Datenschutzvorfall bei der BVG: Was passiert ist und wie Betroffene reagieren können

Ein aktueller Datenschutzvorfall bei der BVG sorgt für Verunsicherung bei vielen Kund*innen. Bei einem externen IT-Dienstleister der Berliner Verkehrsbetriebe (BVG) kam es zu einem Cyberangriff, bei dem möglicherweise personenbezogene Daten von bis zu 180.000 Kund*innen betroffen sind.

Der Vorfall wurde umgehend den zuständigen internen Stellen der BVG gemeldet, eine Untersuchung wurde eingeleitet und erste Maßnahmen wurden veranlasst.

Nach derzeitigem Stand seien laut BVG keine sensiblen Daten wie Passwörter oder Kontodaten betroffen – der Vorfall befindet sich weiterhin in Prüfung.

Hintergrund zum Datenschutzvorfall bei der BVG

Die Berliner Verkehrsbetriebe (BVG) wurden von einem externen Dienstleister darüber informiert, dass es möglicherweise zu einem unbefugten Zugriff auf personenbezogene Kundendaten gekommen ist. Betroffen sind unter anderem Namen, E-Mail-Adressen, Postanschriften sowie Kunden- und Vertragsnummern. Die BVG machte den Vorfall am 14. Mai 2025 öffentlich.

Nach Angaben der BVG wurden unmittelbar nach Bekanntwerden des Vorfalls erste Schritte eingeleitet. Dazu zählen unter anderem:

• die Benachrichtigung der Berliner Datenschutzbehörde,
• der Versand von Informationsschreiben an betroffene Kund*innen,
• die Einrichtung eines speziellen Kontaktpostfachs für Rückfragen,
• die Überarbeitung interner Abläufe bei Vertragsänderungen, inklusive zusätzlicher Identitätsprüfung.

So reagiert die BVG auf den Vorfall

Die BVG betont, dass der Schutz personenbezogener Daten für das Unternehmen oberste Priorität hat. Nach eigenen Angaben werde der Vorfall derzeit in enger Zusammenarbeit mit dem betroffenem Dienstleister umfassend aufgearbeitet. In diesem Zusammenhang seien laut BVG die mit der Kundebetreuung betrauten Mitarbeitenden gesondert unterrichtet und dafür sensibilisiert worden, dass derartige Vertragsänderungen künftig nicht ohne Verifizierung der Identität erfolgen dürfen. Zusätzlich gibt die BVG betroffenen Kund*innen folgende Informationen an die Hand:

• Seien Sie aufmerksam bei ungewöhnlichen oder verdächtigen E-Mails – insbesondere bei möglichen Phishing-Versuchen.
• Ändern Sie vorsorglich Ihr Passwort, auch wenn keine Zugangsdaten betroffen sind.
• Wenden Sie sich bei Fragen oder Unsicherheiten direkt an das Datenschutzteam der BVG

Für alle Fragen rund um den Datenschutzvorfall stellt die BVG auch ein eigenes Kontaktpostfach bereit: Nähere Informationen finden Sie hier direkt auf der Website der BVG

Fazit: Prävention ist der beste Datenschutz

Der Datenschutzvorfall bei der BVG zeigt erneut, wie wichtig sorgfältig geprüfte Dienstleister, wirksame Schutzmaßnahmen und schnelle Reaktion im Ernstfall sind. Als Datenschutzunternehmen unterstützen wir Sie dabei, genau solche Risiken frühzeitig zu erkennen und abzusichern – mit individuellen Audits, praxisnaher Beratung und konkreten Maßnahmen zur Umsetzung der DSGVO-Anforderungen. Lassen Sie es nicht erst zum Vorfall kommen.

Links/Hinweise:

Website der BVG zum Datenschutzvorfall | Informationen und Handlungsempfehlungen der BVG

procado: Unsere Datenschutzberatung | Erfahren Sie mehr zu unseren Datenschutzlösungen und wie wir Sie bei der Absicherung Ihrer Unternehmensdaten unterstützen können

procado: Managed Security | Wir schützen Ihre IT-Infrastruktur langfristig durch gezielte Sicherheitsmaßnahmen und stärken das Risikobewusstsein Ihrer Mitarbeitenden, um Cyberangriffe und Datenverluste effektiv zu verhindern

procado: Phishing-Angriffe im Jahr 2025 | Unser Blogbeitrag zum Thema Phishing