Kontrollversagen bei Auftragsverarbeitung führt zur Verwarnung durch Aufsichtsbehörde

Auftragsverarbeiter Kontrolle Verwarnung

Auftragsverarbeitung ist kein Freifahrtschein. Wer personenbezogene Daten an Dienstleister auslagert, bleibt als Verantwortlicher in der Pflicht: für Löschkontrolle, Vertragsgestaltung und Incident-Response gleichermaßen. Ein aktueller Fall aus Berlin illustriert eindrücklich, was passiert, wenn alle drei Bereiche gleichzeitig vernachlässgt werden.

Der Vorfall

Ein von der BVG beauftragter Dienstleister, der im Januar 2025 Briefe und E-Mails im Auftrag der BVG versandt hatte, wurde am 17. April 2025 erfolgreich angegriffen. Dabei waren rund 180.000 Kundendatensätze betroffen, darunter Namen, Anschriften, Vertrags- und Kundennummern sowie teilweise E-Mail-Adressen. Bankdaten und Passwörter waren laut BVG nicht betroffen.

Mehrfaches Versagen auf Verantwortlichenseite

Die aufsichtsbehördliche Prüfung ergab drei voneinander unabhängige Verstöße:

Erstens hatte die BVG nicht kontrolliert, ob der Dienstleister die Kundendaten nach Auftragsabschluss tatsächlich gelöscht hatte, sondern sich allein auf die vertragliche Vereinbarung verlassen. Dies wurde als ein Verstoß gegen Art. 5 Abs. 2 i. V. m. Abs. 1 lit. c, e und f sowie Art. 32 Abs. 1 DS-GVO bewertet.

Zweitens überschritt die BVG die gesetzliche 72-Stunden-Meldefrist nach Art. 33 DS-GVO: Spätestens am 25. April 2025 lagen ausreichende Anhaltspunkte für einen meldepflichtigen Vorfall vor, die formelle Meldung erfolgte jedoch erst am 30. April 2025.

Drittens fehlte im Auftragsverarbeitungsvertrag ein konkretes Verfahren für den Umgang mit Datenschutzvorfällen, was einen Verstoß gegen Art. 28 Abs. 3 Satz 2 lit. f DS-GVO begründet.

Einordnung der Aufsichtsbehörde

Datenschutzbeauftragte Meike Kamp betonte, dass die Auslagerung von Datenverarbeitungen nicht zu Verzögerungen bei Untersuchungs- oder Meldeprozessen führen dürfe. Der Fall verdeutliche zudem das Risiko unnötig lang gespeicherter Daten: Eine konsequente Löschkontrolle hätte den Vorfall in diesem Ausmaß verhindert. Die BVG hat mittlerweile Maßnahmen angekündigt, um vergleichbare Vorfälle künftig zu vermeiden.

(Foto: hanohiki – stock.adobe.com)

Letztes Update:28.05.26

  • Vier Expertenporträts und Logo des Data Agenda Podcasts, Folge 94 mit Prof. Dr. Schwartmann, Markus Beckedahl, Lucia Burkhardt und Felix Sahm.

    Folge 94: KI-Reallabore, Kinder und Gesundheit

    Die unabhängige Expertenkommission „Kinder- und Jugendschutz in der digitalen Welt“ hat am 24. Juni 2026 ihre Handlungsempfehlungen vorgelegt. Der Bericht trägt den Titel „Entwicklung stärken, Verantwortung übernehmen“ und befasst sich insbesondere mit den Auswirkungen Künstlicher Intelligenz auf Kinder und Jugendliche. Markus Beckedahl, der Gründer des Zentrums für Digitalrechte und Demokratie, diskutiert das „KI-Seepferdchen“ (HE 12),

    Mehr erfahren
  • Datenschutz Entbürokratisierung

    Koalitionsausschuss beschließt „Vereinfachung“ des Datenschutzrechts

    Koalitionsausschuss beschließt Vereinfachung des Datenschutzrechts Im Rahmen des am 2. Juli 2026 vorgestellten Reformpakets „Ein Programm für Aufschwung und Beschäftigung“ haben CDU/CSU und SPD unter Punkt 14 weitreichende Änderungen im Bereich Datenschutz angekündigt. Unter der Überschrift „Moderner Datenschutz für mehr Wachstum“ kündigt die Koalition an, den nationalen Datenschutz zu vereinfachen und die in der DS-GVO

    Mehr erfahren
  • Online Recruiting Datenschutzhinweis Transparenz

    Datenschutzverstoß beim Online-Recruiting

    Informationspflicht bei Datenerhebung aus Drittquellen Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, sondern aus Drittquellen wie öffentlich einsehbaren Profilen, greift die strengere Informationspflicht des Art. 14 DS-GVO statt der milderen Regelung des Art. 13 DS-GVO. Verantwortliche müssen der betroffenen Person dann von sich aus mitteilen, woher die Daten stammen, zu welchem Zweck

    Mehr erfahren
WordPress Cookie Hinweis von Real Cookie Banner