KMU-Kreditwürdigkeitsprüfung Echtzeitdaten

Das echte Ausmaß des Problems

In Deutschland gehen laut Bundesbank-Statistik jährlich über eine Million Kreditanträge von Unternehmen ein, der größte Teil davon von kleinen und mittelständischen Betrieben. Das KMU-Kreditgeschäft ist die Kernkompetenz jeder Sparkasse und Volksbank — aber auch das Segment mit dem größten Effizienzproblem.

Der Grund liegt im Prozess. Ein KMU-Kreditantrag im Bereich 50.000 bis 2 Millionen Euro erfordert typischerweise:

• Jahresabschluss-Analyse: Der aktuelle Abschluss liegt oft nicht vor. Der vorliegende ist 12–24 Monate alt. Seiten fehlen, Zahlen müssen manuell in Ratingsysteme übertragen werden. Erfahrungswert aus der Bankingpraxis: 4–8 Stunden pro vollständiger Akte.
• Kontoauszug-Prüfung: Drei bis zwölf Monate Kontoauszüge werden manuell auf Auffälligkeiten, Regelmäßigkeit der Zahlungseingänge und Überziehungsverhalten durchgesehen. Bei Betrieben mit mehreren Konten: kumulierter Aufwand.
• Brancheneinordnung: Was ist für eine Schlosserei in Südhessen normal? Was ist ein Warnsignal? Diese Kontextualisierung fehlt in Standardformularen und erfordert Erfahrung oder manuelle Recherche.

Das Ergebnis: Bei komplexeren KMU-Anträgen dauert die Entscheidung sechs bis zwölf Wochen — eine Zahl, die Fintechs gezielt gegen Filialbanken ausspielen. Teylor, iwoca und Banxware entscheiden über Unternehmenskredite bis 500.000 Euro innerhalb von 48 Stunden, auf Basis von Echtzeitdaten aus dem Online-Banking. Sie müssen keinen Jahresabschluss einfordern, weil sie ihn durch aktuelle Kontobewegungen ersetzen.

Laut einer Umfrage des HSLU Retail Banking Instituts (2023) ist der Onboarding-Prozess — nicht die Zinshöhe — der häufigste Grund, warum KMU-Inhaber Kreditverhandlungen mit ihrer Hausbank abbrechen. Und laut dem KMU-Marktbericht des Unternehmensberatungshauses Innopay (2024) nutzen aktuell erst zehn Prozent der deutschen KMU digitale Lösungen für Kreditanfragen — aber die Richtung ist eindeutig.

Die Sparkassen und Volksbanken verlieren nicht wegen schlechter Konditionen. Sie verlieren wegen Wartezeit.

Mit vs. ohne KI — ein ehrlicher Vergleich

¹ Schätzwert aus internationalen Praxisberichten und Fintech-Studien (ACCA Global, August 2024); für Deutschland liegen keine repräsentativen Vergleichsdaten für Regionalbanken vor. Eigene Ausfallrate messen und nach 12 Monaten vergleichen.

Die Entlastung für die Analystin ist real, aber nicht vollständig: Komplexe Anträge, Sondersituationen und Grenzfälle brauchen weiterhin menschliches Urteil. Was wegfällt, ist der handwerkliche Aufwand — das Blättern, Übertragen, Suchen. Was bleibt, ist die Kreditentscheidung selbst.

Einschätzung auf einen Blick

Zeitersparnis — hoch (4/5)
Jahresabschluss-Analyse von 4–8 Stunden auf unter 30 Minuten Analyst-Review zu senken ist einer der größten Zeitgewinne in der Finanzen-Kategorie. Der Unterschied zu einem Score von 5: Grenzfälle und komplexe Anträge brauchen weiterhin erheblichen Analyse-Aufwand. Das System beschleunigt den Standard — es löst nicht jeden Fall.

Kosteneinsparung — mittel (3/5)
Geringere Ausfallraten sind der größte direkte Hebel: Jeder verhinderte Ausfall bei einem KMU-Kredit über 250.000 Euro spart im Durchschnitt 30.000–80.000 Euro Problemkreditkosten (Rückstellungen, Verwertung, Personalaufwand). Diese Einsparung ist real, aber erst nach 12–24 Monaten messbar und hängt stark vom Ausgangs-Portfolio ab. Höherer Effekt als bei Reporting-Automatisierung, aber schwerer direkt zuzuordnen als bei der Rechnungsverarbeitung, wo sich jede Rechnung einzeln zählen lässt.

Schnelle Umsetzung — schwierig (2/5)
PSD2-Consent-Workflows, BaFin-Anforderungen, EU AI Act-Konformitätsbewertung (ab August 2026 Pflicht) und die Integration in bestehende Kernbankensysteme machen diesen Weg komplexer als den Einstieg bei einfacheren KI-Prozessen. Wer finAPI als Zero-Integration-Lösung wählt, kommt schneller als mit Eigenentwicklung — aber 6–12 Monate bis zum produktiven Betrieb sind realistisch. Deutlich einfacher als ein vollständig eigenes ML-Scoring-Modell, das 3.000+ historische Kreditfälle als Trainingsdaten braucht.

ROI-Sicherheit — gut (4/5)
Die Messbarkeit ist besser als bei indirekten Optimierungen: Default-Rate nach 12 Monaten vergleichen, Bearbeitungszeit pro Akte messen, Abbruchquote bei unvollständigen Unterlagen verfolgen. Diese Kennzahlen existieren in jedem Kreditinstitut bereits — der Vergleich ist ohne Extraaufwand möglich. Unsicherer wird der ROI, wenn das Modell nicht regelmäßig auf Drift geprüft wird.

Skalierbarkeit — maximal (5/5)
Jeder neue KMU-Antrag läuft durch dieselbe Infrastruktur. Ob zehn oder tausend Anträge pro Monat — die Marginalkosten pro zusätzlichem Antrag sind minimal. Kein anderer Anwendungsfall in dieser Kategorie skaliert besser: Das System wird nicht müde, langsamer oder teurer mit zunehmender Anzahl.

Richtwerte — stark abhängig von Institutsgröße, IT-Infrastruktur und regulatorischem Reifegrad des Instituts.

Was das System konkret macht — die drei Datenschichten

KI-gestützte Kreditwürdigkeitsprüfung mit Echtzeitdaten arbeitet nicht mit einer einzigen Datenquelle. Es sind drei Schichten, die zusammenwirken müssen:

Schicht 1: Open Banking / PSD2-Kontodaten

Der KMU-Inhaber klickt in der digitalen Antragsstrecke einen Link und gibt seine Online-Banking-Zugangsdaten ein — einmalig, für die Dauer der Prüfung. Der Kontoinformationsdienst (in Deutschland lizenziert als AISP nach dem Zahlungsdiensteaufsichtsgesetz) ruft dann automatisch die Kontotransaktionen der letzten 90 bis 365 Tage ab.

Was das System daraus berechnet: regelmäßige Einnahmen (Muster, Regelmäßigkeit, saisonale Ausschläge), Ausgabenstruktur nach Kategorien, Debitorenlaufzeiten (wann kommen Zahlungen?), Lieferantenverpflichtungen, Kontoüberziehungen und deren Muster, Veränderungen gegenüber Vorjahresperiode.

Das ersetzt nicht den Jahresabschluss — aber es zeigt, was der Jahresabschluss nicht kann: den Stand von heute, nicht von vor 18 Monaten. Ein Betrieb, der im letzten Abschluss noch Verluste ausweist, aber seitdem drei neue Großkunden gewonnen hat, ist in diesem Bild erkennbar.

Schicht 2: Automatisiertes Jahresabschluss-Parsing

Jahresabschlüsse kommen in der Praxis als gescannte PDFs, Excel-Exports aus Steuerberater-Software oder als Datev-Exporte. Generative KI kombiniert mit OCR-Systemen wie Azure Document Intelligence kann strukturierte Kennzahlen automatisch extrahieren: Umsatz, EBITDA, Eigenkapitalquote, Verbindlichkeiten, Forderungen — und diese direkt in das Ratingsystem übertragen, ohne manuelle Eingabe.

Das löst das häufigste Problem: Die Analystin muss nicht mehr Seite für Seite durcharbeiten und Zahlen übertragen. Sie prüft stattdessen das Ergebnis — und greift ein, wo die KI unsicher ist (was das System explizit ausweist, zum Beispiel bei unlesbaren Seiten oder fehlenden Positionen).

