Die Bundesbeauftrage für den Datenschutz und die Informationsfreiheit (BfDI) verhängte Anfang Juni 2025 gegen die Vodafone GmbH zwei Bußgelder in einer Gesamthöhe von 45 Millionen Euro. Das Verfahren macht deutlich, wie weit die DSGVO in Compliance-Prozesse eingreifen kann.
Zuständigkeiten der BfDI
Auffällig ist, dass vorliegend die BfDI (und nicht die Landesdatenschutzaufsicht) das Bußgeld verhängte. Nach § 9 BDSG überwacht die BfDI nicht nur den Datenschutz bei Bundes- und Finanzbehörden. Ihre Aufsicht erstreckt sich ebenso auf private Unternehmen, die Telekommunikations- und Postdienstleistungen anbieten und damit auch auf bundesweit tätige Anbieter wie Vodafone.
Für private Unternehmen, Vereine, Verbände oder Freiberufler sind dagegen die Landesaufsichtsbehörden zuständig.
Hintergrund der Verstöße
Im Zentrum des Verfahrens standen laut Pressemitteilung zwei unterschiedliche Sachverhalte:
Versäumnisse bei der Kontrolle von Auftragsverarbeitern
Vodafone hat Partneragenturen, die als Auftragsverarbeiter tätig wurden, nicht hinreichend datenschutzrechtlich geprüft bzw. überwacht. In der Folge kam es zu fingierten Vertragsabschlüssen und Vertragsänderungen zulasten der Kunden.
Als Verantwortlicher ist Vodafone nach Art. 28 Abs. 1 Satz 1 DSGVO verpflichtet, seine Auftragsverarbeiter zu überprüfen und zu überwachen. Da Vodafone dies nicht machte, verhängte die BfDI für diesen Verstoß ein Bußgeld von 15 Millionen Euro.
Tipp: Lesen Sie unsere Anleitung zur Kontrolle von Auftragsverarbeitern und laden sich unsere Checkliste dafür herunter.
Sicherheitslücken im Authentifizierungsprozess
Die BfDI entdeckte zudem erhebliche Lücken bei der kombinierten Nutzung von MeinVodafone und der Hotline im Authentifizierungsverfahren. Diese Defizite ermöglichten es Unbefugten, eSIM-Profile auszulesen und sich auf diese Weise Zugang zu Kundendaten zu verschaffen.
Hierfür verhängte die Behörde ein zweites Bußgeld in Höhe von 30 Millionen Euro wegen Verstöße gegen Art. 32 Abs. 1 DSGVO (Sicherheit der Datenverarbeitung). Zusätzlich erhielt Vodafone eine förmliche Verwarnung für festgestellte Sicherheitslücken in weiteren Vertriebssystemen.
Vodafone hat bereits sämtliche Bußgelder anstandslos bezahlt und umgehend interne Prozesse modernisiert. Es wurde die Auswahl und Auditierung von Partneragenturen verschärft und der Authentifizierungsprozess auf eine neue technische Basis gestellt. Die BfDI kündigte bereits Folgekontrollen an, um die Wirksamkeit der Maßnahmen zu überprüfen.
DSGVO-Bußgelder vermeiden
Wir analysieren regelmäßig von den Aufsichtsbehörden verhängte DSGVO-Bußgelder und erklären Ihnen, wie Sie diese effektiv vermeiden!
DSGVO als Sanktionsinstrument
Es entsteht der Eindruck, dass es sich bei den geschilderten Sachverhalten um klassische Betrugsfälle handelt. Allerdings sind diese auch auf ein ungenügendes Qualitäts- und Compliance-Management (auch bei der Auswahl externer Dienstleister) zurückzuführen. Aus diesem Grund war es möglich, dass die BfDI Vodafone aus datenschutzrechtlicher Sicht sanktioniert. Dadurch wird die Flexibilität der DSGVO als Ordnungsrahmen deutlich, da vorliegend ein datenschutzrechtlicher Umweg genutzt wurde, um wirtschaftliches Fehlverhalten zu bestrafen.
Auswirkungen auf die Praxis
Der Fall Vodafone demonstriert, wie viele Bereiche die DSGVO tangiert. Unternehmen können sich nicht mehr darauf verlassen, dass Datenschutz-Aufsichtsbehörden nur „klassische“ Verstöße wie das Fehlen einer Rechtsgrundlage oder unzureichende Betroffeneninformationen maßregeln. Vielmehr wird deutlich, dass Fehler in der Vertragserfüllung, Sicherheitslücken und andere Sachverhalte, deren Unrecht (auch) außerhalb der DSGVO-Normen liegt, wie etwa im Bereich des Vertragsrechts, auch durch eine datenschutzrechtliche Sanktionierung geahndet werden können. Voraussetzung hierfür ist, dass der Verstoß gegen eine DSGVO-Norm festgestellt werden kann.
Die BfDI betonte, dass Datenschutz häufig fälschlicherweise als Hindernis für IT-Investitionen angesehen werde, und stellte klar, dass ohne solche Investitionen Sicherheitsvorfälle und in dem Fall auch Sanktionen der Datenschutzaufsicht drohten. Sie forderte deshalb zum „Investieren statt Riskieren“ auf.
Fazit
Konkret zeigt dieser Fall, wie flexibel Datenschutzrecht inzwischen von Aufsichtsbehörden eingesetzt wird. Außerdem verdeutlicht der Fall Vodafone einmal mehr, dass datenschutzrechtliche Vorgaben nicht isoliert zu betrachten sind, sondern bereichsübergreifend als Bestandteil eines ganzheitlichen Compliance- und Risikomanagements.
Der Bußgeldbescheid gegen Vodafone stellt damit nicht nur eine Mahnung zu besserem Datenschutz dar. Vielmehr ist er ein Signal für ein sich wandelndes Verständnis von Verantwortung und Haftung in Unternehmen.