Am 3. Juni 2025 hat die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Dr. Louisa Specht‑Riemenschneider, der Vodafone GmbH zwei Bußgelder in Höhe von insgesamt 45 Millionen Euro auferlegt. Dies ist der höchste Bußgeldbescheid, den die BfDI seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) erlassen hat.
Warum wurde Vodafone bestraft?Die Strafe setzt sich aus zwei Teilen zusammen:
1. 15 Millionen Euro – Auftragsverarbeiter nicht ausreichend geprüftVodafone arbeitet mit Partneragenturen, die im Auftrag neue Verträge abschließen. Es kam dabei zu Betrugsfällen: Kunden wurden ohne ihr Wissen oder ohne Unterschrift mit neuen Verträgen belastet. Laut Art. 28 DSGVO muss ein Unternehmen sicherstellen, dass solche Partner datenschutzkonform arbeiten und regelmäßig kontrolliert werden – das hat Vodafone laut BfDI vernachlässigt.
2. 30 Millionen Euro – Schwachstellen beim Login & eSIM-DiebstahlAuch im Bereich Kundensupport und Online-Portal gab es massive Sicherheitslücken. Unberechtigte Dritte konnten sich ungenügend authentifizieren und so eSIM-Profile abgreifen. Das ermöglichte ihnen, Rufnummern zu übernehmen und sich damit Zugang zu weiteren Diensten zu verschaffen. Solche Schwachstellen verstoßen gegen Art. 32 DSGVO, der angemessene Sicherheitsmaßnahmen fordert.
Die Strafe im Detail- Bußgeld 1: 15 Mio €
Grund: Fehlende Prüfung und Kontrolle der Partneragenturen (Auftragsverarbeiter). - Bußgeld 2: 30 Mio €
Grund: Sicherheitslücken beim Login im Online-Portal kombiniert mit Hotline.
Insgesamt also 45 Millionen Euro, bereits von Vodafone akzeptiert und vollständig gezahlt.
Reaktionen & KooperationsbereitschaftDie BfDI hob hervor, dass Vodafone während der Ermittlungen vollständig kooperiert hat und sogar eigene Fehler offenlegte.
Prof. Dr. Specht-Riemenschneider betonte:
„Ich möchte hervorheben, dass Vodafone … ununterbrochen und uneingeschränkt mit mir kooperiert und auch Umstände offengelegt hat, durch die sich das Unternehmen selbst belastet hat."
Sie forderte Unternehmen auf, nicht am Datenschutz zu sparen – Investitionen in IT-Sicherheit seien entscheidend:
„Datenschutz wird häufig fälschlicherweise als Hindernis für IT-Investitionen angesehen. (…) Investieren statt Riskieren!"
Vodafone hat die Erkenntnisse genutzt:
- Sicherheitslücken in Authentifizierungssystemen wurden behoben oder Portale ersetzt
- Kontrolle der Partneragenturen verbessert; problematische Partnerschaften beendet
- Compliance- und Datenschutzabteilungen gestärkt
- Spenden in Millionenhöhe gingen an Organisationen, die Datenschutz, Digitalkompetenz und Cybermobbing-Prävention fördern – als Zeichen ihres Engagements für Sicherheit und Vertrauen
Die BfDI kündigte eine Folgekontrolle an, um die tatsächliche Umsetzung dieser Maßnahmen zu prüfen.
Warum ist dieses Bußgeld so wichtig?Es ist das bislang höchste Bußgeld der BfDI – und eines der härtesten weltweit im Telekommunikationsbereich.
2. Klare Warnung an UnternehmenFehlende Sicherheit und mangelnde Kontrolle bei Partnerfirmen können zu erheblichen rechtlichen und finanziellen Konsequenzen führen. Datenschutz ist kein Luxus, sondern Pflicht.
3. Signalwirkung für die BrancheViele Firmen drücken sich vor IT-Konsolidierung und Partnerüberwachung – Vodafone zeigt exemplarisch, wie schnell sich das rächen kann.
Was bedeutet das für Verbraucher?- Bessere Sicherheit – Echte Nutzerkontrolle und stärkere Authentifizierung mit höheren Sicherheitsstandards.
- Mehr Schutz bei Hotlines – Zugriff auf Kundendaten wird restriktiver geregelt.
- Vertrauen durch klare Haltung – Vodafone stärkt Reputation durch Investitionen in Datenschutz und soziale Projekte.
- Audit und Kontrolle von Auftragsverarbeitern
Verträge gemäß Art. 28 DSGVO: klare Vorgaben und regelmäßige Überprüfungen. - Robustes Authentifizierungsverfahren
Zwei-Faktor-Authentifizierung, PINs, Sicherheitstoken – insbesondere bei Hotline und Online-Portalen. - IT-Systeme absichern
Regelmäßige Sicherheits-Checks, Patches und Penetration-Tests einführen. - Proaktive Mitarbeit und Compliance-Kultur pflegen
Vollständige Kooperation mit Aufsichtsbehörden – wirkt mildernd bei Sanktionen. - Aufklärung betreiben
Datenschutz intern fördern, Mitarbeiter trainieren, Risiken früh erkennen.
Vodafone zeigt mit seinem konsequenten Kurs:
- Finanzielle Rücklagen: Großunternehmen sollten Bereitschaft zeigen, in Datenschutz und IT zu investieren.
- Kontinuierliche Prüfung: Systeme und Partner müssen dauerhaft auf Schwachstellen überprüft werden.
- Transparenz schaffen: Offenheit gegenüber Öffentlichkeit und Behörden schafft Vertrauen.
- Gesellschaftliches Engagement: Spenden für Datenschutz und Bildung signalisieren Haltung.
Das Bußgeld gegen Vodafone in Höhe von 45 Mio € ist ein Weckruf an alle Unternehmen:
- Datenschutzmängel können teuer werden
- Sicherheit ist keine Option, sondern Pflicht
- Kooperation mit Aufsichtsbehörden zahlt sich aus
- Datenschutz stärkt das Vertrauen der Kunden
Unternehmen sollten dieses Beispiel ernst nehmen und gemäß dem Motto „Investieren statt Riskieren!" handeln – für sichere Prozesse, zufriedene Kunden und langfristigen Erfolg.
Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!
Ihr Team von Datenschutz Prinz