Zahlungsverkehr und Operations

DORA-Geschäftsführer-Briefing Quartal

anymize hält eingebettete Vorfalls-Details und Anbieter-Identitäten aus dem Cloud-LLM heraus, während das Frontier-Modell aus den Quartals-Aggregaten ein DORA-Vorstands-Briefing drafted — Test-Programm, Vorfälle, Auslagerungs-Delta, Konzentrationsrisiko, KI-Inventar, Top-3 Maßnahmen. Keine Beschönigung.

In 30 SekundenWas anymize hier leistetIn 5 MinutenPrompt zum KopierenIn 30 MinutenVollständiger Workflow
Mit anymize startenAntrags-Beispiel ansehen

Schwierigkeit: Fortgeschritten · Datenklasse: Mandantendaten · Letztes Review:

Zur Orientierung gedacht. Die anwaltliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.

01

Anwendungsbereich

Worum geht es hier?

KI im Zahlungsverkehr, FinTech-Operations und unter DORA

DORA Art. 5 macht die Geschäftsleitung zur Letztverantwortlichen für IKT-Risikomanagement. Quartals-Briefing ist Standard; BaFin DORA-Aufsichtsmitteilung erwartet Vorstands-Befassung. Manuelle Erstellung 6–10 h. anymize beschleunigt die Aggregation der Sub-UC-Reports — eingebettete Vorfalls-Details werden pseudonymisiert.

02

Für wen passt das?

Zielgruppe und Kontext

Rolle
DORA-Beauftragter, CISO, COO, Stabsstelle Geschäftsleitung, Aufsichts-Liaison.
Seniorität
Senior — Vorstands-Berichts-Format und BaFin-Vorhalt-Bereitschaft.
Kanzleigröße
Alle DORA-pflichtigen Institute.
Spezifische Kontexte
Quartals-Vorstandssitzung, BaFin-Vor-Ort-Prüfungs-Vorbereitung, vor Jahresabschluss-Lagebericht, vor TIBER-DE-Test.
03

Die Situation in der Kanzlei

So bringen Sie Tempo und Sorgfalt zusammen

Quartals-Briefing aggregiert: Status Test-Programm (UC-V-FIN-PAY-013), Vorfalls-Übersicht (UC-V-FIN-PAY-001), Auslagerungs-Delta (UC-V-FIN-PAY-002), Konzentrationsrisiko (UC-V-FIN-PAY-004), KI-Inventar inkl. Schatten-KI (UC-V-FIN-PAY-017), Top-3 Maßnahmen. Manuelle Erstellung 6–10 h, oft mit Beschönigungs-Risiko. anymize beschleunigt — Prompt-Verbote verhindern Glättung.

04

Was Sie davon haben

Zeit, Wert, Vertraulichkeit

Zeit pro Briefing

4–8 h

Quartals-Aggregate strukturieren; Vorstands-Format einhalten. Keine Beschönigung durch Prompt-Verbot.

DORA Art. 5 Konformität

Vorstands-Befassung

Vorstands-Befassungs-Protokollierung erleichtert; alle Sub-UC-Befunde in einem Bericht.

BaFin-Vorhalt

BaFin-Format

Strukturierung folgt BaFin DORA-Aufsichtsmitteilung-Erwartungen; bei Vor-Ort-Prüfung sofort vorlagebereit.

Vertraulichkeit

B + A-Vorfalls-Details

Briefing-Aggregate sind Klasse B; eingebettete Vorfalls-Details (Klasse A) werden vorher pseudonymisiert.

05

So gehen Sie vor

In 5 Schritten zum Antrag

1

Quartals-Daten aus Sub-UCs sammeln: Test-Programm-Status, Vorfalls-Statistik, Auslagerungs-Register-Delta, Konzentrationsrisiko-Top-5, KI-Inventar-Stand. Power-BI-Dashboard-Daten zur Konsistenz-Prüfung bereithalten.

Sie + Systeme

Datenbasis

2

Klasse-Entscheidung. Briefing-Aggregate sind typisch Klasse B (Kennzahlen). Eingebettete Vorfalls-Details (z. B. konkrete Vorfälle mit Provider-Bezug) sind Klasse A → vorher pseudonymisieren.

anymize + Sie

DSGVO · § 43 KWG

3

Frontier-KI drafted. Mit dem CRAFT-Prompt fragen Sie Executive Summary (5–7 Sätze), Test-Programm-Tabelle, Vorfalls-Übersicht, Auslagerungs-Delta, Konzentrationsrisiko-Top-3, KI-Inventar-Stand und Top-3 Maßnahmen mit Owner und Frist ab.

GPT / Claude / Gemini in anymize

Strukturierung · Vorstands-Format

4

DORA-Beauftragter-Review: keine Beschönigung, alle wesentlichen Auffälligkeiten enthalten. CISO/COO-Validierung (Vier-Augen). Stabsstelle-Geschäftsleitung-Layout-Finalisierung.

Sie

Vier-Augen · DORA Art. 5

5

Vorstands-Befassung; Protokollierung der Befassung als DORA-Art.-5-Nachweis. Bei mehreren offenen Critical Findings ggf. Sonder-Vorstand.

Sie

Aufsichtsrecht

06

Womit Sie arbeiten

So setzen Sie anymize konkret ein

Was anymize tut

  • Pseudonymisiert eingebettete Vorfalls-Details (Anbieter-IDs, Vorfalls-Volumen).
  • Re-identifiziert das Briefing für die Vorstands-Verteilung.
  • Hält strikte Trennung zwischen Briefing-Aggregaten (B) und Detail-Bezügen (A).
  • Verarbeitung in deutschen Rechenzentren (Hetzner). AVV im Standardvertrag.

Was Sie als DORA-Beauftragter tun

  • Quartals-Daten aus Sub-UCs aggregieren — Inkonsistenzen vor LLM bereinigen.
  • Beschönigung verbieten — alle wesentlichen Auffälligkeiten ins Briefing.
  • Vier-Augen-Validierung mit CISO/COO vor Vorstands-Befassung.
  • DORA-Art.-5-Befassungs-Protokoll führen.

Daten-Input

Quartals-Reports aus Sub-UCs: Test-Programm (UC-V-FIN-PAY-013), Vorfalls-Statistik (UC-V-FIN-PAY-001), Auslagerungs-Delta (UC-V-FIN-PAY-002), Konzentrationsrisiko (UC-V-FIN-PAY-004), KI-Inventar (UC-V-FIN-PAY-017). Power-BI-Dashboard-Snapshot.

Output-Kontrolle

Pseudonymisierte (eingebettete A-Details) Quartals-Aggregate gehen an die KI. Re-identifiziertes Vorstands-Briefing (Executive Summary, Tabellen pro Bereich, Top-3 Maßnahmen) kommt zurück.

Freigabeprozess

Sie behalten die Hoheit: Sub-UC-Aggregation, DORA-Beauftragter-Review, CISO/COO-Vier-Augen, Vorstands-Befassung-Protokollierung. anymize ist der Anonymisierungs-Layer, kein GRC-Reporting-System.

07

Die KI-Anweisung

Prompt zum Kopieren

So nutzen Sie diesen Prompt:

1. Quartals-Aggregate aus den Sub-UCs in anymize einfügen — eingebettete Vorfalls-Details werden zu Platzhaltern.

2. Diesen Prompt kopieren und an die pseudonymisierten Daten anhängen.

3. In anymize unter „Tools → Reasoning„ auf ”Thinking-Modus„ stellen.

Empfohlener Reasoning-Modus in anymize: Thinking-Modus.
# Rolle
Du bist Vorstands-Briefing-Drafting-Assistenz mit Kenntnis DORA
Art. 5/16/17/24/28/29, BaFin DORA-Aufsichtsmitteilung, BaFin Risiken
im Fokus 2025/2026.
Rechtsstand: <heutiges Datum — bitte aktuell ermitteln und hier einsetzen>.

# Aufgabe
Drafte das Quartals-Geschäftsführer-Briefing DORA. Input: aggregierte
Quartals-Daten (Test-Programm-Status, Vorfalls-Übersicht, Auslagerungs-
Register-Delta, Konzentrationsrisiko-Top-5, KI-Inventar-Status).
Eingebettete Vorfalls-Details sind pseudonymisiert.

