Aktuelles, Experten - geschrieben von dp am Mittwoch, Mai 31, 2023 13:27 - noch keine Kommentare
300.000 Euro Bußgeld gegen Bank: Computer sagte nein zu Kreditkartenantrag
Berliner Beauftragte für Datenschutz und Informationsfreiheit ahndet mangelnde Transparenz einer Bank bei automatisierter Ablehnung
[datensicherheit.de, 31.05.2023] Laut einer aktuellen Meldung der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) wurde von ihr gegen eine Bank ein Bußgeld in Höhe von 300.000 Euro „wegen mangelnder Transparenz über eine automatisierte Einzelentscheidung“ verhängt. Diese Bank hatte sich demnach geweigert, einem Kunden nachvollziehbare Auskünfte über die Gründe der automatisierten Ablehnung eines Kreditkartenantrags zu erteilen. Die BlnBDI hat nach eigenen Angaben festgestellt, „dass die Bank in dem konkreten Fall gegen Art. 22 Abs. 3, Art. 5 Abs. 1 lit. a und Art. 15 Abs. 1 lit. h DSGVO verstoßen hat“. Bei der Bußgeldzumessung habe die BlnBDI insbesondere den hohen Umsatz der Bank sowie die vorsätzliche Ausgestaltung des Antragsprozesses und der Auskunft berücksichtigt. Als bußgeldmindernd sei u.a. eingestuft worden, dass das Unternehmen den Verstoß eingeräumt sowie Änderungen an den Prozessen bereits umgesetzt und weitere Verbesserungen angekündigt habe – das Unternehmen habe umfassend mit der BlnBDI kooperiert und den Bußgeldbescheid akzeptiert.
Banken müssen aussagekräftige Informationen über involvierte Logik geben
Bei einer automatisierten Entscheidung urteilt ein IT-System ausschließlich auf Grundlage von Algorithmen – ohne menschliches Eingreifen. Für diesen Fall sieht die Datenschutz-Grundverordnung (DSGVO) laut BlnBDI spezielle Transparenzpflichten vor. So müssten personenbezogenen Daten in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden. Betroffene Personen hätten zudem einen Anspruch auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung. „Beantragen betroffene Personen bei den Verantwortlichen eine Auskunft, müssen diese aussagekräftige Informationen über die involvierte Logik hinter der automatisierten Entscheidung erteilen.“
In diesem Fall habe die Bank dies jedoch bei ihrem digitalen Antrag für eine Kreditkarte nicht beherzigt. Über ein Online-Formular habe die Bank verschiedene Daten über Einkommen, Beruf und Personalien des Antragstellers abgefragt. Anhand dieser abgefragten Informationen und zusätzlicher Daten aus externen Quellen habe der Bank-Algorithmus den Antrag des Kunden ohne besondere Begründung abgelehnt. Der Algorithmus basiere auf zuvor von der Bank definierten Kriterien und Regeln.
Bank hatte auf Nachfrage lediglich pauschale und vom Einzelfall gelöste Angaben zum Scoring-Verfahren gemacht
„Da der Kunde einen guten Schufa-Score und ein regelmäßiges hohes Einkommen hatte, bezweifelte er die automatisierte Ablehnung.“ Die Bank habe auch auf Nachfrage lediglich pauschale und vom Einzelfall gelöste Angaben zum Scoring-Verfahren gemacht, sich jedoch geweigert, ihm mitzuteilen, „warum sie in seinem Fall von einer schlechten Bonität ausging“. Der Beschwerdeführer habe somit nicht nachvollziehen können, „welche Datenbasis und Faktoren der Ablehnung zugrunde lagen und anhand welcher Kriterien sein Kreditkartenantrag dementsprechend abgelehnt worden ist“. Ohne diese Einzelfallbegründung sei es ihm aber auch nicht möglich gewesen, die automatisierte Einzelentscheidung sinnvoll anzufechten. Daraufhin habe er sich bei der BlnBDI beschwert.
„Wenn Unternehmen automatisiert Entscheidungen treffen, sind sie verpflichtet, diese stichhaltig und nachvollziehbar zu begründen. Die Betroffenen müssen in der Lage sein, die automatisierte Entscheidung nachzuvollziehen“, kommentiert Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit. Dass die Bank in diesem Fall auch auf Anfrage nicht transparent und nachvollziehbar über die automatisierte Ablehnung informiert habe, „hat ein Bußgeld zur Folge“. Eine Bank sei verpflichtet, die Kunden bei der automatisierten Entscheidung über einen Kreditkartenantrag über die tragenden Gründe einer Ablehnung zu unterrichten. „Hierzu zählen konkrete Informationen zur Datenbasis und den Entscheidungsfaktoren sowie die Kriterien für die Ablehnung im Einzelfall“, betont Kamp.
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren