Häufig gestellte Fragen
zum Datenschutzvorfall
bei Scalable Capital

Wichtiger Hinweis: Der Datenschutzvorfall wird zur Zeit weiter analysiert.
Wir werden diese Website auf fortlaufender Basis aktualisieren.

Unseren Kundenservice erreichen Sie via:

Bin ich betroffen?

Es sind ausschließlich Kunden betroffen, die die Vermögensverwaltung oder das Brokerage unter der Marke “Scalable Capital” nutzen. Wenn Sie den Eröffnungsprozess nach dem 10. Oktober 2020 begonnen haben, sind Sie nicht betroffen. Betroffene Kunden haben am Montag den 19. Oktober abends per E-Mail eine Benachrichtigung über die Einstellung einer Nachricht zum Datenschutzvorfall in die Mailbox im Kundenbereich erhalten.

Grundsätzlich nicht betroffen sind Kunden, die eine Vermögensverwaltung unter der Marke Oskar abgeschlossen haben. Kunden, deren Depot bei der ING geführt wird, sind ebenfalls nicht betroffen.

Der Zugriff umfasste auch Dokumente von ehemaligen Kunden sowie von Personen, die den Anmeldeprozess abgeschlossen haben, ohne dass jedoch investiert worden ist.

Was bedeutet das für mich persönlich?

Welche meiner Daten sind betroffen?
 

Ganz wichtig vorweg: Ihr Passwort ist NICHT betroffen. Und dieses sollten Sie auch weiterhin mit keinem, auch nicht mit Scalable Capital oder der Depotbank teilen! Eine mögliche Folge des Datenzugriffs könnten Versuche sein, Sie zu kontaktieren, um Sie unter falschen Vorwänden zur Herausgabe Ihres Passworts zu bewegen.

Das betroffene Dokumentenarchiv dient der Ablage von Dokumenten für die Mailbox. Diese Dokumente können Sie weiterhin in Ihrer Mailbox in den Apps oder dem Login-Bereich der Website einsehen. Auf die Dokumente, die vor dem 11.Oktober in Ihre Postbox eingestellt wurden, wurde zugegriffen. Außerdem werden in dem betroffenen Datenarchiv Dokumente aus der Anmeldung und Identifikationen (also Ausweisdaten) gespeichert.

Grundsätzlich wurde auf folgende Kategorien von personenbezogenen Daten zugegriffen: Personalien und Kontaktdaten, Daten zur gesetzlich erforderlichen Identifizierung des Kunden (etwa Ausweisdaten), die im Rahmen der Geeignetheitsprüfung erfassten Informationen, Daten bezogen auf Konto und/oder Wertpapierdepot (etwa Referenzkontoverbindung, Berichte, Wertpapierabrechnungen, Rechnungen) sowie steuerliche Daten (etwa Steueridentifikationsnummer).

Wurde gezielt nach meinen Daten gesucht?
 

Nein. Der Zugriff erfolgte ohne Fokus auf bestimmte Personen, Personengruppen oder Dokumente.

Muss ich eine Anzeige bei der Polizei erstatten?
 

Nein. Wir haben die zuständigen Aufsichtsbehörden informiert. Ein Ermittlungsverfahren bei der Staatsanwaltschaft wurde eingeleitet.
Wenn Sie Anhaltspunkte für eine missbräuchliche Verwendung Ihrer Daten haben, z.B. wenn sich abzeichnet, dass die Ausweisdaten für Registrierungsvorgänge verwendet werden, oder wenn Sie von Dritten in Bezugnahme auf Ihre Daten kontaktiert werden, sollten Sie Anzeige bei Ihrer örtlichen Polizeibehörde erstatten.

Sind meine Daten verwendet worden?
 

Wir haben von einigen Kunden Rückmeldung erhalten, dass sie unter Verwendung der Daten von Dritten per E-Mail kontaktiert wurden. Dritte haben auch zu Journalisten Kontakt aufgenommen unter Bezugnahme auf den Vorfall. Falls auch Sie von Dritten in Bezugnahme auf Ihre Daten kontaktiert werden, wenden Sie sich bitte an uns. Antworten Sie nicht auf die E-Mail und geben Sie keine Auskünfte am Telefon.

