Zahlungsverkehr und Operations

DORA-IKT-Vorfallsmeldung 4h-Frist — Pflichtfelder-Drafting

anymize entfernt Kunden-IDs, IBAN, Mitarbeiter-Accounts und Transaktions-IDs aus dem Vorfalls-Briefing, bevor es an GPT, Claude oder Gemini geht — und setzt sie nach der KI-Antwort wieder ein. So drafted Ihr DORA-Beauftragter die EBA-RTS-Pflichtfelder der Erstmeldung innerhalb der 4-Stunden-Frist, ohne § 43 KWG oder die DORA-Auslagerungs-Regeln zu berühren.

In 30 SekundenWas anymize hier leistetIn 5 MinutenPrompt zum KopierenIn 30 MinutenVollständiger Workflow
Mit anymize startenAntrags-Beispiel ansehen

Schwierigkeit: Spezialist · Datenklasse: Mandantendaten · Letztes Review:

Zur Orientierung gedacht. Die anwaltliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.

01

Anwendungsbereich

Worum geht es hier?

KI im Zahlungsverkehr, FinTech-Operations und unter DORA

Die DORA-Erstmeldung nach Art. 17 DORA i.V.m. EBA-RTS ist zeitkritisch: 4 Stunden ab Klassifikations-Zeitpunkt. Manuelle Pflichtfeld-Befüllung kostet typisch 2–4 Stunden in Stresslage. Mit anymize geht das pseudonymisierte Vorfalls-Briefing an ein Frontier-Modell — Kunden-IDs, IBAN, Mitarbeiter-Accounts und Transaktions-IDs verlassen das Haus nicht. Der DORA-Beauftragte behält die Klassifikations-Entscheidung; die KI strukturiert die Sachverhalts-Beschreibung, die Schwellen-Tabelle und die Sofortmaßnahmen-Liste nach EBA-RTS-Format.

02

Für wen passt das?

Zielgruppe und Kontext

Rolle
DORA-Beauftragter, ICT Risk Officer, CISO oder Informationssicherheits-Officer, Operations-Leiter Payments, Compliance Officer Bank/ZAG. Bei mittelständischen ZAG-Instituten oft Personenunion CISO + DORA-Beauftragter.
Seniorität
Mid-Level bis Senior — die 4h-Frist verlangt Erfahrung in DORA-Klassifikations-Schwellen, EBA-RTS-Pflichtfeldern und behördensprachlicher Formulierung. Junior-Drafting mit Senior-Sign-off gangbar.
Kanzleigröße
Alle DORA-pflichtigen Institute: Kreditbanken, Sparkassen, Volksbanken, Landesbanken, KVG, ZAG-Institute, FinTechs ab BaFin-Lizenz. Kleinere Häuser mit ausgelagertem SOC müssen Provider-Daten in die Erstmeldung integrieren.
Spezifische Kontexte
SEPA- oder SWIFT-Anomalie mit signifikantem Kundenimpact, Online-Banking-Auth-Angriff, Cloud-LLM-Provider-Ausfall, Kartenzahlungs-Netz-Störung, Datenexfiltration im Payments-Backoffice. Klassifikations-Zeitpunkt T0 startet die 4-Stunden-Uhr — und damit den Druck auf die Pflichtfeld-Befüllung.
03

Die Situation in der Kanzlei

So bringen Sie Tempo und Sorgfalt zusammen

DORA Art. 17 verpflichtet beaufsichtigte Institute zur Meldung „schwerwiegender IKT-Vorfälle“ innerhalb von 4 Stunden nach Klassifikation an die BaFin. Die Erstmeldung muss EBA-RTS-Pflichtfelder enthalten: Vorfalls-Klassifikation, Sachverhalt-Beschreibung, Schwellen-Erfüllung, Impact (Kundenzahl, Volumen, Geographie), kritische Funktionen, erste Sofortmaßnahmen, Outsourcing-Bezug. Manuelle Befüllung kostet typisch 2–4 Stunden in Stresslage — bei 4h-Frist eng. Inhaltlich enthält die Meldung zwingend Personenbezug (betroffene Kunden, Mitarbeiter-Accounts) und bankgeheimnis-relevante Volumen-Aussagen. Wer ChatGPT direkt nutzen würde, kommt schneller — verletzt aber § 43 KWG, sobald Kunden-IDs und IBAN das Haus verlassen. anymize löst genau diesen Konflikt: Kunden-IDs, IBAN, Mitarbeiter-Accounts, IP-Bereiche, Transaktions-IDs werden vor dem KI-Aufruf zu Platzhaltern; die KI-Antwort kommt strukturiert zurück, anymize re-identifiziert. Bußgelder bei Fristverletzung bis 10 Mio. EUR oder 5 % Umsatz.

