· 

Compliance Engineering - Prozesse, die automaisierte Entscheidungen bewirken, korrekt gestalten - eine Bank in D hat eine DSGVO-Strafe von € 300.000 bekommen


 

BETTER COMPLY, THEN COMPLAIN

 

Non-Compliance von digitalen Prozessen kann zu Geldbußen führen.

 

 

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen eine Bank ein Bußgeld in Höhe von 300.000 Euro wegen mangelnder Transparenz über eine automatisierte Einzelentscheidung verhängt.

 

Die Bank hatte sich geweigert, einem Kunden nachvollziehbare Auskünfte über die Gründe der automatisierten Ablehnung eines Kreditkartenantrags zu erteilen. Das Unternehmen hat umfassend mit der BlnBDI kooperiert und den Bußgeldbescheid akzeptiert.

 

(so die Pressemeldung des BInBDI vom 31.5.2023)

 

Bei eine Online-Kreditkartenantrag fragte die Bank personenbezogene Daten zur antragstellenden Person über ein Formular ab: Daten über Einkommen, Beruf und Personalien.

 

Diese Informationen dienten der Bank als eine der Grundlagen für die Entscheidung, ob die Kreditkarte ausgegeben wird oder nicht. Dazu reicherte die Bank diese Daten aus externen Quellen an, und über einen Algorithmus (automatisierte Entscheidungsfindung) entschied die Bank über die Gewährung oder Ablehnung. Die Regeln für den Entscheidungsalgorithmus definierte die Bank.

 

Eine antragstellende Person mit "gutem Schufa-Score" und hohem Einkommen hatte eine automatisierte Ablehnung des Kreditkartenantrages erhalten, und bezweifelte die Entscheidung (des Computers) der Bank.

 

Bei einer Nachfrage legte die Bank nicht ausreichend dar, weshalb es zur Ablehnung gekommen ist, und gab nur allgemeine Erklärungen ab.

 

"Der Beschwerdeführer konnte somit nicht nachvollziehen, welche Datenbasis und Faktoren der Ablehnung zugrunde lagen und anhand welcher Kriterien sein Kreditkartenantrag dementsprechend abgelehnt worden ist. Ohne diese Einzelfallbegründung war es ihm aber auch nicht möglich, die automatisierte Einzelentscheidung sinnvoll anzufechten. Daraufhin beschwerte er sich bei der Datenschutzbeauftragten."

 

So kam es zum Verfahren, in dem die Bank die Geldbuße erhielt, aber auch vollumfänglich kooperierte.

 

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit in der Pressemitteilung vom 31.05.2023:

 

„Wenn Unternehmen automatisiert Entscheidungen treffen, sind sie verpflichtet, diese stichhaltig und nachvollziehbar zu begründen. Die Betroffenen müssen in der Lage sein, die automatisierte Entscheidung nachzuvollziehen. Dass die Bank in diesem Fall auch auf Anfrage nicht transparent und nachvollziehbar über die automatisierte Ablehnung informiert hat, hat ein Bußgeld zur Folge. Eine Bank ist verpflichtet, die Kund:innen bei der automatisierten Entscheidung über einen Kreditkartenantrag über die tragenden Gründe einer Ablehnung zu unterrichten. Hierzu zählen konkrete Informationen zur Datenbasis und den Entscheidungsfaktoren sowie die Kriterien für die Ablehnung im Einzelfall.

 

Die DSGVO enthält Bestimmungen zur automatisierten Entscheidung des Verantwortlichen, die gegenüber der betroffenen Person (zB Kreditkartenantragsteller/in) rechtliche Wirkung entfaltet (Ablehnung des Antrages) oder sie in ähnlicher Weise erheblich beeinträchtigt

 

Es ist daher vorab zu prüfen, ob eine Entscheidung, die ausschließlich automationsunterstützt abläuft. Wenn eine menschliche Einflussnahme auf die Entscheidung (oder die Entscheidungsgrundlage) erfolgt, dann liegt keine derartige Maßnahme vor, weil die Entscheidung nicht ausschließlich automatisiert abläuft. Dafür ist jedoch ein qualifizierter menschliche Eingriff notwendig (reine routinemäßige Prüfschritte, oder die nur nachfolgende Kontrolle ist nicht ausreichend.

 

So hat das BVwG in einer (nicht rechtskräftigen) Entscheidung vom 18.12.2020, W236 2235460-1 zum sog. AMS-Algorithmus festgehalten, dass die Beurteilung, ob eine ausreichend menschliche Intervention vorliegt, auf Grundlage eines entsprechenden Konzepts aus Handlungsanweisungen, Richtlinien und Schulen erfolgen muss. 

 

Weiters ist Voraussetzung, dass die (ausschließlich automationsunterstütze) Entscheidung, die normierten "Wirkungen" iSd Art 22 Abs 1 DSGVO auf die betroffene Person hat. Sind es nur Entscheidungen, ob und welche konkreten Werbemittel der betroffenen Person zugesendet werden, dann ist das ein anderer Grad der Beeinträchtigung, als die Ablehnung eines Kreditkartenantrages, Kreditantrages oder eines Vertragsabschlusses (zB für Mobiltelefonie)

 

Zu diesem Verbot gibt es Ausnahmen:

  • Die Entscheidung ist für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich.
     
  • Die Entscheidung ist aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten zulässig

  • Die Entscheidung erfolgt mit ausdrücklicher Einwilligung der betroffenen Person 

 

Auch in diesen Fällen sind die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren. Dazu gehört als eine der notwendigen Maßnahmen, das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, sowie auf auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört (siehe dazu Art 22 Abs 3 DSGVO).

 

Außerdem dürfen automatisierte Entscheidungen nicht auf besonderen Kategorien personenbezogener Daten beruhen, wie z.B. Gesundheitsdaten, religiöse Überzeugungen oder politische Meinungen, sofern nicht eine Ausnahme nach Artikel 9 Abs 2 DSGVO gilt, wobei Daten, die zur Beurteilung der Kreditwürdigkeit dienen nicht zu den besonderen Datenkategorien des Art 9 Abs 1 DSGVO zählen.

 



Download
Pressemitteilung vom 31.05.2023 Bußgeld gegen Bank
20230531_PM_Bussgeld_Bank.pdf
Adobe Acrobat Dokument 147.7 KB

Kommentar schreiben

Kommentare: 0