Dies ist eine vollständig ausgearbeitete Grundrechte-Folgenabschätzung für ein KI-System zum Kreditscoring — alle sechs Abschnitte des Artikels 27 Absatz 1, ausgefüllt für ein konkretes Bankszenario, mit der Detailtiefe zum Verbraucherkredit, die eine generische Vorlage auslässt. Sie baut unmittelbar auf unserem Leitfaden zur FRIA-Vorlage auf, der erklärt, was eine FRIA ist, wie ihre sechs Abschnitte aufgebaut sind und worin sie sich von einer DSFA unterscheidet. Ein KI-System, das die Kreditwürdigkeit natürlicher Personen bewertet oder ihre Bonität einstuft, ist nach Anhang III Nummer 5 Buchstabe b der EU-KI-Verordnung hochriskant, und sein Betreiber muss nach Artikel 27 eine FRIA durchführen — unabhängig davon, ob er öffentlich oder privat ist. Verbindlich ist der 2. August 2026; der Digital Omnibus (vorläufig vereinbart um den 7. Mai 2026) würde eigenständige Hochrisiko-Pflichten aus Anhang III, einschließlich der FRIA nach Artikel 27, auf den 2. Dezember 2027 verschieben, ist aber im Juni 2026 noch nicht geltendes Recht — bereiten Sie sich also weiter auf Basis des 2. August 2026 vor. Eine strukturierte Fassung der nachstehenden Abschätzung können Sie mit dem kostenlosen FRIA-Generator entwerfen.
Warum Kreditscoring unabhängig vom öffentlichen oder privaten Status eine FRIA auslöst
Artikel 27 Absatz 1 beginnt: "Vor der Inbetriebnahme eines Hochrisiko-KI-Systems gemäß Artikel 6 Absatz 2, mit Ausnahme von Hochrisiko-KI-Systemen, die in einem in Anhang III Nummer 2 aufgeführten Bereich verwendet werden sollen, führen Betreiber, bei denen es sich um Einrichtungen des öffentlichen Rechts handelt oder um private Einrichtungen, die öffentliche Dienste erbringen, sowie Betreiber von Hochrisiko-KI-Systemen gemäß Anhang III Nummer 5 Buchstaben b und c eine Abschätzung der Auswirkungen durch, die die Verwendung eines solchen Systems auf die Grundrechte haben kann." Der Satz definiert zwei Gruppen von Betreibern, die diese Abschätzung durchführen müssen.
Die erste Gruppe sind öffentliche Stellen und private Einrichtungen, die öffentliche Dienste erbringen und Hochrisiko-Systeme aus Anhang III einsetzen. Die zweite Gruppe sind Betreiber der in Anhang III Nummer 5 Buchstaben b und c genannten Systeme — Kreditscoring sowie die Preisbildung in der Lebens- und Krankenversicherung. Diese zweite Teilregelung enthält keine Einschränkung auf öffentlich oder privat. Sie bindet jeden Betreiber eines Kreditwürdigkeitssystems nach Buchstabe b und jeden Betreiber eines Systems zur Preisbildung in der Lebens- oder Krankenversicherung nach Buchstabe c, Geschäftsbanken und Verbraucherkreditgeber eingeschlossen.
Auf eine Auslegungsfalle sei ausdrücklich hingewiesen. Die Wendung "mit Ausnahme von … Anhang III Nummer 2" nimmt Systeme der kritischen Infrastruktur nur aus der ersten Gruppe heraus. Nummer 2 des Anhangs III betrifft die kritische Infrastruktur; Kreditscoring fällt unter Nummer 5 Buchstabe b. Ein Betreiber von Kreditscoring nach Buchstabe b wird über die zweite Teilregelung erfasst, und die Ausnahme für Nummer 2 berührt diese Teilregelung nicht.
Anhang III Nummer 5 Buchstabe b erfasst "KI-Systeme, die bestimmungsgemäß für die Kreditwürdigkeitsprüfung und Bonitätsbewertung natürlicher Personen verwendet werden sollen, mit Ausnahme von KI-Systemen, die zur Aufdeckung von Finanzbetrug verwendet werden." Ein Ausfallwahrscheinlichkeitsmodell, das Verbraucherkreditentscheidungen steuert, fällt eindeutig unter diese Definition. Der Leitfaden zur FRIA-Vorlage fasst diesen Auslöser zusammen; der restliche Artikel arbeitet ihn vollständig aus. Den weiteren Einstufungsrahmen — einschließlich der Frage, wie Artikel 6 und Anhang III bestimmen, was als hochriskant gilt — behandelt der Leitfaden zur Einstufung von Hochrisiko-KI.
Ein weiterer Einstufungsschritt macht den Auslöser lückenlos. Nach Artikel 6 Absatz 3 kann ein System aus Anhang III aus der Hochrisiko-Einstufung herausfallen, wenn es kein erhebliches Risiko der Beeinträchtigung der Gesundheit, Sicherheit oder Grundrechte natürlicher Personen birgt — etwa, weil es eine eng gefasste Verfahrensaufgabe erfüllt. Diese Ausnahme greift beim Kreditscoring nicht: Artikel 6 Absatz 3 bestimmt, dass ein System aus Anhang III stets als hochriskant gilt, wenn es ein Profiling natürlicher Personen vornimmt, und ein Kreditwürdigkeitsmodell, das die wirtschaftliche Situation einer Person bewertet, ist Profiling im Sinne von Artikel 4 Nummer 4 DSGVO. Ein Kreditscoring-System, das Kreditentscheidungen maßgeblich steuert, bleibt daher hochriskant, und sein Betreiber behält die FRIA-Pflicht nach Artikel 27.
