DE EN
2 Plätze frei · Mai Lass dich anrufen
← Zurück zum Blog Blog ·

Lead-Scoring im Maklerbüro — was darf die KI bewerten? (DSGVO + EU AI Act 2026)

Was KI-Lead-Scoring im Maklerbüro rechtlich darf und was nicht. Risikoklassen nach EU AI Act, automatisierte Einzelentscheidungen nach Art. 22 DSGVO, praktische Setup-Regeln und konkrete Stolpersteine.

Geschrieben von Michal Andrzejewski Gründer VintAI · baut KI-Vertriebssysteme für DACH-Mittelstand
Lead-Scoring DSGVO EU AI Act

Auf einen Blick

KI-gestütztes Lead-Scoring in Maklerbüros ist grundsätzlich erlaubt, aber an drei rechtliche Eckpfeiler gebunden: Art. 22 DSGVO (Verbot rein automatisierter Einzelentscheidungen mit rechtlicher Wirkung), EU AI Act Risikoklassifizierung (Bonitätsprüfung und Mieter-Auswahl sind Hochrisiko-Anwendungen) und Transparenzpflichten (Art. 13 DSGVO, Art. 50 EU AI Act). In der Praxis heißt das: KI darf soft-qualifizieren und priorisieren, aber keine automatischen Ablehnungen treffen — die endgültige Entscheidung muss ein Mensch fällen. Wer das sauber baut, hat eine sehr defensible KI-Lead-Pipeline. Wer es nicht sauber baut, riskiert Bußgelder und im schlimmsten Fall Diskriminierungs-Vorwürfe.

Was Lead-Scoring im Maklerbüro überhaupt ist

„Lead-Scoring” bedeutet: Jeder eingehende Lead wird mit einem Wert (numerisch oder kategorial) bewertet, der seine Wahrscheinlichkeit ausdrückt, zu einem Abschluss zu führen. Typische Score-Komponenten:

  • Match-Score Objekt — Passt das angefragte Objekt zum angegebenen Budget und den Wunsch-Kriterien?
  • Bonitäts-Indikatoren — Wirkt der Lead zahlungsfähig (aus Berufsangabe, Einkommens-Indikation, Eigenkapital-Aussagen)?
  • Dringlichkeits-Score — Schreibt der Lead „suche dringend” oder „schaue mich erstmal um”?
  • Kanal-Score — IS24-Leads konvertieren statistisch anders als WhatsApp-Leads oder Newsletter-Klicks.
  • Sprach-/Markt-Tag — Bei mehrsprachigen Setups: welche Sprache und damit welches Marktsegment.

Das Ergebnis ist meist eine Priorisierung: Hot-Lead → Makler ruft direkt zurück. Lukewarm → Standard-Termin-Vorschlag. Cold → automatischer Newsletter-Workflow.

Soweit harmlos klingt. Aber sobald die KI diese Bewertung selbst macht — und nicht nur sortiert sondern de facto Konsequenzen auslöst — wird es rechtlich relevant.

Art. 22 DSGVO: Das Verbot automatisierter Einzelentscheidungen

Der zentrale Paragraph für KI-Scoring ist Art. 22 DSGVO:

Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Praktisch übersetzt:

  • Wenn die KI alleine entscheidet dass ein Mieter abgelehnt wird → Art. 22 greift, fast immer unzulässig
  • Wenn die KI alleine entscheidet dass ein Käufer-Lead nicht weiterbearbeitet wird → potentiell Art. 22, je nach Auswirkung
  • Wenn die KI priorisiert und ein Makler trifft die endgültige Entscheidung → Art. 22 greift nicht

Die Schwelle ist also: Wer trifft die finale Entscheidung mit rechtlicher Wirkung?

Drei Beispiel-Szenarien

Szenario A — Verboten ohne Einwilligung: Mieter-Bewerbung mit automatischer KI-Bewertung. Wenn Score < 70, wird die Bewerbung automatisch abgelehnt und der Lead bekommt eine automatisch generierte „Leider passt es nicht”-E-Mail. Niemand schaut nochmal drauf.

→ Art. 22 Abs. 1 verbietet das ausdrücklich. Ausnahme nur mit expliziter Einwilligung des Betroffenen oder vertraglicher Notwendigkeit.

Szenario B — Grenzwertig, aber typisch akzeptabel: Käufer-Anfrage wird KI-bewertet mit „Match-Score 35/100” und einem Tag „Low-Match”. Der Lead bekommt eine Standard-Antwort mit Termin-Vorschlag, der Makler sieht beim morgendlichen Pipeline-Review den niedrigen Score und entscheidet die Anfrage gar nicht weiter zu verfolgen.

→ Hier trifft der Mensch die finale Entscheidung (Lead nicht weiterzuverfolgen). Aber: Die menschliche Entscheidung muss substantielle Reflexion sein, nicht bloßes Abnicken der KI. Wer in 2 Sekunden 50 Leads durchklickt und nur dem KI-Score folgt, ist faktisch wieder bei Szenario A.

