Zahlungsverkehr und Operations
Open-Banking-API — Mandanten-Onboarding-Memo (TPP-Anbindung)
anymize hält operative Kontaktdaten und TPP-spezifische Verhandlungsdetails strukturiert, während das Frontier-Modell ein TPP-Onboarding-Memo nach PSD2/eIDAS drafted. Lizenz- und Zertifikats-Live-Validierung bleiben menschliche Pflicht — die KI strukturiert, sie validiert nicht.
Schwierigkeit: Fortgeschritten · Datenklasse: Mandantendaten · Letztes Review:
Zur Orientierung gedacht. Die anwaltliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.
Anwendungsbereich
Worum geht es hier?
TPP-Onboarding ist Operations-Schnittstellen-Prozess zwischen ASPSP-Bank und PSD2-AISP/PISP/CBPII. Pflicht-Checks: eIDAS-Zertifikat (QWAC/QSealC), nationale Aufsichts-Lizenz (BaFin oder EU-Pass), technische Konformität, AVV. Manuelle Memo-Erstellung 2–4 h. anymize beschleunigt — Lizenz- und Zertifikats-Validierung bleiben Live-Pflicht.
Für wen passt das?
Zielgruppe und Kontext
- Rolle
- Open-Banking-Operations, API-Sales, PSD2-Compliance-Officer, Onboarding-Manager.
- Seniorität
- Mid-Level — TPP-Onboarding ist Compliance- und Vertragsthema.
- Kanzleigröße
- Alle ASPSP mit aktivem PSD2-API-Angebot.
- Spezifische Kontexte
- Erst-Anbindung TPP, Lizenz-Erneuerung, eIDAS-Zertifikats-Rotation, Sub-Processor-Wechsel.
Die Situation in der Kanzlei
So bringen Sie Tempo und Sorgfalt zusammen
TPP-Onboarding verlangt strukturierten Prüf-Workflow: eIDAS-Zertifikat-Validität (QWAC/QSealC), PSD2-Lizenz-Status (BaFin-Datenbank oder EU-Pass), technische API-Konformität, AVV nach Art. 28 DSGVO, Compliance-Risiko-Bewertung. Manuelle Memo-Erstellung 2–4 h. Das größte Risiko ist nicht Personenbezug (TPP sind juristische Personen, Klasse B) — sondern dass die KI Lizenz-Daten aus dem Cache holt statt live zu validieren. anymize strukturiert; Live-Validierung gegen eIDAS-Trust-Service-Liste und BaFin-/EBA-Register ist menschliche Pflicht.
Was Sie davon haben
Zeit, Wert, Vertraulichkeit
Zeit pro Memo
1,5–3 h
Pflichtfelder, eIDAS-Validierung, technische Voraussetzungen, Compliance-Risiko strukturiert. Live-Validierung bleibt menschlich.
Live-Validierungs-Disziplin
explizit
Prompt-Verbot verhindert KI-Cache-Antworten — Lizenz und Zertifikate werden mit Live-Validierungs-Hinweis ausgewiesen.
Vertraulichkeit
Klasse B
TPP-Daten sind juristische Personen, öffentliche Lizenz-Daten. Pseudonymisierung nicht Hauptthema dieses UC.
Quartals-Refresh
strukturiert
Folgeaufgaben-Liste schließt Quartals-Refresh-Termin für Lizenz- und Zertifikats-Validität ein.
So gehen Sie vor
In 5 Schritten zum Antrag
TPP-Antrag-Eingang erfassen: Firmenname, Lizenz-Nr., eIDAS-Zertifikat (QWAC/QSealC), technische Kontakte, Service-Typ (AISP/PISP/CBPII), Passportierungs-Liste.
Sie + System
Onboarding-Process
Live-Validierung: eIDAS-Trust-Service-Liste (EU-Listen-Endpunkt), BaFin-Datenbank (PSD2-Erlaubnisse) oder EBA-Register (EU-Pass). KI darf nicht aus Cache antworten — Live-Daten als Input.
Sie + System
PSD2-RTS CSC · eIDAS-Pflicht
Frontier-KI drafted. Mit dem CRAFT-Prompt fragen Sie TPP-Identitäts-Tabelle, eIDAS-Validierungs-Block mit Fingerprint, technische Voraussetzungen, AVV-Status und Compliance-Risiko-Bewertung ab.
GPT / Claude / Gemini in anymize
Strukturierung
Compliance-Risiko-Bewertung manuell durch Compliance-Officer. Bei expired Zertifikat oder abgelaufener Lizenz → sofortiger API-Block. LEI über GLEIF live validieren.