Die Ausnahme für die Betrugserkennung: was erfasst ist und was nicht
Die Definition in Buchstabe b nimmt KI ausdrücklich aus, die "zur Aufdeckung von Finanzbetrug verwendet" wird. Ein reines Betrugserkennungsmodell liegt daher außerhalb der Kreditwürdigkeitskategorie nach Buchstabe b und löst über Buchstabe b nicht die FRIA-Pflicht des Kreditscorings aus. Ein Betrugsmodell kann aus anderen Gründen weiterhin hochriskant sein und eigene Governance-Pflichten tragen; es übernimmt lediglich nicht den FRIA-Anknüpfungspunkt des Kreditscorings nach Buchstabe b. Betreibt dasselbe Institut neben seiner Kredit-Engine auch Betrugs- und Geldwäsche-Modelle, behandelt Governance von KI-Agenten für Geldwäsche und Zahlungsverkehr den Governance-Ansatz dafür.
Zwei angrenzende Fälle runden die Abgrenzung ab. Allein die Tarifierung von Nicht-Lebensversicherungen (Kfz, Wohngebäude, Reise) fällt nicht unter Nummer 5 Buchstabe c; eine Nicht-Lebenssparte müsste über einen gesonderten Weg nach Anhang III oder Anhang I hochriskant sein. Nur die Risikobewertung und Preisbildung in der Lebens- und Krankenversicherung fällt unter Nummer 5 Buchstabe c, die eine eigene FRIA-Pflicht mit sich bringt.
| KI-Verwendung | In Anhang III Nr. 5 Buchst. b? | FRIA nach Art. 27 durch Buchst. b? |
|---|---|---|
| Bewertung der Kreditwürdigkeit / Erstellung eines Kreditscores | Ja | Ja |
| Aufdeckung von Finanzbetrug | Nein (ausdrücklich ausgenommen) | Nein (nicht durch Buchst. b ausgelöst) |
| Tarifierung von Nicht-Lebensversicherungen (Kfz, Wohngebäude) | Nein (nur Leben & Kranken sind Buchst. c) | Nein |
| Preisbildung in der Lebens- oder Krankenversicherung | Ja (über Nummer 5 Buchstabe c) | Ja — siehe das FRIA-Beispiel für Versicherungen |
Drei Rechtsebenen über einer einzigen KI-Kreditentscheidung
Eine einzelne automatisierte Ablehnung unterliegt nicht allein der KI-Verordnung. Drei Bereiche des EU-Rechts überlagern dieselbe Entscheidung, und eine belastbare FRIA muss alle drei berücksichtigen. Diese Detailtiefe im Verbraucherkreditgeschäft unterscheidet eine ausgearbeitete Kreditscoring-Abschätzung von der generischen Vorlage.
| Ebene | Was sie bei einer Kreditablehnung verlangt | Rechtsgrundlage |
|---|---|---|
| FRIA der KI-VO | Eine sechsteilige Grundrechte-Abschätzung vor der Inbetriebnahme; Mitteilung der Ergebnisse an die Marktüberwachungsbehörde. | KI-VO Art. 27 Abs. 1–3 |
| Erläuterungsrecht der KI-VO | Auf Anfrage eine klare und aussagekräftige Erläuterung der Rolle des KI-Systems in der Entscheidung und der wichtigsten Elemente der getroffenen Entscheidung, soweit dieses Recht nicht anderweitig nach Unionsrecht gewährt wird. | KI-VO Art. 86 Abs. 1, 86 Abs. 3 |
| DSGVO-Regeln zu automatisierten Entscheidungen | Eine eigene Rechtsgrundlage nach Artikel 6 für die Verarbeitung sowie eine Ausnahme nach Artikel 22 Absatz 2 (Vertrag, gesetzliche Ermächtigung oder ausdrückliche Einwilligung) vom Verbot ausschließlich automatisierter Entscheidungen; für den Vertrags- und den Einwilligungsweg die Garantien des Artikels 22 Absatz 3 (Eingreifen einer Person, Recht auf Darlegung des eigenen Standpunkts und auf Anfechtung). | DSGVO Art. 22 Abs. 1–3 |
| DSGVO-Transparenz | "Aussagekräftige Informationen über die involvierte Logik" sowie die Tragweite und die angestrebten Auswirkungen der Verarbeitung. | DSGVO Art. 13 Abs. 2 lit. f / 14 Abs. 2 lit. g / 15 Abs. 1 lit. h |
| DSGVO-DSFA | Eine Datenschutz-Risikoabschätzung, deren überschneidende Teile in die FRIA einfließen und durch sie ergänzt werden. | DSGVO Art. 35; KI-VO Art. 27 Abs. 4 |
Das Erläuterungsrecht nach Artikel 86 und die DSGVO-Anknüpfungspunkte
