Erstmaliges Bußgeld gegen Berliner Bank aufgrund mangelnder Transparenz über automatisierte Entscheidungsfindung
Die Berliner Datenschutzbehörde (BlnBDI) hat gegen eine Berliner Bank ein Bußgeld in Höhe von 300.000 EUR verhängt, da das Unternehmen keine ausreichende Transparenz über eine automatisierte Einzelentscheidung (vgl. Art. 22 DSGVO) bei der Ablehnung eines Kreditkartenantrags gewährleistet hat.
Worum ging es?
Im konkreten Fall hatte die Bank ein Online-Formular genutzt, um Daten über Einkommen, Beruf und Personalien der Antragsstellenden abzufragen. Basierend auf diesen Informationen sowie zusätzlichen externen Daten lehnte ein Algorithmus der Bank den Kreditkartenantrag eines Kunden ab. Der Algorithmus basierte auf vordefinierten Kriterien und Regeln des Unternehmens.
Trotz des guten Schufa-Scores und des regelmäßig hohen Einkommens des Kunden konnte dieser die automatisierte Ablehnung nicht nachvollziehen. Die Bank gab lediglich allgemeine Informationen über das Scoring-Verfahren, verweigerte jedoch die Angabe konkreter Gründe für die schlechte Bonität des Kunden. Ohne diese individuelle Begründung war es dem Kunden unmöglich, die automatisierte Entscheidung sinnvoll anzufechten. Daraufhin beschwerte sich der Kunde bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit.
Transparenzpflicht bei automatisierten Entscheidungen
Eine automatisierte Entscheidung ist eine Entscheidung, die ein IT-System ausschließlich auf Grundlage von Algorithmen und ohne menschliches Eingreifen trifft. Für diesen Fall sieht die Datenschutz-Grundverordnung (siehe Art. 22 DSGVO) erweiterte Transparenzpflichten vor. So müssen personenbezogenen Daten in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden.
Betroffene Personen haben einen Anspruch auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung. Beantragen betroffene Personen bei den Verantwortlichen eine Auskunft, müssen diese aussagekräftige Informationen über die involvierte Logik hinter der automatisierten Entscheidung erteilen.
Bußgeld der Berliner Behörde
Meike Kamp, die Berliner Beauftragte für Datenschutz und Informationsfreiheit, betonte, dass Unternehmen verpflichtet sind, bei automatisierten Entscheidungen zu Kreditkartenanträgen über die wesentlichen Gründe einer Ablehnung betreffende Kundinnen/Kunden und Interessentinnen/Interessenten zu informieren. Dazu gehören konkrete Informationen über die Datenbasis, die Entscheidungsfaktoren und die Kriterien für eine Ablehnung im Einzelfall. Betroffene Personen müssen in der Lage sein, diese Entscheidungen verstehen zu können. Die Datenschutzbeauftragte stellte daher fest, dass die Bank in diesem konkreten Fall gegen die Artikel 22 Absatz 3, 5 Absatz 1 lit. a und 15 Absatz 1 lit. h der Datenschutz-Grundverordnung (DSGVO) verstoßen hat.
Dies führte zur Verhängung eines Bußgeldes in Höhe von 300.000 EUR. Bei der Bemessung des Bußgeldes berücksichtigte die BlnBDI insbesondere den hohen Umsatz der Bank, sowie die vorsätzliche Ausgestaltung des Antragsprozesses und der Auskunft. Als bußgeldmindernd wurde gewertet, dass das Unternehmen den Verstoß eingeräumt, bereits Änderungen an den Prozessen umgesetzt und weitere Verbesserungen angekündigt hat.