Datenschutzvorfall bei einem Dienstleister der BVG
Information über eine mögliche Verletzung des Schutzes von personenbezogenen Daten nach Art. 34 DSGVO
Bedauerlicherweise ist es bei einem externen Dienstleister der BVG durch einen IT-Angriff zu einem Datenschutzvorfall gekommen. Leider sind dabei auch bis zu ca. 180.000 Kundendaten der BVG betroffen. Die BVG hat die Berliner Datenschutzbehörde sowie die betroffenen Kund*innen über den Vorfall informiert. Zur Aufklärung des Vorfalls sowie zur Klärung weiterer Schritte, steht die BVG mit dem Dienstleister in engem Austausch.
Nach unserer Kenntnis sind keine sensiblen Daten wie Kontodaten und Passwortinformationen abgeflossen. Dennoch empfehlen wir unseren Kund*innen, auf ungewöhnliche Aktivitäten und Nachrichten (insbesondere Phishing-E-Mails) in ihrem E-Mail-Postfach zu achten. Auch wenn keine Passwortdaten abgeflossen sind, könnt ihr vorsorglich euer Passwort ändern.
Derzeit kann nicht ausgeschlossen werden, dass unbefugte Dritte versuchen, mithilfe erlangter Daten in deinem Namen Vertragsänderungen zu beauftragen. In diesem Zusammenhang haben wir unsere Mitarbeitenden, die mit der Kundenbetreuung beauftragt sind, gesondert unterrichtet und sensibilisiert, dass derartige Vertragsänderungen nicht ohne Verifizierung deiner Identität erfolgen dürfen.
Der Schutz personenbezogener Daten hat für die BVG höchste Priorität. Das Unternehmen achtet bei der Auswahl von Dienstleistern auf zertifizierte IT-Sicherheitsstandards. Der Vorfall wird sehr ernst genommen, eine umfangreiche Analyse läuft.
Wir bitten unsere Kund*innen für die entstandenen Unannehmlichkeiten ausdrücklich um Entschuldigung.
Bei Fragen zu dem Vorfall oder zur Sicherheit deiner Daten erreichst du uns unter:
Info-Datenschutz@bvg.de.
Allgemein erreichst du unseren Datenschutzbeauftragten unter datenschutz@bvg.de oder per Post unter:
Berliner Verkehrsbetriebe (BVG) AöR
Datenschutzbeauftragter
IPLZ 50020
Holzmarktstraße 15-17
10179 Berlin
Die häufigsten Fragen und Antworten zum Datenschutzvorfall
Du hast Fragen rund um den aktuellen Datenschutzvorfall bei einem externen Dienstleister der BVG? Hier findest du Antworten auf die uns am meisten gestellten Fragen. Wir erarbeiten momentan eine Checkliste für dich mit den wichtigsten Punkten. Diese Checkliste wird dir an dieser Stelle zeitnah zur Verfügung stehen.
Bin ich betroffen oder nicht?
Die BVG hat alle Kund*innen, die betroffen sind, per Brief über den Vorfall informiert. Wer also keinen Brief bekommen hat, ist nicht betroffen. Betroffen können generell nur diejenigen Personen sein, die im Januar 2025 im Zusammenhang mit dem Tarifprodukt „Berlin Abo“ von uns kontaktiert oder informiert wurden.
-
Die BVG hat die Berliner Datenschutzbehörde sowie die betroffenen Kund*innen über den Vorfall informiert. Zur Aufklärung des Vorfalls sowie zur Klärung weiterer Schritte, steht die BVG mit dem Dienstleister in engem Austausch.
Der Schutz personenbezogener Daten hat für die BVG höchste Priorität. Das Unternehmen achtet bei der Auswahl von Dienstleistern auf zertifizierte IT-Sicherheitsstandards. Der Vorfall wird sehr ernst genommen, eine umfangreiche Analyse läuft.
Was ist passiert?
Bedauerlicherweise ist es bei einem externen Dienstleister der BVG durch einen IT-Angriff zu einem Datenschutzvorfall gekommen. Leider sind davon auch bis zu ca. 180.000 Kundendaten der BVG betroffen.
