{"id":11859,"date":"2025-05-15T23:01:54","date_gmt":"2025-05-15T21:01:54","guid":{"rendered":"https:\/\/www.legalsmart.de\/blog\/cyberangriff-bvg-datenleck-schadensersatz-dsgvo\/"},"modified":"2025-05-15T23:01:54","modified_gmt":"2025-05-15T21:01:54","slug":"cyberangriff-bvg-datenleck-schadensersatz-dsgvo","status":"publish","type":"post","link":"https:\/\/www.legalsmart.de\/blog\/cyberangriff-bvg-datenleck-schadensersatz-dsgvo\/","title":{"rendered":"Cyberangriff auf die BVG: Kundendaten im Darknet \u2013 Was Betroffene jetzt wissen m\u00fcssen"},"content":{"rendered":"

Massives Datenleck bei der BVG: Welche Rechte haben Betroffene nach der DSGVO?<\/h1>\n

Im Mai 2024 wurde bekannt, dass die Berliner Verkehrsbetriebe (BVG) Opfer eines gro\u00df angelegten Cyberangriffs wurden. \u00dcber zwei Jahre lang blieb eine gravierende Sicherheitsl\u00fccke bei einem externen Dienstleister unentdeckt. Der Schaden ist enorm: Die pers\u00f6nlichen Daten von bis zu 600.000 Kundinnen und Kunden k\u00f6nnten im Darknet gelandet sein. Viele fragen sich nun: Welche rechtlichen Anspr\u00fcche bestehen? K\u00f6nnen Betroffene Schadensersatz verlangen? Und wer tr\u00e4gt die Verantwortung?<\/p>\n

Datendiebstahl durch Sicherheitsl\u00fccke<\/h2>\n

Nach derzeitigem Stand war ein externer IT-Dienstleister der BVG Ziel eines erfolgreichen Cyberangriffs. \u00dcber einen l\u00e4ngeren Zeitraum \u2013 offenbar seit 2021 \u2013 war die Online-Abo-Plattform der BVG unzureichend gesichert. Die durchgesickerte Sicherheitsl\u00fccke erm\u00f6glichte es dem oder den Angreifern, auf personenbezogene Daten von Kundinnen und Kunden zuzugreifen.<\/p>\n

Betroffen sind laut Berichten von Legal Tribune Online<\/em> unter anderem Namen, Post- und E-Mail-Adressen, Kontodaten sowie Daten zum Ticketkauf. Die BVG best\u00e4tigte das Datenleck inzwischen, informierte die betroffenen Kund:innen und nahm die betreffende Online-Plattform vom Netz.<\/p>\n

Ist die BVG datenschutzrechtlich verantwortlich?<\/h2>\n

Ja. Zwar wurde die betroffene Plattform durch einen externen Anbieter betrieben, doch aus Sicht der Datenschutz-Grundverordnung (DSGVO) bleibt die BVG datenschutzrechtlich Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO<\/a>. Unternehmen und Einrichtungen stehen auch dann in der Verantwortung, wenn sie Dritte mit der Verarbeitung personenbezogener Daten beauftragen.<\/p>\n

Nach Art. 28 DSGVO<\/a> muss in solchen F\u00e4llen ein Auftragsverarbeitungsvertrag geschlossen werden, in dem technische und organisatorische Ma\u00dfnahmen zur Sicherung der Daten geregelt sind. Weiterhin trifft den Verantwortlichen nach Art. 32 DSGVO<\/a> eine Pflicht zur regelm\u00e4\u00dfigen Kontrolle, ob die Ma\u00dfnahmen ausreichend und wirksam sind.<\/p>\n

Art. 82 DSGVO<\/a>: Anspruch auf Schadensersatz?<\/h2>\n

Ein besonders hei\u00df diskutiertes Thema ist der Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO<\/a>. Danach kann jede betroffene Person Ersatz verlangen f\u00fcr materielle oder immaterielle Sch\u00e4den, die ihr durch einen Datenschutzversto\u00df entstanden sind. Doch was z\u00e4hlt als \u201eimmaterieller Schaden\u201c?<\/p>\n

Nach aktueller Rechtsprechung der nationalen Gerichte gibt es viele Unsicherheiten. W\u00e4hrend einige Gerichte (etwa das LG M\u00fcnchen I oder LG Heidelberg) den blo\u00dfen Kontrollverlust \u00fcber pers\u00f6nliche Daten und die Besorgnis eines m\u00f6glichen zuk\u00fcnftigen Missbrauchs bereits als ersatzf\u00e4higen Schaden anerkennen, verlangen andere Gerichte konkrete Beeintr\u00e4chtigungen \u2013 etwa Benachteiligungen im Alltag, psychische Belastungen oder tats\u00e4chlich eingetretenen Betrug.<\/p>\n

