Datenleck bei BVG, DSGVO-Verwarnung wegen ungelöschter Daten

Veröffentlicht am 6. Mai 2026 von Günter Born

ParagraphDie Berliner Datenschutzbeauftragte hat die Berliner Verkehrsbetriebe  (BVG) verwarnt. Nach einem Datenschutzvorfall sind 180.000 Datensätze von Kunden abgeflossen, die längst hätten gelöscht sein müssen. Das könnte noch teuer für die BVG werden.

Ein IT-Vorfall mit Datenabfluss 2025

Bei den Berliner Verkehrsbetriebe (BVG) gab es 2025 einen Datenschutzvorfall bei einem beauftragten Dienstleister, der auf der Webseite auch dokumentiert ist (hatte ich im Blog nicht thematisiert).

BVG-Vorfall

Konkret kam es bei einem externen Dienstleister der BVG zu einem IT-Angriff, bei dem Daten von BVG-Kunden abgeflossen sind. Von diesem Datenschutzvorfall sind laut BVG bis zu ca. 180.000 Kundendaten betroffen. Laut eigenen Aussagen wurde die BVG Ende April 2025 von dem betroffenen externen Dienstleister über das Ausmaß des Datenverlusts informiert.

Sobald der Vorfall umfassend bewertet und seine Dimension klar war, informierte die BVG, laut eigenen Aussagen, am 30. April 2025 die zuständige Datenschutzbehörde in Berlin. Kann alles vorkommen und liest sich wie "haben wir sofort gehandelt und alles erforderliche durchgeführt". Inzwischen ergibt sich aber ein anderes Bild, was zeigt, was mit Daten schief laufen kann.

DSGVO-Verwarnung des BVG

Die Tage bin ich einmal über nachfolgenden Tweet auf die Weiterentwicklung des Vorfalls aufmerksam geworden – der auf diesen Bericht von RBB24 verweist.

BVG-Vorfall und DSGVO-Verwarnung

Zudem hatte Leser Norddeutsch im Nachgang einen Kommentar im Diskussionsbereich eingestellt und direkt auf die Meldung Berliner Verkehrsbetriebe löschen nicht der Berliner Datenschutzbeauftragten verlinkt (danke). Aus der Mitteilung der Berliner Beauftragte für Datenschutz und Informationsfreiheit geht hervor, was genau vorgefallen ist. Und da sieht der Vorfall für die BVG doch etwas anders aus.

Dienstleister bekommt Daten als Auftragsdatenverarbeiter

Die BVG hatte einem externen Dienstleister Daten von 180.000 BVG-Kunden und -Kundinnen für eine Mailing-Aktion per Brief als "Auftragsdatenverarbeiter" überlassen. Der Dienstleister hatte im Januar 2025 als Auftragsverarbeiter der BVG Briefe und E-Mails verschickt. Danach hätte der Auftragsverarbeiter diese Daten gemäß DSGVO löschen müssen, da diese nicht mehr gebraucht wurden und persönliche Daten wie Namen, Anschriften, Vertrags- und Kundennummern sowie teilweise E-Mail-Adressen in den Datensätzen enthalten waren. Die BVG hätte als Auftraggeber eine Kontrollfunktion wahrnehmen und die Löschungsbestätigung anfordern müssen.

Es kommt zu einem Cyberangriff beim Dienstleister

Im Nachgang kam es dann beim Dienstleister zu einem Cyberangriff, bei dem die BVG-Kundendaten abgeflossen sind. Die BVG, und die Berliner Beauftragte für Datenschutz und Informationsfreiheit wurden in Kenntnis gesetzt. Die Datenschutzbeauftragte Berlins startete ein Prüfverfahren, in dem festgestellt wurde, dass Daten abhanden gekommen sind, für deren Speicherung keine Rechtsgrundlage gemäß DSGVO mehr bestand.

Mehrere Versäumnisse der BVG

Die Prüfung der Berliner Datenschutzbeauftragten ergab, dass die BVG ihre Kontrollpflichten gemäß der Datenschutz-Grundverordnung (DSGVO) gegenüber dem Dienstleister nicht ausreichend ausgeübt hat, heißt es in einer Mitteilung. Zum Zeitpunkt des Angriffs hätten die Daten der BVG-Kunden und Kundinnen nicht mehr vom Dienstleister gespeichert werden dürfen, da der Auftrag abgeschlossen war.