Schicht 3: Branchenvergleich und Kontextualisierung

Eine Eigenkapitalquote von 12 Prozent ist für eine Schlosserei normal. Für ein Software-Unternehmen ein Warnsignal. Ohne Branchenkontext entscheidet man nach Bauchgefühl oder eigener Erfahrung — beides variiert mit dem Analysten.

Datenbankdienste wie Moody’s Orbis oder die DATEV-Branchenzahlen liefern Vergleichsquartile für Unternehmen derselben Branche und Größenklasse. Das System kontextualisiert: “Diese Eigenkapitalquote liegt im 35. Perzentil für vergleichbare Schlossereien in Bayern” — eine Information, die ohne Tool Tage manueller Recherche kosten würde.

Konkrete Werkzeuge — was wann passt

Die Entscheidung zwischen Ansätzen hängt davon ab, wie viel IT-Integration du bereit bist zu investieren und welche Teilprobleme ihr priorisiert.

finAPI KreditCheck — Open Banking als Zero-Integration-Einstieg
Für Sparkassen und Volksbanken ohne eigene IT-Kapazität. finAPI ist BaFin-lizenziert als AISP, deckt ~95 Prozent der deutschen Kreditinstitute per XS2A-Schnittstelle ab und liefert categorisierte Cashflow-Daten ohne Backend-Integration — eingebettet über eine URL in die bestehende Antragsstrecke. Konkret eingesetzt seit Juni 2023 bei VR Bank HessenLand eG. Kosten: nicht öffentlich, transaktionsbasiert. Einstieg ohne eigenes Entwicklungsteam möglich.

Azure Document Intelligence — für automatisiertes Jahresabschluss-Parsing
Custom-Modelle können auf das Layout typischer Jahresabschlüsse (DATEV-Output, Steuerberater-PDF, HGB-Struktur) trainiert werden und extrahieren Kennzahlen mit hoher Genauigkeit. Pay-per-use: ab ~1,50 USD pro 1.000 Seiten. EU-gehostet, DSGVO-konform. Erfordert einmaligen Trainingsaufwand für die Dokumentenformate, die im Institut häufig vorkommen. Technisches Niveau: Entwickler oder API-Anbindung erforderlich.

SCHUFA — unverzichtbares Fundament, kein Ersatz
Bleibt die Basis jeder Kreditentscheidung im deutschen Markt. Der SCHUFA-Score ist ein Pflichtbestandteil, keine Option. Wichtig nach dem EuGH-Urteil von 2023: Vollautomatische Ablehnungen auf Basis des SCHUFA-Scores allein sind rechtlich problematisch — eine menschliche Überprüfungsmöglichkeit muss bestehen. Das gilt erst recht beim Einsatz zusätzlicher KI-Systeme.

Creditsafe — für tiefere Unternehmensbonität und Monitoring
Nützlich als ergänzende Datenschicht, besonders bei KMU mit Geschäftspartnern im Ausland oder wenn ein Monitoring der Bonität über die Kreditlaufzeit gewünscht ist. Alerts bei Bonitätsverschlechterungen sind ein echter Mehrwert für das Frühwarnsystem. Preise: auf Anfrage, volumenbasiert.

Moody’s Orbis — für Branchenvergleiche und Peer-Analyse
Enthält Finanzkennzahlen von über 625 Millionen Unternehmen. Für die Kontextualisierung einer KMU-Akte gegen Branchenbenchmarks geeignet — allerdings Enterprise-Preise (20.000–50.000 Euro/Jahr) und primär für größere Institute oder Shared-Services-Verbünde wirtschaftlich.

Wann welcher Ansatz:

• Einstieg ohne IT → finAPI KreditCheck (Kontoanalyse) + SCHUFA
• Jahresabschluss-Automatisierung → Azure Document Intelligence + internes Ratingsystem
• Vollständige Integration → alle drei Schichten kombiniert, API-Anbindung ans Kernbankensystem
• Branchenvergleich → Moody’s Orbis für Institute mit entsprechendem Budget

Regulatorisches Pflichtprogramm — was vor dem ersten Live-Betrieb stehen muss

Kreditentscheidungssysteme mit KI-Unterstützung sind in Deutschland und Europa außergewöhnlich stark reguliert. Wer hier ohne Vorbereitung ins Wasser springt, hat ein Problem — nicht irgendwann, sondern beim ersten BaFin-Gespräch.