Die KI-Verordnung verankert mit Artikel 86 den Anknüpfungspunkt zur Erläuterung der Ablehnung im Gesetz selbst. Sie gibt "jeder betroffenen Person, die einer Entscheidung unterliegt, die der Betreiber auf der Grundlage der Ausgabe eines in Anhang III aufgeführten Hochrisiko-KI-Systems … trifft und die rechtliche Auswirkungen hat oder die betroffene Person in ähnlicher Weise erheblich beeinträchtigt, sodass sie der Ansicht ist, dass sie sich nachteilig auf ihre Gesundheit, Sicherheit oder Grundrechte auswirkt, … das Recht, vom Betreiber eine klare und aussagekräftige Erläuterung zur Rolle des KI-Systems im Entscheidungsprozess und zu den wichtigsten Elementen der getroffenen Entscheidung zu erhalten." Das Recht steht unter dem Vorbehalt dieser Schwelle: Die Entscheidung muss rechtliche Auswirkungen haben oder die Person in ähnlicher Weise erheblich beeinträchtigen. Eine Kreditablehnung erreicht diese Schwelle, weil sie den Zugang zu einem Kredit, einer Karte oder einem Dispositionskredit bestimmt; ein abgelehnter Antragsteller ist somit eine betroffene Person, die sich auf Artikel 86 berufen kann. Artikel 86 Absatz 3 hält das Recht als Auffangregelung: Es gilt nur insoweit, als ein gleichwertiges Recht nicht anderweitig nach Unionsrecht vorgesehen ist; wo also die DSGVO-Transparenz und die Rechte aus Artikel 22 die Erläuterung bereits abdecken, sind diese Vorschriften maßgeblich, und Artikel 86 füllt, was sie offenlassen. Auf der DSGVO-Seite sind die verbindlichen Anknüpfungspunkte die Artikel 13 bis 15 (aussagekräftige Informationen über die involvierte Logik) und Artikel 22 Absatz 3 (Eingreifen einer Person, Recht auf Darlegung des eigenen Standpunkts und auf Anfechtung). Auch Erwägungsgrund 71 beschreibt eine Erläuterung der getroffenen Entscheidung, ist aber ein nicht verbindlicher Erwägungsgrund, sodass die Erläuterungspflicht am besten in diesen verbindlichen Artikeln sowie in Artikel 86 verankert wird. Der US-amerikanische Begriff "adverse-action notice" ist ein nützliches Kürzel für diese Pflichten, jedoch kein gesetzlicher Begriff der EU.
Das Szenario: die Bank und das System
Das ausgearbeitete Beispiel verwendet durchgehend einen Betreiber. Die Bank ist eine mittelgroße EU-Retailbank und Verbraucherkreditgeberin, die als Betreiber eines Hochrisiko-KI-Systems handelt. Das System ist ein auf maschinellem Lernen beruhendes Kreditwürdigkeitsmodell (Anbieter "ScoreCo", Modell v2.3), das einen Ausfallwahrscheinlichkeits-Score ausgibt, mit dem über Verbraucherkreditanträge entschieden wird: Ratenkredite, Kreditkarten und eingeräumte Dispositionskredite.
Die Entscheidungslogik ist eine dreistufige Schwellenwertlogik. Scores über dem oberen Schwellenwert werden automatisch genehmigt; Scores unter dem unteren Schwellenwert werden automatisch abgelehnt; das mittlere Band geht an menschliche Kreditsachbearbeiter. Ein separates, unabhängiges Betrugsprüfungsmodell läuft zuerst und liegt nach der Ausnahme in Anhang III Nummer 5 Buchstabe b außerhalb des Umfangs dieser FRIA. Die Nutzung erfolgt ab dem Inbetriebnahmedatum fortlaufend und unbefristet, mit Echtzeit-Scoring im Moment der Antragstellung, rund 3.000 Entscheidungen pro Woche (etwa 150.000 pro Jahr) über die EU-Retailmärkte der Bank hinweg, online und in der Filiale. Das System fällt unter Anhang III Nummer 5 Buchstabe b, sodass die FRIA nach Artikel 27 Absatz 1 unabhängig vom öffentlichen oder privaten Status der Bank erforderlich ist.
Die ausgearbeitete FRIA, Abschnitt für Abschnitt (Artikel 27 Absatz 1 Buchstaben a–f)
Artikel 27 Absatz 1 nennt sechs verpflichtende Bestandteile. Die beiden folgenden Absätze erläutern, was jeder einzelne für den Kreditscoring-Fall leistet, und die anschließende Tabelle füllt alle sechs für das ausgearbeitete Beispiel aus.
Die Abschnitte 1 bis 3 legen die Tatsachen fest, über die der Rest der Abschätzung urteilt. Abschnitt 1 hält das System und seine Zweckbestimmung fest (das Ausfallwahrscheinlichkeitsmodell von ScoreCo, den Kreditvergabeprozess, in dem es eingebettet ist, und die dreistufige Schwellenwertlogik) und stellt unmissverständlich klar, dass die Betrugsprüfung ein separates Modell außerhalb dieser FRIA ist. Abschnitt 2 hält Dauer und Häufigkeit fest: fortlaufender Produktivbetrieb, Echtzeit-Scoring im Moment der Antragstellung und das wöchentliche Entscheidungsvolumen. Abschnitt 3 benennt die betroffenen Personen, mit besonderem Augenmerk auf Antragsteller mit dünner Kreditakte und schutzbedürftige Antragsteller sowie auf Dritte wie Mitantragsteller und Bürgen.
