Compliance, AML und KYC
Whistleblower-Hinweis-Bearbeitung nach HinSchG
anymize entfernt Hinweisgeber-Identitäts-Bezüge (sofern bekannt), genannte Mitarbeiter, betroffene Mandanten/Kunden und IBANs aus dem Hinweistext, bevor er an GPT, Claude oder Gemini geht — und setzt sie nach der KI-Antwort wieder ein. So strukturieren Sie einen Hinweis nach HinSchG mit § 2-Anwendungsbereichs-Check und Folge-Maßnahmen-Vorschlag, ohne § 8 HinSchG-Vertraulichkeit oder § 43 KWG zu berühren.
Schwierigkeit: Spezialist · Datenklasse: Mandantendaten · Letztes Review:
Zur Orientierung gedacht. Die anwaltliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.
Sondergruppe
Höchstsensible Bearbeitung — Hinweisgeber-Identitätsschutz absolut
Hinweisgeber-Identitäten sind nach § 8 HinSchG strikt vertraulich; ein Vertraulichkeits-Bruch löst Bußgeld bis 50.000 EUR aus (§ 40 HinSchG). Public-LLM-Upload unanonymisierter Hinweistexte ist berufs- und gesetzwidrig — Pseudonymisierung ist unverhandelbar. Bei Vorstands-Verstrickung Eskalations-Linie an Aufsichtsrat (nicht Vorstand).
Anwendungsbereich
Worum geht es hier?
HinSchG verlangt für Beschäftigtenbetriebe ≥ 50 Personen interne Meldestellen mit Vertraulichkeit, Repressalien-Verbot und Bearbeitungs-Fristen. Bei Banken sind viele Hinweise compliance-/AML-relevant. Mit anymize geht der Hinweistext anonymisiert an die Frontier-KI; die KI strukturiert Sachverhalts-Zusammenfassung, § 2-Anwendungsbereichs-Check, Risiko-Indikatoren und Folge-Maßnahmen-Vorschlag. Die Hinweisgeber-Identitäts-Pflege und Vertraulichkeit bleiben Mensch-Verantwortung — höchste Priorität.
Für wen passt das?
Zielgruppe und Kontext
- Rolle
- Hinweisgeberstellen-Beauftragter, Compliance-Officer, Geschäftsleitung.
- Seniorität
- Senior — vertraulicher Hinweisgeber-Schutz.
- Kanzleigröße
- Alle Verpflichteten mit ≥ 50 Beschäftigten.
- Spezifische Kontexte
- Banken-spezifische Hinweise zu AML-Verstößen, Marktmissbrauch, Bilanzfälschung, Diskriminierung, IT-Sicherheits-Vorfällen.
Die Situation in der Kanzlei
So bringen Sie Tempo und Sorgfalt zusammen
Ein Hinweis geht ein über interne Meldestelle (Plattform, Telefon, E-Mail, persönlich). Erste Strukturierung erfordert: Inhalt verstehen, betroffene Personen/Bereiche identifizieren, Pflichtfeld-Status (HinSchG-Pflicht-Anwendungsbereich?), Empfangs-Bestätigung an Hinweisgeber binnen 7 Tagen, Rückmeldung binnen 3 Monaten. Manuell 1–3 Stunden Strukturierung. Höchstsensibel: Hinweisgeber-Identitätsschutz, Repressalien-Verbot, § 8 HinSchG Vertraulichkeit. Public-LLM-Upload eines unanonymisierten Hinweistexts ist berufs- und gesetzwidrig — Pseudonymisierung ist unverhandelbar. anymize löst diesen Konflikt: Hinweisgeber- und Mitarbeiter-Identifikatoren werden zu Platzhaltern; die KI strukturiert auf pseudonymisiertem Text.
Was Sie davon haben
Zeit, Wert, Vertraulichkeit
Zeit Erstaufnahme
30–90 Min
Größenordnung; bei komplexen AML-Insider-Hinweisen länger.
Vertraulichkeit
absolut
§ 8 HinSchG-Vertraulichkeit durch Pseudonymisierung strukturell gewahrt; LLM-Anbieter sieht nur Platzhalter.
§ 40 HinSchG-Schutz
strukturell
Bußgeld bis 50.000 EUR bei Vertraulichkeitsbruch wird durch anymize strukturell vermieden.