EU AI Act (Verordnung (EU) 2024/1689) — Hochrisikosystem
Kreditscoring und Kreditwürdigkeitsprüfung sind explizit als Hochrisiko-KI-Systeme eingestuft (Anhang III, Nr. 5b). Das bedeutet: Ab dem 2. August 2026 müssen KI-Systeme, die Kreditentscheidungen unterstützen, eine Konformitätsbewertung durchlaufen haben, bevor sie eingesetzt werden dürfen. Pflichten ab diesem Datum: Risikomanagementsystem, Datenqualitätsnachweise, Erklärbarkeit (kein Black-Box-Einsatz), Protokollierung aller Systemausgaben, menschliche Aufsicht, Registrierung in der EU-KI-Datenbank. Hinweis: Diese Einschätzung basiert auf dem Stand des EU AI Act von 2024. Regulatorische Anforderungen entwickeln sich; prüfe aktuelle BaFin-Verlautbarungen und ggf. eigene Rechtsberatung.

MaRisk (Mindestanforderungen an das Risikomanagement)
AT 7.2 MaRisk verlangt, dass Modelle im Risikomanagement vollständig dokumentiert, regelmäßig validiert und von einer vom Entwicklerbereich unabhängigen Einheit geprüft werden. Bei KI-gestütztem Kreditscoring bedeutet das: Ein Modell, das die Risikoabteilung selbst entwickelt hat, darf nicht ausschließlich von dieser Abteilung validiert werden. Für kleinere Institute bedeutet das in der Praxis: entweder externe Validierung beauftragen oder den Verbunddienstleister (DSGV, BVR) einbinden.

KWG § 25a — Ordnungsgemäße Geschäftsorganisation
§ 25a KWG schreibt eine ordnungsgemäße Geschäftsorganisation vor, die angemessene Risikosteuerungsverfahren beinhaltet. Für KI-Systeme in der Kreditvergabe: Das System muss in die Gesamtrisikosteuerung integriert sein, Modellrisiken müssen identifiziert und limitiert werden.

BaFin-Orientierungshilfe KI (2024)
BaFin hat 2024 eine Orientierungshilfe zu KI im Finanzbereich veröffentlicht, die explizit auf diskriminierungsfreie Entscheidungen, Erklärbarkeit und Betreiberhaftung eingeht: Wer ein zugekauftes KI-System einsetzt, bleibt als Betreiber für die Einhaltung dieser Anforderungen verantwortlich — auch wenn das Modell von einem Drittanbieter stammt.

Praktische Konsequenz für den Einführungsprozess:
Bevor der erste KMU-Antrag über ein KI-gestütztes System läuft, braucht ihr: (1) Risikoklassifizierung des Systems nach EU AI Act, (2) Dokumentation von Trainingsdaten und Modelllogik, (3) Validierungsbericht durch unabhängige Einheit, (4) Betriebskonzept mit definierten menschlichen Überprüfungsschritten, (5) Beschwerdemechanismus für abgelehnte Antragsteller. Wer ohne diese Unterlagen in die Produktivsetzung geht, riskiert Beanstandungen bei der nächsten Prüfung.

Datenschutz und Datenhaltung

PSD2-Kontoauszug-Analyse verarbeitet personenbezogene Finanzdaten — damit gilt die DSGVO uneingeschränkt, ergänzt durch das ZAG (Zahlungsdiensteaufsichtsgesetz) und BDSG.

Für die konkret eingesetzten Dienste:

• finAPI: Deutsches Unternehmen, Daten werden in Deutschland verarbeitet. BaFin-lizenziert als AISP. Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist Teil des Standardvertrags — vor dem ersten Produktiveinsatz abzuschließen.
• Azure Document Intelligence: EU-Hosting verfügbar (West-Europe-Region). DSGVO-konforme Konfiguration erfordert, dass die EU-Region explizit gewählt wird. AVV mit Microsoft abschließen. Für sensitives Datenmaterial: prüfen, ob On-Premises-Variante (Azure Stack) sinnvoller ist.
• SCHUFA: Ausschließlich in Deutschland. Datenhaltung und -verarbeitung in deutschen Rechenzentren. Der Vertragsrahmen mit der SCHUFA regelt die Datenschutzpflichten — kein separater AVV erforderlich, da SCHUFA als Verantwortlicher agiert.
• Creditsafe: EU-Hosting. AVV auf Anfrage erhältlich und vor Produktiveinsatz zu unterzeichnen.
• Moody’s Orbis: EU-Hosting verfügbar. Für sensible Portfoliodaten empfiehlt sich die EU-Region-Konfiguration.

