Interne Revision und Audit

Fraud-Investigations-Memo (Verdacht auf interne Unregelmäßigkeit)

anymize pseudonymisiert in der höchsten Sicherheits-Stufe (Vier-Augen-Modus) alle Person-Identifikatoren, Konto-Details und Transaktions-Listen, bevor das Fraud-Memo-Skelett an GPT, Claude oder Gemini geht. Der CRAFT-Prompt erzwingt konjunktivische Sprache — keine Anklage, kein Verleumdungs-Risiko, voller § 130 OWiG-Schutz.

In 30 SekundenWas anymize hier leistetIn 5 MinutenPrompt zum KopierenIn 30 MinutenVollständiger Workflow
Mit anymize startenAntrags-Beispiel ansehen

Schwierigkeit: Spezialist · Datenklasse: Mandantendaten · Letztes Review:

Zur Orientierung gedacht. Die anwaltliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.

Sondergruppe

Sondergruppe: Hochsensibler Fraud-Investigations-Workflow

Fraud-Investigations-Memos sind hochsensible Dokumente. Vor jedem KI-gestützten Drafting ist eine sorgfältige Klasse-Entscheidung mit Vier-Augen-Prinzip erforderlich. Bei Restzweifel: manueller Drafting-Modus statt LLM. Vorstands-Information vor Memo-Versand zwingend.

01

Anwendungsbereich

Worum geht es hier?

KI in der Internen Revision und Compliance-Auditierung

Fraud-Investigations gehören zu den sensibelsten Innenrevisions-Tätigkeiten. MaRisk AT 4.4 verlangt Eskalations-Strukturen bei wesentlichen Vorkommnissen; § 25c KWG fordert Anzeige bei BaFin in bestimmten Fällen. KI-gestütztes Drafting muss extrem vorsichtig sein — vorschnelle Schuld-Zuweisung ist arbeitsrechtlich, persönlichkeitsrechtlich und strafrechtlich (Verleumdung) hochriskant.

02

Für wen passt das?

Zielgruppe und Kontext

Rolle
Senior Auditor Sonderprüfung (Drafting), Forensic Auditor, Leiter Interne Revision (Letztverantwortlich), externer Forensik-Berater (bei Bedarf).
Seniorität
Senior — Forensik-Erfahrung, § 25c KWG, StGB-Bezug (Untreue § 266, Betrug § 263, Bilanzfälschung § 331 HGB), § 26 BDSG, Arbeitsrechts-Schutz.
Kanzleigröße
Alle MaRisk-pflichtigen Institute.
Spezifische Kontexte
Veruntreuungs-Verdacht, Bilanzmanipulations-Verdacht, Insider-Trading-Verdacht, Provisionen-Manipulation, Identitäts-Missbrauch.
03

Die Situation in der Kanzlei

So bringen Sie Tempo und Sorgfalt zusammen

Fraud-Investigations-Memos sind hochsensible Dokumente: vorzeitige Schuld-Zuweisung kann arbeitsrechtlich/persönlichkeitsrechtlich relevant werden; gleichzeitig muss Vorstand sofort informiert werden, um Aufsichtspflicht-Schutz (§ 130 OWiG) zu wahren. Manueller Aufwand: 8–20 h für strukturiertes Memo. Inhaltlich enthält das Memo durchgängig Personenbezüge, Konto-Details und Transaktions-Listen — Klasse A. Mehrfach-Risiko: arbeitsrechtlich, strafrechtlich (Verleumdungs-Risiko bei falscher Sprache), aufsichtsrechtlich (§ 25c KWG-Anzeige-Pflicht).

04

Was Sie davon haben

Zeit, Wert, Vertraulichkeit

Zeit pro Memo

4–10 h

Hauptwert ist Struktur-Qualität und konjunktivische Sprache — nicht Geschwindigkeit.

Sprach-Konsistenz

konjunktivisch

CRAFT-Prompt erzwingt Hinweise deuten auf …, Sachverhalt indiziert … — keine Anklage-Formulierungen.

Vertraulichkeit

Vier-Augen

anymize-Vier-Augen-Modus für Fraud-Investigations; höchste Pseudonymisierungs-Stufe.