Repressalien-Schutz
verstärkt
§ 36 HinSchG-Beweislastumkehr-Hinweise im Output-Format.
So gehen Sie vor
In 5 Schritten zum Antrag
Hinweis-Eingang dokumentieren (Plattform-Log); Empfangs-Bestätigung an Hinweisgeber binnen 7 Tagen.
Sie
§ 17 Abs. 1 Nr. 1 HinSchG
Hinweistext sichten; Pflicht-Anwendungsbereich-Prüfung (§ 2 HinSchG: Verstöße EU-Recht/Strafrecht/Ordnungswidrigkeit).
Sie
§ 2 HinSchG
Vollständige Pseudonymisierung mit anymize: Hinweisgeber-Identität (sofern bekannt), genannte Mitarbeiter/Vorgesetzte, betroffene Mandanten/Kunden, IBANs, alle direkten Identifikatoren. Schlüssel beim Hinweisgeberstellen-Beauftragten persönlich.
anymize
§ 8 HinSchG · § 43 KWG · § 26 BDSG · DSGVO Art. 28
Pflicht-Spot-Check Mensch-zu-Mensch. Vier-Augen mit Stellvertretung.
Sie
§ 8 HinSchG-Vertraulichkeit
Frontier-KI strukturiert mit CRAFT-Prompt: Sachverhalts-Zusammenfassung max. 10 Sätze, § 2-Anwendungsbereichs-Check, Risiko-Indikator-Liste (AML/Marktmissbrauch/Diskriminierung), Folge-Maßnahmen-Vorschlag, Repressalien-Schutz-Hinweise.
GPT / Claude / Gemini in anymize
Strukturierung · vertrauliche Behandlung
Inhaltliche Plausibilitäts-Prüfung Mensch.
Sie
§ 17 HinSchG
Folge-Maßnahmen: interne Untersuchung / externe Stelle / Polizei / FIU. Rückmeldung an Hinweisgeber binnen 3 Monaten.
Sie
§ 17 Abs. 1 Nr. 2 HinSchG
Dokumentation; 3-Jahres-Aufbewahrung (§ 11 Abs. 5 HinSchG); bei AML-Bezug 5 Jahre § 50 GwG.
Sie
§ 11 HinSchG · § 50 GwG
Womit Sie arbeiten
So setzen Sie anymize konkret ein
Was anymize tut
- Erkennt Hinweisgeber- und Mitarbeiter-Identifikatoren mit über 95 %; höchstsensibel.
- Bidirektionale Anonymisierung; AVV nach Art. 28 DSGVO.
- Daten in deutschen Rechenzentren (Hetzner); für höchstsensible Inputs Self-Hosted Presidio empfohlen.
- Schlüssel-Aufbewahrung beim Hinweisgeberstellen-Beauftragten persönlich.
Was Sie als Hinweisgeberstellen-Beauftragter tun
- Empfangs-Bestätigung binnen 7 Tagen; Rückmeldung binnen 3 Monaten.
- § 2-Anwendungsbereich prüfen — bei Erfüllung greifen Vertraulichkeit, Repressalien-Schutz, § 36 HinSchG-Beweislastumkehr.
- Eskalations-Linie sorgfältig wählen — bei Vorstands-Verstrickung an Aufsichtsrat, nicht an Vorstand.
- Bei besonders sensiblen Hinweisen manuelle Bearbeitung statt KI-Verdichtung.
Daten-Input
Eingegangener Hinweistext (Plattform, Telefon-Notiz, E-Mail, persönliche Notiz), Plattform-Metadaten (IP-Bereich, Browser-Fingerprint), Hinweisgeber-Status (anonym/pseudonym/offen).
Output-Kontrolle
Re-identifizierte Sachverhalts-Zusammenfassung, § 2-Anwendungsbereichs-Check, Risiko-Indikator-Liste, Folge-Maßnahmen-Vorschlag, Repressalien-Schutz-Hinweise.
Freigabeprozess
Hinweisgeberstellen-Beauftragter persönlich; bei strafrechtlichem Bezug Vorstand (außer bei Vorstands-Verstrickung — dann Aufsichtsrat); Stellvertretung als Vier-Augen.
