Use-Case Banking · Arabellapark · ECB SSM + BaFin MaGo + CSRD

Banking mit Decision-Layer - UniCredit Bank GmbH (HVB) im Arabellapark unter ECB SSM + BaFin MaGo + CSRD

Q: Was ist ECB SSM und wie greift es bei HVB?

Der Single Supervisory Mechanism (SSM) ist die EU-Bankenaufsicht durch die ECB für Significant Institutions (Bilanzsumme über 30 Mrd. EUR oder Top-3 im Land) - und die UniCredit Bank GmbH zählt dazu. Geführt wird sie von einem Joint Supervisory Team (JST), in dem auch BaFin und Bundesbank vertreten sind. Die Aufsicht reicht von ICAAP und ILAAP über Stress-Tests, MREL/TLAC und Basel-IV bis zur AI-Risk-Modell-Governance. Der Decision-Layer-Audit-Trail stützt ECB-JST-Inspektionen mit dokumentierter Modell-Validation, Use-Test und Backtesting-Records.

Q: Wie wird BaFin MaGo + MaRisk in Banking mit Decision-Layer abgedeckt?

MaRisk (BaFin-Rundschreiben zu den Mindestanforderungen an das Risikomanagement) und die neue MaGo (Inkrafttreten 14.10.2025) verschärfen Modell-Governance und Use-Test-Pflicht. Verlangt werden ein dokumentierter Modell-Validation-Prozess, Backtesting, Use-Test und Governance-Records. Bei AI-Risk-Modellen wie Credit-Risk-Scoring, Anti-Money-Laundering oder Fraud-Detection führt der Decision-Layer einen Audit-Trail je Entscheidung mit Modell-Version, Input-Hash, Confidence-Score und Use-Test-Logging - inklusive DPO- und CRO-Sign-Off-Pfaden bei Validierungs-Audits.

Q: Was bedeutet CSRD-ESG-Reporting für Münchner Bank?

Die CSRD (EU 2022/2464) verlangt von großen Banken ESG-Reporting nach ESRS-Standards ab Geschäftsjahr 2024 (Bericht 2025); die HVB berichtet dabei über die Konsolidierung der UniCredit Group. Erfasst werden müssen ESG-Daten aus Wertpapier- und Kredit-Portfolio, eigenen Operationen und Lieferkette, dazu EU-Taxonomie-Reporting und Pillar-3-Disclosures. AI-gestütztes ESG-Scoring wie Climate-Risk-Modellierung gilt als EU-AI-Act-Annex-III-Kandidat, weshalb der Decision-Layer Daten-Sourcing, Modell-Annahmen und Override-Records nachvollziehbar dokumentiert.

Q: Wie wird DSGVO Art. 22 bei automatisierten Kredit-Decisions abgedeckt?

Eine automatisierte Kreditentscheidung wie Konsumkredit oder Kreditkarten-Approval fällt unter DSGVO Art. 22, weshalb der Antragsteller bei AI-Scoring über Logik, Tragweite und Anfechtungsrecht informiert werden muss. Was fehlende Architektur kostet, zeigt der Hamburger Bank-Fall 2025 (HmbBfDI, 492.000 EUR - siehe Hanseatische Akte). Der Decision-Layer teilt die Entscheidung dreifach: das Regelwerk prüft Eligibility, KYC und Sanctions, die KI scort autonom bis zum Confidence-Threshold, und der Mensch entscheidet zwingend bei einer Confidence unter 0.85 oder bei Ablehnung mit erheblicher Auswirkung - jeder Decision-Record erzeugt zugleich die DSGVO-Art-15-Auskunft.

UniCredit Bank GmbH (HVB) im Arabellapark. ECB SSM Aufsicht direkt + BaFin MaGo + CSRD-ESG-Reporting. AI-Risk-Modell-Governance + automatisierte Kreditentscheidungen unter DSGVO Art. 22.

Workshop am Grindelberg Alle 7 Use-Cases ←

Kapitel 1 — Vier Aufsichten, ein Decision-Layer

ECB SSM + BaFin MaGo + CSRD + DSGVO Art. 22 - in einer Decision-Chain pro Banking-Decision.

UniCredit Bank GmbH (HVB, Arabellastraße 12, 81925 München-Bogenhausen, HVB-Tower) ist Significant Institution unter ECB SSM-Aufsicht direkt. Bilanzsumme als Münchner Konzern-Tochter der UniCredit-Group (Mailand). Plus BayernLB (Brienner Straße, München-Maxvorstadt) als zweite Münchner Significant Institution. Plus Asset-Manager (Allianz Global Investors, DWS München, KGAL) unter MiFID II + AIFMD-Aufsicht.

