Bonitätsprüfung und Kreditentscheidungen: Risikoklasse und Pflichten im EU-KI-Recht
KI zur Bewertung der Kreditwürdigkeit oder Bonität natürlicher Personen ist nach Anhang III Nr. 5 AI Act HOCHRISKANT (ausgenommen Finanz-Solvenz-Detektion zur Betrugsbekämpfung). Sie unterliegt spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026) dem Pflichtenbündel aus Art. 8–15 mit Schwerpunkt auf Daten-Governance und Bias-Prüfung (Art. 10). Kombiniert mit Art. 22 DSGVO (Recht, nicht ausschließlich automatisiert entschieden zu werden), dem AGG (Diskriminierungsverbot) und dem Kreditwesengesetz (BAFin-Aufsicht). Eine vollautomatische Ablehnung ohne menschliche Prüfung ist datenschutzrechtlich problematisch — der Kunde kann menschliche Überprüfung verlangen. Discrimination-Free Scoring und Nachvollziehbarkeit sind zentrale Anforderungen.
Steve Baka
Warum Hochrisiko (Anhang III Nr. 5)
Anhang III Nr. 5 erfasst KI zur Bewertung der Kreditwürdigkeit oder Bonität natürlicher Personen oder zur Ermittlung ihrer Zahlungsfähigkeit, ausgenommen KI zur Finanz-Solvenz-Überwachung von Kreditinstituten bzw. zur Betrugsbekämpfung. Grund der Einstufung: Kreditzugang ist wirtschaftlich existentiell, und Scoring birgt hohes Diskriminierungsrisiko ( Proxy-Variablen für Geschlecht, ethnische Herkunft, Wohnort). Daher das volle Pflichtenbündel aus Art. 8–15 spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026).
Pflichten und Schnittstellen
Anbieter/Betreiber erfüllen Art. 8–15 mit Schwerpunkt auf: Daten-Governance mit Bias-Prüfung (Art. 10) — Trainingsdaten müssen repräsentativ und frei von diskriminierenden Verzerrungen sein; menschliche Aufsicht (Art. 14) bei ablehnenden Entscheidungen; Aufzeichnung (Art. 12). Überlagert: Art. 22 DSGVO (Recht, nicht ausschließlich automatisiert entschieden zu werden, mit Ausnahmen und menschlicher Eingriffsmöglichkeit), AGG (keine Diskriminierung nach Geschlecht/Alter/Ethnie/Behinderung/Religion), Kreditwesengesetz und BAFin-Aufsicht. Eine vollautomatische Ablehnung ohne menschliche Prüfung ist datenschutzrechtlich angreifbar.
Praxis: Proxy-Variablen und Nachvollziehbarkeit
Das zentrale Risiko sind Proxy-Variablen: scheinbar neutrale Merkmale (Postleitzahl, Name, Browserverlauf) können mittelbar auf Geschlecht, Ethnie oder Religion schließen und so diskriminieren. Art. 10 Abs. 2 lit. f verlangt ausdrücklich Bias-Prüfung. Praktisch erforderlich: repräsentative Trainings-/Prüfdaten, Bias-Audits an Untergruppen, Nachvollziehbarkeit der Score-Faktoren (Erklärung, warum ein Score niedrig ist), klare Recht auf menschliche Überprüfung. Die BAFin und die Verbraucheraufsicht prüfen zunehmend algorithmische Kreditentscheidungen. Dokumentation der Fairness-Tests schützt im Aufsichtsfall.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act (konsolidierte Fassung).
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung, GPAI-Aufsicht und Leitlinien.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act zur Datenweitergabe an verbundenen Produkten.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO; maßgeblich für KI-Verarbeitung personenbezogener Daten.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Breit genutzte inoffiziell-konsolidierte, artikelgenaue Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act und Schnittstelle KI/Datenschutz.
European Data Protection Board (EDPB)EDPB. Gremium der EU-Datenschutzbehörden mit Leitlinien zur KI-Verarbeitung.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act; Indikator für Markterwartungen.
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland; relevant für Cybersecurity-Pflichten des AI Act und CRA/NIS2.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Aufsichtsbehörden; Orientierungshilfen auch zu KI.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesweiter Datenschutzbeauftragter Deutschland.
Rat für Künstliche Intelligenz (Österreich)Bundesministerium AT. Beratendes Gremium und Ministerium für KI-Politik in Österreich.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde; Bezug zu EU-KI-Recht für die Schweiz.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zur Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zu IT-Sicherheitsanforderungen für kritische Sektoren.
Häufige Fragen
Ist KI-Kredit-Scoring hochriskant?
Ja. Anhang III Nr. 5 erfasst Kreditwürdigkeitsprüfung natürlicher Personen (Ausnahme: Finanz-Solvenz-Detektion). Volles Pflichtenbündel aus Art. 8–15 ab 2. Aug. 2026.
Darf ein Kredit vollautomatisch abgelehnt werden?
Datenschutzrechtlich problematisch. Art. 22 DSGVO gibt ein Recht auf menschliche Überprüfung. Plus AGG-Diskriminierungsverbot und BAFin-Aufsicht.
Was sind Proxy-Variablen?
Scheinbar neutrale Merkmale (Postleitzahl, Name, Browserverlauf), die mittelbar auf Geschlecht/Ethnie/Religion schließen und diskriminieren können. Art. 10 verlangt Bias-Prüfung.
Rechtskonforme Umsetzung für Bonitätsprüfung und Kreditentscheidungen?
Wenn du Bonitätsprüfung und Kreditentscheidungen rechtskonform einführen oder prüfen willst, entwickle ich mit dir die passende Compliance-Strategie — von der Risikoklassifizierung bis zum Nachweis.