Zahlungsverkehr und Operations

DORA-Konzentrationsrisiko-Analyse Cloud-Anbieter

anymize hält Anbieter- und Sub-Processor-Identitäten in pseudonymisierter Form aus dem Cloud-LLM heraus, während das Frontier-Modell das Auslagerungs-Register zu Konzentrationsrisiko-Clustern nach DORA Art. 29 aggregiert. Der Vorstandsbericht entsteht in Stunden statt Personentagen — Bewertung und Mitigations-Entscheidung bleiben menschlich.

In 30 SekundenWas anymize hier leistetIn 5 MinutenPrompt zum KopierenIn 30 MinutenVollständiger Workflow
Mit anymize startenAntrags-Beispiel ansehen

Schwierigkeit: Spezialist · Datenklasse: Mandantendaten · Letztes Review:

Zur Orientierung gedacht. Die anwaltliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.

01

Anwendungsbereich

Worum geht es hier?

KI im Zahlungsverkehr, FinTech-Operations und unter DORA

DORA Art. 29 verlangt eine systematische Analyse, ob das Institut auf einzelne IKT-Anbieter oder Sub-Processor-Cluster unverhältnismäßig angewiesen ist. Das Auslagerungs-Register mit 80–250 Einträgen muss nach Anbieter, Funktion, Sub-Processor und Region geclustert werden. Single-Vendor-Risiken (z. B. „Microsoft für E-Mail, Hosting, SOC und LLM“) sind explizit zu identifizieren. Manuelle Analyse 12–20 Personentage. anymize beschleunigt die Aggregation; die Bewertung bleibt Vorstandssache.

02

Für wen passt das?

Zielgruppe und Kontext

Rolle
DORA-Beauftragter, Auslagerungsbeauftragter, ICT Risk Officer, Treasurer (RTO-/RPO-Aspekte), Vorstand IT/Risk.
Seniorität
Senior — Konzentrationsrisiko wird auf Vorstandsebene berichtet und ist BaFin-Vorhalt-Thema.
Kanzleigröße
Alle DORA-Institute. Sparkassen/Volksbanken haben Verbund-Konzentration auf FI/atruvia; Großbanken oft Multi-Cloud aber Microsoft-dominiert.
Spezifische Kontexte
Jahres-Review, vor wesentlicher Vertragsänderung, vor Vorstandsbericht, vor BaFin-Vor-Ort-Prüfung, bei Provider-Akquisitionen (Konsolidierungsfälle).
03

Die Situation in der Kanzlei

So bringen Sie Tempo und Sorgfalt zusammen

DORA Art. 29 verlangt eine systematische Konzentrationsrisiko-Analyse: Single-Vendor-Konzentration, geografische Konzentration, Sub-Processor-Konzentration über mehrere Haupt-Anbieter, Funktions-Konzentration mit Single-Point-of-Failure. Manuelle Analyse über das Auslagerungs-Register (typisch 80–250 Einträge) kostet 12–20 Personentage. Wer das Register direkt in ChatGPT lädt, gibt einem Cloud-Anbieter den vollen Überblick über die eigene Provider-Landschaft preis. anymize pseudonymisiert Anbieter- und Sub-Processor-Identitäten vor dem LLM-Transfer; die KI erkennt die Cluster trotzdem (mehrere Funktionen bei derselben Pseudonym-Gruppe), Sie sehen am Ende den re-identifizierten Bericht mit den richtigen Anbieter-Namen.

04

Was Sie davon haben

Zeit, Wert, Vertraulichkeit

Zeit pro Jahresanalyse

6–10 h

KI aggregiert Register-Export nach Anbieter, Sub-Processor, Region und Funktion. Bewertung und Mitigationsplan bleiben menschlich.

Vorstands-Bereitschaft

Top-5 strukturiert

Single-Vendor-Cluster, Sub-Processor-Cluster, Funktions-SPOFs werden in Tabellen mit Mitigationsvorschlägen aufbereitet.

Vertraulichkeit

Anbieter pseudonymisiert

Cloud-KI sieht keine Anbieter-Namen oder Sub-Processor-Identitäten — Cluster werden über Pseudonyme erkannt.

BaFin-Vorhalt

BaFin-Format

Bericht in einer Struktur, die DORA-Aufsichtsmitteilung-Erwartungen erfüllt — Register-Lücken werden explizit markiert.

05

So gehen Sie vor

In 5 Schritten zum Antrag

1

Register-Export aus ServiceNow GRC, Workiva oder Excel-Master laden. Daten-Bereinigung: Anbieter-Namen harmonisieren („MS Azure“ vs. ”Microsoft Azure“ vs. „Azure“). Vollständigkeits-Check (Anzahl Register-Einträge vs. Anzahl Verträge im DMS).

Sie

Saubere Aggregation

2

anymize pseudonymisiert. Anbieter- und Sub-Processor-Namen werden zu Platzhalter-Gruppen ([[Anbieter-A]], [[Sub-X]] …) — die Cluster-Struktur bleibt erkennbar, weil derselbe Anbieter bei mehreren Funktionen denselben Platzhalter bekommt. Vertragsdaten ohne Personenbezug bleiben Klasse B.

anymize

Vertraulichkeit Anbieter-Landschaft

3

Frontier-KI aggregiert. Das pseudonymisierte Register geht an Ihr gewähltes Modell. Mit dem CRAFT-Prompt fragen Sie eine vierfache Cluster-Analyse ab: Single-Vendor (Top-10 nach Anzahl Funktionen), geografische Konzentration (EU/US/Drittländer), Sub-Processor-Cluster (welcher Sub bei mehreren Haupt-Anbietern), Funktions-Konzentration (Single-Point-of-Failure-Marker).

GPT / Claude / Gemini in anymize

Strukturierung in Vorstands-Format

4

anymize re-identifiziert. Sie erhalten Cluster-Tabellen mit den richtigen Anbieter-Namen, Sub-Processor-Identitäten und Regionen. Top-5 Risiko-Cluster mit Mitigationsvorschlägen (Multi-Cloud, Standby-Vertrag, Sub-Processor-Diversifikation). Substitutions-Pfade manuell prüfen.

anymize + Sie

Bewertung · DORA Art. 29

5

Bewertung kritischer Cluster manuell durch DORA-Beauftragten — die KI bewertet nicht („Konzentrationsrisiko akzeptabel“), das ist Vorstandsentscheidung. Vorstands-Bericht-Vorschlag mit Top-5 Konzentrationsrisiken und Mitigationsplan. Vorstands-Befassung und BaFin-Vorhalt-Bereitschaft.

Sie

Letztverantwortung Geschäftsleitung

06

Womit Sie arbeiten

So setzen Sie anymize konkret ein

Was anymize tut

  • Pseudonymisiert Anbieter- und Sub-Processor-Namen so, dass Cluster-Strukturen erhalten bleiben.
  • Re-identifiziert die Aggregations-Tabellen mit den richtigen Anbieter-Namen.
  • Schützt die Anbieter-Landschaft als strategisch sensible Information vor dem Cloud-LLM.
  • Verarbeitung in deutschen Rechenzentren (Hetzner). AVV nach Art. 28 DSGVO und § 25b KWG im Standardvertrag.

Was Sie als DORA-Beauftragter tun

  • Anbieter-Namen-Harmonisierung vor dem Export — sonst werden Cluster unterschätzt.
  • Vollständigkeits-Check: Register-Lücken (z. B. fehlende Vertragsvolumen-Daten) werden im Output markiert; Closure manuell.
  • Bewertung der Top-5-Risiko-Cluster — Bewertung trifft Vorstand, KI gibt nur strukturierten Befund.
  • Substitutions-Pfade prüfen: ist „alternativer Anbieter vorab evaluiert“ mehr als nominell?

