Der Fall BVG Cyberangriff Datenschutz ist am 4. Mai 2026 nicht deshalb relevant, weil eine weitere alte Datenpanne noch einmal Schlagzeilen macht. Relevant ist er, weil die Berliner Datenschutzaufsicht aus einem bereits bekannten Sicherheitsvorfall jetzt einen klaren DSGVO-Durchsetzungsfall formt. Die Behörde teilte heute mit, dass sie die Berliner Verkehrsbetriebe verwarnt hat, weil die BVG den Umgang mit einem Datenschutzvorfall bei einem Dienstleister mangelhaft organisiert hatte. Damit rückt nicht der Angriff selbst ins Zentrum, sondern die Frage, was ein Verantwortlicher nach einem Angriff auf einen Auftragsverarbeiter konkret kontrollieren, dokumentieren und melden muss.
Der Hintergrund ist operativ ziemlich greifbar. Laut der Berliner Beauftragten für Datenschutz und Informationsfreiheit hatte ein Dienstleister der BVG im Januar 2025 Briefe und E-Mails im Zusammenhang mit dem Produkt „Berlin Abo“ verschickt und dafür rund 180.000 Kundendatensätze verarbeitet. Am 17. April 2025 meldete der Dienstleister der BVG einen erfolgreichen Angriff auf seine IT-Systeme. Betroffen waren Namen, Anschriften, Vertrags- und Kundennummern sowie teilweise E-Mail-Adressen. Die BVG schreibt auf ihrer Informationsseite zum Datenschutzvorfall ebenfalls, dass Bankdaten und Passwörter nach aktuellem Kenntnisstand nicht betroffen gewesen seien und dass die betroffenen Kundinnen und Kunden später per Brief informiert wurden.
Der heutige Aufsichtsschritt zeigt aber, dass diese Einordnung nur die halbe Geschichte war. Nach Darstellung der Berliner Datenschutzbeauftragten hätten die Daten zum Zeitpunkt des Angriffs beim Dienstleister gar nicht mehr gespeichert sein dürfen. Der Auftrag war bereits abgeschlossen, die BVG habe sich jedoch auf die vertraglich vorgesehene Löschung verlassen, ohne nachzuprüfen, ob sie tatsächlich erfolgt war. Genau daraus macht die Behörde nun einen Kontrollverstoß. Wer Auftragsverarbeitung auslagert, delegiert eben nicht die eigene Rechenschaftspflicht gleich mit.
Der eigentliche Fehler lag nicht nur im Angriff, sondern im Prozess danach
Bemerkenswert ist am BVG-Fall vor allem, wie sauber die Aufsicht den Datenschutzkern freilegt. Der erste Vorwurf betrifft nicht eine abstrakte Sicherheitslücke, sondern ein Governance-Versagen rund um Speicherbegrenzung, Integrität und Kontrolle. Die Berliner Behörde verweist ausdrücklich darauf, dass die BVG die Löschung der Daten nicht wirksam kontrolliert habe. Wären die Datensätze nach Abschluss des Auftrags tatsächlich entfernt worden, wären sie vom späteren Angriff gar nicht mehr erfasst worden. Aus einem Cybervorfall wird damit ein ziemlich klassischer DSGVO-Fall zu Datenminimierung, Löschkontrolle und Auftragsverarbeiter-Aufsicht.
Hinzu kommt der zweite, für viele Unternehmen noch heiklere Punkt: die verspätete Meldung. Laut der Berliner Datenschutzbeauftragten hätte die BVG bereits nach der ersten Nachricht des Dienstleisters am 17. April unverzüglich Untersuchungen einleiten müssen. Spätestens am 25. April hätten ausreichende Anhaltspunkte für einen meldepflichtigen Vorfall vorgelegen. Die formelle Meldung an die Aufsicht erfolgte jedoch erst am 30. April und überschritt damit die 72-Stunden-Frist aus Artikel 33 DSGVO deutlich. Die Behörde macht also klar, dass interne Unsicherheit, gestreckte Abstimmungen oder ein zu langsamer Dienstleister kein Entschuldigungsgrund sind, wenn die Meldeuhr bereits läuft.
Noch ein dritter Aspekt macht den Fall für Datenschutzteams interessant. Nach Angaben der Aufsicht fehlte im Auftragsverarbeitungsvertrag außerdem ein konkretes Verfahren für den Umgang mit Datenschutzvorfällen. Das klingt trocken, ist praktisch aber oft genau die Sollbruchstelle. Viele Verträge regeln Sicherheitsstandards, Vertraulichkeit und Löschung noch halbwegs ordentlich, bleiben aber erstaunlich vage bei Eskalationswegen, Fristen, Zuständigkeiten und forensischer Zusammenarbeit. Im Ernstfall beginnt dann erst die Improvisation, und genau diese Improvisation frisst die Zeit, die Artikel 33 gerade nicht lässt.
Was Unternehmen aus dem BVG-Cyberangriff jetzt mitnehmen sollten
Für Unternehmen liegt die Lehre des Themas BVG Cyberangriff Datenschutz deshalb nicht in einer allgemeinen Warnung vor Hackern. Der eigentliche Punkt ist viel nüchterner und unbequemer: Wer personenbezogene Daten an Dienstleister gibt, braucht belastbare Kontrollroutinen für das Ende des Auftrags, klare Incident-Prozesse im Vertrag und eine Organisation, die bei ersten Warnsignalen sofort arbeitsfähig ist. Reine Vertragsklauseln ohne Nachweis, ob Daten wirklich gelöscht wurden, reichen erkennbar nicht. Ebenso wenig reicht es, bei einem Verdacht erst tagelang intern zu sortieren, ob der Fall schon schwer genug ist.
Praktisch heißt das, dass Verantwortliche drei Dinge überprüfen sollten. Erstens: Gibt es für ausgelagerte Verarbeitungen einen dokumentierten Lösch- oder Rückgabeprozess mit echter Bestätigung und Stichprobenkontrolle? Zweitens: Ist vertraglich festgelegt, wie ein Auftragsverarbeiter Sicherheitsvorfälle meldet, welche Informationen sofort geliefert werden müssen und wer auf beiden Seiten entscheidet? Drittens: Kann das eigene Incident-Team innerhalb von Stunden bewerten, ob ein meldepflichtiger Datenschutzvorfall vorliegt, statt erst Tage später belastbare Fakten zusammenzutragen?
Genau deshalb ist die heutige Verwarnung mehr als ein Nachklapp zu einem Vorfall aus dem Vorjahr. Die Berliner Aufsicht macht sichtbar, dass Auftragsverarbeitung im Krisenfall an sehr konkreten Pflichten gemessen wird: Daten dürfen nicht unnötig liegen bleiben, Dienstleister müssen kontrolliert werden und die 72-Stunden-Frist ist kein unverbindlicher Zielwert. Für Verkehrsunternehmen, Verwaltungen und private Unternehmen gleichermaßen ist das eine klare Erinnerung daran, dass sich Datenschutzrisiken selten erst im Angriff materialisieren. Oft entstehen sie schon viel früher, nämlich dort, wo Löschung, Vertrag und Meldeprozess nur auf dem Papier existieren.
Bildquelle: Pexels
Quellen: Berliner Beauftragte für Datenschutz und Informationsfreiheit, Datenschutzbeauftragte verwarnt BVG; BVG, Datenschutzvorfall bei einem Dienstleister der BVG.
