Wesentliche private & öffentliche Dienstleistungen: AI Act, Data Act & DSGVO-Pflichten
KI, die über den Zugang zu wesentlichen privaten und öffentlichen Dienstleistungen entscheidet — etwa Kreditwürdigkeit, Versicherungsprämien, Sozialleistungen, staatliche Unterstützungen, Notrufe — ist nach Anhang III Nr. 5 AI Act hochriskant und unterliegt spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026) dem Pflichtenbündel aus Art. 8–15. Eng verbunden ist Art. 22 DSGVO: Betroffene haben das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden, die rechtliche oder ähnlich weitreichende Wirkung hat. Anbieter und Betreiber (Banken, Versicherungen, Behörden) müssen Risikomanagement, Daten-Governance, menschliche Aufsicht und Konformitätsbewertung nachweisen — und überdies Diskriminierungsverbote (AGG) und das Verhältnismäßigkeitsgebot beachten.
Steve Baka
Was Anhang III Nr. 5 erfasst
Anhang III Nr. 5 AI Act stuft als hochriskant ein: KI zur Bewertung der Kreditwürdigkeit oder Bonität natürlicher Personen (ausgenommen Finanz-Solvenz-Detektion); zur Festsetzung von Prämien und Versicherungsprämien für natürliche Personen; zur Bewertung und Einordnung von Personen bei Zugang zu wesentlichen öffentlichen Dienstleistungen und Sozialleistungen sowie zur Auszahlung oder Kürzung; sowie zum Management und Betrieb von Notruf-Kommunikation. Diese Systeme entscheiden über existentielle Zugänge — Kredit, Versicherungsschutz, Sozialleistungen, Hilfe in Notlagen.
Schnittstelle zu Art. 22 DSGVO
Art. 22 DSGVO gewährt Betroffenen das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie ähnlich erheblich beeinträchtigt. Ausnahmen (Vertrag, Gesetz, ausdrückliche Einwilligung) verlangen angemessene Maßnahmen zum Schutz der Betroffenen, einschließlich menschlicher Eingriffsmöglichkeit. Der AI Act ergänzt dies um KI-spezifische Pflichten (Art. 8–15); die beiden Regime sind kumulativ. Praktisch: Selbst wenn eine KI hochrisiko-konform ist, bleibt Art. 22 DSGVO eine eigenständige Hürde für vollautomatische ablehnende Entscheidungen.
Diskriminierung und Verhältnismäßigkeit
KI-Scoring kann mittelbar diskriminieren — entlang Geschlecht, Alter, ethnischer Herkunft oder anderer AGG-Merkmale. Art. 10 AI Act (Daten-Governance) verlangt daher Trainings-/Prüf-/Validierungsdaten, die für den Zweck relevant, frei von Fehlern und möglichst vollständig sind; Bias-Prüfung ist Pflicht. Überlagert wird dies vom AGG (Diskriminierungsverbot im privaten Rechtsverkehr) und dem allgemeinen Verhältnismäßigkeitsgebot im behördlichen Bereich. Anbieter und Betreiber sollten Bias-Audits, menschliche Aufsicht und Nachvollziehbarkeit dokumentieren.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Datenschutz-Aufsichten.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesdatenschutzbeauftragter Deutschland.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde.
Council of Europe Framework Convention on AICouncil of Europe. Erstes völkerrechtliches Abkommen zu KI.
Häufige Fragen
Ist KI-Kredit-Scoring hochriskant?
Ja. KI zur Bewertung der Kreditwürdigkeit natürlicher Personen ist hochriskant nach Anhang III Nr. 5 (mit Ausnahme der Finanz-Solvenz-Detektion). Sie unterliegt Art. 8–15 AI Act.
Was gilt zusätzlich zur DSGVO?
Kumulativ Art. 22 DSGVO: Recht, nicht einer ausschließlich automatisierten Entscheidung mit rechtlicher/ähnlich weitreichender Wirkung unterworfen zu werden — mit menschlicher Eingriffsmöglichkeit in den Ausnahmefällen.
Wie wird Diskriminierung vermieden?
Über Daten-Governance (Art. 10 AI Act, Bias-Prüfung), menschliche Aufsicht, Nachvollziehbarkeit und die AGG-/Verhältnismäßigkeits-Vorgaben. Bias-Audits sollten dokumentiert werden.
KI-Compliance für Wesentliche private & öffentliche Dienstleistungen?
Wenn du im Sektor Wesentliche private & öffentliche Dienstleistungen KI-Systeme einführst, entwickle ich mit dir die passende Strategie für AI Act, Data Act und DSGVO.