Daten-Input

Auslagerungs-Register-Export (CSV/Excel) aus ServiceNow GRC, Workiva oder hauseigener Lösung. Spalten typisch: Anbieter, Funktion, Sub-Processor, Region, Kritikalität, Vertragsende, Substitut. Optional Power-BI-Dashboard-Daten zum Cross-Check.

Output-Kontrolle

Pseudonymisiertes Register geht an die KI. Re-identifizierte Cluster-Tabellen (Single-Vendor, geografisch, Sub-Processor, Funktion), Top-5 Risiko-Cluster, Mitigationsvorschläge, Register-Lücken kommen zurück. anymize selbst trifft keine Bewertungen.

Freigabeprozess

Sie behalten die Hoheit: Anbieter-Namen-Harmonisierung, Register-Vollständigkeits-Check, Bewertung der Cluster, Mitigations-Entscheidung, Vorstands-Befassung. anymize ist der Anonymisierungs-Layer, keine GRC-Software.

07

Die KI-Anweisung

Prompt zum Kopieren

So nutzen Sie diesen Prompt:

1. Register-Export in anymize einfügen — Anbieter- und Sub-Processor-Namen werden zu Platzhalter-Gruppen.

2. Diesen Prompt kopieren und an das pseudonymisierte Register anhängen.

3. In anymize unter „Tools → Reasoning“ auf ”Thinking-Modus“ stellen — der re-identifizierte Bericht kommt zurück.

Empfohlener Reasoning-Modus in anymize: Thinking-Modus.
# Rolle
Du bist DORA-Konzentrationsrisiko-Analyse-Assistenz für ein
BaFin-beaufsichtigtes Institut.
Rechtsstand: <heutiges Datum — bitte aktuell ermitteln und hier einsetzen>.

# Aufgabe
Aggregiere das pseudonymisierte Auslagerungs-Register (Spalten: Anbieter,
Funktion, Sub-Processor, Region, Kritikalität, Vertragsende, Substitut)
zu einer DORA-Art.-29-Konzentrationsrisiko-Analyse. Du aggregierst, du
bewertest nicht abschließend — Bewertung trifft DORA-Beauftragter und
Vorstand.

# Inhalt

1. Single-Vendor-Konzentration (Top-10)
   Spalten: Anbieter | Anzahl Funktionen | Davon kritisch |
   Anteil am Vertragsvolumen (falls bezifferbar)

2. Geografische Konzentration
   Aggregiert nach EU / EU+US / ausschließlich Drittländer mit Anteilen.

3. Sub-Processor-Cluster
   Welche Sub-Processoren erscheinen bei mehreren Haupt-Anbietern?
   Cluster-Risiko-Marker.

4. Funktions-Konzentration (kritische Funktionen)
   Pro kritischer Funktion: wie viele Anbieter? Bei 1 Anbieter =
   Single-Point-of-Failure-Marker. Vorab-evaluierte Substitute prüfen.

5. Top-5 Risiko-Cluster
   Kurze Begründung pro Cluster.

6. Mitigationsvorschläge
   Multi-Cloud, Standby-Vertrag, Sub-Processor-Diversifikation,
   Quartals-Refresh.

7. Auffälligkeiten (Register-Lücken)
   Vertragsvolumen-Daten unvollständig? Einträge ohne Sub-Processor?
   Einträge ohne Kritikalitätsbewertung?