04

Was Sie davon haben

Zeit, Wert, Vertraulichkeit

Zeit pro Erstmeldung

1,5–2,5 h

Frontier-KI strukturiert Sachverhalt, Schwellen-Tabelle und Sofortmaßnahmen in unter 30 Minuten. Klassifikations-Entscheidung, Faktencheck und CISO-Sign-off bleiben menschlich.

Bußgeld-Risiko

bis 5 % Umsatz

DORA-Verstöße werden mit bis zu 10 Mio. EUR oder 5 % Jahresumsatz sanktioniert (SRC-0128). Fristgerechte Meldung ist zentraler Schutz.

Vertraulichkeit

strukturell

Kunden-IDs, IBAN, Mitarbeiter-Accounts, IP-Bereiche und Transaktions-IDs werden vor dem KI-Aufruf zu Platzhaltern. Re-Identifikation nach KI-Antwort.

Erkennungsrate

>95 %

Dreifach geprüft (Algorithmus + zwei spezialisierte KI-Prüfungen). Vor LLM-Transfer in der Krisensituation Vier-Augen-Spot-Check Pflicht.

05

So gehen Sie vor

In 5 Schritten zum Antrag

1

Vorfalls-Detektion durch SIEM, Payments-Monitoring oder User-Report; Incident-Ticket eröffnen. Initial-Triage durch DORA-Beauftragten: Schwere abschätzen nach EBA-Klassifikations-Schwellen (Kundenanzahl, Dauer, geografische Ausweitung, kritische Funktionen, Datenintegrität). Klassifikations-Entscheidung „schwerwiegend ja/nein“. Bei ”ja“ startet die 4h-Frist ab Klassifikations-Zeitpunkt.

DORA-Beauftragter + System

DORA Art. 17 — Klassifikations-Pflicht

2

anymize anonymisiert automatisch. Kunden-IDs, IBAN, Mitarbeiter-Accounts, IP-Bereiche und Transaktions-IDs werden durch semantische Platzhalter ersetzt. Volumen-Aggregate und Infrastruktur-Beschreibungen bleiben in Klartext. Vor dem KI-Aufruf in der Krisensituation Vier-Augen-Spot-Check der Pseudonymisierung.

anymize + Sie

§ 43 KWG · DSGVO · § 26 BDSG

3

Frontier-KI drafted die Pflichtfelder. Der pseudonymisierte Vorfalls-Brief geht an Ihr gewähltes Modell — GPT, Claude oder Gemini, alle in anymize verfügbar. Mit dem CRAFT-Prompt fragen Sie eine strukturierte Erstmeldung im EBA-RTS-Format ab: Sachverhalt, Schwellen-Tabelle, Impact-Schätzung mit Ranges, Sofortmaßnahmen mit Zeitstempeln, Outsourcing-Bezug, vorläufige Unsicherheiten.

GPT / Claude / Gemini in anymize

Tempo unter 4h-Frist

4

anymize re-identifiziert. Die KI-Antwort kommt mit Platzhaltern zurück; anymize setzt automatisch die Originaldaten wieder ein. Sie erhalten einen behördensprachlichen Erstmeldungs-Entwurf mit den richtigen IBAN, Kunden-IDs und Account-Bezügen. Faktencheck: Schwellen-Verifikation gegen EBA-RTS-Originaltext, Impact-Ranges, kritische Funktionen, Outsourcing-Bezug.

anymize + Sie

Bidirektionale Anonymisierung · Faktencheck

5

DORA-Beauftragter und CISO geben den Erstmeldungs-Entwurf frei und reichen ihn über das BaFin-DORA-Meldeportal ein. Interne Verteilung an Vorstand und Risikoausschuss. Folgeberichte: 72h-Zwischenbericht und 1-Monats-Abschlussbericht werden mit demselben Workflow vorbereitet.

