Datenschutzbeauftragte verwarnt BVG

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 04.05.2026

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat gegen die Berliner Verkehrsbetriebe (BVG) eine Verwarnung wegen des mangelhaften Umgangs mit einem Datenschutzvorfall verhängt. Die BVG hatte die Löschung von Daten bei einem Dienstleister nicht kontrolliert und einen anschließenden Datenschutzvorfall erst deutlich verspätet gemeldet.

Am 17. April 2025 informierte ein von der BVG beauftragter Dienstleister die BVG erstmals über einen erfolgreichen Angriff auf dessen IT-Systeme. Der Dienstleister hatte im Januar 2025 als Auftragsverarbeiter der BVG Briefe und E-Mails verschickt und dafür rund 180.000 Datensätze von BVG-Kund:innen verarbeitet. Betroffen waren Namen, Anschriften, Vertrags- und Kundennummern sowie teilweise E-Mail-Adressen. Bankdaten und Passwörter waren laut BVG nicht betroffen. Am 30. April 2025 meldete die BVG den Vorfall der Berliner Datenschutzbeauftragten und benachrichtigte anschließend alle betroffenen Kund:innen schriftlich per Brief.

Die Prüfung der Berliner Datenschutzbeauftragten ergab, dass die BVG ihre Kontrollpflichten gemäß der Datenschutz-Grundverordnung (DSGVO) gegenüber dem Dienstleister nicht ausreichend ausgeübt hat. Zum Zeitpunkt des Angriffs hätten die Daten der BVG-Kund:innen nicht mehr vom Dienstleister gespeichert werden dürfen, da der Auftrag abgeschlossen war. Die BVG hat nicht kontrolliert, dass der Dienstleister die Daten tatsächlich gelöscht hat, sondern sich allein auf die vertraglich vereinbarte Löschung verlassen. Damit hat die BVG gegen Artikel 5 Abs. 2 i. V. m. Abs. 1 lit. c, e und f i. V. m. Art. 32 Abs. 1 Hs. 1 (DSGVO) verstoßen.

Zudem hat die BVG aufgrund mangelnder organisatorischer Maßnahmen gegen ihre Pflicht zur unverzüglichen Meldung von Datenschutzvorfällen nach Artikel 33 DSGVO verstoßen. Bereits nach dem ersten Hinweis des Dienstleisters am 17. April 2025 hätte die BVG unverzüglich Untersuchungen einleiten müssen. Diese erfolgten aus mehreren Gründen nur verzögert. Spätestens am 25. April 2025 bestanden ausreichende Anhaltspunkte für einen meldepflichtigen Vorfall; die formelle Meldung an die Datenschutzbeauftragte erfolgte jedoch erst am 30. April 2025 und überschritt damit die gesetzlich vorgeschriebene 72‑Stunden‑Frist.

Die BVG hat außerdem gegen Artikel 28 Abs. 3 Satz 2 lit. f DSGVO verstoßen, indem sie kein konkretes Verfahren für den Umgang mit Datenschutzvorfällen im Auftragsverarbeitungsvertrag mit dem Dienstleister festgelegt hatte.

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Schnelles Handeln ist bei Datenschutzvorfällen Pflicht und dient dem Schutz der Betroffenen. Wenn Unternehmen Datenverarbeitungen im Wege der Auftragsverarbeitung auslagern, darf dies nicht dazu führen, dass Untersuchungen oder Meldeprozesse verzögert werden. Der Fall macht auch deutlich, welches Risiko von unnötig lange gespeicherten Daten ausgeht: Hätte die BVG die Löschung der Daten konsequent kontrolliert, wären diese nicht von dem Datenschutzvorfall betroffen gewesen. Mittlerweile hat die BVG Maßnahmen angekündigt, um ähnliche Vorfälle in der Zukunft zu verhindern.“