Datenschutzvorfall beim Robo-Advisor Scalable Capital

Dienstag den 20.10.2020 - Abgelegt unter: Brokernews

Beim Robo-Advisor Scalable Capital gab es einen Datenschutzvorfall. Das geht aus einem Schreiben hervor, das der Robo-Advisor den betroffenen Kunden am 19. Oktober zukommen ließ. Offenbar gab es einen unberechtigten Zugriff auf die Postbox der Kunden, von dem personenbezogene Daten wie Ausweisdaten betroffen sind. Das Vermögen der Kunden war dabei nicht gefährdet.

Das Wichtigste auf einen Blick:

  • Bei Scalable Capital kam es zu einem unberechtigten Zugriff auf die Postbox von 22.000 Kunden
  • Betroffen sind personenbezogene Daten wie Ausweisdaten
  • Das Vermögen der Kunden war nicht in Gefahr
  • Update: Erpressermails und Spam-Anrufe

Scalable Capital im Test »

Update 03.11.2020: Erpressermails und Spam-Anrufe

Inzwischen sind weitere Details zum Datenschutzvorfall bei Scalable Capital bekannt geworden. So berichtet Business Insider von Erpressermails an betroffene Kunden und Spam-Anrufen. Ein Kunde erhielt eine Mail folgenden Inhalts:

„Es hat sich so ergeben, dass uns persönliche Informationen über Dich vorliegen. Hier findest Du Deine Daten:

Auf dem Bildschirm ist nun der Name, die Kontonummer, Telefonnummer und eine Ausweiskopie zu sehen.

Bitte, tritt in Kontakt mit uns, damit wir eine Lösung finden“[1]

Die Daten ließen sich dem Vorfall bei Scalable Capital zuordnen.

Einige Kunden von Scalable Capital, die erpresst wurden, haben sich bei der Europäischen Gesellschaft für Datenschutz (EuGD) gemeldet. Bei dieser können Kunden prüfen lassen, ob sie Anspruch auf Schadenersatz haben. „Beim aktuellen Fall bei Scalable Capital sehen wir Schmerzensgeld in Höhe von 3.000 – 5.000 EUR durchaus als realistisch an,“ meint EuGD-Geschäftsführer Johann Hermann. Die EuGD erhält bei einer erfolgreichen Klage eine Gewinnbeteiligung.


Ursprüngliche Nachricht:

Kein externer Hackerangriff

Im Schreiben heißt es:

„Der Zugriff auf das betroffene Archiv erfolgte unter Zuhilfenahme von unternehmensinternem Wissen, das nur über entsprechend gesicherte Zugänge verfügbar ist. Der Zugriff erfolgte nach aktuellem Kenntnisstand nicht durch die Ausnutzung einer unmittelbar von außen ausnutzbaren technischen Sicherheitslücke.“

Auf telefonische Nachfrage bestätigte uns der Kundenservice, dass es sich nicht um einen externen Hackerangriff handelte. Auf die Frage, ob der Vorfall auf einen Mitarbeiter von Scalable Capital zurückzuführen ist, erhielten wir keine Auskunft. Wir wurden auf die laufenden Ermittlungen der Staatsanwaltschaft verwiesen, die eingeleitet worden seien. Entdeckt wurde der Vorfall am 16. Oktober.

Mehr als 20 Robo-Advisor im Echtgeld-Test »

Welche Kunden sind betroffen?

Scalable Capital bestätigte uns, dass nicht nur Kunden des Robo-Advisors, sondern auch des Brokers betroffen sind. Zur Anzahl der betroffenen Kunden wollte man sich zunächst nicht äußern. Inzwischen wurde sie mit rund 23.000 beziffert sowie rund 9.000 ehemalige Kunden und Interessenten. Kunden, die ihr Depot bei ING führen oder über die Marke OSKAR zu Scalable Capital gekommen sind, sind nicht Teil des Datenschutzvorfalls.[2]

Surftipp: Sparmatrix - wie viel Geld Sie monatlich zur Seite legen müssen, um eine entsprechende Summe anzusparen »

Scalable Capital schreibt lediglich: „Nach unseren bisherigen Kenntnissen wurde unrechtmäßig auf einen Teilbestand von Dokumenten zugegriffen, der in unserem digitalen Dokumentenarchiv abgelegt ist.“

Es wird jedoch klargestellt: „Wir möchten betonen, dass aufgrund des Vorfalls Ihr bei der Depotbank verwahrtes Vermögen zu keinem Zeitpunkt gefährdet war. Es waren stets nur autorisierte Wertpapierorders, Auszahlungen oder sonstige Transaktionen möglich. Die Vertraulichkeit Ihres Passworts zum Zugriff auf Ihren Kundenbereich bei Scalable Capital ist unverändert gewährleistet.“

Was können Anleger tun?

Sowohl am Telefon als auch im Schreiben riet Scalable Capital zu den üblichen Vorsichtsmaßnahmen. „Achten Sie insbesondere auf Phishing, Identitätsmissbrauch, ungewöhnliche Kontobewegungen oder die Abfrage vertraulicher Zugangsdaten.“ Außerdem werden Kunden darauf hingewiesen, dass ein seriöser Anbieter niemals die Preisgabe von Zugangsdaten per Mail oder Telefon verlangt.