Die KI-Anweisung
Prompt zum Kopieren
So nutzen Sie diesen Prompt:
1. Hinweistext in anymize einfügen — Hinweisgeber, Mitarbeiter, Kunden, IBANs werden vollständig pseudonymisiert.
2. Pflicht-Spot-Check Mensch-zu-Mensch; Vier-Augen mit Stellvertretung.
3. Diesen Prompt anhängen; „Thinking-Modus“; KI-Aufruf.
4. Inhaltliche Plausibilitäts-Prüfung; Eskalations-Linie wählen (bei Vorstands-Verstrickung: Aufsichtsrat).
# Context (C)
Du unterstützt die Bearbeitung eines Hinweises an die Meldestelle eines
deutschen Kreditinstituts nach HinSchG. Rechtsstand: <heutiges Datum>.
**Sämtliche personenbezogenen Daten und Identifikatoren sind
pseudonymisiert.** Du fügst keinerlei zusätzliche Identifikatoren
hinzu und behandelst alle Platzhalter unverändert.
# Role (R)
Hinweis-Strukturierungs-Assistenz. Du kennst HinSchG (insbesondere
§§ 2, 8, 11, 17), DSGVO Art. 28, BaFin-Auslegungs- und Anwendungshinweise
GwG (Update 29.11.2024). Du verhältst dich besonders zurückhaltend bei
Aussagen, die Personen-Klarnamen identifizieren könnten.
# Action (A)
1. Sachverhalts-Zusammenfassung in max. 10 Sätzen, ohne erfundene
Details.
2. § 2 HinSchG-Anwendungsbereichs-Check: liegt ein erfasster Verstoß
vor?
3. Risiko-Indikatoren (z. B. AML-Bezug, Marktmissbrauchs-Bezug,
Diskriminierungs-Bezug).
4. Folge-Maßnahmen-Vorschlag: interne Untersuchung / externe Beratung /
Polizei / FIU.
5. Hinweis auf Repressalien-Schutz-Maßnahmen für Hinweisgeber.
6. `[VERIFY: …]` für alle nicht direkt aus Hinweistext folgenden
Aussagen.
# Format (F)
- Sachverhalts-Zusammenfassung.
- Anwendungsbereichs-Check.
- Risiko-Indikator-Liste.
- Folge-Maßnahmen-Vorschlag.
- Repressalien-Schutz-Hinweise.
# Target Audience (T)
Hinweisgeberstellen-Beauftragter. **Vertraulichkeit höchste Priorität.**
Keine erfundenen Namen, Daten, Beträge.So sieht der Sachverhalt aus
Pseudonymisierter Eingabetext
Hinweis-Eingang [[Aktenzeichen-9b3d]] am [[Datum-7f2a]]
über Hinweisgeber-Plattform
Hinweisgeber-Status: anonym (Plattform-Pseudonym [[Vorname-h-anon]])
Hinweistext (pseudonymisiert):
„Ich arbeite im AML-Team von [[Unternehmensname-219e]]. In den
letzten 6 Monaten habe ich mehrfach beobachtet, dass mein
Vorgesetzter [[Vorname-f1c6]] [[Nachname-f1c6]] Verdachts-Alerts
zu Kunde [[Vorname-e8a2]] [[Nachname-e8a2]] (mehrere strukturierte
Bareinzahlungen) immer wieder verwirft mit dem Vermerk 'Bestandskunde
plausibel', ohne dass ein Mittelherkunfts-Nachweis eingeholt wurde.
Der betreffende Kunde ist ein langjähriger Mandant der Bank und hat
persönliche Beziehung zu unserem Vorstand [[Vorname-v]] [[Nachname-v]].
Ich befürchte, dass hier eine SAR-Meldung verhindert wird. Ich möchte
anonym bleiben.“
Plattform-Metadaten: IP-Bereich DE; Browser-Fingerprint DE.So liefert anymize zurück
Der Antrags-Entwurf
## Sachverhalts-Zusammenfassung
Hinweisgeber (anonym, Plattform-Pseudonym [[Vorname-h-anon]]) berichtet
als Mitarbeiter des AML-Teams, dass über sechs Monate hinweg mehrfach
Verdachts-Alerts zu einem Bestandskunden ([[Vorname-e8a2]]
[[Nachname-e8a2]]) durch den Vorgesetzten ([[Vorname-f1c6]]
[[Nachname-f1c6]]) mit pauschaler Begründung „Bestandskunde plausibel“
verworfen wurden, ohne Mittelherkunfts-Nachweis. Der Hinweisgeber sieht
eine persönliche Beziehung des Kunden zum Vorstand ([[Vorname-v]]
[[Nachname-v]]) als möglichen Hintergrund.
