Compliance, AML und KYC

MLRO-Jahresbericht

anymize entfernt Mitarbeiter-Namen und konkrete Kunden-Identifikatoren aus den KPI-Inputs und Beispielsachverhalten, bevor sie an GPT, Claude oder Gemini gehen — und setzt sie nach der KI-Antwort wieder ein. So drafften Sie einen MLRO-Jahresbericht mit Vorjahres-Vergleich und Maßnahmenplan, ohne § 43 KWG oder § 26 BDSG zu berühren.

In 30 SekundenWas anymize hier leistetIn 5 MinutenPrompt zum KopierenIn 30 MinutenVollständiger Workflow
Mit anymize startenAntrags-Beispiel ansehen

Schwierigkeit: Spezialist · Datenklasse: Mandantendaten · Letztes Review:

Zur Orientierung gedacht. Die anwaltliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.

01

Anwendungsbereich

Worum geht es hier?

KI in Compliance, AML und KYC

§ 7 GwG verlangt die Funktion des Geldwäschebeauftragten; § 25a KWG verankert Berichts-Pflicht an die Geschäftsleitung. MLRO-Jahresbericht ist Standard-Element; mit GwGMeldV 2026 und AMLA-Aufnahme wachsen die KPI-Anforderungen. Mit anymize gehen KPI-Inputs (Alert-Statistik, SAR-Statistik, KYC-Refresh-Quote, Schulungs-Quote) und Beispielsachverhalte anonymisiert an die Frontier-KI; die fachliche Würdigung und Vier-Augen-Endabnahme bleiben Mensch-Pflicht.

02

Für wen passt das?

Zielgruppe und Kontext

Rolle
MLRO, Geldwäschebeauftragter, Stellvertretung.
Seniorität
Senior — Verantwortung für Vorstands-/Aufsichtsrats-Bericht.
Kanzleigröße
Alle Verpflichteten nach § 2 GwG.
Spezifische Kontexte
Sparkassen/Genossenschaftsbanken mit dezentraler GWB-Struktur; AMLA-direktbeaufsichtigte Großbanken mit erweiterten Reporting-Anforderungen.
03

Die Situation in der Kanzlei

So bringen Sie Tempo und Sorgfalt zusammen

Manueller Jahresbericht: Sammlung der KPI aus TMS, KYC-System, Compliance-DMS, Schulungs-Tracker; Verdichtung; Trend-Bewertung; Empfehlungen; Vorstands-/Aufsichtsrats-Anbindung. Aufwand 1–3 Personen-Wochen. § 43 KWG bei Verwendung konkreter SAR-/Alert-Beispiele, DSGVO Art. 28, § 26 BDSG bei Mitarbeiterbezug. anymize löst diesen Konflikt: KPI-Inputs und Beispielsachverhalte werden anonymisiert; die KI strukturiert den Bericht-Erstentwurf mit Vorjahres-Vergleich.

04

Was Sie davon haben

Zeit, Wert, Vertraulichkeit

Zeit Erstentwurf

4–10 h

Größenordnung; KPI-Verdichtung und Vorjahres-Vergleich sind strukturell automatisierbar.

Skaleneffekt

~1 P-Woche

Bei mittelständischer Bank Einsparung pro Jahr.

Vorjahres-Vergleich

strukturell

Tabelle KPI/Vorjahr/Berichtsjahr/Veränderung % erzwingt vollständige YoY-Sicht.

Vertraulichkeit

strukturell

Konkrete Sachverhalts-Beispiele anonymisiert; Mitarbeiter-Namen pseudonymisiert.

05

So gehen Sie vor

In 5 Schritten zum Antrag

1

KPI-Sammlung: Alert-Zahlen, SAR-Statistik, KYC-Refresh-Quote, Schulungs-Quote, Vor-Jahres-Vergleich.

