{"id":55879,"date":"2020-11-23T07:29:04","date_gmt":"2020-11-23T05:29:04","guid":{"rendered":"https:\/\/www.lhr-law.de\/?p=55879"},"modified":"2020-11-21T18:31:22","modified_gmt":"2020-11-21T16:31:22","slug":"datenschutzvorfall-scalable-capital-anspruch-auf-schadensersatz","status":"publish","type":"post","link":"https:\/\/www.lhr-law.de\/en\/magazin\/datenschutzrecht\/datenschutzvorfall-scalable-capital-anspruch-auf-schadensersatz\/","title":{"rendered":"Datenschutzvorfall bei Scalable Capital: Haben Betroffene Anspruch auf Schadensersatz?"},"content":{"rendered":"
\"\"
Photo by Franki Chamaki on Unsplash<\/figcaption><\/figure>\n

Mitte Oktober 2020 wurde ein erheblicher Datenschutzvorfall beim digitalen Verm\u00f6gensverwalter Scalable Capital bekannt. <\/em><\/p>\n

Unbekannte haben Zugriff auf sensible Daten<\/a> von mehr als 30.000 aktive und ehemalige Kunden erhalten. <\/em>Ein GAU f\u00fcr das erst 2014 gegr\u00fcndete M\u00fcnchner Start-up und alle Betroffenen. <\/em><\/p>\n

F\u00fcr letztere stellt sich nun die Frage nach ihren Rechten. Der folgende Beitrag skizziert die j\u00fcngsten Ereignisse und kl\u00e4rt auf, ob und in welche H\u00f6he Ihnen Schadensersatzanspr\u00fcche<\/a> zustehen.<\/em><\/p>\n

Was ist geschehen?<\/h2>\n

Scalable Capital hat am 16. Oktober 2020 einen rechtswidrigen Zugriff auf einen Teilbestand des eigenen Dokumentenarchivs festgestellt. Dieser sei unter Zuhilfenahme von unternehmensinternem Wissen, das nur \u00fcber entsprechend gesicherte Zug\u00e4nge verf\u00fcgbar sei, erfolgt. Einen Angriff von au\u00dfen schlie\u00dft der selbsternannte Broker & f\u00fchrende Robo-Adviser aus. Eine ausnutzbare Sicherheitsl\u00fccke habe es nicht gegeben.<\/p>\n

Betroffen sind rund 23.000 Kunden<\/h2>\n

Betroffen sind laut eigenen Angaben rund 23.000 aktive Kunden. Auch auf die Daten von ehemaligen Kunden und derjenigen, die den Anmeldeprozess abgeschlossen, aber noch kein Geld eingezahlt h\u00e4tten, sei zugegriffen worden. Scalable Capital geht diesbez\u00fcglich von 9.000 weiteren F\u00e4llen aus. Dies Gesamtzahl von 32.000 entspricht in etwa einem F\u00fcnftel aller Kunden. Ein drastisches Ausma\u00df.<\/p>\n

Das Unternehmen beteuert, dass das Verm\u00f6gen der Betroffenen \u201ezu keiner Zeit gef\u00e4hrdet\u201c war. Die Vertraulichkeit des eigenen Passworts f\u00fcr den Kundenbereich sei unver\u00e4ndert gew\u00e4hrleistet. Um kein unn\u00f6tiges Risiko einzugehen, empfehlen wir Ihnen das Passwort zu \u00e4ndern.<\/p>\n

Ungeachtet dessen sind die Auswirkungen des Vorfalls enorm. Zu den erbeuteten Informationen geh\u00f6ren unter anderem Kontaktdaten wie Adresse und Geburtsdatum, Ausweisdaten, Steuer-IDs, Verm\u00f6genswerte der Depots und Kontonummern. Business Insider<\/a> berichtet, dass Betroffene mit Erpressermails und Spam-Anrufen unter Druck gesetzt werden. Scalable Capital selbst warnt vor Phishing-Angriffen und Identit\u00e4tsmissbrauch.<\/p>\n

