Die Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) Louisa Specht-Riemenschneider verhängte gegen den Telekommunikationskonzern Vodafone am 03.06.2025 aufgrund von Verstößen gegen die Datenschutzgrundverordnung (DSGVO) das höchste Bußgeld seit dem Inkrafttreten der DSGVO im Jahr 2018. Die Summe beträgt insgesamt 45 Millionen Euro und setzt sich aus zwei Bußgeldern zusammen. Die Behörde gab dies in einer Pressemitteilung bekannt.
Untersuchungen der Aufsichtsbehörde gegen Vodafone im Zeitraum der vergangenen Jahre ergaben, dass Kundendaten durch „böswillig handelnde Mitarbeitende“ in Partneragenturen, welche für den Konzern Verträge an Kund:innen vermitteln, unzulässig genutzt wurden. Aufgrund von fingierten Verträgen oder Vertragsänderungen kam es zu Betrugsfällen zulasten der Kund:innen. Das erste Bußgeld kommt also durch die nicht ausreichende Überprüfung der Partneragenturen durch Vodafone, in diesem Fall dem Verantwortlichen, zustande. Zudem verwarnte die BfDI den Konzern wegen Verstoßes gegen Art. 32 Abs. 1 DSGVO. Anlass dazu waren tiefgreifende Schwachstellen im Vertriebssystem.
Das zweite Bußgeld mit dem Betrag von 30 Millionen Euro bezieht sich auf Sicherheitsmängel beim Authentifizierungsprozess bei kombinierter Nutzung von „Mein Vodafone“ und der Vodafone-Hotline. Unbefugten Dritten war es möglich, auf eSIM-Profile von Nutzer:innen zuzugreifen und die Mobilfunknummern beispielsweise für Transaktionsbestätigungs-SMS zu missbrauchen, indem sie beim Kundendienst auf die eSIM-Karten gewöhnlicher Nutzer:innen ihre Konten registrierten, ohne die Identität bestätigen zu müssen.
Laut Specht-Riemenschneider kooperierte Vodafone ununterbrochen und uneingeschränkt und legte darüber hinaus Umstände offen, die den Konzern selbst belastet hatten. Zudem habe das Unternehmen schon beide Geldbußen bezahlt und sowohl seine Systeme bereits weitreichend verbessert und teilweise sogar ersetzt als auch das Verfahren zur Auswahl und Auditierung von Partneragenturen überarbeitet und sich von einigen, bei welchen Betrugsfälle festgestellt wurden, getrennt, um Wiederholungen zukünftig zu verhindern.
Vodafone spendete zusätzlich eine erhebliche Geldsumme von mehreren Millionen Euro an Organisationen, die sich für die Förderung von Datenschutz, Medienkompetenz, Digital Literacy und die Bekämpfung von Cybermobbing stark machen.
Erfahrungsgemäß würden die Datenschutzrichtlinien der DSGVO von vielen Unternehmen auch heute noch als Hindernis angesehen und wegen des hohen Aufwands beklagt werden, berichtet die Datenschutzbeauftragte. Es existiere ein Investitionsstau bezüglich der Modernisierung und Konsolidierung von IT-Systemen, weswegen bei deren Sicherheit gespart wird. So drohen allerdings Sicherheitsvorfälle und Sanktionen der Datenschutzaufsicht. Deshalb betont die Datenschützerin ausdrücklich, dass bei Datenschutzverletzungen mit allen verfügbaren Mitteln durchgegriffen wird und der Datenschutz ernst genommen werden soll, damit es gar nicht erst zu Bußen kommt.
(Bild: Wolfilser – stock.adobe.com)
