Mit einem regelmäßigen, hohen Einkommen und einem guten Schufa-Score sollte beim Antrag auf eine Kreditkarte eigentlich nichts falsch laufen und mit einer Ablehnung ist eigentlich auch nicht zu rechnen. Ein Antragsteller wurde jedoch eines Besseren belehrt. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BInBDI) berichtet in einer Pressemitteilung vom 31.05.2023 über einen aktuellen Fall.
Der Inhalt im Überblick
Bußgeld wegen mangelnder Transparenz
Ein Bußgeld in Höhe von 300.000 € verhängte die BInBDI gegen eine Bank. Grund hierfür ist aber tatsächlich nicht die Ablehnung eines Antrags, sondern mangelnde Transparenz über eine automatisierte Einzelentscheidung. In der Sache hat die Bank umfassend mit der BInBDI kooperiert und den Bußgeldbescheid akzeptiert. Es wird daher kein Einspruch gegen den Bußgeldbescheid erfolgen.
Was ist überhaupt passiert?
Im vorliegenden Fall beantragte der Betroffene eine Kreditkarte bei der gegenständlichen Bank. Mittels Online-Formular fragte die Bank verschiedene Daten über Einkommen, Beruf und Personalien des Antragstellers ab. Anhand der abgefragten Informationen und zusätzlicher Daten aus externen Quellen lehnte ein Algorithmus der Bank den Antrag des Kunden ohne besondere Begründung ab. Der Algorithmus basiert auf zuvor von der Bank definierten Kriterien und Regeln.
Aufgrund seines guten Schufa-Scores und eines regelmäßig hohen Einkommens, bezweifelte der Kunde die automatisierte Ablehnung. Die Bank äußerte sich auf Nachfrage seinerseits lediglich pauschal und vom Einzelfall gelöst zum Scoring-Verfahren. Sie weigerte sich jedoch ihm mitzuteilen, warum sie in seinem Fall von einer schlechten Bonität ausging.
Der Beschwerdeführer konnte daher aufgrund der fehlenden Einzelfallbegründung nicht nachvollziehen, welche Datenbasis und Faktoren der Ablehnung zugrunde lagen und anhand welcher Kriterien sein Kreditkartenantrag dementsprechend abgelehnt worden ist. Ohne diese Einzelfallbegründung war es ihm nicht möglich, die automatisierte Einzelentscheidung sinnvoll anzufechten. Daher legte er Beschwerde bei der BInBDI ein.
Was ist eine automatisierte Entscheidung?
Unter einer automatisierten Entscheidung ist eine Entscheidung zu verstehen, die ein IT-System ausschließlich auf Grundlage von Algorithmen und ohne menschliches Eingreifen trifft. Sie können sogar ohne Profiling vorgenommen werden. Beispiele für eine derartige Verarbeitung, welche die DSGVO erwähnt, sind die automatische Ablehnung eines Online-Kreditantrags oder ein Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen.
Transparenzpflicht aus der DSGVO
Für einen solchen Fall sieht die DSGVO in ihren Vorschriften spezielle Transparenzpflichten vor. Grundsätzlich müssen alle personenbezogenen Daten in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Das ergibt sich aus Art. 5 Abs. 1 lit. a DSGVO:
„Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
Sie haben ferner einen Anspruch darauf, dass Ihnen erläutert wird, wie eine entsprechende Bewertung getroffen wurde. Art. 15 Abs. 1 lit. h DSGVO besagt:
„Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
(..) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.“
Beantragen betroffene Personen bei den Verantwortlichen eine Auskunft, muss diese aussagekräftige Informationen über die involvierte Logik hinter der automatisierten Entscheidung enthalten. Ihnen muss eine Grundlage gegeben werden, mittels derer u.a. eine Anfechtung der Entscheidung möglich gemacht wird. Dazu heißt es im Art. 22 Abs. 3 DSGVO:
„In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.“
Entscheidung im vorliegenden Fall
Im vorliegenden Fall beherzigte die Bank die Transparenzpflicht gegenüber dem Betroffenen bei ihrem digitalen Antrag für eine Kreditkarte nicht. Die Datenschutzbeauftragte stellte in dem konkreten Fall fest, dass die Bank daher gegen Art. 22 Abs. 3, Art. 5 Abs. 1 lit. a und Art. 15 Abs. 1 lit. h DSGVO verstoßen hat.
Die BInBDI Meike Kamp äußert sich hierzu entsprechend:
„Wenn Unternehmen automatisiert Entscheidungen treffen, sind sie verpflichtet, diese stichhaltig und nachvollziehbar zu begründen. Die Betroffenen müssen in der Lage sein, die automatisierte Entscheidung nachzuvollziehen. Dass die Bank in diesem Fall auch auf Anfrage nicht transparent und nachvollziehbar über die automatisierte Ablehnung informiert hat, hat ein Bußgeld zur Folge. Eine Bank ist verpflichtet, die Kund:innen bei der automatisierten Entscheidung über einen Kreditkartenantrag über die tragenden Gründe einer Ablehnung zu unterrichten. Hierzu zählen konkrete Informationen zur Datenbasis und den Entscheidungsfaktoren sowie die Kriterien für die Ablehnung im Einzelfall.“
Bei der Bußgeldzumessung berücksichtigte die BInBDI vor allem den hohen Umsatz der Bank sowie die vorsätzliche Ausgestaltung des Antragsprozesses sowie der Auskunft selbst. Bußgeldmindernd wurde berücksichtigt, dass der Verstoß vom Unternehmen eingeräumt worden ist, Änderungen an den Prozessen unmittelbar vorgenommen und weitere Verbesserungen angekündigt wurden.
Nachvollziehbarkeit in Zeiten künstlicher Intelligenz
Der oben beschriebene Auskunftsanspruch umfasst aussagekräftige Informationen über die Logik hinter der automatisierten Entscheidung. In Zeiten künstlicher Intelligenz kann dies kompliziert werden, wenn selbst dem Verwender der KI der Weg, den das System zur Entscheidung genommen hat, manchmal kaum bis gar nicht mehr zugänglich ist. Es bleibt daher abzuwarten, wie sich das Spannungsverhältnis Datenschutz und KI in Zukunft weiterhin entwickeln wird. Das eine darf jedenfalls ohne das andere nicht betrachtet werden. Ein Einklang ist herzustellen.
Interessant, weil eine Bank mir mal auf die explizite Anfrage hin, dass meine Kreditkarte nicht gewährt werden kann nur damit kommentierte, dass die Entscheidungen dem Geschäftsgeheimnis unterliegen.
Die Datenschutzbehörde LDI bekräftigte diese Antwort damit, dass es der Bank obliege, die Informationen hierüber herauszurücken oder nicht, wichtig sei nur, dass sie geantwortet hat.
Im konkreten Fall handelte es sich um eine Kreditkarte mit Cashback und anderen Kundenvorteilen, die vermutlich nur dann wirtschaftlich zu unterhalten ist, wenn durch Ratenabzahlungen mit Kreditzinsen kalkulieren kann. Bei meiner Schufa war das wohl nicht zu erwarten.