Schlagwort: automatisierte Entscheidung

BlnBDI verhängt Bußgeld wegen mangelnder Transparenz bei automatisiertem Kreditverfahren

13. Juni 2023

Die Berliner Datenschutz- und Informationsfreiheitsbeauftragte (BlnBDI) hat eine Bank mit einer Geldstrafe von 300.000 Euro belegt, da sie intransparent in Bezug auf eine automatisierte Einzelentscheidung gehandelt hat. Die Bank verweigerte einem Kunden verständliche Informationen über die Gründe für die automatisierte Ablehnung seines Kreditkartenantrags. Das Unternehmen hat eng mit der BlnBDI zusammengearbeitet und den Bußgeldbescheid akzeptiert.

Eine automatisierte Entscheidung ist eine Entscheidung, die ausschließlich von einem IT-System auf Basis von Algorithmen und ohne menschliches Eingreifen getroffen wird. Gemäß der Datenschutz-Grundverordnung (DSGVO) gelten in solchen Fällen spezielle Transparenzpflichten. Personenbezogene Daten müssen in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden. Betroffene Personen haben das Recht, eine Erläuterung der getroffenen Entscheidung nach einer entsprechenden Bewertung zu erhalten. Wenn betroffene Personen eine Auskunft bei den Verantwortlichen beantragen, müssen diesen aussagekräftige Informationen über die involvierte Logik hinter der automatisierten Entscheidung zur Verfügung gestellt werden.

Der Sachverhalt

In diesem spezifischen Fall hat die Bank bei ihrem digitalen Kreditkartenantrag diese Vorgaben jedoch nicht beachtet. Durch ein Online-Formular forderte die Bank verschiedene Informationen über das Einkommen, den Beruf und die persönlichen Daten des Antragstellers an. Basierend auf den abgefragten Informationen und zusätzlichen Daten aus externen Quellen lehnte der Algorithmus der Bank den Antrag des Kunden ohne eine explizite Begründung ab. Der Algorithmus stützte sich dabei auf zuvor von der Bank festgelegte Kriterien und Regeln.

Aufgrund eines guten Schufa-Scores und eines regelmäßig hohen Einkommens des Kunden wurden Zweifel an der automatisierten Ablehnung laut. Obwohl der Kunde die Bank um detaillierte Informationen zum Scoring-Verfahren bat, erhielt er lediglich allgemeine und allgemeingültige Aussagen. Die Bank weigerte sich jedoch, ihm mitzuteilen, warum sie in seinem Fall von einer schlechten Bonität ausging. Der Beschwerdeführer konnte daher nicht nachvollziehen, welche Daten und Faktoren der Ablehnung zugrunde lagen und aufgrund welcher Kriterien sein Kreditkartenantrag abgelehnt wurde. Ohne diese spezifische Begründung war es ihm nicht möglich, die automatisierte Einzelentscheidung angemessen anzufechten. Infolgedessen beschwerte er sich bei der Datenschutzbeauftragten.

Nachvollziehbarkeit ausschlaggebend

Meike Kamp, die Berliner Beauftragte für Datenschutz und Informationsfreiheit, äußerte sich wie folgt: “Wenn Unternehmen automatisierte Entscheidungen treffen, müssen sie diese überzeugend und nachvollziehbar begründen. Die Betroffenen müssen in der Lage sein, die automatisierte Entscheidung nachzuvollziehen. Die Tatsache, dass die Bank in diesem Fall selbst auf Anfrage nicht transparent und nachvollziehbar über die automatisierte Ablehnung informiert hat, führt zu einer Geldstrafe. Eine Bank ist verpflichtet, die Kund:innen über die maßgeblichen Gründe für die Ablehnung eines Kreditkartenantrags im Zusammenhang mit automatisierten Entscheidungen zu informieren. Dies umfasst konkrete Informationen zur Datenbasis, den Entscheidungsfaktoren und den Kriterien für die Ablehnung in Einzelfällen.”

Die Datenschutzbeauftragte stellte fest, dass die Bank in diesem konkreten Fall gegen Art. 22 III, Art. 5 I lit. a und Art. 15 I DSGVO verstoßen hat. Bei der Festlegung der Höhe des Bußgeldes berücksichtigte die BlnBDI insbesondere den hohen Umsatz der Bank sowie die absichtliche Ausgestaltung des Antragsprozesses und der Informationserteilung. Als mildernden Umstand bewertet wurde unter anderem, dass das Unternehmen den Verstoß eingeräumt hat, bereits Änderungen an den Prozessen umgesetzt hat und weitere Verbesserungen angekündigt hat.