§ 130 OWiG-Schutz

gewahrt

Vorstands-Information sofort; Aufsichtspflicht-Schutz strukturell adressiert.

05

So gehen Sie vor

In 5 Schritten zum Antrag

1

Verdachts-Hinweis erfassen; Quelle, Glaubwürdigkeit, Inhalt dokumentieren.

Sie

Methodik

2

Sofortige Vor-Information an Leiter Interne Revision; Entscheidung Sonderprüfung.

Sie

Eskalation

3

Faktensammlung: Buchungs-Detail, Transaktions-Listen, Berechtigungs-Logs, Kommunikations-Auszüge.

Sie

Substanz

4

Klasse-Entscheidung: Klasse A durchgängig; Hinweis-Inhalts-Pseudonymisierung mit besonderer Sorgfalt.

Sie

HinSchG · Persönlichkeit

5

anymize-Vier-Augen-Modus: Person-Identifikatoren strikt entfernt; situative Re-Identifizierungs-Indikatoren neutralisiert. Bei Restzweifel manueller Drafting-Modus statt LLM.

anymize + Sie

§ 26 BDSG · Persönlichkeitsrecht

6

LLM-Strukturierungs-Draft mit konjunktivischer Sprache ('Hinweise deuten auf …', 'Sachverhalt indiziert …'); keine Anklage-Formulierungen.

GPT / Claude / Gemini in anymize

Strukturierung · Verleumdungs-Schutz

7

Forensic-Review; juristische Prüfung (Arbeitsrecht, Strafrecht-Bezug); Senior + Leiter Interne Revision Sign-off.

Sie + Recht

Verteidigung

8

Sofortige Vorstands-Information; ggf. Strafanzeige-Entscheidung; ggf. § 25c-KWG-Anzeige an BaFin; ggf. Ad-hoc-Mitteilung (Insider-Bezug).

Sie

Governance

06

Womit Sie arbeiten

So setzen Sie anymize konkret ein

Was anymize tut

  • Vier-Augen-Modus: höchste Pseudonymisierungs-Stufe für Fraud-Investigations.
  • Erkennt Person-Identifikatoren, Konto-Details und Transaktions-Bezüge mit > 95 % Genauigkeit.
  • Bidirektionale Re-Identifikation pro Memo-Abschnitt kontrolliert.
  • Verarbeitung in deutschen Rechenzentren (Hetzner); AVV nach Art. 28 DSGVO mit Forensic-Annex.

Was Sie als Revision tun

  • Verdachts-Hinweis-Quelle und Glaubwürdigkeit dokumentieren.
  • Sofortige Vor-Information an Leiter Interne Revision.
  • Bei Restzweifel an Pseudonymisierungs-Qualität manuell drafting statt KI.
  • Forensic-Review, juristische Prüfung, Vorstands-Information vor Versand.

Daten-Input

Verdachts-Hinweis, Buchungs-Detail, Transaktions-Listen, Berechtigungs-Logs, Kommunikations-Auszüge, ggf. externe Forensik-Berater-Notes.

Output-Kontrolle

Pseudonymisiertes Memo-Skelett geht an die KI. Re-identifiziertes Sonderprüfungs-Memo mit konjunktivischer Sprache, Sach-Darstellung, Indizien-Bewertung und Empfehlung kommt zurück.

Freigabeprozess

Drafter → Forensic Review → Recht (intern/extern) → Senior → Leiter Interne Revision → Vorstand. Bei § 25c-KWG-Relevanz BaFin-Anzeige.

07

Die KI-Anweisung

Prompt zum Kopieren

So nutzen Sie diesen Prompt:

1. Verdachts-Hinweis, Buchungs-Detail und Transaktions-Listen in anymize-Vier-Augen-Modus einfügen.

2. Diesen Prompt anhängen; im Thinking-Modus starten.

3. Forensic-Review und juristische Prüfung vor jedem Versand.

4. Vorstands-Information vor Memo-Versand; bei § 25c-KWG-Relevanz BaFin-Anzeige.

Reasoning-Modus: Thinking-Modus. Bei höchster Sensibilität: manueller Drafting-Modus bevorzugen.
# Context (C)
Du unterstuetzt das Drafting eines Fraud-Investigations-Memos bei
Verdacht auf interne Unregelmaessigkeit in einem deutschen BaFin-
beaufsichtigten Institut. Rechtsstand: <heutiges Datum>. Eingabe ist
hochsensibel-pseudonymisiert: Person-Identifikatoren, Konto-Details,
Transaktions-Listen als [[Kategorie-Hash]].