Die BVG hat die Berliner Datenschutzbehörde sowie die betroffenen Kund*innen über den Vorfall informiert. Zur Aufklärung des Vorfalls sowie zur Klärung weiterer Schritte, steht die BVG mit dem Dienstleister in engem Austausch. Sensible Informationen wie Kontodaten oder Passwörter sind nach aktuellem Kenntnisstand nicht in die Hände der Hacker gelangt. Für die Rückfragen der betroffenen Kund*innen ist ein Kontaktpostfach eingerichtet worden.
Der Schutz personenbezogener Daten hat für die BVG höchste Priorität. Das Unternehmen achtet bei der Auswahl von Dienstleistern auf zertifizierte IT-Sicherheitsstandards. Der Vorfall wird sehr ernst genommen, eine umfangreiche Analyse läuft.
Welche Daten sind betroffen?
- Name
- Postanschrift
- E-Mail-Adresse, sofern angegeben
- Kundennummer
- Vertragsnummer Berlin-Abo
Darüber hinaus sind keine weiteren Daten betroffen. Kontodaten oder Bankdaten sind nicht betroffen.
Wie viele Kunden sind betroffen?
Wir gehen aktuell davon aus, dass der Vorfall bis zu 180.000 Kund*innen betrifft.
Wie kam es zu dem Vorfall?
Ein externer Dienstleister der BVG wurde Ziel eines IT-Angriffs. Wie es trotz der hohen Standards, nach denen die BVG ihre Dienstleister auswählt, zu diesem Vorfall kommen konnte, wird aktuell mit Hochdruck analysiert und aufgeklärt.
Was wird unternommen, um den Vorfall zu beheben?
Der betroffene Dienstleister und wir haben sofortige Maßnahmen ergriffen, um den Vorfall einzudämmen und weitere Schäden zu verhindern. Dazu gehören Systemüberprüfungen, Sicherheitsupdates sowie die Zusammenarbeit mit der Berliner Landesdatenschutzbehörde und der Berliner Polizei. Zudem wurde direkt nach Bekanntwerden des Vorfalls eine interdisziplinäre Arbeitsgruppe in der BVG eingerichtet, die den Vorfall eng begleitet und insbesondere auch Anfragen unserer Kund*innen kategorisiert und schnellstmöglich beantwortet.
Was sollten betroffene Kunden jetzt tun?
Betroffenen Kund*innen wird empfohlen, ihre Passwörter für BVG-Anwendungen zu ändern.
Wo und wie kann ich mein Passwort ändern?
Aktuell liegen uns keine Hinweise auf einen Missbrauch deiner Daten vor. Nach unserer Kenntnis sind auch keine sensiblen Daten wie Kontodaten und Passwortinformationen abgeflossen.
Dennoch empfehlen wir dir, insbesondere auf ungewöhnliche Aktivitäten und Nachrichten (insbesondere Phishing-E-Mails) in deinem E-Mail-Postfach zu achten. Auch wenn keine Passwortdaten abgeflossen sind, kannst du vorsorglich dein Passwort gemäß dem nachfolgend dargestellten Prozess ändern.
Bitte melde dich im BVG-Konto mit deiner E-Mail-Adresse und Passwort an. Wenn du erfolgreich eingeloggt bist, wähle den Punkt „Sicherheitseinstellungen“ aus. Klicke dann unter dem Menüpunkt „Anmeldedaten“ und „Basissicherheit“ auf „ändern“.
Ich habe mein Passwort vergessen? Was kann ich tun?
Wähle auf der Anmeldeseite zum BVG-Konto den Link „Passwort vergessen“ aus und gebe deine E-Mailadresse ein. Falls du ein aktives BVG-Benutzerkonto hast, senden wir dir eine E-Mail mit weiteren Instruktionen zu.
Ich habe kein Passwort
Vermutlich hast du dein Abonnement im Kundencenter abgeschlossen und daher kein BVG-Konto. Du musst kein Passwort ändern.
Ich habe kein BVG-Konto für die Online-Anmeldung. Muss ich trotzdem etwas ändern?
Nein.
Wie kann ich mich schützen?
- Achte verstärkt auf verdächtige Aktivitäten bei deinen Online-Medien (E-Mail, Anmeldedaten, usw.).
- Verwende starke Passwörter. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierzu hilfreiche Informationen aufbereitet.
Kann ich die BVG auch persönlich erreichen?
Wer digital nicht weiterkommt, kann sich auch an unsere Kundenzentren wenden. Beachte, dass es hier zu Wartezeit kommen kann.