Ihre Daten im BVG-Datenleck – Was Sie jetzt wissen und tun sollten

1. Was ist passiert?

Im Mai 2025 wurde bekannt, dass es bei einem externen IT-Dienstleister der Berliner Verkehrsbetriebe (BVG) zu einem erheblichen Sicherheitsvorfall gekommen ist. Angreifer verschafften sich mutmaßlich durch einen Cyberangriff Zugriff auf Systeme der Richard Scholz GmbH, die im Auftrag der BVG unter anderem die Abonnementverwaltung betreut.

Die Folge: Personenbezogene Daten von rund 180.000  Kunden sind betroffen. Die BVG bestätigte den Vorfall öffentlich am 15. Mai 2025 und informierte nach eigenen Angaben sowohl die zuständige Aufsichtsbehörde nach Art. 33 DSGVO als auch die betroffenen Personen gemäß Art. 34 DSGVO.

2. Welche Daten sind betroffen?

Betroffen sind insbesondere folgende personenbezogene Daten:

1. Vor- und Nachnamen
2. Postanschriften
3. E-Mail-Adressen (soweit angegeben)
4. Kundennummern
5. Vertragsnummern von BVG-Abos

Besonders kritisch: Es handelt sich um klassische Stammdaten, die für Identitätsdiebstahl, Betrugsversuche oder gezielte Phishing-Kampagnen missbraucht werden können. Auch wenn derzeit keine Hinweise auf den Abfluss von Zahlungsdaten oder Passwörtern bestehen, ist das Risiko eines Missbrauchs real und ernst zu nehmen.

3. Wer haftet – und was können Betroffene tun?

Nach der Datenschutz-Grundverordnung (DSGVO) sind Verantwortliche verpflichtet, personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen zu schützen (Art. 32 DSGVO). Auch bei Beauftragung eines externen Dienstleisters verbleibt die Verantwortlichkeit bei der BVG selbst (Art. 4 Nr. 7 DSGVO i.V.m. Art. 28 DSGVO).

Die Rechtslage ist damit klar: Ein Verstoß gegen die DSGVO liegt bereits dann vor, wenn unbefugt Daten Dritten zugänglich gemacht werden – unabhängig davon, ob ein konkreter Missbrauch nachgewiesen werden kann.

Betroffene haben nach Art. 82 DSGVO einen Anspruch auf Schadensersatz für materielle oder immaterielle Schäden, die ihnen infolge des Datenlecks entstanden sind. Diese Norm gewährt Betroffenen einen umfassenden Ausgleichsanspruch. Nach aktueller Rechtsprechung des Europäischen Gerichtshofs (EuGH, Urt. v. 4. Mai 2023 – C-300/21) ist ein „wesentlicher“ Schaden nicht erforderlich. Es genügt, dass ein konkreter Nachteil – auch rein psychischer oder organisatorischer Natur – nachgewiesen werden kann.

Typische ersatzfähige immaterielle Schäden:

1. Gefühl des Kontrollverlusts über persönliche Daten
2. erhöhte Wachsamkeit und psychische Belastung
3. Zeitaufwand für Präventionsmaßnahmen (z. B. Passwortrücksetzungen, Kommunikationssicherung)
4. Angst vor künftiger missbräuchlicher Nutzung

Auch wenn bislang keine finanziellen Schäden eingetreten sind, kann bereits die ungewollte Preisgabe persönlicher Daten zu einem Ausgleichsanspruch führen.

4. Ihre Handlungsoptionen – und wie wir Sie unterstützen können

Als Kanzlei mit besonderer Spezialisierung auf Datenschutz- und IT-Recht prüfen wir für Betroffene, ob ein durchsetzbarer Schadensersatzanspruch besteht. Unsere Leistungen umfassen insbesondere:

1. Analyse der individuellen Betroffenheit
2. Geltendmachung von Ansprüchen gegenüber der BVG bzw. deren Versicherer
3. Kommunikation mit der Datenschutzaufsicht
4. Prüfung und Formulierung von Auskunfts- und Schadensersatzansprüchen
5. gerichtliche Durchsetzung des Schadensersatzes, sofern erforderlich

Wenn Sie ein „Berlin Abo“ abgeschlossen haben oder ein entsprechendes Informationsschreiben der BVG erhalten haben, sollten Sie jetzt Ihre rechtliche Situation prüfen lassen. Die Erfahrung zeigt: Viele Betroffene unterschätzen die Tragweite solcher Datenlecks – und verschenken damit wertvolle Rechtsansprüche.