BfDI verhängt Rekordbußgeld: 45 Millionen Euro Strafe gegen Vodafone
Geschrieben von Kemal Webersohn, veröffentlicht am 10.06.2025Seit dem 03. Juni 2025 trägt die Vodafone GmbH den zweifelhaften Rekord für das höchste jemals in Deutschland verhängte Bußgeld wegen Verstößen gegen die EU-Datenschutz-Grundverordnung (DSGVO). Denn die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) setzte ein Bußgeld in Höhe von insgesamt 45 Millionen Euro wegen Datenschutzverstößen gegen Vodafone fest. Vodafone akzeptierte die Geldbuße und hat diese bereits vollständig bezahlt.
Bußgeld Nr. 1: Fehlende Überwachung von Auftragsverarbeitern (15 Mio. Euro)
Das erste Bußgeld in Höhe von 15 Millionen Euro wurde Vodafone auferlegt, da das Unternehmen die notwendigen Überprüfungen seiner Partneragenturen, die als Auftragsverarbeiter tätig waren, nicht ausreichend durchgeführt hat. Denn laut Art. 28 DSGVO sind Verantwortliche verpflichtet, sowohl zu Vertragsbeginn als auch regelmäßig während der Zusammenarbeit sicherzustellen, dass Auftragsverarbeiter über ausreichende technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten verfügen.
Bußgeld Nr. 2: Sicherheitslücken beim Authentifizierungsprozess (30 Mio. Euro)
Das zweite Bußgeld in Höhe von 30 Millionen Euro wurde wegen Sicherheitsmängeln beim Authentifizierungsprozess verhängt. Konkret betraf es Schwachstellen bei der kombinierten Nutzung des Online-Portals „MeinVodafone“ in Verbindung mit der Vodafone-Hotline.
Trotz des erheblichen Bußgeldes lobte BfDI Prof. Dr. Specht-Riemenschneider Vodafones uneingeschränkte Kooperation sowie die transparente Offenlegung, selbst wenn dies zulasten des Unternehmens ging.
Was können Unternehmen aus diesem Fall lernen?
Dieser Fall verdeutlicht eindringlich, dass die Verpflichtungen aus der DSGVO im Rahmen einer Auftragsverarbeitung nicht mit dem bloßen Abschluss eines Auftragsverarbeitungsvertrages enden. Auf der einen Seite müssen Verantwortliche kontinuierliche Kontroll- und Überprüfungsprozesse etablieren. Auf der anderen Seite sollten Dienstleister eine Zertifizierung ihrer Services in Betracht ziehen, um effizient auf Prüfungen und Nachfragen von Auftraggebern reagieren zu können.
Sprechen Sie uns gerne an, bei Fragen zu BfDI verhängt Rekordbußgeld: 45 Millionen Euro Strafe gegen Vodafone
Kemal Webersohn,
Geschäftsführer der WS Datenschutz GmbH und seit über zehn Jahren im Datenschutz und in der Informationssicherheit tätig.
Er schreibt außerdem auf unserem Blog zu Themen rund um Datenschutz, Informationssicherheit und die KI-Verordnung.
Weitere Artikel
- Ist der Wächter-Modus von Tesla DSGVO-Konform?
- Ist das Fotografieren von Falschparkern zulässig?
- Doctolib und das Land Berlin in der Kritik
- Für wen gilt die neue NIS-2-Richtlinie?
- Datenpanne bei Datev: Was tun, wenn Lohnabrechnungen falsch zugestellt werden?
- Ist der externe Datenschutzbeauftragte auch externer Empfänger im Sinne der DSGVO?
Verwandte Artikel
- Ab wie vielen Mitarbeitern muss man einen Datenschutzbeauftragten bestellen?
- Wer muss einen Datenschutzbeauftragten (DSB) bestellen?
- Datenschutzkonforme Handhabung von Krankentagen im Aushang
- Ist der externe Datenschutzbeauftragte auch externer Empfänger im Sinne der DSGVO?
- Datenschutzbeauftragter und Betriebsratsmitglied: Ein Interessenkonflikt?
- Wer muss einen Datenschutzvorfall melden? DSB oder Verantwortlicher?