Sie
Letztverantwortung
Freigabe und API-Aktivierung; AVV-Abschluss beidseitig. Quartals-Refresh-Termin im Kalender setzen.
Sie
Vertrag · Compliance
Womit Sie arbeiten
So setzen Sie anymize konkret ein
Was anymize tut
- Strukturierte Pseudonymisierung bei eingebetteten Kundendaten in TPP-Antrags-Anhängen (falls vorhanden).
- Re-identifiziert das Onboarding-Memo für die Compliance-Verteilung.
- Verarbeitung in deutschen Rechenzentren (Hetzner). AVV im Standardvertrag.
- Zuordnungstabelle bleibt im Haus.
Was Sie als Onboarding-Manager tun
- Live-Validierung Lizenz und eIDAS-Zertifikate Pflicht — KI darf nicht aus Cache antworten.
- LEI über GLEIF live validieren.
- AVV-Status manuell prüfen — KI gibt nur Status-Anzeige.
- Compliance-Risiko-Bewertung Letztentscheidung des Compliance-Officers.
Daten-Input
TPP-Antrag (Firmenname, LEI, Sitzstaat, Lizenz-Nr., Service-Typ, Passportierung), eIDAS-Zertifikat-Metadaten (QWAC + QSealC, Aussteller, Fingerprint, Gültigkeit), Live-Validierungs-Ergebnisse, AVV-Status.
Output-Kontrolle
Pseudonymisiertes (falls A-Anteile) Quellen-Set geht an die KI. Re-identifiziertes Onboarding-Memo (TPP-Identität, eIDAS-Validierung, technische Voraussetzungen, AVV-Status, Compliance-Risiko, Folgeaufgaben) kommt zurück.
Freigabeprozess
Sie behalten die Hoheit: Live-Validierung Lizenz und Zertifikate, AVV-Abschluss, Compliance-Risiko-Bewertung, API-Aktivierung. anymize ist der Anonymisierungs-Layer, kein Onboarding-Tool.
Die KI-Anweisung
Prompt zum Kopieren
So nutzen Sie diesen Prompt:
1. TPP-Antrag und Live-Validierungs-Ergebnisse in anymize einfügen.
2. Diesen Prompt kopieren und an das Quellen-Set anhängen.
3. In anymize unter „Tools → Reasoning„ auf ”Thinking-Modus„ stellen.
# Rolle
Du bist TPP-Onboarding-Drafting-Assistenz mit Kenntnis PSD2 RTS
(SCA + CSC), eIDAS-Verordnung, BaFin-ZAG-Aufsicht und EBA-
Passportierungs-Verfahren.
Rechtsstand: <heutiges Datum — bitte aktuell ermitteln und hier einsetzen>.
# Aufgabe
Drafte ein TPP-Onboarding-Memo. Input: TPP-Antrags-Daten plus Ergebnisse
der Live-Validierung. Erfinde keine Lizenz-Daten — bei
Live-Validierungs-Fehler: [[FEHLT: …]].
# Inhalt
1. TPP-Identität
Tabelle: Feld | Wert | Quelle
Pflichtfelder: Firmenname, LEI, Sitzstaat, Lizenz, Lizenz-Nr.,
Service-Typ (AISP/PISP/CBPII), Passportierung.
2. eIDAS-Validierung
QWAC (TLS): Aussteller, Fingerprint, Gültigkeit, Trust-Service-Listen-
Validierung. QSealC (Payload-Signing): identisch.
3. Technische Voraussetzungen
API-Test-Umgebung, Produktiv-Endpoint (Berlin Group oder STET),
Rate-Limiting-Konfiguration.
4. AVV/DSGVO
Status: abgeschlossen / signing-pending / fehlt.
5. Compliance-Risiko-Bewertung
Niedrig/mittel/hoch mit Begründung.
6. Folgeaufgaben
Nummeriert mit Termin: AVV-Unterzeichnung, Test-Phase, Produktiv-
Aktivierung, Quartals-Refresh-Termin, LEI-GLEIF-Validierung.
7. Unsicherheiten
[[UNSICHER: …]]
# Format
Markdown, Tabelle für Identität.
# Verbote
KEINE Lizenz-Daten aus Cache — nur aus Live-Validierungs-Input.
KEINE eIDAS-Fingerprint-Erfindung.
KEINE Passportierungs-Liste unvollständig — nur aus EBA-Register.
