Die Berliner Datenschutzbeauftragte Meike Kamp hat den Berliner Verkehrsbetrieben (BVG) wegen eines Datenlecks im Vorjahr eine Verwarnung erteilt. Das landeseigene Unternehmen habe die Löschung von Kundendaten bei einem Dienstleister nicht kontrolliert und einen anschließenden Datenschutzvorfall zu spät gemeldet, teilte Kamp mit.
Cyberangriff auf externen Dienstleister
Der Vorfall ereignete sich im April 2025, als ein Cyberangriff auf einen externen Dienstleister der BVG stattfand. Dabei flossen mutmaßlich Daten von bis zu 180.000 BVG-Kunden ab. Die BVG hatte die Firma im Januar 2025 mit dem Versand von Briefen und E-Mails beauftragt. Dazu verarbeitete diese rund 180.000 Datensätze von BVG-Kunden, die Namen, Anschriften, Vertrags- und Kundennummern sowie teilweise E-Mail-Adressen enthielten. Bankdaten und Passwörter waren laut BVG nicht betroffen.
Mehrere Datenschutzverstöße festgestellt
Wie Kamp erläuterte, hätten die Daten zum Zeitpunkt des Cyberangriffs Mitte April dort nicht mehr gespeichert sein dürfen, da der Auftrag zu diesem Zeitpunkt längst erledigt war. Die BVG habe jedoch nicht kontrolliert, ob die Firma die Daten tatsächlich gelöscht habe, sondern sich allein auf die vertraglich vereinbarte Löschung verlassen. Damit habe die BVG gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen.
Einen weiteren Verstoß sieht die Datenschutzbeauftragte darin, dass die BVG den Vorfall nicht unverzüglich nach ersten Hinweisen des Dienstleisters am 17. April 2025 gemeldet habe, sondern erst am 30. April 2025. Zudem kritisierte sie, dass im Vertrag mit dem Dienstleister kein konkretes Verfahren für den Umgang mit Datenschutzvorfällen festgelegt worden sei.
Mahnung und Maßnahmen
„Schnelles Handeln ist bei Datenschutzvorfällen Pflicht und dient dem Schutz der Betroffenen“, erklärte Kamp. „Der Fall macht auch deutlich, welches Risiko von unnötig lange gespeicherten Daten ausgeht: Hätte die BVG die Löschung der Daten konsequent kontrolliert, wären diese nicht von dem Datenschutzvorfall betroffen gewesen.“
Mittlerweile habe die BVG Maßnahmen angekündigt, um ähnliche Vorfälle in der Zukunft zu verhindern, fügte Kamp hinzu. Bereits kurz nach dem Vorfall hatte das Verkehrsunternehmen versichert, dass der Schutz personenbezogener Daten für die BVG höchste Priorität habe. Der Vorfall werde sehr ernst genommen und umfangreich analysiert.
