Verantwortung und Verletzlichkeit: Datenraub bei Scalable Capital 

Verfasst von Joy Kuenzl

Der Fall Scalable Capital stellt einen bedeutenden Präzedenzfall im Kontext der Datenschutzgrundverordnung (DSGVO) dar. Dieser Beitrag untersucht die spezifischen DSGVO-Regelungen, die im Falle des Datenlecks bei Scalable Capital Anwendung fanden, und beleuchtet die Konsequenzen des Verstoßes gegen diese Vorschriften. 

Im Oktober 2020 musste Scalable Capital, ein Münchner Fintech-Unternehmen, ein Datenleck eingestehen, das mehr als 33.000 aktive und ehemalige Kunden betraf. Unbefugte hatten Zugang zu sensiblen Kundendaten, darunter persönliche Identitäts- und Finanzdaten.


Das Münchner Regionalgericht verurteilte Scalable Capital zur Zahlung von Schadensersatz für immaterielle Verluste an einen Kläger. Trotz des Fehlens materieller Schäden wurde dem Kläger eine Entschädigung von 2.500 Euro für den Diebstahl seiner persönlichen Daten gemäß Artikel 82(1) der DSGVO zugesprochen.
 


Artikel 32(1) DSGVO verlangt von Unternehmen, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Schutzniveau für die Verarbeitung personenbezogener Daten zu gewährleisten. Im Fall von Scalable Capital wurde festgestellt, dass das Unternehmen diese Anforderung nicht erfüllt hat.


Artikel 5(1)(f) DSGVO betont die Notwendigkeit der Integrität und Vertraulichkeit personenbezogener Daten. Das Gericht befand, dass Scalable Capital in dieser Hinsicht versagt hat, insbesondere durch die Nichtänderung der Zugangsdaten nach Beendigung der Zusammenarbeit mit ihrem IT-Dienstleister CodeShip Inc.

Artikel 82(1) DSGVO ermöglicht es Betroffenen, Schadensersatz für materielle oder immaterielle Schäden zu fordern, die durch Verstöße gegen die DSGVO entstanden sind. In diesem Fall wurde ein immaterieller Schaden anerkannt und entsprechend entschädigt.


Der Fall Scalable Capital unterstreicht die Bedeutung der Einhaltung der DSGVO-Regelungen. Unternehmen müssen sicherstellen, dass ihre Datenschutzpraktiken den Vorschriften entsprechen, insbesondere in Bezug auf technische und organisatorische

Sicherheitsmaßnahmen. Dieses Urteil setzt ein wichtiges Zeichen für die Durchsetzung der DSGVO und die Verantwortung von Unternehmen im Umgang mit personenbezogenen Daten. 

Der Fall zeigt deutlich, dass Verstöße gegen die DSGVO zu erheblichen finanziellen und reputativen Schäden führen können. Es dient als Warnung für alle Unternehmen, die Bedeutung der Datenschutzvorschriften ernst zu nehmen und proaktive Maßnahmen zur Sicherung der Daten ihrer Kunden zu ergreifen. 

Quellen

Teller Report. "Liability according to GDPR: Scalable Capital is supposed to pay for data theft." https://www.tellerreport.com/business/2021-12-21-liability-according-to-gdpr--scalable-capital-is-supposed-to-pay-for-data-theft.ByBtMdvyjK.html. 

IR Global. "Data theft: Company to pay compensation for breaching GDPR." https://irglobal.com/article/data-theft-company-to-pay-compensation-for-breaching-gdpr/. 

EUGDPR. "2500 euros damages for EUGDPR scalable capital data leak."
https://eugd.org/2500-euros-damages-eugd-scalable-capital-data-leak/ 

Externer Datenschutzbeauftragter Dresden. "First legal damages judgment because of data leaks: Scalable must numbers." https://externer-datenschutzbeauftragter-dresden.de/en/data-protection/

Joy Kuenzl
Zurück

Zwischen Datenschutz und Bezahlmodell: Die Gratwanderung der Pur-Abos
Weiter

Optimierung der Vertragskündigung bei der Postbank durch Kündigungsbuttons