Vier parallele Aufsichts-Welten pro Banking-Decision: ECB SSM mit Joint Supervisory Team (JST) inkl. BaFin/Bundesbank-Vertretern, ICAAP/ILAAP, EBA-/ECB-Stress-Tests, Basel-IV-Implementation. BaFin MaGo + MaRisk mit Modell-Governance + Use-Test-Pflicht (MaGo Inkrafttreten 14.10.2025). CSRD-ESG-Reporting nach ESRS-Standards ab GJ 2024 mit AI-Risk-Komponenten für Climate-Risk-Modellierung. DSGVO Art. 22 bei automatisierten Kredit-/Kreditkarten-Decisions.

Plus weitere Regulatorik: MiFID II + AIFMD für Asset-Manager (AGI, DWS). BaFin-AML-Pflicht für Anti-Money-Laundering-Decisions. EU AI Act Anhang III Punkt 5(b) für Kreditwürdigkeits-Bewertung als Hochrisiko (ab 02.12.2027 Hochrisiko-Pflichten, Bußgeld-Regime seit 02.08.2026). BayLDA-KI-Checkliste vom 24.01.2024 für DSGVO-Schicht.

Decision-Layer-Split typisch für Banking-Decision: 45% REGELWERK (KYC + AML + Sanctions-Liste-Match + Eligibility + Regulatorik-Limits), 30% KI AUTONOM (Credit-Scoring, Fraud-Detection-Patterns, ESG-Scoring, AML-Anomalie-Erkennung), 25% MENSCH (Ablehnungen mit erheblicher Auswirkung + DSGVO-Art-22-Eskalation, Manueller AML-Review bei verdächtigen Patterns, Modell-Validation-Audit-Sign-Off).

Kapitel 2 — Decision-Record für eine automatisierte Kreditkarten-Decision

Wie eine Münchner Banking-Decision den DSGVO-Art-22-Standard nach HmbBfDI-Vorbild erfüllt.

Anonymisierter Decision-Record für eine Kreditkarten-Approval-Decision bei einem Münchner Significant Institution. Direkter Bezug zur Hanseatischen Akte (Hamburger Bank EUR 492.000 wegen fehlender DSGVO-Art-22-Architektur). Münchner Banking macht es anders - mit Decision-Layer.

KK-APP-2026-05-17-MUC-INT-0921

Kreditkarten-Antrag Standard · Antrag 17.05.2026 09:21:42 · Antragsteller 38 Jahre · München-Schwabing

Ergebnis Bewilligt · DSGVO-Art-15-Begründung vorbereitet · Audit-Trail persistiert

01 REGEL

Pflichtfeld-Validation + KYC

Antrag-Pflichtfelder kompletiert (Name, Geburtsdatum, Adresse München-Schwabing, Einkommens-Nachweis 6 Monate). Identitäts-Verifikation (VideoIdent). KYC-Status: aktiv. Regel kyc_kk_v3.2.

✓ KYC verifiziert
02 REGEL

Volljährigkeit + EU-Residenz

38 Jahre, München-Schwabing (EU-Residenz). Standard-Antrag, kein Sonderfall. Regel elig_eu_v1.0.

✓ Eligibility OK
03 REGEL

Sanctions-Kontrolle (OFAC, EU, BaFin)

Antragsteller gegen OFAC-, EU-, BaFin-Sanctions-Listen gemappt. Negativer Match. Regel sanctions_2025-09-12.

✓ Negativ
04 KI

Income-Plausibility (Modell <code>income-est-v2.4</code>)

Input: Lohnabrechnungen 6 Monate, Branche, Berufserfahrung. Output: plausibel im Range 6.500-9.200 EUR netto/Monat.

Confidence 0.94 · Schwelle 0.85

✓ Plausibel
05 REGEL

SCHUFA-Schwellwert-Check

SCHUFA-Score 95 (Skala 0-100). Schwelle für Standard-Karte: min 90. Regel schufa_v4.1.

✓ OK
06 KI

Behavior-Score (Modell <code>behavior-score-v1.7</code>)

Input: Antrag-Häufigkeit über alle Banken (24 Monate), Banken-Verhalten im Antrag-Flow. Output: Risk-Indicator 0.42.

Confidence 0.91 · Schwelle 0.85

✓ Low Risk
07 REGEL

Anti-Diskriminierungs-Pre-Check (AGG + BayLDA-Checkliste)

Statistische Parität gegen Vorjahres-Approval-Quote (Geschlecht, Alter, Wohnort, Nationalität). Antragsteller (38 Jahre, München-Schwabing, deutsch) im Toleranz-Korridor. BayLDA-KI-Checkliste-Schutzziel Fairness erfüllt. Regel agg_baylda_v3.2.

