Mitte Oktober 2020 wurde ein erheblicher Datenschutzvorfall beim digitalen Vermögensverwalter Scalable Capital bekannt.
Unbekannte haben Zugriff auf sensible Daten von mehr als 30.000 aktive und ehemalige Kunden erhalten. Ein GAU für das erst 2014 gegründete Münchner Start-up und alle Betroffenen.
Für letztere stellt sich nun die Frage nach ihren Rechten. Der folgende Beitrag skizziert die jüngsten Ereignisse und klärt auf, ob und in welche Höhe Ihnen Schadensersatzansprüche zustehen.
Was ist geschehen?
Scalable Capital hat am 16. Oktober 2020 einen rechtswidrigen Zugriff auf einen Teilbestand des eigenen Dokumentenarchivs festgestellt. Dieser sei unter Zuhilfenahme von unternehmensinternem Wissen, das nur über entsprechend gesicherte Zugänge verfügbar sei, erfolgt. Einen Angriff von außen schließt der selbsternannte Broker & führende Robo-Adviser aus. Eine ausnutzbare Sicherheitslücke habe es nicht gegeben.
Betroffen sind rund 23.000 Kunden
Betroffen sind laut eigenen Angaben rund 23.000 aktive Kunden. Auch auf die Daten von ehemaligen Kunden und derjenigen, die den Anmeldeprozess abgeschlossen, aber noch kein Geld eingezahlt hätten, sei zugegriffen worden. Scalable Capital geht diesbezüglich von 9.000 weiteren Fällen aus. Dies Gesamtzahl von 32.000 entspricht in etwa einem Fünftel aller Kunden. Ein drastisches Ausmaß.
Das Unternehmen beteuert, dass das Vermögen der Betroffenen „zu keiner Zeit gefährdet“ war. Die Vertraulichkeit des eigenen Passworts für den Kundenbereich sei unverändert gewährleistet. Um kein unnötiges Risiko einzugehen, empfehlen wir Ihnen das Passwort zu ändern.
Ungeachtet dessen sind die Auswirkungen des Vorfalls enorm. Zu den erbeuteten Informationen gehören unter anderem Kontaktdaten wie Adresse und Geburtsdatum, Ausweisdaten, Steuer-IDs, Vermögenswerte der Depots und Kontonummern. Business Insider berichtet, dass Betroffene mit Erpressermails und Spam-Anrufen unter Druck gesetzt werden. Scalable Capital selbst warnt vor Phishing-Angriffen und Identitätsmissbrauch.
Der online Vermögensverwalter hat die zuständigen Aufsichtsbehörden informiert. Dazu gehören die Deutsche Bundesbank, die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und die Bayrische Datenschutzbehörde. Auch die Staatsanwaltschaft wurde eingeschaltet. Diese leitete umgehend ein Ermittlungsverfahren ein.
Können Betroffene Auskunft und Schadensersatz verlangen?
Für Betroffene stellt sich die Frage, ob Sie Schadensersatzansprüche geltend machen können. In Betracht kommen sowohl ein materieller (bezifferbarer) als auch ein immaterieller Schadensersatzanspruch, der auf Schmerzensgeld gerichtet ist. Anspruchsgrundlage ist Art. 82 DSGVO.
Ein Vermögensschaden könnte dadurch entstehen, dass Sie Ihre Daten und/oder Ausweisdokumente ändern oder erneuern müssen. Scalable Capital kommt seinen Kunden entgegen. Bei Anhaltspunkten für eine missbräuchliche Verwendung Ihres Ausweises oder wenn eine zuständige Behörde dessen Austausch für geboten halte, übernehme das Unternehmen die Kosten. Ein Rechtspflicht wird ausdrücklich nicht anerkannt. Weitergehende Ansprüche sind nicht ausgeschlossen. Dies gilt insbesondere dann, wenn Scalable Capital den Datendiebstahl zu vertreten hat. Der Finanzdienstleister muss zudem mit empfindlichen Bußgeldern rechnen.
In der Vergangenheit haben Gerichte bei Verstößen gegen Art. 82 DSGVO Schadenersatz in Höhe von 1.500 € (ArbG Dresden, Urt. v. 26.08.2020 – Az. 13 Ca 1046/20) bzw. sogar 4.000 € zugesprochen (AG Pforzheim, Urt. v. 25.03.2020 – Az. 13 C 160/19). In beiden Urteilen ging es um die unerlaubte Weitergabe von Gesundheitsdaten. Das AG Darmstadt hat in einem Fall, in dem es um die irrtümliche Verbreitung von Bewerberdaten ging, 1.000 € Schadensersatz gewährt. Angesichts des Ausmaßes der Datenschutzverstöße sind in der Causa Scalable Capital etwas höhere Schadensersatzersatzansprüche realistisch.
Nach erfolgter Mandatierung können wir für Sie zum Zwecke der Sachverhaltsaufklärung Auskunft verlangen und Ihre Schadensersatzansprüche im Lichte des Einzelfalls sachgemäß beurteilen und geltend machen.