Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 04.05.2026 Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat gegen die Berliner Verkehrsbetriebe (BVG) eine Verwarnung wegen des mangelhaften Umgangs mit einem Datenschutzvorfall verhängt. Die BVG hatte die Löschung von Daten bei einem Dienstleister nicht kontrolliert und einen anschließenden Datenschutzvorfall erst deutlich verspätet gemeldet. Am 17. April 2025 informierte ein von der BVG beauftragter Dienstleister die BVG erstmals über einen erfolgreichen Angriff auf dessen IT-Systeme. Der Dienstleister hatte im Januar 2025 als Auftragsverarbeiter der BVG Briefe und E-Mails verschickt und dafür rund 180.000 Datensätze von BVG-Kund:innen verarbeitet. Betroffen waren Namen, Anschriften, Vertrags- und Kundennummern sowie teilweise E-Mail-Adressen. Bankdaten und Passwörter waren laut BVG nicht betroffen. Am 30. April 2025 meldete die BVG den Vorfall der Berliner Datenschutzbeauftragten und benachrichtigte anschließend alle betroffenen Kund:innen schriftlich per Brief. Die Prüfung der Berliner Datenschutzbeauftragten ergab, dass die BVG ihre Kontrollpflichten gemäß der Datenschutz-Grundverordnung (DSGVO) gegenüber dem Dienstleister nicht ausreichend ausgeübt hat. Zum Zeitpunkt des Angriffs hätten die Daten der BVG-Kund:innen nicht mehr vom Dienstleister gespeichert werden dürfen, da der Auftrag abgeschlossen war. Die BVG hat nicht kontrolliert, dass der Dienstleister die Daten tatsächlich gelöscht hat, sondern sich allein auf die vertraglich vereinbarte Löschung verlassen.…
Quelle: Virtuelles Datenschutzbüro
Link: Weiterlesen
