Risikomanagement und Treasury
Drittparteien-Risiko-Bewertung Cloud-KI-Anbieter (DORA Art. 28)
anymize ersetzt Use-Case-Material mit Mandanten-/Engagement-Bezügen vor dem KI-Aufruf. Die DORA-Art.-28-Drittparteien-Risiko-Bewertung (Kritikalität, Testate, Sub-Outsourcing, Exit-Strategie, Auslagerungs-Register-Eintrag) entsteht auf pseudonymisiertem Text — § 25b KWG strukturell adressiert.
Schwierigkeit: Spezialist · Datenklasse: Mandantendaten · Letztes Review:
Zur Orientierung gedacht. Die anwaltliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.
Anwendungsbereich
Worum geht es hier?
DORA Art. 28 verlangt aktive Drittparteien-IKT-Risiko-Bewertung. § 25b KWG und MaRisk AT 9 sind nationale Auslagerungs-Anker. BaFin-Orientierungshilfe IKT-KI stuft Cloud-KI als erhöhtes IKT-Risiko ein.
Für wen passt das?
Zielgruppe und Kontext
- Rolle
- Drittparteien-Risiko-Manager:in, IKT-Risiko-Manager:in (DORA), Auslagerungs-Beauftragte:r.
- Seniorität
- Hoch — DORA Art. 28, kritische/wichtige Funktionen, § 25b KWG, BAIT.
- Kanzleigröße
- Alle.
- Spezifische Kontexte
- Vor Vertragsabschluss Cloud-KI-Anbieter; jährliches Re-Assessment.
Die Situation in der Kanzlei
So bringen Sie Tempo und Sorgfalt zusammen
Vor Vertragsabschluss Cloud-KI ist eine vollständige Drittparteien-Risiko-Bewertung Pflicht: Kritikalitäts-Einstufung, Sicherheits-/Compliance-Nachweise (BSI C5, AIC4, ISO 27001), Sub-Outsourcing-Kette, Datenlokation, Datenschutz/AVV, Exit-Strategie, Auslagerungs-Register-Eintrag nach DORA Art. 31. Manuell 4–10 h pro Anbieter. Falsche Kritikalitäts-Einstufung = DORA-Verstoß mit Bußgeld-Risiko.
Was Sie davon haben
Zeit, Wert, Vertraulichkeit
Zeit pro Anbieter
4–10 h
DORA-Konformität
Mindest-Klauseln strukturell
Vertraulichkeit
Use-Case-Material geschützt
Erkennungsrate
>95 %
So gehen Sie vor
In 5 Schritten zum Antrag
Anbieter-Profil + Testate (BSI C5, AIC4, ISO 27001) + AVV-Entwurf + DPF-Status.
Sie
Datenbasis
anymize anonymisiert Mandanten-/Engagement-Bezüge im Use-Case-Material falls vorhanden.
anymize
§ 43 KWG
Spot-Check.
Sie
Anymize-Enabler-Map § 2.5
CRAFT-Prompt. Output: 9-Abschnitts-Bewertungsmemo (Profil, Kritikalität, Testate, Sub-Outsourcing, DSGVO, DORA-Vertrag, Exit, Auslagerungs-Register, Empfehlung).
GPT / Claude / Gemini in anymize
Schreib-Effizienz
Faktencheck: Testat-Gültigkeit, Sub-Prozessoren, Datenlokation gegen Anbieter-Dokumentation.
Sie
DORA Art. 28
Kritikalitäts-Einstufung; Exit-Strategie konkretisieren. Freigabe Auslagerungs-Komitee → Vorstand → BaFin-Anzeige bei kritischer Funktion.
Sie
§ 25a KWG · DORA
Womit Sie arbeiten
So setzen Sie anymize konkret ein
Was anymize tut
- Erkennt Use-Case-Material mit Mandanten-/Engagement-Bezügen.
- Lässt Anbieter-Profile und Testat-Scopes sichtbar (Anbieter-Daten sind Klasse B).
- Bidirektionale Anonymisierung.
Was Sie tun
- Anbieter-Testate prüfen (BSI C5, AIC4, ISO 27001).
- Kritikalitäts-Einstufung (kritische vs. wichtige Funktion) festlegen.
- Sub-Outsourcing-Kette validieren.
- Exit-Strategie konkretisieren (90-Tage-Migration, Daten-Rückführung).
Daten-Input
Anbieter-Profil, BSI C5/AIC4-Testate, ISO 27001, AVV-Entwurf, DPF-Status, Use-Case-Beschreibung, Sub-Prozessor-Liste, Vertragsentwurf mit DORA-Art.-30-Mindest-Klauseln.
Output-Kontrolle
Pseudonymisierter Datensatz an die KI. 9-Abschnitts-Bewertungsmemo.
Freigabeprozess
Auslagerungs-Komitee → Vorstand → BaFin (bei kritischer Funktion).
Die KI-Anweisung
Prompt zum Kopieren
1. Anbieter-Profil + Testate + Vertragsentwurf in anymize einfügen.
2. Use-Case-Material mit Mandantenbezug wird zu Platzhaltern.
3. Prompt anhängen; Max-Reasoning.
4. Testat-Gültigkeit gegen Anbieter-Dokumentation verifizieren.
# Context (C)
Drittparteien-Risiko-Bewertung Cloud-KI-Anbieter, deutsche Bank, DORA Art. 28
+ Art. 30 + Art. 31 + Art. 32 (Sub-Outsourcing), § 25b KWG, MaRisk AT 9,
BAIT, BaFin-Orientierungshilfe IKT-KI 18.12.2025, BSI C5/AIC4. Rechtsstand:
<heutiges Datum>. Falls Use-Case-Material mit Mandantenbezug: pseudonymisiert.
# Role (R)
Du agierst als Vendor-Risk-Reporting-Assistenz mit Kenntnis: DORA-Drittparteien-
Anforderungen, kritische/wichtige Funktionen (DORA Art. 3 Nr. 22), ICT-
Konzentrations-Risiko (Art. 29), Sub-Outsourcing-Kette (Art. 30), Auslagerungs-
Register (Art. 31), Cloud-Sicherheit BSI C5, KI-Sicherheit BSI AIC4, ISO 27001,
DSGVO Art. 28/44 ff., EU-US DPF, EBA Outsourcing Guidelines.
# Action (A)
1. Struktur:
(1) Anbieter-Profil + Use-Case.
(2) Kritikalitäts-Einstufung.
(3) Sicherheits-/Compliance-Nachweise.
(4) Datenlokation + Sub-Outsourcing-Kette.
(5) DSGVO (AVV, Drittlandtransfer).
(6) DORA-Art.-30-Vertragsentwurf-Check.
(7) Exit-Strategie.
(8) Auslagerungs-Register-Felder (DORA Art. 31).
(9) Empfehlung: Genehmigung / Ablehnung / Auflagen.
2. Nur Input-Werte; Testat-Scope konkret zitieren.
# Format (F)
Tabellen je Section.
# Target Audience (T)
Auslagerungs-Komitee; Vorstand; BaFin (bei kritischer Funktion).
# Verbote
KEINE Marketing-Aussagen über Anbieter.So sieht der Sachverhalt aus
Pseudonymisierter Eingabetext
Vendor-Risk-Assessment Anbieter [[Anbieter-9b3d]]
Anbieter-Profil:
- Anbieter [[Anbieter-9b3d]] (Cloud-LLM-API).
- Hauptsitz EU; Rechenzentrum Frankfurt + Irland.
- Sub-Prozessor 1: [[Sub-9b3d-a]] (Storage, EU).
- Sub-Prozessor 2: [[Sub-9b3d-b]] (Compute, US, DPF-zertifiziert).
Use-Case-Beschreibung:
- Risk-Reporting-Drafting für ICAAP-Sections (UC-M-FIN-015).
- Eingabe: pseudonymisierte quantitative Daten + aggregierte Methodik.
- Ausgabe: Section-Entwürfe.
Testate:
- BSI C5 Typ 1 (Anbieter, Stand [[Datum-3a8b]]).
- AIC4 (Anbieter, Stand [[Datum-3a8b]]).
- ISO 27001 (Anbieter und Sub-Prozessor 1).
- DPF (Sub-Prozessor 2, US).
AVV: Entwurf vorhanden, BaFin-Vertragsklauseln integriert.
Exit-Strategie-Entwurf: 90-Tage-Migration; Daten-Rückführung Standard-Format.
Kritikalitäts-Vorhebung:
- Use-Case unterstützt MaRisk-/SREP-relevantes Reporting.
- Ohne Anbieter ist Reporting weiter manuell möglich.
- Vorhebung: wichtige Funktion (nicht kritisch).So liefert anymize zurück
Der Antrags-Entwurf
## 1. Anbieter-Profil + Use-Case
Anbieter [[Anbieter-9b3d]] (Cloud-LLM-API) mit Hauptsitz EU und Rechenzentren in
Frankfurt + Irland. Sub-Prozessoren: [[Sub-9b3d-a]] (Storage EU) und
[[Sub-9b3d-b]] (Compute US, DPF). Use-Case: Risk-Reporting-Drafting für
ICAAP-Sections, Eingabe pseudonymisiert.
## 2. Kritikalitäts-Einstufung
| Kriterium | Bewertung |
|---|---|
| Unterstützung MaRisk-/SREP-Funktion | ja |
| Substituierbarkeit | gegeben (manuell möglich) |
| Time-to-Failure tolerierbar | ja |
| **Kritische Funktion (DORA Art. 3 Nr. 22)** | nein |
| **Wichtige Funktion** | ja |
## 3. Sicherheits-/Compliance-Nachweise
| Nachweis | Status | Bemerkung |
|---|---|---|
| BSI C5 Typ 1 | gültig | Scope umfasst Cloud-Infrastruktur |
| AIC4 | gültig | KI-Lifecycle abgedeckt |
| ISO 27001 | Anbieter + Sub-1 | Sub-2 nicht ISO, hat DPF |
| EU-US DPF | Sub-2 zertifiziert | Drittlandtransfer abgedeckt |
## 4. Datenlokation + Sub-Outsourcing
- Primär-Verarbeitung Frankfurt/Irland (EU).
- Sub-Prozessor [[Sub-9b3d-b]] in US für Compute-Bursting; nur pseudonymisierte
Daten; DPF + EU-Standardvertragsklauseln Backup.
- Sub-Outsourcing-Kette transparent dokumentiert (DORA Art. 30).
## 5. DSGVO
- AVV-Entwurf erfüllt Art. 28 DSGVO; BaFin-Klauseln integriert.
- Drittlandtransfer via DPF + SCC.
- DPIA nach Art. 35 DSGVO empfehlenswert.
## 6. DORA-Art.-30-Vertragsentwurf-Check
| Mindest-Klausel | Status |
|---|---|
| Beschreibung Funktion + SLA | erfüllt |
| Datenlokation EU | erfüllt |
| Audit-Rechte (Bank + Aufsicht) | erfüllt |
| Sub-Outsourcing-Genehmigungs-Pflicht | erfüllt |
| Kündigungsrechte | erfüllt |
| Exit-Unterstützung | erfüllt |
## 7. Exit-Strategie
- 90-Tage-Migration; Daten-Rückführung Standard-Format.
- Empfehlung: Daten-Rückführungs-Test im jährlichen Re-Assessment.
- Migrations-Alternative: bank-interner LLM-Stack als Backup.
## 8. Auslagerungs-Register-Felder
| Feld | Wert |
|---|---|
| Funktion | Risk-Reporting-Drafting |
| Kritikalität | wichtig |
| Sub-Outsourcing | 2 Sub-Prozessoren |
| Datenlokation | EU primär; US für Compute-Bursting |
| Risikoklasse | mittel |
## 9. Empfehlung
**Genehmigung mit Auflagen:**
- DPIA Art. 35 DSGVO durchführen.
- Daten-Rückführungs-Test im Q4.
