KI-gestützte Kreditrisiko-Frühwarnung (B2B): Risikoklasse und Pflichten im EU-KI-Recht
KI-gestützte Kreditrisiko-Frühwarnung im B2B-Bereich (Unternehmensbonität, Lieferantenrisiko) fällt in der Regel NICHT unter Anhang III Nr. 5 AI Act, der die Kreditwürdigkeit natürlicher Personen erfasst. Für reine B2B-Scoring ohne direkte Auswirkung auf natürliche Personen gilt meist minimales Risiko (keine AI-Act-Pflicht). Wichtig: über Anhang III Nr. 5 (Kreditwürdigkeit natürlicher Personen) wird hochriskant, wenn Kleinstunternehmer/Personenunternehmen bewertet werden (natürliche Personen). Überlagert: DSGVO (personenbezogene Unternehmensdaten bei Einzelunternehmen/Gesellschaftern), Kreditwesengesetz (BAFin-Aufsicht), allgemeines Bankrecht. Die Abgrenzung „juristische Person vs. natürliche Person" ist entscheidend.
Steve Baka
Einordnung: meist nicht hochriskant
Anhang III Nr. 5 erfasst ausdrücklich KI zur Bewertung der Kreditwürdigkeit oder Bonität natürlicher Personen. Reine B2B-Kreditrisiko-Frühwarnung für juristische Personen (GmbH, AG) fällt in der Regel nicht darunter — meist minimales Risiko, keine AI-Act-Pflicht. Die Grenze wird überschritten bei: Kleinstunternehmern/Personenunternehmen (Einzelunternehmen, GbR, freie Berufe) — diese sind natürliche Personen; gesellschafterbezogenem Scoring, das mittelbar natürliche Personen bewertet; konsumtiven Krediten an Gesellschafter. Eine saubere Abgrenzung „juristische vs. natürliche Person" schützt vor versehentlicher Hochrisiko-Einstufung.
Pflichten und Bankenaufsicht
Bei Hochrisiko-Einstufung (Anhang III Nr. 5): volles Pflichtenbündel aus Art. 8–15 mit Schwerpunkt Daten-Governance/Bias (Art. 10), menschlicher Aufsicht (Art. 14), Aufzeichnung (Art. 12). Überlagert immer: Kreditwesengesetz (KWG) und BAFin-Aufsicht (bankinterne Risikomanagementprozesse § 25a KWG, MaRisk), allgemeines Bank-/Verbraucherkreditrecht. DSGVO: personenbezogene Daten bei Einzelunternehmen/Gesellschaftern, DSFA bei hochriskanter Verarbeitung. Die BAFin prüft zunehmend algorithmische Kreditentscheidungen — auch jenseits des AI Act. Eine saubere Dokumentation der Scoring-Faktoren, Bias-Tests und menschlichen Eingriffsmechanismen ist bankrechtlich und AI-Act-rechtlich gefordert.
Praxis: Lieferketten- und Counterparty-Risiko
Praktisch häufig: Lieferkettenrisiko (Lieferanten-Ausfallwahrscheinlichkeit), Counterparty-Risiko bei Derivaten, versicherungsbezogenes Unternehmens-Scoring. Diese Systeme sind meist B2B und nicht hochriskant. Wichtig: Proxy-Risiken — ein B2B-Score, der mittelbar die Gesellschafter (natürliche Personen) bewertet, kann in den Anhang III Nr. 5-Bereich rutschen. Konservative Auslegung: bei Personengesellschaften und freien Berufen vom Hochrisiko ausgehen. Transparenz gegenüber den bewerteten Unternehmen (Auskunft über Score-Faktoren) und klare Daten-Governance schützen. Die Schnittstelle zu DSGVO/AGG bleibt bestehen, wenn natürliche Personen identifizierbar betroffen sind.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act (konsolidierte Fassung).
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung, GPAI-Aufsicht und Leitlinien.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act zur Datenweitergabe an verbundenen Produkten.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO; maßgeblich für KI-Verarbeitung personenbezogener Daten.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Breit genutzte inoffiziell-konsolidierte, artikelgenaue Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act und Schnittstelle KI/Datenschutz.
European Data Protection Board (EDPB)EDPB. Gremium der EU-Datenschutzbehörden mit Leitlinien zur KI-Verarbeitung.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act; Indikator für Markterwartungen.
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland; relevant für Cybersecurity-Pflichten des AI Act und CRA/NIS2.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Aufsichtsbehörden; Orientierungshilfen auch zu KI.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesweiter Datenschutzbeauftragter Deutschland.
Rat für Künstliche Intelligenz (Österreich)Bundesministerium AT. Beratendes Gremium und Ministerium für KI-Politik in Österreich.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde; Bezug zu EU-KI-Recht für die Schweiz.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zur Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zu IT-Sicherheitsanforderungen für kritische Sektoren.
Häufige Fragen
Ist B2B-Kredit-Scoring hochriskant?
Meist nicht (Anhang III Nr. 5 erfasst natürliche Personen). Hochriskant bei Kleinstunternehmern/Personenunternehmen/Gesellschafter-Scoring. Abgrenzung juristische vs. natürliche Person entscheidend.
Greift die BAFin?
Ja immer. KWG/BAFin-Aufsicht (bankinterne Risikomanagementprozesse § 25a KWG, MaRisk), auch jenseits des AI Act. Algorithmische Kreditentscheidungen werden zunehmend geprüft.
Was gilt bei Einzelunternehmen?
Natürliche Person — dann hochriskant nach Anhang III Nr. 5. Plus DSGVO/AGG. Konservativ vom Hochrisiko ausgehen bei Personengesellschaften und freien Berufen.
Rechtskonforme Umsetzung für KI-gestützte Kreditrisiko-Frühwarnung (B2B)?
Wenn du KI-gestützte Kreditrisiko-Frühwarnung (B2B) rechtskonform einführen oder prüfen willst, entwickle ich mit dir die passende Compliance-Strategie — von der Risikoklassifizierung bis zum Nachweis.