Inhalt
Stichtag 2. August 2026 #
Der EU AI Act (Verordnung 2024/1689) ist seit 1. August 2024 in Kraft. Aber die Regeln greifen gestaffelt:
- 2. Februar 2025: Verbote für unannehmbare AI-Praktiken (Social Scoring, biometrische Massenüberwachung).
- 2. August 2025: Pflichten für General-Purpose-AI-Modelle (GPT-Klasse).
- 2. August 2026: Pflichten für Hochrisiko-AI-Systeme — darunter die Bonitäts-Bewertung der SCHUFA.
- 2. August 2027: Übergangsfrist für vor 2024 vermarktete Hochrisiko-Systeme läuft aus.
Das heißt: Ab dem 2. August 2026 muss SCHUFA umfassend offenlegen, wie der Score zustande kommt — und sicherstellen, dass kein Mensch nur aufgrund der Software-Bewertung diskriminiert wird.
SCHUFA als "Hochrisiko-AI" #
Anhang III Nr. 5.b des EU AI Act benennt es konkret: "AI-Systeme, die für die Bewertung der Kreditwürdigkeit natürlicher Personen oder zur Ermittlung ihrer Bonität bestimmt sind". Das trifft die SCHUFA und alle anderen Auskunfteien (CRIF, Boniversum, infoscore) ins Mark.
Drei Hauptpflichten ergeben sich daraus:
Pflicht 1: Risikomanagement-System (Art. 9). SCHUFA muss alle Phasen des AI-Lebenszyklus systematisch dokumentieren — Datenqualität, Trainings-Methoden, Bias-Risiken, Validierungs-Ergebnisse. Externe Auditoren können das prüfen.
Pflicht 2: Transparenz (Art. 13). Verbraucher müssen verstehen können, wie ihr Score zustande kommt. Pauschalantworten reichen nicht — konkrete Faktoren mit Gewichtungen.
Pflicht 3: Menschliche Aufsicht (Art. 14). Bei jeder Bonitäts-Entscheidung muss ein Mensch eingreifen können. Banken dürfen sich nicht mehr blind auf den Score verlassen.
Welche Faktoren bei dir wirken, kannst du jetzt schon transparent durchrechnen: SCHUFA-Score-Erklärer 2026 mit Gewichtungen je Faktor und Score-Schätzung.
DSGVO Art. 22 — das Fundament #
Der EU AI Act baut auf DSGVO auf. Art. 22 DSGVO regelt seit 2018 die automatisierte Einzelfall-Entscheidung. Der Kern:
"Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt."
Wann ist eine Entscheidung "automatisiert"? Wenn ein Mensch sie nur durchwinkt, ohne tatsächlich selbst zu prüfen. Eine Bank, die innerhalb von 30 Sekunden über einen Online-Kredit-Antrag entscheidet, stützt sich ziemlich sicher auf einen Algorithmus — und nicht auf einen Sachbearbeiter, der den Antrag durchliest.
Die Folge: Verbraucher haben drei Rechte (Art. 22 Abs. 3 DSGVO):
- Recht auf menschliche Überprüfung — der Bürger kann fordern, dass ein echter Mensch die Entscheidung prüft.
- Recht auf Darlegung des eigenen Standpunkts — der Bürger kann erklären, warum der Algorithmus falsch lag.
- Recht auf Anfechtung — bei Bedarf vor dem Datenschutzbeauftragten oder Gericht.
BGH-Urteil + SCORE-COMPACT #
Im Dezember 2023 hat der BGH (VI ZR 1170/22) konkret für die SCHUFA entschieden: Wenn der Score allein die Bonitäts-Entscheidung treibt, unterliegt er Art. 22 DSGVO. Eine bloße "Score-Empfehlung", die der Bankmitarbeiter durchwinkt, reicht nicht — die menschliche Bewertung muss tatsächlich stattfinden.
SCHUFA reagierte 2024 mit dem SCORE-COMPACT: ein transparenter Score mit nur 4 Hauptfaktoren:
- Zahlungs-Historie — gibt es Negativ-Einträge?
- Konto-Alter — wie lange läuft das älteste Konto?
- Verpflichtungen — wie viele Konten + Kredite laufen aktuell?
- Anfragen — wie viele Konditions-Anfragen in den letzten 12 Monaten?
Der große Wurf damit: Banken können jetzt klar erklären, warum sie einen Kredit ablehnen — und Verbraucher können gezielt gegensteuern.