- Re-Assessment jährlich.
- Eintrag im Auslagerungs-Register und BaFin-KI-Inventar.Was das Berufsrecht verlangt
Pflichten — und wie anymize sie abdeckt
DORA Art. 28 (SRC-0128)
Drittparteien-Risiko-Bewertung Pflicht.
§ 25b KWG (SRC-0107)
Auslagerungs-Anzeige.
BaFin-Orientierungshilfe IKT-KI (SRC-0119)
Cloud-KI mit erhöhter Due Diligence. BaFin-DORA-Umsetzungshinweise (SRC-0123).
EBA Outsourcing Guidelines (SRC-0132)
Mindest-Klauseln.
BSI C5 / AIC4 (SRC-0145 / SRC-0146)
Testat-Scope korrekt interpretieren.
Drittlandtransfer + Kritikalitäts-Einstufung (SRC-0142)
EU-US DPF Status laufend prüfen. Falsche Einstufung mit Folgen für Auslagerungs-Register und Aufsichtsanzeige.
Datenschutz und Vertraulichkeit
So funktioniert das mit anymize
Bei Drittparteien-Risiko-Bewertung sieht der KI-Anbieter Anbieter-Daten (Klasse B). Use-Case-Material mit Mandantenbezug wird durch anymize pseudonymisiert. Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 25a KWG. Cloud-KI als Auslagerung nach § 25b KWG / DORA Art. 28.
Alternativen
- GRC-Vendor-Risk-Plattformen (OneTrust Vendor Risk, ServiceNow GRC).
- Bank-interne KI.
- Voraussetzung: AVV, Auslagerungs-Register, KI-Inventar.
Sicherheitscheck vor der Einreichung
Was anymize liefert — was Sie souverän entscheiden
Vor dem KI-Aufruf
- Anbieter-Daten und Testate vollständig?
- Vertragsentwurf mit DORA-Mindest-Klauseln?
- Anonymisierungs-Vorschau gesichtet?
Nach der KI-Antwort
- Kritikalitäts-Einstufung belegbar?
- Testat-Scope korrekt zitiert?
- Sub-Outsourcing-Kette vollständig?
- Exit-Strategie konkret?
Vor Freigabe
- Bei kritischer Funktion: BaFin-Anzeige?
- Audit-Recht-Klausel vorhanden?
Typische Fehlermuster — und wie anymize gegensteuert
- →KI interpretiert BSI-C5-Typ-1 als Typ-2-Testat.
- →KI stuft Funktion pauschal als kritisch ohne DORA-Art.-3-Nr.-22-Bezug.
- →KI vergisst Sub-Prozessor in Sub-Outsourcing-Kette.
- →KI lässt Exit-Strategie generisch.
- →KI gibt Marketing-Aussagen zum Anbieter wieder.
Rechtsgrundlagen
Normen, Urteile, Belege
Primärnormen
- Risikomanagement
- Auslagerung
- Auslagerung
- KI-Inventar
- DORA-Auslegung
- Art. 28 Drittparteien-Risiko
- Mindest-Klauseln
- AVV
Sekundärquellen
- Cloud-Sicherheit-Testat
- KI-Sicherheits-Testat
Stand: · Nächste Überprüfung:
Hinweis zur Nutzung
Zur Orientierung — nicht als Mandatsersatz
Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die anwaltliche Würdigung im Einzelfall noch eine fachanwaltliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt rechtlich zu bewerten ist, welche Anträge in Ihrem konkreten Mandat richtig sind — das bleibt selbstverständlich bei Ihnen.
KI-Outputs müssen vor jeder Verwendung anwaltlich geprüft werden. Insbesondere Urteils-Aktenzeichen, Norm-Verweise und Fristen sind gegen Primärquellen zu verifizieren. anymize gewährleistet die Vertraulichkeit der Mandantendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit des Outputs liegt in Ihrer Verantwortung.
Jetzt starten.
14 Tage kostenlos testen.
Alle Modelle. Alle Features. Keine Kreditkarte.
Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.
Dein KI-Arbeitsplatz wartet.