Auf einen Blick
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat gegen eine Bank ein Bußgeld von 300.000 Euro verhängt, da die Bank bei der automatisierten Ablehnung eines Kreditkartenantrags keine transparenten Auskünfte über die Entscheidungsgründe erteilte. Trotz gutem Schufa-Score und regelmäßigem hohen Einkommen erhielt der Kunde keine individuelle Begründung für die Ablehnung durch den Bank-Algorithmus. Die Bank verletzte damit die Transparenzpflichten der Datenschutzgrundverordnung (DSGVO). Die Datenschutzbeauftragte betonte die Notwendigkeit, automatisierte Entscheidungen nachvollziehbar zu begründen, damit Betroffene in der Lage sind, diese zu verstehen und gegebenenfalls anzufechten. Der Verstoß gegen Art. 22 Abs. 3, Art. 5 Abs. 1 lit. a und Art. 15 Abs. 1 lit. h DSGVO führte zu dem Bußgeld. Das Unternehmen hat den Verstoß eingeräumt und Prozessänderungen sowie weitere Verbesserungen angekündigt.[1][2]
Rechtliche Probleme
Wenn Algorithmen und KI dazu eingesetzt werden, automatisiert Einzelfall-Entscheidungen über natürliche Personen zu treffen, muss neben einer Verarbeitungsgrundlage nach Art. 6 bzw. 9 DSGVO auch die Regelung des Art. 22 DSGVO beachtet werden. Dieser sieht vor, dass der Verantwortliche die Transparenz und Fairness der Verarbeitung sicherzustellen hat und der Standpunkt des Verantwortlichen dargelegt wird. Im Zusammenspiel mit Art. 15 DSGVO ergibt sich daraus, dass eine solche Entscheidung also auch darzulegen ist.[3]
Hinweise für die Praxis
- Kontrollieren Sie Prozesse auf die Verarbeitung personenbezogener Daten.
- Vermeiden Sie automatisierte Einzelfallentscheidungen. Sollten diese nicht vermeidbar sein, stellen Sie sicher, dass der zugrundeliegende Entscheidungsprozess erklärt werden kann.
- Denken Sie Daten- und Systemsicherheit bereits bei der Einführung von neuen Technologien mit.
Referenzen
- S. Krempl, „DSGVO-Verstoß: Bank muss wegen automatisierter Kreditabsage zahlen“, heise online. Zugegriffen: 9. November 2023. [Online]. Verfügbar unter: https://www.heise.de/news/DSGVO-Verstoss-Berliner-Bank-muss-wegen-automatisierter-Kreditabsage-zahlen-9103167.html
- Berliner Beauftragte für Datenschutz und und Informationsfreiheit (BlnBDI), „Computer sagt Nein“. Zugegriffen: 9. November 2023. [Online]. Verfügbar unter: https://www.datenschutz-berlin.de/pressemitteilung/computer-sagt-nein/
- M. Martini, „DS-GVO Art. 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling“, Beck´sche Kompakt-Kommentare Datenschutz-Grundverordnung Bundesdatenschutzgesetz. 2021. Rn. 39d.