Die Abschnitte 4 bis 6 tragen die Analyse. Abschnitt 4 ist das nachstehend vollständig dargestellte Risikoregister: jedes Grundrecht, das Schadensszenario, eine Bewertung von Eintrittswahrscheinlichkeit und Schweregrad, die Minderungsmaßnahme und das Restrisiko. Abschnitt 5 dokumentiert die Maßnahmen der menschlichen Aufsicht: die benannten Mitarbeiter, die eine automatische Ablehnung überstimmen können, die verpflichtende Prüfung von Ablehnungen in markierten Gruppen und die Modellrisiko-Funktion der zweiten Verteidigungslinie. Abschnitt 6 hält fest, was geschieht, wenn sich ein Risiko verwirklicht: den Beschwerdeweg, die Rechte aus Artikel 22 Absatz 3 DSGVO und Artikel 86, die ein Antragsteller geltend machen kann, Modell-Rollback und Anpassung der Schwellenwerte sowie die Mitteilung nach Artikel 27 Absatz 3 an die Marktüberwachungsbehörde.
| FRIA-Abschnitt | Was die Bank für den Kreditscoring-Fall dokumentiert | Grundlage |
|---|---|---|
| 1. System & Zweckbestimmung | ScoreCo-Modell v2.3; Zweckbestimmung ist die Vorhersage der Ausfallwahrscheinlichkeit zur Fundierung von Verbraucherkreditentscheidungen; eingesetzt im Kreditvergabeprozess mit Schwellenwerten für automatische Genehmigung und Ablehnung sowie einem mittleren Band zur manuellen Kreditprüfung; die Betrugsprüfung erfolgt durch ein separates Modell und ist ausgeschlossen. | Art. 27 Abs. 1 lit. a |
| 2. Dauer & Häufigkeit | Fortlaufender, unbefristeter Produktivbetrieb ab dem Inbetriebnahmedatum; Echtzeit-Scoring bei Antragstellung; ~3.000 Entscheidungen/Woche, ~150.000/Jahr; EU-Retailmärkte, online und in der Filiale. | Art. 27 Abs. 1 lit. b |
| 3. Betroffene Personen & Gruppen | Kreditantragsteller (natürliche Personen), mit besonderem Augenmerk auf Kohorten mit dünner Kreditakte und schutzbedürftige Gruppen (junge Erwachsene, kürzlich Zugewanderte, kürzlich verwitwete oder geschiedene Personen, die wieder unter eigenem Namen Kredit aufnehmen), einkommensschwache Antragsteller, Antragsteller, deren Proxys mit geschützten Merkmalen korrelieren, und Antragsteller mit geringer digitaler Kompetenz; hinzu kommen Dritte (Mitantragsteller, Bürgen, unterhaltsberechtigte Personen). | Art. 27 Abs. 1 lit. c |
| 4. Konkrete Risiken für die Grundrechte | Das nachstehende Risikoregister: jedes Recht, Schadensszenario, Eintrittswahrscheinlichkeit, Schweregrad, Risikostufe, Minderungsmaßnahme und Restrisiko. | Art. 27 Abs. 1 lit. d |
| 5. Maßnahmen der menschlichen Aufsicht | Benannte Kreditrisiko-Verantwortliche und Kreditsachbearbeiter mit Befugnis, automatische Ablehnungen zu überstimmen; verpflichtende menschliche Prüfung aller Ablehnungen in markierten Gruppen; Scores mit geringer Konfidenz werden zur menschlichen Prüfung geleitet; eine Modellrisiko-Funktion der zweiten Verteidigungslinie; Schulung und Protokollierung der Aufsicht. | Art. 27 Abs. 1 lit. e |
| 6. Maßnahmen bei Eintritt von Risiken | Beschwerdemechanismus; Weg zu menschlicher Prüfung und Anfechtung nach Artikel 22 Absatz 3 DSGVO; Erläuterung der Ablehnung nach Artikel 86 KI-VO; alternativer Weg zur manuellen Beurteilung; Modell-Rollback und Anpassung der Schwellenwerte; Eskalation von Vorfällen; Mitteilung nach Artikel 27 Absatz 3 an die Marktüberwachungsbehörde. | Art. 27 Abs. 1 lit. f |
Abschnitt 4 vollständig: das Kreditscoring-Risikoregister
In Abschnitt 4 wird eine FRIA konkret. Artikel 27 Absatz 1 Buchstabe d verlangt, dass die Abschätzung die konkreten Schadensrisiken darlegt, die voraussichtlich die in Abschnitt 3 benannten Kategorien natürlicher Personen betreffen; ein Register Recht für Recht — jedes betroffene Grundrecht, ein konkretes Schadensszenario, eine Bewertung von Eintrittswahrscheinlichkeit und Schweregrad, die Minderungsmaßnahme und das Restrisiko — ist ein vertretbarer Weg, diese Risiken zu dokumentieren. Das nachstehende Register tut dies für den Kreditscoring-Fall. Die Werte für Eintrittswahrscheinlichkeit, Schweregrad und Restrisiko sind eine beispielhafte Bewertung, die in sich mit der nachfolgenden Bewertungsmatrix stimmig ist. Sie veranschaulichen eine vertretbare Methode; die konkreten Werte sind von keiner Aufsichtsbehörde vorgeschrieben.
| Grundrecht | Schadensszenario | Eintrittswahrscheinlichkeit | Schweregrad | Risiko | Minderungsmaßnahme | Restrisiko |
|---|---|---|---|---|---|---|
| Nichtdiskriminierung (Charta Artikel 21) | Proxy-Merkmale (Postleitzahl, Beruf, Endgerät, mit der Staatsangehörigkeit verknüpfte Variablen) korrelieren mit geschützten Merkmalen (ethnische Herkunft, Geschlecht, Alter) und führen zu unterschiedlichen Ablehnungsquoten — mittelbare Diskriminierung. | Möglich | Erheblich | Hoch | Vierteljährliche Tests auf Disparate Impact / Adverse-Impact-Ratio über geschützte Gruppen hinweg; Prüfung der Proxy-Merkmale mit Entfernung oder Transformation; Fairness-Nebenbedingungen; menschliche Prüfung aller Ablehnungen in markierten Gruppen; dokumentierte Begründungen. | Mittel |
| Zugang zu wesentlichen privaten Diensten / Verbraucherschutz | Ein fehlerhaft niedriger Score lehnt Kredit zu Unrecht ab, beschränkt den Zugang zu wesentlichen Leistungen wie einem Arbeitsfahrzeug, einer Wohnungsfinanzierung oder notwendigen Anschaffungen und birgt das Risiko eines kumulativen Ausschlusses vom Kreditmarkt. Die Verweigerung neuen Kredits ist in der Regel kein Entzug bestehenden Eigentums nach Artikel 17 der Charta, der nur dann berührt ist, wenn ein bereits bestehender Besitz betroffen ist. | Unwahrscheinlich | Erheblich | Mittel | Alternativer Weg zur manuellen Beurteilung; menschliches Überstimmen; klare Ablehnungsgründe; Möglichkeit, zusätzliche Nachweise einzureichen (z. B. Historie von Miet- oder Versorgungszahlungen bei dünner Kreditakte). | Niedrig |
| Schutz personenbezogener Daten (Charta Artikel 8) | Unrichtige, veraltete oder übermäßige Auskunftei- oder Transaktionsdaten beeinträchtigen Genauigkeit und Fairness; aus Transaktionsdaten werden Merkmale besonderer Kategorien abgeleitet. | Möglich | Mäßig | Mittel | Prüfung der Datenminimierung; Integration der DSFA (Art. 27 Abs. 4); Datenqualitätskontrollen im Einklang mit Artikel 10 KI-VO; Verbot von Eingaben besonderer Datenkategorien und Überwachung auf deren Proxys; Verfahren zur Korrektur von Auskunftei-Daten (Artikel 16 DSGVO). | Niedrig |
| Wirksamer Rechtsbehelf (Charta Artikel 47) / Verbraucherschutz | Der Antragsteller kann eine automatische Ablehnung nicht verstehen oder anfechten; ein "computer says no"-Ergebnis ohne menschlichen Weg oder aussagekräftige Begründung. | Möglich | Erheblich | Hoch | Garantien nach Artikel 22 Absatz 3 DSGVO (garantiertes Eingreifen einer Person, Recht auf Darlegung des eigenen Standpunkts und auf Anfechtung); klare, aussagekräftige Erläuterung der Rolle der KI und der wichtigsten Entscheidungsfaktoren nach Artikel 86 KI-VO; Hauptgrund-Codes; protokollierte, prüfbare Entscheidungen. | Mittel |
| Nichtdiskriminierung / Antragsteller mit dünner Kreditakte & schutzbedürftige Antragsteller | Antragsteller mit geringer oder fehlender Kredithistorie (junge Erwachsene, kürzlich Zugewanderte, Personen, die erstmals unter eigenem Namen Kredit nutzen) werden auf dünner Datengrundlage bewertet und systematisch abgelehnt oder falsch bepreist; das Modell ist bei unterrepräsentierten Segmenten leistungsschwächer. | Wahrscheinlich | Mäßig | Hoch | Leistungsüberwachung auf Segmentebene (Genauigkeit nach Aktendichte und Alterskohorte); mit Einwilligung erhobene alternative Daten (Miete, Versorgungszahlungen, Open-Banking-Cashflow) mit manueller Prüfung bei dünner Kreditakte; Scores mit geringer Konfidenz zur menschlichen Prüfung leiten. | Mittel |
| Ausschließlich automatisierte Entscheidungsfindung (Artikel 22 DSGVO) | Die automatische Ablehnung am Score-Schwellenwert ist eine ausschließlich auf automatisierter Verarbeitung beruhende Entscheidung mit erheblicher Wirkung (SCHUFA, C-634/21), getroffen ohne Rechtsgrundlage nach Artikel 6 und Ausnahme nach Artikel 22 Absatz 2 oder ohne die Garantien des Artikels 22 Absatz 3. | Möglich | Erheblich | Hoch | Stützung auf die Ausnahme der Vertragserforderlichkeit nach Artikel 22 Absatz 2 Buchstabe a zusammen mit einer eigenen Rechtsgrundlage nach Artikel 6 und den Garantien des Artikels 22 Absatz 3; auf Anfrage aussagekräftige menschliche Prüfung jeder automatischen Ablehnung; Protokollierung; Dokumentation von Rechtsgrundlage und Ausnahme in der DSFA. | Niedrig |
Bewertung des Registers: Eintrittswahrscheinlichkeit × Schweregrad
Die Risikostufen im Register stammen aus einer Matrix aus Eintrittswahrscheinlichkeit und Schweregrad, die über die gesamte Abschätzung hinweg einheitlich angewandt wird. Die Dokumentation der Matrix und der Begründung hinter jeder Bewertung ist für eine Aufsichtsbehörde ebenso bedeutsam wie die endgültige Risikostufe.