KEIN AVV-Status "abgeschlossen" ohne Input-Beleg.So sieht der Sachverhalt aus
Pseudonymisierter Eingabetext
TPP-Antrag — Eingang 2026-05-13
Firmenname: [[TPP-a3f9]] GmbH
LEI: [[LEI-b2e7]]
Sitzstaat: [[Sitzstaat-c4d1]]
Lizenz: PSD2-Erlaubnis BaFin oder EU-Pass aus [[Sitzstaat-c4d1]]
Lizenz-Nr.: [[Lizenz-d5f3]]
Lizenz-Datum: 2024-09-15
Passportierungs-Liste: DE, AT, FR, NL
Service-Typ: AISP + PISP (Account Information + Payment Initiation)
eIDAS-Zertifikate:
- QWAC (für TLS): Aussteller [[CA-e8a2]],
Fingerprint [[FP-QWAC-f4a1]], Gültig bis 2027-04-30
- QSealC (für Payload-Signing): Aussteller [[CA-7e2a]],
Fingerprint [[FP-QSEAL-9f1c]], Gültig bis 2027-04-30
Technische Kontakte:
- API-Engineering-Lead: [[Kontakt-aa01]]@[[TPP-Domain-bb02]]
- Compliance: [[Kontakt-cc03]]@[[TPP-Domain-bb02]]
Live-Validierung (vorab durchgeführt):
- eIDAS-Trust-Service-Liste: QWAC und QSealC gültig
- BaFin-Datenbank: nicht direkt — EU-Pass aus [[Sitzstaat-c4d1]]
- EBA-Register: bestätigt aktive Lizenz
AVV: vorab vorbereitet, signing-pending.So liefert anymize zurück
Der Antrags-Entwurf
# TPP-Onboarding-Memo — Entwurf
## TPP-Identität
| Feld | Wert | Quelle |
|---|---|---|
| Firmenname | [[TPP-a3f9]] GmbH | TPP-Antrag |
| LEI | [[LEI-b2e7]] | GLEIF (Live-Validierung empfohlen) |
| Sitzstaat | [[Sitzstaat-c4d1]] | TPP-Antrag |
| Lizenz | PSD2 EU-Pass | EBA-Register |
| Lizenz-Nr. | [[Lizenz-d5f3]] | EBA-Register |
| Service-Typ | AISP + PISP | TPP-Antrag |
| Passportierung | DE, AT, FR, NL | EBA-Register |
## eIDAS-Validierung
- **QWAC** (TLS): Aussteller [[CA-e8a2]], Fingerprint
`[[FP-QWAC-f4a1]]`, gültig bis 2027-04-30 — eIDAS-Trust-Service-Liste
validiert.
- **QSealC** (Payload-Signing): Aussteller [[CA-7e2a]], Fingerprint
`[[FP-QSEAL-9f1c]]`, gültig bis 2027-04-30 — eIDAS-Trust-Service-Liste
validiert.
## Technische Voraussetzungen
- API-Test-Umgebung: TPP-Zugang konfiguriert.
- Produktiv-Endpoint: Berlin Group NextGenPSD2 oder STET — Bestätigung
mit TPP-Engineering-Lead noch ausstehend.
- Rate-Limiting-Konfiguration: Standard-Limit zu Beginn; nach 30 Tagen
Review.
## AVV/DSGVO
AVV vorbereitet, signing-pending. Vor Produktiv-Aktivierung Pflicht.
## Compliance-Risiko-Bewertung
Niedrig. Begründung: aktive EU-passportierte PSD2-Lizenz, gültige
eIDAS-Zertifikate, etabliertes Compliance-Setup. Standard-Onboarding
ohne Sonder-Auflagen vorgeschlagen.
## Folgeaufgaben
1. AVV-Unterzeichnung beidseitig.
2. Technische Test-Phase 14 Tage.
3. Produktiv-Aktivierung nach Sign-off Compliance.
4. Quartals-Refresh-Termin setzen.
5. LEI-Validierung über GLEIF dokumentieren.
## Unsicherheiten
1. [[UNSICHER: Produktiv-Endpoint-Bestätigung TPP-Engineering
ausstehend]]Was das Berufsrecht verlangt
Pflichten — und wie anymize sie abdeckt
PSD2/PSD3 (SRC-0137)
ASPSP muss PSD2-Lizenz-Inhabern den API-Zugang gewähren — keine Ablehnung ohne sachlichen Grund. eIDAS-Zertifikate (QWAC/QSealC) Pflicht.
eIDAS-Verordnung
QWAC und QSealC Live-Validierung gegen eIDAS-Trust-Service-Liste Pflicht. KI darf nicht aus Cache antworten — Prompt-Verbot.
MaRisk ZAG (SRC-0118)
BaFin-ZAG-Aufsicht bei ZAG-Banken; TPP-Onboarding-Memo ist Vorhalt-tauglich aufzubereiten.
