EU AI Act Annex-III-Deadline — 2. Dezember 2027 (Omnibus) Jetzt prüfen →
Alle Ratgeber
Annex III

Kreditwürdigkeit & Versicherung: KI als Hochrisiko nach Annex III Nr. 5

Zuletzt aktualisiert: Juni 2026·7 Min. Lesezeit
TL;DR

Annex III Nr. 5 stuft KI zur Kreditwürdigkeitsprüfung natürlicher Personen sowie zur Risikobewertung und Preisbildung in der Kranken- und Lebensversicherung als hochriskant ein. Wichtige Ausnahme: KI, die ausschließlich der Aufdeckung von Finanzbetrug dient, ist ausgenommen — sobald dieselbe KI aber Kreditwürdigkeit bewertet, greift Hochrisiko. Deployer in diesen Bereichen müssen zusätzlich eine FRIA nach Art. 27 durchführen.

Der Bereich mit der höchsten Prüfdichte

Wesentliche private und öffentliche Dienste sind ein Kernbereich des AI Act, weil Entscheidungen hier über Teilhabe entscheiden — über Kredit, Versicherungsschutz und Zugang zu Leistungen. Annex III Nr. 5 ist deshalb für Banken, Versicherer und Fintechs einer der wichtigsten Anknüpfungspunkte.

Was Annex III Nr. 5 erfasst

Die Kategorie umfasst KI-Systeme, die bestimmt sind:

  • zur Bewertung der Kreditwürdigkeit natürlicher Personen oder zur Feststellung ihrer Bonität (Kreditscoring);
  • zur Risikobewertung und Preisbildung bei Lebens- und Krankenversicherungen für natürliche Personen;
  • zur Bewertung von Ansprüchen auf bestimmte öffentliche Unterstützungsleistungen;
  • zur Priorisierung von Notrufen und Notfalldiensten.

Buchst. b (Kreditwürdigkeit) und Buchst. c (Versicherung) sind für die Finanzwirtschaft am relevantesten.

Die wichtigste Ausnahme: reine Betrugserkennung

Eine zentrale Abgrenzung: KI, die ausschließlich der Aufdeckung von Finanzbetrug dient, ist von der Hochrisiko-Einstufung ausgenommen. Eine Betrugserkennung, die verdächtige Transaktionen markiert, ist also kein Hochrisiko-System. Aber: Sobald dieselbe oder eine verbundene KI auch die Kreditwürdigkeit bewertet oder in die Bonitätsentscheidung einfließt, greift wieder Annex III Nr. 5. Die Grenze ist scharf und muss sauber dokumentiert werden — eine "Betrugserkennung", die faktisch Scoring betreibt, ist hochriskant.

Zusätzliche FRIA-Pflicht für Deployer

Eine Besonderheit von Annex III Nr. 5: Deployer in der Kreditwürdigkeitsprüfung und der Versicherungs-Risikobewertung gehören ausdrücklich zum Kreis, der eine Grundrechte-Folgenabschätzung (FRIA, Art. 27) durchführen muss — anders als viele andere private Deployer. Wer als Bank oder Versicherer ein solches Hochrisiko-System betreibt, muss die FRIA vor Inbetriebnahme erstellen.

Sektorale Überlagerung: DORA, BaFin, FINMA

Finanz-KI steht nie nur unter dem AI Act. Parallel greifen je nach Markt: DORA (digitale operationale Resilienz), die Aufsicht durch BaFin (DE), FINMA (CH) oder FMA (AT) sowie die DSGVO/DSG. Ein KI-Kreditscoring muss damit gleichzeitig AI-Act-konform, aufsichtsrechtlich tragfähig und datenschutzkonform sein. Diskriminierungsfreiheit ist dabei nicht nur ethisch, sondern rechtlich zwingend.

Praxisbeispiele zur Einordnung

Ein KI-Kreditscoring für Privatkunden → hochrisiko (Annex III Nr. 5b). Eine reine Transaktions-Betrugserkennung → ausgenommen. Eine KI, die Lebensversicherungs-Prämien risikobasiert kalkuliert → hochrisiko (Nr. 5c). Ein Bonitäts-Score für Firmenkunden (juristische Personen) → fällt nicht unter Nr. 5b, da diese auf natürliche Personen abstellt — andere Pflichten können dennoch greifen.

Was Sie jetzt tun sollten

Trennen Sie Betrugserkennung und Bonitätsbewertung sauber und dokumentiert. Klären Sie für jedes Modell, ob natürliche Personen betroffen sind. Planen Sie die FRIA als Deployer ein. Stimmen Sie AI-Act-Compliance mit Ihrer aufsichtsrechtlichen und Datenschutz-Governance ab. Zeithorizont: Annex-III-Frist 2. Dezember 2027 (Digital Omnibus), geltendes Recht bis Amtsblatt 2. August 2026.

Häufig gestellte Fragen

Ist jede Betrugserkennung vom Hochrisiko ausgenommen?+

Nur wenn sie ausschließlich der Aufdeckung von Finanzbetrug dient. Sobald dieselbe oder eine verbundene KI auch die Kreditwürdigkeit bewertet oder in eine Bonitätsentscheidung einfließt, greift Annex III Nr. 5 und das System wird hochriskant. Die Trennung muss dokumentiert sein.

Gilt Annex III Nr. 5 auch für Firmenkunden-Scoring?+

Buchst. b stellt auf die Kreditwürdigkeit natürlicher Personen ab. Ein reines Bonitäts-Scoring juristischer Personen fällt nicht darunter. Sobald aber natürliche Personen (z. B. Einzelunternehmer) bewertet werden, ist die Hochrisiko-Einstufung zu prüfen.

Müssen Banken eine FRIA durchführen?+

Ja, wenn sie als Deployer ein Hochrisiko-System zur Kreditwürdigkeitsprüfung einsetzen. Annex III Nr. 5 gehört zu den Bereichen, für die Art. 27 die Grundrechte-Folgenabschätzung ausdrücklich vorschreibt. Sie ist vor Inbetriebnahme zu erstellen.

Reicht AI-Act-Compliance im Finanzbereich aus?+

Nein. Finanz-KI unterliegt parallel der Aufsicht (BaFin, FINMA, FMA), ggf. DORA und der DSGVO/DSG. AI-Act-Konformität muss mit der aufsichtsrechtlichen und datenschutzrechtlichen Governance zusammengeführt werden.

Direkt prüfen — kostenlos

Prüfe in 5 Minuten ob deine KI-Systeme unter den EU AI Act fallen — mit sofortigem Ergebnis.

Kostenloser EU AI Act Check →
Weiterlesen
Leutrim Miftaraj

Dieser Artikel basiert auf der Verordnung (EU) 2024/1689 (EUR-Lex Originaltext) und EU-AI-Office-Guidelines. Wird monatlich aktualisiert. Hinweis: Technische Orientierung — kein Ersatz für Rechtsberatung.

Zuletzt aktualisiert: Juni 2026

Alle RatgeberWissenshub
Kreditscoring & Versicherung: KI Hochrisiko | ai-risk-check.com