BVG-Skandal: 180.000 Kundendaten nicht gelöscht – Verwarnung erteilt

Im Fokus: Speicherfristen, externe Dienstleister und der Datentransfer in Drittstaaten.

Zwischen dem 7. und 9. Juni 2026 beobachteten Branchenkenner eine koordinierte Welle von Anpassungen. Industriekonzerne, Arzneimittelhersteller, Sozialversicherungen und Kommunen zogen dabei an einem Strang.

Unterschiedliche Speicherfristen für IP-Adressen

Anzeige: Der BVG-Fall zeigt: Fehlende Löschkontrollen können zur Verwarnung führen – und im schlimmsten Fall zu einem Cyberangriff. Mit einer klaren Checkliste für Löschfristen und einem Mustervertrag für Dienstleister schaffen Sie Rechtssicherheit. Compliance-Report jetzt anfordern

Die Henkel AG und ihre Schweizer Tochter Henkel & Cie. AG legen seit dem 9. Juni fest: IP-Adressen und Nutzungsdaten werden maximal sieben Tage gespeichert. Rechtsgrundlage ist Artikel 6 der DSGVO – wie bei den meisten privaten Akteuren.

Ganz anders die Deutsche Rentenversicherung Berlin-Brandenburg: Sie speichert Logfiles 14 Tage und beruft sich zusätzlich auf die Sozialgesetzbücher I und VI. Auch das Studentenwerk Magdeburg und die STADA Arzneimittel AG aktualisierten ihre Dokumente. STADA betont dabei den Einsatz von Google Analytics mit aktivierter IP-Anonymisierung.

Wenn Daten in die USA wandern

Ein zentraler Punkt der Überarbeitungen: Transparenz bei externen Dienstleistern. Die Stadt Herne nutzt für ihren Webauftritt Cloudflare und IONOS – und verweist auf die Zertifizierung nach dem EU-US Data Privacy Framework.

Ähnlich handhaben es kleinere Anbieter. Optimist Coffee betreibt seinen Shop über Shopify in Irland und regelt den Datenfluss in die USA unter dem neuen Rahmenwerk. Auch die Berufsbildenden Schulen Wesermarsch und der G.P. Probst Verlag dokumentierten ihre Zusammenarbeit mit IT-Dienstleistern.

BVG zeigt: Fehler können teuer werden

Wie schnell es schiefgehen kann, zeigt ein aktueller Fall bei den Berliner Verkehrsbetrieben. Die Datenschutzbeauftragte sprach eine Verwarnung aus – ein Dienstleister hatte nach Vertragsende im Januar 2025 rund 180.000 Kundendatensätze nicht gelöscht.

Die Daten, darunter Namen und Adressen, wurden im April 2025 Ziel eines Cyberangriffs. Die Behörde kritisierte nicht nur die fehlende Löschkontrolle, sondern auch verspätete Meldeabläufe.

Anzeige: Wer Kundendaten an externe Dienstleister weitergibt, muss den Löschprozess vertraglich absichern – sonst drohen Bußgelder. Dieser Report liefert einen sofort einsetzbaren Mustervertrag und eine Übersicht über Speicherfristen für IP-Adressen. Mustervertrag jetzt sichern

Neue Tools für die Compliance-Praxis

Parallel zu den Anpassungen kommen neue technische Helfer auf den Markt. Am 8. Juni 2026 wurde das „Enjyn Cookie Widget“ vorgestellt. Es automatisiert Einwilligungen und erkennt rund 50 gängige Tracker – mit anonymisierten Logs für den Nachweis.

Der Wiener Anbieter Eustella positioniert sich als datenschutzkonforme KI-Alternative. Das System läuft auf deutschen Servern und verzichtet auf persönliche Daten fürs Training. Die IHK Magdeburg veranstaltet zudem am 11. Juni eine Fachveranstaltung zu IT-Anforderungsanalysen und Kostenoptimierung – Compliance inklusive.

de | wirtschaft | 69511256 |