Reagieren Unternehmen auf Auskunfts- und Informationsansprüche systematisch nicht oder nur unzureichend, ist nach Ansicht von Hamburgs Datenschutzbeauftragtem Thomas Fuchs «eine spürbare Sanktion geboten».

Hamburgs Datenschutzbeauftragter Thomas Fuchs hat in diesem Jahr wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) bereits Bußgelder in Höhe von 775.000 Euro verhängt. Allein 492.000 Euro müsse ein Unternehmen aus der Finanzwirtschaft wegen intransparenter automatisierter Entscheidungen bezahlen, teilte die Datenschutzbehörde in einer Zwischenbilanz bis Ende September mit. Das Unternehmen habe den Bußgeldbescheid bereits akzeptiert.

Algorithmus lehnt Anträge automatisiert ab

Die Firma habe trotz guter Bonität potenzieller Kundinnen und Kunden mehrere Kreditkartenanträge nur auf Grundlage von Algorithmen und ohne menschliches Eingreifen maschinell abgelehnt. Als die Antragsteller daraufhin eine Begründung verlangt hätten, habe das Unternehmen seine gesetzlich vorgegebenen Informations- und Auskunftspflichten nicht ausreichend erfüllt.

Solch automatisierte Entscheidungen sind der DSGVO zufolge nur unter engen Voraussetzungen erlaubt. So sind Verantwortliche bei einem Auskunftsantrag verpflichtet, aussagekräftige Informationen über die involvierte Logik der automatisierten Entscheidung zu erteilen.

Fuchs: «spürbare Sanktion geboten»

«Wenn Unternehmen auf Auskunfts- und Informationsansprüche systematisch nicht oder nur unzureichend reagieren, ist eine spürbare Sanktion geboten», sagte Hamburgs Datenschutzbeauftragter Fuchs. Dies gelte insbesondere bei Strukturen, die für die Betroffenen undurchsichtig seien, wie Adresshandel oder komplexe Entscheidungsalgorithmen – und immer mehr auch für den Einsatz künstlicher Intelligenz. «Entscheidet eine Software über Menschen, muss die verarbeitende Stelle die tragenden Gründe verständlich erklären können.»

Weitere 195.000 Euro Bußgeld verhängte der Datenschutzbeauftragte gegen ein Handelsunternehmen. Dies hatte den Angaben zufolge Dienstleister mit dem Versand postalischer Werbung beauftragt. Die nach Erhalt des Werbeschreibens von den Empfängern geltend gemachten Betroffenenrechte habe das Unternehmen in mehreren Fällen und über einen längeren Zeitraum nicht fristgerecht erfüllt.

15 Ordnungswidrigkeitenverfahren abgeschlossen

Insgesamt seien bis September 15 Ordnungswidrigkeitenverfahren rechtskräftig abgeschlossen worden. In drei Fällen hätten Unternehmen ohne Einwilligung der Empfänger Werbung per E-Mail verschickt, was mit Bußgeldern im unteren fünfstelligen Bereich geahndet worden sei. In sechs Fällen seien Bußgelder gegen Beschäftigte der Polizei und anderer Hamburgischer Behörden verhängt worden, weil sie ohne dienstliche Veranlassung Abfragen über Privatpersonen in behördlichen Datenbanken durchgeführt hatten. Ein Beschäftigter eines Krankenhauses habe ein Bußgeld zahlen müssen, weil rechtswidrig die Patientenakte eines Kollegen eingesehen hatte.