Aktuelles, Experten - geschrieben von dp am Mittwoch, Mai 31, 2023 13:27 - noch keine Kommentare
300.000 Euro Bußgeld gegen Bank: Computer sagte nein zu Kreditkartenantrag
Berliner Beauftragte für Datenschutz und Informationsfreiheit ahndet mangelnde Transparenz einer Bank bei automatisierter Ablehnung
[datensicherheit.de, 31.05.2023] Laut einer aktuellen Meldung der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) wurde von ihr gegen eine Bank ein Bußgeld in Höhe von 300.000 Euro „wegen mangelnder Transparenz über eine automatisierte Einzelentscheidung“ verhängt. Diese Bank hatte sich demnach geweigert, einem Kunden nachvollziehbare Auskünfte über die Gründe der automatisierten Ablehnung eines Kreditkartenantrags zu erteilen. Die BlnBDI hat nach eigenen Angaben festgestellt, „dass die Bank in dem konkreten Fall gegen Art. 22 Abs. 3, Art. 5 Abs. 1 lit. a und Art. 15 Abs. 1 lit. h DSGVO verstoßen hat“. Bei der Bußgeldzumessung habe die BlnBDI insbesondere den hohen Umsatz der Bank sowie die vorsätzliche Ausgestaltung des Antragsprozesses und der Auskunft berücksichtigt. Als bußgeldmindernd sei u.a. eingestuft worden, dass das Unternehmen den Verstoß eingeräumt sowie Änderungen an den Prozessen bereits umgesetzt und weitere Verbesserungen angekündigt habe – das Unternehmen habe umfassend mit der BlnBDI kooperiert und den Bußgeldbescheid akzeptiert.
Banken müssen aussagekräftige Informationen über involvierte Logik geben
Bei einer automatisierten Entscheidung urteilt ein IT-System ausschließlich auf Grundlage von Algorithmen – ohne menschliches Eingreifen. Für diesen Fall sieht die Datenschutz-Grundverordnung (DSGVO) laut BlnBDI spezielle Transparenzpflichten vor. So müssten personenbezogenen Daten in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden. Betroffene Personen hätten zudem einen Anspruch auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung. „Beantragen betroffene Personen bei den Verantwortlichen eine Auskunft, müssen diese aussagekräftige Informationen über die involvierte Logik hinter der automatisierten Entscheidung erteilen.“
In diesem Fall habe die Bank dies jedoch bei ihrem digitalen Antrag für eine Kreditkarte nicht beherzigt. Über ein Online-Formular habe die Bank verschiedene Daten über Einkommen, Beruf und Personalien des Antragstellers abgefragt. Anhand dieser abgefragten Informationen und zusätzlicher Daten aus externen Quellen habe der Bank-Algorithmus den Antrag des Kunden ohne besondere Begründung abgelehnt. Der Algorithmus basiere auf zuvor von der Bank definierten Kriterien und Regeln.
Bank hatte auf Nachfrage lediglich pauschale und vom Einzelfall gelöste Angaben zum Scoring-Verfahren gemacht
„Da der Kunde einen guten Schufa-Score und ein regelmäßiges hohes Einkommen hatte, bezweifelte er die automatisierte Ablehnung.“ Die Bank habe auch auf Nachfrage lediglich pauschale und vom Einzelfall gelöste Angaben zum Scoring-Verfahren gemacht, sich jedoch geweigert, ihm mitzuteilen, „warum sie in seinem Fall von einer schlechten Bonität ausging“. Der Beschwerdeführer habe somit nicht nachvollziehen können, „welche Datenbasis und Faktoren der Ablehnung zugrunde lagen und anhand welcher Kriterien sein Kreditkartenantrag dementsprechend abgelehnt worden ist“. Ohne diese Einzelfallbegründung sei es ihm aber auch nicht möglich gewesen, die automatisierte Einzelentscheidung sinnvoll anzufechten. Daraufhin habe er sich bei der BlnBDI beschwert.
„Wenn Unternehmen automatisiert Entscheidungen treffen, sind sie verpflichtet, diese stichhaltig und nachvollziehbar zu begründen. Die Betroffenen müssen in der Lage sein, die automatisierte Entscheidung nachzuvollziehen“, kommentiert Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit. Dass die Bank in diesem Fall auch auf Anfrage nicht transparent und nachvollziehbar über die automatisierte Ablehnung informiert habe, „hat ein Bußgeld zur Folge“. Eine Bank sei verpflichtet, die Kunden bei der automatisierten Entscheidung über einen Kreditkartenantrag über die tragenden Gründe einer Ablehnung zu unterrichten. „Hierzu zählen konkrete Informationen zur Datenbasis und den Entscheidungsfaktoren sowie die Kriterien für die Ablehnung im Einzelfall“, betont Kamp.
Aktuelles, Experten, Veranstaltungen - Okt 14, 2024 20:41 - noch keine Kommentare
Politisches Herbstforum der BfDI: Daten im Dienst der Patienten
weitere Beiträge in Experten
- ELITE 2.0 Wanderzirkus: OT-Awareness für KMU am 16. Oktober 2024
- Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
- BigBrotherAwards 2024 an Deutsche Bahn, Karl Lauterbach, Sachsens Innenminister, Shein und Temu sowie Technikpaternalismus
- Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
Aktuelles, Branche - Okt 24, 2024 19:11 - noch keine Kommentare
NIS-2 entfaltet Wirkung: Cyber-Resilienz plötzlich brennendes Thema im Top-Management
weitere Beiträge in Branche
- CRA-Verabschiedung ein Paradigmenwechsel für die Produkt-Cyber-Sicherheit
- Lazarus stahl Krypto-Währungen mittels Spyware: Kaspersky warnte Google vor Zero-Day-Exploit in Chrome
- Rückblicke und Ausblicke zur it-sa: Viel erreicht – und noch viel vor
- Konzeption einer Cyber-Sicherheitsstrategie – Dr. Martin Krämer zieht Lehren aus Bletchley Park
- it-sa Expo&Congress 2024 in Nürnberg mit reger Nachfrage gestartet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren