Kontrollversagen bei Auftragsverarbeitung führt zur Verwarnung durch Aufsichtsbehörde
Auftragsverarbeitung ist kein Freifahrtschein. Wer personenbezogene Daten an Dienstleister auslagert, bleibt als Verantwortlicher in der Pflicht: für Löschkontrolle, Vertragsgestaltung und Incident-Response gleichermaßen. Ein aktueller Fall aus Berlin illustriert eindrücklich, was passiert, wenn alle drei Bereiche gleichzeitig vernachlässgt werden.
Der Vorfall
Ein von der BVG beauftragter Dienstleister, der im Januar 2025 Briefe und E-Mails im Auftrag der BVG versandt hatte, wurde am 17. April 2025 erfolgreich angegriffen. Dabei waren rund 180.000 Kundendatensätze betroffen, darunter Namen, Anschriften, Vertrags- und Kundennummern sowie teilweise E-Mail-Adressen. Bankdaten und Passwörter waren laut BVG nicht betroffen.
Mehrfaches Versagen auf Verantwortlichenseite
Die aufsichtsbehördliche Prüfung ergab drei voneinander unabhängige Verstöße:
Erstens hatte die BVG nicht kontrolliert, ob der Dienstleister die Kundendaten nach Auftragsabschluss tatsächlich gelöscht hatte, sondern sich allein auf die vertragliche Vereinbarung verlassen. Dies wurde als ein Verstoß gegen Art. 5 Abs. 2 i. V. m. Abs. 1 lit. c, e und f sowie Art. 32 Abs. 1 DS-GVO bewertet.
Zweitens überschritt die BVG die gesetzliche 72-Stunden-Meldefrist nach Art. 33 DS-GVO: Spätestens am 25. April 2025 lagen ausreichende Anhaltspunkte für einen meldepflichtigen Vorfall vor, die formelle Meldung erfolgte jedoch erst am 30. April 2025.
Drittens fehlte im Auftragsverarbeitungsvertrag ein konkretes Verfahren für den Umgang mit Datenschutzvorfällen, was einen Verstoß gegen Art. 28 Abs. 3 Satz 2 lit. f DS-GVO begründet.
Einordnung der Aufsichtsbehörde
Datenschutzbeauftragte Meike Kamp betonte, dass die Auslagerung von Datenverarbeitungen nicht zu Verzögerungen bei Untersuchungs- oder Meldeprozessen führen dürfe. Der Fall verdeutliche zudem das Risiko unnötig lang gespeicherter Daten: Eine konsequente Löschkontrolle hätte den Vorfall in diesem Ausmaß verhindert. Die BVG hat mittlerweile Maßnahmen angekündigt, um vergleichbare Vorfälle künftig zu vermeiden.
Das könnte Sie auch interessieren
-
Datenpannenmanagement: LDI NRW identifiziert strukturelle Schwachstellen
Keine Datenpanne in zwei Jahren – klingt gut, ist aber verdächtig. Zu diesem Schluss kommt die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) nach einer Befragung von 33 Kliniken zum Umgang mit Datenschutzvorfällen. Das Ergebnis zeigt ein gemischtes Bild: solide IT-Sicherheitsstandards auf der einen, mögliche Lücken im internen Meldewesen auf der anderen Seite. Untersuchungsgegenstand
Mehr erfahren -
KI-Verordnung: Rat und Parlament einigen sich auf Vereinfachungen im Omnibus-Paket
Am 7. Mai 2026 haben sich Europäisches Parlament und Rat auf eine vorläufige Einigung zum sogenannten „Digital Omnibus on AI“ verständigt. Es ist damit die erste substanzielle Änderung der KI-Verordnung (EU) 2024/1689, bevor deren zentrale Hochrisiko-Pflichten überhaupt in Kraft getreten sind. Der Vorschlag ist Teil des „Omnibus VII“-Gesetzgebungspakets im Rahmen der EU-Vereinfachungsagenda und zielt darauf
Mehr erfahren -
KI in der Justiz: Rahmen für den rechtskonformen Einsatz
Die Bundesregierung hat in einer Antwort auf eine Kleine Anfrage der AfD-Fraktion (BT-Drs. 21/5985, 18. Mai 2026) umfassend Stellung zum Einsatz künstlicher Intelligenz in der deutschen Justiz genommen. Ausgangspunkt war die öffentliche Diskussion um KI-generierte Schriftsätze bei Sozialgerichten, die der Mangel an Fachanwälten für Sozialrecht begünstigt, mithin ein Bereich, in dem mit rund 1.600 zugelassenen
Mehr erfahren