## § 2 HinSchG-Anwendungsbereichs-Check
**Anwendungsbereich erfüllt.** § 2 Abs. 1 Nr. 1 HinSchG (Verstöße
gegen Vorschriften zur Bekämpfung der Geldwäsche, GwG) und § 2 Abs. 1
Nr. 5 HinSchG (Verstöße gegen Bundes- und Landesrecht) — der Vorwurf
umfasst potenzielle § 43 GwG-Pflichtverletzung (unterlassene SAR-
Meldung) [VERIFY].
## Risiko-Indikator-Liste
1. **AML-Bezug**: Pauschale Alert-Verwerfung ohne Mittelherkunfts-
Nachweis ist § 25h KWG-Pflichtverstoß-Indikator.
2. **Interessenkonflikt**: Persönliche Beziehung Kunde↔Vorstand ist
Compliance-Risiko (§ 25c KWG Geschäftsleiter-Pflichten).
3. **Möglicher Repressalien-Schutz-Bedarf**: AML-Insider-Hinweis macht
Hinweisgeber besonders verletzlich; § 36 HinSchG-Beweislastumkehr
greift.
## Folge-Maßnahmen-Vorschlag
1. **Sofort** (≤ 7 Tage): Empfangs-Bestätigung an Hinweisgeber-
Pseudonym auf Plattform; § 8 HinSchG-Vertraulichkeit dokumentieren.
2. **Interne Untersuchung** durch unabhängige Stelle (Interne Revision,
nicht direkt Compliance, wegen Verstrickungs-Verdacht).
3. **Audit der betroffenen Alert-Verwerfungen** durch IR mit
Vier-Augen.
4. **Eskalations-Linie an Aufsichtsrat** (nicht an Vorstand wegen
mutmaßlichem Interessenkonflikt).
5. Bei Bestätigung des Verdachts: SAR-Nachholung an FIU, BaFin-Anzeige
nach § 25c KWG-Verstoß.
6. **Rückmeldung** an Hinweisgeber binnen 3 Monaten ohne
Identifikation Dritter.
## Repressalien-Schutz-Maßnahmen
- Identitäts-Pseudonymisierung im gesamten Verfahren.
- Falls Hinweisgeber später identifiziert werden sollte:
§ 36 HinSchG-Beweislastumkehr; arbeitgeberseitige Maßnahmen gegen
Hinweisgeber sind verbotsbewehrt.
- Persönlicher Ansprechpartner Hinweisgeberstellen-Beauftragter,
nicht direkter Vorgesetzter.Was das Berufsrecht verlangt
Pflichten — und wie anymize sie abdeckt
§ 8 HinSchG Vertraulichkeitsschutz
Verstoß = Bußgeld bis 50.000 EUR; persönliche Haftung möglich. anymize-Pseudonymisierung ist unverhandelbar.
§ 36 HinSchG Beweislastumkehr
Bei späterer Identifikation greift Schutz; arbeitgeberseitige Maßnahmen sind verbotsbewehrt.
Public-LLM-Upload unanonymisierter Hinweise
Bruch der Vertraulichkeit; Pseudonymisierung ist gesetzlich nicht verhandelbar.
Interessenkonflikt-Eskalations-Linie
Bei Vorstands-Verstrickung Aufsichtsrat, nicht Vorstand.
7-Tage-/3-Monats-Fristen § 17 HinSchG
Werden in Aufsichts-Prüfung kontrolliert.
§ 26 BDSG Beschäftigtendatenschutz (SRC-0144)
Hinweisgeber- und genannte Mitarbeiterdaten besonders geschützt.
Halluzinations-Risiko (SRC-0158)
Erfundene Sachverhalts-Elemente bei Hinweis-Strukturierung sind nicht akzeptabel.
Datenschutz und Vertraulichkeit
So funktioniert das mit anymize
Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO i.V.m. HinSchG; Art. 9 Abs. 2 lit. b DSGVO bei besonderen Kategorien. Verarbeitung in deutschen Rechenzentren (Hetzner), AVV nach Art. 28 DSGVO. § 43 KWG bei Mandantenbezug, § 26 BDSG bei Mitarbeiterbezug, § 8 HinSchG bei Hinweisgeber-Identität. Bei höchstsensiblen Hinweisen ist Self-Hosted Presidio On-Premises die empfohlene Alternative. BaFin-Orientierungshilfe IKT/KI vom 18.12.2025 verlangt KI-Inventar.
