use_caseArticlemaschinenlesbar

KI-gestützte Kreditrisiko-Frühwarnung (B2B): Risikoklasse und Pflichten im EU-KI-Recht

MenschMarkdown öffnen

KI-gestützte Kreditrisiko-Frühwarnung im B2B-Bereich (Unternehmensbonität, Lieferantenrisiko) fällt in der Regel NICHT unter Anhang III Nr. 5 AI Act, der die Kreditwürdigkeit natürlicher Personen erfasst. Für reine B2B-Scoring ohne direkte Auswirkung auf natürliche Personen gilt meist minimales Risiko (keine AI-Act-Pflicht). Wichtig: über Anhang III Nr. 5 (Kreditwürdigkeit natürlicher Personen) wird hochriskant, wenn Kleinstunternehmer/Personenunternehmen bewertet werden (natürliche Personen). Überlagert: DSGVO (personenbezogene Unternehmensdaten bei Einzelunternehmen/Gesellschaftern), Kreditwesengesetz (BAFin-Aufsicht), allgemeines Bankrecht. Die Abgrenzung „juristische Person vs. natürliche Person" ist entscheidend.

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
einordnung

Einordnung: meist nicht hochriskant

Anhang III Nr. 5 erfasst ausdrücklich KI zur Bewertung der Kreditwürdigkeit oder Bonität natürlicher Personen. Reine B2B-Kreditrisiko-Frühwarnung für juristische Personen (GmbH, AG) fällt in der Regel nicht darunter — meist minimales Risiko, keine AI-Act-Pflicht. Die Grenze wird überschritten bei: Kleinstunternehmern/Personenunternehmen (Einzelunternehmen, GbR, freie Berufe) — diese sind natürliche Personen; gesellschafterbezogenem Scoring, das mittelbar natürliche Personen bewertet; konsumtiven Krediten an Gesellschafter. Eine saubere Abgrenzung „juristische vs. natürliche Person" schützt vor versehentlicher Hochrisiko-Einstufung.

pflichten

Pflichten und Bankenaufsicht

Bei Hochrisiko-Einstufung (Anhang III Nr. 5): volles Pflichtenbündel aus Art. 8–15 mit Schwerpunkt Daten-Governance/Bias (Art. 10), menschlicher Aufsicht (Art. 14), Aufzeichnung (Art. 12). Überlagert immer: Kreditwesengesetz (KWG) und BAFin-Aufsicht (bankinterne Risikomanagementprozesse § 25a KWG, MaRisk), allgemeines Bank-/Verbraucherkreditrecht. DSGVO: personenbezogene Daten bei Einzelunternehmen/Gesellschaftern, DSFA bei hochriskanter Verarbeitung. Die BAFin prüft zunehmend algorithmische Kreditentscheidungen — auch jenseits des AI Act. Eine saubere Dokumentation der Scoring-Faktoren, Bias-Tests und menschlichen Eingriffsmechanismen ist bankrechtlich und AI-Act-rechtlich gefordert.

praxis

Praxis: Lieferketten- und Counterparty-Risiko

Praktisch häufig: Lieferkettenrisiko (Lieferanten-Ausfallwahrscheinlichkeit), Counterparty-Risiko bei Derivaten, versicherungsbezogenes Unternehmens-Scoring. Diese Systeme sind meist B2B und nicht hochriskant. Wichtig: Proxy-Risiken — ein B2B-Score, der mittelbar die Gesellschafter (natürliche Personen) bewertet, kann in den Anhang III Nr. 5-Bereich rutschen. Konservative Auslegung: bei Personengesellschaften und freien Berufen vom Hochrisiko ausgehen. Transparenz gegenüber den bewerteten Unternehmen (Auskunft über Score-Faktoren) und klare Daten-Governance schützen. Die Schnittstelle zu DSGVO/AGG bleibt bestehen, wenn natürliche Personen identifizierbar betroffen sind.

Sources

Quellen

Verordnung (EU) 2024/1689 (AI Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act (konsolidierte Fassung).

EU AI Office

Europäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung, GPAI-Aufsicht und Leitlinien.

Verordnung (EU) 2023/2854 (Data Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act zur Datenweitergabe an verbundenen Produkten.

Datenschutz-Grundverordnung (DSGVO) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO; maßgeblich für KI-Verarbeitung personenbezogener Daten.

AI Act — konsolidierter Lesetext (ai-act-law.eu)

Future of Life Institute / Konsortium. Breit genutzte inoffiziell-konsolidierte, artikelgenaue Darstellung des AI Act.

European Data Protection Supervisor (EDPS)

EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act und Schnittstelle KI/Datenschutz.

European Data Protection Board (EDPB)

EDPB. Gremium der EU-Datenschutzbehörden mit Leitlinien zur KI-Verarbeitung.

EU AI Pact

Europäische Kommission. Freiwillige Frühumsetzung des AI Act; Indikator für Markterwartungen.

Bundesamt für Sicherheit in der Informationstechnik (BSI)

BSI. IT-Sicherheitsbehörde Deutschland; relevant für Cybersecurity-Pflichten des AI Act und CRA/NIS2.

Datenschutzkonferenz (DSK)

DSK. Zusammenschluss der deutschen Aufsichtsbehörden; Orientierungshilfen auch zu KI.

Der Bundesbeauftragte für Datenschutz (BfDI)

BfDI. Bundesweiter Datenschutzbeauftragter Deutschland.

Rat für Künstliche Intelligenz (Österreich)

Bundesministerium AT. Beratendes Gremium und Ministerium für KI-Politik in Österreich.

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)

EDÖB / FDPIC. Schweizer Datenschutzbehörde; Bezug zu EU-KI-Recht für die Schweiz.

Cyber Resilience Act (VO (EU) 2024/2847) — EUR-Lex

Amtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zur Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).

Richtlinie (EU) 2022/2555 (NIS2) — EUR-Lex

Amtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zu IT-Sicherheitsanforderungen für kritische Sektoren.

FAQ

Häufige Fragen

Ist B2B-Kredit-Scoring hochriskant?

Meist nicht (Anhang III Nr. 5 erfasst natürliche Personen). Hochriskant bei Kleinstunternehmern/Personenunternehmen/Gesellschafter-Scoring. Abgrenzung juristische vs. natürliche Person entscheidend.

Greift die BAFin?

Ja immer. KWG/BAFin-Aufsicht (bankinterne Risikomanagementprozesse § 25a KWG, MaRisk), auch jenseits des AI Act. Algorithmische Kreditentscheidungen werden zunehmend geprüft.

Was gilt bei Einzelunternehmen?

Natürliche Person — dann hochriskant nach Anhang III Nr. 5. Plus DSGVO/AGG. Konservativ vom Hochrisiko ausgehen bei Personengesellschaften und freien Berufen.

Compliance für deinen Fall

Rechtskonforme Umsetzung für KI-gestützte Kreditrisiko-Frühwarnung (B2B)?

Wenn du KI-gestützte Kreditrisiko-Frühwarnung (B2B) rechtskonform einführen oder prüfen willst, entwickle ich mit dir die passende Compliance-Strategie — von der Risikoklassifizierung bis zum Nachweis.

Jetzt beraten lassen
Related