(zuletzt aktualisiert am 30.11.2020)

Was sollte ich als Kunde tun?
 

Haben Sie ein besonderes Augenmerk auf die allgemeinen Grundsätze bei der Nutzung von digitalen Medien, wie sie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) aufgestellt wurden. Achten Sie insbesondere auf Phishing, Identitätsmissbrauch, ungewöhnliche Kontobewegungen oder die Abfrage vertraulicher Zugangsdaten. Den Link finden Sie hier: https://www.bsi-fuer-buerger.de/

Wichtig: Kein seriöser Anbieter würde Sie dazu auffordern, per E-Mail oder per Telefon vertrauliche Zugangsdaten preiszugeben. Auch Scalable Capital würde Sie nicht im Rahmen eines Kundengesprächs oder per E-Mail dazu auffordern.

Was sind mögliche Folgen für mich?
 

Wir möchten betonen, dass aufgrund des Vorfalls

  • Ihr bei der Depotbank verwahrtes Vermögen zu keinem Zeitpunkt gefährdet war.
  • Es waren stets nur autorisierte Wertpapierorders, Auszahlungen oder sonstige Transaktionen möglich.
  • Die die Vertraulichkeit Ihres Passworts zum Zugriff auf Ihren Kundenbereich bei Scalable Capital ist unverändert gewährleistet.

  • Generell könnte mit Hilfe der Daten versucht werden, Sie zu bestimmten Verhaltensweisen zu bewegen, insbesondere zur Preisgabe von weiteren vertraulichen Informationen oder Zahlungen zu veranlassen. Weiterhin könnte der Versuch unternommen werden, Dritte mit Ihrer Identität zu täuschen, um sich Vorteile zu verschaffen (Identitätsmissbrauch). In diesem Zusammenhang ist es uns wichtig darauf hinzuweisen, dass Ihr bei der Depotbank verwahrtes Vermögen von dem Vorfall zu keinem Zeitpunkt gefährdet war und ist. Unautorisierte Wertpapierorders, Auszahlungen oder sonstigen Transaktionen waren und sind im Zusammenhang mit diesem Vorfall nicht möglich.

    Bieten Sie einen Service zur Überwachung von Identitätsmissbrauch?
     

    Wir möchten Ihnen schnell und unkompliziert helfen. Wir bieten betroffenen Kunden die Möglichkeit, sich kostenlos für den Identitätsschutz meineSCHUFA Plus zu registrieren. Scalable Capital übernimmt für Sie die Kosten für das erste Vertragsjahr, inkl. der einmaligen Aktivierungsgebühr von 9,95 €. Die Übernahme der Kosten erfolgt ohne Anerkennung einer Rechtspflicht. Nutzen Sie den Dienst über das erste Vertragsjahr hinaus, verlängert sich der Vertrag automatisch jeweils um ein weiteres Jahr zum Preis von derzeit monatlich 4,95 €, sofern Sie nicht vorher kündigen (Kündigungsfrist: ein Monat zum Laufzeitende). Bitte fragen Sie per E-Mail an service@scalable.capital Ihren persönlichen Aktivierungscode an, welchen Sie unter https://www.meineschufa.de/gutschein bis zum 31.12.2020 einlösen können. Nach erfolgreicher Einlösung folgen Sie bitte den Anweisungen, um sich für den Service meineSCHUFA Plus zu registrieren.

    meineSCHUFA Plus bietet regelmäßiges Monitoring Ihrer persönlichen Daten im Internet, Deep Web sowie Darknet. Bei Verdacht auf Identitätsmissbrauch erhalten Sie umgehend eine Benachrichtigung per E-Mail und/oder per SMS. Weiterhin berät Sie das Expertenteam der SCHUFA 24/7 rund um geeignete Maßnahmen. Sofern die SCHUFA Holding AG Ihre personenbezogenen Daten verarbeitet, ist sie hierfür eigenständig verantwortlich. Bitte beachten Sie die AGB und Datenschutzinformationen der SCHUFA Holding AG.