BaFin Orientierungshilfe IKT-Risiken KI (SRC-0119)
Die KI im Onboarding-Workflow ist IKT-Asset und gehört ins Inventar (UC-V-FIN-PAY-017).
§ 25b KWG + DORA Art. 28 (SRC-0107, SRC-0128)
TPP-Anbindung selbst ist meist nicht Auslagerung der ASPSP, aber die Cloud-LLM-Nutzung im Onboarding-Workflow ist Auslagerung (UC-V-FIN-PAY-002).
DSGVO Art. 28 + BSI C5 (SRC-0142, SRC-0145)
AVV mit TPP wenn Datenflüsse begründen; AVV mit Cloud-LLM-Provider in jedem Fall. BSI-C5-Hosting-Standards für ASPSP-API.
Datenschutz und Vertraulichkeit
So funktioniert das mit anymize
TPP-Daten sind Klasse B (juristische Personen, öffentliche Lizenz-Daten). Falls Antrags-Anhänge eingebettete Kundendaten enthalten, pseudonymisiert anymize diese. Verarbeitung in deutschen Rechenzentren (Hetzner), AVV nach Art. 28 DSGVO und § 25b KWG. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (gesetzliche PSD2-Pflicht).
Was anymize konkret leistet
- Pseudonymisiert eingebettete Kundendaten in TPP-Antrags-Anhängen (falls vorhanden).
- Re-identifiziert das Onboarding-Memo für die Compliance-Verteilung.
- Strukturiert die Live-Validierungs-Ergebnisse fürs Memo.
- Verarbeitung in deutschen Rechenzentren (Hetzner). AVV im Standardvertrag.
- Zuordnungstabelle bleibt im Haus.
Sicherheitscheck vor der Einreichung
Was anymize liefert — was Sie souverän entscheiden
Vor dem KI-Aufruf
- Live-Validierung eIDAS (QWAC + QSealC) durchgeführt?
- Live-Validierung Lizenz (BaFin-Datenbank oder EBA-Register)?
- LEI über GLEIF live validiert?
- TPP-Antrags-Daten vollständig?
- Klasse-Entscheidung B (mit A-Anhang-Check)?
Nach der KI-Antwort
- Fingerprints korrekt übernommen?
- Keine Lizenz-Daten aus Cache?
- Passportierungs-Liste vollständig?
- AVV-Status nicht fälschlich als „abgeschlossen” markiert?
- Compliance-Risiko-Bewertung mit Begründung?
Vor API-Aktivierung
- AVV beidseitig unterzeichnet?
- Technische Test-Phase abgeschlossen?
- Compliance-Officer-Sign-off?
- Quartals-Refresh-Termin im Kalender?
Typische Fehlermuster — und wie anymize gegensteuert
- →KI nimmt Lizenz-Status aus Cache statt Live-Validierung — Prompt-Verbot greift.
- →eIDAS-Fingerprint falsch übernommen — Spot-Check Pflicht.
- →Passportierungs-Liste unvollständig (z. B. DE ausgelassen) — Prompt-Verbot.
- →AVV-Status fälschlich als „abgeschlossen” markiert — manueller Status-Check.
- →Compliance-Risiko-Bewertung ohne Begründung — Prompt-Auflage.
Rechtsgrundlagen
Normen, Urteile, Belege
Primärnormen Aufsichtsrecht
- PSD2/PSD3 + RTS
- BaFin MaRisk ZAG
- § 25b KWG
- DORA Art. 28
- eIDAS-Verordnung (EU) Nr. 910/2014
BaFin und Standards
- BaFin Orientierungshilfe IKT-Risiken KI 18.12.2025
- BSI C5
- DSGVO Art. 28
API-Standards
- Berlin Group NextGenPSD2
- STET PSD2 Specification
Sekundärquellen
- PwC KI-Finanzsektor 2025
Stand: · Nächste Überprüfung:
Hinweis zur Nutzung
Zur Orientierung — nicht als Mandatsersatz
Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die anwaltliche Würdigung im Einzelfall noch eine fachanwaltliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt rechtlich zu bewerten ist, welche Anträge in Ihrem konkreten Mandat richtig sind — das bleibt selbstverständlich bei Ihnen.
KI-Outputs müssen vor jeder Verwendung anwaltlich geprüft werden. Insbesondere Urteils-Aktenzeichen, Norm-Verweise und Fristen sind gegen Primärquellen zu verifizieren. anymize gewährleistet die Vertraulichkeit der Mandantendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit des Outputs liegt in Ihrer Verantwortung.
Jetzt starten.
14 Tage kostenlos testen.
Alle Modelle. Alle Features. Keine Kreditkarte.
Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.
Dein KI-Arbeitsplatz wartet.