Massives Datenleck bei der BVG: Welche Rechte haben Betroffene nach der DSGVO?

Im Mai 2024 wurde bekannt, dass die Berliner Verkehrsbetriebe (BVG) Opfer eines groß angelegten Cyberangriffs wurden. Über zwei Jahre lang blieb eine gravierende Sicherheitslücke bei einem externen Dienstleister unentdeckt. Der Schaden ist enorm: Die persönlichen Daten von bis zu 600.000 Kundinnen und Kunden könnten im Darknet gelandet sein. Viele fragen sich nun: Welche rechtlichen Ansprüche bestehen? Können Betroffene Schadensersatz verlangen? Und wer trägt die Verantwortung?

Datendiebstahl durch Sicherheitslücke

Nach derzeitigem Stand war ein externer IT-Dienstleister der BVG Ziel eines erfolgreichen Cyberangriffs. Über einen längeren Zeitraum – offenbar seit 2021 – war die Online-Abo-Plattform der BVG unzureichend gesichert. Die durchgesickerte Sicherheitslücke ermöglichte es dem oder den Angreifern, auf personenbezogene Daten von Kundinnen und Kunden zuzugreifen.

Betroffen sind laut Berichten von Legal Tribune Online unter anderem Namen, Post- und E-Mail-Adressen, Kontodaten sowie Daten zum Ticketkauf. Die BVG bestätigte das Datenleck inzwischen, informierte die betroffenen Kund:innen und nahm die betreffende Online-Plattform vom Netz.

Ist die BVG datenschutzrechtlich verantwortlich?

Ja. Zwar wurde die betroffene Plattform durch einen externen Anbieter betrieben, doch aus Sicht der Datenschutz-Grundverordnung (DSGVO) bleibt die BVG datenschutzrechtlich Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. Unternehmen und Einrichtungen stehen auch dann in der Verantwortung, wenn sie Dritte mit der Verarbeitung personenbezogener Daten beauftragen.

Nach Art. 28 DSGVO muss in solchen Fällen ein Auftragsverarbeitungsvertrag geschlossen werden, in dem technische und organisatorische Maßnahmen zur Sicherung der Daten geregelt sind. Weiterhin trifft den Verantwortlichen nach Art. 32 DSGVO eine Pflicht zur regelmäßigen Kontrolle, ob die Maßnahmen ausreichend und wirksam sind.

Art. 82 DSGVO: Anspruch auf Schadensersatz?

Ein besonders heiß diskutiertes Thema ist der Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO. Danach kann jede betroffene Person Ersatz verlangen für materielle oder immaterielle Schäden, die ihr durch einen Datenschutzverstoß entstanden sind. Doch was zählt als „immaterieller Schaden“?

Nach aktueller Rechtsprechung der nationalen Gerichte gibt es viele Unsicherheiten. Während einige Gerichte (etwa das LG München I oder LG Heidelberg) den bloßen Kontrollverlust über persönliche Daten und die Besorgnis eines möglichen zukünftigen Missbrauchs bereits als ersatzfähigen Schaden anerkennen, verlangen andere Gerichte konkrete Beeinträchtigungen – etwa Benachteiligungen im Alltag, psychische Belastungen oder tatsächlich eingetretenen Betrug.

Der Europäische Gerichtshof (EuGH) hat sich in der Rechtssache C-300/21 (Österreichische Post) zuletzt auf Seiten der Verbraucher geschlagen: Ein betroffener Nutzer brauche keinen konkreten materiellen Schaden nachzuweisen, wenn eine Verletzung seiner Rechte explizit festgestellt werden könne. Doch ob jeder Kontrollverlust automatisch auch einen immateriellen Schaden darstellt, ist weiterhin umstritten. Mit Spannung wird deshalb das weitere Verfahren C-456/22 erwartet, das Klarheit über die Anforderungen an Nachweis und Höhe des Schadens bringen soll.

Wie können Kund:innen sich wehren?

Personen, deren Daten möglicherweise abgeflossen sind, haben mehrere Optionen:

1. Auskunftsverlangen nach Art. 15 DSGVO: Kund:innen können bei der BVG erfragen, ob sie betroffen sind und welche Daten konkret abgeflossen sind. In vielen Fällen informiert der Anbieter proaktiv, dennoch ist ein eigenes Auskunftsverlangen empfehlenswert.

2. Beschwerde bei der Datenschutzbehörde: Die Berliner Beauftragte für Datenschutz und Informationsfreiheit ist für die BVG zuständig. Sie kann ein aufsichtsrechtliches Verfahren einleiten und eine Geldbuße verhängen, wenn die BVG ihre Pflichten verletzt hat.

3. Schadensersatzanspruch geltend machen: Nach Art. 82 DSGVO kann direkt gerichtlich gegen die BVG vorgegangen werden. Der Anspruch muss dabei begründet darlegen, inwiefern die Datenpanne zu einem erlittenen Schaden oder einer Beeinträchtigung geführt hat.

Welche Rolle spielt der Dienstleister?

Auch wenn der Fehler letztlich beim Subunternehmer lag, haftet gegenüber den Betroffenen grundsätzlich die BVG – nicht der externe Anbieter. Intern kann die BVG gegebenenfalls Regress verlangen, doch für die Betroffenen bleibt die BVG der primäre Adressat. Dies ist gängige Praxis der DSGVO, um die Rechte der betroffenen Personen effizient durchsetzbar zu machen.

Fazit: Datenschutz ist Organisationspflicht – und Haftung folgt auf Versäumnisse

Der Fall zeigt erneut, wie sensibel der Umgang mit personenbezogenen Daten ist – und wie rasch eine Verletzung zu erheblichen rechtlichen und finanziellen Folgen führen kann. Die BVG muss sich nicht nur auf aufsichtsrechtliche Sanktionen einstellen, sondern auch auf individuelle Schadensersatzforderungen von Kund:innen.

Betroffene Fahrgäste sollten ihre Rechte ernst nehmen und prüfen, ob sie vom Vorfall betroffen sind. Unternehmen und öffentliche Einrichtungen wiederum sollten ihre Sicherheitsstrukturen überdenken: Wer personenbezogene Daten erhebt, trägt Verantwortung – und muss dieser auch gerecht werden.