SAFE Finance Blog
10 Dec 2021

Zur Regulierung des Kreditscoring

Katja Langenbucher: Der Einsatz künstlicher Intelligenz bei der Bonitätsprüfung von Kreditnehmer:innen bringt neue Möglichkeiten, aber auch Risiken mit sich. Er macht eine Regulierungslücke mit Blick auf Kreditscoring-Agenturen deutlich

Kreditentscheidungen setzen die Bewertung der Kreditwürdigkeit voraus. Das ist nicht nur eine kaufmännische Selbstverständlichkeit, sondern auch gesetzlich angeordnet. Dabei spielen Kreditscores eine Rolle, also Aussagen über die Bonität von Kund:innen, die in Deutschland etwa die Schufa erteilt. Das geschieht auf der Basis von Daten zur Person, zum Zahlungsverhalten und zur Vertragstreue. Ob die Speicherung dieser Daten im Einklang mit der Datenschutz-Grundverordnung (DSGVO) steht, ist derzeit Gegenstand eines Vorlageverfahrens des Verwaltungsgerichts Wiesbaden.

Mit dem enormen Anstieg von Rechenkapazität und verfügbaren Daten, deren Quellen vom Smartphone über die Zahlungskarte bis zum sozialen Netzwerk reichen („alternative Daten“), sind neue Geschäftsmodelle entstanden. Auf der Basis künstlicher Intelligenz (KI) werden Korrelationen zwischen unterschiedlichen Daten und einem bestimmten Ziel (z.B. geringes Ausfallrisiko) hergestellt. Gängig ist der Zugriff von Banken auf das Zahlungsverhalten ihrer Kund:innen, soweit dies aus einem Girokonto ersichtlich ist.

Für die Erstellung klassischer Profile lassen sich etwa das Einkaufsverhalten oder wiederkehrende Zahlungen verwenden. Die Auswertung alternativer Daten geht über die Beziehung zwischen Bank und Kund:in weit hinaus. „Dataminer“ spezialisieren sich auf Datensammlung, Scoring-Agenturen erstellen Modelle und Profile. Dabei kann sich etwa ergeben, dass der Besuch einer Universität die Kreditwürdigkeit erhöht, weil die KI zu einer positiven Prognose über künftiges Einkommen gelangt. Umgekehrt kann eine negative Prognose errechnet werden, weil die/der potenzielle Kund:in überdurchschnittlich lange braucht, um ein Online-Formular auszufüllen.

Neue Märkte, neues Potenzial für das KI-Scoring

Derartige KI-Anwendungen auf der Basis alternativer Daten können zur Verfeinerung der Prozesse traditioneller Kreditvergabe oder der Risikomessung bestehender Kreditbeziehungen dienen. Zusätzlich ist ein Markt für Kreditnehmer:innen entstanden, deren Profil in traditionellen Verfahren unterdurchschnittlich ausfällt. Erweisen sich diese auf der Basis alternativer Daten doch als attraktive Kund:innen, ermöglicht das den Aufbau eines Kreditportfolios, welches unter Nutzung (nur) traditioneller Daten nicht risikoadäquat bepreisbar gewesen wäre. Darin liegt nicht nur die Chance zur Erschließung neuer Märkte, sondern auch inklusives Potenzial des KI-Scoring.

Die Stärke solcher KI-Scoringverfahren – nämlich die Vielfalt alternativer Daten – ist zugleich deren Schwäche. Das betrifft zunächst die Gewinnung alternativer Daten. Geht es nicht um standardisierte Finanzdaten, sondern etwa um die Auswertung sozialer Netzwerke ist die Anfälligkeit für Fehler höher. Eine weitere Schwäche ergibt sich aus dem rückwärtsgewandten Blick der Modelle. Daten, mit welchen die KI „trainiert“ wird (das heißt: auf deren Basis die relevanten Korrelationen entwickelt werden), bilden notwendig die Vergangenheit ab und schließen daraus auf die Zukunft.

Waren in der Vergangenheit bestimmte Variablen besonders bedeutsam (etwa Geschlecht oder Familienstand), wird die KI diese Variablen höher gewichten als andere. Ändert sich die tatsächliche Situation, sind die betreffenden Variablen in der veränderten Welt weniger aussagekräftig. Die KI bildet dann diese veränderte Welt nicht mehr adäquat ab. Der Vorschlag, die betreffende Variable (z.B. Geschlecht) zu streichen, hilft häufig nicht weiter, denn die KI wird nicht nur Geschlecht, sondern auch hiermit korrelierende Variablen wie Körpergröße, Vornamen, Google-Suchbegriffe und Teilzeitbeschäftigung mit höherem Gewicht versehen haben. All diese auszusortieren senkt wiederum die Präzision des Modells.