Sie

Letztverantwortung Geschäftsleitung

06

Womit Sie arbeiten

So setzen Sie anymize konkret ein

Was anymize tut

  • Erkennt Kunden-IDs, IBAN, Mitarbeiter-Accounts, IP-Bereiche und Transaktions-IDs mit über 95 % Erkennungsrate.
  • Dreistufige Prüfung: Algorithmische Analyse, dann zwei spezialisierte KI-Prüfungen, die den Kontext berücksichtigen (Mitarbeiter-Account vs. Kunden-ID).
  • Bidirektionale Anonymisierung: Platzhalter werden eingesetzt, das Frontier-Modell antwortet mit Platzhalter-Kontext, anymize re-identifiziert beim Empfang.
  • Daten in deutschen Rechenzentren (Hetzner). Originalbriefings werden nicht gespeichert — nur die Zuordnung Platzhalter ↔ Klarname, mit Aufbewahrungsfrist nach Ihrer Wahl von 24 Stunden bis unbegrenzt.

Was Sie als DORA-Beauftragter tun

  • Klassifikations-Entscheidung „schwerwiegend ja/nein“ nach EBA-RTS-Schwellen treffen — das bleibt menschliche Letztverantwortung.
  • Vorschau der Anonymisierung sichten — in der Krisensituation Vier-Augen-Pflicht (Senior-DORA + ICT-Risk-Officer).
  • Schwellen-Tabelle und Impact-Ranges gegen EBA-RTS-Originaltext und interne Monitoring-Daten verifizieren — Halluzinationsrisiko bei Impact-Schätzung.
  • CISO-Sign-off, BaFin-Einreichung über DORA-Meldeportal, interne Verteilung Vorstand/Risikoausschuss; Folgeberichte 72h und 1-Monats-Abschluss vorbereiten.

Daten-Input

Incident-Briefing aus SIEM/Payments-Monitoring/SOC mit T0-Zeitstempel, Klassifikations-Zeitpunkt, betroffene Systeme, Volumen-Aggregate (Transaktionen, EUR-Volumen, Kunden-Schätzung), Geographie, kritische Funktionen, Sofortmaßnahmen, Outsourcing-Bezug. Optional: Vorlagen aus früheren Meldungen.

Output-Kontrolle

Pseudonymisierter Vorfalls-Brief geht an die KI. Re-identifizierter EBA-RTS-Erstmeldungs-Entwurf kommt zurück (Sachverhalt, Schwellen-Tabelle, Impact, Sofortmaßnahmen, Outsourcing-Bezug, Ausblick, Unsicherheiten). anymize selbst trifft keine Klassifikations- oder Inhalts-Entscheidungen.

Freigabeprozess

Sie behalten jederzeit die Hoheit: Klassifikations-Entscheidung, Sichtung der Anonymisierung, fachliche Verifikation der Schwellen-Erfüllung, CISO-Sign-off, BaFin-Einreichung — alles im üblichen DORA-Krisen-Workflow. anymize ist der Anonymisierungs-Layer, keine Meldepflicht-Software.

07

Die KI-Anweisung

Prompt zum Kopieren

So nutzen Sie diesen Prompt:

1. Vorfalls-Briefing aus SIEM/SOC in anymize einfügen — die Anonymisierung läuft automatisch (Kunden-IDs, IBAN, Mitarbeiter-Accounts, Transaktions-IDs werden zu Platzhaltern).

2. Klassifikations-Entscheidung „schwerwiegend ja/nein“ muss vorab durch DORA-Beauftragten getroffen sein — der Prompt drafted die Erstmeldung, nicht die Klassifikation.

3. Diesen Prompt kopieren und an das pseudonymisierte Briefing anhängen.

4. In anymize unter ”Tools → Reasoning“ auf „Thinking-Modus“ stellen, dann KI-Aufruf starten — der Output kommt re-identifiziert zurück.

Empfohlener Reasoning-Modus in anymize: Thinking-Modus. Bei einfachen Standardvorfällen reicht Fast; bei Mehrfach-System-Ausfällen mit kritischen Funktionen oder Outsourcing-Bezug Thinking-Modus. Modell-Auswahl (GPT, Claude, Gemini) in anymize.
# Rolle
Du bist DORA-Reporting-Assistenz für ein BaFin-beaufsichtigtes Institut.
Rechtsstand: <heutiges Datum — bitte aktuell ermitteln und hier einsetzen>.

