DSGVO-Verstoß der BVG: Berliner Datenschutzbeauftragte verwarnt Berliner Verkehrsbetriebe

Die BVG hatte die Löschung von Daten bei einem Dienstleister nicht kontrolliert und einen anschließenden Datenschutzvorfall erst deutlich verspätet gemeldet

[datensicherheit.de, 06.05.2026] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat nach eigenen Angaben gegen die Berliner Verkehrsbetriebe (BVG) eine Verwarnung „wegen des mangelhaften Umgangs mit einem Datenschutzvorfall“ verhängt. Die BVG hatte demnach die Löschung von Daten bei einem Dienstleister nicht kontrolliert und einen anschließenden Datenschutzvorfall erst deutlich verspätet gemeldet.

© Annette Koroll

Meike Kamp kommentiert: Schnelles Handeln ist bei Datenschutzvorfällen Pflicht und dient dem Schutz der Betroffenen!

BVG hatte Kontrollpflichten gemäß DSGVO gegenüber Dienstleister nicht ausreichend ausgeübt

Am 17. April 2025 habe ein von der BVG beauftragter Dienstleister die BVG erstmals über einen erfolgreichen Angriff auf dessen IT-Systeme informiert. Der Dienstleister habe im Januar 2025 als sogenannter Auftragsverarbeiter der BVG Briefe und E-Mails verschickt und dafür rund 180.000 Datensätze von BVG-Kunden verarbeitet.

• Betroffen gewesen seien Namen, Anschriften, Vertrags- und Kundennummern sowie teilweise E-Mail-Adressen. Bankdaten und Passwörter indes seien laut BVG nicht betroffen gewesen. Am 30. April 2025 habe die BVG diesen Vorfall der BlnBDI gemeldet und anschließend alle betroffenen Kunden schriftlich per Brief benachrichtigt.

Die Prüfung der BlnBDI habe ergeben, dass die BVG ihre Kontrollpflichten gemäß der Datenschutz-Grundverordnung (DSGVO) gegenüber dem Dienstleister nicht ausreichend ausgeübt habe. Zum Zeitpunkt des Angriffs hätten die Daten der BVG-Kunden nicht mehr vom Dienstleister gespeichert werden dürfen, da der Auftrag abgeschlossen gewesen sei.

Nach dem ersten Hinweis des Dienstleisters hätte die BVG unverzüglich Untersuchungen einleiten müssen

Die BVG habe nicht kontrolliert, dass der Dienstleister die Daten tatsächlich gelöscht hat, sondern sich allein auf die vertraglich vereinbarte Löschung verlassen. „Damit hat die BVG gegen Artikel 5 Abs. 2 i. V. m. Abs. 1 lit. c, e und f i. V. m. Art. 32 Abs. 1 Hs. 1 (DSGVO) verstoßen.“

• Zudem habe die BVG aufgrund mangelnder organisatorischer Maßnahmen gegen ihre Pflicht zur unverzüglichen Meldung von Datenschutzvorfällen nach Artikel 33 DSGVO verstoßen.

Bereits nach dem ersten Hinweis des Dienstleisters am 17. April 2025 hätte die BVG unverzüglich Untersuchungen einleiten müssen. Diese seien aus mehreren Gründen nur verzögert erfolgt.

Formelle BVG-Meldung an die BlnBDI überschritt gesetzlich vorgeschriebene 72‑Stunden‑Frist

Spätestens am 25. April 2025 hätten ausreichende Anhaltspunkte für einen meldepflichtigen Vorfall bestanden; die formelle Meldung an die BlnBDI sei jedoch erst am 30. April 2025 erfolgt und habe damit die gesetzlich vorgeschriebene 72‑Stunden‑Frist überschritten. Die BVG habe außerdem gegen Artikel 28 Abs. 3 Satz 2 lit. f DSGVO verstoßen, indem sie kein konkretes Verfahren für den Umgang mit Datenschutzvorfällen im Auftragsverarbeitungsvertrag mit dem Dienstleister festgelegt habe.

• Die BlnBDI, Meike Kamp, kommentiert: „Schnelles Handeln ist bei Datenschutzvorfällen Pflicht und dient dem Schutz der Betroffenen! Wenn Unternehmen Datenverarbeitungen im Wege der Auftragsverarbeitung auslagern, darf dies nicht dazu führen, dass Untersuchungen oder Meldeprozesse verzögert werden.“

Dieser Fall mache auch deutlich, welches Risiko von unnötig lange gespeicherten Daten ausgehe: Hätte die BVG die Löschung der Daten konsequent kontrolliert, wären diese nicht von dem Datenschutzvorfall betroffen gewesen. „Mittlerweile hat die BVG Maßnahmen angekündigt, um ähnliche Vorfälle in der Zukunft zu verhindern“, so Kamp abschließend.

Weitere Informationen zum Thema:

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
Über uns: Die Beauftragte für Datenschutz und Informationsfreiheit / Am 6. Oktober 2022 wurde Meike Kamp zur Berliner Beauftragten für Datenschutz und Informationsfreiheit gewählt. Seit ihrer Ernennung am 15. November 2022 leitet sie die Behörde.

WIKIPEDIA
Berliner Verkehrsbetriebe

BVG, 22.05.2025
Datenschutzvorfall bei einem Dienstleister der BVG: Information über eine mögliche Verletzung des Schutzes von personenbezogenen Daten nach Art. 34 DSGVO 

datensicherheit.de, 19.05.2025
DSGVO: Verlässlicher Datenschutz schafft Vertrauen und stärkt die Wirtschaft / Stellungnahme vom Verbraucherzentrale Bundesverband zum Vorschlag der EU-Kommission zu DSGVO-Ausnahmen für KMU