Besonderheit PSD2-Consent: Der KMU-Inhaber muss den Datenzugriff aktiv erteilen — einmalig, explizit, für einen definierten Zeitraum. Die Einwilligung ist widerrufbar. Das muss in der Antragsstrecke transparent kommuniziert werden — was abgerufen wird, wie lange, und wofür. Fehlende oder unklare Einwilligungsformulierung ist ein häufiger Prüfungspunkt bei der BaFin.

Was es kostet — realistisch gerechnet

Einstieg mit finAPI KreditCheck (Zero-Integration, Open-Banking-Fokus)

• Einmalig: Vertragabschluss und Antragsstrecken-Integration: ca. 2.000–5.000 Euro (intern oder externer Dienstleister)
• Laufend: Transaktionsbasiert — keine öffentlichen Preise, Richtwert aus vergleichbaren PSD2-Diensten: ca. 5–15 Euro pro Kontoanalyse-Abruf. Bei 100 KMU-Anträgen im Monat: ca. 500–1.500 Euro/Monat
• Zeitplan: 3–4 Monate bis Betrieb

Erweiterung um Jahresabschluss-Parsing (Azure Document Intelligence)

• Einmalig: Custom-Modell-Training auf DATEV/Steuerberater-PDFs: ca. 8.000–20.000 Euro (Entwicklungsaufwand + Testing)
• Laufend: ~1,50 USD/1.000 Seiten, praktisch vernachlässigbar bei KMU-Volumen
• API-Integration ins Kernbankensystem: Hauptaufwand, abhängig von IT-Architektur

Vollständige Integration aller drei Datenschichten

• Einmalig: 40.000–120.000 Euro (IT-Integration, Modellentwicklung, Validierung, regulatorische Dokumentation)
• Laufend: 800–3.000 Euro/Monat (APIs, Hosting, Lizenzen, Monitoring)
• Zeitplan: 8–14 Monate bis Pilotbetrieb, weitere 4–6 Monate bis Vollbetrieb

Was du dagegenrechnen kannst:
Ein Kreditanalyst kostet das Institut erfahrungsgemäß 60.000–80.000 Euro Jahresbrutto plus Nebenkosten. Wenn das System 4 Stunden pro Akte auf unter 30 Minuten reduziert, kann dieselbe Person dreimal so viele Anträge bearbeiten — oder die Rückstände systematisch abbauen. Bei 50 Anträgen pro Monat und 3,5 Stunden Einsparung je Akte: ~175 Arbeitsstunden monatlich freigesetzt. Das sind rechnerisch über eine Vollzeitstelle pro Jahr, selbst wenn die tatsächliche Einsparung nur bei 50 Prozent dieses Wertes liegt.

Verhinderte Kreditausfälle sind der zweite Hebel: Ein KMU-Kredit über 300.000 Euro, der in die Problemkreditphase übergeht, bindet 150–300 Stunden Analysten- und Juristenzeit und erzeugt Rückstellungskosten. Wenn das System pro Jahr zwei solcher Fälle verhindert, hat es sich auch bei hohen Implementierungskosten gerechnet.

Preisangaben für finAPI-Transaktionskosten: Richtwerterfahrung aus PSD2-Diensten; verifiziere mit aktuellem Angebot. Azure Document Intelligence: öffentliche Microsoft-Preisliste Stand Mai 2026.

Typische Einstiegsfehler

1. PSD2-Consent als Selbstläufer behandeln.
Die Conversion-Rate beim freiwilligen PSD2-Consent ist alles andere als selbstverständlich. KMU-Inhaber, die nicht verstehen, warum die Bank ihre Kontobewegungen der letzten zwölf Monate sehen will, verweigern — zu Recht. Das führt dazu, dass das System für einen erheblichen Teil der Antragsteller gar nicht genutzt werden kann. Die Lösung: Den Nutzen für den Antragsteller klar kommunizieren (“Wir können schneller entscheiden, weil wir weniger Unterlagen nachfragen müssen”). Und eine Fallback-Lösung bereithalten: Was passiert mit Anträgen, bei denen kein Consent erteilt wird?

