Rekordbußgelder gegen Vodafone: BfDI verhängt 45 Millionen Euro 

1 | Einleitung 
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat zwei Bußgelder in Höhe von insgesamt 45 Millionen Euro gegen Vodafone verhängt – ein Rekord seit Geltung der DSGVO. Der Telekommunikationsanbieter hatte unter anderem durch mangelhafte Sicherheitsmaßnahmen sowie unzulässige Datenverarbeitung durch Partneragenturen gegen zentrale Datenschutzpflichten verstoßen. 

2 | Hintergrund 
Bereits seit 2021 ermittelte die Bundesdatenschutzaufsicht gegen Vodafone. Zwei zentrale Sachverhalte stehen nun im Fokus: 

  • Partneragenturen handelten eigenmächtig: Diese sollten für Vodafone neue Kund:innen gewinnen, nutzten dabei aber personenbezogene Daten unrechtmäßig, unter anderem durch nicht autorisierte Vertragsänderungen. 

  • Self-Service-Portal mit gravierenden Sicherheitslücken: Über ein Online-Portal konnten sich Unbefugte eSIMs regulärer Vodafone-Kund:innen ausstellen lassen – teils mit erratbaren Passwörtern und ohne echte Authentifizierung. 

Diese Verstöße wurden mit Bußgeldern von 15 Mio. bzw. 30 Mio. Euro sanktioniert. Vodafone hat die Bescheide akzeptiert und bereits gezahlt. 

3 | Bewertung durch die BfDI 
Laut der Bundesdatenschutzbeauftragten Louisa Specht-Riemenschneider steht der Fall exemplarisch für ein konsequentes Durchgreifen ihrer Behörde. Sie betont: 

  • „Datenschutzrecht ist nicht zahnlos.“ 

  • Die Bußgeldhöhe wurde auch unter Berücksichtigung der Kooperation Vodafones und entsprechend der europäischen Leitlinien zur Bußgeldbemessung bestimmt. 

  • Die BfDI will durch solche Verfahren präventiv wirken und Unternehmen zur ernsthaften Umsetzung datenschutzrechtlicher Pflichten bewegen. 

4 | Bedeutung für die Praxis 
Das Verfahren zeigt: 
Auch große Konzerne sind nicht vor harten Sanktionen sicher – insbesondere dann nicht, wenn strukturelle Datenschutzmängel bestehen und externe Dienstleister nicht ausreichend kontrolliert werden. 

5 | Handlungsempfehlungen 

  • Dienstleister engmaschig kontrollieren: 
    Vertragliche und tatsächliche Aufsicht über Vertriebspartner, Agenturen und Auftragsverarbeiter sicherstellen. 

  • Sicherheitsmechanismen prüfen: 
    Self-Service-Portale, Login- und Authentifizierungsverfahren regelmäßig auf Schwachstellen evaluieren. 

  • Vermeidung von Wiederholungen dokumentieren: 
    Interne Prozesse zur Prävention ähnlicher Vorfälle implementieren und revisionssicher dokumentieren. 

  • Kooperation mit Aufsichtsbehörden: 
    Im Fall von Verfahren aktiv mitwirken – dies kann sich positiv auf die Bußgeldbemessung auswirken. 

6 | Ausblick 
Die BfDI hat angekündigt, auch in Zukunft bei Verstößen mit „allen zur Verfügung stehenden Mitteln“ durchzugreifen. Unternehmen sollten sich daher frühzeitig auf verschärfte Anforderungen und häufigere Kontrollen einstellen. 

7 | Kontakt 
Sie möchten Ihre Datenschutzprozesse auf den Prüfstand stellen oder externe Dienstleister rechtssicher einbinden? 
Wir unterstützen Sie bei der rechtlichen Bewertung, Umsetzung und Kontrolle – praxisnah und DSGVO-konform. 
Melden Sie sich gern unter datenschutz@bitkom-consult.de 

Share