Gepostet 19 Oktober 2020
Scalable Capital: Datenschutzvorfall
UPDATE 3:
Achtet darauf, dass beim Abschluss von meineSCHUFA PLUS ein bereits bestehender meinSCHUFA-Zugang (den es in der Vergangenheit mal kostenlos gab) mit sofortiger Wirkung geschlossen wird.
Ihr tauscht also 1 Jahr PLUS-Paket gegen Euren dauerhaft kostenlosen Zugang.
Update 3 Ende
UPDATE 2:
Falls ihr von Dritten mit einem Phishing-Versuch kontaktiert wurdet, löscht die E-Mail bitte nicht. Diese kann unter Umständen den Ermittlungsbehörden als Beweismittel dienen. Stattdessen bitte wie in den FAQ erwähnt an service@scalable.capital weiterleiten, bestenfalls als Anhang.
Scalable Capital rät in diesem Fall zudem, umgehend eine Strafanzeige bei der Staatsanwaltschaft oder der Polizei zu erstatten.
Update 2 Ende
UPDATE:
"Bin ich betroffen?
Es sind ausschließlich Kunden betroffen, die die Vermögensverwaltung oder das Brokerage unter der Marke “Scalable Capital” nutzen. Wenn Sie den Eröffnungsprozess nach dem 10. Oktober 2020 begonnen haben, sind Sie nicht betroffen. Betroffene Kunden haben am Montag den 19. Oktober abends per E-Mail eine Benachrichtigung zum Datenschutzvorfall erhalten.
Grundsätzlich nicht betroffen sind Kunden, die eine Vermögensverwaltung unter der Marke Oskar abgeschlossen haben. Kunden, deren Depot bei der ING geführt wird, sind ebenfalls nicht betroffen.
Der Zugriff umfasste auch Dokumente von ehemaligen Kunden sowie von Personen, die die Anmeldung noch nicht abgeschlossen hatten. [Quelle]"
UPDATE Ende
Hallo zusammen,
ich habe vor einigen Minuten eine Mail von Scalable Capital bekommen:
[...] "in Ihrer Mailbox wartet eine neue Nachricht auf Sie:
Benachrichtigung über Datenschutzvorfall"
Leider kann ich mich nicht einloggen - Benutzername oder Passwort sind nicht korrekt!
Edit: Gerade war sogar die komplette Website im Wartungsmodus.
Kann jemand Infos dazu geben? News finde ich hierzu leider nicht.
Edit: Danke für Euer Feedback.
Achtet darauf, dass beim Abschluss von meineSCHUFA PLUS ein bereits bestehender meinSCHUFA-Zugang (den es in der Vergangenheit mal kostenlos gab) mit sofortiger Wirkung geschlossen wird.
Ihr tauscht also 1 Jahr PLUS-Paket gegen Euren dauerhaft kostenlosen Zugang.
Update 3 Ende
UPDATE 2:
Falls ihr von Dritten mit einem Phishing-Versuch kontaktiert wurdet, löscht die E-Mail bitte nicht. Diese kann unter Umständen den Ermittlungsbehörden als Beweismittel dienen. Stattdessen bitte wie in den FAQ erwähnt an service@scalable.capital weiterleiten, bestenfalls als Anhang.
Scalable Capital rät in diesem Fall zudem, umgehend eine Strafanzeige bei der Staatsanwaltschaft oder der Polizei zu erstatten.
Update 2 Ende
UPDATE:
"Bin ich betroffen?
Es sind ausschließlich Kunden betroffen, die die Vermögensverwaltung oder das Brokerage unter der Marke “Scalable Capital” nutzen. Wenn Sie den Eröffnungsprozess nach dem 10. Oktober 2020 begonnen haben, sind Sie nicht betroffen. Betroffene Kunden haben am Montag den 19. Oktober abends per E-Mail eine Benachrichtigung zum Datenschutzvorfall erhalten.
Grundsätzlich nicht betroffen sind Kunden, die eine Vermögensverwaltung unter der Marke Oskar abgeschlossen haben. Kunden, deren Depot bei der ING geführt wird, sind ebenfalls nicht betroffen.
Der Zugriff umfasste auch Dokumente von ehemaligen Kunden sowie von Personen, die die Anmeldung noch nicht abgeschlossen hatten. [Quelle]"
UPDATE Ende
Hallo zusammen,
ich habe vor einigen Minuten eine Mail von Scalable Capital bekommen:
[...] "in Ihrer Mailbox wartet eine neue Nachricht auf Sie:
Benachrichtigung über Datenschutzvorfall"
Leider kann ich mich nicht einloggen - Benutzername oder Passwort sind nicht korrekt!
Edit: Gerade war sogar die komplette Website im Wartungsmodus.
Kann jemand Infos dazu geben? News finde ich hierzu leider nicht.
Edit: Danke für Euer Feedback.
Zusätzliche Info
351 Kommentare
sortiert nachwie kann es eig sein, dass verschiedene landgerichte mit dem fall (bzw den jeweiligen einzelfaellen) betraut sind? dachte gerichtsort ist nur der ort der beklagten (muenchen).
die urteile machen mir gerade hoffnung (bearbeitet)
eugd.org/250…al/
toll
Das hat die letzten Tage aber generell stark zugenommen und trifft weit mehr als die Leute von Scalable. So wird auch meine Tante seit kurzem ständig von "Europol" angerufen und die hat noch ein Klapphandy und ihre Nummer nirgends online hinterlegt.
Und in Köln gab es jetzt 1.200 Euro - geht doch!
eugd.org/sca…te/ (bearbeitet)
Schon ewigkeiten nichts mehr gehört.
Liebe Registrierte des Scalable Capital Datenlecks,
seit unserem letzten Schreiben sind einige Monate vergangen, in denen wir erfolgreich für die Durchsetzung Ihrer Rechte gekämpft haben.
Was ist in der Zwischenzeit geschehen?
Wir konnten zwei weitere Prozesse für die Geschädigten gewinnen, in denen das Landgericht München 1.500 Euro und das Amtsgericht Frankfurt 500 Euro Schadenersatz zugesprochen haben. In allen von der EuGD unterstützten Fällen wurde somit Schadenersatz gewährt.
Dies betrachten wir als bedeutenden Erfolg, insbesondere da es in ähnlich gelagerten Fällen nicht von uns unterstützter Betroffener zu keiner Schadenersatzzahlung kam.
Unser Engagement geht weiter: Weitere Prozesse sind beim Landgericht München anhängig, ebenso wie Berufungsverfahren beim Landgericht Frankfurt und dem Oberlandesgericht München. Hier erwarten wir Urteile im Frühjahr bzw. Sommer 2024.
Bei einem Verfahren vor dem Gericht der Europäischen Union (EuG), welches von Spirit Legal begleitet wird, gab es Mitte Oktober eine mündliche Verhandlung. Ein zentrales Thema dabei war auch die Berechnung und Höhe von Schadenersatz bei Datenschutzverletzungen. Wir erwarten hier Anfang 2024 ein Urteil, das anderen Gerichten Anhaltspunkte für die Berechnung der Höhe des Schadenersatzes geben kann.
Ende Oktober hat sich der Generalanwalt des Europäischen Gerichtshof zu der Frage des Schadens im Fall dieses Datenlecks geäußert. Der Generalanwalt kommt dabei zu folgendem Ergebnis:
„Der Diebstahl sensibler personenbezogener Daten einer betroffenen Person durch einen unbekannten Straftäter kann zu einem Anspruch auf immateriellen Schadensersatz führen, wenn der Nachweis eines Verstoßes gegen die Datenschutz-Grundverordnung, eines konkreten erlittenen Schadens und eines Kausalzusammenhangs zwischen dem Schaden und diesem Verstoß erbracht wird. Für die Gewährung eines solchen Schadensersatzes ist es nicht erforderlich, dass der Straftäter die Identität der betroffenen Person angenommen hat, und der Besitz von Daten, die die betroffene Person identifizierbar machen, stellt für sich genommen keinen Identitätsdiebstahl dar.“
Weiter führt der Generalanwalt aus:
„Aus den vorstehenden Erwägungen folgt, dass der Diebstahl personenbezogener Daten zwar keinen Identitätsdiebstahl oder -betrug darstellt, jedoch zur Entstehung eines immateriellen Schadens und zu einem Schadensersatzanspruch nach Art. 82 Abs. 1 der DSGVO führen kann.
Der Nachweis eines immateriellen Schadens kann einfacher zu erbringen sein, wenn festgestellt wird, dass die betroffene Person infolge des Diebstahls ihrer personenbezogenen Daten Opfer eines Identitätsdiebstahls oder -betrugs geworden ist. Ein Anspruch auf Ersatz des immateriellen Schadens nach Art. 82 Abs. 1 der DSGVO wegen des Diebstahls personenbezogener Daten hängt jedoch nicht vom Vorliegen eines Identitätsdiebstahls oder -betrugs ab.“
Das Urteil in diesem Verfahren, welches auf die Empfehlung des Generalanwalts folgt, erwarten wir Anfang 2024. Basierend auf den Ausführungen des Generalanwalts sind wir zuversichtlich, dass der EuGH diesen Ausführungen folgt, womit ab Anfang 2024 regelmäßig nur noch die konkrete Höhe des Schadenersatzes offen ist.
