Updates zum Datenleck bei Scalable Capital

 

Letztes Update: 16. August 2022

Diese Seite dient zur Information unserer Kunden und den Mandaten der Kanzlei Raimer zum Thema Scalable Capital Datenschutzvorfall im Oktober 2020.

Bitte haben Sie dafür Verständnis, dass wir aus Prozess-taktischen Gründen nicht alle Informationen mit Ihnen teilen können. Dennoch versuchen wir Ihnen den Fortschritt aufzuzeigen.

 

 

 

Update vom 13. November 2020:
Gerne möchten wir, zusammen mit der Kanzlei Raimer Ihnen, die sich erfolgreich auf EuGD.org registriert haben, auf diesem Wege ein erstes Update zum Verfahrensstand geben. Dieses Update, sowie zukünftige Updates finden Sie unter https://eugd.org/scalable-capital-update/

Um Sie nicht mit unzähligen E-Mails zu belästigen, werden wir in Zukunft nur wesentliche Updates per E-Mail kommunizieren, alle Updates finden Sie jeweils auf der Webseite.

 

Status-Quo:

Für uns, wie auch für die meisten Betroffenen, gibt es nach wie vor noch etliche Unklarheiten, was passiert ist und was das Datenleck für die Betroffenen bedeutet.

Wir haben in den letzten Wochen Informationen aus verschiedensten Quellen geprüft, dennoch bleiben die verfügbaren Informationen zum Teil widersprüchlich, zum Teil auch vage. Gleichwohl gilt als recht gesichert:

  • Das Datenleck hat 33.000 Kunden und ehemalige Kunden betroffen, ebenso Interessierte, die jedoch die Anmeldung abgebrochen haben.
  • Der Zugriff auf die Daten durch Dritte erfolgte wohl über einen Zeitraum von rund 6 Monaten – April bis Oktober 2020.
  • Es sind sämtliche Dokumente der Scalable Capital Mailbox betroffen, wozu beispielsweise Passkopien, Depotauszüge, Steuer-ID und andere vertrauliche Daten zählen.
  • Der Identitätsdiebstahl erfolgte unter Zuhilfenahme von unternehmensinternem Wissen. Jemand dürfte gewusst haben, wie die Datenschutzvorkehrungen überwunden werden können. Offen aber bleibt, ob und welche Schutzmaßnahmen gegen Datenlecks überhaupt ergriffen wurden.
  • Erste Fälle von aktivem Identitätsmissbrauch sind bekannt. In diesen Fällen wurden beispielsweise E-Mails an Betroffene geschickt und Passkopien als Anlage beigefügt. Sollten Sie eine derartige E-Mail bekommen haben, leiten Sie uns diese bitte weiter.

 

Die Kanzlei Raimer hat letzte Woche eine erste Schadenersatz-Forderung für einen Betroffenen bei Scalable Capital geltend gemacht. Da es innerhalb der gesetzten Frist keine Zahlung gab, wird aktuell eine entsprechende Musterklage vorbereitet.

 

Nächste Schritte:

  • Wir werden voraussichtlich noch im November mehrere Musterklagen einreichen. Neben Schadenersatz-Forderungen wird es dabei um Auskünfte auf Basis der DSGVO gehen. Wir planen hier mit einer niedrigen zweistelligen Anzahl an Muster-Fällen. Bei diesen Muster-Fällen versuchen wir sowohl örtlich (Ihr Wohnort), als auch inhaltlich (z.B. Kunden, ehemalige Kunden, nicht-Kunden oder Art der betroffenen Daten) verschiedene Konstellationen heraus zu arbeiten.
  • Wir werden im Dezember Betroffenen die Möglichkeit geben gegen eine reduzierte Provision mit Hilfe ihrer Rechtschutzversicherung rechtliche Schritte einzuleiten. Sollten Sie eine Rechtschutzversicherung haben und an einem Muster-Fall mit reduzierter Provision Interesse haben, freuen wir uns auf Ihre Rückmeldung an kanzlei.raimer@eugd.org unter Angabe Ihrer Rechtschutzversicherung, sowie der Versicherungsnummer.
  • Wir werden weiter aktiv nach Informationen zum Datenschutzvorfall Ausschau halten, freuen uns aber natürlich auch auf Hinweise von Ihnen.

Uns haben auch einige Anfragen in Bezug auf die Zeitachse und die nächsten Schritte im Einzelfall bekommen.

Wir gehen aktuell nicht davon aus, dass wir vor Ende 2021 eine breite Einigung für die Betroffenen erreichen werden. Entsprechend müssen wir Sie hier um Geduld bitten, was jedoch schlicht und einfach an der Neuheit der gesetzlichen Grundlage liegt.

 

Updates zu Einzelfällen folgen mit Ausnahme der Musterfälle ebenfalls nicht vor Frühjahr 2021, sofern es sich hier ähnlich verhält wie in anderen Fällen.