# Inhalt

1. Executive Summary
   5–7 Sätze: was war prägend im Quartal.

2. Status DORA-Test-Programm
   Tabelle: Test | Status | Critical Findings | Mitigation
   Plus geplante Tests Folgequartal.

3. Vorfalls-Übersicht
   Tabelle: Gesamt | Schwerwiegend (DORA) | 4h-Erstmeldungen
   fristgerecht | 72h-Zwischenberichte | 1-Monats-Abschlüsse.

4. Auslagerungs-Register-Delta
   Neueinträge, Kritikalitäts-Re-Einstufungen, Vertragsbeendigungen.

5. Konzentrationsrisiko (Top-3)
   Mit Mitigations-Stand.

6. KI-Inventar / Schatten-KI
   Erfassungs-Stand, Bereinigungs-Fortschritt, Schulungs-Quote.

7. Top-3 Maßnahmen
   Nummeriert mit Owner und Frist.

8. Unsicherheiten
   [[UNSICHER: …]]

# Format
Markdown, sachlich, ohne Beschönigung, Vorstands-Format.

# Verbote
KEINE "Glättung" oder Abrundung von Findings-Zahlen.
KEINE übersehenen Auslagerungs-Re-Einstufungen.
KEIN Schatten-KI-Status zu optimistisch.
KEINE Maßnahmen ohne klaren Owner und Frist.
08

So sieht der Sachverhalt aus

Pseudonymisierter Eingabetext

Quartals-Aggregat nach Pseudonymisierung. Anbieter- und Sub-Processor-Identitäten als Platzhalter; Zahlen und Stati in Klartext.
Quartals-Aggregat Q1/2026

Test-Programm:
 - 3 Pen-Tests durchgeführt (Online-Banking, SEPA-Instant, Kartenzahlung)
 - 8 Critical Findings; 6 mitigiert, 2 in Bearbeitung
 - 2 weitere Tests Q2 geplant (Kernbankensystem, Backoffice)

Vorfälle:
 - 47 IKT-Vorfälle gemeldet (intern)
 - Davon 3 als "schwerwiegend" klassifiziert, DORA-Meldung erstattet
 - Alle 3 fristgerecht (innerhalb 4h Erstmeldung)
 - 3 72h-Zwischenberichte; 2 1-Monats-Abschlüsse

Auslagerungsregister:
 - 12 Neueinträge
 - 2 Re-Einstufungen auf "kritisch" (Cloud-Provider Service-Erweiterung)
 - 1 Vertragsbeendigung

Konzentrationsrisiko Top-3:
 1. Cloud-Provider [[Anbieter-a3f9]] — 4 Funktionen, 3 davon kritisch
 2. Sub-Processor [[Sub-b2e7]] — bei 3 Haupt-Anbietern
 3. Kernbankensystem-Single-Vendor [[Anbieter-c4d1]]

KI-Inventar Schatten-KI:
 - 47 Items aus Operations-Inventar identifiziert (UC-V-FIN-PAY-017)
 - 12 Sperrungen umgesetzt
 - 8 Migrationen auf interne Standard-Lösung
 - Schulungs-Pflicht-Quote Operations: 73 % (Ziel 95 % Q2)
09

So liefert anymize zurück

Der Antrags-Entwurf

KI-Output (Beispiel). Anbieter- und Sub-Processor-Identitäten re-identifiziert; Findings-Zahlen unverändert übernommen; Maßnahmen mit Owner und Frist.
# DORA-Geschäftsführer-Briefing Q1/2026 — Entwurf

## Executive Summary
Q1/2026: 3 Pen-Tests durchgeführt mit 8 Critical Findings (75 %
mitigiert). 47 IKT-Vorfälle, davon 3 DORA-meldepflichtig — alle Meldungen
fristgerecht. Auslagerungsregister mit 12 Neueinträgen und 2 Re-
Einstufungen auf "kritisch" durch Service-Erweiterungen bei Cloud-
Provider [[Anbieter-a3f9]]. Konzentrationsrisiko auf Cloud-Provider
[[Anbieter-a3f9]] bleibt Top-Thema. Schatten-KI-Bereinigung Operations
zu 25 %/Sperrung + 17 %/Migration umgesetzt; Schulungs-Quote 73 %
(Ziel 95 % Q2).

