Vodafone Bußgeld DSGVO

Vodafone zahlt Rekordstrafe von 45 Millionen Euro

Die Bundesdatenschutzaufsichtsbehörde (BfDI) hat gegen Vodafone Deutschland das höchste Bußgeld ihrer Geschichte verhängt. Die Vorwürfe: unzureichende Kontrolle von Auftragsverarbeitern und gravierende Sicherheitslücken beim Kundenzugang.

Höchste Strafe seit Inkrafttreten der DSGVO

Am 3. Juni 2025 gab die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Dr. Louisa Specht-Riemenschneider, die Verhängung eines DSGVO-Bußgelds in Höhe von 45 Millionen Euro gegen die Vodafone GmbH bekannt – ein Rekord seit Bestehen der Behörde. Die Sanktion basiert auf zwei getrennten Verstößen. Hier geht es zum Pressebericht.

Bußgelder vermeiden? Mit unserer Ausbildung zur Fachkraft für Datenschutz (DEKRA)

1. 15 Millionen Euro für mangelhafte Auftragsverarbeitung

Vodafone hatte Partneragenturen beauftragt, Kundenverträge zu vermitteln. Einige dieser Agenturen agierten in betrügerischer Absicht, erstellten fingierte Verträge oder veränderten Vertragsdetails zulasten der Kunden. Die Pflicht zur Überprüfung und Überwachung dieser Auftragsverarbeiter nach Art. 28 Abs. 1 DSGVO wurde nicht erfüllt. Die BfDI sieht hierin ein strukturelles Versagen der Kontrollmechanismen.

2. 30 Millionen Euro für Sicherheitslücken bei eSIM-Verwaltung

Noch schwerer wiegt ein zweiter Verstoß: Über eine Kombination von Hotline und Onlineportal konnten Angreifer durch Authentifizierungsschwächen auf eSIM-Profile von Vodafone-Kunden zugreifen. Dies ermöglichte eine potenzielle Übernahme der Mobilfunkidentität – mit hohen Risiken, z. B. bei Zwei-Faktor-Verfahren im Onlinebanking. Vodafone wurde hierfür gemäß Art. 32 Abs. 1 DSGVO zur Zahlung von 30 Millionen Euro verpflichtet. Zusätzlich sprach die BfDI eine Verwarnung wegen unzureichender technischer und organisatorischer Maßnahmen (TOMs) aus.

Vodafone reagiert und zeigt sich einsichtig

Das Unternehmen hat die Geldbußen vollständig akzeptiert und gezahlt. Es betonte seine Kooperationsbereitschaft während des gesamten Verfahrens und leitete tiefgreifende Reformen ein:

  • Überarbeitung der Sicherheitsarchitektur
  • Einführung strengerer Richtlinien für Partneragenturen
  • Erhöhte Anforderungen an Authentifizierungsverfahren
  • Trennung von Partnern mit nachgewiesenen Verstößen

Außerdem spendete Vodafone mehrere Millionen Euro an Organisationen, die sich für Datenschutz, Medienkompetenz und digitale Aufklärung einsetzen.

Datenschutz als Investitionsauftrag

Die BfDI kritisierte grundlegend einen Investitionsrückstand in vielen Unternehmen bei der IT-Sicherheit. Häufig werde Datenschutz als Hindernis für Innovation betrachtet – dabei sei er Voraussetzung für nachhaltige Digitalisierung. Specht-Riemenschneider formulierte es so:

Datenschutz wird häufig fälschlicherweise als Hindernis für IT-Investitionen angesehen. Dabei ist das Gegenteil der Fall: Ohne IT-Investitionen drohen Sicherheitsvorfälle und auch Sanktionen der Datenschutzaufsicht. Daher mein Aufruf: Investieren statt Riskieren! – Prof. Dr. Louisa Specht-Riemenschneider

Folgeprüfungen angekündigt

Die Aufsicht kündigte Folgekontrollen an, um sicherzustellen, dass die eingeleiteten Maßnahmen dauerhaft greifen. Der Fall Vodafone gilt nun als Musterbeispiel für effektive Sanktionen und als Mahnung an alle datenverarbeitenden Unternehmen, Datenschutz aktiv in ihre Risikosteuerung zu integrieren.

Fazit:

Der Rekordfall zeigt: Datenschutz ist längst kein Nebenschauplatz mehr. Unternehmen, die personenbezogene Daten verarbeiten, müssen ihre IT- und Kontrollsysteme regelmäßig prüfen, auf dem Stand der Technik halten und auch bei der Auswahl von Dienstleistern höchste Sorgfalt walten lassen.