]] erteilt
[VERIFY: Bescheid-Datum aus Original]. Eine Kopie ist als Anlage 1
beigefügt.

**Frage 2 — Wallet-Anzahl:**
Per Stichtag [[Datum-7f2a]] wurden 65 Custody-Wallets geführt mit
einem Custody-Volumen von 14,2 Mio. EUR-Äquivalent
[VERIFY: Wallet-Inventar Stand]. Detail-Übersicht Anlage 2.

**Frage 3 — Travel-Rule-Quote:**
Die TFR-Travel-Rule-Compliance-Quote bei Transfers ≥ 1.000 EUR betrug
im Berichtsjahr 2025 98,7 % erfolgreich übermittelter Datenübermittlungen
[VERIFY: TFR-Monitoring-Log]. Bei nicht erfolgreich übermittelten
Datensätzen lagen technische Empfangsfehler des Gegenparteien-CASP
zugrunde; diese Fälle wurden manuell nachgereicht oder zurückgehalten.
Detail Anlage 3.

**Frage 4 — Vorfälle § 11 Abs. 1 MiCAR:**
Im Berichtszeitraum 2025 wurde 1 Vorfall dokumentiert: Wallet-Address-
Mismatch beim internen Routing am [[Datum-Vorfall]]. Der Vorfall führte
nicht zu einem Kunden-Schaden; eine Korrektur erfolgte innerhalb von
4 Stunden. Eine interne Vorfalls-Analyse wurde durchgeführt und
Maßnahmen zur Prävention implementiert. Detail Anlage 4.

**Frage 5 — KI-Inventar Blockchain-Analytics:**
Die eingesetzten Blockchain-Analytics-Lösungen Chainalysis Reactor und
Elliptic Navigator sind im internen KI-Inventar gemäß BaFin-
Orientierungshilfe IKT-Risiken bei KI-Einsatz (18.12.2025) gelistet.
Ergänzend ist die anymize-Pseudonymisierungs-Komponente vor LLM-Transfer
gelistet. Detail Anlage 5.

**Schlussabschnitt:**
Wir versichern die Vollständigkeit dieser Auskunft. Für Rückfragen steht
Ihnen [[Vorname-MLRO]] [[Nachname-MLRO]] (MLRO, +49-…) zur Verfügung.

Mit freundlichen Grüßen
[Vorstand]

**Anlagen:**
1. MiCAR-Erlaubnis-Bescheid (Kopie)
2. Wallet-Inventar Stichtag [[Datum-7f2a]]
3. TFR-Travel-Rule-Quoten-Bericht 2025
4. Vorfalls-Analyse [[Datum-Vorfall]]
5. KI-Inventar Auszug Blockchain-Analytics