Risk-Scoring & Routing
GEALAN Fenster-Systeme GmbH
Stand: 15.02.2026
Version: 3.1
Überblick
Das Risk-Scoring-System ist das Herzstück des E2E KI-Checks. Es ermöglicht eine objektive, quantitative Risikobewertung jedes KI-Use-Cases und steuert die automatische Routing-Entscheidung.
Ziele:
- ✅ Objektive Risikobewertung (keine subjektive Einschätzung)
- ✅ Schnellere Bearbeitung durch Priorisierung
- ✅ Ressourcenschonung (Fast-Track für Low-Risk-Fälle)
- ✅ Transparenz & Nachvollziehbarkeit
Prozessschritt: Schritt 1 – Formalisierung & Risk-Scoring
Risk-Scoring-Matrix (6 Kriterien)
Die Risikobewertung erfolgt anhand von 6 Kriterien, die jeweils mit 1-3 Punkten bewertet werden:
Kriterium 1: Datenart
Frage: Welche Art von Daten verarbeitet die KI?
| Punkte | Bewertung | Beschreibung | Beispiele |
|---|---|---|---|
| 1 | Niedrig | Keine personenbezogenen Daten | Wetterdaten, öffentliche Statistiken, anonymisierte Aggregatdaten |
| 2 | Mittel | Personenbezogene Daten (allgemein) | Namen, E-Mail-Adressen, Kundennummern, Rechnungsadressen |
| 3 | Hoch | Besondere Kategorien (Art. 9 DSGVO) | Gesundheitsdaten, biometrische Daten, rassische/ethnische Herkunft, Religion, politische Meinung, Gewerkschaftszugehörigkeit, sexuelle Orientierung |
Rechtliche Grundlage: DSGVO Art. 4 Nr. 1 (personenbezogene Daten), Art. 9 (besondere Kategorien)
Kriterium 2: Autonomie
Frage: Wie stark greift die KI in Entscheidungen ein?
| Punkte | Bewertung | Beschreibung | Beispiele |
|---|---|---|---|
| 1 | Niedrig | Rein unterstützend (100 % manuell) | KI gibt Vorschläge, Mensch entscheidet vollständig selbst |
| 2 | Mittel | Teil-automatisiert (KI schlägt vor, Mensch genehmigt) | KI erstellt Entwürfe, Mensch überprüft & genehmigt vor Umsetzung |
| 3 | Hoch | Automatisierte Entscheidung (ohne Human-in-the-Loop) | KI trifft Entscheidung und führt aus, Mensch wird nur bei Ausnahmen informiert |
Rechtliche Grundlage: DSGVO Art. 22 (automatisierte Einzelentscheidungen), EU AI Act Art. 14 (Human Oversight)
Kriterium 3: Integration
Frage: Wie stark ist die KI in Unternehmenssysteme integriert?
| Punkte | Bewertung | Beschreibung | Beispiele |
|---|---|---|---|
| 1 | Niedrig | Stand-alone / Read-only | KI hat keinen Schreibzugriff, liest nur Daten (z. B. Reporting, Analyse) |
| 2 | Mittel | Schreibzugriff (1 System) | KI kann Daten in einem System ändern/erstellen (z. B. CRM-Updates) |
| 3 | Hoch | Multi-System-Integration | KI ist mit mehreren Systemen verbunden und synchronisiert Daten (z. B. ERP ↔ CRM ↔ HR) |
Rechtliche Grundlage: DSGVO Art. 32 (Sicherheit der Verarbeitung), IT-Sicherheitsgesetz
Kriterium 4: Reichweite
Frage: Wie viele Personen nutzen oder sind betroffen von der KI?
| Punkte | Bewertung | Beschreibung | Nutzeranzahl |
|---|---|---|---|
| 1 | Niedrig | Pilot (begrenzte Nutzergruppe) | 1-5 Personen |
| 2 | Mittel | Team/Bereich | 6-100 Personen |
| 3 | Hoch | Unternehmensweit | >100 Personen |
Rechtliche Grundlage: DSGVO Art. 35 Abs. 3 lit. b (umfangreiche Verarbeitung → DSFA)
Kriterium 5: Externe Weitergabe
Frage: Werden Daten an externe Empfänger übermittelt?
