Compliance, AML und KYC

KYC-Onboarding Privatkunde mit Video-Ident

anymize entfernt Name, Geburtsdatum, Ausweisnummer, Steuer-ID, IBAN, Arbeitgeber und Selfie-Hash aus Video-Ident-Protokoll und Selbstauskunft, bevor sie an GPT, Claude oder Gemini gehen — und setzt sie nach der KI-Antwort wieder ein. So führen Sie ein KYC-Onboarding nach § 10 GwG strukturiert und schnell durch, ohne § 43 KWG (Bankgeheimnis) oder DSGVO Art. 28 zu berühren.

In 30 SekundenWas anymize hier leistetIn 5 MinutenPrompt zum KopierenIn 30 MinutenVollständiger Workflow
Mit anymize startenAntrags-Beispiel ansehen

Schwierigkeit: Fortgeschritten · Datenklasse: Mandantendaten · Letztes Review:

Zur Orientierung gedacht. Die anwaltliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.

01

Anwendungsbereich

Worum geht es hier?

KI in Compliance, AML und KYC

Privatkunden-Onboarding ist der Eingangskanal aller nachgelagerten AML-Workflows. § 10 Abs. 1 Nr. 1 GwG verlangt die Identifizierung, § 10 Abs. 1 Nr. 4 GwG eine risikoorientierte Bewertung — Video-Ident ist über BaFin Circular 3/2017 GW als Vertretung der persönlichen Anwesenheit anerkannt. Mit anymize gehen Video-Ident-Protokoll, Selbstauskunft und Sanktionslisten-Bericht anonymisiert an die Frontier-KI; Name, Geburtsdatum, Ausweisnummer, Steuer-ID, IBAN, Arbeitgeber und Selfie-Hash verlassen das Haus nicht. Die Vor-Klassifizierung läuft auf pseudonymisiertem Text, die § 10 Abs. 2 GwG-Endklassifizierung bleibt beim KYC-Analysten.

02

Für wen passt das?

Zielgruppe und Kontext

Rolle
KYC-Onboarding-Analyst, AML-Officer, Customer-Operations-Mitarbeiter mit Privatkunden-Verantwortung.
Seniorität
Einsteiger bis Fortgeschritten — Standard-Onboarding nach § 10 GwG ist eingearbeitete Routine, bei PEP-Indirektbezug oder High-Risk-Drittstaaten-Berührung erfolgt Eskalation an Senior-KYC.
Kanzleigröße
Alle Institutstypen mit Privatkundengeschäft (Sparkasse, Genossenschaftsbank, Privatbank, Großbank, FinTech, ZAG-Institut, Krypto-Verwahrer); besonders FinTechs und Neobanken mit über 1.000 Onboardings/Monat.
Spezifische Kontexte
Hochvolumige Standardfälle (Lohnempfänger, EU-Personalausweis); bei PEP-Indirektbezug, High-Risk-Drittstaaten-Berührung oder unklarer Einkommensquelle Eskalation an Senior-KYC/MLRO.
03

Die Situation in der Kanzlei

So bringen Sie Tempo und Sorgfalt zusammen

Eine Neobank empfängt täglich 100–500 Privatkunden-Onboarding-Anträge. Pro Antrag liegen vor: Video-Ident-Protokoll (IDnow/Sumsub) mit OCR-Auszug der Ausweisdaten, Selfie-Match-Score, Liveness-Check; Selbstauskunft zu Beschäftigung, Einkommensquelle, Geschäftszweck; ggf. Gehaltsnachweis; Sanktionslisten-Bericht (LSEG World-Check, ComplyAdvantage). Manuell kostet die strukturierte Sichtung 15–25 Min pro Antrag — bei 200 Anträgen/Tag also 50–80 Personenstunden, knapp 3–4 FTE. § 43 KWG (Bankgeheimnis), § 10 GwG, DSGVO Art. 28 und die BaFin-Orientierungshilfe IKT/KI vom 18.12.2025 verlangen einen geschützten Verarbeitungsweg, sobald Ausweis- und Einkommensdaten an einen externen LLM-Dienst gehen. anymize löst genau diesen Konflikt: Klarnamen, Ausweisnummer, Steuer-ID, IBAN und Arbeitgeber werden vor dem KI-Aufruf zu Platzhaltern; die KI-Antwort kommt strukturiert zurück, anymize re-identifiziert. Die Vertraulichkeit ist strukturell gewahrt.

04

Was Sie davon haben

Zeit, Wert, Vertraulichkeit

Zeit pro Onboarding

~15 Min

Frontier-KI extrahiert Stammdaten, prüft Plausibilität und schlägt eine Risikoklasse vor. KYC-Analyst:in macht die § 10 Abs. 2 GwG-Endklassifizierung wie gewohnt.

Skaleneffekt p.a.

ca. 6 FTE

15 Min × 200 Onboardings/Tag × 250 Arbeitstage ≈ 12.500 Personenstunden/Jahr — bei einem FinTech mit aggressiven Onboarding-Conversion-KPIs.

Vertraulichkeit

strukturell

anymize entfernt Name, Geburtsdatum, Geburtsort, Adresse, Ausweisnummer, Steuer-ID, IBAN, Arbeitgeber und Selfie-Hash, bevor das Onboarding-Material das Haus verlässt.

Erkennungsrate

>95 %

Dreifach geprüft (Algorithmus + zwei spezialisierte KI-Prüfungen). Restmenge kontrollieren Sie im Vorschau-Modus vor dem KI-Aufruf.

05

So gehen Sie vor

In 5 Schritten zum Antrag

1

Video-Ident-Protokoll, Selbstauskunft und Sanktionslisten-Bericht aus dem Onboarding-System (IDnow/Sumsub-API, CRM) abrufen. Notieren Sie vorab: Identifikations-Methode (Video-Ident nach BaFin Circular 3/2017 GW), Liveness-/Match-Score, Produkt-Antrag (Girokonto, Tagesgeld, Depot).

Sie / Tool

§ 10 Abs. 1 Nr. 1 GwG — Identifizierung

2

Automatisierte Datenextraktion aus PDF-/Image-Anhängen (ABBYY Vantage, Azure AI Document Intelligence in Frankfurt-Region). Strukturierter Extrakt der Ausweisdaten, der Selbstauskunft und ggf. des Gehaltsnachweises.

Tool

Effizienz · Reduktion Tipp-Fehler

3

anymize anonymisiert automatisch. Name, Geburtsdatum, Geburtsort, Wohnadresse, Ausweisnummer, Steuer-ID, IBAN, Arbeitgeber-Name und Selfie-Hash werden durch semantische Platzhalter ersetzt. Sie sehen die Vorschau vor dem KI-Aufruf und können einzelne Treffer manuell bestätigen oder ergänzen. Erkennungsrate über 95 %.

anymize

§ 43 KWG · § 26 BDSG · DSGVO Art. 28

3.5

Pflicht-Spot-Check. NER-Falsch-Negativ-Rate liegt bei Bank-Spezial-Strings (IBAN mit Leerzeichen-Gruppierung, BIC, Doppelnamen mit Bindestrich) bei etwa 3–5 %. Bei PEP-Indirektbezug Vier-Augen-Prinzip mit Senior-KYC.

Sie

§ 25h KWG · Bankgeheimnis-Restrisiko

4

Frontier-KI prüft. Der pseudonymisierte CRAFT-Prompt geht an Ihr gewähltes Modell (GPT, Claude, Gemini) in anymize. Output: KYC-Akten-Vorentwurf, Risiko-Indikatoren-Liste, Klassifikations-Vorschlag (niedrig/mittel/erhöht) mit Begründung. Die KI sieht keine Klarnamen — sie arbeitet ausschließlich mit den Platzhaltern.

GPT / Claude / Gemini in anymize

Strukturierung · konsistente Indikator-Sammlung

5

Plausibilitäts- und Konsistenz-Prüfung. Geburtsdatum-/Adress-Konsistenz mit Video-Ident-Protokoll, Einkommensquelle plausibel zum deklarierten Geschäftszweck? Sanktionslisten-Treffer-Detail manuell sichten. anymize re-identifiziert die KI-Antwort, Sie würdigen anwaltlich.

anymize + Sie

§ 10 Abs. 2 GwG — Risikobewertung

6

Endgültige Risikoklassifizierung durch KYC-Analyst:in; bei „erhöht“ Vier-Augen-Prinzip durch AML-Officer. Eintrag im KYC-System, Auslösung Periodic-Review-Trigger (1/3/5 Jahre je Klasse), Aktivierung Konto oder Block für EDD. Aufbewahrung 5 Jahre nach § 50 GwG.

Sie

§ 10 Abs. 2, § 50 GwG · BaFin GwG-Hinweise

06

Womit Sie arbeiten

So setzen Sie anymize konkret ein

Was anymize tut

  • Erkennt 40+ Kategorien personenbezogener Daten — Name, Geburtsdatum, Adresse, Ausweisnummer, Steuer-ID, IBAN, Arbeitgeber-Name, Selfie-Hash — mit über 95 % Erkennungsrate.
  • Dreistufige Prüfung: Algorithmische Analyse, dann zwei spezialisierte KI-Prüfungen, die auch Kontext berücksichtigen (z. B. Arbeitgeber-Adresse vs. Wohnort des Kunden).
  • Bidirektionale Anonymisierung: Platzhalter werden eingesetzt, das Frontier-Modell antwortet mit Kontext, anymize re-identifiziert beim Empfang.
  • Daten in deutschen Rechenzentren (Hetzner). Originaldokumente werden nicht gespeichert — nur die Zuordnung Platzhalter ↔ Klarname, mit Aufbewahrungsfrist nach Ihrer Wahl von 24 Stunden bis unbegrenzt.

Was Sie als KYC-Analyst:in tun

  • Onboarding-Material bereitstellen — Video-Ident-Protokoll, Selbstauskunft, Sanktionslisten-Bericht. Produkt-Antrag und KYC-Klasse-Indikatoren vorab klären.
  • Vorschau der Anonymisierung sichten — bei Privatkunden-Onboardings besonders auf IBAN, Steuer-ID und Arbeitgeber-Bezug achten.
  • KI-Klassifikations-Vorschlag würdigen — die endgültige Klasse-Entscheidung nach § 10 Abs. 2 GwG bleibt bei Ihnen, die KI liefert nur den Vorentwurf.
  • Bei „erhöht“ Vier-Augen mit AML-Officer; bei PEP-Direktbezug, FATF-High-Risk-Drittstaat oder unklarer Einkommensquelle Eskalation an MLRO.

Daten-Input

Video-Ident-Protokoll (IDnow/Sumsub), Selbstauskunft mit Beschäftigung und Einkommensquelle, ggf. Gehaltsnachweis, Sanktionslisten-Bericht (LSEG World-Check, ComplyAdvantage), Geräte-/Verhaltensdaten.

Output-Kontrolle

Pseudonymisierter Text geht an die KI. Re-identifizierter KYC-Akten-Vorentwurf mit Risiko-Indikator-Liste und Klassifikations-Vorschlag kommt zurück. anymize selbst trifft keine inhaltlichen Aussagen — die Strukturierung leistet das Frontier-Modell, die Klassifikation entscheiden Sie.

Freigabeprozess

Sie behalten jederzeit die Hoheit: Sichtung der Anonymisierung, Plausibilitäts-Check, Risikoklassifizierung, Vier-Augen bei „erhöht“. anymize ist der Anonymisierungs-Layer, kein KYC-Entscheidungs-System.

07

Die KI-Anweisung

Prompt zum Kopieren

So nutzen Sie diesen Prompt:

1. Video-Ident-Protokoll, Selbstauskunft und Sanktionslisten-Bericht in anymize einfügen — die Anonymisierung läuft automatisch (Name, Geburtsdatum, Ausweisnummer, Steuer-ID, IBAN, Arbeitgeber werden zu Platzhaltern).

