Dieser Artikel stammt von Netzpolitik.org.Der Autor ist…
Wenn Banken alleine aufgrund von Algorithmen über ihre Kund:innen entscheiden, dann müssen sie zumindest die Kriterien und Gründe bei einer Ablehnung transparent machen. Sonst kann es ein Bußgeld geben.
Bei Computerentscheidungen müssen diese dem Kunden transparent gemacht werden. – Alle Rechte vorbehalten IMAGO / imagebrokerEine in Berlin ansässige Bank muss 300.000 Euro Bußgeld zahlen, weil sie die Hintergründe einer automatisierten Entscheidung nicht gegenüber einem Kunden transparent gemacht hat. Der Kunde hatte über ein Online-Formular eine Kreditkarte beantragt, den Antrag lehnte die Bank trotz eines guten Schufa-Scores und eines regelmäßigen hohen Einkommens mittels einer automatisierten Entscheidung ab – ausschließlich auf Grundlage von Algorithmen und ohne menschliches Eingreifen.
Eine Nachfrage des Kunden beantwortete die Bank laut der Pressemitteilung der Berliner Datenschutzbeauftragten (PDF) nur mit pauschalen und vom Einzelfall unabhängigen Angaben. Die Bank weigerte sich dabei auch zu sagen, warum sie in von einer schlechten Bonität ausging. Der Beschwerdeführer konnte deshalb nicht nachvollziehen, welche Datenbasis und welche Faktoren der Ablehnung zugrunde lagen.
Einzelfallbegründung fehlte
Ohne diese Einzelfallbegründung war es dem Kunden nicht möglich, die automatisierte Einzelentscheidung sinnvoll anzufechten. Daraufhin beschwerte er sich bei der Datenschutzbeauftragten. Die Behörde kam zum Schluss, dass die Bank in dem Fall gegen mehrere Vorschriften der Datenschutzgrundverordnung verstoßen habe – und setzte das Bußgeld fest. Dazu gehören etwa Auskunfsrechte der Person und Regeln zur automatisierten Entscheidung. Demnach müssen Maßnahmen getroffen werden, „um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren“. Dazu gehört, dass sie ihren eigenen Standpunkt darlegen und die Entscheidung anfechten können muss.
Meike Kamp, die Berliner Beauftragte für Datenschutz und Informationsfreiheit, sagt zum Fall: „Eine Bank ist verpflichtet, die Kund:innen bei der automatisierten Entscheidung über einen Kreditkartenantrag über die tragenden Gründe einer Ablehnung zu unterrichten. Hierzu zählen konkrete Informationen zur Datenbasis und den Entscheidungsfaktoren sowie die Kriterien für die Ablehnung im Einzelfall.“
Bei der Bank, die in der Pressemitteilung nicht namentlich genannt wird, soll es sich laut Heise.de um die DKB handeln. Sie hat mittlerweile Änderungen an den Prozessen umgesetzt und weitere Verbesserungen angekündigt. Das Unternehmen habe umfassend mit der Datenschutzbehörde kooperiert und den Bußgeldbescheid akzeptiert, heißt es von der Datenschutzbeauftragten.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Zur Quelle wechseln
Zur CC-Lizenz für diesen Artikel
Author: Markus Reuter
