Eine forensische Analyse · 14 Minuten Lesezeit

Eine Hamburger Bank. 492.000 Euro. Eine fehlende Begründung.

Was im Oktober 2025 passiert ist – und warum es jeden Senior-Decider in Hamburg betrifft, dessen Software über Menschen entscheidet.

Lesen ↓ Direkt zum Workshop

Gosign · Decision-Layer-Architektur für regulierte AI Agents · 108 Engineers · Hallerstraße 8 seit 2001 · Quellcode beim Kunden

Über den Herausgeber

Gosign · Enterprise AI Agents Hamburg

Decision-Layer-Architektur für regulierte AI Agents in HR, Finance, Compliance, Logistik, Aviation, Versicherung, Medtech und Energie. Für gehobenen Mittelstand ab ~500 Mitarbeitenden bis DAX-Konzern.

108 Engineers · Hallerstraße 8 seit 2001 · Quellcode beim Kunden · Engineering auch remote, Workshop optional am Grindelberg.

Kapitel 1 — Der Fall

Eine Bank, die nicht erklären konnte, warum sie ablehnte.

Anfang 2025 lehnt eine Hamburger Bank Kreditkartenanträge automatisiert ab. Bewerber mit tadelloser Bonität. Auf die Frage, warum, liefert die Bank: keine Antwort.

Im Oktober 2025 verhängt die Hamburgische Datenschutzaufsicht ein Bußgeld von 492.000 Euro. Das Original-Bußgeld wäre nach Aufsichts-Einschätzung zwischen 1,5 und 2 Millionen Euro gewesen – die Bank hat kooperiert, nicht widersprochen, Prozesse verbessert. Diese Mitigation halbiert nicht den Fehler. Sie illustriert ihn.

Der juristische Kern: Verstöße gegen Art. 12, Art. 15 und Art. 22 DSGVO. Transparente Information, Auskunftsrecht, automatisierte Einzelentscheidung. Drei Artikel, ein Sachverhalt: Die Software hatte entschieden. Die Bank konnte den Pfad nicht rekonstruieren.

Im selben Jahr verhängt die HmbBfDI insgesamt 775.000 Euro an Bußgeldern. 2024 waren es 130.000. Eine Versechsfachung in zwölf Monaten. Wer das für Zufall hält, hat den Bridge Blueprint vom September 2025 nicht gelesen.

Kapitel 2 — Was ein Decision-Layer dort getan hätte

Die Entscheidungs-Akte, die die Bank nicht hatte.

Eine echte Decision-Record-Struktur, anonymisiert. Jede Zeile ist ein einzelner Entscheidungsschritt – Mensch, Regelwerk oder KI. Wenn die Bank das vorgelegt hätte, wäre das Verfahren anders ausgegangen.

DR-2025-09-14-0042

Antrag Kreditkarte Standard · Eingang 14.09.2025 · Entscheidung 14.09.2025 09:23:17

Ergebnis Abgelehnt
  1. 01REGEL

    Pflichtfelder vollständig

    Name · Geburtsdatum · Anschrift · Einkommensnachweis vorhanden. Versionsregel antrag_v3.2.

    ✓ Bestanden
  2. 02REGEL

    Volljährigkeit, Wohnsitz EU

    47 Jahre, Hamburg. Regel kyc_eu_v1.0.

    ✓ Bestanden
  3. 03REGEL

    Sanktionspruefung OFAC, EU, BaFin

    Listen-Match negativ. Regel sanctions_2025-09-12.

    ✓ Negativ
  4. 04KI

    Einkommens-Plausibilität (Modell income-est-v2.4)

    Eingabe: Lohnabrechnungen 6 Monate, Branche, Berufserfahrung. Ausgabe: Plausibel im Korridor 6.500 – 9.200 € netto/Monat.

    Confidence 0.94 · Schwelle 0.85

    ✓ Plausibel
  5. 05REGEL

    SCHUFA-Score Schwellwert

    SCHUFA 95 (Skala 0 – 100). Schwelle für Standard-Karte: ≥ 90. Regel schufa_v4.1.

    ✓ Bestanden
  6. 06KI

    Verhaltens-Score (Modell behavior-score-v1.7)

    Eingabe: Antragshäufigkeit über alle Banken (24 Monate), Banking-Verhalten in der Antragsstrecke (Pause-Zeiten, Korrektur-Klicks). Ausgabe: Risiko-Indikator 0.71.