    Bei Fragen oder Problemen können Sie sich gerne an uns oder das SCHUFA-Serviceteam unter der Telefonnummer +49 611 92780 wenden.

    Ich möchte meinen Ausweis ersetzen lassen. Zahlen Sie das?
     

    Wir möchten Ihnen schnell und unkompliziert helfen. Wenn Sie konkrete Anhaltspunkte für eine missbräuchliche Verwendung Ihres Ausweises haben, z.B. wenn sich abzeichnet, dass die Ausweisdaten für Registrierungsvorgänge verwendet werden, oder eine zuständige Behörde einen Austausch für geboten hält, dann empfiehlt sich eine Neuausstellung. Scalable Capital übernimmt hierfür die Kosten. Die Übernahme der Kosten erfolgt ohne Anerkennung einer Rechtspflicht. Schicken Sie uns den Beleg als Scan/Foto per E-Mail an service@scalable.capital oder per Post an Kundenservice, Scalable Capital Vermögensverwaltung GmbH, Seitzstr. 8e, 80538 München. Wir überweisen den Betrag auf Ihr bei uns hinterlegtes Referenzkonto, sofern nicht anders von Ihnen angegeben.

    Muss ich diesen Vorfall meiner Bank melden?
     

    Natürlich können Sie Ihre Bank informieren, bei der Sie Ihr Girokonto, das Sie bei Scalable Capital hinterlegt haben, führen, und sich beraten lassen. Bei verdächtigen Kontobewegungen sollten Sie Ihre Bank unbedingt informieren.

    Haben Sie ein besonderes Augenmerk auf die allgemeinen Grundsätze bei der Nutzung von digitalen Medien, wie sie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) aufgestellt wurden. Achten Sie insbesondere auf Phishing, Identitätsmissbrauch, ungewöhnliche Kontobewegungen oder die Abfrage vertraulicher Zugangsdaten. Den Link finden Sie hier: https://www.bsi-fuer-buerger.de/

    Wichtig: Kein seriöser Anbieter würde Sie dazu auffordern, per E-Mail oder per Telefon vertrauliche Zugangsdaten preiszugeben. Auch Scalable Capital würde Sie nicht im Rahmen eines Kundengesprächs oder per E-Mail dazu auffordern.

    Muss ich diesen Vorfall meiner Versicherung melden?
     

    Wir haben zu Ihrem Versicherungsschutz keine Informationen und können insofern hierzu keine Aussage treffen. Für Fragen kontaktieren Sie bitte Ihren Ansprechpartner bei Ihrer Versicherung.

    Haben Dritte Zugang zu meinem Portfolio?
     

    Nein. Ihr Passwort und somit Ihr Zugang zu Scalable Capital waren zu keinem Zeitpunkt gefährdet. Der aktuelle Depotstand kann nicht eingesehen werden. Allerdings enthält die Mailbox Dokumente mit historischen Informationen zu Ihrem Portfolio.

    Was soll ich tun, wenn ich von Dritten mit meinen Scalable Capital Daten kontaktiert werde?
     

    Wir empfehlen Ihnen, nicht auf die E-Mail zu antworten. Geben Sie insbesondere keine weiteren vertraulichen Informationen Preis oder veranlassen gar etwaige Zahlungen. Ferner sollten Sie keine Anhänge der E-Mail öffnen oder möglicherweise in der E-Mail enthaltenen Links anklicken. Achten Sie darauf, dass Sie die E-Mail nicht löschen, da diese von den Ermittlungsbehörden als Beweismittel benötigt wird. Wir würde Sie zudem bitten, die E-Mail an uns weiterzuleiten (service@scalable.capital) damit wir diese den Ermittlungsbehörden für eine umfassende Aufklärung des Sachverhalts zur Verfügung stellen können.

    Wir raten Ihnen zudem, umgehend eine Strafanzeige bei der Staatsanwaltschaft oder der Polizei zu erstatten.

