45 Millionen Euro Bußgeld gegen Vodafone

10. Juni 2025

Mit einem Bußgeld in Höhe von insgesamt 45 Millionen Euro hat die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Louisa Specht-Riemenschneider, am 03.06.2025 scharfe Sanktionen gegen Vodafone verhängt. Im Zentrum der Maßnahmen stehen eine ganze Reihe gravierender Datenschutzverstöße. Insbesondere soll es in Zusammenhang mit externen Partneragenturen zu Betrugsfällen gekommen sein.

Falsche Verträge und nachteilige Vertragsänderungen

Ausgangspunkt der Aufarbeitung, die schon 2021 begonnen haben sollen, war das Verhalten von Mitarbeitenden in externen Partneragenturen, die im Auftrag von Vodafone tätig waren. Dabei soll es zu massiven Missbräuchen gekommen sein. Unter anderem seien „fingierte Verträge oder Vertragsänderungen zulasten von Kunden“ vorgenommen worden. Verantwortlich für diese Missstände ist aus Sicht der Aufsichtsbehörde nicht nur das Verhalten einzelner, böswillig handelnder Akteure, sondern auch die unzureichende datenschutzrechtliche Kontrolle durch Vodafone selbst. Nach Art. 28 Abs. 1 DSGVO müssen Verantwortliche nämlich sicherstellen, dass ihre Auftragsverarbeiter ausreichend überprüft und überwacht werden. Dies sei im vorliegenden Fall nicht hinreichend erfolgt, weshalb die BfDI eine Geldbuße in Höhe von 15 Millionen Euro verhängte.

Sicherheitsmängel in der Authentifizierung

Ein weiterer Schwerpunkt der Untersuchung lag auf dem Zusammenspiel zwischen dem Onlineportal „MeinVodafone“ und der Kundenhotline. Hier habe sich eine Sicherheitslücke offenbart. Unbefugte Dritte hätten über Schwachstellen im Authentifizierungsprozess Zugriff auf eSIM-Profile erhalten können. Für diesen Vorfall verhängte die BfDI laut ihrer Pressemitteilung eine separate Geldbuße in Höhe von 30 Millionen Euro.

Außerdem sprach sie eine Verwarnung wegen eines Verstoßes gegen Art. 32 Abs. 1 DSGVO aus, da im Vertriebssystem Schwachstellen festgestellt worden seien. Die Norm verpflichtet Unternehmen, ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Reaktion und Kooperation von Vodafone

Positiv bewertet die BfDI, dass Vodafone während des gesamten Verfahrens „ununterbrochen und uneingeschränkt“ kooperiert und auch belastende Informationen selbst offengelegt habe. Das Unternehmen habe die Geldbußen hingenommen und sie bereits vollständig beglichen. Auch in der Sache seien zahlreiche Maßnahmen ergriffen worden. Die Auswahl und Kontrolle von Partneragenturen seien verschärft, problematische Kooperationen beendet, technische Schwachstellen in Authentifizierungsprozessen behoben und betroffene Systeme überarbeitet oder ersetzt worden. Die BfDI kündigt an, eine Folgekontrolle durchführen zu wollen.

Darüber hinaus habe Vodafone mittlerweile mit IT-Konsolidierungs- und Modernisierungsprojekte Datenschutz und Compliance fokussiert. Das Unternehmen bekenne sich nun ausdrücklich zum Datenschutz als Grundlage digitalen Vertrauens. Unterstrichen habe das Unternehmen dies durch eine freiwillige Millionenspende an verschiedene Bürgerrechtsorganisationen. Konform hierzu habe der neue Geschäftsführer Marcel De Groot auch angekündigt, Vodafone bis 2027 zum kundenfreundlichsten und einfachsten Telekommunikationsanbieter Deutschlands“ zu machen.

Erkenntnisse aus der behördlichen Perspektive

Bei dem insgesamt 45 Millionen Euro hohen Bußgeld gegen Vodafone handle es sich um die höchste je von der Bundesdatenschutzbehörde verhängte Sanktion. Für die BfDI ist der Fall Vodafone exemplarisch für zwei strukturelle Herausforderungen im Unternehmensumfeld. Zum einen verdeutliche er, wie schnell Missstände bei der Kontrolle externer Dienstleister in systemische Datenschutzrisiken münden können.

Zum anderen zeige er, dass viele Unternehmen bei der IT-Sicherheit jahrelang zu wenig investiert haben. Oft beruhe dies auf der falschen Annahme, dass Datenschutz Innovation behindere. Tatsächlich sei, wie die BfDI in der Vergangenheit schon vermehrt betont hat, das Gegenteil der Fall. Investitionen in Datenschutzinfrastruktur seien eine Voraussetzung für nachhaltige und rechtskonforme Digitalisierung. Andernfalls würden Sanktionen und Sicherheitsvorfälle drohen. Ziel sei es durch Datenschutz zu erreichen, dass es weder zu Verstößen noch zu Sanktionen kommen muss.

Fazit

Der Fall Vodafone belegt eindrucksvoll, dass Datenschutz ein zentrales Element digitaler Verantwortung und unternehmerischer Absicherung ist. Fehlende Kontrolle über Auftragsverarbeiter und technische Sicherheitsdefizite können erhebliche finanzielle Risiken nicht nur für Betroffene, sondern auch für Unternehmen selbst mit sich bringen.

Der Fall zeigt aber auch, dass wer offen mit Fehlern umgeht, diese konsequent behebt und Datenschutz nicht als Last, sondern als Qualitätsmerkmal versteht, gestärkt aus solchen Krisen hervorgehen kann. Unternehmen, die sich im Spannungsfeld von technischer Innovation, komplexen IT-Strukturen und regulatorischen Anforderungen bewegen, sollten den Fall Vodafone als Anlass nehmen, ihre eigenen Prozesse zu überprüfen. Wir unterstützen Sie gerne bei der rechtssicheren Gestaltung Ihrer datenschutzrechtlichen Maßnahmen als Externe Datenschutzbeauftragte.

Kategorien: Aufsichtsbehördliche Maßnahmen · Auftragsverarbeitung · Bußgeld · Datenschutzvorfall · DSGVO · Verantwortliche