Der online Verm\u00f6gensverwalter hat die zust\u00e4ndigen Aufsichtsbeh\u00f6rden informiert. Dazu geh\u00f6ren die Deutsche Bundesbank, die Bundesanstalt f\u00fcr Finanzdienstleistungsaufsicht (BaFin<\/a>) und die Bayrische Datenschutzbeh\u00f6rde. Auch die Staatsanwaltschaft wurde eingeschaltet. Diese leitete umgehend ein Ermittlungsverfahren ein.<\/p>\n

K\u00f6nnen Betroffene Auskunft und Schadensersatz verlangen?<\/h2>\n

F\u00fcr Betroffene stellt sich die Frage, ob Sie Schadensersatzanspr\u00fcche<\/a> geltend machen k\u00f6nnen. In Betracht kommen sowohl ein materieller (bezifferbarer) als auch ein immaterieller Schadensersatzanspruch, der auf Schmerzensgeld gerichtet ist. Anspruchsgrundlage ist Art.\u00a082 DSGVO<\/a>.<\/p>\n

Ein Verm\u00f6gensschaden k\u00f6nnte dadurch entstehen, dass Sie Ihre Daten und\/oder Ausweisdokumente \u00e4ndern oder erneuern m\u00fcssen. Scalable Capital kommt seinen Kunden entgegen. Bei Anhaltspunkten f\u00fcr eine missbr\u00e4uchliche Verwendung Ihres Ausweises oder wenn eine zust\u00e4ndige Beh\u00f6rde dessen Austausch f\u00fcr geboten halte, \u00fcbernehme das Unternehmen die Kosten. Ein Rechtspflicht wird ausdr\u00fccklich nicht anerkannt. Weitergehende Anspr\u00fcche sind nicht ausgeschlossen. Dies gilt insbesondere dann, wenn Scalable Capital den Datendiebstahl zu vertreten hat. Der Finanzdienstleister muss zudem mit empfindlichen Bu\u00dfgeldern rechnen.<\/p>\n

In der Vergangenheit haben Gerichte bei Verst\u00f6\u00dfen gegen Art. 82 DSGVO<\/a> Schadenersatz in H\u00f6he von 1.500 \u20ac (ArbG Dresden, Urt. v. 26.08.2020 – Az. 13 Ca 1046\/20<\/a>) bzw. sogar 4.000 \u20ac zugesprochen (AG Pforzheim, Urt. v. 25.03.2020 – Az. 13 C 160\/19<\/a>). In beiden Urteilen ging es um die unerlaubte Weitergabe von Gesundheitsdaten. Das AG Darmstadt hat in einem Fall, in dem es um die irrt\u00fcmliche Verbreitung von Bewerberdaten ging, 1.000 \u20ac Schadensersatz gew\u00e4hrt. Angesichts des Ausma\u00dfes der Datenschutzverst\u00f6\u00dfe sind in der Causa Scalable Capital etwas h\u00f6here Schadensersatzersatzanspr\u00fcche realistisch.<\/p>\n

Nach erfolgter Mandatierung k\u00f6nnen wir f\u00fcr Sie zum Zwecke der Sachverhaltsaufkl\u00e4rung Auskunft<\/a> verlangen und Ihre Schadensersatzanspr\u00fcche im Lichte des Einzelfalls sachgem\u00e4\u00df beurteilen und geltend machen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Mitte Oktober 2020 wurde ein erheblicher Datenschutzvorfall beim digitalen Verm\u00f6gensverwalter Scalable Capital bekannt. Unbekannte haben Zugriff auf sensible Daten von mehr als 30.000 aktive und ehemalige Kunden erhalten. Ein GAU f\u00fcr das erst 2014 gegr\u00fcndete M\u00fcnchner Start-up und alle Betroffenen. F\u00fcr letztere stellt sich nun die Frage nach ihren Rechten. Der folgende Beitrag skizziert die […]<\/p>\n","protected":false},"author":75,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"content-type":"","footnotes":""},"categories":[8],"tags":[17877,18838,18839,18840],"class_list":["post-55879","post","type-post","status-publish","format-standard","hentry","category-datenschutzrecht","tag-schadensersatzanspruch","tag-scalable-capital","tag-datenschutzvorfall","tag-art-82-dsgvo","topic_category-datenschutzrecht"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts\/55879","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/users\/75"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/comments?post=55879"}],"version-history":[{"count":0,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts\/55879\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/media?parent=55879"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/categories?post=55879"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/tags?post=55879"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}