Die französische Datenschutzaufsicht CNIL hat am 7. Mai 2026 ihre neue Empfehlung zur Nutzung personenbezogener Daten bei der Bonitätsprüfung veröffentlicht und damit ein Feld nachgeschärft, das für Banken, Fintechs und Vermittler oft wie reine Modell- oder Risikologik behandelt wird. Genau das reicht aus Sicht der Behörde aber nicht mehr. Wenn Institute die Rückzahlungsfähigkeit von Antragstellern per Scoring bewerten, müssen sie nicht nur rechnerisch sauber arbeiten, sondern auch erklären können, welche Daten verwendet werden, wie stark frühere Zahlungsvorfälle ins Gewicht fallen und wann aus unterstützter Bewertung rechtlich eine automatisierte Entscheidung wird.
Der Fall ist für Unternehmen deshalb relevant, weil die CNIL die Bonitätsprüfung ausdrücklich nicht als bloßes Technikthema rahmt. Laut der heutigen Mitteilung geht es um Transparenz, Datenminimierung, Speicherfristen, objektive Kriterien und die Grenzen vollautomatisierter Kreditentscheidungen. Die Aufsicht knüpft dabei direkt an die jüngere EuGH-Rechtsprechung an. Wenn ein Score beim Kreditentscheid eine maßgebliche Rolle spielt, ist das nicht nur eine interne Berechnung, sondern kann als automatisierte Entscheidung mit Erklär- und Schutzpflichten einzuordnen sein. Für viele Häuser ist genau das der Punkt, an dem bisherige Praxis plötzlich wie eine Black Box wirkt.
Bemerkenswert ist auch die Breite der Quellenbasis. Die CNIL veröffentlicht nicht nur die eigentliche Empfehlung, sondern parallel eine zweite Seite für Betroffene, auf der sie verständlich erklärt, welche Daten bei Kreditanfragen genutzt werden dürfen, welche Informationen Antragsteller bekommen müssen und wann menschliche Überprüfung eingefordert werden kann. Zusammen mit dem veröffentlichten Empfehlungsdokument wird daraus kein abstrakter Regulierungsimpuls, sondern ein sehr konkretes Compliance-Paket für den Alltag im Kreditgeschäft.
Kredit-Scoring bleibt erlaubt, aber nicht mehr als intransparente Routine
Die CNIL stellt nicht infrage, dass Kreditgeber die Solvenz von Antragstellern prüfen müssen. Im Gegenteil: Sie verweist selbst darauf, dass diese Prüfung gesetzlich vorgeschrieben ist und Überschuldung vermeiden soll. Der regulatorische Bruch liegt an einer anderen Stelle. Die Behörde zieht enger, welche Daten für diesen Zweck wirklich relevant und erforderlich sind. Wer mehr sammelt, als für die Bonitätsbewertung nötig ist, bewegt sich aus Sicht der Aufsicht schnell aus dem sauberen Zweckrahmen heraus.
Besonders sensibel ist der Umgang mit früheren Zahlungsvorfällen. Die CNIL erlaubt zwar, solche Informationen in die Bewertung einzubeziehen, verlangt aber objektive, nachvollziehbare und verhältnismäßige Kriterien. Auf ihrer heutigen Informationsseite für Verbraucher betont sie außerdem, dass Betroffene mehrfach über diese Verarbeitung informiert werden sollen, also nicht erst beim neuen Kreditantrag, sondern schon beim Zahlungsvorfall selbst und noch einmal vor einer möglichen Eintragung im internen Dossier. Für Institute bedeutet das: Historische Negativsignale dürfen nicht als stiller Dauerstempel im Bestand weiterlaufen.
Hinzu kommt die Speicherfrage. Nach Darstellung der CNIL dürfen Informationen zu früheren Zahlungsausfällen nicht unbegrenzt fortgeschrieben werden. Die Behörde empfiehlt, sie grundsätzlich höchstens zwei Jahre nach Begleichung der geschuldeten Beträge oder ab dem Zeitpunkt zu berücksichtigen, an dem die Forderung rechtlich nicht mehr durchgesetzt werden kann. Gerade in gewachsenen Kredit- und CRM-Landschaften ist das heikel, weil dort Altdaten oft länger leben als die eigentliche fachliche Rechtfertigung.
Automatisierte Kreditentscheidungen werden zur Erklärpflicht
Der schärfste Teil der heutigen CNIL-Linie betrifft vollautomatisierte Entscheidungen. Die Behörde verweist ausdrücklich auf die EuGH-Urteile in den Verfahren C-634/21 und C-203/22. Deren praktische Folge beschreibt die CNIL ungewöhnlich klar: Sobald ein Scoring für die Gewährung oder Ablehnung eines Kredits eine entscheidende Rolle spielt, reicht es nicht mehr, intern auf Modellgüte oder Risikopolitik zu verweisen. Dann greifen Transparenzpflichten, das Recht auf verständliche Erläuterung und das Recht, eine menschliche Neubewertung zu verlangen.
Wichtig ist dabei, was Erklärung hier gerade nicht bedeutet. Die CNIL verlangt laut ihrer Verbraucherinformation nicht die Offenlegung kompletter Algorithmen oder Quellcodes. Verlangt wird vielmehr eine knappe, verständliche und fallbezogene Erklärung, die einer betroffenen Person tatsächlich hilft, ihre Situation zu verstehen. Dazu gehören der Hinweis, dass Scoring eingesetzt wird, welche Bedeutung das Ergebnis hatte, welche Folgen sich daraus ergeben und nach welchen Grundprinzipien die Bewertung zustande kam. Für viele Anbieter dürfte das eine unangenehme Lücke offenlegen: Sie können Scores erzeugen, aber nicht in verbrauchertaugliche Sprache übersetzen.
Auch organisatorisch zieht die Behörde die Zügel an. Wer automatisierte Ablehnungen oder vollautomatisierte Konsumentenkreditentscheidungen einsetzt, muss menschliche Intervention nicht nur theoretisch anbieten, sondern praktisch ermöglichen. Das bedeutet Prozesse, geschulte Mitarbeitende, dokumentierte Eskalationswege und im Zweifel ein echtes Gesprächsangebot. Sonst bleibt das versprochene Recht auf Überprüfung bloßes Papier.
Was Banken, Fintechs und Compliance-Teams jetzt prüfen sollten
Für Unternehmen ist die heutige Veröffentlichung deshalb weniger eine Frankreich-Randnotiz als ein Vorschau-Dokument für europäische Erwartungshaltung. Wer Kreditprozesse baut oder beaufsichtigt, sollte jetzt vier Punkte prüfen. Erstens: Ist die Datenbasis für Scoring-Modelle wirklich auf bonitätsrelevante Informationen begrenzt, oder sind im Lauf der Zeit bequeme Zusatzdaten hineingewachsen? Zweitens: Gibt es klare Regeln für den Umgang mit früheren Zahlungsvorfällen, inklusive Fristen, Schweregrad und Löschlogik? Drittens: Können Kunden verständlich erfahren, dass Scoring genutzt wird und warum eine Entscheidung so ausgefallen ist? Viertens: Funktioniert menschliche Überprüfung operativ wirklich, oder existiert sie nur im Prozesshandbuch?
Dass die CNIL ihre Empfehlung gerade jetzt veröffentlicht, ist kein Zufall. Die Behörde weist selbst darauf hin, dass sie die Regeln im Lichte der EuGH-Rechtsprechung aktualisiert und zugleich auf eine ab November 2026 erwartete gesetzliche Grundlage für vollständig automatisierte Entscheidungen bei Verbraucherkrediten vorausblickt. Damit wird aus Bonitätsprüfung endgültig ein Governance-Thema. Wer Scoring bislang als mathematischen Zwischenschritt behandelt hat, muss es spätestens jetzt als datenschutzrelevante Entscheidungskette verstehen.
Genau darin liegt die eigentliche Botschaft des heutigen Falls. Kredit-Scoring bleibt erlaubt, aber nicht als unlesbare Black Box. Die CNIL macht deutlich, dass erklärbare Logik, begrenzte Datenhaltung und echte menschliche Kontrolle nicht Beiwerk sind, sondern der Preis dafür, automatisierte Bonitätsentscheidungen überhaupt vertretbar einsetzen zu können.
Bildquelle: Pexels
Quellen: CNIL, „Octroi de crédit : la CNIL publie sa recommandation sur l’utilisation de données personnelles pour l’évaluation de la solvabilité”; CNIL, „Demandes de crédit : comprendre l’utilisation de vos données et vos droits”; CNIL, „Recommandation sur l’octroi de crédit”.
