Zewnętrzny dostawca usług berlińskiego przedsiębiorstwa transportu publicznego (BVG) stał się celem ataku informatycznego. W rezultacie sprawcy uzyskali dostęp do danych osobowych nawet 180 000 klientów BVG. Natychmiast po incydencie firma poinformowała osoby poszkodowane, a także berliński organ ochrony danych, wypełniając tym samym swoje obowiązki informacyjne wynikające z RODO.

W oświadczenie publiczne Firma ogłosiła, że o ile obecnie wiadomo, żadne wrażliwe dane, takie jak dane konta lub informacje o hasłach, nie zostały naruszone. Niemniej jednak incydent związany z ochroną danych może mieć jeszcze dalej idące konsekwencje dla firmy: Dotknięci klienci mają możliwość dochodzenia roszczeń odszkodowawczych przeciwko BVG zgodnie z art. 82 ust. 1 RODO. Jeszcze jakiś czas temu Federalny Trybunał Sprawiedliwości (BGH) orzekł, że przeszkody w uzyskaniu odszkodowania przez osoby dotknięte tzw. wyciekiem danych muszą zostać znacznie obniżone (sygnatura sprawy: VI ZR 10/24 z dnia 18 listopada 2024 r.). 

Aby zapewnić bezpieczeństwo danych osobowych, w praktyce szczególnie ważne jest opracowanie odpowiedniej koncepcji ochrony danych i bezpieczeństwa IT. Tylko w ten sposób można zapobiec potencjalnym naruszeniom danych. Ponadto, współpracując z zewnętrznymi dostawcami usług, należy zadbać o to, aby sami oferowali wystarczające gwarancje ochrony danych osobowych zgodnie z art. 28 ust. 1 RODO. „Jeśli zasady te nie będą przestrzegane, administrator danych naraża się na niematerialne roszczenia odszkodowawcze z tytułu incydentów związanych z ochroną danych“ - wyjaśnia prawnik Zeynep Kenar. „Ponieważ nawet jeśli organ odpowiedzialny współpracuje z zewnętrznymi dostawcami usług, jest on odpowiedzialny przed światem zewnętrznym za ewentualne naruszenia ochrony danych“.“