Kostenlos beraten
KI-Kreditbewertung Compliance DSGVO EU-KI-Verordnung
compliance

KI-Kreditbewertung DSGVO: Hochrisiko-Compliance-Leitfaden 2026

KI-Scoring: Hochrisiko & Handlungspflichten

KI-Systeme zur Kreditwürdigkeitsprüfung gelten nach Anhang III EU-KI-Verordnung als Hochrisiko-KI. Finanzinstitute, die KI-Scoring einsetzen, müssen bis August 2026 ein Risikomanagementsystem aufbauen, DSGVO Art. 22 beachten und BaFin-Anforderungen erfüllen.

  • Hochrisiko-KI nach Anhang III EU-KI-Verordnung — Umsetzungsfrist August 2026
  • DSGVO Art. 22 verbietet vollautomatisierte Kreditentscheidungen ohne Schutzmaßnahmen
  • BaFin-Anforderungen: MaRisk und EBA-Leitlinien ergänzen den EU-KI-Rechtsrahmen
  • Konformitätsbewertung und DSFA sind für KI-Kreditbewertungssysteme Pflicht

KI-Systeme zur Kreditwürdigkeitsprüfung sind Hochrisiko-KI nach Anhang III der EU-KI-Verordnung (Verordnung (EU) 2024/1689). Finanzinstitute, FinTechs und Kreditinstitute, die KI zur Kreditvergabe, zum Scoring oder zur automatisierten Kreditentscheidung einsetzen, müssen ein Risikomanagementsystem aufbauen, Konformitätsbewertungen durchführen und Artikel 22 DSGVO beachten. Die Umsetzungsfrist läuft bis August 2026. Wer jetzt nicht handelt, riskiert Aufsichtssanktionen und Bußgelder in Millionenhöhe.

Warum KI-Kreditbewertung als Hochrisiko gilt

Die Einordnung nach Anhang III EU-KI-Verordnung

Die EU-KI-Verordnung klassifiziert KI-Systeme nach ihrem Risikopotenzial. Anhang III, Nr. 5 lit. b listet ausdrücklich KI-Systeme zur Bewertung der Kreditwürdigkeit oder zur Bestimmung des Kreditscores natürlicher Personen als Hochrisiko-KI auf — ohne Ausnahmen und ohne Bagatellschwelle.

Diese Einordnung basiert auf dem erheblichen Einfluss solcher Systeme auf das Leben von Menschen: Kreditentscheidungen bestimmen den Zugang zu Wohneigentum, Unternehmensfinanzierung und wirtschaftlicher Teilhabe. Ein fehlerhaftes oder voreingenommenes KI-Modell kann Einzelpersonen dauerhaft von finanziellen Ressourcen ausschließen — mit weitreichenden gesellschaftlichen Folgen.

Die Hochrisiko-Klassifizierung gilt unabhängig davon:

  • ob die KI als alleiniger Entscheider oder als Entscheidungsunterstützung eingesetzt wird
  • ob Menschen die finale Kreditentscheidung treffen
  • ob das System intern entwickelt oder von einem Drittanbieter bezogen wird
  • ob es sich um ein kleines FinTech oder eine Großbank handelt

Welche Systeme betroffen sind

Folgende KI-Anwendungen im Kreditwesen fallen unter die Hochrisiko-Klassifizierung:

  • Automatisiertes Kreditscoring: KI-Modelle, die Bonität auf Basis von Verhaltensdaten, Transaktionshistorie oder alternativen Daten bewerten
  • Kreditwürdigkeitsprüfung: Systeme, die Kreditanträge vorqualifizieren oder ablehnen
  • Risiko-Ranking: KI, die Kreditnehmer nach Ausfallwahrscheinlichkeit einordnet
  • Zinssatzoptimierung: Systeme, die individuelle Kreditkonditionen auf Basis von KI-Bewertungen festlegen
  • Kreditlimitbestimmung: KI-gestützte Festlegung von Kreditrahmen oder Überziehungslimits
  • Inkasso-KI: Systeme zur Priorisierung von Rückforderungen auf Grundlage individueller Bonitätsprofile