Der Europ\u00e4ische Gerichtshof (EuGH) hat sich in der Rechtssache C-300\/21<\/a> (\u00d6sterreichische Post) zuletzt auf Seiten der Verbraucher geschlagen: Ein betroffener Nutzer brauche keinen konkreten materiellen Schaden nachzuweisen, wenn eine Verletzung seiner Rechte explizit festgestellt werden k\u00f6nne. Doch ob jeder Kontrollverlust automatisch auch einen immateriellen Schaden darstellt, ist weiterhin umstritten. Mit Spannung wird deshalb das weitere Verfahren C-456\/22<\/a> erwartet, das Klarheit \u00fcber die Anforderungen an Nachweis und H\u00f6he des Schadens bringen soll.<\/p>\n

Wie k\u00f6nnen Kund:innen sich wehren?<\/h2>\n

Personen, deren Daten m\u00f6glicherweise abgeflossen sind, haben mehrere Optionen:<\/p>\n

1. Auskunftsverlangen nach Art. 15 DSGVO<\/a>:<\/strong> Kund:innen k\u00f6nnen bei der BVG erfragen, ob sie betroffen sind und welche Daten konkret abgeflossen sind. In vielen F\u00e4llen informiert der Anbieter proaktiv, dennoch ist ein eigenes Auskunftsverlangen empfehlenswert.<\/p>\n

2. Beschwerde bei der Datenschutzbeh\u00f6rde:<\/strong> Die Berliner Beauftragte f\u00fcr Datenschutz und Informationsfreiheit ist f\u00fcr die BVG zust\u00e4ndig. Sie kann ein aufsichtsrechtliches Verfahren einleiten und eine Geldbu\u00dfe verh\u00e4ngen, wenn die BVG ihre Pflichten verletzt hat.<\/p>\n

3. Schadensersatzanspruch geltend machen:<\/strong> Nach Art. 82 DSGVO<\/a> kann direkt gerichtlich gegen die BVG vorgegangen werden. Der Anspruch muss dabei begr\u00fcndet darlegen, inwiefern die Datenpanne zu einem erlittenen Schaden oder einer Beeintr\u00e4chtigung gef\u00fchrt hat.<\/p>\n

Welche Rolle spielt der Dienstleister?<\/h2>\n

Auch wenn der Fehler letztlich beim Subunternehmer lag, haftet gegen\u00fcber den Betroffenen grunds\u00e4tzlich die BVG \u2013 nicht der externe Anbieter. Intern kann die BVG gegebenenfalls Regress verlangen, doch f\u00fcr die Betroffenen bleibt die BVG der prim\u00e4re Adressat. Dies ist g\u00e4ngige Praxis der DSGVO, um die Rechte der betroffenen Personen effizient durchsetzbar zu machen.<\/p>\n

Fazit: Datenschutz ist Organisationspflicht \u2013 und Haftung folgt auf Vers\u00e4umnisse<\/h2>\n

Der Fall zeigt erneut, wie sensibel der Umgang mit personenbezogenen Daten ist \u2013 und wie rasch eine Verletzung zu erheblichen rechtlichen und finanziellen Folgen f\u00fchren kann. Die BVG muss sich nicht nur auf aufsichtsrechtliche Sanktionen einstellen, sondern auch auf individuelle Schadensersatzforderungen von Kund:innen.<\/p>\n

Betroffene Fahrg\u00e4ste sollten ihre Rechte ernst nehmen und pr\u00fcfen, ob sie vom Vorfall betroffen sind. Unternehmen und \u00f6ffentliche Einrichtungen wiederum sollten ihre Sicherheitsstrukturen \u00fcberdenken: Wer personenbezogene Daten erhebt, tr\u00e4gt Verantwortung \u2013 und muss dieser auch gerecht werden.<\/p>\n","protected":false},"excerpt":{"rendered":"

