Le 6 juillet 2018, HVV GmbH a été informée par un client d'une faille de sécurité sur le site www.hvv.de, causée par une mise à jour du 5 février 2018 et concernait le soi-disant Customer E-Service (CES). . La faille de sécurité résidait dans le fait que les clients connectés au CES qui avaient une carte HVV et lié leur compte client CES à au moins une relation contractuelle active dans des systèmes d'arrière-plan pouvaient, en modifiant l'URL, afficher les données d'autres clients qui avaient un Carte HVV. Cette violation de données n'a pas été signalée à l'autorité de protection des données en temps opportun.