Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Dr. Louisa Specht-Riemenschneider, hat im Juni 2025 zwei Bußgelder mit einer Gesamthöhe von 45 Millionen Euro gegen die Vodafone GmbH verhängt. Dies ist die höchste Geldbuße, die die BfGI seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) ausgesprochen hat. Die Sanktionen resultieren aus zwei gravierenden Datenschutzverstößen:
Unzureichende Kontrolle von Auftragsverarbeitern (15 Millionen Euro):
Vodafone hatte externe Partneragenturen mit der Vermittlung von Verträgen beauftragt. Die erforderliche Prüfung der datenschutzrechtlichen Qualifikation fand jedoch nicht angemessen statt. Infolgedessen kam es zu betrügerischen Aktivitäten, bei denen Mitarbeitende der Partneragenturen fingierte Verträge abschlossen oder bestehende Verträge ohne Zustimmung der Betroffenen änderten. Der Verstoß gegen Art. 28 Abs. 1 DSGVO wurde mit einer Geldbuße von 15 Millionen Euro geahndet.
Sicherheitsmängel im Authentifizierungsprozess (30 Millionen Euro):
Eine weitere Geldbuße in Höhe von 30 Millionen Euro wurde wegen Sicherheitsmängeln im Authentifizierungsprozess bei der kombinierten Nutzung des Onlineportals „MeinVodafone“ mit der Vodafone-Hotline verhängt. Die aufgedeckten Schwachstellen bei der Authentifizierung ermöglichten unter anderem den Abruf von eSIM-Profilen durch unbefugte Dritte. Dies stellt ein erhebliches Risiko für die Datensicherheit der Kunden dar. Dieser Verstoß gegen Art. 32 Abs. 1 DSGVO wurde entsprechend sanktioniert.
Zusätzlich zu den Bußgeldern erteilte die BfDI eine Verwarnung aufgrund unzureichender technischer und organisatorischer Maßnahmen.
Vodafone hat beide Bußgeldbescheide akzeptiert und die Gesamtsumme von 45 Millionen Euro bereits an die Bundeskasse gezahlt. Während des gesamten Verfahrens hat Vodafone uneingeschränkt mit der BfDI kooperiert und auch Umstände offengelegt, die zu einer Selbstbelastung führten. Vodafone hat inzwischen seine Prozesse und Systeme verbessert und teilweise vollständig ersetzt, um derartige Risiken in der Zukunft zu verhindern. Zudem wurden die Abläufe zur Auswahl und Auditierung von Partneragenturen überarbeitet, und man hat sich von Partnern getrennt, bei denen Betrugsfälle aufgetreten sind.
Darüber hinaus hat Vodafone mehrere Millionen Euro an verschiedene Organisationen gespendet, die sich für die Förderung des Datenschutzes, der Medienkompetenz und Digital Literacy sowie gegen Cybermobbing engagieren.
Dieser Fall unterstreicht die Bedeutung einer sorgfältigen Auswahl und Überwachung von Auftragsverarbeitern sowie die Notwendigkeit, technische und organisatorische Maßnahmen zur Sicherung personenbezogener Daten kontinuierlich zu überprüfen und anzupassen. Die BfDI betont, dass Datenschutz häufig fälschlicherweise als Hindernis für IT-Investitionen angesehen wird, obwohl fehlende Investitionen in die IT-Sicherheit zu Sicherheitsvorfällen und Sanktionen führen können. Daher appelliert die Behörde an Unternehmen, in Datenschutz und IT-Sicherheit zu investieren, um das Vertrauen der Kunden zu erhalten und rechtlichen Anforderungen gerecht zu werden.
Die gegen Vodafone verhängten Bußgelder dienen als deutliches Signal an Unternehmen, die Bedeutung des Datenschutzes ernst zu nehmen und geeinete Maßnahmen zu ergreifen, um die Sicherheit und Integrität personenbezogener Daten zu gewährleisten. Specht-Riemenschneider betont abschließend, dass Datenschutzverstöße sanktioniert werden müssen, damit sie idealerweise gar nicht erst passieren.
