DSGVO-Verstoß: Bank muss wegen automatisierter Kreditabsage zahlen

Die Berliner Datenschutzbehörde hat gegen die Deutsche Kreditbank ein Bußgeld von 300.000 Euro verhängt, weil der Computer einen Kreditantrag einfach ablehnte.

Mangelnde Aufklärung rund um die automatisierte Ablehnung eines Antrags auf Erhalt einer Kreditkarte kommt die Deutsche Kreditbank (DKB) teuer zu stehen. Die Berliner Datenschutzbeauftragte Meike Kamp hat die in der Hauptstadt sitzende Tochter der Bayerischen Landesbank dazu verdonnert, wegen Verstoß gegen die Transparenzpflichten in der Datenschutz-Grundverordnung (DSGVO) ein Bußgeld in Höhe von 300.000 Euro zu zahlen. "Wenn Unternehmen automatisiert Entscheidungen treffen, sind sie verpflichtet, diese stichhaltig und nachvollziehbar zu begründen", erklärte die Kontrolleurin.

Die Betroffenen müssten in der Lage sein, den Vorgang nachzuvollziehen. Dazu zählen konkrete Informationen zur Datenbasis und den Entscheidungsfaktoren sowie die Kriterien für die Ablehnung im Einzelfall.
Im DKB-Fall fragte das Finanzhaus bei einem digitalen Ersuchen nach einer Kreditkarte über ein Online-Formular verschiedene Daten über Einkommen, Beruf und Personalien des Antragstellers ab. Anhand dieser Informationen und zusätzlicher Daten aus externen Quellen lehnte der Algorithmus das Begehr des Kunden ohne besondere Begründung ab. Das System basierte laut Aufsichtsbehörde auf zuvor von der Bank definierten Kriterien und Regeln. Da der Betroffene einen guten Schufa-Wert und ein regelmäßiges hohes Einkommen gehabt habe, seien ihm Zweifel an der automatisierten Entscheidung gekommen.

"Die Bank machte auch auf Nachfrage lediglich pauschale und vom Einzelfall gelöste Angaben zum Scoring-Verfahren", heißt es bei der Kontrollinstanz. "Sie weigerte sich jedoch, ihm mitzuteilen, warum sie in seinem Fall von einer schlechten Bonität ausging. Der Beschwerdeführer konnte somit nicht nachvollziehen, welche Datenbasis und Faktoren der Ablehnung zugrunde lagen und anhand welcher Kriterien sein Kreditkartenantrag dementsprechend abgelehnt worden ist." So sei es ihm auch nicht möglich gewesen, das Nein aus dem Computer anzufechten. Er habe sich daher bei der Datenschutzbeauftragten beschwert.

Weiterlesen:

https://www.heise.de/news/DSGVO-Verstoss...en-9103167.html