    Confidence 0.62 · Schwelle 0.85 → unter Schwelle

    ▲ Eskalation Schritt 07
  7. 07MENSCH

    Manuelle Prüfung – sollte hier passieren

    Im Realfall der Bank: nicht erfolgt. Der Risiko-Indikator wurde direkt in die Ablehnungs-Entscheidung übernommen, ohne Eskalation an einen Sachbearbeiter. Genau hier hätte der Decision Layer technisch erzwungen, dass ein Mensch entscheidet.

    — fehlt —
  8. 08REGEL

    Begründungstext nach Art. 13/15 DSGVO

    Im Realfall der Bank: nicht generiert. Decision-Layer-Pflicht: Aus Schritt 06 + 07 strukturierte Begründung erzeugen, die der Antragstellerin auf Auskunftsersuchen ausgehändigt werden kann.

    — fehlt —

Statisches Beispiel. Realer Decision Layer rendert dies live je Entscheidung – mit Audit-Trail in der Kunden-Infrastruktur.

Kapitel 3 — Der Standort

Hamburg konzentriert vier Aufsichten in einer Stadt.

Maritime, Aviation, Banking, Privacy. Plus Medtech, Konsumgüter, Versicherung. Wer in Hamburg eine KI-Architektur produktiv stellt und durch eine HmbBfDI-Prüfung kommt, kommt überall in der EU durch.

Speicherstadt & HafenCity Linienreedereien · UCC · IMDG · EU-MRV Finkenwerder Aerospace · EASA Part-21 · AS9100 Fuhlsbüttel MRO Luftfahrt · EASA Part-145 Adolphsplatz Marine-Versicherung · Solvency II · IFRS 17 Eimsbüttel & Hammerbrook Konsumgüter · KosmetikVO 1223/2009 Hamburg-Mitte Medtech-Endoskopie · MDR · IEC 62304 Bahrenfeld & Stade Erneuerbare Energien · BSH · WindSeeG · EEG

Hamburg ist 2026 nicht mehr unter den Top-3-Häfen Europas. MSC drängt die HHLA-Minderheitsaktionäre raus. Hapag-Lloyd übernimmt ZIM, weil Wachstum durch Konsolidierung die einzige Antwort bleibt. Der Hafen ist nicht mehr neutral. Aber etwas anderes ist konzentriert geblieben: Compliance-Welten. Vier Aufsichten in einer Stadt. Eine KI, die hier durchkommt, kommt überall durch.

Kapitel 4 — Volumen

Was ein Decision-Layer pro Tag erzeugt – in Hamburger Größenordnungen.

Plausibilitätsannahmen aus branchenüblichen Größenordnungen. Keine garantierten Kennzahlen, sondern strukturelle Anhaltspunkte für Volumen und Decision-Splits pro Use-Case.

Linienreederei · 200 Schiffe

Bills of Lading

12.000Vorgänge / Tag

  • REGEL 75 %
  • KI 20 %
  • MENSCH 5 %

„HS-Code-Match deterministisch, Sprachvarianten der B/Ls aus 60+ Ländern KI-klassifiziert, Gefahrgut-Eskalation an Zoll-Sachbearbeiter."

MRO · 800 Lizenz-Mechaniker

Service Bulletins

200Verteilungen / Tag

  • REGEL 60 %
  • KI 30 %
  • MENSCH 10 %

„MSN/ESN-Mapping aus EASA-Bulletin, Sprachversionen KI-klassifiziert, Form-1-Vorprüfung durch Certifying Staff."

Marine-Versicherung · Adolphsplatz

Schadentriage Solvency II

60Fälle / Tag

  • REGEL 40 %
  • KI 35 %
  • MENSCH 25 %

„Limitprüfung deterministisch, Survey-Klassifikation per KI, Ermessensentscheidung beim Underwriter."

Medtech · 64 Länder

MDR-Vigilance-Tickets

80Tickets / Tag

  • REGEL 50 %
  • KI 30 %
  • MENSCH 20 %

„15-Tage-Frist und BfArM-Klassifikation regelhaft, Severity-Match per KI, Vorfall-Bewertung Notified-Body durch Compliance-Team."

Mittelstand bis DAX · 500–10.000 MA

HR-Personalmaßnahmen

400Vorgänge / Tag

  • REGEL 35 %
  • KI 15 %
  • MENSCH 50 %

„Tarifvertrags-Logik regelhaft, Stammdaten-Match per KI, Bewertung/Beförderung/Auswahl Pflicht beim Menschen (EU AI Act Anhang III)."

