Eine in Berlin ansässige Bank muss 300.000 Euro Bußgeld zahlen, weil sie die Hintergründe einer automatisierten Entscheidung nicht gegenüber einem Kunden transparent gemacht hat. Der Kunde hatte über ein Online-Formular eine Kreditkarte beantragt, den Antrag lehnte die Bank trotz eines guten Schufa-Scores und eines regelmäßigen hohen Einkommens mittels einer automatisierten Entscheidung ab – ausschließlich auf Grundlage von Algorithmen und ohne menschliches Eingreifen.
Eine Nachfrage des Kunden beantwortete die Bank laut der Pressemitteilung der Berliner Datenschutzbeauftragten (PDF) nur mit pauschalen und vom Einzelfall unabhängigen Angaben. Die Bank weigerte sich dabei auch zu sagen, warum sie in von einer schlechten Bonität ausging. Der Beschwerdeführer konnte deshalb nicht nachvollziehen, welche Datenbasis und welche Faktoren der Ablehnung zugrunde lagen.
Einzelfallbegründung fehlte
Ohne diese Einzelfallbegründung war es dem Kunden nicht möglich, die automatisierte Einzelentscheidung sinnvoll anzufechten. Daraufhin beschwerte er sich bei der Datenschutzbeauftragten. Die Behörde kam zum Schluss, dass die Bank in dem Fall gegen mehrere Vorschriften der Datenschutzgrundverordnung verstoßen habe – und setzte das Bußgeld fest. Dazu gehören etwa Auskunfsrechte der Person und Regeln zur automatisierten Entscheidung. Demnach müssen Maßnahmen getroffen werden, „um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren“. Dazu gehört, dass sie ihren eigenen Standpunkt darlegen und die Entscheidung anfechten können muss.
Meike Kamp, die Berliner Beauftragte für Datenschutz und Informationsfreiheit, sagt zum Fall: „Eine Bank ist verpflichtet, die Kund:innen bei der automatisierten Entscheidung über einen Kreditkartenantrag über die tragenden Gründe einer Ablehnung zu unterrichten. Hierzu zählen konkrete Informationen zur Datenbasis und den Entscheidungsfaktoren sowie die Kriterien für die Ablehnung im Einzelfall.“
Bei der Bank, die in der Pressemitteilung nicht namentlich genannt wird, soll es sich laut Heise.de um die DKB handeln. Sie hat mittlerweile Änderungen an den Prozessen umgesetzt und weitere Verbesserungen angekündigt. Das Unternehmen habe umfassend mit der Datenschutzbehörde kooperiert und den Bußgeldbescheid akzeptiert, heißt es von der Datenschutzbeauftragten.
Das dürfte Signalwirkung über die Bankenbranche hinaus haben. Die Versicherungsbranche ist bekannt für übermäßige Leistungsverweigerung begründet mittels automatisierter Entscheidungen.
Und die Schufa? Wie FeFe in seinem Blog (https://blog.fefe.de/?ts=9a89154a) mutmaßt könnte es schon reichen wenn z.B. ein Neuer Nachbar mit Migrationshintergrund einzieht um den eigenen Schufa-Score runter zu ziehen.
Ich weiß nicht ob das Substanz hat aber das Gewese um das „Geschäftsgeheimnis“ der Schufa fand ich schon immer suspekt. Und auf diese Form von „Data by Obscurity“ sollen/wollen sich Firmen (oder in Zukunft: eine Bank-KI?) verlassen und die Kunden sind dann VERlassen?
Finde den Fehler!
Als jemand, der schon fast drei Jahre darauf wartet, dass die Landesdatenschutzbeauftragte NRW meine Beschwerde bearbeitet, würde ich gerne wissen: Hat Netzpolitik Kenntnis darüber, wie lange es dauerte vom Einreichen der Beschwerde bis zur Entscheidung der Berliner Datenschutzbeauftragten?
Wir prüfen Ihre Beschwerde, zunächst insbesondere auf ihre datenschutzrechtliche Relevanz.
Wenn es für unsere Untersuchung erforderlich ist, wenden wir uns an die Stelle, der Sie den Datenschutzverstoß vorwerfen. Die Stellen, für die wir zuständig sind, sind verpflichtet, uns die erforderlichen Auskünfte zu erteilen und Kopien von Unterlagen zur Verfügung zu stellen.
Wenn es erforderlich ist, wenden wir uns an andere Datenschutzaufsichtsbehörden – besonders bei einer Zusammenarbeit in grenzüberschreitenden Fällen.
Wir setzen das Datenschutzrecht durch. Wir haben dazu verschiedene Untersuchungs- und Abhilfebefugnisse aus der DS-GVO und dem Datenschutzgesetz NRW. Weitere Informationen zu den Aufsichtsbefugnissen und Sanktionen nach der DS-GVO finden Sie im Kurzpapier Nr. 2 der Datenschutzkonferenz. Verstöße jedenfalls im nicht-öffentlichen Bereich können auch mit Geldbußen sanktioniert werden.
Bei der Ausübung unseres Ermessens haben wir uns insbesondere am Verhältnismäßigkeitsgrundsatz zu orientieren. Ein Anspruch darauf, wie wir unsere Befugnisse ausüben und welche aufsichtsrechtlichen Maßnahmen wir ergreifen, besteht grundsätzlich nicht.
Wir informieren Sie über den Fortgang und das Ergebnis unserer Untersuchung.
Wir sind per E-Mail erreichbar unter poststelle@ldi.nrw.de.