| Eintrittswahrscheinlichkeit / Schweregrad | Vernachlässigbar | Gering | Mäßig | Erheblich | Katastrophal |
|---|---|---|---|---|---|
| Selten | Niedrig | Niedrig | Niedrig | Mittel | Mittel |
| Unwahrscheinlich | Niedrig | Niedrig | Mittel | Mittel | Hoch |
| Möglich | Niedrig | Mittel | Mittel | Hoch | Hoch |
| Wahrscheinlich | Mittel | Mittel | Hoch | Hoch | Kritisch |
| Nahezu sicher | Mittel | Hoch | Hoch | Kritisch | Kritisch |
Minderungsmaßnahmen im Detail
Disparate-Impact-Tests. Führen Sie vierteljährlich Tests der Adverse-Impact-Ratio über geschützte Gruppen hinweg durch und vergleichen Sie Genehmigungsquoten, Ablehnungsquoten und Preisbildungsergebnisse. Die Vier-Fünftel-Regel (80 %) ist ein erstes Signal; dokumentieren Sie den Test, die betrachteten Gruppen und die ergriffene Maßnahme, wenn eine Ungleichbehandlung auftritt.
Umgang mit Proxy-Merkmalen. Prüfen Sie die Eingabemerkmale auf Korrelation mit geschützten Merkmalen. Postleitzahl, Beruf, Gerätetyp und mit der Staatsangehörigkeit verknüpfte Variablen sind häufige Proxys für ethnische Herkunft, Geschlecht oder Alter. Entfernen oder transformieren Sie die Merkmale, die ein Proxy-Signal tragen, und testen Sie nach jeder Änderung erneut.
Menschliche Prüfung von Ablehnungen. Leiten Sie jede Ablehnung in einer markierten Gruppe vor ihrer Mitteilung an einen benannten Kreditsachbearbeiter und geben Sie diesem eine echte Befugnis, das Modell zu überstimmen. Scores mit geringer Konfidenz gehen in die menschliche Prüfung.
Ablehnungsgründe und die Erläuterung nach Artikel 86. Nennen Sie dem Antragsteller die Hauptgründe für die Ablehnung in klarer Sprache sowie die Erläuterung nach Artikel 86 zur Rolle des KI-Systems in der Entscheidung und zu den wichtigsten Elementen der getroffenen Entscheidung. Hauptgrund-Codes, die den Einflussfaktoren des Modells zugeordnet sind, machen dies wiederholbar und prüfbar.
Alternativer manueller Weg. Bieten Sie einen Weg zu einer vollständigen manuellen Beurteilung für Antragsteller an, die eine automatische Ablehnung anfechten oder zusätzliche Nachweise vorlegen können, etwa eine Historie von Miet- oder Versorgungszahlungen.
Dünne Kreditakte und alternative Daten. Nutzen Sie bei Antragstellern mit geringer Kredithistorie mit Einwilligung erhobene alternative Daten (Miete, Versorgungszahlungen oder Open-Banking-Cashflow) unter manueller Prüfung und überwachen Sie die Modellleistung nach Aktendichte und Alterskohorte, um Versagen auf Segmentebene zu erkennen.
Jede dieser Kontrollen braucht einen Verantwortlichen, Nachweise und einen Platz im Kontrollrahmen der Bank; sie den einschlägigen Artikeln der KI-Verordnung zuzuordnen, ist Aufgabe der Ansicht Kontrollzuordnung.
DSGVO Artikel 22, SCHUFA und die DSFA
Eine automatische Ablehnung an einem Score-Schwellenwert ist eine ausschließlich auf automatisierter Verarbeitung beruhende Entscheidung mit erheblicher Wirkung und fällt damit unter Artikel 22 DSGVO. Der EuGH hat diese Schwelle niedriger angesetzt, als viele Kreditgeber annahmen. In SCHUFA Holding (Scoring), Rechtssache C-634/21 (Urteil vom 7. Dezember 2023) entschied der Gerichtshof, dass eine Kreditauskunftei, die einen automatisierten Wahrscheinlichkeitswert für die Bonität erzeugt, selbst eine automatisierte Entscheidung im Einzelfall nach Artikel 22 Absatz 1 trifft, wenn ein Dritter wie ein Kreditgeber diesem Wert maßgebliche Bedeutung für die Gewährung oder Verweigerung von Kredit beimisst; der Gerichtshof stellte fest, dass ein unzureichender Wahrscheinlichkeitswert in nahezu allen Fällen zu einer Ablehnung führt. Ein Score kann selbst unter Artikel 22 fallen, wenn ein Dritter ihm bei der Gewährung oder Verweigerung von Kredit maßgebliche Bedeutung beimisst; eine Bank, die an ihrem eigenen Schwellenwert automatisch ablehnt, trifft eine solche Entscheidung daher noch unmittelbarer.
