Die Ableitungslücke: KI-Bank trifft EuGH C-184/20 in der Architektur

Diese Woche, in einer öffentlichen Diskussion über die “neue Gattung KI-Bank”, stellte ich einer deutschen Direktbank eine einzige Frage: Wird beim KI-Einsatz die Ableitung besonderer Datenkategorien nach Art. 9 DSGVO geprüft, im Sinne des EuGH-Urteils C-184/20? Die Antwort kam schnell und sie war ehrlich. Diese Ebene sei “nicht explizit auf rechtlich-operativer Ebene” abgefragt worden, die Kundenerwartung aber sehr wohl. Kein Ausweichen, kein PR-Reflex. Genau diese Ehrlichkeit legt das eigentliche Problem frei. Es liegt nicht in einer Umfrage und nicht in einem fehlenden Einwilligungsbanner. Es sitzt eine Schicht tiefer, an einer Stelle, die kein Marketing erreicht.

Zwei Wege, sensible Daten zu behandeln, und nur einer hält vor dem EuGH

Wer KI auf Bankdaten ansetzt, hat technisch zwei Architekturen zur Wahl. Die erste prüft sensible Inhalte am Ende, im Audit des fertigen Modells. Die zweite klassifiziert sie am Anfang, bevor ein Feature überhaupt ins Training geht. Beide Wege erfüllen auf dem Papier dieselbe Compliance-Checkliste. Vor der Ableitungs-Doktrin des EuGH hält nur der zweite.

Der Unterschied klingt nach einer Detailfrage der Reihenfolge. Er entscheidet darüber, ob “Transparenz” und “Kontrolle” technisch nachweisbar sind oder ein Versprechen bleiben. Lars Stoy, Vorstandschef der ING Deutschland, sprach beim International Club of Frankfurt Wirtschaftsjournalisten (via Handelsblatt, Andreas Kröner, KW 23/2026) von einer “neuen Gattung KI-Bank”. Die Gattung entsteht. Die Frage ist, an welcher Stelle ihrer Bauweise sensible Ableitungen sichtbar werden.

Die Ableitungs-Doktrin, die fast niemand operationalisiert hat

Der Europäische Gerichtshof hat am 1. August 2022 im Urteil C-184/20 (ECLI:EU:C:2022:601) etwas entschieden, das in der KI-Debatte selten konkret wird. Daten, aus denen sich besondere Kategorien nach Art. 9 DSGVO per Ableitung erschließen lassen, fallen selbst unter Art. 9. Es genügt die intellektuelle Operation, der Rückschluss. Die Rohdaten müssen nie als “sensibel” deklariert worden sein.

Die Folge ist hart. Für besondere Kategorien greift keine Verarbeitung auf Basis berechtigter Interessen nach Art. 6 Abs. 1 lit. f. Nötig wird in aller Regel eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a. Das verschiebt die Beweislast vom Kunden zur Bank.

Bei aggregierten Kontodaten ist die Ableitung fast immer möglich. Drei Beispiele, wie sie in jedem Transaktionsstrom vorkommen:

• Regelmäßige Apothekenbuchungen erlauben Rückschlüsse auf Gesundheitsdaten und chronische Behandlung.
• Spendenmuster und Gewerkschaftsbeiträge legen politische, religiöse oder gewerkschaftliche Überzeugungen offen.
• Standortprofile aus Kartennutzung verraten Lebensumstände, Wohn- und Praxisnähe, unter Umständen das Sexualleben.

Hochpersonalisierte KI-Beratung verschärft dieses Problem, statt es zu lösen. Je tiefer das Modell aggregiert, um den Kunden besser zu beraten, desto zuverlässiger erschließt es genau die Kategorien, die der EuGH unter Art. 9 stellt. Personalisierung und Ableitungs-Tiefe wachsen gemeinsam. Wer das Erste verkauft, kauft das Zweite mit.

Warum der Zeitpunkt zählt: Marktdruck trifft Regulierungstakt

Der Wettbewerb um Einlagen läuft. Trade Republic, BBVA und Chase Deutschland von J.P. Morgan drücken auf den Markt, und Stoy erwartet eine Fusion aus Direktbank-Preis und Filial-Beratung über KI. In diesem Rennen wird Personalisierung zum Verkaufsargument, und damit steigt der Anreiz, tiefer zu aggregieren.

Gleichzeitig zieht der Regulierungstakt an. Die Verordnung (EU) 2024/1689, der EU AI Act, datiert vom 13. Juni 2024 und ist voll anwendbar ab dem 2. August 2026. Art. 16 verlangt von Anbietern dokumentierte Verfahren, Art. 17 ein Qualitätsmanagementsystem, dessen Abs. 4 ausdrücklich Finanzinstitute adressiert. Beides verlangt nachgewiesene Prozesse vor dem Inverkehrbringen, nicht erst im nachgelagerten Audit. Art. 4 zur KI-Kompetenz gilt sogar schon seit dem 2. Februar 2025. Wer heute eine KI-Bank baut, baut bereits unter Pflicht. Was der EU AI Act 2026 für den Mittelstand bedeutet, gilt für die Bank in verschärfter Form.