Abgrenzung: Hochrisiko vs. nicht-Hochrisiko

KI-SystemKlassifizierungBegründung
KI-Scoring natürlicher PersonenHochrisikoAnhang III Nr. 5 lit. b explizit
UnternehmenskreditbewertungNiedrigeres RisikoNicht explizit in Anhang III
Betrugserkennung ohne KreditentscheidungNiedrigeres RisikoKein direkter Einfluss auf Kreditwürdigkeit
Klassische regelbasierte ScorecardKein KI-Act-AnwendungsfallKeine KI-Komponente i. S. d. Verordnung
Hybridsysteme (KI + klassische Scorecard)HochrisikoKI-Komponente beeinflusst Kreditentscheidung
KI-Unterstützung für KreditberaterHochrisikoAuch unterstützende Funktion reicht aus

Praxishinweis: Wenn Sie nicht sicher sind, ob Ihr System als Hochrisiko einzustufen ist, gehen Sie vom Hochrisikostatus aus. Die Kosten einer falschen Negativklassifizierung überwiegen die Compliance-Aufwände bei weitem.

Anforderungen der EU-KI-Verordnung für Kreditbewertungs-KI

Risikomanagementsystem (Art. 9)

Artikel 9 EU-KI-Verordnung verpflichtet Sie zu einem dokumentierten, iterativen Risikomanagementsystem für den gesamten Lebenszyklus des KI-Systems. Das Risikomanagementsystem muss:

  • bekannte und vernünftigerweise vorhersehbare Risiken des Systems identifizieren und analysieren
  • Risiken bewerten, die bei bestimmungsgemäßem und vorhersehbar missbräuchlichem Einsatz entstehen
  • geeignete Risikominderungsmaßnahmen implementieren
  • nach Markteinführung kontinuierlich aktualisiert und überwacht werden

Für KI-Kreditbewertungssysteme konkret: Sie müssen dokumentieren, welche Fehlerarten auftreten können — etwa systematische Diskriminierung bestimmter Bevölkerungsgruppen oder Datenqualitätsprobleme —, wie wahrscheinlich diese sind und welche Gegenmaßnahmen Sie implementiert haben. Das Risikomanagementsystem ist kein einmaliges Projekt, sondern ein dauerhafter Prozess.

Daten-Governance und Bias-Tests (Art. 10)

Artikel 10 stellt strenge Anforderungen an Trainingsdaten. KI-Kreditbewertungssysteme müssen mit Daten trainiert werden, die:

  • relevant, repräsentativ, vollständig und frei von Fehlern sind
  • systematisch auf potenzielle Bias, Fehler und Lücken untersucht wurden
  • keine geschützten Merkmale wie Geschlecht, Herkunft, Religion oder Behinderung direkt oder als Proxy einbeziehen
  • die gesamte anvisierte Nutzerpopulation angemessen abbilden

Bias-Tests sind keine einmalige Prüfung vor dem Launch. Sie müssen laufend überwachen, ob sich Diskriminierungsmuster im Live-Betrieb entwickeln — beispielsweise wenn sich die demografische Zusammensetzung der Antragstellerpopulation verändert oder neue Datenspalten eingefügt werden.

Die SCHUFA-Rechtsprechung des Bundesgerichtshofs (BGH, VI ZR 156/22) und die Entscheidungen der Landesdatenschutzbehörden zeigen, wie hoch das rechtliche und reputationelle Risiko in diesem Bereich ist.

