Kontrollversagen bei Auftragsverarbeitung führt zur Verwarnung durch Aufsichtsbehörde
Auftragsverarbeitung ist kein Freifahrtschein. Wer personenbezogene Daten an Dienstleister auslagert, bleibt als Verantwortlicher in der Pflicht – für Löschkontrolle, Vertragsgestaltung und Incident Response gleichermaßen. Ein aktueller Fall aus Berlin illustriert eindrücklich, was passiert, wenn alle drei Bereiche gleichzeitig vernachlässigt werden.
Der Vorfall
Ein von der BVG beauftragter Dienstleister, der im Januar 2025 Briefe und E-Mails im Auftrag der BVG versandt hatte, wurde am 17. April 2025 erfolgreich angegriffen. Dabei waren rund 180.000 Kundendatensätze betroffen, darunter Namen, Anschriften, Vertrags- und Kundennummern sowie teilweise E-Mail-Adressen. Bankdaten und Passwörter waren laut BVG nicht betroffen.
Mehrfaches Versagen auf Seiten des Verantwortlichen
Die aufsichtsbehördliche Prüfung ergab drei voneinander unabhängige Verstöße:
Erstens hatte die BVG nicht kontrolliert, ob der Dienstleister die Kundendaten nach Auftragsabschluss tatsächlich gelöscht hatte, sondern sich allein auf die vertragliche Vereinbarung verlassen. Dies wurde als ein Verstoß gegen Art. 5 Abs. 2 i. V. m. Abs. 1 lit. c, e und f sowie Art. 32 Abs. 1 DS-GVO bewertet.
Zweitens überschritt die BVG die gesetzliche 72-Stunden-Meldefrist nach Art. 33 DS-GVO: Spätestens am 25.April 2025 lagen ausreichende Anhaltspunkte für einen meldepflichtigen Vorfall vor, die formelle Meldung erfolgte jedoch erst am 30. April 2025.
Drittens fehlte im Auftragsverarbeitungsvertrag ein konkretes Verfahren für den Umgang mit Datenschutzvorfällen, was einen Verstoß gegen Art. 28 Abs. 3 Satz 2 lit. f DS-GVO begründet.
Einordnung der Aufsichtsbehörde
Die Datenschutzbeauftragte Meike Kamp betonte, dass die Auslagerung von Datenverarbeitungen nicht zu Verzögerungen bei Untersuchungsoder Meldeprozessen führen dürfe. Der Fall verdeutliche zudem das
Risiko, das von unnötig lang gespeicherten Daten ausgeht. Eine konsequente Löschkontrolle hätte den Vorfall in diesem Ausmaß verhindert. Die BVG hat mittlerweile Maßnahmen angekündigt, um vergleichbare Vorfälle künftig zu vermeiden.
Quelle: Datenschutz Newsbox 7/2026