# Aufgabe
Drafte die Pflichtfelder der DORA-Erstmeldung nach Art. 17 DORA i.V.m.
EBA-Klassifikations-RTS für den unten beschriebenen IKT-Vorfall. Der Input
ist pseudonymisiert: Kunden-IDs, IBAN, Mitarbeiter-Accounts und IP-Adressen
sind durch [[Kategorie-Hash]]-Platzhalter ersetzt; Volumen-Aggregate und
Infrastruktur-Beschreibungen sind in Klartext.

# Inhalt

1. Sachverhalt
   4–6 Sätze: Was passierte, wann (Erstdetektion, Klassifikations-
   Zeitpunkt), welche Systeme und kritischen Funktionen betroffen sind.

2. Klassifikations-Schwellen-Tabelle
   Spalten: Kriterium | Wert | Erfüllung ja/nein | Begründung
   Kriterien: Kundenanzahl, Dauer, geografische Ausweitung, kritische
   Funktion, Datenintegrität, Reputation/Wirtschaftlichkeit.

3. Impact-Schätzung
   Betroffene Kundenanzahl als Range, Volumen als Range (falls bezifferbar),
   Geographie, kritische Funktionen — vorsichtig-präzise.

4. Sofortmaßnahmen
   Nummerierte Liste mit Zeitstempel relativ zu T0 (z. B. T0+15min).

5. Outsourcing-Bezug
   Ist ein IKT-Drittdienstleister involviert? Bei "ja" Verweis auf
   Auslagerungs-Register-ID.

6. Ausblick
   1–2 Sätze (Zwischenbericht in 72h, Forensik in Vorbereitung).

7. Unsicherheiten
   Mit "Vorläufig:"- oder "Nicht verifizierbar:"-Präfix kennzeichnen.

# Format
Markdown, behördensprachlich-präzise, ohne Schuld-Zuweisungen.
Tabelle für Klassifikations-Schwellen.

# Verbote
KEINE vorschnelle Ursachen-Zuweisung (Provider-Störung vs. interne
  Konfigurations-Abweichung) ohne Forensik-Beleg.
KEINE Spekulation über Bedrohungs-Akteur ohne Threat-Intelligence-Quelle.
KEINE Aussage zu Datenintegritäts-Manipulation, solange Forensik
  unentschieden ist — dann "Stand T0+Xh: keine Manipulation detektiert,
  vorläufig" formulieren.
KEIN Klassifikations-Wechsel im Erstmeldungs-Entwurf — die
  Klassifikations-Entscheidung trifft der DORA-Beauftragte vorab.
08

So sieht der Sachverhalt aus

Pseudonymisierter Eingabetext

Original-Incident-Briefing nach anymize-Anonymisierung. BIC, System-Namen, Volumen-Aggregate und Provider sind durch anymize-Platzhalter im Format [[Kategorie-Hash]] ersetzt. Zeitstempel, Reject-Zahlen und Geographie bleiben sichtbar, weil sie für die EBA-RTS-Schwellen-Beurteilung benötigt werden.
Incident-Briefing — T0 = 12.05.2026 14:23 CET

Detektionsweg: Payments-Monitoring „Massive SEPA-Instant-Rejects gegen
  [[BIC-a3f9]]”
Klassifikations-Zeitpunkt: 12.05.2026 16:10 CET (T0+1h47)
Klassifikations-Entscheidung: SCHWERWIEGEND
DORA-4h-Frist: läuft bis 12.05.2026 20:10 CET

Betroffene Systeme:
 - SEPA-Instant-Gateway [[System-b2e7]]
 - SWIFT-Connectivity-Layer [[System-c4d1]]
 - Reconciliation-Service [[System-d5f3]]

Betroffene Volumen (Stand T0+1h):
 - SEPA-Instant-Rejects: ca. 18.400 Transaktionen,
   kumuliert [[Volumen-e8a2]] EUR
 - SWIFT MT103: bisher keine Auffälligkeit
 - Betroffene Kunden (Schätzung): 12.000–15.000

Geographie: deutschlandweit; keine internationale Ausweitung erkennbar.
Kritische Funktion: SEPA-Instant-Payments — ja;
  Online-Banking-Auth — nein.