| Punkte | Bewertung | Beschreibung | Beispiele |
|---|---|---|---|
| 1 | Niedrig | Nein | Daten bleiben intern, keine Exportfunktion |
| 2 | Mittel | Möglich (z. B. manueller Export, Copy/Paste) | User kann Daten exportieren/teilen, aber nicht automatisch |
| 3 | Hoch | Ja (automatische Weitergabe) | KI übermittelt Daten automatisch an Dritte (z. B. API, Sub-Processor, externe Datenbank) |
Rechtliche Grundlage: DSGVO Art. 44-49 (Drittlandtransfer), Art. 28 (Auftragsverarbeitung)
Kriterium 6: HR-Kontext (Beschäftigungsverhältnis)
Frage: Werden Mitarbeiterdaten verarbeitet oder Beschäftigte bewertet?
| Punkte | Bewertung | Beschreibung | Beispiele |
|---|---|---|---|
| 1 | Niedrig | Nein | Keine Mitarbeiterdaten, keine HR-Prozesse |
| 2 | Mittel | Indirekt (z. B. Meeting-Notizen mit Namen) | Mitarbeiter sind erwähnt, aber keine Bewertung/Profiling |
| 3 | Hoch | Direkt (Bewerbung, Bewertung, Profiling) | CV-Screening, Leistungsbewertung, Verhaltensanalyse, Beförderungsentscheidung |
Rechtliche Grundlage: BetrVG §§ 87, 94, 95 (Mitbestimmung), EU AI Act Anhang III Nr. 4 (Hochrisiko: HR)
Gesamt-Score & Routing-Logik
Score-Berechnung
Formel:
Gesamt-Score = Datenart + Autonomie + Integration + Reichweite + Externe Weitergabe + HR-Kontext
Wertebereich: 6-18 Punkte
Routing-Tabelle
Der Gesamt-Score bestimmt den Prüfpfad:
| Risk-Score | Routing | Beschreibung | SLA (ca.) |
|---|---|---|---|
| 6-9 Punkte | Fast-Track | Risikoarmer Use Case, verkürzte Prüfung möglich | 10-15 Arbeitstage |
| 10-14 Punkte | Standard | Mittleres Risiko, vollständige Fachprüfungen erforderlich | 4-6 Wochen |
| 15-18 Punkte | Vollprüfung (High-Risk) | Hohes Risiko, vertiefte Analyse & erweiterte Auflagen | 6-8 Wochen |
Fast-Track-Pfad (6-9 Punkte)
Voraussetzungen für Fast-Track
Ein Use Case kann den Fast-Track nehmen, wenn alle folgenden Kriterien erfüllt sind:
✅ Risk-Score 6-9 Punkte
✅ Keine besonderen Kategorien (Art. 9 DSGVO)
✅ Kein HR-Kontext (kein direkter Bezug zu Beschäftigten)
✅ Kein Profiling (keine automatisierte Bewertung von Personen)
✅ Kein Schreibzugriff (Read-only oder Stand-alone)
✅ Keine externe Weitergabe (Daten bleiben intern)
Ablauf Fast-Track
Zeitersparnis: ~70 % (Schritte 3-6 entfallen)
Quick-Check (Schritt 2-FT):
- SOP-Relevanz
- AI-Act-Verbote (Art. 5)
- Fast-Track-Kriterien validieren
- Bei OK: Direkt zu Schritt 7 (Management-Entscheidung)
Standard-Pfad (10-14 Punkte)
Ablauf Standard-Pfad
Typische Use Cases:
- Datenanalyse mit Personenbezug (aber keine bes. Kategorien)
- KI-gestützte Vertragsprüfung
- Kundenservice-Chatbot (ohne automatisierte Entscheidungen)
- Interne Prozessoptimierung (mit Schreibzugriff)
Vollprüfung (High-Risk, 15-18 Punkte)
Ablauf Vollprüfung
Typische Use Cases:
- Multi-System-Integration mit Schreibzugriff
- HR-nahes Profiling (z. B. Kompetenzanalyse)
- Verarbeitung besonderer Kategorien (Art. 9 DSGVO)
- Automatisierte Entscheidungen mit Rechtswirkung
- Externe Weitergabe personenbezogener Daten
Erweiterte Prüfungen:
- Datenschutz: DSFA zwingend, erweiterte Rechtsgrundlagenprüfung
- IT-Security: Penetration-Test, detailliertes Audit-Logging, DLP-Regeln
- Betriebsrat: Verhandlung, erweiterte Transparenzpflichten
- Anbieter: Due Diligence, Sub-Processor-Audit, SCC-Prüfung
Beispiele nach Risk-Score
