Datenschutzvorfall bei einem Dienstleister der BVG
Information über eine mögliche Verletzung des Schutzes von personenbezogenen Daten nach Art. 34 DSGVO
Bedauerlicherweise ist es bei einem externen Dienstleister der BVG durch einen IT-Angriff zu einem Datenschutzvorfall gekommen. Leider sind dabei auch bis zu ca. 180.000 Kundendaten der BVG betroffen. Die BVG hat die Berliner Datenschutzbehörde sowie die betroffenen Kund*innen über den Vorfall informiert. Zur Aufklärung des Vorfalls sowie zur Klärung weiterer Schritte, steht die BVG mit dem Dienstleister in engem Austausch.
Nach unserer Kenntnis sind keine sensiblen Daten wie Kontodaten und Passwortinformationen abgeflossen. Dennoch empfehlen wir unseren Kund*innen, auf ungewöhnliche Aktivitäten und Nachrichten (insbesondere Phishing-E-Mails) in ihrem E-Mail-Postfach zu achten. Auch wenn keine Passwortdaten abgeflossen sind, könnt ihr vorsorglich euer Passwort ändern.
Derzeit kann nicht ausgeschlossen werden, dass unbefugte Dritte versuchen, mithilfe erlangter Daten in deinem Namen Vertragsänderungen zu beauftragen. In diesem Zusammenhang haben wir unsere Mitarbeitenden, die mit der Kundenbetreuung beauftragt sind, gesondert unterrichtet und sensibilisiert, dass derartige Vertragsänderungen nicht ohne Verifizierung deiner Identität erfolgen dürfen.
Der Schutz personenbezogener Daten hat für die BVG höchste Priorität. Das Unternehmen achtet bei der Auswahl von Dienstleistern auf zertifizierte IT-Sicherheitsstandards. Der Vorfall wird sehr ernst genommen, eine umfangreiche Analyse läuft.
Wir bitten unsere Kund*innen für die entstandenen Unannehmlichkeiten ausdrücklich um Entschuldigung.
Bei Fragen zu dem Vorfall oder zur Sicherheit deiner Daten erreichst du uns unter:
Info-Datenschutz@bvg.de.
Allgemein erreichst du unseren Datenschutzbeauftragten unter datenschutz@bvg.de oder per Post unter:
Berliner Verkehrsbetriebe (BVG) AöR
Datenschutzbeauftragter
IPLZ 50020
Holzmarktstraße 15-17
10179 Berlin
Die häufigsten Fragen und Antworten zum Datenschutzvorfall
Du hast Fragen rund um den aktuellen Datenschutzvorfall bei einem externen Dienstleister der BVG? Hier findest du Antworten auf die uns am meisten gestellten Fragen.
Bin ich betroffen oder nicht?
Die BVG hat alle Kund*innen, die betroffen sind, per Brief über den Vorfall informiert. Die Briefe wurden zwischen dem 09. und 13. Mai versendet. Betroffen können generell nur diejenigen Personen sein, die im Januar 2025 im Zusammenhang mit dem Tarifprodukt „Berlin Abo“ von uns kontaktiert oder informiert wurden.
Der Schutz personenbezogener Daten hat für die BVG höchste Priorität. Das Unternehmen achtet bei der Auswahl von Dienstleistern auf zertifizierte IT-Sicherheitsstandards. Der Vorfall wird sehr ernst genommen, eine umfangreiche Analyse läuft.
Was ist passiert?
Bedauerlicherweise ist es bei einem externen Dienstleister der BVG durch einen IT-Angriff zu einem Datenschutzvorfall gekommen. Leider sind davon auch bis zu ca. 180.000 Kundendaten der BVG betroffen.
Die BVG wurde Ende April von dem externen Dienstleister über das Ausmaß des Datenverlusts informiert. Sobald der Vorfall umfassend bewertet und seine Dimension klar war, informierte die BVG am 30. April 2025 die zuständige Datenschutzbehörde. Seither steht die BVG in engem und konstruktivem Austausch mit deren Expert*innen.
Parallel dazu wurden alle notwendigen Schritte eingeleitet, um die potenziell betroffenen Kund*innen transparent und zügig zu informieren. Der Versand der Informationsschreiben begann am 9. Mai 2025.
Zur Aufklärung des Vorfalls sowie zur Klärung weiterer Schritte, steht die BVG mit dem Dienstleister in engem Austausch. Kontodaten oder Passwörter sind nach aktuellem Kenntnisstand nicht in die Hände der Hacker gelangt. Aktuell liegen uns auch keine Hinweise auf einen Missbrauch dieser Daten vor.
Für die Rückfragen der betroffenen Kund*innen ist ein Kontaktpostfach eingerichtet worden.
Der Schutz personenbezogener Daten hat für die BVG höchste Priorität. Das Unternehmen achtet bei der Auswahl von Dienstleistern auf zertifizierte IT-Sicherheitsstandards. Der Vorfall wird sehr ernst genommen, eine umfangreiche Analyse läuft.
