Morgan Stanley zahlt Millionen-Strafe wegen Datenschutzverletzungen

21. September 2022, 10:19
image
Foto: Patrick Lindenberg / Unsplash

Weil die Bank Festplatten mit Kundendaten nicht fachgerecht gereinigt und entsorgt hat, sind diese an Dritte geraten. Nun wurde das Vorgehen von der Börsenaufsicht bestraft.

Die US-Börsenaufsichtsbehörde Securities and Exchange Commission (SEC) hat Anklage gegen die Investmentbank Morgan Stanley erhoben, weil diese es "über einen Zeitraum von 5 Jahren in erheblichem Masse versäumt hat, die persönlichen Daten von rund 15 Millionen Kunden zu schützen". Da das Finanzinstitut elektronische Geräte mit personenbezogenen Daten seiner Kunden nicht ordnungsgemäss entsorgt hat, wurde es nun verpflichtet, eine Busse in der Höhe von 35 Millionen Dollar zu bezahlen.

Harddisks landeten auf Ebay

Gemäss dem SEC beauftragte die Bank bei mehreren Gelegenheiten ein Umzugs- und Lagerungsunternehmen ohne Erfahrung oder Fachwissen im Bereich der Datenvernichtung damit, Tausende von Festplatten und Servern ausser Betrieb zu nehmen. Darüber hinaus habe es Morgan Stanley versäumt, die Arbeit des Umzugsunternehmens ordnungsgemäss zu überwachen, heisst es bei der SEC weiter.
Die Untersuchung ergab, dass das Umzugsunternehmen eine grosse Zahl dieser Server und Festplatten an Dritte verkaufte, ohne vorher zu prüfen, ob diese noch personenbezogene Daten von Kunden enthielten. Ein Teil der sensitiven Teile wurde gar – ohne vorher bereinigt geworden zu sein – über Auktionsportale wie Ebay verkauft. Während die Bank einige Geräte wieder zurückkaufen konnte, hat das Unternehmen die grosse Mehrheit der Hardware und die darauf gespeicherten Daten verloren.

"Die Versäumnisse sind erstaunlich"

Die Versäumnisse von Morgan Stanley in diesem Fall seien erstaunlich. "Die Kunden vertrauen ihre persönlichen Daten Finanzfachleuten an und erwarten, dass diese geschützt werden", sagte Gurbir Grewal, Direktor der Enforcement Division der SEC. "Wenn sie nicht ordnungsgemäss geschützt werden, können diese sensiblen Informationen in die falschen Hände geraten und katastrophale Folgen für die Anleger haben."
Die gesprochene Strafe soll auch eine klare Botschaft an andere Finanzinstitute sein, dass sie ihren Verpflichtungen zum Schutz von Kundendaten ernst nehmen müssen." Morgan Stanley hat der Anordnung der SEC zugestimmt und sich bereit erklärt, die Strafe von 35 Millionen Dollar zu zahlen.
Die SEC geht derzeit auch gegen andere Grossbanken vor, weil diese Geschäfte auf nicht genehmigten Plattformen tätigten. So sollen Bankmitarbeitende unter anderem Whatsapp für die Kommunikation mit Kunden genutzt haben. Von möglichen Bussen in dreistelliger Millionenhöhe sind in diesem Fall auch UBS und Credit Suisse betroffen.

Loading

Mehr zum Thema

image

Zürcher Datenschützerin zum Cloudeinsatz: "Der Regierungsratsbeschluss ändert gar nichts"

Bei Dominika Blonski häufen sich seit dem Frühling Anfragen von Behörden zur Cloudnutzung. Im Gespräch sagt die Datenschützerin: "Ich weiss nicht, was die Absicht der Zürcher Regierung war."

publiziert am 30.9.2022 7
image

IT-Woche: Datenschutz vs. Anwälte – wer gewinnt?

Es läuft die Schlussviertelstunde des Spiels. Aktuell steht es Unentschieden. Die Anwälte sind im Angriff, aber die Datenschützer haben eine starke Verteidigung im Aufgebot.

publiziert am 30.9.2022
image

Datenschützer äussern harsche Kritik an Cloud-Entscheiden von Behörden

Die Konferenz der schweizerischen Datenschutzbeauftragten (Privatim) fordert: Kein Freipass für Microsoft 365.

publiziert am 30.9.2022
image

EPD-Infoplattform von eHealth Suisse gehackt

Unbekannte haben von der Website Patientendossier.ch Nutzerdaten abgegriffen. Das BAG erstattet Anzeige, gibt aber Entwarnung.

publiziert am 30.9.2022 2