Aktuelles, Experten - geschrieben von dp am Mittwoch, Mai 31, 2023 13:27 - noch keine Kommentare
300.000 Euro Bußgeld gegen Bank: Computer sagte nein zu Kreditkartenantrag
Berliner Beauftragte für Datenschutz und Informationsfreiheit ahndet mangelnde Transparenz einer Bank bei automatisierter Ablehnung
[datensicherheit.de, 31.05.2023] Laut einer aktuellen Meldung der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) wurde von ihr gegen eine Bank ein Bußgeld in Höhe von 300.000 Euro „wegen mangelnder Transparenz über eine automatisierte Einzelentscheidung“ verhängt. Diese Bank hatte sich demnach geweigert, einem Kunden nachvollziehbare Auskünfte über die Gründe der automatisierten Ablehnung eines Kreditkartenantrags zu erteilen. Die BlnBDI hat nach eigenen Angaben festgestellt, „dass die Bank in dem konkreten Fall gegen Art. 22 Abs. 3, Art. 5 Abs. 1 lit. a und Art. 15 Abs. 1 lit. h DSGVO verstoßen hat“. Bei der Bußgeldzumessung habe die BlnBDI insbesondere den hohen Umsatz der Bank sowie die vorsätzliche Ausgestaltung des Antragsprozesses und der Auskunft berücksichtigt. Als bußgeldmindernd sei u.a. eingestuft worden, dass das Unternehmen den Verstoß eingeräumt sowie Änderungen an den Prozessen bereits umgesetzt und weitere Verbesserungen angekündigt habe – das Unternehmen habe umfassend mit der BlnBDI kooperiert und den Bußgeldbescheid akzeptiert.
Banken müssen aussagekräftige Informationen über involvierte Logik geben
Bei einer automatisierten Entscheidung urteilt ein IT-System ausschließlich auf Grundlage von Algorithmen – ohne menschliches Eingreifen. Für diesen Fall sieht die Datenschutz-Grundverordnung (DSGVO) laut BlnBDI spezielle Transparenzpflichten vor. So müssten personenbezogenen Daten in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden. Betroffene Personen hätten zudem einen Anspruch auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung. „Beantragen betroffene Personen bei den Verantwortlichen eine Auskunft, müssen diese aussagekräftige Informationen über die involvierte Logik hinter der automatisierten Entscheidung erteilen.“
In diesem Fall habe die Bank dies jedoch bei ihrem digitalen Antrag für eine Kreditkarte nicht beherzigt. Über ein Online-Formular habe die Bank verschiedene Daten über Einkommen, Beruf und Personalien des Antragstellers abgefragt. Anhand dieser abgefragten Informationen und zusätzlicher Daten aus externen Quellen habe der Bank-Algorithmus den Antrag des Kunden ohne besondere Begründung abgelehnt. Der Algorithmus basiere auf zuvor von der Bank definierten Kriterien und Regeln.
Bank hatte auf Nachfrage lediglich pauschale und vom Einzelfall gelöste Angaben zum Scoring-Verfahren gemacht
„Da der Kunde einen guten Schufa-Score und ein regelmäßiges hohes Einkommen hatte, bezweifelte er die automatisierte Ablehnung.“ Die Bank habe auch auf Nachfrage lediglich pauschale und vom Einzelfall gelöste Angaben zum Scoring-Verfahren gemacht, sich jedoch geweigert, ihm mitzuteilen, „warum sie in seinem Fall von einer schlechten Bonität ausging“. Der Beschwerdeführer habe somit nicht nachvollziehen können, „welche Datenbasis und Faktoren der Ablehnung zugrunde lagen und anhand welcher Kriterien sein Kreditkartenantrag dementsprechend abgelehnt worden ist“. Ohne diese Einzelfallbegründung sei es ihm aber auch nicht möglich gewesen, die automatisierte Einzelentscheidung sinnvoll anzufechten. Daraufhin habe er sich bei der BlnBDI beschwert.
„Wenn Unternehmen automatisiert Entscheidungen treffen, sind sie verpflichtet, diese stichhaltig und nachvollziehbar zu begründen. Die Betroffenen müssen in der Lage sein, die automatisierte Entscheidung nachzuvollziehen“, kommentiert Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit. Dass die Bank in diesem Fall auch auf Anfrage nicht transparent und nachvollziehbar über die automatisierte Ablehnung informiert habe, „hat ein Bußgeld zur Folge“. Eine Bank sei verpflichtet, die Kunden bei der automatisierten Entscheidung über einen Kreditkartenantrag über die tragenden Gründe einer Ablehnung zu unterrichten. „Hierzu zählen konkrete Informationen zur Datenbasis und den Entscheidungsfaktoren sowie die Kriterien für die Ablehnung im Einzelfall“, betont Kamp.
Aktuelles, Experten, Studien - Sep 22, 2023 10:40 - noch keine Kommentare
Internet-Verfügbarkeit: Noch 3 Milliarden Menschen weltweit ohne Zugang
weitere Beiträge in Experten
- Registermodernisierung: Von der Steuer-Identifikationsnummer zur Bund ID
- collect and connect: Veranstaltungsreihe zu Berlins kulturellem Digital-Erbe
- BVSW Cyberherbst 2023 soll Unternehmen helfen, Risiken zu erkennen und sich zu schützen
- KRITIS und Risikomanagement: Hybrid-Veranstaltung am 20. September 2023
- Bundesdatenschutzgesetz: Novelle sieht Datenschutzkonferenz als etabliertes Format an
Branche, Aktuelles, Studien - Sep 21, 2023 12:32 - noch keine Kommentare
Web-Anwendungen laut CyCognito-Studie großes Risiko für Unternehmen
weitere Beiträge in Branche
- Digitalisierung und Vernetzung: IT-Security als Wegbereiter
- Gefahren für Politik und Demokratie: Optimierung von Deepfakes mittels KI
- Muddled Libra wird spektakulärer Cyber-Angriff auf MGM Resorts in Las Vegas zugeschrieben
- Cloud: Rückverlagerung von Daten nimmt an Bedeutung zu
- Cyber-Kriminalität in Deutschland: Für 2023 wieder Schäden im Wert von über 200 Milliarden Euro erwartet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren