Interne Revision und Audit

Anti-Bribery-Audit-Section ISO 37001

anymize pseudonymisiert Geschäftspartner-Namen, Mitarbeiter-Funktionen und Provisions-Empfänger, bevor der ABC-Audit-Korpus an GPT, Claude oder Gemini geht. So entsteht eine ISO-37001-/§-299-StGB-konforme ABC-Section ohne § 26 BDSG-, NDA- oder Verleumdungs-Risiken.

In 30 SekundenWas anymize hier leistetIn 5 MinutenPrompt zum KopierenIn 30 MinutenVollständiger Workflow
Mit anymize startenAntrags-Beispiel ansehen

Schwierigkeit: Spezialist · Datenklasse: Mandantendaten · Letztes Review:

Zur Orientierung gedacht. Die anwaltliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.

01

Anwendungsbereich

Worum geht es hier?

KI in der Internen Revision und Compliance-Auditierung

Anti-Bribery (ABC) ist Teil des CMS; ISO 37001 ist der internationale Anti-Bribery-Standard. Bei Banken mit internationalem Geschäft (Korrespondenzbanken, M&A-Beratung) sind ABC-Audits Pflicht-Bestandteil. § 299 ff. StGB und § 130 OWiG bilden die deutsche Klammer; bei UK-/US-Geschäft kommen UKBA und FCPA hinzu.

02

Für wen passt das?

Zielgruppe und Kontext

Rolle
Compliance-Auditor (Drafting), Anti-Bribery-Officer (Kooperation), Senior Auditor (Methodik).
Seniorität
Senior — ISO 37001, § 299 ff. StGB, § 130 OWiG, UKBA bei UK-Geschäft, FCPA bei US-Bezug.
Kanzleigröße
Mittel bis groß; insbesondere mit internationalem Geschäft.
Spezifische Kontexte
Geschenke-/Bewirtungs-Register, Provisions-/Vermittlungs-Vereinbarungen, Korrespondenzbanken, M&A-Vermittlungs-Provisionen, Third-Party-Due-Diligence.
03

Die Situation in der Kanzlei

So bringen Sie Tempo und Sorgfalt zusammen

Eine ABC-Audit-Section umfasst typisch: Risiko-Bewertung pro Geschäftsfeld, Geschenke-/Bewirtungs-Register-Stichprobe, Third-Party-Due-Diligence-Tests, Schulungs-Status, Hinweisgeber-Eingänge mit ABC-Bezug, Sanktions-Anwendungen. Manueller Aufwand: 15–30 h. Inhaltlich Klasse A (Mitarbeiter-Bezüge, Mandanten-/Geschäftspartner-Bezüge). ABC-Compliance ist hochsensibel — Schaden bei Verstoß potenziell millionenfach. Falsche Bewertung kann § 130 OWiG-Schutz aushebeln.

04

Was Sie davon haben

Zeit, Wert, Vertraulichkeit

Zeit pro ABC-Section

5–10 h

Pro Audit-Section bei jährlicher ISO-37001-Re-Zertifizierungs-Begleitung.

Internationaler Bezug

DE/UK/US

CRAFT-Prompt prüft systematisch § 299 StGB / UKBA / FCPA-Konformität bei internationalem Geschäft.

Vertraulichkeit

strukturell

anymize pseudonymisiert Geschäftspartner-Namen, Mitarbeiter-Funktionen und Provisions-Empfänger.

§ 130 OWiG-Schutz

gewahrt

Konservative Sprache; menschliche Verifikation jeder Verstoß-Aussage.

05

So gehen Sie vor

In 5 Schritten zum Antrag

1

ABC-Risiko-Inventar je Geschäftsfeld; ISO-37001-Konformitäts-Status.

Sie

Methodik

2

Stichprobe Geschenke-/Bewirtungs-Register; Third-Party-DD-Akten; Provisions-Verträge.

Sie

Substanz

3

Klasse-Entscheidung: Geschäftspartner-/Mitarbeiter-Bezüge = Klasse A.

Sie

Datenschutz

4

anymize pseudonymisiert Geschäftspartner-Namen, Mitarbeiter-Funktionen und Provisions-Empfänger.

anymize

§ 26 BDSG · § 43 KWG

5

LLM-Draft ABC-Section mit ISO-37001-Logik und § 299-StGB-Bezug.

GPT / Claude / Gemini in anymize

Strukturierung

6

Anti-Bribery-Officer-Review; Faktencheck Verstoß-Aussagen; bei UK-/US-Bezug UKBA-/FCPA-Konformitäts-Check.