Update vom 16. Dezember 2020:

Zunächst einmal möchten wir uns für die vielen Rückmeldungen bedanken, vor allem in Bezug auf einen Missbrauch der Daten, sowie Details zu Rechtsschutzversicherungen (siehe Update vom 13. November).

– Wir haben in den letzten Wochen über verschiedene Kanäle Rückmeldungen von Scalable Capital bekommen und diese waren stets professionell, freundlich und bemüht.
– Leider gab es bisher jedoch kein Einlenken in Bezug auf Schadenersatzforderungen, weshalb von der Kanzlei Raimer für einen Betroffenen eine Klage beim Landgericht München eingereicht wurde.
Weitere Muster-Klagen werden nach Freigabe durch die Betroffenen im Laufe der nächsten Wochen eingereicht werden. Sollten Sie ebenfalls daran Interesse haben und eine Rechtsschutzversicherung haben, können Sie sich hier gerne anschliessen. Es gelten natürlich entsprechend geringere Provisions-Werte für EuGD.
– Wir sind weiterhin auf der Suche nach Geschädigten, deren Daten aktiv missbraucht wurden. Ein derartiger Missbrauch kann beispielsweise der Erhalt einer E-Mail mit der Pass-/Ausweis-Kopie sein.

Aufgrund der anstehenden Feiertage und der Covid-19-Beschränkungen werden wir voraussichtlich erst im Februar 2021 ein nächstes Update geben können.

Wir wünschen Ihnen und Ihrer Familie besinnliche Feiertage, einen guten Start ins Neue Jahr und vor allem Gesundheit!

Update vom 06. August 2021

Seit dem letzten Update sind einige Monate vergangen, in denen wir jedoch nicht untätig waren. Ein erstes Musterverfahren beim Landgericht München läuft und hat wertvolle Erkenntnisse gebracht.

Scalable Capital hat nach unserem Verständnis widersprüchliche Angaben gemacht, wie es zu dem Datenleck kam. Dabei reichen die Ansätze bisher von einem (ehemaligen) Mitarbeiter, über den Abgriff von Zugangsdaten bis hin zu einer Sicherheitslücke bei einem Drittanbieter. Die genaue Ursache des Datenlecks wird jedoch, vermutlich auch prozesstaktischen Gründen, nicht kommuniziert. Für uns hinterlässt dies einen faden Beigeschmack, da der Gegenseite wohl nicht an der Aufklärung des Sachverhalts und Transparenz gegenüber den Kunden gelegen ist. Dies können wir in einem Markt, in dem Vertrauen eine derartig hohe Bedeutung hat, nicht nachvollziehen.

Bezüglich etwaiger Versäumnisse oder Datenschutz-Verstöße, die zu dem Datenleck geführt haben, hüllt sich Scalable Capital Großteils in Schweigen. Scalable Capital versucht die Korrektheit ihres Handelns durch eigene Mitarbeiter als Zeugen, sowie ein ISO Zertifikat nachzuweisen. Dass das bisher vorgelegte Zertifikat jedoch für eine andere Gesellschaft ausgestellt wurde und auch das erst rund 3 Monate nach (!) dem Datenleck, verwundert dabei doppelt.

Wir arbeiten weiter an einer Sachaufklärung und dem Zuspruch von Schadenersatz für die Betroffenen. Aus unserer Sicht sind sensible Daten in die Hände krimineller Dritter gelangt und die Umstände, die dazu geführt haben, sind nach wie vor unbekannt. Andere Unternehmen versuchen in derartigen Fällen durch Transparenz Vertrauen aufzubauen, während in diesem Fall versucht wird, durch Intransparenz glimpflich davon zu kommen.

Da uns diesbezüglich auch einige Fragen erreicht haben:

Neben der Durchsetzung von Schadenersatz-Forderungen gibt es natürlich auch noch den Weg der Beschwerde bei der zuständigen Datenschutzaufsicht. Im Fall Scalable Capital wäre dies wohl das BayLDA. Dieser Weg steht Ihnen natürlich frei, ist jedoch nicht nötig. Für den Musterkläger wurde bereits ein Beschwerde eingereicht, individuelle Beschwerden unterstreichen aber wohl die Schwere des Vorfalls.

Wir rechnen mit einem ersten Urteil im September oder Oktober 2021 und werden Details dazu entsprechend hier kommunizieren.

Sollten sich zwischenzeitlich Neuigkeiten ergeben, werden wir Sie natürlich auf dem Laufenden halten.

Update vom 21. Dezember 2021

In der Musterklage vor dem Landgericht München, die wir vor rund einem Jahr eingereicht haben, gibt es ein positives Urteil! Scalable Capital wurde dabei unter anderem dazu verurteilt dem Kläger einen immateriellen Schadenersatz in Höhe von 2.500 EUR zu zahlen und zukünftige materielle Schäden aus dem Datenleck zu ersetzen.
Materielle Schäden sind dabei in der Regel finanzielle Nachteile, die beispielsweise durch den Austausch eines Reisepasses entstehen. Immaterielle Schäden, sind Schäden, die sich schwerer quantifizieren lassen, da sie zum Beispiel aus Gefühlen wie Angst oder schwer greifbaren Folgen wie Identitätsdiebstahl oder Kontrollverlust bestehen.

