Fast 500.000 Euro zahlt ein Unternehmen der Finanzwirtschaft wegen intransparenter automatisierter Entscheidungen
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat gegen ein Unternehmen aus der Finanzwirtschaft ein Bußgeld in Höhe von 492.00 Euro wegen Verstößen gegen die Rechte betroffener Kund:innen bei automatisierten Entscheidungen in Einzelfällen verhängt.
Trotz guter Bonität waren die Kreditkartenanträge mehrerer Kund:innen mittels automatisierter Entscheidungen abgelehnt worden – dabei handelt es sich um Entscheidungen, die auf der Grundlage von Algorithmen und ohne menschliches Eingreifen maschinell getroffen werden. Als daraufhin die betroffenen Kund:innen eine Begründung für die abgelehnten Anträge verlangten, erfüllte das Unternehmen seine gesetzlich vorgegebenen Informations- und Auskunftspflichten nicht ausreichend.
Zum Hintergrund: Automatisierte Entscheidungen, die auf der Grundlage von Algorithmen und ohne menschliches Eingreifen maschinell getroffen werden, sind mit besonderen Risiken für die Rechte und Freiheiten der betroffenen Personen verbunden. Ein Einsatz solcher Verfahren ist daher nach den Vorschriften der Datenschutzgrundverordnung (DSGVO) nur unter engen Voraussetzungen erlaubt. Neben diesen höheren Anforderungen an die Rechtmäßigkeit haben die Verantwortlichen zusätzliche Informationspflichten, während betroffenen Personen weitergehende Auskunftsrechte zustehen. Stellen etwa betroffene Personen bei den Verantwortlichen einen Auskunftsantrag, so sind Verantwortliche verpflichtet, Antragsteller:innen aussagekräftige Informationen über die involvierte Logik der automatisierten Entscheidung zu erteilen.
Sowohl im Verwaltungs- als auch im Bußgeldverfahren hat das betroffene Unternehmen erhebliche Anstrengungen unternommen, um seinen Prozess zur Erfüllung von Rechten der betroffenen Personen bei einer automatisierten Entscheidungsfindung zu verbessern und umfassend mit dem HmbBfDI zusammengearbeitet. Dieser Umstand wurde bei der Bußgeldzumessung erheblich mildernd berücksichtigt. Das Unternehmen hat den Bußgeldbescheid akzeptiert.
Zwischenbilanz Ende September 2025
Das oben genannte Bußgeld eingerechnet, hat der HmbBfDI im Jahr 2025 bisher Bußgelder von rund 775.000 Euro wegen Verstößen gegen die DSGVO verhängt. Insgesamt 15 Ordnungswidrigkeitenverfahren wurden bis September 2025 rechtskräftig abgeschlossen. Ahndungsschwerpunkte waren rechtswidrige Werbemaßnahmen sowie individuelle Verstöße von Mitarbeitenden.
In drei Fällen hatten Unternehmen Kund:innen Werbung per E-Mail zugesandt, ohne dass die Empfänger:innen darin eingewilligt hatten. Gegen diese Unternehmen wurden Bußgelder im unteren fünfstelligen Bereich festgesetzt.
Gegen Beschäftigte der Polizei und anderer Hamburgischer Behörden wurden insgesamt sechs Bußgelder verhängt, weil sie ohne dienstliche Veranlassung Abfragen über Privatpersonen in behördlichen Datenbanken durchgeführt hatten. Ein Beschäftigter eines Krankenhauses musste ein Bußgeld entrichten, weil er die Patientenakte eines Kollegen eingesehen hatte, obwohl er nicht an der Behandlung beteiligt war.
Zudem verhängte der HmbBfDI gegen ein Handelsunternehmen ein Bußgeld in Höhe von 195.000 Euro. Das Unternehmen hatte Dienstleister mit dem Versand postalischer Werbung beauftragt. Die nach Erhalt des Werbeschreibens von den Empfänger:innen geltend gemachten Betroffenenrechte erfüllte das Unternehmen in mehreren Fällen und über einen längeren Zeitraum nicht fristgerecht.
Thomas Fuchs, der Hamburgische Beauftrage für Datenschutz und Informationsfreiheit: „Wenn Unternehmen auf Auskunfts- und Informationsansprüche systematisch nicht oder nur unzureichend reagieren, ist eine spürbare Sanktion geboten. Dies gilt insbesondere bei Strukturen, die für die Betroffenen undurchsichtig sind, wie Adresshandel oder komplexe Entscheidungsalgorithmen –und immer mehr auch für den Einsatz künstlicher Intelligenz. Entscheidet eine Software über Menschen, muss die verarbeitende Stelle die tragenden Gründe verständlich erklären können.“
