Vodafone erhält Rekord-Geldbuße wegen Datenschutzmängeln

Am 3. Juni 2025 hat die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Dr. Louisa Specht‑Riemenschneider, der Vodafone GmbH zwei Bußgelder in Höhe von insgesamt 45 Millionen Euro auferlegt. Dies ist der höchste Bußgeldbescheid, den die BfDI seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) erlassen hat.

Warum wurde Vodafone bestraft?

Die Strafe setzt sich aus zwei Teilen zusammen:

1. 15 Millionen Euro – Auftragsverarbeiter nicht ausreichend geprüft

Vodafone arbeitet mit Partneragenturen, die im Auftrag neue Verträge abschließen. Es kam dabei zu Betrugsfällen: Kunden wurden ohne ihr Wissen oder ohne Unterschrift mit neuen Verträgen belastet. Laut Art. 28 DSGVO muss ein Unternehmen sicherstellen, dass solche Partner datenschutzkonform arbeiten und regelmäßig kontrolliert werden – das hat Vodafone laut BfDI vernachlässigt.

2. 30 Millionen Euro – Schwachstellen beim Login & eSIM-Diebstahl

Auch im Bereich Kundensupport und Online-Portal gab es massive Sicherheitslücken. Unberechtigte Dritte konnten sich ungenügend authentifizieren und so eSIM-Profile abgreifen. Das ermöglichte ihnen, Rufnummern zu übernehmen und sich damit Zugang zu weiteren Diensten zu verschaffen. Solche Schwachstellen verstoßen gegen Art. 32 DSGVO, der angemessene Sicherheitsmaßnahmen fordert.

Die Strafe im Detail
  • Bußgeld 1: 15 Mio €
    Grund: Fehlende Prüfung und Kontrolle der Partneragenturen (Auftragsverarbeiter).
  • Bußgeld 2: 30 Mio €
    Grund: Sicherheitslücken beim Login im Online-Portal kombiniert mit Hotline.

Insgesamt also 45 Millionen Euro, bereits von Vodafone akzeptiert und vollständig gezahlt.

Reaktionen & Kooperationsbereitschaft

Die BfDI hob hervor, dass Vodafone während der Ermittlungen vollständig kooperiert hat und sogar eigene Fehler offenlegte.

Prof. Dr. Specht-Riemenschneider betonte:

„Ich möchte hervorheben, dass Vodafone … ununterbrochen und uneingeschränkt mit mir kooperiert und auch Umstände offengelegt hat, durch die sich das Unternehmen selbst belastet hat."

Sie forderte Unternehmen auf, nicht am Datenschutz zu sparen – Investitionen in IT-Sicherheit seien entscheidend:

„Datenschutz wird häufig fälschlicherweise als Hindernis für IT-Investitionen angesehen. (…) Investieren statt Riskieren!"

Vodafone verbessert Systeme & Prozesse

Vodafone hat die Erkenntnisse genutzt:

  • Sicherheitslücken in Authentifizierungssystemen wurden behoben oder Portale ersetzt
  • Kontrolle der Partneragenturen verbessert; problematische Partnerschaften beendet
  • Compliance- und Datenschutzabteilungen gestärkt
  • Spenden in Millionenhöhe gingen an Organisationen, die Datenschutz, Digitalkompetenz und Cybermobbing-Prävention fördern – als Zeichen ihres Engagements für Sicherheit und Vertrauen

Die BfDI kündigte eine Folgekontrolle an, um die tatsächliche Umsetzung dieser Maßnahmen zu prüfen.

Warum ist dieses Bußgeld so wichtig? 

1. Rekordsumme in Deutschland

Es ist das bislang höchste Bußgeld der BfDI – und eines der härtesten weltweit im Telekommunikationsbereich.

2. Klare Warnung an Unternehmen

Fehlende Sicherheit und mangelnde Kontrolle bei Partnerfirmen können zu erheblichen rechtlichen und finanziellen Konsequenzen führen. Datenschutz ist kein Luxus, sondern Pflicht.

3. Signalwirkung für die Branche

Viele Firmen drücken sich vor IT-Konsolidierung und Partnerüberwachung – Vodafone zeigt exemplarisch, wie schnell sich das rächen kann.

Was bedeutet das für Verbraucher?
  • Bessere Sicherheit – Echte Nutzerkontrolle und stärkere Authentifizierung mit höheren Sicherheitsstandards.
  • Mehr Schutz bei Hotlines – Zugriff auf Kundendaten wird restriktiver geregelt.
  • Vertrauen durch klare Haltung – Vodafone stärkt Reputation durch Investitionen in Datenschutz und soziale Projekte.

Handlungsempfehlungen für Unternehmen
  1. Audit und Kontrolle von Auftragsverarbeitern
    Verträge gemäß Art. 28 DSGVO: klare Vorgaben und regelmäßige Überprüfungen.
  2. Robustes Authentifizierungsverfahren
    Zwei-Faktor-Authentifizierung, PINs, Sicherheitstoken – insbesondere bei Hotline und Online-Portalen.
  3. IT-Systeme absichern
    Regelmäßige Sicherheits-Checks, Patches und Penetration-Tests einführen.
  4. Proaktive Mitarbeit und Compliance-Kultur pflegen
    Vollständige Kooperation mit Aufsichtsbehörden – wirkt mildernd bei Sanktionen.
  5. Aufklärung betreiben
    Datenschutz intern fördern, Mitarbeiter trainieren, Risiken früh erkennen.

Vodafone in der Verantwortung – ein Call-to-Action

Vodafone zeigt mit seinem konsequenten Kurs:

  • Finanzielle Rücklagen: Großunternehmen sollten Bereitschaft zeigen, in Datenschutz und IT zu investieren.
  • Kontinuierliche Prüfung: Systeme und Partner müssen dauerhaft auf Schwachstellen überprüft werden.
  • Transparenz schaffen: Offenheit gegenüber Öffentlichkeit und Behörden schafft Vertrauen.
  • Gesellschaftliches Engagement: Spenden für Datenschutz und Bildung signalisieren Haltung.

Das Bußgeld gegen Vodafone in Höhe von 45 Mio € ist ein Weckruf an alle Unternehmen:

  • Datenschutzmängel können teuer werden
  • Sicherheit ist keine Option, sondern Pflicht
  • Kooperation mit Aufsichtsbehörden zahlt sich aus
  • Datenschutz stärkt das Vertrauen der Kunden


Unternehmen sollten dieses Beispiel ernst nehmen und gemäß dem Motto „Investieren statt Riskieren!" handeln – für sichere Prozesse, zufriedene Kunden und langfristigen Erfolg.

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz 


×
Bleiben Sie informiert!

Hier haben Sie die Möglichkeit, für alle Blog-Beiträge, die wir auf unserer Webseite veröffentlichen, Updates zu erhalten.

Damit verpassen Sie keine Neuigkeiten mehr in Sachen Datenschutz!

 
Datenschutz Prinz wächst – strukturell stärker für...
Artikel 30 Absatz 2 DSGVO einfach erklärt – Das Ve...

Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.