KI-Einsatz bei Kreditvergabe als „Hochrisiko-Anwendung“

Diskriminierungsgefahren dieser Art haben die EU-Kommission in ihrem jüngsten Vorschlag zu einer KI-Verordnung bewogen, KI-Kreditscoring sowie die KI-gestützte Beurteilung der Kreditwürdigkeit als „Hochrisiko-Anwendung“ einzuordnen. Damit geht ein umfangreicher Katalog an Compliance-Anforderungen ebenso einher wie behördliche Aufsicht und erhebliche finanzielle Sanktionen.

Die Kommission hat damit implizit einen ersten Schritt zu einer Regulierung von Kreditscoring-Agenturen unternommen. Diese sind zwar global gängig (etwa FICO in den USA), keineswegs aber in sämtlichen Mitgliedstaaten der EU vorhanden. Fallen Kreditscoring-Agenturen in den USA in ein feinmaschiges Regulierungsnetz, ist die Tätigkeit der Schufa in Deutschland nicht explizit erfasst. Einschlägig sind nur die allgemeinen Normen etwa des Gewerbe- und des Datenschutzrechts.

Mit dem Verordnungsvorschlag tritt nun eine weitere Regulierung hinzu. Wiederum ist freilich deren Ansatz horizontal, nicht sektoral. Dem entspricht es, dass nicht ein Bündel gängiger Risiken des Kreditscoring (diese reichen von der Datensammlung, über Informations- und Korrekturrechte bis zu Erklärbarkeit und Antidiskriminierung) konsolidiert, sondern nur Risiken für Grundrechte in den Blick genommen werden, die gerade durch KI-Scoring entstehen können.

Unübersichtliches Regulierungsdesign

Zuständig sind mithin künftig (neu zu benennende) KI-Behörden, Anti-Diskriminierungsstellen (die eigene Informationsrechte erhalten), sowie Datenschutzbehörden. Noch unübersichtlicher wird das Regulierungsdesign dadurch, dass Ausnahmen gelten, soweit Banken selbst eine KI-gestützte Kreditwürdigkeitsbeurteilung vornehmen. Für CRR-Kreditinstitute sind Bankaufsichtsbehörden, nicht KI-Behörden zuständig.

Weiter werden Vermutungen kodifiziert, dass im Rahmen des Risiko- und Qualitätsmanagements (Art. 74 Kapitaladäquanzverordnung CRD IV) auch die Anforderungen der KI-Verordnung eingehalten werden. Aller Voraussicht nach dürften mithin von Bankaufsichtsbehörden untergesetzliche Standards zur Konkretisierung entwickelt werden. Für Nichtbanken (also auch Scoring-Agenturen) gilt dieses Regime hingegen nicht. KI-Aufsichtsbehörden werden deshalb eigene Konkretisierungsstandards ausarbeiten. Weil diese Behörden keinen Fokus auf Finanzanwendungen haben, sondern sämtliche im Verordnungsentwurf benannten Hochrisiko-Anwendungen (von medizinischen Geräten über selbstfahrende Autos bis zu Strafzumessungsalgorithmen) regeln, steht zu erwarten, dass sich deren Standards deutlich von den durch Finanzaufsichtsbehörden entwickelten Standards unterscheiden. Damit geht nicht nur erhebliche Rechtsunsicherheit einher.

Die Chancen effektiver Rechtsdurchsetzung für die auf diese Weise vermessenen Verbraucher:innen werden minimiert. Den EU-Vorschlag zum Anlass einer Regulierung von Scoring-Agenturen zu nehmen, könnte dem abhelfen.


Katja Langenbucher ist Professorin für Bürgerliches Recht, Wirtschaftsrecht und Bankrecht im House of Finance der Goethe-Universität Frankfurt und koordiniert das LawLab – Fintech & AI als SAFE-Forschungsprofessorin.

Dieser Beitrag ist zuerst in Ausgabe 22/2021 der Europäischen Zeitschrift für Wirtschaftsrecht (EuZW) erschienen.

Blogbeiträge repräsentieren die persönlichen Ansichten der Autorinnen und Autoren und nicht notwendigerweise die von SAFE oder seiner Mitarbeiterinnen und Mitarbeiter.

Prof. Dr. Katja Langenbucher

Koordinatorin LawLab – Fintech & AI