Ein Kontrast aus derselben Wochenlage macht das Tempo greifbar. OpenAIs Personal-Finance-Feature erreicht denselben EuGH-Schwellpunkt wie eine Bank, ohne deren aufsichtsrechtlichen Rahmen. Die am 13. Mai 2026 beim Southern District of California eingereichte US-Sammelklage gegen OpenAI zeigt, wie schnell aggregierte Konversations- und Finanzdaten zum Streitgegenstand werden. Ich habe das im Detail beschrieben, warum aggregierte Kontodaten Art. 9 DSGVO erreichen. Eine beaufsichtigte Bank steht hier besser da als ein US-Chatbot. Diesen Vorteil löst sie aber nur ein, wenn die Architektur ihn trägt.

Die Architektur als Antwort: Klassifikation vor dem Training

Hier liegt der eigentliche Punkt. Die Lücke schließt keine bessere Umfragefrage und kein zusätzliches Banner. Sie schließt eine Entscheidung in der Bauweise, und die lässt sich präzise benennen.

Im ersten Schritt werden Buchungen klassifiziert, bevor irgendein Feature ausgewählt wird. Ein Tag “Apotheke”, ein Tag “NGO-Spende”, ein Tag “Standort-Cluster Wohnort/Praxis”. Die Klassifikation läuft auf der Datenebene, nicht auf der Modellebene.

Im zweiten Schritt führen diese Tags als Sperr-Tags in ein Feature-Selection-Gate. Ein als sensibel markiertes Merkmal und jedes daraus ableitbare Feature passieren das Gate nicht ungeprüft. Die sensible Ableitung wird klassifiziert, bevor sie ins Training geht, nicht im Audit eines fertigen Modells rekonstruiert.

Beide Architekturen trennt eine kategorische Grenze. Im nachgelagerten Audit prüfen Sie ein Modell, das die Ableitung bereits gelernt hat. Was eintrainiert ist, lässt sich schwer zurückholen, oft nur durch Neutraining. Das Gate vor dem Training dreht die Reihenfolge um. Sie entscheiden bewusst, was das Modell sehen darf, solange die Entscheidung noch reversibel ist. Das ist exakt die Mechanik, die Art. 16 und Art. 17 der Verordnung (EU) 2024/1689 mit “dokumentierten Verfahren vor Inverkehrbringen” meinen.

Und hier schließt sich der Kreis zur Kundenerwartung. Was eine Bank als “Kontrolle” und “Transparenz” bewirbt, wird durch dieses Gate technisch nachweisbar. Ein Sperr-Tag ist auditierbar, eine Einwilligungs-Checkbox ist es nur formal. Die Begriffe, die die ING in ihrer eigenen Pressemitteilung zu Transparenz, Kontrolle und menschlicher Verantwortung nennt, bekommen erst durch die Architektur einen prüfbaren Gegenwert.

Die Mittelstands-Brücke: derselbe Schwellpunkt, kleinere Datenmenge

Der EuGH-Schwellpunkt unterscheidet nicht nach Bilanzsumme. Er gilt für die Großbank und für den 50-Personen-Betrieb identisch. Jeder Mittelständler, der KI auf aggregierte Kunden- oder Mitarbeiterdaten ansetzt, steht an derselben Schwelle.

Eine Personalanalyse, die aus Abwesenheiten und Kantinenkäufen auf Gesundheitszustände schließt, ist juristisch dasselbe wie Apothekenbuchungen bei einer Bank. Eine Vertriebs-KI, die aus Bestellrhythmen auf die wirtschaftliche Lage eines Kunden schließt, kann denselben Art.-9-Bereich streifen. Das gilt besonders, wenn KI auf aggregierte Mitarbeiterdaten trifft und niemand vorher klassifiziert, was das Modell sehen darf.

“Wir haben eine Einwilligung” trägt diese Last nicht. Eine pauschale Einwilligung schützt nicht, wenn die sensible Ableitung erst im Training entsteht und vorher niemand sie als sensibel markiert hat. Ohne Klassifikation vor dem Training wissen Sie nicht einmal, wofür die Einwilligung reichen müsste.

Was beide Architekturen nicht lösen

Die ING macht eine saubere Trennung, und sie ist kein Strohmann. Die rechtlich-operative Ebene der Ableitung sei in der YouGov-Umfrage nicht explizit adressiert, die Kundenerwartung zu Transparenz, Kontrolle und Verantwortung aber klar erkennbar. Beides stimmt. Rechtlich-operative Messbarkeit und Kundenerwartung sind zwei verschiedene Dinge, und es ist redlich, das offen zu sagen.

Der Einwand trifft auch meine These an einer Stelle. Eine Architektur ist kein Recht. Das Feature-Selection-Gate macht sensible Ableitungen sichtbar und steuerbar, aber es ersetzt keine datenschutzrechtliche Würdigung im Einzelfall und keine Folgenabschätzung nach Art. 35 DSGVO. Die Klassifikation ist die operative Brücke, nicht das Urteil. Wer das Gate baut und glaubt, damit sei die Rechtsfrage erledigt, verfehlt den Punkt von der anderen Seite. Eine fachkundige rechtliche Prüfung bleibt nötig, hier wird keine Rechtsberatung ersetzt.