Technische Dokumentation (Art. 11)

Artikel 11 verlangt eine umfassende technische Dokumentation, die vor Markteinführung erstellt und auf dem neuesten Stand gehalten werden muss. Die Dokumentation umfasst:

  • allgemeine Systembeschreibung und Verwendungszweck
  • Design-Spezifikationen, Systemarchitektur und Trainingsverfahren
  • verwendete Datenquellen und Datenverarbeitungsschritte
  • Leistungsmetriken und Validierungsergebnisse (z. B. Gini-Koeffizient, AUC-Wert)
  • bekannte Einschränkungen und implementierte Risikominderungsmaßnahmen
  • Überwachungs- und Wartungsprotokoll für den laufenden Betrieb
  • Versionshistorie bei wesentlichen Modellanpassungen

Die Dokumentation muss für nationale Marktüberwachungsbehörden — in Deutschland die BNetzA in Abstimmung mit BaFin — jederzeit zugänglich sein.

Menschliche Aufsicht (Art. 14)

Artikel 14 verlangt wirksame menschliche Aufsicht — das ist mehr als eine formale Genehmigungsschaltfläche. Verantwortliche Mitarbeiter müssen:

  • die Ausgaben des Systems vollständig verstehen und kritisch interpretieren können
  • Anomalien, Bias oder unerwünschte Outputs erkennen können
  • Kreditentscheidungen im Einzelfall ohne Systembeschränkungen überschreiben können
  • über ausreichende fachliche und technische Kompetenz verfügen, um KI-Empfehlungen kritisch zu hinterfragen

Reine „Human-in-the-Loop”-Ansätze, bei denen Mitarbeiter lediglich KI-Ausgaben bestätigen, ohne inhaltliche Prüfung vorzunehmen, erfüllen diese Anforderung nicht. Die Aufsicht muss substanziell sein.

Konformitätsbewertung: Wann ist eine externe Prüfung nötig?

Für Hochrisiko-KI-Systeme schreibt die EU-KI-Verordnung ein Konformitätsbewertungsverfahren nach Art. 43 vor. Für KI-Kreditbewertungssysteme kann dieses grundsätzlich als interne Selbstbewertung durchgeführt werden — sofern kein Verstoß gegen anderes EU-Harmonisierungsrecht vorliegt.

Die interne Konformitätsbewertung umfasst fünf Schritte:

  1. Überprüfung aller Anforderungen aus Art. 8–15 EU-KI-Verordnung anhand interner Dokumentation
  2. Dokumentation der Konformität in einem Compliance-Bericht
  3. Ausstellung einer EU-Konformitätserklärung (Declaration of Conformity)
  4. Anbringung der CE-Kennzeichnung (für Anbieter, die das System in Verkehr bringen)
  5. Registrierung in der EU-Datenbank nach Art. 49 (verpflichtend für alle Hochrisiko-KI-Anbieter)

Wichtig für Eigenentwicklungen: Wenn Ihr Institut das KI-Scoring-System selbst entwickelt — auch wenn Sie es nur intern betreiben —, sind Sie rechtlich als Anbieter einzustufen, nicht nur als Betreiber. Das begründet erweiterte Pflichten, einschließlich der CE-Kennzeichnung und der Registrierungspflicht.

DSGVO-Anforderungen für automatisierte Kreditentscheidungen

Art. 22 DSGVO — Verbot vollautomatisierter Entscheidungen

Artikel 22 DSGVO ist das Kernstück des datenschutzrechtlichen Rahmens für KI-Kreditentscheidungen. Er verleiht Betroffenen das Recht, nicht ausschließlich einer automatisierten Entscheidung unterworfen zu sein, die rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Eine KI-Kreditentscheidung erfüllt dieses Kriterium in praktisch jedem Fall: Eine Kreditablehnung ist eine rechtlich erhebliche Konsequenz, eine deutlich höhere Zinslast beeinträchtigt die betroffene Person erheblich. Das Verbot gilt grundsätzlich und absolut — mit eng begrenzten Ausnahmen.

