DSGVO-Verstoß: Bank muss wegen automatisierter Kreditabsage zahlen
Die Berliner Datenschutzbehörde hat gegen die Deutsche Kreditbank ein Bußgeld von 300.000 Euro verhängt, weil der Computer einen Kreditantrag einfach ablehnte.
(Bild: Zapp2Photo / Shutterstock.com)
Mangelnde Aufklärung rund um die automatisierte Ablehnung eines Antrags auf Erhalt einer Kreditkarte kommt die Deutsche Kreditbank (DKB) teuer zu stehen. Die Berliner Datenschutzbeauftragte Meike Kamp hat die in der Hauptstadt sitzende Tochter der Bayerischen Landesbank dazu verdonnert, wegen Verstoß gegen die Transparenzpflichten in der Datenschutz-Grundverordnung (DSGVO) ein Bußgeld in Höhe von 300.000 Euro zu zahlen. "Wenn Unternehmen automatisiert Entscheidungen treffen, sind sie verpflichtet, diese stichhaltig und nachvollziehbar zu begründen", erklärte die Kontrolleurin.
Die Betroffenen müssten in der Lage sein, den Vorgang nachzuvollziehen. Dazu zählen konkrete Informationen zur Datenbasis und den Entscheidungsfaktoren sowie die Kriterien für die Ablehnung im Einzelfall.
Im DKB-Fall fragte das Finanzhaus bei einem digitalen Ersuchen nach einer Kreditkarte über ein Online-Formular verschiedene Daten über Einkommen, Beruf und Personalien des Antragstellers ab. Anhand dieser Informationen und zusätzlicher Daten aus externen Quellen lehnte der Algorithmus das Begehr des Kunden ohne besondere Begründung ab. Das System basierte laut Aufsichtsbehörde auf zuvor von der Bank definierten Kriterien und Regeln. Da der Betroffene einen guten Schufa-Wert und ein regelmäßiges hohes Einkommen gehabt habe, seien ihm Zweifel an der automatisierten Entscheidung gekommen.
Bank verweigerte Angaben zum Scoring-Verfahren
"Die Bank machte auch auf Nachfrage lediglich pauschale und vom Einzelfall gelöste Angaben zum Scoring-Verfahren", heißt es bei der Kontrollinstanz. "Sie weigerte sich jedoch, ihm mitzuteilen, warum sie in seinem Fall von einer schlechten Bonität ausging. Der Beschwerdeführer konnte somit nicht nachvollziehen, welche Datenbasis und Faktoren der Ablehnung zugrunde lagen und anhand welcher Kriterien sein Kreditkartenantrag dementsprechend abgelehnt worden ist." So sei es ihm auch nicht möglich gewesen, das Nein aus dem Computer anzufechten. Er habe sich daher bei der Datenschutzbeauftragten beschwert.
Kamp berücksichtigte nach eigenen Angaben bei ihrem Beschluss insbesondere den hohen Umsatz der Bank sowie die vorsätzliche Ausgestaltung des Antragsprozesses und der Auskunft. Bußgeldmindernd habe sie anerkannt, dass das Unternehmen den Verstoß eingeräumt, Änderungen an den Prozessen bereits umgesetzt und weitere Verbesserungen angekündigt hat. Die DKB habe umfassend kooperiert und den Bußgeldbescheid inzwischen akzeptiert.
Auch Schufa-Scoring problematisch?
Geht es nach Priit Pikamäe, einem Generalanwalt am Europäischen Gerichtshof (EuGH), sind schon die von der Schufa errechneten Wahrscheinlichkeitswerte ("Scores") über die Bonität eines Verbrauchers nicht mit der DSGVO vereinbar. Diese sehe ein Recht der betroffenen Person vor, nicht einer ausschließlich auf automatisierter Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden. Das Scoring-Verfahren der Schufa halte diese Vorgabe nicht ein. Die Auskunftei müsse Betroffenen auch laut dem EuGH-Gutachter allgemeine Angaben, vor allem zu den Faktoren und deren Gewichtung bei der Entscheidungsfindung liefern.
(mki)