# Role (R)
Du agierst als Sonderpruefungs-Memo-Drafting-Assistenz. Du kennst
MaRisk AT 4.4, § 25c KWG (Anzeige-Pflicht), StGB-Tatbestaende
(§ 266 Untreue, § 263 Betrug, § 331 HGB Bilanzfaelschung), HinSchG,
§ 26 BDSG, Arbeitsrechts-Schutz, Verleumdungs-Risiko (§ 187 StGB).

# Action (A)
1. Sach-Darstellung in 1–2 Absaetzen mit konjunktivischer Sprache
   ('Hinweise deuten auf ...', 'Sachverhalt indiziert ...').
2. Indizien-Auflistung neutral (was wurde beobachtet, ohne
   Bewertung).
3. Hypothesen-Skizze: legitim vs. anomal (mindestens beide Optionen).
4. Klaerungs-Bedarf-Liste: Welche Belege? Welche Interviews? Welche
   Vergleichs-Population?
5. Vorlaeufige Risiko-Einschaetzung (niedrig / mittel / hoch) mit
   2-Satz-Begruendung.
6. Empfehlung: weitere Schritte (z.B. erweiterte Stichprobe, Interview,
   Forensic-Datenanalyse).
7. "[VERIFY: ...]"-Marker bei allen Bewertungs-Aussagen.

# Format (F)
Strukturierte Abschnitte; keine Tabellen mit konkreten Anschuldigungen.

# Target Audience (T)
Leiter Interne Revision, Recht, Vorstand.

# Verbote
KEINE Anklage-Formulierungen ('Mitarbeiter X hat veruntreut').
KEINE Vorverurteilung.
KEINE konkreten Person-Klarnamen.
KEIN Bezug auf Verleumdungs-relevante Aussagen ohne Belege.
KEIN Memo ohne juristische Pruefung vor Versand.
08

So sieht der Sachverhalt aus

Pseudonymisierter Eingabetext

Verdachts-Hinweis-Korpus nach anymize-Vier-Augen-Pseudonymisierung. Person-Identifikator strikt anonymisiert.
Verdachts-Hinweis-Briefing — Vorgang [[Vorgang-a3f9]]
Eingang: 2026-04-15 über HinSchG-Kanal
Verdacht: mögliche Manipulation von Provisions-Abrechnungen

Sach-Beobachtungen:
 - 14× Round-Number-Buchung exakt 9.500 EUR in Q1/2026 durch
   [[Person-X-7e2a]] auf [[Konto-b2e7]]
 - Vergleichs-Population: Round-Number-Quote 4 % im Provisions-
   Buchungskreis; bei [[Person-X-7e2a]]: 47 %
 - Buchungs-Zeit-Verteilung: 6 von 14 Buchungen außerhalb 07:00–
   19:00 Uhr

Berechtigungs-Logs:
 - [[Person-X-7e2a]] hat Buchungs- und Stornierungs-Berechtigung
   gleichzeitig (Vier-Augen-Konfiguration nicht aktiv 2025-Q1
   wegen Vertretungs-Regelung)

Hinweis-Inhalt (HinSchG-pseudonymisiert):
 - Hinweisgeber-Inhalt indiziert wiederholte Round-Number-Buchungen
   ohne Geschäfts-Beleg; keine Anschuldigung gegen konkrete Person
09

So liefert anymize zurück

Der Antrags-Entwurf

KI-Output (Beispiel). Konjunktivische Sprache; klare Hypothesen-Paare; keine Anklage. Pflicht: juristische Prüfung vor Versand.
## Sonderprüfungs-Memo — Vorgang [[Vorgang-a3f9]] (vertraulich)

### Sach-Darstellung
Hinweise deuten auf eine atypische Häufung von Round-Number-
Buchungen im Provisions-Buchungskreis Q1/2026 hin. Im Vergleich zur
Branchen-Vergleichs-Population (Round-Number-Quote 4 %) liegt die
beobachtete Quote bei [[Person-X-7e2a]] mit 47 % deutlich erhöht;
der Sachverhalt indiziert eine prüfungs-bedürftige Auffälligkeit.