Das bedeutet, dass die Bank sowohl eine eigene Rechtsgrundlage nach Artikel 6 für die Verarbeitung als auch eine Ausnahme nach Artikel 22 Absatz 2 vom Verbot ausschließlich automatisierter Entscheidungen benötigt. Die übliche Ausnahme ist die Vertragserforderlichkeit nach Artikel 22 Absatz 2 Buchstabe a — die Entscheidung ist für den Abschluss eines Kreditvertrags erforderlich —, die wie der Weg über die ausdrückliche Einwilligung in Artikel 22 Absatz 2 Buchstabe c die Garantien des Artikels 22 Absatz 3 mit sich bringt: das Recht auf Eingreifen einer Person, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung. Der Weg über Artikel 22 Absatz 2 Buchstabe b, eine durch das Recht der Union oder der Mitgliedstaaten zugelassene Entscheidung, verlangt stattdessen, dass diese Garantien in der ermächtigenden Rechtsvorschrift festgelegt sind. Artikel 22 Absatz 4 beschränkt zudem die Verwendung besonderer Kategorien personenbezogener Daten, weshalb das Risikoregister Eingaben besonderer Datenkategorien untersagt und auf deren Proxys überwacht. Die verbleibende Möglichkeit besteht darin, bei jeder Ablehnung eine Person einzubinden, sodass die Entscheidung nicht ausschließlich automatisiert ist.
Die Datenschutzanalyse überschneidet sich stark mit einer DSFA nach der DSGVO. Artikel 27 Absatz 4 der KI-Verordnung sieht vor, dass die FRIA eine DSFA ergänzt, wenn eine Pflicht bereits durch eine DSFA erfüllt wird. Verwenden Sie die in der DSFA geleistete Arbeit zu Datenflüssen, Rechtsgrundlagen und Datenqualität als Ausgangspunkt und erweitern Sie sie um die Charta-Rechte, die eine DSFA nicht abdeckt. Zur DSFA-Seite siehe DSFA für KI-Systeme; um beide zusammen zu erstellen, nutzen Sie den DSFA- und FRIA-Generator.
Nach der FRIA: Mitteilung und laufende Überwachung
Artikel 27 verlangt auch nach der Abschätzung eine Mitteilung und Aktualisierungen. Nach Artikel 27 Absatz 3 teilt der Betreiber, sobald die FRIA durchgeführt ist, der zuständigen Marktüberwachungsbehörde deren Ergebnisse mithilfe der Vorlage nach Artikel 27 Absatz 5 mit. Das KI-Büro hat diese Vorlage im Juni 2026 noch nicht veröffentlicht; dokumentieren Sie daher zwischenzeitlich anhand der Kriterien des Artikels 27 Absatz 1, denn das Fehlen der Vorlage entbindet nicht von der Pflicht. Die einzige Befreiung von der Mitteilung ist der eng gefasste Fall des Artikels 46 Absatz 1.
Die FRIA ist außerdem ein lebendes Dokument. Artikel 27 Absatz 2 verlangt eine Aktualisierung, sobald sich ihre Elemente ändern oder nicht mehr aktuell sind. Bei einem Kreditscoring-Modell sind die praktischen Aktualisierungsanlässe ein erneutes Training oder ein Versionswechsel des Modells, eine Anpassung von Schwellenwert oder Cut-off, eine Leistungs- oder Verteilungs-Drift, eine neue Antragstellerkohorte oder ein neuer Markt sowie jede Änderung der Datenquellen, die in den Score einfließen. Ein Betreiber darf sich für ein hinreichend ähnliches System auf eine bereits durchgeführte FRIA stützen und muss die Abschätzung aktuell halten. Den Blickwinkel der französischen Aufsicht für Banken, die ein solches Modell einsetzen, behandelt ACPR-KI-Governance für französische Banken.
Häufig gestellte Fragen
Muss eine private Bank eine FRIA für KI-Kreditscoring durchführen?
Ja. Artikel 27 Absatz 1 verlangt eine FRIA von "Betreibern von Hochrisiko-KI-Systemen gemäß Anhang III Nummer 5 Buchstaben b und c", und diese Teilregelung enthält keine Einschränkung auf öffentlich oder privat. Ein System zur Kreditwürdigkeitsbewertung oder zum Kreditscoring fällt unter Anhang III Nummer 5 Buchstabe b, und weil es ein Profiling natürlicher Personen vornimmt, nimmt die Ausnahme nach Artikel 6 Absatz 3 es nicht aus der Hochrisiko-Kategorie heraus; daher muss jeder Betreiber, ob öffentlich oder privat, die FRIA durchführen. Das Einzige, was Buchstabe b ausschließt, ist KI zur Aufdeckung von Finanzbetrug.
Ist die KI-gestützte Betrugserkennung von der Kreditscoring-FRIA erfasst?
Nein. Anhang III Nummer 5 Buchstabe b nimmt ausdrücklich "KI-Systeme, die zur Aufdeckung von Finanzbetrug verwendet werden" aus. Ein reines Betrugserkennungsmodell ist daher nicht Teil der Kreditwürdigkeitskategorie nach Buchstabe b und wird durch Buchstabe b nicht in die FRIA einbezogen. Es kann aus anderen Gründen weiterhin hochriskant sein, übernimmt aber den Kreditscoring-Auslöser nicht.