Sie / Tool

§ 25a KWG

2

Strukturanforderungen MLRO-Bericht klären: Org-Aufstellung, Risikoanalyse, KPI, besondere Vorkommnisse, Maßnahmen.

Sie

§ 7 GwG

3

anymize anonymisiert: konkrete SAR-Beispiele, Mitarbeiter-Namen, IBANs aus Sachverhalts-Beispielen.

anymize

§ 43 KWG · § 26 BDSG · DSGVO Art. 28

3.5

Spot-Check; Vier-Augen mit Stellvertretung.

Sie

NER-Falsch-Negativ

4

Frontier-KI strukturiert mit CRAFT-Prompt: Bericht-Erstentwurf in 5 Abschnitten (Org-Aufstellung, Risikoanalyse-Ergebnis, KPI-Tabelle mit YoY, besondere Vorkommnisse, Maßnahmenplan).

GPT / Claude / Gemini in anymize

Strukturierung

5

KPI-Verifikation gegen Primär-Reports (TMS, KYC, DMS). Vorjahres-Prozent-Werte manuell nachrechnen.

Sie

§ 7 GwG Wahrheitspflicht

6

Vier-Augen mit Stellvertretung; Vorstands-/Aufsichtsrats-Abstimmung.

Sie

§ 25a KWG

7

Dokumentation; 5 Jahre Aufbewahrung § 50 GwG.

Sie

§ 50 GwG

06

Womit Sie arbeiten

So setzen Sie anymize konkret ein

Was anymize tut

  • Erkennt Mitarbeiter-Namen, Kunden-Bezüge, IBANs und konkrete Sachverhalts-Identifikatoren mit über 95 %.
  • Bidirektionale Anonymisierung; AVV + § 26 BDSG-Beschäftigtenschutz.
  • Daten in deutschen Rechenzentren (Hetzner); KI-Inventar-tauglich.
  • Aufbewahrung Mapping nach Bank-Policy einstellbar.

Was Sie als MLRO tun

  • KPI aus TMS, KYC, DMS, Schulungs-Tracker konsolidieren — KI verdichtet, ersetzt aber nicht die Datensammlung.
  • Vorjahres-Prozent-Veränderungen manuell verifizieren — KI rechnet das oft falsch.
  • Bei besonderen Vorkommnissen anonymisierte Beispielsachverhalte einfügen — § 47 GwG Tipping-Off auch im Bericht beachten.
  • Vier-Augen mit Stellvertretung; Vorstand-Beschluss; Aufsichtsrats-Information.

Daten-Input

KPI-Inputs (Alert-Zahlen, SAR-Statistik, KYC-Onboarding, Periodic-Review-Quoten, Schulungs-Quote, Sanktions-Hits, KI-Inventar-Eintragungen), Vorjahres-Vergleichsdaten, bemerkenswerte Vorkommnisse.

Output-Kontrolle

Re-identifizierter Bericht-Erstentwurf in 5 Abschnitten mit KPI-Tabelle (YoY-Veränderung), Maßnahmen-Tabelle (Maßnahme/Zuständigkeit/Zeitrahmen).

Freigabeprozess

Vier-Augen mit Stellvertretung Pflicht; Vorstand-Beschluss; bei besonderen Vorkommnissen Interne Revision; bei aufsichtsrelevanten Vorfällen Bundesbank/BaFin-Anzeige.

07

Die KI-Anweisung

Prompt zum Kopieren

So nutzen Sie diesen Prompt:

1. KPI-Inputs und Beispielsachverhalte in anymize einfügen — Mitarbeiter und konkrete Kunden werden pseudonymisiert.

2. Diesen Prompt anhängen; „Thinking-Modus“; KI-Aufruf.

3. Vorjahres-Prozent-Werte manuell verifizieren; Vier-Augen Stellvertretung; Vorstand-Beschluss.

Empfohlener Reasoning-Modus in anymize: Thinking.
# Context (C)
Du erstellst einen Erstentwurf des MLRO-Jahresberichts eines deutschen
Kreditinstituts für das Geschäftsjahr <Jahr>. Rechtsstand: <heutiges
Datum>. Daten pseudonymisiert.

