Hallo!
Ich habe in der Sache eine anwaltliche Auskunft eingeholt: Man kann in der Tat sowohl Strafanzeige stellen als auch eine Anzeige bei der zuständigen Datenschutzbehörde (also derjenigen am Sitz des betroffenen Unternehmens, sprich in München).
Letzteres bringt einem persönlich nicht besonders viel, weil man dabei nichts für sich selbst "einklagt", sondern der Landesdatenschutzbeauftragte dem Unternehmen ggf. lediglich eine Strafe aufbrummt.
Schadenersatzforderungen kann man an das Unternehmen erst dann stellen, wenn man auch tatsächlich einen Schaden erlitten hat / nachweisen kann, etwa Kosten und Aufwand bei der Abwehr unberechtigter Inkasso- oder sonstiger rechtlicher Maßnahmen im Zuge eines erfolgten Identitätsmissbrauchs. Hier liegt die Verjährungsfrist mindestens bei 3 Jahren. Hoffen wir, dass Scalable diese Frist überlebt und dort dann auch noch was zu holen ist. Bzw. hoffen wir natürlich vielmehr, dass gar kein Schaden eintritt.
Kosten für reine Prävention, also einen neuen Personalausweis oder ein neues Girokonto, sind nicht ersatzfähig, da freiwillig und nicht als Reaktion auf ein eingetretenes Schadensereignis.
Eine Strafanzeige muss gegen unbekannt gestellt werden, und nicht gegen Scalable, dürfte nach Meinung der Anwältin relativ aussichtslos sein und eingestellt werden, aber sie ist wichtig, wenn man sich bspw. an die Schufa wenden und dort einen Vermerk für den eigenen Datensatz anbringen lassen will, dass man Opfer eines Datendiebstahls wurde. Dies kann hilfreich sein, weil dies bei Bonitätsauskünften berücksichtigt wird und es das Risiko reduziert, unwissentlich durch unberechtigte Zahlungsausfallseinträge einen zunehmenden Bonitätsverlust zu erleiden. Für diesen Eintrag muss man der Schufa eine erfolgte Strafanzeige vorlegen. Dieser Eintrag ist unabhängig von den Datenabfrage-Abos, die die Schufa kostenpflichtig für Privatpersonen anbietet, mit deren Hilfe man frühzeitig auf Unregelmäßigkeiten hingewiesen werden soll. – Ein neues Geschäftsmodell in Zeiten des massenhaften Identitätsmissbrauchs...
Was pauschale rechtliche Ansprüche z. B. aus der DSGVO angeht, die durch Online-Anbieter beworben werden – ein anderer Forist hatte auf den Anbieter "eugd.org" verwiesen – muss man wissen, dass diese "Legaltechs" reine Anwaltsvermittler ohne rechtliche Eigenleistung sind, die im Erfolgsfall jedoch sportliche 25 % Provision von der Entschädigungssumme abkassieren (im Falle des zitierten Anbieters) und sich für den Misserfolgsfall nach eigenen Angaben auch noch das Geltendmachen von Kosten beim "Opfer" vorbehalten... Manche dieser scheinbaren Vermittler sind auch einfach nur Strohleute einzelner Anwaltskanzleien. Laut einschlägigen Foren ist die historische Performance solcher Anbieter bei Prozessen im Datenschutzkontext wohl ausgesprochen mager.
Also schwierig das Ganze. Hilfreich wäre ein Forum zum Informationsaustausch unter SC-Datenklau-Betroffenen, das auch die Möglichkeit zur Vernetzung bzw. zu etwaigen gemeinsamen rechtlichen Aktivitäten gäbe. Vereinzelung ist hier ungünstig – und das Nutzen von Abzock-Vermittlern genau so, weil am Ende dann jeder Vereinzelte seine 25 % an den Vermittler abdrückt oder ggf. noch Kosten aufgebrummt bekommt.
Leider ist die mediale Berichterstattung bisher fĂĽr einen Vorfall dieser inhaltlichen Dimension und bei doch rund 32.000 Betroffenen (23.000 aktuelle und 9.000 frĂĽhere Kunden/Konten) vergleichsweise verhalten.
Bei einer ersten Recherche ist mir spontan die Website einer Journalistin aufgefallen, die bereits 2009 selber Opfer von Identitätsdiebstahl geworden ist, und die ihren Fall schildert und generelle Hilfestellungen für Opfer von Identitätsmissbrauch gibt. Das kann vielleicht hilfreich sein – nach anderen Quellen habe ich noch nicht genauer recherchiert:
https://identitaetsdiebstahl.info/
Ich persönlich habe einen neuen Personalausweis beantragt, werde Scalable auffordern, mir eine individuelle(!) Aufstellung meiner entwendeten Daten zu übermitteln und damit die Strafanzeige gegen unbekannt stellen und dann auch bei der Schufa (und ggf. bei Creditreform) einen "Schutzeintrag" erstellen lassen. Ob ich das dortige "Plus"-Abo für 4,95 € für Datenraubopfer abschließe, weiß ich noch nicht. Und ob meine Bank mir ohne viele Formalien ein neues Girokonto oder eine "neue Kontonummer" geben will, wird sich zeigen. – Meinen (ohnehin nie genutzten; das ist besonders bitter...) Account bei Scalable werde ich hingegen bewusst nicht auflösen, weil man als Nicht-mehr-Kunde vermutlich schlechtere Karten im weiteren Verlauf hat, und sei es nur in der Kommunikation.
Statt "Brokerage-Flatrate" künftig also evtl. "Schufa-Flatrate" – hätte ich doch damals auf mein Bauchgefühl mit den Vorbehalten gegenüber diesen jungschen "Fintechs" gehört...
Alles Gute, c4e