Morgan Stanley wird 35 Mill. Dollar zahlen, um die Vorwürfe der US-Börsenaufsicht SEC auszuräumen, dass eine ihrer Abteilungen beim Austausch von Festplatten und Servern die persönlichen Daten von Millionen Kunden nicht gesichert hat. Die Bank habe tausende von Geräten unsachgemäß entsorgt, und einige seien online versteigert worden, ohne zu überprüfen, ob die darauf befindlichen Kundendaten gelöscht worden seien, lautet der Vorwurf der SEC. Etwa 15 Millionen Kundendaten seien von 2015 an über einen Zeitraum von fünf Jahren kompromittiert worden.

Morgan Stanley bekundete in einer Erklärung, froh zu sein, die Angelegenheit geklärt zu haben. „Wir haben die betroffenen Kunden bereits vor mehreren Jahren über diese Vorfälle informiert und konnten keinen unbefugten Zugriff auf persönliche Kundendaten oder deren Missbrauch feststellen“, so die Bank. Morgan Stanley stimmte zu, die Strafe zu zahlen und den Fall beizulegen, ohne die Vorwürfe zuzugeben oder zu bestreiten.

Die Verstöße seien darauf zurückzuführen, dass die Bank ein Umzugsunternehmen ohne Erfahrung in der Datenvernichtung beauftragte und dessen Arbeit nicht ordnungsgemäß überwacht habe, so die SEC. Morgan Stanley hat einige der Geräte mit tausenden von unverschlüsselten Kundendaten wiedergefunden. Die überwiegende Mehrheit der Geräte wurde laut der Aufsichtsbehörde aber nicht gefunden. Gurbir Grewal, Direktor der SEC-Abteilung für Rechtsdurchsetzung, nannte die Ergebnisse „erstaunlich“. Kunden erwarteten, dass ihre persönlichen Daten Finanzfachleuten anvertraut werden, in der Erwartung, dass sie geschützt werden.