Es ist somit, nach unserem Wissen, das erste Urteil in Deutschland in dem einem Datenleck-Opfer ein (spürbarer) Schadenersatz zugesprochen wurde.

Die Kanzleien Raimer und Spirit Legal haben dabei gemeinsam hervorragende Arbeit geleistet, wofür wir uns besonders bedanken wollen.

Wie geht es weiter?
Scalable Capital hat nun einen Monat Zeit gegen das Urteil Berufung einzulegen. Wir wären nicht überrascht, wenn sie dies machen, sehen jedoch auch eine gute Chance, dass das Oberlandesgericht München als nächste Instanz, das Urteil bestätigt. Ob wir Berufung gegen Teile des Urteils einlegen ist aktuell noch nicht final entschieden.

Was bedeutet das für Sie?
Aktuell droht in diesem Fall noch keine Verjährung, so dass keine akuten Schritte notwendig sind. Wir gehen davon aus spätestens im März Klarheit zu haben ob und gegen welche Teile des Urteils Berufung eingelegt wird. Parallel dazu ist für Ende März eine Verhandlung am Landgericht Köln angesetzt. Wir erwarten auch hier, dass dem Kläger Schadenersatz zugesprochen wird.
Im Anschluss werden wir entscheiden, wie Ihre Ansprüche am Besten durchgesetzt werden können.

Sollten Sie sich jetzt noch registrieren?
Ja! In anderen Verfahren mit vielen Betroffenen werden häufig im Anschluss an erste gerichtliche Einschätzungen oder Niederlagen vertrauliche Gespräche für Vergleichsverhandlungen gestartet. Etwaige „Nachzügler“ hatten häufig nicht mehr die Chance am Vergleich teilzunehmen. Aktuell gibt es jedoch keine derartigen Gespräche und es ist reine Spekulation ob Scalable Capital den Weg über die Gerichte oder einen außergerichtlichen Vergleich bevorzugt. Eine Registrierung wegen des Scalable Capital Datenlecks macht daher auf jeden Fall noch Sinn!
Alternativ haben Sie jederzeit die Möglichkeit unter eigenem Kostenrisikio einen eigenen Anwalt zu beauftragen, was durch das Muster-Urteil sicherlich leichter geworden ist. Ob es für diesen wirtschaftlich abbildbar ist für unter 1.000 Euro (Gebührensatz nach RVG) gegen über 100 Seiten Schriftsätze (wie im Musterverfahren) qualitativ hochwertig zu argumentieren, lassen wir dahingestellt.

Wir wünschen Ihnen und Ihrer Familie noch eine besinnliche Adventszeit, schöne Weihnachten und einen guten Start in ein gesundes und glückliches 2022!

Update vom 19. Mai 2022

Eine weitere Muster-Klage wurde mittlerweile vom Landgericht Köln entschieden. Dem Kläger wurden in diesem Fall 1.200 EUR Schadenersatz zugesprochen. Auch in diesem Fall sah es das Gericht als erwiesen an, dass Scalable Capital gegen die DSGVO verstoßen hat und dem Betroffenen immaterieller Schadenersatz zusteht. Das Urteil ist noch nicht rechtskräftig.

Wir freuen uns natürlich sehr, dass auch das zweite Urteil positiv ausgefallen ist, auch wenn die Höhe des Schadenersatzes nur bedingt überzeugt.

Bezüglich des Urteils aus dem Dezember 2021 vom Landgericht München mit einem Schadenersatz in Höhe von 2.500 EUR wurde von Scalable Capital Berufung eingelegt. Für Ende Juni ist vor dem Oberlandesgericht München die Berufungsverhandlung angesetzt. Das dortige Urteil, das wir im Sommer diesen Jahres erwarten wird sicherlich richtungsweisend für das weitere Vorgehen. Entsprechend werden wir voraussichtlich im Spätsommer mit Details zu den nächsten Schritten auf Sie zukommen.

Update vom 16. August 2022

2.500 Euro Schadenersatz sind nach Verhandlung beim OLG München rechtskräftig!
Scalable Capital hat die Berufung gegen das Urteil des Landgericht München vom Dezember 2021 nach der mündlichen Verhandlung beim OLG München „aus strategischen Gründen“ zurückgenommen. Damit ist das Urteil aus dem Dezember 2021 rechtskräftig.

In einem Verfahren vor dem Landgericht Stuttgart, das nicht von EuGD begleitet wurde, wurden wie im Mai in Köln ebenfalls 1.200 Euro Schadenersatz zugesprochen. Wir gehen davon aus, dass sich ein Schadenersatz im 4-stelligen Bereich auch in anderen Verfahren durchsetzen wird.

Wir prüfen aktuell zusammen mit den involvierten Kanzleien welche Schritte als nächstes unternommen werden um den anderen Betroffenen bestmöglich helfen zu können.