## Test-Programm
| Test | Status | Critical Findings | Mitigation |
|---|---|---|---|
| Online-Banking | abgeschlossen | 3 | alle mitigiert |
| SEPA-Instant | abgeschlossen | 3 | 2 mitigiert, 1 in Bearbeitung |
| Kartenzahlung | abgeschlossen | 2 | 1 mitigiert, 1 in Bearbeitung |
| Kernbankensystem | Q2 geplant | — | — |
| Backoffice | Q2 geplant | — | — |

## Vorfalls-Übersicht
| Kategorie | Anzahl |
|---|---|
| Gesamt IKT-Vorfälle | 47 |
| Schwerwiegend (DORA) | 3 |
| 4h-Erstmeldungen fristgerecht | 3/3 |
| 72h-Zwischenberichte | 3 |
| 1-Monats-Abschlüsse | 2 (1 ausstehend) |

## Auslagerungsregister-Delta
- 12 Neueinträge (Standard-Onboarding).
- 2 Re-Einstufungen auf "kritisch" durch Service-Erweiterungen
  (Cloud-Provider [[Anbieter-a3f9]]).
- 1 Vertragsbeendigung.

## Konzentrationsrisiko (Top-3)
1. **Cloud-Provider [[Anbieter-a3f9]]**: 4 Funktionen, 3 kritisch.
   Multi-SOC-Strategie in Planung.
2. **Sub-Processor [[Sub-b2e7]]**: bei 3 Haupt-Anbietern —
   Diversifizierung in Folge-Verträgen.
3. **Kernbankensystem-Single-Vendor [[Anbieter-c4d1]]**: keine vorab-
   evaluierte Alternative; Strategie-Workshop Q2.

## KI-Inventar / Schatten-KI
Operations-Inventar (UC-V-FIN-PAY-017): 47 Items identifiziert;
12 gesperrt, 8 migriert. Schulungs-Quote 73 % (Ziel 95 % Q2). Restliche
Items bis Q3 abgearbeitet.

## Top-3 Maßnahmen
1. **Mitigation 2 offene Critical Findings (SEPA-Instant + Kartenzahlung)**
   — Owner: CISO, Frist: 2026-06-30.
2. **Multi-SOC-Strategie für Cloud-Provider [[Anbieter-a3f9]]
   Konzentrations-Mitigation** — Owner: DORA-Beauftragter + IT-Leitung,
   Frist: 2026-09-30.
3. **Schulungs-Quote Operations auf 95 %** — Owner: HR + AI-Governance,
   Frist: 2026-06-30.

## Unsicherheiten
Keine — Quartals-Aggregat-Daten basieren auf gepflegten Systemen.
10

Was das Berufsrecht verlangt

Pflichten — und wie anymize sie abdeckt

DORA Art. 5 (SRC-0128)

Geschäftsleitungs-Letztverantwortung; Quartals-Befassung Pflicht. Befassungs-Protokollierung Beweis für BaFin.

§ 25a KWG (SRC-0106)

Geschäftsleitungs-Pflichten für IT-Risikomanagement; Quartals-Briefing erfüllt die Berichts-Pflicht.

BaFin DORA-Aufsichtsmitteilung (SRC-0123)

Vorstands-Befassung erwartet; Briefing-Format muss alle wesentlichen Auffälligkeiten enthalten — Beschönigung ist aufsichtsrechtlich problematisch.

BaFin Risiken im Fokus 2025/2026 (SRC-0124, SRC-0125)

Vorstand muss KI-Grundlagen verstehen; das Briefing muss Agentic-AI-Risiken und Schatten-KI-Status für Vorstand vermitteln.

BaFin Orientierungshilfe IKT-Risiken KI (SRC-0119)

Schatten-KI im Briefing adressieren — sonst greift es zu kurz.

§ 25b KWG (SRC-0107)

Auslagerungs-Status (Neueinträge, Re-Einstufungen) ins Briefing — Vorstands-Kenntnis Pflicht.