    Informieren Sie zudem zeitnah Ihre kontoführende Bank über den Datenschutzvorfall. Diese kann Sie zu möglichen weiteren Maßnahmen beraten und gegebenenfalls dabei helfen, Ihren Zahlungsverkehr zu überwachen.

    Für Rückfragen und weitere Informationen stehen wir Ihnen unter den nachfolgenden Kontaktdaten zur Verfügung:

    E-Mail: service@scalable.capital
    Telefon: +49 89 380 380 67

    Ist mein Geld in Gefahr?
     

    Ihr bei der Depotbank verwahrtes Vermögen war zu keinem Zeitpunkt gefährdet. Auch die Vertraulichkeit Ihres Passworts für den Kundenbereich ist unverändert gewährleistet.

    Wurden Gelder von meinen Portfolio weg überwiesen?
     

    Nein, das ist nicht möglich.

    • Wir möchten betonen, dass aufgrund des Vorfalls Ihr bei der Depotbank verwahrtes Vermögen zu keinem Zeitpunkt gefährdet war.
    • Es waren stets nur autorisierte Wertpapierorders, Auszahlungen oder sonstige Transaktionen möglich.
    • Die Vertraulichkeit Ihres Passworts zum Zugriff auf Ihren Kundenbereich bei Scalable Capital ist unverändert gewährleistet.
    Können Dritte Aktien oder ETFs in meinem Portfolio kaufen oder verkaufen?
     

    Nein, das ist nicht möglich.

    In diesem Zusammenhang ist es uns wichtig darauf hinzuweisen, dass Ihr bei der Depotbank verwahrtes Vermögen von dem Vorfall zu keinem Zeitpunkt gefährdet war und ist. Unautorisierte Wertpapierorders, Auszahlungen oder sonstigen Transaktionen waren und sind im Zusammenhang mit diesem Vorfall nicht möglich.

    Ich bin gar nicht (mehr) Kunde. Wieso bin ich betroffen?
     

    Der Zugriff erfolgte ohne Fokus auf bestimmte Personen, Personengruppen oder Dokumente. Es wurde auch auf die Daten von ehemaligen Kunden sowie von Kunden, die den Anmeldeprozess abgeschlossen, aber kein Geld eingezahlt haben, zugegriffen. Wir sind aus gesetzlichen/regulatorischen Gründen verpflichtet, diese Daten aufzubewahren.

    Um Zugang zu unserem Infoschreiben zu bekommen, gehen Sie bitte auf www.scalable.capital. Nutzen Sie unter “LOGIN” ihre E-Mailadresse mit Ihrem ursprünglichen Passwort. Sollten Sie das Passwort vergessen haben, so können Sie dieses unter diesem Link zurück setzen: https://de.scalable.capital/passwort-vergessen.

    Ich habe mein Portfolio gekündigt. Wieso bin ich betroffen?
     

    Der Zugriff erfolgte ohne Fokus auf bestimmte Personen, Personengruppen oder Dokumente. Neben den Dokumenten von Kunden sind auch Dokumente von ehemaligen Kunden betroffen.

    Auch wenn Sie nicht mehr unser Kunde sind, so wurden unter Umständen auf Daten zugegriffen, welche wir aus gesetzlichen/regulatorischen Gründen speichern müssen. Um Zugang zu unserem Infoschreiben zu bekommen, gehen Sie bitte auf www.scalable.capital. Nutzen Sie unter “LOGIN” ihre E-Mailadresse mit Ihrem ursprünglichen Passwort. Sollten Sie das Passwort vergessen haben, so können Sie dieses unter diesem Link zurück setzen: https://de.scalable.capital/passwort-vergessen.

    Bekomme ich eine finanzielle Entschädigung/Ausgleichszahlung?
     

    Wir prüfen aktuell den Sachverhalt. Bis zum Abschluss dieser Prüfung können wir hierzu noch keine Aussage machen. Wir bitten um Ihr Verständnis, dass die umfassende Aufklärung des Sachverhalts noch einige Zeit in Anspruch nehmen kann.

    Weitere Informationen zu dem Vorfall

    Was genau ist passiert?
     

