industryArticlemaschinenlesbar

Banken & Finanzdienstleistungen: AI Act, Data Act & DSGVO-Pflichten

MenschMarkdown öffnen

Banken & Finanzdienstleistungen sind nach dem AI Act HOCHRISKANT bei KI für Kreditwürdigkeits-/Bonitätsbewertung natürlicher Personen (Anhang III Nr. 5). Pflichten: volles Art. 8–15-Pflichtenbündel spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026), mit Schwerpunkt Daten-Governance/Bias (Art. 10), menschlicher Aufsicht (Art. 14), Aufzeichnung (Art. 12). Weitere Hochrisiko: KI für Sozialleistungen (Anhang III Nr. 5). Andere KI (Betrugserkennung, Personal-Recruiting, Marktanalyse) je nach Fall. Überlagert zwingend: Kreditwesengesetz (KWG) und BaFin-Aufsicht (§ 25a KWG Risikomanagementprozesse, MaRisk), DSGVO (besondere Datenkategorien bei Gesundheits-/Verhaltensdaten), AGG (Gleichbehandlung), allgemeines Bank-/Verbraucherkreditrecht. Proxy-Variablen, die mittelbar diskriminieren, sind unzulässig. Aufsichtlich: BaFin (bankrechtlich) und Marktüberwachungsbehörden (AI Act). Algorithmische Kreditentscheidungen werden zunehmend geprüft.

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
anwendbarkeit

Hochrisiko nach Anhang III Nr. 5

Banken & Finanzdienstleistungen sind hochriskant bei KI für Kreditwürdigkeits-/Bonitätsbewertung natürlicher Personen (Anhang III Nr. 5) — Kredite, Hypotheken, Konsumkredite, Bonitäts-Scores. Pflichten: volles Art. 8–15-Pflichtenbündel spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026). Plus: KI für Sozialleistungen (Anhang III Nr. 5 — Sozialleistungen, Steuern), KI im Recruiting/HR (Anhang III Nr. 4), KI für Sozial-/Gesundheitsversicherung (Anhang III Nr. 5 Versicherungstarifierung). Andere KI-Anwendungen: Betrugserkennung (meist begrenzt/minimal, da defensive), Marktanalyse/Handel (B2B, meist nicht hochriskant nach Anhang III Nr. 5), Robo-Advice (begrenzt, bei existentieller Wirkung hochriskant). Eine genaue Klassifizierung je Anwendung ist entscheidend — B2B-/Gewerbe-Kredit-KI ist oft nicht hochriskant (Anhang III Nr. 5 erfasst natürliche Personen).

praxis

Praxis: BaFin-Aufsicht und Bias-Schutz

Praktisch: (1) Risikoklassifizierung aller KI-Anwendungen (Kredit, Betrug, Trading, HR, Advice); (2) bei Hochrisiko: volles Art. 8–15-Pflichtenbündel mit Schwerpunkt Daten-Governance/Bias (Art. 10 — Tests an Untergruppen, Proxy-Variablen-Prüfung), menschliche Aufsicht (Art. 14 — Kreditoffizier, Widerspruchsrecht), Aufzeichnung (Art. 12 — Score-Begründungen, Eingaben/Outputs); (3) KWG/BaFin — § 25a KWG Risikomanagementprozesse, MaRisk (Mindestanforderungen an das Risiko-Management), Outsourcing-Recht bei Cloud-/KI-Dienstleistungen; (4) DSGVO — besondere Datenkategorien bei Gesundheits-/Verhaltensdaten (Art. 9), automatisierte Entscheidungen (Art. 22 — Recht auf menschliche Prüfung bei Kreditablehnung), DSFA bei hochriskanter Verarbeitung; (5) AGG — Diskriminierungsverbot (Geschlecht, Alter, Ethnie, Religion, Behinderung), unionsrechtliche Gleichbehandlung (geschlechterspezifische Prämien für Versicherungen verboten — Test-Achats EuGH); (6) allgemeines Bank-/Verbraucherkreditrecht. Aufsichtlich: BaFin (bankrechtlich — veröffentlicht Erwartungen an algorithmische Entscheidungen) und Marktüberwachungsbehörden (AI Act). Proxy-Variablen (Wohnort, Beruf, Name), die mittelbar diskriminieren, sind unzulässig — klare Faktoren-Dokumentation schützt.

grenzen agg

Grenzen: AGG und unverhältnismäßige Kreditablehnung

Die Grenze der Banken-KI ist das AGG (Allgemeines Gleichbehandlungsgesetz): Diskriminierungsverbot nach Geschlecht, Alter, ethnischer Herkunft, Religion, Behinderung, sexueller Identität. Proxy-Variablen (Wohnort, Beruf, Name, Foto), die mittelbar diskriminieren, sind unzulässig — eine klare Faktoren-Dokumentation, Bias-Tests an Untergruppen (Art. 10), regelmäßige Audits schützen. Vollautomatisierte Kreditablehnungen ohne menschliche Überprüfung sind datenschutzrechtlich problematisch (Art. 22 DSGVO — Recht auf menschliche Prüfung). BaFin veröffentlicht zunehmend Erwartungen an algorithmische Kreditentscheidungen (MaRisk, § 25a KWG). Verbraucherschutz: Informationspflichten, Widerspruchsrecht, Klage auf diskriminierungsfreie Neubescheidung. Eine verantwortungsvolle Banken-KI respektiert AGG-Gleichbehandlung, menschliche Letztverantwortung und den Schutzauftrag des Bank-/Verbraucherkreditrechts — Diskriminierung ist nicht nur rechtswidrig, sondern auch Reputationsschaden und Sanktionsrisiko. Konservative Bias-Tests und klare Score-Begründungen sind Standard guter Praxis.

Sources

Quellen

FAQ

Häufige Fragen

Welche Banken-KI ist hochriskant?

Anhang III Nr. 5: Kreditwürdigkeits-/Bonitätsbewertung natürlicher Personen. Plus Sozialleistungen, Versicherungs-Tarifierung, HR-Recruiting. B2B-/Gewerbe-Kredit oft nicht hochriskant.

Was überlagert den AI Act bei Banken?

KWG/BaFin (§ 25a KWG Risikomanagementprozesse, MaRisk), DSGVO (Art. 9 besondere Daten, Art. 22 automatisierte Entscheidungen), AGG (Gleichbehandlung), allgemeines Bank-/Verbraucherkreditrecht.

Was ist bei Proxy-Variablen zu beachten?

Unzulässig, wenn mittelbar diskriminierend (Wohnort, Beruf, Name → Geschlecht/Ethnie). Klare Faktoren-Dokumentation, Bias-Tests an Untergruppen (Art. 10). BaFin prüft zunehmend.

Beratung für deinen Sektor

KI-Compliance für Banken & Finanzdienstleistungen?

Wenn du im Sektor Banken & Finanzdienstleistungen KI-Systeme einführst, entwickle ich mit dir die passende Strategie für AI Act, Data Act und DSGVO.

Jetzt beraten lassen
Related