Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat die Berliner Verkehrsbetriebe (BVG) wegen unzureichenden Umgangs mit einem Datenschutzvorfall verwarnt. Der Fall zeigt exemplarisch, dass Datenschutzpflichten nicht bereits dadurch erfüllt sind, dass Löschpflichten vertraglich vereinbart werden. Unternehmen müssen auch organisatorisch sicherstellen, dass Dienstleister Vorgaben tatsächlich umsetzen und Datenschutzvorfälle unverzüglich bewertet und gemeldet werden.
Angriff auf Daten bei Dienstleister
Nach Angaben der Berliner Datenschutzbeauftragten hatte ein Dienstleister der BVG im Januar 2025 im Auftrag der BVG Briefe und E-Mails versendet. Hierfür wurden rund 180.000 Kundendatensätze verarbeitet, darunter Namen, Anschriften, Vertrags- und Kundennummern sowie teilweise E-Mail-Adressen. Nach Abschluss des Auftrags hätten diese Daten beim Dienstleister nicht weiter gespeichert bleiben dürfen.
Im April 2025 informierte der Dienstleister die BVG über einen erfolgreichen Angriff auf seine IT-Systeme. Die BVG meldete den Vorfall jedoch erst später an die Aufsichtsbehörde. Die Behörde beanstandete insbesondere zwei Punkte: Zum einen hatte die BVG nicht ausreichend kontrolliert, ob der Dienstleister die Daten nach Auftragsende tatsächlich gelöscht hatte. Zum anderen fehlten nach Auffassung der Behörde hinreichende organisatorische Abläufe, um den Datenschutzvorfall rechtzeitig zu prüfen und innerhalb der gesetzlichen Frist zu melden.
Verletzung zentraler datenschutzrechtlicher Grundsätze
Im Mittelpunkt des Konflikts stehen mehrere Kernpflichten der DSGVO.
Der Vorfall ereignete sich zwar bei einem externen Dienstleister, datenschutzrechtlich verantwortlich im Sinne der DSGVO blieb jedoch (auch) die BVG. Dies folgt aus den Art. 24 ff. DSGVO. Von Datenschutzverstößen eines Auftragsverarbeiters kann sich ein Verantwortlicher nicht einfach „freisprechen“. Vielmehr muss er durch geeignete Verträge, Kontrollen sowie technische und organisatorische Maßnahmen sicherstellen, dass der Dienstleister die datenschutzrechtlichen Vorgaben tatsächlich einhält.
Hinzu zählt auch die Pflicht aus Art. 32 DSGVO die Sicherheit der Verarbeitung zu gewährleisten. Wer Verarbeitungsvorgänge auslagert, muss den Dienstleister sorgfältig auswählen, vertraglich steuern und risikoorientiert kontrollieren. Von der datenschutzrechtlichen Verantwortlichkeit sind daher nicht nur die eigenen Systeme des Unternehmens umfasst, sondern auch die organisatorische Einbindung von Auftragsverarbeitern. Daher statuiert Art. 33 DSGVO, dass Datenschutzvorfälle bei einem Dienstleister rechtlich nicht allein dessen Angelegenheit sind. Sobald der Verantwortliche Kenntnis von einem potenziell meldepflichtigen Vorfall erhält, muss er prüfen, ob eine Meldung an die Aufsichtsbehörde erforderlich ist. Dafür sind belastbare interne Prozesse notwendig, um Informationen des Dienstleisters schnell auszuwerten, Risiken für Betroffene zu bewerten und die gesetzlichen Meldefristen einzuhalten.
Besondere Bedeutung kommt ist in diesem Zusammenhang auch der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zu. Verantwortliche müssen nicht nur datenschutzkonform handeln, sondern auch nachweisen können, dass die Verarbeitung den gesetzlichen Anforderungen entspricht. Wenn ein Dienstleister nach Auftragsende zur Löschung verpflichtet ist, reicht es daher regelmäßig nicht aus, diese Pflicht lediglich vertraglich festzuhalten. Der Verantwortliche muss vielmehr nachvollziehbar dokumentieren können, dass die Löschung tatsächlich erfolgt ist oder zumindest angemessen überprüft wurde.
Daneben berührt der Fall die Grundsätze der Datenminimierung und Speicherbegrenzung. Personenbezogene Daten dürfen nur solange verarbeitet oder gespeichert werden, wie dies für den jeweiligen Zweck erforderlich ist. Dass der fragliche Dienstleister die Datensätze auch nach Abschluss des Auftrags weiter gespeicherte hatte, führte letztlich dazu, dass sie überhaupt von dem Cyberangriff betroffen sein konnten.
