Mit einem guten Schufa-Score und einem regelmäßigen hohen Einkommen dürfte beim Antrag auf eine Kreditkarte wohl nichts falsch laufen, mag man meinen – doch manchmal wird man eines Besseren belehrt.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit berichtet aktuell über einen Fall, in dem sie ein hohes Bußgeld verhängt hat: 300.000 Euro soll eine Bank nun zahlen. Nicht, weil sie den Antrag des Kunden abgelehnt hat, sondern weil sie diese Entscheidung nicht begründen wollte. Hierauf haben Betroffene laut der DSGVO allerdings einen Anspruch, wenn die besagte Entscheidung automatisiert erfolgt.
„Computer sagt nein“: Kreditkartenantrag automatisiert abgelehnt
„Wenn Unternehmen automatisiert Entscheidungen treffen, sind sie verpflichtet, diese stichhaltig und nachvollziehbar zu begründen. Die Betroffenen müssen in der Lage sein, die automatische Entscheidung nachzuvollziehen“ sagt Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit in ihrer Pressemitteilung mit dem Titel „Computer sagt nein“.
Dabei spricht man von einer automatisierten Entscheidungsfindung, wenn diese ohne jegliches menschliches Eingreifen geschieht. Tatsächlich ist solch ein Verfahren, einschließlich des Profilings, sogar grundsätzlich unzulässig, wenn sie der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Allerdings räumt die DSGVO Ausnahmen ein, etwa wenn diese Form der Verarbeitung für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist oder die betroffene Person ausdrücklich einwilligt.
Verarbeitung muss für betroffene Person nachvollziehbar sein
Der Verarbeiter muss dann allerdings weitere Pflichten berücksichtigen, wie es sich auch in diesem Fall zeigt. Personenbezogene Daten, teilt die Berliner Datenschutzbeauftragte mit, müssten in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden. Dabei haben Betroffene auch einen Anspruch auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung. Das umfasse, dass der Verantwortliche aussagekräftige Informationen über die Logik hinter der automatisierten Entscheidung mitteilen muss, wenn Betroffene eine entsprechende Auskunft beantragen.
Praktisch kann das in Zeiten künstlicher Intelligenzen kompliziert werden, wenn selbst dem Verwender der KI der Weg, den das System zur Entscheidung genommen hat, manchmal kaum bis gar nicht zugänglich ist.
Bank erteilte auch auf Anfrage keine konkreten Auskünfte
In diesem Fall nun blieb die Reaktion der Bank auf das Auskunftsverlangen des Kunden aber offenbar verhalten. Zuvor hatte sie im Zuge seines Antrags verschiedene Daten abgefragt, etwa zu Einkommen, Beruf und Personalien. Die Ablehnung erfolgte auf Basis dieser Informationen und weiteren Daten aus externen Quellen, und ohne besondere Begründung. Der Algorithmus basierte dabei auf Kriterien und Regeln, die die Bank zuvor definiert hatte.
Beim Kunden kamen angesichts eines guten Schufa-Scores und eines regelmäßigen hohen Einkommens Zweifel an der automatisierten Ablehnung auf. Auch auf Nachfrage erhielt er von der Bank allerdings nur pauschale Angaben zum Verfahren. Warum sie davon von einer schlechten Bonität ausging, verweigerte die Bank dem Kunden. Für den war es dann logischerweise auch schwierig, die Entscheidung der Bank anzufechten, konnte er so doch überhaupt nicht abschätzen, welche Daten und Faktoren der Ablehnung zugrunde lagen und welche Kriterien zur Ablehnung selbst führten. Daraufhin beschwerte er sich bei der Berliner Datenschutzbeauftragten.
Bußgeldbescheid akzeptiert
„Dass die Bank auch auf Anfrage nicht transparent und nachvollziehbar über die automatisierte Ablehnung informiert hat, hat ein Bußgeld zur Folge“, so Meike Kamp. „Eine Bank ist verpflichtet, die Kund:innen bei der automatisierten Entscheidung über einen Kreditkartenantrag über die tragenden Gründe einer Ablehnung zu unterrichten. Hierzu zählen konkrete Informationen zur Datenbasis und den Entscheidungsfaktoren sowie die Kriterien für die Ablehnung im Einzelfall“, heißt es weiter von der Berliner Datenschutzbeauftragten.
Bei der Bußgeldbemessung wurden insbesondere der hohe Umsatz der Bank sowie die vorsätzliche Ausgestaltung des Antragsprozesses und der Auskunft berücksichtigt. Mindernd wurde unter anderem berücksichtigt, dass das Unternehmen den Verstoß einräumte und Änderungen an den Prozessen bereits umgesetzt hat. Auch weitere Verbesserungen seien angekündigt worden.
Kommentar schreiben