# Format
Markdown, Tabellen pro Konzentrations-Dimension.

# Verbote
KEINE abschließende Bewertung ("akzeptabel"/"nicht akzeptabel") —
  das ist Vorstandsentscheidung.
KEINE Ergänzung von Daten, die nicht im Register stehen.
KEINE Konsolidierung von Anbieter-Namen, die nicht vorab harmonisiert
  wurden.
08

So sieht der Sachverhalt aus

Pseudonymisierter Eingabetext

Auslagerungs-Register-Export. Anbieter- und Sub-Processor-Namen sind durch Platzhalter ersetzt; Funktion, Region, Kritikalität und Vertragsende bleiben sichtbar.
Auslagerungs-Register-Export — Stichtag 2026-05-13 — 142 Einträge

Anbieter | Funktion | Sub-Processor | Region | Kritikalität | Vertragsende | Substitut
[[Anbieter-A-a3f9]] | E-Mail+Office365 | [[Sub-X-b2e7]] | EU+US | kritisch | 2027-12 | nein
[[Anbieter-A-a3f9]] | Azure-Hosting | [[Sub-Y-c4d1]] | EU | kritisch | 2027-12 | [[Alt-d5f3]] vor-evaluiert
[[Anbieter-A-a3f9]] | LLM (Azure OpenAI) | [[Sub-Z-e8a2]] | EU | wichtig | 2026-12 | [[Alt-f4a1]] vor-evaluiert
[[Anbieter-A-a3f9]] | Sentinel SOC | [[Sub-X-b2e7]] | EU+US | kritisch | 2027-12 | nein
[[Anbieter-B-7e2a]] | Kartenzahlungs-Netz | [[Sub-Z-e8a2]] | EU | kritisch | 2028-06 | nein
[[Anbieter-C-9f1c]] | KYC-Plattform | [[Sub-X-b2e7]] | EU | wichtig | 2026-09 | ja
... (weitere 136 Einträge)
09

So liefert anymize zurück

Der Antrags-Entwurf

KI-Output (Beispiel). Anbieter- und Sub-Processor-Identitäten re-identifiziert; Bewertung („akzeptabel“/”nicht akzeptabel“) bewusst ausgespart.
# DORA-Art.-29-Konzentrationsrisiko-Analyse — Entwurf

## Single-Vendor-Konzentration (Top-5)
| Anbieter | Anzahl Funktionen | Davon kritisch | Anteil am Vertragsvolumen |
|---|---|---|---|
| [[Anbieter-A-a3f9]] | 4 | 3 | hoch (Schätzung; Vertragsvolumen-Daten unvollständig) |
| [[Anbieter-B-7e2a]] | 2 | 2 | mittel |
| [[Anbieter-C-9f1c]] | 1 | 0 | gering |

## Geografische Konzentration
- EU: 78 % der Register-Einträge
- EU+US (gemischt): 18 %
- ausschließlich US/Drittländer: 4 % (nicht-kritische Funktionen)

## Sub-Processor-Cluster
- [[Sub-X-b2e7]] erscheint bei 3 Haupt-Anbietern → Cluster-Risiko-Marker.
- [[Sub-Z-e8a2]] erscheint bei [[Anbieter-A-a3f9]] und [[Anbieter-B-7e2a]]
  → Cluster-Risiko-Marker.

## Funktions-Konzentration (kritische Funktionen)
| Funktion | Anzahl Anbieter | Single-Point-of-Failure? |
|---|---|---|
| Kernbankensystem | 1 | ja |
| Kartenzahlungs-Netz | 1 | ja |
| Sentinel SOC | 1 | ja |
| Azure-Hosting | 1 | ja, aber [[Alt-d5f3]] vor-evaluiert |
| LLM-Services | 1 | nein ([[Alt-f4a1]] vor-evaluiert) |

## Top-5 Risiko-Cluster
1. **[[Anbieter-A-a3f9]] Multi-Funktion**: E-Mail + Hosting + SOC + LLM
   bei einem Anbieter — Single-Vendor-Risiko über mehrere kritische
   Funktionen.
2. **[[Sub-X-b2e7]] als Sub-Processor bei 3 Haupt-Anbietern** — Cluster-
   Risiko.
3. **Kernbankensystem ohne vorab-evaluierten Substitut** — Lock-in-Risiko.
4. **Sentinel SOC ohne Substitut** — bei Anbieter-Ausfall keine
   Backup-SOC-Option.
5. **LLM-Services-Konzentration** mit kommendem Vertragsende 2026-12 —
   Verhandlungs-Hebel nutzen.