# Role (R)
MLRO-Drafting-Assistenz. Du kennst § 7, § 9 GwG, § 25a KWG, BaFin-
Auslegungs- und Anwendungshinweise GwG (Update 29.11.2024), GwGMeldV-
Pflichtfelder (anwendbar 01.03.2026).

# Action (A)
1. Strukturiere den Bericht in: (a) Org-Aufstellung GWB-Funktion,
   (b) Risikoanalyse-Ergebnis (siehe UC-V-FIN-COM-016),
   (c) Quantitative KPI mit Vorjahres-Vergleich (Alerts, SAR, KYC-
   Onboarding, Periodic Review, Schulung), (d) Besondere Vorkommnisse
   (anonymisiert), (e) Maßnahmenplan kommendes Geschäftsjahr.
2. Erkenne Trends mit Größenangabe (z. B. SAR-Volumen +12 % YoY).
3. Markiere unverifizierte KPI mit `[VERIFY: …]`.
4. Schlage konkrete Maßnahmen vor (Schulungs-Quote, KI-Inventar-Pflege,
   EDD-Stärkung).

# Format (F)
- Abschnitt 1–5 wie oben.
- KPI-Tabelle: KPI / Vorjahr / Berichtsjahr / Veränderung %.
- Maßnahmen-Tabelle: Maßnahme / Zuständigkeit / Zeitrahmen.

# Target Audience (T)
Vorstand und Aufsichtsrat. Präzise; keine Schuldzuweisungen; keine
erfundenen KPI-Werte.
08

So sieht der Sachverhalt aus

Pseudonymisierter Eingabetext

KPI-Inputs nach Anonymisierung der Bank-Identität.
Jahresbericht-Inputs Geschäftsjahr 2025
(Kreditinstitut [[Unternehmensname-219e]]):
- Alerts ACTICO: 12.450 (2024: 10.870 → +14,5 %)
- SARs an FIU: 87 (2024: 73 → +19,2 %)
- KYC-Onboarding Privatkunden: 18.230 (2024: 16.450)
- KYC-Onboarding Firmenkunden: 1.840 (2024: 1.720)
- Periodic Review erhöht: 220 (Soll: 220, Quote 100 %)
- Periodic Review mittel: 1.870 (Soll: 1.920, Quote 97,4 %)
- Schulungs-Quote 2025: 87 % (2024: 92 %)
- Sanktions-Hits: 14.500 (2024: 6.700 → +116,4 %
  v.a. Russland-Sanktions-Updates)
- Verifizierte True-Positive-Hits: 12 (Blockierungen ausgelöst)
- KI-Inventar-Eintragungen: 4 (ACTICO Lernmodul,
  anymize-Pseudonymisierung, KYC-Klassifikations-Modul,
  Sherlock-Eskalations-Filter)
- Bemerkenswerte Vorkommnisse:
  - 1 fehlerhafte SAR-Übermittlung wegen Pflichtfeld-Lücke
    (vor goAML-Update); Re-Submission erfolgte.
  - 1 KI-Modell-Drift bei TMS-Alert-Scoring
    (ACTICO-Vendor-Patch installiert).
09

So liefert anymize zurück

Der Antrags-Entwurf

KI-Output (Beispiel). Bericht-Erstentwurf mit KPI-Tabelle YoY und Maßnahmen-Tabelle.
## Abschnitt 1 — Org-Aufstellung
Die GWB-Funktion ist als Stabsstelle unter dem Vorstand für Compliance
angesiedelt. Stellvertretung dokumentiert. Personalstärke:
[VERIFY: aktuelle Stellenpläne].

