![\"Paragraph\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2018\/11\/Para.jpg\" "\\"Recht\\"")
Die Berliner Datenschutzbeauftragte hat die Berliner Verkehrsbetriebe\u00a0 (BVG) verwarnt. Nach einem Datenschutzvorfall sind 180.000 Datens\u00e4tze von Kunden abgeflossen, die l\u00e4ngst h\u00e4tten gel\u00f6scht sein m\u00fcssen. Das k\u00f6nnte noch teuer f\u00fcr die BVG werden.<\/p>\n
<\/p>\n
Konkret kam es bei einem externen Dienstleister der BVG zu einem IT-Angriff, bei dem Daten von BVG-Kunden abgeflossen sind. Von diesem Datenschutzvorfall sind laut BVG bis zu ca. 180.000 Kundendaten betroffen. Laut eigenen Aussagen wurde die BVG Ende April 2025 von dem betroffenen externen Dienstleister \u00fcber das Ausma\u00df des Datenverlusts informiert.<\/p>\n Sobald der Vorfall umfassend bewertet und seine Dimension klar war, informierte die BVG, laut eigenen Aussagen, am 30. April 2025 die zust\u00e4ndige Datenschutzbeh\u00f6rde in Berlin. Kann alles vorkommen und liest sich wie \"haben wir sofort gehandelt und alles erforderliche durchgef\u00fchrt\". Inzwischen ergibt sich aber ein anderes Bild, was zeigt, was mit Daten schief laufen kann.<\/p>\n Die Tage bin ich einmal \u00fcber nachfolgenden Tweet<\/a> auf die Weiterentwicklung des Vorfalls aufmerksam geworden – der auf diesen Bericht<\/a> von RBB24 verweist.<\/p>\n Zudem hatte Leser Norddeutsch im Nachgang einen Kommentar im Diskussionsbereich eingestellt und direkt auf die Meldung Berliner Verkehrsbetriebe l\u00f6schen nicht<\/a> der Berliner Datenschutzbeauftragten verlinkt (danke). Aus der Mitteilung der Berliner Beauftragte f\u00fcr Datenschutz und Informationsfreiheit geht hervor, was genau vorgefallen ist. Und da sieht der Vorfall f\u00fcr die BVG doch etwas anders aus.<\/p>\n Die BVG hatte einem externen Dienstleister Daten von 180.000 BVG-Kunden und -Kundinnen f\u00fcr eine Mailing-Aktion per Brief als \"Auftragsdatenverarbeiter\" \u00fcberlassen. Der Dienstleister hatte im Januar 2025 als Auftragsverarbeiter der BVG Briefe und E-Mails verschickt. Danach h\u00e4tte der Auftragsverarbeiter diese Daten gem\u00e4\u00df DSGVO l\u00f6schen m\u00fcssen, da diese nicht mehr gebraucht wurden und pers\u00f6nliche Daten wie Namen, Anschriften, Vertrags- und Kundennummern sowie teilweise E-Mail-Adressen in den Datens\u00e4tzen enthalten waren. Die BVG h\u00e4tte als Auftraggeber eine Kontrollfunktion wahrnehmen und die L\u00f6schungsbest\u00e4tigung anfordern m\u00fcssen.<\/p>\n Im Nachgang kam es dann beim Dienstleister zu einem Cyberangriff, bei dem die BVG-Kundendaten abgeflossen sind. Die BVG, und die Berliner Beauftragte f\u00fcr Datenschutz und Informationsfreiheit wurden in Kenntnis gesetzt. Die Datenschutzbeauftragte Berlins startete ein Pr\u00fcfverfahren, in dem festgestellt wurde, dass Daten abhanden gekommen sind, f\u00fcr deren Speicherung keine Rechtsgrundlage gem\u00e4\u00df DSGVO mehr bestand.<\/p>\n Die Pr\u00fcfung der Berliner Datenschutzbeauftragten ergab, dass die BVG ihre Kontrollpflichten gem\u00e4\u00df der Datenschutz-Grundverordnung (DSGVO) gegen\u00fcber dem Dienstleister nicht ausreichend ausge\u00fcbt hat, hei\u00dft es in einer Mitteilung. Zum Zeitpunkt des Angriffs h\u00e4tten die Daten der BVG-Kunden und Kundinnen nicht mehr vom Dienstleister gespeichert werden d\u00fcrfen, da der Auftrag abgeschlossen war.<\/p>\n Die BVG hat nicht kontrolliert, dass der Dienstleister die Daten tats\u00e4chlich gel\u00f6scht hat, sondern sich allein auf die vertraglich vereinbarte L\u00f6schung verlassen. Damit hat die BVG gegen Artikel 5 Abs. 2 i. V. m. Abs. 1 lit. c, e und f i. V. m. Art. 32 Abs. 1 Hs. 1 (DSGVO) versto\u00dfen.<\/p>\n Zudem habe die BVG aufgrund mangelnder organisatorischer Ma\u00dfnahmen gegen ihre Pflicht zur unverz\u00fcglichen Meldung von Datenschutzvorf\u00e4llen nach Artikel 33 DSGVO versto\u00dfen, schreibt die Landesdatenschutzbeauftragte. Bereits nach dem ersten Hinweis des Dienstleisters am 17. April 2025 h\u00e4tte die BVG unverz\u00fcglich Untersuchungen einleiten m\u00fcssen. Diese erfolgten aus mehreren Gr\u00fcnden nur verz\u00f6gert. Sp\u00e4testens am 25. April 2025 bestanden ausreichende Anhaltspunkte f\u00fcr einen meldepflichtigen Vorfall; die formelle Meldung an die Datenschutzbeauftragte erfolgte jedoch erst am 30. April 2025 und \u00fcberschritt damit die gesetzlich vorgeschriebene 72\u2011Stunden\u2011Frist.<\/p>\n Die BVG hat laut Berliner Datenschutzbeauftragte au\u00dferdem gegen Artikel 28 Abs. 3 Satz 2 lit. f DSGVO versto\u00dfen, indem sie kein konkretes Verfahren f\u00fcr den Umgang mit Datenschutzvorf\u00e4llen im Auftragsverarbeitungsvertrag mit dem Dienstleister festgelegt hatte.<\/p>\n Die Berliner Beauftragte f\u00fcr Datenschutz und Informationsfreiheit hat in diesem Fall gegen die Berliner Verkehrsbetriebe (BVG) eine Verwarnung wegen des mangelhaften Umgangs mit einem Datenschutzvorfall verh\u00e4ngt. Meike Kamp, Berliner Beauftragte f\u00fcr Datenschutz und Informationsfreiheit sagt dazu: \"Schnelles Handeln ist bei Datenschutzvorf\u00e4llen Pflicht und dient dem Schutz der Betroffenen. Wenn Unternehmen Datenverarbeitungen im Wege der Auftragsverarbeitung auslagern, darf dies nicht dazu f\u00fchren, dass Untersuchungen oder Meldeprozesse verz\u00f6gert werden.<\/p>\n Der Fall macht auch deutlich, welches Risiko von unn\u00f6tig lange gespeicherten Daten ausgeht: H\u00e4tte die BVG die L\u00f6schung der Daten konsequent kontrolliert, w\u00e4ren diese nicht von dem Datenschutzvorfall betroffen gewesen. Mittlerweile hat die BVG Ma\u00dfnahmen angek\u00fcndigt, um \u00e4hnliche Vorf\u00e4lle in der Zukunft zu verhindern.\"<\/p>\n F\u00fcr die BVG ist der Vorfall von Seiten der Datenschutzbeh\u00f6rde, meiner Einsch\u00e4tzung nach, noch glimpflich ausgegangen, es gab lediglich eine Verwarnung. Das Verfahren hat aber wohl zu einer Anh\u00f6rung beim Berliner Senat mit Nachfragen von Berliner Abgeordneten gef\u00fchrt, wie RBB24 hier ausf\u00fchrt<\/a>.<\/p>\n BVG-Justitiar Alexander Steinbrecher gibt an, dass man Ma\u00dfnahmen getroffen habe, um so etwas in Zukunft zu verhindern. Aber in der Anh\u00f6rung wurde deutlich, dass gepr\u00fcft wird, ob\u00a0Kunden Schadenersatz bekommen werden. Jurist Alexander Steinbrecher sieht hier aber keine Gefahr im Verzug, weil die Verj\u00e4hrungsfrist seiner Einsch\u00e4tzung nach insgesamt drei Jahre betr\u00e4gt. Betroffene haben noch knapp zwei Jahre Zeit ihre Schadenersatzanspr\u00fcche geltend zu machen. Wieviel an Nachzahlung auf die BVG oder den Dienstleister zukommt, ist noch v\u00f6llig offen, hei\u00dft es. Mit dem Dienstleister arbeitet die BVG nicht mehr zusammen.<\/p>\n","protected":false},"excerpt":{"rendered":" Die Berliner Datenschutzbeauftragte hat die Berliner Verkehrsbetriebe\u00a0 (BVG) verwarnt. Nach einem Datenschutzvorfall sind 180.000 Datens\u00e4tze von Kunden abgeflossen, die l\u00e4ngst h\u00e4tten gel\u00f6scht sein m\u00fcssen. Das k\u00f6nnte noch teuer f\u00fcr die BVG werden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[451,6932,4328],"class_list":["post-324666","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-datenschutz","tag-dsgvo","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/324666","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=324666"}],"version-history":[{"count":1,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/324666\/revisions"}],"predecessor-version":[{"id":324669,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/324666\/revisions\/324669"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=324666"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=324666"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=324666"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Bei den Berliner Verkehrsbetriebe (BVG) gab es 2025 einen Datenschutzvorfall bei einem beauftragten Dienstleister, der auf der Webseite auch dokumentiert<\/a> ist (hatte ich im Blog nicht thematisiert).<\/p>\n
![\"BVG-Vorfall\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/05\/BVG-Vorfall.jpg\")
<\/p>\nDSGVO-Verwarnung des BVG<\/h2>\n
![\"BVG-Vorfall](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/05\/BVG-Vorfall1.jpg\")
<\/a><\/p>\nDienstleister bekommt Daten als Auftragsdatenverarbeiter<\/h3>\n
Es kommt zu einem Cyberangriff beim Dienstleister<\/h3>\n
Mehrere Vers\u00e4umnisse der BVG<\/h3>\n
Nur eine DSGVO-Verwarnung der Datenschutzbeh\u00f6rde<\/h3>\n
Schadensersatz von Betroffenen m\u00f6glich<\/h3>\n