Ausnahmen und Schutzmaßnahmen

Drei Ausnahmen nach Art. 22 Abs. 2 DSGVO erlauben automatisierte Kreditentscheidungen:

  1. Vertragserforderlichkeit (lit. a): Die automatisierte Entscheidung ist für den Abschluss oder die Erfüllung eines Vertrags erforderlich — zum Beispiel bei Sofortkrediten, bei denen schnelle Bewertungen das Geschäftsmodell begründen
  2. Gesetzliche Erlaubnis (lit. b): EU- oder nationales Recht erlaubt die automatisierte Verarbeitung ausdrücklich
  3. Ausdrückliche Einwilligung (lit. c): Die betroffene Person hat ausdrücklich eingewilligt — diese Ausnahme ist in der Praxis fehleranfällig, da Einwilligungen widerruflich und bei strukturellen Abhängigkeiten nicht freiwillig sind

Auch bei Vorliegen einer Ausnahme sind Sie verpflichtet:

  • angemessene Schutzmaßnahmen zu implementieren
  • das Recht auf menschliche Überprüfung zu gewähren
  • das Recht der betroffenen Person, ihren Standpunkt darzulegen, sicherzustellen
  • das Recht auf Anfechtung der Entscheidung zu implementieren

Die bloße Möglichkeit, nachträglich einen menschlichen Mitarbeiter anzurufen, genügt nicht. Der Überprüfungsprozess muss effektiv, zugänglich und tatsächlich substanziell sein.

Rechtsgrundlage für Scoring-Datenverarbeitung

Neben Art. 22 DSGVO benötigen Sie eine allgemeine Rechtsgrundlage nach Art. 6 DSGVO für die Verarbeitung personenbezogener Daten beim KI-Scoring:

  • Art. 6 Abs. 1 lit. b: Vertragserfüllung — für Daten, die unmittelbar zur Kreditentscheidung benötigt werden
  • Art. 6 Abs. 1 lit. c: Gesetzliche Verpflichtung — für KWG-konforme Bonitätsprüfungen, die das Gesetz vorschreibt
  • Art. 6 Abs. 1 lit. f: Berechtigtes Interesse — nur nach sorgfältiger Interessenabwägung und nur, wenn Betroffenenrechte nicht überwiegen

Für besondere Kategorien von Daten nach Art. 9 DSGVO — etwa Gesundheitsdaten, die als Proxy für Kreditrisiko genutzt werden könnten — gelten zusätzliche Anforderungen nach Art. 9 Abs. 2 DSGVO. Viele KI-Modelle, die auf Verhaltensdaten oder sozialen Signalen trainiert wurden, berühren diesen Bereich unbeabsichtigt.

Datenschutz-Folgenabschätzung (DSFA)

Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist für KI-Kreditbewertung Pflicht. KI-Scoring erfüllt mehrere der gesetzlichen Schwellenwertkriterien gleichzeitig:

  • Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen (Bonität)
  • Automatisierte Entscheidungen mit rechtlichen oder erheblichen Auswirkungen auf Personen
  • Datenverarbeitung in großem Umfang

Die Datenschutzkonferenz (DSK) hat KI-gestütztes Scoring in ihre Liste der Verarbeitungstätigkeiten aufgenommen, für die eine DSFA in jedem Fall erforderlich ist. Eine DSFA muss vor Inbetriebnahme des Systems durchgeführt, vollständig dokumentiert und bei wesentlichen Systemänderungen aktualisiert werden.

Die DSFA muss eine Beschreibung der Verarbeitungsvorgänge, eine Notwendigkeits- und Verhältnismäßigkeitsprüfung, eine Risikobewertung für Betroffene und geplante Abhilfemaßnahmen enthalten. Bei verbleibendem hohen Risiko ist vor der Inbetriebnahme die zuständige Datenschutzaufsichtsbehörde zu konsultieren.

Auskunftspflichten gegenüber Betroffenen

Betroffene Personen haben nach DSGVO folgende Rechte im Kontext KI-basierter Kreditentscheidungen:

  • Auskunftsrecht (Art. 15): Welche Daten werden verarbeitet? Wie funktioniert die Entscheidungslogik grundsätzlich?
  • Vorabinformation (Art. 13/14): Betroffene müssen vor der Entscheidung über automatisierte Verarbeitung informiert werden
  • Erläuterung der Entscheidungslogik: Nicht der vollständige Algorithmus, aber die wesentlichen Faktoren der Entscheidung in verständlicher Sprache
  • Widerspruchsrecht (Art. 21): Bei berechtigten Interessen als Rechtsgrundlage besteht ein jederzeitiges Widerspruchsrecht
  • Berichtigungsrecht (Art. 16): Falsche Daten, die in die KI-Bewertung eingeflossen sind, müssen korrigiert werden

Konkret: Wenn Ihr System einen Kreditantrag ablehnt, müssen Betroffene erfahren können, welche Faktoren maßgeblich waren — in verständlicher Sprache, ohne technisches Vorwissen vorauszusetzen.