 

Ist Schufa-Scoring eine automatisierte Entscheidung nach Art. 22 Abs. 1 DSGVO?

9. März 2023

Handelt es sich bei der Erstellung eines Scoring-Wertes durch die deutsche Wirtschaftsauskunftei „Schufa“ um eine automatisierte Entscheidung nach Art. 22 Abs. 1 Datenschutz-Grundverordnung (DSGVO)? Unter anderem diese Frage möchte das VG Wiesbaden im Rahmen des Vorabentscheidungsersuchens (Rs. C-634/21) vom Europäischen Gerichtshof (EuGH) beantworten lassen. Zu diesem Zweck verhandelt der EuGH derzeit und wird voraussichtlich in diesem Jahr eine Entscheidung erlassen.

Scoring

Hintergrund der Entscheidung ist das Scoring der Klägerin, das Anlass für ein Kreditinstitut gewesen sei, die Vergabe eines Kredites zu untersagen. Mit Hilfe des Scorings legt die Schufa einen Wahrscheinlichkeitswert fest. Dieser bestimmt die Fähigkeit einer Person, künftige Kredite oder Verträge einzuhalten und zurückzuzahlen. Hierzu verwendet die Schufa ein mathematisch-statistisches Verfahren. Die betroffene Person wird dabei auf Grund verschiedener Merkmale einer Personengruppe zugeordnet. Aufgrund von Erfahrungswerten ordnet die Schufa den entsprechenden Personengruppen ein erwartbares Verhalten zu. Die Kreditwürdigkeit der betroffenen Person richtet sich folglich nach der Personengruppe, der sie zugeordnet wird.

Dabei ist allerdings unklar, welche Merkmale die Schufa zur Berechnung der Bonität und welches mathematisch-statistische Verfahren sie verwendet.

Automatisierte Entscheidung

Aus Sicht des VG Wiesbaden ist fraglich, ob die Feststellung des Wahrscheinlichkeitswertes, eine automatisierte Entscheidung, bzw. sog. Profiling iSd Art. 22 Abs. 1 DSGVO darstellt. In diesem Fall sei das Scoring an den Voraussetzungen der Art. 22 Abs. 2 lit. b DSGVO iVm § 31 BDSG zu messen.

Das Gericht stellte zunächst fest, dass mit der Feststellung des Wahrscheinlichkeitswertes die Schufa eine eigenständige Entscheidung treffe. Diese beschließe die Schufa als Verantwortlicher iSd Art. 4 Abs. 7 DSGVO. Insoweit bereite die Schufa nicht lediglich die Entscheidung eines Dritten durch vorbereitendes Profiling vor. Stattdessen diene die Entscheidung der Schufa als Grundlage der Entscheidung eines Dritten. Dabei gebe die Schufa den Scoring-Wert ohne Handlungsempfehlung weiter, sodass Kreditinstitute oder andere Einrichtungen über die Begründung, Durchführung und Beendigung eines Vertragsverhältnisses entscheiden könnten.

Darüber hinaus verarbeite die Schufa die personenbezogenen Daten der betroffenen Person so, dass „diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten“ iSd Art. 4 Nr. 4 DSGVO. Folglich liege hier das sog. Profiling und somit eine automatisierte Entscheidung iSd Art. 22 DSGVO vor. Insoweit sei es ausschlaggebend, dass unter dem Profiling nach Erw.Gr. 71 S. 2 DSGVO auch „die Analyse oder Prognose von Aspekten bezüglich der wirtschaftlichen Lage, der Zuverlässigkeit oder des Verhaltens einer Person zu verstehen seien.“ (VG Wiesbaden, Vorabentscheidungsersuchen, Rs. C-634/21, Rn.19).

Fazit

Demnach sei nach Ansicht des Gerichts, soweit das Scoring unter Art. 22 DSGVO falle, eine eigenständige Rechtsgrundlage nach 22 Abs. 2 lit. b DSGVO erforderlich. Aus Sicht des Gerichts komme grundsätzlich § 31 BDSG hierfür in Betracht.