11

Datenschutz und Vertraulichkeit

So funktioniert das mit anymize

Briefing-Aggregate sind typisch Klasse B (Kennzahlen ohne Kundenbezug). Eingebettete Vorfalls-Details (z. B. konkrete Provider-Bezüge bei Kritikalitäts-Re-Einstufung) können Klasse A enthalten — anymize pseudonymisiert vorher. Verarbeitung in deutschen Rechenzentren (Hetzner), AVV nach Art. 28 DSGVO und § 25b KWG. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (DORA-Pflicht).

Was anymize konkret leistet

  • Pseudonymisiert eingebettete Vorfalls-Details und Anbieter-Identitäten.
  • Re-identifiziert das Briefing für die Vorstands-Verteilung.
  • Strikte Trennung zwischen Aggregaten (B) und Detail-Bezügen (A).
  • Verarbeitung in deutschen Rechenzentren (Hetzner). AVV im Standardvertrag.
  • Zuordnungstabelle bleibt im Haus.
12

Sicherheitscheck vor der Einreichung

Was anymize liefert — was Sie souverän entscheiden

Vor dem KI-Aufruf

  • Quartals-Daten aus Sub-UCs vollständig?
  • Eingebettete Vorfalls-Details pseudonymisiert?
  • Power-BI-Dashboard zur Konsistenz-Prüfung?
  • Sub-UC-Inkonsistenzen vorab bereinigt?
  • Klasse-Entscheidung B (mit A-Details)?

Nach der KI-Antwort

  • Zahlen-Konsistenz mit Power-BI-Dashboards?
  • Keine Beschönigung — alle Findings enthalten?
  • Auslagerungs-Re-Einstufungen vollständig?
  • Maßnahmen mit Owner und Frist?
  • Schatten-KI-Status realistisch?

Vor Vorstands-Befassung

  • DORA-Beauftragter-Review?
  • CISO/COO-Vier-Augen?
  • Stabsstelle-Geschäftsleitung-Layout?
  • DORA-Art.-5-Befassungs-Protokoll vorbereitet?
  • Bei Sonder-Befunden Sonder-Vorstand?

Typische Fehlermuster — und wie anymize gegensteuert

  • KI „rundet” Findings-Zahlen ab — Prompt-Verbot greift.
  • Auslagerungs-Re-Einstufungen vergessen — manueller Vollständigkeits-Check.
  • Schatten-KI-Status zu optimistisch — Schulungs-Quote ehrlich angeben.
  • Top-3-Maßnahmen ohne klaren Owner und Frist — Prompt-Auflage.
  • Beschönigte Sprache („Herausforderungen” statt ”Findings”) — Sachlichkeit Pflicht.
13

Rechtsgrundlagen

Normen, Urteile, Belege

Primärnormen Aufsichtsrecht

  • § 25a KWG
  • § 25b KWG
  • DORA Art. 5/16/17/24/28/29
  • DSGVO Art. 28

BaFin

  • BaFin Orientierungshilfe IKT-Risiken KI 18.12.2025
  • BaFin DORA-Aufsichtsmitteilung 08.07.2024
  • BaFin Risiken im Fokus 2025
  • BaFin Risiken im Fokus 2026

Sekundärquellen

  • PwC KI-Finanzsektor 2025

Stand: · Nächste Überprüfung:

Hinweis zur Nutzung

Zur Orientierung — nicht als Mandatsersatz

Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die anwaltliche Würdigung im Einzelfall noch eine fachanwaltliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt rechtlich zu bewerten ist, welche Anträge in Ihrem konkreten Mandat richtig sind — das bleibt selbstverständlich bei Ihnen.

KI-Outputs müssen vor jeder Verwendung anwaltlich geprüft werden. Insbesondere Urteils-Aktenzeichen, Norm-Verweise und Fristen sind gegen Primärquellen zu verifizieren. anymize gewährleistet die Vertraulichkeit der Mandantendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit des Outputs liegt in Ihrer Verantwortung.

Jetzt starten.
14 Tage kostenlos testen.

Alle Modelle. Alle Features. Keine Kreditkarte.

Kostenlos startenWie es funktioniert

Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.

Dein KI-Arbeitsplatz wartet.