Auftragsverarbeitung: Vertrag allein reicht nicht
Zu Konflikten in der Praxis kommt es, wenn Auftragsverarbeitungsverträge zwar Regelungen zur Löschung oder Rückgabe von Daten nach Auftragsende enthalten, diese Pflichten jedoch nicht auch kontrolliert wird. Die Berliner Datenschutzbeauftragte beanstandete, dass sich die BVG im Ergebnis auf die vertraglich vereinbarte Löschung verlassen hatte, ohne deren tatsächliche Umsetzung ausreichend zu überprüfen.
Art. 28 DSGVO verlangt eine aktive Steuerung des Auftragsverarbeiters. Dazu gehören klare Weisungen, konkrete Regelungen zum Umgang mit Datenschutzvorfällen und geeignete Kontrollmechanismen. Gerade bei Beendigung eines Auftrags sollte der Verantwortliche nicht nur auf allgemeine Vertragsklauseln verweisen, sondern einen nachvollziehbaren Abschlussprozess vorsehen.
Bedeutung des OLG Dresden
Eine Entscheidung des OLG Dresden fügt sich in diese Linie ein. Auch dort ging es um die Frage, ob ein Verantwortlicher sich darauf verlassen darf, dass ein Auftragsverarbeiter Daten nach Vertragsende löscht. Das Gericht stellte heraus, dass Verantwortliche ihre Kontrollpflichten ernst nehmen müssen. Eine bloße Ankündigung oder Zusicherung des Dienstleisters kann je nach Risiko nicht ausreichen.
Für den BVG-Fall ist diese Rechtsprechung deshalb relevant, weil sie denselben Grundgedanken betont: Die Verantwortung für personenbezogene Daten endet nicht automatisch mit der Auslagerung an einen Dienstleister und auch nicht mit dem Ende des konkreten Auftrags. Verantwortliche bleiben verpflichtet, die Einhaltung datenschutzrechtlicher Vorgaben zu überwachen und dies zu dokumentieren.
Dabei ist nicht jede Kontrolle gleich intensiv auszugestalten. Maßgeblich sind unter anderem Umfang und Sensibilität der Daten, die Bedeutung der Verarbeitung, die Risiken für Betroffene und die Zuverlässigkeit des Dienstleisters. Bei großen Datenbeständen oder relevanten Kundendaten wird eine rein formale Betrachtung regelmäßig nicht genügen.
Praktische Konsequenzen für Unternehmen
Unternehmen sollten Auftragsverarbeitung nicht nur als Vertragsmanagement verstehen, sondern als laufenden Governance-Prozess. Besonders wichtig ist ein strukturierter Offboarding-Prozess für Dienstleister. Dieser sollte festlegen, wann Daten zu löschen oder zurückzugeben sind, wer die Löschung bestätigt, welche Nachweise erforderlich sind und wie das Unternehmen reagiert, wenn eine Bestätigung ausbleibt.
Sinnvoll sind insbesondere dokumentierte Löschbestätigungen, risikobasierte Stichproben, Audit- oder Nachweisrechte sowie klare Eskalationswege. Bei besonders relevanten Verarbeitungsvorgängen kann es erforderlich sein, zusätzliche Nachweise einzuholen oder technische und organisatorische Maßnahmen des Dienstleisters erneut zu überprüfen.
Ebenso wichtig ist ein belastbarer Incident-Response-Prozess. Meldungen von Dienstleistern müssen intern schnell an die zuständigen Stellen weitergeleitet werden. Unternehmen sollten vorab definieren, wer die Risikobewertung vornimmt, welche Informationen vom Dienstleister unverzüglich einzuholen sind und wann eine Meldung an die Aufsichtsbehörde vorbereitet wird. Die 72-Stunden-Frist lässt wenig Raum für unklare Zuständigkeiten.
Auch der Auftragsverarbeitungsvertrag selbst sollte konkret genug sein. Er sollte nicht nur allgemein auf Unterstützungspflichten verweisen, sondern regeln, wie Datenschutzvorfälle zu melden sind, welche Mindestinformationen der Dienstleister liefern muss und innerhalb welcher Fristen dies zu erfolgen hat.
Fazit
Die Verwarnung der BVG zeigt, dass Datenschutzpflichten bei Dienstleistereinsätzen nicht mit der Unterzeichnung eines Auftragsverarbeitungsvertrags erledigt sind. Verantwortliche müssen kontrollieren, ob vereinbarte Löschpflichten tatsächlich umgesetzt werden, und sie müssen Datenschutzvorfälle organisatorisch so beherrschen, dass gesetzliche Meldefristen eingehalten werden.
Zusammen mit der Rechtsprechung des OLG Dresden ergibt sich ein klares Bild: Wer personenbezogene Daten an Dienstleister auslagert, bleibt verantwortlich. Unternehmen sollten deshalb insbesondere Löschprozesse nach Vertragsende, Nachweisdokumentation und Incident-Response-Abläufe kritisch überprüfen.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