Vor jedem Kreditantrag: kostenlose SCHUFA-Auskunft anfordern (Art. 15 DSGVO + § 34 BDSG). SCHUFA-Selbstauskunft-Rechner berechnet das früheste Datum + Antwort-Frist + Express-Pfade.
Was die Bürger jetzt tun können #
Fünf konkrete Schritte, die ab Mitte 2026 möglich werden:
1. Algorithmus-Erklärung verlangen. Bei jeder ablehnenden Bonitäts-Entscheidung kannst du eine Erklärung der Logik fordern. Bank/Vermieter muss innerhalb 1 Monat antworten.
2. Menschliche Überprüfung erzwingen. Online-Krediten wird oft per Algorithmus abgelehnt. Du kannst nach Art. 22 DSGVO eine manuelle Prüfung durch einen Sachbearbeiter verlangen.
3. Audit-Daten einsehen. Ab August 2026 muss SCHUFA Audit-Daten führen. Verbraucher können Einsicht beantragen — auch wenn das über das DSGVO-"Recht auf Datenkopie" (Art. 15) hinausgeht.
4. Diskriminierungs-Klagen. Wenn dein Score systematisch schlechter ist als ein vergleichbarer Mensch in anderer Region/Demographie: Anti-Diskriminierungs-Klage möglich (AGG + EU AI Act Art. 15).
5. Datenschutz-Behörden einschalten. Bei Verstößen: BfDI (Bundesbeauftragter für Datenschutz) oder Landesdatenschutzbehörde. Kostenlos, formlos möglich.
Was Banken / Vermieter ändern müssen #
Auch Banken und Vermieter, die SCHUFA-Daten nutzen, müssen umstellen:
- Echte menschliche Prüfung dokumentieren — nicht nur Score abrufen und durchwinken.
- Ablehnungs-Begründungen in einer Form, die der Verbraucher versteht.
- Audit-Trail — jeder Entscheidung muss nachvollziehbar sein.
- Diskriminierungs-Tests — ob bestimmte Verbraucher-Gruppen systematisch benachteiligt werden.
Was heißt das für den Markt? Kleine Banken werden Kosten haben, sich anzupassen — große bauen bereits AI-Compliance-Abteilungen auf. Es ist auch zu erwarten, dass sich die Ablehnungs-Quoten reduzieren werden — weil die Banken nach echter menschlicher Prüfung oft kulanter sind als der reine Algorithmus.
Häufige Fragen #
Was ändert sich am 2.8.2026?
Der EU AI Act greift für Hochrisiko-AI-Systeme. SCHUFA-Bewertung ist offiziell Hochrisiko-AI nach Anhang III. Pflicht zur Transparenz, menschlichen Aufsicht und systematischen Dokumentation.
Welche Rechte habe ich als Bürger?
Drei Hauptrechte: (1) Recht auf Erklärung der Logik (Art. 22 DSGVO), (2) Recht auf menschliche Überprüfung statt automatischer Entscheidung, (3) Recht auf Korrektur fehlerhafter Daten (Art. 16 DSGVO).
Wann ist eine Score-Entscheidung "automatisch"?
Wenn die Bank/der Vermieter sich allein auf den Score stützt — ohne tatsächliche menschliche Bewertung. EuGH C-634/21 (2023): bereits die Score-Bildung durch SCHUFA selbst fällt unter Art. 22 DSGVO.
Wird der Score-Algorithmus dann offen?
Vollständige Offenlegung nein — das wäre ein Wettbewerbsnachteil und lädt zu Manipulation ein. Aber: die Hauptfaktoren mit Gewichtungen werden erklärt werden müssen. SCHUFA hat das mit dem SCORE-COMPACT 2024 schon proaktiv getätigt.
Was wenn die Bank meine Anfrage ignoriert?
Drei Eskalations-Stufen: (1) Schriftliche Erinnerung mit 4-Wochen-Frist. (2) Beschwerde bei Datenschutzbehörde (BfDI oder Land). (3) Zivilklage am Amtsgericht (bis 5.000 € kein Anwaltszwang). Plus: Beschwerde beim Verbraucherschutz.
Wird mein Score sich ändern?
Nein — der Score-Algorithmus selbst ändert sich nicht. Aber: Banken werden in Zukunft echte menschliche Bewertung machen müssen — das heißt, manche, die heute am Algorithmus scheitern, können 2026/27 doch einen Kredit bekommen, weil ein Sachbearbeiter den Einzelfall prüft.
