Compliance, AML und KYC

Geldwäsche-Risikoanalyse nach § 5 GwG

anymize entfernt Mitarbeiter-Namen und konkrete Kunden-Beispiele aus den Risikoanalyse-Inputs, bevor sie an GPT, Claude oder Gemini gehen — und setzt sie nach der KI-Antwort wieder ein. So drafften Sie eine § 5 GwG-Risikoanalyse mit Risiko-Matrizen in fünf Dimensionen und Maßnahmen-Vorschlag, ohne § 43 KWG oder § 26 BDSG zu berühren.

In 30 SekundenWas anymize hier leistetIn 5 MinutenPrompt zum KopierenIn 30 MinutenVollständiger Workflow
Mit anymize startenAntrags-Beispiel ansehen

Schwierigkeit: Spezialist · Datenklasse: Mandantendaten · Letztes Review:

Zur Orientierung gedacht. Die anwaltliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.

01

Anwendungsbereich

Worum geht es hier?

KI in Compliance, AML und KYC

§ 5 GwG verlangt eine jährlich aktualisierte Geldwäsche-Risikoanalyse als Anker aller Sorgfaltspflichten. BaFin AuA GwG (Update 29.11.2024) konkretisiert Erwartungen. Mit anymize gehen die Risikoanalyse-Inputs anonymisiert an die Frontier-KI; die KI strukturiert Risiko-Matrizen in fünf Dimensionen (Kunden, Produkte, Vertriebskanäle, Geografie, Transaktionsverhalten). Die Risikoabwägung und Vorstands-/Aufsichtsrats-Genehmigung bleiben Mensch-Pflicht.

02

Für wen passt das?

Zielgruppe und Kontext

Rolle
MLRO, Geldwäschebeauftragter, Compliance-Leitung, Interne Revision AML.
Seniorität
Senior.
Kanzleigröße
Alle Verpflichteten.
Spezifische Kontexte
Auch Sparkassen mit dezentraler GWB-Funktion müssen institutsindividuelle Risikoanalyse vorlegen; AMLA-direktbeaufsichtigte Großbanken mit erweiterten Reporting-Anforderungen ab 2026.
03

Die Situation in der Kanzlei

So bringen Sie Tempo und Sorgfalt zusammen

Risikoanalyse umfasst typischerweise: Kundenstruktur-Inventar (Privat/Firma/PEP/Krypto), Produktrisiken (Bargeld, Trade Finance, Korrespondenz-Banking, Krypto), Vertriebskanäle, Geografie (FATF-Listen, EU-Sanktionen), Erfahrungs-Werte (Vor-SARs, Vor-Audits, Bundesbank-Findings). Manuell 2–5 Personen-Wochen. Public-LLM-Upload der Kundenstruktur-Detail-Daten ohne Pseudonymisierung nicht zulässig. anymize löst diesen Konflikt: konkrete Beispiele werden anonymisiert; die KI strukturiert die Risiko-Matrizen.

04

Was Sie davon haben

Zeit, Wert, Vertraulichkeit

Erstaufwand

8–20 h

Größenordnung; KI verdichtet KPI-Inputs, fachliche Würdigung bleibt erhalten.

Skaleneffekt

~1 P-Woche

Bei mittlerer Bank Einsparung pro Jahr.

AMLA-Vorbereitung

strukturell

Risikoanalyse-Ergebnis dient als Aufsichts-Output bei AMLA-Inspektion.

Vertraulichkeit

strukturell

Konkrete Sachverhalts-Beispiele und Mitarbeiter-Namen anonymisiert.

05

So gehen Sie vor

In 5 Schritten zum Antrag

1

Datenbasis sammeln: Kundenstruktur, Produkt-Portfolio, Vertriebskanal-KPI, Geografie-Exposition, Vor-SAR-Statistik, Vor-Audit-Findings, Bundesbank-Sonderprüfungs-Ergebnisse.

Sie / Tool

§ 5 GwG

2

Risiko-Faktoren-Katalog: nationale Risikoanalyse (BMF-NRA 2023/2025), BaFin AuA GwG, FATF-Typologien.

Sie

Strukturgrundlage

3

anymize anonymisiert: Mitarbeiter-Namen, konkrete Kunden-Beispiele.

anymize

§ 43 KWG · § 26 BDSG · DSGVO Art. 28

3.5

Spot-Check; Vier-Augen mit IR.

Sie

NER-Falsch-Negativ

4

Frontier-KI strukturiert mit CRAFT-Prompt: Risiko-Matrizen in fünf Dimensionen (Kunden/Produkte/Vertriebskanäle/Geografie/Transaktionsverhalten) mit Wahrscheinlichkeit, Schwere, Brutto, Kontrollen, Netto. Veränderung-zu-Vorjahr-Analyse, Maßnahmen-Liste mit Priorität.