Was anymize konkret leistet
- Erkennt Hinweisgeber- und Mitarbeiter-Identifikatoren, Kunden-Klarnamen, IBANs mit über 95 %.
- Höchstsensible Bidirektionale Anonymisierung; Schlüssel beim Hinweisgeberstellen-Beauftragten.
- Verarbeitung in deutschen Rechenzentren (Hetzner). AVV + KI-Inventar.
- Alternativen für höchstsensible Inputs: Self-Hosted Microsoft Presidio On-Premises; spezielle Hinweisgeber-Plattformen mit interner KI-Verdichtung; manuelle Bearbeitung bei sehr sensiblen Hinweisen.
Sicherheitscheck vor der Einreichung
Was anymize liefert — was Sie souverän entscheiden
Vor dem KI-Aufruf
- Hinweis-Eingang dokumentiert; Empfangs-Bestätigung gesendet?
- § 2-Anwendungsbereich vorab geprüft?
- Vollständige Pseudonymisierung — Hinweisgeber, Mitarbeiter, Kunden, IBANs?
- Pflicht-Spot-Check Mensch-zu-Mensch erfolgt?
- Vier-Augen mit Stellvertretung?
Nach der KI-Antwort
- Re-Identifikation nur intern — kein externer Versand?
- Sachverhalts-Zusammenfassung ohne erfundene Details?
- § 2-Anwendungsbereichs-Check vollständig?
- Repressalien-Schutz-Hinweise enthalten?
Vor Folge-Maßnahmen
- Eskalations-Linie sorgfältig gewählt — bei Vorstands-Verstrickung Aufsichtsrat?
- Rückmeldung an Hinweisgeber binnen 3 Monaten geplant?
- Bei strafrechtlichem Bezug externe Beratung?
- Aufbewahrung 3 Jahre § 11 HinSchG (bei AML-Bezug 5 Jahre § 50 GwG)?
Typische Fehlermuster — und wie anymize gegensteuert
- →KI erfindet Sachverhalts-Elemente, die nicht im Hinweistext stehen — bei HinSchG-Strukturierung absolut verboten.
- →KI klassifiziert pauschal „kein Verstoß“ ohne § 2-Anwendungsbereich-Check.
- →KI empfiehlt Eskalation an Vorstand bei Vorstands-Verstrickung — Aufsichtsrat ist korrekt.
- →KI macht Aussagen, die Hinweisgeber identifizieren könnten — strukturelle Zurückhaltung Pflicht.
- →KI vergisst Repressalien-Schutz-Hinweise und § 36 HinSchG-Beweislastumkehr.
Rechtsgrundlagen
Normen, Urteile, Belege
Primärnormen
- Anwendungsbereich
- Vertraulichkeitsschutz
- Dokumentation, 3 Jahre Aufbewahrung
- Fristen 7 Tage / 3 Monate
- Beweislastumkehr Repressalien
- Bußgeld bis 50.000 EUR
- AML-Sicherungsmaßnahmen (SRC-0108)
- Bankgeheimnis (SRC-0109)
- Beschäftigtenschutz (SRC-0144)
- Auftragsverarbeitung (SRC-0142)
Aufsichtspraxis
- KI-Inventar (SRC-0119)
Tool-Markt
- Hinweisgeber-Plattform
Stand: · Nächste Überprüfung:
Hinweis zur Nutzung
Zur Orientierung — nicht als Mandatsersatz
Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die anwaltliche Würdigung im Einzelfall noch eine fachanwaltliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt rechtlich zu bewerten ist, welche Anträge in Ihrem konkreten Mandat richtig sind — das bleibt selbstverständlich bei Ihnen.
KI-Outputs müssen vor jeder Verwendung anwaltlich geprüft werden. Insbesondere Urteils-Aktenzeichen, Norm-Verweise und Fristen sind gegen Primärquellen zu verifizieren. anymize gewährleistet die Vertraulichkeit der Mandantendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit des Outputs liegt in Ihrer Verantwortung.
Jetzt starten.
14 Tage kostenlos testen.
Alle Modelle. Alle Features. Keine Kreditkarte.
Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.
Dein KI-Arbeitsplatz wartet.