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat den Fall nach wie vor nicht abgeschlossen, jedoch sind wir mit der Behörde im Austausch. Wir vermuten einen Abschluss im Laufe der nächsten Monate. Womöglich werden dabei auch ein oder mehrere Datenschutzverstöße festgestellt, die zum Datenleck geführt haben.
Natürlich haben wir auch den direkten Kontakt zu den Anwälten von Scalable Capital, der Kanzlei Freshfields, aufgenommen, um die Möglichkeit eines außergerichtlichen Vergleichs zu erörtern. Bisher gab es keine konkreten Angebote, allerdings wurde angedeutet, dass ein potenzieller Vergleichsbetrag maximal im untersten dreistelligen Bereich liegen würde. Angesichts der rechtskräftigen Urteile, die zwischen 1.200 und 2.500 Euro festlegen, erscheint uns ein solcher Betrag als inadäquat und eher als Versuch, die Betroffenen unter Wert abzuspeisen.
Hinweis zu möglicher Verjährung
Wir legen Wert auf Transparenz, daher möchten wir Sie über ein wichtiges Detail bezüglich der möglichen Verjährung der Ansprüche informieren:
Es besteht die Möglichkeit, dass Schadensersatzansprüche gegen Scalable Capital aus dem Datenleck von Ende 2020 bis Ende des Jahres 2023 verjähren könnten.
Um dies zu vermeiden, wären verjährungshemmende Maßnahmen erforderlich.
EuGD wird solche Maßnahmen nicht für Sie ergreifen.
Ihre Handlungsoptionen werden weiter unten aufgeführt.
Unsere unverbindliche Einschätzung, die Ihren Einzelfall nicht betrifft: Für eine Verjährung müsste man im Jahr 2020, dem Zeitpunkt des Datenlecks, gewusst haben, dass das Datenleck auf einen Verstoß gegen die DSGVO durch Scalable zurückzuführen ist. Denn ohne einen solchen Verstoß bestünde kein Anspruch auf Schadenersatz, und man hätte diesen folglich auch nicht geltend machen können. Es erscheint uns zwar möglich, aber unwahrscheinlich, dass Gerichte bereits das Datenleck selbst oder die E-Mail an die Betroffenen vom Oktober 2020, in der Scalable noch jede Verantwortung abstritt, als hinreichenden Indikator für einen Verstoß werten und die Ansprüche somit bereits zum 31.12.2023 als verjährt betrachten könnten.
Mehrere von uns konsultierte Rechtsexperten bewerten das Risiko einer Verjährung als eher gering. Es wäre nicht im Sinne des Gesetzes und der Ziele der DSGVO, wenn Betroffene ohne fundierte Kenntnis eines Verstoßes Klage erheben müssten, insbesondere wenn der Verstoß selbst nach Jahren weder von einer Aufsichtsbehörde festgestellt noch rechtskräftig entschieden, noch von Scalable Capital eingeräumt wurde. Trotzdem möchten wir Sie auf das potenzielle Risiko einer Verjährung hinweisen.
Wie geht es weiter?
Angesichts des oben diskutierten Verjährungsrisikos stehen Ihnen drei Handlungsoptionen zur Verfügung:
1. Vertragsauflösung:
Sie können den Vertrag mit EuGD kündigen und Ihre Ansprüche selbstständig geltend machen. Hierzu sollten Sie sich direkt oder über einen Rechtsanwalt an Scalable Capital wenden. Dabei sollten Sie die Hinweise zur Verjährung beachten. In diesem Fall würden wir den Vertrag mit Ihnen beenden und auf jegliche Vergütung verzichten. Dieses Angebot ist bis zum 30. November 2023 gültig. Bitte treten Sie für weitere Schritte mit uns in Kontakt, vorzugsweise per Antwort auf diese E-Mail.
