Logo Heussen
  • Home
  • Über Uns
  • Expertise
  • Team
  • Aktuelles
  • Karriere
  • Kontakt
  • LinkedIn

Home Aktuelles News

IT/Datenschutz

Rekord-Bußgelder für Vodafone: 45 Millionen Euro wegen DS-GVO-Verstößen

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat im Juni 2025 gegen die Vodafone GmbH zwei DS-GVO-Bußgelder in Höhe von insgesamt 45 Millionen Euro verhängt.

 

Worum geht es?

Die Sanktionen betreffen zwei Datenschutzverstöße:

1. Unzureichende Kontrolle von Auftragsverarbeitern (15 Mio. Euro)

Vodafone hatte externe Partneragenturen mit der Vermittlung von Verträgen beauftragt. Diese Agenturen agierten im Namen von Vodafone, ohne dass deren datenschutzrechtliche Zuverlässigkeit und Arbeitsweise ausreichend geprüft oder überwacht wurden. In der Folge kam es zu betrügerischen Aktivitäten: Mitarbeitende der Partneragenturen schlossen fingierte Verträge ab oder änderten bestehende Verträge ohne Zustimmung der betroffenen Kunden. Die BfDI wertete dies als Verstoß gegen Art. 28 Abs. 1 DS-GVO. Vodafone unterließ es als Verantwortlicher, seinen Auftragsverarbeiter sorgfältig auszuwählen und zu kontrollieren.

2. Sicherheitsmängel beim Authentifizierungsprozess (30 Mio. Euro)

Eine weitere Geldbuße in Höhe von 30 Millionen Euro wurde wegen gravierender Schwachstellen im Authentifizierungsprozess verhängt. Konkret konnten Angreifer durch die Kombination von Onlineportal („MeinVodafone“) und Hotline unbefugt auf eSIM-Profile – eine digitale Datei, die alle notwendigen Informationen enthält, um ein Mobilfunkgerät mit dem Mobilfunknetz zu verbinden – und andere sensible Kundendaten zugreifen. Dies stellt einen Verstoß gegen Art. 32 Abs. 1 DS-GVO dar, da keine angemessenen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten vorhanden waren.


Reaktion von Vodafone und Folgen

Vodafone hat die Bußgeldbescheide akzeptiert und die Summe bereits gezahlt. Das Unternehmen kooperierte während des Verfahrens mit den Behörden, hat interne Prozesse und Systeme nachgebessert und sich von den  Partneragenturen getrennt. Zusätzlich wurden mehrere Millionen Euro an Organisationen gespendet, die sich für Datenschutz und digitale Bildung einsetzen.


Bedeutung für Unternehmen

Der Fall Vodafone unterstreicht, dass Datenschutzverstöße nicht nur interne Abläufe betreffen, sondern auch ausgelagerte Prozesse und technische Schnittstellen. Unternehmen sind verpflichtet, ihre Auftragsverarbeiter sorgfältig auszuwählen, regelmäßig zu kontrollieren und ihre technische sowie organisatorische Maßnahmen kontinuierlich zu überprüfen. Die Kontrollbefugnisse, die Art. 28 DS-GVO ermöglicht, sollten ausgeschöpft werden, um Datenschutzverstöße und die Verhängung von Geldbußen zu verhindern.

Aktuelles

Autor

Faussner Kreis

Ihr Ansprechpartner

Dr. Robert Faußner, M.A. T +49 89 290 97 161 robert.faussner@heussen-law.de