### Indizien
- 14 Buchungen exakt 9.500 EUR in Q1/2026 durch [[Person-X-7e2a]]
  auf [[Konto-b2e7]].
- Sechs Buchungen außerhalb des regulären Arbeitszeit-Fensters.
- Berechtigungs-Konfiguration mit kombinierter Buchungs- und
  Stornierungs-Befugnis (Vertretungs-Regelung Q1/2026).
- Hinweisgeber-Hinweis indiziert wiederholte Round-Number-Buchungen
  ohne Geschäfts-Beleg.

### Hypothesen
- Hypothese A (legitim): legitime Pauschal-Provisions-Verrechnung im
  Rahmen eines Sondervertrags; Vertretungs-Konfiguration als
  Ausnahme dokumentiert.
- Hypothese B (anomal): Schwellenwert-Splitting zur Umgehung eines
  Genehmigungs-Limits; ggf. Tatbestand § 266 StGB Untreue.

### Klärungs-Bedarf
- Provisions-Abrechnungs-Manual und Genehmigungs-Schwellen-Tabelle.
- Belege für die 14 Round-Number-Buchungen.
- Interview mit Vertretungs-Partner und Vorgesetztem.
- Vergleich gegen andere Provisions-Abrechner derselben Periode.

### Vorläufige Risiko-Einschätzung
**Mittel bis hoch.** [VERIFY: Schwellenwert-Splitting gegen interne
Genehmigungs-Limit-Tabelle; § 266-StGB-Tatbestands-Bezug nach
juristischer Bewertung]

### Empfehlung weitere Schritte
1. Erweiterte Stichprobe Q4/2025 + Q1/2026 alle Buchungen durch
   [[Person-X-7e2a]].
2. Interview Vertretungs-Partner.
3. Forensic-Datenanalyse über Provisions-Buchungs-Kreis.
4. Juristische Bewertung § 266-StGB-Bezug.
5. Vorstands-Information binnen 24 h.

[VERIFY: § 25c-KWG-Anzeige-Pflicht gegen aktuellen Vorstands-
Beschluss]
10

Was das Berufsrecht verlangt

Pflichten — und wie anymize sie abdeckt

§ 25c KWG — Anzeige an BaFin

Bei bestimmten Vorkommnissen Anzeige-Pflicht an BaFin. Pflicht-Konsultation Recht vor Entscheid.

§ 266 StGB Untreue / § 263 Betrug

Strafrechtliche Tatbestände — KI-Memo darf keine vorschnelle Tatbestands-Bejahung enthalten.

§ 187 StGB Verleumdung

Vorschnelle Anklage-Formulierungen können Verleumdungs-Tatbestand erfüllen. Konjunktivische Sprache zwingend.

Arbeitsrechts-Schutz

Persönlichkeits-/arbeitsrechtliche Risiken bei vorschneller Schuld-Zuweisung. HR-Konsultation vor Personalmaßnahmen.

HinSchG — Hinweisgeber-Schutz

Bei Hinweisgeber-Bezug strikte Identitäts-Schutz-Pseudonymisierung. Identitäts-Lecks sind HinSchG-Verstoß.

§ 26 BDSG (SRC-0144)

Beschäftigtendaten-Schutz; Pseudonymisierung Pflicht; Vier-Augen-Modus für Fraud-Investigations.

§ 43 KWG (SRC-0109)

Kunden-/Konten-Bezüge sind Bankgeheimnis.

11

Datenschutz und Vertraulichkeit

So funktioniert das mit anymize

Rechtsgrundlage Art. 6 Abs. 1 lit. c und lit. f DSGVO (gesetzliche Pflicht + überwiegendes berechtigtes Interesse); für Beschäftigtendaten § 26 BDSG; für Hinweisgeber HinSchG; für Kunden-Bezüge § 43 KWG. Eine DPIA nach Art. 35 DSGVO ist Pflicht. AVV nach Art. 28 DSGVO mit Forensic-Annex. Verarbeitung in deutschen Rechenzentren (Hetzner). anymize bietet einen Vier-Augen-Modus mit erweiterten Audit-Trails speziell für Fraud-Investigations.