2. Individuelle Durchsetzung über Ihre Rechtsschutzversicherung, wobei EuGD die Selbstbeteiligung übernimmt:
Wir haben mit der Kanzlei Dr. Stoll & Sauer, einer renommierten Verbraucherschutzkanzlei, eine Vereinbarung getroffen. Sollte Ihre Rechtsschutzversicherung eine Deckungszusage erteilen, können Sie ohne Kostenrisiko gegen Scalable Capital vorgehen. EuGD übernimmt in diesem Fall Ihre Selbstbeteiligung bis zu einem Betrag von 250 EUR. Da die Deckungszusagen einige Zeit in Anspruch nehmen können, empfehlen wir Ihnen, bei Interesse an dieser Option das folgende Formular bis spätestens zum 30. November 2023 zu übermitteln:
eugd.org/sch…ng/
3. Verbandsklage in Kooperation mit einer Verbraucherschutzorganisation:
Wir befinden uns in Gesprächen mit Verbraucherschutzorganisationen, darunter noyb unter der Leitung von Max Schrems, um eine Verbandsklage in Deutschland anzustrengen. Der Gesetzgeber hat für die notwendigen Regelungen mehr Zeit benötigt als erwartet, weshalb eine Klage nicht mehr im Jahr 2023 eingereicht werden kann. Wir sind jedoch zuversichtlich, im Jahr 2024 in Zusammenarbeit mit einem klagebefugten Verband eine solche Klage einzureichen.
4. Weiteres Vorgehen durch EuGD:
Wir sind weiterhin der Überzeugung, dass die Betroffenen des Datenlecks einen Anspruch auf Schadenersatz haben und dass dieser aufgrund der Art der betroffenen Daten im oberen dreistelligen Euro-Bereich liegen sollte. Wir werden die laufenden Verfahren vorantreiben und streben an, in allen Verfahren weiterhin rechtskräftig Schadenersatz zugesprochen zu bekommen. Mögliche Vergleichsverhandlungen würden wir nur führen, wenn die Höhe des Schadenersatzes dem Durchschnittsschaden eines jeden Betroffenen entspricht. In den kommenden Wochen und Anfang 2024 werden wir weitere Klagen einreichen, in denen wir sowohl immateriellen als auch materiellen Schadenersatz fordern werden. Es ist offensichtlich, dass die von Scalable Capital durchgeführte und kommunizierte Aufklärung nicht ausreichend ist, um das Risiko für die Betroffenen abschätzen zu können.
Wir planen zudem, mehrere Cybersecurity-Experten hinzuzuziehen, die nach den gestohlenen Datensätzen suchen, deren Verbreitung dokumentieren und die Inhalte analysieren werden. Nur so lässt sich Klarheit über die möglichen Konsequenzen schaffen, über die Scalable Sie bisher völlig im Dunkeln gelassen hat.
Wir sind zuversichtlich und bleiben fest entschlossen, dass Scalable Capital die Verantwortung für den unsachgemäßen Umgang mit Ihren Daten und die daraus folgenden Konsequenzen tragen wird. Es ist unser stetiges Bestreben, Ihre Interessen zu vertreten und für Ihr Recht auf angemessenen Schadenersatz einzutreten. Wir freuen uns darauf, Sie auf diesem Weg weiterhin zu unterstützen und positive Ergebnisse zu erzielen.
Beste Grüße
Team EuGD
Wenn das mit meinem mydealz Profil passiert, who cares aber meinem Depot, welches paar Euro beinhaltet inkl. meiner Steuerdaten, Personaldaten, Ausweisnummer, Geburtsdatum, Geburtsort etc passiert, ist das Game changing.
Das ist mehr als eine Mail Adresse und ein random Passwort. Das reicht für viele neue Bankkonten aus afrikanischen Scam Netzwerke
Das sehe ich anders, eine Bank oder ein Finanzdienstleister ist kein Mittelständler der Getriebedeckel o.ä. herstellt. Für jeden Scheiß gibt es in einer Bank ein 4 oder 6 Augenprinzip, diverse Gesetze und Richtlinien nach KWG, GWG, ZAG und EU-Recht. Die Aufsicht in Form der BaFin hat Hoheitsrechte, die es so in der Form für keine andere Industrie gibt, sowas ist schlicht inakzeptabel.
Darüber hinaus finde ich es erbärmlich, wie man so pennen kann. Sollte es sich um einen Ex-Mitarbeiter handeln, bei dem Schlicht vergessen wurde das entsprechende IT-Profil mit den zugehörigen (Admin-) Rechten zu löschen, will ich gar nicht wissen, wie sonst mit sensiblen Daten umgegangen wird.
Blamabel in jedem Fall... ich hatte zu Beginn des Crashs im März alles bis auf 10.000 Euro abgezogen, weil ich die Strategie waghalsig fand, weil so spät und so viel in Aktien, aber trotz Pandemie mit Durchhalteparolen. Als sie dann am Tiefpunkt quasi offiziell das Ende der Aktien erklärt haben und dann den Aufschwung verpasst haben, war der mehrjährige Test für mich aus Prinzip beendet. Der Algorithmus und der Professor können wirklich gar nichts besser, kosten aber mehr als ETF-Sparpläne. Nur die großen Banken und Broker hackt offenbar keiner so schnell.
Es war ein Ex Mitarbeiter der IT. Da kann man nur hoffen er die Daten noch nicht verkauft hat, bevor die Polizei ihm die Tür eingetreten hat.
de.extraetf.com/new…nne
Wie kann ein ehemaliger Mitarbeiter noch Zugriff auf die sensiblen Bestandsdaten haben? bin stinksauer
Update: Es geht schon los, die erste Crypto Währung Spam eMail erhalten, auf der eMail Adresse die ich bei Scalable angegeben hatte, auf der bisher null Spam gekommen ist
Update2: der Text auf extraETF wurde zwischenzeitlich bearbeitet (bearbeitet)
Bieten Sie einen Service zur Überwachung von Identitätsmissbrauch?
Wir möchten Ihnen schnell und unkompliziert helfen. Wir bieten betroffenen Kunden die Möglichkeit, sich kostenlos für den Identitätsschutz meineSCHUFA Plus zu registrieren. Scalable Capital übernimmt für Sie zudem die Kosten für das erste Vertragsjahr. Die Übernahme der Kosten erfolgt ohne Anerkennung einer Rechtspflicht. Bitte fragen Sie per E-Mail an service@scalable.capital Ihren persönlichen Aktivierungscode an, welchen Sie unter meineschufa.de/gut…ein einlösen können. Nach erfolgreicher Einlösung folgen Sie bitte den Anweisungen, um sich für den Service meineSCHUFA Plus zu registrieren.
so ein quatsch
Die Zeit für den Kommentar hättest du nutzen können, um die Gebühren deines Bürgeramts zu recherchieren, die evtl. abhängig vom Wohnort sind. (bearbeitet)
Das stimmt so natürlich nicht.
Es ist kein Problem, dass sämtliche Daten nur verschlüsselt auf den Server abgelegt werden. Auch so, dass man als Root-Admin da nicht mehr unbegrenzt herankommt.
Wieso sollte ein Mitarbeiter an ganz viele Dokumente von ganz vielen Usern in kürzester Zeit dran müssen/dürfen/sollen? Richtig. Gar nicht. Darum sollte man derlei Rechte auch SEHR RESTRIKTIV setzen. Zum Beispiel kontingentieren: Nur eine bestimmte Anzahl an Zugriffen. Für den Fall, dass man doch Mal an viel mehr muss, könnte das Vier-Augen-Prinzip herhalten. Also z. B. zwei Passwörter von verschiedenen Vorgesetzten... Es gibt so viele einfache Möglichkeiten so ein Datenleck im großen Stil effektiv zu verhindern... Für jeden mit ein paar IT-Grundkenntnissen dürfte es einleuchtend sein, dass sowas grob fahrlässig ist. Solche Daten, so leicht abgreifbar zu machen.. DSGVO ist und bleibt ein Witz, nur nicht für den kleinen privaten Websitenbetreiber.. der wird fleißig abgemahnt
Bei mir wurde mein dauerhafter kostenloser Zugang durch die Bestellung mit sofortiger Wirkung gekündigt.
Nach Kündigung von meinSchufa PLUS stehe ich dann dementsprechend nach dem Jahr ohne den dauerhaften Zugang und ohne meinSchufa PLUS da.
EDIT: Auszug aus den AGB 1.1: "Bitte beachten Sie, dass bei einer Neuregistrierung ein für Sieetwaignoch bestehender SCHUFA-Auskunft online Zugang automatisch geschlossen wird. Abweichend vonZiffer 3 der Allgemeinen Geschäftsbedingungen für die SCHUFA-Auskunft online (Stand 2008) sind Siedamit einverstanden, dass es keiner dreimonatigen Kündigungsfrist bedarf. Technisch ist es derSCHUFA nicht möglich, zwei oder mehrere meineSCHUFA-Zugangskonten für Sie zu unterhalten. Mitder Neuregistrierung und Abschluss eines neuen Abonnementvertrags erklären Sie sich damiteinverstanden, dass der bisher bestehende Vertrag zur Erbringung der SCHUFA-Auskunft online mitsofortiger Wirkung erlischt." (bearbeitet)
Ich habe bei der Neubeantragung meines Persos beim Meldeamt den alten Perso mit seiner Nummer als gestohlen gemeldet.
Umstände des Verlustes: Datendiebstahl bei einer Bank.
