Ein externer Dienstleister der Berliner Verkehrsbetriebe (BVG) ist Ziel eines IT-Angriffs geworden. Infolgedessen haben die Täter Zugriff auf personenbezogene Daten von bis zu 180.000 BVG-Kunden erlangt. Das Unternehmen hat die betroffenen Personen wie auch die Berliner Datenschutzbehörde unmittelbar nach dem Vorfall in Kenntnis gesetzt und ist damit seinen Informationspflichten nach der DSGVO nachgekommen.

In einem öffentlichen Statement teilte das Unternehmen mit, dass nach dem derzeitigen Kenntnisstand keine sensiblen Daten, wie Kontodaten oder Passwortinformationen betroffen seien. Dennoch könnte der Datenschutzvorfall noch weitreichendere Konsequenzen für das Unternehmen haben: Betroffene Kundinnen und Kunden haben die Möglichkeit, einen Schadensersatzanspruch gegen die BVG nach Art. 82 Abs. 1 DSGVO geltend zu machen. Erst vor einiger Zeit hat der Bundesgerichtshof (BGH) entschieden, dass die Hürden für Schadenersatz bei Betroffenen eines so genannten Datenlecks deutlich gesenkt werden müssen (Az.: VI ZR 10/24 vom 18.11.2024). 

Um die Sicherheit der personenbezogenen Daten zu gewährleisten, ist es in der Praxis besonders wichtig, ein angemessenes Datenschutz- und IT-Sicherheitskonzept zu entwickeln. Nur dadurch können mögliche Datenpannen vorgebeugt werden. Darüber hinaus muss bei der Zusammenarbeit mit externen Dienstleistern darauf geachtet werden, dass diese selbst hinreichende Garantien nach Art. 28 Abs. 1 DSGVO zum Schutz von personenbezogenen Daten bieten. „Werden diese Grundsätze nicht eingehalten, riskiert der Verantwortliche immaterielle Schadensersatzansprüche wegen Datenschutzvorfällen“, erläutert Rechtsanwältin Zeynep Kenar. „Denn auch wenn die zuständige Stelle mit externen Dienstleistern zusammenarbeitet, haftet er nach außen hin für mögliche Datenschutzverstöße.“