Sofortmaßnahmen ab T0+15min:
 1. Fallback auf SEPA-CT für nicht-zeitkritische Zahlungen aktiviert.
 2. Kundenservice-Briefing für Beschwerde-Eingang.
 3. SOC-Eskalation P1.
 4. Vorstand (COO/CRO) informiert.
 5. Outsourcing-Provider [[Provider-f4a1]] für Reconciliation-Layer
    kontaktiert.
09

So liefert anymize zurück

Der Antrags-Entwurf

KI-Output (Beispiel). Die anymize-Re-Identifikation hat BIC, System-Namen, Volumen und Provider wieder eingesetzt — Sie sehen den Output mit den richtigen Daten. Die Schwellen-Tabelle ist im EBA-RTS-Format; die Datenintegritäts-Zeile bleibt bewusst vorläufig, weil Forensik noch ausstehend.
# DORA-Erstmeldung Art. 17 — Entwurf

## Sachverhalt
Am 12.05.2026 um 14:23 CET wurde durch unser Payments-Monitoring ein
massiver Reject-Vorfall auf dem SEPA-Instant-Gateway [[System-b2e7]]
gegen BIC [[BIC-a3f9]] detektiert. Nach Triage und Schwellen-Bewertung
wurde der Vorfall um 16:10 CET als „schwerwiegend“ gemäß DORA Art. 17
i.V.m. EBA-Klassifikations-RTS eingestuft. Die DORA-4h-Meldefrist
läuft bis 20:10 CET. Online-Banking-Auth und SWIFT MT103 sind nach
Stand T0+2h nicht betroffen.

## Klassifikations-Schwellen
| Kriterium | Wert | Erfüllung | Begründung |
|---|---|---|---|
| Kundenanzahl | 12.000–15.000 | ja | Schwellen-Erfüllung Kunden-Impact |
| Dauer | >2h und laufend | ja | Schwellen-Erfüllung Dauer |
| Geografische Ausweitung | DE-weit | ja | Schwellen-Erfüllung |
| Kritische Funktion | SEPA-Instant | ja | Schwellen-Erfüllung kritische Funktion |
| Datenintegrität | keine Manipulation detektiert | nein (Stand T0+2h) | vorläufig |

## Impact (vorläufig)
- Betroffene SEPA-Instant-Transaktionen: ca. 18.400, kumuliert
  [[Volumen-e8a2]] EUR.
- Betroffene Kunden: 12.000–15.000.
- Kritische Funktion „SWIFT MT103“: nicht betroffen (Stand T0+2h).

## Sofortmaßnahmen
1. Fallback SEPA-CT für nicht-zeitkritische Zahlungen aktiviert (T0+15min).
2. Kundenservice-Briefing veröffentlicht (T0+25min).
3. SOC-Eskalation P1 (T0+30min).
4. Vorstand (COO/CRO) informiert (T0+45min).
5. Outsourcing-Provider [[Provider-f4a1]] kontaktiert (T0+1h).

## Outsourcing-Bezug
Reconciliation-Layer wird von [[Provider-f4a1]] (Auslagerungs-Register-ID
[[RegID-7e2a]]) bereitgestellt. Vorläufig: Provider-Status wird im
Zwischenbericht aktualisiert.

## Ausblick
Zwischenbericht innerhalb 72h nach Klassifikations-Zeitpunkt;
Forensik-Befunde voraussichtlich nach 24h.

## Unsicherheiten
1. Vorläufig: präzise Anzahl betroffener Kunden — Bestätigung nach
   Reconciliation-Lauf.
2. Nicht verifizierbar (Stand T0+2h): vollständige Ursache —
   Provider-Störung vs. interne Konfigurationsabweichung.
10

Was das Berufsrecht verlangt

Pflichten — und wie anymize sie abdeckt

DORA Art. 17 + EBA-RTS (SRC-0128)

Die 4h-Erstmeldung, der 72h-Zwischenbericht und der 1-Monats-Abschluss sind harte Fristen. Bei verzögerter Meldung Bußgelder bis 10 Mio. EUR oder 5 % Jahresumsatz. anymize beschleunigt das Drafting; die Klassifikations-Entscheidung und der CISO-Sign-off bleiben menschlich.