✓ Im Korridor
08 MENSCH

Approval bei Confidence > 0.85 = Auto-Approval (kein Mensch-Stop)

Alle Confidence-Scores über Schwelle, Risk-Indicator low, Bias-Check OK. Auto-Approval-Pfad. Bei jeder Ablehnung oder Confidence < 0.85: Mensch-Pflicht (Sachbearbeiter-Sign-Off). Bei diesem Antrag: keine Mensch-Eskalation. DSGVO-Art-22 erlaubt Auto-Decision wenn klar dokumentiert + Anfechtungsrecht vorbereitet.

✓ Auto-Approval
09 REGEL

DSGVO Art. 15 + Art. 22 Anfechtungs-Pfad-Vorbereitung

Bei jedem Decision-Record automatisierte Begründungs-Generierung mit: verwendete Modell-Versionen, Eingabe-Kriterien (anonymisiert), Confidence-Scores, Decision-Pfad. Anfechtungs-Pfad mit Frist (1 Monat), Eskalation an Sachbearbeiter, Recht auf manuelle Re-Bewertung. Hamburg-Hanseatische-Akte-Lesson direkt umgesetzt: kein automatisierter Reject ohne Begründungs-Generierung. Regel dsgvo_art22_v1.4.

✓ Anfechtungs-Pfad bereit
10 REGEL

Audit-Trail-Persist (BaFin MaGo + ECB SSM + DSGVO + EU AI Act)

Vollständiger Decision-Record persistiert: Modell-Versionen, Input-Hashes, Confidence-Scores, Use-Test-Logging (MaGo-Anforderung), Bias-Check-Werte, DSGVO-Art-22-Auto-Decision-Status. 1-Klick-Export für BaFin-MaGo-Format, ECB-JST-Inspection-Sicht, DSGVO-Auskunfts-Format, EU AI Act Art. 12 Logging. Regel audit_bafin_ecb_v1.4.

✓ Audit-Trail persistiert

Kapitel 3 — Workshop im Munich Urban Colab oder bei HVB/BayernLB

Engineering aus Hamburg, Workshop am Arabellapark oder in Maxvorstadt.

Engineering-Hauptsitz Hallerstraße 8 Hamburg. Münchner Workshop vor Ort. HVB-Tower (Arabellastraße 12, Bogenhausen) oder BayernLB (Brienner Straße, Maxvorstadt) oder Munich Urban Colab als neutraler Boden. Separate Räume für CRO-Session (Modell-Risk-Manager-Workshop), Compliance/DPO-Briefing, BR-Sitzung, ECB-JST-Vorbereitungs-Demo. Workshop unter 10.000 EUR.

Banking-Workshop-Pattern: Tag 1 = Stakeholder-Mapping (CRO + Head of Model Risk Management + Compliance + DPO + BR). Tag 2 = Decision-Layer-Demo mit Banking-Use-Cases (Kreditkarten-Approval, Credit-Scoring, AML-Detection, Fraud-Patterns, ESG-Scoring). Tag 3 = ECB-SSM-/BaFin-MaGo-Audit-Trail-Integration + Mock-JST-Inspection mit Use-Test-Workflow + DSGVO-Art-22-Workflow nach Hamburger Bank-Lesson.

Integration mit Banking-IT: Decision-Layer integriert mit Core-Banking-Systemen: HVB nutzt UniCredit-Group-Stack (interne Systeme), BayernLB nutzt OSPlus von Finanz Informatik (Sparkassen-Gruppe-Standard). Plus Kredit-Scoring-Plattformen (FICO, Experian, SCHUFA), AML-Tools (NICE Actimize, SAS AML, Oracle Financial Crime Compliance), ECB-/EBA-Reporting-Suiten (AxiomSL, BearingPoint Abacus). Quellcode der Adapter geht mit Repository-Übergabe an die Bank - kein Vendor Lock-in.

Hanseatische-Akte-Lesson für Banking: Der Hamburger-Bank-Fall (HmbBfDI EUR 492.000 Oktober 2025 wegen DSGVO Art. 12, 15, 22) ist Münchner-Banking-Pflicht-Lektüre. Verlinkung: Hanseatische Akte. Münchner Banking macht es anders: jeder automatisierte Reject mit DSGVO-Art-15-Begründungs-Generierung. Jede AI-Decision mit Audit-Trail per Mensch-im-Loop-Eskalations-Pfad.

