US-Regulierungsbehörden haben Morgan Stanley wegen eines „erstaunlichen“ Versäumnisses beim Schutz von Kundendaten mit einer Geldstrafe von 35 Millionen Dollar belegt, was dazu führte, dass einige Computerhardware mit sensiblen Kundendaten online versteigert wurde.
Die US-Börsenaufsichtsbehörde Securities and Exchange Commission teilte am Dienstag mit, dass das Vermögensverwaltungsgeschäft der Wall-Street-Bank es versäumt habe, über einen Zeitraum von fünf Jahren Informationen zu schützen, die rund 15 Millionen Kunden identifizieren.
Laut SEC hat die Bank, die sich bereit erklärt hat, die Gebühren zu begleichen, ohne die Anschuldigungen zuzugeben oder zu leugnen, seit mindestens 2015 die Geräte, auf denen die personenbezogenen Daten der Kunden gespeichert sind, nicht ordnungsgemäß entsorgt.
Morgan Stanley beauftragte ein Umzugsunternehmen, das nicht auf das Verwerfen von Daten spezialisiert war, und beauftragte es mit der Deaktivierung Tausender Server und Festplatten, sagte die Agentur.
Anschließend verkaufte das Umzugsunternehmen Tausende von Geräten der Bank, von denen einige Kundendaten enthielten, an Dritte, bevor sie schließlich auf einer Online-Auktionsseite weiterverkauft wurden. Die Bank hat einige, aber nicht die meisten Geräte wiedergefunden, sagte die SEC.
Die Behörden stellten auch fest, dass Morgan Stanley Kundendaten nicht schützte, während einige Server in seinem Netzwerk heruntergefahren wurden. Während dieses Verfahrens stellte die Bank fest, dass 42 Server fehlten, auf denen möglicherweise unverschlüsselte persönliche Daten von Kunden gespeichert waren.
Morgan Stanley reagierte nicht sofort auf eine Bitte um Stellungnahme.
Der Direktor der Durchsetzungsabteilung der SEC, Gurbir Grewal, beschrieb die Fehler von Morgan Stanley als „erstaunlich“.
„Die heutige Aktion sendet eine klare Botschaft an die Finanzinstitute, dass sie ihre Verpflichtung zum Schutz dieser Daten ernst nehmen müssen“, sagte Grewal in einer Erklärung.
Die Strafe ist deutlich höher als die Geldstrafe von 1 Mio. USD, die das Vermögensverwaltungsunternehmen 2016 für ein ähnliches Vergehen an die SEC zahlen wollte. Dieselbe Abteilung erzielte auch eine Einigung in einer Sammelklage wegen Datenschutzverletzungen, eine Resolution, die die Schaffung eines 60-Millionen-Dollar-Fonds zur Entschädigung der Opfer beinhaltete.
Morgan Stanley erwarb 2009 eine Mehrheitsbeteiligung am Vermögensverwaltungsgeschäft Smith Barney der Citigroup, bevor es 2012 eine vollständige Übernahme durchführte.
Die Division bildete das Herzstück von Morgan Stanleys Vorstoß in die Vermögensverwaltung und seiner Bemühungen, seine Abhängigkeit vom Investmentbanking und -handel zu verringern.
Der Schritt gegen Morgan Stanley erfolgt, da die SEC die Prüfung der Aufzeichnungspraktiken der Wall Street verstärkt. Die Agentur hat eine Untersuchung der Kommunikationsspeicherung eingeleitet, die sich über den gesamten Bankensektor ausgebreitet hat, wobei die Kreditgeber sich darauf vorbereiten, Strafen in Höhe von mehr als 1 Milliarde US-Dollar an die SEC und die Commodity and Futures Trading Commission zu zahlen.
JPMorgan hat im Dezember zugestimmt, den US-Aufsichtsbehörden eine Rekordsumme von 200 Millionen Dollar zu zahlen, weil sie es versäumt haben, Aufzeichnungen über die Kommunikation der Mitarbeiter auf persönlichen Geräten zu führen.