Was anymize konkret leistet

  • Vier-Augen-Pseudonymisierungs-Modus für Fraud-Investigations.
  • Höchste Sicherheits-Stufe; strenge Person-Identifikator-Entfernung.
  • Bidirektionale Re-Identifikation pro Memo-Abschnitt kontrolliert.
  • Verarbeitung in deutschen Rechenzentren (Hetzner); AVV mit Forensic-Annex.
  • Originaldokumente werden nicht gespeichert — Zuordnung Platzhalter ↔ Klarname mit kürzester Aufbewahrungsfrist.
12

Sicherheitscheck vor der Einreichung

Was anymize liefert — was Sie souverän entscheiden

Vor dem KI-Aufruf (Pflicht)

  • Leiter-Interne-Revision-Vor-Information erfolgt?
  • Vier-Augen-Pseudonymisierung durchgeführt?
  • Bei Restzweifel: manueller Drafting-Modus statt KI?
  • DPIA nach Art. 35 DSGVO aktuell?

Nach der KI-Antwort

  • Konjunktivische Sprache durchgängig?
  • Hypothesen-Paare (legitim + anomal) enthalten?
  • Keine Anklage-Formulierungen?
  • '[VERIFY: …]'-Marker bei allen Bewertungs-Aussagen?

Vor dem Versand (Pflicht)

  • Forensic-Review?
  • Juristische Prüfung (Arbeitsrecht, Strafrecht)?
  • Leiter-Interne-Revision-Sign-off?
  • Vorstands-Information vor Versand?
  • § 25c-KWG-Anzeige-Pflicht geprüft?

Typische Fehlermuster — und wie anymize gegensteuert

  • KI formuliert Anklage (Mitarbeiter X hat veruntreut) — Verleumdungs-Risiko, Pflicht-Korrektur.
  • KI vergisst Hypothese A (legitim) und liefert nur belastende Sicht.
  • KI re-identifiziert Person-Klarnamen trotz Vier-Augen-Pseudonymisierung.
  • KI vergisst [VERIFY: …]-Marker bei strafrechtlichem Tatbestands-Bezug.
  • KI versendet Memo ohne juristische Prüfung — Pflicht-Stopp vor Versand.
13

Rechtsgrundlagen

Normen, Urteile, Belege

Aufsichtsrechtliche und strafrechtliche Klammern

  • Sonderprüfung (SRC-0115)
  • IKS-Letztverantwortung (SRC-0106)
  • Anzeige an BaFin
  • Untreue
  • Betrug
  • Bilanzfälschung
  • Verleumdung — Sprache-Hebel

Datenschutz und HinSchG

  • Beschäftigtendatenschutz (SRC-0144)
  • Bankgeheimnis (SRC-0109)
  • Hinweisgeber-Schutz
  • AVV + DPIA (SRC-0142)

Aufsichts-Praxis

  • KI-Inventar (SRC-0119)

Tool-Markt

  • Anomalie-Detection (SRC-0200)
  • Audit-Plattform (SRC-0200)
  • GenAI-Audit (SRC-0152)

Stand: · Nächste Überprüfung:

Hinweis zur Nutzung

Zur Orientierung — nicht als Mandatsersatz

Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die anwaltliche Würdigung im Einzelfall noch eine fachanwaltliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt rechtlich zu bewerten ist, welche Anträge in Ihrem konkreten Mandat richtig sind — das bleibt selbstverständlich bei Ihnen.

KI-Outputs müssen vor jeder Verwendung anwaltlich geprüft werden. Insbesondere Urteils-Aktenzeichen, Norm-Verweise und Fristen sind gegen Primärquellen zu verifizieren. anymize gewährleistet die Vertraulichkeit der Mandantendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit des Outputs liegt in Ihrer Verantwortung.

Jetzt starten.
14 Tage kostenlos testen.

Alle Modelle. Alle Features. Keine Kreditkarte.

Kostenlos startenWie es funktioniert

Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.

Dein KI-Arbeitsplatz wartet.