Sie

Aufsichts-Substanz

7

Compliance-Office-Integration in CMS-Bericht IDW PS 980.

Sie

Governance

06

Womit Sie arbeiten

So setzen Sie anymize konkret ein

Was anymize tut

  • Pseudonymisiert Geschäftspartner-Namen, Mitarbeiter-Funktionen und Provisions-Empfänger konsistent.
  • Bidirektionale Re-Identifikation pro Audit-Element.
  • Verarbeitung in deutschen Rechenzentren (Hetzner); AVV nach Art. 28 DSGVO.
  • Konsistente Pseudonymisierung über die ABC-Audit-Section.

Was Sie als Revision tun

  • ABC-Risiko-Inventar je Geschäftsfeld pflegen.
  • Stichproben aus Geschenke-/Bewirtungs-Register und Third-Party-DD-Akten ziehen.
  • Bei UK-/US-Bezug: UKBA-/FCPA-Konformitäts-Check.
  • Anti-Bribery-Officer-Review; Compliance-Office-Integration.

Daten-Input

ABC-Risiko-Inventar, Geschenke-/Bewirtungs-Register-Stichprobe, Third-Party-DD-Akten, Provisions-Vereinbarungen, Schulungs-Status, Hinweisgeber-Eingänge mit ABC-Bezug, Vorperiode-ABC-Audit.

Output-Kontrolle

Pseudonymisierter Korpus geht an die KI. Re-identifizierte ABC-Section mit Risiko-Bewertung, Stichproben-Resultaten, Findings und Empfehlungen kommt zurück.

Freigabeprozess

Compliance-Auditor → Anti-Bribery-Officer → Leiter Interne Revision.

07

Die KI-Anweisung

Prompt zum Kopieren

So nutzen Sie diesen Prompt:

1. ABC-Audit-Korpus in anymize einfügen.

2. Diesen Prompt anhängen; im Thinking-Modus starten.

3. Anti-Bribery-Officer-Review; bei UK-/US-Bezug UKBA-/FCPA-Konformitäts-Check.

4. Compliance-Office-Integration in CMS-Bericht.

Reasoning-Modus: Thinking-Modus. Bei UK-/US-Geschäftsbezug Max-Modus für UKBA-/FCPA-Tiefe.
# Context (C)
Du unterstuetzt die Erstellung einer Anti-Bribery-Audit-Section nach
ISO 37001 in einem deutschen BaFin-beaufsichtigten Institut mit
internationalem Geschaeft. Rechtsstand: <heutiges Datum>. Eingabe
ist pseudonymisiert: Geschaeftspartner-Namen, Mitarbeiter-Funktionen,
Provisions-Empfaenger als [[Kategorie-Hash]].

# Role (R)
Du agierst als ABC-Audit-Drafting-Assistenz. Du kennst ISO 37001,
§ 299 ff. StGB (Bestechlichkeit/Bestechung im geschaeftlichen
Verkehr), § 130 OWiG (Aufsichtspflicht), UKBA (UK Bribery Act),
FCPA (US Foreign Corrupt Practices Act).

# Action (A)
1. ABC-Risiko-Bewertung je Geschaeftsfeld (1–3 Saetze).
2. Geschenke-/Bewirtungs-Register-Stichproben-Ergebnis.
3. Third-Party-Due-Diligence-Test-Ergebnisse.
4. Schulungs-Status quantitativ.
5. Findings-Tabelle | ID | Schwere | Befund | Empfehlung |.
6. Bei UK-/US-Geschaeftsbezug: UKBA-/FCPA-Konformitaets-Bewertung.
7. "[VERIFY: ...]"-Marker fuer Verstoss-Aussagen.
8. Konservative Sprache — keine Anklage-Formulierungen.

# Format (F)
Strukturierte Abschnitte; Tabellen.

# Target Audience (T)
Anti-Bribery-Officer, Leiter Interne Revision, Vorstand.

# Verbote
KEINE Verstoss-Aussage ohne "[VERIFY: ...]"-Markierung.
KEIN konkreter Geschaeftspartner-Klarname.
KEINE Anklage-Formulierung gegen Mitarbeitende.
08

So sieht der Sachverhalt aus

Pseudonymisierter Eingabetext

ABC-Audit-Korpus nach anymize-Anonymisierung.
ABC-Audit-Section 2026 — Geschäftsfeld M&A-Beratung

ABC-Risiko-Bewertung:
 - M&A-Vermittlung: hoch (Provisions-Strukturen, internationale
   Geschäftspartner)
 - Korrespondenzbanken: mittel
 - Privatkundenvermittlung: niedrig

