Die Securities and Exchange Commission hat bestraft Morgan Stanley Smith Barney (MSSB) für das Versäumnis, die personenbezogenen Daten (PII) seiner Kunden über einen Zeitraum von fünf Jahren zu schützen. Die SEC behauptet, dass Morgan Stanley nicht nur die personenbezogenen Daten seiner Kunden von Festplatten, die außer Betrieb genommen werden sollen, nicht vernichtet hat, sondern auch unqualifizierte Unternehmen damit beauftragt hat.
Die SEC hat festgestellt, dass Morgan Stanley Speichergeräte mit den personenbezogenen Daten seiner Kunden aus dem Jahr 2015 nicht ordnungsgemäß entsorgt hat. Die Kommission fand auch heraus, dass Morgan Stanley in mehreren Fällen ein „Umzugs- und Lagerunternehmen ohne Erfahrung oder Fachwissen“ beauftragt hat in Datenvernichtungsdiensten”, um Tausende von Festplatten und Servern, die die persönlichen Informationen von Millionen seiner Kunden enthalten, stillzulegen. Anstatt die Laufwerke und den Server zu zerstören, verkaufte das Unternehmen sie an einen Drittanbieter, der sie auf einer Internetauktion verkaufte.
Typischerweise verwenden Unternehmen, die mit sensiblen Daten umgehen, Hardware-Sicherheitsmodule (HSMs) wie Marvells LiquidSecurity, selbstverschlüsselnde Laufwerke (SED) oder verschlüsseln die Daten zumindest per Software. Die Außerbetriebnahme eines SED ist ein schneller und einfacher Vorgang, da lediglich der Verschlüsselungsschlüssel vom Laufwerk gelöscht werden muss. Morgan Stanley verwendete keine SEDs und verschlüsselte keine Daten auf seinen Servern, obwohl letztere eine solche Funktion unterstützten. Normalerweise erfordert die Außerbetriebnahme eines Servers mit unverschlüsselten Daten das Löschen aller Daten und die Sicherstellung, dass sie nicht wiederhergestellt werden können, was in vielen Fällen die physische Zerstörung von Speichergeräten beinhaltet. Die Auftragnehmer von MSSB haben dies jedoch nicht getan, und MSSB hat seine Arbeit nicht ordnungsgemäß überwacht.
Schließlich stellte Morgan Stanley fest, dass 42 Server, auf denen alle hypothetisch unverschlüsselte personenbezogene Daten von Kunden und Verbraucherberichtsinformationen gespeichert waren, im Wesentlichen von der Umzugsfirma verloren gegangen oder gestohlen worden waren.
„Kunden vertrauen ihre personenbezogenen Daten Finanzfachleuten mit dem Verständnis und der Erwartung an, dass sie geschützt werden, und MSSB hat dies kläglich versäumt“, sagte Gurbir S. Grewal, Direktor der Enforcement Division der SEC. „Wenn diese sensiblen Informationen nicht ordnungsgemäß geschützt werden, können sie in die falschen Hände geraten und katastrophale Folgen für Anleger haben. Die heutige Maßnahme sendet eine klare Botschaft an die Finanzinstitute, dass sie ihre Verpflichtung zum Schutz dieser Daten ernst nehmen müssen.“
Morgan Stanley erklärte sich bereit, eine Geldstrafe von 35 Millionen Dollar zu zahlen, ohne Schuld zuzugeben oder die Ergebnisse der SEC zu leugnen.