Der Broker von Scalable Capital im Test »


Das Schreiben in voller Länge:

„Das Wichtigste in Kürze:

Der Schutz Ihrer personenbezogenen Daten wurde durch einen unrechtmäßigen Zugriff verletzt. Scalable Capital hat alle erforderlichen Sicherungsmaßnahmen getroffen und die zuständigen Aufsichtsbehörden informiert. Ihr bei der Depotbank verwahrtes Vermögen war zu keinem Zeitpunkt gefährdet. Auch die Vertraulichkeit Ihres Passworts für den Kundenbereich ist unverändert gewährleistet.

Sehr geehrte Kundin,

sehr geehrter Kunde,

leider müssen wir Sie über eine Verletzung des Schutzes Ihrer personenbezogenen Daten benachrichtigen.

  1. Was genau ist passiert?

Nach unseren bisherigen Kenntnissen wurde unrechtmäßig auf einen Teilbestand von Dokumenten zugegriffen, der in unserem digitalen Dokumentenarchiv abgelegt ist. Der Zugriff auf das betroffene Archiv erfolgte unter Zuhilfenahme von unternehmensinternem Wissen, das nur über entsprechend gesicherte Zugänge verfügbar ist. Der Zugriff erfolgte nach aktuellem Kenntnisstand nicht durch die Ausnutzung einer unmittelbar von außen ausnutzbaren technischen Sicherheitslücke. Ihre in diesen Dokumenten enthaltenen personenbezogenen Daten sind von diesem Vorfall betroffen. Es handelt sich um folgende Kategorien von personenbezogenen Daten: Personalien und Kontaktdaten, Daten zur gesetzlich erforderlichen Identifizierung des Kunden (etwa Ausweisdaten), die im Rahmen der Geeignetheitsprüfung erfassten Informationen, Daten bezogen auf Konto und/oder Wertpapierdepot (etwa Referenzkontoverbindung, Berichte, Wertpapierabrechnungen, Rechnungen) sowie steuerliche Daten (etwa Steueridentifikationsnummer).

Wir möchten betonen, dass aufgrund des Vorfalls Ihr bei der Depotbank verwahrtes Vermögen zu keinem Zeitpunkt gefährdet war. Es waren stets nur autorisierte Wertpapierorders, Auszahlungen oder sonstige Transaktionen möglich. Die Vertraulichkeit Ihres Passworts zum Zugriff auf Ihren Kundenbereich bei Scalable Capital ist unverändert gewährleistet.

  1. Was sind die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten?

Generell könnte mit Hilfe der Daten versucht werden, Sie zu bestimmten Verhaltensweisen zu bewegen, insbesondere zur Preisgabe von weiteren vertraulichen Informationen oder Zahlungen zu veranlassen. Weiterhin könnte der Versuch unternommen werden, Dritte mit Ihrer Identität zu täuschen, um sich Vorteile zu verschaffen (Identitätsmissbrauch). In diesem Zusammenhang ist es uns wichtig, darauf hinzuweisen, dass Ihr bei der Depotbank verwahrtes Vermögen von dem Vorfall zu keinem Zeitpunkt gefährdet war und ist. Unautorisierte Wertpapierorders, Auszahlungen oder sonstigen Transaktionen waren und sind im Zusammenhang mit diesem Vorfall nicht möglich.

  1. Welche Maßnahmen haben wir ergriffen?

Wir haben umgehend alle erforderlichen Maßnahmen ergriffen, um weitere unrechtmäßige Zugriffe auf das digitale Dokumentenarchiv auszuschließen. Der Sachverhalt wird zur Zeit weiter analysiert, dokumentiert sowie laufend überwacht. Hierzu haben wir auch externe Experten für Informations- und IT-Sicherheit hinzugezogen. Darüber hinaus haben wir die zuständigen Aufsichtsbehörden informiert. Ein Ermittlungsverfahren wurde eingeleitet.

  1. Was können Sie als Kunde tun?

Haben Sie ein besonderes Augenmerk auf die allgemeinen Grundsätze bei der Nutzung von digitalen Medien, wie sie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) aufgestellt wurden. Achten Sie insbesondere auf Phishing, Identitätsmissbrauch, ungewöhnliche Kontobewegungen oder die Abfrage vertraulicher Zugangsdaten. Den Link finden Sie hier: https://www.bsi-fuer-buerger.de/

Wichtig: Kein seriöser Anbieter würde Sie dazu auffordern, per E-Mail oder per Telefon vertrauliche Zugangsdaten preiszugeben. Auch Scalable Capital würde Sie nicht im Rahmen eines Kundengesprächs oder per E-Mail dazu auffordern.

  1. Wie lauten die Kontaktdaten der Anlaufstelle für weitere Informationen?

Wir stehen Ihnen für Rückfragen und weitere Informationen unter den nachfolgenden Kontaktdaten zur Verfügung:

Kundenservice-Team

Telefon: +49 89 380 380 67

E-Mail: service[at]scalable.capital

Mit freundlichen Grüßen

Ihr Scalable-Capital-Team“


Weiterführender Link

[1] Business Insider – Erpressermails und Spam-Anrufe

[2] Scalable Capital – Datenschutzvorfall