## Mitigationsvorschläge
1. Multi-SOC-Architektur bewerten ([[Anbieter-A-a3f9]] Sentinel +
   zweiter MDR-Provider).
2. Standby-Vertrag mit alternativem Kernbanken-Anbieter.
3. LLM-Multi-Provider-Strategie ([[Anbieter-A-a3f9]] + zweiter LLM-
   Anbieter über separaten Tenant).
4. Sub-Processor-Diversifikation in Folge-Verträgen verlangen.
5. Quartals-Refresh des Substitut-Mappings.

## Auffälligkeiten (Register-Lücken)
- Vertragsvolumen-Daten unvollständig (nur 38 % der Einträge).
- 12 Einträge ohne Sub-Processor-Liste.
- 7 Einträge ohne Kritikalitätsbewertung.
10

Was das Berufsrecht verlangt

Pflichten — und wie anymize sie abdeckt

DORA Art. 29 (SRC-0128)

Konzentrationsrisiko-Analyse ist Pflicht — bei Single-Vendor-Anteil > 40 % kritischer Funktionen muss der Vorstand befasst werden und ein Mitigationsplan vorliegen.

BaFin DORA-Aufsichtsmitteilung (SRC-0123)

Konkrete Erwartungen an Aggregationstiefe und Mitigationsplan. Bei Vor-Ort-Prüfungen wird der Konzentrationsrisiko-Bericht als Vorlage verlangt — Anbieter-Namen-Konsistenz ist Pflichtbestand.

EBA Outsourcing Guidelines (SRC-0132)

Konzentrationsrisiko ist explizit adressiert; bei Cloud-Auslagerungen erhöhte Anforderungen an Substitutions-Pfade und Sub-Processor-Diversifikation.

§ 25b KWG + MaRisk AT 9 (SRC-0107, SRC-0115)

Bei Re-Einstufung einer Auslagerung auf „kritisch“ zusätzliche BaFin-Anzeige. Der Konzentrations-Bericht ist die Grundlage solcher Einstufungs-Bewegungen.

BaFin Orientierungshilfe IKT-Risiken KI (SRC-0119)

Die KI-Komponente im Aggregations-Workflow ist selbst IKT-Asset und gehört ins Inventar. Der Konzentrations-Bericht muss KI-Services als eigene Cluster führen.

FSB AI-Vulnerabilities (SRC-0207)

Drittparteien-Abhängigkeit wird vom FSB als systemisches KI-Risiko identifiziert. Bei mehrfacher Funktion bei demselben KI-Cloud-Anbieter ist die Konzentration besonders zu prüfen.

11

Datenschutz und Vertraulichkeit

So funktioniert das mit anymize

Register-Daten sind typisch Klasse B (Anbieter-Daten ohne Kundenbezug). Die strategische Sensibilität liegt nicht im DSGVO-Bereich, sondern in der Wettbewerbs- und Verhandlungsposition: Wer einem Cloud-Anbieter den Vollüberblick über die eigene Provider-Landschaft gibt, schwächt seine Position. anymize pseudonymisiert Anbieter- und Sub-Processor-Identitäten, die Cluster-Struktur bleibt erkennbar. Verarbeitung in deutschen Rechenzentren (Hetzner), AVV nach Art. 28 DSGVO und § 25b KWG. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (DORA-Pflicht).