GPT / Claude / Gemini in anymize

Strukturierung

5

Inhaltliche Prüfung durch MLRO + IR.

Sie

§ 5 GwG

6

Beschluss durch Vorstand; Aufsichtsrats-Information.

Sie

§ 25a KWG

7

Dokumentation; jährliche Wiederholung; 5 Jahre Aufbewahrung § 50 GwG.

Sie

§ 50 GwG

06

Womit Sie arbeiten

So setzen Sie anymize konkret ein

Was anymize tut

  • Erkennt Mitarbeiter-Namen, konkrete Kunden-/UBO-Beispiele mit über 95 %.
  • Bidirektionale Anonymisierung; AVV nach Art. 28 DSGVO.
  • Daten in deutschen Rechenzentren (Hetzner); KI-Inventar-tauglich.
  • Aggregierte KPI-Inputs können Klasse B/C sein; konkrete Beispiele zwingend Klasse A.

Was Sie als MLRO tun

  • BMF-NRA 2023/2025 und FATF-Typologien als Struktur-Anker verwenden.
  • KPI-Inputs aus TMS, KYC-System, DMS konsolidieren — KI verdichtet, ersetzt nicht die Datenarbeit.
  • Inhaltliche Prüfung mit IR Vier-Augen; juristische Bewertung in Rechtsabteilung.
  • Vorstand-Beschluss zum Maßnahmenplan; Aufsichtsrats-Information.

Daten-Input

Kundenstruktur (Privat/Firma/PEP/Krypto), Produkt-Portfolio (Bargeld, Trade Finance, Korrespondenz, Krypto-Custody), Vertriebskanäle (Filiale, Online, Video-Ident), Geografie (Auslandsfilialen, Korrespondenten), Vor-SAR-Statistik, Vor-Audit-Findings, Bundesbank-Sonderprüfungs-Ergebnisse.

Output-Kontrolle

Re-identifizierte Risiko-Matrizen in fünf Dimensionen mit Wahrsch./Schwere/Brutto/Kontrollen/Netto, Veränderungs-Block YoY, Maßnahmen-Liste mit Priorität.

Freigabeprozess

Vier-Augen MLRO + IR + Vorstand-Beschluss; Aufsichtsrats-Information.

07

Die KI-Anweisung

Prompt zum Kopieren

So nutzen Sie diesen Prompt:

1. Risikoanalyse-Inputs in anymize einfügen — konkrete Beispiele werden pseudonymisiert.

2. Diesen Prompt anhängen; „Max“; KI-Aufruf.

3. Inhaltliche Prüfung MLRO + IR; Vorstand-Beschluss; Aufsichtsrats-Information.

Empfohlener Reasoning-Modus in anymize: Max.
# Context (C)
Du erstellst einen Erstentwurf der jährlichen Geldwäsche-Risikoanalyse
nach § 5 GwG für ein deutsches Kreditinstitut. Rechtsstand: <heutiges
Datum>. Inputs pseudonymisiert.

# Role (R)
GwG-Risikoanalyse-Drafting-Assistenz. Du kennst § 5 GwG (Risikomanagement),
BaFin AuA GwG (Update 29.11.2024), nationale Risikoanalyse Geldwäsche/
Terrorismusfinanzierung (BMF), FATF-Typologien.

# Action (A)
1. Risiko-Matrizen in fünf Dimensionen: (a) Kunden,
   (b) Produkte/Dienstleistungen, (c) Vertriebskanäle, (d) Geografie,
   (e) Transaktionsverhalten.
2. Pro Dimension: Risiko-Indikatoren, Eintritts-Wahrscheinlichkeit,
   Schwere-Effekt, Bruttorisiko, vorhandene Kontrollen, Nettorisiko.
3. Veränderung-zu-Vorjahr-Analyse.
4. Empfehlungen für Maßnahmen-Update (z. B. Kontroll-Verschärfung bei
   Krypto-Produkten).
5. `[VERIFY: …]` für alle Behauptungen mit KPI-Bezug.

# Format (F)
- Eine Matrix pro Dimension: Risiko / Wahrsch. / Schwere / Brutto /
  Kontrollen / Netto.
- Veränderungs-Block (im Vergleich zum Vorjahr).
- Maßnahmen-Liste mit Priorität.

# Target Audience (T)
Vorstand und Aufsichtsrat sowie MLRO. Präzise; keine erfundenen
Wahrscheinlichkeits-Zahlen.
08

So sieht der Sachverhalt aus

Pseudonymisierter Eingabetext

Risikoanalyse-Inputs nach Anonymisierung der Bank-Identität.
Risikoanalyse-Inputs Bank [[Unternehmensname-219e]]
Kundenstruktur:
- Privatkunden Gesamt: 220.000
  - davon Hochrisiko: 1.200 (0,54 %)
  - davon mittel: 18.700 (8,5 %)
- Firmenkunden Gesamt: 14.200
  - davon Hochrisiko: 380 (2,7 %)
  - davon mittel: 1.900 (13,4 %)
- PEP-Kunden: 145
- Krypto-affine Firmenkunden: 28 (neu seit 2024)
Produkte:
- Bargeldgeschäft Filialen: 28 % Volumen
- Trade Finance: 12 % Volumen (Trend +8 % YoY)
- Korrespondenzbank-Beziehungen: 80 aktiv
  (davon 12 in FATF-Beobachtungsliste-Ländern)
- Krypto-Custody-Service: gestartet [[Datum-7f2a]]
  (Q4 2025), 65 Mandate Ende 2025
Vertriebskanäle:
- Filiale 42 %; Online-Banking 38 %; Mobile-App 18 %;
  Video-Ident IDnow 2 %
Geografie:
- Auslandsfiliale Wien (AT); Korrespondenten 18 Länder
Vor-SAR-Statistik 2025: 87 SARs (2024: 73; +19 %)
Bundesbank-Sonderprüfung 2024: 2 Findings
(KYC-Lücken Krypto-Sektor; Schulungsquote)
09

So liefert anymize zurück

Der Antrags-Entwurf

KI-Output (Beispiel). Risiko-Matrizen in mehreren Dimensionen mit Brutto-/Netto-Bewertung; Maßnahmen-Liste mit Priorität.
## Dimension 1 — Kunden
| Risiko | Wahrsch. | Schwere | Brutto | Kontrolle | Netto |
|---|---|---|---|---|---|
| PEP-Privatkunden | mittel | hoch | hoch |
  EDD § 15 Abs. 3 Nr. 2 GwG, jährlicher Refresh | mittel |
| Hochrisiko-Firmen mit Drittland-UBO | mittel | hoch | hoch |
  jährlicher Periodic Review + EDD | mittel |
| Krypto-affine Firmenkunden (neu) | mittel | hoch | hoch |
  MiCAR-Compliance-Check, monatliches Monitoring |
  mittel (Aufmerksamkeit nötig) |

## Dimension 2 — Produkte
| Risiko | Wahrsch. | Schwere | Brutto | Kontrolle | Netto |
|---|---|---|---|---|---|
| Bargeldgeschäft Filialen | hoch | mittel | hoch |
  TMS-Smurfing-Regeln, 15.000-EUR-Schwelle | mittel |
| Trade Finance | mittel | hoch | hoch |
  Wolfsberg-CBDDQ, Embargo-Prüfung | mittel |
| Korrespondenzbank in FATF-Beobachtungs-Ländern | hoch | hoch | hoch |
  jährlicher Wolfsberg-Refresh | mittel-hoch |
| Krypto-Custody-Service | hoch | hoch | hoch |
  MiCAR-Lizenz, Travel-Rule-Monitoring | hoch (neu — strenge Aufmerksamkeit) |

## Dimension 5 — Transaktionsverhalten
SAR-Steigerung +19 % zeigt aktivere Detection; KPI-Trend ist konsistent
mit ausgeweitetem TMS-Regelwerk. [VERIFY: Korrelation Regel-Update vs.
SAR-Volumen].

## Veränderungs-Block
1. Neu: Krypto-Custody-Service (Q4/2025).
2. Anstieg: Trade Finance +8 % YoY.
3. Persistent: Korrespondent-Risiken FATF-Länder.
4. Verbesserung: Bundesbank-Findings 2024 dokumentiert behoben [VERIFY].

## Maßnahmen 2026 (Priorität)
1. **Hoch**: Krypto-Custody-Service in Risikoanalyse als Hochrisiko-
   Sektor pflegen; Travel-Rule-Monitoring etablieren;
   UC-V-FIN-COM-017 institutionalisieren.
2. **Hoch**: Schulungsquote auf ≥ 95 % bringen.
3. **Mittel**: AMLA-Vorbereitung — Self-Assessment UC-V-FIN-COM-009.
4. **Mittel**: GwGMeldV-Übergang abschließen.
10

Was das Berufsrecht verlangt

Pflichten — und wie anymize sie abdeckt

§ 5 GwG jährliche Aktualisierung (SRC-0112)

Versäumnis ist Pflichtverstoß; AMLA-Inspektion macht das kritisch.

§ 25a KWG Geschäftsleitungs-Beschluss

Vorstand-Beschluss zur Risikoanalyse; KI-Erstentwurf ist Vorlage.

§ 43 KWG Pseudonymisierung (SRC-0109)

Konkrete Beispiele anonymisieren; Mitarbeiterdaten besonders.

Halluzinations-Risiko bei KPI (SRC-0158)

Verifikation Pflicht; keine erfundenen Wahrscheinlichkeits-Zahlen.