Massives Datenleck bei der BVG: Welche Rechte haben Betroffene nach der DSGVO? Im Mai 2024 wurde bekannt, dass die Berliner Verkehrsbetriebe (BVG) Opfer eines gro\u00df angelegten Cyberangriffs wurden. \u00dcber zwei Jahre lang blieb eine gravierende Sicherheitsl\u00fccke bei einem externen Dienstleister unentdeckt. Der Schaden ist enorm: Die pers\u00f6nlichen Daten von bis zu 600.000 Kundinnen und Kunden […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-11859","post","type-post","status-publish","format-standard","hentry","category-allgemein"],"yoast_head":"\nCyberangriff auf die BVG: Kundendaten im Darknet \u2013 Was Betroffene jetzt wissen m\u00fcssen | LEGAL SMART Online Blog<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.legalsmart.de\/blog\/cyberangriff-bvg-datenleck-schadensersatz-dsgvo\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Cyberangriff auf die BVG: Kundendaten im Darknet \u2013 Was Betroffene jetzt wissen m\u00fcssen | LEGAL SMART Online Blog\" \/>\n<meta property=\"og:description\" content=\"Massives Datenleck bei der BVG: Welche Rechte haben Betroffene nach der DSGVO? Im Mai 2024 wurde bekannt, dass die Berliner Verkehrsbetriebe (BVG) Opfer eines gro\u00df angelegten Cyberangriffs wurden. \u00dcber zwei Jahre lang blieb eine gravierende Sicherheitsl\u00fccke bei einem externen Dienstleister unentdeckt. Der Schaden ist enorm: Die pers\u00f6nlichen Daten von bis zu 600.000 Kundinnen und Kunden […]\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.legalsmart.de\/blog\/cyberangriff-bvg-datenleck-schadensersatz-dsgvo\/\" \/>\n<meta property=\"og:site_name\" content=\"LEGAL SMART Online Blog\" \/>\n<meta property=\"article:author\" content=\"https:\/\/www.facebook.com\/guido.kluck\" \/>\n<meta property=\"article:published_time\" content=\"2025-05-15T21:01:54+00:00\" \/>\n<meta name=\"author\" content=\"Guido Kluck, LL.M.\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@https:\/\/twitter.com\/kluck\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"Guido Kluck, LL.M.\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"4\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.legalsmart.de\/blog\/cyberangriff-bvg-datenleck-schadensersatz-dsgvo\/\",\"url\":\"https:\/\/www.legalsmart.de\/blog\/cyberangriff-bvg-datenleck-schadensersatz-dsgvo\/\",\"name\":\"Cyberangriff auf die BVG: Kundendaten im Darknet \u2013 Was Betroffene jetzt wissen m\u00fcssen | LEGAL SMART Online Blog\",\"isPartOf\":{\"@id\":\"https:\/\/www.legalsmart.de\/blog\/#website\"},\"datePublished\":\"2025-05-15T21:01:54+00:00\",\"author\":{\"@id\":\"https:\/\/www.legalsmart.de\/blog\/#\/schema\/person\/0869c669bccbe2e56b149b214913b000\"},\"breadcrumb\":{\"@id\":\"https:\/\/www.legalsmart.de\/blog\/cyberangriff-bvg-datenleck-schadensersatz-dsgvo\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.legalsmart.de\/blog\/cyberangriff-bvg-datenleck-schadensersatz-dsgvo\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.legalsmart.de\/blog\/cyberangriff-bvg-datenleck-schadensersatz-dsgvo\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Startseite\",\"item\":\"https:\/\/www.legalsmart.de\/blog\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Cyberangriff auf die BVG: Kundendaten im Darknet \u2013 Was Betroffene jetzt wissen m\u00fcssen\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.legalsmart.de\/blog\/#website\",\"url\":\"https:\/\/www.legalsmart.de\/blog\/\",\"name\":\"LEGAL SMART Online Blog\",\"description\":\"Die innovative Kanzlei\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.legalsmart.de\/blog\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.legalsmart.de\/blog\/#\/schema\/person\/0869c669bccbe2e56b149b214913b000\",\"name\":\"Guido Kluck, LL.M.\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/www.legalsmart.de\/blog\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/www.legalsmart.de\/blog\/wp-content\/uploads\/2018\/09\/cropped-IMG_2698-e1535879860494-96x96.jpg\",\"contentUrl\":\"https:\/\/www.legalsmart.de\/blog\/wp-content\/uploads\/2018\/09\/cropped-IMG_2698-e1535879860494-96x96.jpg\",\"caption\":\"Guido Kluck, LL.M.\"},\"description\":\"Rechtsanwalt Guido Kluck LL.M. ist Partner der Kanzlei LEGAL SMART am Standort Berlin. Er ist Ansprechpartner f\u00fcr das Recht der neuen Medien sowie f\u00fcr die Bereiche Wettbewerbsrecht, Markenrecht, Urheberrecht, IT-Recht, Vertragsrecht und das Datenschutzrecht (DSGVO).