2. Das KI-System ohne regulatorische Grundlage in Betrieb nehmen.
Es gibt Institute, die “mal ausprobieren” — mit echten Antragsdaten, ohne die Pflichten nach MaRisk AT 7.2, ohne Konformitätsbewertung nach EU AI Act. Das ist kein Pilotbetrieb, das ist ein Compliance-Risiko. Spätestens mit der EU AI Act-Pflicht ab August 2026 wird das zur harten Anforderung. Die Lösung: Regulatorische Dokumentation parallel zur technischen Entwicklung aufbauen, nicht danach.

3. Jahresabschluss-KI als Black Box akzeptieren.
Wenn das System automatisch Kennzahlen aus einem Jahresabschluss extrahiert und diese Kennzahlen in das Rating einfließen, muss der Analyst verstehen, woher diese Zahlen stammen — und muss überprüfen können, ob die Extraktion korrekt war. Ein Parsing-System, das still falsche Werte übernimmt, weil eine PDF-Seite unleserlich war, ist gefährlicher als manuelle Eingabe. Die Lösung: Jedes extrahierte Feld mit Konfidenzwert anzeigen. Felder unter einem Konfidenz-Schwellenwert farblich markieren und zur manuellen Prüfung vorlegen.

4. Das Modell nicht auf Drift prüfen.
Ein Kredit-Scoring-Modell, das auf Daten aus 2021 oder 2022 trainiert wurde, hat eine andere Welt gesehen als die KMU-Landschaft von 2025. Energiekosten, Zinsniveau, Branchenmuster — all das verändert sich. Ein Modell, das nicht regelmäßig revalidiert wird, gibt systematisch veraltete Signale. Konkret: Vergleiche die Default-Rate der Fälle, die dein Modell als “niedrig riskant” eingestuft hat, mit der tatsächlichen Ausfallrate nach 12 Monaten. Weicht diese Gruppe vom Modell-Score ab, ist Revalidierung fällig. Laut ACCA Global (2024) ist Modell-Drift das am häufigsten unterschätzte Risiko bei KI-Kreditsystemen.

5. Den Sparkassenverbund nicht frühzeitig einbinden.
Viele Sparkassen und Volksbanken haben IT-Systeme und Risikomanagement-Infrastruktur, die über den Verbund (DSGV, Finanz Informatik, BVR, Fiducia & GAD) laufen. Ein KI-System, das nicht mit diesen Verbundlösungen kompatibel ist oder deren Schnittstellen ignoriert, scheitert an der Integration — nicht an der Idee. Lösung: Frühzeitig mit dem zuständigen Verbunddienstleister abstimmen, welche Integrationsoptionen existieren.

Was mit der Einführung wirklich passiert — und was nicht

Die größte Hürde ist nicht die Technik. Sie ist die Akzeptanz bei den Kreditanalysten selbst.

Ein System, das einem erfahrenen Kreditanalyst ein Ampelkennzeichen anzeigt und empfiehlt, einen Antrag abzulehnen — ohne dass der Analyst die Logik nachvollziehen kann — wird ignoriert oder aktiv umgangen. Das passiert nicht aus Bösartigkeit, sondern aus jahrzehntelanger Erfahrung: “Ich kenne den Betrieb, ich kenne die Familie, das Modell kennt das nicht.”

Diese Spannung ist berechtigt. KI-Modelle kennen tatsächlich keine qualitativen Faktoren wie Managementkontinuität, lokale Marktstellung oder Kundenbeziehungen des KMU-Inhabers. Sie können nicht einschätzen, ob der schlechte Cashflow der letzten drei Monate auf ein verlorenes Kundenprojekt zurückgeht, das bereits durch einen neuen Auftrag ersetzt wurde.