Zeitpunkt und Ort des Verlustes : 16.10.2020 München
Damit landet die Nummer in allen Datenbanken inkl Interpol als gestohlen.
Dafür hab ich auch ne offizielle Bestätigung des Amtes mit Stempel und Unterschrift.
Update: Ich habe da mal angefragt. Das Aktenzeichen werde ich dann hier posten. Sofern ich es denn kriege. Wenn nicht, werde ich sauer! Also noch mehr als ich es jetzt schon bin.. ;-) (bearbeitet)
1. Wo steht, dass es von außen auslesbar ist? Ich lese nur von einem Datenabzug von innen.
2. Wo steht, dass es ein IT-Mitarbeiter ist?
3. Wo steht, dass dieser Mitarbeiter ein ehemaliger Mitarbeiter ist?
Entweder wurde dein verlinkter Artikel editiert oder ich kann nicht lesen. (bearbeitet)
Es wurde auf Dokumente zugegriffen, die vor dem 11. Oktober 2020 in unser digitales Datenarchiv eingestellt wurden. Der unbefugte Zugriff erfolgte an drei Zeitpunkten zwischen April und Oktober 2020.
Wir konnten einen konkreten Fall von versuchtem, aber nicht erfolgreichen Identitätsmissbrauch dem Archiv zuordnen, auf welches zugegriffen wurde. Im Zuge dessen wurde eine umfangreiche Analyse durchgeführt, bei der alle betroffenen Kunden und Dokumente eingegrenzt werden konnten.
Der Zugriff erfolgte ohne Fokus auf bestimmte Personen, Personengruppen oder Dokumente. Es sind rund 23 Tausend aktive Kunden betroffen. Hinzu kommen Dokumente von Interessenten und Testpersonen, die sich in Anmeldung befanden aber die Identifikation (Postident) noch nicht abgeschlossen hatten, sowie Dokumente von ehemaligen Kunden (insgesamt weitere 9 Tausend).
Grundsätzlich nicht betroffen sind Kunden, die eine Vermögensverwaltung unter der Marke Oskar abgeschlossen haben. Kunden, deren Depot bei der ING geführt wird, sind ebenfalls nicht betroffen.
Sie können die Liste der betroffenen Dokumente selbst einsehen; es betrifft die Dokumente in Ihrer Mailbox. Sie können die Mailbox über den Login-Bereich unserer Website oder die Apps erreichen. Wenn Sie Postident Video oder Filiale durchgeführt haben, sind auch Ausweiskopien betroffen. Wenn Sie PostIdent mit Online-Ausweisfunktion (eID) genutzt haben, wurde keine Ausweiskopie angefertigt.
Grundsätzlich sind Daten folgender Kategorien betroffen:
- personenbezogenen Daten (Personalien und Kontaktdaten, Daten zur gesetzlich erforderlichen Identifizierung des Kunden (etwa Ausweisdaten),
- die im Rahmen der Geeignetheitsprüfung erfassten Informationen,
- Daten bezogen auf Konto und/oder Wertpapierdepot (etwa Referenzkontoverbindung, Berichte, Wertpapierabrechnungen, Rechnungen) sowie
- steuerliche Daten (etwa Steueridentifikationsnummer).
Bei Bedarf stellen wir Ihnen eine Liste der betroffenen Dokumente zur Verfügung. Bitte haben Sie Verständnis, dass dies einige Tage in Anspruch nehmen würde.Bitte beachten Sie auch unsere Liste Häufig gestellter Fragen zum Datenschutzvorfall. Zu finden unter de.scalable.capital/dat…ll.
Bei Fragen stehen wir Ihnen jederzeit unter service@scalable.capital oder +49 89 380 380 67 zur Verfügung.
Mit freundlichen Grüßen
Ihr Scalable-Capital-Team
T: +49 89 380 380 67
Du kannst damit in "digital affinen" EU-Ländern, Spanien, Litauen, Estland usw. problemlos ein Konto eröffnen. Und dann Geld waschen, bis dass das Finanzamt beim Ausweisinhaber anklopft.
Dann kann man Unternehmen anschreiben: Hilfe, mein Zugang funktioniert nicht mehr. Rechner geklaut worden, hab ne neue Email - aber hier mein Ausweis, meine Steuer-ID, meine sonstigen Daten. Ebay, Amazon, bla bla
Man kann herrlich nicht existierende Wohnungen vermieten und einen Vorschuß kassieren. Ist mir selber schon begegnet, als ich eine Wohnung in Holland gesucht habe. Eine freundliche Email von einem Franzosen, der ein gutes Apartment vermieten wollte - "und hier noch mein Ausweis, damit du weißt, dass ich es ehrlich meine."
