EU AI Act Enforcement-Deadline — 2. August 2026 Jetzt prüfen →
Hochrisiko

Kreditscoring-KI: Annex III Nr. 5 Hochrisiko

Stand: Mai 2026 · Innopulse Consulting GmbH, Zug

Auf einen Blick

Kreditscoring-KI ist Hochrisiko nach Annex III Nr. 5 lit. b. CJEU C-634/21 (SCHUFA) hat Vorbereitungs-Scores einbezogen. Banken/FinTechs müssen Art. 26-Pflichten und FRIA (Art. 27) erfüllen. Bewerber-Information und menschliche Review verpflichtend.

Kreditscoring war einer der explizit benannten Hochrisiko-Bereiche im AI Act. CJEU C-634/21 SCHUFA hat zudem klargestellt, dass auch Vorbereitungs-Scores unter DSGVO Art. 22 fallen. Für Banken, Sparkassen, FinTechs und Konsumkredit-Anbieter ist Compliance Pflicht.

Was ist erfasst?

  • Klassisches Bonitäts-Scoring: SCHUFA, Creditreform, KSV1870 (AT), CRIF (CH)
  • Bank-interne Risiko-Modelle: PD/LGD/EAD-Schätzungen mit ML
  • FinTech-Anwendungen: Klarna Pay-Later-Decisions, Affirm-Risk-Models
  • Hypothek-Scoring: Automatische Vor-Approvals
  • Konsumkredit-Decisions: Auto-Loans, Unsecured-Loans

Nicht erfasst (Annex III Nr. 5 lit. b ausgenommen): - Reine Fraud-Detection ohne Kredit-Entscheidung - KYC-Prüfung ohne Kredit-Verweigerung

CJEU SCHUFA-Folgen

CJEU C-634/21 (Dezember 2023) hat klargestellt: - Auch der Score selbst kann Art. 22 DSGVO auslösen - Wenn die Bank-Entscheidung wesentlich vom Score abhängt, gilt der Score als automatisierte Einzelentscheidung - Recht auf Erläuterung, menschliche Review, Anfechtung

Für AI-Act: Auch reine "Scoring"-KI ohne direkte Entscheidung ist Annex III, weil sie funktional über Kreditvergabe entscheidet.

Pflichten Banken/FinTechs

Als Provider eigener Modelle (Inhouse-ML): - Volle Art. 16-17 Pflichten - Konformitätsbewertung - Tech-Doku, CE-Kennzeichnung - Trainingsdaten-Bias-Audit (Art. 10)

Als Deployer fremder Modelle (z.B. SCHUFA-Service): - Art. 26 Pflichten - FRIA (Art. 27 — Banken sind explizit pflichtig) - Bewerber-Information mit Score-Logik - Recht auf menschliche Review (DSGVO Art. 22)

Zusätzlich DORA-Compliance.

Häufige Fragen

Müssen wir SCHUFA-Score-Logik offenlegen?
Nicht den vollen Algorithmus, aber die "wesentlichen Logiken" (DSGVO Art. 13/14, CJEU C-203/22 Dun & Bradstreet). Das umfasst: welche Faktoren mit welcher Gewichtung. Die SCHUFA hat 2024 ihr Score-Erklärungssystem überarbeitet.
Reicht ein menschlicher Sachbearbeiter im Approval-Loop?
Nicht automatisch. Wenn der Sachbearbeiter den Score einfach durchwinkt, ist die Entscheidung weiterhin vollautomatisch im Sinn von Art. 22. Echte menschliche Überprüfung mit Möglichkeit zur Abweichung erforderlich.
Was wenn unser Bonitäts-Score vom externen Anbieter kommt?
Sie sind Deployer und tragen Art. 26-Pflichten. Anbieter ist Provider und muss Konformität gewährleisten. Vertraglich AI-Act-Compliance-Klauseln nach Art. 25 einfordern.

Relevante Rechtsgrundlagen

Annex III Nr. 5 lit. b EU AI ActArt. 27 EU AI ActArt. 22 DSGVOCJEU C-634/21

Klassifizieren Sie Ihre KI-Systeme — kostenlos

In 5 Minuten Risiko-Klasse, FRIA-Pflicht und Compliance-Aufwand für jedes KI-System.

Kostenloser EU AI Act Quick-Check →
Innopulse Consulting GmbH — EU AI Act Compliance

Verfasst auf Basis der Verordnung (EU) 2024/1689, EDPB-Guidelines und CJEU-Rechtsprechung (C-634/21 SCHUFA, C-203/22 Dun & Bradstreet). Gotthardstrasse 30, 6300 Zug, Schweiz · UID CHE-219.727.921.

Hinweis: Technische Orientierung — kein Ersatz für anwaltliche Rechtsberatung.

Alle AnwendungsfälleQuick-Check