BaFin DORA-Aufsichtsmitteilung (SRC-0123)

Die BaFin konkretisiert in ihrer DORA-Aufsichtsmitteilung 08.07.2024 die Erwartungen an die Meldepraxis. Gap-Analyse BAIT vs. DORA ist Prüfungsmaßstab bei Vor-Ort-Prüfungen. Pflichtfelder müssen vollständig befüllt sein — Lücke ist schwerer wiegend als knappe Sprache.

BaFin Orientierungshilfe IKT-Risiken KI (SRC-0119)

Die KI im IKT-Vorfallsmanagement ist selbst IKT-Asset und gehört ins KI-Inventar. Schatten-KI in Krisensituationen (Mitarbeiter:in nutzt ChatGPT-Web ohne Pseudonymisierung) ist unzulässig — und genau das, was anymize strukturell verhindert.

§ 25b KWG + MaRisk AT 9 (SRC-0107, SRC-0115)

Bei externem SOC oder Forensik-Service ist der Auslagerungsvertrag zu prüfen; DORA Art. 28 verlangt parallel Drittparteien-Risiko-Erfassung. Der Outsourcing-Bezug in der Erstmeldung verweist auf die Auslagerungs-Register-ID — diese muss aktuell sein (UC-V-FIN-PAY-002).

§ 43 KWG Bankgeheimnis (SRC-0109)

Kunden-IDs und IBAN in der Vorfalls-Meldung sind bankgeheimnis-geschützt. Pseudonymisierung vor LLM ist zwingend; die BaFin-Einreichung erfolgt im Klartext über das gesicherte DORA-Meldeportal — nicht über die KI-Cloud.

DSGVO Art. 33 / § 26 BDSG (SRC-0144)

Bei personenbezogener Datenpanne läuft parallel die 72h-Meldung an die Datenschutzaufsicht (oft kumulativ zu DORA). Bei betroffenen Mitarbeiter-Accounts greift Beschäftigtendatenschutz. anymize hält Mitarbeiter-Accounts und Kunden-IDs aus dem KI-Kontext heraus.

11

Datenschutz und Vertraulichkeit

So funktioniert das mit anymize

Die aufsichtsrechtlich entscheidende Frage bei einer DORA-Erstmeldung: Sieht der KI-Anbieter Kunden-IDs, IBAN, Mitarbeiter-Accounts oder Transaktions-IDs? Antwort mit anymize: nein. Diese Klasse-A-Daten werden vor dem KI-Aufruf durch Platzhalter ersetzt; nach der KI-Antwort identifiziert anymize zurück. Verarbeitung in deutschen Rechenzentren (Hetzner), AVV nach Art. 28 DSGVO und § 25b KWG ist Teil des Standardvertrags, Originalbriefings werden nicht gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO (gesetzliche DORA-Meldepflicht) i.V.m. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse SOC-Arbeit). Bei systematischer KI-Nutzung im SOC ist eine DPIA nach Art. 35 DSGVO durchzuführen. Die Pseudonymisierung entlastet § 43 KWG strukturell und macht die EBA-Erwartungen an Datenklassifikation (Klasse A bei Personenbezug) erfüllbar.

Was anymize konkret leistet

  • Erkennt Kunden-IDs, IBAN, Mitarbeiter-Accounts, IP-Bereiche und Transaktions-IDs mit über 95 % Genauigkeit.
  • Ersetzt sie durch semantische Platzhalter, bevor der Vorfalls-Brief an GPT, Claude oder Gemini geht.
  • Re-identifiziert die KI-Antwort automatisch — Sie sehen den EBA-RTS-Entwurf mit den richtigen Klarnamen und IBAN zurück.
  • Verarbeitung in deutschen Rechenzentren (Hetzner). AVV nach Art. 28 DSGVO und § 25b KWG im Standardvertrag.
  • Originalbriefings werden nicht gespeichert — nur die Zuordnung Platzhalter ↔ Klarname, mit Aufbewahrungsfrist nach Ihrer Wahl von 24 Stunden bis unbegrenzt.
12

Sicherheitscheck vor der Einreichung

Was anymize liefert — was Sie souverän entscheiden

Vor dem KI-Aufruf

  • Klassifikations-Entscheidung „schwerwiegend ja/nein“ durch DORA-Beauftragten getroffen?
  • Klassifikations-Zeitpunkt T0 dokumentiert — 4h-Frist läuft?
  • Vier-Augen-Spot-Check der Anonymisierung in der Krisensituation durchgeführt?
  • Volumen-Aggregate und kritische Funktionen aus SIEM/Payments-Monitoring vollständig erfasst?
  • Outsourcing-Bezug geprüft — Auslagerungs-Register-ID des Providers verfügbar?