Die These hält trotzdem, und der Einwand schärft sie sogar. Solange niemand die “Ableitungs-Festigkeit” als explizite Anforderung misst, wandert das Thema nicht in die Produktentwicklung. Es bleibt im Compliance-Anhang, statt in die Feature-Pipeline zu gehen. Die Trennung zwischen rechtlich-operativer Ebene und Kundenerwartung leuchtet ein. In der Praxis hält sie nur, wenn die operative Brücke gebaut wird, und diese Brücke ist die Klassifikation vor dem Training. Genau deshalb ist die Architekturfrage die einzige nachweisbare Antwort auf das aufgeworfene Problem.

Häufige Fragen zur Ableitungslücke bei KI auf Bankdaten

Was bedeutet die Ableitungslücke konkret für meine Daten?

Der EuGH hat am 1. August 2022 (C-184/20) entschieden, dass Daten, aus denen sich besondere Kategorien ableiten lassen, rechtlich wie sensible Daten behandelt werden. Aus harmlos wirkenden Buchungen wie Apotheke, Spende oder Standort lassen sich Gesundheit, Überzeugung oder Lebensumstände erschließen. Sobald eine KI das kann, greift Art. 9 DSGVO, auch wenn Sie diese Daten nie bewusst als sensibel erhoben haben.

Reicht es nicht, eine Einwilligung einzuholen?

Eine pauschale Einwilligung schützt nicht, wenn die sensible Ableitung erst beim Training entsteht und vorher niemand sie klassifiziert hat. Art. 9 Abs. 2 lit. a DSGVO verlangt eine ausdrückliche Einwilligung für genau diese Kategorien. Ohne Klassifikation vor dem Training wissen Sie nicht, wofür diese Einwilligung überhaupt reichen müsste.

Warum vor dem Training und nicht im Audit?

Im Audit prüfen Sie ein fertiges Modell. Was es aus aggregierten Daten ableitet, ist dann bereits eintrainiert und nur schwer rückholbar. Klassifizieren Sie sensible Ableitungen vorab als Sperr-Tags in einem Feature-Selection-Gate, entscheiden Sie bewusst, was ins Modell darf, bevor es lernt. Das ist auch die Logik hinter Art. 16 und Art. 17 der Verordnung (EU) 2024/1689: dokumentierte Verfahren vor dem Inverkehrbringen, nicht danach.

Betrifft das nur Banken oder auch meinen Mittelstandsbetrieb?

Es betrifft jeden, der KI auf aggregierte Kunden- oder Mitarbeiterdaten anwendet. Eine Personalanalyse, die aus Abwesenheiten und Kantinenkäufen Gesundheitszustände ableitet, ist dasselbe Problem wie Apothekenbuchungen bei einer Bank. Der EuGH-Schwellpunkt aus C-184/20 ist für die Großbank und den 50-Personen-Betrieb identisch.

Was ist ein Sperr-Tag technisch?

Ein Sperr-Tag ist ein Klassifikations-Label, das einem Datenmerkmal vor der Feature-Auswahl zugewiesen wird, etwa “Apotheke”, “NGO-Spende” oder “Standort-Cluster Wohnort/Praxis”. Es verhindert, dass dieses Merkmal oder daraus abgeleitete Features ungeprüft ins Training gehen. So wird die sensible Ableitung sichtbar und steuerbar, statt als Nebenprodukt im fertigen Modell zu liegen.

Nächster Schritt

Klassifizieren Sie Ihre Daten vor dem Training, oder prüfen Sie das fertige Modell im Audit?

Wenn Sie KI auf aggregierte Kunden- oder Mitarbeiterdaten ansetzen, schauen wir uns gemeinsam an, an welcher Stelle Ihrer Pipeline sensible Ableitungen sichtbar werden und wo ein Feature-Selection-Gate sitzen müsste. Kein Vertrieb, kein Pitch, ein Architektur-Review im 30-Min-Format.

→ Erstgespräch vereinbaren, kostenfrei

→ Oder zuerst mehr lesen: KI-Architektur und Automatisierung mit Augenmaß · Compliance- und Pflicht-Themen rund um KI

Quellen und Links: EuGH, Urteil C-184/20 vom 01.08.2022 (ECLI:EU:C:2022:601) · VO (EU) 2024/1689 (EU AI Act), Art. 16/17, CELEX:32024R1689 · EU AI Act Art. 4 (KI-Kompetenz, seit 02.02.2025) · ING-Pressemitteilung zu KI im Banking (KW 23/2026)

Weiter lesen auf pfisterer.xyz: ChatGPT Finanzen: Die Architektur-Frage kommt vor der Vertrauensfrage · KI-Agenten und EU AI Act 2026 für den Mittelstand · Shadow AI: Wenn Mitarbeiter eigene KI-Agenten bauen