KWG und BaFin-Anforderungen für KI im Kreditwesen

MaRisk und BaFin-Hinweise zu KI-Modellen

Die Mindestanforderungen an das Risikomanagement (MaRisk) der BaFin enthalten explizite Anforderungen an Modelle im Kreditrisikomanagement. Für KI-Kreditbewertungssysteme relevant sind insbesondere:

  • MaRisk AT 4.1: Anforderungen an die Aufbauorganisation — KI-Systeme müssen in die Governance des Instituts eingebettet sein, mit klaren Verantwortlichkeiten
  • MaRisk BTO 1.2: Kreditprozesse — Bonitätsbeurteilungen müssen auf belastbaren, validierten Methoden beruhen
  • MaRisk BTR 1: Adressenausfallrisiken — KI-Modelle für die Ausfallwahrscheinlichkeit (PD) müssen regelmäßig validiert und überwacht werden

Das BaFin-Merkblatt „Umgang mit Big Data und künstlicher Intelligenz” (2021) konkretisiert die Erwartungen der Aufsicht für KI-Modelle im Finanzsektor. Es ist zwar kein bindendes Regelwerk, signalisiert aber den Prüfmaßstab der Aufsichtsbehörde und sollte als Leitfaden für die eigene Governance behandelt werden.

Modellrisikomanagement

BaFin und EBA erwarten ein strukturiertes Modellrisikomanagement für alle KI-Scoring-Systeme, das vier Säulen umfasst:

  1. Modellentwicklungsdokumentation: Methodik, Datenanforderungen, Auswahlentscheidungen, Validierungsansatz und Grenzen des Modells
  2. Unabhängige Modellvalidierung: Überprüfung der Modellgüte (Diskriminierungsfähigkeit, Kalibrierung, Stabilität) durch eine von der Entwicklung unabhängige Einheit
  3. Laufendes Modellmonitoring: Überwachung auf Stabilitätsverlust, Konzeptdrift (concept drift) und Datenschiefe — mindestens jährlich, bei volatilen Datenverhältnissen häufiger
  4. Modellgovernance: Schriftlich definierte Verantwortlichkeiten für Entwicklung, Validierung, Genehmigung und laufende Überwachung mit klaren Eskalationspfaden

Aufsichtsbehörden erwarten, dass diese Prozesse vollständig dokumentiert, regelmäßig überprüft und im Rahmen von Prüfungen nachgewiesen werden können.

EBA-Leitlinien zu Credit Scoring

Die EBA Guidelines on Loan Origination and Monitoring (EBA/GL/2020/06) enthalten spezifische Anforderungen für KI-gestützte Kreditvergabeprozesse, die für alle deutschen Kreditinstitute nach BaFin-Umsetzung verbindlich sind:

  • Institute müssen die Eignung der verwendeten Daten und Modelle für die jeweilige Kreditart und Antragstellerpopulation sicherstellen
  • Modelle für die Kreditwürdigkeitsprüfung müssen regelmäßig überprüft, back-getestet und validiert werden
  • Wenn KI-Systeme von Drittanbietern bezogen werden, bleibt das Institut für die regulatorische Compliance verantwortlich — Haftung lässt sich nicht auf den Anbieter übertragen
  • Sensitivitätsanalysen und Stresstests sind auch für KI-Kreditmodelle durchzuführen

Diese EBA-Leitlinien bilden gemeinsam mit MaRisk und der EU-KI-Verordnung ein dreischichtiges Compliance-Gerüst, das für jedes KI-Scoring-System im deutschen Kreditwesen einzuhalten ist.

