03.06.2025

Die BfDI, Prof. Dr. Louisa Specht-Riemenschneider, hat der Vodafone GmbH zwei Geldbußen in einer Gesamthöhe von 45 Millionen Euro auferlegt. Durch böswillig handelnde Mitarbeitende in Partneragenturen, die im Auftrag von Vodafone Verträge an Kunden vermitteln, war es unter anderem zu Betrugsfällen durch fingierte Verträge oder Vertragsänderungen zulasten von Kunden gekommen.

Unzureichende datenschutzrechtliche Überwachung von Partneragenturen

Eine Geldbuße in Höhe von 15 Millionen Euro erging, weil die Vodafone GmbH für sie tätige Partneragenturen nicht im ausreichenden Umfang datenschutzrechtlich überprüft und überwacht hatte (Art. 28 Abs. 1 S. 1 DSGVO).

Verwarnung aufgrund Verstoßes gegen Art. 32 Abs. 1 DSGVO

Darüber hinaus hat die BfDI die Vodafone GmbH aufgrund eines Verstoßes gegen Art. 32 Abs. 1 DSGVO wegen festgestellter Schwachstellen in bestimmten Vertriebssystemen verwarnt.

Sicherheitsmängel beim Authentifizierungsprozess

Eine weitere Geldbuße in Höhe von 30 Millionen Euro wurde wegen Sicherheitsmängeln beim Authentifizierungsprozess bei der kombinierten Nutzung des Onlineportals „MeinVodafone“ mit der Vodafone Hotline verhangen. Die aufgedeckten Schwachstellen der Authentifizierung ermöglichten unter anderem den Abruf von eSIM-Profilen durch unbefugte Dritte.

Konsequenzen bei Vodafone GmbH

Die Vodafone GmbH hat ihre Prozesse und Systeme inzwischen verbessert und teilweise sogar vollständig ersetzt, um solche Gefahren künftig auszuschließen. Außerdem hat sie die Prozesse zur Auswahl und Auditierung von Partneragenturen überarbeitet und sich von Partnern getrennt, bei denen Betrugsfälle festgestellt wurden. Die BfDI wird die praktische Wirksamkeit der von Vodafone ergriffenen Maßnahmen in einer Folgekontrolle überprüfen.

Die Geldbußen wurden akzeptiert und schon vollständig an die Bundeskasse gezahlt.

Erfahrungen der Datenschutzbehörden

Die Erfahrungen der Datenschutzbehörden zeigen, dass bei Unternehmen in vielen Branchen ein Investitionsstau bei der Modernisierung und Konsolidierung von IT-Systemen besteht. Bei der Sicherheit wird daher teilweise gespart. Auch der Einsatz von Auftragsverarbeitern wird in der Praxis häufig nicht ausreichend kontrolliert. Neue technische Möglichkeiten und komplexere Bedrohungsszenarien führen zu erhöhten Risiken für Kunden, denen durch fehlenden Datenschutz Schäden entstehen können.

Im Falle der Vodafone GmbH hat das Unternehmen umgesteuert und Projekte der IT-Konsolidierung sowie IT-Modernisierung priorisiert, die Bereiche Compliance und Datenschutz wurden gestärkt. So hat sich Vodafone zu einem starken Datenschutz und digitalen Grundrechten bekannt und sieht sie als Grundlage für das Vertrauen der Kunden. Als Bekenntnis zur Bedeutung des Datenschutzes hat die Vodafone GmbH zudem eine Gesamtsumme in Höhe von mehreren Millionen Euro an unterschiedliche Organisationen gespendet.

(Quelle: PM 6/2025 der BfDI vom 03.06.2025)

Praxistipps der AGAD Service GmbH:

Das Bußgeldverfahren gegen die Vodafone GmbH sollte zum Anlass genommen werden, um die Zusammenarbeit mit Auftragsverarbeitern nach Art. 28 DSGVO zu prüfen.

Die beauftragten Unternehmen müssen mit den erforderlichen AV-Verträgen ausgestattet sein.

Unternehmen sollten regelmäßig die eigenen Authentifizierungsprozesse testen, überprüfen und gegebenenfalls anpassen.

(Daten-)Sicherheitstechnische Lösungen sollten proaktiv und zeitnah in den Unternehmen eingeführt werden.