## Abschnitt 2 — Risikoanalyse-Ergebnis
Risikoanalyse 2025 nach § 5 GwG durchgeführt; Hauptrisiken: Russland-
Sanktions-Updates, Krypto-Sektor-Erweiterung Firmenkundenbestand,
FATF-Drittland-Berührung.

## Abschnitt 3 — KPI
| KPI | 2024 | 2025 | Veränderung |
|---|---|---|---|
| Alerts ACTICO | 10.870 | 12.450 | +14,5 % |
| SARs an FIU | 73 | 87 | +19,2 % |
| KYC-Onboarding Privat | 16.450 | 18.230 | +10,8 % |
| KYC-Onboarding Firma | 1.720 | 1.840 | +7,0 % |
| Periodic Review erhöht | 100 % | 100 % | – |
| Periodic Review mittel | – | 97,4 % | – [VERIFY: Vorjahr] |
| Schulungs-Quote | 92 % | 87 % | -5 Pp |
| Sanktions-Hits | 6.700 | 14.500 | +116,4 % |
| True-Positive Sanktion | – | 12 | – |

## Abschnitt 4 — Besondere Vorkommnisse
1. Fehlerhafte SAR-Übermittlung wegen Pflichtfeld-Lücke vor
   goAML-Update (anonymisiert dokumentiert; Re-Submission erfolgt).
   Ursache analysiert, Workflow-Update implementiert.
2. KI-Modell-Drift bei TMS-Alert-Scoring; Vendor-Patch installiert.
   Validierung der Drift-Detection im Modell-Risiko-Inventar verstärkt.

## Abschnitt 5 — Maßnahmenplan 2026
| Maßnahme | Zuständigkeit | Zeitrahmen |
|---|---|---|
| Schulungs-Nachhol-Verfahren | HR + Compliance | Q1/2026 |
| GwGMeldV-goAML-Transition abschließen | MLRO | bis 01.03.2026 |
| AMLA-Liaison-Funktion einrichten | Vorstand + MLRO | H1/2026 |
| KI-Inventar-Pflege quartalsweise | Compliance + IT | laufend |
10

Was das Berufsrecht verlangt

Pflichten — und wie anymize sie abdeckt

§ 25a KWG Verantwortung Geschäftsleitung

Vorstand-Beschluss zum Bericht; KI-Erstentwurf ist nur Vorlage.

KPI-Halluzinations-Risiko (SRC-0158)

KI rechnet Vorjahres-Prozent oft falsch; Verifikation gegen Primär-Reports Pflicht.

§ 43 KWG Pseudonymisierung (SRC-0109)

Bei konkreten Sachverhalts-Beispielen Pseudonymisierung Pflicht.

Vor-Jahres-Vergleich Rechen-Fehler

KI macht Vorzeichen-Fehler, übersieht Reset-Effekte; manuelles Nachrechnen Pflicht.

§ 7 GwG MLRO-Verantwortung (SRC-0112)

Nicht delegierbar; Stellvertretung dokumentiert.

Aufsichts-Tipp-Off-Schutz (§ 47 GwG)

Konkrete SAR-Beispiele nur in interner Bericht-Version mit Pseudonymen; externe Berichte aggregiert.

BaFin-Orientierungshilfe IKT/KI (SRC-0119)

KI-Inventar-Pflege als KPI im Bericht; Schatten-KI vermeiden.

11

Datenschutz und Vertraulichkeit

So funktioniert das mit anymize

Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 7 GwG, § 25a KWG. Bei konkreten Sachverhalts-Beispielen § 43 KWG und § 26 BDSG. Verarbeitung in deutschen Rechenzentren (Hetzner), AVV nach Art. 28 DSGVO. BaFin-Orientierungshilfe IKT/KI vom 18.12.2025 verlangt anymize-Pseudonymisierung als Eintrag im KI-Inventar.

