Automatisierte Entscheidungen gehören zum Alltag der Finanzwirtschaft. Gerade bei Kredit- oder Kartenanträgen kommen vielfach algorithmische Bewertungssysteme zum Einsatz, die Anträge innerhalb weniger Sekunden prüfen und bewerten. Für Betroffene stellt sich dabei regelmäßig die Frage, nach welchen Kriterien eine Entscheidung getroffen wurde und welche Informationen Unternehmen hierzu offenlegen müssen.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat hierzu im Tätigkeitsbericht 2025 sowie in begleitenden Veröffentlichungen einen Fall aufgegriffen, der exemplarisch verdeutlicht, welche Anforderungen die DSGVO an Transparenz und Auskunft bei automatisierten Entscheidungen stellt.
Sanktion wegen Verstößen bei automatisierten Entscheidungen
Im Berichtszeitraum verhängte der HmbBfDI ein Bußgeld im mittleren sechsstelligen Bereich gegen ein Unternehmen aus der Finanzwirtschaft. Anlass waren mehrere automatisierte Entscheidungen über Kreditkartenanträge. Die Anträge betroffener Kundinnen und Kunden waren trotz guter Bonität automatisiert abgelehnt worden.
Nach Darstellung der Aufsichtsbehörde erfolgten die Entscheidungen auf Grundlage algorithmischer Verfahren ohne menschliches Eingreifen.
Problematisch war aus Sicht der Behörde jedoch nicht der Einsatz automatisierter Verfahren als solcher, sondern insbesondere der Umgang des Unternehmens mit anschließenden Informations- und Auskunftsersuchen. Nachdem Betroffene eine nachvollziehbare Begründung für die Ablehnung ihrer Anträge verlangt hatten, erfüllte das Unternehmen die gesetzlichen Anforderungen nach Auffassung des HmbBfDI nicht ausreichend.
Der datenschutzrechtliche Anknüpfungspunkt
Die Sanktion knüpft an die besonderen Vorgaben der DSGVO für automatisierte Einzelentscheidungen an. Solche Verfahren gelten als besonders eingriffsintensiv, weil Entscheidungen mit erheblichen Auswirkungen für Betroffene ausschließlich maschinell getroffen werden können.
Vor diesem Hintergrund stellt die DSGVO erhöhte Anforderungen sowohl an die Rechtmäßigkeit der Verarbeitung als auch an Transparenz und Betroffenenrechte. Hierzu zählt insbesondere die Pflicht, betroffenen Personen aussagekräftige Informationen über die involvierte Logik der Entscheidung bereitzustellen.
Gerade bei automatisierten Ablehnungen von Kreditkartenanträgen genügt es daher nicht, lediglich das Ergebnis mitzuteilen. Vielmehr müssen Unternehmen in der Lage sein, die tragenden Entscheidungsgrundlagen in verständlicher Form zu erläutern.
Der Fall zeigt deutlich, dass Informations- und Auskunftspflichten bei algorithmischen Entscheidungen nicht als bloße Formalität verstanden werden dürfen. Ihre praktische Bedeutung steigt vielmehr gerade dort, wo automatisierte Verfahren unmittelbare Auswirkungen auf einzelne Personen entfalten.
Einordnung im Kontext des Tätigkeitsberichts
Die Sanktion fügt sich in die allgemeinen Schwerpunkte des Tätigkeitsberichts ein, der erneut die Bedeutung von Transparenzpflichten und Betroffenenrechten hervorhebt. Der HmbBfDI macht deutlich, dass Unternehmen auf entsprechende Auskunftsersuchen angemessen reagieren müssen und Defizite in diesem Bereich konsequent sanktioniert werden.
Zugleich zeigt der Bericht, dass automatisierte Entscheidungsverfahren weiterhin als besonders sensibler Bereich betrachtet werden. Neben klassischen Datenschutzverstößen richtet sich die regulatorische Aufmerksamkeit zunehmend auf die Nachvollziehbarkeit algorithmischer Prozesse und die praktische Umsetzung von Betroffenenrechten in digitalisierten Entscheidungsabläufen.
Fazit
Der Fall aus dem Tätigkeitsbericht 2025 verdeutlicht, dass automatisierte Entscheidungen im Finanzsektor nicht nur an materiellen Zulässigkeitsvoraussetzungen gemessen werden, sondern zugleich erhöhte Anforderungen an Transparenz und Auskunft auslösen.
Unternehmen müssen in der Lage sein, Betroffenen nachvollziehbare Informationen über automatisierte Entscheidungsprozesse bereitzustellen. Der HmbBfDI macht mit der Sanktion deutlich, dass Defizite bei der Erfüllung dieser Pflichten auch unabhängig von der eigentlichen Entscheidungslogik bußgeldrechtliche Konsequenzen nach sich ziehen können.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
