Art. 22 DSGVO: Wie handhabt ihr automatisierte Bonprüfungen in der Praxis?

Wir bauen gerade ein Scoring-Modul für Kreditanträge, das teilweise automatisiert entscheidet (Risikoklasse A/B/C). Art. 22 DSGVO gibt betroffenen Personen ja das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden — aber Ausnahmen gelten u.a. bei Vertragserfüllung oder expliziter Einwilligung. Wie löst ihr das in der Praxis? Baut ihr immer einen Human-in-the-Loop-Schritt ein, oder verlasst ihr euch auf die Ausnahme nach Art. 22(2)(a)? Interessiert vor allem für den DACH-Raum, wo die Aufsichtsbehörden da eher streng auslegen. Konkret: Welche Dokumentation empfiehlt ihr für die Rechenschaftspflicht gegenüber dem Datenschutzbeauftragten? Loggen wir jede Entscheidung mit Begründung, oder reicht eine generische DPIA?