Nach der KI-Antwort

  • Re-Identifikation korrekt — alle Platzhalter zurückgesetzt?
  • Schwellen-Tabelle gegen EBA-RTS-Originaltext verifiziert?
  • Impact-Ranges plausibel — keine KI-Übersteigerung oder Untertreibung?
  • Sofortmaßnahmen mit Zeitstempeln relativ T0 versehen?
  • Unsicherheiten mit „Vorläufig:“ oder „Nicht verifizierbar:“ markiert?

Vor der BaFin-Einreichung

  • CISO-Sign-off eingeholt?
  • Vorstand (COO/CRO) informiert?
  • DSGVO-Art.-33-Parallelmeldung an Datenschutzaufsicht geprüft?
  • 72h-Zwischenbericht und 1-Monats-Abschluss in Kalender eingetragen?

Typische Fehlermuster — und wie anymize gegensteuert

  • KI klassifiziert den Vorfall im Erstmeldungs-Entwurf neu („umstrittene Schwellenerfüllung“) — der Prompt verbietet das. Die Klassifikation entscheidet der DORA-Beauftragte vorab.
  • KI weist die Ursache vorschnell zu („Provider-Ausfall bei [[Provider-f4a1]]“) ohne Forensik-Beleg — Unsicherheiten mit ”Vorläufig:“ markieren.
  • KI rundet die Impact-Range ab oder auf — Range-Angaben aus dem Original-Briefing unverändert übernehmen.
  • KI vergisst den Outsourcing-Bezug, weil der Provider im pseudonymisierten Input nur als Platzhalter erscheint — Prompt-Anweisung „Outsourcing-Bezug: ja/nein und Auslagerungs-Register-ID“ macht das verbindlich.
  • KI formuliert Schuld-Zuweisungen („Versagen des Providers“) — Verbot im Prompt; behördensprachliche Neutralität ist Pflicht.
13

Rechtsgrundlagen

Normen, Urteile, Belege

Primärnormen Aufsichtsrecht

  • DORA (VO 2022/2554), Art. 17 — IKT-Vorfallsmeldung
  • BaFin DORA-Aufsichtsmitteilung 08.07.2024
  • BaFin DORA-Überblick und Umsetzungs-Hinweise
  • § 25b KWG — Auslagerung
  • § 43 KWG — Bankgeheimnis
  • BaFin MaRisk 8. Novelle (AT 9)

BaFin und ENISA — IKT-/KI-Risiken

  • BaFin Orientierungshilfe IKT-Risiken KI 18.12.2025
  • BaFin KI-Cyber-Warnung — KI-Malware Online-Banking

DSGVO und Beschäftigtenschutz

  • DSGVO Art. 28 — Auftragsverarbeitung
  • § 26 BDSG — Beschäftigtendatenschutz

Sekundärquellen

  • PwC KI-Finanzsektor 2025 — Textanalyse Top-3 GenAI
  • MIT-Sertis Halluzinations-Studie

Stand: · Nächste Überprüfung:

Hinweis zur Nutzung

Zur Orientierung — nicht als Mandatsersatz

Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die anwaltliche Würdigung im Einzelfall noch eine fachanwaltliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt rechtlich zu bewerten ist, welche Anträge in Ihrem konkreten Mandat richtig sind — das bleibt selbstverständlich bei Ihnen.

KI-Outputs müssen vor jeder Verwendung anwaltlich geprüft werden. Insbesondere Urteils-Aktenzeichen, Norm-Verweise und Fristen sind gegen Primärquellen zu verifizieren. anymize gewährleistet die Vertraulichkeit der Mandantendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit des Outputs liegt in Ihrer Verantwortung.

Jetzt starten.
14 Tage kostenlos testen.

Alle Modelle. Alle Features. Keine Kreditkarte.

Kostenlos startenWie es funktioniert

Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.

Dein KI-Arbeitsplatz wartet.