\",\"sameAs\":[\"https:\/\/legalsmart.de\/team_kluck.php\",\"https:\/\/www.facebook.com\/guido.kluck\",\"https:\/\/x.com\/https:\/\/twitter.com\/kluck\"]}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Cyberangriff auf die BVG: Kundendaten im Darknet \u2013 Was Betroffene jetzt wissen m\u00fcssen | LEGAL SMART Online Blog","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.legalsmart.de\/blog\/cyberangriff-bvg-datenleck-schadensersatz-dsgvo\/","og_locale":"de_DE","og_type":"article","og_title":"Cyberangriff auf die BVG: Kundendaten im Darknet \u2013 Was Betroffene jetzt wissen m\u00fcssen | LEGAL SMART Online Blog","og_description":"Massives Datenleck bei der BVG: Welche Rechte haben Betroffene nach der DSGVO? Im Mai 2024 wurde bekannt, dass die Berliner Verkehrsbetriebe (BVG) Opfer eines gro\u00df angelegten Cyberangriffs wurden. \u00dcber zwei Jahre lang blieb eine gravierende Sicherheitsl\u00fccke bei einem externen Dienstleister unentdeckt. Der Schaden ist enorm: Die pers\u00f6nlichen Daten von bis zu 600.000 Kundinnen und Kunden […]","og_url":"https:\/\/www.legalsmart.de\/blog\/cyberangriff-bvg-datenleck-schadensersatz-dsgvo\/","og_site_name":"LEGAL SMART Online Blog","article_author":"https:\/\/www.facebook.com\/guido.kluck","article_published_time":"2025-05-15T21:01:54+00:00","author":"Guido Kluck, LL.M.","twitter_card":"summary_large_image","twitter_creator":"@https:\/\/twitter.com\/kluck","twitter_misc":{"Verfasst von":"Guido Kluck, LL.M.","Gesch\u00e4tzte Lesezeit":"4\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/www.legalsmart.de\/blog\/cyberangriff-bvg-datenleck-schadensersatz-dsgvo\/","url":"https:\/\/www.legalsmart.de\/blog\/cyberangriff-bvg-datenleck-schadensersatz-dsgvo\/","name":"Cyberangriff auf die BVG: Kundendaten im Darknet \u2013 Was Betroffene jetzt wissen m\u00fcssen | LEGAL SMART Online Blog","isPartOf":{"@id":"https:\/\/www.legalsmart.de\/blog\/#website"},"datePublished":"2025-05-15T21:01:54+00:00","author":{"@id":"https:\/\/www.legalsmart.de\/blog\/#\/schema\/person\/0869c669bccbe2e56b149b214913b000"},"breadcrumb":{"@id":"https:\/\/www.legalsmart.de\/blog\/cyberangriff-bvg-datenleck-schadensersatz-dsgvo\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.legalsmart.de\/blog\/cyberangriff-bvg-datenleck-schadensersatz-dsgvo\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/www.legalsmart.de\/blog\/cyberangriff-bvg-datenleck-schadensersatz-dsgvo\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Startseite","item":"https:\/\/www.legalsmart.de\/blog\/"},{"@type":"ListItem","position":2,"name":"Cyberangriff auf die BVG: Kundendaten im Darknet \u2013 Was Betroffene jetzt wissen m\u00fcssen"}]},{"@type":"WebSite","@id":"https:\/\/www.legalsmart.de\/blog\/#website","url":"https:\/\/www.legalsmart.de\/blog\/","name":"LEGAL SMART Online Blog","description":"Die innovative Kanzlei","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.legalsmart.de\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Person","@id":"https:\/\/www.legalsmart.de\/blog\/#\/schema\/person\/0869c669bccbe2e56b149b214913b000","name":"Guido Kluck, LL.M.","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.legalsmart.de\/blog\/#\/schema\/person\/image\/","url":"https:\/\/www.legalsmart.de\/blog\/wp-content\/uploads\/2018\/09\/cropped-IMG_2698-e1535879860494-96x96.jpg","contentUrl":"https:\/\/www.legalsmart.de\/blog\/wp-content\/uploads\/2018\/09\/cropped-IMG_2698-e1535879860494-96x96.jpg","caption":"Guido Kluck, LL.M."},"description":"Rechtsanwalt Guido Kluck LL.M. ist Partner der Kanzlei LEGAL SMART am Standort Berlin. Er ist Ansprechpartner f\u00fcr das Recht der neuen Medien sowie f\u00fcr die Bereiche Wettbewerbsrecht, Markenrecht, Urheberrecht, IT-Recht, Vertragsrecht und das Datenschutzrecht (DSGVO).","sameAs":["https:\/\/legalsmart.de\/team_kluck.php","https:\/\/www.facebook.com\/guido.kluck","https:\/\/x.com\/https:\/\/twitter.com\/kluck"]}]}},"_links":{"self":[{"href":"https:\/\/www.legalsmart.de\/blog\/wp-json\/wp\/v2\/posts\/11859","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.legalsmart.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.legalsmart.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.legalsmart.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.legalsmart.de\/blog\/wp-json\/wp\/v2\/comments?post=11859"}],"version-history":[{"count":0,"href":"https:\/\/www.legalsmart.de\/blog\/wp-json\/wp\/v2\/posts\/11859\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.legalsmart.de\/blog\/wp-json\/wp\/v2\/media?parent=11859"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.legalsmart.de\/blog\/wp-json\/wp\/v2\/categories?post=11859"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.legalsmart.de\/blog\/wp-json\/wp\/v2\/tags?post=11859"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}