Beispiel 1: Meeting-Notizen (Score 7 → Fast-Track)
| Kriterium | Bewertung | Punkte | Begründung |
|---|---|---|---|
| Datenart | Personenbezogene Daten | 2 | Namen der Teilnehmer |
| Autonomie | Unterstützend | 1 | KI transkribiert nur, Mensch editiert |
| Integration | Stand-alone | 1 | Keine Systemintegration |
| Reichweite | Team | 2 | 10-20 Nutzer |
| Externe Weitergabe | Nein | 1 | Daten bleiben intern |
| HR-Kontext | Nein | 1 | Keine Mitarbeiterbewertung |
| Gesamt | Low-Risk | 8 | Fast-Track möglich |
Routing: Fast-Track (Schritt 1 → 2-FT → 7)
Beispiel 2: Kunden-Anfrage-Kategorisierung (Score 11 → Standard)
| Kriterium | Bewertung | Punkte | Begründung |
|---|---|---|---|
| Datenart | Personenbezogene Daten | 2 | Kundennamen, E-Mail |
| Autonomie | Teil-automatisiert | 2 | KI kategorisiert, Mensch überprüft Routings |
| Integration | Schreibzugriff (1 System) | 2 | Schreibt in CRM |
| Reichweite | Team | 2 | 50 Nutzer |
| Externe Weitergabe | Nein | 1 | Daten bleiben intern |
| HR-Kontext | Nein | 1 | Keine Mitarbeiterdaten |
| Gesamt | Medium-Risk | 10 | Standard-Pfad |
Routing: Standard (Schritt 1 → 2 → 3-6 → 7)
Beispiel 3: CV-Screening (Score 15 → Vollprüfung)
| Kriterium | Bewertung | Punkte | Begründung |
|---|---|---|---|
| Datenart | Besondere Kategorien | 3 | Bewerbungsfotos, ggf. Gesundheitsangaben |
| Autonomie | Automatisiert | 3 | KI erstellt Ranking automatisch |
| Integration | Schreibzugriff | 2 | Schreibt in Bewerbermanagementsystem |
| Reichweite | Bereich | 2 | HR-Abteilung (10 Personen) |
| Externe Weitergabe | Möglich | 2 | Export für externe Recruiter |
| HR-Kontext | Direkt | 3 | Bewerbungsauswahl |
| Gesamt | High-Risk | 15 | Vollprüfung + RBV-Verbot |
Routing: ⚠️ STOP in Schritt 2 (Hochrisiko gem. RBV nicht zulässig)
Übergang zu Schritt 2 (Gate)
Wichtig: Der Risk-Score aus Schritt 1 ist eine technische Klassifizierung. Die rechtliche Zulässigkeitsprüfung erfolgt in Schritt 2.
Abgrenzung:
- Schritt 1 (Risk-Scoring): Quantitative Bewertung (6 Kriterien, objektiv)
- Schritt 2 (Gate): Qualitative Bewertung (AI-Act-Verbote, RBV-Hochrisiko, rechtliche Würdigung)
Mögliche Ergebnisse in Schritt 2:
- ✅ Fast-Track bestätigt → direkt zu Schritt 7
- ✅ Standard-Pfad → Schritte 3-6
- ✅ Vollprüfung mit Auflagen → Schritte 3-6 (erweitert)
- ❌ STOP (AI-Act-Verbot oder RBV-Hochrisiko)
- ⚠️ HOLD (bis Rückfragen geklärt)
Vorteile des Risk-Scoring-Systems
| Vorteil | Beschreibung | Nutzen |
|---|---|---|
| Objektivität | Keine subjektiven Einschätzungen („fühlt sich riskant an") | Faire, nachvollziehbare Bewertung |
| Geschwindigkeit | Automatische Routing-Entscheidung | Fast-Track spart 70 % Zeit |
| Transparenz | Jede Punktvergabe ist dokumentiert & begründet | Revision-sicher, audit-fähig |
| Ressourcenschonung | Fachprüfer konzentrieren sich auf kritische Fälle | Effizientere Nutzung von DSB, IT-Security, BR |
| Konsistenz | Gleiche Use Cases erhalten gleichen Score | Keine Willkür, keine „Günstlingswirtschaft" |
Weiterführende Informationen
- Detailprozess Schritt 1: Siehe E2E_KI_Pruefung_V3.1_final.md, Abschnitt „Schritt 1"
- Detailprozess Schritt 2: Siehe E2E_KI_Pruefung_V3.1_final.md, Abschnitt „Schritt 2"
- Rechtlicher Rahmen: Siehe Seite „Rechtlicher Rahmen"
- KI Check - Use-case-Steckbrief: Template im Hub verfügbar