Audit-Trail pro Vorgang: Regel-Version, Input-Hash, Confidence-Score, Eskalations-Pfad, Entscheidungs-Zeitstempel. Bei einem Hauptzollamt-Termin oder einer EASA-Beanstandung wandert nicht das Resultat über den Tisch, sondern der Pfad. Decision Layer im Detail.

Kapitel 5 — Brief an den Leser

Was wir nicht bauen.

Wir verkaufen nichts an Berliner Series-A-Startups.

Wir bauen keine Sentiment-Analyse von Mitarbeiter-Slacks. Wir bauen keine Performance-Reviews per AI. Wir bauen keine Bias-Engines, die als „Auswahl-Hilfe" verkauft werden.

Vier von fünf KI-Projekten im deutschen Mittelstand scheitern. Wir reden nicht darüber, was wir können. Wir reden darüber, woran die anderen vier scheitern – und wie Sie es nicht tun.

Sie wissen besser als wir, was in Ihrem Haus geht. Unser Job: Ihre Entscheidung schneller machen, nicht ersetzen.

Andere versprechen DSGVO-Konformität als Verkaufsargument. Wir bauen Decision-Records, die die HmbBfDI im Klartext liest.

Kapitel 6 — Engineering vor Ort

Donnerstag, 9:30 Uhr, Hallerstraße 8.

Backstein-Kontorhaus von 1908, Eckhaus an der Hallerstraße. Gosign auf der zweiten Etage. Engineering, Governance, Geschäftsführung – alle in Hamburg. Nicht in Berlin, nicht in München.

Workshop-Sessions mit Betriebsrat finden im Schulungszentrum am Grindelberg statt. 1,2 Kilometer Fußweg, separater Raum, kein Tagesgeschäft-Lärm. Vor-Ort-Termine in HafenCity, Adolphsplatz, Finkenwerder oder Fuhlsbüttel sind im selben Tag erreichbar.

Gosign GmbH ist seit Gründung in Hamburg. 25 Jahre Softwareentwicklung. Rund 108 Mitarbeitende (Stand 2026). Über 5.000 abgeschlossene Projekte für Häuser wie Airbus, Volkswagen, Shell. Quellcode, Prompts und Regelwerke gehen vertraglich an den Kunden. Nach 12 – 18 Monaten betreiben Sie Ihre Agenten ohne uns.

Das Erfolgskriterium ist Ihr Verzicht auf uns – nicht der nächste Retainer.

Genannte Markennamen sind Eigentum ihrer jeweiligen Inhaber. Die Nennung erfolgt zu Referenz-Zwecken und impliziert keine Partnerschaft oder Empfehlung.

Kapitel 7 — Was Sie konkret bekommen

Discovery-Workshop am Grindelberg. Drei Tage. Ein Liefer-Artefakt.

Tag 1

Prozessanalyse

Wir hören zu. Welche Prozesse, welche Regelwerke, welche Aufsichten, welche Mitbestimmungs-Realitäten? Keine Folien.

Tag 2

Decision-Layer-Mapping

Wir zeichnen für drei Top-Use-Cases die Entscheidungskette auf – Mensch, Regel, KI. Confidence-Schwellen, Eskalations-Pfade, Audit-Pflichtfelder.

Tag 3

Use-Case-Priorisierung

Welcher Use-Case wird produktiv – und in welcher Reihenfolge? Pilot-Pfad, Risk-Bewertung, Ressourcen-Plan.

Sie nehmen mit

  • Decision-Layer-Skizze für Ihre 3 Top-Use-Cases
  • Risk-Bewertung pro Use-Case (HmbBfDI-relevant, Mitbestimmungs-relevant, Aufsichts-relevant)
  • Roadmap mit konkretem Pilot-Pfad und Kosten-Korridor
Workshop-Termin am Grindelberg vereinbaren

Discovery-Workshop unter 10.000 €. Pilot-Festpreis besprechen wir nach dem Workshop.

← Zur Übersicht: AI Agents Hamburg (7 Use-Cases)

Anhang — Häufige Fragen

Was unterscheidet die Decision-Layer-Architektur von einem Chatbot oder Microsoft Copilot?
Ein Chatbot beantwortet Fragen. Microsoft Copilot macht Vorschläge. Beides sind keine Agenten mit Entscheidungsverantwortung. Die Decision-Layer-Architektur zerlegt jeden Geschäftsprozess in einzelne Entscheidungsschritte und definiert pro Schritt vorab: Mensch, deterministisches Regelwerk oder KI eigenständig. Jede Entscheidung wird dokumentiert mit Regel-Version, Input-Hash und Begründung. Genau das verlangt die HmbBfDI bei automatisierten Entscheidungen, genau das prüfen Wirtschaftsprüfer nach IDW PS 951.
Welcher Hamburger Use Case eignet sich als erster Agent?
Document-heavy Prozesse mit Compliance-Pflicht und hohem Volumen: Bills of Lading in der Reederei (Unionszollkodex, IMDG, EU-MRV), Service Bulletins in MRO/Aerospace (EASA Part-145), Solvency-II-Reporting in Versicherung, Vigilance-Tickets in Medtech (MDR EU 2017/745), Personalentscheidungen unter EU AI Act Anhang III. Gemeinsam: klares Regelwerk, Audit-Trail-Pflicht, hohes Tagesvolumen. 4-6 Wochen bis produktiv.
Wer haftet bei einer KI-Fehlentscheidung im Hamburger Audit-Kontext?
Die Verantwortung bleibt beim Unternehmen - aber sie ist rekonstruierbar. Der Decision Layer dokumentiert pro Entscheidungsschritt: Regel-Version, Input-Hash, Confidence-Score, ob ein Mensch eingegriffen hat. Bei einem HmbBfDI-Audit oder einer EASA-Beanstandung wandert nicht das Resultat über den Tisch, sondern der Pfad. Genau diese Erklärbarkeit fehlte in dem Fall, für den die HmbBfDI 2025 ein Bußgeld von 492.000 Euro gegen ein Finanzunternehmen verhängt hat.
Bietet Gosign Workshops vor Ort in Hamburg an?
Ja. Hauptsitz Hallerstraße 8 in 20146 Hamburg. Schulungszentrum Grindelberg 77 (1,2 km entfernt) für Discovery-Workshops, Betriebsrats-Sessions und Auditor-Trainings. Vor-Ort-Termine in HafenCity, Adolphsplatz, Finkenwerder oder Fuhlsbüttel im selben Tag erreichbar. Engineering-Counterpart sitzt in Hamburg, nicht in Berlin oder München.
Was kostet ein Discovery-Workshop und ein erster produktiver Agent?
Discovery-Workshop unter 10.000 Euro (1 Woche, im Schulungszentrum Grindelberg). Erster produktiver Agent als Festpreis-Pilot in einem definierten Korridor pro Use-Case-Komplexität - die Bandbreite besprechen wir nach dem Discovery-Workshop. Nach 12-18 Monaten betreiben Sie Ihre Agenten eigenständig - Quellcode, Prompts und Regelwerke gehören Ihnen, vertraglich geregelt.
Was ist der Bridge Blueprint vom HmbBfDI?
Diskussionspapier vom September 2025, gemeinsam publiziert von der Hamburgischen Datenschutzaufsicht und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein. Übersetzt DSGVO-Prinzipien in technische Architektur-Anforderungen für KI-Systeme: Datenminimierung als Qualitätsanforderung an KI, Datenschutz-Folgenabschätzung als strategisches Risk-Instrument, Erklärbarkeit als Architektur-Prinzip statt nachgelagerte Compliance-Übung. Verlangt eine transparente und nachvollziehbare Kette des gesamten Entscheidungsprozesses auf Systemebene.
Was unterscheidet Gosign von anderen AI-Agencies in Hamburg?
Drei Punkte. Erstens: Decision-Layer-Architektur als Produkt-IP - jeder Entscheidungsschritt vorab definiert als MENSCH, REGELWERK oder KI AUTONOM, mit Audit-Trail, Confidence-Score und Eskalations-Pfad. Zweitens: Quellcode, Prompts und Regelwerke gehen mit Repository-Übergabe vertraglich an den Kunden - nach 12-18 Monaten betreiben Sie Ihre Agenten ohne uns. Drittens: 25 Jahre Engineering, 108 Mitarbeitende, Hauptsitz Hallerstraße 8 seit 2001 - keine Boutique, kein Berliner Series-A-Startup. Der Einstieg ist immer gleich: ein Prozess, ein Agent, produktiv in 4-6 Wochen.