Compliance-Checkliste für Finanzinstitute

Die folgende Checkliste fasst die wesentlichen Schritte zusammen, die Kreditinstitute und FinTechs bis August 2026 abschließen müssen:

  1. KI-Inventar erstellen: Alle KI-Systeme im Kreditbereich identifizieren und nach Risikoklasse klassifizieren — einschließlich zugekaufter Drittanbieterlösungen
  2. Hochrisiko-Systeme formal benennen: Alle KI-Kreditbewertungssysteme als Hochrisiko-KI dokumentieren und Verantwortliche benennen
  3. Risikomanagementsystem implementieren: Art. 9 EU-KI-Verordnung — schriftlich, iterativ, mit klaren Verantwortlichkeiten und Eskalationspfaden
  4. Daten-Governance überprüfen: Trainingsdaten auf Repräsentativität, Bias und Qualität prüfen; Herkunft und Verarbeitungsschritte dokumentieren (Art. 10)
  5. Technische Dokumentation erstellen: Art. 11 EU-KI-Verordnung — vollständige, aktuelle Systemdokumentation, die Prüfbehörden vorlegt werden kann
  6. Human-Oversight-Prozesse einführen: Art. 14 EU-KI-Verordnung — wirksame, substanzielle Aufsicht mit echten Überschreibungsrechten und -kompetenzen
  7. DSFA durchführen: Art. 35 DSGVO — vor Inbetriebnahme, vollständig dokumentiert, ggf. Konsultation der Aufsichtsbehörde
  8. Art. 22 DSGVO-Compliance sicherstellen: Rechtsgrundlage prüfen, Schutzmaßnahmen implementieren, Betroffenenrechte gewährleisten und dokumentieren
  9. Konformitätsbewertung abschließen: EU-Konformitätserklärung ausstellen, ggf. CE-Kennzeichnung, Registrierung in der EU-Datenbank (Art. 49)
  10. BaFin/MaRisk-Anforderungen integrieren: Modellvalidierung, laufendes Monitoring und Governance-Strukturen dokumentieren und mit dem KI-Act-Compliance-Rahmen abstimmen
  11. Mitarbeiter schulen: KI-Kompetenz nach Art. 4 EU-KI-Verordnung — alle Personen, die das System nutzen, überwachen oder Entscheidungen treffen, müssen ausreichend geschult sein
  12. Beschwerdekanal einrichten: Zugänglicher, effektiver Prozess zur Anfechtung und menschlichen Überprüfung von KI-gestützten Kreditentscheidungen

Einen vollständigen Überblick über branchenspezifische KI-Act-Anforderungen im Finanzsektor bietet unser Leitfaden zu EU-KI-Verordnung und Finanzdienstleistungen. Für KI-Systeme im Bankensektor im Speziellen finden Sie vertiefende Informationen im AI-Act-Leitfaden für Banken. Den übergreifenden Compliance-Rahmen für alle Hochrisiko-KI-Anforderungen finden Sie in unserem EU-KI-Verordnung Compliance-Hub.

Häufig gestellte Fragen

Ist KI-Scoring nach DSGVO zulässig?

Ja, aber nur unter strengen Auflagen. DSGVO Art. 22 erlaubt automatisierte Kreditentscheidungen ausnahmsweise, wenn sie für einen Vertrag notwendig sind, gesetzlich erlaubt oder ausdrücklich eingewilligt wurden. In jedem Fall müssen Sie menschliche Überprüfung, Widerspruchsrechte und verständliche Erläuterungen der Entscheidungslogik gewährleisten.

Was bedeutet „wesentliche Beeinflussung” bei Art. 22 DSGVO?

Eine Person wird wesentlich beeinflusst, wenn die automatisierte Entscheidung erhebliche praktische Konsequenzen hat — etwa eine Kreditablehnung, eine deutlich höhere Zinslast oder ein reduziertes Kreditlimit. EuGH und Bundesverfassungsgericht haben klargestellt, dass rein finanzielle Auswirkungen dieser Art den Schutzbereich von Art. 22 DSGVO aktivieren.