2. Diesen Prompt kopieren und an den pseudonymisierten Input anhängen.

3. In anymize unter „Tools → Reasoning“ auf „Thinking-Modus“ stellen, bei Doppelstaatsbürgerschaft/Crypto-Einkommen auf Max, dann KI-Aufruf starten — der Output kommt re-identifiziert zurück.

4. Klassifikations-Vorschlag würdigen, bei „erhöht“ Vier-Augen mit AML-Officer.

Empfohlener Reasoning-Modus in anymize: Thinking — strukturierter Multi-Quellen-Abgleich. Bei besonders komplexen Konstellationen (Doppelstaatsbürgerschaft, ausländische Steueransässigkeit, Crypto-Einkommen) Max. Modell-Auswahl (GPT, Claude, Gemini) in anymize.
# Context (C)
Du unterstützt das KYC-Onboarding eines Privatkunden bei einem
deutschen Kreditinstitut nach § 10 GwG. Rechtsstand: <heutiges Datum
— bitte aktuell ermitteln und hier einsetzen>. Alle personenbezogenen
Daten im Input sind pseudonymisiert; du behandelst die
[[Kategorie-Hash]]-Platzhalter als solche und fügst keine zusätzlichen
realen Identifikatoren hinzu.

# Role (R)
Du agierst als KYC-Drafting-Assistenz. Du kennst § 10 GwG
(Sorgfaltspflichten), § 11 GwG (Identifizierung), § 12 GwG
(Identitätsprüfungsverfahren inkl. Video-Ident nach BaFin Circular
3/2017 GW), § 14 GwG (vereinfachte Sorgfaltspflichten), § 15 GwG
(verstärkte Sorgfaltspflichten / EDD), die BaFin-Auslegungs- und
Anwendungshinweise GwG (Update 29.11.2024) und die FATF-Hochrisiko-
Länderliste.

# Action (A)
1. Strukturiere die KYC-Akte in fünf Abschnitten:
   (a) Identifikations-Status (Video-Ident-Ergebnis, Liveness-/
       Match-Score),
   (b) Personenstammdaten (gekürzt),
   (c) Wirtschaftliche Verhältnisse / Einkommensquelle / Geschäftszweck,
   (d) Risiko-Indikatoren-Liste,
   (e) Klassifikations-Vorschlag mit Begründung.
2. Risiko-Indikatoren: PEP-Treffer, Sanktionslisten-Treffer,
   High-Risk-Drittstaat (FATF-Liste), inkonsistente Angaben
   Selbstauskunft ↔ Video-Ident, ungewöhnliche Einkommensquelle,
   beruflich erhöhtes Risiko (Kryptohandel, Bargeldgewerbe).
3. Klassifikations-Vorschlag: „niedrig“ / „mittel“ / „erhöht“ mit
   max. 5 Sätzen Begründung, jeweils mit Bezug auf §§ 10 / 14 / 15
   GwG.
4. Markiere alle Aussagen, die gegen das Kernbankensystem oder
   Primärdokumente verifiziert werden müssen, mit `[VERIFY: …]`.
5. Gib keine endgültige Empfehlung zur Kontoeröffnung; das ist
   Mensch-Entscheid.

# Format (F)
- Abschnitt 1 — Identifikation: Bulletpoints
  (Methode, Datum, Match-Score).
- Abschnitt 2 — Stammdaten: Bulletpoints mit Platzhaltern.
- Abschnitt 3 — Wirtschaftliche Verhältnisse: max. 6 Sätze.
- Abschnitt 4 — Risiko-Indikatoren: nummerierte Liste.
- Abschnitt 5 — Klassifikations-Vorschlag: ein Satz Klasse + max.
  5 Sätze Begründung.