Was konkret hilft:

• Erklärbarkeit von Anfang an einplanen: Das System zeigt nicht nur eine Einschätzung, sondern die wichtigsten Treiber dieser Einschätzung — “Cashflow-Rückgang im Q3, Überziehung im November, Eigenkapitalquote unter Branchendurchschnitt” statt einer Black Box. Das gibt dem Analysten die Möglichkeit, das Modell zu überstimmen und dabei zu begründen warum.
• Nicht als Entscheidungssystem, sondern als Vorbereitungssystem einführen: Das KI-System erstellt die Akte, fasst zusammen, markiert Auffälligkeiten. Die Entscheidung trifft die Analystin. Erst nach einer Pilotphase, in der Übereinstimmung und Abweichungen systematisch ausgewertet wurden, kann über eine stärkere Einbindung nachgedacht werden.
• Pilotgruppe mit freiwilliger Teilnahme starten: Analysten, die dem System skeptisch gegenüberstehen, sollten in der ersten Phase beobachten dürfen, nicht verpflichtend wechseln. Wer nach drei Monaten sieht, dass das System 80 Prozent seiner Vorbereitung übernimmt, wechselt von selbst.

Realistischer Zeitplan mit Risikohinweisen

Häufige Einwände — und was dahintersteckt

“Unsere Kunden geben keine Kontodaten raus.”
Das ist eine valide Sorge — aber die Erfahrung aus der Praxis zeichnet ein differenzierteres Bild. VR Bank HessenLand berichtet, dass alle Kreditantragsteller, die den digitalen Weg gewählt haben, den KreditCheck freiwillig genutzt haben (finAPI, Stand 2023). Der entscheidende Faktor ist die Kommunikation: Wer erklärt, dass die Kontodaten nur für diese Entscheidung genutzt werden und den Prozess beschleunigen, stößt auf mehr Bereitschaft als erwartet. Für Antragsteller, die dennoch ablehnen, braucht es einen funktionierenden Fallback-Prozess — dann ist der Einwand kein KO-Argument, sondern eine Planungsaufgabe.

“Wir haben keine IT-Ressourcen für so ein Projekt.”
Der Zero-Integration-Ansatz von finAPI ist genau dafür gebaut: Die Bank bettet einen Link in ihre bestehende Antragsstrecke ein. finAPI übernimmt Hosting, Betrieb und regulatorische Haftung als AISP. Das ist kein Enterprise-Softwareprojekt — das ist ein Kreditformular mit einem neuen Button. Wer darüber hinaus Jahresabschluss-Parsing oder tiefes Branchenvergleich-Benchmarking einführen will, braucht IT — aber das kann in einer zweiten Phase kommen.

“KI entscheidet dann über unsere Kunden. Das wollen wir nicht.”
KI-gestützte Kreditprüfung ist keine KI-Entscheidung. Das System erstellt eine Vorbereitung, markiert Auffälligkeiten, gibt eine Einschätzung. Die Entscheidung trifft der Kreditanalyst — mit mehr Information als vorher, in weniger Zeit. Der EU AI Act schreibt für Hochrisikosysteme explizit menschliche Aufsicht vor — es gibt also auch regulatorisch keine vollautomatische Entscheidung im KMU-Kreditgeschäft. Das Argument kehrt sich um: Wer menschliches Urteil bewahren will, braucht ein System, das die menschliche Kapazität nicht mit handwerklichem Aufwand vergeudet.

Woran du merkst, dass das zu dir passt

Das passt gut, wenn:

• Euer Institut bearbeitet mindestens 40–60 KMU-Kreditanträge pro Monat im Bereich 50.000 bis 2 Millionen Euro — bei geringeren Volumina ist der Implementierungsaufwand schwerlich zu rechtfertigen
• Eure Analysten verbringen mehr als drei Stunden mit der Vorbereitung eines typischen KMU-Antrags — und berichten von wiederkehrendem Abbruch wegen unvollständiger Unterlagen
• Es gibt eine Backlog-Situation: Anträge warten mehr als drei Wochen auf eine erste Einschätzung
• Das Institut hat oder plant eine MaRisk-konforme Modell-Governance-Struktur — oder ist bereit, externe Validierungsunterstützung einzukaufen
• Der Verbunddienstleister (Finanz Informatik, Fiducia & GAD) hat bereits eine Schnittstelle oder einen Fahrplan für Open-Banking-Datenintegration

Drei harte Ausschlusskriterien — wer jetzt noch nicht anfangen sollte:

1. Zu wenig Volumen: Unter 30 KMU-Anträgen pro Monat im relevanten Ticketgrößen-Segment rechtfertigt die Implementierungs- und Compliance-Investition nicht. Dann lieber in Prozessoptimierung und Checklisten-Qualität investieren.

