BfDI verhängt Rekordbußgeld: 45 Millionen Euro Strafe gegen Vodafone
Seit dem 03. Juni 2025 trägt die Vodafone GmbH den zweifelhaften Rekord für das höchste jemals in Deutschland verhängte Bußgeld wegen Verstößen gegen die EU-Datenschutz-Grundverordnung (DSGVO). Denn die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) setzte ein Bußgeld in Höhe von insgesamt 45 Millionen Euro wegen Datenschutzverstößen gegen Vodafone fest. Vodafone akzeptierte die Geldbuße und hat diese bereits vollständig bezahlt.
Bußgeld Nr. 1: Fehlende Überwachung von Auftragsverarbeitern (15 Mio. Euro)
Das erste Bußgeld in Höhe von 15 Millionen Euro wurde Vodafone auferlegt, da das Unternehmen die notwendigen Überprüfungen seiner Partneragenturen, die als Auftragsverarbeiter tätig waren, nicht ausreichend durchgeführt hat. Denn laut Art. 28 DSGVO sind Verantwortliche verpflichtet, sowohl zu Vertragsbeginn als auch regelmäßig während der Zusammenarbeit sicherzustellen, dass Auftragsverarbeiter über ausreichende technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten verfügen.
Bußgeld Nr. 2: Sicherheitslücken beim Authentifizierungsprozess (30 Mio. Euro)
Das zweite Bußgeld in Höhe von 30 Millionen Euro wurde wegen Sicherheitsmängeln beim Authentifizierungsprozess verhängt. Konkret betraf es Schwachstellen bei der kombinierten Nutzung des Online-Portals „MeinVodafone“ in Verbindung mit der Vodafone-Hotline.
Trotz des erheblichen Bußgeldes lobte BfDI Prof. Dr. Specht-Riemenschneider Vodafones uneingeschränkte Kooperation sowie die transparente Offenlegung, selbst wenn dies zulasten des Unternehmens ging.
Was können Unternehmen aus diesem Fall lernen?
Dieser Fall verdeutlicht eindringlich, dass die Verpflichtungen aus der DSGVO im Rahmen einer Auftragsverarbeitung nicht mit dem bloßen Abschluss eines Auftragsverarbeitungsvertrages enden. Auf der einen Seite müssen Verantwortliche kontinuierliche Kontroll- und Überprüfungsprozesse etablieren. Auf der anderen Seite sollten Dienstleister eine Zertifizierung ihrer Services in Betracht ziehen, um effizient auf Prüfungen und Nachfragen von Auftraggebern reagieren zu können.
Kemal Webersohn, Geschäftsführer
Weitere Artikel des Autoren
- Vorsicht, Telefonbetrug! So schützen Sie sich effektiv
- EU AI Act vs. DSGVO: Die wichtigsten Unterschiede und Gemeinsamkeiten
- Mitarbeitende wollen KI-Schulungen
- Google verzichtet auf personalisierte Werbung
- Pretty Good Privacy – wirklich so gut und einfach?
- Datenschutz im Home-Office
Verwandte Artikel
- Der Betriebsrat und der Datenschutz – wohin geht die Reise?
- Doctolib übermittelte personenbezogene Daten an Facebook
- Gesetzliche Regelung für Videokonferenzen an Hamburger Schulen
- Gesetzliche Home-Office Pflicht und Datenschutz: Ein Spannungsfeld
- Wann darf die Polizei Datenbanken abfragen?
- Datenschutz und Gäste-WLAN