    Nach unseren bisherigen Kenntnissen wurde unrechtmäßig auf einen Teilbestand von Dokumenten zugegriffen, der in unserem digitalen Dokumentenarchiv abgelegt ist. Der Zugriff auf das betroffene Archiv erfolgte unter Zuhilfenahme von unternehmensinternem Wissen, das nur über entsprechend gesicherte Zugänge verfügbar ist. Der Zugriff erfolgte nach aktuellem Kenntnisstand nicht durch die Ausnutzung einer unmittelbar von außen ausnutzbaren technischen Sicherheitslücke.

    Wann wurde der Zugriff von Scalable Capital entdeckt?
     

    Am Freitag, den 16. Oktober 2020, haben wir den Zugriff festgestellt.

    Wann wurde auf die Daten zugegriffen?
     

    Es wurde auf Dokumente zugegriffen, die vor dem 11. Oktober 2020 in unser digitales Datenarchiv eingestellt wurden. Der unbefugte Zugriff erfolgte an drei Zeitpunkten zwischen April und Oktober 2020.

    Wie ist der Zugriff aufgefallen?
     

    Wir konnten einen konkreten Fall von versuchtem, aber nicht erfolgreichen Identitätsmissbrauch dem Zugriff zuordnen. Im Zuge dessen wurde eine umfangreiche Analyse durchgeführt, bei der alle betroffenen Personen und Dokumente eingegrenzt werden konnten.

    Wie viele Kunden sind betroffen?
     

    Der Zugriff erfolgte ohne Fokus auf bestimmte Personen, Personengruppen oder Dokumente. Es sind rund 23 Tausend aktive Kunden betroffen. Es wurde auch auf die Daten von ehemaligen Kunden sowie von Kunden, die den Anmeldeprozess abgeschlossen, aber noch kein Geld eingezahlt haben, zugegriffen (insgesamt weitere 9 Tausend).

    Kann auch heute noch zugegriffen werden?
     

    Nein. Wir haben das technisch sichergestellt.

    Welche Maßnahmen/ Konsequenzen hat Scalable Capital getroffen?
     

    Wir haben umgehend alle erforderlichen Maßnahmen ergriffen, um weitere unrechtmäßige Zugriffe auf das digitale Dokumentenarchiv auszuschließen. Darüber hinaus haben wir die zuständigen Aufsichtsbehörden informiert. Der Sachverhalt wird zur Zeit weiter analysiert, dokumentiert sowie laufend überwacht. Hierzu haben wir auch externe Experten für Informations- und IT-Sicherheit hinzugezogen Ein Ermittlungsverfahren wurde eingeleitet.

    Hat Scalable Capital die Behörden informiert?
     

    Ja, die zuständigen Aufsichtsbehörden wurden informiert. Ein Ermittlungsverfahren bei der Staatsanwaltschaft wurde eingeleitet.

    Welche Sicherheitsvorkehrungen bestehen bei Scalable Capital?
     

    Wir haben umgehend alle erforderlichen Maßnahmen ergriffen, um weitere unrechtmäßige Zugriffe auf das digitale Dokumentenarchiv auszuschließen. Hierzu haben wir auch externe Experten für Informations- und IT-Sicherheit hinzugezogen. Ihr bei der Depotbank verwahrtes Vermögen war zu keinem Zeitpunkt gefährdet. Es waren und sind stets nur autorisierte Wertpapierorders, Auszahlungen oder sonstige Transaktionen möglich. Die Vertraulichkeit Ihres Passworts zum Zugriff auf Ihren Kundenbereich bei Scalable Capital war und ist unverändert gewährleistet.

    Wurden Sie gehacked? Besteht die Sicherheitslücke weiterhin?
     

    Nein. Der Zugriff erfolgte nach aktuellem Kenntnisstand nicht durch die Ausnutzung einer unmittelbar von außen ausnutzbaren technischen Sicherheitslücke. Der Zugriff auf das betroffene Archiv erfolgte unter Zuhilfenahme von unternehmensinternem Wissen, das nur über entsprechend gesicherte Zugänge verfügbar ist.