2. Keine MaRisk-konforme Governance-Grundlage: Wenn im Institut keine unabhängige Modellvalidierungsinstanz existiert und auch kein externer Dienstleister beauftragt werden kann, entsteht ein KI-System ohne regulatorische Grundlage. Das ist ein Risiko, das aktiv gesteuert werden muss — nicht durch Ignorieren.

3. Kernbankensystem ohne Integrationsschnittstelle: Wenn das eingesetzte Kernbankensystem (z. B. ältere OSPlus-Versionen oder proprietäre Systeme) keine API-Anbindung zulässt, scheitert die Integration — nicht die Idee. Vor dem Projektstart mit dem Systemlieferanten klären, welche Integrationspfade existieren.

Das kannst du heute noch tun

Lass dir von einem KMU-Kunden mit laufendem Kreditantrag den Kontozugang über eine Testinstanz der finAPI-Demo zeigen — das dauert 15 Minuten und macht greifbar, was das System an Daten liefert, bevor du irgendetwas kaufst oder entscheidest.

Parallel: Nimm drei der letzten zehn KMU-Anträge aus eurem Bestand und miss die tatsächliche Bearbeitungszeit von Antragseingang bis Entscheidung. Nicht die nominale Bearbeitungszeit, sondern die Wartezeiten durch unvollständige Unterlagen, Rückfragen und Terminslots. Das ist dein Ausgangsmesswert.

Für die praktische Vorab-Analyse eines Jahresabschlusses brauchst du heute noch kein neues System:

Quellen & Methodik

• VR Bank HessenLand eG / finAPI KreditCheck: Praxisbericht auf finapi.io (2023, abgerufen Mai 2026). Konkrete Einführung des KreditCheck in Kreditantragsstrecke ab Juni 2023. Zitat Marc Schilhabl, VR Bank HessenLand.
• EU AI Act (Verordnung (EU) 2024/1689): Kreditscoring als Hochrisiko-KI-System (Anhang III, Nr. 5b). Pflichten ab 2. August 2026 für neue Hochrisiko-KI-Systeme. Gültige EU-Rechtslage.
• BaFin-Fachartikel “Wenn ein Algorithmus über den Kredit entscheidet” (BaFin, 2023): Anforderungen an Diskriminierungsfreiheit, Erklärbarkeit und Betreiberhaftung bei KI-gestützten Kreditentscheidungen. Bafin.de.
• ACCA Global, “AI revolutionises SME credit scoring” (August 2024): Internationale Praxisberichte zu Ausfallraten-Reduktion durch KI-Scoring (15–30 %) und Modell-Drift als Hauptrisiko im produktiven Betrieb.
• HSLU Retail Banking Institut / Innopay, KMU-Kreditmarkt-Analyse (2023/2024): Onboarding-Prozess als häufigster Grund für Abbruch von KMU-Kreditverhandlungen. Nur 10 Prozent der deutschen KMU nutzen aktuell digitale Kreditlösungen.
• Teylor, “From weeks to minutes” (Teylor Blog, 2024): Kreditentscheidung für KMU-Unternehmen in 10 Minuten Antragstellung, Auszahlung innerhalb 2 Werktage — als Benchmarkaussage für Fintech-Konkurrenz.
• Implementierungskosten: Erfahrungswerte aus IT-Projektberichten im deutschen Bankenumfeld (kmuautomation.de, 2025) und öffentlichen Azure-Preislisten (Stand Mai 2026). Keine eigene Erhebung.
• MaRisk AT 7.2: Bundesanstalt für Finanzdienstleistungsaufsicht, Mindestanforderungen an das Risikomanagement, aktuell gültige Fassung. Anforderungen an Modellvalidierung durch unabhängige Einheit.
• Apple/Goldman Sachs Penalty: Konsumentenschutzbehörde CFPB (USA), Einigung 2024 über 89 Millionen USD wegen algorithmischer Diskriminierung im Kreditkartengeschäft. Kein deutsches Recht, aber als Warnsignal für Regulierungsrichtung relevant.

Du willst wissen, welcher Einstiegsweg für euer Institut realistisch ist — finAPI-Pilotprojekt, Jahresabschluss-Parsing oder vollständige Integration? Meld dich. Das klären wir in einem kurzen Gespräch, bevor ihr anfangt.