Ich bin nur stutzig geworden, weil ein Franzose eher Suizid begeht, als eine englische Telefonnummer zu haben. Ich habe den Herrn in Paris ausfindig gemacht und angerufen und seine Familie sagte, dass wöchentlich mehrere Anzeigen wegen Betrug eingehen.
Das Spiel wird so lange gehen, bis das Ablaufdatum erreicht ist - in meinem Fall noch vier Jahre.
Für uns ist das der GAU. (bearbeitet)
Äm der Code wurde von im verfremdeten und spaßeshalber durch FU SCALABLE ersetzt was ja der Witz sein soll und ja, FU steht genau dafür
Nein, eben telefoniert und eine Abfuhr im Sinne von "hätten sie das nicht online abgeschlossen, sondern zuvor angerufen, ...hätten wir Ihnen trotzdem das alte Konto gekündigt, aber dann hätten Sie es gewusst" höhö.
Vor allem hab ich mich mit verschiedenen E-Mail-Adressen registriert und für meineSchufa PLUS muss man ja einen neuen Account anlegen. Deren Datenzuordnung funktioniert also recht gut.
Werde mich eventuell beim Ombudsmann beschweren. (bearbeitet)
Bin sehr gespannt was aus dem Fall noch erwächst. Das Vertrauen in Scalable ist jedenfalls unter 0.
Viel Erfolg
hier der Link zu kleinfee kleinfee.com/sca…ck/
Es ist ein Lese-Zugriff und jede Sparkasse hat nur auf ihren Kundenstamm Zugriff. Heißt an sich schon ein kleinerer Datenbestand plus das Sparkassen sehr restriktiv unterwegs sind.
Nicht wirklich - Banken und Versicherungen sind nur die BAIT und VAIT extrem reguliert was Zugriffe angeht. In meiner Ausbildung konnte schon damals nicht ein Schaden einer Versicherung bearbeitet werden und vom gleichen Mitarbeiter ausgezahlt werden. Und Auszahlungen sind je nach Höhe über mehrere Instanzen gegangen.
Aus meiner Erfahrung:
Werden externe Mitarbeiter auf Projekte mit Kundendaten eingesetzt, so wird ein Datenbank Dump gezogen und sämtliche Werte (wohlgemerkt trotz Datenschutzerklärung und Vertraulichkeitsvereinbarung) vollständig anonymisiert. VPN Zugänge für externe werden max. Für 6 Monate angelegt und sowohl bei internen, wie auch externe Mirarbeitern wird bei verlassen des Unternehmens automatisch alle Zugriffe gelöscht. Zugriffe werden in Logs geschrieben.
Aus meiner Sicht wurde hier mehr als fahrlässig gehandelt, wenn wirklich ein ehemaliger Mitarbeiter noch Zugriff auf Datenbanken hat, ist das schon sehr harter Tobak. (bearbeitet)
Könnten wir bitte bei sachlichen Informationen bleiben und nicht in wilde Vermutungen ausufern? Wenn jetzt hier wieder jeder anfängt jede Spam-Mail oder jeden Spam-Anruf mit dem jüngsten Datenleck zu verbinden, bringt uns das nicht wirklich weiter. Zudem sind die Daten bzw. ein Teil davon ja schon länger entwendet wurden und könnten auch schon länger in falsche Hände geraten sein.
Wenn jemand aber z. B., so wie einige andere und ich auch, für jeden Anbieter eine eigene E-Mail-Adresse verwendet und da dann plötzlich Spam hinkommt... dann liegt der Verdacht wohl schon deutlich begründeter ;-) (PS: Bei Mastercard Priceless bisher noch nichts)
PS: Ja, es ist Scheisse. Ja, es sind schon echt heftige Daten mit Perso, SteuerID und Konto + das übliche und das alles zusammen.. Ja, man hätte es deutlich besser verhindern müssen! Nein, ich bleibe trotzdem erstmal da, habe mein Depot dort ja nicht grundlos weil es so viele vergleichbare Alternativen gab.. die Daten sind jetzt eh weg und bei der Baader Bank liegen aber Wertpapiere und Geld nicht unsicherer als irgendwo sonst und nach so nem Datenklau ist die Chance dass noch einer passiert hier doch rein statistisch geringer als woanders und man bessert ja hoffentlich erst Recht ordentlich nach.
