Kreditwürdigkeitsprüfung
Kreditwürdigkeitsprüfung bezeichnet die Bewertung der Fähigkeit und Bereitschaft einer Person oder eines Unternehmens, einen Kredit zurückzuzahlen. KI-gestützte Systeme zur Kreditwürdigkeitsprüfung natürlicher Personen gelten nach dem EU AI Act als Hochrisiko-KI-Systeme.
Ausführliche Erklärung
Die Kreditwürdigkeitsprüfung (auch Bonitätsprüfung oder Credit Scoring genannt) ist ein Bewertungsverfahren, bei dem Kreditinstitute und Finanzdienstleister die Wahrscheinlichkeit einschätzen, dass ein Kreditnehmer seinen Verpflichtungen nachkommen wird. Traditionell basiert diese Einschätzung auf Faktoren wie Einkommenshöhe, Beschäftigungsverhältnis, bestehenden Schulden und bisherigem Zahlungsverhalten. Moderne KI-Systeme analysieren hingegen deutlich mehr Datenpunkte – von Kontotransaktionen über Geschäftsberichte bis hin zu Verhaltensmustern – und treffen teil- oder vollautomatisierte Entscheidungen über Kreditvergabe, Konditionen und Kreditrahmen.
Für KMU ist diese Entwicklung aus zwei Perspektiven relevant: Einerseits nutzen sie selbst häufig KI-gestützte Kreditprüfungen, wenn sie als Bank, Sparkasse, Finanzdienstleister oder Versicherung tätig sind. Andererseits sind sie als Kreditnehmer von solchen automatisierten Bewertungen betroffen, etwa bei der Unternehmensfinanzierung. Die Geschwindigkeit und Effizienz KI-basierter Verfahren kann Vorteile bringen – Kreditzusagen innerhalb von Stunden statt Wochen – birgt aber auch Risiken durch intransparente Entscheidungskriterien oder systematische Benachteiligung bestimmter Personengruppen (Bias).
Nach Anhang III Punkt 5 Buchstabe b des EU AI Act gelten KI-Systeme zur Kreditwürdigkeitsprüfung und Bonitätsbewertung natürlicher Personen als Hochrisiko-KI-Systeme. Ausgenommen sind lediglich Systeme zur reinen Betrugserkennung. Diese Einstufung bedeutet: Anbieter solcher Systeme müssen umfassende Anforderungen erfüllen (Risikomanagement, Daten-Governance, technische Dokumentation, menschliche Aufsicht, Konformitätsbewertung), bevor das System in Verkehr gebracht wird. Auch Betreiber (Deployer) haben eigene Pflichten – darunter die Registrierung im EU-Datenbanksystem, die Implementierung menschlicher Aufsicht und gegebenenfalls die Durchführung einer Grundrechte-Folgenabschätzung. Die vollständige Durchsetzung dieser Hochrisiko-Pflichten ist für Dezember 2027 vorgesehen, nachdem die ursprünglich für August 2026 geplante Frist durch den Digital Omnibus verschoben wurde.
KMU, die als Betreiber eines Hochrisiko-KI-Systems zur Kreditwürdigkeitsprüfung agieren, können ihre Verantwortung nicht vollständig auf den Softwareanbieter übertragen. Sie bleiben für ordnungsgemäße Nutzung, Logging, qualifizierte Aufsichtspersonen und Grundrechtskonformität verantwortlich. Die Pflichten greifen unabhängig davon, ob das System intern entwickelt oder als SaaS-Lösung eingekauft wurde.
Praxisbeispiel
Eine Regionalbank mit 85 Mitarbeiterinnen und Mitarbeitern in Oberösterreich setzt seit 2024 ein KI-Modul ihres Kernbankensystems für die automatisierte Vorprüfung von Ratenkrediten bis 15.000 Euro ein. Das System analysiert Kontotransaktionen, vergibt einen Score und schlägt Kreditkonditionen vor. Da natürliche Personen betroffen sind, gilt das System nach dem AI Act als Hochrisiko. Die Bank muss bis Dezember 2027 eine qualifizierte Aufsichtsperson benennen, eine Grundrechte-Folgenabschätzung durchführen, alle automatisierten Entscheidungen protokollieren und das System in der EU-Datenbank registrieren.
Quellen
- Anhang III - Hochrisiko-KI-Systeme gemäß Artikel 6 Absatz 2 - KI-Verordnung
- EU Digital Omnibus AI Act Zeitplan erklärt | Hochrisiko-KI Frist verschoben auf 2027/2028
- Die EU-KI-Verordnung und ihre Auswirkungen auf die (teil-) automatisierte Kreditvergabe
- Navigating the AI Act | Shaping Europe's digital future