Welche Daten sind betroffen?
- Name
- Postanschrift
- E-Mail-Adresse, sofern angegeben
- Kundennummer
- Vertragsnummer Berlin-Abo
Darüber hinaus sind keine weiteren Daten, wie Bankdaten betroffen.
Aktuell liegen uns keine Hinweise auf einen Missbrauch deiner Daten vor. Nach unserer Kenntnis sind auch keine personenbezogenen Daten im Sinne des Art. 9 Abs. 1 DSGVO (besondere Kategorien personenbezogener Daten, sog. sensible Daten) wie Kontodaten und Passwortinformationen betroffen.
Wie viele Kunden sind betroffen?
Wir gehen aktuell davon aus, dass der Vorfall bis zu ca. 180.000 Kund*innen betrifft.
Wie kam es zu dem Vorfall?
Ein externer Dienstleister der BVG wurde Ziel eines IT-Angriffs. Wie es trotz der hohen Standards, nach denen die BVG ihre Dienstleister auswählt, zu diesem Vorfall kommen konnte, wird aktuell mit Hochdruck analysiert und aufgeklärt.
Was wird unternommen, um den Vorfall zu beheben?
Der betroffene Dienstleister und wir haben sofortige Maßnahmen ergriffen, um den Vorfall einzudämmen und weitere Schäden zu verhindern. Dazu gehören Systemüberprüfungen, Sicherheitsupdates sowie die Zusammenarbeit mit der Berliner Landesdatenschutzbehörde und der Berliner Polizei. Zudem wurde direkt nach Bekanntwerden des Vorfalls eine interdisziplinäre Arbeitsgruppe in der BVG eingerichtet, die den Vorfall eng begleitet und insbesondere auch Anfragen unserer Kund*innen kategorisiert und schnellstmöglich beantwortet.
Ist das Schreiben vom 05.05.2025 mit der Information zum Datenschutzvorfall echt?
Ja. Das Schreiben mit dem Betreff „Information über eine mögliche Verletzung des Schutzes Ihrer personenbezogenen Daten nach Art. 34 DSGVO“ vom 5.5.2025 ist von der BVG. Die Briefe wurden zwischen dem 9. und 13. Mai versandt.
Was können betroffene Kunden jetzt tun?
Aktuell liegen uns keine Hinweise auf einen Missbrauch deiner Daten vor. Nach unserer Kenntnis sind auch keine sensiblen Daten nach Art. 9 Abs. 1 DSGVO wie Kontodaten und Passwortinformationen abgeflossen.
Dennoch empfehlen wir dir, insbesondere auf ungewöhnliche Aktivitäten und Nachrichten (insbesondere Phishing-E-Mails) in deinem E-Mail-Postfach zu achten. Auf der Webseite des Bundesamtes für Sicherheit in der Informationstechnik findest du dazu hilfreiche Checklisten.
Auch wenn keine Passwortdaten abgeflossen sind, raten Sicherheitsexperten bei einem Datenvorfall dazu Passwörter vorsorglich zu ändern. Um das Passwort für dein BVG-Konto zu ändern, findest du alle wichtigen Hinweise unter der Frage "Wo und wie kann ich mein Passwort ändern?".
Eine Änderung des Vertragskontos in Abo-Online für die Abonnement-Daten oder eine neue Kundenummer sind nicht erforderlich.
Wo und wie kann ich mein BVG-Passwort ändern?
Bitte melde dich im BVG-Konto mit deiner E-Mail-Adresse und Passwort an. Wenn du erfolgreich eingeloggt bist, wähle den Punkt „Sicherheitseinstellungen“ aus. Klicke dann unter dem Menüpunkt „Anmeldedaten“ und „Basissicherheit“ auf „ändern“.
Ich habe mein BVG-Passwort vergessen? Was kann ich tun?
Wähle auf der Anmeldeseite zum BVG-Konto den Link „Passwort vergessen“ aus und gebe deine E-Mailadresse ein. Falls du ein aktives BVG-Benutzerkonto hast, senden wir dir eine E-Mail mit weiteren Instruktionen zu.
Ich habe kein BVG-Passwort
Vermutlich hast du dein Abonnement im Kundencenter abgeschlossen und daher kein BVG-Konto. Du musst kein Passwort ändern.
Ich habe kein BVG-Konto für die Online-Anmeldung. Muss ich trotzdem etwas ändern?
Nein.
Wie kann ich mich schützen?
- Achte verstärkt auf verdächtige Aktivitäten bei deinen Online-Medien (E-Mail, Anmeldedaten, usw.).
- Verwende starke Passwörter. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierzu hilfreiche Informationen aufbereitet.
Kann ich die BVG auch persönlich erreichen?
Wer digital nicht weiterkommt, kann sich auch an unsere Kundenzentren wenden. Beachte, dass es hier zu Wartezeit kommen kann.
Stand: 20.05.2025