PPS: Wenn hier aber noch andere von o. g. Nummer angerufen wurden oder werden und hiervon betroffen sind, dann wäre es natürlich evtl. ne nützliche Information für Staatsanwaltschaft&co, um die Datenwanderung zu verfolgen. (bearbeitet)
Die „Diebe“ haben sicher Torschlusspanik, jetzt wo der Datenabfluss bekannt ist und die Betroffenen informiert wurden (bin selbst auch dabei )
Ich hatte bereits ein Telefonat mit der Kripo in München. Da die Staatsanwaltschaft dran ist, werden nur sogenannte Meldungen aufgenommen. Was gut ist, denn so kriegen die auch eine Rückmeldung, wie sehr die Leute betroffen sind.
Die Datenschutzbehörde ist ebenfalls dran, sagten sie mir.
Bei Mastercard war es was anderes: "Nur" Adresse und Kreditkartennummer. Das ist verkraftbar, auch die Email. Aber Kopie vom Perso + Steuer ID + Bankverbindung - das ist heftig.
Die denken, sie kommen mit ein bisschen Lächeln "Wir sind ja Fintech und so und völlig hip, die Kunden möchten das, tralala" aus der Nummer raus.
Baader Bank tut mir leid, dass ausgerechnet die mit reingezogen worden. Die haben viel für den Finanzplatz München getan.
businessinsider.de/wir…t-b
Ich finde es schon mal höchst unseriös, dass man sich einen solchen Namen und zugehöriges Logo aussucht, die dem Nutzer suggerieren, dass es sich um eine staatliche Seite handelt bzw. handeln könnte.
"vielen Dank für Ihre Nachricht.
Zunächst einmal möchten wir unser aufrichtiges Bedauern ausdrücken, dass es zu dem Datenschutzvorfall gekommen ist und Sie sich in dieser für Sie sicherlich unerwarteten Situation wiederfinden. Auch uns hat der Vorfall überrascht und wir arbeiten derzeit gemeinsam mit den zuständigen Behörden intensiv an der umfassenden Aufklärung des Sachverhalts. Dazu haben wir zunächst die Ermittlungsbehörden informiert, die ein strafrechtliches Ermittlungsverfahren eingeleitet haben. Zudem haben wir externe Experten für Informations- und IT-Sicherheit eingeschaltet und kooperieren darüber hinaus eng mit der zuständigen Datenschutzbehörde. Da der Datenschutzvorfall von uns am 16. Oktober 2020 festgestellt wurde und es sich um einen technisch äußerst komplexen Sachverhalt handelt, bitten wir jedoch um Ihr Verständnis, dass uns derzeit noch keine abschließenden Erkenntnisse vorliegen.
Bitte haben Sie Verständnis dafür, dass wir keine Auskünfte zu dem eingeleiteten Ermittlungsverfahren erteilen können.
Schließlich möchten wir Sie zudem gerne auch auf diesem Weg auf unsere Website mit häufig gestellten Fragen und Antworten (FAQ), weiteren Informationen und Hilfestellungen aufmerksam machen. Sie finden die Informationen zum Datenschutzvorfall direkt auf der Startseite im Web, im Kundenbereich sowie in unseren Apps. Diese Informationen werden bei Bedarf laufend aktualisiert und ergänzt und können unter folgender Web-Adresse eingesehen werden: de.scalable.capital/dat…all." (bearbeitet)
Direkt als die Mail kam, konnte ich mich noch einloggen und die PDF ziehen. Screenshot anbei.
Ganz tolle Sache.
1. Was genau ist passiert? Nach unseren bisherigen Kenntnissen wurde unrechtmäßig auf einen Teilbestand von Dokumenten zugegriffen, der in unserem digitalen Dokumentenarchiv abgelegt ist. Der Zugriff auf das betroffene Archiv erfolgte unter Zuhilfenahme von unternehmensinternem Wissen, das nur über entsprechend gesicherte Zugänge verfügbar ist. Der Zugriff erfolgte nach aktuellem Kenntnisstand nicht durch die Ausnutzung einer unmittelbar von außen ausnutzbaren technischen Sicherheitslücke. Ihre in diesen Dokumenten enthaltenen personenbezogenen Daten sind von diesem Vorfall betroffen. Es handelt sich um folgende Kategorien von personenbezogenen Daten: Personalien und Kontaktdaten, Daten zur gesetzlich erforderlichen Identifizierung des Kunden (etwa Ausweisdaten), die im Rahmen der Geeignetheitsprüfung erfassten Informationen, Daten bezogen auf Konto und/oder Wertpapierdepot (etwa Referenzkontoverbindung, Berichte, Wertpapierabrechnungen, Rechnungen) sowie steuerliche Daten (etwa Steueridentifikationsnummer).
wtf? (bearbeitet)