Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) har bötfällt en bank med 300 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår en bank vägrat att ge en kund begriplig information om skälen till det automatiserade avslaget på en kreditkortsansökan. Med hjälp av ett onlineformulär bad banken om olika uppgifter om den sökandes inkomst, yrke och personuppgifter. Baserat på de begärda uppgifterna och ytterligare uppgifter från externa källor avslog bankens algoritm kundens ansökan utan någon särskild motivering. Algoritmen byggde på kriterier och regler som banken tidigare har fastställt.
Eftersom kunden hade kreditvärdighet (Schufa-poäng) och en regelbunden hög inkomst, tvivlade han på det automatiska avslaget. Även på förfrågan gav banken endast övergripande information om poängbedömningsförfarandet, fristående från det enskilda fallet. Banken vägrade dock att berätta för kunden varför banken kom till slutsatsen att kunden hade en dålig kreditvärdighet. Klaganden kunde därför inte förstå vilka uppgifter och faktorer som låg till grund för avslaget och på grundval av vilka kriterier hans kreditkortsansökan avslagits. Utan denna motivering i det enskilda fallet var det emellertid inte heller möjligt för kunden att på ett meningsfullt sätt ifrågasätta det automatiserade enskilda beslutet. Kunden klagade därför till BlnBDI.
Enligt BlnBDI är ett automatiserat beslut ett beslut som fattas av ett it-system enbart på grundval av algoritmer och utan mänsklig inblandning. I detta fall föreskriver dataskyddsförordningen särskilda transparensskyldigheter. Personuppgifter måste behandlas på ett sätt som är begripligt för de registrerade. De registrerade har rätt till en förklaring av det beslut som fattats efter en lämplig bedömning. Om den registrerade begär information från den personuppgiftsansvarige måste denne ge meningsfull information om logiken bakom det automatiserade beslutet.
När företag fattar automatiserade beslut är de enligt BlnBDI skyldiga att ge giltiga och begripliga skäl för de registrerade. De som berörs måste kunna förstå det automatiserade beslutet. Det faktum att banken i det här fallet inte gav transparent och begriplig information om det automatiserade avslaget, inte ens på begäran, utgör en överträdelse av dataskyddsförordningen. En bank är skyldig att informera sina kunder om de huvudsakliga skälen till ett avslag när den fattar ett automatiserat beslut om en kreditkortsansökan. Detta inkluderar konkret information om dataunderlaget och beslutsfaktorerna samt kriterierna för avslaget i det enskilda fallet.
BlnBDI konstaterade att banken brutit mot artiklarna 5.1 (a), 15.1 (h) och 22.3 GDPR och utdömde böter på 300 000 euro. När BlnBDI utdömde böterna tog myndigheten särskilt hänsyn till bankens höga omsättning och den avsiktliga utformningen av ansökningsprocessen och informationen. Som förmildrande omständigheter ansågs att banken erkänt överträdelsen, genomfört ändringar i processerna och meddelat ytterligare förbättringar.