Verwandte Use-Cases

Häufige Fragen

Welche Münchner Banking-Player adressiert diese Spoke?

UniCredit Bank GmbH (HVB, Arabellastraße 12, 81925 München-Bogenhausen, HVB-Tower im Arabellapark) - größte Münchner Bank, Teil UniCredit Group (Mailand). Plus: Münchner Bank eG, Stadtsparkasse München, Bayerische Landesbank (BayernLB, Brienner Straße - direkt in München-Maxvorstadt). Plus Asset-Manager: Allianz Global Investors (AGI), DWS München, KGAL. Für UniCredit Bank GmbH gilt: ECB SSM-Aufsicht direkt (Significant Institution), BaFin als National Competent Authority, Bundesbank für Geldpolitik.

Was ist ECB SSM und wie greift es bei HVB?

Der Single Supervisory Mechanism (SSM) ist die EU-Bankenaufsicht durch die ECB für Significant Institutions (Bilanzsumme über 30 Mrd. EUR oder Top-3 im Land) - und die UniCredit Bank GmbH zählt dazu. Geführt wird sie von einem Joint Supervisory Team (JST), in dem auch BaFin und Bundesbank vertreten sind. Die Aufsicht reicht von ICAAP und ILAAP über Stress-Tests, MREL/TLAC und Basel-IV bis zur AI-Risk-Modell-Governance. Der Decision-Layer-Audit-Trail stützt ECB-JST-Inspektionen mit dokumentierter Modell-Validation, Use-Test und Backtesting-Records.

Wie wird BaFin MaGo + MaRisk in Banking mit Decision-Layer abgedeckt?

MaRisk (BaFin-Rundschreiben zu den Mindestanforderungen an das Risikomanagement) und die neue MaGo (Inkrafttreten 14.10.2025) verschärfen Modell-Governance und Use-Test-Pflicht. Verlangt werden ein dokumentierter Modell-Validation-Prozess, Backtesting, Use-Test und Governance-Records. Bei AI-Risk-Modellen wie Credit-Risk-Scoring, Anti-Money-Laundering oder Fraud-Detection führt der Decision-Layer einen Audit-Trail je Entscheidung mit Modell-Version, Input-Hash, Confidence-Score und Use-Test-Logging - inklusive DPO- und CRO-Sign-Off-Pfaden bei Validierungs-Audits.

Was bedeutet CSRD-ESG-Reporting für Münchner Bank?

Die CSRD (EU 2022/2464) verlangt von großen Banken ESG-Reporting nach ESRS-Standards ab Geschäftsjahr 2024 (Bericht 2025); die HVB berichtet dabei über die Konsolidierung der UniCredit Group. Erfasst werden müssen ESG-Daten aus Wertpapier- und Kredit-Portfolio, eigenen Operationen und Lieferkette, dazu EU-Taxonomie-Reporting und Pillar-3-Disclosures. AI-gestütztes ESG-Scoring wie Climate-Risk-Modellierung gilt als EU-AI-Act-Annex-III-Kandidat, weshalb der Decision-Layer Daten-Sourcing, Modell-Annahmen und Override-Records nachvollziehbar dokumentiert.

Wie wird DSGVO Art. 22 bei automatisierten Kredit-Decisions abgedeckt?

Eine automatisierte Kreditentscheidung wie Konsumkredit oder Kreditkarten-Approval fällt unter DSGVO Art. 22, weshalb der Antragsteller bei AI-Scoring über Logik, Tragweite und Anfechtungsrecht informiert werden muss. Was fehlende Architektur kostet, zeigt der Hamburger Bank-Fall 2025 (HmbBfDI, 492.000 EUR - siehe Hanseatische Akte). Der Decision-Layer teilt die Entscheidung dreifach: das Regelwerk prüft Eligibility, KYC und Sanctions, die KI scort autonom bis zum Confidence-Threshold, und der Mensch entscheidet zwingend bei einer Confidence unter 0.85 oder bei Ablehnung mit erheblicher Auswirkung - jeder Decision-Record erzeugt zugleich die DSGVO-Art-15-Auskunft.

Workshop am Grindelberg vereinbaren

3 Tage Discovery: Tag 1 Prozessanalyse, Tag 2 Decision-Layer-Mapping, Tag 3 Use-Case-Priorisierung. Konkretes Liefer-Artefakt.

Termin vereinbaren

Discovery-Workshop unter 10.000 €. Pilot-Festpreis besprechen wir nach dem Workshop.

← Zur Übersicht: AI Agents Hamburg (7 Use-Cases)