Ist ein automatisierter Kreditscore eine Entscheidung nach Artikel 22 DSGVO?
Das kann sein. In SCHUFA Holding (Scoring), Rechtssache C-634/21 (Urteil vom 7. Dezember 2023), entschied der EuGH, dass die Erzeugung eines automatisierten Wahrscheinlichkeitswerts für die Bonität eine automatisierte Entscheidung im Einzelfall nach Artikel 22 Absatz 1 ist, wenn ein Kreditgeber diesem Wert für die Gewährung oder Verweigerung von Kredit maßgebliche Bedeutung beimisst. Eine Bank, die an einem Score-Schwellenwert automatisch ablehnt, trifft daher eine ausschließlich automatisierte Entscheidung und benötigt eine eigene Rechtsgrundlage nach Artikel 6 und eine Ausnahme nach Artikel 22 Absatz 2 sowie — auf dem Vertrags- und dem Einwilligungsweg — die Garantien des Artikels 22 Absatz 3: Eingreifen einer Person, Recht auf Darlegung des eigenen Standpunkts und auf Anfechtung.
Welche Erläuterung muss ein abgelehnter Antragsteller erhalten?
Nach Artikel 86 der KI-Verordnung kann der Antragsteller eine klare und aussagekräftige Erläuterung der Rolle des KI-Systems in der Entscheidung und der wichtigsten Elemente der getroffenen Entscheidung erhalten; Artikel 86 Absatz 3 macht dies zu einer Auffangregelung, die nur gilt, wenn ein gleichwertiges Recht nicht anderweitig nach Unionsrecht vorgesehen ist. Nach den Artikeln 13 bis 15 DSGVO muss die Bank aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen geben, und nach Artikel 22 Absatz 3 kann der Antragsteller das Eingreifen einer Person erwirken und die Entscheidung anfechten. Der Begriff "adverse-action notice" ist US-amerikanische Terminologie; in der EU sind diese verbindlichen Pflichten das funktionale Äquivalent.
Kann unsere bestehende DSFA die FRIA für das Kreditscoring abdecken?
Nur teilweise. Artikel 27 Absatz 4 besagt, dass die FRIA eine DSFA ergänzt, wenn eine Pflicht bereits durch eine DSFA nach der DSGVO erfüllt wird. Verwenden Sie die sich überschneidende Datenschutzanalyse erneut und verstehen Sie die FRIA als umfassender: Sie deckt über den Datenschutz hinaus alle Charta-Rechte ab, darunter Nichtdiskriminierung, Zugang zu wesentlichen Diensten und wirksamen Rechtsbehelf.
Wann ist die Kreditscoring-FRIA rechtlich verpflichtend?
Verbindlich ist der 2. August 2026. Der Digital Omnibus (vorläufig vereinbart um den 7. Mai 2026) würde eigenständige Hochrisiko-Pflichten aus Anhang III, einschließlich der FRIA nach Artikel 27, auf den 2. Dezember 2027 verschieben, ist aber im Juni 2026 noch nicht geltendes Recht. Bis er im Amtsblatt veröffentlicht ist, gilt der 2. August 2026, sodass Betreiber sich weiter auf dieser Grundlage vorbereiten sollten.
Müssen wir nach Abschluss der FRIA eine Aufsichtsbehörde informieren?
Ja. Nach Artikel 27 Absatz 3 teilt der Betreiber der zuständigen Marktüberwachungsbehörde die Ergebnisse der FRIA mit und reicht die Vorlage nach Artikel 27 Absatz 5 ein. Das KI-Büro hat diese Vorlage im Juni 2026 noch nicht veröffentlicht; nutzen Sie daher bis dahin Ihre eigene Dokumentation anhand der Kriterien des Artikels 27 Absatz 1. Die einzige Befreiung ist der eng gefasste Fall des Artikels 46 Absatz 1.
Die wichtigsten Erkenntnisse
Ein KI-System zur Kreditwürdigkeitsbewertung oder zum Kreditscoring ist nach Anhang III Nummer 5 Buchstabe b hochriskant, und sein Betreiber muss unabhängig von seinem öffentlichen oder privaten Status eine vollständige FRIA nach Artikel 27 durchführen. Die obige ausgearbeitete Abschätzung zeigt ein vertretbares Maß an Konkretheit nach Artikel 27 Absatz 1: alle sechs Abschnitte ausgefüllt, ein Risikoregister Recht für Recht, die Analyse von Ausnahme und Garantien nach Artikel 22 DSGVO, die Erläuterungspflicht nach Artikel 86 und die Mechanik der DSFA-Wiederverwendung. Verbindlich ist der 2. August 2026; der Digital Omnibus würde eigenständige Hochrisiko-Pflichten aus Anhang III auf den 2. Dezember 2027 verschieben, ist aber im Juni 2026 noch nicht geltendes Recht — bereiten Sie sich also auf Basis des 2. August 2026 vor. Beginnen Sie einen Entwurf einer Kreditscoring-Abschätzung mit dem kostenlosen FRIA-Generator. Dieser Artikel dient nur der allgemeinen Information und stellt keine Rechtsberatung dar; klären Sie Ihre Pflichten nach Artikel 27 mit qualifizierten Rechtsbeiständen und prüfen Sie den regulatorischen Stand erneut, bevor Sie sich auf eine Frist verlassen.