EU-KI-Verordnung für Finanzdienstleistungen: Kreditwürdigkeits- und Versicherungs-KI
KI, die für Kreditwürdigkeitsbewertungen und für Risikobewertungen und Preisgestaltung in der Lebens- und Krankenversicherung verwendet wird, gilt als KI mit hohem Risiko unter Anhang III der EU-KI-Verordnung. Dieser Leitfaden erklärt, wie die Verordnung mit bestehenden Finanzregulierungen wie MiFID II, dem CRD/Basel-Rahmen und den EBA-Richtlinien interagiert und was Erklärbarkeit, Protokollierung und Aufsicht geschuldet werden.
EU-KI-Verordnung für Finanzdienstleistungen: Kreditwürdigkeits- und Versicherungs-KI
KI, die für Kreditwürdigkeitsbewertungen und für Risikobewertungen und Preisgestaltung in der Lebens- und Krankenversicherung verwendet wird, gilt als KI mit hohem Risiko unter Anhang III der EU-KI-Verordnung. Dieser Leitfaden erklärt, wie die Verordnung mit bestehenden Finanzregulierungen wie MiFID II, dem CRD/Basel-Rahmen und den EBA-Richtlinien interagiert und was Erklärbarkeit, Protokollierung und Aufsicht geschuldet werden.
Zuletzt aktualisiert: 4. Juli 2026
Welche Finanz-KI gilt als KI mit hohem Risiko
Anhang III Punkt 5 listet zwei Finanzdienstleistungsanwendungsfälle explizit auf:
- Punkt 5(b) — Kreditwürdigkeit und Kreditwürdigkeitsbewertung. KI, die zur Bewertung der Kreditwürdigkeit von natürlichen Personen oder zur Feststellung ihrer Kreditwürdigkeit verwendet wird, gilt als KI mit hohem Risiko, mit einer Ausnahme für KI, die zur Erkennung von Finanzbetrug verwendet wird.
- Punkt 5(c) — Versicherung. KI, die für Risikobewertungen und Preisgestaltung in Bezug auf natürliche Personen für Lebens- und Krankenversicherungen verwendet wird, gilt als KI mit hohem Risiko.
- Umfangs hinweis. Die Kennzeichnung als KI mit hohem Risiko bezieht sich auf Entscheidungen über natürliche Personen. Reine Back-Office-Betrugsbekämpfung und prudential-modellhafte Verwendung, die keine individuellen Entscheidungen über den Zugang zu Krediten oder Versicherungen trifft, liegen außerhalb dieser beiden Punkte.
Klassifizieren Sie jedes Modell individuell gegen Anhang III Punkt 5 — eine einzelne Kreditplattform kann sowohl im Umfang fallende Bewertungsmodelle als auch außerhalb des Umfangs fallende Betrugsmodelle ausführen.
Interaktion mit bestehenden Finanzregulierungen
Finanzinstitute sind bereits stark reguliert; die KI-Verordnung schichtet sich darüber, nicht statt dessen.
Die Verordnung koordiniert mit sektoralen Rechtsvorschriften: für Kreditinstitute können die internen Governance- und Risikomanagementpflichten unter dem CRD (und dem Basel-Rahmen, den es umsetzt) die Anforderungen an KI mit hohem Risiko der KI-Verordnung beherbergen, und die EU-KI-Verordnung erlaubt, dass diese in bestehende interne Prozesse integriert werden, anstatt dupliziert zu werden. Wo Unternehmen Anlagevermittlungsdienstleistungen erbringen, überlappen die MiFID-II-Anforderungen an Eignung und Aufzeichnungen mit den Protokollierungs- und Aufsichtsanforderungen der KI-Verordnung. Die Europäische Bankenaufsichtsbehörde und andere Aufsichtsbehörden geben weiterhin Richtlinien zur Modellverwaltung und zur Verwendung von KI heraus, die die Konformität mit der KI-Verordnung ergänzen, aber nicht ersetzen.
Ordnen Sie jede KI-Verordnungs-Verpflichtung der sektoralen Kontrolle zu, die bereits davon abgedeckt wird, so dass Sie ein Governance-Regime erweitern, anstatt zwei separate Regime durchzuführen.
Erklärbarkeit und Begründung für ablehnende Maßnahmen
Ein abgelehnter Antragsteller wird fragen, warum — und die Verordnung gibt ihm einen Weg zu einer Antwort:
- Artikel 86 — Recht auf Erklärung. Eine Person, die einer KI-Entscheidung mit hohem Risiko unterliegt, die rechtliche oder ähnlich bedeutende Auswirkungen hat (wie eine abgelehnte Kreditanfrage), hat das Recht auf eine klare, bedeutungsvolle Erklärung der Rolle, die die KI bei dieser Entscheidung gespielt hat.
- Artikel 13 — Transparenz gegenüber Anbietern. Der Kreditgeber oder Versicherer, der das Modell einsetzt, muss genügend Informationen erhalten, um die Ausgabe des Modells zu interpretieren und richtig zu verwenden.
- Artikel 14 — menschliche Aufsicht. Eine Person muss in der Lage sein, eine automatisierte Kredit- oder Versicherungsentscheidung zu überprüfen und zu übergehen, nicht nur zu bestätigen.
- Artikel 12 — Protokollierung. Die Eingaben und die Begründung hinter jeder Entscheidung müssen aufgezeichnet werden, so dass eine Begründung für ablehnende Maßnahmen für den Kunden und den Prüfer rekonstruiert werden kann.
Wie AIAgentree hilft
AIAgentree erfasst die Begründung hinter jeder Kredit- und Versicherungsentscheidung und wandelt sie in eine verteidigungsfähige, unveränderliche Audit-Spur um, die Sie einem Kunden, einem Prüfer oder einem Aufseher vorlegen können.
- Unveränderliche Entscheidungsaufzeichnungen, die die Begründung für jede Kredit- oder Versicherungspreisentscheidung erfassen — die Faktoren, die Bewertung und der Mensch, der sie genehmigt hat — bereit, um eine Artikel-86-Erklärung zu untermauern
- Menschliche Aufsichts- und Genehmigungsworkflows, so dass ein Analyst eine automatisierte Entscheidung überprüfen und übergehen kann (Artikel 14), mit der Übergehungsgrund aufgezeichnet
- Präzedenzsuche für Konsistenz über ähnliche Antragsteller und Ergebnisverfolgung über die Zeit, mit EU-Datenresidenz (Deutschland) für die DSGVO-Ausrichtung
- Integration über Python- und TypeScript-SDKs über REST, MCP, A2A und OpenTelemetry — starten Sie auf dem 25-Trace-Free-Tier mit einer asynchronen Protokollierungsverzögerung von unter 10 ms
Häufig gestellte Fragen
Ist die Kreditwürdigkeitsbewertung durch KI unter dem EU-KI-Gesetz hochrisikoreich?
Ja. Anhang III Punkt 5(b) listet KI, die zur Bewertung der Kreditwürdigkeit von natürlichen Personen oder zur Feststellung ihres Kreditscores verwendet wird, als hochrisikoreich. Es gibt eine Ausnahme für KI, die zur Erkennung von Finanzbetrug verwendet wird, die unter diesem Punkt nicht als hochrisikoreich behandelt wird.
Umfasst das KI-Gesetz die Preisgestaltung von Versicherungen?
Ja, für Einzelpersonen. Anhang III Punkt 5(c) macht KI, die für Risikobewertung und Preisgestaltung in Bezug auf natürliche Personen für Lebens- und Krankenversicherungen verwendet wird, als hochrisikoreich. Andere Versicherungssparten werden im Einzelfall anhand der Klassifizierungsregeln bewertet.
Wie interagiert das KI-Gesetz mit CRD, Basel und MiFID II?
Es steht neben ihnen. Für Kreditinstitute können die Risikomanagementpflichten des KI-Gesetzes in Artikel 9 in die internen Governance-Prozesse, die im CRD/Basel-Rahmen erforderlich sind, integriert werden; die Aufzeichnungs- und Eignungspflichten nach MiFID II überschneiden sich mit den Protokollierungs- und Aufsichtspflichten des KI-Gesetzes. Die Einhaltung sektoraler Vorschriften entbindet nicht von der Einhaltung des KI-Gesetzes.
Müssen wir einem Antragsteller eine abgelehnte Kreditanfrage erklären?
Artikel 86 gewährt einer Person, die einer hochrisikoreichen Entscheidung mit rechtlichen oder ähnlich bedeutenden Auswirkungen unterliegt, das Recht auf eine sinnvolle Erklärung der Rolle der KI dabei. Eine abgelehnte Kreditanfrage, die durch ein im Anwendungsbereich liegendes Bewertungsmodell getrieben wird, fällt genau in dieses Gebiet, sodass Sie in der Lage sein müssen, die Begründung nachzuvollziehen.
