Immer mehr Unternehmen setzen auf automatisierte Entscheidungsprozesse, auch mit dem Einsatz von KI, bspw. bei der Kreditvergabe im Finanzbereich. Nach Art. 22 DSGVO haben betroffene Personen das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung basierenden Entscheidung unterworfen zu werden, die erhebliche rechtliche Wirkungen entfaltet, wie beispielsweise bei der Ablehnung eines Kreditantrags. Kommt automatisierte Entscheidungsfindung zum Einsatz, verlangt die DSGVO zusätzlich zu den allgemeinen Anforderungen:
Transparenz in der Datenschutzerklärung über das Bestehen von automatisierten Entscheidungsfindungen und Auskunft über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen für die betroffene Person.
Integration eines menschlichen Eingriffs in den Entscheidungsprozess mit maßgeblichem Einfluss auf die Entscheidung.
Aktuelle Bußgelder: Was ist passiert?
1. Hamburg: Bußgeld gegen Finanzunternehmen wegen intransparenter Entscheidungen
Die Hamburger Datenschutzbehörde hat im September 2025 ein Bußgeld von 492.000 EUR gegen ein Finanzunternehmen verhängt. Der Grund: Kreditkartenanträge wurden auf Basis automatisierter Entscheidungen abgelehnt, ohne dass die betroffenen KundInnen ausreichend über die Gründe informiert wurden. Und das obwohl teils eine gute Bonität vorlag. Das Unternehmen kam seinen Informations- und Auskunftspflichten nicht ausreichend nach und gab auf Nachfrage keine verständliche Erklärung zur involvierten Logik der Entscheidungsfindung.
2. Niederlande: Bußgeld wegen automatisierter Kreditbewertung
Auch die niederländischen Datenschutzbehörden haben jüngst ein Bußgeld von
2.700.000 EUR gegen den Anbieter Experian verhängt, der eine automatisierte Kreditbewertung einsetzte, ohne die Betroffenen angemessen über die Entscheidungslogik und deren Folgen zu informieren. Experian hat in den Niederlanden darüber hinaus eine Datenbank mit Informationen aus verschiedenen öffentlichen und privaten Quellen, etwa dem Handelsregister und Telekommunikationsunternehmen, aufgebaut. Die Notwendigkeit der Datenerhebung konnte nicht überzeugend begründet werden, und die Nutzung sensibler Daten hätte ernsthafte Folgen für Betroffene haben können. Experian erkennt den Gesetzesverstoß an, legt keinen Einspruch gegen die Geldbuße ein, hat die Geschäftstätigkeit in den Niederlanden beendet und wird die Datenbank dieses Jahr löschen.
Praxis-Tipps für Ihr Unternehmen
1. Transparenz schaffen:
Informieren Sie die Betroffenen, darüber ob und wie eine automatisierte Entscheidung zum Einsatz kommt. Berücksichtigen Sie dabei die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen für die Betroffenen.
2. Interne Prozesse definieren:
Halten Sie fest, wer im Unternehmen für Auskunftsanfragen zuständig ist. Legen Sie klare interne Checklisten und Verantwortlichkeiten fest.
3. Auskunftsfähigkeit sicherstellen:
Bereiten Sie Musterantworten vor, wie Sie Betroffenen die Logik der automatisierten Entscheidungsfindung erklären würden (z. B. welche Kriterien bewertet werden, und inwiefern das Ergebnis beeinflusst wird).
4. Menschliche Überprüfung integrieren:
Integrieren Sie menschliche Prüfmechanismen durch eine verantwortlichen Person mit maßgeblichem Einfluss auf die Entscheidung.
Für Rückfragen zu konkreten Umsetzungsmöglichkeiten oder zur Überprüfung Ihrer Prozesse stehen wir Ihnen gern zur Verfügung.