# Target Audience (T)
Der Output wird vom KYC-Analysten gelesen, geprüft und nach
Vier-Augen-Prinzip in das KYC-System übernommen. Fachsprache GwG
präzise; keine erfundenen Namen, Adressen, IBANs oder Beträge;
Platzhalter unverändert übernehmen.
08

So sieht der Sachverhalt aus

Pseudonymisierter Eingabetext

Original-Onboarding-Antrag nach anymize-Anonymisierung. Name, Geburtsdatum, Adresse, Steuer-ID, Arbeitgeber und Geldbetrag sind durch anymize-Platzhalter im Format [[Kategorie-Hash]] ersetzt. Strukturdaten (Match-Score, Sanktionstreffer, Geräte-Daten) bleiben sichtbar, weil sie für die KYC-Prüfung benötigt werden.
Onboarding-Antrag — Vorgangsnummer [[Aktenzeichen-9b3d]]
Eingang: [[Datum-7f2a]] | Kanal: Mobile-App
Produkt: Girokonto Premium

Video-Ident (IDnow):
- Methode: Video-Ident nach BaFin Circular 3/2017 GW
- Datum/Uhrzeit: [[Datum-7f2a]] 14:22 CET
- Agent-ID: [[Aktenzeichen-3a8b]]
- Liveness-Check: bestanden
- Selfie-Match-Score: 0,94 (Schwelle 0,85)
- Ausweis: deutscher Personalausweis,
  gültig bis [[Datum-c4d1]]

Selbstauskunft:
- Name: [[Vorname-a3f9]] [[Nachname-a3f9]]
- Geburtsdatum: [[Datum-d5f3]]
- Geburtsort: [[Ort-b2e7]]
- Anschrift: [[Strasse-e8a2]], [[Ort-d5f3]]
- Steuer-ID: [[SteuerID-f1c6]]
- Beschäftigungsstand: angestellt seit 4 Jahren
- Arbeitgeber: [[Unternehmensname-219e]] AG, [[Ort-b2e7]]
- Bruttoeinkommen p.a.: [[Geldbetrag-c4d1]] EUR
- Geschäftszweck: Gehaltskonto und tägliche Zahlungen
- PEP: selbst nein; nahestehende Person nein

Sanktionslisten-Screening (ComplyAdvantage):
- EU-Sanktionsliste: 0 Treffer
- OFAC SDN: 0 Treffer
- UN Consolidated List: 0 Treffer
- PEP-Datenbank: 0 Direkttreffer; 1 Namens-Ähnlichkeitstreffer
  Score 0,71 (Schwelle 0,85, kein Match)
- Adverse Media: 0 Treffer

Geräte-/Verhaltensdaten:
- IP-Geolocation: [[Ort-d5f3]], DE
- Device-Fingerprint: bekannt
  (von App-Installation [[Datum-6c4f]])
- VPN/Proxy erkannt: nein
09

So liefert anymize zurück

Der Antrags-Entwurf

KI-Output (Beispiel). Die anymize-Re-Identifikation hat Klarnamen, Steuer-ID und Geldbetrag wieder eingesetzt — Sie sehen den Output mit den richtigen Daten. Die [VERIFY: …]-Markierungen sind Pflicht-Verifikations-Punkte gegen Primärdokumente.
## Abschnitt 1 — Identifikations-Status
- Methode: Video-Ident nach BaFin Circular 3/2017 GW,
  durchgeführt am [[Datum-7f2a]].
- Liveness-Check bestanden; Selfie-Match-Score 0,94 oberhalb
  Schwelle 0,85.
- Ausweisdokument: deutscher Personalausweis, gültig bis
  [[Datum-c4d1]] [VERIFY: MRZ-Prüfziffer und Ausweis-Gültigkeit
  gegen Polizei-/BKA-Verlustdatenbank].

## Abschnitt 2 — Stammdaten
- Name: [[Vorname-a3f9]] [[Nachname-a3f9]]
- Geburtsdatum: [[Datum-d5f3]] | Geburtsort: [[Ort-b2e7]]
- Anschrift: [[Strasse-e8a2]], [[Ort-d5f3]]
- Steuer-ID: [[SteuerID-f1c6]]

## Abschnitt 3 — Wirtschaftliche Verhältnisse
Antragsteller:in gibt eine Festanstellung bei
[[Unternehmensname-219e]] AG mit Tätigkeitsdauer 4 Jahre an.
Bruttoeinkommen p.a. [[Geldbetrag-c4d1]] EUR liegt im
Plausibilitätsbereich für die deklarierte Branche
[VERIFY: Branchen-Median über interne Vergleichswerte].
Geschäftszweck „Gehaltskonto und tägliche Zahlungen“ ist
konsistent zum Produktantrag (Girokonto Premium). PEP-Selbst-
auskunft verneint; ein PEP-Namens-Ähnlichkeitstreffer Score
0,71 liegt unter der Match-Schwelle 0,85.

## Abschnitt 4 — Risiko-Indikatoren
1. Keine Sanktionslisten-Direkttreffer.
2. Kein bestätigter PEP-Treffer; ein Namens-Ähnlichkeitstreffer
   unter Schwelle dokumentieren.
3. Keine Adverse-Media-Treffer.
4. Geräte-/Verhaltensdaten unauffällig (kein VPN, bekannter
   Device-Fingerprint).
5. Kein High-Risk-Drittstaat-Bezug (FATF-Liste).

## Abschnitt 5 — Klassifikations-Vorschlag
**Vorschlag: niedrig.** Begründung: Standard-Privatkundenkons-
tellation mit konsistenter Identifikation, plausibler Einkommens-
quelle, keinen Treffern in Sanktions-/PEP-/Adverse-Media-Screening;
vereinfachte Sorgfaltspflichten nach § 14 GwG möglich.
[VERIFY: bankinterner Niedrig-Risiko-Katalog]. Endgültige
Klassifikation durch KYC-Analyst:in.
10

Was das Berufsrecht verlangt

Pflichten — und wie anymize sie abdeckt

§ 43 KWG Bankgeheimnis bei Pseudonymisierungs-Lücke (SRC-0109)

Ein einziger unpseudonymisierter Klarname, eine IBAN oder die Steuer-ID im LLM-Prompt verletzt das Bankgeheimnis gegenüber dem LLM-Anbieter. Der Pflicht-Spot-Check vor dem KI-Aufruf ist Routine, keine Empfehlung — anymize zeigt die Vorschau, Sie bestätigen.

§ 12 GwG Video-Ident: nur akkreditierte Anbieter (SRC-0112)

Video-Ident ist nur dann § 12 GwG-konform, wenn der Anbieter die BaFin Circular 3/2017 GW erfüllt. IDnow und Sumsub sind anerkannt; ein generisches Video-Call-Tool ist nicht zulässig. Die KI-Verdichtung ändert daran nichts.

Halluzinations-Risiko bei Bonitäts-/Einkommens-Aussagen (SRC-0158)

Halluzinationsraten >20 % bei generischen Banking-Queries sind dokumentiert (MIT-Thesis 2025, BizTech 2025). Der KI-Vorschlag zur Einkommens-Plausibilität ist nur Heuristik; menschliche Verifikation gegen den hochgeladenen Gehaltsnachweis bleibt Pflicht.

§ 25h Abs. 2 S. 1 KWG — Endentscheidung nicht in Drittländer (SRC-0108)

Die KYC-Klassifikations-Endentscheidung bleibt in deutscher Hand. Bei US-LLM-Anbietern muss die Klassifikations-Entscheidung organisatorisch von der Drafting-Funktion getrennt nachweisbar sein. anymize trennt strukturell: KI sieht keine Klarnamen, Mensch entscheidet.

Art. 22 DSGVO bei vollautomatischem Klassifikations-Entscheid (SRC-0142)

Wird die KI-Klasse ohne menschliche Prüfung ins KYC-System geschrieben, ist das eine automatisierte Einzelfallentscheidung mit erheblichen Rechtsfolgen (Konto-Sperre/-Eröffnung). Schritt 6 (Mensch-Letztentscheid) trennt diesen Risikofall strukturell ab.

BaFin-Orientierungshilfe IKT/KI vom 18.12.2025 (SRC-0119)

KI im KYC ist IKT-Asset im Sinne von Art. 3 Nr. 2 DORA; Inventar-Pflicht, Schatten-KI-Verbot, Lifecycle-Management. anymize-Pseudonymisierung gehört ins KI-Inventar — nicht nur das ACTICO-Lernmodul.

§ 50 GwG Aufbewahrung 5 Jahre (SRC-0112)

Auch KI-Drafts, KI-Begründungstexte und Pseudonymisierungs-Mappings sind 5 Jahre revisionssicher aufzubewahren; bei verstärkten Sorgfaltspflichten ggf. länger. anymize-Mapping-Aufbewahrung passend zur Bank-Policy einstellen.

11

Datenschutz und Vertraulichkeit

So funktioniert das mit anymize

Die aufsichtsrechtlich entscheidende Frage bei KYC-Onboarding mit KI: Sieht der LLM-Anbieter den Klarnamen, das Geburtsdatum, die Ausweisnummer, die Steuer-ID, die IBAN, den Arbeitgeber und den Selfie-Hash? Antwort mit anymize: nein. Diese Identifikatoren werden vor dem KI-Aufruf durch Platzhalter ersetzt; nach der KI-Antwort identifiziert anymize zurück. Verarbeitung in deutschen Rechenzentren (Hetzner), AVV nach Art. 28 DSGVO ist Teil des Standardvertrags, Originaldokumente werden nicht gespeichert. Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 10 ff. GwG (gesetzliche Pflicht); zusätzlich Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung Bankvertrag). Bei Art.-9-Datenflüssen (Gesundheits-Daten, biometrische Daten bei Selfie-Match) zusätzlich Art. 9 Abs. 2 lit. g DSGVO. § 43 KWG Bankgeheimnis bleibt strukturell gewahrt; § 25h KWG-Endentscheidung im Inland. BaFin-Orientierungshilfe IKT/KI vom 18.12.2025 verlangt anymize-Pseudonymisierung als Eintrag im KI-Inventar.

Was anymize konkret leistet

  • Erkennt Klarnamen, Geburtsdatum, Adresse, Ausweisnummer, Steuer-ID, IBAN, Arbeitgeber-Namen und Selfie-Hash mit über 95 % Genauigkeit.
  • Ersetzt sie durch semantische Platzhalter, bevor das KYC-Material an GPT, Claude oder Gemini geht.
  • Re-identifiziert die KI-Antwort automatisch — Sie sehen den KYC-Akten-Vorentwurf mit den richtigen Klarnamen zurück.
  • Verarbeitung in deutschen Rechenzentren (Hetzner). AVV nach Art. 28 DSGVO + § 25b KWG-Auslagerungsanzeige unterstützen wir mit Standard-Vorlagen.
  • Alternativen zur Pseudonymisierung: Self-Hosted Microsoft Presidio On-Premises; Finanz Informatik S-KIPilot (Sparkassen); atruvia KI-Kompetenzcenter (Genossenschaftsbanken); LBBW blue.gpt; Commerzbank Doc AI+/Sherlock.
12

Sicherheitscheck vor der Einreichung

Was anymize liefert — was Sie souverän entscheiden

Vor dem KI-Aufruf

  • Video-Ident-Protokoll vollständig — IDnow/Sumsub-Output mit Liveness und Match-Score erfasst?
  • Selbstauskunft vollständig — Beschäftigungsstand, Einkommensquelle, Geschäftszweck, PEP-Selbstauskunft?
  • Sanktionslisten-Bericht aktuell — EU/OFAC/UN/PEP/Adverse Media?
  • Anonymisierungs-Vorschau gesichtet — IBAN mit Leerzeichen, Steuer-ID, Arbeitgeber-Bezug korrekt erfasst?
  • Bei PEP-Indirektbezug Vier-Augen mit Senior-KYC eingeplant?

Nach der KI-Antwort

  • Re-Identifikation korrekt — alle Platzhalter zurückgesetzt?
  • KYC-Akten-Struktur vollständig — Identifikation, Stammdaten, Wirtschaftliche Verhältnisse, Risiko-Indikatoren, Klassifikation?
  • Alle [VERIFY: …]-Markierungen gegen Primärquellen geprüft (MRZ, Gehaltsnachweis, Branchen-Benchmark)?
  • Plausibilität Selbstauskunft ↔ Video-Ident-Protokoll geprüft?
  • Klassifikations-Vorschlag fachlich nachvollzogen?

Vor der KYC-Freigabe

  • Endklassifikation nach § 10 Abs. 2 GwG durch KYC-Analyst:in festgestellt?
  • Bei „erhöht“: Vier-Augen mit AML-Officer durchgeführt?
  • Periodic-Review-Trigger gesetzt (1/3/5 Jahre nach Klasse)?
  • Aufbewahrung 5 Jahre nach § 50 GwG dokumentiert?
  • Bei PEP-Direktbezug oder FATF-High-Risk-Drittstaat MLRO eskaliert?

Typische Fehlermuster — und wie anymize gegensteuert

  • KI klassifiziert pauschal „niedrig“, ohne die Namens-Ähnlichkeits-PEP-Treffer zu erwähnen — Disambiguierungs-Vermerk fehlt.
  • KI behauptet Branchen-Tagesumsätze oder Gehalts-Benchmarks ohne Quelle — der Prompt fordert [VERIFY], die manuelle Verifikation gegen Primärdaten ist Pflicht.
  • KI erfindet Aktenzeichen oder BaFin-Bescheid-Nummern (Halluzinations-Risiko über 20 % bei Banking-Queries) — der Prompt verbietet das, der Spot-Check fängt es ab.
  • KI gibt eine direkte Empfehlung zur Kontoeröffnung — der Prompt schließt das aus, das ist Mensch-Entscheid.
  • Bei Doppelstaatsbürgerschaft DE-USA übersieht die KI den FATCA-Spurpunkt — der Periodic-Review-Trigger zu UC-V-FIN-COM-018 fehlt.
13

Rechtsgrundlagen

Normen, Urteile, Belege

Primärnormen

  • Allgemeine Sorgfaltspflichten — Identifizierung, Risikobewertung (SRC-0112)
  • Identifizierung des Vertragspartners (SRC-0112)
  • Identitätsprüfungsverfahren inkl. Video-Ident (SRC-0112)
  • Vereinfachte Sorgfaltspflichten (SRC-0112)
  • Verstärkte Sorgfaltspflichten / EDD (SRC-0112)
  • Aufbewahrung 5 Jahre (SRC-0112)
  • Bankgeheimnis (SRC-0109)
  • AML-Sicherungsmaßnahmen, Endentscheidung im Inland (SRC-0108)
  • Rechtsgrundlage gesetzliche Pflicht
  • Auftragsverarbeitung (SRC-0142)

Aufsichtspraxis

  • Video-Ident als anerkannte Identitätsprüfung
  • Auslegungs- und Anwendungshinweise GwG
  • KI-Inventar, Schatten-KI-Verbot, Lifecycle (SRC-0119)

Tool-Markt

  • IDnow — DE-Marktführer Video-KYC
  • Sumsub — FinTech-/Crypto-Standard mit BaFin-Konformität
  • ABBYY Vantage — IDP mit Banking-Skills (Vendor-Angabe 99 %)
  • Azure AI Document Intelligence Frankfurt, BSI C5
  • LSEG World-Check — institutionelle PEP-/Sanctions-Datenbank

Stand: · Nächste Überprüfung:

Hinweis zur Nutzung

Zur Orientierung — nicht als Mandatsersatz

Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die anwaltliche Würdigung im Einzelfall noch eine fachanwaltliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt rechtlich zu bewerten ist, welche Anträge in Ihrem konkreten Mandat richtig sind — das bleibt selbstverständlich bei Ihnen.

KI-Outputs müssen vor jeder Verwendung anwaltlich geprüft werden. Insbesondere Urteils-Aktenzeichen, Norm-Verweise und Fristen sind gegen Primärquellen zu verifizieren. anymize gewährleistet die Vertraulichkeit der Mandantendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit des Outputs liegt in Ihrer Verantwortung.

Jetzt starten.
14 Tage kostenlos testen.

Alle Modelle. Alle Features. Keine Kreditkarte.

Kostenlos startenWie es funktioniert

Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.

Dein KI-Arbeitsplatz wartet.