Wann treten diese Verpflichtungen in Kraft?
Die Verpflichtungen für hochrisikoreiche Entscheidungen nach der Verordnung (EU) 2024/1689 treten am 2. August 2026 in Kraft. Kredit- und Versicherungsanbieter sollten jede Verpflichtung des KI-Gesetzes auf ihre bestehenden prudentialen und verhaltensbezogenen Kontrollen abbilden.
Fahren Sie mit der Erkundung des EU-KI-Gesetzes-Leitfadens fort
EU-KI-Gesetzes-Konformitäts-Leitfaden
Der vollständige Leitfaden zur Konformität mit dem EU-KI-Gesetz für KI-Agenten — starten Sie hier.
Artikel 12 — Aufzeichnung und Protokollierung
Was jedes Hochrisiko-KI-System protokollieren muss und wie man es erfassen kann.
Artikel 14 — Menschliche Aufsicht
Entwicklung effektiver menschlicher Kontrollen für KI-Entscheidungen.
Anhang III — Hochrisiko-KI-Systeme
Welche KI-Anwendungsfälle das Gesetz als hochrisikig einstuft.
EU-KI-Gesetzes-Konformitäts-Checkliste
Eine schrittweise Checkliste, um die Konformität zu erreichen und zu dokumentieren.
Konformitätskostenrechner
Schätzen Sie Ihre Konformitätsbemühungen und -kosten für das EU-KI-Gesetz.
Fristen und Zeitplan
Wichtige Durchsetzungsdaten, einschließlich der Frist vom 2. August 2026.
Geldstrafen und Bußgelder
Bußgeldstufen bis zu 35 Mio. € oder 7 % des globalen Jahresumsatzes.
Transparenzpflichten (Art. 13 und 50)
Offenlegungspflichten für KI-Systeme und ihre Ausgaben.
Risikomanagement und Konformitätsbewertung
Aufbau eines Risikomanagementsystems und Bewertung der Konformität.
GPAI-Pflichten
Regeln für Anbieter von allgemeinen KI-Modellen.
EU-KI-Gesetz für US-Unternehmen
Außerräumiger Anwendungsbereich und was US-Anbieter tun müssen.
Omnibus-Update
Die neuesten Änderungen an der EU-KI-Gesetz-Zeitachse und -Regeln.
Bußgeldrechner
Schätzen Sie Ihr maximales Bußgeld unter den Artikel 99-Stufen.
Artikel 11 + Anhang IV
Welche technische Dokumentation das EU-AI-Gesetz erfordert.
Artikel 26: Verpflichtungen des Deployers
Was Deployer von High-Risk-KI tun müssen, einschließlich Log-Aufbewahrung.
Artikel 17: Qualitätsmanagement
Das QMS, das Anbieter von High-Risk-KI dokumentieren müssen.
Artikel 10: Datenverwaltung
Datenqualität, Bias-Mitigation und Governance-Pflichten.
Artikel 4: KI-Literacy
Die KI-Literacy-Pflicht des Personals, die seit Februar 2025 in Kraft ist.
Deployer vs. Anbieter
Wer welche Verpflichtung trägt — und wann ein Deployer zu einem Anbieter wird.
FRIA (Artikel 27)
Wer eine Grundrechte-Auswirkungsabschätzung durchführen muss und wie.
Wer ist betroffen?
Anwendungsbereich, Betreiber und extraterritoriale Reichweite des EU-AI-Gesetzes.
Nachmarküberwachung
Artikel 72–73: laufende Überwachung und Meldung von Vorfällen.
ISO 42001 vs. EU-AI-Gesetz
Wie der freiwillige Standard und das bindende Gesetz zusammenpassen.
NIST AI RMF vs. EU-AI-Gesetz
Ein praktischer Vergleich zwischen dem Framework und dem Gesetz.
EU-AI-Gesetz für den Gesundheitssektor
High-Risk-Medizin-KI, MDR/IVDR-Interaktion und klinische Überwachung.
EU-AI-Gesetz für Personalwesen und Beschäftigung
Einstellung von KI als High-Risk, plus NYC LL144 und EEOC-Überschneidung.