Müssen wir ein Konformitätsbewertungsverfahren durchführen?

Ja. Als Hochrisiko-KI-System unterliegen KI-Kreditbewertungssysteme dem Konformitätsbewertungsverfahren nach Art. 43 EU-KI-Verordnung. Für die meisten Kreditbewertungssysteme ist eine interne Selbstbewertung ausreichend, sofern kein Verstoß gegen anderes EU-Harmonisierungsrecht vorliegt. Das Ergebnis muss in einer EU-Konformitätserklärung dokumentiert und das System in der EU-Datenbank registriert werden.

Gilt die EU-KI-Verordnung für bestehende Scoring-Systeme?

Ja. Die EU-KI-Verordnung gilt für alle Hochrisiko-KI-Systeme, die nach August 2026 im Einsatz sind — unabhängig vom Entwicklungsdatum. Systeme, die bereits heute laufen, müssen bis August 2026 compliant sein. Eine pauschale Übergangsfrist für bestehende Systeme gibt es nicht. Je früher Ihr Institut mit der Compliance-Prüfung beginnt, desto mehr Zeit bleibt für notwendige Anpassungen.

Wie unterscheidet sich ein KI-Score von einem klassischen Scorecard-Modell rechtlich?

Eine klassische regelbasierte Scorecard ohne selbstlernende Algorithmen fällt typischerweise nicht unter Anhang III EU-KI-Verordnung. Sobald maschinelles Lernen, neuronale Netze, Gradient Boosting oder andere KI-Methoden eingesetzt werden, gilt die Hochrisiko-Einstufung — unabhängig davon, wie stark das KI-Scoring die finale Entscheidung beeinflusst. Hybridsysteme, die traditionelle Scorecards mit KI-Komponenten kombinieren, unterliegen ebenfalls dem Hochrisiko-Regime.

Welche BaFin-Anforderungen gelten für KI-Scoring-Modelle?

BaFin erwartet nach MaRisk ein strukturiertes Modellrisikomanagement für alle Kreditmodelle einschließlich KI-Scoring: vollständige Entwicklungsdokumentation, unabhängige Modellvalidierung, laufendes Monitoring auf Stabilitätsverlust und konzeptionellen Drift sowie klare Governance-Strukturen mit definierten Verantwortlichkeiten. Ergänzend gelten die EBA-Leitlinien zur Kreditvergabe (EBA/GL/2020/06), die für alle deutschen Kreditinstitute nach BaFin-Umsetzung verbindlich sind.

So hilft Compound Law

Compound Law unterstützt Kreditinstitute, FinTechs und Zahlungsdienstleister bei der vollständigen Compliance für KI-Kreditbewertungssysteme:

  • Hochrisiko-Klassifizierung und Compliance-Gap-Analyse: Bestandsaufnahme Ihrer KI-Systeme und Identifikation von Compliance-Lücken vor August 2026
  • Risikomanagementsystem und technische Dokumentation: Aufbau der erforderlichen Dokumentationsstruktur nach Art. 9 und 11 EU-KI-Verordnung
  • DSFA und DSGVO Art. 22-Compliance: Durchführung der Datenschutz-Folgenabschätzung und Implementierung rechtssicherer Schutzmaßnahmen
  • Konformitätsbewertungsverfahren: Begleitung der internen Selbstbewertung, EU-Konformitätserklärung und Datenbankregistrierung
  • BaFin-Regulierungsintegration: Abstimmung des EU-KI-Act-Compliance-Rahmens mit bestehenden MaRisk- und EBA-Anforderungen
  • Bias-Testing-Protokolle: Entwicklung und Implementierung laufender Bias-Überwachung für KI-Kreditmodelle

