Großer Datenschutzvorfall beim Vermögensverwalter Fintech-Start-Up Scalable Capital

Was war passiert?

Scalable Capital ist einer der größten europäischen Robo-Advisor-Anbieter mit Sitz in Deutschland. Der Begriff Robo-Advisor leitet sich von den englischen Wörtern Robot (Roboter) und Advisor (Berater) ab. Ein Robo-Advisor ist ein algorithmen-basiertes System, das den Kunden vollautomatisiert Kaufempfehlungen zur Vermögensanlage gibt und diese auch standardisiert und automatisiert umsetzen kann.

Nach aktuellen Meldungen hat es einen „unrechtmäßigen Zugriff“ auf sensible Kundendaten des Dokumenten-Archivs gegeben. Betroffen zu sein scheinen insbesondere

• Kunden-Kontaktdaten,
• Ausweiskopien,
• Steuernummern,
• Wertpapierabrechnungen und
• Kontonummern.

Betroffen sind anscheinend Daten von etwa einem fünftel aller Kunden, also etwa 20.000 Personen.

Scalable Capital hat nach eigenen Angaben bereits die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin), das Bayerisches Landesamt für Datenschutzaufsicht sowie die Staatsanwaltschaft eingeschaltet. Dies zeigt bereits die Brisanz und Relevanz des Datenschutzvorfalles.

Laut Scalable Capital soll aber das Kundenvermögen zu keinem Zeitpunkt gefährdet gewesen sein. Dies können wir derzeit nicht bewerten.

Wie bewerten wir den Vorfall

Auch wenn es angeblich keine Gefährdung des Vermögens der Kunden gegeben haben sollte, so empfehlen wir zunächst die Änderung sämtlicher bei Scalable Capital hinterlegten Passwörter.Dies empfiehlt im Übrigen auch Scalable Capital seinen Kunden in dem aktuellen Rundschreiben vom 19.10.2020. So wird dort wie folgt ausgeführt:„Haben Sie ein besonderes Augenmerk auf die Allgemeinen Grundsätze bei der Nutzung von digitalen Medien, wie sie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) aufgestellt wurden. Achten Sie insbesondere auf Phishing, Identitätsmissbrauch, ungewöhnliche Kontobewegungen oder die Abfrage vertraulicher Zugangsdaten. Den Link finden Sie hier: https://www.bsi-fuer-buerger.de/“Auch dies belegt unserer Meinung nach einmal mehr die Brisanz des Vorfalles.

Datenschutzverstoß führt auch zu Schadensersatzansprüchen

Darüber hinaus sehen wir in der unrechtmäßigen Offenlegung der sensitiven Kundendaten einen erheblichen Datenschutzverstoß, welcher auch zu einem konkreten und erheblichen materiellen Schaden der Betroffenen führen kann. So kann es unter Umständen notwendig sein, gewissen Daten zu erneuern. Auch ist unserer Meinung nach bei einem derartigen Eingriff weiter zu prüfen, ob und welche Risiken für die Vermögensbestände (Depot und Anlagekonten) bestehen könnten. Hierzu haben wir im Rahmen eines Mandates (wir beraten und/oder vertreten bereits Betroffene) eine konkrete Stellungnahme gefordert und warten derzeit auf eine Rückmeldung.

Aufgrund der gesamten Situation besteht unserer Meinung nach zudem die Möglichkeit, einen immateriellen Schaden geltend zu machen. Dies jedenfalls dann, wenn sich herausstellt, dass der von außen kommende Angriff aufgrund eines von Scalable Capital zu vertretenen Sicherheitslecks erfolgreich gewesen ist. Dies ist nicht unwahrscheinlich, da vorliegend die Anforderungen an die technischen und organisatorischen Sicherheitsmaßnahmen sehr hoch sind. Auch dies prüfen wir derzeit.

Ein solcher Anspruch ergibt sich aus Art. 82 DSGVO.

In der Vergangenheit wurde einem Betroffenen in einem anderen Kontext beispielsweise bei unerlaubter Datenweitergabe von Gesundheitsdaten ein Schadensersatz nach Art. 82 DSGVO in Höhe von 1.500,- EUR (ArbG Dresden, Urt. v. 26.08.2020 - Az.: 13 Ca 1046/20) zugesprochen. Bei irrtümlicher Weitergabe von Bewerberdaten wurden in einem anderen Fall einem Betroffenen ein Schadensersatz in Höhe von 1.000,- EUR (LG Darmstadt, Urt. v. 26.05.2020 - Az.: 13 O 244/19) gerichtlich zugesprochen.

Und wie sieht es im vorliegenden Fall aus?

Je nach betroffenen Daten und Umständen des Einzelfalles halten wir vorliegend immaterielle Schadensersatzansprüche in Höhe von bis zu 10.000,- EUR durchaus für annehmbar. Eine konkrete Einschätzung muss allerdings im Einzelfall erfolgen.