Was anymize konkret leistet

  • Erkennt Mitarbeiter-Namen, Kunden-Bezüge in Beispielsachverhalten mit über 95 %.
  • Re-identifiziert die KI-Antwort automatisch.
  • Verarbeitung in deutschen Rechenzentren (Hetzner). AVV + KI-Inventar.
  • Alternativen: Self-Hosted Presidio; S-KIPilot (Sparkassen); atruvia (Genossenschaftsbanken); LBBW blue.gpt; Commerzbank Sherlock.
12

Sicherheitscheck vor der Einreichung

Was anymize liefert — was Sie souverän entscheiden

Vor dem KI-Aufruf

  • Alle KPI aus TMS, KYC, DMS, Schulungs-Tracker konsolidiert?
  • Vorjahres-Vergleichsdaten verfügbar?
  • Besondere Vorkommnisse anonymisiert dokumentiert?
  • Anonymisierungs-Vorschau gesichtet?

Nach der KI-Antwort

  • Re-Identifikation korrekt?
  • Alle 5 Abschnitte vorhanden (Org, Risikoanalyse, KPI, Vorkommnisse, Maßnahmen)?
  • Vorjahres-Prozent-Werte manuell verifiziert?
  • Alle [VERIFY] gegen Primär-Reports abgearbeitet?

Vor Vorstand-Vorlage

  • Vier-Augen mit Stellvertretung?
  • Tipping-Off-Schutz bei konkreten SAR-Beispielen geprüft?
  • Maßnahmenplan mit Zuständigkeit und Zeitrahmen konkret?
  • Aufsichtsrats-Anbindung vorbereitet?
  • Aufbewahrung 5 Jahre § 50 GwG?

Typische Fehlermuster — und wie anymize gegensteuert

  • KI rechnet Vorjahres-Veränderungs-Prozent falsch (Vorzeichen, Basis).
  • KI erfindet KPI-Werte, die nicht im Input stehen — [VERIFY] und manuelle Verifikation.
  • KI klassifiziert sinkende Schulungs-Quote als unwesentlich — strukturell ist das aufsichtsthematisch.
  • KI vergisst KI-Inventar-KPI — BaFin-Erwartung seit 18.12.2025.
  • KI formuliert Schuldzuweisungen statt sachlicher Trend-Bewertung.
13

Rechtsgrundlagen

Normen, Urteile, Belege

Primärnormen

  • Geldwäschebeauftragter (SRC-0112)
  • Interne Sicherungsmaßnahmen (SRC-0112)
  • Verantwortung Geschäftsleitung
  • Aufbewahrung 5 Jahre (SRC-0112)
  • Bankgeheimnis (SRC-0109)
  • AML-Sicherungsmaßnahmen (SRC-0108)
  • Beschäftigtenschutz (SRC-0144)
  • Auftragsverarbeitung (SRC-0142)

Aufsichtspraxis

  • KI-Inventar (SRC-0119)
  • Pflichtfeld-Struktur ab 01.03.2026 (SRC-0113)

Tool-Markt

  • ACTICO MLDS — KPI-Reporting
  • GFT Smaragd — Reporting-Module

Stand: · Nächste Überprüfung:

Hinweis zur Nutzung

Zur Orientierung — nicht als Mandatsersatz

Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die anwaltliche Würdigung im Einzelfall noch eine fachanwaltliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt rechtlich zu bewerten ist, welche Anträge in Ihrem konkreten Mandat richtig sind — das bleibt selbstverständlich bei Ihnen.

KI-Outputs müssen vor jeder Verwendung anwaltlich geprüft werden. Insbesondere Urteils-Aktenzeichen, Norm-Verweise und Fristen sind gegen Primärquellen zu verifizieren. anymize gewährleistet die Vertraulichkeit der Mandantendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit des Outputs liegt in Ihrer Verantwortung.

Jetzt starten.
14 Tage kostenlos testen.

Alle Modelle. Alle Features. Keine Kreditkarte.

Kostenlos startenWie es funktioniert

Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.

Dein KI-Arbeitsplatz wartet.