Szenario C — Unproblematisch: KI priorisiert eingehende Anfragen nach Dringlichkeit und schlägt unterschiedliche Termin-Slots vor (heiße Leads bekommen Termine in den nächsten 48h, kalte in den nächsten 2 Wochen). Alle Leads bekommen die gleiche Antwort-Qualität und werden vom Makler persönlich kontaktiert.

→ Reine Workflow-Priorisierung ohne Auswirkung auf die Behandlungsqualität — Art. 22 nicht einschlägig.

EU AI Act: Bonitätsprüfung als Hochrisiko-Anwendung

Seit August 2026 ist der EU AI Act vollständig anwendbar. Annex III listet konkret welche Anwendungen als „Hochrisiko” gelten — und eine ist sehr relevant für Maklerbüros:

Annex III, 5(b): KI-Systeme zur Bewertung der Kreditwürdigkeit natürlicher Personen oder zur Festlegung ihrer Kreditpunkte.

In der Praxis heißt das:

  • KI die explizit oder implizit Mieter-Bonität bewertet (egal mit welchen Daten — Schufa-Auskunft, Einkommens-Eigenangabe, Wohnlage-Indikator) fällt in High-Risk
  • KI die Käufer-Zahlungsfähigkeit bewertet — wenn die Bewertung Auswirkungen auf das Geschäftsverhältnis hat — fällt potentiell ebenfalls in High-Risk
  • Reine Match-Bewertung zwischen Objekt und Wunschkriterien (Räume, Lage, Preisrange) fällt nicht in High-Risk

Was High-Risk konkret heißt

Wenn deine KI in die Hochrisiko-Klasse rutscht, hast du einen umfangreichen Pflichtenkatalog:

  1. Risk-Management-System mit dokumentierten Maßnahmen
  2. Daten-Governance mit nachweisbar repräsentativen Trainingsdaten
  3. Konformitätsbewertung vor Inverkehrbringen
  4. CE-Kennzeichnung des Systems
  5. Logging aller Entscheidungen für mindestens 10 Jahre
  6. Menschliche Aufsicht durchgehend nachweisbar
  7. Robustheit, Genauigkeit, Cybersicherheit technisch nachgewiesen

Das ist erheblicher Aufwand und macht nur Sinn wenn du tatsächlich eine produkthafte Anwendung im Hochrisiko-Bereich baust.

Praktischer Rat

Für 95% der Maklerbüros ist die richtige Antwort: Bonitätsbewertung und Mieter-Auswahl aus dem KI-System fernhalten. Vorqualifizieren ja, aber:

  • Keine automatische Schufa-Abfrage als KI-Funktion
  • Keine automatischen „Mieter abgelehnt”-Antworten
  • Keine impliziten Score-Schwellen die zu unterschiedlicher Behandlung führen
  • Keine Trainings-Daten die historische Mieter-Auswahlentscheidungen wiederspiegeln (Diskriminierungs-Risiko)

Mehr Hintergrund zu Risikoklassen im Artikel DSGVO und KI im Maklerbüro.

Diskriminierungs-Risiken bei KI-Lead-Scoring

Ein oft übersehener Aspekt: KI-Modelle können mittelbar diskriminieren, auch wenn die Trainingsdaten oberflächlich neutral wirken. Drei typische Stolpersteine:

1. Postleitzahlen als Proxy für Herkunft

Wenn die KI lernt dass Leads aus Postleitzahl X eine niedrigere Conversion-Rate haben, kann der dahinterliegende Grund ethnische, sozio-ökonomische oder migrationsbezogene Faktoren sein. Eine direkte Bewertung „PLZ X = niedrige Priorität” ist nach AGG potentiell diskriminierend.

2. Sprache als Proxy für Herkunft

Russisch-sprachige Leads anders zu priorisieren als deutschsprachige ist heikel — auch wenn datenseitig vielleicht Conversion-Unterschiede existieren. AGG § 19 (Allgemeines Gleichbehandlungsgesetz) verbietet Benachteiligung wegen ethnischer Herkunft im zivilrechtlichen Massengeschäft, und Wohnungs-Vermittlung fällt in vielen Fällen darunter.

3. Namen-basierte Bewertung

Manche Anbieter werben damit dass ihre KI „aus dem Namen” Conversion-Wahrscheinlichkeit ableiten kann. Das ist datenschutzrechtlich und antidiskriminierungsrechtlich höchst riskant. Wenn der Algorithmus Müller anders bewertet als Erdoğan oder Kowalski, ist das in praktisch jedem rechtlichen Rahmen unzulässig.

Praktischer Rat

Lead-Scoring sollte sich auf objektive, sachbezogene Kriterien beschränken:

  • Match zwischen angefragtem Objekt und Suchkriterien (Budget, Räume, Lage in den Suchparametern)
  • Aktivitäts-Signale (Wie viele Inserate hat der Lead heute angeklickt? Wie schnell hat er geantwortet?)
  • Vollständigkeit der Anfrage (Sind alle Pflichtfelder ausgefüllt, oder ist es ein Bot-Versuch?)

Was nicht in den Score gehört:

  • Name, Herkunft, Religion, Familienstand
  • Postleitzahl als alleinstehendes Kriterium
  • Sprache (außer als reines Workflow-Tag für Antwort-Sprache, nicht als Priorisierungs-Faktor)

Wie ein sauberes Lead-Scoring-Setup aussieht

Sechs konkrete Setup-Punkte:

1. Score-Definition dokumentieren

Welche Eingangs-Variablen gehen in den Score ein, mit welchen Gewichten? Schriftlich festhalten als Teil des Verzeichnisses von Verarbeitungstätigkeiten.

2. Keine Schwarz-Weiß-Entscheidungen automatisieren

Score-Werte führen zu Priorisierung, niemals zu Ablehnung. Jeder Lead bekommt eine Antwort und Termin-Vorschlag — der Score beeinflusst nur die Reihenfolge der menschlichen Bearbeitung.

3. Transparenz für Betroffene

In der Datenschutzerklärung explizit nennen dass automatisiertes Lead-Scoring stattfindet, welche Auswirkungen es hat (nur Workflow-Priorisierung, keine inhaltliche Schlechterstellung), und welche Rechte der Betroffene hat (Art. 15 Auskunft, Art. 22 Widerspruch).

4. Auskunfts-Mechanismus für Score-Werte

Wenn ein Lead nach Art. 15 DSGVO Auskunft verlangt, musst du nachvollziehbar darlegen können welchen Score er erhalten hat und wie er zustande kam. „Das ist eine Black-Box-KI” reicht nicht. Die meisten LLMs lassen sich mit Begründungs-Prompts dazu bringen die Score-Komponenten transparent zu machen.

5. Regelmäßiges Bias-Monitoring

Quartalsweise prüfen: Werden Leads aus bestimmten Sprachgruppen, Postleitzahl-Clustern oder Namens-Mustern systematisch anders bewertet als andere? Wenn ja: Untersuchen ob der Grund datenseitig defensibel oder potentiell diskriminierend ist.

6. Menschliche Aufsicht als Default

Niedrig-Score-Leads landen genauso in der Pipeline wie Hoch-Score-Leads — vielleicht zeitversetzt, aber sichtbar. Der Makler kann jederzeit einen Lead manuell hochstufen und damit das KI-Ergebnis überstimmen.

Drei häufige Fehler die wir in Audits sehen

Fehler 1: „Wir filtern nur” — bedeutet faktisch automatische Ablehnung. Wenn die KI Leads mit Score < 30 nie in den Makler-Posteingang spielt, ist das eine automatische Einzelentscheidung mit Auswirkung auf den Lead. Auch wenn die KI keine Ablehnungs-E-Mail versendet, ist die Konsequenz dieselbe.

Fehler 2: „Score ist nur intern, kein DSGVO-Thema” — falsch. Der Score ist eine Verarbeitung personenbezogener Daten (sogar besonders sensibel: er beurteilt die Person). Auskunftsrecht und Transparenz greifen unabhängig davon ob der Score nach außen sichtbar ist.

Fehler 3: „Die KI lernt aus unseren bisherigen Entscheidungen” — kann zu einem Diskriminierungs-Verstärker werden, wenn die historischen Entscheidungen selbst bias-belastet waren. Selbst wenn die KI rein objektiv-mathematisch lernt: Wenn die Trainings-Daten verzerrt sind, ist es die KI auch.

Was wir machen

Bei VintAI bauen wir Lead-Scoring als Workflow-Priorisierung, nicht als Filter. Konkret heißt das: Jeder Lead bekommt eine Antwort und einen Termin-Vorschlag, der Score beeinflusst nur die Reihenfolge in der Makler-Pipeline. Score-Definition ist Teil des Setup-Dokuments und im VVT verzeichnet. Bias-Monitoring ist Code-Level-Logik, nicht „bitte daran denken”.

Wenn du wissen willst wie ein DSGVO- und EU-AI-Act-konformes Lead-Scoring für dein Setup aussieht, buch ein 30-Minuten-Gespräch. Wir gehen ehrlich durch dein aktuelles Setup und zeigen wo rechtliche Risiken sitzen.

Stand: Mai 2026. Quellen: DSGVO (dsgvo-gesetz.de), EU AI Act (artificialintelligenceact.eu), AGG, DSK Orientierungshilfen zu LLM in der Praxis, BfDI Tätigkeitsberichte 2024/2025.