Was anymize konkret leistet

  • Pseudonymisiert Anbieter- und Sub-Processor-Identitäten cluster-erhaltend.
  • Lässt die KI die Cluster-Struktur erkennen, ohne die Anbieter-Landschaft preiszugeben.
  • Re-identifiziert die Aggregations-Ergebnisse mit den richtigen Namen.
  • Verarbeitung in deutschen Rechenzentren (Hetzner). AVV im Standardvertrag.
  • Zuordnungstabelle bleibt im Haus.
12

Sicherheitscheck vor der Einreichung

Was anymize liefert — was Sie souverän entscheiden

Vor dem KI-Aufruf

  • Anbieter-Namen vorab harmonisiert?
  • Register-Export vollständig (Anzahl gegen DMS-Vertragsanzahl)?
  • Vertragsvolumen-Daten gepflegt (falls möglich)?
  • Sub-Processor-Listen aktuell?
  • Kritikalitäts-Spalte vollständig befüllt?

Nach der KI-Antwort

  • Cluster-Tabellen plausibel — keine erfundenen Anbieter?
  • Register-Lücken-Liste vollständig?
  • Mitigationsvorschläge gegen reale Substitutions-Pfade abgeglichen?
  • Keine abschließenden Bewertungen durch KI?
  • Sub-Processor-Cluster-Marker manuell verifiziert?

Vor Vorstandsbericht

  • Bewertung der Top-5-Cluster durch DORA-Beauftragten?
  • Mitigationsplan mit Owner und Frist?
  • Vorstands-Befassung im Kalender?
  • BaFin-Vorhalt-Format vorbereitet?

Typische Fehlermuster — und wie anymize gegensteuert

  • Anbieter-Namen-Inkonsistenz führt zu unterschätzter Konzentration — Harmonisierung vor dem Export Pflicht.
  • Sub-Processor-Cluster nicht erkannt, weil Sub-Processor-Liste in den Einträgen fehlt — Lücken-Liste zwingt manuelle Closure.
  • Vertragsvolumen unvollständig → Konzentration nach Volumen nicht bewertbar — Output markiert diese Lücke explizit.
  • Substitut nur „nominell“ vor-evaluiert ohne Vertrags-Readiness — manuelle Tiefenprüfung der Substitutions-Pfade.
  • KI macht abschließende Bewertung („Konzentration akzeptabel“) — Prompt-Verbot zwingt Vorstand-Entscheidung.
13

Rechtsgrundlagen

Normen, Urteile, Belege

Primärnormen Aufsichtsrecht

  • DORA (VO 2022/2554), Art. 29 — Konzentrationsrisiko
  • BaFin DORA-Aufsichtsmitteilung 08.07.2024
  • EBA Outsourcing Guidelines EBA/GL/2019/02
  • § 25b KWG — Auslagerung
  • BaFin MaRisk 8. Novelle (AT 9)

BaFin KI-/IKT-Aufsicht

  • BaFin Orientierungshilfe IKT-Risiken KI 18.12.2025
  • BSI C5 — Cloud-Sicherheit
  • BSI AIC4 — KI-Cloud-Sicherheit

Sekundärquellen

  • PwC KI-Finanzsektor 2025
  • FSB AI Stability Implications — Drittparteien-Risiko

Stand: · Nächste Überprüfung:

Hinweis zur Nutzung

Zur Orientierung — nicht als Mandatsersatz

Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die anwaltliche Würdigung im Einzelfall noch eine fachanwaltliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt rechtlich zu bewerten ist, welche Anträge in Ihrem konkreten Mandat richtig sind — das bleibt selbstverständlich bei Ihnen.

KI-Outputs müssen vor jeder Verwendung anwaltlich geprüft werden. Insbesondere Urteils-Aktenzeichen, Norm-Verweise und Fristen sind gegen Primärquellen zu verifizieren. anymize gewährleistet die Vertraulichkeit der Mandantendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit des Outputs liegt in Ihrer Verantwortung.

Jetzt starten.
14 Tage kostenlos testen.

Alle Modelle. Alle Features. Keine Kreditkarte.

Kostenlos startenWie es funktioniert

Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.

Dein KI-Arbeitsplatz wartet.