Weitere Compliance-Guides

KI-Medizindiagnostik Compliance DSGVO und EU AI Act Deutschland
compliance

KI-Medizindiagnostik & EU AI Act: Compliance für deutsche Anbieter

KI-Diagnosesysteme sind Hochrisiko nach EU AI Act und MDR. DSGVO Art. 9, DSFA, Dokumentation und Haftung – Praxis-Leitfaden für Deutschland.
EU AI Act Rechtsberatung DSGVO Kanzlei Deutschland
Leitfäden

EU AI Act Rechtsberatung für Unternehmen in Deutschland

Ab August 2026 gelten Hochrisiko-KI-Pflichten. Compound Law berät Unternehmen im DACH-Raum zu EU AI Act-Compliance, Readiness-Assessments und DSGVO.
KI-Einstellungstools EU-KI-Verordnung DSGVO Compliance Deutschland
compliance

KI-Einstellungstools: EU-KI-Verordnung, DSGVO & Betriebsrat (2026)

KI-Systeme im Recruiting sind Hochrisiko nach EU-KI-Verordnung Anhang III. Leitfaden für HR-Compliance in Deutschland: DSGVO, Betriebsrat, August 2026.

Häufige Fragen

Ist KI-Scoring nach DSGVO zulässig?

Ja, aber nur unter strengen Auflagen. DSGVO Art. 22 erlaubt automatisierte Kreditentscheidungen ausnahmsweise, wenn sie für einen Vertrag notwendig sind, gesetzlich erlaubt oder ausdrücklich eingewilligt wurden. In jedem Fall müssen Sie menschliche Überprüfung, Widerspruchsrechte und verständliche Erläuterungen der Entscheidungslogik gewährleisten.

Was bedeutet wesentliche Beeinflussung bei Art. 22 DSGVO?

Eine Person wird wesentlich beeinflusst, wenn die automatisierte Entscheidung erhebliche praktische Konsequenzen hat — etwa eine Kreditablehnung, eine höhere Zinslast oder ein reduziertes Kreditlimit. EuGH und Bundesverfassungsgericht haben klargestellt, dass rein finanzielle Auswirkungen dieser Art den Schutzbereich von Art. 22 DSGVO aktivieren.

Müssen wir ein Konformitätsbewertungsverfahren durchführen?

Ja. Als Hochrisiko-KI-System unterliegen KI-Kreditbewertungssysteme dem Konformitätsbewertungsverfahren nach Art. 43 EU-KI-Verordnung. Für die meisten Kreditbewertungssysteme ist eine interne Selbstbewertung ausreichend. Das Ergebnis muss in einer EU-Konformitätserklärung dokumentiert und das System in der EU-Datenbank registriert werden.

Gilt die EU-KI-Verordnung für bestehende Scoring-Systeme?

Ja. Die EU-KI-Verordnung gilt für alle Hochrisiko-KI-Systeme, die nach August 2026 im Einsatz sind — unabhängig vom Entwicklungsdatum. Systeme, die bereits vor August 2026 laufen, müssen bis zu diesem Datum compliant sein. Eine pauschale Übergangsfrist für bestehende Systeme gibt es nicht.

Wie unterscheidet sich KI-Score von klassischer Scorecard rechtlich?

Eine klassische regelbasierte Scorecard ohne selbstlernende Algorithmen fällt typischerweise nicht unter Anhang III EU-KI-Verordnung. Sobald maschinelles Lernen, neuronale Netze oder andere KI-Methoden eingesetzt werden, gilt die Hochrisiko-Einstufung — unabhängig davon, wie stark das KI-Scoring die finale Entscheidung beeinflusst.

Welche BaFin-Anforderungen gelten für KI-Scoring-Modelle?

BaFin erwartet nach MaRisk ein strukturiertes Modellrisikomanagement: Entwicklungsdokumentation, unabhängige Validierung, laufendes Monitoring und klare Governance-Strukturen. Ergänzend gelten die EBA-Leitlinien zur Kreditvergabe (EBA/GL/2020/06), die für alle deutschen Kreditinstitute verbindlich umgesetzt wurden.

Kostenlos beraten