EU-domstolen prövade i ett tyskt mål vad som utgör ett automatiserat beslutsfattande enligt GDPR. Målet rörde en tysk kvinna som ansökte efter ett lån men blev nekad. Den nekade låneansökan berodde på hennes negativa kreditvärdighet. Kreditvärderingen hade utförts av en tredje part som hade grundat sig på automatiserat beslutsfattande. Den registrerade begärde att företaget skulle ge tillgång till de personuppgifter som hade använts för beräkning av hennes personuppgifter samt radera vissa uppgifter som hon påstod vara felaktiga. Företaget informerade i stora drag hur kreditvärdigheten hade beräknats men hänvisade till affärssekretess och vägrade avslöja vilka faktorer som hade beaktats och på vilket sätt dessa hade viktats i beräkningen. Enligt GDPR har den registrerade rätt att få meningsfull information om logiken bakom ett automatiserat beslutsfattande. Företaget menar att det är banken som har fattat beslut baserat på de kreditvärderingar de lämnat.
Frågan för EU-domstolen var huruvida begreppet “automatiskt individuellt beslutsfattande” innefattar ett kreditupplysningsföretag som automatiskt fastställer ett sannolikhetsvärde för personens framtida återbetalningsförmåga och sedan överför informationen till en tredje part som lägger detta värde till grund för sitt beslut. Domstolen konstaterar att det ska omfattas. Detta beror på att kreditvärdigheten som tagits fram i slutändan var avgörande för om den sökande skulle beviljas lånet eller inte.
Domslutet innebär att tjänsteleverantörer som tillhandahåller automatiska beräkningar till sina kunder kan omfattas av regler kring automatiskt beslutsfattande i GDPR. Dessa leverantörer måste nu se till att tillgodose de registrerades rättigheter vid exempelvis transparens kring det automatiserade beslutet. Företag av detta slag är därmed skyldiga att lämna ut meningsfull information om logiken bakom det automatiserade beslutet, även om det slutgiltiga beslutet togs av en tredje part.
