dpa | Die Berliner Datenschutzbeauftragte Meike Kamp hat den Berliner Verkehrsbetrieben (BVG) wegen eines Datenlecks im Vorjahr eine Verwarnung erteilt. Das landeseigene Unternehmen habe die Löschung von Kundendaten bei einem Dienstleister nicht kontrolliert und einen anschließenden „Datenschutzvorfall“ zu spät gemeldet, teilte Kamp am Montag mit. Gemeint ist ein Cyberangriff auf den Dienstleister, bei dem im April 2025 mutmaßlich Daten von bis zu 180.000 BVG-Kunden abflossen.

Nach Angaben von Berlins oberster Datenschützerin hatte die BVG im Januar 2025 die externe Firma mit dem Versand von Briefen und E-Mails beauftragt. Dazu verarbeitete diese rund 180.000 Datensätze von BVG-Kunden, die Namen, Anschriften, Vertrags- und Kundennummern sowie teilweise E-Mail-Adressen enthielten. Bankdaten und Passwörter waren laut BVG nicht betroffen.

Wie Kamp erläuterte, hätten die Daten zum Zeitpunkt des Cyberangriffs auf den Dienstleister Mitte April dort nicht mehr gespeichert sein dürfen. Denn der Auftrag war da längst erledigt. Die BVG habe aber nicht kontrolliert, dass die Firma die Daten tatsächlich gelöscht habe, sondern sich allein auf die vertraglich vereinbarte Löschung verlassen. Damit habe die BVG gegen die sogenannte Datenschutz-Grundverordnung verstoßen.

Einen weiteren Verstoß gegen dieses Regelwerk sieht die Datenschutzbeauftragte, weil die BVG den Vorfall nicht gleich nach ersten Hinweisen des Dienstleisters am 17. April 2025 an sie gemeldet habe. Das sei erst am 30. April 2025 erfolgt. Im Vertrag mit dem Dienstleister sei kein konkretes Verfahren für den Umgang mit Datenschutzvorfällen festgelegt gewesen, kritisierte die Beauftragte zudem.

Risiko durch unnötig langes Speichern

„Schnelles Handeln ist bei Datenschutzvorfällen Pflicht und dient dem Schutz der Betroffenen“, erklärte Kamp. „Der Fall macht auch deutlich, welches Risiko von unnötig lange gespeicherten Daten ausgeht: Hätte die BVG die Löschung der Daten konsequent kontrolliert, wären diese nicht von dem Datenschutzvorfall betroffen gewesen.“

Mittlerweile habe die BVG Maßnahmen angekündigt, um ähnliche Vorfälle in der Zukunft zu verhindern, fügte Kamp hinzu. Bereits kurz nach dem Vorfall hatte das Verkehrsunternehmen versichert, dass der Schutz personenbezogener Daten für die BVG höchste Priorität habe. Der Vorfall werde sehr ernst genommen und umfangreich analysiert.