Verstöße gegen die Datenschutzgrundverordnung (DSGVO) können teuer werden. Das musste nun auch eine Direktbank erfahren, die ein Bußgeld in Höhe von 300.000 Euro zahlen muss.
Die Datenschutzgrundverordnung – kurz DSGVO – ist kein zahnloser Papiertiger. Das müssen immer mehr Unternehmen erfahren, die wegen Verstößen gegen die DSGVO zur Kasse gebeten werden. Dabei sind die Behörden gehalten, Bußgelder zu verhängen, die spürbar sind, so die Wirtschaftskanzlei MTR Legal Rechtsanwälte , die u.a. im IT Recht und Datenschutz berät.
Im vorliegenden Fall hat der Berliner Beauftrage für Datenschutz und Informationsfreiheit (BInBDI) ein Bußgeld gegen eine Bank wegen mangelnder Transparenz bei automatisierten Entscheidungen verhängt. Gemeint sind Entscheidungen, die ohne menschliches Eingreifen von einem IT-System auf der Basis von Algorithmen getroffen werden. Nach der DSGVO gelten für solche Mechanismen spezielle Transparenzpflichten, die die Bank nicht eingehalten hat.
Konkret ging es um einen Kreditantrag, den die Bank auf Basis von Algorithmen bearbeitet hat. Dabei muss der Antragsteller u.a. Angaben zu Beruf, Einkommen und Personalien machen. Der Algorithmus traf aufgrund dieser und weiterer Daten eine automatisierte Entscheidung und lehnte den Antrag ohne weitere Begründung ab. Der Kunde war über die Ablehnung erstaunt, da er über ein regelmäßiges hohes Einkommen und einen guten Schufa-Score verfügt. Er fragte daher bei der Bank nach, warum es zu der Ablehnung gekommen ist.
Die Bank machte jedoch nur allgemeine Angaben zum Scoring-Verfahren, ohne auf den Einzelfall einzugehen. Der Kunde konnte somit nicht nachvollziehen auf Basis welcher Daten und Faktoren, seine Bonität schlecht bewertet und der Antrag abgelehnt wurde. Seine Beschwerde beim Berliner Datenschutzbeauftragen hatte jedoch Erfolg.
Bei automatisierten Entscheidungen sind Unternehmen verpflichtet, diese stichhaltig und nachvollziehbar zu begründen. Die Bank hätte über die wesentlichen Gründe für die Ablehnung informieren müssen. Dies habe sie aber auch auf Anfrage nicht transparent und nachvollziehbar getan. Damit habe sie laut Datenschutzbeauftragten gegen Art. 22 Abs. 3, Art. 5 Abs. 1 lit. a und Art. 15 Abs. 1 lit. h DSGVO verstoßen.
MTR Legal Rechtsanwälte beraten in Fragen des IT Rechts und des Datenschutzes.
Nehmen Sie Kontakt auf!
