# taz.de -- Angriff auf BVG-Kundendaten: Datenschutzbeauftragte rügt Landesunternehmen
> Namen, Anschriften, Vertragsnummern: Ein Cyberangriff legt Schwachstellen
> bei der BVG offen. Die Datenschutzbeauftragte rügt gleich mehrere Fehler.
(IMG) Bild: Wir geben großzügig unsere Daten her, auch über Handy. Aber was, wenn die Empfängerseite nachlässig damit umgeht?
dpa | Die Berliner Datenschutzbeauftragte Meike Kamp hat den Berliner
Verkehrsbetrieben (BVG) wegen eines Datenlecks im Vorjahr eine Verwarnung
erteilt. Das landeseigene Unternehmen habe die Löschung von Kundendaten bei
einem Dienstleister nicht kontrolliert und einen anschließenden
„Datenschutzvorfall“ zu spät gemeldet, teilte Kamp am Montag mit. Gemeint
ist ein Cyberangriff auf den Dienstleister, bei dem im April 2025
mutmaßlich Daten von bis zu 180.000 BVG-Kunden abflossen.
Nach Angaben von Berlins oberster Datenschützerin hatte die BVG im Januar
2025 die externe Firma mit dem Versand von Briefen und E-Mails beauftragt.
Dazu verarbeitete diese rund 180.000 Datensätze von BVG-Kunden, die Namen,
Anschriften, Vertrags- und Kundennummern sowie teilweise E-Mail-Adressen
enthielten. Bankdaten und Passwörter waren laut BVG nicht betroffen.
Wie Kamp erläuterte, hätten die Daten zum Zeitpunkt des Cyberangriffs auf
den Dienstleister Mitte April dort nicht mehr gespeichert sein dürfen. Denn
der Auftrag war da längst erledigt. Die BVG habe aber nicht kontrolliert,
dass die Firma die Daten tatsächlich gelöscht habe, sondern sich allein auf
die vertraglich vereinbarte Löschung verlassen. Damit habe die BVG gegen
die sogenannte Datenschutz-Grundverordnung verstoßen.
Einen weiteren Verstoß gegen dieses Regelwerk sieht die
Datenschutzbeauftragte, weil die BVG den Vorfall nicht gleich nach ersten
Hinweisen des Dienstleisters am 17. April 2025 an sie gemeldet habe. Das
sei erst am 30. April 2025 erfolgt. Im Vertrag mit dem Dienstleister sei
kein konkretes Verfahren für den Umgang mit Datenschutzvorfällen festgelegt
gewesen, kritisierte die Beauftragte zudem.
## Risiko durch unnötig langes Speichern
„Schnelles Handeln ist bei Datenschutzvorfällen Pflicht und dient dem
Schutz der Betroffenen“, erklärte Kamp. „Der Fall macht auch deutlich,
welches Risiko von unnötig lange gespeicherten Daten ausgeht: Hätte die BVG
die Löschung der Daten konsequent kontrolliert, wären diese nicht von dem
Datenschutzvorfall betroffen gewesen.“
Mittlerweile habe die BVG Maßnahmen angekündigt, um ähnliche Vorfälle in
der Zukunft zu verhindern, fügte Kamp hinzu. Bereits kurz nach dem Vorfall
hatte das Verkehrsunternehmen versichert, dass der Schutz personenbezogener
Daten für die BVG höchste Priorität habe. Der Vorfall werde sehr ernst
genommen und umfangreich analysiert.
4 May 2026
## TAGS
(DIR) BVG
(DIR) Datensicherheit
(DIR) Datenschutz
(DIR) Schwerpunkt Pressefreiheit
(DIR) Reden wir darüber
(DIR) Schwerpunkt Künstliche Intelligenz
## ARTIKEL ZUM THEMA
(DIR) Überwachung und digitale Sicherheit: Europäische Gesichtserkennung für brasilianische Schulkinder
Eine slowakische Software scannt täglich Hunderttausende Kinder in Paraná.
In Europa sind solche Systeme kaum denkbar – exportiert werden sie trotzdem
problemlos.
(DIR) Angriffe auf Signal-Nutzer: Wie kann man sich schützen?
Auf dem eigentlich als sehr sicher geltenden Messenger-Dienst Signal kam es
zu Phishing-Angriffen. Die wichtigsten Fragen und Antworten im Überblick.
(DIR) Künstliche Intelligenz: Macht in falschen Händen
Die Aufholjagd bei Künstlicher Intelligenz in Europa droht, die Fehler des
Silicon Valleys zu wiederholen. Es braucht eine Alternative zu privaten
Akteuren.