Stichprobe Geschenke-/Bewirtungs-Register Q1–Q3/2025:
 - 1.247 Einträge gesamt
 - 38 stichprobenartig geprüft
 - 3 Auffälligkeiten:
   - Hospitality über 250 EUR an [[Geschaeftspartner-a3f9]] ohne
     dokumentierte Anlass-Begründung
   - 2 Geschenke an [[Mitarbeiter-7e2a]] vom Geschäftspartner
     [[Geschaeftspartner-b2e7]] über 50-EUR-Schwelle

Third-Party-Due-Diligence:
 - 5 neue M&A-Vermittler 2025 onboarded; alle DD-Pakete vorhanden;
   1 Provider mit roten Flaggen ([[Provider-c4d1]] — Sanktions-
   Listen-Treffer, aber: Negativ-Verifikation; Onboarding mit
   Vorstands-Sign-off durchgeführt)

Schulungs-Status:
 - ABC-Pflichtschulung 2025: 96 % (Soll 100 %)
 - 4 Mitarbeitende ([[Mitarbeiter-d5f3]], [[Mitarbeiter-e8a2]],
   [[Mitarbeiter-f1c6]], [[Mitarbeiter-219e]]) haben wiederholt
   nicht teilgenommen
09

So liefert anymize zurück

Der Antrags-Entwurf

KI-Output (Beispiel). Konservative Sprache; keine Anklage-Formulierungen.
## Anti-Bribery-Management-System (ABC) — Audit-Section

### Risiko-Bewertung je Geschäftsfeld
| Geschäftsfeld | Risiko | Begründung |
|---|---|---|
| M&A-Vermittlung | hoch | Provisions-Strukturen; internationale Geschäftspartner |
| Korrespondenzbanken | mittel | KYC-/CDD-Standard; reduziertes Vorortrisiko |
| Privatkundenvermittlung | niedrig | Standard-Provisions-Strukturen |

### Geschenke-/Bewirtungs-Register-Stichprobe Q1–Q3/2025
38 von 1.247 Einträgen stichprobenartig geprüft; drei Auffälligkeiten:
- Hospitality > 250 EUR an [[Geschaeftspartner-a3f9]] ohne
  dokumentierte Anlass-Begründung — Methodik-Lücke; [VERIFY: gegen
  ABC-Manual Schwelle und Begründungs-Pflicht]
- Zwei Geschenke an [[Mitarbeiter-7e2a]] vom Geschäftspartner
  [[Geschaeftspartner-b2e7]] über 50-EUR-Schwelle — gegen interne
  Schwelle; arbeitsrechtliche Würdigung empfohlen.

### Third-Party-Due-Diligence
Fünf neue M&A-Vermittler 2025 onboarded; alle DD-Pakete vollständig.
Ein Provider [[Provider-c4d1]] mit Sanktions-Listen-Treffer (Negativ-
Verifikation; Onboarding mit Vorstands-Sign-off durchgeführt) —
methodisch nachvollziehbar dokumentiert.

### Schulungs-Status
ABC-Pflichtschulung 2025: 96 % (Soll 100 %). Vier Mitarbeitende
haben wiederholt nicht teilgenommen; arbeitsrechtliche Konsequenz
prüfen.

### Findings
| ID | Schwere | Befund | Empfehlung |
|---|---|---|---|
| F-ABC-2026-001 | mittel | Hospitality > 250 EUR ohne Anlass-Begründung | Workflow-Pflicht-Feld 'Anlass-Begründung'; Verantw. Compliance; Frist 30.06.2026 |
| F-ABC-2026-002 | mittel | Geschenke > 50 EUR an Mitarbeiter — gegen interne Schwelle | Eskalations-Workflow bei Schwellen-Überschreitung; arbeitsrechtliche Würdigung; Frist 30.06.2026 |
| F-ABC-2026-003 | niedrig | Schulungs-Quote 96 % statt 100 % | Eskalations-Workflow wiederholt versäumte Schulung; Frist Q3/2026 |

### UKBA-/FCPA-Konformität
[VERIFY: Internationaler Geschäftsbezug zu UK-/US-Counterparts in
Stichproben-Population — UKBA/FCPA-spezifische Risiko-Bewertung
empfohlen]
10

Was das Berufsrecht verlangt

Pflichten — und wie anymize sie abdeckt

ISO 37001

Anti-Bribery-Management-System-Standard; Zertifizierungs-Pflicht-Elemente.

§ 299 ff. StGB

Bestechlichkeit/Bestechung im geschäftlichen Verkehr; strafrechtliche Pflicht-Klammer.

§ 130 OWiG

Aufsichtspflicht der Geschäftsleitung; ABC-CMS schützt vor Bußgeld.

UKBA

UK Bribery Act bei UK-Geschäftsbezug; weiter als deutsches Recht (Facilitation Payments verboten).

FCPA

US Foreign Corrupt Practices Act bei US-Geschäftsbezug; auch deutsche Tochtergesellschaften betroffen.

§ 26 BDSG (SRC-0144)

Mitarbeiter-Bezüge in Geschenke-Register-Befunden sind Beschäftigtendaten.

§ 43 KWG (SRC-0109)

Geschäftspartner-Bezüge können Bankgeheimnis berühren.

11

Datenschutz und Vertraulichkeit

So funktioniert das mit anymize

Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 130 OWiG und § 25a KWG; für Mitarbeiterdaten § 26 BDSG. Bei internationalen Geschäftspartnern Schrems-II-TIA bei Drittland-Transfer prüfen. AVV nach Art. 28 DSGVO Standard.

Was anymize konkret leistet

  • Pseudonymisiert Geschäftspartner-Namen, Mitarbeiter-Funktionen und Provisions-Empfänger.
  • Bidirektionale Re-Identifikation pro Audit-Element.
  • Verarbeitung in deutschen Rechenzentren (Hetzner); AVV im Standardvertrag.
  • Konsistente Pseudonymisierung über ABC-Audit-Sections.
12

Sicherheitscheck vor der Einreichung

Was anymize liefert — was Sie souverän entscheiden

Vor dem KI-Aufruf

  • ABC-Risiko-Inventar aktuell?
  • Stichprobe nach Materialitäts-Schwelle gezogen?
  • Bei UK-/US-Geschäft: UKBA-/FCPA-Bezug markiert?

Nach der KI-Antwort

  • § 299-StGB-Bezug bei Verstoß-Aussagen korrekt?
  • Konservative Sprache (keine Anklage)?
  • '[VERIFY: …]'-Marker bei jeder Verstoß-Aussage?

Vor der Integration

  • Anti-Bribery-Officer-Review?
  • Compliance-Office-Integration in CMS-Bericht IDW PS 980?
  • Bei vermutetem Verstoß: Strafanzeige-Entscheidung Vorstand?

Typische Fehlermuster — und wie anymize gegensteuert

  • KI formuliert Anklage gegen Mitarbeitende — Verleumdungs-Risiko, Persönlichkeits-Risiko.
  • KI vergisst UKBA-/FCPA-Konformitäts-Check bei internationalem Geschäft.
  • KI halluziniert ISO-37001-Klausel-Nummer.
  • KI klassifiziert Hospitality > 250 EUR ohne Bezug auf interne Schwelle.
  • KI verzichtet auf [VERIFY: …]-Marker.
13

Rechtsgrundlagen

Normen, Urteile, Belege

ABC-Standards und Strafrecht

  • Anti-Bribery-Management-System
  • Bestechlichkeit/Bestechung im geschäftlichen Verkehr
  • Aufsichtspflicht der Geschäftsleitung
  • UK Bribery Act
  • US Foreign Corrupt Practices Act

Aufsichtsrechtliche Klammer

  • Innenrevision (SRC-0115)
  • IKS-Letztverantwortung (SRC-0106)
  • CMS-Berichts-Klammer

Datenschutz

  • Beschäftigtendatenschutz (SRC-0144)
  • Bankgeheimnis (SRC-0109)
  • AVV (SRC-0142)
  • KI-Inventar (SRC-0119)

Tool-Markt

  • Audit-Plattform (SRC-0200)
  • GRC-Integration
  • GenAI Top-3 (SRC-0152)

Stand: · Nächste Überprüfung:

Hinweis zur Nutzung

Zur Orientierung — nicht als Mandatsersatz

Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die anwaltliche Würdigung im Einzelfall noch eine fachanwaltliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt rechtlich zu bewerten ist, welche Anträge in Ihrem konkreten Mandat richtig sind — das bleibt selbstverständlich bei Ihnen.

KI-Outputs müssen vor jeder Verwendung anwaltlich geprüft werden. Insbesondere Urteils-Aktenzeichen, Norm-Verweise und Fristen sind gegen Primärquellen zu verifizieren. anymize gewährleistet die Vertraulichkeit der Mandantendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit des Outputs liegt in Ihrer Verantwortung.

Jetzt starten.
14 Tage kostenlos testen.

Alle Modelle. Alle Features. Keine Kreditkarte.

Kostenlos startenWie es funktioniert

Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.

Dein KI-Arbeitsplatz wartet.