Krypto-Sektor

Neue Risiken nicht unterschätzen; MiCAR-Relevanz prüfen.

BaFin-Orientierungshilfe IKT/KI (SRC-0119)

KI-Inventar; Schatten-KI vermeiden.

AMLA-Vorbereitung

Erstmalige Risikoanalyse vor AMLA-Inspektion strenger.

11

Datenschutz und Vertraulichkeit

So funktioniert das mit anymize

Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 5 GwG. Verarbeitung in deutschen Rechenzentren (Hetzner), AVV nach Art. 28 DSGVO. § 43 KWG bei konkreten Beispielen, § 26 BDSG bei Mitarbeiterbezug. BaFin-Orientierungshilfe IKT/KI vom 18.12.2025 verlangt KI-Inventar; AMLA-Verordnung 2024 erhöht Aufsichts-Aufmerksamkeit ab 2026.

Was anymize konkret leistet

  • Erkennt Mitarbeiter-Namen, konkrete Kunden-/UBO-Beispiele mit über 95 %.
  • Re-identifiziert die KI-Antwort automatisch.
  • Verarbeitung in deutschen Rechenzentren (Hetzner). AVV + KI-Inventar.
  • Alternativen: Self-Hosted Presidio; S-KIPilot (Sparkassen); atruvia (Genossenschaftsbanken); LBBW blue.gpt; Commerzbank Sherlock.
12

Sicherheitscheck vor der Einreichung

Was anymize liefert — was Sie souverän entscheiden

Vor dem KI-Aufruf

  • Kundenstruktur, Produkt-Portfolio, Vertriebskanal-KPI vollständig?
  • Vor-SAR-Statistik, Vor-Audit-Findings, Bundesbank-Sonderprüfung erfasst?
  • BMF-NRA, BaFin AuA GwG aktuell als Struktur-Anker?
  • Bei konkreten Beispielen: Anonymisierungs-Vorschau gesichtet?

Nach der KI-Antwort

  • Re-Identifikation korrekt?
  • 5-Dimensionen-Matrizen vollständig?
  • Veränderungs-Block YoY plausibel?
  • Alle [VERIFY] gegen Primär-Reports abgearbeitet?

Vor Vorstand-Beschluss

  • Inhaltliche Prüfung MLRO + IR erfolgt?
  • Maßnahmen-Liste mit Priorität konkret?
  • Vorstand-Beschluss eingeholt?
  • Aufsichtsrats-Information vorbereitet?
  • Aufbewahrung 5 Jahre § 50 GwG?

Typische Fehlermuster — und wie anymize gegensteuert

  • KI erfindet Wahrscheinlichkeits-Zahlen — [VERIFY] und manuelle Verifikation.
  • KI unterschätzt Krypto-Sektor — MiCAR-Relevanz nicht ausgewiesen.
  • KI vergisst KI-Inventar als Risiko-Indikator (Schatten-KI).
  • KI klassifiziert Bargeldgeschäft pauschal — Geschäftsstellen-Spezifika übersehen.
  • KI vergisst AMLA-Vorbereitung als Maßnahmen-Punkt.
13

Rechtsgrundlagen

Normen, Urteile, Belege

Primärnormen

  • Risikomanagement (SRC-0112)
  • AML-Sicherungsmaßnahmen (SRC-0108)
  • Verantwortung Geschäftsleitung
  • Bankgeheimnis (SRC-0109)
  • Aufbewahrung 5 Jahre (SRC-0112)
  • Auftragsverarbeitung (SRC-0142)

Aufsichtspraxis

  • Auslegungs- und Anwendungshinweise GwG
  • KI-Inventar (SRC-0119)
  • Nationale Risikoanalyse Geldwäsche

Tool-Markt

  • ACTICO MLDS — Kennzahlen
  • GFT Smaragd

Stand: · Nächste Überprüfung:

Hinweis zur Nutzung

Zur Orientierung — nicht als Mandatsersatz

Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die anwaltliche Würdigung im Einzelfall noch eine fachanwaltliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt rechtlich zu bewerten ist, welche Anträge in Ihrem konkreten Mandat richtig sind — das bleibt selbstverständlich bei Ihnen.

KI-Outputs müssen vor jeder Verwendung anwaltlich geprüft werden. Insbesondere Urteils-Aktenzeichen, Norm-Verweise und Fristen sind gegen Primärquellen zu verifizieren. anymize gewährleistet die Vertraulichkeit der Mandantendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit des Outputs liegt in Ihrer Verantwortung.

Jetzt starten.
14 Tage kostenlos testen.

Alle Modelle. Alle Features. Keine Kreditkarte.

Kostenlos startenWie es funktioniert

Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.

Dein KI-Arbeitsplatz wartet.