Die BVG hat nicht kontrolliert, dass der Dienstleister die Daten tatsächlich gelöscht hat, sondern sich allein auf die vertraglich vereinbarte Löschung verlassen. Damit hat die BVG gegen Artikel 5 Abs. 2 i. V. m. Abs. 1 lit. c, e und f i. V. m. Art. 32 Abs. 1 Hs. 1 (DSGVO) verstoßen.

Zudem habe die BVG aufgrund mangelnder organisatorischer Maßnahmen gegen ihre Pflicht zur unverzüglichen Meldung von Datenschutzvorfällen nach Artikel 33 DSGVO verstoßen, schreibt die Landesdatenschutzbeauftragte. Bereits nach dem ersten Hinweis des Dienstleisters am 17. April 2025 hätte die BVG unverzüglich Untersuchungen einleiten müssen. Diese erfolgten aus mehreren Gründen nur verzögert. Spätestens am 25. April 2025 bestanden ausreichende Anhaltspunkte für einen meldepflichtigen Vorfall; die formelle Meldung an die Datenschutzbeauftragte erfolgte jedoch erst am 30. April 2025 und überschritt damit die gesetzlich vorgeschriebene 72‑Stunden‑Frist.

Die BVG hat laut Berliner Datenschutzbeauftragte außerdem gegen Artikel 28 Abs. 3 Satz 2 lit. f DSGVO verstoßen, indem sie kein konkretes Verfahren für den Umgang mit Datenschutzvorfällen im Auftragsverarbeitungsvertrag mit dem Dienstleister festgelegt hatte.

Nur eine DSGVO-Verwarnung der Datenschutzbehörde

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat in diesem Fall gegen die Berliner Verkehrsbetriebe (BVG) eine Verwarnung wegen des mangelhaften Umgangs mit einem Datenschutzvorfall verhängt. Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit sagt dazu: "Schnelles Handeln ist bei Datenschutzvorfällen Pflicht und dient dem Schutz der Betroffenen. Wenn Unternehmen Datenverarbeitungen im Wege der Auftragsverarbeitung auslagern, darf dies nicht dazu führen, dass Untersuchungen oder Meldeprozesse verzögert werden.

Der Fall macht auch deutlich, welches Risiko von unnötig lange gespeicherten Daten ausgeht: Hätte die BVG die Löschung der Daten konsequent kontrolliert, wären diese nicht von dem Datenschutzvorfall betroffen gewesen. Mittlerweile hat die BVG Maßnahmen angekündigt, um ähnliche Vorfälle in der Zukunft zu verhindern."

Schadensersatz von Betroffenen möglich

Für die BVG ist der Vorfall von Seiten der Datenschutzbehörde, meiner Einschätzung nach, noch glimpflich ausgegangen, es gab lediglich eine Verwarnung. Das Verfahren hat aber wohl zu einer Anhörung beim Berliner Senat mit Nachfragen von Berliner Abgeordneten geführt, wie RBB24 hier ausführt.

BVG-Justitiar Alexander Steinbrecher gibt an, dass man Maßnahmen getroffen habe, um so etwas in Zukunft zu verhindern. Aber in der Anhörung wurde deutlich, dass geprüft wird, ob Kunden Schadenersatz bekommen werden. Jurist Alexander Steinbrecher sieht hier aber keine Gefahr im Verzug, weil die Verjährungsfrist seiner Einschätzung nach insgesamt drei Jahre beträgt. Betroffene haben noch knapp zwei Jahre Zeit ihre Schadenersatzansprüche geltend zu machen. Wieviel an Nachzahlung auf die BVG oder den Dienstleister zukommt, ist noch völlig offen, heißt es. Mit dem Dienstleister arbeitet die BVG nicht mehr zusammen.

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

Ein Kommentar zu Datenleck bei BVG, DSGVO-Verwarnung wegen ungelöschter Daten

  1. Anonym sagt:
    6. Mai 2026 um 17:40 Uhr

    Der BVG Jurist gehört auch entlassen!
    Weder in der DSGVO noch im BDSG gibt es eine genaue Verjährungsfrist sondern nur eine schwammige es kommt drauf an Formulierung.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.